[go: up one dir, main page]

KR101387939B1 - System for controlling backup storage - Google Patents

System for controlling backup storage Download PDF

Info

Publication number
KR101387939B1
KR101387939B1 KR1020120115232A KR20120115232A KR101387939B1 KR 101387939 B1 KR101387939 B1 KR 101387939B1 KR 1020120115232 A KR1020120115232 A KR 1020120115232A KR 20120115232 A KR20120115232 A KR 20120115232A KR 101387939 B1 KR101387939 B1 KR 101387939B1
Authority
KR
South Korea
Prior art keywords
storage
data
token
authentication
authentication value
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
KR1020120115232A
Other languages
Korean (ko)
Inventor
임강빈
Original Assignee
순천향대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 순천향대학교 산학협력단 filed Critical 순천향대학교 산학협력단
Priority to KR1020120115232A priority Critical patent/KR101387939B1/en
Application granted granted Critical
Publication of KR101387939B1 publication Critical patent/KR101387939B1/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

본 발명은 백업용 스토리지 제어 시스템에 관한 것으로서, 원본 데이터를 관리하는 1차 스토리지 서버와, 상기 1차 스토리지 서버로부터 2차 데이터를 생성하는 2차 백업 스토리지와, 사용자 인증을 수행하는 토큰을 제어하는 스토리지 어레이를 포함하도록 구성함으로써, 토큰에 의하여 인증된 사용자만이 스토리지 어레이에 접근하여 암호화된 데이터를 복구할 수 있도록 할 수 있으므로 보다 안전한 분리 인증 및 키 전달구조의 제공이 가능하다.The present invention relates to a storage control system for backup, comprising: a primary storage server for managing original data, a secondary backup storage for generating secondary data from the primary storage server, and a storage for controlling a token for performing user authentication By configuring the array, only a user authenticated by the token can access the storage array to recover the encrypted data, thereby providing a more secure separation authentication and key delivery structure.

Description

백업용 스토리지 제어 시스템{SYSTEM FOR CONTROLLING BACKUP STORAGE}Storage control system for backup {SYSTEM FOR CONTROLLING BACKUP STORAGE}

본 발명은 백업용 스토리지 제어 기술에 관한 것으로, 더욱 상세하게는 1차 스토리지 서버의 손상에 대비하고 비상시에 이를 복구하기 위한 2차 백업용 스토리지 제어 시스템에 관한 것이다.
The present invention relates to a storage control technology for backup, and more particularly, to a storage control system for secondary backup to prepare for damage of the primary storage server and to recover it in an emergency.

현재 기업 및 조직 등은 데이터의 효율적인 관리를 위하여 하나의 통합된 스토리지 서버를 구축하여 사용하고 있으며, 최근 인터넷의 급속한 발전과 함께 웹디스크 등의 응용이 발전함에 따라 다중 사용자의 정보저장 및 공유를 위하여 스토리지 서버가 대용량화되고 확장 및 관리의 편의성을 위하여 네트워크 기반으로 변모하고 있다.Currently, enterprises and organizations have built and used a single integrated storage server for efficient data management.In addition, for the purpose of storing and sharing information among multiple users as the application of web disks has developed along with the recent rapid development of the Internet. Storage servers are becoming larger and more network-based for ease of expansion and management.

대용량 스토리지 서버의 경우 현재 보편적으로 사용되는 RAID 기반의 스토리지 서버는 네트워크 기반 접속으로 보편화되어 있어 이를 위한 보안기술은 네트워크를 통한 외부 공격자의 감시나 악의적 접속을 방지하기 위한 형태로 제공된다. 이는 데이터 저장을 위하여 서버 외부에 하드 디스크 어레이 등 대용량 스토리지 어레이를 설치하여 RAID 방식으로 구성함으로써 다중 클라이언트와 스토리지 서버 사이에 안전한 보안 세션을 제공하고 보안 세션에 대한 접근을 사용자 인증을 통하여 제한하며 원격 저장을 위한 데이터 전송에 암호화를 적용하는 방식이다.In the case of mass storage servers, RAID-based storage servers, which are commonly used today, are commonly used for network-based access, and security technology for this is provided in the form of preventing external attackers or malicious access through the network. It provides a secure secure session between multiple clients and the storage server by configuring a RAID storage method by installing a mass storage array such as a hard disk array outside the server for data storage, and restricts access to the secure session through user authentication. This method applies encryption to data transmission.

그러나 이러한 기술은 최근 이슈화되고 있는 메모리해킹이나 키보드해킹 등에 의한 내부자 공격을 통하여 관리자 패스워드 등을 획득한 후 스토리지를 물리적으로 절도하여 이루어지는 데이터 유출에 대하여는 전혀 대응하지 못하고 있다.
However, these technologies do not respond to data leakage caused by physically stealing storage after acquiring an administrator password through an insider attack such as memory hacking or keyboard hacking, which has recently been issued.

한편, USB 메모리 등의 소규모 저장장치에 있어서는 도난이나 분실의 가능성이 매우 커서 이와 관련한 보안 및 도난 방지기술을 많은 공급자들이 도입하고 있다. 이들은 대용량 스토리지 서버에 적용되는 소프트에어 기반 보안솔루션과 유사한 형태로 구성되나 다중사용자 지원 기능이 축소되고 원격 관리 서버를 통한 내부자 공격에 대한 보안기능이 더 강화된 형태이다. 즉 스토리지 내부에 하드웨어 기반 데이터 암호화를 지원하는 전용 보안 칩을 탑재하거나 암호화 및 인증은 호스트 측에서 수행하나 스토리지의 특성을 고려하여 인증정보를 수집하고 관리함으로써 내부자 공격에 대응하고 있다.On the other hand, in a small storage device such as a USB memory, there is a great possibility of theft or loss, and many suppliers introduce security and anti-theft technologies. They are similar in form to software-based security solutions applied to mass storage servers, but with reduced multiuser support and enhanced security against insider attacks through remote management servers. In other words, a dedicated security chip that supports hardware-based data encryption is installed inside the storage, or encryption and authentication is performed at the host side, but in response to insider attacks by collecting and managing authentication information in consideration of the characteristics of the storage.

그러나 이러한 소규모 저장장치에 있어서 내부자 공격에 대응할 보안 기술을 도입한 경우에도 최근의 역공학과 연계한 메모리해킹이나 키보드해킹 기술에 의하여 그 보안 체계가 대부분 간단하게 무력화되고 있다.
However, even in the case of introducing a security technology to counter an insider attack in such a small storage device, the security system is mostly simply incapacitated by memory hacking or keyboard hacking technology linked with recent reverse engineering.

살펴본 바와 같이, 1차 스토리지 서버는 상기와 같은 문제점을 가지고 있으나, 네트워크 기반 스토리지 서버에 있어서 사용자의 요청에 의하여 수시로 데이터를 송/수신 하여야 하며 필요에 의해 서버의 리소스를 활용할 경우가 빈번히 발생하므로 1차 스토리지 서버 내에 소프트웨어를 설치하여 실시간으로 데이터를 암호화하여 사용하기는 사실상 불가능한바 가공되지 않은 데이터를 원본 그대로 저장하고 있어 내부자의 공격에 그대로 노출되어 있고, USB 메모리에 있어서는 사용자 인증키의 유출, 데이터 암/복호화 처리 속도에 따른 백업 데이터 전송 속도 저하 등의 이유로 그 실용성이 없는 상태이다. 이에, 1차 공유 스토리지 서버 및 USB 메모리에 대한 안전한 2차 백업 및 관리 기술과 데이터의 안정성을 강화하기 위한 보안 기술이 요구되고 있다.
As described above, the primary storage server has the same problem as described above, but in a network-based storage server, data must be transmitted / received at the request of a user at any time, and the resource of the server is frequently used as needed. It is virtually impossible to install software in a car storage server to encrypt and use data in real time. Raw data is stored as it is, and it is exposed to insider attacks. In USB memory, user authentication key leaks and data. There is no practical use because of a decrease in the backup data transfer rate due to the encryption / decryption processing speed. Accordingly, there is a need for a secure secondary backup and management technology for a primary shared storage server and a USB memory and a security technology for enhancing data stability.

대한민국 공개특허공보 제2008-0071530호(2008.08.04.)Republic of Korea Patent Publication No. 2008-0071530 (2008.08.04.) 대한민국 등록특허공보 제0847659호(2008.07.21.)Republic of Korea Patent Publication No. 0847659 (2008.07.21.)

따라서, 본 발명은 상기한 종래 기술의 문제점을 해결하기 위해 이루어진 것으로서, 본 발명의 목적은 독립적인 하드웨어 보안 토큰을 사용하며 이를 통하여 데이터의 암호화 및 복호화 기능을 수행함으로써 보다 안전한 분리 인증 및 키 전달구조를 갖는 백업용 스토리지 제어 시스템을 제공하는데 있다.
Accordingly, the present invention has been made to solve the above-mentioned problems of the prior art, and an object of the present invention is to use an independent hardware security token, and thereby to perform a function of encrypting and decrypting data, thereby enabling a more secure separation authentication and key delivery structure. It is to provide a storage control system for a backup having.

상기와 같은 목적을 달성하기 위한 본 발명의 백업용 스토리지 제어 시스템은, 원본 데이터를 관리하는 1차 스토리지 서버; 상기 1차 스토리지 서버로부터 2차 데이터를 생성하는 2차 백업 스토리지; 및 사용자 인증을 수행하는 토큰을 제어하는 스토리지 어레이를 포함하는 것을 특징으로 한다.The storage control system for a backup of the present invention for achieving the above object, the primary storage server for managing the original data; Secondary backup storage for generating secondary data from the primary storage server; And a storage array controlling a token for performing user authentication.

이 때, 상기 스토리지 어레이는 상기 토큰과 분리되는 호스트 컨트롤러 및 보안 모듈을 포함한다.In this case, the storage array includes a host controller and a security module separated from the token.

상기 보안 모듈은 후보 인증키를 생성하고 후보 인증값을 산출하며 상기 후보 인증값을 상기 토큰으로 전송하여, 상기 토큰에 의하여 인증된 사용자만이 상기 스토리지 어레이에 접근할 수 있다.The security module generates a candidate authentication key, calculates a candidate authentication value, and transmits the candidate authentication value to the token so that only a user authenticated by the token can access the storage array.

상기 보안토큰은 암호키와 인증키를 입력받고 Rnd와 인증값을 생성하며 상기 스토리지 어레이로부터 송신된 상기 후보 인증값과 상기 인증값을 비교하여, 인증된 사용자만이 상기 스토리지 어레이에 접근할 수 있다.
The security token receives an encryption key and an authentication key, generates Rnd and an authentication value, and compares the candidate authentication value and the authentication value transmitted from the storage array, so that only an authenticated user can access the storage array. .

상술한 바와 같이, 본 발명에 의한 백업용 스토리지 제어 시스템은 다음과 같은 효과를 제공한다.As described above, the backup storage control system according to the present invention provides the following effects.

키 제공과 사용자 인증이 호스트 플랫폼에서 이루어지는 일반적인 방법과는 차별화된 방법으로서 토큰에 의하여 인증된 사용자만이 토큰으로부터 키 값을 제공 받아 스토리지 어레이에 접근하여 암호화된 데이터를 복구할 수 있도록 할 수 있으므로 보다 안전한 분리 인증 및 키 전달구조의 제공이 가능하다.This is different from the usual method of providing keys and authenticating users on the host platform. Only users authenticated by tokens can receive key values from the tokens to access the storage array and recover encrypted data. It is possible to provide secure separation authentication and key delivery structure.

또한, 호스트가 아닌 스토리지 시스템 자체가 암호화된 데이터 접근에 대한 이력을 관리함으로써 데이터를 안전하게 보호할 수 있다.
In addition, the storage system itself, rather than the host, maintains a history of encrypted data access, thereby securing the data.

도 1은 본 발명의 백업용 스토리지 시스템의 전체 개요를 나타낸 구성도이다.
도 2는 본 발명의 일 실시예에 의한 백업용 스토리지 제어 시스템의 구성도이다.1 is a configuration diagram showing an overall overview of a storage system for backup of the present invention.
2 is a block diagram of a backup storage control system according to an embodiment of the present invention.

이하, 본 발명의 백업용 스토리지 제어 시스템에 대하여 첨부된 도면을 참조하여 상세히 설명하기로 한다.Hereinafter, a backup storage control system of the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명의 백업용 스토리지 시스템의 전체 개요를 나타낸 구성도이다.1 is a configuration diagram showing an overall overview of a storage system for backup of the present invention.

도 1을 참조하면, 본 발명은, 기관 및 기업의 사용자 정보, 기밀문서 등을 관리하는 1차 스토리지 서버의 데이터를 2차적으로 생성하여 서버의 손상에 대비하고 비상시에 이를 복구하기 위한 백업용 스토리지 시스템이다. 이는 온라인상에서의 사용자 인증 취약점 공격과 스토리지 어레이의 물리적인 도난이 동시에 이루어짐으로써 발생하는 기밀정보의 유출을 방지하기 위하여 보다 안전한 분리 인증 및 키 전달구조를 제공하고 이를 통하여 자체적으로 독립적인 데이터 암호화와 복호화 기능을 수행한다.
Referring to FIG. 1, the present invention provides a backup storage system for secondaryly generating data of a primary storage server that manages user information, confidential documents, and the like of an institution and an enterprise to prepare for damage to a server and to recover it in an emergency. to be. In order to prevent the leakage of confidential information caused by the simultaneous online user authentication vulnerability attack and the physical theft of the storage array, it provides a more secure separate authentication and key delivery structure, which enables independent data encryption and decryption. Perform the function.

본 발명은, 분리 인증 및 키 전달구조를 제공하기 위하여 독립적인 하드웨어 보안 토큰을 사용하며 이를 통하여 데이터의 암호화 및 복호화를 위한 키 값을 제공하고 사용자 인증을 수행한다. 이는 키 제공과 사용자 인증이 호스트 플랫폼에서 이루어지는 일반적인 방법과는 차별화된 방법으로서 토큰에 의하여 인증된 사용자만이 토큰으로부터 키 값을 제공 받아 스토리지 어레이에 접근하여 암호화된 데이터를 복구할 수 있도록 구성한다. 또한 호스트가 아닌 스토리지 시스템 자체가 암호화된 데이터 접근에 대한 이력을 관리함으로써 기업 또는 조직 내의 중요 데이터를 안전하게 보호할 수 있도록 한다.
The present invention uses independent hardware security tokens to provide separate authentication and key delivery schemes, thereby providing key values for encrypting and decrypting data and performing user authentication. This is different from the general method of providing keys and authenticating users on the host platform. Only users authenticated by tokens can receive key values from the tokens and access the storage array to recover encrypted data. In addition, the storage system itself, not the host, maintains a history of encrypted data access, ensuring that sensitive data within the enterprise or organization is protected.

현재 기업 및 조직은 데이터의 효율적인 관리를 위하여 하나의 통합된 스토리지 서버를 구축하여 사용하고 있다. 기업 및 조직에 구축된 서버는 수익 및 유통 구조, 조직원 개인정보, 산출물에 대한 정보, 기업 기밀 정보 등과 더불어 개발 중에 사용되는 소스 등 다양한 데이터를 저장, 관리하도록 구성되어 있다. 이러한 정보는 기업이나 기관의 존폐와도 직결되는 매우 중요한 정보들이어서 주기적인 백업이 반드시 요구되며 필요한 경우 백업된 정보를 최소한의 범위에서 적법한 사용자에게 복원해줄 필요가 있다.Companies and organizations are now deploying and using one unified storage server for efficient data management. Servers installed in companies and organizations are configured to store and manage various data such as revenue and distribution structure, member personal information, output information, company confidential information, and sources used during development. Such information is very important information directly related to the existence of the company or institution, so periodic backups are required, and if necessary, the backed up information should be restored to a legitimate user to a minimum extent.

또한, 상기의 스토리지 서버는 많은 경우 1차 저장을 위한 공유 공간으로 활용되며 네트워크 기반의 단순한 디스크 어레이로 구성되는 경우가 많다. 그러나 많은 경우 기업이나 기관은 상기의 1차 저장된 정보를 주기적으로 백업하여 2차 저장 공간으로 대피시킬 필요가 있으며 대개는 이러한 업무가 수작업으로 이루어진다. 저장된 데이터의 보호 측면에서도 사용자에 대한 접근제어나 암호화를 위하여 서버 외부의 소프트웨어 솔루션을 활용하여 이루어지는 게 일반적이다. 따라서 이를 보다 차별화되고 전문화된 시스템으로 자동화된 프로세스를 따라 수행할 필요가 있다.
In addition, the storage server is often used as a shared space for primary storage and is often composed of a network-based simple disk array. In many cases, however, companies or organizations need to periodically back up the primary stored information and evacuate it to secondary storage space, which is usually done manually. In terms of protecting stored data, it is common to utilize software solutions outside the server for access control or encryption for users. Therefore, it is necessary to perform this process according to an automated process with a more differentiated and specialized system.

한편, 대용량 스토리지 서버의 경우 데이터 저장을 위하여 서버 외부에 하드 디스크 어레이 등 대용량 스토리지 어레이를 설치하여 RAID 방식으로 구성한다. 이를 기반으로 약간의 소프트웨어를 추가하면 병렬로 연결된 추가의 외부 스토리지 어레이에 2차 데이터 복사본을 생성하여 백업함으로써 서버의 데이터를 유지할 수 있지만 물리적 도난 또는 분실 시 다른 컴퓨터에 연결하는 동작만으로 데이터를 모두 사용할 수 있다. 이를 방지하기 위하여 디스크를 암호화한다고 하여도 이를 위한 소프트웨어가 디스크 제어를 위한 소프트웨어와 함께 실행되는 구조이므로 최근 심각한 해킹 문제로 떠오른 메모리 해킹이나 키보드 해킹을 통한 악의적인 내부 공격자 접근에 대하여는 아무런 대비책이 준비되어 있지 않다. 이러한 경우는 관리자 비밀정보의 유출이 쉽게 이루어지므로 서버의 1차 및 2차 데이터가 저장되어 있는 대용량 외장 스토리지 어레이가 절도 및 분실되는 경우 기업 및 조직은 막대한 손실을 입을 수 있다.
Meanwhile, in the case of a mass storage server, a mass storage array such as a hard disk array is installed outside the server for data storage and configured in a RAID manner. Based on this, you can add some software to keep the data on the server by creating and backing up a second copy of the data to additional, externally connected storage arrays in parallel, but you can use all of the data by simply connecting to another computer in case of physical theft or loss. Can be. To prevent this, even if the disk is encrypted, the software for this is executed along with the software for controlling the disk. Therefore, no countermeasures are prepared against malicious internal attacker access through memory hacking or keyboard hacking, which has recently emerged as a serious hacking problem. Not. In these cases, the leakage of administrator secret information can be easily performed, and the enterprise and organization can suffer enormous losses if the large external storage array containing the primary and secondary data of the server is stolen and lost.

이에 본 발명의 2차 백업을 위한 새로운 구조의 보안 스토리지 시스템에서는, 하드웨어 기반 보안 토큰을 이용하여 메모리 해킹이나 키보드 해킹을 통한 내부 공격자의 악의적인 접근을 차단하고 스토리지 서버 데이터의 2차 백업 및 암호화를 수행함으로써 백업 정보의 물리적 도난과 분실이 발생하는 경우에도 기업 및 조직의 기밀정보를 안전하게 보호할 수 있다. 또한 스토리지 어레이 집합 구조 내에 USB 호스트컨트롤러를 포함시켜 보안 토큰을 호스트와 격리하여 호스트 소프트웨어로부터 인증 프로세스를 완전 차단함으로써 향후 추가로 발생할 수 있는 보안 문제에 대하여 대처할 수 있다.
Therefore, in the new secure storage system for the secondary backup of the present invention, by using a hardware-based security token to block the malicious attacker's malicious access through memory hacking or keyboard hacking and secondary backup and encryption of the storage server data By doing so, companies and organizations can keep confidential information safe even in the event of physical theft and loss of backup information. In addition, a USB host controller can be included within the storage array assembly to isolate security tokens from the host, completely blocking the authentication process from the host software to address future security issues.

그러면, 여기서 본 발명의 백업용 스토리지 제어 시스템에 대해 구체적으로 설명하기로 한다.Next, the backup storage control system of the present invention will be described in detail.

도 2는 본 발명의 일 실시예에 의한 백업용 스토리지 제어 시스템의 전체 구성도이다.2 is an overall configuration diagram of a backup storage control system according to an embodiment of the present invention.

도 2에 도시된 바와 같이, 본 발명의 백업용 스토리지 제어 시스템(100)은, 1차 스토리지 서버(200)와, 2차 백업 스토리지(300)와, 스토리지 어레이(400)와, 보안토큰(500)을 포함한다.
As shown in FIG. 2, the backup storage control system 100 of the present invention includes a primary storage server 200, a secondary backup storage 300, a storage array 400, and a security token 500. It includes.

1차 스토리지 서버(200)는 다양한 원본 데이터를 저장 및 관리하는 구성으로써 사용자의 요청에 의하여 데이터를 송/수신하는 등의 종래의 기능을 수행하며, 기존의 일반적인 스토리지 시스템과 같이 1차 네트워크 디스크 또는 이동성 스토리지(600)가 USB, SATA 또는 LAN 등을 통해 연결될 수 있다.
The primary storage server 200 is a configuration for storing and managing various original data, and performs a conventional function such as transmitting / receiving data according to a user's request. The removable storage 600 may be connected via USB, SATA, or LAN.

2차 백업 스토리지(300)는 1차 스토리지 서버(200)로부터 2차 백업 데이터를 생성하고 관리하는 기능을 수행하며, 1차 스토리지 서버(200)와 USB 3.0 등을 통해 연결될 수 있다.
The secondary backup storage 300 performs a function of generating and managing secondary backup data from the primary storage server 200 and may be connected to the primary storage server 200 through a USB 3.0.

스토리지 어레이(400)는 호스트 컨트롤러(410)와 보안 모듈(420)을 포함하고, 스토리지 서버(200, 300)의 외부에 설치되며, 2차 백업 스토리지(300)와 고속 데이터 전송을 위한 인터페이스 하드웨어 등으로 연결될 수 있다. 여기서, 호스트 컨트롤러(410)는 보안토큰(500)을 제어하는 시스템으로써 본 발명에서는 호스트 컨트롤러(410)가 스토리지 어레이(400) 집합 구조 내에 포함됨으로써 보안토큰(500)을 호스트와 격리하여 호스트 소프트웨어로부터 인증 프로세스를 완전히 차단할 수 있게 된다. 다음으로 보안 모듈(420)은 보안토큰(500)을 제어하는 소프트웨어로써 보안토큰(500)과의 통신, 보안토큰(500)의 사용자 인증 기능 대응, 보안토큰(500)으로부터의 키 값을 받아 전달하는 등의 역할을 한다. 구체적으로, 보안 모듈(420)은 사용자에게 PIN(Personal ID Number) number를 입력할 것을 요구하고, 후보 인증키 Ka'를 생성하며, 이를 사용하여 보안토큰(500)에서 송신되는 Rnd를 암호화함으로써 후보 인증값 A'를 산출하여 보안토큰(500)으로 전송한다. 또한, 보안토큰(500)에서 사용자의 인증이 성공하면 보안토큰(500)으로부터 송신된 해독값 K를 해독하여 해독키 Key를 얻고 후보 인증값 Ka'를 삭제한다.
The storage array 400 includes a host controller 410 and a security module 420, is installed outside the storage servers 200 and 300, and interface hardware for secondary backup storage 300 and high-speed data transfer. Can be connected. Here, the host controller 410 is a system for controlling the security token 500. In the present invention, the host controller 410 is included in the storage array 400 aggregation structure to isolate the security token 500 from the host to separate the host from the host software. This can completely block the authentication process. Next, the security module 420 is a software for controlling the security token 500, and communicates with the security token 500, responds to the user authentication function of the security token 500, and receives a key value from the security token 500. Etc. Specifically, the security module 420 requests the user to enter a personal identification number (PIN) number, generates a candidate authentication key Ka ', and uses the same to encrypt the Rnd transmitted from the security token 500. The authentication value A 'is calculated and transmitted to the security token 500. In addition, if the user authentication is successful in the security token 500, the decryption value K transmitted from the security token 500 is decrypted to obtain a decryption key key, and the candidate authentication value Ka 'is deleted.

보안토큰(500)은 2차 데이터의 물리적 도난 및 악의적 접근 방지를 위하여 데이터를 고속으로 암호화하고 사용자 인증 및 접근제어를 수행하는 하드웨어 기반의 구성으로써, 호스트 컨트롤러(410)에 의해 제어되어 통신을 행하며 본 발명에서는 스토리지 어레이(400)의 호스트 컨트롤러(410)와 독립적으로 설치됨으로써 2차 데이터에의 악의적 접근을 방지할 수 있다.The security token 500 is a hardware-based configuration that encrypts data at high speed and performs user authentication and access control in order to prevent physical theft and malicious access of secondary data, and is controlled by the host controller 410 to communicate. In the present invention, by being installed independently of the host controller 410 of the storage array 400 it is possible to prevent malicious access to the secondary data.

스토리지 어레이(400)에 독립적으로 설치된 호스트 컨트롤러(410)와 분리되어 설치됨으로써 2차 데이터에의 악의적 접근을 방지할 수 있다. 구체적으로, 보안토큰(500)은 암호키(Encryption key) Key와 인증키(Authentication key) Ka를 입력받고, 보안함수를 사용하여 Rnd(Random Number)를 생성하여 이를 스토리지 어레이(400) 구체적으로는 스토리지 어레이의 보안 모듈(420)로 전송하며, 인증키 Ka를 사용하여 Rnd를 암호화함으로써 인증값 A를 생성한다. 또한, 스토리지 어레이(400)의 보안 모듈(420)로부터 송신된 후보 인증값 A'와 자체적으로 생성한 인증값 A를 비교하여 동일한 것으로 판단되면 인증되지 않은 사용자의 접근이 불가능하도록 암호화한 해독값 K를 생성하여 스토리지 어레이(400)의 보안 모듈(420)에 전송함으로써 이를 해독하여 사용자의 접근을 허용하고, 후보 인증값 A'와 인증값 A가 상이한 것으로 판단되면 암호키 Key를 완전히 삭제함으로써 암호화된 데이터를 복호화 할 수 없도록 하여 인증되지 않은 사용자의 악의적인 접근을 불허한다.
By being separated from the host controller 410 independently installed in the storage array 400, malicious access to secondary data may be prevented. Specifically, the security token 500 receives an encryption key Key and an authentication key Ka, generates a random number (Rnd) using a security function, and specifically generates the Rnd (Random Number) using the security function. It transmits to the security module 420 of the storage array, and generates an authentication value A by encrypting Rnd using the authentication key Ka. In addition, if it is determined that the candidate authentication value A 'transmitted from the security module 420 of the storage array 400 is identical to the authentication value A generated by itself, and is determined to be the same, the decryption value K encrypted so that an unauthorized user cannot access it. And decrypts the data by transmitting it to the security module 420 of the storage array 400 to allow the user access. If it is determined that the candidate authentication value A 'and the authentication value A are different, the encryption key is completely deleted. This prevents unauthorized access by unauthorized users by decrypting the data.

살펴본 바와 같이, 본 발명의 스토리지 어레이(400)는 보안토큰(500)과 분리되는 호스트 컨트롤러(410)와 보안 모듈(420)을 포함하여 키 제공과 사용자 인증이 호스트 플랫폼에서 이루어지는 종래 시스템과는 차별화된 방법으로 상기 보안토큰(500)에 의하여 인증된 사용자만이 상기 스토리지 어레이(400)에 접근할 수 있게 함으로써 스토리지 시스템의 중요 데이터를 안전하게 보호할 수 있게 된다.
As described above, the storage array 400 of the present invention includes a host controller 410 and a security module 420 that are separated from the security token 500 to differentiate from the conventional system in which key provision and user authentication are performed in the host platform. In this manner, only the user authenticated by the security token 500 can access the storage array 400, thereby protecting important data of the storage system.

이상에서 몇 가지 실시예를 들어 본 발명을 더욱 상세하게 설명하였으나, 본 발명은 반드시 이러한 실시예로 국한되는 것이 아니고 본 발명의 기술사상을 벗어나지 않는 범위 내에서 다양하게 변형실시될 수 있다.
While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed exemplary embodiments, but, on the contrary, is intended to cover various modifications and equivalent arrangements included within the spirit and scope of the invention.

100 : 백업용 스토리지 제어 시스템
200 : 1차 스토리지 서버
300 : 2차 백업 스토리지
400 : 스토리지 어레이
410 : 호스트 컨트롤러
420 : 보안 모듈
500 : 보안토큰100: Storage control system for backup
200: primary storage server
300: secondary backup storage
400: storage array
410: host controller
420: security module
500: Security Token

Claims (5)

원본 데이터를 관리하는 1차 스토리지 서버;
상기 1차 스토리지 서버로부터 2차 데이터를 생성하는 2차 백업 스토리지; 및
사용자 인증을 수행하는 토큰을 제어하는 스토리지 어레이를 포함하며,
상기 스토리지 어레이는 상기 토큰과 분리되는 호스트 컨트롤러 및 보안 모듈을 포함하며,
상기 보안 모듈은 후보 인증키를 생성하고 후보 인증값을 산출하며 상기 후보 인증값을 상기 토큰으로 전송하여, 상기 토큰에 의하여 인증된 사용자만이 상기 스토리지 어레이에 접근가능한 백업용 스토리지 제어 시스템.
A primary storage server for managing original data;
Secondary backup storage for generating secondary data from the primary storage server; And
A storage array controlling a token that performs user authentication,
The storage array includes a host controller and a security module separate from the token,
The security module generates a candidate authentication key, calculates a candidate authentication value, and transmits the candidate authentication value to the token, so that only a user authenticated by the token has access to the storage array.
삭제delete 삭제delete 제1항에 있어서,
상기 토큰은 암호키와 인증키를 입력받고 Rnd(Random Number)와 인증값을 생성하며 상기 스토리지 어레이로부터 송신된 상기 후보 인증값과 상기 인증값을 비교하여, 인증된 사용자만이 상기 스토리지 어레이에 접근할 수 있는 것을 특징으로 하는 백업용 스토리지 제어 시스템.
The method of claim 1,
The token receives an encryption key and an authentication key, generates a random number (Rnd) and an authentication value, and compares the candidate authentication value and the authentication value transmitted from the storage array, so that only an authenticated user accesses the storage array. Storage control system for backup, characterized in that possible.
제1항에 있어서,
상기 스토리지 어레이는 상기 인증값과 후보 인증값이 동일하면 해독키를 생성하고, 상기 인증값과 후보 인증값이 상이하면 암호키를 삭제하는 것을 특징으로 하는 백업용 스토리지 제어 시스템.The method of claim 1,
And the storage array generates a decryption key if the authentication value and the candidate authentication value are the same, and deletes the encryption key if the authentication value and the candidate authentication value are different.
KR1020120115232A 2012-10-17 2012-10-17 System for controlling backup storage Active KR101387939B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020120115232A KR101387939B1 (en) 2012-10-17 2012-10-17 System for controlling backup storage

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120115232A KR101387939B1 (en) 2012-10-17 2012-10-17 System for controlling backup storage

Publications (1)

Publication Number Publication Date
KR101387939B1 true KR101387939B1 (en) 2014-04-22

Family

ID=50658369

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120115232A Active KR101387939B1 (en) 2012-10-17 2012-10-17 System for controlling backup storage

Country Status (1)

Country Link
KR (1) KR101387939B1 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006072995A (en) * 2004-08-31 2006-03-16 Hitachi Ltd Storage system with reliable time stamp function
KR20080082752A (en) * 2007-03-09 2008-09-12 이병배 Dual File Backup Method
KR20090062199A (en) * 2007-12-12 2009-06-17 (주)세이퍼존 Secure USB memory management system

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006072995A (en) * 2004-08-31 2006-03-16 Hitachi Ltd Storage system with reliable time stamp function
KR20080082752A (en) * 2007-03-09 2008-09-12 이병배 Dual File Backup Method
KR20090062199A (en) * 2007-12-12 2009-06-17 (주)세이퍼존 Secure USB memory management system

Similar Documents

Publication Publication Date Title
US8281135B2 (en) Enforcing use of chipset key management services for encrypted storage devices
US8315394B2 (en) Techniques for encrypting data on storage devices using an intermediate key
US7890993B2 (en) Secret file access authorization system with fingerprint limitation
CN105740725B (en) A kind of document protection method and system
US9529733B1 (en) Systems and methods for securely accessing encrypted data stores
US20080040613A1 (en) Apparatus, system, and method for secure password reset
CN102884535A (en) Protected device management
KR20080071528A (en) Method and system for storage data encryption and data access
US9563789B1 (en) Separate cryptographic keys for protecting different operations on data
CN102948114A (en) Single-use authentication method for accessing encrypted data
US11861027B2 (en) Enhanced securing of data at rest
US20080123858A1 (en) Method and apparatus for accessing an encrypted file system using non-local keys
CN113938278B (en) Key management and protection method for encrypted hard disk
US20170046530A1 (en) Distributed Cloud Storage System (DCSS) for secure, reliable storage and retrieval of data and computing objects
US11163893B2 (en) Methods and systems for a redundantly secure data store using independent networks
US11601285B2 (en) Securely authorizing service level access to a backup system using a specialized access key
JP2008005408A (en) Recording data processing device
KR20170053459A (en) Encryption and decryption method for protecting information
CN114942729A (en) Data safety storage and reading method for computer system
KR100750697B1 (en) Digital document security system with shared storage having user access function, and document processing method using the system
US12174988B2 (en) System and method for managing transparent data encryption of database
CN110855429A (en) Software key protection method based on TPM
KR101387939B1 (en) System for controlling backup storage
KR101386606B1 (en) Method for controlling backup storage
Halcrow Demands, solutions, and improvements for Linux filesystem security

Legal Events

Date Code Title Description
A201 Request for examination
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20121017

PA0201 Request for examination
E902 Notification of reason for refusal
PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20131010

Patent event code: PE09021S01D

E701 Decision to grant or registration of patent right
PE0701 Decision of registration

Patent event code: PE07011S01D

Comment text: Decision to Grant Registration

Patent event date: 20140414

GRNT Written decision to grant
PR0701 Registration of establishment

Comment text: Registration of Establishment

Patent event date: 20140416

Patent event code: PR07011E01D

PR1002 Payment of registration fee

Payment date: 20140416

End annual number: 3

Start annual number: 1

PG1601 Publication of registration
FPAY Annual fee payment

Payment date: 20170418

Year of fee payment: 4

PR1001 Payment of annual fee

Payment date: 20170418

Start annual number: 4

End annual number: 4

FPAY Annual fee payment

Payment date: 20180417

Year of fee payment: 5

PR1001 Payment of annual fee

Payment date: 20180417

Start annual number: 5

End annual number: 5

FPAY Annual fee payment

Payment date: 20190417

Year of fee payment: 6

PR1001 Payment of annual fee

Payment date: 20190417

Start annual number: 6

End annual number: 6

PR1001 Payment of annual fee

Payment date: 20200413

Start annual number: 7

End annual number: 7

PR1001 Payment of annual fee

Payment date: 20210401

Start annual number: 8

End annual number: 8

PR1001 Payment of annual fee

Payment date: 20230321

Start annual number: 10

End annual number: 10

PR1001 Payment of annual fee

Payment date: 20240416

Start annual number: 11

End annual number: 11

PR1001 Payment of annual fee

Payment date: 20250416

Start annual number: 12

End annual number: 12