KR100853723B1 - Method for illegal privilege flow prevention and mandatory access control using the state transition model of security role in window system - Google Patents

Method for illegal privilege flow prevention and mandatory access control using the state transition model of security role in window system Download PDF

Info

Publication number
KR100853723B1
KR100853723B1 KR1020060131827A KR20060131827A KR100853723B1 KR 100853723 B1 KR100853723 B1 KR 100853723B1 KR 1020060131827 A KR1020060131827 A KR 1020060131827A KR 20060131827 A KR20060131827 A KR 20060131827A KR 100853723 B1 KR100853723 B1 KR 100853723B1
Authority
KR
South Korea
Prior art keywords
security
role
user
access control
status
Prior art date
Application number
KR1020060131827A
Other languages
Korean (ko)
Other versions
KR20080057919A (en
Inventor
김기현
김상철
Original Assignee
주식회사 레드게이트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 레드게이트 filed Critical 주식회사 레드게이트
Priority to KR1020060131827A priority Critical patent/KR100853723B1/en
Publication of KR20080057919A publication Critical patent/KR20080057919A/en
Application granted granted Critical
Publication of KR100853723B1 publication Critical patent/KR100853723B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6227Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 Windows 시스템 커널에서 프로세스의 상태 전이를 보안역할 상태전이 모델로 표현하여 불법권한 이동을 차단하고 보안역할와 연계하여 강제적 접근통제를 행하는 방법에 관한 것이다. The present invention relates to a method of expressing a state transition of a process in a Windows system kernel as a security role state transition model to block illegal authority movement and enforce mandatory access control in connection with a security role.

본 발명은 컴퓨터 운영체제의 보안상 결함으로 인하여 발생 가능한 각종 해킹으로부터 시스템을 보호하기 위한 보안커널 시스템에 있어서, 상기 보안커널은 정상적인 프로세스 상태 전이를 보안역할 상태 전이 모델로 변환하고 이에 기반하여 불법권한 이동을 차단함으로써 해킹 및 오남용을 방지한다. 또한 보안역할 상태에 따른 접근통제 기능을 수행함으로써 불필요한 정책 비교를 사전에 필터링하고 인가된 프로세스에 대해 보안등급 및 보안카테고리 정보를 이용하여 강제적 접근통제 기능을 수행함으로써 시스템 부하를 줄이도록 한다.The present invention provides a security kernel system for protecting a system from various hackings that may occur due to a security flaw of a computer operating system. Block it to prevent hacking and misuse. In addition, by performing the access control function according to the security role status, the unnecessary policy comparison is filtered in advance, and the mandatory access control function using the security level and security category information for the authorized process reduces the system load.

보안커널, 강제적 접근통제, 해킹, 보안속성, 보안역할, 보안등급 Security Kernel, Mandatory Access Control, Hacking, Security Attributes, Security Role, Security Level

Description

Windows 시스템의 보안역할 상태전이 모델을 이용한 불법권한이동 차단 및 강제적 접근통제 방법 및 시스템{METHOD FOR ILLEGAL PRIVILEGE FLOW PREVENTION AND MANDATORY ACCESS CONTROL USING THE STATE TRANSITION MODEL OF SECURITY ROLE IN WINDOW SYSTEM}Method and system for preventing and compulsory illegal transfer of rights using the security role state transition model of the system.

도 1은 본 발명의 Windows 시스템의 보안역할 상태전이 모델을 이용한 불법권한이동 차단 및 강제적 접근통제를 구현하기 위한전체 시스템 구성도이다1 is a block diagram of an overall system for implementing illegal access control and mandatory access control using a security role state transition model of the Windows system of the present invention.

도 2는 본 발명의 Windows 시스템의 보안역할 상태전이 모델을 이용한 불법권한이동 차단 및 강제적 접근통제 방법의 순서도이다.2 is a flowchart illustrating a method for blocking illegal rights movement and forcibly accessing a control system using a security role state transition model of the Windows system of the present invention.

도 3은 사용자와 파일시스템에서 정의되어 있는 보안역할이다.3 is a security role defined in the user and file system.

도 4는 파일시스템 보안속성 테이블 구성도이다.4 is a configuration diagram of a file system security attribute table.

도 5는 보안역할 상태전이 모델이다.5 is a security role state transition model.

도 6은 프로세스 보안속성 테이블 구성도이다6 is a diagram illustrating a process security attribute table.

도 7은 프로세스 보안속성 테이블의 프로세스의 보안역할 상태이다.7 is a state of a security role of a process of a process security attribute table.

도 8은 보안역할에 따른 접근통제 정책이다. 8 is an access control policy according to a security role.

*도면의 주요부분에 대한 설명** Description of the main parts of the drawings *

101 : 사용자 보안속성 설정부 102 : 파일시스템 보안속성 설정부101: user security attribute setting unit 102: file system security attribute setting unit

103 : 시스템콜 제어부 104 : 보안역할 상태전이 설정 및 통제부103: system call control unit 104: security role state transition setting and control unit

105 : 보안역할 접근 통제부 106 : 강제적 접근 통제부105: security role access control unit 106: mandatory access control unit

107 : 사용자 보안속성 DB 108 : 프로세스 보안속성 테이블107: User Security Attributes DB 108: Process Security Attributes Table

109 : 파일 시스템 보안속성 테이블109: File System Security Attributes Table

본 발명은 Windows 시스템에서 프로세스의 상태 전이를 보안역할 상태전이 모델로 표현하여 불법권한 이동을 차단하고 보안역할과 연계하여 강제적 접근통제 기능을 제공하기 위한 Windows 시스템의 보안역할 상태전이 모델을 이용한 불법권한이동 차단 및 강제적 접근통제 방법에 관한 것이다.The present invention expresses the state transition of a process in a security role state transition model in the Windows system to block illegal authority movement and to provide a compulsory access control function in conjunction with the security role. Mobility blocking and mandatory access control methods.

종래의 Windows 계열의 운영체제에 적용되는 접근통제의 경우, 파일시스템 소유자가 퍼미션 비트(permission bit)를 설정하여 사용자, 그룹, 다른 사용자에게 읽기, 쓰기, 실행 권한을 부여하며 최고의 권한을 가진 administrator는 모든 사용자 소유의 파일에 대하여 퍼미션 비트를 임의적으로 변경할 수 있게 한다.In the case of access control applied to the existing Windows-based operating system, the file system owner sets permission bits to grant read, write, and execute rights to users, groups, and other users. Allows you to change the permission bits arbitrarily for user-owned files.

범용 Windows 시스템은 사용자가 임의로 퍼미션 비트를 조정할 수 있기 때문에 시스템에 일관된 보안정책을 적용하기 어려우며 중요 파일에 대해 등급별로 분 류함으로써 강화된 보안정책을 적용하기 어렵다.In general Windows system, it is difficult to apply consistent security policy to system because user can adjust permission bits arbitrarily, and it is difficult to apply enhanced security policy by classifying important files by class.

또한 시스템에서 administrator 권한이 최상위의 권한을 가지게 되므로 오남용이 발생하더라도 이를 통제할 수 없다.In addition, since administrator authority has the highest authority in the system, it cannot be controlled even if misuse occurs.

이에 상기 범용 Windows 시스템의 보안성을 강화하기 위해 강제적 접근통제 정책을 적용한 보안커널 시스템들이 있다. Accordingly, there are security kernel systems to which a mandatory access control policy is applied to enhance the security of the general-purpose Windows system.

강제적 접근통제에서는 사용자와 파일시스템에 보안등급과 보안카테고리를 부여하고 BLP 모델 등을 사용하여 강제된 읽기, 쓰기 규칙을 적용한다.In mandatory access control, security level and security category are assigned to users and file systems, and forced read and write rules are applied using BLP model.

대부분의 안전한 운영체제는 주체와 객체에 보안등급을 부여하여 운영하는 다중등급정책(MLP : Multi-Level Policy)을 수용하고 있으며 상기의 BLP(Bell and Lapadula)모델은 정부의 기밀분류 환경에서 상위 등급의 정보가 하위 등급으로 흐르는 것을 제한하는 다주등급정책을 표현하는 검증된 대표적인 수학적 모델이다.Most secure operating systems adopt a multi-level policy (MLP), which operates by assigning security levels to subjects and objects. The BLP (Bell and Lapadula) model is the highest level in the government classified classification environment. It is a proven representative mathematical model that expresses multistate rating policies that restrict information from flowing to lower levels.

하지만 BLP 모델을 적용한 안전한 운영체제들은 사용자의 보안등급을 프로세스에 그대로 상속한다. 이러한 접근방법의 문제점은 프로세스를 전적으로 신뢰할 수 없다는 것에서 기인한다. 다시 말하면 사용자의 보안등급과 권한허용범위를 오류가 내재되어 있거나 의도적으로 수정된 악의적인 프로세스에게 그대로 상속할 경우, 시스템 안전성이 파괴될 가능성이 있다. 이는 BLP 모델이 접근 주체를 정의함에 있어서 시스템 사용자와 실제 그 접근을 대행하는 프로세스를 동일시하도록 단순하게 정의하고 있기 때문이다.However, secure operating systems using the BLP model inherit the user's security level into the process. The problem with this approach is that the process is not entirely reliable. In other words, if the user's security level and permission range are inherited by a malicious process in which the error is inherent or intentionally modified, the system safety may be destroyed. This is because the BLP model simply defines the identity of the system user and the process that actually handles the access.

강제적 접근통제를 적용하면 중요 파일을 등급별로 분류하여 강화된 보안정책을 제공하며 administrator 상태의 사용자를 구분하고권한을 통제할 수 있으나, 강제적 접근통제는 파일시스템에 대한접근통제이기 때문에 해킹 등으로 인한 불법권한 이동 등을방지하기 어렵다. 즉, 강제적 접근통제 정책이 적용되지 않은 시스템 영역 환경들을 해킹 등으로 인하여 불법적으로 획득한 권한을 가지고 파괴할 수 있다. When enforced access control is applied to classify important files by class, it provides enhanced security policy and can classify users in administrator status and control authority. However, forced access control is a file system access control. It is difficult to prevent illegal rights transfer. That is, it is possible to destroy the system area environments to which the mandatory access control policy is not applied with the authority obtained illegally by hacking.

상기와 같은 문제점을 해결하기 위한 본 발명의 목적은, Windows 계열의 운영체제에서 해킹 및 시스템 오남용으로부터 시스템을 보호하기 위해 사용자와 파일시스템에 대해 보안역할, 보안등급, 보안카테고리 등 보안속성을 설정하고 수정된 MLS(Multi-Level Security) 정책을 적용하여 커널 레벨에서 강제적 접근통제를 행하는 Windows 시스템의 보안역할 상태전이 모델을 이용한 불법권한이동 차단 및 강제적 접근통제 방법을 제공하는 것이다. An object of the present invention for solving the above problems is to set and modify security attributes, such as security role, security level, security category for the user and file system to protect the system from hacking and system misuse in the Windows-based operating system It is to provide illegal access control and mandatory access control method using security role state transition model of Windows system that enforces access control at kernel level by applying MLS (Multi-Level Security) policy.

또한 본 발명의 다른 목적은, 사용자 로그인을 통하여 권한을 획득할 경우 보안속성을 부여하고 새로운 프로세스 발생시 보안역할 상태를 조정하고 보안속성을 상속할 수 있는 Windows 시스템의 보안역할 상태전이 모델을 이용한 불법권한이동 차단 및 강제적 접근통제 방법을 제공하는 것이다.Another object of the present invention is to provide an illegal property using a security role state transition model of a Windows system that can grant a security attribute when a user acquires an authority through a user login, adjust a security role state when a new process occurs, and inherit the security attribute. It is to provide a mobility blocking and mandatory access control method.

또한 본 발명의 또 다른 목적은, 사용자의 보안역할을 프로세스 소유자 상태에 기반하여 보안역할 상태로 표현하고 보안역할 상태전이 모델에 정의된 권한이동만을 허용함으로써 해킹 등으로 인하여 불법적 administrator 권한의 탈취를 차단함으로써 시스템 보호하기 위한 Windows 시스템의 보안역할 상태전이 모델을 이용 한 불법권한이동 차단 및 강제적 접근통제 방법을 제공하는 것이다.In addition, another object of the present invention, by expressing the user's security role in the security role state based on the process owner state, and only allow the transfer of authority defined in the security role state transition model to block the takeover of illegal administrator authority due to hacking, etc. By providing a security role state transition model of the Windows system to protect the system, it provides a method of blocking illegal rights movement and mandatory access control.

또한 본 발명의 또 다른 목적은, 보안역할 상태에 따른 접근통제 기능을 수행함으로써 불필요한 정책 비교를 사전에 필터링하고 인가된 프로세스에 대해 나머지 정보를 이용하여 강제적 접근통제 기능을 수행함으로써 시스템 부하를 줄이기 위한 Windows 시스템의 보안역할 상태전이 모델을 이용한 불법권한이동 차단 및 강제적 접근통제 방법을 제공하는 것이다. In addition, another object of the present invention is to reduce the system load by performing an access control function according to the security role status in advance to filter out unnecessary policy comparisons and to perform a forced access control function using the remaining information for the authorized process. It is to provide illegal access control and mandatory access control method using security role state transition model of Windows system.

앞서 설명한 바와 같은 목적은 윈도우 운영체제의 보안커널을 이용하여 보안을 유지하는 방법에 있어서, 사용자 보안속성 설정부(101)가 사용자의 보안속성을 설정, 변경, 삭제하고 상기 설정된 보안속성은 커널의 사용자 보안속성 DB(107)에 저장하는 단계; 파일시스템 보안속성 설정부(102)가 파일시스템 보안속성을 설정, 변경 및 삭제하고 상기 파일시스템 보안속성으로 구성되는 파일시스템 보안속성 테이블(109)을 구성하여 커널에 저장하는 단계; 시스템에서 응용 이벤트가 수행되어 시스템콜이 발생하면, 시스템콜 제어부(103)가 접근통제 관련 시스템콜만 인터셉터하고 나머지 시스템콜은 바이패스 시키는 단계; 보안역할 상태전이 설정 및 통제부(104)가 인터셉터된 시스템콜의 주체인 프로세스의 발생에 따라 사용자 보안속성 DB(107)를 이용하여, 프로세스 보안역할상태를 포함하는 프로세스 보안속성 테이블을 구성하는 단계와; 보안역할 접근통제부(105)가 상기 프로세스 보안속성 테이블에서의 보안역할상태와 파일시스템 보안속성 테이블에서의 보안역할을 비교하여 허 가, 거부, 비교 중 어느 하나만 결정하고 비교로 결정된 이벤트에 대해서만 강제적 접근통제부로 전달하는 단계와; 강제적 접근통제부(106)가 주체와 객체의 나머지 보안역할의 보안등급과 보안카테고리정보를 이용하여 강제적 접근통제 정책을 적용하고 원래의 시스템콜을 호출하는 단계로 구성되어 있어, 상기 보안커널은 정상적인 프로세스 상태 전이를 보안역할 상태 전이 모델로 변환하고 보안역할 상태에 따른 접근통제 기능을 수행하여 불필요한 정책 비교를 사전에 필터링하고 인가된 프로세스에 대해 보안등급 및 보안카테고리 정보를 이용하여 강제적 접근통제 기능을 수행하는 Windows 시스템의 보안역할 상태전이 모델을 이용한 불법권한이동 차단 및 강제적 접근통제 방법에 의해 달성된다. As described above, in the method of maintaining security using the security kernel of the Windows operating system, the user security attribute setting unit 101 sets, changes, or deletes the security attributes of the user, and the set security attributes are the user of the kernel. Storing in the security attribute DB (107); A file system security attribute setting unit 102 setting, changing, and deleting a file system security attribute, and constructing and storing a file system security attribute table 109 configured as the file system security attribute in a kernel; If an application event is performed in the system to generate a system call, the system call controller 103 intercepts only the access control-related system call and bypasses the remaining system call; The security role state transition setting and control unit 104 constructs a process security attribute table including the process security role state by using the user security attribute DB 107 according to the occurrence of a process that is the subject of the intercepted system call. Wow; The security role access control unit 105 compares the security role state in the process security attribute table with the security role in the file system security attribute table to determine only one of permission, denial, and comparison, and enforces only the event determined by the comparison. Delivering to an access control unit; Compulsory access control unit 106 is configured to apply the mandatory access control policy using the security level and security category information of the remaining security roles of the subject and the object and to call the original system call, the security kernel is a normal Convert process state transition to security role state transition model and perform access control function according to security role state to filter out unnecessary policy comparisons in advance and enforce mandatory access control function using security level and security category information for authorized process. It is achieved by blocking illegal permission movement and mandatory access control method using security role state transition model of Windows system.

이하 본 발명의 Windows 시스템의 보안역할 상태전이 모델을 이용한 불법권한이동 차단 및 강제적 접근통제 방법 및 시스템에 대해 첨부되어 있는 도면을 통해 보다 상세히 설명하도록 한다. Hereinafter, a method and a system for preventing illegal rights movement and forced access control using a security role state transition model of the Windows system of the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명의 Windows 시스템의 보안역할 상태전이 모델을 이용한 불법권한이동 차단 및 강제적 접근통제를 구현하기 위한전체 시스템 구성도이며, 도 2는 본 발명의 Windows 시스템의 보안역할 상태전이 모델을 이용한 불법권한이동 차단 및 강제적 접근통제 방법의 전체 순서도이다.1 is a block diagram illustrating the entire system for implementing illegal rights movement blocking and mandatory access control using a security role state transition model of the Windows system of the present invention, and FIG. 2 is a view illustrating a security role state transition model of the Windows system of the present invention. This is a complete flow chart of illegal rights movement blocking and mandatory access control methods.

또한, 도 3은 사용자와 파일시스템에서 정의되어 있는 보안역할이며, 도 4는 파일시스템 보안속성 테이블 구성도이다.3 is a security role defined in a user and a file system, and FIG. 4 is a diagram of a file system security attribute table configuration.

또한, 도 5는 보안역할 상태전이 모델이이며, 도 6은 프로세스 보안속성 테 이블 구성도이다.In addition, Figure 5 is a security role state transition model, Figure 6 is a process security attribute table configuration diagram.

또한, 도 7은 프로세스 보안속성 테이블의 프로세스의 보안역할 상태이며, 도 8은 보안역할에 따른 접근통제 정책이다. 7 is a security role state of a process of the process security attribute table, and FIG. 8 is an access control policy according to the security role.

상기 기술적 과제를 달성하기 위해 본 발명에 따른 Windows 시스템의 보안역할 상태전이 모델을 이용한 불법권한이동 차단 및 강제적 접근통제 방법은 사용자 보안속성 설정부(101), 파일시스템 보안속성 설정부(102), 시스템콜 제어부(103), 보안역할 상태전이 설정 및 통제부(104), 보안역할 접근통제부(105), 강제적 접근통제부(106)를 포함하여 구성되어 있다.In order to achieve the above technical problem, the illegal authority movement blocking and mandatory access control method using the security role state transition model of the Windows system according to the present invention includes a user security attribute setting unit 101, a file system security attribute setting unit 102, System call control unit 103, security role state transition setting and control unit 104, security role access control unit 105, and compulsory access control unit 106 is configured.

도 1은 본 발명의 Windows 시스템의 보안역할 상태전이 모델을 이용한 불법권한이동 차단 및 강제적 접근통제 시스템을 수행하기 위한 전체 시스템 구성도이다.1 is an overall system configuration diagram for performing an illegal rights movement blocking and mandatory access control system using the security role state transition model of the Windows system of the present invention.

상기 사용자 보안 속성 설정부(101)는 사용자의 보안속성을 설정, 변경, 삭제하고 설정된 보안속성은 커널의 사용자 보안속성 DB(107)에 저장한다. The user security attribute setting unit 101 sets, changes, and deletes the security attributes of the user and stores the set security attributes in the user security attributes DB 107 of the kernel.

여기서 상기 사용자 보안속성 DB(107) 중의 하나인 사용자 보안역할은 시스템 관리의 직무와 root 권한의 필요성에 따라 보안관리자(301), 시스템관리자(302), 보안사용자(303), 일반사용자(304)로 구분된다. Here, the user security role, which is one of the user security attributes DB 107, may be a security manager 301, a system administrator 302, a security user 303, or a general user 304 according to a system administration job and a need for root authority. Separated by.

상기 보안관리자(301)는 administrator 권한을 획득한 여러 사용자 중 최상위 administrator 역할을 수행하는 사용자로 별도로 인가된 보안관리자로 정의한다. The security manager 301 is defined as a security administrator authorized as a user who performs the top-level administrator role among several users who have obtained administrator authority.

상기 시스템 관리자(302)는 서비스 및 시스템 관리를 위해 administrator 권 한이 필요한 인가된 시스템 관리자로 정의한다. The system administrator 302 is defined as an authorized system administrator who needs administrator authority for service and system management.

상기 보안사용자(303)는 중요한 자료를 다루기 위하여 보안속성(보안등급, 보안카테고리)이 부여된 사용자로 일반 user 권한을 요구하지 않는 사용자로 정의한다.The security user 303 is defined as a user who is granted security attributes (security level, security category) and does not require general user authority to handle important data.

상기 일반사용자(304)는 보안속성이 부여되지 않으면서 일반 user 권한의 Windows 사용자로 정의한다.The general user 304 is defined as a Windows user with general user rights without being granted security attributes.

상기 파일시스템 보안속성 설정부(102)는, 파일시스템 보안속성을 설정, 변경, 삭제하고 파일시스템 보안속성 테이블(109)을 구성하여 커널에 저장한다.The file system security attribute setting unit 102 sets, changes, and deletes a file system security attribute, configures a file system security attribute table 109, and stores the file system security attribute table 109 in the kernel.

상기 파일시스템 보안속성 테이블(109)은 보안역할 필드(401), 제어필드(402), 보안등급 필드(403), 보안카테고리 필드(404)의 4필드로 구성된다. The file system security attribute table 109 includes four fields: a security role field 401, a control field 402, a security level field 403, and a security category field 404.

상기 보안역할 필드(401)에는 파일시스템에 대한 보안역할(보안관리자, 시스템관리자, 보안사용자, 일반사용자 중 어느 하나) 정보가 저장되고, 제어필드(402)에는 예외적인 접근통제 정책에 적용되는 파일시스템을 나타내기 위해 사용된다. The security role field 401 stores a security role (security manager, system administrator, security user, general user) information about the file system, the control field 402 is a file applied to an exceptional access control policy Used to represent a system.

상기 보안등급 및 보안카테고리 필드(403, 404)에는 파일시스템 보안등급과 보안역할의 하위로 구성되는 보안카테고리 정보가 저장된다.The security level and security category fields 403 and 404 store security category information that is configured under the file system security level and security role.

상기 시스템콜 제어부(103)는 Windows 시스템에서 응용 이벤트가 수행되어 시스템콜이 발생하였을 때 해당 파일시스템 및 프로세스에 대한 시스템콜만을 필터링한다. The system call control unit 103 filters only system calls for the corresponding file system and process when an application event is performed in a Windows system and a system call occurs.

상기 보안역할 상태전이 설정 및 통제부(104)는 새로운 프로세스의 발생시 상기 사용자 보안속성 DB(107)의 정보를 이용하여 프로세스 보안속성 테이블(108) 을 구성한다. The security role state transition setting and control unit 104 configures the process security attribute table 108 by using the information of the user security attribute DB 107 when a new process occurs.

상기 프로세스 보안속성 테이블(108)은 보안역할상태 필드(501), 제어 필드(502), 보안등급 필드(503), 보안카테고리 필드(504) 등 4필드로 구성된다.The process security attribute table 108 includes four fields, such as a security role status field 501, a control field 502, a security level field 503, and a security category field 504.

상기 보안역할상태 필드(501)에는 프로세스의 사용자 상태 정보를 기반으로 보안역할을 표현한다. The security role status field 501 expresses a security role based on user status information of a process.

상기 제어필드(502)에는 프로세스 통제를 위해 사용된 제어 정보를 저장한다. The control field 502 stores control information used for process control.

상기 보안등급 및 보안카테고리 필드(503, 504)에는 사용자 보안등급과 보안역할의 하위로 구성된 보안카테고리 정보가 저장된다.The security level and security category fields 503 and 504 store security category information configured under a user security level and a security role.

상기 보안역할 접근통제부(105)는, 프로세스 보안속성테이블에서의 보안역할 상태와 파일시스템의 보안속성테이블에서의 보안역할을 비교하여 허가, 거부, 비교 중 어느 하나로 결정되도록 하고 이에 비교로 결정된 이벤트에 대해서만 강제적 접근통제부로 전달된다.The security role access control unit 105 compares the security role state in the process security attribute table with the security role in the security attribute table of the file system to determine whether to allow, deny, or compare the event. Only to the mandatory access control unit.

상기 강제적 접근통제부(106)는 보안역할의 나머지 카테고리 정보와 보안등급을 이용하여 강제적 접근통제 정책을 적용하고 원래의 시스템콜을 호출한다.The mandatory access control unit 106 applies a mandatory access control policy using the remaining category information and security level of the security role and calls the original system call.

도 2는 본 발명에서 Windows 시스템에서 보안역할 상태전이 모델을 이용한 불법권한이동 차단 및 강제적 접근통제 방법의 전체 순서도를 나타낸 것이다. Figure 2 shows the overall flow chart of the illegal rights movement blocking and mandatory access control method using the security role state transition model in the Windows system in the present invention.

먼저 (a) 시스템 보안관리자는 사용자 보안속성 설정부(101)에서 사용자 보안속성을 설정, 변경, 삭제하여 상기 설정된 보안속성을 커널의 사용자 보안속성 DB(107)에 저장되도록 한다. First, (a) the system security manager sets, changes, and deletes the user security attributes in the user security attribute setting unit 101 so that the set security attributes are stored in the user security attributes DB 107 of the kernel.

상기 사용자 보안속성 설정부(101)에서 시스템 보안관리자에 의해 정의된 보안속성은 사용자 정보, 보안역할, 보안등급, 보안카테고리를 포함하여 구성된다.The security attribute defined by the system security manager in the user security attribute setting unit 101 is configured to include user information, security role, security level, and security category.

일반적으로 강제적 접근통제는 사용자에 대해 보안등급과 보안카테고리를 정의하지만 본 발명에서는 보안카테고리를 사용자에 대한 보안역할로 분류하여 정의한 후 상기 보안역할에 따른 보안카테고리를 재구성하게 된다. In general, the mandatory access control defines a security level and a security category for the user, but in the present invention, the security category is classified as a security role for the user, and then the security category is reconfigured according to the security role.

따라서, 본 발명에서의 상기 보안역할은 보안카테고리에 대한 대분류이며 보안역할 하위에 보안카테고리가 구성된다.Therefore, the security role in the present invention is a large category for the security category, and the security category is configured under the security role.

도 3은 사용자 보안속성 중 보안역할을 분류하여 나타내고 있다. 3 illustrates the classification of security roles among user security attributes.

상기 사용자보안속성 중에서 사용자 보안역할은 시스템 관리의 직무와 administrator 권한의 필요성에 따라 보안관리자(301), 시스템관리자(302), 보안사용자(303), 일반사용자(304)로 구분된다. Among the user security attributes, the user security role is divided into a security manager 301, a system administrator 302, a security user 303, and a general user 304 according to the duties of system management and the necessity of administrator authority.

상기 보안관리자(301)는 administrator 권한을 획득한 여러 사용자 중 최상위 root 역할을 수행하는 사용자로 별도로 인가된 보안관리자로 정의한다. The security administrator 301 is defined as a security administrator authorized as a user who performs the highest root role among several users who have obtained administrator authority.

상기 시스템 관리자(302)는 서비스 및 시스템 관리를 위해 administrator 권한이 필요한 인가된 시스템 관리자로 정의한다. The system administrator 302 is defined as an authorized system administrator who needs administrator authority for service and system management.

상기 보안사용자(303)는 중요한 자료를 다루기 위하여 보안속성(보안등급, 보안카테고리)이 부여된 사용자로 일반 user 권한의 사용자로 정의한다.The security user 303 is a user who has been granted security attributes (security level, security category) to handle important data and is defined as a user with general user authority.

상기 일반사용자(304)는 보안속성이 부여되지 않으면서 user 권한의 Windows 사용자로 정의한다.The general user 304 is defined as a Windows user with a user right without a security attribute.

(b)상기 시스템 보안관리자는 파일시스템 보안속성 설정부(102)에서 파일시 스템 보안속성을 설정, 변경 및 삭제하고 파일시스템 보안속성으로 구성되는 파일시스템 보안속성 테이블(109)을 커널에 저장한다. (b) The system security manager sets, changes, and deletes file system security attributes in the file system security attribute setting unit 102 and stores a file system security attribute table 109 composed of file system security attributes in the kernel. .

객체인 상기 파일시스템의 보안속성은 보안역할, 보안등급, 보안카테고리를 포함하여 구성된다. The security attributes of the file system as an object are configured to include security roles, security levels, and security categories.

일반적으로 강제적 접근통제는 파일 시스템에 대해 보안등급과 보안카테고리를 정의하지만 본 발명에서는 보안카테고리를 파일시스템에 대한 보안역할로 분류하여 정의한 후 상기 보안역할에 따른 보안카테고리를 재구성하게 된다. In general, the mandatory access control defines a security level and a security category for the file system, but in the present invention, the security category is classified as a security role for the file system, and then the security category according to the security role is reconfigured.

따라서, 본 발명에서 상기 보안역할은 보안카테고리에 대한 대분류이며 보안역할 하위에 보안카테고리가 구성된다. Therefore, in the present invention, the security role is a large category for the security category, and the security category is configured under the security role.

파일시스템에 사용되는 보안역할은 보안관리자, 시스템관리자, 보안사용자, 일반사용자로 나뉘며, 앞서 설명된 사용자에서 정의되어 있는 보안역할과 동일하다.The security roles used in the file system are divided into security administrator, system administrator, security user, and general user, and are identical to the security roles defined in the user described above.

도 4는 파일시스템 보안속성 테이블 구조를 도시하고 있다.4 shows a file system security attribute table structure.

파일시스템 보안속성 테이블은 보안역할 필드(401), 제어필드(402), 보안등급 필드(403), 보안카테고리 필드(404)의 4필드로 구성된다. The file system security attribute table consists of four fields: a security role field 401, a control field 402, a security level field 403, and a security category field 404.

상기 보안역할 필드(401)에는 파일시스템에 대한 보안역할(보안관리자, 시스템관리자, 보안사용자, 일반사용자 중 어느 하나) 정보가 저장되고, 제어필드(402)에는 예외적인 접근통제 정책에 적용되는 파일시스템을 나타내기 위해 사용된다. The security role field 401 stores a security role (security manager, system administrator, security user, general user) information about the file system, the control field 402 is a file applied to an exceptional access control policy Used to represent a system.

상기 보안등급 및 보안카테고리 필드(403, 404)에는 파일시스템 보안등급과 보안역할의 하위로 구성되는 보안카테고리 정보가 저장된다.The security level and security category fields 403 and 404 store security category information that is configured under the file system security level and security role.

(c)Windows 시스템에서 응용 이벤트가 수행되어 시스템콜이 발생하면, 시스템콜 제어부(103)에서 접근통제 관련 시스템콜만 인터셉터하고 나머지 시스템콜은 바이패스시킨다(201).(c) When an application event is performed in the Windows system and a system call occurs, the system call controller 103 intercepts only the access control related system call and bypasses the remaining system call (201).

일반적으로 시스템 또는 사용자에 의하여 응용이 수행될 때 운영체제의 시스템콜이 발생하며 운영체제는 시스템콜이 요청한 기능을 수행하지만, 본 발명의 시스템콜 제어부(103)는 운영체제의 시스템콜 중 본 발명에 관련된 기능(접근통제 관련)의 시스템콜로 대치하고 본 발명의 기능을 수행한 후 운영체제의 시스템콜을 호출한다. 또한 본 발명에서 사용되는 보안정책 및 보안기능 환경설정 등을 위하여 제어시스템 콜이 추가될 수도 있다.In general, when an application is executed by a system or a user, a system call of an operating system occurs and the operating system performs a function requested by the system call. However, the system call control unit 103 of the present invention performs a function related to the present invention among system calls of the operating system. It replaces the system call (related to access control) and calls the system call of the operating system after performing the function of the present invention. In addition, a control system call may be added for security policy and security function environment setting used in the present invention.

(d)보안역할 상태전이 설정 및 통제부(104)에서는 인터셉터 된 시스템콜의 주체인 프로세스의 발생시, 사용자 보안속성 DB(107) 정보를 이용하여 프로세스 보안속성 테이블(108)을 구성하고 보안역할 상태전이에 따라 불법권한 이동을 통제한다. (d) The security role state transition setting and control unit 104 configures the process security attribute table 108 by using the user security attribute DB 107 information when a process, which is the subject of the intercepted system call, is generated. The transfer of illegal rights is controlled according to the transition.

커널에서 인터셉터 된 시스템콜의 주체인 프로세스가 새로이 생성된 프로세스인지 확인한다(202).The process checks whether the process that is the subject of the system call intercepted by the kernel is a newly created process (202).

모든 프로세스에는 보안속성이 부여되어 있으며 새로이 생성된 프로세스에는 보안속성이 부여되어 있지 않으므로 이를 이용하여 확인하게 된다. All processes have security attributes, and newly created processes do not have security attributes.

이에, 새로이 생성된 하위 프로세스인 경우 해당 프로세스에 주체의 보안속성을 부여하기 위해 기존의 상위 프로세스와 새로 생성된 하위 프로세스의 소유자 권한을 확인한다(203).Accordingly, in the case of the newly created subprocess, the owner authority of the existing upper process and the newly created subprocess is checked in order to grant the subject's security attribute to the corresponding process (203).

상위 프로세스의 소유자 권한과 하위 프로세스의 소유자 권한이 같은 경우 상위 프로세스의 보안속성을 하위 프로세스에 상속한다(204). If the owner authority of the parent process and the owner authority of the child process are the same, the security attributes of the parent process are inherited by the child process (204).

상위 프로세스와 하위 프로세스의 소유자 권한이 다르면 사용자 정보를 수집한다(205).If the owner authority of the upper process and the lower process is different, user information is collected (205).

사용자 정보의 수집은 사용자의 로그인 또는 권한이동 경로, 사용자에 대한 시스템 정보, 사용자 보안속성 등을 수집한다.The collection of user information collects the user's login or authorization path, system information about the user, user security attributes, and the like.

수집된 사용자 정보와 보안속성을 기반으로 보안역할 상태전이 모델을 적용하여 위반 사항이 있는지 검증한다(206). Based on the collected user information and security attributes, a security role state transition model is applied to verify whether there is a violation (206).

도 5는 보안역할 상태전이 모델을 나타낸다. 5 shows a security role state transition model.

사용자가 로그인할 경우 사용자 인증 및 식별 과정이 수행되고 보안역할 상태전이 설정 및 통제부(104)에서 로그인한 사용자 역할과 주체 프로세스의 권한 상태를 식별하고 프로세스 보안속성 테이블(108)을 구성하게 된다.When the user logs in, a user authentication and identification process is performed, and the security role state transition setting and control unit 104 identifies the user role and authority status of the subject process logged in, and configures the process security attribute table 108.

본 발명에서 사용자가 로그인하기 전 시스템 프로세스 상태는 일반사용-system 상태(701)에서 출발하며 시스템 자체에서 생성되는 프로세스는 일반사용-system 상태(701)를 상속한다. In the present invention, the system process state before the user logs in starts from the general use-system state 701 and the process created in the system itself inherits the general use-system state 701.

사용자가 로그인할 경우 사용자 인증 및 식별 과정이 수행되고 보안역할 상태전이설정 및 통제부(104)에서 로그인한 사용자 역할과 주체 프로세스의 권한 상태를 식별하고 프로세스 보안속성 테이블(309)을 구성한다. When the user logs in, the user authentication and identification process is performed, and the security role state transition setting and control unit 104 identifies the logged in user role and authority state of the subject process, and configures the process security attribute table 309.

보안관리자(301) 역할의 사용자가 로그인한 경우 보안관리-user 상태(702), 시스템관리자(302) 역할의 사용자가 로그인한 경우 시스템관리-user 상태(703), 보 안사용자(303) 역할의 사용자가 로그인한 경우 보안사용-user 상태(704), 일반사용자(304) 역할의 사용자가 로그인한 경우 일반사용-user 상태(705)로 전이하며 사용자가 로그아웃할 때가지 보안속성이 상속되고 유지된다.If the user of the security administrator (301) role is logged in, the security management-user status (702), if the user of the system administrator (302) role is logged in, the system management-user status (703), security user (303) of the role If the user is logged in, the security-user status (704), or if the user of the normal user 304 role logs in, is transitioned to the general-user status (705), and the security attributes are inherited and maintained until the user logs out. do.

정당한 권한이동으로 인한 소유자 변경일 경우 사용자 보안속성 DB와 사용자 정보를 이용하여 주체 보안역할 상태 정보 등을 포함한 프로세스 보안속성 테이블을 구성한다(207).In the case of the owner change due to legitimate authority movement, the process security attribute table including the subject security role status information is configured using the user security attribute DB and the user information (207).

도 6은 프로세스 보안속성 테이블(108)을 나타낸다. 6 shows a process security attribute table 108.

프로세스 보안속성 테이블(108)은 보안역할상태 필드(501), 제어 필드(502), 보안등급 필드(503), 보안카테고리 필드(504) 등 4필드로 구성된다.The process security attribute table 108 includes four fields, such as a security role status field 501, a control field 502, a security level field 503, and a security category field 504.

상기 보안역할상태 필드(501)에는 프로세스의 사용자 상태 정보를 기반으로 보안역할을 표현한다. The security role status field 501 expresses a security role based on user status information of a process.

상기 제어필드(502)에는 프로세스 통제를 위해 사용된 제어 정보를 저장한다. The control field 502 stores control information used for process control.

상기 보안등급 및 보안카테고리 필드(503, 504)에는 사용자 보안등급과 보안역할의 하위로 구성된 보안카테고리 정보가 저장된다.The security level and security category fields 503 and 504 store security category information configured under a user security level and a security role.

상기 보안역할상태 필드(501)의 보안역할 상태는 도 7과 같이 나타낸다.The security role status of the security role status field 501 is shown in FIG.

보안역할 상태는 보안관리-user 상태(601), 시스템관리-user 상태(602), 보안관리-user 상태(603), 일반사용-user 상태(604), 일반사용-system 상태(605) 등 5개의 상태로 표현된다. Security role status is security management-user status (601), system management-user status (602), security management-user status (603), general use-user status (604), general use-system status (605), etc. It is expressed in the state of dogs.

보안관리자 그룹에 속한 사용자가 생성한 주체를 보안관리-user 상태(601)로 표현하며 시스템관리자 그룹에 속한 사용자가 생성한 주체를 시스템관리-user 상태(602)로 표현한다. The subject created by the user belonging to the security administrator group is represented by the security management-user state (601), and the subject created by the user belonging to the system administrator group is represented by the system management-user state (602).

보안사용자 그룹에 속한 사용자가 생성한 주체를 보안관리-user 상태(603)로 표현하며 보안속성이 부여되지 않은 사용자가 생성한 주체를 일반사용-user 상태로 표현한다. 시스템 프로세스로 운영체제 내부적으로 사용되는 Internal User 개념의 시스템 토큰은 일반사용-system 상태로 표현한다.The subject created by the user belonging to the security user group is represented by the security management-user state (603), and the subject created by the user who has not been granted the security attribute is represented by the general use-user state. The system token of the internal user concept used internally by the operating system as a system process is expressed in the general use-system state.

(e)보안역할 접근통제부(105)에서는 상기 프로세스의 보안역할상태와 파일시스템의 보안역할을 비교하여 허가, 거부, 비교 중 어느 하나만 결정하고 비교로 결정된 이벤트에 대해서만 강제적 접근통제부로 전달한다.(e) The security role access control unit 105 compares the security role state of the process with the security role of the file system to determine only one of permission, denial, and comparison, and delivers only the event determined by the comparison to the forced access control unit.

우선, 주체인 프로세스의 보안역할 상태와 객체의 보안역할에 따라 허용, 거부, 비교 등을 결정한다(209).First, allow, deny, compare, etc. are determined according to the security role state of the subject process and the security role of the object (209).

도 8에서 보는 바와 같이, 주체의 보안역할상태가 일반사용-system 상태인 경우(801) 시스템 동작을 위하여 모든 접근을 허용한다. 주체의 보안역할상태가 일반사용-user 상태인 경우(802) 객체의 보안역할이 일반사용자 역할이면 접근이 허용되고 나머지 보안역할의 객체에 대해 접근이 거부된다. 주체의 보안역할상태가 보안사용-user 상태인 경우(803) 객체의 보안역할이 일반사용자 역할이면 접근이 허용되고 객체의 보안역할이시스템관리자 역할 및 보안관리자 역할이면 접근이 거부되며 객체의 보안역할이 보안사용자 역할이면 강제적 접근통제부(106)에서 보안속성이 비교된다.As shown in FIG. 8, when the security role state of the subject is a general use-system state (801), all access is allowed for system operation. If the security role state of the subject is the general user-user state (802), if the security role of the object is the general user role, access is allowed and access is denied to the objects of the remaining security roles. If the security role status of the subject is security-user status (803), access is allowed if the security role of the object is a normal user role, access is denied if the security role of the object is a system administrator role or security administrator role, and the security role of the object. If the security user role, the security attributes are compared in the mandatory access control unit 106.

주체의 보안역할상태가 시스템관리-user 상태인 경우(804) 객체의 보안역할 이 일반사용자 역할이면 접근이 허용되고 객체의 보안역할이 보안사용자 역할 및 보안관리자 역할이면 접근이 거부되며 객체의 보안역할이 시스템관리자 역할이면 강제적 접근통제부(106)에서 보안속성이 비교된다.If the security role status of the subject is system management-user status (804), access is allowed if the security role of the object is a general user role, access is denied if the security role of the object is a security user role and a security administrator role, and the security role of the object. If this role is the system administrator, the compulsory access control unit 106 compares the security attributes.

주체의 보안역할상태가 보안관리-user 상태인 경우(804) 객체의 보안역할이 보안관리자 역할이면 강제적 접근통제부(106)에서 보안속성이 비교되고 나머지 보안역할의 객체에 대한 접근은 허가된다.If the security role state of the subject is security management-user state (804), if the security role of the object is the role of security manager, the compulsory access control unit 106 compares the security attributes and allows access to the objects of the remaining security roles.

허용으로 결정된 경우, 원래의 시스템콜을 호출하고 거부로 결졍된 경우 프로세스이 중지, 경고 등 정의된 대응행위를 수행한다. 비교인 경우 강제적 접근통제 기능을 수행한다. If it is determined to be allowed, the original system call is called, and if it is determined to be denied, the process performs the defined response actions such as stopping and warning. In case of comparison, it enforces mandatory access control.

(f) 강제적 접근통제부(106)에서는 주체와 객체의 보안등급과 보안카테고리정보를 이용하여 강제적 접근통제 기능을 수행한다. (f) The mandatory access control unit 106 performs a mandatory access control function using the security level and security category information of the subject and the object.

강제적 접근통제에서는 주체와 객체의 보안역할이 같은 경우에만 적용되며 보안등급과 보안카테고리에 대해 MLS(Multi-Level Security) 정책이 적용된다(210).In the mandatory access control, it applies only when the security roles of the subject and the object are the same, and the MLS policy is applied to the security level and the security category (210).

주체의 보안역할 상태가 보안사용-user 상태이고 객체의 보안역할이 보안사용자 역할인 경우(803)와 주체의 보안역할 상태가 시스템관리-user 상태이고 객체의 보안역할이 시스템관리자 역할인 경우(804)에 보안속성인 보안등급과 보안카테고리 정보를 이용하여 강제적 접근통제 정책을 적용한다. 주체의 보안역할 상태가 보안관리-user 상태이고 객체의 보안역할이 보안관리자 역할인 경우(805)에 보안속성 중 보안등급 정보만을 이용하여 강제적 접근통제 정책을 적용한다. When the security role status of the subject is security-user-user and the security role of the object is security-user role (803), and the security role status of the subject is system-user status and the security role of the object is system administrator (804). ) Enforces mandatory access control policy using security attributes and security category information. When the security role state of the subject is the security management-user state and the security role of the object is the security manager role (805), the mandatory access control policy is applied using only the security level information among the security attributes.

MLS 정책에서 허용으로 결정된 경우 원래의 시스템콜을 호출하고 거부로 결정된 경우 프로세스 중지, 경고 등 정의된 대응행위를 수행한다.If it is determined to be allowed by the MLS policy, it calls the original system call, and if it is determined to be denied, it performs defined actions such as process stop and warning.

앞서 상세히 설명한 바와 같이 본 발명의 Windows 시스템의 보안역할 상태전이 모델을 이용한 불법권한이동 차단 및 강제적 접근통제 방법은 사용자와 파일시스템에 대해 보안역할, 보안등급, 보안카테고리 등 보안속성을 설정하고 수정된 MLS(Multi-Level Security) 정책을 적용하여 커널 레벨에서 강제적 접근통제를 행함으로써 Windows 계열의 운영체제에서 해킹 및 시스템 오남용으로부터 시스템을 보호할 수 있다. As described in detail above, the illegal authority movement blocking and mandatory access control method using the security role state transition model of the Windows system of the present invention sets and modifies security attributes such as security role, security level, and security category for the user and file system. By applying MLS (Multi-Level Security) policy, enforced access control at the kernel level can protect the system from hacking and system misuse in the Windows-like operating system.

또한 본 발명의 Windows 시스템의 보안역할 상태전이 모델을 이용한 불법권한이동 차단 및 강제적 접근통제 방법은 사용자의 보안역할을 프로세스 소유자 상태에 기반하여 보안역할 상태로 표현하고 보안역할 상태전이 모델에 정의된 권한이동만을 허용함으로써 해킹 등으로 인하여 불법적 root 권한의 탈취를 차단함으로써 시스템을 보호할 수 있게 된다. In addition, the illegal authority movement blocking and mandatory access control method using the security role state transition model of the Windows system of the present invention expresses the user's security role as the security role state based on the process owner state, and the authority defined in the security role state transition model. By allowing only the movement, the system can be protected by preventing the takeover of illegal root authority due to hacking.

또한 본 발명의 Windows 시스템의 보안역할 상태전이 모델을 이용한 불법권한이동 차단 및 강제적 접근통제 방법은 보안역할 상태에 따른 접근통제 기능을 수행함으로써 불필요한 정책 비교를 사전에 필터링하고 인가된 프로세스에 대해 나머지 정보를 이용하여 강제적 접근통제 기능을 수행함으로써 시스템 부하를 줄일 수 있게 된다. In addition, the illegal rights movement blocking and mandatory access control method using the security role state transition model of the Windows system of the present invention performs an access control function according to the security role state to filter out unnecessary policy comparisons in advance, and provides the remaining information on the authorized process. By using the mandatory access control function, the system load can be reduced.

이상에서 본 발명의 Windows 시스템의 보안역할 상태전이 모델을 이용한 불법권한이동 차단 및 강제적 접근통제 방법에 대한 기술사상을 첨부도면과 함께 서술하였지만 이는 본 발명의 가장 양호한 실시예를 예시적으로 설명한 것이지 본 발명을 한정하는 것은 아니다. 또한, 이 기술분야의 통상의 지식을 가진 자이면 누구나 본 발명의 기술사상의 범주를 이탈하지 않는 범위내에서 다양한 변형 및 모방이 가능함은 명백한 사실이다. In the above description, the technical concept of the illegal permission movement blocking and the forced access control method using the security role state transition model of the Windows system of the present invention has been described with the accompanying drawings. It is not intended to limit the invention. In addition, it is obvious that any person skilled in the art can make various modifications and imitations without departing from the scope of the technical idea of the present invention.

Claims (15)

윈도우 운영체제의 보안커널을 이용하여 보안을 유지하는 방법에 있어서,In the method of maintaining security using the security kernel of the Windows operating system, (a)사용자 보안속성 설정부(101)가 사용자의 보안속성을 설정, 변경, 삭제하고 상기 설정된 보안속성은 커널의 사용자 보안속성 DB(107)에 저장하는 단계; (a) setting, changing, and deleting the security attributes of the user by the user security attribute setting unit 101 and storing the set security attributes in the user security attributes DB 107 of the kernel; (b)파일시스템 보안속성 설정부(102)가 파일시스템 보안속성을 설정, 변경 및 삭제하고 상기 파일시스템 보안속성으로 구성되는 파일시스템 보안속성 테이블(109)을 구성하여 커널에 저장하는 단계; (b) the file system security attribute setting unit 102 setting, changing, and deleting a file system security attribute, and constructing and storing a file system security attribute table 109 configured as the file system security attribute in a kernel; (c)윈도우 운영체제 시스템에서 응용 이벤트가 수행되어 시스템콜이 발생하면, 시스템콜 제어부(103)가 접근통제 관련 시스템콜만 인터셉터하고 나머지 시스템콜은 바이패스 시키는 단계;(c) when an application event is performed in the Windows operating system to generate a system call, the system call controller 103 intercepts only the access control-related system call and bypasses the remaining system call; (d)보안역할 상태전이 설정 및 통제부(104)가 인터셉터된 시스템콜의 주체인 프로세스의 발생에 따라 사용자 보안속성 DB(107)를 이용하여, 프로세스 보안역할상태를 포함하는 프로세스 보안속성 테이블을 구성하는 단계와;(d) The security role state transition setting and control unit 104 generates a process security attribute table including the process security role state by using the user security attribute DB 107 according to the occurrence of a process that is the subject of the intercepted system call. Constructing; (e)보안역할 접근통제부(105)가 상기 프로세스 보안속성 테이블에서의 보안역할상태와 파일시스템 보안속성 테이블에서의 보안역할을 비교하여 허가, 거부, 비교 중 어느 하나만 결정하고 비교로 결정된 이벤트에 대해서만 강제적 접근통제부로 전달하는 단계와;(e) The security role access control unit 105 compares the security role status in the process security attribute table with the security role in the file system security attribute table to determine only one of permission, denial, and comparison, and to determine the event. Delivering only to the mandatory access control unit; (f) 상기 강제적 접근통제부(106)는 비교로 결정된 이벤트에 대해서 주체인 프로세스와 객체인 파일시스템의 나머지 보안역할의 보안등급과 보안카테고리정보를 비교한 후 읽기 규칙과 쓰기 규칙에 따라 접근 여부를 결정하도록 강제적 접근통제 정책을 적용하며, 접근통제를 위해 인터셉터되었던 운영체제 시스템콜을 호출하는 단계로 구성되어 있어,(f) The mandatory access control unit 106 compares the security level and security category information of the remaining security roles of the process system and the object file system with respect to the event determined by comparison, and then accesses according to the read rule and the write rule. It applies compulsory access control policy to determine the system and calls the operating system call that was intercepted for access control. 상기 보안커널은 정상적인 프로세스 상태 전이를 보안역할 상태 전이 모델로 변환하고 보안역할 상태에 따른 접근통제 기능을 수행하여 불필요한 정책 비교를 사전에 필터링하고 인가된 프로세스에 대해 보안등급 및 보안카테고리 정보를 이용하여 강제적 접근통제 기능을 수행하는 Windows 시스템의 보안역할 상태전이 모델을 이용한 불법권한이동 차단 및 강제적 접근통제 방법.The security kernel converts normal process state transitions into a security role state transition model and performs an access control function according to the security role state to filter out unnecessary policy comparisons in advance, and uses security level and security category information for authorized processes. Blocking illegal rights movement and compulsory access control method using security role status transition model of Windows system that enforces compulsory access control function. 제 1항에 있어서,The method of claim 1, 상기 (a)단계에서 정의된 사용자 보안속성은 사용자 정보, 보안역할, 보안등급, 보안카테고리를 포함하여 구성되는 것을 특징으로 하는 Windows 시스템의 보안역할 상태전이 모델을 이용한 불법권한이동 차단 및 강제적 접근통제 방법. The user security attributes defined in step (a) are configured to include user information, security role, security level, and security category. Illegal rights movement blocking and mandatory access control using the security role state transition model of the Windows system Way. 제 1항에 있어서,The method of claim 1, 상기 (b)단계에서 정의된 파일시스템 보안속성 테이블은 보안역할 필드, 제어 필드, 보안등급 필드, 보안카테고리 필드를 포함하여 구성되는 것을 특징으로 하는 Windows 시스템의 보안역할 상태전이 모델을 이용한 불법권한이동 차단 및 강제적 접근통제 방법 .The file system security attribute table defined in step (b) is configured to include a security role field, a control field, a security level field, and a security category field. Blocking and forced access control method. 제 2항 혹은 제3항에 있어서,The method according to claim 2 or 3, 상기 사용자의 보안역할과 파일시스템 보안역할 필드는, 각각 시스템 관리의 직무와 administrator 권한의 필요성에 따라 보안관리자, 시스템관리자, 보안사용자, 일반사용자로 구분되는 것을 특징으로 하는 Windows 시스템의 보안역할 상태전이 모델을 이용한 불법권한이동 차단 및 강제적 접근통제 방법 .The security role and file system security role fields of the user are divided into a security administrator, a system administrator, a security user, and a general user according to the duties of the system administrator and the necessity of administrator authority, respectively. Blocking Unauthorized Rights Movement and Compulsory Access Control Using Model. 제 4항에 있어서,The method of claim 4, wherein 상기 보안관리자는 최상위 administrator 역할을 수행하는 사용자로 별도로 인가된 보안관리자이며, The security manager is a user who performs the top-level administrator role and is a separately authorized security manager. 상기 시스템 관리자는 서비스 및 시스템 관리를 위해 administrator 권한이 필요한 인가된 시스템 관리자이며, The system administrator is an authorized system administrator who needs administrator authority for service and system management. 상기 보안사용자는 중요한 자료를 다루기 위하여 보안속성이 부여된 사용자로 user 권한을 갖는 사용자이며,The security user is a user who has been granted security attributes to handle sensitive data, and has a user right. 상기 일반사용자는 보안속성이 부여되지 않으면서 user 권한의 Windows 사용자인 것을 특징으로 하는 Windows 시스템의 보안역할 상태전이 모델을 이용한 불법권한이동 차단 및 강제적 접근통제 방법 .The general user is a Windows user with a user right without a security attribute, and thus illegal authority movement blocking and mandatory access control method using a security role state transition model of a Windows system. 제 1항에 있어서, The method of claim 1, 상기 (c)단계에서, 시스템콜 제어부(103)는 운영체제의 시스템콜 중 접근통제와 관련된 시스템콜을 대치하여 기능을 수행한 후 운영체제의 시스템콜을 호출하는 것을 특징으로 하는 Windows 시스템의 보안역할 상태전이 모델을 이용한 불법권한이동 차단 및 강제적 접근통제 방법 .In step (c), the system call control unit 103 performs a function by replacing a system call related to access control among system calls of an operating system, and then calls a system call of an operating system. Illegal Rights Movement Blocking and Mandatory Access Control Method using Transfer Model. 제 6항에 있어서, The method of claim 6, 상기 시스템콜 제어부(103)는 보안정책 및 보안기능 환경설정을 하도록 제어시스템 콜을 더 포함하여 구성하는 것을 특징으로 하는 Windows 시스템의 보안역할 상태전이 모델을 이용한 불법권한이동 차단 및 강제적 접근통제 방법 .The system call control unit (103) further comprises a control system call to configure a security policy and a security function environment. The illegal authority movement blocking and mandatory access control method using the security role state transition model of the Windows system. 제 1항에 있어서, The method of claim 1, 상기 (d)단계는, 커널에서 인터셉터 된 시스템콜의 주체인 프로세스가 새로이 생성된 프로세스인지 확인하는 단계(202)와;The step (d) may include a step (202) of checking whether a process that is a subject of a system call intercepted by the kernel is a newly created process; 새로 생성된 프로세스인 경우 해당 프로세스에 주체의 보안속성을 부여하도록 기존의 상위 프로세스와 새로 생성된 하위 프로세스의 소유자 권한을 확인하는 단계(203)와;If it is a newly created process, checking the owner authority of the existing parent process and the newly created child process to give the subject security attributes to the process (203); 상위 프로세스의 소유자 권한과 하위 프로세스의 소유자 권한이 같은 경우 상위 프로세스의 보안속성을 하위 프로세스에 상속하는 단계(204)와; If the owner authority of the parent process and the owner authority of the child process are the same, inheriting the security attributes of the parent process to the child process (204); 상위 프로세스와 하위 프로세스의 소유자 권한이 다르면 사용자 정보를 수집하는 단계(205)와;Collecting user information if the owner authority of the upper process and the lower process is different (205); 수집된 사용자 정보와 보안속성을 기반으로 보안역할 상태전이 모델을 적용하여 정당한 권한이동으로 인한 소유자 변경인지 검증하는 단계(206)와;. Verifying whether the change of the owner is caused by a right shift by applying a security role state transition model based on the collected user information and security attributes (206); 불법적인 권한이동이 있을 경우 프로세스에 대해 정의된 대응행위를 수행하고, 정당한 권한이동으로 인한 소유자 변경일 경우 사용자 보안속성 DB와 사용자 정보를 이용하여 프로세스 보안역할 상태 정보를 포함하는 프로세스 보안속성 테이블을 구성하는 단계(207)와;If there is an illegal transfer of rights, perform the defined response action for the process, and if the owner changes due to legitimate transfer of rights, use the user security attributes DB and user information to create a process security attribute table that contains the process security role status information. Constructing step 207; 상기 상위 프로세스의 보안속성을 상속받았거나(204), 새로운 프로세스에 보안속성이 설정되면(207), 커널에서 주체인 프로세스와 객체인 파일시스템에 대한 정보를 수집하는 단계(208)로 구성되는 것을 특징으로 하는 Windows 시스템의 보안역할 상태전이 모델을 이용한 불법권한이동 차단 및 강제적 접근통제 방법.If inheriting the security attributes of the parent process (204), or if the security attributes are set in the new process (207), the step of collecting information about the file system that is the subject process and the object in the kernel (208) A method for blocking illegal rights movement and forcibly accessing the control system using the security role state transition model of the Windows system. 제 8항에 있어서, The method of claim 8, 상위 프로세스와 하위 프로세스의 소유자 권한이 다른 경우, 사용자 정보를 수집하는 단계(205)에 있어서, 사용자 정보의 수집은 사용자의 로그인 또는 권한이동 경로, 사용자에 대한 시스템 정보, 사용자 보안속성을 포함하여 수집되는 것을 특징으로 하는 Windows 시스템의 보안역할 상태전이 모델을 이용한 불법권한이동 차단 및 강제적 접근통제 방법.If the owner authority of the parent process and the child process is different, in the step of collecting user information (205), the collection of user information is collected including the user's login or permission movement path, system information about the user, and user security attributes. Blocking the illegal rights movement and forced access control method using the security role state transition model of the Windows system, characterized in that. 제 8항에 있어서, The method of claim 8, 상기 프로세스 보안속성 테이블은 보안역할상태 필드(501), 제어 필드(502), 보안등급 필드(503), 보안카테고리 필드(504)로 구성되며,The process security attribute table includes a security role status field 501, a control field 502, a security level field 503, and a security category field 504. 상기 보안역할상태 필드(501)는 프로세스의 사용자 상태 정보를 기반으로 보안역할을 표현하며, The security role status field 501 represents a security role based on user status information of a process. 상기 제어필드(502)에는 프로세스 통제를 위해 사용된 제어 정보를 저장하며, The control field 502 stores control information used for process control, 상기 보안등급 및 보안카테고리 필드(503, 504)는 사용자 보안등급과 보안역할의 하위로 구성된 보안카테고리 정보가 저장되어 있는 것을 특징으로 하는 Windows 시스템의 보안역할 상태전이 모델을 이용한 불법권한이동 차단 및 강제적 접근통제 방법 .The security level and security category fields 503 and 504 store security category information consisting of a user security level and a security role under the security role. Access control method. 제 10항에 있어서, The method of claim 10, 상기 프로세스 보안역할 상태 필드는 사용자의 보안역할과 프로세스 소유자 상태에 따라 보안관리-user 상태(601), 시스템관리-user 상태(602), 보안관리-user 상태(603), 일반사용-user 상태(604), 일반사용-system 상태(605)로 표현되는 것을 특징으로 하는 Windows 시스템의 보안역할 상태전이 모델을 이용한 불법권한이동 차단 및 강제적 접근통제 방법 .The process security role status field may include security management-user status 601, system management-user status 602, security management-user status 603, and general use-user status according to the security role and process owner status of the user. 604), a method for preventing illegal rights movement and mandatory access control using a security role state transition model of a Windows system, characterized by general use-system state 605. 제 1항 혹은 제 11항에 있어서,The method according to claim 1 or 11, 상기 (e)단계는 주체인 상기 프로세스 보안역할상태와 객체의 보안역할에 따라, 주체의 보안역할상태가 일반사용-system 상태인 경우(801) 시스템 동작을 위하여 모든 접근을 허용한다. 주체의 보안역할상태가 일반사용-user 상태인 경우(802) 객체의 보안역할이 일반사용자 역할이면 접근이 허용되고 나머지 보안역할의 객체에 대해 접근이 거부된다. 주체의 보안역할상태가 보안사용-user 상태인 경우(803) 객체의 보안역할이 일반사용자 역할이면 접근이 허용되고 객체의 보안역할이시스템관리자 역할 및 보안관리자 역할이면 접근이 거부되며 객체의 보안역할이 보안사용자 역할이면 강제적 접근통제부(106)에서 보안속성이 비교되며,Step (e) allows all access for system operation when the subject's security role state is a general use-system state according to the process security role state and the object's security role. If the security role state of the subject is the general user-user state (802), if the security role of the object is the general user role, access is allowed and access is denied to the objects of the remaining security roles. If the security role status of the subject is security-user status (803), access is allowed if the security role of the object is a normal user role, access is denied if the security role of the object is a system administrator role or security administrator role, and the security role of the object. If this is a security user role, the compulsory access control unit 106 compares the security attributes, 주체의 보안역할상태가 시스템관리-user 상태인 경우(804) 객체의 보안역할이 일반사용자 역할이면 접근이 허용되고 객체의 보안역할이 보안사용자 역할 및 보안관리자 역할이면 접근이 거부되며 객체의 보안역할이 시스템관리자 역할이면 강제적 접근통제부(106)에서 보안속성이 비교되며,If the security role status of the subject is system management-user status (804), access is allowed if the security role of the object is a normal user role, access is denied if the security role of the object is a security user role and security administrator role, and the security role of the object. If this system administrator role, security attributes are compared in the compulsory access control unit 106, 주체의 보안역할상태가 보안관리-user 상태인 경우(804) 객체의 보안역할이 보안관리자 역할이면 강제적 접근통제부(106)에서 보안속성이 비교되고 나머지 보안역할의 객체에 대한 접근은 허가되는 것을 특징으로 하는 Windows 시스템의 보안 역할 상태전이 모델을 이용한 불법권한이동 차단 및 강제적 접근통제 방법 .If the security role status of the subject is security management-user status (804), if the security role of the object is the security administrator role, the compulsory access control unit 106 compares the security attributes and grants access to the objects of the remaining security roles. A method for blocking illegal rights movement and mandatory access control using the security role state transition model of the Windows system. 제 12항에 있어서,The method of claim 12, 상기 허가로 결정된 경우 원래의 시스템콜을 호출하고 거부로 결정된 경우 프로세스에 정의된 대응행위를 수행하는 것을 특징으로 하는 Windows 시스템의 보안역할 상태전이 모델을 이용한 불법권한이동 차단 및 강제적 접근통제 방법 .The illegal authority movement blocking and mandatory access control method using the security role state transition model of the Windows system, characterized by calling the original system call when determined as the permission, and performing a corresponding action defined in the process when it is determined as the denial. 제 1항에 있어서,The method of claim 1, 상기 (f)단계는, Step (f), 주체의 보안역할 상태가 보안사용-user 상태이고 객체의 보안역할이 보안사용자 역할인 경우(803)와 주체의 보안역할 상태가 시스템관리-user 상태이고 객체의 보안역할이 시스템관리자 역할인 경우(804)에 보안속성인 보안등급과 보안카테고리 정보를 이용하여 강제적 접근통제 정책을 적용하며,When the security role status of the subject is security-user-user and the security role of the object is security-user role (803), and the security role status of the subject is system-user status and the security role of the object is system administrator (804). ) Enforces mandatory access control policy using security attributes and security category information. 주체의 보안역할 상태가 보안관리-user 상태이고 객체의 보안역할이 보안관리자 역할인 경우(805)에 보안속성 중 보안등급 정보만을 이용하여 강제적 접근통제 정책을 적용하는 것을 특징으로 하는 Windows 시스템의 보안역할 상태전이 모델을 이용한 불법권한이동 차단 및 강제적 접근통제 방법.When the subject's security role is the security management-user state and the object's security role is the security manager role (805), the mandatory access control policy is applied using only the security level information among the security attributes. Blocking illegal rights movement and mandatory access control using role state transition model. 제 14항에 있어서,The method of claim 14, 강제적 접근 통제 정책에서 허용으로 결정된 경우 원래의 시스템콜을 호출하고 거부로 결정된 경우 프로세스에 정의된 대응행위를 수행하는 것을 특징으로 하는 Windows 시스템의 보안역할 상태전이 모델을 이용한 불법권한이동 차단 및 강제적 접근통제 방법.Blocking the illegal rights movement and mandatory access using the security role state transition model of the Windows system, which calls the original system call if it is determined to be allowed in the mandatory access control policy, and performs the defined actions in the process if it is determined to be denied. Control method.
KR1020060131827A 2006-12-21 2006-12-21 Method for illegal privilege flow prevention and mandatory access control using the state transition model of security role in window system KR100853723B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020060131827A KR100853723B1 (en) 2006-12-21 2006-12-21 Method for illegal privilege flow prevention and mandatory access control using the state transition model of security role in window system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020060131827A KR100853723B1 (en) 2006-12-21 2006-12-21 Method for illegal privilege flow prevention and mandatory access control using the state transition model of security role in window system

Publications (2)

Publication Number Publication Date
KR20080057919A KR20080057919A (en) 2008-06-25
KR100853723B1 true KR100853723B1 (en) 2008-08-25

Family

ID=39803640

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060131827A KR100853723B1 (en) 2006-12-21 2006-12-21 Method for illegal privilege flow prevention and mandatory access control using the state transition model of security role in window system

Country Status (1)

Country Link
KR (1) KR100853723B1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108881219A (en) * 2018-06-14 2018-11-23 郑州云海信息技术有限公司 A kind of file permission management method and system based on forced symmetric centralization

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20020033859A (en) * 2000-10-30 2002-05-08 송영호 Linux security kernel

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20020033859A (en) * 2000-10-30 2002-05-08 송영호 Linux security kernel

Also Published As

Publication number Publication date
KR20080057919A (en) 2008-06-25

Similar Documents

Publication Publication Date Title
US9917863B2 (en) Method and system for implementing mandatory file access control in native discretionary access control environments
US20090282457A1 (en) Common representation for different protection architectures (crpa)
JP2007524148A (en) Trusted computer system
TW200830141A (en) Analyzing access control configurations
MX2011000019A (en) A system and method of data cognition incorporating autonomous security protection.
US20220366078A1 (en) Systems and Methods for Dynamically Granting Access to Database Based on Machine Learning Generated Risk Score
CN105827645B (en) Method, equipment and system for access control
CN106228078A (en) Safe operation method based on enhanced ROST under Linux
Mudarri et al. Security fundamentals: access control models
KR100853722B1 (en) METHOD FOR ILLEGAL PRIVILEGE FLOW PREVENTION AND MANDATORY ACCESS CONTROL USING THE STATE TRANSITION MODEL OF SECURITY ROLE IN Unix/Linux SYSTEM
Naldurg et al. Netra: seeing through access control
CN112685729B (en) Special mandatory access control method, system, electronic equipment and storage medium
JPH0341535A (en) Forced execution method of security protection in computer-system
RU2405198C2 (en) Integrated access authorisation
De Capitani di Vimercati et al. Authorization and access control
KR100853723B1 (en) Method for illegal privilege flow prevention and mandatory access control using the state transition model of security role in window system
Lee Essays about computer security
Xu et al. A study on confidentiality and integrity protection of SELinux
Patil et al. Database Access Control Policies
Kang et al. Extended BLP security model based on process reliability for secure Linux kernel
Langmead Comparative Evaluation of Access Control Models
Song et al. Using acl2 to verify security properties of specification-based intrusion detection systems
Jaidi Advanced access control to information systems: Requirements, compliance and future directives
KR100454231B1 (en) Extended BLP Security System
Yadav et al. Review on database access control mechanisms and models

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20120817

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20130809

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20140813

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20150813

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20160811

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20170810

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20180809

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20191111

Year of fee payment: 12