[go: up one dir, main page]

KR20160141462A - Apparatus and method for managing data security - Google Patents

Apparatus and method for managing data security Download PDF

Info

Publication number
KR20160141462A
KR20160141462A KR1020150077152A KR20150077152A KR20160141462A KR 20160141462 A KR20160141462 A KR 20160141462A KR 1020150077152 A KR1020150077152 A KR 1020150077152A KR 20150077152 A KR20150077152 A KR 20150077152A KR 20160141462 A KR20160141462 A KR 20160141462A
Authority
KR
South Korea
Prior art keywords
data
security
area
file
application
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
KR1020150077152A
Other languages
Korean (ko)
Other versions
KR101761799B1 (en
Inventor
박수완
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020150077152A priority Critical patent/KR101761799B1/en
Publication of KR20160141462A publication Critical patent/KR20160141462A/en
Application granted granted Critical
Publication of KR101761799B1 publication Critical patent/KR101761799B1/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6209Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 보안 데이터 관리 장치 및 그 방법에 관한 것으로, 일반영역 및 보안영역을 구비하는 단말의 보안 데이터 관리 장치에 있어서, 상기 보안영역에 포함되어, 상기 일반영역을 통해 접근하는 애플리케이션 및 상기 단말의 사용자를 인증하는 인증 및 접근 제어부; 상기 보안영역에 포함되어, 인증을 통해 전달된 데이터를 파일 형태로 저장하는 파일 시스템부; 및 상기 보안영역에 포함되어, 파일 형태로 저장되는 데이터의 키 관리 및 암복호화를 수행하는 키 관리 및 암복호화부;를 포함한다.A security data management apparatus and method for a terminal having a general area and a security area, the security data management apparatus comprising: an application that is included in the secure area and accesses through the general area; An authentication and access control unit for authenticating a user; A file system unit included in the secure area and storing data transferred through authentication in a file format; And a key management and encryption / decryption unit included in the secure area for performing key management and encryption / decryption of data stored in a file format.

Description

보안 데이터 관리 장치 및 그 방법{APPARATUS AND METHOD FOR MANAGING DATA SECURITY}TECHNICAL FIELD [0001] The present invention relates to a security data management apparatus,

본 발명은 보안 데이터 관리 장치 및 그 방법에 관한 것으로, 보다 자세하게는 가상화를 기반으로 일반영역에서 분리된 폐쇄 영역인 보안영역을 이용하여 인증된 사용자 및 어플리케이션만이 보안영역을 사용하도록 하는 보안 데이터 관리 장치 및 그 방법에 관한 것이다.The present invention relates to a security data management apparatus and method thereof, and more particularly, to a security data management apparatus and a security data management method for securely managing only a user and an application authenticated by using a security zone, Device and method thereof.

각종 모바일 단말에 대한 보안 위협이 급증하면서, 그 해결 방안이 다양한 측면에서 개발되고 있다. 이중, 소프트웨어적인 보안 방식이 대다수를 이룬다. 하지만, 소프트웨어적인 보안 방식은 사용자 데이터가 저장되어 있는 메모리가 분실되거나 외부로부터 악의적으로 해킹될 경우, 메모리에 저장되어 있던 개인적인 데이터는 고스란히 유출된다. Security threats to various mobile terminals are rapidly increasing, and solutions are being developed in various aspects. Of these, software security is the majority. However, in a software-based security scheme, when memory in which user data is stored is lost or maliciously hacked from the outside, personal data stored in the memory is leaked intact.

기존의 PC를 기반으로 제안된 다양한 암호화 데이터시스템 기술들은 저장되는 데이터를 보호하기 위해 다양한 레벨에서 제안되었다. 커널 레벨에 코드 추가 없이 사용자 공간에서의 프로그램으로만 암/복호화를 구현하기 위해 가상 데이터시스템(VFS)을 활용하는 사용자 공간 데이터시스템 기법, NFS에 기반되는 운영시스템 레벨의 트래픽을 사용자 공간으로 돌려서 사용하는 로컬 데이터시스템 기법, 어떤 데이터시스템 위에서도 동작할 수 있는 유연성을 가지는 스택어블 데이터시스템(stackable filesystem) 기법, 이들보다 더 추상화된 레벨에서 동작하며 디렉토리, 데이터 메타데이터 및 동작을 모두 통제하는 디스크 기반 데이터시스템 기법 등 다양하게 제시되고 있다. 하지만 이들은 모두 PC를 기반으로 제안되어 연산 오버헤드가 높아 모바일 단말에 적용하기 위해서는 보다 경량화된 암호화 및 보안 알고리즘이 요구된다. Various cryptographic data system technologies proposed based on the existing PC have been proposed at various levels to protect the stored data. User space data system technique that utilizes virtual data system (VFS) to implement encryption / decryption only in user space without adding code at the kernel level, use of operating system level traffic based on NFS to user space A stackable filesystem technique that has the flexibility to operate on any data system, disk-based data that operates at a more abstract level and controls both directory, data metadata, and behavior. System techniques, and so on. However, all of them are proposed based on PC, and the operation overhead is high, so a lighter encryption and security algorithm is required to be applied to a mobile terminal.

또한, 최근 실제 존재하는 물리적인 자원을 여러 개의 어플리케이션 혹은 운영체제에게 논리적으로 분할하여 분배하는 가상화 기술이 주목을 받으면서 가상 환경 내에서 운영되는 보안 기술들이 다수 제안되고 있다. 이러한 가상화 기술이 모바일 단말에 적용되는 사례는 비용 측면에서뿐만 아니라 보안성 강화에도 강점을 가짐에 따라 그에 따른 활용이 증가하고 있으며, 그로 인해 단말의 특성을 고려한 가상화 기반의 프로세스 처리 기법들이 더욱 요구되는 실정이다. In addition, recently, a number of security technologies that are operated in a virtual environment have been proposed, in which virtualization technology for logically dividing and distributing actual physical resources to a plurality of applications or operating systems is getting attention. The application of such virtualization technology to mobile terminal is not only in terms of cost, but also because it has strong strength in security. Therefore, utilization of virtualization technology is increasing, and therefore virtualization-based process processing techniques considering terminal characteristics are more demanded to be.

따라서, 모바일 단말에서 사용자의 개인정보 및 민감 데이터를 안전하게 저장 관리하기 위한 방법으로 분리 도메인 적용 및 암호학적 데이터시스템의 활용은 단말 보안의 다양한 해결책으로 제시 될 수 있으며, 이를 위해서는 단말 환경에 적합한 연산 오버헤드의 최소화, 데이터 보안의 강인성과 유연성을 제공하는 것이 앞서 요구된다.Accordingly, the application of the separation domain and the use of the cryptographic data system as a method for securely storing and managing the user's personal information and sensitive data in the mobile terminal can be presented as various solutions of the terminal security. It is required to provide a minimum of heads, robustness and flexibility of data security.

이와 관련하여, 한국공개특허 제2008-0041420호는 "보안 데이터를 관리하는 장치 및 그 방법"에 관하여 개시하고 있다. In this regard, Korean Patent Laid-Open Publication No. 2008-0041420 discloses "an apparatus and method for managing secure data ".

본 발명은 상기와 같은 문제점을 해결하기 위해 발명된 것으로서, 사용자의 개인정보와 같은 민감 데이터를 안전하고 효율적으로 저장 관리하기 위하여 가상화 기술을 이용하여 일반영역에서 분리된 보안영역을 제공하고 보안영역을 이용하여 암호화된 데이터를 애플리케이션 별로 관리하는 보안 데이터 관리 장치 및 그 방법을 제공하는데 그 목적이 있다.Disclosure of Invention Technical Problem [8] Accordingly, the present invention has been made to solve the above problems, and it is an object of the present invention to provide a security area separated from a general area using a virtualization technology to securely and efficiently store and manage sensitive data, The present invention is directed to a security data management apparatus and method for managing encrypted data using an application.

또한, 본 발명은 보안영역 내 저장되는 데이터들을 암호화하여 저장하고 무결성 검증을 통해 저장된 데이터를 사용자에게 제공하는 보안 데이터 관리 장치 및 그 방법을 제공하는데 그 목적이 있다.It is another object of the present invention to provide a secure data management apparatus and method for encrypting and storing data stored in a secure area and providing stored data to a user through integrity verification.

또한, 본 발명은 디렉터리 구조를 사용하지 않고 애플리케이션별로 데이터를 단순하게 저장 관리하는 보안 데이터 관리 장치 및 그 방법을 제공하는데 그 목적이 있다.It is another object of the present invention to provide a security data management apparatus and method for simply storing and managing data for each application without using a directory structure.

상기한 목적을 달성하기 위한 본 발명에 따른 보안 데이터 관리 장치는 일반영역 및 보안영역을 구비하는 단말의 보안 데이터 관리 장치에 있어서, 상기 보안영역에 포함되어, 상기 일반영역을 통해 접근하는 애플리케이션 및 상기 단말의 사용자를 인증하는 인증 및 접근 제어부; 상기 보안영역에 포함되어, 인증을 통해 전달된 데이터를 파일 형태로 저장하는 파일 시스템부; 및 상기 보안영역에 포함되어, 파일 형태로 저장되는 데이터의 키 관리 및 암복호화를 수행하는 키 관리 및 암복호화부;를 포함한다.According to another aspect of the present invention, there is provided an apparatus for managing security data of a terminal having a general area and a security area, the apparatus comprising: An authentication and access control unit for authenticating a user of the terminal; A file system unit included in the secure area and storing data transferred through authentication in a file format; And a key management and encryption / decryption unit included in the secure area for performing key management and encryption / decryption of data stored in a file format.

또한, 상기 키 관리 및 암복호화부는 암호화 알고리즘을 이용하여 데이터를 암복호화하는 암복화부; 암복호화에서 사용되는 키 생성, 폐기 및 갱신을 수행하는 키 관리부; 및 해쉬 함수를 이용하여 데이터 무결성을 검증하는 데이터 무결성 검증부;를 포함하는 것을 특징으로 한다.The key management and encryption / decryption unit may include a randomization unit for encryption / decryption of data using an encryption algorithm; A key management unit for performing key generation, discarding and updating used in encryption / decryption; And a data integrity verification unit that verifies data integrity using a hash function.

또한, 상기 파일 시스템부의 구조는 볼륨, 비트맵, 오브젝트 및 파일 영역으로 구성되는 것을 특징으로 한다.In addition, the structure of the file system unit may include a volume, a bitmap, an object, and a file area.

상기와 같은 구성을 갖는 본 발명에 의한 보안 데이터 관리 장치 및 그 방법은 보안영역에 저장되는 데이터들을 암호화하여 저장하고 무결성 검증을 통해 저장된 데이터를 사용자에게 제공하여, 애플리케이션에 의한 보안 위협으로부터 안전성을 제공할 뿐 아니라 악의적인 행위에 의해 데이터가 외부로 반출된다 하더라도 단말 내에서 생성되는 키가 없이는 데이터의 복호화가 불가능함으로써, 데이터 유출이 차단되는 효과가 있다.The security data management apparatus and method according to the present invention having the above-described structure encrypts and stores data stored in a security area, provides stored data to the user through integrity verification, and provides security from security threats by applications Even if data is exported to the outside due to malicious action, it is impossible to decrypt the data without a key generated in the terminal, thereby preventing data leakage.

또한, 본 발명은 디렉터리 구조를 사용하지 않고 애플리케이션별로 데이터를 단순하게 저장 관리하여 파일 검색의 효율성을 제공하는 효과가 있다.In addition, the present invention has an effect of providing a file search efficiency by simply storing and managing data for each application without using a directory structure.

도 1은 본 발명에 따라 적용되는 단말의 데이터 저장 구조를 설명하기 위한 도면이다.
도 2는 본 발명에 따른 보안 데이터 관리 장치의 구성을 설명하기 위한 도면이다.
도 3은 본 발명에 따른 파일 시스템의 구조를 설명하기 위한 도면이다.
도 4는 본 발명에 따른 보안 데이터 관리 방법의 순서를 설명하기 위한 순서도이다.1 is a diagram for explaining a data storage structure of a terminal applied according to the present invention.
2 is a diagram for explaining a configuration of a secure data management apparatus according to the present invention.
3 is a diagram for explaining the structure of a file system according to the present invention.
4 is a flowchart illustrating a procedure of a security data management method according to the present invention.

이하, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 정도로 상세히 설명하기 위하여, 본 발명의 가장 바람직한 실시예를 첨부 도면을 참조하여 설명하기로 한다. 우선, 각 도면의 구성요소들에 참조부호를 부가함에 있어서, 동일한 구성요소들에 대해서는 비록 다른 도면상에 출력되더라도 가능한 한 동일한 부호를 가지도록 하고 있음에 유의해야 한다. 또한, 본 발명을 설명함에 있어, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략한다.DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings in order to facilitate a person skilled in the art to easily carry out the technical idea of the present invention. . First, in adding reference numerals to the constituent elements of the drawings, it should be noted that the same constituent elements are denoted by the same reference numerals whenever possible even if they are displayed on other drawings. In the following description of the present invention, a detailed description of known functions and configurations incorporated herein will be omitted when it may make the subject matter of the present invention rather unclear.

도 1은 본 발명에 따라 적용되는 단말의 데이터 저장 구조를 설명하기 위한 도면이다.1 is a diagram for explaining a data storage structure of a terminal applied according to the present invention.

도 1을 참조하여 설명하면, 본 발명에 따른 단말(10)은 하이퍼바이저, 가상 OS(Operating System), VMM(Virtual Machine Monitor)와 같은 다양한 가상화 소프트웨어(S/W)를 이용하여 사용자들이 어플리케이션 윈도우 내에서 게스트 운영체제를 실행할 수 있도록 가상화 기능을 제공한다. 다시 말해, 안드로이드와 같은 기존의 운영체제가 실행되는 일반영역(A)으로부터 분리된 별도의 OS가 실행될 수 있는 보안영역(B)을 제공한다. 1, the terminal 10 according to the present invention uses various virtualization software (S / W) such as a hypervisor, a virtual OS (OS), and a virtual machine monitor (VMM) And provides virtualization capabilities to run the guest operating system within it. In other words, it provides a security area B in which a separate OS separated from the general area A in which an existing operating system such as Android is executed can be executed.

가상화 소프트웨어는 게스트 운영체제가 물리적 하드웨어상에 직접 동작을 시키는 하이퍼바이저형 가상화(TYPE 1)와 호스트 OS 위에서 게스트 OS가 동작되어 하드웨어에 직접적으로 접근하지 못하는 호스트형 가상화(TYPE 2)으로 나뉠 수 있으며, 본 발명은 두 타입 모두에서 제공될 수 있다. 보안영역(B)에서 관리되는 중요 데이터는 두 타입의 가상화 방법을 모두 고려하여 H/W 하드웨어 드라이버를 통해 플래시 메모리, USB 메모리 또는 SD 카드와 같이 내/외부적으로 존재하는 물리적인 저장소에 기록될 수 있다. Virtualization software can be divided into hypervisor type virtualization (TYPE 1) in which the guest operating system operates directly on the physical hardware and host type virtualization (TYPE 2) in which the guest OS is operated on the host OS and is not directly accessible to the hardware. The present invention can be provided in both types. Important data managed in the security area (B) can be recorded in physical storage existing internally or externally, such as flash memory, USB memory or SD card, through H / W hardware drivers considering both types of virtualization methods .

보안영역(B)은 일반적으로 사용되는 리눅스 OS 뿐 아니라 단말(10)의 특성을 고려하여 경량화된 임베디드 OS를 활용하여 메모리 용량과 CPU 처리 능력 등에 부하가 최소화 되도록 운영된다. The security area B is operated so as to minimize the load on the memory capacity and the CPU processing ability by utilizing the lightweight embedded OS in consideration of the characteristics of the terminal 10 as well as the commonly used Linux OS.

따라서, 단말(10)의 보안영역(B)은 일반영역(A)에 존재하는 인가된 애플리케이션과 허가된 사용자에 대한 인증을 통해서만 접근할 수 있으며, 일반영역(A)의 데이터는 인증을 기반으로 내부 영역 간 통신(Inter-Domain Communication, IPC)을 통해서만 전달된다. 즉, 보안영역(B)은 사용자 애플리케이션을 제공하지 않고 오직 일반영역(A)에 존재하는 애플리케이션을 통해 사용자가 보호하고자 하는 데이터를 보안영역(B)에 전달할 수 있으며, 일반영역(A)의 데이터는 설정된 보안 API 및 IPC를 통해서만 보안영역(B)에 전달될 수 있다. Therefore, the security area B of the terminal 10 can only be accessed through authentication for the authorized application and the authorized user existing in the general area A, and the data in the general area A is based on the authentication And only through inter-domain communication (IPC). That is, the security area B can transmit the data to be protected by the user to the security area B through the application existing only in the general area A without providing the user application, Can be delivered to the security area B only through the set security API and the IPC.

도 2는 본 발명에 따른 보안 데이터 관리 장치의 구성을 설명하기 위한 도면이다.2 is a diagram for explaining a configuration of a secure data management apparatus according to the present invention.

도 2를 참조하여 설명하면, 본 발명에 따른 파일 관리 장치(100)는 분리된 도메인에서 동작하는 경량화된 파일시스템을 제공하고 그 안에서 민감 데이터를 안전하게 저장 관리하기 위한 보안 기능을 제공하는데 목적을 가진다. 파일 관리 장치는 기본적으로 파일시스템 구조를 형성하고, 전달된 명령에 따라 데이터를 읽고, 쓰고, 삭제하는 기능을 제공한다. 이때, 경량화된 파일시스템을 위해서는 트리 등을 이용하는 디렉토리 구조를 배제하고 애플리케이션별로 데이터를 단순하게 관리하는 구조를 가진다. 이에 대한 설명은 이후 설명되는 도 3에서 상세히 서술한다. Referring to FIG. 2, the file management apparatus 100 according to the present invention is intended to provide a lightweight file system operating in a separate domain, and to provide a security function for safely storing and managing sensitive data therein . The file management apparatus basically forms a file system structure, and provides a function of reading, writing, and deleting data in accordance with the transmitted command. At this time, for the lightened file system, the directory structure using a tree or the like is excluded and the data is simply managed for each application. This will be described in detail later with reference to FIG.

인증 및 접근제어부(110)는 애플리케이션 인증 및 사용자를 인증하는 모듈로써, 애플리케이션 인증은 일반영역에서 존재하는 애플리케이션이 보안영역에 데이터를 전달하여 저장하기에 허가된 애플리케이션 인지를 확인하는 것이고, 사용자 인증은 단말의 소유자가 맞는지를 확인하는 것이다. 인증 및 접근제어부(110)를 위한 정책 및 인증 정보는 보안영역 내에 존재하며, 이들은 파일시스템에 의해 저장 및 관리될 수 있다. The authentication and access control unit 110 is a module for authenticating an application and authenticating a user. The application authentication is for confirming whether an application existing in a general area is an application permitted to transmit and store data in a secure area, And confirms whether the owner of the terminal is correct. The policy and authentication information for the authentication and access control unit 110 are in the security zone, and they can be stored and managed by the file system.

파일시스템부(120)는 인증 및 접근제어 모듈에 의해 허가된 사용자 및 애플리케이션에 대해서만 접근을 허용한다. 일반영역으로부터 인증을 통해 전달된 데이터는 파일 형태로 파일시스템에 저장되며, 저장되는 데이터는 키 관리 및 암호화 모듈을 통해 암호화 처리되어 저장되고, 데이터 무결성 검증 값도 함께 생성하여 파일 헤더인 오브젝트에 저장한다. The file system unit 120 permits access only to users and applications authorized by the authentication and access control module. Data transmitted through authentication from the general area is stored in the file system in the form of a file. The stored data is encrypted and stored through the key management and encryption module, and the data integrity verification value is also generated and stored in the object do.

키 관리 및 암복호화부(130)는 다양한 암호화 알고리즘과 운영모드를 이용하여 데이터를 암/복호화하는 기능을 제공하고, 메시지 인증 코드 (MAC)와 같은 해쉬 함수를 이용하여 무결성 검증 값을 생성하여 저장된 데이터가 변경되지 않았음을 검증하는 기능을 제공한다. The key management and encryption / decryption unit 130 provides a function of encrypting / decrypting data using various encryption algorithms and operating modes, and generates an integrity verification value using a hash function such as a message authentication code (MAC) Provides the ability to verify that the data has not changed.

또한, 키 관리 및 암복호화부(130)은 암호화 기능을 위해 사용되는 키 관리 기능을 가진다. 보안 기능에 사용되는 키들을 위해 키 생성 기능과 주기적으로 키를 폐기하고 갱신하는 기능을 수행한다. Also, the key management and encryption / decryption unit 130 has a key management function used for the encryption function. It performs key generation function for keys used for security function and periodically discards and updates keys.

이처럼, 보안영역 OS에서 수행되는 파일 시스템은 파일 관리 장치에 의해 관리된 데이터들을 파일시스템 드라이버와 연계하여 설정된 저장 영역인 물리적 저장소에 데이터를 저장한다. As described above, the file system, which is executed in the security area OS, stores data in a physical storage, which is a storage area established by associating data managed by the file management apparatus with the file system driver.

도 3은 본 발명에 따른 파일 시스템의 구조를 설명하기 위한 도면이다.3 is a diagram for explaining the structure of a file system according to the present invention.

도 3을 참조하여 설명하면, 본 발명의 파일 스템은 데이터를 안전하게 관리하기 위한 저장공간을 운영하기 위해 크게 4개의 영역으로 구성된다. 파일시스템 모듈은 안전영역 내 부트 레코드 기능과 같이 시스템 정보를 다루는 볼륨(Volume), 파일시스템을 구성하는 블록들을 관리하는 비트맵(Bitmap), 파일 메타데이터로서 파일에 대한 정보를 저장하는 오브젝트(Objects), 그리고 파일/데이터가 저장되는 파일(File) 영역으로 구성된다.Referring to FIG. 3, the file system of the present invention is composed of four areas in order to operate a storage space for safely managing data. The file system module includes a volume for handling system information such as a boot record function in a safe area, a bitmap for managing blocks constituting the file system, an object for storing information about the file as file metadata ), And a file area in which files / data are stored.

특히, 파일시스템을 구성하는 각 오브젝트(Inode)는 파일시스템에 저장될 수 있는 파일의 개수(N)만큼 생성되어 관리되며, 파일(File)에 저장되는 데이터에 대한 정보를 관리한다. 각 오브젝트는 기존 파일시스템의 디렉토리를 구조를 가지지 않고 모바일 단말에 설치된 애플리케이션 정보와 파일명에 따라 구분될 수 있도록 저장 및 관리된다. In particular, each object (Inode) constituting a file system is generated and managed by the number of files (N) that can be stored in the file system, and manages information about data stored in the file (File). Each object is stored and managed so that the directory of the existing file system is not structured and can be distinguished according to the application information and file name installed in the mobile terminal.

또한, 애플리케이션 정보와 파일명을 통해 검색을 수행할 경우 오브젝트의 전수조사를 통해 발생하는 검색시간 오버헤드를 줄이기 위해 본 발명의 오브젝트는 애플리케이션 별로 연결리스트(Linked List)를 이용하여 관리함으로써 검색 시간을 단축시킨다. 각 인노드(Inode) 내에 존재하는 인노드 링커(Inode Linker)을 이용하여 동일 애플리케이션의 다음 파일의 헤더 정보인 오브젝트를 가리키게 함으로써 동일한 애플리케이션 정보를 가지는 파일들을 효율적으로 검색할 수 있는 기능을 제공한다. 각 애플리케이션이 소유한 데이터는 해당 애플리케이션만이 검색 및 접근 할 수 있어 파일시스템 모듈 내에서도 애플리케이션에 의한 접근제어 기능을 제공한다고 볼 수 있으며, 관련된 애플리케이션끼리 데이터를 공유하고자 할 경우에는 보안 정책 테이블을 이용하여 관련 애플리케이션까지 검색 및 접근할 수 있도록 범위를 확대할 수도 있다.In addition, when searching through application information and file name, the object of the present invention is managed by using a linked list for each application in order to reduce the search time overhead caused by examination of the total number of objects, thereby shortening the search time . It is possible to efficiently search for files having the same application information by pointing to an object which is header information of the next file of the same application by using an inode linker existing in each inode node. The data that each application owns can be retrieved and accessed only by the corresponding application. Therefore, it can be seen that the access control function by the application is also provided in the file system module. When sharing the data among related applications, You can also expand the scope to search and access related applications.

인노드(Inode) 내에 존재하는 인노드 링커(Inode Linker)은 단일연결리스트와 이중연결리스트를 선택적으로 사용할 수 있으며, 그에 해당하는 구조를 가진다. 이중연결리스트 일 경우에는 다음 파일의 인노드뿐 아니라 이전 파일의 인노드를 추가적으로 연결하여 검색 유연성을 높일 수 있다. An inode linker existing in a node (Inode) can selectively use a single linked list and a dual linked list, and has a corresponding structure. In the case of a double-linked list, it is possible to increase the search flexibility by additionally connecting the in-node of the previous file as well as the in-node of the next file.

그리고 오브젝트 내 인노드 링커의 연결리스트 정보를 이용하여 애플리케이션별로 파일 데이터를 관리하기 위해서는 해당 애플리케이션의 ID, 애플리케이션명, 파일 개수, 첫번째 인노드, 마지막 인노트 등의 정보가 애플리케이션별로 관리되어야 한다. 이 정보는 파일시스템에 저장되어 파일시스템 마운트 시점에 메모리에서 운영될 수도 있으며, 별도의 영역에서 관리할 수도 있다. In order to manage the file data for each application using the link list information of the node linker in the object, information such as the ID of the application, the application name, the number of files, the first node, and the last node must be managed for each application. This information can be stored in the file system and run in memory at the time of file system mount, or in a separate area.

다시 정리하면 다음과 같이 M개의 설치된 애플리케이션이 관리될 수 있다. Once again, the M installed applications can be managed as follows.

App α = Inode 1 ↔ Inode 2 ↔ Inode 4App α = Inode 1 ↔ Inode 2 ↔ Inode 4

App β = Inode 3 ↔ Inode 3 ↔ … ↔ Inode NApp β = Inode 3 ↔ Inode 3 ↔ ... ↔ Inode N

오브젝트인 각 인노드는 일정한 크기를 가지고 관리되며, 파일명, 파일크기, 파일이 실제 저장되는 블록 주소, 애플리케이션 정보(ID or 애플리케이션명), 파일 암호화 여부, 암호화 키를 생성하기 위한 암호화 시드 값(마스터키), 파일의 무결성 검증 값, 그리고 인노드 링커 등과 같은 파일 정보들을 포함할 수 있다. Each node that is an object is managed with a certain size, and it is managed with a file name, a file size, a block address where the file is actually stored, application information (ID or application name), file encryption, encryption seed value Key), an integrity verification value of the file, and file information such as an inode linker.

도 4는 본 발명에 따른 보안 데이터 관리 방법의 순서를 설명하기 위한 순서도이다.4 is a flowchart illustrating a procedure of a security data management method according to the present invention.

도 4를 참조하여 설명하면, 본 발명에 따른 보안 데이터 관리 방법은 앞서 설명한 보안 데이터 관리 장치를 이용하는 것으로, 이하 중복되는 설명은 생략하기로 한다.Referring to FIG. 4, the security data management method according to the present invention uses the security data management apparatus described above, and a duplicate description will be omitted.

먼저, 보안 데이터 관리 장치는 일반영역을 통해 사용자 또는 애플리케이션의 보안영역 접근을 요청받는다(S100).First, the security data management apparatus is requested to access a security area of a user or an application through a general area (S100).

다음, 보안 데이터 관리 장치는 접근을 요청한 사용자 또는 애플리케이션의 인증을 수행한다(S200).Next, the secure data management apparatus authenticates the user or application requesting access (S200).

다음, 보안 데이터 관리 장치는 인증된 사용자 또는 애플리케이션으로부터 전송된 데이터를 수신한다(S300).Next, the secure data management apparatus receives data transmitted from the authenticated user or application (S300).

다음, 보안 데이터 관리 장치는 수신된 데이터를 파일 형태로 변환하고 저장한다(S400).Next, the secure data management device converts the received data into a file format and stores it (S400).

다음, 보안 데이터 관리 장치는 저장되는 데이터의 암복호화를 수행한다(S500).Next, the secure data management apparatus performs encryption / decryption of the stored data (S500).

이처럼, 보안영역 내 저장되는 데이터들을 암호화하여 저장하고 무결성 검증을 통해 저장된 데이터를 사용자에게 제공하여, 애플리케이션에 의한 보안 위협으로부터 안전성을 제공할 뿐 아니라 악의적인 행위에 의해 데이터가 외부로 반출된다 하더라도 단말 내에서 생성되는 키가 없이는 데이터의 복호화가 불가능함으로써, 데이터 유출이 차단된다.In this way, the data stored in the security area is encrypted and stored, and the stored data is provided to the user through integrity verification to provide security against security threats caused by the application. In addition, The data can not be decrypted without a key generated in the data area.

또한, 본 발명은 디렉터리 구조를 사용하지 않고 애플리케이션별로 데이터를 단순하게 저장 관리하여 파일 검색의 효율성을 제공한다.In addition, the present invention provides a file search efficiency by simply storing and managing data for each application without using a directory structure.

이상에서 본 발명에 따른 바람직한 실시예에 대해 설명하였으나, 다양한 형태로 변형이 가능하며, 본 기술분야에서 통상의 지식을 가진 자라면 본 발명의 특허청구범위를 벗어남이 없이 다양한 변형예 및 수정예를 실시할 수 있을 것으로 이해된다.While the present invention has been described in connection with what is presently considered to be practical exemplary embodiments, it is to be understood that the invention is not limited to the disclosed embodiments, but many variations and modifications may be made without departing from the scope of the present invention. It will be understood that the invention may be practiced.

100 : 보안 데이터 관리 장치
110 : 인증 및 접근제어부
120 : 파일시스템부
130 : 키 관리 및 암복호화부
100: security data management device
110: Authentication and access control unit
120: File system part
130: Key management and encryption / decryption unit

Claims (1)

보안 데이터 관리 장치에 있어서,
상기 장치의 제 1 영역에 포함되어, 상기 장치의 제 2 영역을 통해 접근하는 애플리케이션 및 상기 단말의 사용자를 인증하는 인증 및 접근 제어부;
상기 제 1 영역에 포함되어, 인증을 통해 전달된 데이터를 파일 형태로 저장하는 파일 시스템부; 및
상기 제 1 영역영역에 포함되어, 파일 형태로 저장되는 데이터의 키 관리 및 암복호화를 수행하는 키 관리 및 암복호화부;
를 포함하는 것을 특징으로 하는 보안 데이터 관리 장치.A security data management apparatus comprising:
An authentication and access control part included in a first area of the device, the authentication and access control part authenticating an application accessing through a second area of the device and a user of the terminal;
A file system unit included in the first area and storing data transferred through authentication in a file format; And
A key management and encryption / decryption unit included in the first area and performing key management and encryption / decryption of data stored in a file format;
The security data management apparatus comprising:
KR1020150077152A 2015-06-01 2015-06-01 Apparatus and method for managing data security of terminal Active KR101761799B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150077152A KR101761799B1 (en) 2015-06-01 2015-06-01 Apparatus and method for managing data security of terminal

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150077152A KR101761799B1 (en) 2015-06-01 2015-06-01 Apparatus and method for managing data security of terminal

Publications (2)

Publication Number Publication Date
KR20160141462A true KR20160141462A (en) 2016-12-09
KR101761799B1 KR101761799B1 (en) 2017-07-26

Family

ID=57574666

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150077152A Active KR101761799B1 (en) 2015-06-01 2015-06-01 Apparatus and method for managing data security of terminal

Country Status (1)

Country Link
KR (1) KR101761799B1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101844534B1 (en) * 2017-10-26 2018-04-02 (주)지란지교소프트 Method for securing electronic file
WO2022182102A1 (en) * 2021-02-23 2022-09-01 삼성전자 주식회사 Method for performing user authentication and device for performing same

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102036256B1 (en) * 2017-12-08 2019-11-26 젝스컴퍼니 주식회사 Android embedded system with enhanced security

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101844534B1 (en) * 2017-10-26 2018-04-02 (주)지란지교소프트 Method for securing electronic file
WO2022182102A1 (en) * 2021-02-23 2022-09-01 삼성전자 주식회사 Method for performing user authentication and device for performing same

Also Published As

Publication number Publication date
KR101761799B1 (en) 2017-07-26

Similar Documents

Publication Publication Date Title
KR102254256B1 (en) Anti-rollback version upgrade in secured memory chip
US10007793B2 (en) Secure object having protected region, integrity tree, and unprotected region
JP4392241B2 (en) Method and system for promoting safety protection in a computer system employing an attached storage device
KR100678927B1 (en) How to assign a security zone to an insecure zone and a portable storage device providing the same
US9507964B2 (en) Regulating access using information regarding a host machine of a portable storage drive
US8954752B2 (en) Building and distributing secure object software
US20160110295A1 (en) Secure data encryption in shared storage using namespaces
US20130339715A1 (en) System and method for wiping encrypted data on a device having file-level content protection
CN105993018B (en) Content item encryption on mobile devices
KR20200071682A (en) Self-encryption drive (sed)
NZ555998A (en) Method and portable storage device for allocating secure area in insecure area
US8750519B2 (en) Data protection system, data protection method, and memory card
CN111310213A (en) Service data protection method, device, equipment and readable storage medium
CN103516728A (en) Mirror image encryption and decryption method for preventing cloud platform virtual machine illegal starting
US20190171841A1 (en) Method and system for encrypting files and storing the encrypted files in a storage file system
US12212683B2 (en) Persistent file system in a secure enclave
Chang et al. User-friendly deniable storage for mobile devices
ES2996869T3 (en) Methods and system of preventing duplication of encrypted data
US11468159B2 (en) Memory system
KR101761799B1 (en) Apparatus and method for managing data security of terminal
TWI789291B (en) Module and method for authenticating data transfer between a storage device and a host device
CN103605934B (en) Protection method and device for executable files
US8667278B2 (en) Information processing apparatus and data transmission method of information processing apparatus
KR102295470B1 (en) Secure usb dongle for usb memory without security
KR20150050899A (en) Apparatus and method for security storage using re-encryption

Legal Events

Date Code Title Description
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20150601

A201 Request for examination
PA0201 Request for examination

Patent event code: PA02012R01D

Patent event date: 20160223

Comment text: Request for Examination of Application

Patent event code: PA02011R01I

Patent event date: 20150601

Comment text: Patent Application

PG1501 Laying open of application
E902 Notification of reason for refusal
PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20170112

Patent event code: PE09021S01D

E701 Decision to grant or registration of patent right
PE0701 Decision of registration

Patent event code: PE07011S01D

Comment text: Decision to Grant Registration

Patent event date: 20170705

GRNT Written decision to grant
PR0701 Registration of establishment

Comment text: Registration of Establishment

Patent event date: 20170720

Patent event code: PR07011E01D

PR1002 Payment of registration fee

Payment date: 20170721

End annual number: 3

Start annual number: 1

PG1601 Publication of registration
PR1001 Payment of annual fee

Payment date: 20210624

Start annual number: 5

End annual number: 5

PR1001 Payment of annual fee

Payment date: 20220628

Start annual number: 6

End annual number: 6

PR1001 Payment of annual fee

Payment date: 20230620

Start annual number: 7

End annual number: 7

PR1001 Payment of annual fee

Payment date: 20240625

Start annual number: 8

End annual number: 8