KR100437225B1 - 전자서명 인증기반 파일시스템 보안 장치 및 그 방법 - Google Patents

전자서명 인증기반 파일시스템 보안 장치 및 그 방법 Download PDF

Info

Publication number
KR100437225B1
KR100437225B1 KR10-2001-7016747A KR20017016747A KR100437225B1 KR 100437225 B1 KR100437225 B1 KR 100437225B1 KR 20017016747 A KR20017016747 A KR 20017016747A KR 100437225 B1 KR100437225 B1 KR 100437225B1
Authority
KR
South Korea
Prior art keywords
user
access
certificate
file system
security
Prior art date
Application number
KR10-2001-7016747A
Other languages
English (en)
Other versions
KR20020060075A (ko
Inventor
은유진
홍기융
이민구
김재명
Original Assignee
주식회사 시큐브
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 시큐브 filed Critical 주식회사 시큐브
Publication of KR20020060075A publication Critical patent/KR20020060075A/ko
Application granted granted Critical
Publication of KR100437225B1 publication Critical patent/KR100437225B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2149Restricted operating environment

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Bioethics (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Databases & Information Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

1. 청구범위에 기재된 발명이 속한 기술분야
본 발명은 홈페이지의 불법 위·변조 등 파일시스템에 대한 해킹(Hacking) 위협을 커널레벨에서 원천적으로 방지하여 서버 컴퓨터 시스템을 안전하게 하기 위한 전자서명 인증기반 파일시스템 보안 장치 및 그 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것임.
2. 발명이 해결하려고 하는 기술적 과제
본 발명은 컴퓨터 운영체제의 커널레벨에서 파일시스템 위·변조 방지를 위한 접근 제어 기능을 갖는 보안커널을 추가하여 기존의 컴퓨터 운영체제내의 커널이 갖는 근본적인 보안 취약점을 해결함으로써 서버 컴퓨터 시스템을 안전하고 신뢰성있게 운영할 수 있도록 한 전자서명 인증기반 파일시스템 보안 장치 및 그 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공하는데 그 목적이 있음.
3. 발명의 해결방법의 요지
본 발명은, 시스템 보안관리자의 전자서명키 및 시스템 보안관리자의 인증서를 생성하는 제 1 단계; 서버 컴퓨터에 운영시스템 설치시 보안 커널내에 보안관리자의 인증서를 저장시키는 제 2 단계; 사용자 전자서명키 및 사용자의 인증서를 생성하는 제 3 단계; 상기 파일시스템의 접근 권한을 설정하는 제 4 단계; 사용자가 상기 파일 시스템에 접근하려할 때 전자서명기반 인증을 통해 신분을 확인하는 제5 단계; 및 상기 신분확인 결과에 따라 사용자에게 상기 파일시스템에 대한 접근 권한을 부여하는 제 6 단계를 포함한다.
4. 발명의 중요한 용도
본 발명은 컴퓨터 시스템의 보안 등에 이용됨.
5. 대표도
도 2

Description

전자서명 인증기반 파일시스템 보안 장치 및 그 방법{METHOD AND APPARATUS FOR PROTECTING FILE SYSTEM BASED ON DIGITAL SIGNATURE CERTIFICATE}
이와 관련한 종래의 기술은 서버 컴퓨터를 안전하게 하기 위하여 접속제어 방식 또는 일회용 패스워드를 사용하였다. 이러한 접속제어 방식을 사용하는 컴퓨터 시스템은 특정 사용자로 하여금 특정 서비스나 특정 네트워크 주소들의 사용과 관련된 네트워크 접속만을 허용한다.
다시 말해, 이런 컴퓨터 시스템은 특정 서비스와 특정 네트워크 주소들을 제외하고는 사용자가 접근 권한을 갖지 못하게 한다.
사용자 신분확인을 위해 사용되는 일반적인 패스워드는 한번 정해지면 또 다른 패스워드로 바꿀 때까지 계속적으로 사용된다. 이러한 패스워드의 악의적인 사용을 막기 위해 일회용 패스워드가 사용되고 있다. 일회용 패스워드란 사용이 1회로 제한되는 패스워드를 말한다.
그러나, 특정 서비스 및 네트워크 주소에 대한 네트워크 접속만으로도 시스템 관리자 및 사용자의 권한을 획득하는 해킹 기법들이 등장함으로써 침입차단시스템만으로는 홈페이지 등 파일시스템에 대한 위·변조를 시도하는 악의적인 해킹 행위를 실질적으로 방지할 수 없다.
일회용 패스워드 방법 또한 다양한 해킹 방법들의 등장으로 그나마 있던 부분적인 보안기능마저도 무력하게 되었다.
이러한 접속제어 방법과 일회용 패스워드 방법상의 문제점들은 응용프로그램, 사용자 그리고 네트워크 레벨에서 운영되는 기존의 보안 기술을 제공하는 컴퓨터 운영시스템에서 비롯된다.
본 발명은 전자서명 인증에 기반한 해킹방지용 전자서명 인증기반 파일시스템 보안 장치 및 그 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것으로, 더욱 상세하게는 홈페이지의 불법 위·변조 등 파일시스템에 대한 해킹(Hacking) 위협을 커널레벨에서 원천적으로 방지하여 서버 컴퓨터 시스템을 안전하게 하기 위한 전자서명 인증기반 파일시스템 보안 장치 및 그 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것이다.
따라서, 본 발명은 상기와 같은 문제점을 해결하기 위하여 제안된 것으로, 컴퓨터 운영체제의 커널레벨에서 파일시스템 위·변조 방지를 위한 접근 제어 기능을 갖는 보안커널을 추가하여 기존의 컴퓨터 운영체제내의 커널이 갖는 근본적인 보안 취약점을 해결함으로써 서버 컴퓨터 시스템을 안전하고 신뢰성있게 운영할 수있도록 한 전자서명 인증기반 파일시스템 보안 장치 및 그 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공하는데 그 목적이 있다.
상기 목적을 달성하기 위한 본 발명의 방법은, 접근 권한을 가진 사용자에게 해당 파일시스템의 접근을 허용하는 컴퓨터 시스템에 있어서, 시스템 보안관리자의 전자서명키 및 시스템 보안관리자의 인증서를 생성하는 제 1 단계; 서버 컴퓨터에 운영시스템 설치시 보안 커널내에 보안관리자의 인증서를 저장시키는 제 2 단계; 사용자 전자서명키 및 사용자의 인증서를 생성하는 제 3 단계; 상기 파일시스템의 접근 권한을 설정하는 제 4 단계; 사용자가 상기 파일 시스템에 접근하려할 때 전자서명기반 인증을 통해 신분을 확인하는 제 5 단계; 및 상기 신분확인 결과에 따라 사용자에게 상기 파일시스템에 대한 접근 권한을 부여하는 제 6 단계를 포함하는 것을 특징으로 한다.
한편, 본 발명의 장치는, 접근 권한을 가진 사용자에게 해당 파일시스템의 접근을 허용하는 컴퓨터 시스템에 있어서, 시스템 보안관리자의 전자서명키 및 시스템 보안관리자의 인증서를 생성하기위한 수단; 서버 컴퓨터에 운영시스템 설치시 시스템 보안관리자의 인증서를 보안커널에 저장하기 위한 수단; 사용자의 전자서명키와 사용자의 인증서를 생성하기 위한 수단; 파일시스템의 접근 권한을 설정하기 위한 수단; 사용자가 파일시스템에 접근할 때 전자서명 인증방법을 통해 사용자를 신분확인하기 위한 수단; 및 신분확인 결과에 따라 사용자에게 상기 파일시스템에 대한 접근 권한을 부여하기 위한 수단을 포함하는 것을 특징으로 한다.
한편, 본 발명은, 접근 권한을 가진 사용자에게 해당 파일시스템의 접근을 허용하는 컴퓨터 시스템에, 시스템 보안관리자의 전자서명키와 시스템 보안관리자의 인증서를 생성하는 기능; 서버 컴퓨터에 운영시스템 설치시 보안커널 내에 보안관리자의 인증서를 저장시키는 기능; 사용자의 전자서명키 및 사용자의 인증서를 생성하는 기능; 상기 파일시스템의 접근 권한을 설정하는 기능; 사용자가 상기 파일 시스템에 접근하려할 때 전자서명에 기반한 인증처리를 통해 신분을 확인하는 기능; 및 상기 신분확인처리 결과에 따라 사용자에게 상기 파일시스템에 대한 접근 권한을 부여하는 기능을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공한다.
먼저, 본 발명에 첨부된 도면을 간단히 살펴보면 다음과 같다.
도 1 은 본 발명이 적용되는 컴퓨터 시스템의 구성도이다.
도 2 는 본 발명에 따른 서버 컴퓨터의 일실시예 구성도이다.
도 3 은 본 발명에 따른 보안커널의 내부 구성 및 상호 동작에 대한 일실시예 설명도이다.
도 4 는 도 2 에 도시된 인증서 저장부(212)의 일실시예 구성도이다.
도 5 는 도 3 에 도시된 보안커널 내부의 프로세스 보안정보 저장소(314)의 일실시예 세부 구조도이다.
도 6 은 도 3 에 도시된 보안커널 내부의 파일시스템 보안정보 저장소(318)의 일실시예 세부 구조도이다.
도 7 은 본 발명에 따른 파일시스템 보안 방법에 대한 일실시예 흐름도이다.
도 8 은 본 발명에 따른 서버 컴퓨터에 파일시스템 보안 방법을 설치하는 과정에 대한 일실시예 세부 흐름도이다.
도 9 는 본 발명에 따른 파일시스템 보안 방법의 운영 과정에 대한 일실시예 세부 흐름도이다.
도 10 은 본 발명에 따른 전자서명 인증기반 신분확인 처리 과정에 대한 일실시예 세부 흐름도이다.
도 11 은 본 발명에 따른 사용자 등록 및 삭제 처리 과정에 대한 일실시예 세부 흐름도이다.
도 12 는 본 발명에 따른 파일시스템 접근 권한 설정 처리 과정에 대한 일실시예 세부 흐름도이다.
도 13 은 본 발명에 따른 파일시스템 접근 처리 과정에 대한 일실시예 세부 흐름도이다.
상술한 목적, 특징들 및 장점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해 질 것이다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 일실시예를 상세히 설명한다.
도 1 은 본 발명이 적용되는 컴퓨터 시스템의 구성도이다.
상기 컴퓨터 시스템은 시스템 보안관리자, 그리고 서버 컴퓨터(110)로부터 떨어진 원격 사용자와 근거리 사용자 각각을 위한 서버 컴퓨터(110)와컴퓨터들(120, 140, 150)로 구성되어 있다.
상기 각각의 컴퓨터들(120, 140, 150)은 플로피 디스켓(124, 144, 154)과 스마트 카드(126, 146, 156)와 같은 저장장치를 가지고 있다. 그리고, 서버 컴퓨터(110)와 일반 컴퓨터들(120, 140, 150)은 서로 직접 또는 컴퓨터 네트워크(130)를 통해 연결된다.
상기 시스템 보안관리자는 전자서명에 기반한 신분확인을 거친 후 상기 서버 컴퓨터(110)와 상기 서버 컴퓨터(110)의 사용자를 관리한다.
상기 서버 컴퓨터(110)로부터 근거리에 있는 사용자(150)는 전자서명에 기반한 신분확인을 거친 후 일부 파일시스템에 접근할 수 있다. 사용자는 상기 일부 파일시스템에 접근하는 것을 허가받는 것이다. 시스템 보안관리자는 파일시스템의 접근 권한과 사용자의 접근 권한을 설정한다.
상기 서버 컴퓨터(110)로부터 원거리에 있는 사용자(140)는 컴퓨터 네트워크(130)를 통해 생성되는 전자서명에 기반한 신분확인 처리 과정을 거친 후 일부 파일시스템에 대한 접근을 허가받아 접근할 수 있다.
도 2 는 본 발명에 따른 서버 컴퓨터의 일실시예 구성도이다.
상기 서버 컴퓨터는 사용자 레벨, 커널 레벨, 하드웨어 레벨에서 다수의 구성요소를 포함한다.
상기 서버 컴퓨터는 사용자 레벨에서 인증서 저장부(212), 보안 관리 모듈(214), 보안 라이브러리(216), 라이브러리(218)를 포함한다.
상기 보안 관리 모듈(214)은 시스템보안관리자 또는 근/원거리 사용자의 전자서명값 생성에 필요한 한 쌍의 암호키를 생성한다. 상기 한 쌍의 암호키는 공개키와 비밀키로 구성된다. 또한, 상기 보안 관리 모듈(214)은 상기 암호키들과 상기 전자서명값에 기반한 인증서를 발행한다.
커널 레벨에서 상기 서버 컴퓨터는 시스템 호출 인터페이스(232), 파일 서브시스템(234), 프로세스 제어 서브시스템(236), 보안 커널(238), 구동부(240) 및 하드웨어 제어부(242)를 포함한다.
상기 시스템 호출 인터페이스(232)는 상기 커널 레벨의 구성요소들과 함께 사용자 레벨의 구성요소들과 인터페이스(interface)된다.
상기 보안 커널(238)은 상기 전자서명을 검증하고 파일시스템의 접근 권한을 설정하고 조회한다. 또한, 상기 보안 커널(238)은 상기 파일시스템의 접근을 제어한다.
상기 서버 컴퓨터의 하드웨어 레벨은 구동기 제어부(252), 하드디스크 구동기, 플로피디스크 구동기, 스마트카드 구동기, USB 구동기, 네트워크 구동기를 포함하고 있다.
상기 하드웨어 레벨의 이러한 구성요소들은 이 분야에 기술을 가지고 있는 사람들에게 잘 알려져 있다. 따라서, 이들 구성요소들에 대한 자세한 설명은 본 명세서에서는 생략하기로 한다.
도 3 은 본 발명에 따른 보안 커널의 내부 구성 및 상호 동작에 대한 일실시예 설명도이다.
상기 보안 커널은 접근 권한 제어부(302), 전자서명 검증부(304), 접근 권한설정/조회부(306), 보안정책규칙 설정/조회부(308), 파일시스템 접근 권한 결정부(310), 시스템 보안관리자 인증서 저장소(312), 프로세스 보안정보 저장소(314), 보안정책규칙 저장소(316) 그리고 파일시스템 보안정보 저장소(318)를 포함한다.
이때, 프로세스와 관련된 보안정보는 프로세스 보안정보 저장소(314)에, 보안정책 규칙정보는 보안정책규칙 저장소(316)에, 그리고 파일시스템 관련 보안정보는 파일시스템 보안정보 저장소(318)에 저장되어 있다.
상기 접근 권한 제어부(302)는 접근 권한 설정/조회부(306), 보안정책규칙 설정/조회부(308), 파일시스템 접근 권한 결정부(310)를 제어한다.
상기 접근 권한 설정/조회부(306)는 프로세스 보안정보 저장소(320) 및 파일시스템 보안정보 설정/조회부(322)를 포함한다. 파일시스템에 대한 접근을 시도하는 사용자가 상기 접근 권한 제어부(302)에서 신분확인을 받게 되면, 프로세스 보안정보 설정/조회부(320)가 프로세스 보안정보 저장소(314)에 있는 정보를 설정한다.
상기 파일시스템 보안정보 설정/조회부(322)는 상기 파일시스템 보안정보 저장소(318)를 설정하고 조회한다.
상기 보안정책규칙 설정/조회부(308)은 상기 보안정책규칙 저장소(316)에 저장되어있는 보안정책규칙을 설정하고 조회한다.
상기 보안정책규칙 설정/조회부(308)는 상기 접근 권한 설정/조회부(306) 및 파일시스템 접근 권한 결정부(310)와 통신하여 상기 보안정책규칙 저장소(316)에저장되어 있는 보안정책규칙에 기반한 접근 제어에 필요한 정보를 제공한다.
상기 파일시스템 접근 권한 결정부(310)는 상기 프로세스 보안정보 저장소(314)에 저장되어있는 정보를 파일시스템 보안정보 저장소(318)에 저장되어있는 파일시스템 보안정보와 비교한다. 상기 파일시스템 접근 권한 결정부(310)는 상기 보안정책규칙 저장소(316)에 저장되어있는 보안정책규칙에 따라 접근 권한이 사용자에게 제공되는지 판단한다.
도 4 는 도 2 에 도시된 인증서 저장부(212)의 일실시예 구성도이다.
상기 인증서 저장부(212)는 다수의 인증서들로 구성되어 있다. 상기 인증서들은 사용자 ID(410, 430, 450)와 사용자 인증서(420, 440, 460)들을 포함한다. 각각의 사용자 ID(410)는 각각의 사용자 인증서(420)를 실행하고 있는 사용자들을 나타낸다. 한 쌍의 인증서들은 도 2 에 나와있는 상기 보안 관리 모듈(214)로부터 나온 제어신호에 따라 추가되고, 삭제되고, 조사된다.
상기 사용자 인증서(420)는 시스템 보안관리자 ID(421)(SM ID), 사용자 ID(422), 접근 권한 ID(423), 접근 유효기간(424), 공개키(425), 인증서 발행시간(426), 인증서 유효기간(427), 전자서명값(428)을 포함한다.
시스템 보안관리자 ID(421)는 사용자 인증서를 발행하는 시스템 보안관리자(SM)를 나타낸다.
상기 사용자 ID(422)는 사용자 인증서(420)를 실행하고 있는 사용자를 나타낸다.
상기 접근 권한 ID(423)은 사용자의 접근 권한을 나타내는 것이다.
상기 접근 유효기간(424)은 유효시간을 말한다. 사용자는 상기 유효시간까지만 해당 파일시스템에 접근할 수 있다.
상기 공개키(425)는 사용자의 전자서명을 검증하는데 사용된다.
상기 인증서 발행시간(426)은 사용자 인증서가 발행된 시간을 나타낸다.
상기 전자서명값(428)은 시스템 보안관리자의 비밀키를 사용해 나타낸 상기 전자서명값(428)을 제외한 상기 사용자 인증서의 전자서명된 값을 말한다.
도 5 는 도 3 에 도시된 보안커널 내부의 프로세스 보안정보 저장소(314)의 일실시예 세부 구조도이다.
상기 프로세스 보안정보 저장소(314)에는 다수의 프로세스 ID(510), 시스템 보안관리자 플래그(512), 접근 권한 ID(514)가 저장된다. 상기 프로세스 보안정보 저장소(314)는 접근될 프로세스 ID(510)를 추적한다. 해당 프로세스 ID(510)를 찾은 후, 상기 프로세스 보안정보 저장소(314)는 상기 프로세스 보안정보 설정/조회부(320), 파일시스템 보안정보 설정/조회부(322), 파일시스템 접근 권한 결정부(310)로부터 나온 제어 신호에 따라 해당 시스템 보안관리자 플래그(512) 또는 접근 권한 ID(514)를 설정하고 조회한다.
각각의 프로세스 ID(510)들은 사용자가 실행하는 프로세스를 나타낸다.
각각의 시스템 보안관리자 플래그(512)는 프로세스를 실행하는 시스템 보안관리자를 의미한다.
각각의 접근 권한 ID(514)는 그 프로세스에 허가된 접근 권한을 나타낸다.
도 6 은 도 3 에 도시된 보안커널 내부의 파일시스템 보안정보 저장소(318)의 일실시예 세부 구조도이다.
도 3 의 상기 파일 시스템 보안정보 저장소(318)는 파일 ID(602)와 접근 권한 ID(604)를 포함하고 있다. 파일 ID(602)에 대응하는 상기 접근 권한 ID(604)는 상기 파일시스템 보안정보 설정/조회부(322) 또는 파일 시스템 접근 권한 결정부(310)에서 나온 제어 신호에 따라 설정, 조회된다.
상기 파일 ID(602)는 파일을 확인할 때 사용되는 ID를 말한다. 상기 접근 권한 ID (604)는 그 파일에 대해 접속 허가를 받은 사용자의 접근 권한을 의미한다.
도 7 은 본 발명에 따른 파일시스템 보안 방법에 대한 일실시예 흐름도이다.
우선, 시스템 보안관리자를 설정하는 설치 과정(702)에서 수행된다. 다음으로 운영 과정(704)이 실행된다. 상기 운영 과정에서, 사용자 신분확인 후 사용자 등록/삭제 처리 과정, 파일 접근 권한 설정 또는 파일 접근 과정이 수행된다. 그런 다음, 상기 파일 보안 방법을 종료할지 여부를 결정한다(706). 만일, 종료되지 않을 경우에 상기 운영 과정(704)으로 진행한다. 종료되면 파일 보안 방법도 종료한다.
도 8 은 본 발명에 따른 서버 컴퓨터에 파일시스템 보안 방법을 설치하는 과정에 대한 일실시예 세부 흐름도이다.
우선, 서버 컴퓨터는 시스템 보안관리자를 위한 한 쌍의 키인 공개키(PK_SM)와 비밀키(SK_SM)를 생성한다(802).
그리고, 서버 컴퓨터는 시스템 보안 관리자를 위한 인증서를 생성한다(804). 시스템 보안관리자의 접근 권한(ACID_SM)과 시스템 보안관리자의 공개키(PK_SM)는시스템 관리자의 비밀키(SK_SM)의 전자서명을 받아 시스템 관리자의 인증서를 생성하게 된다.
상기 시스템 관리자는 자신의 비밀키(SK_SM)를 암호화하고 그 암호화된 비밀키를 스마트 카드 또는 플로피 디스크와 같은 메모리 장치에 저장한다(806).
상기 시스템 보안관리자는 자신의 인증서(CERT_SM)를 스마트 카드 또는 플로피 디스크와 같은 메모리 장치에 저장한다(808). 또한, 시스템 보안관리자는 자신의 인증서(CERT_SM)를 보안커널(238) 내부의 상기 시스템 보안관리자 인증서 저장소(312)에 저장한다(810).
상기 설치 과정이 종료되면 운영 과정(704)으로 되돌아간다.
도 9 는 본 발명에 따른 파일시스템 보안 방법의 운영 과정에 대한 일실시예 세부 흐름도이다.
우선, 상기 서버 컴퓨터는 전자서명에 기반한 신분확인을 통해 시스템 보안관리자 또는 자신에 대한 접근을 시도하는 사용자를 검증한다(902). 신분확인 결과가 성공적인지 아니면 실패했는지 여부를 판단한다(904).
신분확인 결과가 실패일 경우, 상기 운영 과정을 종료하고 706 과정으로 되돌아간다.
신분확인 결과가 성공일 경우, 상기 운영 과정은 상기 시스템 보안관리자 인증서 저장소(312)에 저장되어 있는 시스템 보안관리자의 인증서를 로드하여 시스템 보안관리자의 인증서로부터 시스템 보안관리자의 접근 권한(ACID_SM)을 추출한다(906). 그리고 나서, 상기 운영 과정은 사용자의 접근 권한(ACID_U)이 시스템 보안관리자의 접근 권한(ACID_SM)과 동일한지 여부를 판단한다(908).
만일, 사용자의 접근 권한(ACID_U)이 시스템 보안관리자의 접근 권한(ACID_SM)과 동일할 경우, 시스템관리자의 접근 권한은 사용자 프로세스 접근 권한(ACID_UP)에 적용된다(910). 시스템 관리자의 접근 권한을 가지고 있는 상기 사용자 프로세스는 사용자 등록/삭제 처리 과정(916), 파일시스템 접근 권한 설정 처리 과정(918), 파일 시스템 접근 처리 과정(920)중 하나를 선택(914)하여 실행한다. 그런 후, 상기 운영 과정은 706 과정으로 돌아간다.
사용자의 접근 권한이 시스템 보안관리자의 접근 권한과 동일하지 않을 경우, 사용자의 접근 권한은 사용자 프로세스 접근 권한(ACID_UP)에 적용된다(912). 상기 사용자 프로세스는 파일 시스템 접근 처리 과정을 실행한다(920). 그런 후, 상기 운영 과정은 706 과정으로 돌아간다.
도 10 은 본 발명에 따른 전자서명 인증기반 신분확인 처리 과정에 대한 일실시예 세부 흐름도이다.
먼저, 난수 R을 생성한다(1002). 사용자는 비밀키를 이용해 상기 난수 R에 대한 전자서명값 X를 생성한다(1004). 상기 서버 컴퓨터는 보안 커널(238) 내부의 시스템 보안관리자의 인증서에 저장되어 있는 시스템 보안관리자의 인증서(CERT_SM)를 로드한다(1006). 상기 서버 컴퓨터는 보안 커널 내부에 저장되어 있는 시스템 보안관리자의 인증서(CERT_SM)로부터 시스템 보안관리자의 공개키(PK_SM)를 추출한다(1008).
상기 사용자 인증서는 보안 커널(238)에 의해 검증된다(1010). 그런 후, 검증결과의 성공 및 실패 여부를 결정한다(1012). 검증결과 실패이면, 이 과정은 그 검증결과를 실패로 저장하고(1020) 리턴한다.
검증결과가 성공일 경우, 상기 보안 커널은 사용자 인증서(CERT_U)로부터 사용자 공개키(PK_U) 및 사용자 접근 권한(ACID_U)을 추출한다(1014). 상기 클라이언트 사용자의 공개키 및 접근 권한을 추출한 후 상기 보안 커널은 상기 전자서명값 X를 난수 R에 대해 검증한다(1016). 신분확인 결과가 성공이면 신분확인결과를 성공으로 저장하고(1022) 사용자의 접근 권한(ACID_U)를 904 과정으로 돌려 908 과정에서 사용한다. 신분확인 결과가 실패이면 1020 과정으로 진행한다.
도 11 은 본 발명에 따른 사용자 등록 및 삭제 처리 과정에 대한 일실시예 세부 흐름도이다.
우선, 사용자의 접근 권한(ACID_UP)이 시스템 보안관리자의 접근 권한(ACID_SM)과 동일한지 여부를 결정한다(1102). 사용자의 접근 권한(ACID_UP)이 시스템 보안관리자의 접근 권한(ACID_SM)과 동일하지 않을 경우, 상기 과정은 종료하고 되돌아간다.
만일, 사용자의 접근 권한(ACID_UP)이 시스템 보안관리자의 접근 권한(ACID_SM)과 동일할 경우, 상기 사용자 등록처리 또는 사용자 삭제처리를 선택한다(1104).
사용자 삭제처리가 선택될 경우, 시스템 관리자의 접근 권한을 가진 사용자 프로세스는 상기 등록된 사용자를 삭제한다(1106). 그런 다음, 상기 과정을 종료할지 여부를 결정하게 된다(1108). 상기 과정이 종료하게 될 경우, 상기 과정은 되돌아간다. 그렇지 않을 경우에는 상기 과정은 1104 과정으로 진행하여 사용자 등록처리 또는 사용자 삭제처리를 선택한다.
사용자 등록처리가 선택될 경우, 시스템 관리자의 접근 권한을 가진 사용자 프로세스는 새로운 사용자에게 접근 권한을 부여한다(1110). 상기 사용자 프로세스는 상기 신규사용자를 위한 공개키(PK_U)와 비밀키(SK_U)를 생성한다(1112).
시스템 보안관리자는 비밀키를 사용해 이 신규 사용자의 접근 권한과 공개키를 암호화하여 신규사용자의 인증서(CERT_U)를 생성한다(1114). 신규 사용자는 자신의 비밀키를 암호화하여 그 암호화된 비밀키를 스마트 카드 또는 플로피 디스크와 같은 메모리 장치에 저장한다(1116). 신규 사용자는 자신의 사용자 인증서(CERT_U)를 메모리에 저장한다(1118). 그런 다음, 상기 과정을 종료할지 여부를 결정하게 된다(1120). 상기 과정이 종료하게 될 경우, 상기 과정은 되돌아간다. 그렇지 않을 경우에는 상기 과정은 1104 과정으로 진행하여 사용자 등록처리 또는 사용자 삭제처리를 선택한다.
도 12 는 본 발명에 따른 파일시스템 접근 권한 설정 처리 과정에 대한 일실시예 세부 흐름도이다.
우선, 상기 사용자 프로세스의 접근 권한(ACID_UP)이 시스템 보안관리자의 접근 권한(ACID_SM)과 동일한지 여부를 판단한다(1202). 만일, 상기 사용자 프로세스의 접근 권한(ACID_UP)이 시스템 보안관리자의 접근 권한(ACID_SM)과 동일할 경우, 상기 시스템 보안 관리자는 한 파일시스템을 선택하게 되는데 이 파일의 접근 권한은 1204 과정에서 설정되게 된다. 상기 사용자 프로세스의 접근 권한(ACID_UP)이 시스템 보안관리자의 접근 권한(ACID_SM)과 동일하지 않을 경우, 이 과정은 종료하고 리턴한다.
시스템 보안관리자는 파일시스템에 대한 접근이 허가된 사용자들을 선택한다(1204). 사용자의 접근 권한(ACID_U)은 선택된 파일에 대한 접근을 허가할 사용자를 선택하는 과정(1206)과 파일의 접근 권한을 선택된 사용자의 접근 권한으로 설정하는 과정(1208)에서 선택되었으므로, 상기 보안 커널은 상기 1204 과정에서 선택된 파일 시스템에 대한 접근 권한(ACID_F)을 설정한다. 그런 다음, 상기 과정을 종료할지 여부를 판단한다(1210). 만약, 서버 컴퓨터가 종료를 선택하게 되면, 상기 과정은 종료하고 리턴한다. 그렇지 않으면, 상기 과정은 1204 과정으로 이어지게 된다.
도 13 은 본 발명에 따른 파일시스템 접근 처리 과정에 대한 일실시예 세부 흐름도이다.
상기 보안 커널은 접근될 파일시스템을 획득한다(1302). 상기 보안 커널은 상기 파일시스템에 대한 접근을 시도하는 사용자 프로세스의 접근 권한(ACID_UP)을 시스템 보안관리자의 접근 권한(ACID_SM)과 비교한다(1304).
사용자 프로세스의 접근 권한(ACID_UP)이 시스템 보안관리자의 접근 권한(ACID_SM)과 동일할 경우, 상기 서버 컴퓨터는 그 사용자 프로세스가 해당 파일 시스템에 접근하도록 허가한다(1306). 그런 다음, 그 과정을 종료할지 여부를 판단한다. 만약, 서버 컴퓨터가 종료를 선택하면 상기 과정은 종료하고 리턴한다. 그렇지 않을 경우 상기 과정은 1302 과정으로 이어진다.
만약, 클라이언트 사용자 프로세스의 접근 권한이 시스템 보안관리자의 접근 권한과 동일하지 않을 경우, 사용자 프로세스의 접근 권한(ACID_UP)이 사용자용 접근 권한(ACID_UP)과 동일한지 여부를 결정하게 된다(1308). 동일하지 않을 경우, 상기 과정은 종료하고 리턴한다.
상기 사용자 프로세스의 접근 권한(ACID_UP)이 사용자용 접근 권한(ACID_SM)과 동일할 경우, 상기 사용자 프로세스의 접근 권한(ACID_UP)이 파일시스템의 접근 권한(ACID_F)과 동일한지 여부를 결정한다(1310). 그렇지 않을 경우, 상기 과정은 종료하고 리턴한다.
상기 사용자 프로세스의 접근 권한(ACID_UP)이 파일시스템의 접근 권한(ACID_F)과 동일할 경우, 서버 컴퓨터는 상기 사용자 프로세스의 상기 파일 시스템에 대한 접근을 허가한다(1312). 그런 다음, 상기 과정의 종료여부를 판단한다. 만일, 서버 컴퓨터가 종료를 선택하면 상기 과정은 종료하고 리턴한다. 그렇지 않을 경우, 상기 과정은 1302 과정으로 이어진다.
본 발명에 따른 상기 파일시스템 보안 방법은 시스템 보안관리자의 인증서를 시스템 설치 과정에서 커널 레벨에 있는 상기 보안채널에 저장한다. 또한, 상기 전자서명에 기반한 신분확인, 파일시스템 접근 권한 설정 과정 그리고 파일시스템 접근 과정은 사용자 레벨이 아닌 커널 레벨에서 수행된다. 따라서, 상기 파일시스템 보안 방법은 파일시스템의 위조 또는 변조를 근본적으로 차단할 수 있다.
따라서, 본 발명에 따른 상기 파일시스템 보안 방법은 안전하고 신뢰성있는 파일시스템을 제공한다. 예를 들어, 본 발명에 따른 상기 파일시스템 보안 방법은홈페이지 등을 운영하는 웹서버 시스템을 해킹으로부터 보호할 수 있다.
상술한 바와 같은 본 발명의 방법은 프로그램으로 구현되어 컴퓨터로 읽을 수 있는 형태로 기록매체(씨디롬, 램, 롬, 플로피 디스크, 하드 디스크, 광자기 디스크 등)에 저장될 수 있다.
이상에서 설명한 본 발명은 전술한 실시례 및 첨부된 도면에 의해 한정되는 것이 아니고, 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하다는 것이 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어 명백할 것이다.
상기와 같은 본 발명은, 시스템 설치시 커널내부의 보안커널에 보안관리자의 인증서를 내장함으로써 인증서에 대한 위·변조 등의 해킹을 방지할 수 있고, 전자서명 인증기반의 신분확인 및 전자서명 검증, 프로세스 접근 권한 설정, 파일시스템 접근 권한 설정 및 사용자 프로세스의 파일시스템 접근 제어를 모두 커널내부에서 수행하므로 서버 시스템의 파일에 대한 위·변조 등의 해킹 행위를 커널 레벨에서 원천적으로 방지할 수 있어 파일시스템에 대한 안전성 및 신뢰성을 보장할 수 있다.
특히, 홈페이지를 운영하는 웹 서버시스템에 본 발명을 적용하면 홈페이지 위·변조 등의 해킹 사고를 원천적으로 방지하여 안전하고 신뢰성있는 홈페이지 운영을 보장받을 수 있다.

Claims (33)

  1. 시스템에 접근하는 사용자에 대한 시스템의 접근을 제한 제어하는 컴퓨터 시스템에 있어서,
    시스템 보안관리자의 전자서명키 및 시스템 보안관리자의 인증서를 생성하는 제 1 과정과,
    서버 컴퓨터에 운영시스템 설치시 보안 커널내에 보안관리자의 인증서를 저장시키는 제 2 과정과,
    사용자 전자서명키 및 보안관리자가 설정한 사용자 접근권한 정보가 포함된 사용자의 인증서를 생성하여 발급하는 제 3 과정과,
    파일 시스템에 접근하는 사용자에 대하여 전자서명기반 인증을 통해 신분을 확인하는 제 4 과정과,
    상기 신분확인 결과에 따라 사용자에게 파일시스템에 대한 접근 권한을 부여하는 제 5 과정과,
    사용자에게 부여된 접근권한과 각 파일시스템에 설정된 파일별 접근권한을 비교하여 파일시스템 접근제한 제어를 수행하는 제 6과정을,
    포함하는 것을 특징으로 하는 전자서명 인증기반의 파일시스템 보안방법.
  2. 제 1 항에 있어서, 제 5과정에서 시스템 보안관리자로 신분확인이 되는 경우, 시스템 보안관리자 접근권한을 부여하여 사용자 등록 및 삭제처리 단계를 진행할 수 있도록 하는 것을 특징으로 하는 전자서명 인증기반의 파일시스템 보안 방법.
  3. 제 1 항에 있어서, 제 5과정에서 시스템 보안관리자로 신분확인이 되는 경우, 시스템 보안관리자 접근권한을 부여하여 파일별 접근 권한을 설정하는 단계를 진행할 수 있도록 하는 것을 특징으로 하는 전자서명 인증 기반의 파일시스템 보안 방법.
  4. 삭제
  5. 삭제
  6. 제 1 항에 있어서,
    상기 신분확인을 수행하는 제 5과정에 있어서,
    전자서명값을 생성하는 단계와, 보안관리자 인증서로 부터 보안관리자의 공개키를 추출하는 단계와, 추출된 공개키를 이용하여 사용자 인증서를 검증하는 단계와, 사용자 인증서로 부터 사용자의 공개키와 보안정보를 추출하는 단계와, 전자서명값을 검증하는 단계를 포함하는 것을 특징으로 하는 전자서명 인증기반의 파일시스템 보안 방법.
  7. 제 1 항에 있어서,
    상기 제 6 과정은 신분확인결과 보안관리자인 경우에는 보안커널내에 등록저장된 보안관리자의 인증서로 부터 보안관리자의 접근권한 정보를 읽어 프로세스의 접근권한정보에 부여하는 단계와,
    일반 사용자인경우에는 사용자 인증서로 부터 해당 사용자 접근권한정보를 읽어 프로세스의 접근권한정보에 부여하는 단계를 포함하는 것을 특징으로
    포함하는 전자서명 인증기반의 파일시스템 보안 방법.
  8. 제 2 항에 있어서, 상기 사용자 등록 및 삭제 처리를 수행하는 단계는,
    사용자 등록 또는 삭제가 선택되었는지 판단하는 단계와,
    사용자 삭제가 선택되었을 경우에 사용자 관련데이터를 삭제하는 단계 및
    사용자 등록이 선택되었을 경우에 사용자를 등록하는 단계를 포함하고,
    상기 사용자를 등록하는 단계는,
    등록되는 사용자에게 접근 권한을 설정하는 단계와,
    등록되는 사용자의 비밀키와 공개키를 생성하는 단계와,
    등록되는 사용자의 인증서를 생성하는 단계와,
    등록되는 사용자의 비밀키를 암호화하여 저장하는 단계 및
    등록되는 사용자의 인증서를 저장하는 단계를 포함하는 것을 특징으로 하는 전자서명 인증기반의 파일시스템 보안 방법.
  9. 제 8 항에 있어서,
    상기 인증서는 사용자의 공개키와 접근 권한을 암호화함으로써 생성되는 것을 특징으로 하는 전자서명 인증기반의 파일시스템 보안 방법.
  10. 제 3 항에 있어서,
    상기 파일시스템에 대한 접근 권한을 설정하는 상기 단계는,
    상기 파일시스템을 선택하는 단계와,
    상기 파일시스템에 대한 접근을 인가할 대상 사용자를 선택하는 단계와,
    상기 파일시스템에 대한 접근 권한을 선택한 대상 사용자의 접근 권한으로 설정하는 단계를 포함하는 전자서명 인증기반의 파일시스템 보안 방법.
  11. 제 1항 또는 제 8항에 있어서, 상기 사용자 인증서는 보안관리자에 의해 전자서명되어 발급된 것으로, 발급한 보안관리자 ID와, 파일시스템 접근권한을 나타내는 접근권한정보와, 보안설정의 유효기간정보를 포함하는 것을 특징으로 하는 전자서명 인증기반의 파일시스템 보안 방법.
  12. 시스템에 접근하는 사용자에 대한 시스템의 접근을 제한 제어하는 컴퓨터 시스템에 있어서,
    시스템 보안관리자의 전자서명키 및 시스템 보안관리자의 인증서를 생성하기위한 수단과,
    서버 컴퓨터에 운영시스템 설치시 시스템 보안관리자의 인증서를 보안커널에 저장하기 위한 수단과,
    사용자의 전자서명키의 생성 및 파일시스템의 접근권한 정보가 포함된 사용자의 인증서를 생성하여 발급하기 위한 수단과,
    파일시스템별 접근권한을 저장하기 위한 수단과,
    발급된 사용자 인증서를 저장하는 인증서 저장수단과,
    시스템에 접근하는 사용자의 인증서를 검증하여 사용자 신분을 확인하기 위한 수단과,
    신분확인 결과에 따라 사용자에게 파일시스템에 대한 접근 권한을 부여하기 위한 수단과,
    사용자에게 부여된 접근권한과 파일시스템의 해당 파일별 접근권한을 비교하여 파일시스템 접근제한 제어를 수행하는 수단을,
    포함하는 것을 특징으로 하는 전자서명 인증기반의 파일시스템 보안 장치.
  13. 제 12항에 있어서, 상기 사용자 인증서에 포함된 사용자의 접근권한 정보를 시스템 보안관리자가 설정할 수 있도록 하는 수단을 더 포함하는 것을 특징으로 하는 전자서명 인증기반의 파일시스템 보안 장치.
  14. 제 12 항에 있어서,
    신분확인된 시스템 보안관리자에 의해 상기 저장수단에 저장된 파일시스템에 대한 접근권한을 설정하기 위한 수단을 더 포함하는 전자서명 인증기반의 파일시스템 보안 장치.
  15. 삭제
  16. 삭제
  17. 제 12 항에 있어서,
    사용자 신분을 확인하기 위한 수단은,
    보안 커널에 저장되어 있는 시스템 보안관리자의 인증서로부터 시스템 보안관리자의 공개키를 추출하기 위한 수단과,
    상기 추출해낸 시스템 보안관리자의 공개키를 이용해 사용자의 인증서를 검증하기 위한 수단과,
    사용자의 인증서에서 사용자의 공개키와 접근 권한을 추출하기 위한 수단과,
    전자서명을 검증하기 위한 수단을 포함하는 것을 특징으로 하는 전자서명 인증기반의 파일시스템 보안 장치.
  18. 삭제
  19. 제 13 항에 있어서,
    시스템 보안관리자에 의해 사용자 인증서를 생성하여 발급하고 저장하는 사용자 등록 및 삭제를 위한 수단은,
    사용자 등록 또는 삭제가 선택되었는지 판단하기 위한 수단과,
    사용자 삭제가 선택되었을 경우에 사용자 관련데이터를 삭제하기 위한 수단 및 사용자 등록이 선택되었을 경우에 사용자를 등록하기 위한 수단을 포함하고,
    상기 사용자를 등록하기 위한 수단은,
    등록되는 사용자에게 접근 권한을 부여하기 위한 수단과,
    등록되는 사용자의 비밀키와 공개키를 생성하기 위한 수단과,
    등록되는 사용자의 인증서를 생성하기 위한 수단과,
    등록되는 사용자의 비밀키를 암호화하여 저장하기 위한 수단과,
    등록되는 사용자의 인증서를 저장하기 위한 수단을 포함하는 수단을 포함하는 것을 특징으로 하는 전자서명 인증기반의 파일시스템 보안 장치.
  20. 제 19 항에 있어서,
    상기 인증서는 사용자의 공개키와 접근 권한을 암호화함으로써 생성되는 것을 특징으로 하는 전자서명 인증기반의 파일시스템 보안 장치.
  21. 제 14 항에 있어서,
    상기 파일시스템에 대한 접근권한을 설정하는 수단은,
    파일시스템의 해당 파일을 선택하기 위한 수단과,
    상기 파일시스템에 대하여 해당 파일별 접근이 허가될 대상 사용자를 선택하기 위한 수단 및 상기 파일시스템의 해당 파일별 접근권한을 상기 대상 사용자의 접근 권한으로 설정하기 위한 수단을 포함하는 것을 특징으로 하는 전자서명 인증기반의 파일시스템 보안 장치.
  22. 제 12 항에 있어서,
    사용자에게 접근 권한을 부여하는 상기 수단은, 시스템에 접근한 사용자가 실행한 프로세스의 접근권한 정보를 사용자 인증서로 부터 읽어들인 접근권한 정보로 부여하는 수단을 포함하여 구성되며,
    상기 접근권한정보에 따라 시스템의 접근제한 제어를 수행하는 수단은 상기 프로세스에 부여된 접근권한 정보와 파일시스템의 해당 파일의 접근 권한을 비교하여 시스템의 접근 제한 제어를 수행하도록 하는 것을 특징으로 하는 전자서명 인증기반의 파일시스템 보안 장치.
  23. 시스템에 접근하는 사용자에 대한 시스템의 접근을 제한 제어하는 컴퓨터 시스템에 적용되는 기록매체에 있어서,
    시스템 보안관리자의 전자서명키 및 시스템 보안관리자의 인증서를 생성하기위한 기능과,
    서버 컴퓨터에 운영시스템 설치시 시스템 보안관리자의 인증서를 보안커널에 저장하기 위한 기능과,
    사용자의 전자서명키의 생성 및 파일시스템의 접근권한 정보가 포함된 사용자 인증서를 생성하여 발급하기 위한 기능과,
    파일시스템별 접근권한을 저장하기 위한 기능과,
    발급된 사용자 인증서를 저장하는 인증서 저장기능과,
    시스템에 접근하는 사용자의 인증서를 검증하여 사용자 신분을 확인하기 위한 기능과,
    신분확인 결과에 따라 사용자에게 파일시스템에 대한 접근 권한을 부여하기 위한 기능과,
    사용자에게 부여된 접근권한과 파일시스템의 해당 파일별 접근권한을 비교하여 파일시스템 접근제한 제어를 수행하는 기능을 수행하기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
  24. 제 23항에 있어서, 상기 사용자 인증서에 포함된 사용자의 접근권한 정보를 신분확인된 시스템 보안관리자에 의해 설정될 수 있도록 하는 기능을 수행하기 위한 프로그램을 더 포함하여 기록한 컴퓨터로 읽을 수 있는 기록매체.
  25. 제 23 항에 있어서,
    신분확인된 시스템 보안관리자에 의해 상기 저장수단에 저장된 파일시스템에 대한 접근권한을 설정하기 위한 기능을 수행하기 위한 프로그램을 더 포함하여 기록한 컴퓨터로 읽을 수 있는 기록매체.
  26. 삭제
  27. 제 23 항에 있어서,
    시스템 보안관리자의 전자서명키 및 시스템 보안관리자의 인증서를 생성하기 위한 기능은,
    시스템 보안관리자의 공개키를 생성하기 위한 기능;
    시스템 보안관리자의 비밀키를 생성하기 위한 수단; 및
    시스템 보안관리자의 인증서를 생성하기 위한 기능을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
  28. 제 23 항에 있어서,
    사용자 신분을 확인하기 위한 기능은,
    보안 커널에 저장되어 있는 시스템 보안관리자의 인증서로부터 시스템 보안관리자의 공개키를 추출하기 위한 기능과,
    상기 추출해낸 시스템 보안관리자의 공개키를 이용해 사용자의 인증서를 검증하기 위한 기능과,
    사용자의 인증서에서 사용자의 공개키와 접근 권한을 추출하기 위한 기능과,
    전자서명을 검증하기 위한 기능을 수행하기 위한 기능을 포함하며, 이러한 기능을 수행하기 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
  29. 삭제
  30. 제 24 항에 있어서,
    시스템 보안관리자에 의해 사용자 인증서를 생성하여 발급하고 저장하는 사용자 등록 및 삭제를 위한 기능은,
    사용자 등록 또는 삭제가 선택되었는지 판단하기 위한 기능과,
    사용자 삭제가 선택되었을 경우에 사용자 관련데이터를 삭제하기 위한 기능 및
    사용자 등록이 선택되었을 경우에 사용자를 등록하기 위한 수단을 포함하고,
    상기 사용자를 등록하기 위한 기능은,
    등록되는 사용자에게 접근 권한을 부여하기 위한 기능과,
    등록되는 사용자의 비밀키와 공개키를 생성하기 위한 기능과,
    등록되는 사용자의 인증서를 생성하기 위한 기능과,
    등록되는 사용자의 비밀키를 암호화하여 저장하기 위한 기능과,
    등록되는 사용자의 인증서를 저장하기 위한 기능을 포함하며 이러한 기능을 수행하기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
  31. 제 30 항에 있어서,
    상기 인증서를 사용자의 공개키와 접근 권한을 암호화함하여 생성하는 기능을 수행하기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
  32. 제 25 항에 있어서,
    상기 파일시스템에 대한 접근권한을 설정하는 기능은,
    파일시스템의 해당 파일을 선택하기 위한 기능과,
    상기 파일시스템에 대하여 해당 파일별 접근이 허가될 대상 사용자를 선택하기 위한 기능 및 상기 파일시스템의 해당 파일별 접근권한을 상기 대상 사용자의 접근 권한으로 설정하기 위한 기능을 포함하며, 이러한 기능을 수행하기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
  33. 제 23 항에 있어서,
    사용자에게 접근 권한을 부여하는 기능은, 시스템에 접근한 사용자가 실행한 프로세스의 접근권한 정보를 사용자 인증서로 부터 읽어들인 접근권한 정보로 부여하는 기능을 포함하여 구성되며,
    상기 접근권한정보에 따라 시스템의 접근제한 제어를 수행하는 기능은 상기 프로세스에 부여된 접근권한 정보와 파일시스템의 해당 파일의 접근 권한을 비교하여 시스템의 접근 제한 제어를 수행하도록 기능을 수행하기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
KR10-2001-7016747A 2000-04-14 2000-08-09 전자서명 인증기반 파일시스템 보안 장치 및 그 방법 KR100437225B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020000019727 2000-04-14
KR1020000019727A KR20010096814A (ko) 2000-04-14 2000-04-14 전자서명 인증기반 파일시스템 해킹방지용 보안커널 방법

Publications (2)

Publication Number Publication Date
KR20020060075A KR20020060075A (ko) 2002-07-16
KR100437225B1 true KR100437225B1 (ko) 2004-06-23

Family

ID=19664409

Family Applications (2)

Application Number Title Priority Date Filing Date
KR1020000019727A KR20010096814A (ko) 2000-04-14 2000-04-14 전자서명 인증기반 파일시스템 해킹방지용 보안커널 방법
KR10-2001-7016747A KR100437225B1 (ko) 2000-04-14 2000-08-09 전자서명 인증기반 파일시스템 보안 장치 및 그 방법

Family Applications Before (1)

Application Number Title Priority Date Filing Date
KR1020000019727A KR20010096814A (ko) 2000-04-14 2000-04-14 전자서명 인증기반 파일시스템 해킹방지용 보안커널 방법

Country Status (6)

Country Link
US (1) US7328341B1 (ko)
JP (1) JP4077200B2 (ko)
KR (2) KR20010096814A (ko)
CN (1) CN1231014C (ko)
AU (1) AU754810B2 (ko)
WO (1) WO2001080482A1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016182334A1 (ko) * 2015-05-12 2016-11-17 주식회사 수산아이앤티 사설 인증서의 설치를 유도하는 방법
KR101679665B1 (ko) 2015-11-03 2016-11-25 이호 전력선 통신을 이용한 전자 장치의 보안 방법, 이를 수행하기 위한 기록 매체 및 장치

Families Citing this family (42)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8620286B2 (en) 2004-02-27 2013-12-31 Synchronoss Technologies, Inc. Method and system for promoting and transferring licensed content and applications
US8611873B2 (en) * 2004-05-12 2013-12-17 Synchronoss Technologies, Inc. Advanced contact identification system
US6671757B1 (en) 2000-01-26 2003-12-30 Fusionone, Inc. Data transfer and synchronization system
US8156074B1 (en) 2000-01-26 2012-04-10 Synchronoss Technologies, Inc. Data transfer and synchronization system
KR20010113119A (ko) * 2000-06-16 2001-12-28 박화자 액세스 권한을 얻기 위한 인증방법
US8615566B1 (en) 2001-03-23 2013-12-24 Synchronoss Technologies, Inc. Apparatus and method for operational support of remote network systems
KR100456512B1 (ko) * 2002-05-06 2004-11-10 한국전자통신연구원 커널 백도어 탐지 시스템, 이를 이용한 커널 백도어 탐지방법 및 커널 데이터 복구 방법
KR20040003221A (ko) * 2002-07-02 2004-01-13 김상욱 유닉스 커널 모드에서의 커널 백도어 탐지 및 대응 장치및 그방법
US7428751B2 (en) * 2002-12-05 2008-09-23 Microsoft Corporation Secure recovery in a serverless distributed file system
US7577999B2 (en) * 2003-02-11 2009-08-18 Microsoft Corporation Publishing digital content within a defined universe such as an organization in accordance with a digital rights management (DRM) system
US7827156B2 (en) * 2003-02-26 2010-11-02 Microsoft Corporation Issuing a digital rights management (DRM) license for content based on cross-forest directory information
US7917751B2 (en) * 2003-05-22 2011-03-29 International Business Machines Corporation Distributed filesystem network security extension
US7694330B2 (en) * 2003-05-23 2010-04-06 Industrial Technology Research Institute Personal authentication device and system and method thereof
US8645471B2 (en) 2003-07-21 2014-02-04 Synchronoss Technologies, Inc. Device message management system
US7434232B2 (en) * 2003-11-07 2008-10-07 Hewlett-Packard Development Company, L.P. System and method for writing to a drive when an application lacks administrator privileges
US9542076B1 (en) 2004-05-12 2017-01-10 Synchronoss Technologies, Inc. System for and method of updating a personal profile
US8984636B2 (en) 2005-07-29 2015-03-17 Bit9, Inc. Content extractor and analysis system
JP4630800B2 (ja) * 2005-11-04 2011-02-09 キヤノン株式会社 印刷管理システムおよび印刷管理方法とプログラム
KR100823631B1 (ko) * 2006-01-03 2008-04-21 노키아 코포레이션 키 저장 관리
US20070239861A1 (en) * 2006-04-05 2007-10-11 Dell Products L.P. System and method for automated operating system installation
JP4419102B2 (ja) * 2007-09-03 2010-02-24 富士ゼロックス株式会社 情報管理装置、情報管理システム及び情報管理プログラム
JP5479672B2 (ja) * 2007-09-27 2014-04-23 シスメックス株式会社 血液または尿の分析装置およびデータ処理装置
KR100930018B1 (ko) * 2007-12-07 2009-12-07 주식회사 마크애니 디지털 정보 보안 시스템, 커널 드라이버 장치 및 디지털정보 보안 방법
US8181111B1 (en) 2007-12-31 2012-05-15 Synchronoss Technologies, Inc. System and method for providing social context to digital activity
JP5281074B2 (ja) * 2008-02-25 2013-09-04 パナソニック株式会社 情報セキュリティ装置および情報セキュリティシステム
US8539229B2 (en) 2008-04-28 2013-09-17 Novell, Inc. Techniques for secure data management in a distributed environment
CN101588352B (zh) * 2008-05-22 2012-08-08 飞天诚信科技股份有限公司 一种确保操作环境安全的方法及系统
MX2009009050A (es) * 2009-08-24 2009-12-07 Pedro Pablo Garcia Perez Método para realizar una firma electrobiométrica complementada para identificación e interacción jurídica de personas.
US8255006B1 (en) 2009-11-10 2012-08-28 Fusionone, Inc. Event dependent notification system and method
CN101741848B (zh) * 2009-12-22 2012-10-24 北京九恒星科技股份有限公司 系统用户的数字证书绑定方法、系统及数字证书认证中心
CN101853358A (zh) * 2010-05-11 2010-10-06 南京赛孚科技有限公司 一种文件对象权限管理的实现方法
US8943428B2 (en) 2010-11-01 2015-01-27 Synchronoss Technologies, Inc. System for and method of field mapping
KR20120050742A (ko) * 2010-11-11 2012-05-21 삼성에스디에스 주식회사 커널 네이티브 에이피아이의 후킹 처리를 통한 디지털 저작권 관리 장치 및 방법
US8627104B2 (en) 2011-04-28 2014-01-07 Absio Corporation Secure data storage
CN102148687B (zh) * 2011-05-09 2014-02-05 北京数码大方科技股份有限公司 信息管理系统中的签名方法及装置
CN102271332B (zh) * 2011-07-18 2017-09-12 中兴通讯股份有限公司 终端信息保密方法及装置
CN102254124B (zh) * 2011-07-21 2017-10-13 慧盾信息安全科技(苏州)股份有限公司 一种移动终端信息安全防护系统和方法
KR101895453B1 (ko) 2011-11-09 2018-10-25 삼성전자주식회사 이기종 컴퓨팅 환경에서 보안 강화 방법 및 장치
KR102398014B1 (ko) * 2015-08-21 2022-05-16 주식회사 케이티 커널영역에서의 접근통제 효율화 방법,그 프로그램 및 시스템
CN105653958B (zh) * 2015-11-30 2018-09-18 中国航天科工集团第二研究院七〇六所 基于数据权限控制的安全态势可视化方法
CN105933315B (zh) * 2016-04-21 2019-08-30 浪潮集团有限公司 一种网络服务安全通信方法、装置和系统
US10049218B2 (en) 2016-12-07 2018-08-14 Google Llc Rollback resistant security

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5214702A (en) 1988-02-12 1993-05-25 Fischer Addison M Public key/signature cryptosystem with enhanced digital signature certification
US5005200A (en) * 1988-02-12 1991-04-02 Fischer Addison M Public key/signature cryptosystem with enhanced digital signature certification
US5144659A (en) * 1989-04-19 1992-09-01 Richard P. Jones Computer file protection system
US5029206A (en) * 1989-12-27 1991-07-02 Motorola, Inc. Uniform interface for cryptographic services
US5315657A (en) * 1990-09-28 1994-05-24 Digital Equipment Corporation Compound principals in access control lists
JP2949865B2 (ja) 1991-01-31 1999-09-20 富士通株式会社 電子ファイルキャビネットシステム
US5432939A (en) 1992-05-27 1995-07-11 International Business Machines Corp. Trusted personal computer system with management control over initial program loading
US5987123A (en) * 1996-07-03 1999-11-16 Sun Microsystems, Incorporated Secure file system
US5845068A (en) 1996-12-18 1998-12-01 Sun Microsystems, Inc. Multilevel security port methods, apparatuses, and computer program products
US6212635B1 (en) * 1997-07-18 2001-04-03 David C. Reardon Network security system allowing access and modification to a security subsystem after initial installation when a master token is in place
US6249866B1 (en) * 1997-09-16 2001-06-19 Microsoft Corporation Encrypting file system and method
KR19990030983A (ko) 1997-10-08 1999-05-06 전주범 티브이시스템의 화상정보메모방법
JPH11346210A (ja) * 1998-06-02 1999-12-14 Nippon Telegr & Teleph Corp <Ntt> 暗号化方法及び装置、復号化方法及び装置、暗号化プログラムを記録した記録媒体、復号化プログラムを記録した記録媒体、電子署名方法、並びに電子署名検証方法
US6484258B1 (en) 1998-08-12 2002-11-19 Kyber Pass Corporation Access control using attributes contained within public key certificates
US6615349B1 (en) * 1999-02-23 2003-09-02 Parsec Sight/Sound, Inc. System and method for manipulating a computer file and/or program
KR100329838B1 (ko) 1999-04-24 2002-03-25 김현수 생활용수 재활용 장치
SE514105C2 (sv) * 1999-05-07 2001-01-08 Ericsson Telefon Ab L M Säker distribution och skydd av krypteringsnyckelinformation
US6950932B1 (en) * 1999-05-07 2005-09-27 Nortel Networks Limited Security association mediator for java-enabled devices
US6754829B1 (en) * 1999-12-14 2004-06-22 Intel Corporation Certificate-based authentication system for heterogeneous environments

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016182334A1 (ko) * 2015-05-12 2016-11-17 주식회사 수산아이앤티 사설 인증서의 설치를 유도하는 방법
US10333912B2 (en) 2015-05-12 2019-06-25 Soosan Int Co., Ltd. Method for inducing installation of private certificate
KR101679665B1 (ko) 2015-11-03 2016-11-25 이호 전력선 통신을 이용한 전자 장치의 보안 방법, 이를 수행하기 위한 기록 매체 및 장치

Also Published As

Publication number Publication date
KR20020060075A (ko) 2002-07-16
KR20010096814A (ko) 2001-11-08
WO2001080482A1 (en) 2001-10-25
US7328341B1 (en) 2008-02-05
JP4077200B2 (ja) 2008-04-16
JP2003532956A (ja) 2003-11-05
CN1231014C (zh) 2005-12-07
AU754810B2 (en) 2002-11-28
AU6478500A (en) 2001-10-30
CN1354936A (zh) 2002-06-19

Similar Documents

Publication Publication Date Title
KR100437225B1 (ko) 전자서명 인증기반 파일시스템 보안 장치 및 그 방법
EP3970040B1 (en) Mitigation of ransomware in integrated, isolated applications
JP2686218B2 (ja) コンピュータシステム上の別名の検出方法、分散型コンピュータシステム及びその作動方法、及び別名の検出を実行する分散型コンピュータシステム
US8555075B2 (en) Methods and system for storing and retrieving identity mapping information
US7526654B2 (en) Method and system for detecting a secure state of a computer system
CN110149328B (zh) 接口鉴权方法、装置、设备及计算机可读存储介质
US8631486B1 (en) Adaptive identity classification
CN110650139B (zh) 云平台的资源访问控制方法以及系统
US20080263630A1 (en) Confidential File Protecting Method and Confidential File Protecting Device for Security Measure Application
US20010048359A1 (en) Restriction method for utilization of computer file with use of biometrical information, method of logging in computer system and recording medium
CN117216740A (zh) 一种基于区块链技术的数字身份认证方法
KR100386852B1 (ko) 전자서명 인증 기반 다단계 보안용 보안커널 시스템
CN112434270A (zh) 一种增强计算机系统数据安全的方法及系统
KR100545676B1 (ko) 사용자 단말기의 상태 정보를 이용한 인증 방법 및 시스템
JP2001067270A (ja) コンテンツ共有管理システムおよびコンテンツ保護方法およびこの方法を記録した記録媒体
KR100386853B1 (ko) 전자서명 인증을 이용한 역할기반 보안커널 시스템
JP4765262B2 (ja) 電子データ保管装置、プログラム
JP4710232B2 (ja) 電子データの証拠性を保証しながら同データを保管する電子データ保管システム
CN109284615A (zh) 移动设备数字资源安全管理方法
CN117914601B (zh) 档案机器人的多级安全认证及访问控制系统
CN117521052B (zh) 一种服务器隐私的保护认证方法、装置、计算机设备及介质
CN101778108A (zh) 一种服务器主页防篡改的方法及装置
JP2024105142A (ja) 情報処理プログラム、情報処理装置及び証明書発行システム
CN118298530A (zh) 门锁ic卡的授权方法、装置、计算机设备及存储介质
KR101569124B1 (ko) 인증 시스템 및 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130524

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20140523

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20150625

Year of fee payment: 12

FPAY Annual fee payment

Payment date: 20160516

Year of fee payment: 13

FPAY Annual fee payment

Payment date: 20170704

Year of fee payment: 14

FPAY Annual fee payment

Payment date: 20180612

Year of fee payment: 15

FPAY Annual fee payment

Payment date: 20190521

Year of fee payment: 16