KR100386852B1 - System for Security Kernel for Security through Various Step based on Electronic Signature Authentication - Google Patents

System for Security Kernel for Security through Various Step based on Electronic Signature Authentication Download PDF

Info

Publication number
KR100386852B1
KR100386852B1 KR10-2000-0019728A KR20000019728A KR100386852B1 KR 100386852 B1 KR100386852 B1 KR 100386852B1 KR 20000019728 A KR20000019728 A KR 20000019728A KR 100386852 B1 KR100386852 B1 KR 100386852B1
Authority
KR
South Korea
Prior art keywords
security
user
certificate
information
level
Prior art date
Application number
KR10-2000-0019728A
Other languages
Korean (ko)
Other versions
KR20010096815A (en
Inventor
은유진
홍기융
이민구
김재명
Original Assignee
주식회사 시큐브
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 시큐브 filed Critical 주식회사 시큐브
Priority to KR10-2000-0019728A priority Critical patent/KR100386852B1/en
Publication of KR20010096815A publication Critical patent/KR20010096815A/en
Application granted granted Critical
Publication of KR100386852B1 publication Critical patent/KR100386852B1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Abstract

본 발명은 전자서명 인증 기반 다단계 보안용 보안커널 시스템에 관한 것이다.The present invention relates to a secure kernel system for multi-level security based on digital signature authentication.

본 발명의 시스템은 내부 근거리 통신망 또는 원격의 외부 통신망을 통해 시스템에 접근하는 사용자에 대한 전자서명 인증기반 보안 커널 시스템에 있어서,사용자의 인증서 요청에 대하여 보안관리자가 해당사용자의 보안등급정보를 설정하고, 승인하여 발급하기 위한 인증서 발급수단과, 발급된 인증서를 저장하는 인증서 저장수단과, 특정 파일 시스템에 대하여 보안관리자가 설정한 파일시스템 접근권한 보안정보를 저장하는 저장수단과, 시스템에 접근하는 사용자의 인증서를 검증하여 신분 및 보안등급정보를 확인하기 위한 수단과, 시스템에 접근한 사용자가 수행한 프로세스에 대하여 해당 프로세스 수행 사용자의 보안등급정보로 프로세스의 보안등급정보를 설정하는 설정수단과, 설정수단에 의해 프로세서의 사용자 보안등급정보와 보안관리자가 설정한 접근권한 보안등급정보를 비교하여 해당 프로세스에 대한 파일시스템의 접근을 제어하는 제어수단을 포함하여 이루어지는 것을 특징으로 한다.The system of the present invention is a secure kernel system based on digital signature authentication for a user accessing a system via an internal local area network or a remote external communication network. The security manager sets security level information of a user for a certificate request of the user A certificate storage means for storing the issued certificate, a storage means for storing security information of a file system access right set by the security manager for a specific file system, a user for accessing the system, A setting means for setting the security level information of the process with the security level information of the process performing user with respect to the process performed by the user who has accessed the system, The user security level information of the processor and the sheriff Comparing a self restrictions security level setting information will be characterized by comprising a control means for controlling the access to the file system for the process.

Description

전자서명 인증 기반 다단계 보안용 보안커널 시스템{System for Security Kernel for Security through Various Step based on Electronic Signature Authentication}Security Kernel System for Multilevel Security Based on Digital Signature Authentication [

본 발명은 전자서명 인증 기반 다단계 보안용 보안커널 시스템에 관한 것으로, 비인가된 자가 컴퓨터 시스템 또는 네트워크시스템에 침입하여 비밀로 분류되거나 또는 중요도가 높은 민감한 정보에 접근하여 정보를 위·변조, 삭제, 또는 유출시키는 것과 같은 해킹 위협을 커널레벨에서 원천적으로 방지하여 보안관리자 및 사용자의 파일시스템에 대한 접근을 안전하게 제어하기 위한 전자서명 인증 기반 다단계 보안용 보안커널 방법에 관한 것이다.The present invention relates to a security kernel system for multi-level security based on digital signature authentication, and more particularly, to a secure kernel system for multi-level security based on digital signature authentication, which can access unauthorized self-computer system or network system and access sensitive information, Based security kernel method for securely controlling access to a file system of a security administrator and a user by preventing a hacking threat such as a spoofing attack from occurring at a kernel level.

이와 관련한 종래의 기술은 컴퓨터에 저장된 정보를 안전하게 보호하기 위하여 침입차단시스템을 사용하여 특정 서비스 및 네트워크 주소에 관련된 네트워크 접속만을 허용하는 방법 및 컴퓨터 시스템 사용자에 대한 신분확인 방법을 일회용 패스워드방법 등으로 하는 등 부분적인 보안 기술 및 방법을 적용하는 제한적인 보안기능 만이 제공되는 문제점이 있었다.또한, 사용자에 대한 다단계 보안 정보를 설정·관리하는 기능이 보안관리자의 ID와 패스워드에 의존하고 있어서 보안관리자의 ID와 패스워드가 해킹당했을 경우 사용자의 신분확인 및 다단계 보안정보 설정·관리 기능이 안전하게 통제되지 않고 침입자에 의하여 동작되는 문제점이 발생하고 있으며, 이로 인하여 비밀로 분류된 정보나 중요도가 높은 정보가 해킹에 의하여 위·변조, 삭제 또는 유출될 수 있는 보안취약점이 여전히 존재하는 문제점이 있다.In the related art, a method of allowing only a network connection related to a specific service and a network address using an intrusion blocking system and a method of identifying an identity of a computer system user in order to safely protect information stored in a computer is a one-time password method or the like There is a problem in that only a limited security function applying partial security technologies and methods is provided. In addition, since the function of setting and managing multi-level security information for a user depends on the ID and password of the security manager, And passwords are hacked, there is a problem that the identity of the user and multi-level security information setting and management functions are not securely controlled and operated by the intruder. As a result, information classified as secret or information having high importance is hacked Top, Modify, Delete There is a problem that still exists security vulnerabilities that may spill.

본 발명은 상기한 바와 같은 종래 기술의 제반 문제점을 해결하기 위해 제안된 것으로, 컴퓨터 운영체제의 커널레벨에서 비밀로 분류된 정보나 중요도가 높은 파일에 대한 위·변조, 삭제 또는 유출방지를 위한 다단계 접근제어 기능을 갖는 보안커널을 추가하여 기존의 컴퓨터 운영체제내의 커널이 갖는 근본적인 보안 취약점을 해결함으로써 컴퓨터 시스템을 안전·신뢰성 있게 운영할 수 있도록 하는 전자서명 인증 기반 다단계 보안용 보안커널 시스템을 제공하는데 그 목적이 있다.SUMMARY OF THE INVENTION The present invention has been proposed in order to solve all the problems of the prior art as described above, and it is an object of the present invention to provide a multi-level approach for preventing information classified as secret or high- A security kernel system for multi-level security based on digital signature authentication is proposed, which enables a computer system to operate safely and reliably by solving the fundamental security weakness of the kernel in an existing computer operating system by adding a security kernel having a control function .

도 1은 본 발명이 적용되는 인터넷 환경을 설명하기 위한 구성도,FIG. 1 is a diagram illustrating an Internet environment to which the present invention is applied.

도 2는 본 발명이 적용되는 전자서명 인증 기반 다단계 보안용 보안커널 장치의 구조도,FIG. 2 is a structural view of a secure kernel device for multi-level security based on digital signature authentication to which the present invention is applied;

도 3은 상기 도 2의 보안커널의 상세 구조도,FIG. 3 is a detailed structure of the security kernel of FIG. 2,

도 4는 상기 도 2의 인증서 저장부의 상세 구조도 ,FIG. 4 is a detailed structure of the certificate storage unit of FIG. 2,

도 5는 상기 도 3의 프로세스 다단계 보안정보 저장소의 상세 구조도,FIG. 5 is a detailed structure of the process multi-level security information storage of FIG. 3,

도 6은 상기 도 3의 파일시스템 다단계 보안정보 저장소의 상세 구조도,6 is a detailed structure of the file system multi-level security information storage of FIG. 3,

제7도는 본 발명에 따른 전자서명 인증 기반 다단계 보안용 보안커널 방법을 설명하기 위한 일실시예 흐름도,FIG. 7 is a flowchart illustrating an electronic signature authentication based multi-level security secure kernel method according to an embodiment of the present invention;

도 8은 상기 도 7의 설치단계를 설명하기 위한 일실시예 상세 흐름도,8 is a detailed flowchart for explaining the installation step of FIG. 7,

도 9는 상기 도 7의 운영단계를 설명하기 위한 일실시예 상세 흐름도,FIG. 9 is a detailed flowchart of an embodiment for explaining the operational steps of FIG. 7,

도 10은 상기 도 9의 전자서명 인증기반 신분확인 처리 방법을 설명하기 위한 일실시예 상세 흐름도,FIG. 10 is a detailed flowchart of an embodiment for explaining the digital signature authentication based identification processing method of FIG. 9,

도 11은 상기 도 9의 사용자 등록 및 삭제 처리 방법을 설명하기 위한 일실시예 상세 흐름도,11 is a detailed flowchart for explaining a user registration and deletion processing method of FIG. 9,

도 12는 상기 도 9의 파일시스템 다단계 접근권한 설정 처리 방법을 설명하기 위한 일실시예 상세 흐름도,12 is a detailed flowchart for explaining a file system multi-level access right setting processing method of FIG. 9,

도 13은 상기 도 9의 파일시스템 접근처리 방법을 설명하기 위한 일실시예 상세 흐름도.FIG. 13 is a detailed flowchart of an embodiment for explaining a file system access processing method of FIG. 9; FIG.

상기와 같은 본 발명은, 시스템에 등록된 보안관리자에 의해 사용자의 인증서를 발급하며, 발급되는 인증서에는 보안관리자에 의해 설정된 보안정보를 포함하는 것을 특징으로 한다.파일시스템에는 접근을 제한하는 보안정보를 설정하며, 보안정보는 보안관리자에 의해 설정되는 것을 특징으로 한다.본 발명 시스템은, 시스템에 접근하는 사용자의 인증서를 검증하여 보안관리자/사용자 여부를 확인하는 신분확인과정을 수행하고, 사용자(보안관리자/사용자)가 수행하는 프로세스에 대하여 신분확인과정을 통해 검증된 해당 사용자의 보안정보를 설정하고, 보안관리자가 설정한 파일시스템의 보안정보와 비교하여 접근허가여부를 결정하도록 하는 것을 특징으로 한다.다시말하면, 전자서명 인증 및 검증 방법을 이용하여 사용자의 신분확인을 수행하고 신분 확인된 결과를 토대로 수행되는 프로세스가 특정 파일시스템에 대한 다단계 접근권한을 갖도록 하는 단계, 상기 단계 후 해당 프로세스 및 해당 프로세스의 자식 프로세스(child process)가 파일시스템에 접근을 시도할 경우 다단계 접근권한을 확인하는 단계로 이루어지며, 상기 단계 모두를 보안커널의 형태로 커널내부에서 동작하게 함으로써 컴퓨터 시스템의 파일에 대한 다단계 접근제어를 커널레벨에서 원천적으로 안전하게 통제하여 비밀로 분류된 정보나 중요도가 높은 파일에 대한 위·변조, 삭제 또는 유출 문제를 해결하는데 그 특징이 있다.이를 위해 본 발명은 사용자레벨에는 보안관리모듈, 인증서 저장부 및 보안 라이브러리를, 커널레벨에는 시스템호출 인터페이스와 보안커널로 구성한다. 보안관리모듈은 보안라이브러리와 시스템 호출 인터페이스 및 기존의 라이브러리와 상호동작하여 보안관리자 및 사용자용 전자서명키를 생성하고 인증서를 발급하며, 커널레벨에서 보안관리자와 사용자를 식별하여 파일시스템에 대한 다단계 접근제어를 안전하게 수행할 수 있도록 인터페이스를 제공한다.According to the present invention as described above, the security manager registered in the system issues a user's certificate, and the issued certificate includes the security information set by the security manager. The file system includes security information And the security information is set by the security manager. The system of the present invention performs an identity verification process for verifying whether the security manager / user is authenticated by verifying the user's certificate accessing the system, Security administrator / user) is set to the security information of the user verified through the identification process and compared with the security information of the file system set by the security administrator, In other words, the authentication of the user is performed using the digital signature authentication and verification method A step of allowing a process performed based on the result of the high-identity determination to have a multi-level access right to a specific file system; and a step of accessing a file system by a child process of the process and the process, Level access control for a file of a computer system is securely controlled at a kernel level at a source level by allowing all of the above steps to operate within the kernel in the form of a secure kernel, The security management module, the certificate storage unit, and the security library are provided at the user level, the system call interface and the security kernel are installed at the kernel level, . The security management module interacts with the security library, the system call interface, and existing libraries to generate digital signature keys for security administrators and users, issues certificates, identifies security administrators and users at the kernel level, Provides an interface for safe control.

보안커널에서는 보안관리자 및 사용자의 신분확인을 위해 전자서명 검증 수단을 제공하며, 전자서명 검증 후 부여된 보안관리자 또는 사용자 프로세스의 다단계 접근권한과 보안관리자에 의해 파일시스템 보안을 위하여 설정된 파일시스템의 다단계 접근권한 정보를 이용하여 특정 파일에 대한 다단계 접근제어 수단을 제공한다.The security kernel provides the digital signature verification means for the identity verification of the security administrator and the user. It provides the multi-level access right of the security manager or the user process granted after the digital signature verification and the multilevel access right of the file system set by the security administrator for the file system security. And provides a multi-level access control means for a specific file by using the access right information.

상술한 목적, 특징들 및 장점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해 질 것이다. 우선 각 도면의 구성요소들에 참조 번호를 부가함에 있어서, 동일한 구성요소들에 한해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 번호를 가지도록 하고 있음에 유의하여야 한다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 일실시예를 상세히 설명한다.The above-mentioned objects, features and advantages will become more apparent from the following detailed description in conjunction with the accompanying drawings. It should be noted that, in the case of adding the reference numerals to the constituent elements of each drawing, the same constituent elements have the same number as much as possible even if they are displayed on different drawings. Hereinafter, a preferred embodiment of the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명이 적용되는 인터넷 환경을 설명하기 위한 구성도이다.도면에 도시된 바와 같이, 본 발명이 적용되는 환경은,내부 근거리통신망 또는 원격의 인터넷 통신망을 통해 컴퓨터 시스템(1)에 접속하는 보안관리자(5), 사용자(9,14)와 같이 나타낼 수 있으며,컴퓨터 시스템(1)을 관리하는 보안관리자(5)가 플로피디스켓(3) 또는 스마트카드(4)에 저장된 전자서명 인증에 기반한 신분확인 과정을 거쳐 컴퓨터 시스템(1) 및 사용자(9 또는 14)에 대한 보안관리를 책임지며, 사용자(9) 및 원격사용자(14)는 사용자의 플로피디스켓(7) 또는 스마트카드(8)를 가지고 전자서명 인증에 기반한 신분확인 과정을 거친 후 보안관리자(5)에 의해 설정된 접근이 허가된 파일에 대해서만 다단계 접근 권한을 갖는다.도 2는 본 발명이 적용되는 전자서명 인증 기반 다단계 보안용 보안커널 시스템의 구성을 나타낸 도면이다.도면에 도시된 바와 같이, 사용자레벨은 보안관리모듈(201)과 인증서 저장부(202), 보안라이브러리(203)로 구성되며 보안관리모듈(201)은 보안라이브러리(203)와 시스템 호출 인터페이스(204) 및 기존의 라이브러리와 상호 동작하여 보안관리자(5), 사용자(9) 및 원격사용자(14)용 전자서명키를 생성하고 인증서를 발급하며, 커널레벨에서 보안관리자와 사용자를 식별하여 파일시스템에 대한 다단계 접근제어를 안전하게 수행할 수 있도록 인터페이스를 제공한다.As shown in the figure, the environment to which the present invention is applied is connected to the computer system 1 through an internal local area network or a remote internet communication network. And the security manager 5 managing the computer system 1 can identify the digital signature stored in the floppy diskette 3 or the smart card 4 The user 9 and the remote user 14 are responsible for the security management of the computer system 1 and the user 9 or 14 via the identification process based on the user's floppy diskette 7 or smart card 8, Step access based on the digital signature authentication based on the digital signature authentication and then has a multi-level access authority only to the file to which the access permitted by the security manager 5 is permitted. The user level is composed of a security management module 201, a certificate storage unit 202 and a security library 203, and the security management module 201 Generates an electronic signature key for the security manager 5, the user 9 and the remote user 14, issues a certificate, interacts with the security library 203, the system call interface 204 and the existing library, Provides an interface that can securely perform multi-level access control to the file system by identifying security administrators and users.

커널레벨은 시스템호출 인터페이스(204)와 보안커널(205)로 구성되는 것으로, 시스템호출 인터페이스(204)는 사용자레벨의 작업을 파일 서브시스템부와 프로세스 제어서브시스템부 및 보안커널(205)과의 인터페이스 역할을 수행하며, 보안커널(205)은 전자서명검증, 다단계 접근권한 설정 및 조회, 파일시스템 다단계 접근제어 등의 기능을 수행한다.The kernel level is composed of a system call interface 204 and a secure kernel 205. The system call interface 204 is a system call interface that connects a user level job to a file subsystem unit, And the security kernel 205 performs functions such as digital signature verification, setting and inquiry of multi-level access rights, and file system multi-level access control.

도 3은 상기 도 2의 보안커널(205)의 상세 구성도이다.도면에 도시된 바와 같이, 본 발명의 보안커널은, 다단계 접근권한 제어부(301), 전자서명검증부(302), 다단계 접근권한 설정/조회부(303), 다단계 보안 정책 규칙 설정/조회부(306), 파일시스템 다단계 접근권한 결정부(307), 보안관리자 인증서 저장소(308), 프로세스 다단계 보안정보 저장소(309), 다단계 보안정책규칙 저장소(310), 파일시스템 다단계 보안정보 저장소(311)를 포함하고 있다.상기 다단계 접근권한 제어부(301)는 다단계 접근권한 설정/조회부(303), 다단계 보안정책규칙설정/조회부(306), 파일시스템 다단계 접근권한 결정부(307)의 기능 수행을 제어한다.상기 다단계 접근권한 설정/조회부(303)는 프로세스 다단계 보안정보 설정/조회부(304)와 파일시스템 다단계 보안정보 설정/조회부(305)를 포함하며, 상기 전자서명 검증부(302)를 통하여 접근을 시도하는 사용자의 신분이 확인되면 프로세스 다단계 보안정보 설정/조회부(304)를 통해 프로세스 다단계 보안정보 저장소(309)의 보안등급 및 카테고리정보(502)를 사용자 인증서에 포함된 보안등급 및 카테고리정보(405)로 설정하고, 파일시스템 다단계 보안정보 설정/조회부(305)는 프로세스 다단계 보안정보저장소(309)의 해당 프로세스 정보를 참조하여 파일시스템 다단계 보안정보 저장소(311)의 보안정보를 조회하여 이후 접근권한을 결정하는 파일시스템 다단계 접근권한 결정부(307)로 제공한다.상기 다단계 보안정책규칙 설정/조회부(306)는 상기 다단계 보안정책규칙 저장소(310)에 저장된 다단계 보안정책규칙을 설정 및 조회하는 기능을 수행하며, 상기 다단계 접근권한 설정/조회부(303) 및 상기 파일시스템 다단계 접근권한 결정부(307)와 상호 연동하여 보안정책규칙에서 정한 바에 따라 다단계 접근제어가 이루어질 수 있도록 한다.상기 파일시스템 다단계 접근권한결정부(307)는 프로세스 다단계 보안정보 저장소(309)와 파일시스템 다단계 보안정보 저장소(311)의 정보를 다단계 보안정책규칙 설정/조회부(306)를 통하여 상호 비교하여 파일시스템에 대한 다단계 접근권한을 최종적으로 판단하는 기능을 수행한다.즉, 상기 다단계 보안정책규칙 저장소(310)에 저장된 보안정책규칙은 프로세스 다단계 보안정보 저장소(309)에 설정된 현재 프로세스에 대한 사용자 보안정보와 파일시스템 다단계 보안정보 저장소(311)에 설정된 접근권한 정보인 보안정보를 비교하여 접근 제어를 판단하기 위한 비교정보를 나타내는 것이다.3, the security kernel of the present invention includes a multi-level access right control unit 301, an electronic signature verification unit 302, a multi-level access right control unit 302, A multi-level security policy setting / inquiring unit 306, a file system multi-level access permission determining unit 307, a security manager certificate storage 308, a process multi-level security information storage 309, A security policy rule storage 310 and a file system multi-level security information storage 311. The multi-level access control unit 301 includes a multi-level access right setting / inquiry unit 303, a multi-level security policy rule setting / Level access right determining unit 307 and the file system multi-level access right determining unit 307. The multi-level access right setting / inquiring unit 303 accesses the process multi-level security information setting / inquiring unit 304 and the file system multi- And a setting / inquiry unit 305, When the identity of the user attempting to access is confirmed through the signature verification unit 302, the security level and category information 502 of the process multi-level security information storage 309 is transmitted to the process multi-level security information setup / Level security information setting / inquiry unit 305 sets the security level and category information 405 included in the user certificate to the file system multi-level security information setting / inquiry unit 305, Level access right decision unit 307 which inquires security information of the information storage 311 and determines a subsequent access right. The multi-level security policy rule setting / inquiring unit 306 receives the multi-level security policy rule storage / Level security policy rule stored in the multi-level access right setting / inquiry unit 303 and the multi-level access right setting / inquiry unit 303 and the file system Level access control unit 307 interoperates with the stepwise access determination unit 307 to enable multilevel access control according to the security policy rules. The file system multi-level access control unit 307 includes a process multi-level security information storage unit 309, Level access right to the file system by comparing the information of the multi-level security information storage 311 through the multi-level security policy rule setting / inquiring unit 306. That is, The security policy rule stored in the storage 310 compares the user security information for the current process set in the process multi-level security information storage 309 with the security information, which is the access right information set in the file system multi-level security information storage 311, As shown in FIG.

도 4는 상기 도 2의 인증서 저장부(202)의 상세 구조도이다.도면에 도시된 바와 같이, 본 발명의 인증서 저장부는, 사용자 ID(401)와 사용자 인증서(402)를 포함하고 있다.상기 사용자 인증서(402)는 사용자(9 또는 14)에게 사용자 인증서를 발행한 보안관리자(5)의 보안관리자 ID(403), 인증서의 소유자인 사용자 ID(404), 사용자의 다단계 접근 권한을 나타내는 보안등급 및 카테고리(405), 사용자의 파일시스템에 대한 다단계 접근권한 기한을 나타내는 보안성 유효기간(406), 사용자의 전자서명 공개키를 나타내는 공개키(407), 인증서의 발행시점을 나타내는 인증서 발행시간(408), 인증서의 유효한 기간을 나타내는 인증서 유효기간(409), 상기 정보(403, 404, 405, 406, 407, 408,409)에 대하여 보안관리자가 전자서명한 결과인 전자서명값(410)으로 구성된다.4 is a detailed structural diagram of the certificate storage unit 202 of FIG 2. As shown in the figure, the certificate storage unit of the present invention includes a user ID 401 and a user certificate 402. [ The certificate 402 includes a security manager ID 403 of the security manager 5 that issued the user certificate to the user 9 or 14, a user ID 404 that is the owner of the certificate, a security level indicating the multi- Category 405, a security validity period 406 indicating a multi-level access right period for the user's file system, a public key 407 indicating a user's digital signature public key, a certificate issuance time 408 A certificate validity period 409 indicating a valid period of the certificate, and an electronic signature value 410 that is a result of the security manager digitally signing the information 403, 404, 405, 406, 407, 408 and 409.

도 5는 상기 도 3의 프로세스 다단계 보안정보 저장소(309)의 상세 구성도로, 보안관리자(5) 또는 사용자(9 또는 14)가 실행한 각각의 프로세스를 식별하기 위한 프로세스 ID(501), 해당 프로세스를 실행하는 사용자 보안등급 및 카테고리로 설정되는 보안등급 및 카테고리(502)로 구성된다.5 is a detailed structure of the process multi-level security information storage 309 shown in FIG. 3, and includes a process ID 501 for identifying each process executed by the security manager 5 or the user 9 or 14, And a security class and a category 502 set to a user security class and a category for executing the security class.

도 6은 상기 도 3의 파일시스템 다단계 보안정보 저장소(311)의 상세 구성도로, 파일을 식별할 수 있는 파일ID(601)와 해당 파일에 접근할 수 있는 다단계 접근권한을 나타내는 보안등급 및 카테고리(602)로 구성되며, 보안관리자에 의해 설정된다.6 is a detailed structure of the file system multi-level security information storage 311 of FIG. 3. The file system 601 includes a file ID 601 for identifying a file, a security level indicating a multi-level access right to access the file, 602, and is set by the security manager.

제7도는 본 발명에 따른 전자서명 인증 기반 다단계 보안용 보안커널 방법을 설명하기 위한 일실시예 흐름도이다.도면에 도시된 바와 같이, 본 발명의 보안커널 방법은, 보안관리자(5)를 설정하여 설치(등록)하고(701), 사용자 등록/삭제 및 파일 접근권한을 제어하는 운영단계를 수행한다(702).7 is a flowchart illustrating a security kernel method for multi-level security based on digital signature authentication according to the present invention. As shown in the figure, the secure kernel method of the present invention sets up a security manager 5 (701), and performs an operation step of controlling user registration / deletion and file access authority (702).

도 8은 상기 도 7의 설치단계를 설명하기 위한 일실시예 상세 흐름도이다.도면에 도시된 바와 같이, 본 발명의 설치단계는, 상기 보안관리자(5)가 자신의 전자서명키 쌍(pair) 인 공개키(PK_SM)와 비밀키(SK_SM)를 생성하고(801), 자신의 다단계 보안정보(SLABEL_SM) 및 상기 공개키(PK_SM)를 상기 비밀키(SK_SM)로 전자서명하여 인증서(CERT_SM = SM[SLABEL_SM, PK_SM]SK_SM)를 생성한다(802).이후, 상기 보안관리자(5)는 상기 비밀키(SK_SM)를 암호화하여 스마트카드(4) 또는 플로피디스켓(3) 등에 저장하고(803), 또한, 상기 인증서(CERT_SM)를 스마트카드 또는 플로피디스켓(3) 등에 저장하여(804), 이를 상기 보안관리자 인증서 저장소(308)에 내장시킨다(805).7 is a detailed flowchart of an exemplary embodiment of the present invention. As shown in the figure, the installation step of the present invention is a method in which the security manager 5 encrypts its digital signature key pair, (PK_SM) and a private key (SK_SM) (801) and electronically signs the multi-level security information SLABEL_SM and the public key PK_SM with the secret key SK_SM to generate a certificate CERT_SM = SM The security manager 5 encrypts the secret key SK_SM and stores the encrypted secret key SK_SM in the smart card 4 or the floppy diskette 3 or the like 803, The certificate (CERT_SM) is stored in the smart card or the floppy diskette 3 (804), and is embedded in the security manager certificate storage 308 (805).

도 9는 상기 도 7의 운영단계를 설명하기 위한 일실시예 상세 흐름도이다.도면에 도시된 바와 같이, 본 발명의 운영단계는, 컴퓨터 시스템에 접근하는 보안관리자(5) 또는 사용자(9 또는 14)에 대한 신분확인을 전자서명 인증에 기반하여 수행한다(901).신분확인 결과를 판단하여(902), 신분확인 결과가 실패이면 종료하고(911), 신분확인 결과가 성공이면 상기 보안관리자 인증서 저장소(308)에 내장된 보안관리자(5)의 인증서로부터 상기 보안관리자(5)의 다단계 보안정보(SLABEL_SM)를 읽어낸다(910).신분이 보안 관리자(5)인 경우에는, 클라이언트 사용자 프로세스의 다단계 보안정보(SLABEL_UP)에 보안관리자(5)의 다단계 보안정보(SLABEL_SM)를 부여하고(904), 부여된 보안관리자(5) 접근권한에 따라, 사용자(9 또는 14) 등록 및 삭제처리(906), 파일시스템 다단계 접근권한 설정처리(907) 및 파일시스템 다단계 접근처리(908) 중 어느 하나를 선택하여 이를 수행한다.만약, 신분확인 결과 사용자(9 또는 14)인 경우에는 프로세스의 다단계 보안정보(SLABEL_UP)에 사용자의 다단계 보안정보(SLABEL_U)를 부여한 후(905) 파일시스템 다단계 접근 처리(909)를 수행한다(915).7 is a detailed flowchart of an embodiment for explaining the operational steps of FIG. 7. As shown in the figure, the operating step of the present invention includes a security manager 5 or a user 9 or 14 ) Is performed based on the digital signature authentication (901). If the result of the identification is not successful (902), the process ends if the result of the identification is unsuccessful (911) The multilevel security information SLABEL_SM of the security manager 5 is read from the certificate of the security manager 5 built in the storage 308. If the identity is the security manager 5, Step security information SLABEL_SM of the security manager 5 to the multilevel security information SLABEL_UP 904 and the registration and deletion processing 906 of the user 9 or 14 according to the granted access right of the security manager 5 ), File system multi-level access rights Processing step 907 and the file system multi-level access processing 908. If the result of the identification is the user (9 or 14), the multi-level security information SLABEL_UP of the process is added to the multi- After the information SLABEL_U is given (905), the file system multi-level access processing 909 is performed (915).

도 10은 상기 도 9의 전자서명 인증기반 신분확인 처리방법을 설명하기 위한 일실시예 상세 흐름도이다.도면에 도시된 바와 같이, 본 발명의 신분확인 처리방법은, 서버시스템(S)이 난수(R)를 생성하고(1001). 상기 난수(R)에 대한 전자서명값(X=U[R]SK_U)을 생성한다(1002).상기 보안관리자 인증서 저장소(308)에 내장된 보안관리자(5)의 인증서(CERT_SM))로부터 상기 보안관리자(5)의 공개키(PK_SM)를 추출한다(1003).이후, 보안커널(205)이 보안관리자(5)의 상기 공개키(PK_SM)를 이용해 클라이언트 사용자(9 또는 14)의 인증서(CERT_U)를 검증하고(1005), 검증이 실패하면 FALSE 값을 가지고 종료한다. 만약 검증이 성공한 경우에는 클라이언트 사용자(9 또는 14)의 인증서(CERT_U)로부터 클라이언트 사용자의 공개키(PK_U)와 클라이언트 사용자의 다단계 보안정보(SLABEL_U)를 추출한다(1007).상기 난수(R)에 대하여 생성된 전자서명값(X)을 검증하고(1008), 검증결과가 성공이면 클라이언트 사용자(9 또는 14)의 다단계 보안정보(SLABEL_U) 값을 가지고 종료하며(1010), 검증이 실패하면, FALSE 값을 가지고 종료한다(1011).9 is a detailed flowchart for explaining an electronic signature authentication-based identification processing method of FIG. 9. As shown in the figure, the identification processing method of the present invention is a method in which a server system S sends a random number R) (1001). From the certificate (CERT_SM) of the security manager 5 built in the security manager certificate storage 308) the digital signature value X = U [R] SK_U for the random number R The security kernel 205 extracts the public key PK_SM of the security manager 5 from the certificate of the client user 9 or 14 using the public key PK_SM of the security manager 5 CERT_U) (1005), and ends with FALSE if the verification fails. If the verification is successful, the public key PK_U of the client user and the multi-level security information SLABEL_U of the client user are extracted from the certificate (CERT_U) of the client user 9 or 14 (1007) The digital signature value X generated is verified 1008. If the verification result is successful, the generated digital signature value X is terminated with the multilevel security information SLABEL_U of the client user 9 or 14 in step 1010. If the verification fails, (1011).

도 11은 상기 도 9의 사용자 등록 및 삭제 처리 방법을 설명하기 위한 일실시예 상세 흐름도이다.클라이언트 사용자(9 또는 14) 프로세스의 다단계 보안정보(SLABEL_UP)가 보안관리자(5)의 다단계 보안정보(SLABEL_SM)와 비교하여(1101) 서로 일치하면, 보안관리자(5)의 접근권한에 따라 사용자(9 또는 14)의 삭제를 선택하면 등록된 사용자(U)를 삭제한다.사용자 등록을 선택하면, 새로운 사용자(9 또는 14) 다단계 보안정보(SLABEL_U)를 부여하고(1104), 새로운 사용자(9 또는 14)의 공개키(PK_U)와 비밀키(SK_U)를 생성한다(1005).보안관리자(5)는 새로운 사용자(9 또는 14)의 다단계 보안정보(SLABEL_U) 및 공개키 (PK_U)를 보안관리자(5) 자신의 비밀키(SK_SM)로 전자서명하여 인증서(CERT_U = SM[SLABEL_U, PK_U]SK_SM)를 생성한다(1106).사용자(U)는 자신의 비밀키(SK_U)를 암호화하여 스마트카드(8 또는 13) 또는 플로피디스켓(7 또는 12) 등에 저장한다(1107).사용자(U)는 자신의 인증서(CERT_U)를 스마트카드(8 또는 13) 또는 플로피디스켓(7 또는 12) 등에 저장한다(1108).이와 같은 사용자 등록은 전자서명인증서를 요청하는 사용자(9 또는 14)가 있을 경우에 수행하는 것으로, 일반적인 인증서 발급과정과 동일하며, 본 발명에서는 보안관리자(5)가 해당 사용자의 다단계 보안정보(SLABEL_U)를 설정하여 인증서를 발급하게 된다.9 is a detailed flowchart for explaining the user registration and deletion processing method of FIG 9. The multi-level security information (SLABEL_UP) of the process of the client user (9 or 14) SLABEL_SM in step 1101 and deletes the user 9 or 14 according to the access right of the security manager 5. When the user registration is selected, The security manager 5 grants the user 9 or 14 the multilevel security information SLABEL_U 1104 and generates the public key PK_U and the secret key SK_U of the new user 9 or 14, SM [SLABEL_U, PK_U] SK_SM by electronically signing the multi-level security information SLABEL_U and the public key PK_U of the new user 9 or 14 with the secret key SK_SM of the security manager 5 itself, The user U encrypts his / her secret key SK_U and transmits the encrypted secret key SK_U to the smart card 8 The user U stores the certificate CERT_U in the smart card 8 or 13 or the floppy diskette 7 or 12 or the like in step 1108. In step 1108, . Such user registration is performed when a user (9 or 14) requesting a digital signature certificate is present, and is the same as a general certificate issuing process. In the present invention, the security manager (5) SLABEL_U) to issue a certificate.

도 12는 상기 도 9의 파일시스템 다단계 접근권한 설정 처리 방법을 설명하기 위한 일실시예 상세 흐름도이다.클라이언트 사용자 프로세스의 다단계 보안정보(SLABEL_UP)를 보안관리자(5)의 다단계 보안정보(SLABEL_SM)와 비교하여(1201) 서로 일치하지 않으면 종료하고, 서로 일치하면, 보안관리자(5)는 파일 다단계 보안정보(SLABEL_F) 설정을 위한 파일(F)을 선택한다(1202).보안관리자(5)는 해당파일(F)에 접근을 허가할 대상을 선택하고(1203), 보안커널은 파일 다단계 보안정보(SLABEL_F)에 허가할 대상(사용자)에 대한 사용자 다단계 보안정보(SLABEL_U)를 설정한다(1204).12 is a detailed flowchart for explaining a file system multi-level access right setting processing method of FIG. 9. The multi-level security information SLABEL_UP of the client user process is stored in the multi-level security information SLABEL_SM of the security manager 5 The security manager 5 selects 1202 the file F for setting the file multi-level security information SLABEL_F (1202). If the security manager 5 does not match (1201) An object to be granted access to the file F is selected 1203 and the secure kernel sets 1204 the user multi-level security information SLABEL_U for the object (user) to be permitted in the file multi-level security information SLABEL_F.

도 13은 상기 도 9의 파일시스템 접근처리 방법을 설명하기 위한 일실시예 상세 흐름도이다.보안커널(205)은 접근대상 파일(F)의 이름을 얻어내고(1301), 다단계 보안정책 규칙 저장소(310)에 정의되어 있는 다단계 보안정책규칙에 의하여 클라이언트 사용자 프로세스의 파일접근을 허가한다(1302).상술한 바와 같은 본 발명의 방법은 프로그램으로 구현되어 컴퓨터로 읽을 수 있는 기록매체(씨디롬, 램, 롬, 플로피 디스크, 하드 디스크, 광자기 디스크 등)에 저장될 수 있다.이상에서 설명한 본 발명은, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에 있어 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하므로 전술한 실시예 및 첨부된 도면에 한정되는 것이 아니다.13 is a detailed flowchart for explaining the file system access processing method of FIG 9. The secure kernel 205 obtains 1301 the name of the access target file F and stores the name of the access target file F in the multi- The method of the present invention as described above is implemented by a program and is executed by a computer-readable recording medium (such as a CD-ROM, a RAM, ROM, floppy disk, hard disk, magneto-optical disk, etc.) according to an embodiment of the present invention. The present invention is not limited to the above embodiments, It will be understood by those skilled in the art that various changes in form and details may be made therein without departing from the spirit and scope of the invention as defined by the appended claims.

상기와 같은 본 발명은 시스템 설치시 커널내부의 보안커널에 보안관리자의 인증서를 내장함으로써 인증서에 대한 위·변조 등 해킹을방지할 수 있고, 전자서명 인증기반의 신분확인 및 전자서명 검증, 프로세스의 다단계 접근권한 설정, 파일시스템의 다단계 접근권한 설정 및 사용자 프로세스의 파일시스템 다단계 접근제어를 모두 커널내부에서 수행하므로 컴퓨터 시스템의비밀로 분류된 정보 및 중요도가 높은 파일에 대한 위·변조, 삭제, 또는 유출 등의 해킹 행위를 커널레벨에서 원천적으로 방지할 수 있어 파일시스템에 대한 안전·신뢰성을 보장할 수 있도록 하는 효과가 있다.The present invention as described above can prevent hacking such as tampering or tampering by embedding a security manager's certificate in the security kernel inside the kernel when installing the system, Because the multilevel access control setting, the file system multi-level access setting, and the file system multilevel access control of the user process are both performed in the kernel, it is possible to protect the information classified as the secret of the computer system and the high- It is possible to prevent a hacking operation such as an outflow at a kernel level from the origin, thereby ensuring safety and reliability of the file system.

또한, 본 발명은 국방용 정보시스템 등과 같이 보안관리자 및 사용자의 다단계 비밀수준을 갖는 파일시스템에 대한 접근제어를 안전하게 실현해야 하는 컴퓨터 시스템에 대하여 비밀로 분류된 정보 및 중요도가 높은 파일에 대한 위·변조, 삭제, 또는 유출 등의 해킹 사고를 원천적으로 방지할 수 있도록 하는 효과가 있다.In addition, the present invention can be applied to a security system such as a defense information system and the like, in which information classified as confidential and information about a high-importance file are securely stored in a computer system that requires secure realization of access control for a file system having a multi- It is possible to prevent hacking accidents such as tampering, deletion, or leakage.

Claims (12)

내부 근거리통신망 또는 원격의 외부 통신망을 통해 시스템에 접근하는 사용자에 대한 전자서명 인증기반 보안 커널 시스템에 있어서,An electronic signature authentication based security kernel system for a user accessing a system via an internal local area network or a remote external communication network, 시스템에 접근하는 사용자(보안관리자/사용자) 전자서명키를 생성하며, 보안관리자가 설정한 사용자 보안등급정보를 포함하는 인증서를 발급하는 보안관리모듈과, 보안관리모듈에 의해 생성된 사용자 인증서를 저장하는 인증서저장부와, 인터페이스 역할을 수행하는 시스템호출 인터페이스부와, 시스템에 접근하는 사용자(보안관리자/사용자)의 전자서명 인증서를 검증하여 신분(보안관리자/사용자) 및 인증서에 포함된 보안등급정보를 확인하고, 보안관리자에 의한 시스템에 대한 접근권한 설정 및 설정된 시스템 접근권한과 시스템에 접근된 사용자의 보안등급정보를 대비하여 시스템의 접근에 대한 제어를 수행하는 보안커널을 포함하여 이루어지는 것을 특징으로 하는 전자서명 인증 기반 다단계 보안용 보안커널 시스템.A security management module for generating a digital signature key for a user (security manager / user) accessing the system and issuing a certificate including user security class information set by the security manager; (Security manager / user) and the security level information included in the certificate by verifying the digital signature certificate of the user (security manager / user) accessing the system, And a security kernel for controlling access to the system by comparing the access right of the system with the system access right and the security level information of the user who has been accessed by the security manager. Secure Kernel System for Multilevel Security Based on Digital Signature Authentication. 내부 근거리 통신망 또는 원격의 외부 통신망을 통해 시스템에 접근하는 사용자에 대한 전자서명 인증기반 보안 커널 시스템에 있어서,An electronic signature authentication based security kernel system for a user accessing a system via an internal local area network or a remote external communication network, 사용자의 인증서 요청에 대하여 보안관리자가 해당사용자의 보안등급정보를 설정하고, 승인하여 발급하기 위한 인증서 발급수단과, 발급된 인증서를 저장하는 인증서 저장수단과, 특정 파일 시스템에 대하여 보안관리자가 설정한 파일시스템 접근권한 보안정보를 저장하는 저장수단과, 시스템에 접근하는 사용자의 인증서를 검증하여 신분 및 보안등급정보를 확인하기 위한 수단과, 시스템에 접근한 사용자가 실행한 프로세스에 대하여 해당 프로세스를 실행하는 사용자의 보안등급정보로 프로세스의 보안등급정보를 설정하는 설정수단과, 프로세서의 사용자 보안등급정보와 보안관리자가 설정한 접근권한 보안등급정보를 비교하여 해당 프로세스에 대한 파일시스템의 접근을 제어하는 제어수단을 포함하여 이루어지는 것을 특징으로 하는 전자서명 인증 기반 다단계 보안용 보안커널 시스템.A certificate issuing means for issuing an approval and issuance of the security level information of the user for the certificate request of the user, a certificate storing means for storing the issued certificate, a certificate storing means for storing the issued certificate, A storage means for storing security information for accessing the file system, means for verifying the identity and security level information by verifying the certificate of the user accessing the system, and means for executing the corresponding process on the process executed by the user accessing the system Setting a security level information of the process with user security level information of the user, comparing the user security level information of the processor with the security level information of the access right set by the security manager, and controlling the access of the file system to the process And an electronic control unit Certified security kernel based multi-level security system. 삭제delete 삭제delete 삭제delete 제 1항에 있어서, 상기 보안커널은, 보안관리자에 의해 파일시스템 보안정보 저장소에 설정된 보안등급정보에 따라 시스템에 접근하는 사용자가 실행하는 프로세스에 대한 파일시스템의 사용자 접근을 제어하는 접근권한 제어부와,The security kernel according to claim 1, wherein the secure kernel comprises an access control unit for controlling user access to a file system for a process executed by a user accessing the system according to security level information set in a file system security information storage by a security manager , 시스템에 접근하는 사용자의 전자서명 인증서를 검증하여 신분을 확인하기 위한 전자서명검증부와,An electronic signature verification unit for verifying an identity of a user accessing the system by verifying the digital signature certificate; 보안관리자의 인증서가 저장되는 보안관리자 인증서 저장소와,A security manager certificate store where the security manager's certificate is stored, 사용자가 실행한 각각의 프로세스를 식별하기 위한 프로세스 ID와, 해당 프로세서를 실행하는 사용자 보안등급 및 카테고리 정보가 저장되는 프로세스 보안정보 저장소와,A process security information storage for storing a process ID for identifying each process executed by the user, a user security level and category information for executing the process, 파일을 식별할 수 있는 파일 ID와 해당 파일에 접근할 수 있는 접근권한을 나타내는 보안등급 및 카테고리 정보를 포함하는 파일시스템 보안정보 저장소와,A file system security information storage that includes a file ID for identifying the file, security level and category information indicating access authority to access the file, 보안관리자에 의해 파일시스템 보안정보 저장소의 보안등급 및 카테고리 정보를 설정하기 위한 파일시스템 접근권한 설정/조회부와,A file system access right setting / inquiry unit for setting security level and category information of the file system security information storage by the security manager, 사용자에 의해 실행되는 프로세스에 대한 보안등급 및 카테고리 정보를 프로세스 보안정보 저장소에 설정하는 프로세스 설정/조회부와,A process setting / inquiring unit for setting security level and category information of a process executed by a user in a process security information storage; 시스템에 접근하는 사용자의 접근제어에 대한 보안정책규칙 정보가 저장되는 보안정책규칙 저장소와,A security policy rule storage for storing security policy rule information on access control of a user accessing the system, 보안정책규칙 저장소에 저장된 보안정책 규칙 정보를 설정 및 조회하기 위한 보안정책규칙 설정/조회부와,A security policy rule setting / inquiry unit for setting and inquiring security policy rule information stored in the security policy rule storage; 보안정책규칙 설정/조회부로 부터 읽어들인 보안정책 규칙에 따라서 프로세스 접근권한 저장소에 설정된 보안등급정보와 파일시스템 보안정보 저장소에 보안관리자에 의해 설정된 보안등급정보를 비교하여 해당 프로세스에 대한 파일의 접근을 제어하는 파일시스템 접근권한 결정부를 포함하여 이루어지는 것을 특징으로 하는 전자서명 인증 기반 다단계 보안용 보안커널 시스템.According to the security policy rules read from the security policy rule setting / inquiry unit, the process access rights are compared with the security level information set in one storage and the security level information set by the security administrator in the file system security information storage, And a file system access right determination unit for controlling access to the file system. 제 1항 또는 제 2항 또는 제 6항중 어느 한 항에 있어서, 상기 보안관리자에 의해 사용자에 대하여 발급되는 사용자 인증서는 전자서명인증을 위한 일반 인증서정보와,The method of claim 1, 2, or 6, wherein the user certificate issued by the security administrator to the user includes general certificate information for digital signature authentication, 발급한 보안관리자 ID와, 접근권한을 나타내는 보안등급 및 카테고리와, 보안성유효기간과, 보안관리자의 전자서명값 정보를 포함하는 것을 특징으로 하는 전자서명 인증 기반 다단계 보안용 보안커널 시스템.Wherein the secure kernel system includes a security manager ID issued, a security level and a category indicating an access right, a security validity period, and digital signature value information of a security manager. 제 1항 또는 제 2항 또는 제 6항중 어느 한 항에 있어서, 상기 인증서 저장부는 사용자에 대한 식별정보로 사용자 ID와 사용자 인증서를 포함하며,The method according to any one of claims 1 to 7, wherein the certificate storing unit includes a user ID and a user certificate as identification information for a user, 상기 사용자 인증서는 사용자 인증서를 발행한 보안관리자ID와, 인증서의 소유자인 사용자 ID와, 사용자의 다단계 접근권한을 나타내는 보안등급 및 카테고리와, 사용자의 파일시스템에 대한 다단계 접근권한 기한을 나타내는 보안성 유효기간과, 사용자의 전자서명공개키를 나타내는 공개키와, 인증서의 발생시점을 나타내는 인증서 발생시간과, 인증서의 유효한 기간을 나타내는 인증서유효기간정보 및 상기 정보들에 대하여 보안관리자가 전자서명한 결과값인 전자서명값으로 구성되는 것을 특징으로 하는 전자서명 인증 기반 다단계 보안용 보안커널 시스템.The user certificate includes a security administrator ID that issued a user certificate, a user ID that is an owner of the certificate, a security level and category that indicates a multi-level access right of the user, security validity that indicates a multi- A public key indicating a digital signature public key of the user, a certificate generation time indicating a generation time of the certificate, certificate valid period information indicating a valid period of the certificate, and a result value obtained by digitally signing the information And a digital signature value that is a signature of the digital signature. 시스템에 접근하는 사용자에 대한 시스템의 접근을 제한 제어하는 전자서명인증기반 보안 커널 방법에 있어서,1. An electronic signature authentication based security kernel method for restricting access of a system to a user accessing a system, 전자서명 인증서를 요청하는 사용자에 대하여 보안관리자가 설정한 사용자 보안등급정보를 인증서에 포함시켜 인증서를 발급하는 과정과,Issuing a certificate by including user security class information set by a security manager in a certificate for a user requesting a digital signature certificate; 시스템에 접근하는 사용자에 대하여 전자서명 인증에 기반하여 신분확인을 수행하는 과정과,Performing identification of a user accessing the system based on digital signature authentication; 신분확인결과 보안관리자인 경우에는 보안관리자 인증서 저장소에 등록된 보안관리자의 인증서로 부터 보안관리자 보안정보를 읽어 프로세스의 보안정보에 보안관리자 보안정보를 부여하는 과정과,A step of granting security manager security information to the security information of the process by reading the security manager security information from the certificate of the security manager registered in the security manager certificate storage when the security manager is identified as the result of the identification, 신분확인결과 보안관리자가 아닌 일반 사용자인 경우에는 사용자 인증서로 부터 해당 사용자 보안등급정보를 읽어 프로세스의 보안정보에 부여하는 과정과,A step of reading the corresponding user security level information from the user certificate and providing the user security level information to the security information of the process when the user is an ordinary user, 사용자(보안관리자/사용자)가 시스템에서 실행한 프로세스 보안정보에 설정(부여)된 사용자 보안등급정보를 해당 프로세스에 대한 파일 시스템에 설정된 보안등급정보를 비교하여 파일시스템 접근제한 제어를 수행하는 과정을 포함하여 이루어지는 것을 특징으로 하는 전자서명 인증기반 다단계 보안용 보안커널 방법.A process of performing a file system access restriction control by comparing user security level information set (granted) to process security information executed by a user (security administrator / user) with security level information set in the file system for the corresponding process Wherein the secure kernel method for multi-level security based on digital signature authentication is performed. 제 9항에 있어서, 신분확인을 수행하는 과정에 있어서,10. The method according to claim 9, wherein, in performing the identification, 전자서명값을 생성하는 단계와, 보안관리자 인증서로 부터 보안관리자의 공개키를 추출하는 단계와, 추출된 공개키를 이용하여 사용자 인증서를 검증하는 단계와, 사용자 인증서로 부터 사용자의 공개키와 보안정보를 추출하는 단계와, 전자서명값을 검증하는 단계를 포함하는 것을 특징으로 하는 전자서명 인증기반 다단계 보안용 보안커널 방법.Generating a digital signature value; extracting a public key of the security manager from the security manager certificate; verifying the user certificate using the extracted public key; Extracting information from the digital signature, and verifying the digital signature value. 제 9항 또는 제 10항에 있어서, 상기 사용자 인증서는 보안관리자에 의해 전자서명되어 발급된 것으로, 발급한 보안관리자 ID와, 파일시스템 접근권한을 나타내는 보안등급 및 카테고리, 보안설정의 유효기간 정보를 포함하는 것을 특징으로 하는 전자서명 인증기반 다단계 보안용 보안커널 방법.The information processing apparatus according to claim 9 or 10, wherein the user certificate is issued by an electronic signature and issued by a security manager, and includes a security manager ID, a security level and category indicating a file system access right, And a secure kernel method for multi-level security based on digital signature authentication. 제 9항 또는 제 10항에 있어서, 상기 파일시스템에 설정된 보안등급정보는 해당 파일에 대한 접근권한에 따라 보안관리자에 의해 설정된 것을 특징으로 하는 전자서명 인증기반 다단계 보안용 보안커널 방법.The secure kernel method for multi-level security based on digital signatures according to claim 9 or 10, wherein the security level information set in the file system is set by a security manager according to an access right to the file.
KR10-2000-0019728A 2000-04-14 2000-04-14 System for Security Kernel for Security through Various Step based on Electronic Signature Authentication KR100386852B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2000-0019728A KR100386852B1 (en) 2000-04-14 2000-04-14 System for Security Kernel for Security through Various Step based on Electronic Signature Authentication

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2000-0019728A KR100386852B1 (en) 2000-04-14 2000-04-14 System for Security Kernel for Security through Various Step based on Electronic Signature Authentication

Publications (2)

Publication Number Publication Date
KR20010096815A KR20010096815A (en) 2001-11-08
KR100386852B1 true KR100386852B1 (en) 2003-06-09

Family

ID=19664410

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2000-0019728A KR100386852B1 (en) 2000-04-14 2000-04-14 System for Security Kernel for Security through Various Step based on Electronic Signature Authentication

Country Status (1)

Country Link
KR (1) KR100386852B1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100982836B1 (en) 2003-06-27 2010-09-16 주식회사 케이티 Certificate issuing service device in application service system and method thereof
KR101498120B1 (en) * 2012-10-10 2015-03-05 박규영 Digital certificate system for cloud-computing environment and method thereof

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010111403A (en) * 2000-06-08 2001-12-19 오상균 The method for controlling internet service access and the range of use of internet service of user by utilizing certificates
US20030056111A1 (en) * 2001-09-19 2003-03-20 Brizek John P. Dynamically variable security protocol
KR100447511B1 (en) * 2001-12-26 2004-09-07 한국전자통신연구원 Job-based Access Control Method
KR100456512B1 (en) * 2002-05-06 2004-11-10 한국전자통신연구원 System for detecting a kernel backdoor, method for detecting a kernel backdoor and method for recovering a kernel data using the same
KR20040003221A (en) * 2002-07-02 2004-01-13 김상욱 Detection and confronting method for kernel backdoor in UNIX kernel mode
WO2007127038A2 (en) * 2006-04-28 2007-11-08 Microsoft Corporation Secure signatures

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100982836B1 (en) 2003-06-27 2010-09-16 주식회사 케이티 Certificate issuing service device in application service system and method thereof
KR101498120B1 (en) * 2012-10-10 2015-03-05 박규영 Digital certificate system for cloud-computing environment and method thereof

Also Published As

Publication number Publication date
KR20010096815A (en) 2001-11-08

Similar Documents

Publication Publication Date Title
KR100437225B1 (en) Method and apparatus for protecting file system based on digital signature certificate
CN112039909B (en) Authentication method, device, equipment and storage medium based on unified gateway
CN109787988B (en) Identity strengthening authentication and authorization method and device
US7526654B2 (en) Method and system for detecting a secure state of a computer system
CN109923548B (en) Method, system and computer program product for implementing data protection by supervising process access to encrypted data
JP2686218B2 (en) Alias detection method on computer system, distributed computer system and method of operating the same, and distributed computer system performing alias detection
EP1255179B1 (en) Methods and arrangements for controlling access to resources based on authentication method
US7591004B2 (en) Using trusted communication channel to combat user name/password theft
CN110149328B (en) Interface authentication method, device, equipment and computer readable storage medium
US9246887B1 (en) Method and apparatus for securing confidential data for a user in a computer
US8631486B1 (en) Adaptive identity classification
EP2115654A1 (en) Simplified management of authentication credentials for unattended applications
WO2018089136A1 (en) System and method for transparent multi-factor authentication and security posture checking
US8056123B2 (en) Method, apparatus and program storage device for providing service access control for a user interface
KR101719511B1 (en) Method for approving access to gate through network, and server and computer-readable recording media using the same
US20010048359A1 (en) Restriction method for utilization of computer file with use of biometrical information, method of logging in computer system and recording medium
KR100842276B1 (en) Wireless RFID Medical Device Access Control Method Using WLAN Security Standard Technology
US20170201528A1 (en) Method for providing trusted service based on secure area and apparatus using the same
KR100908100B1 (en) Encrypted image data with matryoshka structure and, system and method for mutual synchronization certificating using the same
KR100386852B1 (en) System for Security Kernel for Security through Various Step based on Electronic Signature Authentication
WO2001073533A1 (en) System and method for safeguarding electronic files and digital information in a network environment
KR101722031B1 (en) Method for approving access to gate through network, and owner terminal and computer-readable recording media using the same
KR100386853B1 (en) System for Security Kernel for Security based on Duty using Electronic Signature Authentication
KR100545676B1 (en) Authentication Method And Authentication System Using Information About Computer System's State
KR101545897B1 (en) A server access control system by periodic authentification of the smart card

Legal Events

Date Code Title Description
A201 Request for examination
N231 Notification of change of applicant
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
J201 Request for trial against refusal decision
AMND Amendment
B701 Decision to grant
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130524

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20140523

Year of fee payment: 12

FPAY Annual fee payment

Payment date: 20160516

Year of fee payment: 14

FPAY Annual fee payment

Payment date: 20170626

Year of fee payment: 15

FPAY Annual fee payment

Payment date: 20180517

Year of fee payment: 16

FPAY Annual fee payment

Payment date: 20190422

Year of fee payment: 17