WO2023191216A1 - 데이터 암호화 및 복호화 시스템, 방법 - Google Patents

Abstract

컴퓨팅 시스템에서 수행되는 데이터 암호화 방법은 송신 대상 데이터를 임의의 개수의 블록으로 분할하는 단계; 상기 분할된 복수 개의 블록 중 암호키 추출에 사용할 암호키 생성 대상 블록을 선정하는 단계; 상기 암호키 생성 대상 블록에 기초하여 암호키를 생성하는 단계; 상기 암호키 생성 대상 블록을 제외한 잔여 블록 중 암호화 대상 블록을 선정하는 단계; 및 상기 생성된 암호키를 기반으로 상기 암호화 대상 블록을 암호화하는 단계를 포함한다.

Description

데이터 암호화 및 복호화 시스템, 방법

본 발명은 데이터 보안 기술에 관한 것으로서, 보다 구체적으로는 데이터 암호화 및 복호화를 위한 시스템 및 방법에 관한 것이다.

근래 들어, 통신 및 컴퓨팅 리소스의 발달로 인해 다양한 컴퓨팅 서비스는 우리에게 많은 영향을 주고 있다. 하지만, 네트워크를 이용해서 데이터를 송수신하는 컴퓨팅 서비스는 그로 인해 많은 보안성 문제를 가지게 된다.

특히, 네트워크의 발달로 인하여 언제, 어디서나 필요한 데이터를 송수신할 수 있으며, 데이터의 읽기, 쓰기, 수정 등이 점차 자유로워지고 있다. 이는 반대로 네트워크를 통해 언제나 다른 누군가에게 정보가 노출될 수 있음을 의미한다.

일반적으로 중요한 데이터라면 전체 내용을 암호화하면 된다. 하지만, 전체 내용을 암호화하는 경우에는 데이터의 암호화 및 복호화에 매우 많은 오버헤드가 걸리게 되는 문제가 있다. 또한, 데이터를 암호화 및 복호화를 위해서는 상호 간에 키를 주고받아야 하는데, 중간에 악의적으로 키를 절취함으로 데이터가 위변조될 수도 있다. 이러한 보안상의 취약점을 개선하기 위해 다양한 키관리 방법을 사용할 수 있지만, 이는 관리 오버헤드를 증가시키고, 키 누출에 대한 위험성은 완전히 해결할 수 없는 문제가 있다.

본 발명이 해결하고자 하는 과제는 송신단 및 수신단에서의 데이터를 암호화 및 복호화하는 시스템 및 방법을 제공하는 것이다.

다만, 본 발명이 해결하고자 하는 과제는 상기된 바와 같은 과제로 한정되지 않으며, 또다른 과제들이 존재할 수 있다.

상술한 과제를 해결하기 위한 본 발명의 제1 측면에 따른 송신단에서의 데이터 암호화 방법은 송신 대상 데이터를 임의의 개수의 블록으로 분할하는 단계; 상기 분할된 복수 개의 블록 중 암호키 추출에 사용할 암호키 생성 대상 블록을 선정하는 단계; 상기 암호키 생성 대상 블록에 기초하여 암호키를 생성하는 단계; 상기 암호키 생성 대상 블록을 제외한 잔여 블록 중 암호화 대상 블록을 선정하는 단계; 및 상기 생성된 암호키를 기반으로 상기 암호화 대상 블록을 암호화하는 단계를 포함한다.

또한, 본 발명의 제2 측면에 따른 수신단에서의 데이터 복호화 방법은 송신단으로부터 송신되는 수신 대상 데이터를 수신하는 단계; 상기 수신 대상 데이터를 상기 송신단과 기 공유된 암호화 규약 정보에 따른 복수 개의 블록으로 분할하는 단계; 상기 암호화 규약 정보에 기초하여 상기 분할된 복수 개의 블록 중 복호키 추출에 사용할 복호키 생성 대상 블록을 선택하는 단계; 상기 복호키 생성 대상 블록에 기초하여 복호키를 생성하는 단계; 및 상기 생성된 복호키를 기반으로 상기 복호키 생성 대상 블록을 제외한 잔여 블록을 대상으로 복호화하여 상기 수신 대상 데이터를 복원하는 단계를 포함한다.

상술한 과제를 해결하기 위한 본 발명의 다른 면에 따른 컴퓨터 프로그램은, 하드웨어인 컴퓨터와 결합되어 데이터 암호화 및 복호화 방법을 실행하며, 컴퓨터 판독가능 기록매체에 저장된다.

본 발명의 기타 구체적인 사항들은 상세한 설명 및 도면들에 포함되어 있다.

전술한 본 발명의 일 실시예에 의하면, 송수신 대상 데이터에 대한 암호화 및 복호화 과정에서 키의 전달 또는 공유 과정을 생략함으로써, 제3자에 의한 악의적인 데이터 절취를 방지할 수 있어 데이터 보안성을 더욱 향상시킬 수 있다.

또한, 송수신 대상 데이터의 연속적인 상관관계를 기반으로 해시값을 생성 및 비교함으로써 연속적인 데이터 중 특정 데이터가 누락 또는 제거되는 위변조 행위를 감지할 수 있는 장점이 있다.

본 발명의 효과들은 이상에서 언급된 효과로 제한되지 않으며, 언급되지 않은 또 다른 효과들은 아래의 기재로부터 통상의 기술자에게 명확하게 이해될 수 있을 것이다.

도 1은 본 발명의 일 실시예에 따른 데이터 암호화 및 복호화 방법이 구현되는 컴퓨터 시스템의 구성을 설명하기 위한 예시도이다.

도 2는 본 발명의 일 실시예에 따른 송신단에서의 데이터 암호화 방법의 순서도이다.

도 3은 본 발명의 일 실시예에 따른 송신단에서의 송신 대상 데이터를 암호화하는 일 예시를 도시한 도면이다.

도 4는 본 발명의 일 실시예에 따른 수신단에서의 데이터 복호화 방법의 순서도이다.

도 5는 본 발명의 일 실시예에 따른 데이터 위변조 검증 방법의 순서도이다.

도 6은 데이터 위변조 방지 방법의 일 예시를 설명하기 위한 도면이다.

도 7은 송수신 대상 데이터 중 위변조를 감지하는 일 예시를 설명하기 위한 도면이다.

본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나, 본 발명은 이하에서 개시되는 실시예들에 제한되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술 분야의 통상의 기술자에게 본 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다.

본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 및/또는 "포함하는(comprising)"은 언급된 구성요소 외에 하나 이상의 다른 구성요소의 존재 또는 추가를 배제하지 않는다. 명세서 전체에 걸쳐 동일한 도면 부호는 동일한 구성 요소를 지칭하며, "및/또는"은 언급된 구성요소들의 각각 및 하나 이상의 모든 조합을 포함한다. 비록 "제1", "제2" 등이 다양한 구성요소들을 서술하기 위해서 사용되나, 이들 구성요소들은 이들 용어에 의해 제한되지 않음은 물론이다. 이들 용어들은 단지 하나의 구성요소를 다른 구성요소와 구별하기 위하여 사용하는 것이다. 따라서, 이하에서 언급되는 제1 구성요소는 본 발명의 기술적 사상 내에서 제2 구성요소일 수도 있음은 물론이다.

다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술분야의 통상의 기술자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있을 것이다. 또한, 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다.

도 1은 본 발명의 일 실시예에 따른 데이터 암호화 및 복호화 방법이 구현되는 컴퓨터 시스템(100)의 구성을 설명하기 위한 예시도이다. 한편, 본 발명의 실시예에 따른 데이터 암호화 및 복호화 방법은 컴퓨터 시스템(100)에서 구현되거나, 또는 기록매체에 기록될 수 있다.

도 1에 도시된 바와 같이, 컴퓨터 시스템(100)은 적어도 하나 이상의 프로세서(110)와, 메모리(120)와, 데이터 통신 버스(130)와, 저장소(140)와, 사용자 입력 장치(150)와, 사용자 출력 장치 (160)를 포함할 수 있다. 전술한 각각의 구성 요소는 데이터 통신 버스(130)를 통해 데이터 통신을 한다.

컴퓨터 시스템(100)은 네트워크(180)에 연결된 네트워크 인터페이스(170)를 더 포함할 수 있다. 상기 프로세서(110)는 중앙처리 장치(central processing unit (CPU))이거나, 혹은 메모리(130) 및/또는 저장소(140)에 저장된 명령어를 처리하는 반도체 장치일 수 있다.

상기 메모리(120) 및 상기 저장소(140)는 다양한 형태의 휘발성 혹은 비휘발성 저장매체를 포함할 수 있다. 예컨대, 상기 메모리(120)는 ROM(123) 및 RAM(126)을 포함할 수 있다.

따라서, 본 발명의 실시예에 따른 데이터 암호화 및 복호화 방법은 컴퓨터에서 실행 가능한 방법으로 구현될 수 있다. 본 발명의 실시예에 따른 데이터 암호화 및 복호화 방법이 컴퓨터 장치에서 수행될 때, 컴퓨터로 판독 가능한 명령어들이 본 발명에 따른 운영 방법을 수행할 수 있다.

한편, 상술한 본 발명에 따른 데이터 암호화 및 복호화 방법은 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현되는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록 매체로는 컴퓨터 시스템(100)에 의하여 해독될 수 있는 데이터가 저장된 모든 종류의 기록 매체를 포함한다. 예를 들어, ROM(Read Only Memory), RAM(Random Access Memory), 자기 테이프, 자기 디스크, 플래시 메모리, 광 데이터 저장장치 등이 있을 수 있다. 또한, 컴퓨터로 판독 가능한 기록매체는 컴퓨터 통신망으로 연결된 컴퓨터 시스템(100)에 분산되어, 분산방식으로 읽을 수 있는 코드로서 저장되고 실행될 수 있다

본 발명의 일 실시예에 따른 데이터 암호화 및 복호화 방법을 수행하는 컴퓨터 시스템(100)은 데이터의 암호화를 수행하는 인코더와 복호화를 수행하는 디코더를 공급한다. 즉, 컴퓨터 시스템(100)은 데이터를 암호화하고자 하는 송신 대상 단말(이하, 송신단)로 인코더 API를 제공하며, 인코더에 의해 암호화된 데이터를 복호화하고자 하는 수신 대상 단말(이하, 수신단)로 디코더 API를 제공한다.

일 예로, 송신단 및 수신단은 스마트폰, 카메라, 블랙박스, 태블릿 PC 또는 노트북 등 다양한 기기가 그 대상일 수 있으며, 해당 디지털 기기의 데이터 보안을 위해 적용될 수 있다. 또한, 본 발명에서의 송수신 대상 데이터는 문자 메시지, 정지 영상 데이터, 동영상 데이터, 음성 데이터, 개인정보 데이터 및 음성 데이터 중 적어도 하나를 포함할 수 있다. 즉, 일 데이터는 서버 또는 단말 내 보안성을 부가하기 위한 데이터일 수 있다. 본 발명의 설명에서 송수신 대상 데이터는 복수의 프레임으로 구성되는 동영상 데이터인 것으로 예를 들어 설명하도록 한다.

본 발명의 일 실시예는 송신단에 의해 생성된 암호 규약 정보를 수신단이 서로 공유하는 것을 특징으로 하며, 이러한 기술적 특징에 따라 송신단과 수신단은 서로 암호키 및 복호키, 즉 대칭키를 주고받지 않는 것을 특징으로 한다.

이처럼 본 발명의 일 실시예는 데이터 전송시 키를 전달하거나 공유하지 않음으로써, 제3자에 의하여 중간에 키가 절취되어 데이터가 유출되는 보안 문제를 해소할 수 있다.

한편, 본 발명의 일 실시예에서 인코더는 송신단에 구비되며 디코더는 수신단에 구비된다. 인코더의 입력 파라미터는 송신 대상 데이터이고, 출력 데이터는 암호화된 송신 대상 데이터가 된다. 디코더의 입력 파라미터는 암호화된 송신 대상 데이터(이를 수신 대상 데이터라 지칭하도록 한다)이고, 출력데이터는 복호화된 수신 대상 데이터가 된다.

이하에서는 도 2 내지 도 4를 참조하여 본 발명의 일 실시예에 따른 컴퓨터 시스템(100)에 의해 수행되는 송수신단에서의 데이터 암호화 방법에 대해 보다 상세히 설명하도록 한다.

도 2는 본 발명의 일 실시예에 따른 송신단에서의 데이터 암호화 방법의 순서도이다. 도 3은 본 발명의 일 실시예에 따른 송신단에서의 송신 대상 데이터를 암호화하는 일 예시를 도시한 도면이다.

먼저, 송신단은 송신 대상 데이터를 임의의 개수의 블록으로 분할한다(S110). 일 실시예로, 송신단은 송신 대상 데이터를 임의의 개수 및 임의의 크기 중 적어도 하나에 따라 복수 개의 블록으로 분할할 수 있다. 이때, 송신 대상 데이터는 적어도 하나의 데이터일 수 있으며, 복수 개의 데이터인 경우 연속되는 복수 개의 데이터를 의미한다. 그리고 복수 개의 데이터인 경우 복수 개의 데이터 각각을 임의의 개수의 블록으로 분할한다.

예를 들어, 영상 데이터는 복수의 송신 대상 데이터로 구성되며, 하나의 송신 대상 데이터는 영상 데이터를 구성하는 하나의 프레임 데이터를 의미한다. 이때, 송신단은 크기가 1,000byte인 하나의 프레임 데이터를 3개의 블록으로 나눌 수 있다. 실시예에 따라, 3개의 블록은 모두 동일한 데이터 크기를 가지도록 분할될 수 있으며, 임의의 크기에 따라 100byte, 400byte, 500byte로 분할될 수도 있다.

도 3의 예시에서는 제1 프레임 데이터를 대상으로 서로 동일한 크기를 갖는 9개의 블록으로 나누었으며, 제n 프레임 데이터는 서로 다른 데이터 크기를 갖는 5개의 블록으로 나눈 것을 나타낸다. 본 발명의 일 실시예는 복수의 송신 대상 데이터에 대해 동일한 방식으로 블록을 분할하거나, 도 3과 같이 적어도 하나의 송신 대상 데이터를 타 송신 대상 데이터와 상이한 방식으로 블록 분할을 할 수 있다.

다음으로, 송신단은 분할된 복수 개의 블록 중 암호키 추출에 사용할 암호키 생성 대상 블록을 선정한다(S120).

일 실시예로, 송신단은 복수 개의 블록 중 어느 하나의 블록을 암호키 생성 대상 블록으로 선정할 수 있다. 예를 들어, 하나의 프레임 데이터를 3개의 블록으로 나눈 경우, 3개의 블록 중 2 번째 블록(400byte 데이터)을 암호키 생성 대상 블록으로 선정할 수 있다.

다른 일 실시예로, 송신단은 복수 개의 블록 중 복수 개의 블록을 암호키 생성 대상 블록으로 선정할 수 있다. 예를 들어, 하나의 프레임 데이터를 3개의 블록으로 나눈 경우, 3개의 블록 중 1 번째 및 3 번째 블록(총 600byte 데이터)을 암호키 생성 대상 블록으로 선정할 수 있다.

이처럼 본 발명의 일 실시예는 암호키 생성 대상 블록을 특정 조건을 만족하는 고정된 방법으로 선정하는 것이 아닌, 다양한 조건 및 방법에 의해 선정되도록 함으로써 암호키 생성에 있어 다양성 및 복잡성을 더욱 증가시켜 보안성을 높일 수 있다.

도 3의 예시에서는 9개의 블록으로 분할된 제1 프레임 데이터에서, 왼쪽 최상단에 위치한 첫번째 블록(P1)을 암호키 생성 대상 블록으로 선정한 것을 나타내었다.

다음으로, 송신단은 선정된 암호키 생성 대상 블록에 기초하여 암호키를 생성한다(S130). 이때, 본 발명의 일 실시예는 다양한 실시예에 따라 암호키를 생성할 수 있다.

일 실시예로, 송신단은 암호키 생성 대상 블록의 소정의 위치 및 소정의 크기에 상응하는 데이터 영역을 대상으로 암호키를 생성할 수 있다. 예를 들어, 송신단은 암호키 생성 대상 블록인 2 번째 블록(400byte 데이터)에서의 처음 위치에 해당하는 32byte를 암호키로 생성할 수 있다.

다른 일 실시예로, 송신단은 암호키 생성 대상 블록에 상응하는 데이터 영역으로부터 해시값을 추출하고, 추출된 해시값을 암호키로 생성할 수 있다. 이때, 송신단은 암호키 생성 대상 블록에 상응하는 데이터 영역으로부터 기 설정된 데이터 크기를 갖도록 해시값을 추출할 수 있다. 예를 들어, 송신단은 암호키 생성 대상 블록인 2 번째 블록(400byte 데이터)에서의 해시값을 32byte로 추출하고, 추출된 해시값을 암호키로 사용할 수 있다. 또한 해시값을 생성할 때 보안을 강화하기 위하여 암호키 생성 대상 블록에 상응하는 데이터 영역에 특정 데이터를 추가한 확장된 데이터로부터 해시값을 추출 할 수 있다.

또 다른 일 실시예로, 송신단은 암호키 생성 대상 블록에 상응하는 데이터 영역으로부터 기 설정된 제1 데이터 크기를 갖도록 해시값을 추출하고, 추출된 해시값 중 기 설정된 제2 데이터 크기만을 추출하여 암호키로 생성할 수 있다. 예를 들어, 송신단은 암호키 생성 대상 블록인 2 번째 블록(400byte 데이터)에서의 해시값을 32byte로 추출하고, 추출된 해시값 중 홀수 번째 또는 짝수 번째, 또는 임의의 개수에 따라 제2 데이터 크기를 만족하도록 추출하여 암호키로 사용할 수 있다.

다음으로, 송신단은 암호키 생성 대상 블록을 제외한 잔여 블록 중 암호화 대상 블록을 선정한다(S140).

일 실시예로, 송신단은 복수 개의 블록 중 암호키 생성 대상 블록을 제외한 잔여 블록 전체를 암호화 대상 블록으로 선정할 수 있다. 예를 들어, 송신단은 암호키 생성 대상 블록인 2 번째 블록(400byte 데이터)을 제외한 잔여 블록인 1번 및 3번 블록 전체를 암호화 대상 블록으로 선정할 수 있다.

다른 일 실시예로, 송신단은 복수 개의 블록 중 암호키 생성 대상 블록을 제외한 잔여 블록 중 일부를 암호화 대상 블록으로 선정할 수 있다. 예를 들어, 송신단은 암호키 생성 대상 블록인 2 번째 블록(400byte 데이터)을 제외한 잔여 블록 중 3번 블록만을 암호화 대상 블록으로 선정할 수 있다.

도 3의 예시에서는 9개의 블록으로 분할된 제1 프레임 데이터에서, 왼쪽 최상단에 위치한 첫번째 블록(P1)인 암호키 생성 대상 블록을 제외한 나머지가 잔여 블록이 되며, 잔여 블록 중 가운데에 위치한 블록과 오른쪽 최하단에 위치한 블록 2개(P2)를 암호화 대상 블록으로 선정한 것을 나타내었다.

다음으로, 송신단은 생성된 암호키를 기반으로 암호화 대상 블록을 암호화한다(S150). 전술한 예시에서, 송신단은 암호키 생성 대상 블록으로 선정한 2 번째 블록(400byte 데이터)에 대해서는 암호화를 수행하지 않으며, 잔여 블록 중 암호화 대상 블록으로 선정된 블록만을 대상으로 암호화를 수행한다. 계속되는 예시에서, 1번째 블록(100byte) 및 3번째 블록(500byte)이 모두 암호화 대상 블록으로 선정된 경우, 송신단은 해당 블록을 암호화한다. 또는, 3번째 블록만이 암호화 대상 블록으로 선정된 경우, 송신단은 1번째 블록에 대해서는 암호화하지 않고, 3번째 블록만을 암호화한다.

이와 같이 송신 대상 데이터에 대한 암호화가 완료되면, 송신단은 수신단으로 송신 대상 데이터를 전송한다.

한편, 전술한 실시예에 따른 방식으로 암호화된 결과물(암호화된 송신 대상 데이터)에 동일한 방식으로 재암호화를 1회 이상 수행하여 보안을 더 강화할 수 있다. 재암호화를 수행하는 경우 이전 암호화 과정과 동일한 과정으로 수행할 수도 있으며, 또는 다른 방식으로 암호화를 수행할 수도 있다. 예를 들어, 재암호화를 할 때 암호키 생성 대상 블록을 이전 암호화 단계의 암호화 대상 영역(암호화 대상 블록)내에서 설정하고, 암호화 대상 블록을 이전 단계의 키추출 대상 블록(암호키 생성을 위한 후보 블록)으로 설정하게 되는 경우에는 이전 단계에서 암호화 되지 않았던 부분도 암호화를 할 수 있게 되어 모든 데이터 영역에 대해 암호화를 수행해 보안 수준을 더 높일 수 있다.

이러한 재암호화 과정을 수행함에 따라 수행하는 횟수에 비례하여 보안 수준을 높일 수 있고, 또한 전체 데이터에 대해 암호화가 될 수 있게 단계별로 블락 설정을 달리 하여 재암호화를 수행하면 전체 블록이 암호화되는 결과를 획득할 수 있다.

도 4는 본 발명의 일 실시예에 따른 수신단에서의 데이터 복호화 방법의 순서도이다.

수신단에서는 송신단과 동일한 방식으로 복호키를 추출하고, 암호화를 적용한 블록에 대하여 복호키를 사용하여 복호화함으로써 송신단에서 전송한 데이터를 복원하게 된다. 이하, 수신단에서의 데이터 복호화 방법을 설명함에 있어, 송신단에서 전송한 송신 대상 데이터를 수신단의 입장에서 수신 대상 데이터라 지칭하도록 한다. 또한, 암호화 대상 블록은 복호화 대상 블록으로 지칭하고, 암호키 생성 대상 블록에 상응하는 블록을 복호키 생성 대상 블록이라 지칭하도록 한다.

먼저, 수신단은 송신단으로부터 송신되는 수신 대상 데이터를 수신하면(S210), 수신 대상 데이터를 송신단과 기 공유된 암호화 규약 정보에 따른 복수 개의 블록으로 분할한다(S220).

이때, 본 발명에 따른 데이터 암호화 및 복호화 방법은 도 1에서 설명한 컴퓨팅 시스템(100)에 의해 수행되며, 컴퓨팅 시스템(100)은 송신단과 수신단에 인코딩 및 디코딩을 위한 API를 각각 제공한다. 이에 따라, 송신단에서의 각 송신 대상 데이터를 암호화하기 위한 블록 분할 정보, 암호키 생성 대상 블록에 관한 정보, 암호화 대상 블록에 관한 정보를 포함하는 암호화 규약 정보는 수신단에 공유된다. 이에 따라, 수신단은 송신단에서의 복수의 송신 대상 데이터 각각에 대한 분할된 블록의 개수, 형태, 크기 정보, 암호키 생성 대상 블록의 위치와 암호화 대상 블록의 위치를, 수신 대상 데이터에서도 정확히 파악할 수 있다.

이처럼, 본 발명의 일 실시예는 대칭키를 공유하는 방식이 아닌, 동일 시스템(100)에 의해 운용되는 암호화 규약 정보만을 송수신단이 공유하도록 함으로써, 데이터 송수신시 키가 유출되는 등의 문제를 방지할 수 있다.

다음으로, 수신단은 암호화 규약 정보에 기초하여 분할된 복수 개의 블록 중 복호키 추출에 사용할 복호키 생성 대상 블록을 선택하고(S230), 복호키 생성 대상 블록에 기초하여 복호키를 생성한다(S240).

일 실시예로, 수신단은 복호키 생성 대상 블록에서의 소정의 위치 및 소정의 크기에 상응하는 데이터 영역을 대상으로 복호키를 생성할 수 있다.

다른 일 실시예로, 수신단은 복호키 생성 대상 블록에 상응하는 데이터 영역으로부터 기 설정된 데이터 크기를 갖도록 해시값을 추출하고, 추출된 해시값을 복호키로 생성할 수 있다.

또 다른 실시예로, 수신단은 복호키 생성 대상 블록에 상응하는 데이터 영역으로부터 기 설정된 제1 데이터 크기를 갖도록 해시값을 추출하고, 추출된 해시값 중 기 설정된 제2 데이터 크기만을 추출하여 복호키로 생성할 수 있다.

한편, 수신단에서 복호키를 생성하는 단계는 도 2 및 도 3에서 설명한 송신단에서의 암호키를 생성하는 과정과 동일하게 수행되므로 구체적인 설명 및 예시는 생략하도록 한다.

다음으로, 수신단은 생성된 복호키를 기반으로 복호키 생성 대상 블록을 제외한 잔여 블록을 대상으로 복호화하여 수신 대상 데이터를 복원한다(S250).

이때, 수신단은 암호화 규약 정보에 따라 잔여 블록의 전체 또는 일부를 복호화 대상 블록으로 선정하고, 선정된 복호화 대상 블록만을 복호화하여 수신 대상 데이터를 복원하게 된다.

한편, 도 2 및 도 3에서 설명한 재암호화 과정에 따라 수신 대상 데이터의 전체 블록이 1회 이상 재암호화된 경우, 복호화 과정에서도 이에 상응하는 복호화가 필요하다. 이 경우, 본 발명의 일 실시예는 암호화 규약 정보에 따라 재암호화에 상응하는 복호키 생성 대상 블록을 기반으로 제1 복호키를 획득하여 복호키 생성 대상 블록을 제외한 잔여 블록을 대상으로 복호화를 수행한다. 이 과정은 재암호화에 상응하는 복호화 과정에 해당한다.

이후, 암호화 규약 정보에 따라 제2 복호키를 획득하고, 제2 복호키에 기반하여 복호키 생성 대상 블록을 제외한 잔여 블록을 대상으로 복호화를 수행한다. 만약, 재암호화가 복수회 진행된 경우 제3, 제4 복호키 생성 과정 및 복호화 과정이 수행될 수 있다. 이러한 과정에 따라, 본 발명의 일 실시예는 전체 블록이 암호화된 수신 대상 데이터를 복원하게 된다.

이하에서는 도 5 내지 도 7을 참조하여, 전술한 컴퓨팅 시스템(100)의 송신단 및 수신단에서 수행되는 데이터 위변조 검증 방법에 대해 설명하도록 한다.

도 5는 본 발명의 일 실시예에 따른 데이터 위변조 검증 방법의 순서도이다.

먼저, 송신단은 제n 송신 대상 데이터로부터 해시값을 추출한다(S310). 여기에서 제n 송신 대상 데이터는 현재 송신하고자 하는 데이터를 의미한다. 이때, 제n 송신 대상 데이터가 최초 송신 대상 데이터인 경우, 이전 데이터가 없기 때문에 송신단은 기 설정된 임의의 약속된 데이터를 제n-1 송신 대상 데이터 상응하는 해시값으로 적용한다.

다음으로, 송신단은 제n-1 송신 대상 데이터의 해시값과 제n 송신 대상 데이터의 해시값을 기반으로 제n 송신 대상 데이터에 대한 최종 해시값인 제1 해시값을 생성한다(S320).

다음으로, 송신단은 송신 대상 데이터와 각 송신 대상 데이터에 상응하는 제1 해시값을 수신단으로 전송한다(S330).

다음으로, 수신단은 제n 수신 대상 데이터로부터 해시값을 추출한다(S340). 여기에서 제n 수신 대상 데이터는 제n 송신 대상 데이터와 동일하며, 현재 수신단이 수신한 데이터를 의미한다.

다음으로, 수신단은 제n-1 수신 대상 데이터의 해시값과 제n 수신 대상 데이터의 해시값을 기반으로 제n 수신 대상 데이터에 대한 최종 해시값인 제2 해시값을 생성한다(S350).

이후, 수신단은 송신단으로부터 전송된 제1 해시값과 자신이 생성한 제2 해시값을 비교하여 복수의 수신 대상 데이터 중 누락된 위변조 수신 대상 데이터를 감지한다(S360).

도 6은 데이터 위변조 방지 방법의 일 예시를 설명하기 위한 도면이다.

먼저, 송신단은 제n 송신 대상 데이터의 해시값 b를 추출하고, 이전 추출된 제n-1 송신 대상 데이터의 해시값 a와 해시값 b를 기반으로 제n 송신 대상 데이터에 대한 새로운 최종 해시값인 β를 생성한다. 이때, 이전 단계에서 생성된 제n-1 송신 대상 데이터의 최종 해시값은 α이다. 송신단은 수신단으로 각 송신 대상 데이터를 전송시 최종 해시값인 제1 해시값(α, β등)을 함께 전송한다.

이후, 수신단은 제n 수신 대상 데이터를 수신하면, 제n 수신 대상 데이터의 해시값 b를 추출하고, 이전 추출된 제n-1 수신 대상 데이터의 해시값 a와 해시값 b를 기반으로 제n 수신 대상 데이터에 대한 새로운 최종 해시값인 β를 생성한다.

그리고 수신단은 제1 해시값과 제2 해시값이 서로 β로 동일한 것을 확인함으로써 데이터의 위변조 발생 여부를 감지할 수 있다.

도 7은 송수신 대상 데이터 중 위변조를 감지하는 일 예시를 설명하기 위한 도면이다.

종래의 데이터 위변조 방지 방법의 경우 송수신 대상 데이터 각각의 해시값을 비교하는 것을 통해 위변조를 감지하였다. 즉, 제n-1 송신 대상 데이터와 제n-1 수신 대상 데이터의 해시값이 서로 a로 동일하여 해당 데이터에 위변조가 없음을 확인하고, 마찬가지로 제n 송신 대상 데이터와 제n 수신 대상 데이터의 해시값이 서로 b로 동일하여 해당 데이터에 위변조가 없음을 확인하였다. 이 경우, 복수의 송수신 데이터 중 중간 데이터가 누락되거나 절취되는 등의 위변조가 발생할 경우 종래 위변조 방지 방법은 이를 감지하는 것이 불가하였다.

이러한 문제를 해소하기 위해, 본 발명의 일 실시예는 각 송수신 대상 데이터에서의 해시값의 상관관계를 고려하여 중간 데이터의 위변조 여부를 감지할 수 있다.

도 7의 예시에서는, 송신단이 3개의 연속적인 송신 대상 데이터와 제1 해시값(α, βγ를 수신단으로 전송하였고, 이 중에서 제n 송신 대상 데이터가 위변조되어 누락된 경우를 가정하였다. 수신단은 제n-1 수신 대상 데이터로부터 제2 해시값 α를 생성하게 되나, 제n 수신 대상 데이터가 없으므로, 제n-1 수신 대상 데이터의 해시값 a와 제n+1 수신 대상 데이터의 해시값 c를 기반으로 제2 해시값 γ'을 생성하게 된다.

그리고 제1 해시값 γ와 제2 해시값 γ'를 비교한 결과 서로 해시값이 다르므로, 제n+1 수신 대상 데이터의 이전 데이터인 제n 수신 대상 데이터가 위변조로 인해 누락되었음을 감지할 수 있다.

한편, 상술한 설명에서, 단계 S110 내지 S360는 본 발명의 구현예에 따라서, 추가적인 단계들로 더 분할되거나, 더 적은 단계들로 조합될 수 있다. 또한, 일부 단계는 필요에 따라 생략될 수도 있고, 단계 간의 순서가 변경될 수도 있다. 아울러, 기타 생략된 내용이라 하더라도 도 2 내지 도 7의 내용은 도 1의 컴퓨팅 시스템(100)에도 적용될 수 있다.

이상에서 전술한 본 발명의 일 실시예는, 하드웨어인 컴퓨터와 결합되어 실행되기 위해 프로그램(또는 어플리케이션)으로 구현되어 매체에 저장될 수 있다.

상기 전술한 프로그램은, 상기 컴퓨터가 프로그램을 읽어 들여 프로그램으로 구현된 상기 방법들을 실행시키기 위하여, 상기 컴퓨터의 프로세서(CPU)가 상기 컴퓨터의 장치 인터페이스를 통해 읽힐 수 있는 C, C++, JAVA, Ruby, 파이썬, 기계어 등의 컴퓨터 언어로 코드화된 코드(Code)를 포함할 수 있다. 이러한 코드는 상기 방법들을 실행하는 필요한 기능들을 정의한 함수 등과 관련된 기능적인 코드(Functional Code)를 포함할 수 있고, 상기 기능들을 상기 컴퓨터의 프로세서가 소정의 절차대로 실행시키는데 필요한 실행 절차 관련 제어 코드를 포함할 수 있다. 또한, 이러한 코드는 상기 기능들을 상기 컴퓨터의 프로세서가 실행시키는데 필요한 추가 정보나 미디어가 상기 컴퓨터의 내부 또는 외부 메모리의 어느 위치(주소 번지)에서 참조되어야 하는지에 대한 메모리 참조관련 코드를 더 포함할 수 있다. 또한, 상기 컴퓨터의 프로세서가 상기 기능들을 실행시키기 위하여 원격(Remote)에 있는 어떠한 다른 컴퓨터나 서버 등과 통신이 필요한 경우, 코드는 상기 컴퓨터의 통신 모듈을 이용하여 원격에 있는 어떠한 다른 컴퓨터나 서버 등과 어떻게 통신해야 하는지, 통신 시 어떠한 정보나 미디어를 송수신해야 하는지 등에 대한 통신 관련 코드를 더 포함할 수 있다.

상기 저장되는 매체는, 레지스터, 캐쉬, 메모리 등과 같이 짧은 순간 동안 데이터를 저장하는 매체가 아니라 반영구적으로 데이터를 저장하며, 기기에 의해 판독(reading)이 가능한 매체를 의미한다. 구체적으로는, 상기 저장되는 매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광 데이터 저장장치 등이 있지만, 이에 제한되지 않는다. 즉, 상기 프로그램은 상기 컴퓨터가 접속할 수 있는 다양한 서버 상의 다양한 기록매체 또는 사용자의 상기 컴퓨터상의 다양한 기록매체에 저장될 수 있다. 또한, 상기 매체는 네트워크로 연결된 컴퓨터 시스템(100)에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장될 수 있다.

전술한 본 발명의 설명은 예시를 위한 것이며, 본 발명이 속하는 기술분야의 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 쉽게 변형이 가능하다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다. 예를 들어, 단일형으로 설명되어 있는 각 구성 요소는 분산되어 실시될 수도 있으며, 마찬가지로 분산된 것으로 설명되어 있는 구성 요소들도 결합된 형태로 실시될 수 있다.

본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 균등 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.

Claims (18)

1. 컴퓨터에 의해 수행되는 방법에 있어서,

   송신 대상 데이터를 임의의 개수의 블록으로 분할하는 단계;

   상기 분할된 복수 개의 블록 중 암호키 추출에 사용할 암호키 생성 대상 블록을 선정하는 단계;

   상기 암호키 생성 대상 블록에 기초하여 암호키를 생성하는 단계;

   상기 암호키 생성 대상 블록을 제외한 잔여 블록 중 암호화 대상 블록을 선정하는 단계; 및

   상기 생성된 암호키를 기반으로 상기 암호화 대상 블록을 암호화하는 단계를 포함하는,

   송신단에서의 데이터 암호화 방법.
2. 제1항에 있어서,

   상기 송신 대상 데이터를 임의의 개수의 블록으로 분할하는 단계는,

   상기 송신 대상 데이터를 임의의 개수 및 임의의 크기 중 적어도 하나에 따라 복수의 블록으로 분할하는 것인,

   송신단에서의 데이터 암호화 방법.
3. 제1항에 있어서,

   상기 분할된 복수 개의 블록 중 암호키 추출에 사용할 암호키 생성 대상 블록을 선정하는 단계는,

   상기 복수 개의 블록 중 어느 하나의 블록 또는 어느 복수 개의 블록을 상기 암호키 생성 대상 블록으로 선정하는 것인,

   송신단에서의 데이터 암호화 방법.
4. 제1항에 있어서,

   상기 암호키 생성 대상 블록에 기초하여 암호키를 생성하는 단계는,

   상기 암호키 생성 대상 블록의 소정의 위치 및 소정의 크기에 상응하는 데이터 영역을 대상으로 암호키를 생성하는 것인,

   송신단에서의 데이터 암호화 방법.
5. 제1항에 있어서,

   상기 암호키 생성 대상 블록에 기초하여 암호키를 생성하는 단계는,

   상기 암호키 생성 대상 블록에 상응하는 데이터 영역으로부터 해시값을 추출하는 단계; 및

   상기 추출된 해시값을 암호키로 생성하는 단계를 포함하는

   송신단에서의 데이터 암호화 방법.
6. 제5항에 있어서,

   상기 암호키 생성 대상 블록에 상응하는 데이터 영역으로부터 해시값을 추출하는 단계는,

   상기 암호키 생성 대상 블록에 상응하는 데이터 영역으로부터 기 설정된 데이터 크기를 갖도록 상기 해시값을 추출하는 것인,

   송신단에서의 데이터 암호화 방법.
7. 제6항에 있어서,

   상기 암호키 생성 대상 블록에 기초하여 암호키를 생성하는 단계는,

   상기 암호키 생성 대상 블록에 상응하는 데이터 영역으로부터 기 설정된 제1 데이터 크기를 갖도록 상기 해시값을 추출하고, 상기 추출된 해시값 중 기 설정된 제2 데이터 크기만을 추출하여 상기 암호키로 생성하는 것인,

   송신단에서의 데이터 암호화 방법.
8. 제1항에 있어서,

   상기 암호키 생성 대상 블록을 제외한 잔여 블록 중 암호화 대상 블록을 선정하는 단계는,

   상기 복수 개의 블록 중 상기 암호키 생성 대상 블록을 제외한 잔여 블록 전체 또는 일부를 상기 암호화 대상 블록으로 선정하는 것인,

   송신단에서의 데이터 암호화 방법.
9. 제1항에 있어서,

   상기 암호화된 송신 대상 데이터를 대상으로 추가적으로 1회 이상의 재암호화를 수행하는 단계를 더 포함하고,

   상기 재암호화하는 단계는,

   상기 암호화된 송신 대상 데이터를 대상으로 새롭게 임의의 개수의 블록으로 분할하는 단계;

   상기 분할된 복수 개의 블록 중 암호키 추출에 사용할 암호키 생성 대상 블록을 선정하는 단계;

   상기 암호키 생성 대상 블록에 기초하여 암호키를 생성하는 단계;

   상기 암호키 생성 대상 블록을 제외한 잔여 블록 중 암호화 대상 블록을 선정하는 단계; 및

   상기 생성된 암호키를 기반으로 상기 암호화 대상 블록을 암호화하는 단계를 포함하는,

   송신단에서의 데이터 암호화 방법.
10. 제1항에 있어서,

    제n 송신 대상 데이터로부터 해시값을 추출하는 단계;

    제n-1 송신 대상 데이터의 해시값과 상기 제n 송신 대상 데이터의 해시값을 기반으로 제n 송신 대상 데이터에 대한 최종 해시값인 제1 해시값을 생성하는 단계; 및

    복수의 상기 송신 대상 데이터와 각 송신 대상 데이터에 상응하는 제1 해시값을 수신단으로 전송하는 단계를 더 포함하고,

    상기 수신단에서는 송신 대상 데이터에 상응하는 제n 및 제n-1 수신 대상 데이터의 해시값으로부터 제2 해시값을 생성하고, 상기 제1 및 제2 해시값을 비교하여 복수의 송신 대상 데이터 중 누락된 위변조 송신 대상 데이터를 감지하는 것인,

    송신단에서의 데이터 암호화 방법.
11. 제10항에 있어서,

    상기 제n 송신 대상 데이터가 최초 송신 대상 데이터인 경우 기 설정된 데이터를 제n-1 송신 대상 데이터에 상응하는 해시값으로 적용하는 것인,

    송신단에서의 데이터 암호화 방법.
12. 컴퓨터에 의해 수행되는 방법에 있어서,

    송신단으로부터 송신되는 수신 대상 데이터를 수신하는 단계;

    상기 수신 대상 데이터를 상기 송신단과 기 공유된 암호화 규약 정보에 따른 복수 개의 블록으로 분할하는 단계;

    상기 암호화 규약 정보에 기초하여 상기 분할된 복수 개의 블록 중 복호키 추출에 사용할 복호키 생성 대상 블록을 선택하는 단계;

    상기 복호키 생성 대상 블록에 기초하여 복호키를 생성하는 단계; 및

    상기 생성된 복호키를 기반으로 상기 복호키 생성 대상 블록을 제외한 잔여 블록을 대상으로 복호화하여 상기 수신 대상 데이터를 복원하는 단계를 포함하는,

    수신단에서의 데이터 복호화 방법.
13. 제12항에 있어서,

    상기 수신 대상 데이터는 상기 송신단에 의해 공유된 상기 암호화 규약 정보에 따라 복수 개로 분할된 블록 중 선정된 암호키 생성 대상 블록에 기초하여 암호키가 생성되고, 상기 암호키 생성 대상 블록을 제외한 잔여 블록 중 적어도 하나가 암호화 대상 블록으로 선정되어 암호화되는 것인,

    수신단에서의 데이터 복호화 방법.
14. 제13항에 있어서,

    상기 복호키 생성 대상 블록에 기초하여 복호키를 생성하는 단계는,

    상기 복호키 생성 대상 블록에서의 소정의 위치 및 소정의 크기에 상응하는 데이터 영역을 대상으로 상기 복호키를 생성하는 것인,

    수신단에서의 데이터 복호화 방법.
15. 제12항에 있어서,

    상기 복호키 생성 대상 블록에 기초하여 복호키를 생성하는 단계는,

    상기 복호키 생성 대상 블록에 상응하는 데이터 영역으로부터 기 설정된 데이터 크기를 갖도록 해시값을 추출하는 단계; 및

    상기 추출된 해시값을 복호키로 생성하는 단계를 포함하는,

    수신단에서의 데이터 복호화 방법.
16. 제12항에 있어서,

    상기 복호키 생성 대상 블록에 기초하여 복호키를 생성하는 단계는,

    상기 복호키 생성 대상 블록에 상응하는 데이터 영역으로부터 기 설정된 제1 데이터 크기를 갖도록 상기 해시값을 추출하고, 상기 추출된 해시값 중 기 설정된 제2 데이터 크기만을 추출하여 상기 복호키로 생성하는 것인,

    수신단에서의 데이터 복호화 방법.
17. 제12항에 있어서,

    제n 수신 대상 데이터로부터 해시값을 추출하는 단계;

    제n-1 수신 대상 데이터의 해시값과 상기 제n 수신 대상 데이터의 해시값을 기반으로 제n 수신 대상 데이터에 대한 최종 해시값인 제2 해시값을 생성하는 단계;

    상기 송신단으로부터 전송된 제1 해시값과 제2 해시값을 비교하여 복수의 수신 대상 데이터 중 누락된 위변조 수신 대상 데이터를 감지하는 단계를 더 포함하고,

    상기 송신단에서는 수신 대상 데이터에 상응하는 제n 및 제n-1 송신 대상 데이터의 해시값으로부터 제1 해시값을 생성하여 상기 수신단으로 전송하는 것인,

    수신단에서의 데이터 복호화 방법.
18. 제17항에 있어서,

    상기 제n 수신 대상 데이터가 최초 수신 대상 데이터인 경우 송신단에서 기 설정된 데이터를 제n-1 수신 대상 데이터에 상응하는 해시값으로 적용하는 것인,

    수신단에서의 데이터 복호화 방법.

Images