KR20220149202A - File verification system and file verification method - Google Patents

File verification system and file verification method Download PDF

Info

Publication number
KR20220149202A
KR20220149202A KR1020210056503A KR20210056503A KR20220149202A KR 20220149202 A KR20220149202 A KR 20220149202A KR 1020210056503 A KR1020210056503 A KR 1020210056503A KR 20210056503 A KR20210056503 A KR 20210056503A KR 20220149202 A KR20220149202 A KR 20220149202A
Authority
KR
South Korea
Prior art keywords
signer
file
verification
information
certificate
Prior art date
Application number
KR1020210056503A
Other languages
Korean (ko)
Other versions
KR102549300B1 (en
Inventor
황규범
Original Assignee
주식회사 안랩
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 안랩 filed Critical 주식회사 안랩
Priority to KR1020210056503A priority Critical patent/KR102549300B1/en
Publication of KR20220149202A publication Critical patent/KR20220149202A/en
Application granted granted Critical
Publication of KR102549300B1 publication Critical patent/KR102549300B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

The present invention proposes a file verification system that enables a verification result that guarantees a high verification reliability to be obtained regardless of a verification time by enabling to verify up to a validity for a certificate (signer validity) included in a file when verifying for the file even in an environment wherein an Internet connection is limited; and a file verification method. The file verification method comprises: a signer verification step; an information writing step; an information transmitting step; and a file verification step.

Description

파일 검증 시스템 및 파일 검증 방법{FILE VERIFICATION SYSTEM AND FILE VERIFICATION METHOD}FILE VERIFICATION SYSTEM AND FILE VERIFICATION METHOD

본 발명은 인증서로 서명된 파일 검증 기술에 관한 것으로, 더욱 상세하게는 인터넷 연결이 제한된 환경에서도 파일에 대한 검증 시 파일에 포함된 인증서에 대한 유효성 검증이 가능하도록 하는 기술에 관한 것이다.The present invention relates to a technology for verifying a file signed with a certificate, and more particularly, to a technology for enabling validation of a certificate included in a file when verifying a file even in an environment where Internet connection is limited.

사용자 컴퓨터에서 보안 위협은 외부로부터의 공격자의 침입과 악성코드의 감염과 실행으로 인한 문제 두가지로 나누어지는데, 그 중에서 후자의 경우 사용자 컴퓨터에서 실행되는 파일 또는 코드가 악성코드인지 여부를 판단해서 악성코드인 파일의 실행을 차단하는 방법으로도 사용자 컴퓨터를 보호할 수 있다.Security threats in the user's computer are divided into two types: intrusion by an external attacker and problems caused by infection and execution of malicious codes. You can also protect the user's computer by blocking the execution of the in-file.

이에 운영체제에서도 이 파일의 실행을 허용해도 되는지를 판단하고, 의심되는 파일의 실행을 차단하거나, 사용자에게 경고하는 기능이 적용되어 있다.Accordingly, the operating system determines whether the execution of this file is allowed, blocks the execution of the suspicious file, or warns the user is applied.

이렇게 파일을 신뢰할 수 있는지 여부를 판단하는 방법으로 널리 사용되는 방법의 하나로 파일의 전자 서명을 검증하는 방법이 있다. As a method of determining whether a file is trustworthy, there is a method of verifying the electronic signature of the file as one of the widely used methods.

파일의 전자 서명을 검증하는 방법은, 파일이 서명된 후 배포되는 과정에서 변조되지 않았는지 무결성을 검증하고, 파일 서명자의 인증서를 신뢰할 수 있는지 유효성을 검증하게 되는데 이를 위해서는 인증기관에 조회하기 위해 인터넷 연결이 필요하다.The method of verifying the digital signature of a file verifies the integrity of whether the file has not been tampered with in the process of being signed and distributed, and verifies the validity of whether the file signer's certificate can be trusted. Connection is required.

그러나, 사용자가 인터넷 연결이 제한되어 있다면 서명자의 인증서를 검증할 수 없기 때문에 파일의 서명 검증을 완전하게 할 수 없게 된다.However, if the user has a limited Internet connection, since the signer's certificate cannot be verified, the signature verification of the file cannot be completed.

본 발명은, 인터넷 연결이 제한된 환경에서도, 파일에 대한 검증 시 파일에 포함된 인증서에 대한 유효성 검증이 가능하게 함으로써 신뢰할 수 있는 파일 검증 결과를 얻는 방법을 제안한다.The present invention proposes a method of obtaining a reliable file verification result by enabling validation of a certificate included in a file when verifying a file even in an environment where Internet connection is limited.

본 발명은 상기한 사정을 감안하여 창출된 것으로서, 본 발명에서 해결하고자 하는 과제는, 인터넷 연결이 제한된 환경에서도, 파일에 대한 검증 시 파일에 포함된 인증서에 대한 유효성 검증까지 가능하게 하여 높은 신뢰도로 파일 검증을 수행할 수 있는 파일 검증 시스템 및 파일 검증 방법을 제공하는 것이다.The present invention was created in view of the above circumstances, and the problem to be solved by the present invention is to enable even validation of the certificate included in the file when verifying the file, even in an environment where Internet connection is limited, so that it is possible to achieve high reliability. It is to provide a file verification system and a file verification method capable of performing file verification.

본 발명에서 제안하는 방법은 인터넷 연결이 제한된 네트워크 환경에서도 파일 서명자를 검증할 수 있도록 하는 것이다. 이를 위해서 인터넷이 가능한 환경에서 서명자별로 대표 파일을 검증하여 서명자 검증에 활용할 검증 정보를 작성하고, 이 검증 정보를 인터넷 연결이 제한된 네트워크에 전달하여 해당 네트워크 내에서 파일 검증시 활용할 수 있도록 하는 것이다.The method proposed by the present invention is to verify a file signer even in a network environment in which Internet connection is limited. To this end, the representative file is verified for each signer in an environment where the Internet is available, verification information to be used for signer verification is created, and this verification information is transmitted to a network with limited Internet connection so that it can be used for file verification within the network.

상기 목적을 달성하기 위한 본 발명의 제 1 관점에 따른 파일 검증 방법은, 서명자별로 선정한 대표 파일에 대해 서명자 검증을 수행하는 서명자 검증단계; 상기 대표 파일에 대해 수행한 서명자 검증의 결과를 포함하는 서명자 정보를 작성하는 정보 작성단계; 인터넷 연결이 제한된 네트워크로 상기 서명자 정보를 전달하는 정보 전달단계; 및 상기 네트워크 내에서 파일 검증 시 상기 서명자 정보를 이용하여 상기 파일에 대한 서명자의 유효성을 검증하는 파일 검증단계를 포함한다.A file verification method according to a first aspect of the present invention for achieving the above object includes a signer verification step of performing signer verification on a representative file selected for each signer; an information creation step of creating signer information including a result of signer verification performed on the representative file; an information delivery step of delivering the signer information to a network with limited Internet connection; and a file verification step of verifying the validity of the signer for the file using the signer information when verifying the file in the network.

상기 목적을 달성하기 위한 본 발명의 제 2 관점에 따른 파일 검증 시스템은, 서명자별로 선정한 대표 파일에 대해 서명자 검증을 수행하는 서명자 검증부; 상기 대표 파일에 대해 수행한 서명자 검증의 결과를 포함하는 서명자 정보를 작성하는 정보 관리부; 인터넷 연결이 제한된 네트워크로 상기 서명자 정보를 전달하여, 상기 네트워크 내에서 파일 검증 시 상기 서명자 정보를 이용하여 상기 파일에 대한 서명자의 유효성을 검증할 수 있게 하는 정보 전달부를 포함한다.A file verification system according to a second aspect of the present invention for achieving the above object includes: a signer verification unit for performing signer verification on a representative file selected for each signer; an information management unit for creating signer information including a result of signer verification performed on the representative file; and an information delivery unit that transmits the signer information to a network with limited Internet connection and verifies the validity of the signer for the file by using the signer information when verifying the file in the network.

본 발명의 실시 예들에 따르면, 서명자별로 선정한 대표 파일에 대해 높은 신뢰도를 보장하는 서명자 검증을 수행하여 그 검증 결과를 인터넷 접속이 제한된 환경에 전달하는 방식으로, 기존 PKI 인프라 역할을 대체하는 환경적 구조를 새롭게 구현하고 있다.According to embodiments of the present invention, an environmental structure that replaces the role of the existing PKI infrastructure by performing signer verification that guarantees high reliability on a representative file selected for each signer and delivering the verification result to an environment where Internet access is restricted is newly implemented.

아울러, 본 발명의 실시 예들에 따르면, 대표 파일에 대한 주기적인 서명자 검증 및 검증 결과 전달을 통해 최신으로 유지할 수 있게 한다.In addition, according to embodiments of the present invention, it is possible to maintain the latest through periodic signer verification and verification result delivery for the representative file.

이로 인해, 본 발명의 실시 예들에 따르면, PKI 인프라 역할을 대체하는 새로운 환경적 구조 구현을 기반으로, 인터넷 연결이 제한된 환경에서도 파일에 대한 검증 시 파일에 포함된 인증서에 대한 유효성(서명자 유효성) 검증까지 가능하게 하여, 높은 신뢰도로 파일 검증을 수행할 수 있는 효과를 도출한다.For this reason, according to the embodiments of the present invention, based on the implementation of a new environmental structure that replaces the role of the PKI infrastructure, validation (signer validity) of the certificate included in the file is validated when the file is verified even in an environment where Internet connection is limited. By making this possible, the effect of performing file verification with high reliability is derived.

도 1은 본 발명의 일 실시 예에 따른 파일 검증 시스템의 구성을 보여주는 구성도이다.
도 2는 본 발명의 일 실시 예에 따른 파일 검증 방법의 동작 흐름을 보여주는 흐름도이다.1 is a block diagram showing the configuration of a file verification system according to an embodiment of the present invention.
2 is a flowchart illustrating an operation flow of a file verification method according to an embodiment of the present invention.

본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시 예를 가질 수 있는 바, 특정 실시 예들을 도면에 예시하고 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다.Since the present invention can have various changes and can have various embodiments, specific embodiments are illustrated in the drawings and described in detail. However, this is not intended to limit the present invention to specific embodiments, and should be understood to include all modifications, equivalents and substitutes included in the spirit and scope of the present invention. In describing each figure, like reference numerals have been used for like elements.

어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 중간에 다른 구성요소가 존재하는 형태로 접속되어 있을 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.When a component is referred to as being “connected” or “connected” to another component, it should be understood that it may be directly connected to the other component or connected in a form in which another component is present in the middle. something to do. On the other hand, when it is said that a certain element is "directly connected" or "directly connected" to another element, it should be understood that the other element does not exist in the middle.

본 출원에서 사용한 용어는 단지 특정한 실시 예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.The terms used in the present application are only used to describe specific embodiments, and are not intended to limit the present invention. The singular expression includes the plural expression unless the context clearly dictates otherwise. In the present application, terms such as “comprise” or “have” are intended to designate that a feature, number, step, operation, component, part, or combination thereof described in the specification exists, but one or more other features It is to be understood that this does not preclude the possibility of the presence or addition of numbers, steps, operations, components, parts, or combinations thereof.

다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.Unless defined otherwise, all terms used herein, including technical or scientific terms, have the same meaning as commonly understood by one of ordinary skill in the art to which this invention belongs. Terms such as those defined in a commonly used dictionary should be interpreted as having a meaning consistent with the meaning in the context of the related art, and should not be interpreted in an ideal or excessively formal meaning unless explicitly defined in the present application. does not

이하, 첨부된 도면을 참조하여 본 발명에 대하여 설명한다.Hereinafter, the present invention will be described with reference to the accompanying drawings.

본 발명은 인증서로 서명된 파일 검증 기술에 관한 것이다.The present invention relates to a certificate-signed file verification technique.

파일을 신뢰할 수 있는지 여부를 판단하는 파일 검증의 방법으로 널리 사용되는 방법의 하나로 파일의 전자 서명을 검증하는 방법이 있다. As a method of file verification for determining whether a file is trustworthy, there is a method of verifying a digital signature of a file as one of the widely used methods.

파일의 전자 서명을 검증하는 방법은, 파일이 서명된 후 배포되는 과정에서 변조되지 않았는지 무결성을 검증하고, 파일 서명자의 인증서를 신뢰할 수 있는지 서명자의 유효성을 검증하는 과정을 거치며 서명자 유효성 검증을 위해서는 인증기관에 조회하기 위해 인터넷 연결이 필요하다.The method of verifying the digital signature of a file goes through the process of verifying the integrity of whether the file has not been tampered with in the process of being distributed after it is signed, and verifying the validity of the signer whether the file signer's certificate can be trusted. Internet connection is required to query the certification authority.

즉 기존의 파일 검증 방법으로는, 사용자가 인터넷 연결이 제한되어 있다면, 인터넷 연결이 필요한 서명자 유효성 검증을 할 수 없다. That is, with the existing file verification method, if the user has a limited Internet connection, the signer validation that requires Internet connection cannot be verified.

결국, 기존의 파일 검증 방법으로는, 인터넷 연결이 제한되는 환경에서 파일 검증 시, 파일에 포함된 인증서에 대한 유효성을 검증할 수 없기 때문에 파일의 서명 검증을 완전하게 할 수 없는 한계점을 갖는다.After all, the existing file verification method has a limitation in not being able to completely verify the signature of the file because it is impossible to verify the validity of the certificate included in the file when verifying the file in an environment where Internet connection is limited.

본 발명은, 인터넷 연결이 제한된 환경에서도, 파일에 대한 검증 시 파일에 포함된 인증서에 대한 유효성 검증이 가능하게 함으로써 파일의 서명 검증을 완전하게 수행하여 신뢰할 수 있는 검증 결과를 얻는 방법을 제안하고자 한다.The present invention proposes a method to obtain a reliable verification result by completely performing signature verification of a file by enabling validation of a certificate included in a file when verifying a file even in an environment where Internet connection is limited. .

물론, 인터넷 연결이 제한된 환경에서는, 필요한 인증서(서명자 정보)들을 복사 등의 형태로 미리 획득하여 검증하고자 하는 개별 클라이언트 내부에 설치한 후 파일에 대한 검증 시 파일에 포함된 인증서 역시 검증할 수 있도록 하는 방식도 생각해 볼 수 있을 것이다.Of course, in an environment where Internet connection is limited, the necessary certificates (signer information) are obtained in advance in the form of a copy, etc. You can also think of ways.

하지만, 이러한 방식의 경우, 인증서 설치 이후 해당 인증서가 무효화될 수 있는데 이를 확인할 수 없기 때문에, 시간에 따라서 파일에 대한 검증 시 검증 신뢰도를 보장할 수 없다는 한계로부터 완전히 벗어날 수 없다.However, in the case of this method, since the corresponding certificate may be invalidated after the installation of the certificate and it cannot be verified, it cannot be completely freed from the limitation that verification reliability cannot be guaranteed when verifying the file over time.

또는, 전술과 같이 시간에 따라 파일 검증에 대한 검증 신뢰도를 보장할 수 없는 한계점을 보완하기 위해, 파일 제작자가 아닌 별도 보안업체가 만든 파일 무결성 정보(일명, 화이트리스트)를 이용할 수도 있다.Alternatively, as described above, in order to compensate for the limitation in which verification reliability for file verification cannot be guaranteed over time, file integrity information (a.k.a., whitelist) created by a security company other than the file creator may be used.

헌데, 파일 제작자가 아닌 별도 보안업체가 만든 파일 무결성 정보 즉 화이트리스트는 개별 파일마다 각기 작성되어야 하기 때문에, 파일 검증 시 검증 신뢰도는 보장할 수 있다 하더라도, 수천만 개 이상의 화이트리스트 대상 파일에 대해 다양한 환경에서 적용하기에는 데이터 량과 파일의 업데이트 등의 문제로 효율이 떨어지는 또 다른 단점이 있다.However, since the file integrity information, that is, the whitelist created by a separate security company rather than the file creator, must be created for each individual file, even if the verification reliability can be guaranteed when verifying files, it can be used in various environments for tens of millions of whitelisted files. There is another disadvantage in that efficiency is lowered due to problems such as data amount and file update.

정리하면, 본 발명에서는, 인터넷 연결이 제한된 환경에서 파일에 대한 검증 시, 어느 시점이라도 파일 서명자에 대한 직접 검증 기반의 높은 검증 신뢰도를 보장하면서 인증서의 유효성 검증이 가능하도록 하는데 핵심이 있다.In summary, in the present invention, when verifying a file in an environment where Internet connection is limited, there is a key to enabling verification of the validity of a certificate while ensuring high verification reliability based on direct verification of the file signer at any point in time.

이하 설명에서는, 인터넷 연결이 제한된 환경의 네트워크를 내부망이라 지칭하여 설명하겠다. In the following description, a network in an environment in which Internet connection is restricted will be referred to as an internal network.

이에, 본 발명에서는, 인증서를 신뢰할 수 있는지 유효성을 검증할 때 인터넷 연결을 기본으로 하는 PKI(Public Key Infrastructure) 기반의 기존 파일 검증 방식의 한계를 극복하기 위해, PKI 인프라 역할을 대체하는 환경적 구조를 새롭게 구현하여 시점에 따라 야기될 수 있는 검증 신뢰도의 한계를 해결하고자 한다.Accordingly, in the present invention, when verifying whether a certificate is trustworthy or not, an environmental structure that replaces the PKI infrastructure role in order to overcome the limitations of the PKI (Public Key Infrastructure)-based existing file verification method based on the Internet connection is newly implemented to solve the limitations of verification reliability that may be caused by time points.

보다 구체적으로, 본 발명에서 제안하는 파일 검증 방법을 실현하는 파일 검증 시스템을 구현해내고자 한다.More specifically, it is intended to implement a file verification system that realizes the file verification method proposed in the present invention.

도 1은, 본 발명의 일 실시 예에 따른 파일 검증 시스템(400)의 구성을 보여주고 있다.1 shows a configuration of a file verification system 400 according to an embodiment of the present invention.

도 1에서는 설명의 편의상, 인터넷 연결이 제한된 네트워크 즉 내부망의 시스템으로 하나를 도시하였으나, 본 발명을 적용할 수 있는 내부망 시스템은 다수 개일 수도 있다.In FIG. 1, for convenience of explanation, one system is illustrated as a network with limited Internet connection, that is, an internal network, but there may be multiple internal network systems to which the present invention can be applied.

아울러, 도 1에서는 설명의 편의상, 내부망의 클라이언트를 하나 도시하였으나, 이는 설명의 편의를 위한 도식일 뿐 클라이언트는 다수 개일 수 있다.In addition, although one client of the internal network is illustrated in FIG. 1 for convenience of explanation, this is only a schematic diagram for convenience of explanation, and there may be a plurality of clients.

본 발명의 일 실시 예에 따른 파일 검증 시스템(400)은, 서명자검증부(120), 정보관리부(130), 정보전달부(140)를 포함할 수 있다.The file verification system 400 according to an embodiment of the present invention may include a signer verification unit 120 , an information management unit 130 , and an information delivery unit 140 .

더 나아가, 본 발명의 일 실시 예에 따른 파일 검증 시스템(400)은, 파일관리부(110), 내부 서버(200), 검증부(310)를 더 포함하여 구성될 수 있다.Furthermore, the file verification system 400 according to an embodiment of the present invention may further include a file management unit 110 , an internal server 200 , and a verification unit 310 .

결국, 본 발명의 일 실시 예에 따른 파일 검증 시스템(400)은, 전술한 구성을 통해, 파일에 대한 검증 시 어느 시점이라도 파일 서명자에 대한 직접 검증 기반의 높은 검증 신뢰도를 보장하면서 인증서의 유효성 검증이 가능하도록 하는 파일 검증 방법을 실현할 수 있다.As a result, the file verification system 400 according to an embodiment of the present invention verifies the validity of the certificate while ensuring high verification reliability based on direct verification for the file signer at any time during verification of the file through the above-described configuration. A file verification method that makes this possible can be realized.

이하에서는, 본 발명의 제안 방법을 실현하기 위한 파일 검증 시스템(400) 내 각 구성에 대해 보다 구체적으로 설명하기로 한다.Hereinafter, each configuration in the file verification system 400 for realizing the proposed method of the present invention will be described in more detail.

구체적인 설명에 앞서, 도 1에 도시된 바와 같이, 본 발명의 일 실시 예에 따른 파일 검증 시스템(400)은, 내부망 즉 인터넷 연결이 제한된 네트워크와 외부망 즉 인터넷 연결이 가능한 네트워크에 분산 구현될 수 있다.Prior to the detailed description, as shown in FIG. 1 , the file verification system 400 according to an embodiment of the present invention is to be distributed and implemented in an internal network, that is, a network in which Internet connection is limited, and an external network, that is, a network in which Internet connection is possible. can

아울러 설명의 편의상, 도 1에 도시된 바와 같이, 후술의 파일관리부(110), 서명자검증부(120), 정보관리부(130), 정보전달부(140)는 인터넷 연결이 가능한 네트워크에 구현되는 서버(100)로 지칭하겠다.In addition, for convenience of explanation, as shown in FIG. 1 , the file management unit 110 , the signer verification unit 120 , the information management unit 130 , and the information delivery unit 140 to be described later are a server implemented in a network capable of connecting to the Internet. We will refer to it as (100).

파일관리부(110)는, 서명자별로 서명 검증을 위한 대표 파일을 선정하는 기능을 담당한다.The file management unit 110 is responsible for selecting a representative file for signature verification for each signer.

보다 구체적으로 설명하면, 파일관리부(110)는, 다수 사용하는 프로그램으로부터, 각기 다른 각각의 서명자에 대해 서명자 검증을 위한 대표 파일을 선정할 수 있다.More specifically, the file management unit 110 may select a representative file for signer verification for each different signer from a program used by many.

서명자검증부(120)는, 서명자별로 선정한 대표 파일에 대해, 서명자 검증을 수행하는 기능을 담당한다.The signer verification unit 120 is responsible for performing signer verification on a representative file selected for each signer.

구체적으로 설명하면, 서명자검증부(120)는, 각기 다른 각각의 서명자에 대해, 서명자 검증을 주기적으로 수행할 수 있다. Specifically, the signer verification unit 120 may periodically perform signer verification for each different signer.

이때, 서명자검증부(120)는, 인터넷 상에서 서명자 검증을 수행할 수 있는 환경을 전제로 하며, 이에 PKI 기반의 기존 방식으로 (대표) 파일에 대해 서명자 식별정보(서명자 구분정보+공개키)를 이용해서 다양한 방식으로 서명자 검증을 수행할 수 있다.At this time, the signer verification unit 120 is premised on an environment that can perform signer verification on the Internet, and thus the signer identification information (signer identification information + public key) for the (representative) file in an existing PKI-based method. can be used to perform signer verification in various ways.

이에, 서명자검증부(120)는, 서명자별로, 대표 파일에 대해 서명자 검증을 주기적으로 수행하여 매 수행 시마다 서명자의 유효성을 재 확인하고, 그에 따른 검증 결과(검증 성공, 검증 실패), 검증 수행 시간 및 수행된 검증 결과에 대한 유효 기간을 저장할 수 있다.Accordingly, the signer verification unit 120 periodically performs signer verification on the representative file for each signer, re-verifies the validity of the signer at every execution, and the verification result (verification success, verification failure), verification execution time and a validity period for the performed verification result.

여기서, 서명자검증부(120)에서 서명자별로 수행되는 서명자 검증은 인터넷 접속을 통해 수행되는 것으로, 그 검증 결과는 매우 높은 신뢰도가 보장된다 하겠다.Here, the signer verification performed for each signer in the signer verification unit 120 is performed through an Internet connection, and the verification result is guaranteed to have very high reliability.

정보관리부(130)는, 서명자별로 선정된 대표 파일에 대해 수행한 서명자 검증의 결과를 포함하는 서명자 정보를 작성하는 기능을 담당한다.The information management unit 130 is responsible for creating signer information including a result of signer verification performed on a representative file selected for each signer.

즉, 정보관리부(130)는, 각 대표 파일에 대해 수행한 서명자 검증의 결과가 포함된 서명자 정보를 작성, 수정, 업데이트하는 등 서명자 정보를 관리할 수 있다.That is, the information management unit 130 may manage signer information such as creating, modifying, or updating signer information including the result of signer verification performed for each representative file.

구체적으로 설명하면, 정보관리부(130)는, 각 서명자의 대표 파일에 대해 서명자검증부(120)에서 수행한 서명자 검증의 검증 결과(검증 성공, 검증 실패), 서명자 검증을 수행한 검증 수행 시간, 그리고 수행한 검증 결과에 대한 유효 기간을 포함하는 서명자 정보를 작성할 수 있다.Specifically, the information management unit 130 includes the verification result (verification success, verification failure) of the signer verification performed by the signer verification unit 120 for the representative file of each signer, the verification execution time at which the signer verification is performed, And it is possible to write signer information including the validity period for the verification result performed.

즉, 정보관리부(130)는, 서명자검증부(120)에서 서명자 검증을 수행하는 매 수행 시마다, 해당 서명자 검증의 수행 시점에 구성되어 있는 전체 서명자 각각에 대한 검증 결과(검증 성공, 검증 실패), 검증 수행 시간, 유효 기간을 포함하는 서명자 정보를 작성할 수 있다.That is, the information management unit 130, each time the signer verification unit 120 performs signer verification, verification results for each of all signers configured at the time of performing the corresponding signer verification (verification success, verification failure), Signer information including verification execution time and validity period can be written.

더 나아가, 정보관리부(130)는, 서명자별로 식별번호를 부여하고 관리할 수 있다.Furthermore, the information management unit 130 may assign and manage an identification number for each signer.

정보관리부(130)에서 서명자별로 식별번호를 부여하는 방식은, 부여 규칙을 정의하기에 따라 다양할 수 있다.A method of assigning an identification number to each signer in the information management unit 130 may vary depending on the definition of the grant rule.

다양한 방식 중 일 예를 설명하면, 정보관리부(130)는, 각 서명자의 대표 파일로부터 추출되는 정보를 활용하여 서명자별로 식별번호를 부여할 수 있다.One example among various methods will be described. The information management unit 130 may assign an identification number to each signer by utilizing information extracted from a representative file of each signer.

구체적으로 설명하면, 정보관리부(130)는, 서명자에 대해 선정한 대표 파일로부터, 서명자에 대해 특정된 정보를 추출할 수 있다.Specifically, the information management unit 130 may extract information specific to the signer from the representative file selected for the signer.

즉, 정보관리부(130)는, 서명자에 대해 선정한 대표 파일에 서명된 인증서로부터 서명자에 대해 특정된 정보를 추출한다.That is, the information management unit 130 extracts information specific to the signer from the certificate signed in the representative file selected for the signer.

이처럼 대표 파일로부터 추출하는 정보는, 서명자 구분정보 및 공개키 등 서명 정보 검증에 필요한 정보로 특정될 수 있다.As such, the information extracted from the representative file may be specified as information necessary for verification of signature information, such as signer identification information and public key.

이에, 식별번호를 부여하는 일 예로서, 정보관리부(130)는, 서명자별로, 대표 파일의 추출한 정보에서 확인되는 서명자 구분정보로부터 작성된 해시값을 식별번호로써 부여할 수 있다.Accordingly, as an example of assigning an identification number, the information management unit 130 may give, for each signer, a hash value created from the signer identification information identified in the extracted information of the representative file as the identification number.

물론, 본 발명에서 서명자별로 식별번호를 부여하는 방식은, 전술의 실시 예로 제한되지 않으며 부여 규칙을 정의하기에 따라 다양하게 구현될 수 있다.Of course, the method of assigning an identification number to each signer in the present invention is not limited to the above-described embodiment and may be implemented in various ways according to defining the grant rule.

이에, 정보관리부(130)는, 서명자검증부(120)에서 서명자 검증을 수행하는 매 수행 시마다, 해당 서명자 검증의 수행 시점에 구성되어 있는 전체 서명자 각각에 대하여 식별번호로 구분되는 검증 결과(검증 성공, 검증 실패), 검증 수행 시간, 유효 기간이 포함된 서명자 정보를 작성할 수 있다.Accordingly, the information management unit 130, each time the signer verification unit 120 performs signer verification, the verification result (verification success) divided by an identification number for each of all signers configured at the time of performing the corresponding signer verification , verification failure), verification execution time, and signer information including validity period can be written.

이렇듯, 정보관리부(130)에서 작성되는 서명자 정보는, 서명자별로, 서명자에 부여된 식별번호, 대표 파일에 대한 서명자 검증의 검증 결과, 검증 수행 시간 및 유효 기간을 포함할 수 있다.As such, the signer information created by the information management unit 130 may include, for each signer, an identification number assigned to the signer, a verification result of the signer verification for a representative file, a verification execution time, and an effective period.

즉, 정보관리부(130)에서 작성되는 서명자 정보는, 서명자 검증을 수행한 시점(검증 수행 시간)에 구성되어 있는 전체 서명자에 대한 것으로, 전체 서명자를 구분하기 위한 기준으로서 각 식별번호를 사용하여, 각 식별번호 별로, 식별번호가 부여된 서명자의 대표 파일에 대한 서명자 검증의 검증 결과(검증 성공 또는 검증 실패), 검증 수행 시간, 유효 기간(예: 검증 수행 시간부터 XX 시간)을 포함하는 형태로 작성될 수 있다.That is, the signer information created in the information management unit 130 is for all signers configured at the time when signer verification is performed (verification execution time), and using each identification number as a standard for distinguishing all signers, For each identification number, the verification result (verification success or verification failure) of the signer verification for the representative file of the signer to which the identification number is given, the verification execution time, and the validity period (eg, XX hours from the verification execution time) are included. can be written

그리고, 정보관리부(130)는, 전술의 서명자 정보를 파일 형태로 작성할 수 있다.In addition, the information management unit 130 may create the above-mentioned signer information in the form of a file.

한편, 정보관리부(130)는, 새로운 서명자가 추가되어 새로운 서명자에 대한 식별번호가 부여된 경우, 이전 서명자 검증 수행 시점의 전체 서명자에 대해 이전 및 금번 서명자 검증의 수행 결과가 동일한 경우라면, 새로 추가된 서명자에 대해서만 식별번호로 구분되는 검증 결과 및 검증 수행 시간, 유효 기간을 포함하는 서명자 정보 파일을 작성할 수도 있다.On the other hand, the information management unit 130, when a new signer is added and an identification number for the new signer is given, if the results of the previous and this signer verification are the same for all signers at the time of performing the previous signer verification, a new addition It is also possible to create a signer information file including the verification result, verification execution time, and validity period, which are distinguished by identification number only for the registered signers.

또한, 정보관리부(130)는, 새로운 서명자가 추가되어 새로운 서명자에 대한 식별번호가 부여된 경우, 이전 서명자 검증 수행 시점의 전체 서명자 식별정보 중 이전 및 금번 서명자 검증의 수행 결과가 변경된 서명자가 존재하는 경우라면, 새로 추가된 서명자 및 서명자 검증의 수행 결과가 변경된 서명자에 대해서만 식별번호로 구분되는 검증 결과 및 검증 수행 시간, 유효 기간을 포함하는 서명자 정보 파일을 작성할 수도 있다.In addition, the information management unit 130, when a new signer is added and an identification number for a new signer is given, a signer whose previous and current signer verification results are changed among all the signer identification information at the time of performing the previous signer verification. If this is the case, a signer information file including a verification result distinguished by an identification number, a verification execution time, and an effective period may be created only for the newly added signer and the signer whose verification result is changed.

만약, 정보관리부(130)는, 이전 서명자 검증 수행 시점의 전체 서명자에 대해 새로 추가된 서명자도 없고 이전 및 금번 서명자 검증의 수행 결과가 동일한 경우라면, 검증 수행 시간 및 유효 기간 만을 포함하는 업데이트 용의 서명자 정보 파일을 작성할 수도 있다.If, in the case of the information management unit 130, there is no newly added signer for all signers at the time of performing the previous signer verification and the results of the previous and this signer verification are the same, the update including only the verification execution time and validity period You can also create a signer information file.

정보전달부(140)는, 정보관리부(130)에서 작성된 서명자 정보 파일을, 인증서로 서명된 파일에 대해 인증서 검증에 필요한 정보 확보가 불가능한 환경 즉 인터넷 연결이 제한된 네트워크인 내부망으로 전달하는 기능을 담당한다.The information transfer unit 140 transmits the signer information file created by the information management unit 130 to the internal network, that is, an environment in which it is impossible to secure information necessary for certificate verification for a file signed with a certificate, that is, a network with limited Internet connection. in charge

구체적인 실시 예를 설명하면, 정보전달부(140)는, 정보관리부(130)에서 작성한 서명자 정보 파일을, 내부망의 시스템 예컨대 내부 서버(200)로 전달할 수 있다. To describe a specific embodiment, the information delivery unit 140 may deliver the signer information file created by the information management unit 130 to a system of an internal network, for example, the internal server 200 .

이렇게 되면, 서명자 정보 파일은 정보전달부(140)에 의해 내부망의 내부 서버(200)로 전달되며, 내부 서버(200)에 보유될 수 있다.In this case, the signer information file is transferred to the internal server 200 of the internal network by the information transfer unit 140 , and may be retained in the internal server 200 .

본 발명에서는, 내부망의 내부 서버(200)가, 외부로부터 제공받은 정보를 통해 정기적/비정기적으로 정보 업데이트를 수행할 수 있는 점을 활용할 수 있다.In the present invention, it is possible to take advantage of the fact that the internal server 200 of the internal network can periodically/irregularly update information through information provided from the outside.

이에, 전술의 설명과 같이 정보관리부(130)에서 매 시점 및 필요한 시점에 작성한 서명자 정보 파일을 정보전달부(140)가 정기적/비정기적으로 내부 서버(200)에 전달함으로써, 내부망의 내부 서버(200)에는 최신으로 전달받는 서명자 정보 파일이 업데이트될 수 있다.Accordingly, as described above, the information transfer unit 140 periodically/irregularly delivers the signer information file created by the information management unit 130 at every point in time and at a necessary time to the internal server 200, so that the internal server of the internal network. At 200 , the latest signer information file may be updated.

한편, 서명자 정보 파일은, 인터넷 연결이 제한된 네트워크 내 구축되는 내부 서버(200)에서, 내부 서버(200)가 내부 클라이언트(300)로 정보를 제공하는 정보 제공 방식에 따라서 내부 클라이언트(300)에 제공되어 파일 검증에 활용될 수 있다.On the other hand, the signer information file is provided to the internal client 300 according to an information providing method in which the internal server 200 provides information to the internal client 300 in the internal server 200 built in a network with limited Internet connection. It can be used for file verification.

예를 들면, 내부 서버(200)는 클라이언트(300)가 정보를 질의하는 방식으로 정보(서명자 정보 파일)를 제공할 수 있고, 클라이언트(300)가 정보를 다운로드 하여 파일 검증에 활용할 수 있도록 정보(서명자 정보 파일)를 제공할 수도 있다.For example, the internal server 200 may provide information (signer information file) in such a way that the client 300 queries the information, and the client 300 downloads the information and uses the information ( signer information file).

이에, 일 예에 따르면, 클라이언트(300)는 파일에 대한 검증 시 내부 서버(200)에 질의하고, 내부 서버(200)가 서명자 정보 파일을 이용하여 금번 검증 대상의 파일에 대한 서명자의 유효성을 검증하여 그 검증 결과를 클라이언트(300)에 회신하는 방식으로, 내부망에서의 서명자 검증이 수행될 수 있다.Accordingly, according to an example, the client 300 queries the internal server 200 when verifying the file, and the internal server 200 verifies the validity of the signer for the file to be verified this time using the signer information file. In such a way that the verification result is returned to the client 300, signer verification in the internal network may be performed.

또 다른 일 예에 따르면, 각 클라이언트(300)는 파일에 대한 검증 시 내부 서버(200)로부터 서명자 정보 파일을 다운로드하여 금번 검증 대상의 파일에 대한 서명자의 유효성 검증에 활용하는 방식으로, 내부망에서의 서명자 검증이 수행될 수 있다.According to another example, each client 300 downloads the signer information file from the internal server 200 when verifying the file and uses it to verify the validity of the signer for the file to be verified this time, in the internal network. of signer verification can be performed.

보다 구체적으로 설명하면, 전술한 것처럼 내부망의 내부 서버(200)는, 서버(100)에서 작성된 서명자 정보 파일을 제공받아 보유하고 있다. More specifically, as described above, the internal server 200 of the internal network receives and holds the signer information file created by the server 100 .

그리고 본 발명에서 내부망의 각 클라이언트(300) 내 검증부(310)는, 인증서로 서명된 파일 검증 시, 해당 파일의 인증서로부터 확인되는 식별번호와 맵핑되는 검증 성공 상태의 정보가 서명자 정보 파일에서 확인되는 경우, 인증서의 서명자가 유효한 것으로 검증할 수 있다.And in the present invention, the verification unit 310 in each client 300 of the internal network, when verifying a file signed with a certificate, the identification number identified from the certificate of the file and the information of the verification success state that is mapped from the signer information file If verified, the signer of the certificate can verify that it is valid.

일 예를 들면, 클라이언트(300) 내 검증부(310)는, 클라이언트(300) 내 검증이 필요한 파일이 있을 경우, 해당 파일에 대해 무결성 검증을 수행하게 된다.For example, when there is a file that needs to be verified in the client 300 , the verification unit 310 in the client 300 performs integrity verification on the file.

이때, 검증부(310)는, 해당 파일이 인증서로 서명된 파일이라면, 기존과 같이 시스템의 서명 검증 API를 통해 해당 파일에 서명된 인증서를 이용한 파일의 변조 여부를 확인하는 전자서명 기반의 파일 무결성 검증을 수행할 수 있다.At this time, if the file is a file signed with a certificate, the verification unit 310 checks whether the file is tampered with using the certificate signed in the file through the signature verification API of the system as in the past. verification can be performed.

여기서, 검증부(310)가 수행하는 파일의 변조 여부를 확인하는 파일 무결성 검증 과정은, 클라이언트(300)의 운영체제(예: windows)에서 제공하는 API 함수를 통해 수행할 수 있으나, 검증할 파일과 동작하는 운영체제가 서로 상이할 경우엔 API 함수를 통해 해당 파일 무결성 검증 기능을 수행할 수 없으므로 별도로 파일 무결성 검증 기능을 구현하여 수행할 수도 있다.Here, the file integrity verification process of verifying whether the file has been tampered with, performed by the verification unit 310, may be performed through an API function provided by the operating system (eg, windows) of the client 300, but the file to be verified and If the operating operating systems are different from each other, the file integrity verification function cannot be performed through the API function, so the file integrity verification function can be implemented and performed separately.

이에, 검증부(310)는, 파일 무결성 검증 결과 변조가 확인되면 파일에 대한 무결성 검증 실패로 판단하여 금번 파일 검증을 실패로 종료할 것이다.Accordingly, the verification unit 310 determines that the integrity verification of the file has failed and terminates the current file verification as a failure if the file integrity verification result is tampered with.

한편, 검증부(310)는, 파일 무결성 검증 결과 변조가 없다고 확인되면, 해당 파일에 포함된 인증서로부터 해당 인증서의 서명자에게 부여된 식별번호를 확인할 수 있다. On the other hand, when it is confirmed that there is no tampering as a result of the file integrity verification, the verification unit 310 may check the identification number given to the signer of the corresponding certificate from the certificate included in the file.

구체적으로, 검증부(310)는, 해당 파일에 포함된 인증서에 포함된 서명자 구분정보와 공개키를 통해서 해당 인증서의 서명자에게 부여된 식별번호를 확인할 수 있다.Specifically, the verification unit 310 may verify the identification number given to the signer of the corresponding certificate through the signer identification information and the public key included in the certificate included in the file.

그리고, 검증부(310)는, 확인한 식별번호에 맵핑되는 검증 성공 상태의 정보가 서명자 정보 파일에 존재하는지 여부를, 내부 서버(200)에 정보 조회 방식으로 확인하거나 또는 내부 서버(200)로부터 정보 획득 방식으로 서명자 정보 파일을 획득하여 확인할 수 있다. In addition, the verification unit 310 checks whether the information of the verification success state mapped to the identified identification number exists in the signer information file by using an information inquiry method to the internal server 200 or information from the internal server 200 . You can obtain and verify the signer information file by the acquisition method.

이에, 검증부(310)는, 금번 검증 대상의 파일에 대한 식별번호와 맵핑되는 검증 성공 상태의 정보가 서명자 정보 파일에서 확인되는 경우, 금번 파일에 서명된 인증서의 서명자가 유효한 것으로 검증할 수 있다.Accordingly, the verification unit 310 may verify that the signer of the certificate signed in this file is valid when the verification success state information mapped with the identification number of the file to be verified this time is verified in the signer information file. .

더 구체적으로, 검증부(310)는, 금번 검증 대상의 파일에 대한 식별번호와 맵핑되는 검증 성공 상태의 정보가 서명자 정보 파일에서 확인되고, 그 유효 기간이 경과하지 않은 경우라면, 금번 파일에 서명된 인증서의 서명자가 유효한 것으로 검증하여 서명자 유효성 검증 성공으로 판단하고, 최종적으로 금번 파일 검증을 성공으로 종료할 수 있다. More specifically, the verification unit 310, if the verification success state information mapped with the identification number for the file to be verified this time is confirmed in the signer information file, and if the validity period has not elapsed, the verification unit 310 signs the file this time. By verifying that the signer of the certified certificate is valid, it is determined that the signer validation is successful, and finally, this file verification can be ended as a success.

한편, 검증부(310)는, 금번 검증 대상의 파일에 대한 식별번호와 맵핑되는 검증 성공 상태의 정보가 서명자 정보 파일에서 확인되지 않거나 확인되더라도 그 유효 기간이 경과한 경우라면, 금번 파일에 서명된 인증서의 서명자가 유효하지 않은 것으로 검증하여 서명자 유효성 검증 실패로 판단하고, 금번 파일 검증을 실패로 종료할 것이다.On the other hand, the verification unit 310, if the information of the verification success state mapped with the identification number for the file to be verified this time is not confirmed in the signer information file or if the validity period has elapsed, the file is signed By verifying that the signer of the certificate is invalid, it is judged as a signer validation failure, and this time file validation will be terminated as a failure.

더 나아가, 검증부(310)는, 최종적으로 검증 성공으로 판단한 파일을, 인증서에 대한 유효성(서명자 유효성) 검증까지 무결성 검증을 마친 화이트리스트로 등록/관리할 수 있다. Furthermore, the verification unit 310 may register/manage the file finally determined as successful verification as a whitelist that has completed integrity verification up to the validity (signer validity) verification of the certificate.

내부망 등 인터넷을 통해 서명자 유효성 검증이 이뤄질 수 없는 네트워크에서는, 서명자 유효성 검증을 수행하지 않고 파일에 서명된 인증서를 이용한 무결성 검증만 수행할 경우, 악성코드 공격자가 유명한 프로그램 서명을 가장하여 서명한 파일, 또는 유효하지 않은 서명으로 작성된 파일, 악성코드 제작자가 서명한 파일 등이 화이트리스트로 등록되는 심각한 문제가 발생할 수 있다.In a network where signer validation cannot be performed through the Internet, such as an internal network, if only integrity validation using a certificate signed on a file is performed without signer validation, a file signed by a malicious code attacker masquerading as a famous program signature , or files written with invalid signatures, files signed by malicious code authors, etc. may be registered as a whitelist.

하지만 본 발명에 따르면, 인터넷 접속이 제한된 네트워크에서도 서명자 유효성 검증까지 수행한 무결성 검증된 파일 만이 화이트리스트로 등록되기 때문에, 가장된 서명, 유효하지 않은 서명, 악성코드 제작자 서명의 파일이 화이트리스트로 오 등록/관리되는 일을 회피할 수 있다.However, according to the present invention, since only integrity-verified files that have performed signer validation even in a network where Internet access is restricted are registered as a whitelist, files of impersonated signatures, invalid signatures, and malicious code producer signatures are returned to the whitelist. You can avoid being registered/managed.

이상 설명한 바와 같이, 본 발명에서는, 서명자별로 선정한 대표 파일에 대해 높은 신뢰도를 보장하는 서명자 검증을 주기적으로 수행하여 그 검증 결과(서명자 정보 파일)를 인터넷 접속이 제한된 환경(예: 내부망)에 전달 및 최신 업데이트로 유지할 수 있게 하는 방식으로, 기존 PKI 인프라 역할을 대체하는 환경적 구조를 새롭게 구현하고 있다.As described above, in the present invention, signer verification that guarantees high reliability for a representative file selected by each signer is periodically performed, and the verification result (signer information file) is delivered to an environment where Internet access is restricted (eg, an internal network) And in a way that allows it to be kept up to date with the latest updates, it is implementing a new environmental structure that replaces the existing PKI infrastructure role.

그리고, 본 발명에서는, 전술과 같이 PKI 인프라 역할을 대체하는 새로운 환경적 구조 구현을 기반으로, 인터넷 연결이 제한된 환경에서도 파일에 대한 검증 시 파일에 포함된 인증서에 대한 유효성(서명자 유효성) 검증까지 가능하게 하여, 검증 시점과 무관하게 파일 서명자에 대한 직접 검증 기반의 높은 신뢰도를 보장하는 파일 검증 기술(방법)을 실현하고 있다.And, in the present invention, based on the implementation of a new environmental structure that replaces the PKI infrastructure role as described above, even in an environment where Internet connection is restricted, validation of the certificate included in the file (signer validity) is possible even when the file is verified. Thus, a file verification technology (method) that guarantees high reliability based on direct verification of the file signer is realized regardless of the verification time.

PKI 기반의 기존 파일 검증 방식은, 개별 파일 마다 파일에 포함된 인증서를 인터넷을 통해 서명자 유효성 검증을 수행하거나 검증에 필요한 인증서 및 상위 연대 서명 인증서를 시스템에 설치하는 방법을 통해 수행한다. 이 과정에서 명의가 도용된 위조 인증서가 설치될 수 있는 문제가 발생할 수 있다.The existing file verification method based on PKI performs signer validation on the certificate included in the file for each individual file through the Internet, or by installing a certificate required for verification and a higher-level co-signed certificate in the system. In this process, a problem may arise in which a forged certificate with stolen identity may be installed.

또한, PKI 기반의 기존 파일 검증 방식은, 검증 대상의 파일이 다수 존재하는 상황에서 개별 파일을 각각 검증을 해야 하고, 내부망 등에서 서명 검증에 필요한 인증서 및 연대 서명 인증서를 모두 확보하여 설치하는 것은 사실상 불가능하다.In addition, in the existing PKI-based file verification method, each file must be verified in a situation where there are multiple files to be verified. impossible.

하지만, 본 발명의 파일 검증 방법에 따르면, 인터넷을 통한 서명자 검증을 서명자의 대표 파일로만 진행하되 내부망에서는 대표 파일이 아니더라도 동일 인증서가 사용된 개별 파일에 대해 서명자 유효성을 검증할 수 있기 때문에, 인터넷을 통해 개별 파일 마다 수행하던 서명자 유효성 검증 수행을 획기적으로 줄이면서도 인증서 검증이 불가능한 내부망 등에서 발생하는 위조 인증서 무단 설치에 따른 문제를 해결할 수 있다.However, according to the file verification method of the present invention, since the signer verification through the Internet is performed only with the representative file of the signer, but not the representative file in the internal network, the validity of the signer can be verified for individual files in which the same certificate is used. Through this, it is possible to significantly reduce the signer validation performed for each individual file, and to solve the problem of unauthorized installation of forged certificates that occur in internal networks where certificate verification is impossible.

이렇듯, 본 발명에서는, PKI 인프라 역할을 대체하는 새로운 환경적 구조 구현을 기반으로, 인터넷 연결이 제한되는 환경에서도 파일에 대한 검증 시 파일에 포함된 인증서에 대한 유효성(서명자 유효성) 검증까지 가능하게 할 뿐 아니라, PKI 기반의 기존 방식이 갖는 한계들, 예컨대 개별 파일 단위로 인터넷을 통해 검증이 이루어지는 점, 클라이언트 운영체제(예: windows는 windows에서만 수행)에 종속적인 검증이 이루어지는 점을 개선하여, 인터넷을 통한 서명자 유효성 검증 수행을 획기적으로 줄이며 운영체제에 종속되지 않고 파일에 대한 서명자 검증을 수행할 수 있는 효과까지 도출한다.As such, in the present invention, based on the implementation of a new environmental structure that replaces the PKI infrastructure role, even in an environment where Internet connection is limited, validation of the certificate included in the file (signer validity) can be verified when the file is verified. In addition, by improving the limitations of the existing PKI-based method, such as the point that verification is performed through the Internet in units of individual files, and the point that verification is dependent on the client operating system (eg, windows is performed only on windows), the Internet Significantly reduces signer validation through the system and even derives the effect of performing signer validation on files without being dependent on the operating system.

특히 본 발명에서는, 인터넷 연결이 제한되는 환경에서도, 검증 시점과 무관하게 파일 서명자에 대한 직접 검증 기반으로 하는 높은 신뢰도로 파일 검증을 수행할 수 있도록 한다.In particular, in the present invention, even in an environment where Internet connection is limited, file verification can be performed with high reliability based on direct verification of the file signer regardless of the verification time.

이하에서는, 도 2를 참조하여, 본 발명의 파일 검증 방법의 동작 흐름에 대해 구체적인 실시 예를 설명하겠다.Hereinafter, with reference to FIG. 2, a specific embodiment of the operation flow of the file verification method of the present invention will be described.

설명의 편의상, 본 발명의 파일 검증 방법이 수행되는 동작 주체로서 파일 검증 시스템(400)를 언급하여 설명하겠다.For convenience of description, the file verification system 400 will be referred to as an operating subject for performing the file verification method of the present invention.

본 발명의 파일 검증 방법에서 파일 검증 시스템(400)은, 서명자별로 대표 파일을 선정하고, 서명자별로 식별번호를 부여하여 관리한다(S10).In the file verification method of the present invention, the file verification system 400 selects a representative file for each signer, assigns an identification number to each signer, and manages (S10).

구체적으로, 파일 검증 시스템(400)은, 다수 사용하는 프로그램으로부터, 각기 다른 각각의 서명자에 대해 서명자 검증을 위한 대표 파일을 선정할 수 있다.Specifically, the file verification system 400 may select a representative file for signer verification for each different signer from a program that is used by many.

그리고, 파일 검증 시스템(400)은, 서명자별로 식별번호를 부여하고 관리할 수 있다.In addition, the file verification system 400 may assign and manage an identification number for each signer.

파일 검증 시스템(400)에서 서명자별로 식별번호를 부여하는 방식은, 부여 규칙을 정의하기에 따라 다양할 수 있다.A method of assigning an identification number to each signer in the file verification system 400 may vary according to defining the grant rule.

다양한 방식 중 일 예를 설명하면, 파일 검증 시스템(400)은, 각 서명자의 대표 파일로부터 추출되는 정보를 활용하여 서명자별로 식별번호를 부여할 수 있다.One example among various methods is described, the file verification system 400 may assign an identification number to each signer by utilizing information extracted from a representative file of each signer.

구체적으로 설명하면, 파일 검증 시스템(400)은, 서명자에 대해 선정한 대표 파일로부터, 서명자에 대해 특정된 정보를 추출할 수 있다.Specifically, the file verification system 400 may extract information specific to the signer from the representative file selected for the signer.

이때, 파일 검증 시스템(400)은, 대표 파일에 서명된 인증서가 있다면 인증서로부터 해당 정보를 추출할 수 있다.In this case, the file verification system 400 may extract corresponding information from the certificate if there is a signed certificate in the representative file.

이처럼 대표 파일로부터 추출하는 정보는, 서명자 구분정보 및 공개키 등 서명 정보 검증에 필요한 정보로 특정될 수 있다.As such, the information extracted from the representative file may be specified as information necessary for verification of signature information, such as signer identification information and public key.

이에, 식별번호를 부여하는 일 예로서, 파일 검증 시스템(400)은, 서명자별로, 대표 파일의 추출한 정보에서 확인되는 서명자 구분정보로부터 작성된 해시값을 식별번호로써 부여할 수 있다. Accordingly, as an example of assigning an identification number, the file verification system 400 may give, for each signer, a hash value created from the signer identification information identified in the extracted information of the representative file as the identification number.

이에, 파일 검증 시스템(400)은, 서명자별로, 대표 파일 및 식별번호를 부여하여 관리할 수 있다.Accordingly, the file verification system 400 may manage by assigning a representative file and an identification number to each signer.

그리고, 본 발명의 파일 검증 방법에서 파일 검증 시스템(400)은, 서명자별로 선정한 대표 파일에 대해 서명자 검증을 수행한다(S20).And, in the file verification method of the present invention, the file verification system 400 performs signer verification on the representative file selected for each signer (S20).

구체적으로 설명하면, 파일 검증 시스템(400)은, 인터넷 접속을 기반으로, 각기 다른 각각의 서명자에 대해 서명자 검증을 주기적으로 수행할 수 있다. Specifically, the file verification system 400 may periodically perform signer verification for each different signer based on an Internet connection.

이에, 파일 검증 시스템(400)은, 서명자별로, 대표 파일에 대해 서명자 검증을 주기적으로 수행하여 매 수행 시마다 서명자의 유효성을 재 확인하고, 그에 따른 검증 결과(검증 성공, 검증 실패), 검증 수행 시간 및 수행된 검증 결과에 대한 유효 기간을 저장할 수 있다.Accordingly, the file verification system 400 periodically performs signer verification on the representative file for each signer, reconfirms the validity of the signer every time it is performed, and the verification result (verification success, verification failure), verification execution time accordingly and a validity period for the performed verification result.

그리고, 본 발명의 파일 검증 방법에서 파일 검증 시스템(400)은, S20단계에서 수행한 서명자 검증의 결과가 포함된 서명자 정보를 작성, 수정, 업데이트하는 등 서명자 정보를 관리할 수 있다.And, in the file verification method of the present invention, the file verification system 400 may manage signer information such as creating, modifying, and updating signer information including the result of the signer verification performed in step S20.

구체적으로 설명하면, 파일 검증 시스템(400)은, S20단계에서 서명자의 대표 파일에 대해 수행한 서명자 검증의 검증 결과(검증 성공, 검증 실패), 서명자 검증을 수행한 검증 수행 시간, 그리고 금번 수행한 검증 결과에 대한 유효 기간을 포함하는 서명자 정보를 작성할 수 있다(S30).Specifically, the file verification system 400 is the verification result (verification success, verification failure) of the signer verification performed on the representative file of the signer in step S20, the verification execution time at which the signer verification is performed, and the time performed this time. Signer information including the validity period for the verification result may be created (S30).

즉, 파일 검증 시스템(400)은, 서명자 검증을 수행하는 매 수행 시마다, 해당 서명자 검증의 수행 시점에 구성되어 있는 전체 서명자 각각에 대하여 식별번호로 구분되는 검증 결과(검증 성공, 검증 실패), 검증 수행 시간, 유효 기간(예: 검증 수행 시간부터 XX 시간)이 포함된 서명자 정보를 작성할 수 있다.That is, the file verification system 400 performs verification results (verification success, verification failure), which are distinguished by identification numbers for each of all signers configured at the time of performing the signer verification, every time the signer verification is performed. You can write signer information including execution time and validity period (eg XX hours from the time the verification was performed).

그리고, 파일 검증 시스템(400)은, 전술의 서명자 정보를 파일 형태로 작성할 수 있다.And, the file verification system 400 may create the above-mentioned signer information in the form of a file.

그리고, 본 발명의 파일 검증 방법에서 파일 검증 시스템(400)은, S30단계에서 작성된 서명자 정보 파일을, 인증서로 서명된 파일에 대해 인증서 검증에 필요한 정보 확보가 불가능한 환경 즉 인터넷 연결이 제한된 네트워크인 내부망으로 전달할 수 있다(S40).And, in the file verification method of the present invention, the file verification system 400 transmits the signer information file created in step S30 to an environment in which it is impossible to secure information necessary for certificate verification for a file signed with a certificate, that is, an internal network in which Internet connection is restricted. It can be transmitted to the network (S40).

구체적인 실시 예를 설명하면, 파일 검증 시스템(400)은, S30단계에서 작성한 서명자 정보 파일을, 내부망의 시스템 예컨대 내부 서버(200)로 전달할 수 있다. To describe a specific embodiment, the file verification system 400 may deliver the signer information file created in step S30 to a system of an internal network, for example, the internal server 200 .

이렇게 되면, 서명자 정보 파일은 파일 검증 시스템(400)에서 내부망의 내부 서버(200)로 전달되어, 내부 서버(200)가 내부 클라이언트(300)로 정보를 제공하는 정보 제공 방식에 따라 내부 클라이언트(300)에 제공되어 파일 검증에 활용될 수 있다.In this case, the signer information file is transferred from the file verification system 400 to the internal server 200 of the internal network, and according to the information providing method in which the internal server 200 provides information to the internal client 300, the internal client ( 300) and can be used for file verification.

예를 들면, 내부 서버(200)는 클라이언트(300)의 질의에 대해 응답하는 방식으로 서명자 정보를 제공할 수 있고, 클라이언트(300)가 다운로드하여 파일 검증에 활용할 수 있도록 서명자 정보를 제공할 수도 있다.For example, the internal server 200 may provide signer information in a way that responds to a query from the client 300, and may provide signer information so that the client 300 can download and use it for file verification. .

보다 구체적으로 설명하면, 내부망의 각 클라이언트(300)는, 클라이언트(300) 내 검증이 필요한 파일이 있을 경우 해당 파일에 대한 검증을 수행하게 된다(S50).More specifically, each client 300 of the internal network, when there is a file that needs to be verified in the client 300, performs verification on the file (S50).

구체적으로, 클라이언트(300)는, 검증이 필요한 해당 파일이 인증서로 서명된 파일이라면, 기존과 같이 시스템의 서명 검증 API를 통해 해당 파일에 서명된 인증서를 이용한 파일의 변조 여부를 확인하는 전자서명 기반의 파일 무결성 검증을 수행할 수 있다(S60).Specifically, if the file that needs verification is a file signed with a certificate, the client 300 uses the signature verification API of the system to check whether the file is tampered with or not through the system's signature verification API. of file integrity verification may be performed (S60).

여기서, 파일의 변조 여부를 확인하는 파일 무결성 검증 과정은, 클라이언트(300)의 운영체제(예: windows)에서 제공하는 API 함수를 통해 수행할 수 있으나, 검증할 파일과 동작하는 운영체제가 서로 상이할 경우엔 API 함수를 통해 해당 파일 무결성 검증 기능을 수행할 수 없으므로 별도로 파일 무결성 검증 기능을 구현하여 수행할 수도 있다.Here, the file integrity verification process for checking whether the file has been tampered with can be performed through an API function provided by the operating system (eg, windows) of the client 300, but when the file to be verified and the operating operating system are different from each other Since the file integrity verification function cannot be performed through the N API function, the file integrity verification function can be implemented separately.

이에, 클라이언트(300)는, 파일 무결성 검증 결과 변조가 확인되면(S60 No) 파일에 대한 무결성 검증 실패로 판단하여 금번 파일 검증을 실패로 종료할 것이다(S100).Accordingly, if the file integrity verification result is tampered with (S60 No), the client 300 determines that the file integrity verification fails and ends the file verification as a failure (S100).

한편, 클라이언트(300)는, 파일 무결성 검증 결과 변조가 없다고 확인되면(S60 Yes), 앞서 언급한 바 있듯이 내부 서버(200)와의 질의/응답의 방식 또는 다운로드 방식을 통해 서명자 검증을 수행할 수 있다(S70).On the other hand, when it is confirmed that there is no tampering as a result of file integrity verification (S60 Yes), the client 300 may perform signer verification through a query/response method or a download method with the internal server 200 as described above. (S70).

실시 예를 구체적으로 설명하면, 클라이언트(300)는, 파일 무결성 검증 결과 변조가 없다고 확인되면(S60 Yes), 해당 파일에 포함된 인증서로부터 서명자 정보를 추출하여 해당 서명자에 맵핑되는 검증 정보가 서명자 정보 파일에 존재하는지 여부를, 내부 서버(200)에 질의/응답의 방식으로 확인하거나 또는 내부 서버(200)로부터 다운로드한 서명자 정보 파일에서 확인함으로써, 서명자의 유효성을 확인할 수 있다(S80).To describe the embodiment in detail, the client 300 extracts signer information from the certificate included in the file when it is confirmed that there is no tampering as a result of the file integrity verification (S60 Yes), and the verification information mapped to the corresponding signer is the signer information The validity of the signer can be checked by checking whether the file exists in the file by asking/answering the internal server 200 or by checking the signer information file downloaded from the internal server 200 (S80).

이에, 클라이언트(300)는, 금번 검증 대상의 파일에 대한 식별번호와 맵핑되는 검증 성공 상태의 정보 즉 해당 서명자에 맵핑되는 검증 정보가 서명자 정보 파일에서 확인되며 그 유효 기간이 유효한 경우(S80 Yes), 금번 파일에 서명된 인증서의 서명자가 유효한 것으로 검증하여 서명자 유효성 검증 성공으로 판단하고, 금번 파일 검증을 성공으로 종료할 수 있다(S90). Accordingly, the client 300, when the verification information mapped to the identification number for the file of the current verification target, that is, verification information mapped to the corresponding signer, is checked in the signer information file and the validity period is valid (S80 Yes) , it is possible to verify that the signer of the certificate signed in this file is valid, determine that the signer validation is successful, and end the current file verification as a success (S90).

한편, 클라이언트(300)는, 금번 검증 대상의 파일에 대한 식별번호와 맵핑되는 검증 성공 상태의 정보가 서명자 정보 파일에서 확인되지 않거나 확인되더라도 그 유효 기간이 경과한 경우(S80 No), 금번 파일에 서명된 인증서의 서명자가 유효하지 않은 것으로 검증하여 서명자 유효성 검증 실패로 판단하고, 금번 파일 검증을 실패로 종료할 것이다(S100).On the other hand, the client 300, when the valid period has elapsed (S80 No), even if the information of the verification success state mapped with the identification number for the file to be verified this time is not confirmed in the signer information file or confirmed in the file By verifying that the signer of the signed certificate is invalid, it is determined that the signer validation has failed, and this time file verification will be terminated as a failure (S100).

이상 설명한 바와 같이, 본 발명에서는, 서명자별로 선정한 대표 파일에 대해 높은 신뢰도를 보장하는 서명자 검증을 주기적으로 수행하여 그 검증 결과(서명자 정보 파일)를 갱신하고 인터넷 접속이 제한된 환경(예: 내부망)에 전달 및 최신 업데이트로 유지할 수 있게 하는 방식으로, 기존 PKI 인프라 역할을 대체하는 환경적 구조를 새롭게 구현하고 있다.As described above, in the present invention, signer verification that guarantees high reliability for a representative file selected for each signer is periodically performed to update the verification result (signer information file), and Internet access is restricted (eg, internal network) It is implementing a new environmental structure that replaces the existing PKI infrastructure role in a way that allows it to be delivered to and kept up to date.

그리고, 본 발명에서는, 전술과 같이 PKI 인프라 역할을 대체하는 새로운 환경적 구조 구현을 기반으로, 인터넷 연결이 제한된 환경에서도 파일에 대한 검증 시 파일에 포함된 인증서에 대한 유효성(서명자 유효성) 검증까지 가능하게 하여, 검증 시점과 무관하게 파일 서명자에 대한 직접 검증 기반의 높은 신뢰도를 보장하는 파일 검증 기술(방법)을 실현하고 있다.And, in the present invention, based on the implementation of a new environmental structure that replaces the PKI infrastructure role as described above, even in an environment where Internet connection is restricted, validation of the certificate included in the file (signer validity) is possible even when the file is verified. Thus, a file verification technology (method) that guarantees high reliability based on direct verification of the file signer is realized regardless of the verification time.

본 발명의 실시 예에 따르는 파일 검증 방법은, 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.The file verification method according to an embodiment of the present invention may be implemented in the form of a program command that can be executed through various computer means and recorded in a computer-readable medium. The computer-readable medium may include program instructions, data files, data structures, etc. alone or in combination. The program instructions recorded on the medium may be specially designed and configured for the present invention, or may be known and available to those skilled in the art of computer software. Examples of the computer-readable recording medium include magnetic media such as hard disks, floppy disks and magnetic tapes, optical media such as CD-ROMs and DVDs, and magnetic such as floppy disks. - includes magneto-optical media, and hardware devices specially configured to store and execute program instructions, such as ROM, RAM, flash memory, and the like. Examples of program instructions include not only machine language codes such as those generated by a compiler, but also high-level language codes that can be executed by a computer using an interpreter or the like. The hardware device may be configured to operate as one or more software modules to perform the operations of the present invention, and vice versa.

이상과 같이 본 발명에서는 구체적인 구성 요소 등과 같은 특정 사항들과 한정된 실시 예 및 도면에 의해 설명되었으나 이는 본 발명에 대한 이해를 돕기 위해서 제공된 것일 뿐, 본 발명은 상기의 실시 예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상적인 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다.As described above, the present invention has been described with specific matters such as specific components and limited embodiments and drawings, but these are only provided to help the understanding of the present invention, and the present invention is not limited to the above embodiments, Various modifications and variations are possible from these descriptions by those of ordinary skill in the art to which the present invention pertains.

따라서, 본 발명의 사상은 설명된 실시 예에 국한되어 정해져서는 안되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등하거나 등가적 변형이 있는 모든 것들은 본 발명 사상의 범주에 속한다고 할 것이다.Therefore, the spirit of the present invention should not be limited to the described embodiments, and not only the claims to be described later, but also all those with equivalent or equivalent modifications to the claims will be said to belong to the scope of the spirit of the present invention.

400 : 파일 검증 시스템
100 : 인터넷 접속 가능한 네트워크에 구현되는 파일 검증 시스템 중 일부 장치(예: 서버)
200 : 내부 서버
300 : 클라이언트400: File Verification System
100: Some devices (e.g., servers) of the file verification system implemented in an Internet-accessible network
200 : internal server
300 : client

Claims (11)

서명자별로 선정한 대표 파일에 대해 서명자 검증을 수행하는 서명자 검증단계;
상기 대표 파일에 대해 수행한 서명자 검증의 결과를 포함하는 서명자 정보를 작성하는 정보 작성단계;
인터넷 연결이 제한된 네트워크로 상기 서명자 정보를 전달하는 정보 전달단계; 및
상기 네트워크 내에서 파일 검증 시 상기 서명자 정보를 이용하여 상기 파일에 대한 서명자의 유효성을 검증하는 파일 검증단계를 포함하는 것을 특징으로 하는 파일 검증 방법.a signer verification step of performing signer verification on a representative file selected for each signer;
an information creation step of creating signer information including a result of signer verification performed on the representative file;
an information delivery step of delivering the signer information to a network with limited Internet connection; and
and a file verification step of verifying the validity of the signer for the file by using the signer information when verifying the file in the network. 제 1 항에 있어서,
상기 서명자별로 서명 검증을 위한 대표 파일을 선정하는 파일 선정단계를 더 포함하는 것을 특징으로 하는 파일 검증 방법.The method of claim 1,
The file verification method further comprising a file selection step of selecting a representative file for signature verification for each signer. 제 1 항에 있어서,
상기 정보 작성단계는, 상기 서명자별로 식별번호를 부여하며;
상기 서명자 정보는,
상기 서명자별로, 서명자에 부여된 식별번호, 대표 파일에 대한 검증 수행 시간, 서명자 검증의 검증 결과, 검증 결과의 유효 기간을 포함하는 것을 특징으로 하는 파일 검증 방법.The method of claim 1,
In the information preparation step, an identification number is assigned to each signer;
The signer information is
For each signer, the identification number given to the signer, the verification execution time for the representative file, the verification result of the signer verification, and the validity period of the verification result are included. 제 1 항에 있어서,
상기 서명자 정보는,
상기 네트워크 내 구축되어, 내부 클라이언트로 정보를 제공하는 내부 서버에서 지원하는 정보 제공 방식에 따라 상기 내부 클라이언트에 제공되는 것을 특징으로 하는 파일 검증 방법.The method of claim 1,
The signer information is
The file verification method, characterized in that it is provided to the internal client according to an information providing method supported by an internal server that is built in the network and provides information to the internal client. 제 1 항에 있어서,
상기 파일 검증단계는,
상기 네트워크 내 클라이언트에서 인증서로 서명된 파일 검증 시, 상기 인증서로부터 확인되는 식별번호와 맵핑되는 검증 성공 상태의 정보가 상기 서명자 정보에서 확인되는 경우, 상기 인증서의 서명자가 유효한 것으로 검증하는 단계를 더 포함하는 것을 특징으로 하는 파일 검증 방법.The method of claim 1,
The file verification step is
When verifying a file signed with a certificate by a client in the network, when information on a verification success state mapped to an identification number identified from the certificate is confirmed in the signer information, verifying that the signer of the certificate is valid File verification method, characterized in that. 서명자별로 선정한 대표 파일에 대해 서명자 검증을 수행하는 서명자 검증부;
상기 대표 파일에 대해 수행한 서명자 검증의 결과를 포함하는 서명자 정보를 작성하는 정보 관리부;
인터넷 연결이 제한된 네트워크로 상기 서명자 정보를 전달하여, 상기 네트워크 내에서 파일 검증 시 상기 서명자 정보를 이용하여 상기 파일에 대한 서명자의 유효성을 검증할 수 있게 하는 정보 전달부를 포함하는 것을 특징으로 하는 파일 검증 시스템.a signer verification unit that performs signer verification on a representative file selected for each signer;
an information management unit for creating signer information including a result of signer verification performed on the representative file;
and an information delivery unit that delivers the signer information to a network with limited Internet connection and verifies the validity of the signer for the file using the signer information when verifying the file within the network. system. 제 6 항에 있어서,
상기 서명자별로 서명 검증을 위한 대표 파일을 선정하는 파일 관리부를 더 포함하며;
상기 정보 관리부는,
상기 서명자별로 식별번호를 부여하는 것을 특징으로 하는 파일 검증 시스템.7. The method of claim 6,
a file management unit for selecting a representative file for signature verification for each signer;
The information management unit,
A file verification system, characterized in that an identification number is assigned to each signer. 제 7 항에 있어서,
상기 정보 관리부에서 작성하는 서명자 정보에는,
상기 서명자별로 부여한 식별번호가 포함되는 것을 특징으로 하는 파일 검증 시스템.8. The method of claim 7,
In the signer information created by the information management unit,
File verification system, characterized in that the identification number assigned to each signer is included. 제 6 항에 있어서,
상기 서명자 정보는,
상기 네트워크 내 구축되어, 내부 클라이언트로 정보를 제공하는 내부 서버에서 지원하는 정보 제공 방식에 따라 상기 내부 클라이언트에 제공되는 것을 특징으로 하는 파일 검증 시스템.7. The method of claim 6,
The signer information is
The file verification system, which is built in the network and provided to the internal client according to an information providing method supported by an internal server that provides information to the internal client. 제 6 항에 있어서,
상기 네트워크 내 클라이언트에서 인증서로 서명된 파일 검증 시, 상기 인증서로부터 확인되는 식별번호와 맵핑되는 검증 성공 상태의 정보가 상기 서명자 정보에서 확인되는 경우, 상기 인증서의 서명자가 유효한 것으로 검증하는 검증부를 더 포함하는 것을 특징으로 하는 파일 검증 시스템.7. The method of claim 6,
When the client in the network verifies a file signed with a certificate, when information on a verification success state mapped to an identification number identified from the certificate is confirmed in the signer information, further comprising a verification unit that verifies that the signer of the certificate is valid File verification system, characterized in that. 제 1 항 내지 제 5 항 중 어느 한 항의 방법을 수행하는 프로그램을 기록한 컴퓨터 판독 가능 기록 매체.A computer-readable recording medium recording a program for performing the method of any one of claims 1 to 5.
KR1020210056503A 2021-04-30 2021-04-30 File verification system and file verification method KR102549300B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020210056503A KR102549300B1 (en) 2021-04-30 2021-04-30 File verification system and file verification method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210056503A KR102549300B1 (en) 2021-04-30 2021-04-30 File verification system and file verification method

Publications (2)

Publication Number Publication Date
KR20220149202A true KR20220149202A (en) 2022-11-08
KR102549300B1 KR102549300B1 (en) 2023-06-30

Family

ID=84041393

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210056503A KR102549300B1 (en) 2021-04-30 2021-04-30 File verification system and file verification method

Country Status (1)

Country Link
KR (1) KR102549300B1 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013516685A (en) * 2010-01-11 2013-05-13 シントリクス インフォメーション セキュリティ テクノロジーズ リミテッド System and method for enforcing computer policy
WO2017047087A1 (en) * 2015-09-17 2017-03-23 日本電気株式会社 Data inspection system, data inspection method, and storage medium storing program therefor
KR20170137534A (en) * 2016-06-03 2017-12-13 주식회사 케이티 Apparatus and method for controlling file backup

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013516685A (en) * 2010-01-11 2013-05-13 シントリクス インフォメーション セキュリティ テクノロジーズ リミテッド System and method for enforcing computer policy
WO2017047087A1 (en) * 2015-09-17 2017-03-23 日本電気株式会社 Data inspection system, data inspection method, and storage medium storing program therefor
KR20170137534A (en) * 2016-06-03 2017-12-13 주식회사 케이티 Apparatus and method for controlling file backup

Also Published As

Publication number Publication date
KR102549300B1 (en) 2023-06-30

Similar Documents

Publication Publication Date Title
US11349674B2 (en) Digital certificate management method and apparatus, computer device, and storage medium
KR102469024B1 (en) Digital certificate verification method and apparatus, computer device, and storage medium
KR101979586B1 (en) IoT DEVICE MANAGED BASED ON BLOCK CHAIN, SYSTEM AND METHOD THEREOF
JP7060362B2 (en) Event certificate for electronic devices
US8549326B2 (en) Method and system for extending encrypting file system
CN109768954B (en) Method and apparatus for integrity protection system supported by blockchain
CN110915183A (en) Block chain authentication via hard/soft token validation
CN111066016B (en) Application certificate
CN108696356B (en) Block chain-based digital certificate deleting method, device and system
JP2022529689A (en) Version history management using blockchain
CN112291375B (en) Internet of things equipment security access control method, Internet of things equipment and Internet of things system
CN113312326B (en) Method, electronic device and computer program product for storage management
KR20190120559A (en) System and Method for Security Provisioning based on Blockchain
CN109918451B (en) Database management method and system based on block chain
KR20190045754A (en) Method for managing license of software based on blockchain, and license management server using the same
US10158623B2 (en) Data theft deterrence
US11615168B2 (en) Method and system for generating and verifying licenses with multiple signatures
JP2019008738A (en) Verification device
KR20220149202A (en) File verification system and file verification method
CN110602092B (en) Method for only allowing designated IP to update website based on process forwarding
KR102019507B1 (en) Method and system for digital certificate for browser
CN112559484A (en) Method, apparatus and computer program product for managing data objects
US11687656B2 (en) Secure application development using distributed ledgers
KR102567514B1 (en) Method and device for updating iot device software based by blockchain p2p network
KR102602230B1 (en) Method and system for authenticating client device

Legal Events

Date Code Title Description
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant