KR101371031B1 - A File Securing System Based on Drive - Google Patents

A File Securing System Based on Drive Download PDF

Info

Publication number
KR101371031B1
KR101371031B1 KR1020120061138A KR20120061138A KR101371031B1 KR 101371031 B1 KR101371031 B1 KR 101371031B1 KR 1020120061138 A KR1020120061138 A KR 1020120061138A KR 20120061138 A KR20120061138 A KR 20120061138A KR 101371031 B1 KR101371031 B1 KR 101371031B1
Authority
KR
South Korea
Prior art keywords
file
area
user
drive
security
Prior art date
Application number
KR1020120061138A
Other languages
Korean (ko)
Other versions
KR20140015642A (en
Inventor
조형범
Original Assignee
주식회사 더존정보보호서비스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 더존정보보호서비스 filed Critical 주식회사 더존정보보호서비스
Priority to KR1020120061138A priority Critical patent/KR101371031B1/en
Publication of KR20140015642A publication Critical patent/KR20140015642A/en
Application granted granted Critical
Publication of KR101371031B1 publication Critical patent/KR101371031B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1408Protection against unauthorised use of memory or access to memory by using cryptography
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6227Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Automation & Control Theory (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)

Abstract

컴퓨터 단말의 저장매체에 영역 파일을 생성하고 영역 파일을 드라이브로 마운트하여 사용자 파일을 영역 파일에 저장하고 암호화하는 드라이브 기반 파일 보안 시스템에 있어서, 컴퓨터 단말의 저장매체에 파일(이하 영역 파일)을 생성하는 영역파일 생성부; 영역 파일을 컴퓨터 단말의 드라이브로 마운트하거나 언마운트하는 영역 마운팅부; 영역 파일을 암호화하여 저장하거나, 저장된 영역 파일을 복호화하는 영역 암호화부; 사용자 파일을 마운트된 드라이브의 영역(이하 보안영역)에 저장하거나, 보안영역으로부터 사용자 파일을 열기하는 보안파일 저장부; 및, 사용자 파일에 대한 처리 명령을 받으면, 영역 파일을 복호화하여 마운트하고, 보안영역에서 사용자 파일에 대한 처리 명령을 수행하고, 명령 수행이 완료되면 영역 파일을 언마운트하고 암호화하는 보안파일 처리부를 포함하는 구성을 마련한다.
상기와 같은 드라이브 기반 파일 보안 시스템에 의하여, 컴퓨터 단말에 생성된 영역 파일을 마운트하여 사용자 파일을 저장하고 영역 파일을 암호화함으로써, 후킹 등 운영체제의 시스템을 훼손하지 않고도 사용자 파일을 안전하게 숨기고 보안할 수 있다.
A drive-based file security system that creates an area file on a storage medium of a computer terminal, mounts the area file as a drive, stores the user file in the area file, and encrypts the file. An area file generation unit; An area mounting unit which mounts or unmounts an area file as a drive of a computer terminal; An area encryption unit encrypting and storing the area file or decrypting the stored area file; A security file storage unit for storing a user file in an area of a mounted drive (hereinafter referred to as a security area) or opening a user file from the security area; And a secure file processing unit for decrypting and mounting the zone file when receiving a processing command for the user file, performing a processing command for the user file in the secure area, and unmounting and encrypting the zone file when the command is completed. Prepare a configuration.
By the drive-based file security system as described above, by mounting the area file generated on the computer terminal to store the user file and encrypt the area file, it is possible to safely hide and secure the user file without damaging the system of the operating system, such as hooking. .

Description

드라이브 기반 파일 보안 시스템 { A File Securing System Based on Drive }A File Securing System Based on Drive}

본 발명은 컴퓨터 단말의 저장매체에 영역 파일을 생성하고 영역 파일을 드라이브로 마운트하여 사용자 파일을 영역 파일에 저장하고 암호화하는 드라이브 기반 파일 보안 시스템에 관한 것이다.
The present invention relates to a drive-based file security system that creates a region file on a storage medium of a computer terminal, mounts the region file as a drive, and stores and encrypts the user file in the region file.

일반적으로, 기업 또는 공공기관 등은 외부로부터의 비인가된 접속을 통한 불법적인 정보유출을 차단하고 내부의 중요한 기밀과 정보를 보호하기 위하여 방화벽(Firewall) 또는 침입탐지시스템(Intruder detection system) 등의 정보보안 솔루션을 설치하고 있다. 하지만 이러한 정보보안 솔루션은 로컬 네트워크(LAN) 또는 PC로의 외부 침입자에 대한 응용일 뿐 내부자가 정보를 유출하고자 하는 경우에는 막을 수 있는 방법은 아니었다.In general, companies or public institutions, such as firewalls or intruder detection systems to block illegal information leakage through unauthorized access from outside and protect important confidential information and information inside I'm installing a security solution. However, this information security solution was only an application for external intruders to the local network (LAN) or PC, and was not a way to prevent the insider from leaking information.

하나의 네트워크(또는 조직) 내에 속하는 사용자들은 다른 사용자의 파일 자원에 쉽게 접근할 수 있다. 사용자들이 번거롭기 때문에 파일을 별도로 암호화하지 않기 때문이다. 또한, 공동 작업을 하는 경우 공유 폴더 등으로 사용자 파일들을 공유하기도 한다. 이러한 작업 습관때문에, 조직 내부 또는 하나의 네트워크 내에서는 사용자 파일들이 쉽게 내부자에게 노출될 위험이 항상 존재한다.Users within one network (or organization) can easily access other users' file resources. Because users are cumbersome, they don't encrypt files separately. In addition, when collaborating, user files are shared by shared folders. Because of this work habit, there is always a risk that user files are easily exposed to insiders within an organization or within a network.

이를 방지하기 위하여, 보안 폴더가 개발되어 이용되고 있다. 즉, 중요한 문서 또는 기밀 문서 등을 보안 폴더에 저장하고, 상기 보안 폴더는 암호화 등으로 특별히 허가된 자 또는 접근을 위한 인증정보를 아는 사용자에게만 접근될 수 있게 한다.In order to prevent this, a secure folder has been developed and used. That is, important documents or confidential documents are stored in a secure folder, and the secure folder can be accessed only by a user who is specifically authorized by encryption or the like or who knows authentication information for access.

상기과 같은 컴퓨터 파일 보안 방법의 일례가 [한국등록특허 제10-0324656호, "컴퓨터 파일의 보안 방법"](이하 선행기술 1)에 개시되고 있다. 상기 선행기술 1은 전용 프로그램을 설치한 뒤 이 프로그램을 구동시켜 보안이 요구되는 파일 또는 폴더를 선택하고 선택된 파일 또는 폴더에 소정의 보안 기능 옵션을 설정하여 컴퓨터 파일 또는 폴더를 보안하는 기술이다. 상기 선행기술 1은 구체적인 보안 방법을 제시하고 있지 못하다.An example of such a computer file security method is disclosed in Korean Patent No. 10-0324656, "Security Method of Computer File" (hereinafter, referred to as Prior Art 1). Prior art 1 is a technology for securing a computer file or folder by installing a dedicated program and then running the program to select a file or folder requiring security and setting a predetermined security function option on the selected file or folder. Prior art 1 does not suggest a specific security method.

보안 영역을 서버에서 관리하는 기술의 일례가 [한국등록특허 제10-0948812호, "보안 영역 관리 시스템 및 그 관리 방법"](이하 선행기술 2)에 개시되고 있다. 상기 선행기술 2는 보안 서버에서 사용자 컴퓨터에 보안 영역 설정 프로그램을 제공하고 접속된 사용자의 사용 이력을 감시하고 제어한다. 이때, 보안 영역은 파일, 폴더, USB 메모리, 하드 디스크 드라이브 등을 선택하여 결정된다. 보안 영역은 컴퓨터 등의 저장매체의 일부가 할당되고, 파일들을 암호화 하여 할당된 공간에 저장한다. 그러나 상기 선행기술 2는 보안 영역이 어느 저장 공간인지 노출될 수 있고, 이로 인해, 보안 영역 자체가 제거될 수 있는 위험이 있다.An example of a technology for managing a security zone in a server is disclosed in [Korean Patent Registration No. 10-0948812, "Security Zone Management System and Its Management Method"] (hereinafter, referred to as Prior Art 2). The prior art 2 provides a security zone setting program to a user computer in a security server and monitors and controls the usage history of the connected user. In this case, the security area is determined by selecting a file, a folder, a USB memory, a hard disk drive, or the like. In the secure area, a portion of a storage medium such as a computer is allocated, and files are encrypted and stored in the allocated space. However, the prior art 2 may expose which storage space the security area is, and there is a risk that the security area itself may be removed.

또한, 메모리 등 이동성 저장매체에 보안 영역을 관리하는 기술의 예들이 [한국공개특허 제10-2011-0132787호, "보안 기능을 구비한 메모리 장치 및 그 보안 방법"](이하 선행기술 3), [한국공개특허 제10-2010-0112724호, "보안 이동형 저장장치 및 그 제어 방법"](이하 선행기술 4) 등이 있다. 상기 선행기술 3 및 4는 상기 선행기술 2와 같이, 보안영역을 메모리 영역의 일정 부분으로 설정되어 암호화된다. 그러나 상기 선행기술들은 보안 영역의 경로만 숨기거나 암호화하여 접근하지 못하게 한다. 따라서 경로만 알아내거나 파일을 물리적 수준에서 분석하면 노출될 수 있는 위험이 있다.Further, examples of a technology for managing a security area in a mobile storage medium such as a memory are disclosed in Korean Patent Laid-Open No. 10-2011-0132787, "Memory Device With Security Function and Security Method thereof" (hereinafter, referred to as Prior Art 3), [Korean Patent Publication No. 10-2010-0112724, "Secure Mobile Storage and Its Control Method"] (hereinafter, referred to as Prior Art 4). The prior arts 3 and 4, like the prior art 2, are encrypted by setting a secure area as a part of the memory area. However, the prior art hides or encrypts only the path of the security area to prevent access. Therefore, there is a risk that it can be exposed by just finding the path or analyzing the file at the physical level.

따라서 운영체제의 시스템을 훼손하지 않고도 사용자 파일을 안전하게 숨기고 보안할 수 있는 기술이 절실하다.
Therefore, a technology that can safely hide and secure user files without compromising the operating system system is urgently needed.

[문헌 1] 한국등록특허 제10-0948812호, "보안 영역 관리 시스템 및 그 관리 방법"[Document 1] Korean Patent No. 10-0948812, "Security Zone Management System and Its Management Method" [문헌 2] 한국등록특허 제10-0948812호, "보안 영역 관리 시스템 및 그 관리 방법"[Document 2] Korean Patent No. 10-0948812, "Security Zone Management System and Its Management Method" [문헌 3] 한국공개특허 제10-2011-0132787호, "보안 기능을 구비한 메모리 장치 및 그 보안 방법"[Patent 3] Korean Patent Laid-Open No. 10-2011-0132787, "Memory Device With Security Function and Security Method thereof" [문헌 4] 한국공개특허 제10-2010-0112724호, "보안 이동형 저장장치 및 그 제어 방법"[Patent 4] Korean Patent Publication No. 10-2010-0112724, "Secure Mobile Storage Device and Its Control Method"

본 발명의 목적은 상술한 바와 같은 문제점을 해결하기 위한 것으로, 컴퓨터 단말의 저장매체에 영역 파일을 생성하고 영역 파일을 드라이브로 마운트하여 사용자 파일을 영역 파일에 저장하고 암호화하는 드라이브 기반 파일 보안 시스템을 제공하는 것이다.SUMMARY OF THE INVENTION An object of the present invention is to solve the above-mentioned problems, and to generate a file on a storage medium of a computer terminal, and mount a file as a drive to store and encrypt a user file in the file. To provide.

특히, 본 발명의 목적은 컴퓨터 단말의 저장매체에 영역 파일을 생성하고 영역 파일을 드라이브로 마운트하여 사용자 파일을 영역 파일에 저장하고 암호화하는 드라이브 기반 파일 보안 시스템을 제공하는 것이다.
In particular, it is an object of the present invention to provide a drive-based file security system that creates a region file on a storage medium of a computer terminal, mounts the region file as a drive, and stores and encrypts the user file in the region file.

상기 목적을 달성하기 위해 본 발명은 컴퓨터 단말에 설치되어, 사용자 파일을 저장하는 드라이브 기반 파일 보안 시스템에 관한 것으로서, 상기 컴퓨터 단말의 저장매체에 파일(이하 영역 파일)을 생성하는 영역파일 생성부; 상기 영역 파일을 상기 컴퓨터 단말의 드라이브로 마운트하거나 언마운트하는 영역 마운팅부; 상기 영역 파일을 암호화하여 저장하거나, 저장된 영역 파일을 복호화하는 영역 암호화부; 사용자 파일을 상기 마운트된 드라이브의 영역(이하 보안영역)에 저장하거나, 상기 보안영역으로부터 사용자 파일을 열기하는 보안파일 저장부; 및, 사용자 파일에 대한 처리 명령을 받으면, 상기 영역 파일을 복호화하여 마운트하고, 상기 보안영역에서 상기 사용자 파일에 대한 처리 명령을 수행하고, 명령 수행이 완료되면 상기 영역 파일을 언마운트하고 암호화하는 보안파일 처리부를 포함하는 것을 특징으로 한다.In order to achieve the above object, the present invention relates to a drive-based file security system installed in a computer terminal for storing a user file, comprising: an area file generation unit for generating a file (hereinafter, referred to as an area file) in a storage medium of the computer terminal; An area mounting unit which mounts or unmounts the area file as a drive of the computer terminal; An area encryption unit encrypting and storing the area file or decrypting the stored area file; A security file storage unit for storing a user file in an area of the mounted drive (hereinafter referred to as a security area) or opening a user file from the security area; And, when receiving a processing command for a user file, decrypts and mounts the area file, performs a processing command for the user file in the secure area, and when the command is completed, unmounts and encrypts the area file. And a file processing unit.

또, 본 발명은 드라이브 기반 파일 보안 시스템에 있어서, 상기 시스템은, 상기 사용자 파일에 대한 디렉터리 구조의 계층적 폴더 인터페이스를 제공하고, 상기 사용자 파일에 대한 처리 명령을 입력받는 인터페이스부를 더 포함하는 것을 특징으로 한다.In another aspect, the present invention provides a drive-based file security system, the system further comprises an interface unit providing a hierarchical folder interface of the directory structure for the user file, and receives a processing command for the user file. It is done.

또, 본 발명은 드라이브 기반 파일 보안 시스템에 있어서, 상기 인터페이스부는 상기 사용자 파일에 대한 처리 명령을 받기 전에, 상기 보안파일 처리부에 상기 디렉터리 구조에 대한 조회를 명령하여, 조회된 디렉터리 구조를 계층적 폴더로 표시하는 것을 특징으로 한다.In addition, in the drive-based file security system, the interface unit instructs the secure file processing unit to query the directory structure before receiving the processing command for the user file, thereby hierarchically searching the directory structure. It is characterized by displaying.

또, 본 발명은 드라이브 기반 파일 보안 시스템에 있어서, 상기 보안파일 처리부는 상기 사용자 파일에 대한 열기 명령을 받은 후, 저장 명령을 받기 전까지 상기 영역 파일을 언마운트하지 않는 것을 특징으로 한다.In the drive-based file security system, the secure file processing unit does not unmount the region file until the storage command is received after receiving the open command for the user file.

또, 본 발명은 드라이브 기반 파일 보안 시스템에 있어서, 상기 인터페이스부는 상기 사용자 파일에 대한 열기 명령을 처리한 후, 상기 사용자 파일의 확장자와 매칭되는 프로그램을 실행시키고 상기 사용자 파일을 상기 프로그램으로 열어주는 것을 특징으로 한다.The present invention provides a drive-based file security system, wherein the interface unit executes a program matching an extension of the user file and opens the user file with the program after processing an open command for the user file. It features.

또, 본 발명은 드라이브 기반 파일 보안 시스템에 있어서, 상기 인터페이스부는 사용자의 인증정보를 사전에 입력받아 저장하고, 인증된 사용자만 사용자 파일의 처리 명령을 수행해주는 것을 특징으로 한다.In the drive-based file security system, the interface unit receives and stores authentication information of a user in advance, and only an authenticated user executes a processing command of a user file.

또, 본 발명은 드라이브 기반 파일 보안 시스템에 있어서, 상기 영역파일 생성부는 상기 컴퓨터 단말의 폴더 상에서 상기 영역파일을 숨기는 것을 특징으로 한다.In another aspect of the present invention, in the drive-based file security system, the area file generation unit hides the area file on a folder of the computer terminal.

또, 본 발명은 드라이브 기반 파일 보안 시스템에 있어서, 상기 영역 마운팅부는 상기 영역파일을 드라이브로 마운트한 후 상기 드라이브를 숨기는 것을 특징으로 한다.
In another aspect of the present invention, in the drive-based file security system, the area mounting unit hides the drive after mounting the area file as a drive.

상술한 바와 같이, 본 발명에 따른 드라이브 기반 파일 보안 시스템에 의하면, 컴퓨터 단말에 생성된 영역 파일을 마운트하여 사용자 파일을 저장하고 영역 파일을 암호화함으로써, 후킹 등 운영체제의 시스템을 훼손하지 않고도 사용자 파일을 안전하게 숨기고 보안할 수 있는 효과가 얻어진다.
As described above, according to the drive-based file security system according to the present invention, by mounting the area file generated on the computer terminal to store the user file and encrypts the area file, the user file without damaging the system of the operating system, such as hooking The effect is that it can be safely hidden and secured.

도 1은 본 발명을 실시하기 위한 전체 시스템 구성의 일례를 도시한 도면이다.
도 2는 본 발명을 실시하기 위한 컴퓨터 단말의 소프트웨어 및 하드웨어 구성에 대한 블록도이다.
도 3은 본 발명의 일실시예에 따른 드라이브 기반 파일 보안 시스템의 구성에 대한 블록도이다.
도 4는 본 발명의 일실시예에 따른 인터페이스 화면의 일례를 도시한 것이다.
도 5는 본 발명의 일실시예에 따른 인증을 통한 파일 보안 방법을 설명하는 흐름도이다.1 is a diagram showing an example of the overall system configuration for implementing the present invention.
2 is a block diagram of a software and hardware configuration of a computer terminal for implementing the present invention.
3 is a block diagram of a configuration of a drive-based file security system according to an embodiment of the present invention.
4 illustrates an example of an interface screen according to an embodiment of the present invention.
5 is a flowchart illustrating a file security method through authentication according to an embodiment of the present invention.

이하, 본 발명의 실시를 위한 구체적인 내용을 도면에 따라서 설명한다.DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Hereinafter, the present invention will be described in detail with reference to the drawings.

또한, 본 발명을 설명하는데 있어서 동일 부분은 동일 부호를 붙이고, 그 반복 설명은 생략한다.
In the description of the present invention, the same parts are denoted by the same reference numerals, and repetitive description thereof will be omitted.

다음, 본 발명을 실시하기 위한 전체 시스템 구성의 예들을 도 1을 참조하여 설명한다. 도 1a 내지 도 1c에서 보는 바와 같이, 본 발명에 따른 드라이브 기반 파일 보안 시스템은 컴퓨터 단말 또는 외장 저장매체 상의 프로그램 시스템, 또는 네트워크 상의 서버 시스템으로 실시될 수 있다.Next, examples of the overall system configuration for implementing the present invention will be described with reference to FIG. As shown in Figures 1a to 1c, the drive-based file security system according to the present invention can be implemented as a program system on a computer terminal or an external storage medium, or a server system on a network.

도 1a에서 보는 바와 같이, 본 발명을 실시하기 위한 전체 시스템의 일례는 컴퓨터 단말(10)과 상기 컴퓨터 단말(10)에 설치되는 파일 보안 시스템(30)으로 구성될 수 있다. 즉, 파일 보안 시스템(30)의 각 기능들은 컴퓨터 프로그램으로 구현되어 컴퓨터 단말(10)에 설치된다. 파일 보안 시스템(30)은 컴퓨터 단말(10)의 저장매체(11), 예를 들어, 하드디스크, 외장 디스크, USB메모리 등의 저장매체 이미지를 대상으로 파일 보안 영역을 구성한다.As shown in FIG. 1A, an example of the entire system for implementing the present invention may include a computer terminal 10 and a file security system 30 installed in the computer terminal 10. That is, each function of the file security system 30 is implemented as a computer program and installed in the computer terminal 10. The file security system 30 configures a file security area for a storage medium 11 of the computer terminal 10, for example, a storage medium image such as a hard disk, an external disk, or a USB memory.

이때, 파일을 보안하여 저장할 공간(또는 영역)으로서, 저장매체(11)에 하나의 파일을 생성한다. 이 파일을 영역 파일이라 부르기로 한다. 파일 보안 시스템(30)은 영역 파일을 드라이브로 마운트하여, 컴퓨터 단말에서 별도의 가상 드라이브로 인식되도록 한다.At this time, one file is created in the storage medium 11 as a space (or area) to secure the file. This file is called a zone file. The file security system 30 mounts the area file as a drive so that the computer terminal is recognized as a separate virtual drive.

또한, 도 1b에서 보는 바와 같이, 본 발명을 실시하기 위한 전체 시스템의 다른 예는 컴퓨터 단말(10)과 상기 외장 저장매체(12)에 설치되는 파일 보안 시스템(30)으로 구성될 수 있다. 이때 외장 저장매체(12)에 설치된 시스템(30)은 컴퓨터 단말(10)에 의해 실행된다.In addition, as shown in FIG. 1B, another example of the entire system for implementing the present invention may include a computer terminal 10 and a file security system 30 installed in the external storage medium 12. At this time, the system 30 installed in the external storage medium 12 is executed by the computer terminal 10.

이때, 파일 보안 시스템(30)은 컴퓨터 단말의 저장매체(11)에 영역 파일을 생성하고, 상기 영역 파일을 컴퓨터 단말에서 가상 드라이버로 마운트한다. 그리고 보안할 파일들을 상기 가상 드라이브에 저장하게 한다.In this case, the file security system 30 generates an area file in the storage medium 11 of the computer terminal, and mounts the area file as a virtual driver in the computer terminal. And store the files to be secured in the virtual drive.

다음으로, 도 1c에서 보는 바와 같이, 본 발명을 실시하기 위한 전체 시스템의 또 다른 예는 컴퓨터 단말(10)과 파일 보안 시스템(30)으로 구성되고 서로 네트워크(20)로 연결된다. 또, 필요한 데이터를 저장하기 위한 데이터베이스(40)를 더 구비할 수 있다.Next, as shown in FIG. 1C, another example of the entire system for implementing the present invention is composed of a computer terminal 10 and a file security system 30 and connected to each other via a network 20. It is also possible to further include a database 40 for storing necessary data.

컴퓨터 단말(10)은 조직 내의 사용자가 이용하는 PC, 노트북, 넷북 등의 통상의 컴퓨팅 단말기이다. The computer terminal 10 is a typical computing terminal such as a PC, a notebook, or a netbook used by users in an organization.

파일 보안 시스템(30)은 통상의 서버로서 네트워크(20)에 연결되어 컴퓨터 단말(10)의 저장매체(11)에 직접 접근하여, 저장매체(11)에 영역 파일을 생성하고, 상기 영역 파일을 컴퓨터 단말에서 가상 드라이버로 마운트한다. 그리고 보안할 파일들을 상기 가상 드라이브에 저장하게 한다. 파일 보안 시스템(30)은 보안 파일들에 대한 정보를 추출하고, 추출된 데이터를 데이터베이스(40)에 기록한다. 예를 들어, 보안 파일들을 빠르게 검색하기 위한 키워드, 인덱스 등의 정보를 추출하여 저정할 수 있다.The file security system 30 is connected to the network 20 as a normal server, directly accesses the storage medium 11 of the computer terminal 10, generates an area file on the storage medium 11, and stores the area file. Mount as a virtual driver on the computer terminal. And store the files to be secured in the virtual drive. The file security system 30 extracts information about the security files and records the extracted data in the database 40. For example, information such as keywords and indexes for quickly searching security files may be extracted and stored.

데이터베이스(40)는 파일 보안 시스템(30)에서 필요한 데이터를 저장하는 통상의 저장매체로서, 보안 파일에 관한 정보, 사용자 접근 정보 등을 저장한다. 상기 데이터베이스(40)에 저장하는 데이터들은 앞서의 도 1(a)와 도 1(b)의 예의 경우 각각 저장매체(11)나 외장 저장매체(12)에 저장될 수 있다.The database 40 is a conventional storage medium for storing data required by the file security system 30 and stores information about a security file, user access information, and the like. Data stored in the database 40 may be stored in the storage medium 11 or the external storage medium 12 in the example of FIGS. 1A and 1B.

상기와 같이 본 발명에 따른 드라이브 기반 파일 보안 시스템은 다양한 실시예가 가능하지만, 이하에서 설명의 편의를 위해, 도 1(a)의 실시예인 컴퓨터 단말에 설치되는 프로그램 시스템으로 설명하기로 한다.
As described above, the drive-based file security system according to the present invention may be various embodiments. For convenience of explanation, the following description will be given as a program system installed in the computer terminal of the embodiment of FIG.

다음으로, 본 발명을 실시하기 위한 컴퓨터 단말의 소프트웨어 및 하드웨어 구성에 대하여 도 2를 참조하여 설명한다.Next, a software and hardware configuration of a computer terminal for implementing the present invention will be described with reference to FIG.

도 2에서 보는 바와 같이, 본 발명의 실시하기 위한 컴퓨터 단말(10)은 운영체제(50), 하드웨어(60), 및 응용 프로그램(70)으로 구성된다.As shown in FIG. 2, the computer terminal 10 for implementing the present invention is composed of an operating system 50, hardware 60, and an application program 70.

응용 프로그램(70)은 운영체제(50) 상에서 실행되는 프로그램들이고, 운영체제(50)는 응용 프로그램(70)들이 실행되는 사용자 계층과 운영체제 시스템이 실행되는 커널 계층으로 구분된다. 바람직하게는, 운영체제(50)는 윈도우즈 시스템이다.The application program 70 is programs executed on the operating system 50, and the operating system 50 is divided into a user layer on which the application programs 70 are executed and a kernel layer on which the operating system is executed. Preferably, operating system 50 is a Windows system.

하드 디스크(61)는 저장매체로서 하나의 하드웨어 장치(60)이다. 하드 디스크(61)는 운영체제의 디스크 드라이버(52)에 의해 제어되고, 응용 프로그램(70)은 시스템 콜 등 시스템 처리 모듈(51)을 호출함으로써, 디스크 드라이버(52)를 통해 하드 디스크(61)에 접근할 수 있다. 즉, 응용 프로그램(70)은 하드 디스크(61) 내에 파일(이하 사용자 파일)들을 생성, 삭제, 갱신, 이동 등 파일 작업을 수행할 수 있다.The hard disk 61 is a hardware device 60 as a storage medium. The hard disk 61 is controlled by the disk driver 52 of the operating system, and the application program 70 calls the system processing module 51, such as a system call, to the hard disk 61 through the disk driver 52. I can access it. That is, the application program 70 may perform file operations such as creating, deleting, updating, and moving files (hereinafter, referred to as user files) in the hard disk 61.

이때, 하드 디스크(61)는 디스크 드라이버(52)에 하나의 드라이브로 인식되어(마운트 되어) 제어된다. 하드 디스크(61)는 FAT32, NTFS 등 파일 시스템 구조로 포맷되어, 사용자 파일을 저장한다. 특히, 상기 파일 시스템은 계층적 구조를 가진 디렉터리 구조이고, 계층적 폴더 형태로 표현된다.At this time, the hard disk 61 is recognized (mounted) and controlled by the disk driver 52 as one drive. The hard disk 61 is formatted in a file system structure such as FAT32 or NTFS, and stores user files. In particular, the file system is a directory structure having a hierarchical structure and represented in a hierarchical folder form.

파일 보안 시스템(30)은 하나의 응용 프로그램(30)으로서, 운영체제(50)의 사용자 계층에 설치되어 실행되는 프로그램이다. 파일 보안 시스템(30)은 파일을 보안하는 일종의 보안 클라이언트이다.The file security system 30 is a program 30, which is a program installed and executed in the user layer of the operating system 50. File security system 30 is a type of security client that secures files.

파일 보안 시스템(30)은 하드 디스크(61) 내에 하나의 영역 파일(62)을 생성하고, 상기 영역 파일(62)을 가상 디스크로 마운트하여, 디스크 드라이버(52)에 하나의 드라이브로 인식되게 한다. 따라서 영역 파일에 할당된 공간(영역)은 하나의 드라이브로 인식되어 하드 디스크와 동일한 파일 시스템으로 접근될 수 있다.The file security system 30 creates one zone file 62 in the hard disk 61 and mounts the zone file 62 as a virtual disk so that the disk driver 52 is recognized as one drive. . Therefore, the space (area) allocated to the area file is recognized as one drive and can be accessed with the same file system as the hard disk.

즉, 응용 프로그램(70)은 영역 파일(62) 내의 공간을 하나의 드라이브로 인식하여, 시스템 처리 모듈(51) - 디스크 드라이버(52) - 영역 파일(62)로 접근하여 사용할 수 있다.That is, the application program 70 recognizes the space in the area file 62 as one drive, and can access and use the system processing module 51-disk driver 52-area file 62. FIG.

한편, 파일 보안 시스템(30)이 영역 파일(62)을 언마운트하면 영역 파일(62)이 드라이브로 인식되지 않기 때문에, 응용 프로그램(70)에서 영역 파일(62) 내의 공간(또는 영역)에 접근할 수 없다. 파일 보안 시스템(30)은 단순히 영역 파일(62)을 마운트 또는 언마운트 하는 것만으로, 영역 파일(62) 내의 사용자 파일들을 다른 응용 프로그램(70)에 노출시키지 않을 수 있다.On the other hand, if the file security system 30 unmounts the area file 62, the area file 62 is not recognized as a drive, and thus the application 70 accesses the space (or area) in the area file 62. Can not. The file security system 30 may not simply expose or unmount the zone file 62 to expose user files in the zone file 62 to other applications 70.

또한, 파일 보안 시스템(30)은 영역 파일을 암호화하여 저장하거나 상기 영역 파일을 숨김으로써, 응용 프로그램(70)이 영역 파일(62) 자체를 접근하는 것도 차단할 수 있다.In addition, the file security system 30 may prevent the application 70 from accessing the area file 62 itself by encrypting and storing the area file or hiding the area file.

또한, 운영체제(OS)에서 “숨김 파일 보기” 옵션을 설정해도 보안영역은 하나의 디스크로 마운드/언마운트 되므로, 마운트된 상태에서도 운영체제(OS)에서 보이지 않으며 컴퓨터 디스크관리자에도 표시가 되지 않는다.
Also, even if you set the “Show hidden files” option in the operating system (OS), the security zone is mounted / unmounted as a single disk, so it is not visible in the operating system (OS) even when mounted, and is not displayed in the computer disk manager.

다음으로, 본 발명의 일실시예에 따른 드라이브 기반 파일 보안 시스템에 대하여, 도 3을 참조하여 보다 구체적으로 설명한다.Next, a drive-based file security system according to an embodiment of the present invention will be described in more detail with reference to FIG. 3.

도 3에서 보는 바와 같이, 본 발명의 일실시예에 따른 파일 보안 시스템(30)은 영역파일 생성부(31), 영역 마운팅부(32), 영역 암호화부(33), 보안파일 저장부(34), 및, 보안파일 처리부(35)로 구성된다. 추가적으로, 인터페이스부(36), 감시부(37), 인덱스부(38)를 더 포함하여 구성될 수 있다.As shown in FIG. 3, the file security system 30 according to an embodiment of the present invention includes an area file generation unit 31, an area mounting unit 32, an area encryption unit 33, and a security file storage unit 34. And a security file processing unit 35. In addition, the interface unit 36, the monitoring unit 37, the index unit 38 may be configured to further include.

영역파일 생성부(31)는 컴퓨터 단말의 저장매체(61)에 파일(이하 영역 파일)을 생성한다. 앞서 설명한 바와 같이, 저장매체(61)는 하드 디스크 등을 데이터를 저장하는 공간을 말하며, 영역 파일은 하나의 파일로서 생성된다.The area file generation unit 31 generates a file (hereinafter, referred to as an area file) on the storage medium 61 of the computer terminal. As described above, the storage medium 61 refers to a space for storing data, such as a hard disk, and the area file is generated as one file.

구체적으로, 윈도우즈 운영체제의 API(Application programming interface) 중 하나인 CreateFile()을 이용하여 파일 생성한다. 그리고 DeviceIOControl을 사용하여 별로도 만들어진 드라이버와 통신하여 NTFS와 동일한 헤더 구조를 가지는 원시데이터를 생성한다.Specifically, a file is created by using CreateFile (), which is one of the application programming interfaces (APIs) of the Windows operating system. It uses DeviceIOControl to communicate with a separate driver to create raw data with the same header structure as NTFS.

또한, 영역파일 생성부(31)는 컴퓨터 단말의 폴더 상에서 상기 영역파일을 숨긴다. 컴퓨터 단말의 하드 디스크 등은 드라이브로 인식되고, 계층적인 디렉터리 구조를 가지고, 계층적인 구조의 폴더 형태로 표시된다. 이때, 컴퓨터 단말의 운영체제는 폴더 또는 파일들을 숨기는 기능을 가지고 있다. 영역파일 생성부(31)는 운영체제의 파일 숨김 기능을 이용하여 영역 파일을 숨긴다.
In addition, the area file generation unit 31 hides the area file on the folder of the computer terminal. The hard disk of the computer terminal is recognized as a drive, has a hierarchical directory structure, and is displayed in a hierarchical folder form. At this time, the operating system of the computer terminal has a function of hiding folders or files. The zone file generation unit 31 hides the zone file using the file hiding function of the operating system.

영역 마운팅부(32)는 영역 파일을 컴퓨터 단말의 드라이브로 마운트하거나 언마운트한다. 앞서 설명한 바와 같이, 영역 파일을 드라이브로 마운트하면 영역 파일의 저장 공간을 하나의 가상 파일 시스템으로 이용될 수 있다. 따라서 영역 파일 내에 폴더 등 디렉터리 구조를 생성하고, 생성된 폴더 내에 사용자 파일을 저장할 수 있다. 이와 같이 영역 파일 내의 파일 시스템이 곧 보안 영역이 된다.The area mounting unit 32 mounts or unmounts the area file as a drive of the computer terminal. As described above, when a region file is mounted as a drive, the storage space of the region file may be used as one virtual file system. Therefore, a directory structure such as a folder can be created in the zone file, and user files can be stored in the created folder. In this way, the file system in the zone file becomes a secure zone.

영역 마운팅부(32)가 영역 파일을 마운트 하면 상기 영역 파일 내에 구성된 파일 시스템(또는 보안 영역)에 사용자 파일을 저장하거나 저장된 파일을 열기할 수 있고, 영역파일이 언마운트되면, 상기 보안 영역에 사용자 파일을 저장/열기 등을 수행할 수 없다. 즉, 영역 파일을 언마운트하는 것만으로도, 보안 영역을 외부에 노출되지 않게 할 수 있다.When the area mounting unit 32 mounts a zone file, a user file may be stored or opened in a file system (or secure zone) configured in the zone file, and when the zone file is unmounted, the user may be placed in the secure zone. You cannot save / open files. In other words, simply unmounting the zone file can prevent the security zone from being exposed to the outside.

예를 들어, 리눅스의 폴더는 파일로 이루어져 있고 이 파일을 Symbolic Link를 이용하여 다른 영역으로 마운트 할 수 있는데 이 개념을 이용하여 윈도우 NTFS구조와 동일한 파일을 생성하여 이 파일을 IoCreateSymbolicLink를 사용하여 직접 마운트 시켜서 윈도우가 다른 디스크가 존재하는 것처럼 인식하게 한다.For example, a Linux folder is made up of files and you can mount this file to another area using Symbolic Link. Using this concept, you create the same file as the Windows NTFS structure and mount it directly using IoCreateSymbolicLink. This causes Windows to recognize it as if another disk exists.

또한, 윈도우즈 API인 ZwCreateFile을 이용하여 인식된 볼륨에 대한 핸들을 가지고 IoDeleteSymbolicLink API를 사용하여 연결된 디스크를 해제한다.It also uses the Windows API ZwCreateFile to release the attached disk using the IoDeleteSymbolicLink API with a handle to the recognized volume.

한편, 영역 마운팅부(32)는 영역파일을 드라이브로 마운트한 후 상기 드라이브를 숨긴다. 영역 파일을 마운트 하면 영역 파일 내의 보안 영역은 누구나 접근될 수 있다. 따라서 이를 방지하기 위하여, 마운트된 영역 파일을 숨긴다.Meanwhile, the area mounting unit 32 hides the drive after mounting the area file as a drive. When you mount a zone file, anyone within the zone file can access it. Therefore, to prevent this, hide the mounted region file.

구체적으로, 윈도우즈 운영체제의 레지스트리에서 다음과 같은 항목을 설정하여 마운트된 디스크를 숨긴다.Specifically, hide the mounted disk by setting the following entry in the registry of the Windows operating system.

[HLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer][HLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer]

그리고 마운트된 영역을 해제할 때, 상기 레지스트리 항목에서 설정을 해제하여 디스크를 다시 원래 상태로 복구한다.
When the mounted area is released, the registry item is released to restore the disk to its original state.

영역 암호화부(33)는 상기 영역 파일을 암호화하여 저장하거나, 저장된 영역 파일을 복호화한다.The area encryptor 33 encrypts and stores the area file or decrypts the stored area file.

암호화 기능을 추가하여 일반 사용자가 원시파일을 열더라도 구조를 파악할 수 없다. 이 단계에서 생성된 파일을 AES 암호화 알고리즘을 이용하여 암호화한다.
By adding the encryption function, even if the general user opens the source file, the structure cannot be understood. The file created in this step is encrypted using the AES encryption algorithm.

보안파일 저장부(34)는 사용자 파일을 상기 마운트된 드라이브의 영역(이하 보안영역)에 저장하거나, 상기 보안영역으로부터 사용자 파일을 열기한다.The secure file storage unit 34 stores a user file in an area of the mounted drive (hereinafter referred to as a secure area) or opens a user file from the secure area.

바람직하게는, 보안파일 저장부(34)는 사용자 파일을 암호화한 후 저장한다. 구체적으로, AES 암호화 일고리즘을 이용하여 암호화 한 후 암호화된 파일을 SaveFile() 윈도우즈 API를 이용하여 보안 영역에 저장한다. 또한, 저장된 파일(사용자 파일)을 읽어온 후, 상기 사용자 파일을 복호화하여 제공한다.
Preferably, the secure file storage unit 34 encrypts and stores the user file. Specifically, after encrypting using the AES encryption algorithm, the encrypted file is stored in the secure area using the SaveFile () Windows API. After reading the stored file (user file), the user file is decrypted and provided.

보안파일 처리부(35)는 사용자 파일에 대한 처리 명령을 받으면, 상기 영역 파일을 복호화하여 마운트하고, 상기 보안영역에서 상기 사용자 파일에 대한 처리 명령을 수행하고, 명령 수행이 완료되면 상기 영역 파일을 언마운트하고 암호화한다.When the security file processing unit 35 receives a processing command for a user file, the security file processing unit 35 decrypts and mounts the area file, performs a processing command for the user file in the secure area, and when the command is completed, frees the area file. Mount and encrypt

보안파일 처리부(35)는 상기 사용자 파일에 대한 열기 명령을 받은 후, 저장 명령을 받기 전까지 상기 영역 파일을 언마운트하지 않는다. 사용자 파일을 열고 사용하는 동안은 지속해서 보안 영역의 사용자 파일에 접근해야하기 때문이다.
After receiving the open command for the user file, the secure file processor 35 does not unmount the area file until the save command is received. This is because the user file must be accessed continuously in the security zone while the user file is opened and used.

인터페이스부(36)는 상기 사용자 파일에 대한 디렉터리 구조의 계층적 폴더 인터페이스를 제공하고, 상기 사용자 파일에 대한 처리 명령을 입력받는다. 특히, 인터페이스부(36)는 상기 사용자 파일에 대한 처리 명령을 받기 전에, 상기 보안파일 처리부(35)에 상기 디렉터리 구조에 대한 조회를 명령하여, 조회된 디렉터리 구조를 계층적 폴더로 표시한다.The interface unit 36 provides a hierarchical folder interface of a directory structure for the user file and receives a processing command for the user file. In particular, the interface unit 36 instructs the security file processing unit 35 to query the directory structure before receiving the processing command for the user file, and displays the inquired directory structure as a hierarchical folder.

인터페이스부(36)는 보안영역에 대하여 통상의 파일 관리 기능을 갖는다. 즉, 윈도우즈 운영체제의 파일 탐색기와 같은 기능을 수행하는 기능을 갖는다. 즉, 사용자 파일에 대한 처리 명령은 파일 목록 조회, 사용자 파일의 열기/수정/삭제/이동 등을 포함한다. 인터페이스부(36)는 이러한 명령을 입력받아 보안파일 처리부(35) 등에 의해 상기 처리 명령을 수행하게 한다.The interface unit 36 has a normal file management function for the secure area. In other words, it has the same function as the file explorer of the Windows operating system. That is, the processing command for the user file includes file list inquiry, opening / modifying / deleting / moving the user file, and the like. The interface unit 36 receives such a command and executes the processing command by the secure file processing unit 35 or the like.

한편, 도 4에서 보는 바와 같이, 인터페이스부(36)는 사용자에게 사용자 파일을 관리할 수 있는 인터페이스 화면을 제공한다. 도 4에서, 좌측 화면에는 폴더 구성을 계층적으로 보여주고, 우측 화면에는 저장된 파일에 관한 상세한 정보를 표시한다.Meanwhile, as shown in FIG. 4, the interface unit 36 provides an interface screen for managing a user file to the user. In FIG. 4, the left screen shows the folder structure hierarchically, and the right screen shows detailed information about the stored files.

먼저, 인터페이스부(36)는 보안영역의 파일목록을 조회해줄 수 있다. 보안영역으로 파일 복사 또는 이동 시 파일정보를 로컬DB(파일 보안 시스템에서만 직접 사용하는 자신만의 저장공간)에 입력하여 전용 탐색기를 이용하여 조회한다. 보안영역에 저장 및 삭제 루틴은 내부 영역에서 이루어지기 때문에 복사 및 삭제에 대한 실시간 감시를 하지 않더라도 로컬DB에서 관리가 가능하다.First, the interface unit 36 may query a file list of a security area. When copying or moving a file to the security area, the file information is entered into the local DB (own storage space that is directly used only in the file security system) and is searched using a dedicated explorer. Since the routine of saving and deleting in the security area is done in the internal area, it can be managed in the local DB without monitoring the copy and deletion in real time.

다음으로, 보안영역에서 파일을 열기하거나 수정할 수 있다. 사용자가 보안영역에 보관중인 데이터(또는 사용자 파일)를 열려고 시도하면, 인터페이스부(36)는 실행 및 수정하려는 파일정보를 로컬DB로부터 보안영역 어느 위치에 있는지 읽어오고, 보안영역을 윈도우가 인식할 수 있도록 마운트한다.Next, you can open or modify the file in the secure area. When the user tries to open the data (or user file) stored in the secure area, the interface unit 36 reads the file information to be executed and modified from the local DB in the secure area, and the window recognizes the secure area. Mount it so you can.

또한, 인터페이스부(36)는 상기 사용자 파일에 대한 열기 명령을 처리한 후, 상기 사용자 파일의 확장자와 매칭되는 프로그램을 실행시키고 상기 사용자 파일을 상기 프로그램으로 열어준다. 즉, 사용자 파일을 실행 및 수정할 수 있다. 이때, 사용자 파일이 MS-OFFICE 문서나 한글 문서인 경우 해당 소프트웨어가 설치되어 있는 것이 바람직하다. 해당 소프트웨어가 설치되지 않는 경우 등을 대비하여, 전용 뷰어가 설치될 수도 있다.In addition, the interface unit 36 processes the open command for the user file, executes a program matching the extension of the user file, and opens the user file with the program. In other words, user files can be executed and modified. In this case, when the user file is an MS-OFFICE document or a Korean document, the corresponding software is preferably installed. In case the corresponding software is not installed, a dedicated viewer may be installed.

다음으로, 보안영역에서 사용자 파일을 삭제한다. 보안영역에 사용자 파이을 저장하는 방식과 동일하게 이루어진다. 보안영역에 저장된 파일을 완전 삭제하여 성공했는지 확인후 로컬DB에서 정보를 삭제하여 사용자에게 알려준다.Next, delete the user file from the security zone. This is done in the same way as storing user pie in the secure area. After confirming that the file saved in the security area is completely deleted, delete the information from the local DB and notify the user.

또한, 인터페이스부(36)는 사용자의 인증정보를 사전에 입력받아 저장하고, 인증된 사용자만 사용자 파일의 처리 명령을 수행해준다.In addition, the interface unit 36 receives and stores authentication information of a user in advance, and only an authenticated user performs a processing command of the user file.

도 5에서 보는 바와 같이, 사용자 ID와 비밀번호 등을 인증정보로 사용하여, 인증된 사용자에게만 보안 영역에 접근하게 하거나, 보안 영역에 대한 정보를 검색해준다. 도 5에서, 전용 뷰어는 열기한 파일 문서를 열어줄 응용 프로그램이 없는 경우, 상기 파일 문서를 열어 보여준다.
As shown in FIG. 5, the user ID and password are used as authentication information to allow only the authenticated user to access the security area, or retrieve information about the security area. In FIG. 5, when there is no application program to open the opened file document, the dedicated viewer opens and displays the file document.

또한, 본 발명의 일실시예에 따른 파일 보안 시스템(30)은 상기와 같은 기본적인 파일 관리 기능 외에도 지속적인 감시 기능과 사용자 파일의 검색을 위한 감시부(37), 인덱스부(38) 등을 에이전트로서 추가적으로 구성한다.In addition, the file security system 30 according to an embodiment of the present invention, in addition to the basic file management function as described above, the monitoring unit 37, the index unit 38, etc. for the continuous monitoring function and user file search as an agent. Configure additionally.

감시부(37)는 사용자 파일이 생성, 수정 등의 처리 작업이 발생하면 상기 사용자 파일을 실시간으로 감시하여 보안영역으로 이동한다.The monitoring unit 37 monitors the user file in real time and moves to the security area when a user file is generated or modified.

또한, 인덱스부(38)는 컴퓨터 단말의 저장매체 또는 보안 영역에 저장된 사용자 파일에 대한 정보를 획득하여 해쉬값을 생성한다. 이를 통해, 저장된 사용자 파일을 보다 빠르고 정확하게 검색할 수 있게 한다. 바람직하게는, 사용자 파일의 문서 내용까지 분석하여 해쉬한다. 따라서 사용자 파일의 내용으로도 검색할 수 있다.
In addition, the index unit 38 generates a hash value by obtaining information about a user file stored in a storage medium or a secure area of the computer terminal. This allows for faster and more accurate retrieval of stored user files. Preferably, the contents of the document of the user file are analyzed and hashed. Therefore, you can also search by the contents of user files.

이상, 본 발명자에 의해서 이루어진 발명을 실시 예에 따라 구체적으로 설명하였지만, 본 발명은 실시 예에 한정되는 것은 아니고, 그 요지를 이탈하지 않는 범위에서 여러 가지로 변경 가능한 것은 물론이다.
The invention made by the present inventors has been described concretely with reference to the embodiments. However, it is needless to say that the present invention is not limited to the embodiments, and that various changes can be made without departing from the gist of the present invention.

10 : 컴퓨터 단말 11 : 저장매체
20 : 네트워크 40 : 데이터베이스
30 : 파일 보안 시스템 31 : 영역파일 생성부
32 : 영역 마운팅부 33 : 영역 암호화부
34 : 보안파일 저장부 35 : 보안파일 처리부
36 : 인터페이스부 37 : 감시부
38 : 인덱스부
50 : 운영체제 51 : 시스템 처리모듈
52 : 디스크 드라이브 60 : 하드웨어
61 : 하드 디스크 62 : 영역 파일
70 : 응용 프로그램10: computer terminal 11: storage medium
20: network 40: database
30: file security system 31: zone file generation unit
32: area mounting unit 33: area encryption unit
34: secure file storage unit 35: secure file processing unit
36 interface unit 37 monitoring unit
38: index portion
50: operating system 51: system processing module
52: disk drive 60: hardware
61: Hard Disk 62: Zone Files
70: application

Claims (8)

컴퓨터 단말에 설치되어, 사용자 파일을 저장하는 드라이브 기반 파일 보안 시스템에 있어서,
상기 컴퓨터 단말의 저장매체에 파일(이하 영역 파일)을 생성하는 영역파일 생성부;
상기 영역 파일을 상기 컴퓨터 단말의 드라이브로 마운트하거나 언마운트하는 영역 마운팅부;
상기 영역 파일을 암호화하여 저장하거나, 저장된 영역 파일을 복호화하는 영역 암호화부;
사용자 파일을 상기 마운트된 드라이브의 영역(이하 보안영역)에 저장하거나, 상기 보안영역으로부터 사용자 파일을 열기하는 보안파일 저장부; 및,
사용자 파일에 대한 처리 명령을 받으면, 상기 영역 파일을 복호화하여 마운트하고, 상기 보안영역에서 상기 사용자 파일에 대한 처리 명령을 수행하고, 명령 수행이 완료되면 상기 영역 파일을 언마운트하고 암호화하는 보안파일 처리부를 포함하는 것을 특징으로 하는 드라이브 기반 파일 보안 시스템.
In the drive-based file security system installed in the computer terminal, and stores the user file,
An area file generator for generating a file (hereinafter, referred to as an area file) on a storage medium of the computer terminal;
An area mounting unit which mounts or unmounts the area file as a drive of the computer terminal;
An area encryption unit encrypting and storing the area file or decrypting the stored area file;
A security file storage unit for storing a user file in an area of the mounted drive (hereinafter referred to as a security area) or opening a user file from the security area; And
Receiving a processing command for a user file, decrypts and mounts the area file, performs a processing command for the user file in the secure area, and when the command is completed, the secure file processing unit for unmounting and encrypting the area file Drive-based file security system comprising a.
제1항에 있어서, 상기 시스템은,
상기 사용자 파일에 대한 디렉터리 구조의 계층적 폴더 인터페이스를 제공하고, 상기 사용자 파일에 대한 처리 명령을 입력받는 인터페이스부를 더 포함하는 것을 특징으로 하는 드라이브 기반 파일 보안 시스템.
The system of claim 1,
And providing an hierarchical folder interface having a directory structure for the user file and receiving a processing command for the user file.
제2항에 있어서,
상기 인터페이스부는 상기 사용자 파일에 대한 처리 명령을 받기 전에, 상기 보안파일 처리부에 상기 디렉터리 구조에 대한 조회를 명령하여, 조회된 디렉터리 구조를 계층적 폴더로 표시하는 것을 특징으로 하는 드라이브 기반 파일 보안 시스템.
3. The method of claim 2,
The interface unit instructs the secure file processing unit to query the directory structure before receiving the processing command for the user file, and displays the inquired directory structure as a hierarchical folder.
제1항에 있어서,
상기 보안파일 처리부는 상기 사용자 파일에 대한 열기 명령을 받은 후, 저장 명령을 받기 전까지 상기 영역 파일을 언마운트하지 않는 것을 특징으로 하는 드라이브 기반 파일 보안 시스템.
The method of claim 1,
And the secure file processing unit does not unmount the area file until the save command is received after receiving the open command for the user file.
제2항에 있어서,
상기 인터페이스부는 상기 사용자 파일에 대한 열기 명령을 처리한 후, 상기 사용자 파일의 확장자와 매칭되는 프로그램을 실행시키고 상기 사용자 파일을 상기 프로그램으로 열어주는 것을 특징으로 하는 드라이브 기반 파일 보안 시스템.
3. The method of claim 2,
The interface unit processes the open command for the user file, executes a program matching the extension of the user file, and drives the user-based file security system, characterized in that for opening the user file to the program.
제2항에 있어서,
상기 인터페이스부는 사용자의 인증정보를 사전에 입력받아 저장하고, 인증된 사용자만 사용자 파일의 처리 명령을 수행해주는 것을 특징으로 하는 드라이브 기반 파일 보안 시스템.
3. The method of claim 2,
The interface unit receives and stores the authentication information of the user in advance, and the drive-based file security system, characterized in that only the authenticated user performs a user file processing command.
제1항에 있어서,
상기 영역파일 생성부는 상기 컴퓨터 단말의 폴더 상에서 상기 영역파일을 숨기는 것을 특징으로 하는 드라이브 기반 파일 보안 시스템.
The method of claim 1,
The area file generation unit hides the area file on a folder of the computer terminal.
제1항에 있어서,
상기 영역 마운팅부는 상기 영역파일을 드라이브로 마운트한 후 상기 드라이브를 숨기는 것을 특징으로 하는 드라이브 기반 파일 보안 시스템.
The method of claim 1,
And the area mounting unit hides the drive after mounting the area file as a drive.
KR1020120061138A 2012-06-07 2012-06-07 A File Securing System Based on Drive KR101371031B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020120061138A KR101371031B1 (en) 2012-06-07 2012-06-07 A File Securing System Based on Drive

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120061138A KR101371031B1 (en) 2012-06-07 2012-06-07 A File Securing System Based on Drive

Publications (2)

Publication Number Publication Date
KR20140015642A KR20140015642A (en) 2014-02-07
KR101371031B1 true KR101371031B1 (en) 2014-03-10

Family

ID=50264958

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120061138A KR101371031B1 (en) 2012-06-07 2012-06-07 A File Securing System Based on Drive

Country Status (1)

Country Link
KR (1) KR101371031B1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10289860B2 (en) * 2014-04-15 2019-05-14 Namusoft Co., Ltd. Method and apparatus for access control of application program for secure storage area

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060058427A (en) * 2004-11-25 2006-05-30 소프트캠프(주) Electrical transmission system in secret environment between virtual disks and electrical transmission method thereof
KR20090049888A (en) * 2007-11-14 2009-05-19 브레인즈스퀘어(주) Method of processing data using raw area of removable storage device and apparatus for performing the same

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060058427A (en) * 2004-11-25 2006-05-30 소프트캠프(주) Electrical transmission system in secret environment between virtual disks and electrical transmission method thereof
KR20090049888A (en) * 2007-11-14 2009-05-19 브레인즈스퀘어(주) Method of processing data using raw area of removable storage device and apparatus for performing the same

Also Published As

Publication number Publication date
KR20140015642A (en) 2014-02-07

Similar Documents

Publication Publication Date Title
KR101852725B1 (en) Computer programs, secret management methods and systems
US11057355B2 (en) Protecting documents using policies and encryption
KR101705550B1 (en) Method and software product for controlling application program which access secure saving area
US20150019864A1 (en) Secure Virtual Machine
KR100596135B1 (en) Control system for access classified by application in virtual disk and Controling method thereof
US20050066165A1 (en) Method and system for protecting confidential information
US20140258717A1 (en) Cloud application installed in client terminal connected to cloud server
CN110622163B (en) Auxiliary storage device with independent recovery area and equipment suitable for same
WO2017011293A1 (en) Securing temporary data on untrusted devices
EP3304275B1 (en) Protecting data files
JP2007140798A (en) Information leakage prevention system for computer
Scarfone et al. Guide to storage encryption technologies for end user devices
US20220292195A1 (en) Ransomware prevention
KR101371031B1 (en) A File Securing System Based on Drive
US11880482B2 (en) Secure smart containers for controlling access to data
KR20230042840A (en) Data Protection System for Protecting Data from the Ransomware
KR20030090568A (en) System for protecting computer resource and method thereof
KR102305680B1 (en) System for storing security information using a plurality of storages
Mehta et al. Towards Enablement Of Efficient Forensics Of Encrypted Storage Devices Such As HDDs and SSDs
Stewart Forensic implications of Windows vista
Scarfone et al. SP 800-111. Guide to Storage Encryption Technologies for End User Devices

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170214

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20190214

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20200217

Year of fee payment: 7