[go: up one dir, main page]

KR20060058546A - Database encryption and access control method and device - Google Patents

Database encryption and access control method and device Download PDF

Info

Publication number
KR20060058546A
KR20060058546A KR1020040097623A KR20040097623A KR20060058546A KR 20060058546 A KR20060058546 A KR 20060058546A KR 1020040097623 A KR1020040097623 A KR 1020040097623A KR 20040097623 A KR20040097623 A KR 20040097623A KR 20060058546 A KR20060058546 A KR 20060058546A
Authority
KR
South Korea
Prior art keywords
data
database
information
security
memory
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
KR1020040097623A
Other languages
Korean (ko)
Inventor
유창목
Original Assignee
펜타시큐리티시스템 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 펜타시큐리티시스템 주식회사 filed Critical 펜타시큐리티시스템 주식회사
Priority to KR1020040097623A priority Critical patent/KR20060058546A/en
Priority to JP2005091879A priority patent/JP2006155554A/en
Publication of KR20060058546A publication Critical patent/KR20060058546A/en
Ceased legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6227Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2107File encryption
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Bioethics (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Databases & Information Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 데이터베이스 암호화 및 접근 제어 방법 및 장치에 관한 것이다. 본 발명은 적어도 하나의 자료 처리 단말 및 데이터베이스와 결합하는 보완 관리 모듈에서 데이터베이스를 암호화하고 접근을 제어하는 방법에 있어서, 자료 처리 단말로부터 자료 정보를 수신하는 단계, 데이터베이스의 보안 메모리로 수신된 자료 정보에 상응하는 보안 자료 확인 요청을 전송하는 단계, 데이터베이스의 보안 메모리로부터 보안 자료 확인 요청에 상응하는 보안 자료 정보를 수신하는 단계, 수신된 보안 자료 정보가 유효한 경우 수신된 자료 정보를 바탕으로 암호화를 수행하는 단계 및 암호화된 자료 정보를 데이터베이스의 자료 메모리로 전송하는 단계를 포함하되, 암호화된 자료 정보는 데이터베이스의 자료 메모리에 저장되는 것을 특징으로 한다.The present invention relates to a method and apparatus for database encryption and access control. The present invention provides a method for encrypting a database and controlling access in a complementary management module coupled to at least one data processing terminal and a database, the method comprising: receiving data information from a data processing terminal, data information received by a secure memory of a database; Transmitting the security data verification request corresponding to the security data reception step; receiving the security data information corresponding to the security data verification request from the security memory of the database; and if the received security data information is valid, performing encryption based on the received data information. And transmitting the encrypted data information to the data memory of the database, wherein the encrypted data information is stored in the data memory of the database.

데이터베이스, 암호, 접근, 제어Database, password, access, control

Description

데이터베이스 암호화 및 접근 제어 방법 및 장치{Method and apparatus for providing database encryption and access control} Method and apparatus for providing database encryption and access control             

도 1은 종래의 데이터베이스 보호 시스템을 개략적으로 나타낸 도면.1 is a schematic representation of a conventional database protection system.

도 2는 본 발명의 바람직한 실시예에 따른 데이터베이스 암호화 및 접근 제어 시스템을 개략적으로 나타낸 도면.2 is a schematic representation of a database encryption and access control system in accordance with a preferred embodiment of the present invention.

도 3은 본 발명의 바람직한 실시예에 따른 데이터베이스 내부 구성을 개략적으로 나타낸 도면.Figure 3 is a schematic diagram showing the internal structure of the database according to a preferred embodiment of the present invention.

도 4는 본 발명의 바람직한 실시예에 따른 보안 자료 정보를 저장하는 과정을 개략적으로 나타낸 신호 흐름도.4 is a signal flow diagram schematically illustrating a process of storing security data information according to a preferred embodiment of the present invention.

도 5는 본 발명의 바람직한 실시예에 따른 보완 관리 모듈을 통해 암호화된 자료 정보를 데이터베이스의 자료 메모리에 저장하는 과정을 개략적으로 나타낸 도면.5 is a diagram schematically illustrating a process of storing encrypted data information in a data memory of a database through a complementary management module according to an exemplary embodiment of the present invention.

도 6은 본 발명의 바람직한 실시예에 따른 데이터베이스의 자료 메모리에 암호화된 추가 자료를 저장하는 과정을 개략적으로 나타낸 도면.6 is a schematic diagram illustrating a process of storing encrypted additional data in a data memory of a database according to a preferred embodiment of the present invention.

도 7은 본 발명의 바람직한 실시예에 따른 데이터베이스의 자료 메모리에 자료를 삭제하는 과정을 개략적으로 나타낸 도면.7 is a diagram schematically illustrating a process of deleting data in a data memory of a database according to a preferred embodiment of the present invention.

도 8은 본 발명의 바람직한 실시예에 따른 보안 관리 모듈이 자료 처리 단말로부터 자료 요청 정보를 수신한 경우 복호화 과정을 통해 자료 정보를 제공하는 과정을 개략적으로 나타낸 도면.8 is a diagram schematically illustrating a process of providing data information through a decryption process when the security management module according to an embodiment of the present invention receives data request information from a data processing terminal.

도 9는 본 발명의 바람직한 실시예에 따른 접근 권한이 없는 사용자가 접근한 경우 처리 과정을 개략적으로 나타낸 도면.9 is a view schematically showing a processing procedure when a user without access authority accesses according to a preferred embodiment of the present invention.

도 10은 본 발명의 바람직한 실시예에 따른 보안 관리 모듈에 상응하는 보안 관리 프로그램의 로그인 과정을 개략적으로 나타낸 도면.10 is a view schematically illustrating a login process of a security management program corresponding to a security management module according to an embodiment of the present invention.

도 11은 본 발명의 바람직한 실시예에 따른 암호화 함수에 상응하는 시큐리티 에이전트 설치 화면을 개략적으로 나타낸 도면.11 is a diagram schematically illustrating a security agent installation screen corresponding to an encryption function according to a preferred embodiment of the present invention.

도 12는 본 발명의 바람직한 실시예에 따른 데이터베이스를 컬럼 단위로 암호화하는 과정을 개략적으로 나타낸 도면.12 is a diagram schematically illustrating a process of encrypting a database in column units according to a preferred embodiment of the present invention.

도 13은 본 발명의 바람직한 실시예에 따른 보안 정책 설정 과정을 개략적으로 나타낸 도면.13 is a diagram schematically illustrating a security policy setting process according to a preferred embodiment of the present invention.

도 14는 본 발명의 바람직한 실시예에 따른 초기 벡터를 사용하여 암호화하는 과정을 개략적으로 나타낸 도면.14 is a schematic diagram illustrating a process of encrypting using an initial vector according to a preferred embodiment of the present invention.

도 15는 본 발명의 바람직한 실시예에 따른 암호화 작업 처리 과정을 개략적으로 나타낸 도면.15 is a schematic diagram illustrating an encryption task processing procedure according to a preferred embodiment of the present invention.

도 16은 본 발명의 바람직한 실시예에 따른 접근 권한 설정 과정을 개략적으로 나타낸 도면.16 is a view schematically showing a process of setting access rights according to an embodiment of the present invention.

도 17은 본 발명의 바람직한 실시예에 따른 인터넷 주소에 따라 접근 권한을 부여하는 과정을 개략적으로 나타낸 도면.17 is a diagram schematically illustrating a process of granting access authority according to an internet address according to a preferred embodiment of the present invention.

도 18은 본 발명의 바람직한 실시예에 따른 응용프로그램에 따라 접근 권한을 부여하는 과정을 개략적으로 나타낸 도면.18 is a view schematically showing a process of granting access rights according to an application program according to a preferred embodiment of the present invention.

도 19는 본 발명의 바람직한 실시예에 따른 암호화된 자료 정보를 보호하기 위한 과정을 개략적으로 나타낸 도면.19 is a view schematically showing a process for protecting encrypted data information according to a preferred embodiment of the present invention.

도 20은 본 발명의 바람직한 실시예에 따른 감사 로그 관리 화면을 개략적으로 나타낸 도면.20 schematically illustrates an audit log management screen according to a preferred embodiment of the present invention.

<도면의 주요 부분에 대한 부호의 설명><Explanation of symbols for the main parts of the drawings>

301 : 보안 관리 장치 303 : 데이터베이스 301: security management device 303: database

305 : 보안 메모리 307 : 암호화 함수 305: secure memory 307: encryption function

본 발명은 데이터베이스 암호화 및 접근 제어 방법 및 장치에 관한 것이다. The present invention relates to a method and apparatus for database encryption and access control.

종래의 정보처리시스템은 방화벽없이 외부에서 내부로 접속하거나 방화벽을 통과하여 네트워크가 도달하는 하나의 특정 시스템으로 사용자명과 패스워드만 있으면 누구든지 접속할 수 있었다.Conventional information processing systems can be accessed by anyone with a user name and password to a specific system that is accessed from the outside from the outside without a firewall or through the firewall.

종래의 데이터베이스 시스템은 사용자 접근 정보를 이용한 사용자 관리를 통 해 기본적인 접근 통제에 대한 방법을 구비하고 있었으나, 이러한 사용자 접근 정보만을 이용하면 데이터베이스 시스템에 네트워크 접속만 가능하면 누구나 데이터베이스 시스템에 접근하여 내부 정보를 검색하거나 현재 운영중인 시스템에 변경을 가하여 치명적인 위험을 발생시키는 문제점이 있었다.Conventional database system was equipped with basic access control method through user management using user access information. However, if only user can access network system to network system using only user access information, anyone can access database system to access internal information. There was a problem that created a fatal risk by searching or making changes to the currently running system.

따라서, 종래에도 데이터베이스로의 접근을 제어하여 데이터베이스를 보호하는 방법이 개시되었다. 도 1은 종래의 데이터베이스 보호 시스템을 개략적으로 나타낸 도면이다. 도 1을 참조하면, 종래 데이터베이스 보호 시스템(100)은 접근 제어 시스템(101), 적어도 하나의 클라이언트 시스템(103), 적어도 하나의 데이터베이스 운영 서버(107) 및 적어도 하나의 데이터베이스(107)를 포함할 수 있다. Accordingly, a method of protecting a database by controlling access to the database is disclosed. 1 is a view schematically showing a conventional database protection system. Referring to FIG. 1, a conventional database protection system 100 may include an access control system 101, at least one client system 103, at least one database operating server 107, and at least one database 107. Can be.

상기 구성을 참조하여, 종래의 데이터베이스 보호 방법을 개략적으로 설명하면 다음과 같다. 종래의 데이터베이스 시스템의 접근을 통제하는 방법은 다수의 데이터베이스 시스템과 다수의 클라이언트 시스템 사이에 연결된 네트워크 세션들의 접속 정보를 네트워크 스니핑(sniffing)을 이용하여 검색하고 데이터베이스 관리자가 인증하지 않은 클라이언트의 연결을 차단하는 것이었다.Referring to the above configuration, a conventional database protection method will be briefly described as follows. The conventional method of controlling access of a database system uses network sniffing to retrieve connection information of network sessions connected between a plurality of database systems and a plurality of client systems, and to block a connection of a client that is not authenticated by the database administrator. It was.

그러나, 종래의 데이터베이스 보호 방법은 네트워크 스니핑을 이용하여 검색하는 과정에서 오류가 생긴 경우 데이터베이스의 정보가 유출될 수 있는 문제점이 있었다.However, the conventional database protection method has a problem that the information of the database can be leaked when an error occurs in the search process using network sniffing.

본 발명의 목적은 데이터베이스를 컬럼 단위로 암호화하고 접근 권한을 설정 할 수 있는 데이터베이스 암호화 및 접근 제어 방법 및 장치를 제공하는 데 있다.
An object of the present invention is to provide a database encryption and access control method and apparatus capable of encrypting a database in column units and setting access rights.

상술한 목적들을 달성하기 위하여, 본 발명의 일 측면에 따르면 적어도 하나의 자료 처리 단말 및 데이터베이스와 결합하는 보완 관리 모듈에서 데이터베이스를 암호화하고 접근을 제어하는 방법에 있어서, 상기 자료 처리 단말로부터 자료 정보를 수신하는 단계, 상기 데이터베이스의 보안 메모리로 상기 수신된 자료 정보에 상응하는 보안 자료 확인 요청을 전송하는 단계, 상기 데이터베이스의 보안 메모리로부터 상기 보안 자료 확인 요청에 상응하는 보안 자료 정보를 수신하는 단계, 상기 수신된 보안 자료 정보가 유효한 경우 상기 수신된 자료 정보를 바탕으로 암호화를 수행하는 단계 및 상기 암호화된 자료 정보를 상기 데이터베이스의 자료 메모리로 전송하는 단계를 포함하되, 상기 암호화된 자료 정보는 상기 데이터베이스의 자료 메모리에 저장되는 것을 특징으로 하는 데이터베이스 암호화 및 접근 제어 방법을 제공할 수 있다.In order to achieve the above objects, according to an aspect of the present invention, a method for encrypting a database and controlling access in a complementary management module coupled to at least one data processing terminal and a database, the data information from the data processing terminal; Receiving a security data confirmation request corresponding to the received data information to a security memory of the database; receiving security data information corresponding to the security data confirmation request from the security memory of the database; Performing encryption based on the received data information and transmitting the encrypted data information to a data memory of the database, if the received secure data information is valid, wherein the encrypted data information includes: In base memory That the chapter can provide a database encryption and access control method according to claim.

바람직한 실시예에서, 상기 암호화는 상기 데이터베이스에 미리 마련된 암호화 함수를 바탕으로 수행되는 것을 특징으로 한다. 또한, 상기 데이터베이스의 보안 메모리에 저장된 보안 자료 정보는 상기 보안 관리 모듈로부터 전송된 보안 컬럼 정보 및 접근 권한 정보를 바탕으로 미리 마련되는 것을 특징으로 한다. 또한, 상기 자료 처리 단말로부터 자료 추가 정보를 수신하는 단계, 상기 자료 추가 정보에 응답하여, 상기 데이터베이스의 보안 메모리로 접근 권한 확인 요청을 전송하는 단계,상기 데이터베이스 보안 메모리로부터 상기 접근 권한 확인 요청에 상응하는 접근 권한 정보를 수신하는 단계, 상기 접근 권한 정보가 유효한 경우 상기 자료 추가 정보에 상응하는 추가 자료를 바탕으로 암호화를 수행하는 단계 및 상기 암호화된 추가 자료 정보를 상기 데이터베이스의 자료 메모리로 전송하는 단계를 더 포함하되,상기 암호화된 추가 자료 정보는 상기 데이터베이스의 자료 메모리에 저장되는 것을 특징으로 한다. 또한, 상기 자료 처리 단말로부터 자료 요청 정보를 수신하는 단계, 상기 자료 요청 정보에 응답하여, 상기 데이터베이스의 보안 메모리로 접근 권한 확인 요청을 전송하는 단계, 상기 데이터베이스 보안 메모리로부터 상기 접근 권한 확인 요청에 상응하는 접근 권한 정보를 수신하는 단계, 상기 접근 권한 정보가 유효한 경우 상기 자료 요청 정보에 상응하는 암호화된 자료 요청을 상기 데이터베이스의 자료 메모리로 전송하는 단계, 상기 데이터베이스의 자료 메모리로부터 상기 암호화된 자료 요청에 상응하는 암호화된 자료 정보를 수신하는 단계, 상기 수신된 암호화된 자료 정보를 바탕으로 복호화를 수행하는 단계 및 상기 복호화된 자료 정보를 상기 자료 처리 단말로 전송하는 단계를 더 포함하는 것을 특징으로 한다.In a preferred embodiment, the encryption is performed based on an encryption function prepared in advance in the database. The security data information stored in the security memory of the database may be prepared in advance based on the security column information and the access authority information transmitted from the security management module. The method may further include receiving data additional information from the data processing terminal, and in response to the data additional information, transmitting an access right confirmation request to a secure memory of the database, corresponding to the access right confirmation request from the database secure memory. Receiving access right information, if the access right information is valid, performing encryption based on additional data corresponding to the additional data information, and transmitting the encrypted additional data information to the data memory of the database. Further comprising, The encrypted additional data information is characterized in that stored in the data memory of the database. The method may further include receiving data request information from the data processing terminal, in response to the data request information, transmitting an access right confirmation request to a secure memory of the database, and corresponding to the access right confirmation request from the database secure memory. Receiving the access right information, if the access right information is valid, transmitting an encrypted data request corresponding to the data request information to the data memory of the database, from the data memory of the database to the encrypted data request. Receiving corresponding encrypted data information, performing decryption based on the received encrypted data information, and transmitting the decrypted data information to the data processing terminal.

본 발명의 다른 측면에 따르면, 적어도 하나의 자료 처리 단말 및 데이터베이스와 결합하며 데이터베이스를 암호화하고 접근을 제어하는 보완 관리 장치에 있어서, 상기 자료 처리 단말로부터 자료 정보를 수신하는 수단, 상기 데이터베이스의 보안 메모리로 상기 수신된 자료 정보에 상응하는 보안 자료 확인 요청을 전송하는 수단, 상기 데이터베이스의 보안 메모리로부터 상기 보안 자료 확인 요청에 상응하는 보안 자료 정보를 수신하는 수단, 상기 수신된 보안 자료 정보가 유효한 경우 상기 수신된 자료 정보를 바탕으로 암호화를 수행하는 수단 및 상기 암호화된 자료 정보를 상기 데이터베이스의 자료 메모리로 전송하는 수단을 포함하되, 상기 암호화된 자료 정보는 상기 데이터베이스의 자료 메모리에 저장되는 것을 특징으로 하는 보완 관리 장치를 제공할 수 있다.According to another aspect of the present invention, there is provided a complementary management apparatus which is combined with at least one data processing terminal and a database, encrypts a database and controls access, comprising: means for receiving data information from the data processing terminal, a secure memory of the database; Means for transmitting a secured data confirmation request corresponding to the received data information to; means for receiving secured data information corresponding to the secured data confirmation request from a secure memory of the database, if the received secured data information is valid; Means for performing encryption on the basis of the received data information and means for transmitting the encrypted data information to the data memory of the database, wherein the encrypted data information is stored in the data memory of the database. Complementary management It can provide value.

본 발명의 다른 측면에 따르면, 데이터베이스를 암호화하고 접근을 제어하는 방법을 수행하기 위하여 디지털 처리 장치에 의해 실행될 수 있는 명령어들의 프로그램이 유형적으로 구현되어 있으며 디지털 처리 장치에 의해 상기 데이터베이스 암호화 및 접근 제어 방법이, 자료 처리 단말로부터 자료 정보를 수신하는 단계, 데이터베이스의 보안 메모리로 상기 수신된 자료 정보에 상응하는 보안 자료 확인 요청을 전송하는 단계, 데이터베이스의 보안 메모리로부터 상기 보안 자료 확인 요청에 상응하는 보안 자료 정보를 수신하는 단계, 상기 수신된 보안 자료 정보가 유효한 경우 상기 수신된 자료 정보를 바탕으로 암호화를 수행하는 단계 및 상기 암호화된 자료 정보를 데이터베이스의 자료 메모리로 전송하는 단계를 포함하되, 상기 암호화된 자료 정보는 상기 데이터베이스의 자료 메모리에 저장되는 것을 특징으로 하는 기록매체를 제공할 수 있다.According to another aspect of the present invention, a program of instructions that can be executed by a digital processing device is tangibly implemented to perform a method of encrypting a database and controlling access, and the method of encrypting and accessing a database by a digital processing device. Receiving data information from a data processing terminal, transmitting a security data confirmation request corresponding to the received data information to a secure memory of a database, and secure data corresponding to the security data confirmation request from a secure memory of a database. Receiving information, if the received security data information is valid, performing encryption based on the received data information, and transmitting the encrypted data information to a data memory of a database, wherein the encrypted Material Seeing that is stored in the data memory of the database, it is possible to provide a recording medium according to claim.

이어서, 첨부한 도면들을 참조하여 본 발명의 바람직한 실시예를 상세히 설명하기로 한다. Next, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 2는 본 발명의 바람직한 실시예에 따른 데이터베이스 암호화 및 접근 제 어 시스템을 개략적으로 나타낸 도면이다.2 is a diagram schematically showing a database encryption and access control system according to a preferred embodiment of the present invention.

도 2를 참조하면, 데이터베이스 암호화 및 접근 제어 시스템은 보안 관리 장치(200), 인터넷망(201), 가상 사설 통신망(Virtual private network : VPN)(203), 방화벽 서버(205), 인증 서버(207), 업무 서버(209), 회계 서버(211), 인사 서버(213), 적어도 하나의 자료 처리 단말(예를 들면, 개인용 컴퓨터)(215, 217, 219), 고객 정보 데이터베이스(221), 인사 정보 데이터베이스(223) 및 회계 정보 데이터베이스(225)를 포함할 수 있다.2, the database encryption and access control system includes a security management apparatus 200, an internet network 201, a virtual private network (VPN) 203, a firewall server 205, and an authentication server 207. ), Business server 209, accounting server 211, human resources server 213, at least one data processing terminal (eg, personal computer) 215, 217, 219, customer information database 221, human resources Information database 223 and accounting information database 225.

여기서, 보완 관리 장치(200)는 적어도 하나의 데이터베이스(221, 223, 225) 내부의 특정 컬럼에 대한 암호화 및 접근 제어를 관리할 수 있다. 한편, 보완 관리 장치(200)에는 데이터베이스 암호화 및 접근 제어 프로그램이 저장되어 구비될 수 있다.Here, the complementary management apparatus 200 may manage encryption and access control for a specific column in at least one database 221, 223, 225. On the other hand, the complementary management device 200 may be provided with a database encryption and access control program stored.

또한, 데이터베이스(221, 223, 225)는 데이터베이스 내에 암호화하고자 하는 특정 컬럼 정보 및 특정 컬럼에 대한 접근 제한 정보가 저장된 보안 메모리와 암호화되지 않은 자료와 암호화된 자료를 저장하는 자료 메모리와 암호화 함수 저장 메모리를 포함할 수 있다. In addition, the database 221, 223, 225 may include a secure memory storing specific column information to be encrypted and access restriction information for a specific column in the database, a data memory for storing unencrypted data and encrypted data, and an encryption function storage memory. It may include.

상기 구성을 참조하여, 본 발명에 따른 데이터베이스 암호화 및 접근 제어 방법을 설명하면 다음과 같다.Referring to the above configuration, a database encryption and access control method according to the present invention will be described.

보완 관리 장치(200)는 데이터베이스(221, 223, 225)의 보안 메모리에 보안 컬럼 정보 및 접근 권한 정보를 포함하는 보안 자료 정보를 저장할 수 있다. 한편, 보안 관리 장치(200)는 데이터베이스(221, 223, 225)의 암호화 함수 저장 메모리에 암호화 함수를 저장할 수 있다. The complementary management apparatus 200 may store security data information including security column information and access authority information in a security memory of the databases 221, 223, and 225. Meanwhile, the security management apparatus 200 may store the encryption function in the encryption function storage memory of the databases 221, 223, and 225.

그 후, 보완 관리 장치(200)는 적어도 하나의 자료 처리 단말(215, 217, 219)로부터 자료 정보를 수신할 수 있다. 이에 따라, 상기 보완 관리 장치(200)는 상기 수신된 자료 정보에 대한 암호화 과정의 수행 여부를 판단하기 위해 상기 수신된 자료 정보에 상응하는 보안 자료 확인 요청을 데이터베이스의 보안 메모리로 전송할 수 있다. 그 후, 상기 수신된 자료 정보에 대해 암호화 과정을 수행해야 하는 경우 상기 보완 관리 장치(200)는 데이터베이스의 보안 메모리로부터 보안 자료 유효 정보를 수집할 수 있다. 이에 따라, 상기 보완 관리 장치는 상기 수신된 자료 정보를 바탕으로 상기 데이터베이스의 암호화 함수 저장 메모리에 미리 마련된 암호화 함수를 참조하여 암호화 과정을 수행할 수 있다. 그 후, 상기 보완 관리 장치는 암호화된 자료 정보를 데이터베이스의 자료 메모리로 전송하여 저장할 수 있다. Thereafter, the supplementary management apparatus 200 may receive data information from at least one data processing terminal 215, 217, or 219. Accordingly, the supplementary management apparatus 200 may transmit a security data confirmation request corresponding to the received data information to the secure memory of the database to determine whether to perform the encryption process on the received data information. Thereafter, when it is necessary to perform an encryption process on the received data information, the supplementary management apparatus 200 may collect secure data valid information from a secure memory of a database. Accordingly, the complementary management apparatus may perform an encryption process by referring to an encryption function prepared in advance in the encryption function storage memory of the database based on the received data information. Thereafter, the complementary management apparatus may transmit and store the encrypted data information to the data memory of the database.

도 3은 본 발명의 바람직한 실시예에 따른 데이터베이스 내부 구성을 개략적으로 나타낸 도면이다.3 is a diagram schematically showing the internal configuration of a database according to a preferred embodiment of the present invention.

도 3을 참조하면, 데이터베이스(303)는 보안 관리 장치(301)와 결합하며 보안 메모리(305), 암호화 함수 저장 메모리(307), 자료 메모리(309)를 포함할 수 있다. 여기서, 상기 자료 메모리(309)는 암호화된 자료 정보(311)를 포함할 수 있다.Referring to FIG. 3, the database 303 may be coupled to the security management apparatus 301 and may include a security memory 305, an encryption function storage memory 307, and a data memory 309. Here, the data memory 309 may include encrypted data information 311.

보안 메모리(305)는 데이터베이스 내에 암호화하고자 하는 특정 컬럼 정보 및 특정 컬럼에 대한 접근 제한 정보를 저장하는 영역이다. 또한, 암호화 함수 저장 메모리(307)는 자료 정보를 암호화하기 위한 적어도 하나의 함수를 저장하는 영 역이다. 한편, 자료 메모리(309)는 암호화된 자료 및 암호화되지 않은 자료를 저장하는 영역이다. The secure memory 305 is an area for storing specific column information to be encrypted and access restriction information for a specific column in the database. In addition, the encryption function storage memory 307 is a region for storing at least one function for encrypting data information. On the other hand, the data memory 309 is an area for storing encrypted data and unencrypted data.

도 4는 본 발명의 바람직한 실시예에 따른 보안 자료 정보를 저장하는 과정을 개략적으로 나타낸 신호 흐름도이다. 4 is a signal flowchart schematically illustrating a process of storing security data information according to an exemplary embodiment of the present invention.

도 4를 참조하면, 보완 관리 모듈은 보안 메모리로 보안 자료 정보를 전송할 수 있다(단계 401). 여기서, 보안 자료 정보는 데이터베이스의 자료 메모리 중 암호화하고자 하는 컬럼 정보 및 접근 권한 정보를 포함할 수 있다. 이에 따라, 데이터베이스는 전송된 보안 자료 정보를 보안 메모리에 저장할 수 있다(단계 403).Referring to FIG. 4, the supplemental management module may transmit secure data information to the secure memory (step 401). Here, the security data information may include column information and access authority information to be encrypted in the data memory of the database. Accordingly, the database may store the transmitted security data information in the secure memory (step 403).

도 5는 본 발명의 바람직한 실시예에 따른 보완 관리 모듈을 통해 암호화된 자료 정보를 데이터베이스의 자료 메모리에 저장하는 과정을 개략적으로 나타낸 도면이다.5 is a diagram schematically illustrating a process of storing encrypted data information in a data memory of a database through a complementary management module according to an exemplary embodiment of the present invention.

도 5를 참조하면, 자료 처리 단말(예를 들면, 개인용 컴퓨터)은 보안 관리 모듈로 자료 정보를 전송할 수 있다(단계 501). 이에 따라, 보안 관리 모듈은 보안 메모리로 보안 자료 확인 요청을 전송할 수 있다(단계 503). 상기 보안 자료 확인 요청에 응답하여, 보안 메모리는 보안 자료 확인 요청 정보에 상응하는 보안 자료 정보를 보안 관리 모듈로 전송할 수 있다(단계 505). 이때, 보안 관리 모듈은 보안 자료 정보가 유효한 경우 상기 수신된 자료 정보를 바탕으로 암호화 과정을 수행할 수 있다(단계 507). 그 후, 보안 관리 모듈은 암호화된 자료 정보를 자료 메모리로 전송할 수 있다(단계 509). 이에 따라, 자료 메모리에 암호화된 자료 정보가 저장될 수 있다(단계 511).Referring to FIG. 5, a data processing terminal (eg, a personal computer) may transmit data information to the security management module (step 501). Accordingly, the security management module may transmit a security data confirmation request to the secure memory (step 503). In response to the security data verification request, the secure memory may transmit security data information corresponding to the security data verification request information to the security management module (step 505). In this case, if the security data information is valid, the security management module may perform an encryption process based on the received data information (step 507). The security management module may then transmit the encrypted data information to the data memory (step 509). Accordingly, encrypted data information may be stored in the data memory (step 511).

도 6은 본 발명의 바람직한 실시예에 따른 데이터베이스의 자료 메모리에 암호화된 추가 자료를 저장하는 과정을 개략적으로 나타낸 도면이다.6 is a diagram schematically illustrating a process of storing encrypted additional data in a data memory of a database according to a preferred embodiment of the present invention.

도 6을 참조하면, 자료 처리 단말(예를 들면, 개인용 컴퓨터)은 보안 관리 모듈로 자료 추가 정보를 전송할 수 있다(단계 601). 이에 따라, 보안 관리 모듈은 보안 메모리로 접근 권한 확인 요청을 전송할 수 있다(단계 603). 그 후, 보안 관리 모듈은 상기 보안 메모리로부터 상기 접근 권한 확인 요청에 상응하는 접근 권한 정보를 수집할 수 있다(단계 605). 이에 따라, 보안 관리 모듈은 상기 자료 처리 단말로부터 수신된 자료 추가 정보에 상응하는 추가 자료를 바탕으로 암호화 과정을 수행할 수 있다(단계 607). 그 후, 보안 관리 모듈은 자료 메모리로 암호화된 추가 자료 정보를 전송할 수 있다(단계 609). 이에 따라, 암호화된 추가 자료는 자료 메모리에 저장될 수 있다(단계 611).Referring to FIG. 6, the data processing terminal (eg, a personal computer) may transmit data additional information to the security management module (step 601). Accordingly, the security management module may transmit an access right confirmation request to the secure memory (step 603). Thereafter, the security management module may collect access right information corresponding to the access right check request from the secure memory (step 605). Accordingly, the security management module may perform an encryption process based on the additional data corresponding to the additional data information received from the data processing terminal (step 607). The security management module can then send the encrypted additional data information to the data memory (step 609). Accordingly, the encrypted additional data may be stored in the data memory (step 611).

도 7은 본 발명의 바람직한 실시예에 따른 데이터베이스의 자료 메모리에 자료를 삭제하는 과정을 개략적으로 나타낸 도면이다.7 is a diagram schematically illustrating a process of deleting data in a data memory of a database according to a preferred embodiment of the present invention.

도 7을 참조하면, 자료 처리 단말(예를 들면, 개인용 컴퓨터)은 보안 관리 모듈로 자료 삭제 정보를 전송할 수 있다(단계 701). 이에 따라, 보안 관리 모듈은 보안 메모리로 접근 권한 확인 요청을 전송할 수 있다(단계 703). 그 후, 보안 관 리 모듈은 상기 보안 메모리로부터 상기 접근 권한 확인 요청에 상응하는 접근 권한 정보를 수집할 수 있다(단계 705). 그 후, 보안 관리 모듈은 자료 메모리로 자료 처리 단말로부터 수신된 자료 삭제 정보에 상응하는 삭제 자료 정보를 전송할 수 있다(단계 707). 이에 따라, 삭제 자료 정보에 상응하는 자료는 자료 메모리에서 삭제될 수 있다(단계 709). Referring to FIG. 7, the data processing terminal (eg, a personal computer) may transmit data deletion information to the security management module (step 701). Accordingly, the security management module may transmit an access right confirmation request to the secure memory (step 703). Thereafter, the security management module may collect access right information corresponding to the access right check request from the secure memory (step 705). Thereafter, the security management module may transmit deletion data information corresponding to the data deletion information received from the data processing terminal to the data memory (step 707). Accordingly, the material corresponding to the deleted data information can be deleted from the data memory (step 709).

도 8은 본 발명의 바람직한 실시예에 따른 보안 관리 모듈이 자료 처리 단말로부터 자료 요청 정보를 수신한 경우 복호화 과정을 통해 자료 정보를 제공하는 과정을 개략적으로 나타낸 도면이다.8 is a diagram schematically illustrating a process of providing data information through a decryption process when the security management module according to an embodiment of the present invention receives data request information from a data processing terminal.

도 8을 참조하면, 자료 처리 단말은 보안 관리 모듈로 자료 요청 정보를 전송할 수 있다(단계 801). 이에 따라, 보안 관리 모듈은 보안 메모리로 접근 권한 확인 요청을 전송할 수 있다(단계 803). 그 후, 보안 관리 모듈은 상기 보안 메모리로부터 상기 접근 권한 확인 요청에 상응하는 접근 권한 정보를 수집할 수 있다(단계 805). 이때, 접근 권한 정보에 의해 자료 처리 단말이 접근 권한이 있는 경우 보안 관리 모듈은 자료 메모리로 암호화된 자료 요청을 전송할 수 있다(단계 807). 여기서, 접근 권한은 데이터베이스 계정, 응용프로그램(application), 인터넷 주소(Internet Protocol : IP)에 따라 설정될 수 있다. 이에 따라, 보안 관리 모듈은 상기 자료 메모리로부터 상기 암호화된 자료 요청에 상응하는 암호화된 자료 정보를 수집할 수 있다(단계 809). 그 후, 보안 관리 모듈은 상기 수집된 암호화된 자료 정보를 바탕으로 복호화 과정을 수행할 수 있다(단계 811). 이에 따라, 보안 관 리 모듈은 복호화된 자료 정보를 자료 처리 단말로 전송할 수 있다(단계 813). Referring to FIG. 8, the data processing terminal may transmit data request information to the security management module (step 801). Accordingly, the security management module may transmit an access right confirmation request to the secure memory (step 803). Thereafter, the security management module may collect access right information corresponding to the access right check request from the secure memory (step 805). In this case, if the data processing terminal has access authority based on the access authority information, the security management module may transmit an encrypted data request to the data memory (step 807). Here, the access right may be set according to a database account, an application, and an Internet address (IP). Accordingly, the security management module may collect encrypted data information corresponding to the encrypted data request from the data memory (step 809). Thereafter, the security management module may perform a decryption process based on the collected encrypted data information (step 811). Accordingly, the security management module may transmit the decrypted data information to the data processing terminal (step 813).

도 9는 본 발명의 바람직한 실시예에 따른 접근 권한이 없는 사용자가 접근한 경우 처리 과정을 개략적으로 나타낸 도면이다.9 is a view schematically showing a processing process when a user without access authority approaches according to a preferred embodiment of the present invention.

도 9를 참조하면, 자료 처리 단말은 보안 관리 모듈로 자료 요청 정보를 전송할 수 있다(단계 901). 이에 따라, 보안 관리 모듈은 보안 메모리로 접근 권한 확인 요청을 전송할 수 있다(단계 903). 그 후, 보안 관리 모듈은 상기 보안 메모리로부터 상기 접근 권한 확인 요청에 상응하는 접근 권한 정보를 수집할 수 있다(단계 905). 이때, 접근 권한 정보에 의해 자료 처리 단말이 접근 권한이 없는 경우 보안 관리 모듈은 자료 처리 단말로 자료 접근 실패 메시지를 전송할 수 있다(단계 907).Referring to FIG. 9, the data processing terminal may transmit data request information to the security management module (step 901). Accordingly, the security management module may transmit an access right confirmation request to the secure memory (step 903). Thereafter, the security management module may collect access right information corresponding to the access right check request from the secure memory (step 905). In this case, when the data processing terminal does not have access authority by the access authority information, the security management module may transmit a data access failure message to the data processing terminal (step 907).

도 10은 본 발명의 바람직한 실시예에 따른 보안 관리 모듈에 상응하는 보안 관리 프로그램의 로그인 과정을 개략적으로 나타낸 도면이다.10 is a diagram schematically illustrating a login process of a security management program corresponding to a security management module according to an exemplary embodiment of the present invention.

도 10을 참조하면, 보안 관리자는 보안 관리 장치의 표시부에 출력된 보안 관리 로그인 화면(1001)을 통해 보완 관리 프로그램에 로그인할 수 있다.Referring to FIG. 10, the security manager may log in to the complementary management program through the security management login screen 1001 output to the display unit of the security management apparatus.

도 11은 본 발명의 바람직한 실시예에 따른 암호화 함수에 상응하는 시큐리티 에이전트 설치 화면을 개략적으로 나타낸 도면이다. 11 is a diagram schematically illustrating a security agent installation screen corresponding to an encryption function according to a preferred embodiment of the present invention.

도 11을 참조하면, 보안 관리 모듈(예를 들면, 디아모 프로그램)은 암호화 함수에 상응하는 시큐리티 에이전트(security agent)를 포함할 수 있다. 보완 관리 장치는 표시부를 통해 시큐리티 에이전트 설치 화면(1101)을 출력할 수 있다. 이에 따라, 보안 관리자가 "시큐리티 에이전트 설치" 항목을 선택한 경우 보안 관리 장치는 표시부를 통해 시큐리티 에이전트 설치 마법사 화면(1103)을 출력할 수 있다. 여기서, 보안 관리자는 시큐리티 에이전트 설치 마법사 화면(1103)을 통해 데이터베이스 시스템 환경을 선택할 수 있다. 이에 따라, 시큐리티 에이전트에 상응하는 암호화 함수가 데이터베이스에 구비될 수 있다. 이때, 시큐리티 에이전트는 그래픽 사용자 인터페이스(Graphical User Interface : GUI)를 통해 간단히 설치될 수 있다.Referring to FIG. 11, a security management module (eg, a diamo program) may include a security agent corresponding to an encryption function. The complementary management apparatus may output the security agent installation screen 1101 through the display unit. Accordingly, when the security manager selects the item "Security Agent Installation", the security management device may output the Security Agent Installation Wizard screen 1103 through the display unit. Here, the security manager may select a database system environment through the security agent installation wizard screen 1103. Accordingly, an encryption function corresponding to the security agent may be provided in the database. In this case, the security agent may be simply installed through a graphical user interface (GUI).

도 12는 본 발명의 바람직한 실시예에 따른 데이터베이스를 컬럼 단위로 암호화하는 과정을 개략적으로 나타낸 도면이다. 12 is a diagram schematically illustrating a process of encrypting a database in column units according to a preferred embodiment of the present invention.

도 12를 참조하면, 보안 관리 장치는 표시부를 통해 디아모 관리 폴더 리스트 화면(1203)출력할 수 있다. 이때, 보안 관리자가 보너스 테이블에 상응하는 "BONUS" 항목을 선택한 경우 보안 관리 장치는 표시부를 통해 보너스 테이블 리스트 화면(1205)을 출력할 수 있다. 이때, 보안 관리자는 보너스 테이블 리스트 화면(1205)을 통해 암호화하고자 하는 셀러리 컬럼에 상응하는 "SAL" 항목을 선택할 수 있다. 이에 따라, 데이터베이스(1201)의 보너스 테이블에 저장되어 있는 셀러리 컬럼을 암호화할 수 있다. Referring to FIG. 12, the security management apparatus may output a diamo management folder list screen 1203 through a display unit. In this case, when the security manager selects the "BONUS" item corresponding to the bonus table, the security management device may output the bonus table list screen 1205 through the display unit. In this case, the security manager may select an “SAL” item corresponding to the celery column to be encrypted through the bonus table list screen 1205. Accordingly, the celery column stored in the bonus table of the database 1201 can be encrypted.

도 13은 본 발명의 바람직한 실시예에 따른 보안 정책 설정 과정을 개략적으로 나타낸 도면이다.13 is a diagram schematically illustrating a security policy setting process according to an embodiment of the present invention.

도 13을 참조하면, 보안 관리 장치는 데이터베이스 관리 메뉴 화면(1301)을 표시부를 통해 출력할 수 있다. 이때, 보안 관리자가 데이터베이스 보안 정책 설정 항목을 선택하면 보안 관리 장치는 표시부를 통해 데이터베이스 보안 정책 설정 화면(1303)을 출력할 수 있다. 이때, 보안 관리자는 데이터베이스 보안 정책 설정 화면(1303)을 통해 오토 롤백(Auto Rollback), 암호화 알고리즘, 초기 벡터(Initial Vector) 및 운영 모드를 선택할 수 있다. 한편, 보안 관리자는 감사 로그(Audit Log) 옵션을 선택할 수도 있다.Referring to FIG. 13, the security management apparatus may output a database management menu screen 1301 through a display unit. In this case, when the security manager selects the database security policy setting item, the security management device may output the database security policy setting screen 1303 through the display unit. In this case, the security manager may select an auto rollback, an encryption algorithm, an initial vector, and an operation mode through the database security policy setting screen 1303. Security administrators can also select the Audit Log option.

도 14는 본 발명의 바람직한 실시예에 따른 초기 벡터를 사용하여 암호화하는 과정을 개략적으로 나타낸 도면이다.14 is a diagram schematically illustrating a process of encrypting using an initial vector according to a preferred embodiment of the present invention.

도 14를 참조하면, 데이터베이스(1401)에 포함된 암호화하고자 하는 원문 자료에 상응하는 "홍길동"(1403)에 동일한 알고리즘을 적용하더라도 초기 벡터(Initial Vector)에 따라 암호화된 자료가 달라질 수 있다. 즉, 초기 벡터를 사용하여 암호화된 자료(1405)는 동일한 원문에 대해서 다른 결과값으로 생성될 수 있다. 그러나, 초기 벡터를 사용하지 않고 암호화된 자료(1407)는 동일한 원문에 대해서 동일한 결과값으로 생성될 수 있다. 따라서, 초기 벡터의 사용함으로써 동일한 원문에 동일한 암호화 알고리즘을 사용하더라도 각기 다른 결과값을 생성하여 암호화 패턴을 유추하는 공격에 대비할 수 있다. Referring to FIG. 14, even if the same algorithm is applied to "Hong Gil-dong" 1403 corresponding to the original text to be included in the database 1401, the encrypted data may vary according to an initial vector. That is, the data 1405 encrypted using the initial vector may be generated with different result values for the same original text. However, data 1407 encrypted without using an initial vector can be generated with the same result for the same text. Therefore, by using the initial vector, even if the same encryption algorithm is used for the same text, different results can be generated to prepare for an attack that infers an encryption pattern.

도 15는 본 발명의 바람직한 실시예에 따른 암호화 작업 처리 과정을 개략적으로 나타낸 도면이다.15 is a view schematically showing an encryption task processing procedure according to a preferred embodiment of the present invention.

도 15를 참조하면, 보안 관리 장치는 표시부를 통해 암호화 진행 과정 화면(1501)을 출력할 수 있다. 이때, 암호화 작업 5단계에서 에러가 발생한 경우 보안 관리 장치는 에러시 작업 선택 화면(1503)을 표시부를 통해 출력할 수 있다. 이에 따라, 암호화 설정 및 제거 작업 중 에러가 발생한 경우 자동 롤백(Rollback) 또는 수정 후 연속적으로 작업을 진행할 수 있다. Referring to FIG. 15, the security management apparatus may output an encryption progress screen 1501 through a display unit. In this case, when an error occurs in step 5 of the encryption operation, the security management apparatus may output a job selection screen 1503 on an error through the display unit. Accordingly, when an error occurs during the encryption setting and removal operation, the operation may be continuously performed after automatic rollback or correction.

도 16은 본 발명의 바람직한 실시예에 따른 접근 권한 설정 과정을 개략적으로 나타낸 도면이다.16 is a diagram schematically illustrating a process of setting access authority according to an embodiment of the present invention.

도 16을 참조하면, 보안 관리 장치는 컬럼 리스트 화면(1601)을 표시부를 통해 출력할 수 있다. 이때, 보안 관리자가 예를 들면 "ENAME" 컬럼을 선택한 경우 보안 관리 장치는 암호화 권한 설정 화면(1603)을 표시부를 통해 출력할 수 있다. 여기서, 암호화 권한 설정 화면(1603)은 암호화 권한을 부여하지 않는 사용자 리스트(1603) 및 암호화 권한을 부여할 사용자 리스트(1605)를 포함할 수 있다. 예를 들면, "DBSNMP"에 상응하는 사용자는 암호화 권한을 갖고 "OUTLN"에 상응하는 사용자는 복호화 권한을 갖는다. Referring to FIG. 16, the security management apparatus may output a column list screen 1601 through a display unit. In this case, when the security manager selects the "ENAME" column, for example, the security management apparatus may output the encryption authority setting screen 1603 through the display unit. Here, the encryption authority setting screen 1603 may include a user list 1603 that does not grant encryption authority and a user list 1605 to which encryption authority is granted. For example, a user corresponding to "DBSNMP" has encryption rights and a user corresponding to "OUTLN" has decryption rights.

도 17은 본 발명의 바람직한 실시예에 따른 인터넷 주소에 따라 접근 권한을 부여하는 과정을 개략적으로 나타낸 도면이다.17 is a diagram schematically illustrating a process of granting access authority according to an Internet address according to a preferred embodiment of the present invention.

도 17을 참조하면, 보안 관리 장치는 표시부를 통해 접근이 허용된 아이피(Internet Protocol : IP) 목록 화면(1701) 및 접근이 차단된 아이피 목록 화면(1703)을 출력할 수 있다. 예를 들면, "192.168.0.138"에 상응하는 아이피는 접근 권한을 갖는다. 한편, 보안 관리 장치는 아이피 접근 권한 설정 화면(1705)을 표시부를 통해 출력할 수 있다. 예를 들면, "192.168.0"에서 "192.168.1"에 상응하는 아이피는 접근 권한을 갖는다. Referring to FIG. 17, the security management apparatus may output an Internet Protocol (IP) list screen 1701 that is permitted to access through the display and an IP list screen 1703 that is blocked from access. For example, an IP corresponding to "192.168.0.138" has access rights. The security management apparatus may output the IP access authority setting screen 1705 through the display unit. For example, an IP corresponding to "192.168.1" in "192.168.0" has access rights.

도 18은 본 발명의 바람직한 실시예에 따른 응용프로그램에 따라 접근 권한을 부여하는 과정을 개략적으로 나타낸 도면이다.18 is a diagram schematically illustrating a process of granting access authority according to an application program according to an exemplary embodiment of the present invention.

도 18을 참조하면, 보안 관리 장치는 표시부를 통해 애플리케이션 리스트 화면(1801)을 출력할 수 있다. 이때, 보안 관리자가 새로운 애플리케이션 계정을 생성하고자 하는 경우 보안 관리 장치는 표시부를 통해 애플리케이션 계정 생성 화면(1803)을 출력할 수 있다. 이때, 보안 관리자는 상기 애플리케이션 계정 생성 화면(1803)을 통해 새로운 애플리케이션 계정을 생성할 수 있다. 이에 따라, 보안 관리 장치는 새로운 애플리케이션(예를 들면, "APP1")이 포함된 애플리케이션 리스트 화면(1805)을 표시부를 통해 출력할 수 있다.Referring to FIG. 18, the security management device may output an application list screen 1801 through a display unit. In this case, when the security manager wants to create a new application account, the security management device may output the application account creation screen 1803 through the display unit. In this case, the security manager may create a new application account through the application account creation screen 1803. Accordingly, the security management apparatus may output an application list screen 1805 including a new application (eg, "APP1") through the display unit.

도 19는 본 발명의 바람직한 실시예에 따른 암호화된 자료 정보를 보호하기 위한 과정을 개략적으로 나타낸 도면이다.19 is a diagram schematically showing a process for protecting encrypted data information according to a preferred embodiment of the present invention.

도 19를 참조하면, 보안 관리 장치는 표시부를 통해 보안 관리 파일 리스트 화면(1901)을 출력할 수 있다. 이때, 보안 관리자가 DAMO에 상응하는 애플리케이션 계정에 대한 패스워드를 변경하고자 하는 경우 보완 관리 장치는 표시부를 통해 패스워드 변경 화면(1903)을 출력할 수 있다. 이에 따라, 보안 관리자는 DAMO에 상응하는 애플리케이션 계정의 패스워드를 변경할 수 있다.Referring to FIG. 19, the security management apparatus may output a security management file list screen 1901 through a display unit. In this case, when the security manager wants to change the password for the application account corresponding to the DAMO, the supplementary management apparatus may output the password change screen 1903 through the display unit. Accordingly, the security administrator can change the password of the application account corresponding to the DAMO.

도 20은 본 발명의 바람직한 실시예에 따른 감사 로그 관리 화면을 개략적으로 나타낸 도면이다.20 is a diagram schematically illustrating an audit log management screen according to a preferred embodiment of the present invention.

도 20을 참조하면, 보안 관리 장치는 암호화된 자료 정보에 대한 접근 결과 정보를 기록할 수 있다. 이에 따라, 보안 관리 장치는 감사 로그 관리 화면(2001)을 통해 접근을 시도했던 접근자 리스트를 출력할 수 있다. 이때, 보안 관리자가 감사 로그 관리 화면(2001)의 "로그 저장" 항목을 선택하면 보안 관리 장치는 접근자 리스트 화면(2003)을 엑셀 프로그램을 통해 출력할 수 있다. Referring to FIG. 20, the security management apparatus may record access result information on the encrypted data information. Accordingly, the security management device may output the accessor list that attempted access through the audit log management screen 2001. At this time, when the security administrator selects the "save log" item of the audit log management screen 2001, the security management apparatus may output the accessor list screen 2003 through an Excel program.

본 발명은 상기 실시예에 한정되지 않으며, 많은 변형이 본 발명의 사상 내에서 당 분야에서 통상의 지식을 가진 자에 의하여 가능함은 물론이다. The present invention is not limited to the above embodiments, and many variations are possible by those skilled in the art within the spirit of the present invention.

본 발명에 따르면 데이터베이스를 컬럼 단위로 암호화하고 접근 권한을 설정할 수 있는 데이터베이스 암호화 및 접근 제어 방법 및 장치를 제공할 수 있다.According to the present invention, it is possible to provide a method and apparatus for encrypting and accessing a database that can encrypt a database on a column basis and set access rights.

Claims (7)

적어도 하나의 자료 처리 단말 및 데이터베이스와 결합하는 보완 관리 모듈에서 데이터베이스를 암호화하고 접근을 제어하는 방법에 있어서,A method of encrypting a database and controlling access in a complementary management module that combines at least one data processing terminal and a database, 상기 자료 처리 단말로부터 자료 정보를 수신하는 단계;Receiving data information from the data processing terminal; 상기 데이터베이스의 보안 메모리로 상기 수신된 자료 정보에 상응하는 보안 자료 확인 요청을 전송하는 단계;Transmitting a security data confirmation request corresponding to the received data information to a security memory of the database; 상기 데이터베이스의 보안 메모리로부터 상기 보안 자료 확인 요청에 상응하는 보안 자료 정보를 수신하는 단계;Receiving security data information corresponding to the security data confirmation request from the security memory of the database; 상기 수신된 보안 자료 정보가 유효한 경우 상기 수신된 자료 정보를 바탕으로 암호화를 수행하는 단계; 및Performing encryption based on the received data information if the received secure data information is valid; And 상기 암호화된 자료 정보를 상기 데이터베이스의 자료 메모리로 전송하는 단계 Transmitting the encrypted data information to a data memory of the database. 를 포함하되,Including but not limited to: 상기 암호화된 자료 정보는 상기 데이터베이스의 자료 메모리에 저장되는 것을 특징으로 하는 데이터베이스 암호화 및 접근 제어 방법.The encrypted data information is stored in a data memory of the database. 제1항에 있어서,The method of claim 1, 상기 암호화는 상기 데이터베이스에 미리 마련된 암호화 함수를 바탕으로 수 행되는 것을 특징으로 하는 데이터베이스 암호화 및 접근 제어 방법. And the encryption is performed based on an encryption function prepared in advance in the database. 제1항에 있어서,The method of claim 1, 상기 데이터베이스의 보안 메모리에 저장된 보안 자료 정보는 상기 보안 관리 모듈로부터 전송된 보안 컬럼 정보 및 접근 권한 정보를 바탕으로 미리 마련되는 것을 특징으로 하는 데이터베이스 암호화 및 접근 제어 방법.And secure data information stored in the secure memory of the database is prepared in advance based on the security column information and the access authority information transmitted from the security management module. 제1항에 있어서,The method of claim 1, 상기 자료 처리 단말로부터 자료 추가 정보를 수신하는 단계;Receiving data additional information from the data processing terminal; 상기 자료 추가 정보에 응답하여, 상기 데이터베이스의 보안 메모리로 접근 권한 확인 요청을 전송하는 단계;In response to the data addition information, transmitting an access right confirmation request to a secure memory of the database; 상기 데이터베이스 보안 메모리로부터 상기 접근 권한 확인 요청에 상응하는 접근 권한 정보를 수신하는 단계;Receiving access authority information corresponding to the access authority confirmation request from the database secure memory; 상기 접근 권한 정보가 유효한 경우 상기 자료 추가 정보에 상응하는 추가 자료를 바탕으로 암호화를 수행하는 단계; 및If the access right information is valid, performing encryption based on additional data corresponding to the additional data information; And 상기 암호화된 추가 자료 정보를 상기 데이터베이스의 자료 메모리로 전송하는 단계Transmitting the encrypted additional data information to a data memory of the database. 를 더 포함하되,Include more, 상기 암호화된 추가 자료 정보는 상기 데이터베이스의 자료 메모리에 저장되는 것을 특징으로 하는 데이터베이스 암호화 및 접근 제어 방법.The encrypted additional data information is stored in a data memory of the database. 제1항에 있어서,The method of claim 1, 상기 자료 처리 단말로부터 자료 요청 정보를 수신하는 단계;Receiving data request information from the data processing terminal; 상기 자료 요청 정보에 응답하여, 상기 데이터베이스의 보안 메모리로 접근 권한 확인 요청을 전송하는 단계;In response to the data request information, transmitting an access right confirmation request to a secure memory of the database; 상기 데이터베이스 보안 메모리로부터 상기 접근 권한 확인 요청에 상응하는 접근 권한 정보를 수신하는 단계; Receiving access authority information corresponding to the access authority confirmation request from the database secure memory; 상기 접근 권한 정보가 유효한 경우 상기 자료 요청 정보에 상응하는 암호화된 자료 요청을 상기 데이터베이스의 자료 메모리로 전송하는 단계;If the access right information is valid, transmitting an encrypted data request corresponding to the data request information to a data memory of the database; 상기 데이터베이스의 자료 메모리로부터 상기 암호화된 자료 요청에 상응하는 암호화된 자료 정보를 수신하는 단계; Receiving encrypted data information corresponding to the encrypted data request from the data memory of the database; 상기 수신된 암호화된 자료 정보를 바탕으로 복호화를 수행하는 단계; 및Performing decryption based on the received encrypted data information; And 상기 복호화된 자료 정보를 상기 자료 처리 단말로 전송하는 단계 Transmitting the decoded data information to the data processing terminal. 를 더 포함하는 것을 특징으로 하는 데이터베이스 암호화 및 접근 제어 방법.Database encryption and access control method further comprising. 적어도 하나의 자료 처리 단말 및 데이터베이스와 결합하며 데이터베이스를 암호화하고 접근을 제어하는 보완 관리 장치에 있어서,In the complementary management device that is combined with at least one data processing terminal and database, encrypting the database and controlling access, 상기 자료 처리 단말로부터 자료 정보를 수신하는 수단;Means for receiving data information from the data processing terminal; 상기 데이터베이스의 보안 메모리로 상기 수신된 자료 정보에 상응하는 보안 자료 확인 요청을 전송하는 수단;Means for sending a secured data confirmation request corresponding to the received data information to a secure memory of the database; 상기 데이터베이스의 보안 메모리로부터 상기 보안 자료 확인 요청에 상응하는 보안 자료 정보를 수신하는 수단;Means for receiving security data information corresponding to the security data confirmation request from the security memory of the database; 상기 수신된 보안 자료 정보가 유효한 경우 상기 수신된 자료 정보를 바탕으로 암호화를 수행하는 수단; 및Means for performing encryption on the basis of the received data information when the received secure data information is valid; And 상기 암호화된 자료 정보를 상기 데이터베이스의 자료 메모리로 전송하는 수단 Means for transmitting the encrypted data information to a data memory of the database 을 포함하되,Including, 상기 암호화된 자료 정보는 상기 데이터베이스의 자료 메모리에 저장되는 것을 특징으로 하는 보완 관리 장치.And the encrypted data information is stored in a data memory of the database. 데이터베이스를 암호화하고 접근을 제어하는 방법을 수행하기 위하여 디지털 처리 장치에 의해 실행될 수 있는 명령어들의 프로그램이 유형적으로 구현되어 있으며 디지털 처리 장치에 의해 상기 데이터베이스 암호화 및 접근 제어 방법이,In order to perform a method of encrypting a database and controlling access, a program of instructions executable by a digital processing apparatus is tangibly implemented, and the database encryption and access control method is performed by a digital processing apparatus. 자료 처리 단말로부터 자료 정보를 수신하는 단계;Receiving data information from a data processing terminal; 데이터베이스의 보안 메모리로 상기 수신된 자료 정보에 상응하는 보안 자료 확인 요청을 전송하는 단계;Transmitting a security data confirmation request corresponding to the received data information to a secure memory of a database; 데이터베이스의 보안 메모리로부터 상기 보안 자료 확인 요청에 상응하는 보안 자료 정보를 수신하는 단계;Receiving security data information corresponding to the security data confirmation request from a security memory of a database; 상기 수신된 보안 자료 정보가 유효한 경우 상기 수신된 자료 정보를 바탕으로 암호화를 수행하는 단계; 및Performing encryption based on the received data information if the received secure data information is valid; And 상기 암호화된 자료 정보를 데이터베이스의 자료 메모리로 전송하는 단계 Transmitting the encrypted data information to a data memory of a database. 를 포함하되,Including but not limited to: 상기 암호화된 자료 정보는 상기 데이터베이스의 자료 메모리에 저장되는 것을 특징으로 하는 기록매체.The encrypted data information is stored in the data memory of the database.
KR1020040097623A 2004-11-25 2004-11-25 Database encryption and access control method and device Ceased KR20060058546A (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020040097623A KR20060058546A (en) 2004-11-25 2004-11-25 Database encryption and access control method and device
JP2005091879A JP2006155554A (en) 2004-11-25 2005-03-28 Database encryption and access control method, and security management device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020040097623A KR20060058546A (en) 2004-11-25 2004-11-25 Database encryption and access control method and device

Publications (1)

Publication Number Publication Date
KR20060058546A true KR20060058546A (en) 2006-05-30

Family

ID=36633728

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040097623A Ceased KR20060058546A (en) 2004-11-25 2004-11-25 Database encryption and access control method and device

Country Status (2)

Country Link
JP (1) JP2006155554A (en)
KR (1) KR20060058546A (en)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100895570B1 (en) * 2006-09-29 2009-04-29 후지쯔 가부시끼가이샤 Code conversion apparatus, code conversion method, and recording medium
KR101146510B1 (en) * 2010-05-20 2012-05-25 소프트포럼 주식회사 System for encrypting synchronization database and method therefor
KR20160114492A (en) 2015-09-17 2016-10-05 주식회사 티맥스데이터 Method, server and computer program for security management in database
CN106022155A (en) * 2015-03-24 2016-10-12 株式会社特迈数据 Method and server for security management in database
KR101692055B1 (en) 2016-02-24 2017-01-18 주식회사 티맥스데이터 Method, apparatus, and computer program stored in computer readable storage medium for managing shared memory in database server
US9646176B2 (en) 2015-03-24 2017-05-09 TmaxData Co., Ltd. Method for encrypting database
US10268723B2 (en) 2016-06-20 2019-04-23 TmaxData Co., Ltd. Method and apparatus for executing query and computer readable medium therefor
US10275491B2 (en) 2016-06-20 2019-04-30 TmaxData Co., Ltd. Method and apparatus for executing query and computer readable medium therefor

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102236766B (en) * 2011-05-10 2014-04-09 桂林电子科技大学 Security data item level database encryption system
JP7250390B1 (en) * 2022-09-27 2023-04-03 Eaglys株式会社 Data sharing system, data sharing method, and data sharing program

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10232811A (en) * 1997-02-20 1998-09-02 Hitachi Ltd How to manage database security
JPH11143780A (en) * 1997-11-05 1999-05-28 Hitachi Ltd Secret information management method in database and secret information management device for database
WO2002029577A2 (en) * 2000-10-06 2002-04-11 Oracle Corporation Method and apparatus for automatic database encryption
JP2002169808A (en) * 2000-11-30 2002-06-14 Hitachi Ltd Secure multi-database system
JP2003186725A (en) * 2001-12-17 2003-07-04 Kanet:Kk Relational database, index table generation method in the relational database, and range search method and rank search method for its range search in the relational database
JP2004094616A (en) * 2002-08-30 2004-03-25 Sony Corp Security management system, security management method, security management program, and computer readable program storage medium recording security management program
KR20050063175A (en) * 2003-12-22 2005-06-28 김학수 Internet server with multiple password system and control method thereof
KR20050121778A (en) * 2004-06-23 2005-12-28 육상수 Method and system for audit and control database system

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10232811A (en) * 1997-02-20 1998-09-02 Hitachi Ltd How to manage database security
JPH11143780A (en) * 1997-11-05 1999-05-28 Hitachi Ltd Secret information management method in database and secret information management device for database
WO2002029577A2 (en) * 2000-10-06 2002-04-11 Oracle Corporation Method and apparatus for automatic database encryption
JP2002169808A (en) * 2000-11-30 2002-06-14 Hitachi Ltd Secure multi-database system
JP2003186725A (en) * 2001-12-17 2003-07-04 Kanet:Kk Relational database, index table generation method in the relational database, and range search method and rank search method for its range search in the relational database
JP2004094616A (en) * 2002-08-30 2004-03-25 Sony Corp Security management system, security management method, security management program, and computer readable program storage medium recording security management program
KR20050063175A (en) * 2003-12-22 2005-06-28 김학수 Internet server with multiple password system and control method thereof
KR20050121778A (en) * 2004-06-23 2005-12-28 육상수 Method and system for audit and control database system

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100895570B1 (en) * 2006-09-29 2009-04-29 후지쯔 가부시끼가이샤 Code conversion apparatus, code conversion method, and recording medium
KR101146510B1 (en) * 2010-05-20 2012-05-25 소프트포럼 주식회사 System for encrypting synchronization database and method therefor
CN106022155A (en) * 2015-03-24 2016-10-12 株式会社特迈数据 Method and server for security management in database
US9646176B2 (en) 2015-03-24 2017-05-09 TmaxData Co., Ltd. Method for encrypting database
US9779264B2 (en) 2015-03-24 2017-10-03 TmaxData Co., Ltd. Method, server and computer program for security management in database
CN106022155B (en) * 2015-03-24 2019-04-19 株式会社特迈数据 Method and server for database security management
KR20160114492A (en) 2015-09-17 2016-10-05 주식회사 티맥스데이터 Method, server and computer program for security management in database
KR101692055B1 (en) 2016-02-24 2017-01-18 주식회사 티맥스데이터 Method, apparatus, and computer program stored in computer readable storage medium for managing shared memory in database server
US9652393B1 (en) 2016-02-24 2017-05-16 TmaxData Co., Ltd. Managing shared memory in database server
US10268723B2 (en) 2016-06-20 2019-04-23 TmaxData Co., Ltd. Method and apparatus for executing query and computer readable medium therefor
US10275491B2 (en) 2016-06-20 2019-04-30 TmaxData Co., Ltd. Method and apparatus for executing query and computer readable medium therefor

Also Published As

Publication number Publication date
JP2006155554A (en) 2006-06-15

Similar Documents

Publication Publication Date Title
USRE44364E1 (en) Method of encrypting information for remote access while maintaining access control
US9298930B2 (en) Generating a data audit trail for cross perimeter data transfer
CN101079882B (en) Posture-based data protection
JP3466025B2 (en) Method and apparatus for protecting masquerade attack in computer network
EP1688858A1 (en) Systems and methods for managing multiple keys for file encryption and decryption
US11750397B2 (en) Attribute-based encryption keys as key material for key-hash message authentication code user authentication and authorization
CN107122674B (en) Access method of oracle database applied to operation and maintenance auditing system
JP2003228519A (en) Method and architecture for providing pervasive security for digital asset
JP2003228520A (en) Method and system for offline access to secured electronic data
JP2011507414A (en) System and method for protecting data safety
CN107483495B (en) Big data cluster host management method, management system and server
US10164980B1 (en) Method and apparatus for sharing data from a secured environment
US7725716B2 (en) Methods and systems for encrypting, transmitting, and storing electronic information and files
JPWO2013080659A1 (en) Confidential information leakage prevention system, confidential information leakage prevention method, and program
CN113647051A (en) System and method for secure electronic data transfer
KR20060058546A (en) Database encryption and access control method and device
US9118617B1 (en) Methods and apparatus for adapting the protection level for protected content
US8321915B1 (en) Control of access to mass storage system
US20080162948A1 (en) Digital Information Storage System, Digital Information Security System, Method for Storing Digital Information and Method for Service Digital Information
CN108494724B (en) Cloud storage encryption system based on multi-authority attribute encryption algorithm
CN105791233A (en) Anti-virus scanning method and device
EP3198398B1 (en) Access to software applications
CN119227051A (en) Device access method, product, device and medium
CN114218542B (en) Visitor identity verification method and system
JP2006190050A (en) Multitask execution system and multitask execution method

Legal Events

Date Code Title Description
A201 Request for examination
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20041125

PA0201 Request for examination
PG1501 Laying open of application
E902 Notification of reason for refusal
PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20060630

Patent event code: PE09021S01D

E601 Decision to refuse application
PE0601 Decision on rejection of patent

Patent event date: 20070131

Comment text: Decision to Refuse Application

Patent event code: PE06012S01D

Patent event date: 20060630

Comment text: Notification of reason for refusal

Patent event code: PE06011S01I