KR100985073B1 - Apparatus for controlling access to shared folders on computer networks and method thereof - Google Patents

Apparatus for controlling access to shared folders on computer networks and method thereof Download PDF

Info

Publication number
KR100985073B1
KR100985073B1 KR1020070104329A KR20070104329A KR100985073B1 KR 100985073 B1 KR100985073 B1 KR 100985073B1 KR 1020070104329 A KR1020070104329 A KR 1020070104329A KR 20070104329 A KR20070104329 A KR 20070104329A KR 100985073 B1 KR100985073 B1 KR 100985073B1
Authority
KR
South Korea
Prior art keywords
access
folder
network
file
determining whether
Prior art date
Application number
KR1020070104329A
Other languages
Korean (ko)
Other versions
KR20090038980A (en
Inventor
김성현
Original Assignee
주식회사 안철수연구소
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 안철수연구소 filed Critical 주식회사 안철수연구소
Priority to KR1020070104329A priority Critical patent/KR100985073B1/en
Publication of KR20090038980A publication Critical patent/KR20090038980A/en
Application granted granted Critical
Publication of KR100985073B1 publication Critical patent/KR100985073B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6209Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/16File or folder operations, e.g. details of user interfaces specifically adapted to file systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Databases & Information Systems (AREA)
  • Medical Informatics (AREA)
  • Human Computer Interaction (AREA)
  • Data Mining & Analysis (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)

Abstract

네트워크 공유폴더 접근 제어 장치 및 방법에 관한 것이다. 본 발명의 실시 예에 따른 네트워크 공유폴더 접근 제어 장치는 네트워크 공유 폴더가 저장되어 있는 파일저장장치와, 파일저장장치 내에 저장된 폴더 또는 파일에 대한 동작을 제어하는 파일 시스템과, 폴더 또는 파일에 대한 접근이 네트워크로 연결된 외부 컴퓨터로부터의 접근인지 여부를 판정하는 네트워크 접근 감지부와, 네트워크 접근 감지부의 판정 결과 폴더 또는 파일에 대한 접근이 네트워크로 연결된 외부 컴퓨터로부터의 접근인 경우 폴더 또는 파일에 대한 접근의 허용 여부를 판정하는 접근 제어부와, 접근 제어부의 판정 결과에 따라 네트워크 공유 폴더에 대한 접근을 허용하거나 차단하는 처리부를 포함하는 것을 특징으로 한다.The present invention relates to a network shared folder access control apparatus and method. An apparatus for accessing a network shared folder according to an embodiment of the present invention includes a file storage device in which a network shared folder is stored, a file system for controlling an operation on a folder or file stored in the file storage device, and access to a folder or file. A network access detector for determining whether the access is from an external computer connected to the network, and if the access to the folder or file is from an external computer connected to the network, And an access control unit for determining whether to allow or not, and a processing unit for allowing or blocking access to the network shared folder according to the determination result of the access control unit.

파일시스템, 필터, 공유폴더, 접근, 네트워크 File System, Filter, Shared Folder, Access, Network

Description

네트워크 공유폴더 접근 제어 장치 및 방법{APPARATUS FOR CONTROLLING ACCESS TO SHARED FOLDERS ON COMPUTER NETWORKS AND METHOD THEREOF}Apparatus and method for accessing a network share folder {APPARATUS FOR CONTROLLING ACCESS TO SHARED FOLDERS ON COMPUTER NETWORKS AND METHOD THEREOF}

본 발명은 네트워크(network) 공유폴더 접근 제어장치 및 방법에 관한 것으로, 특히 네트워크로 다수의 PC(personal computer)가 연결되는 환경에서 외부 네트워크로부터 사용자 PC 시스템 내부의 폴더나 파일 접근 및 조작을 감지하고 차단하는데 있어서, 네트워크를 통한 외부 PC의 공유폴더 접근 요청이 공유폴더내에 폴더 또는 파일 생성 등과 같은 파일 동작을 위한 접근 인 경우 파일 시스템 필터(file system filter)를 이용하여 이를 감지하고 미리 설정된 보안정책에 따라 공유폴더내 접근을 효과적으로 제어하는 네트워크 공유 폴더 접근 제어 장치 및 방법에 관한 것이다.The present invention relates to a network shared folder access control device and method, and more particularly, to detect a folder or file access and manipulation inside a user PC system from an external network in an environment where a plurality of personal computers are connected to a network. In blocking, if the request for accessing a shared folder from an external PC via a network is for accessing a file such as a folder or a file created in the shared folder, a file system filter is used to detect the file and apply the preset security policy. Accordingly, the present invention relates to a network shared folder access control apparatus and method for effectively controlling access in a shared folder.

통상적으로, 다수의 PC가 네트워크로 연결되는 환경에서 보안상의 이유로 외부 PC로부터의 접근을 제어하기 위한 각 사용자 PC내 네트워크 공유폴더 제어 장치는 대부분 네트워크 필터를 이용하여 구현되어 있다. In general, a network shared folder control device in each user PC for controlling access from an external PC for security reasons in the environment in which multiple PCs are connected to a network is mostly implemented using a network filter.

이때 네트워크 필터에서 네트워크 공유폴더 제어를 하려면 모든 네트워크 패킷(packet)을 일일이 감시하면서 네트워크 공유폴더에 대한 패킷인지 검사해야 하고 네트워크 공유폴더에 대한 패킷이라면 접근 제어 대상인지 아닌지 판단하기 위한 비교 데이터를 추출하기 위해서 특정 단위로 패킷을 재 조합하는 과정을 포함해야 한다. At this time, in order to control the network share folder in the network filter, all network packets should be monitored and inspected whether the packet is for the network share folder. In order to do this, the process of reassembling packets should be included.

그러나, 위와 같이 종래 네트워크 필터에서 네트워크로 연결된 다수의 PC로부터의 접근을 제어하기 위해 네트워크 패킷을 모두 감시하고 재 조합하는 과정은 많은 컴퓨터 연산이 수반되는 작업으로서 컴퓨터의 성능을 저하시키는 문제점이 있었다.However, the process of monitoring and recombining all network packets to control access from a plurality of PCs connected to a network in the conventional network filter as described above has a problem of degrading the performance of the computer as a task involving many computer operations.

따라서 본 발명은 종래 네트워크 필터를 이용하는 네트워크 공유폴더 제어시 네트워크 필터에서 네트워크로부터 접근하는 모든 패킷을 감시하고 재 조합하는 과정을 통해 발생되는 사용자 PC의 성능 상 부담을 해결하며, 컴퓨터 연산을 많이 차지하는 네트워크 패킷 처리부를 제거함으로써 컴퓨터의 성능을 향상시키기 위해 안출된 것으로, 네트워크를 통한 외부 PC로부터의 접근 요청이 사용자 PC의 공유폴더 또는 공유 폴더내 파일의 생성 등의 파일 동작을 위한 접근 인 경우 파일시스템 필터를 이용하여 이를 감지하고 미리 설정된 보안정책에 따라 네트워크로부터의 공유폴더내 접근을 효과적으로 제어하여 시스템의 성능을 향상시킬 수 있는 네트워크 공유 폴더 접근 제어 장치 및 방법을 제공함에 있다.Therefore, the present invention solves the performance burden of the user PC generated by the process of monitoring and recombining all packets accessed from the network in the network filter when controlling the network share folder using a conventional network filter, a network that takes up a lot of computer operation It is designed to improve the performance of the computer by removing the packet processing unit. When the access request from an external PC through the network is for a file operation such as creation of a file in a shared folder or a shared folder of a user PC, the file system filter The present invention provides a network shared folder access control apparatus and method for improving the performance of a system by detecting this by using and effectively controlling access in a shared folder from a network according to a preset security policy.

상술한 본 발명은 네트워크 공유폴더 접근 제어장치로서, 네트워크 공유 폴더가 저장되어 있는 파일저장장치와, 상기 파일저장장치 내에 저장된 폴더 또는 파일에 대한 동작을 제어하는 파일 시스템과, 상기 폴더 또는 파일에 대한 접근이 네트워크로 연결된 외부 컴퓨터로부터의 접근인지 여부를 판정하는 네트워크 접근 감지부와, 상기 네트워크 접근 감지부의 판정 결과 상기 폴더 또는 파일에 대한 접근이 상기 네트워크로 연결된 외부 컴퓨터로부터의 접근인 경우 상기 폴더 또는 파일에 대한 접근의 허용 여부를 판정하는 접근 제어부를 포함하되,상기 네트워크 접근 감지부는, 상기 네트워크의 공유폴더에 대한 폴더 또는 파일 동작을 실행중인 프로세스의 쓰레드내의 보안 속성 정보를 이용하여 상기 폴더 또는 파일에 대한 접근이 상기 네트워크로 연결된 외부 컴퓨터로부터의 접근인지 여부를 판정하는 것을 특징으로 한다.The present invention described above is a network shared folder access control device, comprising: a file storage device storing a network shared folder, a file system for controlling an operation on a folder or file stored in the file storage device, and A network access detector for determining whether access is from an external computer connected to a network, and if the access to the folder or file is from an external computer connected to the network as a result of the determination of the network access detector, the folder or And an access control unit for determining whether to allow access to a file, wherein the network access detection unit uses the folder or file using security attribute information in a thread of a process executing a folder or file operation on a shared folder of the network. Access to the network It is characterized by determining whether or not access from an external computer connected to.

또한, 본 발명은 네트워크 공유폴더 접근 제어 방법으로서, 파일저장장치 내에 저장된 폴더 또는 파일에 대한 접근이 네트워크로 연결된 외부 컴퓨터로부터의 접근인지 여부를 판정하는 단계와, 상기 폴더 또는 파일에 대한 접근이 상기 네트워크로 연결된 외부 컴퓨터로부터의 접근인 경우 상기 폴더 또는 파일에 대한 접근의 허용 여부를 판정하는 단계를 포함하되,상기 네트워크로 연결된 외부 컴퓨터로부터의 접근인지 여부를 판정하는 단계는, 상기 네트워크의 공유폴더에 대한 폴더 또는 파일 동작을 실행중인 프로세스의 쓰레드내의 보안 속성 정보를 이용하여 판정하는 단계를 포함하는 것을 특징으로 한다.In addition, the present invention provides a network shared folder access control method, comprising: determining whether access to a folder or file stored in a file storage device is from an external computer connected to a network, and access to the folder or file is In the case of access from an external computer connected to a network, the method may include determining whether to allow access to the folder or file, and determining whether the access is from an external computer connected to the network. And determining the folder or file operation for the server using the security attribute information in the thread of the running process.

본 발명에서는 외부 네트워크로부터 컴퓨터 시스템 내부의 폴더나 파일 접근 및 조작을 감지하고 차단하는데 있어서 네트워크 필터를 사용하지 않고 파일시스템 필터를 사용하여 외부 네트워크로부터의 폴더나 파일에 대한 접근 및 조작을 효과적으로 제어함으로써 많은 컴퓨터 연산이 수반되는 네트워크 패킷의 감시와 재 조합 작업을 제거하고 컴퓨터 시스템의 성능을 향상시키는 이점이 있다.In the present invention, by effectively controlling access and manipulation of a folder or file from an external network using a file system filter without using a network filter in detecting and blocking a folder or file access and manipulation inside a computer system from an external network. This has the benefit of eliminating the monitoring and reassembly of network packets, which involve many computer operations, and improving the performance of computer systems.

이하, 첨부된 도면을 참조하여 본 발명의 동작 원리를 상세히 설명한다. 하기에서 본 발명을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다. Hereinafter, with reference to the accompanying drawings will be described in detail the operating principle of the present invention. In the following description of the present invention, if it is determined that a detailed description of a known function or configuration may unnecessarily obscure the subject matter of the present invention, the detailed description thereof will be omitted. Terms to be described later are terms defined in consideration of functions in the present invention, and may be changed according to intentions or customs of users or operators. Therefore, the definition should be made based on the contents throughout the specification.

본 발명의 구체적인 핵심 기술요지를 살펴보면, 외부 네트워크로부터 컴퓨터 시스템 내부의 폴더나 파일 접근 및 조작을 감지하고 차단하는데 있어서 네트워크 필터를 사용하지 않고 파일시스템 필터를 사용함으로써 많은 컴퓨터 연산이 수반되는 네트워크 패킷의 감시와 재 조합 작업을 제거하여 컴퓨터 시스템의 성능을 향상시키는 기술을 통해 본 발명에서 이루고자 하는 바를 쉽게 달성할 수 있다.Looking at the specific core technical aspect of the present invention, by using a file system filter instead of a network filter in detecting and blocking the access and manipulation of a folder or file inside the computer system from an external network, the network packet that involves many computer operations Techniques for improving the performance of computer systems by eliminating monitoring and recombination tasks can be readily accomplished by the present invention.

도 1은 본 발명에 따른 네트워크 공유폴더 제어 장치의 개략적인 블록도를 도시한 것으로, LAN(local area network)(100) 등의 네트워크로 연결된 다수의 외부 PC들(PC1, PC2, PC3, PC4)이 사용자 PC 시스템(100)의 파일저장장치(106)내 네트워크 공유폴더(108)와 그 안에 포함하고 있는 파일들에 접근하려고 하는 경우를 예를 들어 설명하기로 한다. 이때, 본 발명의 네트워크 공유폴더 접근 제어 장치(102)는 컴퓨터 시스템(10) 내부에 설치되어 있어서 네트워크로 연결된 다수의 외부 PC들(PC1, PC2, PC3, PC4)이 네트워크 공유폴더(108)에 접근하기 전에 접근 제어를 실시하도록 구성하는 것이 바람직하다.1 is a schematic block diagram of an apparatus for controlling a network shared folder according to the present invention, wherein a plurality of external PCs PC1, PC2, PC3, and PC4 connected to a network such as a local area network (LAN) 100 are illustrated. A case where an attempt is made to access the network share folder 108 in the file storage device 106 of the user PC system 100 and the files contained therein will be described as an example. At this time, the network share folder access control device 102 of the present invention is installed inside the computer system 10, a plurality of external PCs (PC1, PC2, PC3, PC4) connected to the network in the network share folder 108 It is desirable to configure access control before access.

이하, 위 도 1을 참조하여 네트워크 공유폴더 제어 장치의 동작을 상세히 살펴보도록 한다. 본 발명의 실시 예에 따른 네트워크 공유폴더 제어 장치는 사용자 PC 시스템(100) 내부에서 네트워크상 외부 PC들(PC1, PC2, PC3, PC4)이 네트워크 공유폴더에 접근하기 전에 먼저 접근을 제어하기 위해 모든 네트워크(110)로 연결된 외부 PC들(PC1, PC2, PC3, PC4)로부터 접근되는 모든 파일 동작을 파일시스템 필터를 이용하여 감시하는 방법을 사용한다. 실제로 본 발명에서는 사용자 PC 시스템(100)에서 발생하는 모든 파일 동작을 감시하기 때문에 사용자가 공유해 놓은 네트워크 공유폴더(108) 뿐만 아니라 사용자가 공유하지 않고 기본적으로 설정되어 있는 관리목적 공유폴더에 대한 접근도 감시하고 그 외에 사용자 PC 시스템(100)에서 사용 가능한 모든 폴더/파일에 대한 접근을 감시한다.Hereinafter, the operation of the network shared folder control apparatus will be described in detail with reference to FIG. 1. Network shared folder control apparatus according to an embodiment of the present invention is to control the access before the external PCs (PC1, PC2, PC3, PC4) on the network inside the user PC system 100 to access the network share folder first; A method of monitoring all file operations accessed from external PCs PC1, PC2, PC3, and PC4 connected to the network 110 using a file system filter is used. In fact, in the present invention, since all file operations occurring in the user PC system 100 are monitored, not only the network share folder 108 shared by the user, but also access to the management purpose shared folder which is basically set without the user sharing. In addition to monitoring the access to all folders / files available in the user PC system (100).

즉, 네트워크 공유폴더 접근 제어장치(102)는 모든 폴더나 파일 동작을 감시하면서 네트워크 공유폴더(108)나 공유폴더가 포함하는 파일에 대한 접근 요청에 대해서는 제어를 수행하여 허용된 접근에 대해서는 파일시스템(104)으로 전달하여 파일저장장치(106)에 존재하는 폴더나 파일을 사용할 수 있게 하고 차단된 접근에 대해서는 파일시스템(106)으로 전달하지 않고 오류를 반환하는 방법을 사용한다.That is, the network share folder access control unit 102 monitors all folder or file operations and performs control on an access request for a file included in the network share folder 108 or a shared folder, thereby allowing the file system to access. By passing to 104, a folder or file existing in the file storage device 106 can be used, and an error is returned without blocking to the file system 106 for blocked access.

도 2는 상기 도 1에 도시된 네트워크 공유폴더 접근 제어장치(102)의 상세 블록도를 도시한 것으로, 이하, 위 도 2를 참조하여 네트워크 공유폴더 접근 제어장치 각 구성요소의 동작을 보다 상세히 설명하기로 한다.FIG. 2 is a detailed block diagram of the network share folder access control apparatus 102 shown in FIG. 1, and the operation of each component of the network share folder access control apparatus will be described in detail with reference to FIG. 2. Let's do it.

먼저 네트워크 접근 감지부(200)는 파일시스템 필터를 통해 네트워크로 연결된 다수의 외부 PC들(PC1, PC2, PC3, PC4)로부터 네트워크 공유폴더(108)내 폴더 또는 파일 동작을 위한 접근 요청이 있는지 여부를 감지한다.First, the network access detecting unit 200 determines whether there is an access request for a folder or file operation in the network shared folder 108 from a plurality of external PCs PC1, PC2, PC3, and PC4 connected to the network through a file system filter. Detect it.

이때, 네트워크 접근 감지부(200)는, 예를 들어 파일시스템 필터를 통해 네트워크 공유폴더(108)에 대한 폴더 또는 파일 동작을 실행중인 내부 자원 또는 외 부 PC들로부터 생성된 프로세스(process)의 쓰레드(thread)에서 보안 속성을 검사하여, 상기 프로세스가 접근할 수 있는 객체(object)들의 접근 권한 정보를 저장하고 있는 액세스 토큰(access token)을 구한 후, 액세스 토큰 정보로부터 자신을 생성한 소스 모듈(source module)의 이름을 확인하여 폴더 또는 파일에 대한 접근이 사용자의 PC 내부 자원에 의한 것인지 또는 네트워크에 연결된 외부 PC에 의한 것인지 여부를 판단하게 된다.At this time, the network access detecting unit 200 is a thread of a process generated from an internal resource or external PCs executing a folder or file operation on the network shared folder 108 through, for example, a file system filter. (thread) examines the security attributes, obtains an access token that stores access rights information of objects accessible by the process, and then generates a source module that generates itself from the access token information ( By checking the name of the source module, it is determined whether the access to the folder or file is by a user's internal resources of the user or by an external PC connected to the network.

즉, 예를 들어 액세스 토큰을 생성한 소스 모듈의 이름이, NtLmSsp(NT Lan Manager Security Support Provider) 또는 KSecDD(NT Lan Manager Security Support Provider)인 경우, 상기 네트워크에 연결된 외부 PC들(PC1, PC2, PC3, PC4)로부터의 상기 공유폴더에 대한 폴더 또는 파일 동작 접근인 것을 판단하게 된다. 쓰레드의 보안특성을 이용한 네트워크 접근 감지는 일 실시 예에 불과하며, 본 발명의 권리범위는 이에 한정되지 않는다.That is, for example, when the name of the source module that generated the access token is NT Lan Manager Security Support Provider (NtLmSsp) or NT Lan Manager Security Support Provider (KSecDD), external PCs (PC1, PC2, It is determined that the folder or file operation access to the shared folder from PC3, PC4). Network access detection using a thread's security feature is only an embodiment, and the scope of the present invention is not limited thereto.

접근 제어부(202)는 폴더 또는 파일에 대한 접근이 네트워크로 연결된 외부 PC로부터의 접근일 경우 그 접근의 허용 여부를 소정의 기준에 따라 판정한다. 이 때 접근 허용 여부를 판정하는 기준은 미리 설정된 보안 정책이 될 수도 있고 사용자로부터 허용 여부를 입력받을 수도 있다.The access control unit 202 determines whether to allow the access according to a predetermined criterion when the access to the folder or the file is from an external PC connected through a network. In this case, a criterion for determining whether to allow access may be a preset security policy or may be input by a user.

이때 접근 제어부(202)는 네트워크상의 외부 PC들로부터의 접근에 대해 허용 또는 차단시키는 제어를 수행함에 있어서, 사용자에 의해 미리 설정된 보안 정책에 의해 판단하는 방법, 네트워크로부터 접근중인 폴더나 파일 경로 이름 중 일부(예로서, 확장자, 파일이름, 폴더이름 등)를 기준으로 미리 설정된 보안 정책과 비교 하여 허용하거나 차단하는 방법, 네트워크로부터 접근중인 파일의 내용을 기준으로 작성된 정책과 비교하여 허용하거나 차단하는 방법을 사용할 수 있다. At this time, the access control unit 202 performs a control to allow or block access from external PCs on the network, which is determined by a security policy set by a user, among folder or file path names being accessed from the network. How to allow or block in comparison with the security policy set based on a part (for example, extension, file name, folder name, etc.), and how to allow or block in comparison with the policy created based on the contents of the file being accessed from the network. Can be used.

한편, 다른 실시 예에서는 사용자에게 네트워크로 연결된 외부 PC로부터 네트워크 공유폴더 또는 공유폴더내의 파일에 대한 접근요청이 있음을 알리고 사용자로부터 접근 차단 여부에 대한 승인을 받을 수 있다. Meanwhile, in another exemplary embodiment, the user may be notified of an access request for a network shared folder or a file in the shared folder from an external PC connected to the network, and may receive approval from the user for access blocking.

또한, 다른 실시예에서는 접근 제어부가 네트워크상 외부 PC들로부터의 폴더 또는 파일에 대한 접근이 네트워크 공유폴더(108)내 폴더 또는 파일 동작 요청인지 여부를 판정하고 이에 해당할 경우에만 폴더 또는 파일에 대한 접근의 허용 여부를 판정할 수도 있다(공유폴더에 대한 접근 여부를 판정하는 주체가 네트워크 접근 감지부인지 접근 제어부인지 확인 바람). Further, in another embodiment, the access control unit determines whether access to a folder or file from external PCs on the network is a request for a folder or file operation in the network shared folder 108, and only if the access to the folder or file is performed. It is also possible to determine whether to allow access (please check whether the subject determining the access to the shared folder is the network access detection unit or the access control unit).

이상 언급된 접근 제어부(202)에서의 접근 제어 방법에 대해서는 후술되는 도 3 및 도 4의 설명에서 상세히 설명하기로 한다.The above-described access control method in the access control unit 202 will be described in detail with reference to FIGS. 3 and 4 described later.

접근 차단 처리부(204)는 접근 제어부(202)에 의해 접근 차단으로 판단된 외부 PC들에 대해서는 네트워크 공유폴더(108)로의 폴더 또는 파일 동작을 차단시키고 오류값을 반환한다. 접근 허용 처리부(206)는 접근 제어부(204)에 의해 접근 허용으로 판단된 외부 PC들에 대해 파일시스템(104)으로 하여금 네트워크 공유폴더(108)로의 정상적인 폴더 또는 파일 동작을 수행하게 한다.The access blocking processing unit 204 blocks the folder or file operation to the network shared folder 108 for external PCs determined to be blocked by the access control unit 202 and returns an error value. The access permission processing unit 206 causes the file system 104 to perform normal folder or file operations to the network shared folder 108 for the external PCs determined as the access permission by the access control unit 204.

도 3은 본 발명의 실시 예에 따른 네트워크 공유폴더 접근 제어장치에서 네트워크로 연결된 외부 PC들로부터의 네트워크 공유폴더 접근 요청을 허용 또는 차단시키는 동작 제어 흐름을 도시한 것이다. 이하 도 1, 도 2 및 도 3을 참조하여 본 발명의 실시 예를 상세히 설명하기로 한다.3 is a flowchart illustrating an operation control flow of allowing or blocking a network share folder access request from external PCs connected through a network in an apparatus for accessing a network share folder according to an embodiment of the present invention. Hereinafter, embodiments of the present invention will be described in detail with reference to FIGS. 1, 2, and 3.

먼저, 네트워크 접근 감지부(200)는 폴더나 파일 동작을 감시하는 상황에서 파일저장장치(106)내 폴더 또는 파일에 대한 접근이 있는지 여부를 검사한다(S300).First, the network access detecting unit 200 checks whether there is access to a folder or file in the file storage device 106 in a situation of monitoring a folder or file operation (S300).

상기 검사결과, 만일 파일저장장치(106)내 폴더 또는 파일에 대한 접근이 있는 경우 네트워크 접근 감지부(200)는 상기 폴더 또는 파일에 대한 접근이 PC내부로부터의 접근인지 네트워크로부터의 접근인지 여부를 검사한다(S302).As a result of the check, if there is access to a folder or file in the file storage device 106, the network access detecting unit 200 determines whether the access to the folder or file is from the inside of the PC or from the network. Inspect (S302).

이때, 네트워크 접근 감지부(200)에서 네트워크로부터 접근하는 폴더나 파일 동작을 판단하는 방법으로는 현재 네트워크 공유폴더(108)내 폴더 또는 파일 동작을 실행중인 프로세스(process)의 쓰레드(thread)에서 보안 속성을 얻고 보안 속성으로부터 OS의 어떤 모듈에서 이 파일 동작 요청을 시작했는지 파악하는 방법이 있다. In this case, as a method of determining a folder or file operation accessed from the network by the network access detecting unit 200, security in a thread of a process currently executing a folder or file operation in the network shared folder 108 is performed. There is a way to get the attributes and figure out which module in the OS initiated this file action request from the security attributes.

즉, 위와 같은 보안 속성에는 이 프로세스가 접근할 수 있는 객체들의 접근권한을 저장하고 있는 액세스 토큰(access token) 이 포함되어 있는데 이 액세스 토큰의 정보를 OS에 문의하여 이것을 생성한 모듈의 정보를 얻어낼 수 있다. 이렇게 얻어낸 정보가 NT Lan Manager Security Support Provider 인 경우 네트워크에서 접근하여 요청한 파일 동작으로 판단한다. NT Lan Manager Security Support Provider 는 Windows OS 에서 네트워크로부터 접속하는 사용자들을 인증하고 네트워크 자원들을 접근하는 기능을 제공하는 OS 내부 모듈이다. 네트워크 상에 존재하는 외부 컴퓨터 시스템들이 네트워크를 통해서 현재 사용자 PC 시스템에 접근하려 면 현재 PC 시스템 내부의 NT Lan Manager Security Support Provider 가 생성한 액세스 토큰을 가지고 파일 동작을 실행해야 하므로 이것을 특징으로 네트워크로부터 요청된 파일 동작을 판단하는 방법으로 사용할 수 있다.In other words, the above security attributes include an access token that stores the access rights of the objects that this process can access, and asks the OS for the information of this access token to obtain the information of the module that created it. I can make it. If the information obtained is NT Lan Manager Security Support Provider, it is determined that the requested file operation is accessed from the network. NT Lan Manager Security Support Provider is an internal OS module that provides the ability to authenticate users and access network resources from the Windows OS. In order to access the current user's PC system via the network, external computer systems on the network must execute file operations with an access token generated by the NT Lan Manager Security Support Provider inside the current PC system. Can be used as a way to determine the file behavior.

상기와 같은 방법을 이용한 검사결과, 파일저장장치(106)내 폴더 또는 파일에 대한 접근이 네트워크로부터의 접근이 아니라 PC 내부로부터의 접근인 경우 이는 접근 제어부(202)에서의 제어 대상이 아니므로 네트워크 접근 감지부(200)는 위 네트워크로부터 파일저장장치(106)내 공유폴더(108)에 대한 접근 제어를 접근 제어부(202)로 넘기게 된다.As a result of the inspection using the method as described above, if the access to the folder or file in the file storage device 106 is not from the network but from the inside of the PC, the network is not controlled by the access control unit 202. The access sensor 200 transfers the access control for the shared folder 108 in the file storage device 106 to the access control unit 202 from the network.

한편, 다른 실시예에서는 네트워크 감지부의 판정 결과 파일저장장치(106)내 폴더 또는 파일에 대한 접근이 네트워크로부터의 접근인 경우 네트워크 접근 감지부는 접근 제어부로 하여금 폴더 또는 파일에 대한 접근이 파일저장장치(106)내 네트워크 공유폴더(108)내 폴더 또는 파일에 대한 접근인지 여부를 검사하도록 할 수 있다(S304).On the other hand, in another embodiment, as a result of the determination of the network detection unit, when the access to the folder or file in the file storage device 106 is from the network, the network access detection unit causes the access control unit to access the folder or file from the file storage device ( 106, it is possible to check whether or not the access to the folder or file in the network shared folder 108 in the network (S304).

상기 검사결과, 네트워크로부터의 접근이 파일저장장치(106)내 네트워크 공유폴더(108)내 폴더 또는 파일에 대한 접근이 아닌 경우 이를 접근 차단 처리부(204)로 제어를 넘겨 네트워크로부터의 접근을 차단시킬 수 있다(S306). 그러나, 상기 검사결과, 상기 네트워크로부터의 접근이 파일저장장치(106)내 네트워크 공유폴더(108)내 폴더 또는 파일에 대한 접근인 경우 파일저장장치(106)내 공유폴더(108)에 대한 접근 허용 여부를 판정하게 된다.As a result of the check, if the access from the network is not an access to a folder or a file in the network share folder 108 in the file storage device 106, the control is transferred to the access blocking processing unit 204 to block access from the network. It may be (S306). However, as a result of the inspection, if the access from the network is access to a folder or a file in the network shared folder 108 in the file storage device 106, the access to the shared folder 108 in the file storage device 106 is allowed. It is determined whether or not.

접근 제어부(202)는 네트워크로부터 파일저장장치(106)내 공유폴더(108)로의 접근에 대해 미리 설정된 보안 정책에 따라 허용 여부를 판정한 후(S308), 허용되는 접근이 아닌 경우에는 접근 차단 처리부(204)를 통해 접근을 차단시키며(S306), 허용된 접근에 대해서는 접근 허용 처리부(206)를 통해 파일시스템(104)으로 제어를 넘김으로서 접근을 허용시키게 된다(S312). The access control unit 202 determines whether to allow access according to a preset security policy for access to the shared folder 108 in the file storage device 106 from the network (S308). The access is blocked through 204 (S306), and the access is allowed by passing control to the file system 104 through the access permission processing unit 206 for the allowed access (S312).

도 4는 상기 도 2의 네트워크 공유폴더 접근 제어 장치(102)내 접근 제어부(202)에서 네트워크로 연결된 외부 PC들로부터의 네트워크 공유폴더 접근 요청을 허용 또는 차단시키는 동작을 보다 상세히 설명하기 위한 상세 제어 흐름을 도시한 것이다. 이하 위 도 1, 도 2 및 도 4를 참조하여 본 발명의 실시 예를 상세히 설명하기로 한다.4 is a detailed control for explaining in more detail the operation of allowing or blocking a network share folder access request from external PCs connected to a network by the access control unit 202 in the network share folder access control device 102 of FIG. It shows the flow. Hereinafter, embodiments of the present invention will be described in detail with reference to FIGS. 1, 2, and 4.

먼저, 네트워크 접근 감지부(200)로부터 상기 네트워크로부터의 접근이 파일저장장치(106)내 네트워크 공유폴더(108)내 폴더 또는 파일에 대한 접근이 감지되어, 이에 대한 제어가 접근 제어부(202)로 넘겨지는 경우, 접근 제어부(202)에서는 네트워크로부터 파일저장장치(106)내 공유폴더(108)로의 접근에 대한 허용 여부를 판정하게 됨은 상기 도 3에서 설명한 바와 같다.First, access from the network from the network access detecting unit 200 is detected that the access to the folder or file in the network share folder 108 in the file storage device 106, the control to the access control unit 202 In the case of the handover, the access control unit 202 determines whether to allow access to the shared folder 108 in the file storage device 106 from the network as described above with reference to FIG. 3.

따라서, 이하의 설명에서는 네트워크 공유폴더(106)내에 폴더 또는 파일 동작을 위한 네트워크로부터의 접근에 대해 접근 제어부(202)에서 어떤 기준에 따라 접근 허용 여부를 처리하는 동작에 대해 상세히 설명하기로 한다. Therefore, in the following description, an operation of processing access permission according to a certain criteria in the access control unit 202 for the access from the network for folder or file operation in the network shared folder 106 will be described in detail.

접근 제어부(202)에서는 상기 접근의 제어를 위한 판단 방법으로 크게 사용자가 미리 정해놓은 보안정책에 의해 판단하는 방법, 사용자에게 네트워크 접근을 알려주고 사용자의 판단에 의해서 허용하거나 차단하는 방법을 사용할 수 있다. 이 때 미리 정해놓은 보안 정책으로 네트워크 공유폴더로의 접근을 모두 차단하는 방법, 네트워크로부터 접근중인 폴더나 파일 경로 이름 중 일부(예로서, 확장자, 파일이름, 폴더이름 등)를 기준으로 작성된 정책과 비교하여 허용하거나 차단하는 방법, 네트워크로부터 접근중인 파일의 내용 중 특정 데이터가 포함되어 있는지 여부를 기준으로 허용하거나 차단하는 방법 등을 사용하게 된다. In the access control unit 202, a method for determining access control may be largely determined by a security policy predetermined by a user, a method of informing the user of network access, and allowed or blocked by the user's judgment. In this case, the predefined security policy is used to block all access to the network share folder, and the policy created based on a part of the folder or file path name being accessed from the network (for example, extension, file name, folder name, etc.) Compared to allow or block, and to allow or block based on whether or not the specific data contained in the contents of the file being accessed from the network.

즉, 접근 제어부(202)는 사용자에 의해 네트워크로부터 접근하는 모든 파일 사용 요청을 차단하라는 보안 정책이 설정된 경우라면(S324), 사용자 PC 시스템 내부에서 발생하는 파일 사용 요청은 정상적으로 허용해 주지만 네트워크상 외부 PC들로부터 접근하는 파일 사용 요청은 파일시스템 필터를 통해 차단하여 파일 사용을 할 수 없도록 한다(S326). That is, if the access control unit 202 has a security policy set to block all file use requests accessed from the network by the user (S324), the file use request generated inside the user's PC system is normally allowed, but externally on the network. File access requests from PCs are blocked through the file system filter to prevent file use (S326).

이에 따라, 네크워크 상에 존재하는 다른 외부 PC 시스템들이 네트워크 요청을 통해서 현재 사용자 PC 시스템에 새로운 파일을 만들려고 하는 것 등과 같은 시도를 모두 무력화할 수 있다. 보통 웜이나 바이러스가 네트워크 공유폴더에 자신의 복사본을 생성해서 유입되지만 이 방법을 사용할 경우 원천적으로 네트워크 공유폴더를 통한 불특정 파일의 유입을 막을 수 있는 효과가 있는 것이다.Thus, other external PC systems residing on the network can defeat all attempts such as attempting to create a new file on the current user's PC system via a network request. Normally, a worm or virus creates a copy of itself in a network share folder and then introduces it. However, this method has the effect of preventing the inflow of unspecified files through the network share folder.

다른 실시 예에서, 접근 제어부(202)는 사용자에게 네트워크 접근을 알려주고 사용자의 판단에 의해서 네트워크상 외부 PC들(PC1, PC2, PC3, PC4)의 접근을 허용하거나 차단하라는 정책이 설정된 경우라면(S306), 네트워크상 다른 외부 PC들이 네트워크 요청을 통해서 현재 사용자 PC 시스템의 파일을 사용하려고 할 때, 이 요청을 일단 보류시킨 후에 사용자에게 현재 요청된 파일이나 폴더의 이름을 PC 화 면상에 디스플레이하여 이것을 허용할지 차단할지를 사용자가 직접 선택하도록 한다(S308). In another embodiment, the access control unit 202 notifies the user of the network access, and if the policy is set to allow or block the access of external PCs (PC1, PC2, PC3, PC4) on the network at the user's discretion (S306). When other external PCs on the network want to use a file on the current user's PC system through a network request, the request is once held and the user is allowed to display the name of the currently requested file or folder on the PC screen. The user directly selects whether or not to block (S308).

이에 따라, 사용자는 자신이 알고 있는 안전하다고 판단하는 파일이나 폴더 이름을 확인하면 허용을 선택하고 사용자가 모르는 불확실한 파일이나 폴더 이름 또는 새로운 이름이 보여졌을 경우에는 차단을 선택하게 된다. Accordingly, when the user checks a file or folder name that he or she knows to be safe, the user selects allow and selects blocking if an unknown file or folder name or a new name is not known to the user.

그러면, 접근 제어부(202)는 상기 파일이나 폴더 이름의 접근에 대한 사용자의 승인 또는 불승인이 입력되는 경우(S310), 이 결과를 이전에 보류했던 파일 사용 요청에 적용하여 보류를 해제하면서 사용자 판단 결과에 따라 접근 허용 처리부(206)를 통해 상기 접근 요청을 허용하도록 제어하거나(S312), 접근 차단 처리부(204)를 통해 상기 접근 요청을 차단하여(S314) 사용자의 PC 시스템(100)을 보호하게 된다. Then, when the user's approval or disapproval of the access to the file or folder name is input (S310), the access control unit 202 applies the result to a file use request that has been previously held, and releases the user's judgment while canceling the hold. According to the control to allow the access request through the access permission processing unit 206 (S312), or block the access request through the access blocking processing unit 204 (S314) to protect the user's PC system 100 .

또한, 이와 달리 접근 제어부(202)는 네트워크로부터 접근중인 폴더나 파일 경로 이름 중 일부(예로서, 확장자, 파일이름, 폴더이름 등)를 기준으로 네트워크상 외부 PC들의 접근을 허용하거나 차단하라는 보안 정책이 설정된 경우라면(S316), 네트워크상 외부 PC들로부터 접근되는 폴더 또는 파일 이름을 검사한다(S318). Alternatively, the access control unit 202 may allow or block access of external PCs on the network based on a part of a folder or a file path name being accessed from the network (for example, an extension, a file name, a folder name, etc.). If this is set (S316), the folder or file name that is accessed from external PCs on the network is checked (S318).

그런 후, 접근 제어부(202)는 상기 네트워크상 외부 PC들로부터 접근된 폴더 또는 파일 이름이 사용자 PC 시스템 보호를 위해 차단항목으로 설정된 폴더 또는 파일이름 항목에 포함되는지를 검사하여(S320), 차단항목에 포함되지 않은 폴더 또는 파일 동작에 대해서만 선택적으로 접근을 허용하고(S322), 차단항목에 포함된 폴더 또는 파일 동작은 접근을 차단시키게 된다(S314).Then, the access control unit 202 checks whether the folder or file name accessed from the external PCs on the network is included in the folder or file name item set as the block item to protect the user PC system (S320). Access is selectively allowed only for folder or file operations not included in the operation (S322), and the folder or file operation included in the blocking item is blocked from access (S314).

즉, 예를 들어 네트워크로부터 접근하는 파일이 exe 확장자를 가질 경우 접근을 차단하라는 정책을 작성할 수 있다. 이런 경우 네트워크로부터 현재 컴퓨터 시스템 내부의 공유폴더 C:\Shared 라는 폴더에 존재하는 noshare.exe 를 실행하려고 하거나 읽어가려고 하거나 변경하려고 하는 접근에 대해서는 해당 접근을 시도하는 폴더 또는 파일이름이 exe 확장자를 포함하므로 실행, 읽기, 변경 시도를 모두 차단하게 되며, 만약 share.txt 라는 파일을 접근하려고 하는 경우라면 exe 확장자를 가지지 않았으므로 네트워크로부터 접근하여 사용 요청을 하는 경우더라도 사용을 허용하게 된다. 또한, 다른 예로 파일이나 폴더 이름 중 일부를 사용하는 예를 들면, 네트워크로부터 접근하는 파일이나 폴더 이름이 share를 포함할 경우 파일 사용 요청을 차단하라는 정책을 작성할 수 있다. 이런 경우 C:\Shared 라는 폴더이름이 share를 포함하므로 이것에 대한 사용 요청은 항상 차단되고 noshare.exe 라는 파일 역시 이름에 share 를 포함하므로 이 파일이 사용자 PC 시스템(100) 내부의 어떤 폴더에 존재하던지 네크워크로부터 접근하여 사용 요청한 것은 차단된다. For example, you can write a policy to block access if a file accessed from the network has an exe extension. In this case, for access to run, to read, or to change noshare.exe that exists in the shared folder C: \ Shared inside the current computer system from the network, the folder or file name that attempts to access includes the exe extension. Therefore, it blocks all attempts to execute, read, and modify. If you try to access the file named share.txt, it does not have the exe extension, so it is allowed even if you request access from the network. As another example, for example, a file or folder name that uses a part of a file name may be written to block a file use request if the file or folder name accessed from the network includes share. In this case, since the folder name C: \ Shared contains share, the request for use is always blocked, and the file noshare.exe also contains share in the name, so this file exists in any folder inside the user's PC system 100. Access to or requests for use from the network are blocked.

또한, 이와 달리 접근 제어부(202)는 네트워크로부터 접근중인 파일 내용에 따라 네트워크상 외부 PC들의 접근을 허용하거나 차단하라는 보안 정책이 설정된 경우라면(S316), 네트워크상 외부 PC들로부터 접근되는 파일에 포함된 파일의 내용을 확인한다(S318). In addition, the access control unit 202, if the security policy is set to allow or block the access of the external PCs on the network according to the content of the file being accessed from the network (S316), included in the file accessed from the external PCs on the network The contents of the file are checked (S318).

예로써, 상기 보안정책은 파일의 시작위치 + 100 byte 위치에 abcd 라는 문 자열이 존재하는 파일은 악성코드이므로 모두 차단하라는 정책을 설정할 수 있는데, 파일 내용 확인에서는 위와 같은 파일에 특정 데이터의 존재를 확인하게 되는 것이다.For example, the security policy may set a policy to block all files having a string of abcd at the start position + 100 byte of the file because they are malicious codes. Will be confirmed.

즉, 접근 제어부는 상기 네트워크로부터 접근되는 파일에 보안정책상 접근이 제한되는 상기와 같은 특정 데이터가 포함되어 있는지 여부를 검사한 후, 접근이 제한되는 특정 데이터가 포함되어 있지 않으면 접근을 허용하고, 접근이 제한되는 특정 데이터가 포함되어 있는 경우에는 접근을 차단시키게 된다.That is, the access controller checks whether the file accessed from the network includes the specific data as described above in which the access is restricted according to the security policy, and allows access if the specific data to which access is restricted is not included. Access will be blocked if it contains certain data to which access is restricted.

한편 상술한 본 발명의 설명에서는 구체적인 실시 예에 관해 설명하였으나, 여러 가지 변형이 본 발명의 범위에서 벗어나지 않고 실시될 수 있다. 따라서 발명의 범위는 설명된 실시 예에 의하여 정할 것이 아니고 특허청구범위에 의해 정하여져야 한다.While the invention has been shown and described with reference to certain preferred embodiments thereof, it will be understood by those skilled in the art that various changes and modifications may be made without departing from the spirit and scope of the invention. Accordingly, the scope of the invention should not be limited by the described embodiments but should be defined by the appended claims.

도 1은 본 발명의 실시 예에 따른 네트워크 공유폴더 접근 제어 시스템의 네트워크 구성도,1 is a network configuration diagram of a network shared folder access control system according to an embodiment of the present invention;

도 2는 본 발명의 실시 예에 따른 네트워크 공유폴더 접근 제어 장치의 상세 블록 구성도,2 is a detailed block diagram of an apparatus for accessing a network shared folder according to an embodiment of the present invention;

도 3은 본 발명의 실시 예에 따른 네트워크 공유폴더 접근 제어 장치에서 외부 네트워크 PC로부터의 접근을 제어하는 전체 흐름도,3 is an overall flowchart illustrating access control from an external network PC in a network shared folder access control apparatus according to an embodiment of the present invention;

도 4는 본 발명의 실시 예에 따른 네트워크 공유폴더 접근 제어 장치의 접근 제어부의 상세 동작을 보여주는 흐름도.4 is a flowchart illustrating a detailed operation of an access controller of an apparatus for accessing a network shared folder according to an embodiment of the present invention.

<도면의 주요 부호에 대한 간략한 설명><Brief description of the major symbols in the drawings>

102 : 네트워크 공유폴더 접근 제어 장치 104 : 파일시스템102: network share folder access control device 104: file system

106 : 파일 저장장치 108 : 네트워크 공유폴더106: file storage device 108: network share folder

200 : 네트워크 접근 감지부 202 : 접근 제어부200: network access detection unit 202: access control unit

204 : 차단처리부 206 : 허용 처리부204: blocking processing unit 206: allowable processing unit

Claims (23)

삭제delete 네트워크 공유 폴더가 저장되어 있는 파일저장장치와,A file storage device in which a network shared folder is stored; 상기 파일저장장치 내에 저장된 폴더 또는 파일에 대한 동작을 제어하는 파일 시스템과,A file system for controlling an operation on a folder or a file stored in the file storage device; 상기 폴더 또는 파일에 대한 접근이 네트워크로 연결된 외부 컴퓨터로부터의 접근인지 여부를 판정하는 네트워크 접근 감지부와,A network access detecting unit for determining whether access to the folder or file is from an external computer connected to a network; 상기 네트워크 접근 감지부의 판정 결과 상기 폴더 또는 파일에 대한 접근이 상기 네트워크로 연결된 외부 컴퓨터로부터의 접근인 경우 상기 폴더 또는 파일에 대한 접근의 허용 여부를 판정하는 접근 제어부를 포함하되,And an access controller for determining whether to allow access to the folder or file when the access to the folder or file is from an external computer connected to the network as a result of the determination of the network access detection unit. 상기 네트워크 접근 감지부는,The network access detection unit, 상기 네트워크 공유폴더에 대한 폴더 또는 파일 동작을 실행중인 프로세스의 쓰레드내의 보안 속성 정보를 이용하여 상기 폴더 또는 파일에 대한 접근이 상기 네트워크로 연결된 외부 컴퓨터로부터의 접근인지 여부를 판정하는 네트워크 공유폴더 접근 제어 장치.A network share folder access control for determining whether access to the folder or file is from an external computer connected to the network using security attribute information in a thread of a process executing a folder or file operation on the network share folder. Device. 제 2 항에 있어서,The method of claim 2, 상기 네트워크 접근 감지부는,The network access detection unit, 상기 네트워크 공유폴더에 대한 폴더 또는 파일 동작을 실행중인 프로세스의 쓰레드에서 보안 속성을 검사하여, 상기 쓰레드가 접근할 수 있는 객체들의 접근 권한 정보를 저장하고 있는 액세스 토큰 정보로부터 자신을 생성한 소스 모듈의 이름을 확인하여 상기 폴더 또는 파일에 대한 접근이 상기 네트워크로 연결된 외부 컴퓨터로부터의 접근인지 여부를 판정하는 네트워크 공유폴더 접근 제어 장치.In the thread of the process executing the folder or file operation on the network shared folder, the security attribute of the source module is generated from the access token information that stores access rights information of objects accessible by the thread. And checking the name to determine whether the access to the folder or file is from an external computer connected to the network. 제 3 항에 있어서,The method of claim 3, wherein 상기 네트워크 접근 감지부는,The network access detection unit, 상기 액세스 토큰을 생성한 소스 모듈의 이름이, NtLmSsp(NT Lan Manager Security Support Provider) 또는 KSecDD(NT Lan Manager Security Support Provider)인 경우, 상기 폴더 또는 파일에 대한 접근이 상기 네트워크로 연결된 외부 컴퓨터로부터의 접근인 것으로 판단하는 네트워크 공유폴더 접근 제어 장치.If the name of the source module that generated the access token is NT Lan Manager Security Support Provider (NtLmSsp) or NT Lan Manager Security Support Provider (KSecDD), access to the folder or file is from an external computer connected to the network. Network shared folder access control device that is determined to be the access. 제 2 항에 있어서,The method of claim 2, 상기 접근 제어부는,The access control unit, 미리 정해진 보안 정책에 따라 상기 폴더 또는 파일에 대한 접근의 허용 여부를 판정하는 네트워크 공유폴더 접근 제어 장치. Network shared folder access control device for determining whether to allow access to the folder or file in accordance with a predetermined security policy. 제 5 항에 있어서,The method of claim 5, 상기 보안 정책은,The security policy is, 모든 네트워크 공유 폴더에 대한 접근을 차단하는 것인 네트워크 공유폴더 접근 제어 장치. Network shared folder access control device to block access to all network shared folders. 제 5 항에 있어서,The method of claim 5, 상기 보안 정책은,The security policy is, 특정 네트워크 공유 폴더 또는 상기 특정 네트워크 공유 폴더 내의 특정 파일에 대한 접근을 차단하는 것인 네트워크 공유폴더 접근 제어 장치. A device for controlling access to a network shared folder for blocking access to a specific network shared folder or a specific file in the specific network shared folder. 제 7 항에 있어서,The method of claim 7, wherein 상기 접근 차단되는 폴더 또는 파일은The folder or file is blocked from access 그 경로명에 특정 값을 포함하는 네트워크 공유폴더 접근 제어 장치.A network shared folder access control device including a specific value in its path name. 제 5 항에 있어서,The method of claim 5, 상기 보안 정책은,The security policy is, 상기 접근된 파일이 특정 데이터를 포함하고 있는 경우 상기 파일에 대한 접근을 차단하는 것인 네트워크 공유폴더 접근 제어 장치. And if the accessed file contains specific data, block access to the file. 제 2 항에 있어서,The method of claim 2, 상기 접근 제어부는,The access control unit, 사용자로부터 상기 폴더 또는 파일에 대한 접근의 허용 여부에 관한 정보를 입력받고, 상기 입력에 따라 상기 폴더 또는 파일에 대한 접근의 허용 여부를 판정하는 네트워크 공유폴더 접근 제어 장치. And receiving information regarding whether to allow access to the folder or file from a user, and determining whether to allow access to the folder or file according to the input. 제 2 항에 있어서,The method of claim 2, 상기 접근 제어부는,The access control unit, 상기 폴더 또는 파일에 대한 접근이 상기 네트워크 공유 폴더에 대한 접근인 경우에만 그 접근 허용 여부를 판정하는 네트워크 공유폴더 접근 제어 장치.And determining whether to allow the access only when access to the folder or file is access to the network shared folder. 삭제delete 파일저장장치 내에 저장된 폴더 또는 파일에 대한 접근이 네트워크로 연결된 외부 컴퓨터로부터의 접근인지 여부를 판정하는 단계와,Determining whether access to a folder or file stored in the file storage device is from a networked external computer; 상기 폴더 또는 파일에 대한 접근이 상기 네트워크로 연결된 외부 컴퓨터로부터의 접근인 경우 상기 폴더 또는 파일에 대한 접근의 허용 여부를 판정하는 단계를 포함하되,Determining whether access to the folder or file is allowed when the access to the folder or file is from an external computer connected to the network, 상기 네트워크로 연결된 외부 컴퓨터로부터의 접근인지 여부를 판정하는 단계는,Determining whether the access is from an external computer connected to the network, 상기 네트워크의 공유폴더에 대한 폴더 또는 파일 동작을 실행중인 프로세스의 쓰레드내의 보안 속성 정보를 이용하여 판정하는 단계를 포함하는 네트워크 공유폴더 접근 제어 방법.And determining a folder or file operation on a shared folder of the network using security attribute information in a thread of a process executing. 제 13 항에 있어서,The method of claim 13, 상기 보안 속성 정보를 이용하여 판정하는 단계는,The determining by using the security attribute information, 상기 공유폴더에 대한 폴더 또는 파일 동작을 실행중인 프로세스의 쓰레드의 보안 속성을 검사하는 단계와,Checking a security attribute of a thread of a process executing a folder or file operation on the shared folder; 상기 쓰레드가 접근할 수 있는 객체들의 접근 권한 정보를 저장하고 있는 액세스 토큰 정보를 획득하는 단계와,Acquiring access token information that stores access rights information of objects accessible by the thread; 상기 액세스 토큰 정보로부터 자신을 생성한 소스 모듈의 이름을 확인하여 상기 폴더 또는 파일에 대한 접근이 상기 네트워크로 연결된 외부 컴퓨터로부터의 접근인지 여부를 판정하는 단계를 포함하는 네트워크 공유폴더 접근 제어 방법.And determining whether the access to the folder or file is from an external computer connected to the network by checking the name of the source module which generated the self from the access token information. 제 14 항에 있어서,The method of claim 14, 상기 네트워크로 연결된 외부 컴퓨터로부터의 접근인지 여부를 판정하는 단계는,Determining whether the access is from an external computer connected to the network, 상기 액세스 토큰을 생성한 소스 모듈의 이름이, NtLmSsp(NT Lan Manager Security Support Provider) 또는 KSecDD(NT Lan Manager Security Support Provider)인 경우, 상기 폴더 또는 파일에 대한 접근이 상기 네트워크로 연결된 외부 컴퓨터로부터의 접근인 것으로 판단하는 단계를 포함하는 네트워크 공유폴더 접근 제어 방법.If the name of the source module that generated the access token is NT Lan Manager Security Support Provider (NtLmSsp) or NT Lan Manager Security Support Provider (KSecDD), access to the folder or file is from an external computer connected to the network. The network share folder access control method comprising the step of determining that the access. 제 13 항에 있어서,The method of claim 13, 상기 접근 허용 여부를 판정하는 단계는,Determining whether to allow the access, 미리 정해진 보안 정책에 따라 상기 폴더 또는 파일에 대한 접근의 허용 여부를 판정하는 단계를 포함하는 네트워크 공유폴더 접근 제어 방법. And determining whether to allow access to the folder or file according to a predetermined security policy. 제 16 항에 있어서,The method of claim 16, 상기 보안 정책은,The security policy is, 모든 네트워크 공유 폴더에 대한 접근을 차단하는 것인 네트워크 공유폴더 접근 제어 방법. A method for controlling access to a network share folder, which is to block access to all network share folders. 제 16 항에 있어서,The method of claim 16, 상기 보안 정책은,The security policy is, 특정 네트워크 공유 폴더 또는 상기 특정 네트워크 공유 폴더 내의 특정 파일에 대한 접근을 차단하는 것인 네트워크 공유폴더 접근 제어 방법. A method for controlling access to a network share folder, which blocks access to a specific network share folder or a specific file in the specific network share folder. 제 18 항에 있어서,The method of claim 18, 상기 접근 차단되는 폴더 또는 파일은The folder or file is blocked from access 그 경로명에 특정 값을 포함하는 네트워크 공유폴더 접근 제어 방법.A method for controlling access to a network shared folder that includes a specific value in its path name. 제 16 항에 있어서,The method of claim 16, 상기 보안 정책은,The security policy is, 상기 접근된 파일의 내용이 특정 데이터를 포함하고 있는 경우 상기 파일에 대한 접근을 차단하는 것인 네트워크 공유폴더 접근 제어 방법. And if the content of the accessed file contains specific data, block access to the file. 제 13 항에 있어서,The method of claim 13, 상기 접근 허용 여부를 판정하는 단계는,Determining whether to allow the access, 사용자로부터 상기 폴더 또는 파일에 대한 접근의 허용 여부에 관한 정보를 입력받고, 상기 입력에 따라 상기 폴더 또는 파일에 대한 접근의 허용 여부를 판정하는 단계를 포함하는 네트워크 공유폴더 접근 제어 방법. And receiving information regarding whether to allow access to the folder or file from a user, and determining whether to allow access to the folder or file according to the input. 제 13 항에 있어서,The method of claim 13, 상기 접근 허용 여부를 판정하는 단계는,Determining whether to allow the access, 상기 폴더 또는 파일에 대한 접근이 네트워크 공유 폴더에 대한 접근인 경우에만 상기 접근 허용 여부를 판정하는 단계를 포함하는 네트워크 공유폴더 접근 제어 방법.And determining whether to allow the access only when access to the folder or file is access to a network shared folder. 제 13 항 내지 제22항 중 어느 한 항에 의한 방법을 실행하기 위한 컴퓨터로 읽을 수 있는 프로그램을 기록한 기록매체.23. A recording medium having recorded thereon a computer readable program for executing the method according to any one of claims 13 to 22.
KR1020070104329A 2007-10-17 2007-10-17 Apparatus for controlling access to shared folders on computer networks and method thereof KR100985073B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020070104329A KR100985073B1 (en) 2007-10-17 2007-10-17 Apparatus for controlling access to shared folders on computer networks and method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070104329A KR100985073B1 (en) 2007-10-17 2007-10-17 Apparatus for controlling access to shared folders on computer networks and method thereof

Publications (2)

Publication Number Publication Date
KR20090038980A KR20090038980A (en) 2009-04-22
KR100985073B1 true KR100985073B1 (en) 2010-10-04

Family

ID=40762924

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070104329A KR100985073B1 (en) 2007-10-17 2007-10-17 Apparatus for controlling access to shared folders on computer networks and method thereof

Country Status (1)

Country Link
KR (1) KR100985073B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018030667A1 (en) * 2016-08-08 2018-02-15 (주)나무소프트 Method and system for blocking phishing or ransomware attack

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102343406B1 (en) * 2020-05-06 2021-12-24 원유준 Apparatus and computer program for protecting data files

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000058227A (en) * 1999-06-08 2000-10-05 강달수 Security system and method managing separately information of internal network and external network
JP2004334521A (en) 2003-05-07 2004-11-25 Hitachi Ltd Access control system
JP2006107373A (en) 2004-10-08 2006-04-20 Canon Inc Document management device, document management method, program, and storage medium
KR20070030350A (en) * 2005-09-13 2007-03-16 주식회사 팬택 System and method for sharing files between mobile phones

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000058227A (en) * 1999-06-08 2000-10-05 강달수 Security system and method managing separately information of internal network and external network
JP2004334521A (en) 2003-05-07 2004-11-25 Hitachi Ltd Access control system
JP2006107373A (en) 2004-10-08 2006-04-20 Canon Inc Document management device, document management method, program, and storage medium
KR20070030350A (en) * 2005-09-13 2007-03-16 주식회사 팬택 System and method for sharing files between mobile phones

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018030667A1 (en) * 2016-08-08 2018-02-15 (주)나무소프트 Method and system for blocking phishing or ransomware attack
KR20180016937A (en) * 2016-08-08 2018-02-20 (주)나무소프트 System and method for anti-fishing or anti-ransomware application
KR102107277B1 (en) * 2016-08-08 2020-05-06 (주)나무소프트 System and method for anti-fishing or anti-ransomware application

Also Published As

Publication number Publication date
KR20090038980A (en) 2009-04-22

Similar Documents

Publication Publication Date Title
US20200382302A1 (en) Security privilege escalation exploit detection and mitigation
US10154066B1 (en) Context-aware compromise assessment
US9094451B2 (en) System and method for reducing load on an operating system when executing antivirus operations
US8272059B2 (en) System and method for identification and blocking of malicious code for web browser script engines
US11714884B1 (en) Systems and methods for establishing and managing computer network access privileges
JP4473256B2 (en) Information processing apparatus, method, and program for controlling resource access by application program
US8281410B1 (en) Methods and systems for providing resource-access information
KR101565590B1 (en) A system for expanding the security kernel with system for privilege flow prevention based on white list
US20100132053A1 (en) Information processing device, information processing method and program
US8135762B2 (en) System and method for determining true computer file type identity
KR100577344B1 (en) Method and system for establishing access control
JP2019532405A (en) System and method for detecting malicious processes on computing devices
JP2006107505A (en) Api for access authorization
US7487548B1 (en) Granular access control method and system
US11636219B2 (en) System, method, and apparatus for enhanced whitelisting
JP5069369B2 (en) Integrated access authorization
KR101227187B1 (en) Output control system and method for the data in the secure zone
KR20140068940A (en) Content handling for applications
KR100985073B1 (en) Apparatus for controlling access to shared folders on computer networks and method thereof
EP2881883B1 (en) System and method for reducing load on an operating system when executing antivirus operations
JP2008152519A (en) Computer and its basic software
US11805125B2 (en) Task based access rights control
US20220366039A1 (en) Abnormally permissive role definition detection systems
Sze Enhancing Operating Systems with Network Provenance Based Policies for Systematic Malware Defense

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130930

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20140929

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20150929

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20160928

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20170928

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20180928

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20190930

Year of fee payment: 10