KR100985073B1 - Apparatus for controlling access to shared folders on computer networks and method thereof - Google Patents
Apparatus for controlling access to shared folders on computer networks and method thereof Download PDFInfo
- Publication number
- KR100985073B1 KR100985073B1 KR1020070104329A KR20070104329A KR100985073B1 KR 100985073 B1 KR100985073 B1 KR 100985073B1 KR 1020070104329 A KR1020070104329 A KR 1020070104329A KR 20070104329 A KR20070104329 A KR 20070104329A KR 100985073 B1 KR100985073 B1 KR 100985073B1
- Authority
- KR
- South Korea
- Prior art keywords
- access
- folder
- network
- file
- determining whether
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/16—File or folder operations, e.g. details of user interfaces specifically adapted to file systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Databases & Information Systems (AREA)
- Medical Informatics (AREA)
- Human Computer Interaction (AREA)
- Data Mining & Analysis (AREA)
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
Abstract
네트워크 공유폴더 접근 제어 장치 및 방법에 관한 것이다. 본 발명의 실시 예에 따른 네트워크 공유폴더 접근 제어 장치는 네트워크 공유 폴더가 저장되어 있는 파일저장장치와, 파일저장장치 내에 저장된 폴더 또는 파일에 대한 동작을 제어하는 파일 시스템과, 폴더 또는 파일에 대한 접근이 네트워크로 연결된 외부 컴퓨터로부터의 접근인지 여부를 판정하는 네트워크 접근 감지부와, 네트워크 접근 감지부의 판정 결과 폴더 또는 파일에 대한 접근이 네트워크로 연결된 외부 컴퓨터로부터의 접근인 경우 폴더 또는 파일에 대한 접근의 허용 여부를 판정하는 접근 제어부와, 접근 제어부의 판정 결과에 따라 네트워크 공유 폴더에 대한 접근을 허용하거나 차단하는 처리부를 포함하는 것을 특징으로 한다.The present invention relates to a network shared folder access control apparatus and method. An apparatus for accessing a network shared folder according to an embodiment of the present invention includes a file storage device in which a network shared folder is stored, a file system for controlling an operation on a folder or file stored in the file storage device, and access to a folder or file. A network access detector for determining whether the access is from an external computer connected to the network, and if the access to the folder or file is from an external computer connected to the network, And an access control unit for determining whether to allow or not, and a processing unit for allowing or blocking access to the network shared folder according to the determination result of the access control unit.
파일시스템, 필터, 공유폴더, 접근, 네트워크 File System, Filter, Shared Folder, Access, Network
Description
본 발명은 네트워크(network) 공유폴더 접근 제어장치 및 방법에 관한 것으로, 특히 네트워크로 다수의 PC(personal computer)가 연결되는 환경에서 외부 네트워크로부터 사용자 PC 시스템 내부의 폴더나 파일 접근 및 조작을 감지하고 차단하는데 있어서, 네트워크를 통한 외부 PC의 공유폴더 접근 요청이 공유폴더내에 폴더 또는 파일 생성 등과 같은 파일 동작을 위한 접근 인 경우 파일 시스템 필터(file system filter)를 이용하여 이를 감지하고 미리 설정된 보안정책에 따라 공유폴더내 접근을 효과적으로 제어하는 네트워크 공유 폴더 접근 제어 장치 및 방법에 관한 것이다.The present invention relates to a network shared folder access control device and method, and more particularly, to detect a folder or file access and manipulation inside a user PC system from an external network in an environment where a plurality of personal computers are connected to a network. In blocking, if the request for accessing a shared folder from an external PC via a network is for accessing a file such as a folder or a file created in the shared folder, a file system filter is used to detect the file and apply the preset security policy. Accordingly, the present invention relates to a network shared folder access control apparatus and method for effectively controlling access in a shared folder.
통상적으로, 다수의 PC가 네트워크로 연결되는 환경에서 보안상의 이유로 외부 PC로부터의 접근을 제어하기 위한 각 사용자 PC내 네트워크 공유폴더 제어 장치는 대부분 네트워크 필터를 이용하여 구현되어 있다. In general, a network shared folder control device in each user PC for controlling access from an external PC for security reasons in the environment in which multiple PCs are connected to a network is mostly implemented using a network filter.
이때 네트워크 필터에서 네트워크 공유폴더 제어를 하려면 모든 네트워크 패킷(packet)을 일일이 감시하면서 네트워크 공유폴더에 대한 패킷인지 검사해야 하고 네트워크 공유폴더에 대한 패킷이라면 접근 제어 대상인지 아닌지 판단하기 위한 비교 데이터를 추출하기 위해서 특정 단위로 패킷을 재 조합하는 과정을 포함해야 한다. At this time, in order to control the network share folder in the network filter, all network packets should be monitored and inspected whether the packet is for the network share folder. In order to do this, the process of reassembling packets should be included.
그러나, 위와 같이 종래 네트워크 필터에서 네트워크로 연결된 다수의 PC로부터의 접근을 제어하기 위해 네트워크 패킷을 모두 감시하고 재 조합하는 과정은 많은 컴퓨터 연산이 수반되는 작업으로서 컴퓨터의 성능을 저하시키는 문제점이 있었다.However, the process of monitoring and recombining all network packets to control access from a plurality of PCs connected to a network in the conventional network filter as described above has a problem of degrading the performance of the computer as a task involving many computer operations.
따라서 본 발명은 종래 네트워크 필터를 이용하는 네트워크 공유폴더 제어시 네트워크 필터에서 네트워크로부터 접근하는 모든 패킷을 감시하고 재 조합하는 과정을 통해 발생되는 사용자 PC의 성능 상 부담을 해결하며, 컴퓨터 연산을 많이 차지하는 네트워크 패킷 처리부를 제거함으로써 컴퓨터의 성능을 향상시키기 위해 안출된 것으로, 네트워크를 통한 외부 PC로부터의 접근 요청이 사용자 PC의 공유폴더 또는 공유 폴더내 파일의 생성 등의 파일 동작을 위한 접근 인 경우 파일시스템 필터를 이용하여 이를 감지하고 미리 설정된 보안정책에 따라 네트워크로부터의 공유폴더내 접근을 효과적으로 제어하여 시스템의 성능을 향상시킬 수 있는 네트워크 공유 폴더 접근 제어 장치 및 방법을 제공함에 있다.Therefore, the present invention solves the performance burden of the user PC generated by the process of monitoring and recombining all packets accessed from the network in the network filter when controlling the network share folder using a conventional network filter, a network that takes up a lot of computer operation It is designed to improve the performance of the computer by removing the packet processing unit. When the access request from an external PC through the network is for a file operation such as creation of a file in a shared folder or a shared folder of a user PC, the file system filter The present invention provides a network shared folder access control apparatus and method for improving the performance of a system by detecting this by using and effectively controlling access in a shared folder from a network according to a preset security policy.
상술한 본 발명은 네트워크 공유폴더 접근 제어장치로서, 네트워크 공유 폴더가 저장되어 있는 파일저장장치와, 상기 파일저장장치 내에 저장된 폴더 또는 파일에 대한 동작을 제어하는 파일 시스템과, 상기 폴더 또는 파일에 대한 접근이 네트워크로 연결된 외부 컴퓨터로부터의 접근인지 여부를 판정하는 네트워크 접근 감지부와, 상기 네트워크 접근 감지부의 판정 결과 상기 폴더 또는 파일에 대한 접근이 상기 네트워크로 연결된 외부 컴퓨터로부터의 접근인 경우 상기 폴더 또는 파일에 대한 접근의 허용 여부를 판정하는 접근 제어부를 포함하되,상기 네트워크 접근 감지부는, 상기 네트워크의 공유폴더에 대한 폴더 또는 파일 동작을 실행중인 프로세스의 쓰레드내의 보안 속성 정보를 이용하여 상기 폴더 또는 파일에 대한 접근이 상기 네트워크로 연결된 외부 컴퓨터로부터의 접근인지 여부를 판정하는 것을 특징으로 한다.The present invention described above is a network shared folder access control device, comprising: a file storage device storing a network shared folder, a file system for controlling an operation on a folder or file stored in the file storage device, and A network access detector for determining whether access is from an external computer connected to a network, and if the access to the folder or file is from an external computer connected to the network as a result of the determination of the network access detector, the folder or And an access control unit for determining whether to allow access to a file, wherein the network access detection unit uses the folder or file using security attribute information in a thread of a process executing a folder or file operation on a shared folder of the network. Access to the network It is characterized by determining whether or not access from an external computer connected to.
또한, 본 발명은 네트워크 공유폴더 접근 제어 방법으로서, 파일저장장치 내에 저장된 폴더 또는 파일에 대한 접근이 네트워크로 연결된 외부 컴퓨터로부터의 접근인지 여부를 판정하는 단계와, 상기 폴더 또는 파일에 대한 접근이 상기 네트워크로 연결된 외부 컴퓨터로부터의 접근인 경우 상기 폴더 또는 파일에 대한 접근의 허용 여부를 판정하는 단계를 포함하되,상기 네트워크로 연결된 외부 컴퓨터로부터의 접근인지 여부를 판정하는 단계는, 상기 네트워크의 공유폴더에 대한 폴더 또는 파일 동작을 실행중인 프로세스의 쓰레드내의 보안 속성 정보를 이용하여 판정하는 단계를 포함하는 것을 특징으로 한다.In addition, the present invention provides a network shared folder access control method, comprising: determining whether access to a folder or file stored in a file storage device is from an external computer connected to a network, and access to the folder or file is In the case of access from an external computer connected to a network, the method may include determining whether to allow access to the folder or file, and determining whether the access is from an external computer connected to the network. And determining the folder or file operation for the server using the security attribute information in the thread of the running process.
본 발명에서는 외부 네트워크로부터 컴퓨터 시스템 내부의 폴더나 파일 접근 및 조작을 감지하고 차단하는데 있어서 네트워크 필터를 사용하지 않고 파일시스템 필터를 사용하여 외부 네트워크로부터의 폴더나 파일에 대한 접근 및 조작을 효과적으로 제어함으로써 많은 컴퓨터 연산이 수반되는 네트워크 패킷의 감시와 재 조합 작업을 제거하고 컴퓨터 시스템의 성능을 향상시키는 이점이 있다.In the present invention, by effectively controlling access and manipulation of a folder or file from an external network using a file system filter without using a network filter in detecting and blocking a folder or file access and manipulation inside a computer system from an external network. This has the benefit of eliminating the monitoring and reassembly of network packets, which involve many computer operations, and improving the performance of computer systems.
이하, 첨부된 도면을 참조하여 본 발명의 동작 원리를 상세히 설명한다. 하기에서 본 발명을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다. Hereinafter, with reference to the accompanying drawings will be described in detail the operating principle of the present invention. In the following description of the present invention, if it is determined that a detailed description of a known function or configuration may unnecessarily obscure the subject matter of the present invention, the detailed description thereof will be omitted. Terms to be described later are terms defined in consideration of functions in the present invention, and may be changed according to intentions or customs of users or operators. Therefore, the definition should be made based on the contents throughout the specification.
본 발명의 구체적인 핵심 기술요지를 살펴보면, 외부 네트워크로부터 컴퓨터 시스템 내부의 폴더나 파일 접근 및 조작을 감지하고 차단하는데 있어서 네트워크 필터를 사용하지 않고 파일시스템 필터를 사용함으로써 많은 컴퓨터 연산이 수반되는 네트워크 패킷의 감시와 재 조합 작업을 제거하여 컴퓨터 시스템의 성능을 향상시키는 기술을 통해 본 발명에서 이루고자 하는 바를 쉽게 달성할 수 있다.Looking at the specific core technical aspect of the present invention, by using a file system filter instead of a network filter in detecting and blocking the access and manipulation of a folder or file inside the computer system from an external network, the network packet that involves many computer operations Techniques for improving the performance of computer systems by eliminating monitoring and recombination tasks can be readily accomplished by the present invention.
도 1은 본 발명에 따른 네트워크 공유폴더 제어 장치의 개략적인 블록도를 도시한 것으로, LAN(local area network)(100) 등의 네트워크로 연결된 다수의 외부 PC들(PC1, PC2, PC3, PC4)이 사용자 PC 시스템(100)의 파일저장장치(106)내 네트워크 공유폴더(108)와 그 안에 포함하고 있는 파일들에 접근하려고 하는 경우를 예를 들어 설명하기로 한다. 이때, 본 발명의 네트워크 공유폴더 접근 제어 장치(102)는 컴퓨터 시스템(10) 내부에 설치되어 있어서 네트워크로 연결된 다수의 외부 PC들(PC1, PC2, PC3, PC4)이 네트워크 공유폴더(108)에 접근하기 전에 접근 제어를 실시하도록 구성하는 것이 바람직하다.1 is a schematic block diagram of an apparatus for controlling a network shared folder according to the present invention, wherein a plurality of external PCs PC1, PC2, PC3, and PC4 connected to a network such as a local area network (LAN) 100 are illustrated. A case where an attempt is made to access the
이하, 위 도 1을 참조하여 네트워크 공유폴더 제어 장치의 동작을 상세히 살펴보도록 한다. 본 발명의 실시 예에 따른 네트워크 공유폴더 제어 장치는 사용자 PC 시스템(100) 내부에서 네트워크상 외부 PC들(PC1, PC2, PC3, PC4)이 네트워크 공유폴더에 접근하기 전에 먼저 접근을 제어하기 위해 모든 네트워크(110)로 연결된 외부 PC들(PC1, PC2, PC3, PC4)로부터 접근되는 모든 파일 동작을 파일시스템 필터를 이용하여 감시하는 방법을 사용한다. 실제로 본 발명에서는 사용자 PC 시스템(100)에서 발생하는 모든 파일 동작을 감시하기 때문에 사용자가 공유해 놓은 네트워크 공유폴더(108) 뿐만 아니라 사용자가 공유하지 않고 기본적으로 설정되어 있는 관리목적 공유폴더에 대한 접근도 감시하고 그 외에 사용자 PC 시스템(100)에서 사용 가능한 모든 폴더/파일에 대한 접근을 감시한다.Hereinafter, the operation of the network shared folder control apparatus will be described in detail with reference to FIG. 1. Network shared folder control apparatus according to an embodiment of the present invention is to control the access before the external PCs (PC1, PC2, PC3, PC4) on the network inside the
즉, 네트워크 공유폴더 접근 제어장치(102)는 모든 폴더나 파일 동작을 감시하면서 네트워크 공유폴더(108)나 공유폴더가 포함하는 파일에 대한 접근 요청에 대해서는 제어를 수행하여 허용된 접근에 대해서는 파일시스템(104)으로 전달하여 파일저장장치(106)에 존재하는 폴더나 파일을 사용할 수 있게 하고 차단된 접근에 대해서는 파일시스템(106)으로 전달하지 않고 오류를 반환하는 방법을 사용한다.That is, the network share folder
도 2는 상기 도 1에 도시된 네트워크 공유폴더 접근 제어장치(102)의 상세 블록도를 도시한 것으로, 이하, 위 도 2를 참조하여 네트워크 공유폴더 접근 제어장치 각 구성요소의 동작을 보다 상세히 설명하기로 한다.FIG. 2 is a detailed block diagram of the network share folder
먼저 네트워크 접근 감지부(200)는 파일시스템 필터를 통해 네트워크로 연결된 다수의 외부 PC들(PC1, PC2, PC3, PC4)로부터 네트워크 공유폴더(108)내 폴더 또는 파일 동작을 위한 접근 요청이 있는지 여부를 감지한다.First, the network
이때, 네트워크 접근 감지부(200)는, 예를 들어 파일시스템 필터를 통해 네트워크 공유폴더(108)에 대한 폴더 또는 파일 동작을 실행중인 내부 자원 또는 외 부 PC들로부터 생성된 프로세스(process)의 쓰레드(thread)에서 보안 속성을 검사하여, 상기 프로세스가 접근할 수 있는 객체(object)들의 접근 권한 정보를 저장하고 있는 액세스 토큰(access token)을 구한 후, 액세스 토큰 정보로부터 자신을 생성한 소스 모듈(source module)의 이름을 확인하여 폴더 또는 파일에 대한 접근이 사용자의 PC 내부 자원에 의한 것인지 또는 네트워크에 연결된 외부 PC에 의한 것인지 여부를 판단하게 된다.At this time, the network
즉, 예를 들어 액세스 토큰을 생성한 소스 모듈의 이름이, NtLmSsp(NT Lan Manager Security Support Provider) 또는 KSecDD(NT Lan Manager Security Support Provider)인 경우, 상기 네트워크에 연결된 외부 PC들(PC1, PC2, PC3, PC4)로부터의 상기 공유폴더에 대한 폴더 또는 파일 동작 접근인 것을 판단하게 된다. 쓰레드의 보안특성을 이용한 네트워크 접근 감지는 일 실시 예에 불과하며, 본 발명의 권리범위는 이에 한정되지 않는다.That is, for example, when the name of the source module that generated the access token is NT Lan Manager Security Support Provider (NtLmSsp) or NT Lan Manager Security Support Provider (KSecDD), external PCs (PC1, PC2, It is determined that the folder or file operation access to the shared folder from PC3, PC4). Network access detection using a thread's security feature is only an embodiment, and the scope of the present invention is not limited thereto.
접근 제어부(202)는 폴더 또는 파일에 대한 접근이 네트워크로 연결된 외부 PC로부터의 접근일 경우 그 접근의 허용 여부를 소정의 기준에 따라 판정한다. 이 때 접근 허용 여부를 판정하는 기준은 미리 설정된 보안 정책이 될 수도 있고 사용자로부터 허용 여부를 입력받을 수도 있다.The
이때 접근 제어부(202)는 네트워크상의 외부 PC들로부터의 접근에 대해 허용 또는 차단시키는 제어를 수행함에 있어서, 사용자에 의해 미리 설정된 보안 정책에 의해 판단하는 방법, 네트워크로부터 접근중인 폴더나 파일 경로 이름 중 일부(예로서, 확장자, 파일이름, 폴더이름 등)를 기준으로 미리 설정된 보안 정책과 비교 하여 허용하거나 차단하는 방법, 네트워크로부터 접근중인 파일의 내용을 기준으로 작성된 정책과 비교하여 허용하거나 차단하는 방법을 사용할 수 있다. At this time, the
한편, 다른 실시 예에서는 사용자에게 네트워크로 연결된 외부 PC로부터 네트워크 공유폴더 또는 공유폴더내의 파일에 대한 접근요청이 있음을 알리고 사용자로부터 접근 차단 여부에 대한 승인을 받을 수 있다. Meanwhile, in another exemplary embodiment, the user may be notified of an access request for a network shared folder or a file in the shared folder from an external PC connected to the network, and may receive approval from the user for access blocking.
또한, 다른 실시예에서는 접근 제어부가 네트워크상 외부 PC들로부터의 폴더 또는 파일에 대한 접근이 네트워크 공유폴더(108)내 폴더 또는 파일 동작 요청인지 여부를 판정하고 이에 해당할 경우에만 폴더 또는 파일에 대한 접근의 허용 여부를 판정할 수도 있다(공유폴더에 대한 접근 여부를 판정하는 주체가 네트워크 접근 감지부인지 접근 제어부인지 확인 바람). Further, in another embodiment, the access control unit determines whether access to a folder or file from external PCs on the network is a request for a folder or file operation in the network shared
이상 언급된 접근 제어부(202)에서의 접근 제어 방법에 대해서는 후술되는 도 3 및 도 4의 설명에서 상세히 설명하기로 한다.The above-described access control method in the
접근 차단 처리부(204)는 접근 제어부(202)에 의해 접근 차단으로 판단된 외부 PC들에 대해서는 네트워크 공유폴더(108)로의 폴더 또는 파일 동작을 차단시키고 오류값을 반환한다. 접근 허용 처리부(206)는 접근 제어부(204)에 의해 접근 허용으로 판단된 외부 PC들에 대해 파일시스템(104)으로 하여금 네트워크 공유폴더(108)로의 정상적인 폴더 또는 파일 동작을 수행하게 한다.The access
도 3은 본 발명의 실시 예에 따른 네트워크 공유폴더 접근 제어장치에서 네트워크로 연결된 외부 PC들로부터의 네트워크 공유폴더 접근 요청을 허용 또는 차단시키는 동작 제어 흐름을 도시한 것이다. 이하 도 1, 도 2 및 도 3을 참조하여 본 발명의 실시 예를 상세히 설명하기로 한다.3 is a flowchart illustrating an operation control flow of allowing or blocking a network share folder access request from external PCs connected through a network in an apparatus for accessing a network share folder according to an embodiment of the present invention. Hereinafter, embodiments of the present invention will be described in detail with reference to FIGS. 1, 2, and 3.
먼저, 네트워크 접근 감지부(200)는 폴더나 파일 동작을 감시하는 상황에서 파일저장장치(106)내 폴더 또는 파일에 대한 접근이 있는지 여부를 검사한다(S300).First, the network
상기 검사결과, 만일 파일저장장치(106)내 폴더 또는 파일에 대한 접근이 있는 경우 네트워크 접근 감지부(200)는 상기 폴더 또는 파일에 대한 접근이 PC내부로부터의 접근인지 네트워크로부터의 접근인지 여부를 검사한다(S302).As a result of the check, if there is access to a folder or file in the
이때, 네트워크 접근 감지부(200)에서 네트워크로부터 접근하는 폴더나 파일 동작을 판단하는 방법으로는 현재 네트워크 공유폴더(108)내 폴더 또는 파일 동작을 실행중인 프로세스(process)의 쓰레드(thread)에서 보안 속성을 얻고 보안 속성으로부터 OS의 어떤 모듈에서 이 파일 동작 요청을 시작했는지 파악하는 방법이 있다. In this case, as a method of determining a folder or file operation accessed from the network by the network
즉, 위와 같은 보안 속성에는 이 프로세스가 접근할 수 있는 객체들의 접근권한을 저장하고 있는 액세스 토큰(access token) 이 포함되어 있는데 이 액세스 토큰의 정보를 OS에 문의하여 이것을 생성한 모듈의 정보를 얻어낼 수 있다. 이렇게 얻어낸 정보가 NT Lan Manager Security Support Provider 인 경우 네트워크에서 접근하여 요청한 파일 동작으로 판단한다. NT Lan Manager Security Support Provider 는 Windows OS 에서 네트워크로부터 접속하는 사용자들을 인증하고 네트워크 자원들을 접근하는 기능을 제공하는 OS 내부 모듈이다. 네트워크 상에 존재하는 외부 컴퓨터 시스템들이 네트워크를 통해서 현재 사용자 PC 시스템에 접근하려 면 현재 PC 시스템 내부의 NT Lan Manager Security Support Provider 가 생성한 액세스 토큰을 가지고 파일 동작을 실행해야 하므로 이것을 특징으로 네트워크로부터 요청된 파일 동작을 판단하는 방법으로 사용할 수 있다.In other words, the above security attributes include an access token that stores the access rights of the objects that this process can access, and asks the OS for the information of this access token to obtain the information of the module that created it. I can make it. If the information obtained is NT Lan Manager Security Support Provider, it is determined that the requested file operation is accessed from the network. NT Lan Manager Security Support Provider is an internal OS module that provides the ability to authenticate users and access network resources from the Windows OS. In order to access the current user's PC system via the network, external computer systems on the network must execute file operations with an access token generated by the NT Lan Manager Security Support Provider inside the current PC system. Can be used as a way to determine the file behavior.
상기와 같은 방법을 이용한 검사결과, 파일저장장치(106)내 폴더 또는 파일에 대한 접근이 네트워크로부터의 접근이 아니라 PC 내부로부터의 접근인 경우 이는 접근 제어부(202)에서의 제어 대상이 아니므로 네트워크 접근 감지부(200)는 위 네트워크로부터 파일저장장치(106)내 공유폴더(108)에 대한 접근 제어를 접근 제어부(202)로 넘기게 된다.As a result of the inspection using the method as described above, if the access to the folder or file in the
한편, 다른 실시예에서는 네트워크 감지부의 판정 결과 파일저장장치(106)내 폴더 또는 파일에 대한 접근이 네트워크로부터의 접근인 경우 네트워크 접근 감지부는 접근 제어부로 하여금 폴더 또는 파일에 대한 접근이 파일저장장치(106)내 네트워크 공유폴더(108)내 폴더 또는 파일에 대한 접근인지 여부를 검사하도록 할 수 있다(S304).On the other hand, in another embodiment, as a result of the determination of the network detection unit, when the access to the folder or file in the
상기 검사결과, 네트워크로부터의 접근이 파일저장장치(106)내 네트워크 공유폴더(108)내 폴더 또는 파일에 대한 접근이 아닌 경우 이를 접근 차단 처리부(204)로 제어를 넘겨 네트워크로부터의 접근을 차단시킬 수 있다(S306). 그러나, 상기 검사결과, 상기 네트워크로부터의 접근이 파일저장장치(106)내 네트워크 공유폴더(108)내 폴더 또는 파일에 대한 접근인 경우 파일저장장치(106)내 공유폴더(108)에 대한 접근 허용 여부를 판정하게 된다.As a result of the check, if the access from the network is not an access to a folder or a file in the
접근 제어부(202)는 네트워크로부터 파일저장장치(106)내 공유폴더(108)로의 접근에 대해 미리 설정된 보안 정책에 따라 허용 여부를 판정한 후(S308), 허용되는 접근이 아닌 경우에는 접근 차단 처리부(204)를 통해 접근을 차단시키며(S306), 허용된 접근에 대해서는 접근 허용 처리부(206)를 통해 파일시스템(104)으로 제어를 넘김으로서 접근을 허용시키게 된다(S312). The
도 4는 상기 도 2의 네트워크 공유폴더 접근 제어 장치(102)내 접근 제어부(202)에서 네트워크로 연결된 외부 PC들로부터의 네트워크 공유폴더 접근 요청을 허용 또는 차단시키는 동작을 보다 상세히 설명하기 위한 상세 제어 흐름을 도시한 것이다. 이하 위 도 1, 도 2 및 도 4를 참조하여 본 발명의 실시 예를 상세히 설명하기로 한다.4 is a detailed control for explaining in more detail the operation of allowing or blocking a network share folder access request from external PCs connected to a network by the
먼저, 네트워크 접근 감지부(200)로부터 상기 네트워크로부터의 접근이 파일저장장치(106)내 네트워크 공유폴더(108)내 폴더 또는 파일에 대한 접근이 감지되어, 이에 대한 제어가 접근 제어부(202)로 넘겨지는 경우, 접근 제어부(202)에서는 네트워크로부터 파일저장장치(106)내 공유폴더(108)로의 접근에 대한 허용 여부를 판정하게 됨은 상기 도 3에서 설명한 바와 같다.First, access from the network from the network
따라서, 이하의 설명에서는 네트워크 공유폴더(106)내에 폴더 또는 파일 동작을 위한 네트워크로부터의 접근에 대해 접근 제어부(202)에서 어떤 기준에 따라 접근 허용 여부를 처리하는 동작에 대해 상세히 설명하기로 한다. Therefore, in the following description, an operation of processing access permission according to a certain criteria in the
접근 제어부(202)에서는 상기 접근의 제어를 위한 판단 방법으로 크게 사용자가 미리 정해놓은 보안정책에 의해 판단하는 방법, 사용자에게 네트워크 접근을 알려주고 사용자의 판단에 의해서 허용하거나 차단하는 방법을 사용할 수 있다. 이 때 미리 정해놓은 보안 정책으로 네트워크 공유폴더로의 접근을 모두 차단하는 방법, 네트워크로부터 접근중인 폴더나 파일 경로 이름 중 일부(예로서, 확장자, 파일이름, 폴더이름 등)를 기준으로 작성된 정책과 비교하여 허용하거나 차단하는 방법, 네트워크로부터 접근중인 파일의 내용 중 특정 데이터가 포함되어 있는지 여부를 기준으로 허용하거나 차단하는 방법 등을 사용하게 된다. In the
즉, 접근 제어부(202)는 사용자에 의해 네트워크로부터 접근하는 모든 파일 사용 요청을 차단하라는 보안 정책이 설정된 경우라면(S324), 사용자 PC 시스템 내부에서 발생하는 파일 사용 요청은 정상적으로 허용해 주지만 네트워크상 외부 PC들로부터 접근하는 파일 사용 요청은 파일시스템 필터를 통해 차단하여 파일 사용을 할 수 없도록 한다(S326). That is, if the
이에 따라, 네크워크 상에 존재하는 다른 외부 PC 시스템들이 네트워크 요청을 통해서 현재 사용자 PC 시스템에 새로운 파일을 만들려고 하는 것 등과 같은 시도를 모두 무력화할 수 있다. 보통 웜이나 바이러스가 네트워크 공유폴더에 자신의 복사본을 생성해서 유입되지만 이 방법을 사용할 경우 원천적으로 네트워크 공유폴더를 통한 불특정 파일의 유입을 막을 수 있는 효과가 있는 것이다.Thus, other external PC systems residing on the network can defeat all attempts such as attempting to create a new file on the current user's PC system via a network request. Normally, a worm or virus creates a copy of itself in a network share folder and then introduces it. However, this method has the effect of preventing the inflow of unspecified files through the network share folder.
다른 실시 예에서, 접근 제어부(202)는 사용자에게 네트워크 접근을 알려주고 사용자의 판단에 의해서 네트워크상 외부 PC들(PC1, PC2, PC3, PC4)의 접근을 허용하거나 차단하라는 정책이 설정된 경우라면(S306), 네트워크상 다른 외부 PC들이 네트워크 요청을 통해서 현재 사용자 PC 시스템의 파일을 사용하려고 할 때, 이 요청을 일단 보류시킨 후에 사용자에게 현재 요청된 파일이나 폴더의 이름을 PC 화 면상에 디스플레이하여 이것을 허용할지 차단할지를 사용자가 직접 선택하도록 한다(S308). In another embodiment, the
이에 따라, 사용자는 자신이 알고 있는 안전하다고 판단하는 파일이나 폴더 이름을 확인하면 허용을 선택하고 사용자가 모르는 불확실한 파일이나 폴더 이름 또는 새로운 이름이 보여졌을 경우에는 차단을 선택하게 된다. Accordingly, when the user checks a file or folder name that he or she knows to be safe, the user selects allow and selects blocking if an unknown file or folder name or a new name is not known to the user.
그러면, 접근 제어부(202)는 상기 파일이나 폴더 이름의 접근에 대한 사용자의 승인 또는 불승인이 입력되는 경우(S310), 이 결과를 이전에 보류했던 파일 사용 요청에 적용하여 보류를 해제하면서 사용자 판단 결과에 따라 접근 허용 처리부(206)를 통해 상기 접근 요청을 허용하도록 제어하거나(S312), 접근 차단 처리부(204)를 통해 상기 접근 요청을 차단하여(S314) 사용자의 PC 시스템(100)을 보호하게 된다. Then, when the user's approval or disapproval of the access to the file or folder name is input (S310), the
또한, 이와 달리 접근 제어부(202)는 네트워크로부터 접근중인 폴더나 파일 경로 이름 중 일부(예로서, 확장자, 파일이름, 폴더이름 등)를 기준으로 네트워크상 외부 PC들의 접근을 허용하거나 차단하라는 보안 정책이 설정된 경우라면(S316), 네트워크상 외부 PC들로부터 접근되는 폴더 또는 파일 이름을 검사한다(S318). Alternatively, the
그런 후, 접근 제어부(202)는 상기 네트워크상 외부 PC들로부터 접근된 폴더 또는 파일 이름이 사용자 PC 시스템 보호를 위해 차단항목으로 설정된 폴더 또는 파일이름 항목에 포함되는지를 검사하여(S320), 차단항목에 포함되지 않은 폴더 또는 파일 동작에 대해서만 선택적으로 접근을 허용하고(S322), 차단항목에 포함된 폴더 또는 파일 동작은 접근을 차단시키게 된다(S314).Then, the
즉, 예를 들어 네트워크로부터 접근하는 파일이 exe 확장자를 가질 경우 접근을 차단하라는 정책을 작성할 수 있다. 이런 경우 네트워크로부터 현재 컴퓨터 시스템 내부의 공유폴더 C:\Shared 라는 폴더에 존재하는 noshare.exe 를 실행하려고 하거나 읽어가려고 하거나 변경하려고 하는 접근에 대해서는 해당 접근을 시도하는 폴더 또는 파일이름이 exe 확장자를 포함하므로 실행, 읽기, 변경 시도를 모두 차단하게 되며, 만약 share.txt 라는 파일을 접근하려고 하는 경우라면 exe 확장자를 가지지 않았으므로 네트워크로부터 접근하여 사용 요청을 하는 경우더라도 사용을 허용하게 된다. 또한, 다른 예로 파일이나 폴더 이름 중 일부를 사용하는 예를 들면, 네트워크로부터 접근하는 파일이나 폴더 이름이 share를 포함할 경우 파일 사용 요청을 차단하라는 정책을 작성할 수 있다. 이런 경우 C:\Shared 라는 폴더이름이 share를 포함하므로 이것에 대한 사용 요청은 항상 차단되고 noshare.exe 라는 파일 역시 이름에 share 를 포함하므로 이 파일이 사용자 PC 시스템(100) 내부의 어떤 폴더에 존재하던지 네크워크로부터 접근하여 사용 요청한 것은 차단된다. For example, you can write a policy to block access if a file accessed from the network has an exe extension. In this case, for access to run, to read, or to change noshare.exe that exists in the shared folder C: \ Shared inside the current computer system from the network, the folder or file name that attempts to access includes the exe extension. Therefore, it blocks all attempts to execute, read, and modify. If you try to access the file named share.txt, it does not have the exe extension, so it is allowed even if you request access from the network. As another example, for example, a file or folder name that uses a part of a file name may be written to block a file use request if the file or folder name accessed from the network includes share. In this case, since the folder name C: \ Shared contains share, the request for use is always blocked, and the file noshare.exe also contains share in the name, so this file exists in any folder inside the user's
또한, 이와 달리 접근 제어부(202)는 네트워크로부터 접근중인 파일 내용에 따라 네트워크상 외부 PC들의 접근을 허용하거나 차단하라는 보안 정책이 설정된 경우라면(S316), 네트워크상 외부 PC들로부터 접근되는 파일에 포함된 파일의 내용을 확인한다(S318). In addition, the
예로써, 상기 보안정책은 파일의 시작위치 + 100 byte 위치에 abcd 라는 문 자열이 존재하는 파일은 악성코드이므로 모두 차단하라는 정책을 설정할 수 있는데, 파일 내용 확인에서는 위와 같은 파일에 특정 데이터의 존재를 확인하게 되는 것이다.For example, the security policy may set a policy to block all files having a string of abcd at the start position + 100 byte of the file because they are malicious codes. Will be confirmed.
즉, 접근 제어부는 상기 네트워크로부터 접근되는 파일에 보안정책상 접근이 제한되는 상기와 같은 특정 데이터가 포함되어 있는지 여부를 검사한 후, 접근이 제한되는 특정 데이터가 포함되어 있지 않으면 접근을 허용하고, 접근이 제한되는 특정 데이터가 포함되어 있는 경우에는 접근을 차단시키게 된다.That is, the access controller checks whether the file accessed from the network includes the specific data as described above in which the access is restricted according to the security policy, and allows access if the specific data to which access is restricted is not included. Access will be blocked if it contains certain data to which access is restricted.
한편 상술한 본 발명의 설명에서는 구체적인 실시 예에 관해 설명하였으나, 여러 가지 변형이 본 발명의 범위에서 벗어나지 않고 실시될 수 있다. 따라서 발명의 범위는 설명된 실시 예에 의하여 정할 것이 아니고 특허청구범위에 의해 정하여져야 한다.While the invention has been shown and described with reference to certain preferred embodiments thereof, it will be understood by those skilled in the art that various changes and modifications may be made without departing from the spirit and scope of the invention. Accordingly, the scope of the invention should not be limited by the described embodiments but should be defined by the appended claims.
도 1은 본 발명의 실시 예에 따른 네트워크 공유폴더 접근 제어 시스템의 네트워크 구성도,1 is a network configuration diagram of a network shared folder access control system according to an embodiment of the present invention;
도 2는 본 발명의 실시 예에 따른 네트워크 공유폴더 접근 제어 장치의 상세 블록 구성도,2 is a detailed block diagram of an apparatus for accessing a network shared folder according to an embodiment of the present invention;
도 3은 본 발명의 실시 예에 따른 네트워크 공유폴더 접근 제어 장치에서 외부 네트워크 PC로부터의 접근을 제어하는 전체 흐름도,3 is an overall flowchart illustrating access control from an external network PC in a network shared folder access control apparatus according to an embodiment of the present invention;
도 4는 본 발명의 실시 예에 따른 네트워크 공유폴더 접근 제어 장치의 접근 제어부의 상세 동작을 보여주는 흐름도.4 is a flowchart illustrating a detailed operation of an access controller of an apparatus for accessing a network shared folder according to an embodiment of the present invention.
<도면의 주요 부호에 대한 간략한 설명><Brief description of the major symbols in the drawings>
102 : 네트워크 공유폴더 접근 제어 장치 104 : 파일시스템102: network share folder access control device 104: file system
106 : 파일 저장장치 108 : 네트워크 공유폴더106: file storage device 108: network share folder
200 : 네트워크 접근 감지부 202 : 접근 제어부200: network access detection unit 202: access control unit
204 : 차단처리부 206 : 허용 처리부204: blocking processing unit 206: allowable processing unit
Claims (23)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020070104329A KR100985073B1 (en) | 2007-10-17 | 2007-10-17 | Apparatus for controlling access to shared folders on computer networks and method thereof |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020070104329A KR100985073B1 (en) | 2007-10-17 | 2007-10-17 | Apparatus for controlling access to shared folders on computer networks and method thereof |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20090038980A KR20090038980A (en) | 2009-04-22 |
KR100985073B1 true KR100985073B1 (en) | 2010-10-04 |
Family
ID=40762924
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020070104329A KR100985073B1 (en) | 2007-10-17 | 2007-10-17 | Apparatus for controlling access to shared folders on computer networks and method thereof |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100985073B1 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2018030667A1 (en) * | 2016-08-08 | 2018-02-15 | (주)나무소프트 | Method and system for blocking phishing or ransomware attack |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102343406B1 (en) * | 2020-05-06 | 2021-12-24 | 원유준 | Apparatus and computer program for protecting data files |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20000058227A (en) * | 1999-06-08 | 2000-10-05 | 강달수 | Security system and method managing separately information of internal network and external network |
JP2004334521A (en) | 2003-05-07 | 2004-11-25 | Hitachi Ltd | Access control system |
JP2006107373A (en) | 2004-10-08 | 2006-04-20 | Canon Inc | Document management device, document management method, program, and storage medium |
KR20070030350A (en) * | 2005-09-13 | 2007-03-16 | 주식회사 팬택 | System and method for sharing files between mobile phones |
-
2007
- 2007-10-17 KR KR1020070104329A patent/KR100985073B1/en active IP Right Grant
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20000058227A (en) * | 1999-06-08 | 2000-10-05 | 강달수 | Security system and method managing separately information of internal network and external network |
JP2004334521A (en) | 2003-05-07 | 2004-11-25 | Hitachi Ltd | Access control system |
JP2006107373A (en) | 2004-10-08 | 2006-04-20 | Canon Inc | Document management device, document management method, program, and storage medium |
KR20070030350A (en) * | 2005-09-13 | 2007-03-16 | 주식회사 팬택 | System and method for sharing files between mobile phones |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2018030667A1 (en) * | 2016-08-08 | 2018-02-15 | (주)나무소프트 | Method and system for blocking phishing or ransomware attack |
KR20180016937A (en) * | 2016-08-08 | 2018-02-20 | (주)나무소프트 | System and method for anti-fishing or anti-ransomware application |
KR102107277B1 (en) * | 2016-08-08 | 2020-05-06 | (주)나무소프트 | System and method for anti-fishing or anti-ransomware application |
Also Published As
Publication number | Publication date |
---|---|
KR20090038980A (en) | 2009-04-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20200382302A1 (en) | Security privilege escalation exploit detection and mitigation | |
US10154066B1 (en) | Context-aware compromise assessment | |
US9094451B2 (en) | System and method for reducing load on an operating system when executing antivirus operations | |
US8272059B2 (en) | System and method for identification and blocking of malicious code for web browser script engines | |
US11714884B1 (en) | Systems and methods for establishing and managing computer network access privileges | |
JP4473256B2 (en) | Information processing apparatus, method, and program for controlling resource access by application program | |
US8281410B1 (en) | Methods and systems for providing resource-access information | |
KR101565590B1 (en) | A system for expanding the security kernel with system for privilege flow prevention based on white list | |
US20100132053A1 (en) | Information processing device, information processing method and program | |
US8135762B2 (en) | System and method for determining true computer file type identity | |
KR100577344B1 (en) | Method and system for establishing access control | |
JP2019532405A (en) | System and method for detecting malicious processes on computing devices | |
JP2006107505A (en) | Api for access authorization | |
US7487548B1 (en) | Granular access control method and system | |
US11636219B2 (en) | System, method, and apparatus for enhanced whitelisting | |
JP5069369B2 (en) | Integrated access authorization | |
KR101227187B1 (en) | Output control system and method for the data in the secure zone | |
KR20140068940A (en) | Content handling for applications | |
KR100985073B1 (en) | Apparatus for controlling access to shared folders on computer networks and method thereof | |
EP2881883B1 (en) | System and method for reducing load on an operating system when executing antivirus operations | |
JP2008152519A (en) | Computer and its basic software | |
US11805125B2 (en) | Task based access rights control | |
US20220366039A1 (en) | Abnormally permissive role definition detection systems | |
Sze | Enhancing Operating Systems with Network Provenance Based Policies for Systematic Malware Defense |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20130930 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20140929 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20150929 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20160928 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20170928 Year of fee payment: 8 |
|
FPAY | Annual fee payment |
Payment date: 20180928 Year of fee payment: 9 |
|
FPAY | Annual fee payment |
Payment date: 20190930 Year of fee payment: 10 |