KR101952628B1 - Method for Content Security Distribution Using Executable Secure Container with Sandbox - Google Patents
Method for Content Security Distribution Using Executable Secure Container with Sandbox Download PDFInfo
- Publication number
- KR101952628B1 KR101952628B1 KR1020170068838A KR20170068838A KR101952628B1 KR 101952628 B1 KR101952628 B1 KR 101952628B1 KR 1020170068838 A KR1020170068838 A KR 1020170068838A KR 20170068838 A KR20170068838 A KR 20170068838A KR 101952628 B1 KR101952628 B1 KR 101952628B1
- Authority
- KR
- South Korea
- Prior art keywords
- content
- security
- security container
- authentication
- information
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 59
- 244000035744 Hura crepitans Species 0.000 title claims abstract description 52
- 238000004891 communication Methods 0.000 claims description 17
- 238000012217 deletion Methods 0.000 claims description 6
- 230000037430 deletion Effects 0.000 claims description 6
- 239000000725 suspension Substances 0.000 claims description 4
- 230000005540 biological transmission Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 8
- 238000012790 confirmation Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 230000000903 blocking effect Effects 0.000 description 3
- 238000013461 design Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 230000002411 adverse Effects 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000015654 memory Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/10—Services
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Tourism & Hospitality (AREA)
- Technology Law (AREA)
- Bioethics (AREA)
- Multimedia (AREA)
- Economics (AREA)
- Human Resources & Organizations (AREA)
- Marketing (AREA)
- Primary Health Care (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- Storage Device Security (AREA)
Abstract
본 발명은 샌드박스가 적용된 실행 가능한 보안 컨테이너를 이용한 콘텐츠 보안유통방법에 관한 것으로서, 더욱 상세하게는 보안 컨테이너의 콘텐츠에 접근하기 위해서는 매니저서버의 인증을 거치도록 하여 콘텐츠로의 접근을 통제하고 유통경로를 추적하고, 상기 보안 컨테이너는 콘텐츠에 접근하는 과정에서 하드디스크에 특정 영역을 샌드박스로 지정하고 이 영역에 대해서만 리소스를 사용하고 접근하도록 설정하여 샌드박스 안에 있는 리소스에 외부 접근을 거부하여 보안성을 높이는 보안 컨테이너를 이용한 콘텐츠 보안유통방법에 관한 것이다.The present invention relates to a content security distribution method using an executable security container to which a sandbox is applied. More specifically, in order to access contents of a security container, access to content is controlled by authentication of a manager server, The security container sets a specific area as a sandbox in the process of accessing the content and sets the access and use of the resource only for this area to deny external access to the resources in the sandbox, And more particularly, to a content security distribution method using a security container that increases security of content.
Description
본 발명은 샌드박스가 적용된 실행 가능한 보안 컨테이너를 이용한 콘텐츠 보안유통방법에 관한 것으로서, 더욱 상세하게는 보안 컨테이너의 콘텐츠에 접근하기 위해서는 매니저서버의 인증을 거치도록 하여 콘텐츠로의 접근을 통제하고 유통경로를 추적하고, 상기 보안 컨테이너는 콘텐츠에 접근하는 과정에서 하드디스크에 특정 영역을 샌드박스로 지정하고 이 영역에 대해서만 리소스를 사용하고 접근하도록 설정하여 샌드박스 안에 있는 리소스에 외부 접근을 거부하여 보안성을 높이는 보안 컨테이너를 이용한 콘텐츠 보안유통방법에 관한 것이다.The present invention relates to a content security distribution method using an executable security container to which a sandbox is applied. More specifically, in order to access contents of a security container, access to content is controlled by authentication of a manager server, The security container sets a specific area as a sandbox in the process of accessing the content and sets the access and use of the resource only for this area to deny external access to the resources in the sandbox, And more particularly, to a content security distribution method using a security container that increases security of content.
현대사회에서 이윤창출을 위한 사업을 구상하거나 각종 연구 등을 함에 있어서, 당해 사업 또는 연구와 관련된 정보 및 기술들은 보안유지를 전제하에 각 분야의 전문가 또는 멤버들 사이에 공유되며, 필요에 따라서는 당해 정보 및 기술들을 제3자에게 일시적으로 공개함으로써 보다 진일보한 정보 및 기술로 발전되도록 할 수 있다.In contemporary society, information and technology related to the business or research are shared among experts or members of each field under the premise of maintaining security in designing a business for profit making or conducting various researches. Information and technologies may be temporarily released to a third party to be developed into more advanced information and technologies.
보안유지를 전제로 한 상기 정보 및 기술과 같은 콘텐츠의 공개는 다양한 매개체를 통해 이루어질 수 있으나 컴퓨터 통신을 통한 공유가 일반적이라 할 것이다.The disclosure of contents such as the above information and technology on the assumption of security maintenance can be performed through various media, but sharing through computer communication is common.
이러한 컴퓨터 통신을 통한 콘텐츠의 공유는 상기 콘텐츠가 담긴 데이터를 온라인 통신을 통해 다른 컴퓨터로 전송함으로써 이루어지게 되며, 콘텐츠 공유 시 콘텐츠공유자들 간에 해당 정보에 대한 유출금지를 약속한 상태이므로, 종래 보안전송시스템 및 보안전송방법은 일단 콘텐츠공유자에 의한 콘텐츠유출은 없는 것으로 보고 해당 데이터의 발수신 중에 이루어지는 해킹 또는 권한이 없는 자에 의한 열람이 불가능하도록 하는 방향에 중점을 두었다.The sharing of the contents through the computer communication is performed by transmitting the data containing the contents to another computer through on-line communication, and since the content sharers are in a state of prohibiting the outflow of the corresponding information among the contents sharers when sharing the contents, The system and security transmission method is focused on the direction of preventing hacking or reading by unauthorized persons during the reception of the corresponding data because the content is not leaked by the content sharer.
그런데, 해당 정보에 대한 보안을 약속한 정보공유자가 실수 또는 악의적인 의사로 상기 정보를 컴퓨터 통신을 통해 외부로 유출할 수 있는데, 종래 보안전송시스템 및 보안전송방법은 이러한 정보유출의 위험성에 대해서는 전혀 대비되고 있지 않는 문제가 있었다.However, the information sharer promising security for the information may leak out the information to the outside through a computer communication by mistake or malicious intention. In the conventional security transmission system and the security transmission method, There was a problem that was not being contrasted.
이러한 정보유출의 위험성을 차단하기 위하여 기존의 보안전송시스템 및 보안전송방법에 더하여 콘텐츠로의 접근 권한에 대한 감시를 강화하면서 열람 권한이 있는 사용자라도 콘텐츠 유출을 방지하고, 콘텐츠의 유통경로를 추적하기 위한 방법이 필요하게 되었다.In addition to the existing security transmission system and security transmission method, in order to prevent the risk of information leakage, it is necessary to strengthen monitoring of access rights to contents, There was a need for a method.
본 발명은 보안 컨테이너의 콘텐츠에 접근하기 위해서는 매니저서버의 인증을 거치도록 하여 콘텐츠로의 접근을 통제하고 유통경로를 추적하고, 상기 보안 컨테이너는 콘텐츠에 접근하는 과정에서 하드디스크에 특정 영역을 샌드박스로 지정하고 이 영역에 대해서만 리소스를 사용하고 접근하도록 설정하여 샌드박스 안에 있는 리소스에 외부 접근을 거부하여 보안성을 높이는 보안 컨테이너를 이용한 콘텐츠 보안유통방법을 제공하는 것을 과제로 한다.In order to access the contents of the security container, the content is accessed by a manager server to control access to the content and track the distribution route. In the process of accessing the content, And a content security distribution method using a security container that improves security by refusing external access to resources in a sandbox by setting a resource to be used and accessed only for this area.
상기와 같은 과제를 해결하기 위하여 본 발명은, 콘텐츠 보안유통방법으로서, 매니저서버가 상기 보안컨테이너로부터 실행 요청을 받아 권한을 확인하고 실행을 통제하는 보안컨테이너실행인증단계; 및 매니저서버가 상기 보안컨테이너로부터 콘텐츠 오픈 요청을 받아 권한을 확인하고 콘텐츠 오픈을 통제하는 콘텐츠오픈인증단계;를 포함하고, 상기 보안컨테이너는, 실행 가능한 파일의 형태로 생성되고, 하드디스크의 특정 영역을 샌드박스로 지정하고 콘텐츠를 격리하여 저장함으로써 외부 접근을 거부하고, 상기 콘텐츠에 접근하기 위한 권한을 확인하여 접근을 통제하는 보안관리모듈; 및 상기 콘텐츠가 저장되는 콘텐츠저장모듈;을 포함하는 콘텐츠 보안유통방법을 제공한다.According to an aspect of the present invention, there is provided a content security distribution method comprising: a security container execution authentication step of receiving a request for execution from a security container and confirming an authority and controlling execution of the security container; And a content open authentication step of allowing a manager server to receive a content open request from the security container and to check the rights and to control the content open. The security container is generated in the form of an executable file, A security management module for denying an external access by designating the content as a sandbox and isolating and storing the content, and checking access by checking the authority to access the content; And a content storage module in which the content is stored.
본 발명에서는, 상기 콘텐츠저장모듈은, 원본 콘텐츠가 저장되는 원본영역; 및 가상 콘텐츠가 저장되는 가상영역;을 포함할 수 있다.In the present invention, the content storage module may include: an original area in which original content is stored; And a virtual area in which the virtual content is stored.
본 발명에서는, 상기 보안관리모듈은, 데이터를 암호화 및 복호화 하는 암호화모듈; 보안컨테이너의 보안을 유지하기 위한 각 모듈의 실행을 제어하는 실행제어모듈; 보안컨테이너가 저장된 디바이스의 정보를 수집하고, 콘텐츠의 유출을 방지하기 위해 디바이스의 동작을 제어하는 디바이스제어모듈; 콘텐츠의 불법복제 및 보안컨테이너의 변조 여부를 확인하여 콘텐츠의 유출을 방지하는 불법복제방지모듈; 상기 매니저서버와 보안통신을 수행하는 보안통신모듈; 상기 매니저서버의 제어에 따라 보안컨테이너의 각 모듈의 실행을 제어하는 원격제어모듈; 매니저서버에 인증에 필요한 정보를 전송하고 그에 따른 통제정보를 수신하여 콘텐츠로의 접근 권한을 부여하는 인증모듈; 상기 콘텐츠저장모듈에 저장된 콘텐츠를 오픈 하여 사용자에게 표시하는 문서뷰어모듈; 및 하드디스크의 특정 영역을 샌드박스로 지정하고 콘텐츠를 격리하여 관리하는 샌드박스구현모듈;을 포함할 수 있다.In the present invention, the security management module may include: an encryption module for encrypting and decrypting data; An execution control module for controlling execution of each module for securing the security container; A device control module for collecting information of a device in which a security container is stored and controlling an operation of the device to prevent a content from being leaked; An anti-piracy module for preventing illegal copying of content and tampering of security container to prevent leakage of contents; A secure communication module for performing secure communication with the manager server; A remote control module for controlling the execution of each module of the security container under the control of the manager server; An authentication module that transmits information necessary for authentication to the manager server and receives control information according to the received control information to grant access right to contents; A document viewer module for opening a content stored in the content storage module and displaying the content to a user; And a sandbox implementation module that sandboxes specific areas of the hard disk and isolates and manages the content.
본 발명에서는, 상기 샌드박스구현모듈은, 콘텐츠를 오픈 함에 있어서 원본 데이터영역과 가상 데이터영역에 각각 원본 콘텐츠 및 가상 콘텐츠를 분리하여 패키징을 해제하는 언패키징단계; 콘텐츠에 대한 작업 요청 시 가상 데이터영역에서만 수행되도록 하는 가상영역작업단계; 및 보안컨테이너의 작업 종료 시 가상 데이터영역의 데이터를 영구적으로 삭제하는 가상영역정리단계;를 포함하는 과정을 거쳐 샌드박스를 구현할 수 있다.In the present invention, the sandbox implementing module may include: an unpackaging step of unpacking the original content and the virtual content by separating the original content and the virtual content into the original data area and the virtual data area, respectively, A virtual area operation step in which a content is requested to be performed only in a virtual data area when a work request is made for the content; And a virtual area correcting step of permanently deleting the data of the virtual data area at the end of the operation of the security container.
본 발명에서는, 상기 가상영역작업단계는, 콘텐츠에 대한 작업 요청을 위한 API가 호출될 때, 콘텐츠에 대한 접근 시 가상 콘텐츠로 접근되도록 변경하여 호출함으로써 작업이 가상 데이터영역에서 수행되도록 할 수 있다.In the present invention, when an API for requesting a work for a content is called, the virtual area operation step may be performed in a virtual data area by calling and changing the access to the virtual content when the content is accessed.
본 발명에서는, 상기 인증모듈은, 보안컨테이너가 온라인 상태인 경우, 온라인으로 인증에 필요한 정보를 매니저서버로 전송하고 그에 따른 매니저서버의 통제정보를 수신하여 인증을 수행하는 온라인인증모듈; 및 보안컨테이너가 오프라인 상태인 경우, 인증에 필요한 정보가 포함된 QR코드를 생성하고, 상기 QR코드에 기초하여 매니저서버가 인증을 수행한 뒤 생성한 보안코드를 입력 받아 인증을 수행하는 오프라인인증모듈;을 포함할 수 있다.In the present invention, the authentication module may include an on-line authentication module that transmits information required for on-line authentication to a manager server when the security container is in an on-line state, receives the control information of the manager server to perform authentication, and performs authentication; And an offline authentication module for generating a QR code including information necessary for authentication when the security container is in an offline state, receiving a security code generated after the manager server performs authentication based on the QR code, ; ≪ / RTI >
본 발명에서는, 상기 보안컨테이너실행인증단계는, 인증에 필요한 보안컨테이너, 디바이스 및 사용자에 대한 정보를 수신하는 보안컨테이너정보수신단계; 수신한 상기 정보에 상응하는 기저장된 보안컨테이너의 관리정보 및 보안정책을 조회하는 보안컨테이너DB조회단계; 수신한 상기 정보 및 기저장된 보안컨테이너의 정보에 기초하여 사용권한 여부를 확인하는 사용권한여부확인단계; 및 상기 사용권한 여부에 기초하여 보안컨테이너의 실행을 제어하는 보안컨테이너실행통제단계;를 포함할 수 있다.In the present invention, the security container execution authentication step may include: receiving security container information for receiving information about a security container, a device, and a user necessary for authentication; A security container DB inquiry step of inquiring management information and a security policy of a previously stored security container corresponding to the received information; Checking whether the use right is authorized based on the received information and information of a previously stored security container; And a security container execution control step of controlling execution of the security container based on whether or not the right of use is granted.
본 발명에서는, 상기 콘텐츠오픈인증단계는, 인증에 필요한 보안컨테이너, 디바이스, 사용자 및 콘텐츠에 대한 정보를 수신하는 콘텐츠오픈정보수신단계; 수신한 상기 정보에 상응하는 기저장된 보안컨테이너의 관리정보 및 보안정책을 조회하는 콘텐츠오픈DB조회단계; 수신한 상기 정보 및 기저장된 보안컨테이너의 정보에 기초하여 콘텐츠의 오픈에 필요한 보안정책의 준수 여부를 확인하는 보안정책준수여부확인단계; 상기 보안정책의 준수 여부에 기초하여 보안컨테이너의 콘텐츠 오픈을 제어하는 콘텐츠오픈통제단계; 상기 보안정책에 기초하여 콘텐츠의 콘텐츠의 보호를 위하여 오픈 제한, 오픈 중단, 및 삭제를 포함하는 콘텐츠의 제어를 수행하는 콘텐츠제어단계; 및 수행한 상기 콘텐츠의 제어에 기초하여 저장된 보안컨테이너의 관리정보 및 보안정책을 갱신하는 DB갱신단계;를 포함할 수 있다.In the present invention, the content open authentication step may include: a content open information receiving step of receiving information on a security container, a device, a user and a content necessary for authentication; A content open DB inquiry step of inquiring management information and a security policy of a previously stored security container corresponding to the received information; A security policy compliance check step of checking compliance of the security policy necessary for opening the content based on the received information and the information of the previously stored security container; A content open control step of controlling the content opening of the security container based on whether the security policy is complied with; A content control step of performing control of contents including open restriction, open suspension, and deletion in order to protect contents of contents based on the security policy; And a DB updating step of updating management information and a security policy of the security container stored based on the control of the content.
본 발명의 일 실시예에 따르면, 보안컨테이너를 통해 콘텐츠에 접근하기 위하여 사용자 및/또는 디바이스 등의 인증을 수행함으로써 접근 권한이 있는 사용자 및/또는 디바이스만이 콘텐츠에 접근할 수 있도록 하여 콘텐츠의 보안을 유지할 수 있는 효과를 발휘할 수 있다.According to an embodiment of the present invention, authentication of a user and / or a device is performed in order to access content through a security container, so that only a user and / Can be maintained.
본 발명의 일 실시예에 따르면, 보안컨테이너를 통해 콘텐츠에 접근함으로써 다른 어플리케이션 또는 디바이스가 콘텐츠에 직접 접근하는 것을 방지하고 콘텐츠의 보안을 유지할 수 있는 효과를 발휘할 수 있다.According to an embodiment of the present invention, access to content through a security container prevents other applications or devices from accessing the content directly, and can maintain the security of the content.
본 발명의 일 실시예에 따르면, 보안컨테이너가 샌드박스를 구현하여 콘텐츠를 격리하여 저장함으로써 외부 접근을 거부하여 콘텐츠의 보안을 유지할 수 있는 효과를 발휘할 수 있다.According to an embodiment of the present invention, the security container implements a sandbox to isolate and store the content, thereby externally accessing the content and securing the security of the content.
본 발명의 일 실시예에 따르면, 보안컨테이너를 통해 콘텐츠에 접근하기 위하여 매니저서버를 통해 인증을 수행하고, 매니저서버가 콘텐츠의 오픈 등을 제어함으로써, 기설정된 보안정책 등을 준수하고, 보안정책 등에 위배된 경우 콘텐츠로의 접근을 차단, 열람의 중지, 콘텐츠의 삭제 등의 제어를 통해 콘텐츠의 보안을 유지할 수 있는 효과를 발휘할 수 있다.According to an embodiment of the present invention, authentication is performed through a manager server in order to access content through a security container, and a manager server controls opening of content or the like to comply with predetermined security policies and the like, It is possible to maintain the security of the content by controlling access to the content, stopping the browsing, deleting the content, and the like.
본 발명의 일 실시예에 따르면, 보안 컨테이너를 통해 콘텐츠에 접근할 때 마다 매니저서버를 통해 인증을 수행함으로써, 매니저서버가 콘텐츠의 유통경로를 추적할 수 있는 효과를 발휘할 수 있다.According to an embodiment of the present invention, the authentication is performed through the manager server every time the content is accessed through the security container, thereby enabling the manager server to track the distribution channel of the content.
도 1은 본 발명의 일 실시예에 따른 콘텐츠 보안유통방법을 개략적으로 도시하는 도면이다.
도 2는 본 발명의 일 실시예에 따른 콘텐츠 보안유통방법의 매니저서버의 내부구성요소를 개략적으로 도시하는 도면이다.
도 3은 본 발명의 일 실시예에 따른 콘텐츠 보안유통방법의 보안통제서버의 내부구성요소를 개략적으로 도시하는 블록도이다.
도 4는 본 발명의 일 실시예에 따른 콘텐츠 보안유통방법의 보안컨테이너의 내부구성요소를 개략적으로 도시하는 블록도이다.
도 5는 샌드박스의 유무에 따라 하드디스크에 리소스를 채우는 과정을 개략적으로 도시하는 도면이다.
도 6은 본 발명의 일 실시예에 따른 콘텐츠 보안유통방법의 콘텐츠반출승인단계 및 보안컨테이너반출단계의 세부 단계들을 개략적으로 도시하는 순서도이다.
도 7은 본 발명의 일 실시예에 따른 콘텐츠 보안유통방법의 보안컨테이너실행인증단계 및 콘텐츠오픈인증단계의 세부 단계들을 개략적으로 도시하는 순서도이다.
도 8은 본 발명의 일 실시예에 따른 콘텐츠 보안유통방법의 온라인인증모듈의 보안컨테이너실행인증단계의 세부 단계들을 개략적으로 도시하는 도면이다.
도 9는 본 발명의 일 실시예에 따른 콘텐츠 보안유통방법의 오프라인인증모듈의 보안컨테이너실행인증단계의 세부 단계들을 개략적으로 도시하는 도면이다.
도 10은 본 발명의 일 실시예에 따른 콘텐츠 보안유통방법의 콘텐츠오픈인증단계의 세부 단계들을 개략적으로 도시하는 도면이다.
도 11은 본 발명의 일 실시예에 따른 콘텐츠 보안유통방법의 보안컨테이너의 파일 구조를 개략적으로 도시하는 도면이다.
도 12는 본 발명의 일 실시예에 따른 콘텐츠 보안유통방법의 샌드박스구현모듈의 샌드박스 구현 과정의 세부 단계들을 개략적으로 도시하는 도면이다.1 is a diagram schematically showing a content security distribution method according to an embodiment of the present invention.
FIG. 2 is a view schematically showing internal components of a manager server of a content security distribution method according to an embodiment of the present invention. Referring to FIG.
FIG. 3 is a block diagram schematically illustrating internal components of a security control server of a content security distribution method according to an exemplary embodiment of the present invention. Referring to FIG.
4 is a block diagram schematically illustrating internal components of a security container of a content security distribution method according to an embodiment of the present invention.
5 is a diagram schematically showing a process of filling a resource with a resource according to the presence or absence of a sandbox.
6 is a flowchart schematically showing detailed steps of a content export approval step and a security container export step of a content security distribution method according to an embodiment of the present invention.
FIG. 7 is a flowchart schematically illustrating detailed steps of a security container execution authentication step and a content open authentication step of a content security distribution method according to an embodiment of the present invention.
FIG. 8 is a view schematically showing detailed steps of a security container execution authentication step of an online authentication module of a content security distribution method according to an embodiment of the present invention.
9 is a view schematically showing detailed steps of a security container execution authentication step of an offline authentication module of a content security distribution method according to an embodiment of the present invention.
10 is a view schematically showing detailed steps of a content open authentication step of a content security distribution method according to an embodiment of the present invention.
11 is a view schematically showing a file structure of a security container of a content security distribution method according to an embodiment of the present invention.
12 is a view schematically showing detailed steps of a sandbox implementation process of a sandbox implementation module of a content security distribution method according to an embodiment of the present invention.
이하에서는, 다양한 실시예들 및/또는 양상들이 이제 도면들을 참조하여 개시된다. 하기 설명에서는 설명을 목적으로, 하나이상의 양상들의 전반적 이해를 돕기 위해 다수의 구체적인 세부사항들이 개시된다. 그러나, 이러한 양상(들)은 이러한 구체적인 세부사항들 없이도 실행될 수 있다는 점 또한 본 발명의 기술 분야에서 통상의 지식을 가진 자에게 인식될 수 있을 것이다. 이후의 기재 및 첨부된 도면들은 하나 이상의 양상들의 특정한 예시적인 양상들을 상세하게 기술한다. 하지만, 이러한 양상들은 예시적인 것이고 다양한 양상들의 원리들에서의 다양한 방법들 중 일부가 이용될 수 있으며, 기술되는 설명들은 그러한 양상들 및 그들의 균등물들을 모두 포함하고자 하는 의도이다.In the following, various embodiments and / or aspects are now described with reference to the drawings. In the following description, for purposes of explanation, numerous specific details are set forth in order to provide a thorough understanding of one or more aspects. However, it will also be appreciated by those of ordinary skill in the art that such aspect (s) may be practiced without these specific details. The following description and the annexed drawings set forth in detail certain illustrative aspects of one or more aspects. It is to be understood, however, that such aspects are illustrative and that some of the various ways of practicing various aspects of the principles of various aspects may be utilized, and that the description set forth is intended to include all such aspects and their equivalents.
또한, 다양한 양상들 및 특징들이 다수의 디바이스들, 컴포넌트들 및/또는 모듈들 등을 포함할 수 있는 시스템에 의하여 제시될 것이다. 다양한 시스템들이, 추가적인 장치들, 컴포넌트들 및/또는 모듈들 등을 포함할 수 있다는 점 그리고/또는 도면들과 관련하여 논의된 장치들, 컴포넌트들, 모듈들 등 전부를 포함하지 않을 수도 있다는 점 또한 이해되고 인식되어야 한다.In addition, various aspects and features will be presented by a system that may include multiple devices, components and / or modules, and so forth. It should be understood that the various systems may include additional devices, components and / or modules, etc., and / or may not include all of the devices, components, modules, etc. discussed in connection with the drawings Must be understood and understood.
본 명세서에서 사용되는 "실시예", "예", "양상", "예시" 등은 기술되는 임의의 양상 또는 설계가 다른 양상 또는 설계들보다 양호하다거나, 이점이 있는 것으로 해석되지 않을 수도 있다. 아래에서 사용되는 용어들 '~부', '컴포넌트', '모듈', '시스템', '인터페이스' 등은 일반적으로 컴퓨터 관련 엔티티(computer-related entity)를 의미하며, 예를 들어, 하드웨어, 하드웨어와 소프트웨어의 조합, 소프트웨어를 의미할 수 있다.As used herein, the terms "an embodiment," "an embodiment," " an embodiment, "" an embodiment ", etc. are intended to indicate that any aspect or design described is better or worse than other aspects or designs. . The terms 'component', 'module', 'system', 'interface', etc. used in the following generally refer to a computer-related entity, And a combination of software and software.
또한, "포함한다" 및/또는 "포함하는"이라는 용어는, 해당 특징 및/또는 구성요소가 존재함을 의미하지만, 하나이상의 다른 특징, 구성요소 및/또는 이들의 그룹의 존재 또는 추가를 배제하지 않는 것으로 이해되어야 한다.It is also to be understood that the term " comprises "and / or" comprising " means that the feature and / or component is present, but does not exclude the presence or addition of one or more other features, components and / It should be understood that it does not.
또한, 제1, 제2 등과 같이 서수를 포함하는 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되지는 않는다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.Also, terms including ordinal numbers such as first, second, etc. may be used to describe various elements, but the elements are not limited to these terms. The terms are used only for the purpose of distinguishing one component from another. For example, without departing from the scope of the present invention, the first component may be referred to as a second component, and similarly, the second component may also be referred to as a first component. And / or < / RTI > includes any combination of a plurality of related listed items or any of a plurality of related listed items.
또한, 본 발명의 실시예들에서, 별도로 다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 발명의 실시예에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.Furthermore, in the embodiments of the present invention, all terms used herein, including technical or scientific terms, unless otherwise defined, are intended to be inclusive in a manner that is generally understood by those of ordinary skill in the art to which this invention belongs. Have the same meaning. Terms such as those defined in commonly used dictionaries are to be interpreted as having a meaning consistent with the contextual meaning of the related art and, unless explicitly defined in the embodiments of the present invention, are intended to mean ideal or overly formal .
도 1은 본 발명의 일 실시예에 따른 콘텐츠 보안유통방법을 개략적으로 도시하는 도면이다.1 is a diagram schematically showing a content security distribution method according to an embodiment of the present invention.
도 1을 참조하면 송신자(2000)는 콘텐츠를 수신자(3000)에 전송하기 위하여 매니저서버(1000)의 승인을 받고, 수신자(3000)는 수신한 콘텐츠에 접근하기 위하여 매니저서버(1000)에 인증을 받는다. 이와 같은 매니저서버(1000)는 일 예로서 1 이상의 프로세서 및 1 이상의 메모리, 및 네트워크장치 등으로 구성된 서버로 구현될 수 있다.Referring to FIG. 1, the
송신자(2000)는 매니저서버(1000)에 전송하고자 하는 콘텐츠를 업로드 하고 반출 승인을 요청한다. 매니저서버(1000)는 이와 같은 요청에 대해 반출을 승인 혹은 반려하고, 반출을 승인하는 경우 보안컨테이너(100)를 생성하여 송신자(2000)에게 전송하게 된다. The
더욱 상세하게는 상기 매니저서버(1000)는 송신자(2000)로부터 콘텐츠를 수신하여 저장하고, 상기 콘텐츠의 반출에 필요한 보안정책을 설정하고, 상기 콘텐츠의 내용 및 상기 보안정책에 기초하여 반출의 적절성 여부를 확인하여 반출을 승인 혹은 반려하고, 반출을 승인하는 경우 상기 콘텐츠를 포함하고 콘텐츠를 보호하기 위한 실행 가능한 파일의 형태의 보안컨테이너를 생성하고, 상기 보안컨테이너의 유통경로를 추적하고 콘텐츠의 접근권한을 확인하기 위한 관리정보 및 보안정책을 저장하고, 생성된 상기 보안컨테이너를 송신자(2000)에게 전송하여 외부로 반출할 수 있도록 한다.More specifically, the
송신자(2000)는 수신한 보안컨테이너(100)를 인터넷, 이 메일, FTP, 클라우드, USB 등 다양한 방법 및 매체를 통해 수신자(3000)에게 전송한다. The
상기 보안컨테이너(100)를 수신한 수신자(3000)는 보안컨테이너(100)를 통한 콘텐츠로의 접근 권한을 얻기 위하여 매니저서버(1000)에 인증요청을 하고, 매니저서버(1000)는 상기 인증요청에 대한 인증 결과에 따라 제어명령을 전송하고, 수신자(3000)는 제어결과를 전송한다.The
더욱 상세하게는 상기 매니저서버(1000)는 수신자(3000)로부터 인증에 필요한 보안컨테이너, 수신자(3000)의 디바이스 및 수신자(3000)에 대한 정보를 수신하고, 수신한 상기 정보에 상응하는 기저장된 보안컨테이너의 관리정보 및 보안정책을 조회하고, 수신한 상기 정보 및 기저장된 보안컨테이너의 정보에 기초하여 사용권한 여부를 확인하고, 상기 사용권한 여부에 기초하여 보안컨테이너의 실행을 제어한다.More specifically, the
본 발명의 일 실시예에 따르면 상기 보안컨테이너(100)는 실행 가능한 파일의 형태이고, 상기 콘텐츠 및 상기 콘텐츠로의 접근시도에 권한을 확인하여 접근을 통제하여 보안을 유지하는 보안관리모듈 및 이에 필요한 메타데이터 등을 포함한다.According to an embodiment of the present invention, the
한편, 상기 송신자(2000) 및 수신자(3000)는 이와 같이 보안컨테이너(100)를 전송 및 수신하기 위하여 스마트폰(smart phone), 태블릿(tablet) 개인용 컴퓨터(personal computer: PC, 이하 'PC'라 칭하기로 한다), 이동 전화기, 화상 전화기, 전자책 리더(e-book reader), 데스크 탑(desktop) PC, 랩탑(laptop) PC, 넷북(netbook) PC, 개인용 복합 단말기(personal digital assistant: PDA, 이하 'PDA'라 칭하기로 한다), 휴대용 멀티미디어 플레이어(portable multimedia player: PMP, 이하 'PMP'라 칭하기로 한다), 엠피3 플레이어(mp3 player), 이동 의료 디바이스, 카메라, 웨어러블 디바이스(wearable device)(일 예로, 헤드-마운티드 디바이스(head-mounted device: HMD, 일 예로 'HMD'라 칭하기로 한다), 전자 의류, 전자 팔찌, 전자 목걸이, 전자 앱세서리(appcessory), 전자 문신, 혹은 스마트 워치(smart watch) 등을 사용할 수 있다.The
도 2는 본 발명의 일 실시예에 따른 콘텐츠 보안유통방법의 매니저서버의 내부구성요소를 개략적으로 도시하는 도면이다.FIG. 2 is a view schematically showing internal components of a manager server of a content security distribution method according to an embodiment of the present invention. Referring to FIG.
도 2를 참조하면 본 발명의 일 실시예에 따른 매니저서버(1000)는 보안통제서버(1100), DB서버(1200), 및 웹서버(1300)를 포함한다.2, the
보안통제서버(1100)는 송신자(2000)의 콘텐츠를 수신하여 상기 콘텐츠의 반출의 적절성을 확인하고, 반출을 승인한 경우 상기 콘텐츠를 보호하기 위한 보안컨테이너(100)를 생성하여 반출한다.The
또한, 수신자(3000)가 상기 보안컨테이너(100)를 통해 상기 콘텐츠에 접근할 때, 상기 수신자(3000)의 접근 권한을 확인하고, 접근을 통제하여 상기 콘텐츠의 보안을 유지한다.In addition, when the
DB서버(1200)는 상기 보안컨테이너(100)의 유통경로를 추적하고, 콘텐츠의 접근권한을 확인하기 위한 관리정보 및 보안정책을 저장한다. 이와 같은 관리정보 및 보안정책은 상기 보안통제서버(1100)가 상기 보안컨테이너(100)를 생성함과 동시에 DB서버(1200)에 저장되고, 상기 보안통제서버(1100)의 통제에 따라 수신자(3000)가 보안컨테이너(100)의 콘텐츠에 접근할 때 마다 갱신된다. 이처럼 갱신된 관리정보 및 보안정책을 통해 상기 보안컨테이너(100)를 수신하여 접근을 시도하는 수신자(3000) 및 수신자의 디바이스 정보 등 유통경로 정보를 저장하고, 콘텐츠로의 잔여 접근 가능 횟수, 접근 가능 기한 등의 보안정책을 갱신하여 수신자(3000)의 콘텐츠로의 접근을 제어한다.The
웹서버(1300)는 보안컨테이너(100)가 저장된 수신자(3000)의 디바이스가 오프라인인 경우 스마트폰(3100) 등을 통해 보안컨테이너(100)로부터의 인증요청을 수신하여 보안통제서버(1100)로 전송하고, 상기 보안통제서버(1100)로부터 보안실행통제정보를 수신하여 보안코드를 생성하여 상기 스마트폰(3100)으로 전송함으로써 상기 수신자(3000)의 보안컨테이너(100)가 인증절차를 수행할 수 있도록 한다.The
도 3은 본 발명의 일 실시예에 따른 콘텐츠 보안유통방법의 보안통제서버의 내부구성요소를 개략적으로 도시하는 블록도이다.FIG. 3 is a block diagram schematically illustrating internal components of a security control server of a content security distribution method according to an exemplary embodiment of the present invention. Referring to FIG.
도 3을 참조하면 본 발명의 일 실시예에 따른 보안통제서버(1100)는 반출승인모듈(1110), 보안컨테이너생성모듈(1120), 및 권한통제모듈(1130)를 포함한다.Referring to FIG. 3, the
반출승인모듈(1110)는 송신자(2000)로부터 콘텐츠를 수신하여 저장하고, 상기 콘텐츠의 반출에 필요한 보안정책을 설정하고, 상기 콘텐츠의 내용 및 상기 보안정책에 기초하여 반출의 적절성 여부를 확인하여 반출을 승인한다.The
본 발명의 일 실시예에 따르면 반출의 적절성 여부는 상기 반출승인모듈(1110)에 기저장된 반출정책에 기초하여 상기 반출승인모듈(1110)이 스스로 판단할 수도 있고, 혹은 상기 반출승인모듈(1110)과 연결된 반출 승인권자로부터 반출 승인 요청을 결재 받아 반출의 적절성 여부를 판단할 수도 있다.According to an embodiment of the present invention, whether the export is appropriate may be determined by the
보안컨테이너생성모듈(1120)은 상기 콘텐츠를 포함하고 콘텐츠를 보호하기 위한 실행 가능한 파일의 형태의 보안컨테이너를 생성하고, 상기 보안컨테이너의 유통경로를 추적하고 콘텐츠의 접근권한을 확인하기 위한 관리정보 및 보안정책을 DB서버(1200)에 저장하고, 생성된 상기 보안컨테이너를 송신자에게 전송하여 외부로 반출한다.The secure container creation module 1120 creates security containers in the form of executable files containing the content and protects the content, and manages the distribution channel of the secure container and management information for confirming the access right of the content, Stores the security policy in the
상기 보안컨테이너(100)는 실행 가능한 파일의 형태로 별도의 프로그램 및 어플리케이션 없이도 스스로 동작 가능하여 외부로부터의 접근을 제어한다. 바람직하게는 상기 보안컨테이너(100)는 저장된 콘텐츠를 보호하기 위하여 데이터를 암호화하고, 콘텐츠의 불법복제 및 보안컨테이너의 변조 여부를 확인하고, 매니저서버와 보안통신을 수행하고, 상기 매니저서버의 제어에 따라 보안을 수행하고, 콘텐츠로의 접근 권한을 부여하고, 콘텐츠를 오픈 하여 표시하는 뷰어를 내장하여 콘텐츠로의 접근 보호를 강화한다.The
권한통제모듈(1130)은 상기 보안컨테이너(100)로부터 보안컨테이너(100)의 실행 및 콘텐츠의 오픈을 위한 인증절차를 통해 수신자(3000) 및 수신자(3000)의 디바이스 및 환경 등이 보안정책에 위배되지 않는지 여부를 확인하고, 상기 보안정책을 준수한 경우 보안컨테이너(100)를 실행하고, 콘텐츠를 오픈 하도록 통제한다. 이처럼 보안컨테이너(100)를 통제하기 위해 상기 권한통제모듈(1130)은 DB서버(1200)로부터 기저장된 관리정보 및 보안정책을 조회할 수 있다. 또한, 보안컨테이너(100)를 실행하고 콘텐츠를 오픈 한 경우, 상기 실행결과의 정보를 상기 DB서버(1200)에 저장하여 상기 DB서버(1200)의 관리정보 및 보안정책을 갱신할 수 있다.The
도 4는 본 발명의 일 실시예에 따른 콘텐츠 보안유통방법의 보안컨테이너의 내부구성요소를 개략적으로 도시하는 블록도이다.4 is a block diagram schematically illustrating internal components of a security container of a content security distribution method according to an embodiment of the present invention.
도 4를 참조하면 본 발명의 일 실시예에 따른 보안컨테이너(100)는 암호화모듈(110), 실행제어모듈(120), 디바이스제어모듈(130), 불법복제방지모듈(140), 보안통신모듈(150), 원격제어모듈(160), 온라인인증모듈(171), 오프라인인증모듈(172), 문서뷰어모듈(180), 샌드박스구현모듈(190), 및 콘텐츠저장모듈(200)을 포함한다.4, the
암호화모듈(110)은 데이터를 암호화 및 복호화한다. 본 발명의 일 실시예에 따르면 상기 암호화모듈(110)을 통해 콘텐츠가 암호화 되어 저장되고, 상기 암호화된 콘텐츠에 접근하기 위해서 상기 암호화모듈(110)을 통해 복호화한다. 이 외에도 보안을 위하여 데이터의 암호화 또는 복호화가 필요한 경우 상기 암호화모듈(110)을 통해 암호화 또는 복호화 할 수 있다.The
실행제어모듈(120)은 보안컨테이너(100)의 보안을 유지하기 위한 각 모듈의 실행을 제어한다. 상기 실행제어모듈(120)은 보안컨테이너(100)의 각 모듈들과 데이터를 송수신할 수 있고, 수신된 데이터에 기초하여 제어명령을 생성한다.The
디바이스제어모듈(130)은 보안컨테이너(100)가 저장된 디바이스의 정보를 수집하고, 콘텐츠의 유출을 방지하기 위해 디바이스의 동작을 제어한다. 디바이스제어모듈(130)은 보안컨테이너(100)가 실행되면 상기 보안컨테이너(100)가 저장된 디바이스의 IP, MAC 주소 등 디바이스의 위치를 확인할 수 있는 정보 등을 수집하고, 상기 디바이스가 콘텐츠에 접근하는 것을 방지하기 위하여 디바이스의 동작을 제어한다. 본 발명의 일 실시예에 따르면 디바이스제어모듈(130)은 디바이스가 오픈 된 콘텐츠의 스크린샷을 획득하는 것을 방지하고, 콘텐츠의 내용을 복사할 수 있는 키보드의 입력을 방지하거나, 콘텐츠를 인쇄하지 못하도록 하여 콘텐츠의 유출을 방지할 수 있다.The
불법복제방지모듈(140)은 콘텐츠의 불법복제 및 보안컨테이너의 변조 여부를 확인하여 콘텐츠의 유출을 방지한다. 본 발명의 일 실시예에 따르면 불법복제방지모듈(140)은 콘텐츠저장모듈(200)에 저장된 콘텐츠의 불법복제 여부를 확인하여 콘텐츠의 변조, 혹은 불법 복제 여부를 확인하고, 보안컨테이너(100) 자체의 변조 여부를 확인하여 변조된 보안컨테이너(100)를 이용한 콘텐츠로의 불법적인 접근을 방지한다.The
보안통신모듈(150)은 상기 매니저서버(1000)와 보안통신을 수행한다. 보안컨테이너(100)가 콘텐츠로 접근하기 위해서는 매니저서버(1000)의 인증을 거쳐야 하는데, 이 때 매니저서버(1000)와 통신을 수행함에 있어서 보안통신을 수행하여 제3자가 통신을 가로채는 것을 방지하여 보안을 유지한다. 본 발명의 일 실시예에 따르면 보안통신모듈(150)은 SSL(보안 소켓 계층, Secure Sockets Layer)을 이용하여 통신을 수행하여 보안을 유지한다.The
원격제어모듈(160)은 상기 매니저서버(1000)의 제어에 따라 보안컨테이너(100)의 각 모듈의 실행을 제어한다. 본 발명의 일 실시예에 따르면 상기 매니저서버(1000)는 보안컨테이너(100)에 보안 위협이 있다고 판단하는 경우, 보안컨테이너의 각 모듈의 실행을 제어하여 콘텐츠의 유출을 방지한다. 예를 들어, 상기 보안컨테이너(100)가 인증되지 않은 디바이스 및 사용자에 의해 실행되어 매니저서버(1000)에 인증 요청을 하는 경우, 상기 매니저서버(1000)는 보안컨테이너(100)가 상기 사용자의 제어를 거부하도록 디바이스제어모듈(130)을 제어하고, 콘텐츠저장모듈(200)에 저장된 콘텐츠를 삭제하도록 제어하여 콘텐츠의 유출을 방지할 수 있다.The
온라인인증모듈(171) 및 오프라인인증모듈(172)은 매니저서버(1000)에 인증에 필요한 정보를 전송하고 그에 따른 통제정보를 수신하여 콘텐츠로의 접근 권한을 부여한다. 본 발명의 일 실시예에 따르면 온라인인증모듈(171)은 상기 보안컨테이너(100)가 온라인인 경우, 상기 매니저서버(1000)와 직접 통신을 수행하여 인증을 수행하고, 오프라인인증모듈(172)은 상기 보안컨테이너(100)가 오프라인인 경우 QR코드를 생성하고, 수신자(3000)가 스마트폰(3100)등을 이용하여 QR코드를 스캔 함으로써 스마트폰이 상기 매니저서버(1000)에 인증에 필요한 정보를 전송하고, 그에 따른 통제정보가 포함된 보안코드를 수신하여 보안컨테이너(100)에 보안코드를 입력함으로써 인증을 수행할 수 있다.The
문서뷰어모듈(180)은 상기 콘텐츠저장모듈(200)에 저장된 콘텐츠를 오픈 하여 사용자에게 표시한다. 문서뷰어모듈(180)은 실행제어모듈(120)의 제어에 따라 저장된 콘텐츠를 오픈 하여 사용자가 콘텐츠에 접근할 수 있도록 한다. 이와 같이 콘텐츠를 오픈 할 수 있는 뷰어가 보안컨테이너(100)에 포함됨으로써, 콘텐츠의 정보가 외부로 유출되는 것을 방지하고, 별도의 뷰어를 설치할 필요가 없어 사용자의 편의성을 도모할 수 있는 효과를 발휘할 수 있다.The
샌드박스구현모듈(190)은 하드디스크의 특정 영역을 샌드박스로 지정하고 콘텐츠를 격리하여 관리한다. 일반적으로 샌드박스는 보호된 영역 내에서 프로그램을 동작시키는 것으로, 외부 요인에 의해 악영향이 미치는 것을 방지하는 보안 모델이다. 이와 같은 샌드박스에서는 외부로부터 받은 프로그램을 보호된 영역 안에 가두고 나서 동작시킨다. 보호된 영역은 다른 파일이나 프로세스로부터는 격리되어 내부에서 외부를 조작하는 것은 금지되고 있다. 이와 같은 샌드박스의 특성을 이용하여 반대로 내부에 보안을 요하는 콘텐츠를 보관하고, 외부에서 내부를 조작하는 것을 금지시켜 내부의 콘텐츠에 대한 접근을 차단할 수 있다. 상기 샌드박스구현모듈(190)은 이와 같은 샌드박스를 구현하여 보안컨테이너(100)에 저장된 콘텐츠를 보호하게 된다.The
콘텐츠저장모듈(200)은 콘텐츠가 저장된다. 상기 콘텐츠저장모듈(200)에 저장되는 콘텐츠는 상기 암호화모듈(110)에 의해 암호화 되어 저장됨이 바람직하고, 상기 온라인인증모율(171) 또는 오프라인인증모듈(172)에 의해 인증된 수신자(3000)만이 상기 문서뷰어모듈(180)을 통해 접근할 수 있도록 하여 보안을 유지한다. 이를 위해 본 발명의 일 실시예에 따른 콘텐츠저장모듈(200)은 상기 샌드박스구현모듈(190)이 구현한 샌드박스에 콘텐츠를 저장하여 보안을 유지할 수 있다.The
도 5는 샌드박스의 유무에 따라 하드디스크에 리소스를 채우는 과정을 개략적으로 도시하는 도면이다.5 is a diagram schematically showing a process of filling a resource with a resource according to the presence or absence of a sandbox.
도 5의 (A)를 참조하면 하드디스크에 리소스가 채워진 검은 영역과, 비어있는 하얀 영역을 확인할 수 있다. 이와 같이 구성된 하드디스크에 리소스를 채우는 과정에서 샌드박스를 적용하는 경우와 적용하지 않은 경우를 비교 해 본다.Referring to FIG. 5 (A), a black area filled with resources and a white area empty can be checked on the hard disk. We will compare sandboxed and non-sandboxed resources in the process of filling resources on the hard disk.
도 5의 (B)를 참조하면 하드디스크에 샌드박스가 적용되지 않은 경우, 리소스를 채우는 어플리케이션은 하드디스크에 직접적인 접근이 가능하여 리소스를 빗금 친 영역에 대하여 채울 수 있다. 이 때, 상기 어플리케이션은 하드디스크의 비어있는 하얀 영역뿐만 아니라 이미 리소스가 채워진 검은 영역에도 접근이 가능하여, 도 5의 (B)의 4행 1열 및 2열과 같이 도 5의 (A)에서 리소스가 채워져 있던 영역에도 리소스를 덮어 쓰는 등의 동작을 통해 훼손이 일어날 수 있다. 이와 같이 악의적인 어플리케이션이 OS의 일부분을 훼손시키거나 다른 어플리케이션의 정보를 훼손시킬 수 있는 문제가 발생할 수 있다.Referring to FIG. 5B, when a sandbox is not applied to a hard disk, an application that fills a resource can directly access the hard disk to fill a shadowed region of the resource. At this time, the application can access not only an empty white area of the hard disk but also a black area in which resources are already filled, so that, in FIG. 5 (A) as in
도 5의 (C)를 참조하면 하드디스크에 샌드박스가 적용된 경우, 하드디스크의 점선으로 표시된 영역이 샌드박스로 지정되고, 어플리케이션은 상기 점선으로 표시된 영역에 대해서만 리소스를 사용하고 접근하도록 설정된다. 따라서 상기 어플리케이션은 기존에 하드디스크에 저장되어 있던 리소스에 접근이 불가능하고, 각각에 설정된 영역에서만 리소스를 사용함으로써 리소스를 보호할 수 있다.Referring to FIG. 5C, when a sandbox is applied to a hard disk, an area indicated by a dotted line of the hard disk is designated as a sandbox, and an application is set to access and access resources only for the area indicated by the dotted line. Therefore, the application can not access the resources previously stored in the hard disk, and can protect the resources by using the resources only in the set areas.
이를 반대의 개념으로 사용하여, 샌드박스의 내부에 보호하고자 하는 리소스를 채우고, 샌드박스 외부에서 내부의 리소스에 접근을 차단하면 샌드박스 내부의 리소스를 외부로부터 보호할 수 있는 효과를 발휘할 수 있다.By using this as the opposite concept, it is possible to protect the resources inside the sandbox from the outside by filling the resources to be protected inside the sandbox and blocking access to the internal resources from outside the sandbox.
본 발명의 일 실시예에 따른 보안컨테이너(100)는 이처럼 샌드박스를 이용하여 보안을 수행하는데, 상기와 같이 샌드박스를 이용하여 샌드박스 외부의 어플리케이션이 내부의 리소스에 접근을 차단하는 방식으로, 샌드박스 내부에 보안을 요하는 콘텐츠를 저장하고, 외부에서의 접근을 거부함으로써, 샌드박스 내부의 콘텐츠를 보호할 수 있게 된다.The
도 6은 본 발명의 일 실시예에 따른 콘텐츠 보안유통방법의 콘텐츠반출승인단계 및 보안컨테이너반출단계의 세부 단계들을 개략적으로 도시하는 순서도이다.6 is a flowchart schematically showing detailed steps of a content export approval step and a security container export step of a content security distribution method according to an embodiment of the present invention.
도 6을 참조하면 본 발명의 일 실시예에 따른 콘텐츠반출승인단계(S1000)는 콘텐츠수신단계(S1100), 보안정책설정단계(S1200), 및 반출적절성확인단계 (S1300)를 포함하고, 보안컨테이너반출단계(S2000)는 보안컨테이너생성단계(S2100), 보안컨테이너정보저장단계(S2200), 및 보안컨테이너전송단계(S2300)를 포함한다.Referring to FIG. 6, the content export approval step S1000 according to an embodiment of the present invention includes a content receiving step S1100, a security policy setting step S1200, and an export appropriateness checking step S1300, The exporting step S2000 includes a security container creation step S2100, a security container information storage step S2200, and a security container transmission step S2300.
우선 콘텐츠수신단계(S1100)에서 매니저서버(10000)는 송신자(2000)로부터 콘텐츠를 수신하여 저장한다. 상기 콘텐츠는 보안통제서버(1100)의 반출승인모듈(1110)에 저장된다.In the content receiving step S1100, the manager server 10000 receives the content from the
이후, 보안정책설정단계(S1200)에서는 상기 콘텐츠의 반출에 필요한 보안정책을 설정한다. 상기 보안정책은 기설정된 보안정책을 송신자(2000)로부터 전송 받을 수도 있고, 상기 콘텐츠에 따라 상기 매니저서버(1000)에서 직접 설정할 수도 있고, 혹은 상기 매니저서버(1000)에 연결된 반출 승인권자가 직접 입력할 수도 있다.Thereafter, in the security policy setting step S1200, a security policy necessary for carrying out the content is set. The security policy may be received from the
이후, 반출적절성확인단계(S1300)에서는 상기 콘텐츠의 내용 및 상기 보안정책에 기초하여 반출의 적절성 여부를 확인한다. 반출의 적절성 여부는 상기 반출승인모듈(1110)에 기저장된 반출정책에 기초하여 상기 반출승인모듈(1110)이 스스로 판단할 수도 있고, 혹은 상기 반출승인모듈(1110)과 연결된 반출 승인권자로부터 반출 승인 요청을 결재 받아 반출의 적절성 여부를 판단할 수도 있다.Then, in the export adequacy confirmation step (S1300), it is confirmed whether or not the export is proper based on the content and the security policy. Whether or not the export is proper may be determined by the
상기 반출적절성확인단계(S1300)에서 반출이 적절하다고 판단되는 경우, 보안컨테이너생성단계(S2100)에서 상기 콘텐츠를 포함하고 콘텐츠를 보호하기 위한 실행 가능한 파일의 형태의 보안컨테이너(100)를 생성한다. 만약 반출이 적절하지 않다고 판단되는 경우 반출 절차를 종료하게 된다. If it is determined in step S1300 that the export is appropriate, the
상기 보안컨테이너(100)는 실행 가능한 파일의 형태로 별도의 프로그램 및 어플리케이션 없이도 스스로 동작 가능하여 외부로부터의 접근을 제어한다. 바람직하게는 상기 보안컨테이너(100)는 저장된 콘텐츠를 보호하기 위하여 데이터를 암호화하고, 콘텐츠의 불법복제 및 보안컨테이너의 변조 여부를 확인하고, 매니저서버와 보안통신을 수행하고, 상기 매니저서버의 제어에 따라 보안을 수행하고, 콘텐츠로의 접근 권한을 부여하고, 콘텐츠를 오픈 하여 표시하는 뷰어를 내장하고, 하드디스크의 특정 영역을 샌드박스로 지정하고 콘텐츠를 격리하여 콘텐츠로의 접근 보호를 강화한다. The
이후, 보안컨테이너정보저장단계(S2200)에서는 상기 보안컨테이너(100)의 유통경로를 추적하고 콘텐츠의 접근권한을 확인하기 위한 관리정보 및 보안정책을 저장한다. 상기 관리정보는 상기 보안컨테이너(100)를 식별하기 위한 식별자 및 상기 보안컨테이너(100)의 유통경로를 저장하는 데이터베이스 등을 포함하고, 상기 보안정책은 상기 콘텐츠에 접근이 가능한 사용자, 디바이스, IP 및 MAC 주소, 상기 콘텐츠에 접근이 가능한 유효기간 및 접근 가능 횟수, 및 상기 콘텐츠의 오픈 허용시간 등 상기 콘텐츠를 보호하기 위한 제한 등을 포함한다. 본 발명의 일 실시예에 따르면 이와 같은 관리정보 및 보안정책은 매니저서버(1000)의 DB서버(1200)에 저장된다.Thereafter, the security container information storage step S2200 stores the management information and the security policy for tracking the distribution route of the
보안컨테이너전송단계(S2300)에서는 생성된 상기 보안컨테이너(100)를 송신자(2000)에게 전송하여 외부로 반출한다. 본 발명의 일 실시예에 따르면 상기 보안컨테이너(100)는 송신자(2000)를 거쳐 수신자(3000)에게 전달되나, 본 발명은 이에 한정되지 않고, 송신자(2000)가 콘텐츠수신단계(S1100)에서 수신자(3000)를 지정하여 콘텐츠를 업로드 한 경우, 상기 매니저서버(1000)가 수신자(3000)에게 직접 보안컨테이너(100)를 전송할 수 도 있다.In the security container transmission step S2300, the generated
이와 같은 과정을 거쳐서 콘텐츠의 보안을 유지하며 외부로 반출하기 원하는 송신자(2000)가 매니저서버(1000)를 통해 상기 콘텐츠를 포함하고, 상기 콘텐츠를 보호하기 위한 실행 가능한 파일 형태의 보안컨테이너(100)를 획득하고, 이를 전송 받기 원하는 수신자(3000)에게 전달할 수 있게 된다.The
도 7은 본 발명의 일 실시예에 따른 콘텐츠 보안유통방법의 보안컨테이너실행인증단계 및 콘텐츠오픈인증단계의 세부 단계들을 개략적으로 도시하는 순서도이다.FIG. 7 is a flowchart schematically illustrating detailed steps of a security container execution authentication step and a content open authentication step of a content security distribution method according to an embodiment of the present invention.
도 7을 참조하면 본 발명의 일 실시예에 따른 보안컨테이너실행인증단계(S3000)는 보안컨테이너정보수신단계(S3100), 보안 컨테이너DB조회단계(S3200), 사용권한여부확인단계(S3300), 및 보안컨테이너 실행통제단계(S3400)를 포함하고, 콘텐츠오픈인증단계(S4000)는 콘텐츠오픈정보 수신단계(S4100), 콘텐츠오픈DB조회단계(S4200), 보안정책준수여부확인단계(S4300), 콘텐츠오픈통제단계(S4400), 콘텐츠제어단계(S4500), 및 DB갱신단계(S4600)를 포함한다.Referring to FIG. 7, the security container execution authentication step S3000 according to an exemplary embodiment of the present invention includes a security container information receiving step S3100, a security container DB inquiry step S3200, a use right confirmation step S3300, (Step S400). The content open authentication step S4000 includes a content open information receiving step S4100, a content open DB inquiry step S4200, a security policy compliance checking step S4300, A control step S4400, a content control step S4500, and a DB update step S4600.
이하에서는 수신자(3000)가 송신자(2000)로부터 보안컨테이너(100)를 수신하여 보안컨테이너를 통해 콘텐츠를 오픈 하는 과정에 대하여 설명한다.Hereinafter, a process in which the
우선 수신자(3000)가 보안컨테이너(100)를 실행하여 매니저서버(1000)에 접속 한 경우, 보안컨테이너정보수신단계(S3100)에서 매니저서버(1000)는 인증에 필요한 보안컨테이너, 디바이스 및 사용자에 대한 정보를 수신한다. 인증에 필요한 정보는 기설정된 보안정책에 따라 콘텐츠로의 접근 권한이 있는지 여부를 판단할 수 있는 정보를 포함한다. 본 발명의 일 실시예에 따르면 상기 보안정책에서는 콘텐츠에 접근할 수 있는 사용자의 ID, 비밀번호, 컴퓨터의 IP 및 MAC 주소가 지정되어 있고, 상기 보안컨테이너정보수신단계(S3100)에서 매니저서버(1000)는 상기 보안컨테이너(100)의 일련번호, 사용자 ID, 비밀번호, 컴퓨터의 IP 및 MAC 주소를 수신한다. 이를 위해 상기 보안컨테이너(100)는 컴퓨터의 IP 및 MAC 주소를 파악하고, 수신자(3000)로부터 사용자 ID 및 비밀번호를 입력 받아 매니저서버(1000)로 전송한다.When the
이후, 보안컨테이너DB조회단계(S3200)에서는 수신한 상기 정보에 상응하는 기저장된 보안컨테이너의 관리정보 및 보안정책을 조회한다. 본 발명의 일 실시예에 따르면 매니저서버(1000)는 수신한 보안컨테이너(100)의 일련번호를 이용하여 상기 보안컨테이너(100)의 관리정보 및 보안정책을 불러온다.Thereafter, the security container DB inquiry step S3200 inquires management information and security policy of the previously stored security container corresponding to the received information. In accordance with an embodiment of the present invention, the
이후, 사용권한여부확인단계(S3300)에서는 수신한 상기 정보 및 기저장된 보안컨테이너(100)의 정보에 기초하여 사용권한 여부를 확인한다. 본 발명의 일 실시예에 따르면 매니저서버(1000)는 상기 보안컨테이너DB조회단계(S3200)에서 불러온 보안정책에서 상기 사용자 ID 및 비밀번호의 일치 여부를 확인하고, 상기 사용자 ID의 콘텐츠로의 접근 권한을 확인하고, 상기 컴퓨터의 IP 및 MAC 주소가 상기 보안정책에서 콘텐츠로의 접근이 허용된 IP 및 MAC 주소인지 확인하여 사용권한여부를 확인하게 된다.Then, in the usage right confirmation step (S3300), it is determined whether or not the user right is granted based on the received information and information of the
상기 사용권한여부확인단계(S3300)에서 수신자(3000)의 권한이 확인 된 경우, 보안컨테이너실행통제단계(S3400)에서 상기 사용권한 여부에 기초하여 보안컨테이너(100)의 실행을 제어한다. 본 발명의 일 실시예에 따르면 매니저서버(1000)는 수신자(3000)의 권한이 확인 된 경우, 사용자가 저장된 콘텐츠에 접근할 수 있도록, 저장된 콘텐츠의 목록을 출력하여 사용자가 콘텐츠를 선택하여 오픈 할 수 있도록 한다. 만약 사용자에 따라 저장된 콘텐츠 중 일부만이 접근 가능한 경우 접근 가능한 일부의 콘텐츠만의 목록을 출력하여 사용자가 콘텐츠에 접근할 수 있도록 한다. If the authority of the
만약, 사용권한이 확인되지 않은 경우, 보안컨테이너실행통제단계(S3400)를 진행하지 않고 후술할 콘텐츠제어단계(S4500)로 진행하게 된다.If the usage right is not confirmed, the process proceeds to a content control step S4500, which will be described later, without going through the security container execution control step S3400.
콘텐츠오픈정보수신단계(S4100)에서 매니저서버(1000)는 인증에 필요한 보안컨테이너, 디바이스, 사용자 및 콘텐츠에 대한 정보를 수신한다. 상기 보안컨테이너실행인증단계(S1000)를 통해 보안컨테이너(100)를 실행하는 수신자(3000)의 권한이 확인된 후, 수신자(3000)가 콘텐츠를 오픈 하기 위해서는 상기 콘텐츠 각각에 대한 인증이 필요하다. 본 발명의 일 실시예에 따르면 상기 콘텐츠에 대한 보안정책에는 상기 콘텐츠에 접근이 가능한 유효기간 및 접근 가능 횟수, 및 상기 콘텐츠의 오픈 허용시간 등이 포함된다. 따라서 수신자(3000)가 각 콘텐츠를 오픈 하는 경우, 상기 보안정책을 준수하는지 여부를 파악해야 하기 때문에, 보안컨테이너(100)는 보안컨테이너(100)의 일련번호, 오픈을 원하는 콘텐츠의 일련번호, 현재 시각 등의 정보를 매니저서버(1000)로 전송한다.In the content open information receiving step S4100, the
이후, 콘텐츠오픈DB조회단계(S4200)에서는 수신한 상기 정보에 상응하는 기저장된 보안컨테이너(100)의 관리정보 및 보안정책을 조회한다. 본 발명의 일 실시예에 따르면 상기 보안컨테이너(100)의 일련번호 및 상기 콘텐츠의 일련번호를 이용하여 상기 보안컨테이너(100)의 관리정보 및 보안정책을 불러온다.Thereafter, in the content open DB inquiry step S4200, the management information and the security policy of the previously stored
이후, 보안정책준수여부확인단계(S4300)에서는 수신한 상기 정보 및 기저장된 보안컨테이너의 정보에 기초하여 콘텐츠의 오픈에 필요한 보안정책의 준수 여부를 확인한다. 본 발명의 일 실시예에 따르면 상기 보안컨테이너(100)의 관리정보는 보안컨테이너(100)에 저장된 각 콘텐츠의 오픈 이력을 포함하여, 상기 콘텐츠의 보안정책과 비교하여 상기 콘텐츠의 잔여 접근 가능 횟수의 존재 여부를 확인하고, 현재 시각과 콘텐츠의 접근 가능 유효기간을 비교하여 상기 콘텐츠로의 접근이 보안정책을 준수하는지 여부를 확인한다.Thereafter, in the security policy compliance checking step (S4300), it is checked whether the security policy necessary for opening the content is complied with based on the received information and the previously stored security container information. According to an embodiment of the present invention, the management information of the
만약 상기 콘텐츠로의 접근이 보안정책을 준수하는 경우, 콘텐츠오픈통제단계(S4400)에서는 보안컨테이너(100)의 콘텐츠 오픈을 제어한다. 이 때 보안컨테이너(100)는 포함된 문서뷰어모듈(180)을 이용하여 상기 콘텐츠를 오픈 함으로써 외부 어플리케이션 등이 상기 콘텐츠에 접근하지 않으면서도 콘텐츠를 사용자가 열람할 수 있는 효과를 발휘할 수 있게 된다.If the access to the content conforms to the security policy, the content open control step (S4400) controls the content open of the security container (100). At this time, the
만약 상기 콘텐츠로의 접근이 보안정책에 위배되는 경우, 매니저서버(1000)는 상기 콘텐츠오픈통제단계(S4400)를 진행하지 않고 후술할 콘텐츠제어단계(S4500)를 진행하게 된다.If the access to the content violates the security policy, the
콘텐츠제어단계(S4500)에서는 상기 보안정책에 기초하여 콘텐츠의 보호를 위하여 오픈 제한, 오픈 중단, 및 삭제를 포함하는 콘텐츠의 제어를 수행한다. 본 발명의 일 실시예에 따르면 콘텐츠를 정상적으로 오픈 하였더라도, 상기 보안정책에 콘텐츠의 오픈 허용시간이 설정되어 있는 경우, 상기 오픈 허용시간이 지난 이후 보안컨테이너(100)는 콘텐츠를 닫아 상기 콘텐츠의 보안을 유지한다. 혹은 사용권한여부확인단계(S3300) 및 보안정책준수여부확인단계(S4300)에서 보안정책 위반이 발견되어 콘텐츠제어단계(S4500)로 진입한 경우, 콘텐츠저장모듈(200)의 보안을 강화하고 보안컨테이너(100)의 실행을 중지하는 등의 방법을 통해 콘텐츠로의 접근을 차단한다. 바람직하게는 심각한 보안정책 위반이 발견된 경우, 상기 콘텐츠를 삭제하여 상기 콘텐츠에 대한 보안을 유지한다.In the content control step S4500, control of contents including open restriction, open suspension, and deletion is performed in order to protect contents based on the security policy. According to an embodiment of the present invention, even if the content is normally opened, if the open time of the content is set in the security policy, the
이후, DB갱신단계(S4600)에서는 수행한 상기 콘텐츠의 제어에 기초하여 저장된 보안컨테이너(100)의 관리정보 및 보안정책을 갱신한다. 본 발명의 일 실시예에 따르면 정상적으로 콘텐츠를 오픈 한 경우, 상기 보안컨테이너(100)는 콘텐츠의 오픈 수행 결과를 매니저서버(1000)로 전송하여 상기 보안컨테이너(100)의 관리정보에 콘텐츠의 오픈 이력에 상기 오픈 수행 결과를 추가한다. 만약 보안정책 위반이 발견되어 콘텐츠에 대한 보안을 강화하거나 콘텐츠를 삭제하는 등의 보안 사항이 발생한 경우에도 보안컨테이너(100)가 매니저서버(1000)에 이를 전송하여 이를 DB서버(1200)에 기록함으로써 DB를 갱신할 수 있도록 한다.Thereafter, in the DB updating step (S4600), the management information and the security policy of the
이와 같은 과정을 거쳐서 보안컨테이너(100)를 수신한 수신자(3000)가 보안컨테이너(100)의 콘텐츠에 접근하기 위해서는 매니저서버(1000)의 인증을 거쳐 접근하도록 하여 인증된 수신자(3000)만이 콘텐츠에 접근하도록 하고, 접근 이력 등 관리정보를 매니저서버(1000)의 DB서버(1200)에 기록하여 보안컨테이너(100)의 유통과정 등을 확인할 수 있게 된다.In order to access the contents of the
상기와 같이 콘텐츠오픈인증단계(S4000)를 거쳐 콘텐츠에 대한 권한이 확인되면, 보안컨테이너(100)는 저장된 하드디스크의 하드디스크의 특정 영역을 샌드박스로 지정하고 콘텐츠를 격리하여 저장함으로써 외부 접근을 거부시키고, 상기 콘텐츠에 접근하기 위한 권한을 확인하여 접근을 통제하는 보안컨테이너실행단계를 수행함으로써 콘텐츠에 대한 보안을 수행한다.If the rights to the content are confirmed through the content open authentication step S4000 as described above, the
도 8은 본 발명의 일 실시예에 따른 콘텐츠 보안유통방법의 온라인인증모듈(171)의 보안컨테이너실행인증단계(S3000)의 세부 단계들을 개략적으로 도시하는 도면이다.FIG. 8 is a view schematically showing detailed steps of a security container execution authentication step (S3000) of an
도 8을 참조하면 본 발명의 일 실시예에 따른 보안컨테이너(100)의 온라인인증모듈(171)은 보안통제서버(1100)와 연결되어 온라인인증을 수행한다.Referring to FIG. 8, the
우선 보안컨테이너(100)는 수신자(3000)에 의해 실행되면 수신자의 ID 및 비밀번호 등을 입력 받아 인증을 수행한다(S3010). 본 발명의 일 실시예에 따르면 상기 수신자의 ID 및 비밀번호에 기초하여 보안컨테이너(100) 자체적으로 인증을 수행할 수 있고, 본 발명의 다른 실시예에 따르면 상기 수신자의 ID 및 비밀번호를 매니저서버(1000)의 보안통제서버(1100)에 전송하여 인증을 수행할 수도 있다.First, when the
이후, 보안컨테이너(100)는 상기 S3010에서 인증을 수행한 결과 또는 입력 받은 정보를 포함하여, 보안정책에 따라 사용권한여부를 확인할 수 있는 보안컨테이너(100), 디바이스 및 사용자에 대한 정보를 보안통제서버(1100)로 전송한다(S3100).Thereafter, the
이후, 보안통제서버(1100)는 수신한 상기 정보에 상응하는 기저장된 보안컨테이너의 관리정보 및 보안정책을 조회한다. 본 발명의 일 실시예에 따르면 보안통제서버(1100)는 수신한 보안컨테이너(100)의 일련번호를 이용하여 DB서버(1200)에 상기 보안컨테이너(100)의 관리정보 및 보안정책을 조회하고(S3200), 상기 DB서버(1200)는 상기 조회 결과를 보안통제서버(1100)에 전송한다(S3210).Then, the
이후, 보안통제서버(1100)는 상기 DB조회 결과에 기초하여 사용권한여부를 확인하고, 그에 따른 보안실행통제정보를 보안컨테이너(1000)에 전송하여(S3400) 보안컨테이너(100)의 실행을 제어한다(S3450).Thereafter, the
이와 같이 온라인인증모듈(171)은 보안통제서버(1100)와 직접적으로 연결되어 인증에 필요한 정보를 전송하고, 보안실행통제정보를 수신하여 보안컨테이너(100)의 실행에 필요한 인증을 수행한다.In this way, the
도 9는 본 발명의 일 실시예에 따른 콘텐츠 보안유통방법의 오프라인인증모듈(172)의 보안컨테이너실행인증단계(S3000)의 세부 단계들을 개략적으로 도시하는 도면이다.FIG. 9 is a view schematically showing detailed steps of a security container execution authentication step (S3000) of an
도 9를 참조하면 본 발명의 일 실시예에 따른 보안컨테이너(100)의 오프라인인증모듈(172)은 보안통제서버(1100)에서 인증을 수행하기 위하여 스마트폰(3100) 및 웹서버(1300)를 거쳐 보안통제서버(1100)와 연결되어 오프라인인증을 수행한다.9, the
우선 보안컨테이너(100)는 수신자(3000)에 의해 실행되면 수신자의 ID 및 비밀번호 등을 입력 받아 인증을 수행한다(S3010). 본 발명의 일 실시예에 따르면 상기 수신자의 ID 및 비밀번호에 기초하여 보안컨테이너(100) 자체적으로 인증을 수행할 수 있고, 본 발명의 다른 실시예에 따르면 상기 수신자의 ID 및 비밀번호를 매니저서버(1000)의 보안통제서버(1100)에 전송하여 인증을 수행할 수도 있다. 다만 오프라인인증의 경우 보안유출의 위험성이 있으므로 바람직하게는 오프라인인증을 수행할 때에는 보안컨테이너(100) 자체적으로 인증을 수행한다.First, when the
이후, 보안컨테이너(100)는 상기 S3010에서 인증을 수행한 결과 또는 입력 받은 정보, 보안정책에 따라 사용권한여부를 확인할 수 있는 보안컨테이너(100), 디바이스 및 사용자에 대한 정보, 및 상기 정보를 송신할 매니저서버(1000)의 웹서버(1300)의 주소가 포함된 QR코드를 생성한다(S3020).Thereafter, the
이후, 수신자(3000)는 스마트폰(3100)등을 사용하여 생성된 상기 QR코드를 인식한다(S3110). Then, the
이후, 상기 스마트폰(3100)은 인식한 QR코드에 포함된 정보를 이용하여 웹서버(1300)에 접속하고, 상기 웹서버(1300)로 QR코드에 포함된 정보를 전송한다(S3120). 전술한 바와 같이 상기 QR코드는 상기 S3010에서 인증을 수행한 결과 또는 입력 받은 정보 및 보안정책에 따라 사용권한여부를 확인할 수 있는 보안컨테이너(100), 디바이스 및 사용자에 대한 정보 를 포함한다.Then, the
이후, 웹서버(1300)는 수신한 상기 S3010에서 인증을 수행한 결과 또는 입력 받은 정보 및 보안정책에 따라 사용권한여부를 확인할 수 있는 보안컨테이너(100), 디바이스 및 사용자에 대한 정보를 보안통제서버(1100)로 전송한다(S3130).Then, the
이후, 보안통제서버(1100)는 수신한 상기 정보에 상응하는 기저장된 보안컨테이너의 관리정보 및 보안정책을 조회한다. 본 발명의 일 실시예에 따르면 보안통제서버(1100)는 수신한 보안컨테이너(100)의 일련번호를 이용하여 DB서버(1200)에 상기 보안컨테이너(100)의 관리정보 및 보안정책을 조회하고(S3200), 상기 DB서버(1200)는 상기 조회 결과를 보안통제서버(1100)에 전송한다(S3210).Then, the
이후, 보안통제서버(1100)는 상기 DB조회 결과에 기초하여 사용권한여부를 확인하고, 그에 따른 보안실행통제정보를 웹서버(1300)에 전송한다(S3400).Thereafter, the
이후, 웹서버(1300)는 수신한 보안실행통제정보를 포함하는 보안코드를 생성한다(S3410). 상기 보안코드는 암호화되어 유출되더라도 보안실행통제정보를 보호할 수 있도록 함이 바람직하다.Thereafter, the
이후, 웹서버(1300)는 생성한 상기 보안코드를 스마트폰(3100)으로 전송한다(S3420).Thereafter, the
이후, 수신자(3000)는 스마트폰(3100)으로 수신한 상기 보안코드를 보안컨테이너(100)에 입력한다(S3430).Then, the
이후, 보안컨테이너(100)는 수신한 상기 보안코드에 포함된 보안실행통제정보를 복호화 하여, 상기 보안실행통제정보에 따라 실행을 제어한다(S3450).Thereafter, the
이와 같이 오프라인인증모듈(172)은 보안통제서버(1100)와 스마트폰(3100) 및 웹서버(1300)를 통해 간접적으로 연결되어 인증에 필요한 정보를 QR코드를 통해 전송하고, 보안실행통제정보를 보안코드를 통해 수신하여 보안컨테이너(100)의 실행에 필요한 인증을 수행한다.The
도 10은 본 발명의 일 실시예에 따른 콘텐츠 보안유통방법의 콘텐츠오픈인증단계(S4000)의 세부 단계들을 개략적으로 도시하는 도면이다.FIG. 10 is a view schematically showing detailed steps of a content open authentication step (S4000) of a content security distribution method according to an embodiment of the present invention.
도 10을 참조하면 본 발명의 일 실시예에 따른 보안컨테이너(100)는 보안통제서버(1100)와 연결되어 인증을 수행한다.Referring to FIG. 10, the
우선 보안컨테이너(100)는 보안컨테이너실행인증단계(S3000)를 통해 사용권한이 확인되면 콘텐츠를 오픈 하기 위하여 콘텐츠오픈인증단계(S4000)를 수행한다.First, the
수신자(3000)가 보안컨테이너(100)의 콘텐츠를 오픈 하는 경우, 상기 보안컨테이너(100)는 보안통제서버(1100)로 인증에 필요한 보안컨테이너, 디바이스, 사용자 및 콘텐츠에 대한 정보를 포함하는 콘텐츠오픈정보를 송신한다(S4100).When the
이후, 보안통제서버(1100)는 수신한 콘텐츠오픈정보에 기초하여 그에 상응하는 보안컨테이너의 관리정보 및 보안정책을 DB서버에서 조회한다. 본 발명의 일 실시예에 따르면 보안통제서버(1100)는 수신한 보안컨테이너(100)의 일련번호를 이용하여 DB서버(1200)에 상기 보안컨테이너(100)의 관리정보 및 보안정책을 조회하고(S4200), 상기 DB서버(1200)는 상기 조회 결과를 보안통제서버(1100)에 전송한다(S4210).Then, the
이후, 보안통제서버(1100)는 상기 DB조회 결과에 기초하여 콘텐츠 접근의 보안정책 준수 여부를 확인하고, 그에 따른 콘텐츠 오픈통제정보를 보안컨테이너(100)에 전송한다(S4400).Thereafter, the
이후, 보안컨테이너(100)는 상기 콘텐츠 오픈통제정보에 기초하여 콘텐츠의 오픈 통제를 수행한다(S4410). 상기 보안정책을 준수하는 경우, 콘텐츠 오픈통제정보에 기초하여 문서뷰어모듈(180)을 통해 콘텐츠를 오픈 하고, 보안정책에 위배된 경우, 콘텐츠 오픈통제정보에 기초하여 콘텐츠를 오픈 하지 않고 보호한다.Then, the
이후, 보안컨테이너(100)는 이와 같은 콘텐츠 오픈통제수행 결과를 보안통제서버(1100)로 전송한다(S4420).Then, the
이후, 상기 콘텐츠 오픈통제수행 결과를 수신한 보안컨테이너(100)는 그에 따라 콘텐츠를 제어하는 콘텐츠제어정보를 보안컨테이너(100)로 전송한다(S4500). 상기 콘텐츠제어정보는 보안정책에 기초하여 콘텐츠의 보호를 위하여 오픈 제한, 오픈 중단, 및 삭제를 포함하는 콘텐츠의 제어를 포함한다. 본 발명의 일 실시예에 따르면 콘텐츠를 정상적으로 오픈 하였더라도, 상기 보안정책에 콘텐츠의 오픈 허용시간이 설정되어 있는 경우, 상기 오픈 허용시간이 지난 이후 보안컨테이너(100)는 콘텐츠를 닫아 상기 콘텐츠의 보안을 유지한다. 혹은 보안정책에 위배되어 콘텐츠를 보호하는 경우 보안컨테이너(100)의 실행을 중지하는 등의 방법을 통해 콘텐츠로의 접근을 차단한다. 바람직하게는 심각한 보안정책 위반이 발견된 경우, 상기 콘텐츠를 삭제하여 상기 콘텐츠에 대한 보안을 유지한다.After receiving the result of the content open control, the
이후, 상기 콘텐츠제어정보를 수신한 보안컨테이너(100)는 상기 콘텐츠제어정보에 따라 콘텐츠의 제어를 수행한다(S4510).Thereafter, the
이후, 보안컨테이너(100)는 상기 콘텐츠제어정보에 따라 수행한 콘텐츠제어수행결과를 보안통제서버(1100)로 전송한다(S4520).Thereafter, the
이후, 보안통제서버(1100)는 수신한 콘텐츠제어수행결과에 기초하여 DB서버에 저장된 보안컨테이너(100)의 관리정보 및 보안정책을 갱신한다(S4600). 본 발명의 일 실시예에 따르면 정상적으로 콘텐츠를 오픈 한 경우, 상기 보안컨테이너(100)는 콘텐츠의 오픈 수행 결과를 보안통제서버(1100)로 전송하여 DB서버에 저장된 상기 보안컨테이너(100)의 관리정보에 콘텐츠의 오픈 이력에 상기 오픈 수행 결과를 추가하여 관리정보를 갱신한다. 만약 보안정책 위반이 발견되어 콘텐츠에 대한 보안을 강화하거나 콘텐츠를 삭제하는 등의 보안 사항이 발생한 경우에도 보안컨테이너(100)가 보안통제서버(1100)에 이를 전송하여 이를 DB서버(1200)에 기록함으로써 DB를 갱신할 수 있도록 한다.Thereafter, the
이후, DB서버(1200)는 상기 DB갱신결과를 보안통제서버(1100)로 전송한다(S4610). 이와 같이 갱신 결과에 대한 피드백을 통해 갱신이 성공적으로 이루어졌는지를 확인하고, 발생할 수 있는 오류를 차단하는 효과를 발휘할 수 있다.Thereafter, the
이와 같은 과정을 거쳐서 보안컨테이너(100)를 통해 사용권한을 인증 받은 수신자(3000)가 다시 매니저서버(1000)의 인증을 거쳐 콘텐츠에 접근하도록 하여 각 콘텐츠의 보안정책을 준수한 경우에만 수신자(300)가 콘텐츠에 접근하도록 하고, 콘텐츠 접근 이력 등 관리정보를 매니저서버(1000)의 DB서버(1200)에 기록하여 보안컨테이너(100)의 유통과정 등을 확인할 수 있게 된다.The
도 11은 본 발명의 일 실시예에 따른 콘텐츠 보안유통방법의 보안컨테이너의 파일 구조를 개략적으로 도시하는 도면이다.11 is a view schematically showing a file structure of a security container of a content security distribution method according to an embodiment of the present invention.
도 11을 참조하면 본 발명의 일 실시예에 따른 보안컨테이너(100)로 생성된 하나의 실행 가능한 파일의 구조를 확인할 수 있다. Referring to FIG. 11, a structure of one executable file generated by the
상기 보안컨테이너(100)는 각종 헤더와 텍스트 섹션, 데이터 섹션 및 SFX 데이터를 포함하고, 상기 SFX 데이터는 원본 데이터 영역과 가상 데이터 영역으로 구분된다.The
상기 텍스트 섹션은 프로그램의 실행코드를 담고 있는 영역이고, 데이터 섹션은 상기 프로그램의 변수를 할당하는 영역이고, 상기 SFX 데이터는 자체 풀림 압축파일의 형태로 저장된 데이터 영역이다.The text section is an area containing an executable code of the program, the data section is an area for allocating a variable of the program, and the SFX data is a data area stored in the form of a self-extracting compressed file.
매니저서버(1000)가 보안컨테이너(100)를 생성할 때, SFX 데이터에서 원본 콘텐츠 파일과 가상 콘텐츠 파일들이 저장되는 영역을 분리하여 원본 데이터영역과 가상 데이터영역을 생성하고, 원본 콘텐츠는 원본 데이터영역에 저장한다. 이후, 원본 콘텐츠에 대한 작업 요청 시 가상 콘텐츠를 참조하도록 보안정책을 설정하고, 보안정책에 내장된 에이전트와 분리된 원본파일, 가상파일을 암호화하여 단일파일로 만들 파일 스트림을 생성하여 실행가능한 단일 파일로 생성한다.When the
도 11을 참조하면 상기 SFX 데이터의 상세 구조를 확인할 수 있다. 상기 SFX데이터는 압축을 푸는 추출기 및 암호화 된 데이터로 크게 구분되고, 상기 암호화 된 데이터는 셋업 정보 블록, 헤더 블록, 데이터 블록을 포함한다.Referring to FIG. 11, the detailed structure of the SFX data can be confirmed. The SFX data is largely classified into an extractor for extracting and an encrypted data, and the encrypted data includes a setup information block, a header block, and a data block.
본 발명의 일 실시예에 따른 보안컨테이너(100)는 이처럼 SFX 데이터를 원본 데이터 영역과 가상 데이터 영역으로 나누어 콘텐츠를 저장하고, 원본 데이터 영역에 원본 콘텐츠를 저장하고, 가상 데이터 영역에 상기 원본 콘텐츠를 가상화 한 가상 콘텐츠를 저장하여, 콘텐츠에 대한 접근 시 가상 데이터 영역의 가상 콘텐츠에만 접근하도록 함으로써, 원본 콘텐츠를 보호한다.The
도 12는 본 발명의 일 실시예에 따른 콘텐츠 보안유통방법의 샌드박스구현모듈의 샌드박스 구현 과정의 세부 단계들을 개략적으로 도시하는 도면이다.12 is a view schematically showing detailed steps of a sandbox implementation process of a sandbox implementation module of a content security distribution method according to an embodiment of the present invention.
도 12를 참조하면 본 발명의 일 실시예에 따른 샌드박스구현모듈(190)은 언패키징단계(S100), 가상영역작업단계(S200), 및 가상영역정리단계(S300)를 포함하는 과정을 거쳐 샌드박스를 구현한다.Referring to FIG. 12, the
우선, 언패키징단계(S100)에서는 콘텐츠를 오픈 함에 있어서 원본 데이터영역과 가상 데이터영역에 각각 원본 콘텐츠 및 가상 콘텐츠를 분리한다.First, in the unpackaging step (SlOO), the original content and the virtual content are separated into the original data area and the virtual data area, respectively, when the contents are opened.
수신자(3000)가 인증 과정을 거쳐 콘텐츠를 오픈 하는 경우, 상기 샌드박스구현모듈(190)은 암호화되어 압축된 콘텐츠에서 원본 콘텐츠는 원본 데이터영역에, 가상 콘텐츠는 가상 데이터영역에 각각 압축을 해제하고 복호화 하여 수신자(3000)가 접근할 수 있도록 한다.When the
이후, 가상영역작업단계(S200)에서는 콘텐츠에 대한 작업 요청 시 가상 데이터영역에서만 수행되도록 한다. Then, in the virtual area operation step (S200), it is performed only in the virtual data area when the operation is requested for the content.
수신자(3000)가 콘텐츠에 대한 작업 요청 하여, 상기 콘텐츠에 대한 작업 요청을 위해 API가 호출될 때, 상기 샌드박스구현모듈(190)은 상기 API가 콘텐츠에 대한 접근 시 가상 콘텐츠로 접근되도록 API를 변경하여 호출함으로써 작업이 가상 데이터영역에서 수행되도록 한다. 이와 같이 원본 콘텐츠에 대한 접근을 차단하고 가상 콘텐츠로 접근하도록 변경함으로써 원본 콘텐츠를 보호하는 효과를 발휘할 수 있다.When the
이후, 가상영역정기단계(S300)에서는 보안컨테이너(100)의 작업 종료 시 가상 데이터영역의 데이터를 영구적으로 삭제한다.Then, in the virtual area periodical step S300, the data of the virtual data area is permanently deleted at the end of the operation of the
수신자(3000)가 콘텐츠에 대한 작업을 마치고 종료하는 경우, 파일을 닫는 API가 호출되는데, 이 경우에도 상기 API가 콘텐츠에 접근 시 가상 콘텐츠로 접근되도록 API를 변경하여 호출하여 가상 콘텐츠를 종료한다. 또한, 작업이 종료되고 나면 가상 데이터영역의 데이터를 영구적으로 삭제함으로써, 가상 데이터영역에 저장되어 있던 가상 콘텐츠의 유출을 방지하여 콘텐츠를 보호하는 효과를 발휘할 수 있다.When the
이와 같이 샌드박스구현모듈(190)이 원본 콘텐츠와 가상 콘텐츠를 분리하여 원본 콘텐츠로의 접근을 차단하고 가상 콘텐츠로 접근하도록 변경함으로써 원본 콘텐츠를 보호하고, 작업이 종료된 후 가상 콘텐츠가 저장되어 있던 가상 데이터영역의 데이터를 영구적으로 삭제함으로써, 가상 콘텐츠의 유출을 방지함으로써 콘텐츠의 보호를 수행하게 된다.In this way, the
본 발명의 일 실시예에 따르면, 보안컨테이너를 통해 콘텐츠에 접근하기 위하여 사용자 및/또는 디바이스 등의 인증을 수행함으로써 접근 권한이 있는 사용자 및/또는 디바이스만이 콘텐츠에 접근할 수 있도록 하여 콘텐츠의 보안을 유지할 수 있는 효과를 발휘할 수 있다.According to an embodiment of the present invention, authentication of a user and / or a device is performed in order to access content through a security container, so that only a user and / Can be maintained.
본 발명의 일 실시예에 따르면, 보안컨테이너를 통해 콘텐츠에 접근함으로써 다른 어플리케이션 또는 디바이스가 콘텐츠에 직접 접근하는 것을 방지하고 콘텐츠의 보안을 유지할 수 있는 효과를 발휘할 수 있다.According to an embodiment of the present invention, access to content through a security container prevents other applications or devices from accessing the content directly, and can maintain the security of the content.
본 발명의 일 실시예에 따르면, 보안컨테이너가 샌드박스를 구현하여 콘텐츠를 격리하여 저장함으로써 외부 접근을 거부하여 콘텐츠의 보안을 유지할 수 있는 효과를 발휘할 수 있다.According to an embodiment of the present invention, the security container implements a sandbox to isolate and store the content, thereby externally accessing the content and securing the security of the content.
본 발명의 일 실시예에 따르면, 보안컨테이너를 통해 콘텐츠에 접근하기 위하여 매니저서버를 통해 인증을 수행하고, 매니저서버가 콘텐츠의 오픈 등을 제어함으로써, 기설정된 보안정책 등을 준수하고, 보안정책 등에 위배된 경우 콘텐츠로의 접근을 차단, 열람의 중지, 콘텐츠의 삭제 등의 제어를 통해 콘텐츠의 보안을 유지할 수 있는 효과를 발휘할 수 있다.According to an embodiment of the present invention, authentication is performed through a manager server in order to access content through a security container, and a manager server controls opening of content or the like to comply with predetermined security policies and the like, It is possible to maintain the security of the content by controlling access to the content, stopping the browsing, deleting the content, and the like.
본 발명의 일 실시예에 따르면, 보안 컨테이너를 통해 콘텐츠에 접근할 때 마다 매니저서버를 통해 인증을 수행함으로써, 매니저서버가 콘텐츠의 유통경로를 추적할 수 있는 효과를 발휘할 수 있다.According to an embodiment of the present invention, the authentication is performed through the manager server every time the content is accessed through the security container, thereby enabling the manager server to track the distribution channel of the content.
이상과 같이 실시예들이 비록 한정된 실시예와 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다. 그러므로, 다른 구현들, 다른 실시예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed exemplary embodiments. For example, it is to be understood that the techniques described may be performed in a different order than the described methods, and / or that components of the described systems, structures, devices, circuits, Lt; / RTI > or equivalents, even if it is replaced or replaced. Therefore, other implementations, other embodiments, and equivalents to the claims are also within the scope of the following claims.
Claims (8)
매니저서버가 사용자단말기로부터 보안컨테이너의 실행 요청을 받아 권한을 확인하고, 보안컨테이너의 실행을 통제하는 보안컨테이너실행인증단계;
상기 매니저서버가 상기 사용자단말기로부터 상기 보안컨테이너 내부에 저장된 콘텐츠의 오픈 요청을 받아 해당 콘텐츠에 대한 권한을 확인하고, 콘텐츠 오픈을 통제하는 콘텐츠오픈인증단계; 및
상기 콘텐츠오픈인증단계에서 해당 콘텐츠에 대한 권한이 확인되면, 상기 상기 사용자단말기의 보안컨테이너는, 사용자단말기의 하드디스크의 특정 영역을 샌드박스로 지정하고 콘텐츠를 격리하여 저장함으로써 외부 접근을 거부시키고, 상기 콘텐츠에 접근하기 위한 권한을 확인하여 접근을 통제하는 보안컨테이너실행단계;를 포함하고,
상기 보안컨테이너는 실행 가능한 파일의 형태이고, 상기 보안컨테이너에는 콘텐츠가 저장이 되어 있고,
상기 보안컨테이너는,
데이터를 암호화 및 복호화 하는 암호화모듈;
보안컨테이너의 보안을 유지하기 위한 각 모듈의 실행을 제어하는 실행제어모듈;
보안컨테이너가 저장된 디바이스의 정보를 수집하고, 콘텐츠의 유출을 방지하기 위해 디바이스의 동작을 제어하는 디바이스제어모듈;
콘텐츠의 불법복제 및 보안컨테이너의 변조 여부를 확인하여 콘텐츠의 유출을 방지하는 불법복제방지모듈;
상기 매니저서버와 보안통신을 수행하는 보안통신모듈;
상기 매니저서버의 제어에 따라 보안컨테이너의 각 모듈의 실행을 제어하는 원격제어모듈;
매니저서버에 인증에 필요한 정보를 전송하고 그에 따른 통제정보를 수신하여 콘텐츠로의 접근 권한을 부여하는 인증모듈;
상기 보안컨테이너에 저장된 콘텐츠를 오픈 하여 사용자에게 표시하는 문서뷰어모듈; 및
하드디스크의 특정 영역을 샌드박스로 지정하고 콘텐츠를 격리하여 관리하는 샌드박스구현모듈;을 포함하고,
상기 샌드박스구현모듈은,
콘텐츠를 오픈 함에 있어서 원본 데이터영역과 가상 데이터영역에 각각 원본 콘텐츠 및 가상 콘텐츠를 분리하여 패키징을 해제하는 언패키징단계;
콘텐츠에 대한 작업 요청 시 가상 데이터영역에서만 수행되도록 하는 가상영역작업단계; 및
보안컨테이너의 작업 종료 시 가상 데이터영역의 데이터를 영구적으로 삭제하는 가상영역정리단계;를 포함하는 과정을 거쳐 샌드박스를 구현하고,
상기 가상영역작업단계는,
콘텐츠에 대한 작업 요청을 위한 API가 호출될 때, 콘텐츠에 대한 접근 시 가상 콘텐츠로 접근되도록 변경하여 호출함으로써 작업이 가상 데이터영역에서 수행되도록 하고,
상기 인증모듈은,
보안컨테이너가 온라인 상태인 경우, 온라인으로 인증에 필요한 정보를 매니저서버로 전송하고 그에 따른 매니저서버의 통제정보를 수신하여 인증을 수행하는 온라인인증모듈; 및
보안컨테이너가 오프라인 상태인 경우, 인증에 필요한 정보가 포함된 QR코드를 생성하고, 상기 QR코드에 기초하여 매니저서버가 인증을 수행한 뒤 생성한 보안코드를 입력 받아 인증을 수행하는 오프라인인증모듈;을 포함하고,
상기 디바이스제어모듈은 사용자단말기가 오픈 된 콘텐츠의 스크린샷을 획득하는 것을 방지하고, 콘텐츠의 내용을 복사할 수 있는 키보드의 입력을 방지하고, 콘텐츠를 인쇄하지 못하도록 하고,
상기 QR코드는 사용자단말기에서 상기 보안컨테이너의 실행에 따른 사용자의 ID 및 비밀번호 입력에 대한 인증결과; 보안컨테이너, 사용자단말기, 및 사용자에 대한 정보; 및 상기 매니저서버의 웹서버의 주소에 대한 정보를 포함하는, 콘텐츠 보안유통방법.
As a content security distribution method,
A security container execution authentication step of the manager server receiving the execution request of the security container from the user terminal to confirm the authority and controlling the execution of the security container;
A content open authentication step of allowing the manager server to receive an open request for a content stored in the security container from the user terminal to check the rights of the content and to control the content open; And
When the right of the content is confirmed in the content open authentication step, the security container of the user terminal designates a specific area of the hard disk of the user terminal as a sandbox, isolates and stores the content, And a security container execution step of controlling access by checking authority to access the content,
Wherein the security container is in the form of an executable file, the content is stored in the security container,
The security container includes:
An encryption module for encrypting and decrypting data;
An execution control module for controlling execution of each module for securing the security container;
A device control module for collecting information of a device in which a security container is stored and controlling an operation of the device to prevent a content from being leaked;
An anti-piracy module for preventing illegal copying of content and tampering of security container to prevent leakage of contents;
A secure communication module for performing secure communication with the manager server;
A remote control module for controlling the execution of each module of the security container under the control of the manager server;
An authentication module that transmits information necessary for authentication to the manager server and receives control information according to the received control information to grant access right to contents;
A document viewer module for opening a content stored in the security container and displaying the content to a user; And
A sandbox implementation module for sandboxing a specific area of the hard disk and isolating and managing content,
The sandbox implementation module comprises:
An unpackaging step of unpacking the original content and the virtual content by separating the original content and the virtual content into the original data area and the virtual data area, respectively;
A virtual area operation step in which a content is requested to be performed only in a virtual data area when a work request is made for the content; And
And a virtual area correcting step of permanently deleting the data of the virtual data area at the end of the operation of the security container,
The virtual region operation step includes:
When an API for requesting a work for a content is called, a task is changed in a virtual data area so that the content is accessed by accessing the content when the content is accessed,
The authentication module includes:
An online authentication module that transmits information necessary for authentication to a manager server when the security container is on-line, receives authentication information of the manager server according to the information, and performs authentication; And
An offline authentication module for generating a QR code including information necessary for authentication when the security container is in an offline state, receiving a security code generated after the manager server performs authentication based on the QR code, and performing authentication by receiving the generated security code; / RTI >
The device control module prevents the user terminal from acquiring a screen shot of the opened content, prevents input of a keyboard capable of copying the content of the content, prevents the content from being printed,
Wherein the QR code includes an authentication result for inputting a user ID and a password according to execution of the security container at a user terminal; Information about the security container, the user terminal, and the user; And information about an address of a web server of the manager server.
상기 보안컨테이너실행인증단계는,
인증에 필요한 보안컨테이너, 디바이스 및 사용자에 대한 정보를 수신하는 보안컨테이너정보수신단계;
수신한 상기 정보에 상응하는 기저장된 보안컨테이너의 관리정보 및 보안정책을 조회하는 보안컨테이너DB조회단계;
수신한 상기 정보 및 기저장된 보안컨테이너의 정보에 기초하여 사용권한 여부를 확인하는 사용권한여부확인단계; 및
상기 사용권한 여부에 기초하여 보안컨테이너의 실행을 제어하는 보안컨테이너실행통제단계;를 포함하는 콘텐츠 보안유통방법.
The method according to claim 1,
The security container execution authentication step includes:
A security container information receiving step of receiving information about a security container, a device and a user necessary for authentication;
A security container DB inquiry step of inquiring management information and a security policy of a previously stored security container corresponding to the received information;
Checking whether the use right is authorized based on the received information and information of a previously stored security container; And
And a security container execution control step of controlling execution of the security container based on whether or not the use right is granted.
상기 콘텐츠오픈인증단계는,
인증에 필요한 보안컨테이너, 디바이스, 사용자 및 콘텐츠에 대한 정보를 수신하는 콘텐츠오픈정보수신단계;
수신한 상기 정보에 상응하는 기저장된 보안컨테이너의 관리정보 및 보안정책을 조회하는 콘텐츠오픈DB조회단계;
수신한 상기 정보 및 기저장된 보안컨테이너의 정보에 기초하여 콘텐츠의 오픈에 필요한 보안정책의 준수 여부를 확인하는 보안정책준수여부확인단계;
상기 보안정책의 준수 여부에 기초하여 보안컨테이너의 콘텐츠 오픈을 제어하는 콘텐츠오픈통제단계;
상기 보안정책에 기초하여 콘텐츠의 콘텐츠의 보호를 위하여 오픈 제한, 오픈 중단, 및 삭제를 포함하는 콘텐츠의 제어를 수행하는 콘텐츠제어단계; 및
수행한 상기 콘텐츠의 제어에 기초하여 저장된 보안컨테이너의 관리정보 및 보안정책을 갱신하는 DB갱신단계;를 포함하는 콘텐츠 보안유통방법.
The method according to claim 1,
The content open authentication step comprises:
A content open information receiving step of receiving information on a security container, a device, a user and a content necessary for authentication;
A content open DB inquiry step of inquiring management information and a security policy of a previously stored security container corresponding to the received information;
A security policy compliance check step of checking compliance of the security policy necessary for opening the content based on the received information and the information of the previously stored security container;
A content open control step of controlling the content opening of the security container based on whether the security policy is complied with;
A content control step of performing control of contents including open restriction, open suspension, and deletion in order to protect contents of contents based on the security policy; And
And updating the management information and the security policy of the security container stored based on the control of the content.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020170068838A KR101952628B1 (en) | 2017-06-02 | 2017-06-02 | Method for Content Security Distribution Using Executable Secure Container with Sandbox |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020170068838A KR101952628B1 (en) | 2017-06-02 | 2017-06-02 | Method for Content Security Distribution Using Executable Secure Container with Sandbox |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20180132233A KR20180132233A (en) | 2018-12-12 |
| KR101952628B1 true KR101952628B1 (en) | 2019-02-27 |
Family
ID=64669888
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020170068838A KR101952628B1 (en) | 2017-06-02 | 2017-06-02 | Method for Content Security Distribution Using Executable Secure Container with Sandbox |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR101952628B1 (en) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20210093070A (en) * | 2020-01-17 | 2021-07-27 | 삼성전자주식회사 | Method and apparatus for wireless network design and optimization |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2021122440A1 (en) * | 2019-12-19 | 2021-06-24 | Gambro Lundia Ab | A medical equipment, an authentication server and methods for authorizing a user access to an equipment via an equipment user interface |
| KR102260822B1 (en) * | 2020-10-22 | 2021-06-07 | (주)테이텀 | Scanning and managing apparatus on cloud security compliance |
| KR102592625B1 (en) * | 2021-12-08 | 2023-10-24 | (주)유엠로직스 | Content security system based on sandbox technology |
| KR102474989B1 (en) * | 2022-03-03 | 2022-12-07 | 농업협동조합중앙회 | Server that supports secure use of virtual machine on public cloud and controlling method thereof |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5735135B2 (en) * | 2013-05-10 | 2015-06-17 | 株式会社東芝 | Content playback apparatus, content playback method, and content playback system |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100856404B1 (en) * | 2006-01-03 | 2008-09-04 | 삼성전자주식회사 | Method and apparatus for importing a content |
| KR101139727B1 (en) * | 2009-12-31 | 2012-04-26 | 인크로스 주식회사 | Method for transmitting contents in mobile device |
-
2017
- 2017-06-02 KR KR1020170068838A patent/KR101952628B1/en active IP Right Grant
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5735135B2 (en) * | 2013-05-10 | 2015-06-17 | 株式会社東芝 | Content playback apparatus, content playback method, and content playback system |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20210093070A (en) * | 2020-01-17 | 2021-07-27 | 삼성전자주식회사 | Method and apparatus for wireless network design and optimization |
| KR102713568B1 (en) * | 2020-01-17 | 2024-10-07 | 삼성전자주식회사 | Method and apparatus for wireless network design and optimization |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20180132233A (en) | 2018-12-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101952628B1 (en) | Method for Content Security Distribution Using Executable Secure Container with Sandbox | |
| CN113168476B (en) | Access control for personalized cryptographic security in an operating system | |
| US10157286B2 (en) | Platform for adopting settings to secure a protected file | |
| CN100583117C (en) | Control method of versatile content with partitioning | |
| CN112513857A (en) | Personalized cryptographic security access control in a trusted execution environment | |
| US11290446B2 (en) | Access to data stored in a cloud | |
| USRE41546E1 (en) | Method and system for managing security tiers | |
| US20170185790A1 (en) | Dynamic management of protected file access | |
| CN103763313A (en) | File protection method and system | |
| CN104680079A (en) | Electronic document security management system and electronic document security management method | |
| CN101908106A (en) | Memory system with versatile content control | |
| CN104318176A (en) | Terminal and data management method and device thereof | |
| CN101120355B (en) | System for creating control structure for versatile content control | |
| US20140047557A1 (en) | Providing access of digital contents to online drm users | |
| US20170187527A1 (en) | Obtaining A Decryption Key From a Mobile Device | |
| WO2016112799A1 (en) | File processing method and apparatus | |
| US9733852B2 (en) | Encrypted synchronization | |
| US9819663B1 (en) | Data protection file system | |
| Birnstill et al. | Building blocks for identity management and protection for smart environments and interactive assistance systems | |
| CN106650492B (en) | A kind of multiple device file guard method and device based on security catalog | |
| Catuogno et al. | A Fine-grained General Purpose Secure Storage Facility for Trusted Execution Environment. | |
| KR20220033534A (en) | Method for Content Security Distribution that Content Subject Can Control | |
| KR20130116485A (en) | Apparatus and method for file encryption | |
| Rehman et al. | Security-enhanced Android for an enterprise | |
| KR20180032999A (en) | device and method for Region Encryption |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant |