KR100696322B1 - 하드웨어 매체 접근제어 시스템 및 이를 이용한 하드웨어매체 접근제어 방법 - Google Patents

하드웨어 매체 접근제어 시스템 및 이를 이용한 하드웨어매체 접근제어 방법 Download PDF

Info

Publication number
KR100696322B1
KR100696322B1 KR1020050101687A KR20050101687A KR100696322B1 KR 100696322 B1 KR100696322 B1 KR 100696322B1 KR 1020050101687 A KR1020050101687 A KR 1020050101687A KR 20050101687 A KR20050101687 A KR 20050101687A KR 100696322 B1 KR100696322 B1 KR 100696322B1
Authority
KR
South Korea
Prior art keywords
access control
access
hardware
hardware medium
medium
Prior art date
Application number
KR1020050101687A
Other languages
English (en)
Inventor
박동훈
Original Assignee
닉스테크 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 닉스테크 주식회사 filed Critical 닉스테크 주식회사
Priority to KR1020050101687A priority Critical patent/KR100696322B1/ko
Application granted granted Critical
Publication of KR100696322B1 publication Critical patent/KR100696322B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F13/10Program control for peripheral devices
    • G06F13/102Program control for peripheral devices where the programme performs an interfacing function, e.g. device driver
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F13/14Handling requests for interconnection or transfer
    • G06F13/20Handling requests for interconnection or transfer for access to input/output bus
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 하드웨어 매체를 통한 정보유출 방지를 위한 접근제어 시스템 및 방법에 관한 것으로, 특히 하드웨어 매체마다 사용자의 접근제어 권한을 설정하고, 설정된 접근제어 권한에 따라 하드웨어 매체에 대한 접근을 제어하는 하드웨어 매체 접근제어 시스템 및 하드웨어 매체 접근제어 방법에 관한 것이다. 본 발명의 일 실시예에 따른 하드웨어 매체 접근제어 시스템은, 하나 이상의 하드웨어 매체들 각각에 대한 사용자의 접근제어 권한을 저장하는 매체 접근제어 테이블, 소정의 하드웨어 매체에 대한 접근을 요청하는 시스템 콜에 대응하여, 상기 소정의 하드웨어 매체에 상응하는 파일 시스템 볼륨에 대한 접근 요청을 하는 입/출력 매니저, 상기 파일 시스템 볼륨에 대한 접근요청을 후킹(hooking)하여 상기 매체 접근제어 테이블에서 상기 파일 시스템 볼륨에 대한 접근제어 권한을 확인하고, 권한 있는 것으로 판단되는 경우에 상기 파일 시스템 볼륨에 대한 접근 요청을 계속 진행시키고, 권한 없는 것으로 판단되는 경우에 상기 파일 시스템 볼륨에 대한 접근 요청을 중단하고 상기 입/출력 매니저로 에러 리턴하는 접근제어 필터 드라이버 및 상기 계속 진행된 파일 시스템 볼륨에 대한 접근요청을 수신하여 상기 파일 시스템 볼륨에 상응하는 하드웨어 매체에 접근하여 상기 접근 요청에 상응하는 동작을 수행하는 매체 접근 수행부를 포함하는 것을 특징으로 한다. 따라서, 하드웨어 매체 단위로 설정된 사용자의 접근제어 권한에 따라 해당 하드웨어 매체에 대한 사용자의 접근을 제어할 수 있다.
파일 시스템 볼륨, 디바이스 볼륨, 매체 접근제어 정책, 매체 접근제어 드라이버

Description

하드웨어 매체 접근제어 시스템 및 이를 이용한 하드웨어 매체 접근제어 방법 {HARDWARE MEDIUM ACCESS CONTROL SYSTEM AND METHOD USING THE SAME}
도 1은 종래 기술에 따른 하드웨어 매체 접근제어 시스템의 블록도이다.
도 2은 본 발명의 일 실시예에 따른 하드웨어 매체 접근제어 시스템의 블록도이다.
도 3은 본 발명의 일 실시예에 따른 하드웨어 매체 접근제어 방법을 나타낸 동작 흐름도이다.
도 4는 본 발명에 따른 하드웨어 매체 접근제어 방법을 수행하는 데 채용될 수 있는 범용 컴퓨터 장치의 내부 블록도이다.
<도면의 주요 부분에 대한 부호의 설명>
210: 서브시스템/DLL 220: 시스템 서비스부
230: 입/출력 매니저 240: 접근제어 필터 드라이버
250: 매체 접근제어 테이블 260: 파일 시스템 드라이버
270: 볼륨 매니저 디스크 드라이버 280: 디스크 드라이버
본 발명은 하드웨어 매체를 통한 정보유출 방지를 위한 접근제어 시스템 및 방법에 관한 것으로, 특히 하드웨어 매체마다 사용자의 접근제어 권한을 설정하고, 설정된 접근제어 권한에 따라 하드웨어 매체에 대한 접근을 제어하는 하드웨어 매체 접근제어 시스템 및 하드웨어 매체 접근제어 방법에 관한 것이다.
윈도우, 유닉스 또는 리눅스와 같은 운영체제 환경에서 파일을 읽거나 쓸 때 파일 객체를 인식하기 위해 A나 B(FDD인 경우), C나 D(HDD)인 경우, F나 G(USB나 이동식 디스크인 경우) 등과 같은 파일 시스템 볼륨을 사용한다. 그러나, 운영체제 커널 내부에서는 파일 객체를 인식하기 위해 "/device/fdd0", "/device/hdd1" 등과 같이 디바이스 볼륨을 이용한다. 파일 시스템 볼륨과 디바이스 볼륨 사이의 맵핑(mapping)은 운영체제 커널 내부의 입/출력 매니저를 통하여 수행된다.
도 1은 종래 기술에 따른 하드웨어 매체 접근제어 시스템의 블록도이다.
도 1을 참조하면, 종래 기술에 따른 하드웨어 매체 접근제어 시스템은 유저 모드(User Mode) 및 커널 모드(Kernel Mode)로 구분된다.
이와 같이, 유저 모드와 커널 모드가 구분되는 것은 사용자의 응용프로그램이 운영체제의 중요한 데이터를 액세스하고 수정하는 것을 방지하기 위한 것이다.
서브시스템이나 DLL(110)이 파일 쓰기 등 소정의 하드웨어 매체에 대한 접근요청을 하면, 커널 모드의 시스템 서비스부(120)에서 파일 쓰기 등의 요청에 대해 필요한 시스템 서비스를 수행한다.
입/출력 매니저(130)는 소정의 하드웨어 매체에 대한 접근을 요청하는 시스템 콜에 대응하여, 상기 소정의 하드웨어 매체에 상응하는 파일 시스템 볼륨에 대 한 접근 요청을 한다.
파일 시스템 드라이버(140)는 파일 시스템 볼륨에 대한 접근 요청을 수신하여 상기 파일 시스템 볼륨에 상응하는 디바이스 볼륨을 입/출력 매니저(120)로 요청한다.
입/출력 매니저(120)는 파일 시스템 볼륨에 상응하는 디바이스 볼륨을 이용하여 볼륨 매니저 디스크 드라이버(150)로 하드웨어 매체 접근요청을 한다.
볼륨 매니저 디스크 드라이버(150)는 수신된 디바이스 볼륨에 상응하는 하드웨어의 물리적 위치를 입/출력 매니저(120)에게 요청한다.
입/출력 매니저(120)는 디바이스 볼륨에 상응하는 물리적 위치를 이용하여 디스크 드라이버(160)로 하드웨어 매체 접근요청을 한다.
디스크 드라이버(160)는 요청된 하드웨어에 접근하여 접근 요청에 상응하는 동작을 수행한다.
한편, 하드디스크나, 플래시 메모리 등 저장매체가 고용량화, 소형화 되어 감에 따라 이러한 하드웨어 매체를 통한 정보 유출은 매우 심각한 문제가 되어 왔다. 즉, 이동식 하드디스크나 USB 메모리 등은 작고 가벼워서 휴대하기 간편하며, 용량 또한 기가바이트 단위 이상의 고용량이어서 누구든지 마음만 먹으면 연구소나 기업의 PC로부터 원하는 정보를 쉽게 저장하여 외부로 유출할 수 있다. 따라서, 기업이나 연구소는 이러한 내부기밀이나 기술자료 등의 외부 유출을 방지하게 위해 출입하는 모든 사람들을 대상으로 하드웨어 매체를 소지하였는지 여부를 체크하고, 하드웨어 매체 자체의 내부 반입을 금지하는 등의 방법을 쓰고 있다.
그러나, 이러한 원시적인 통제는 모든 출입자들에 대하여 저장매체 구비여부를 체크하여야 하므로 번거롭고, 불필요한 장비 및 인원을 필요로 하며 하드웨어 매체를 사용여야 하는 일부 출입자들은 별도로 하드웨어 매체 반입신청서 등을 작성하여야 하므로 매우 불편하였다.
한편, 종래의 운영체제에서 제공하는 접근제어 시스템은 파일이나 디렉토리 단위로 접근 권한을 설정하고, 접근 권한에 따른 접근제어가 가능하도록 하였다. 따라서, 특정 파일이나 특정 디렉토리에 대해서 일부 사용자들에만 접근을 허용하고, 다른 사용자들의 접근은 불허할 수 있다.
그러나, 파일이나 디렉토리에 대한 접근제어만으로는 하드웨어 매체를 통한 정보 유출을 효과적으로 제어할 수 없었다.
따라서, 하드웨어 매체들 각각에 대하여 접근제어 권한을 설정하고, 접근제어 권한에 따라 해당하는 하드웨어 매체에 대한 접근제어를 수행하는 하드웨어 매체 접근제어 시스템 및 방법의 필요성이 절실하게 대두된다.
본 발명은 상술한 바와 같은 종래기술의 문제점을 해결하기 위해 안출된 것으로서, 하드디스크에 대한 쓰기를 불허하거나, USB 메모리에 대한 읽기와 쓰기를 불허하는 등 하드웨어 매체마다 그 접근제어 권한을 설정할 수 있어 하드웨어 매체 단위의 접근제어가 가능하도록 하는 것을 목적으로 한다.
또한, 본 발명은 외부에서 저장매체를 반입하여 내부 시스템에 연결하더라도 권한이 없으면 해당 저장매체에 대한 접근이 불가능하도록 하여 효과적으로 내부 정보의 외부 유출을 방지하는 것을 목적으로 한다.
또한, 본 발명은 디바이스 볼륨을 이용하여 하드웨어 매체의 종류를 식별함으로써 복수의 컴퓨터에 대해 한꺼번에 특정 종류의 하드웨어 매체에 대한 접근제어 권한을 설정할 수 있도록 하는 것을 목적으로 한다.
또한, 본 발명은 새로운 하드웨어 매체가 설치되었을 경우에 사용자에게 해당 하드웨어 매체에 대한 접근제어 권한 설정을 요청하여 신속하게 새로운 하드웨어 매체의 접근제어 권한을 설정하도록 하는 것을 목적으로 한다.
상기의 목적을 달성하고 종래기술의 문제점을 해결하기 위하여, 본 발명의 일 실시예에 따른 하드웨어 매체 접근제어 시스템은, 하나 이상의 하드웨어 매체들 각각에 대한 사용자의 접근제어 권한을 저장하는 매체 접근제어 테이블, 소정의 하드웨어 매체에 대한 접근을 요청하는 시스템 콜에 대응하여, 상기 소정의 하드웨어 매체에 상응하는 파일 시스템 볼륨에 대한 접근 요청을 하는 입/출력 매니저, 상기 파일 시스템 볼륨에 대한 접근요청을 후킹(hooking)하여 상기 매체 접근제어 테이블에서 상기 파일 시스템 볼륨에 대한 접근제어 권한을 확인하고, 권한 있는 것으로 판단되는 경우에 상기 파일 시스템 볼륨에 대한 접근 요청을 계속 진행시키고, 권한 없는 것으로 판단되는 경우에 상기 파일 시스템 볼륨에 대한 접근 요청을 중단하고 상기 입/출력 매니저로 에러 리턴하는 접근제어 필터 드라이버 및 상기 계속 진행된 파일 시스템 볼륨에 대한 접근요청을 수신하여 상기 파일 시스템 볼륨에 상응하는 하드웨어 매체에 접근하여 상기 접근 요청에 상응하는 동작을 수행하는 매체 접근 수행부를 포함하는 것을 특징으로 한다.
이 때, 매체 접근 수행부는 상기 접근제어 필터 드라이버로부터 상기 파일 시스템 볼륨에 대한 접근 요청을 수신하여 상기 입/출력 매니저에게 상기 파일 시스템 볼륨에 상응하는 디바이스 볼륨을 요청하는 파일 시스템 드라이버, 상기 입/출력 매니저로부터 상기 디바이스 볼륨에 대한 접근 요청을 수신하여 상기 디바이스 볼륨에 상응하는 물리적 위치를 상기 입/출력 매니저에 요청하는 볼륨 매니저 디스크 드라이버 및 상기 입/출력 매니저로부터 상기 물리적 위치에 대한 접근 요청을 수신하여 상기 물리적 위치에 상응하는 하드웨어 매체에 대하여 상기 접근 요청에 상응하는 동작을 수행하도록 하는 디스크 드라이버를 포함할 수 있다.
이 때, 하드웨어 매체는 플로피 디스크, 하드디스크, 플래시 메모리, CD, DVD 또는 USB 메모리일 수 있다.
또한, 본 발명의 다른 실시예에 따른 하드웨어 매체 접근제어 방법은 하나 이상의 하드웨어 매체들 각각에 대하여 사용자의 접근제어 권한을 설정하여 매체 접근제어 테이블에 저장하는 단계, 소정의 하드웨어 매체에 대한 접근을 요청하는 시스템 콜을 후킹(hooking)하여 상기 소정의 하드웨어 매체에 대한 접근제어 권한을 상기 매체 접근제어 테이블에서 확인하는 단계 및 상기 시스템 콜이 권한 있는 것으로 판단되는 경우에 상기 소정의 하드웨어 매체에 접근하여 상기 시스템 콜에 상응하는 동작을 수행하고, 상기 시스템 콜이 권한 없는 것으로 판단되는 경우에 에러 리턴하는 단계를 포함하는 것을 특징으로 한다.
이 때, 매체 접근제어 테이블은 하드웨어 매체마다 파일 시스템 볼륨, 디바 이스 볼륨 및 해당 매체에 대한 접근제어 권한을 저장할 수 있다. 이 때, 하드웨어 매체 접근제어 방법은 상기 매체 접근제어 테이블에 저장된 디바이스 볼륨을 이용하여 하드웨어 매체의 종류를 식별할 수 있다.
이 때, 하드웨어 매체 접근제어 방법은 새로운 하드웨어 매체 장착시에 관리자에게 상기 매체 접근제어 테이블에 상기 새로운 하드웨어 매체의 접근제어 권한을 설정하도록 요청하고, 상기 새로운 하드웨어 매체의 접근제어 권한이 설정되기 전에는 상기 새로운 하드웨어 매체에 대한 접근을 불허할 수 있다.
이하, 본 발명에 따른 바람직한 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.
도 2는 본 발명의 일 실시예에 따른 하드웨어 매체 접근제어 시스템의 블록도이다.
도 2를 참조하면, 본 발명의 일 실시예에 따른 하드웨어 매체 접근제어 시스템은 서브시스템/DLL(210), 시스템 서비스부(220), 입/출력 매니저(230), 접근제어 필터 드라이버(240), 매체 접근제어 테이블(250), 파일 시스템 드라이버(260), 볼륨 매니저 디스크 드라이버(270) 및 디스크 드라이버(280)를 포함한다. 이 때, 서브시스템/DLL(210)은 유저 모드(User Mode)에 해당하고, 시스템 서비스부(220), 입/출력 매니저(230), 접근제어 필터 드라이버(240), 매체 접근제어 테이블(250), 파일 시스템 드라이버(260), 볼륨 매니저 디스크 드라이버(270) 및 디스크 드라이버(280)는 커널 모드(Kernel Mode)에 해당한다. 이와 같이, 유저 모드(User Mode)와 커널 모드(Kernel Mode)가 구분되는 것은 사용자의 응용프로그램이 운영체제의 중 요한 데이터를 액세스하고 수정하는 것을 방지하기 위한 것이다.
매체 접근제어 테이블(250)은 하나 이상의 하드웨어 매체들 각각에 대한 사용자의 접근제어 권한을 저장한다.
이 때, 하드웨어 매체는 하드디스크, 플로피디스크, USB 메모리, 플래시메모리, CD(Compact Disk) 또는 DVD(Digital Versatile Disk)등일 수 있다.
예를 들어, 매체 접근제어 테이블(250)은 "hong"이라는 사용자에 대해서 제1 하드디스크인 C드라이브에 대해서는 읽기만을 허용하고, 제2 하드디스크인 D드라이브에 대해서는 읽기 및 쓰기를 모두 허용하지 않도록 설정될 수 있다. 이 때, 매체 접근제어 테이블(250)은 "kim"이라는 사용자에 대해서는 모든 하드웨어 매체에 자유롭게 접근할 수 있도록 설정할 수 있다.
매체 접근제어 테이블(250)은 하드웨어 매체마다 파일 시스템 볼륨, 디바이스 볼륨 및 해당 매체에 대한 접근제어 권한을 저장할 수 있다. 이 때, 파일 시스템 볼륨과 디바이스 볼륨의 맵핑(mapping)은 입/출력 매니저(230)가 수행할 수 있고, 도 2에 도시된 하드웨어 매체 접근제어 시스템의 초기 로드시에 접근 제어 필터 드라이버(240)가 입/출력 매니저(230)로부터 파일 시스템 볼륨과 디바이스 볼륨 사이의 맵핑 관계 정보를 획득하여 매체 접근제어 테이블(250)에 저장되도록 할 수 있다.
예를 들어, 컴퓨터에 C드라이브(하드디스크1), D드라이브(하드디스크2) 및 E드라이브(이동식 디스크)가 있는 경우에, 이들 각각에 해당하는 디바이스 볼륨은 각각 "device/hdd0", "device/hdd/1" 및 "device/usb/0"일 수 있다(이 경우 파일 시스템 볼륨은 각각 C, D 및 E이다). 이러한 경우의 매체 접근제어 테이블(250)의 예가 하기 표 1에 도시되어 있다.
파일 시스템 볼륨 디바이스 볼륨 사용자 권한
hong kim
C device/hdd0 r rw
D device/hdd1 - rw
E device/usb0 - r
상기 표 1에서 "r"은 읽기가 가능함을 나타내고, "w"는 쓰기가 가능함을 나타낸다. 또한, "-"는 해당 매체에 대한 접근이 불가능함을 나타낸다.
따라서, 표 1은 C드라이브에 대해서 사용자 "hong"은 읽기만이 가능하고, "kim"은 읽기 및 쓰기가 가능하고, D드라이브에 대해서 사용자 "hong"은 접근이 불가능하고, "kim"은 읽기 및 쓰기가 가능하며, E드라이브에 대해서 사용자 "hong"은 접근이 불가능하고 "kim"은 읽기만이 가능하도록 설정되어 있는 것이다.
이와 같이, 매체마다 사용자의 접근 권한을 설정하고, 접근 권한에 따라 해당 매체에 대한 사용자의 접근을 제어하도록 하여 하드웨어 매체마다 사용자의 접근 제어를 효율적으로 수행할 수 있다.
또한, 매체 접근제어 테이블(250)에 파일 시스템 볼륨뿐만 아니라, 디바이스 볼륨을 저장하도록 하여 사용자의 접근제어 권한 설정시에 해당 하드웨어 매체가 어떤 종류의 것인지를 알 수 있다. 즉, 상기 표 1에서 디바이스 볼륨에 "hdd"가 들어가 있으면 해당 하드웨어 매체가 하드디스크인 것을 알 수 있고, 디바이스 볼륨에 "usb"가 들어가 있으면 해당 하드웨어 매체가 USB 메모리인 것을 알 수 있다.
따라서, 복수 개의 컴퓨터에 대해서 "usb"를 포함하는 모든 디바이스 볼륨에 대하여 한꺼번에 사용자의 접근제어 권한을 설정하는 등 하드웨어 매체의 종류별로 복수 개의 컴퓨터에 대한 접근제어 권한을 설정할 수 있다.
서브시스템/DLL(210)에서 소정의 하드웨어 매체에 대한 접근요청을 하면, 커널 모드의 시스템 서비스부(220)에서 하드웨어 매체에 대한 접근 요청에 대해 필요한 시스템 서비스를 수행한다. 도 2에는 하드웨어 매체에 대한 접근요청의 예로 파일 쓰기 요청에 대한 동작이 도시되어 있다.
입/출력 매니저(230)는 소정의 하드웨어 매체에 대한 접근을 요청하는 시스템 콜(System Call)에 대응하여, 상기 소정의 하드웨어 매체에 상응하는 파일 시스템 볼륨에 대한 접근 요청을 한다.
접근제어 필터 드라이버(240)는 상기 파일 시스템 볼륨에 대한 접근요청을 후킹(hooking)하여 매체 접근제어 테이블(250)에서 상기 파일 시스템 볼륨에 대한 접근제어 권한을 확인하고, 권한 있는 것으로 판단되는 경우에 상기 파일 시스템 볼륨에 대한 접근 요청을 계속 진행시키고, 권한 없는 것으로 판단되는 경우에 상기 파일 시스템 볼륨에 대한 접근 요청을 중단하고 입/출력 매니저(230)로 에러 리턴한다.
이 때, 후킹(hooking)이란 메시지나 함수 호출을 가로채서 살펴보고 조작하는 것을 나타낸다. 즉, 접근제어 필터 드라이버(240)는 입/출력 매니저(230)에서 파일 시스템 볼륨에 대한 접근요청을 하면 파일 시스템 드라이버에(260)에서 이를 처리하기 전에 이 파일 시스템 볼륨에 대한 접근요청을 가로채서 원하는 동작을 수행한 이후에 파일 시스템 드라이버(260)로 상기 파일 시스템 볼륨에 대한 접근요청을 넘기는 것이다.
이와 같이, 파일 시스템 드라이버(260) 이전단계에서 파일 시스템에 대한 접근요청을 가로채서 해당 하드웨어 매체에 대한 접근제어 권한이 있는지를 확인함으로써 접근제어 권한이 없는 경우에 불필요한 동작을 수행하지 않고 바로 에러를 리턴할 수 있다.
파일 시스템 드라이버(260)는 접근제어 필터 드라이버(240)로부터 상기 파일 시스템 볼륨에 대한 접근 요청을 수신하여 입/출력 매니저(230)에게 상기 파일시스템 볼륨에 상응하는 디바이스 볼륨을 요청한다.
볼륨 매니저 디스크 드라이버(270)는 상기 디바이스 볼륨에 대한 접근요청을 수신하여 상기 디바이스 볼륨에 상응하는 물리적 위치를 입/출력 매니저(230)에게 요청한다.
디스크 드라이버(280)는 입/출력 매니저(230)로부터 상기 물리적 위치에 대한 접근 요청을 수신하여 상기 물리적 위치에 상응하는 하드웨어 매체에 대하여 상기 접근 요청에 상응하는 동작을 수행하도록 한다.
이 때, 파일 시스템 드라이버(260), 볼륨 매니저 디스크 드라이버(270) 및 디스크 드라이버(280)와 파일시스템 볼륨을 디바이스 볼륨으로 전환하고, 디바이스 볼륨을 하드웨어 물리적 위치로 전환하는 입/출력 매니저(230)의 일부 구성을 매체 접근 수행부로 볼 수 있다. 즉, 매체 접근 수행부는 파일시스템 볼륨에 대한 접근 요청을 수신하여 상기 파일시스템 볼륨에 상응하는 하드웨어 매체에 접근하여 상기 접근 요청에 상응하는 동작(도 2에 도시된 예에서는 파일 쓰기)을 수행한다.
도 2에 도시된 하드웨어 매체 접근제어 시스템은 새로운 하드웨어 매체 장착시에 관리자에게 매체 접근제어 테이블(250)에 새로운 하드웨어 매체의 접근제어 권한을 설정하도록 요청할 수 있다. 이 때, 새로운 하드웨어 매체의 접근제어 권한이 설정되기 전에는 새로운 하드웨어 매체에 대한 접근을 불허할 수 있다.
도 3은 본 발명의 일 실시예에 따른 하드웨어 매체 접근제어 방법을 나타낸 동작 흐름도이다.
도 3을 참조하면, 본 발명의 일 실시예에 따른 하드웨어 매체 접근제어 방법은 하나 이상의 하드웨어 매체들 각각에 대하여 사용자의 접근제어 권한을 설정하여 매체 접근제어 테이블에 저장한다(S310).
또한, 하드웨어 매체 접근제어 방법은 소정의 하드웨어 매체에 대한 접근을 요청하는 시스템 콜을 후킹(hooking)하여 상기 소정의 하드웨어 매체에 상응하는 파일시스템 볼륨에 대한 접근제어 권한을 상기 매체 접근제어 테이블에서 확인한다(S320).
또한, 하드웨어 매체 접근제어 방법은 상기 시스템 콜이 권한 있는 것인지 여부를 판단한다(S330).
판단 결과, 상기 시스템 콜이 권한 있는 것으로 판단되는 경우에 하드웨어 매체 접근제어 방법은 상기 파일시스템 볼륨에 상응하는 하드웨어 매체에 접근하여 상기 시스템 콜에 상응하는 동작을 수행한다(S340).
이 때, 시스템 콜에 상응하는 동작은 파일 읽기 또는 파일 쓰기일 수 있다.
판단 결과, 상기 시스템 콜이 권한 없는 것으로 판단되는 경우에 하드웨어 매체 접근제어 방법은 에러를 리턴한다(S350).
도 3를 통하여 설명한 방법과 관련하여 설명하지 아니한 내용은 앞서 하드웨어 매체 접근제어 시스템에 관한 실시예들에서 그대로 적용 가능하므로 이하 생략한다.
본 발명에 따른 하드웨어 매체 접근제어 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 상기 매체는 프로그램 명령, 데이터 구조 등을 지정하는 신호를 전송하는 반송파를 포함하는 광 또는 금속선, 도파관 등의 전송 매체일 수도 있다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
도 4는 본 발명에 따른 하드웨어 매체 접근제어 방법을 수행하는 데 채용될 수 있는 범용 컴퓨터 장치의 내부 블록도이다.
컴퓨터 장치(400)는 램(RAM: Random Access Memory)(420)과 롬(ROM: Read Only Memory)(430)을 포함하는 주기억장치와 연결되는 하나 이상의 프로세서(410)를 포함한다. 프로세서(410)는 중앙처리장치(CPU)로 불리기도 한다. 본 기술분야에서 널리 알려져 있는 바와 같이, 롬(430)은 데이터(data)와 명령(instruction)을 단방향성으로 CPU에 전송하는 역할을 하며, 램(420)은 통상적으로 데이터와 명령을 양방향성으로 전송하는 데 사용된다. 램(420) 및 롬(430)은 컴퓨터 판독 가능 매체의 어떠한 적절한 형태를 포함할 수 있다. 대용량 기억장치(Mass Storage)(440)는 양방향성으로 프로세서(410)와 연결되어 추가적인 데이터 저장 능력을 제공하며, 상기된 컴퓨터 판독 가능 기록 매체 중 어떠한 것일 수 있다. 대용량 기억장치(440)는 프로그램, 데이터 등을 저장하는데 사용되며, 통상적으로 주기억장치보다 속도가 느린 하드 디스크와 같은 보조기억장치이다. CD 롬(460)과 같은 특정 대용량 기억장치가 사용될 수도 있다. 프로세서(410)는 비디오 모니터, 트랙볼, 마우스, 키보드, 마이크로폰, 터치스크린 형 디스플레이, 카드 판독기, 자기 또는 종이 테이프 판독기, 음성 또는 필기 인식기, 조이스틱, 또는 기타 공지된 컴퓨터 입출력장치와 같은 하나 이상의 입출력 인터페이스(450)와 연결된다. 마지막으로, 프로세서(410)는 네트워크 인터페이스(470)를 통하여 유선 또는 무선 통신 네트워크에 연결될 수 있다. 이러한 네트워크 연결을 통하여 상기된 방법의 절차를 수행할 수 있다. 상기된 장치 및 도구는 컴퓨터 하드웨어 및 소프트웨어 기술 분야의 당업자에게 잘 알려져 있다. 한편, 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있다.
이상과 같이 본 발명은 비록 한정된 실시예와 도면에 의해 설명되었으나, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다.
그러므로, 본 발명의 범위는 설명된 실시예에 국한되어 정해져서는 아니 되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.
본 발명의 하드웨어 매체 접근제어 시스템 및 하드웨어 매체 접근제어 방법은 하드디스크에 대한 쓰기를 불허하거나, USB 메모리에 대한 읽기와 쓰기를 불허하는 등 하드웨어 매체마다 그 접근제어 권한을 설정할 수 있어 하드웨어 매체 단위의 접근제어가 가능하다.
또한, 본 발명은 외부에서 저장매체를 반입하여 내부 시스템에 연결하더라도 권한이 없으면 해당 저장매체에 대한 접근이 불가능하도록 하여 효과적으로 내부 정보의 외부 유출을 방지할 수 있다.
또한, 본 발명은 디바이스 볼륨을 이용하여 하드웨어 매체의 종류를 식별함으로써 복수의 컴퓨터에 대해 한꺼번에 특정 종류의 하드웨어 매체에 대한 접근제어 권한을 설정할 수 있다.
또한, 본 발명은 새로운 하드웨어 매체가 설치되었을 경우에 사용자에게 해당 하드웨어 매체에 대한 접근제어 권한 설정을 요청하여 신속하게 새로운 하드웨어 매체의 접근제어 권한을 설정하도록 할 수 있다.

Claims (12)

  1. 삭제
  2. 삭제
  3. 하나 이상의 하드웨어 매체들 각각에 대하여 파일 시스템 볼륨, 디바이스 볼륨 및 해당 매체에 대한 접근제어 권한을 저장하는 매체 접근제어 테이블;
    소정의 하드웨어 매체에 대한 접근을 요청하는 시스템 콜에 대응하여, 상기 소정의 하드웨어 매체에 상응하는 파일 시스템 볼륨에 대한 접근 요청을 하는 입/출력 매니저;
    상기 접근 요청된 파일 시스템 볼륨에 상응하는 디바이스 볼륨을 요청하기 이전에 상기 접근요청을 후킹(hooking)하여 상기 매체 접근제어 테이블에서 상기 파일 시스템 볼륨에 대한 접근제어 권한을 확인하고, 권한 있는 것으로 판단되는 경우에 상기 파일 시스템 볼륨에 대한 접근 요청을 계속 진행시키고, 권한 없는 것으로 판단되는 경우에 상기 파일 시스템 볼륨에 대한 접근 요청을 중단하고 상기 입/출력 매니저로 에러 리턴하는 접근제어 필터 드라이버;
    상기 접근제어 필터 드라이버로부터 상기 파일 시스템 볼륨에 대한 접근 요청을 수신하여 상기 입/출력 매니저에게 상기 파일 시스템 볼륨에 상응하는 디바이스 볼륨을 요청하는 파일 시스템 드라이버;
    상기 입/출력 매니저로부터 상기 디바이스 볼륨에 대한 접근 요청을 수신하여 디바이스 볼륨에 상응하는 물리적 위치를 상기 입/출력 매니저에 요청하는 볼륨 매니저 디스크 드라이버; 및
    상기 입/출력 매니저로부터 상기 물리적 위치에 대한 접근 요청을 수신하여 상기 물리적 위치에 상응하는 하드웨어 매체에 대하여 상기 접근 요청에 상응하는 동작을 수행하도록 하는 디스크 드라이버
    를 포함하고,
    상기 매체 접근제어 테이블에 저장된 디바이스 볼륨을 이용하여 하드웨어 매체의 종류를 식별하고, 새로운 하드웨어 매체 장착 시에 관리자에게 상기 매체 접근제어 테이블에 상기 새로운 하드웨어 매체의 접근제어 권한을 설정하도록 요청하고, 상기 새로운 하드웨어 매체의 접근제어 권한이 설정되기 전에는 상기 새로운 하드웨어 매체에 대한 접근을 불허하는 것을 특징으로 하는 하드웨어 매체 접근제어 시스템.
  4. 제3항에 있어서,
    상기 하드웨어 매체 접근제어 시스템은 한꺼번에 복수의 컴퓨터들에 대한 소정 종류의 하드웨어 매체의 접근제어 권한을 설정하는 것을 특징으로 하는 하드웨어 매체 접근제어 시스템.
  5. 삭제
  6. 삭제
  7. 제3항에 있어서,
    상기 하드웨어 매체는 플로피 디스크, 하드디스크, 플래시 메모리, CD, DVD 및 USB 메모리 중 하나 이상인 것을 특징으로 하는 하드웨어 매체 접근제어 시스템.
  8. 하나 이상의 하드웨어 매체들 각각에 대하여 파일 시스템 볼륨, 디바이스 볼륨 및 해당 매체에 대한 접근제어 권한을 매체 접근제어 테이블에 저장하는 단계;
    소정의 하드웨어 매체에 대한 접근을 요청하는 시스템 콜에 대응하여, 상기 소정의 하드웨어 매체에 상응하는 파일 시스템 볼륨에 대한 접근을 요청하는 단계;
    상기 접근 요청된 파일 시스템 볼륨에 상응하는 디바이스 볼륨을 요청하기 이전에 상기 시스템 콜을 후킹(hooking)하고, 상기 소정의 하드웨어 매체에 대한 접근제어 권한을 상기 매체 접근제어 테이블에서 확인하는 단계;
    상기 시스템 콜이 권한이 있는 것으로 판단되는 경우에 상기 파일 시스템 볼륨에 상응하는 디바이스 볼륨 및 하드웨어 매체의 물리적 위치로 전환을 요청하여 상기 시스템 콜에 상응하는 동작을 수행하고, 상기 시스템 콜이 권한 없는 것으로 판단되는 경우에 에러 리턴하는 단계;
    상기 매체 접근제어 테이블에 저장된 디바이스 볼륨을 이용하여 하드웨어 매체의 종류를 식별하는 단계; 및
    새로운 하드웨어 매체가 장착되는 경우 관리자에게 상기 매체 접근제어 테이블에 상기 새로운 하드웨어 매체의 접근제어 권한을 설정하도록 요청하고, 상기 새로운 하드웨어 매체의 접근제어 권한이 설정되기 전에는 상기 새로운 하드웨어 매체에 대한 접근을 불허하는 단계
    를 포함하는 것을 특징으로 하는 하드웨어 매체 접근제어 방법.
  9. 삭제
  10. 삭제
  11. 삭제
  12. 제8항의 방법을 실행하기 위한 프로그램이 기록되어 있는 것을 특징으로 하는 컴퓨터에서 판독 가능한 기록 매체.
KR1020050101687A 2005-10-27 2005-10-27 하드웨어 매체 접근제어 시스템 및 이를 이용한 하드웨어매체 접근제어 방법 KR100696322B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020050101687A KR100696322B1 (ko) 2005-10-27 2005-10-27 하드웨어 매체 접근제어 시스템 및 이를 이용한 하드웨어매체 접근제어 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020050101687A KR100696322B1 (ko) 2005-10-27 2005-10-27 하드웨어 매체 접근제어 시스템 및 이를 이용한 하드웨어매체 접근제어 방법

Publications (1)

Publication Number Publication Date
KR100696322B1 true KR100696322B1 (ko) 2007-03-19

Family

ID=41623630

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050101687A KR100696322B1 (ko) 2005-10-27 2005-10-27 하드웨어 매체 접근제어 시스템 및 이를 이용한 하드웨어매체 접근제어 방법

Country Status (1)

Country Link
KR (1) KR100696322B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100901465B1 (ko) 2007-07-25 2009-06-08 주식회사 안철수연구소 Usb장치의 입출력 패킷 보호 방법

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050096047A (ko) * 2004-03-29 2005-10-05 유한회사 알파데이터링크시스템 사용자 계정 및 스케쥴링에 의한 디바이스 접근권한 제어장치 및 그 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050096047A (ko) * 2004-03-29 2005-10-05 유한회사 알파데이터링크시스템 사용자 계정 및 스케쥴링에 의한 디바이스 접근권한 제어장치 및 그 방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100901465B1 (ko) 2007-07-25 2009-06-08 주식회사 안철수연구소 Usb장치의 입출력 패킷 보호 방법

Similar Documents

Publication Publication Date Title
EP1946238B1 (en) Operating system independent data management
JP4234086B2 (ja) ファイル・リクエストを処理するための方法、システム、およびプログラム
US8984624B2 (en) Resource access based on multiple scope levels
US8838926B2 (en) Interacting with data in hidden storage
US20060288034A1 (en) Virtualized file system
JP4521865B2 (ja) ストレージシステム、計算機システムまたは記憶領域の属性設定方法
US8307166B2 (en) Information processing program, information processing device and information processing method
KR101624005B1 (ko) 소프트웨어 컴포넌트 상태에 대한 접근 제어
US8190673B2 (en) Enforcement of object permissions in enterprise resource planning software
US9195613B2 (en) Systems and methods for managing read-only memory
KR101227187B1 (ko) 보안영역 데이터의 반출 제어시스템과 그 제어방법
KR101954421B1 (ko) 하드디스크나 ssd 기반의 worm 저장장치에서 실시간으로 위변조를 방지하는 데이터 기록 방법
JP3752193B2 (ja) ホスト・オペレーティング・システムとゲスト・オペレーティング・システムとの間でアクセス装置の使用を割り振る方法
KR100696322B1 (ko) 하드웨어 매체 접근제어 시스템 및 이를 이용한 하드웨어매체 접근제어 방법
GB2515736A (en) Controlling access to one or more datasets of an operating system in use
RU2571380C2 (ru) Система и способ для изоляции ресурсов посредством использования ресурсных менеджеров
CN110352411B (zh) 用于控制对安全计算资源的访问的方法和装置
KR101731920B1 (ko) 이동 단말기 및 그것의 제어방법
US20140365736A1 (en) Hardware Based Cache Scan with Divert Node Handling
KR101120372B1 (ko) 호스트 장치의 정보유출 차단방법
US7974830B2 (en) Tape management method and tape management system
JP4844319B2 (ja) 仮想テープライブラリ装置の共用方法、仮想テープライブラリ装置、およびプログラム
WO2000034871A1 (fr) Ordinateur, support enregistre comportant un programme de verification de la validite des adresses et procede de verification de la validite des adresses
US20170192694A1 (en) Movement-driven selection of a data storage location or device
US20220405431A1 (en) System and Method for Managing Secure Files in Memory

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130111

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20140117

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20150313

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20160315

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20170307

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20180313

Year of fee payment: 12

FPAY Annual fee payment

Payment date: 20190313

Year of fee payment: 13

FPAY Annual fee payment

Payment date: 20200312

Year of fee payment: 14