KR102542007B1 - Method and apparatus for portecting files of external storage - Google Patents

Method and apparatus for portecting files of external storage Download PDF

Info

Publication number
KR102542007B1
KR102542007B1 KR1020210128479A KR20210128479A KR102542007B1 KR 102542007 B1 KR102542007 B1 KR 102542007B1 KR 1020210128479 A KR1020210128479 A KR 1020210128479A KR 20210128479 A KR20210128479 A KR 20210128479A KR 102542007 B1 KR102542007 B1 KR 102542007B1
Authority
KR
South Korea
Prior art keywords
access
external storage
target file
file
request
Prior art date
Application number
KR1020210128479A
Other languages
Korean (ko)
Other versions
KR20230045781A (en
Inventor
이연준
Original Assignee
한양대학교 에리카산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한양대학교 에리카산학협력단 filed Critical 한양대학교 에리카산학협력단
Priority to KR1020210128479A priority Critical patent/KR102542007B1/en
Publication of KR20230045781A publication Critical patent/KR20230045781A/en
Application granted granted Critical
Publication of KR102542007B1 publication Critical patent/KR102542007B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2113Multi-level security, e.g. mandatory access control
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Abstract

유닉스 계열 운영체제 환경에서의, 외부 저장소에 저장된 파일을 보호하는 방법 및 장치가 개시된다. 개시된 방법은 외부 저장소에 저장된 타겟 파일에 대한 접근 요청에 응답하여, 상기 접근 요청에 대한 접근 권한을 확인하는 단계; 및 상기 접근 권한의 확인 결과에 따라서, 상기 타겟 파일에 대한 접근을 허용하는 단계를 포함한다.A method and apparatus for protecting files stored in an external storage in a Unix-like operating system environment are disclosed. The disclosed method includes, in response to a request for access to a target file stored in an external storage, checking an access right to the access request; and allowing access to the target file according to a result of checking the access authority.

Description

외부 저장소에 저장된 파일을 보호하는 방법 및 장치{METHOD AND APPARATUS FOR PORTECTING FILES OF EXTERNAL STORAGE}Method and device for protecting files stored in external storage {METHOD AND APPARATUS FOR PORTECTING FILES OF EXTERNAL STORAGE}

본 발명은 외부 저장소에 저장된 파일을 보호하는 방법 및 장치에 관한 발명으로서, 더욱 상세하게는 유닉스 계열 운영체제 환경에서의, 외부 저장소에 저장된 파일을 보호하는 방법 및 장치에 관한 것이다. The present invention relates to a method and apparatus for protecting files stored in external storage, and more particularly, to a method and apparatus for protecting files stored in external storage in a Unix-based operating system environment.

리눅스, 안드로이드 운영 체제 등과 같은 유닉스 계열(Unix-like) 운영 체제는, 저장소(strorage)를 내부 저장소(internal storage)와 외부 저장소(external storage)로 구분하여 관리하고 있다. 일반적으로 단말 내부에 탑재된 비휘발성 메모리가 내부 저장소에 대응되며, 마이크로 SD 카드와 같은 이동식 저장소가 외부 저장소에 대응된다.Unix-like operating systems such as Linux and Android operating systems divide and manage storage into internal storage and external storage. In general, a non-volatile memory mounted inside a terminal corresponds to internal storage, and a removable storage such as a microSD card corresponds to external storage.

유닉스 계열 운영 체제 환경에서는, 외부 저장소 관리를 위해 FUSE 데몬(Daemon)이 이용된다. 하지만, 여러 소프트웨어가 공용으로 사용하는 외부 저장소에의 중요 파일 예컨대, 설치 파일, 펌웨어, 사용자 개인 정보, 인증서 등에 대한 접근을 제어하는 기능은, FUSE 데몬에서 제공되지 않는다. In a Unix-like operating system environment, FUSE Daemon is used to manage external storage. However, the FUSE daemon does not provide a function to control access to important files such as installation files, firmware, user personal information, and certificates in external storage commonly used by various software.

또한 안드로이드 외부 저장소 접근 정책에 따르면, 안드로이드 소프트웨어가 외부 저장소 접근 권한을 가지고 있는 경우, 외부 저장소의 모든 파일 및 디렉토리에 접근이 가능하다. 이러한 접근 권한은 수 많은 소프트웨어가 요청 및 사용하고 있기 때문에, 중요 파일에 대한 보호가 취약해질 수 있다.In addition, according to the Android external storage access policy, if the Android software has external storage access rights, all files and directories in the external storage can be accessed. Because these access rights are requested and used by a lot of software, the protection of important files can be weakened.

이에 외부 저장소에 존재하는 중요 파일에 대한 위변조를 방지하기 위해 해시 검증(Hash verification)이 사용되고 있다. 하지만, 많은 소프트웨어가 외부 저장소 접근 권한을 가지고 있기 때문에 TOCTOU(검사 시점과 사용 시점) 취약점이 존재하며, 해당 취약점을 이용한 공격(Hash Verification 직후 파일 이동, 삭제, 쓰기 등을 통한 위변조)을 통한, 파일 위변조가 가능하다.Accordingly, hash verification is used to prevent forgery of important files existing in external storage. However, since many softwares have external storage access rights, TOCTOU (check time and use time) vulnerabilities exist, and through attacks using the vulnerability (forgery through file movement, deletion, writing, etc. immediately after hash verification), Counterfeiting is possible.

관련 선행문헌으로 특허 문헌인 대한민국 등록특허 제10-1041348호가 있다.As a related prior literature, there is Korean Patent Registration No. 10-1041348, which is a patent document.

본 발명은 유닉스 계열 운영체제가 이용되는 환경에서, 외부 저장소에 저장된 파일을 효과적으로 보호할 수 있는 방법 및 장치 제공하기 위한 것이다.An object of the present invention is to provide a method and apparatus capable of effectively protecting files stored in an external storage in an environment where a Unix-type operating system is used.

또한 본 발명은 외부 저장소에 저장된 중요 파일에 대한 악의적인 소프트웨어 위변조를 방지할 수 있는 파일 보호 방법 및 장치를 제공하기 위한 것이다.In addition, the present invention is to provide a file protection method and apparatus capable of preventing malicious software forgery of important files stored in an external storage.

상기한 목적을 달성하기 위한 본 발명의 일 실시예에 따르면, 유닉스 계열 운영체제를 이용하는 컴퓨팅 장치가, 외부 저장소에 저장된 파일을 보호하는 방법으로서, 외부 저장소에 저장된 타겟 파일에 대한 접근 요청에 응답하여, 상기 접근 요청에 대한 접근 권한을 확인하는 단계; 및 상기 접근 권한의 확인 결과에 따라서, 상기 타겟 파일에 대한 접근을 허용하는 단계 를 포함하는 외부 저장소에 저장된 파일을 보호하는 방법이 제공된다.According to one embodiment of the present invention for achieving the above object, a computing device using a Unix-like operating system is a method for protecting a file stored in an external storage, in response to a request for access to a target file stored in the external storage, Checking the access authority for the access request; and allowing access to the target file according to a result of checking the access authority.

또한 상기한 목적을 달성하기 위한 본 발명의 다른 실시예에 따르면, 유닉스 계열 운영체제 환경에서, 외부 저장소에 저장된 파일을 보호하는 장치로서, 외부 저장소에 저장된 타겟 파일에 대한 접근 요청에 응답하여, 상기 접근 요청에 대한 접근 권한을 확인하는 접근 권한 확인부; 및 상기 접근 권한의 확인 결과에 따라서, 상기 타겟 파일에 대한 접근 요청을 처리하는 접근 제어부를 포함하는 외부 저장소에 저장된 파일을 보호하는 장치가 개시된다.In addition, according to another embodiment of the present invention for achieving the above object, as a device for protecting a file stored in an external storage in a Unix-like operating system environment, in response to a request for access to a target file stored in the external storage, the access an access authority confirmation unit that verifies access authority to the request; And an apparatus for protecting a file stored in an external storage including an access control unit processing a request for access to the target file according to a result of checking the access authority is disclosed.

본 발명의 일실시예에 따르면, 외부 저장소에 저장된 파일 중 중요 파일에 접근 권한 설정이 가능하며, 중요 파일 대한 접근 요청자의 접근 권한을 확인하여 접근을 허용함으로써, 중요 파일에 대한 위변조 공격이 차단될 수 있다.According to one embodiment of the present invention, it is possible to set access rights to important files among files stored in external storage, and by checking the access rights of the person requesting access to the important files and allowing access, forgery and falsification attacks on important files can be blocked. can

또한 본 발명의 일실시예에 따르면, 심볼릭 링크가 참조하는 파일에 대한 접근 권한 여부를 확인함으로써, 심볼릭 링크를 활용한 우회 공격을 효과적으로 차단할 수 있다.In addition, according to an embodiment of the present invention, by checking whether or not an access authority for a file referred to by a symbolic link is checked, a detour attack using a symbolic link can be effectively blocked.

도 1은 본 발명의 일실시예에 따른 외부 저장소에 저장된 파일을 보호하는 방법을 설명하기 위한 도면이다.
도 2는 본 발명의 다른 실시예에 따른 외부 저장소에 저장된 파일을 보호하는 방법을 설명하기 위한 도면이다.
도 3은 본 발명의 일실시시예에 따른 유닉스 계열 운영체제 환경에서, 외부 저장소에 저장된 파일을 보호하는 장치를 설명하기 위한 도면이다.1 is a diagram for explaining a method of protecting a file stored in an external storage according to an embodiment of the present invention.
2 is a diagram for explaining a method of protecting a file stored in an external storage according to another embodiment of the present invention.
3 is a diagram for explaining an apparatus for protecting files stored in an external storage in a Unix-like operating system environment according to an embodiment of the present invention.

본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다. Since the present invention can make various changes and have various embodiments, specific embodiments will be illustrated in the drawings and described in detail in the detailed description. However, this is not intended to limit the present invention to specific embodiments, and should be understood to include all modifications, equivalents, and substitutes included in the spirit and scope of the present invention. Like reference numerals have been used for like elements throughout the description of each figure.

본 발명은 유닉스 계열 운영체제가 이용되는 환경에서, 외부 저장소에 저장된 파일에 대한 접근 권한을 이용하여, 외부 저장소의 파일을 보호할 수 있는 방법 및 장치를 제안한다.The present invention proposes a method and apparatus capable of protecting a file in an external storage using an access right to a file stored in the external storage in an environment where a Unix-type operating system is used.

본 발명의 일실시예에 따르면, 외부 저장소의 파일별로 접근 권한이 부여된다. 그리고 이러한 접근 권한은, 파일에 대한 접근을 요청한 요청자의 식별 정보별로 부여될 수 있다. 여기서 요청자는, 외부 저장소가 탑재된 단말의 사용자 또는 어플리케이션일 수 있다.According to one embodiment of the present invention, access rights are granted for each file in the external storage. In addition, such access rights may be granted for each requester's identification information requesting access to the file. Here, the requestor may be a user or an application of a terminal equipped with an external storage.

본 발명의 일실시예는 타겟 파일에 대한 접근 요청이 발생한 경우, 접근 요청에 대한 접근 권한을 확인하고, 접근 권한에 따라 해당 파일의 접근을 허용함으로써, 외부 저장소에 저장된 파일을 보호한다.An embodiment of the present invention protects a file stored in an external storage by checking an access right to the access request and allowing access to the corresponding file according to the access right when a request for access to a target file occurs.

이하에서, 본 발명에 따른 실시예들을 첨부된 도면을 참조하여 상세하게 설명한다.Hereinafter, embodiments according to the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명의 일실시예에 따른 외부 저장소에 저장된 파일을 보호하는 방법을 설명하기 위한 도면이다. 1 is a diagram for explaining a method of protecting a file stored in an external storage according to an embodiment of the present invention.

본 발명의 일실시예에 따른 파일 보호 방법은, 유닉스 계열 운영체제를 이용하는 컴퓨팅 장치에서 수행될 수 있으며, 이러한 컴퓨팅 장치는 예컨대 안드로이드 단말이나, 리눅스 단말 등일 수 있다.A file protection method according to an embodiment of the present invention may be performed in a computing device using a Unix-based operating system, and such a computing device may be, for example, an Android terminal or a Linux terminal.

도 1을 참조하면, 본 발명의 일실시예에 따른 컴퓨팅 장치는 외부 저장소에 저장된 타겟 파일에 대한 접근 요청에 응답하여, 접근 요청에 대한 접근 권한을 확인(S110)한다. 그리고 접근 권한의 확인 결과에 따라서 타겟 파일에 대한 접근을 허용(S120)한다. 즉, 컴퓨팅 장치는 접근 요청에 대한 접근 권한이 존재하는 경우, 타겟 파일에 대한 접근을 허용하며, 접근이 허용됨에 따라 타겟 파일에 대한 리드나 라이트 동작 등이 이루어질 수 있다.Referring to FIG. 1 , the computing device according to an embodiment of the present invention responds to a request for access to a target file stored in an external storage and checks the access authority for the access request (S110). Then, access to the target file is allowed according to the confirmation result of the access authority (S120). That is, if the access authority for the access request exists, the computing device allows access to the target file, and as the access is permitted, a read or write operation may be performed on the target file.

접근 권한은 외부 저장소에 저장된 파일 별로 다르게 설정될 수 있다. 외부 저장소에 저장된 파일 전체에 대해 특정 접근 요청자에게만 접근 권한이 부여되는 것은 비효율적이므로, 외부 저장소에 저장된 파일 중 설치 파일, 펌웨어, 사용자 개인 정보, 인증서 파일 등과 같은 매우 중요한 파일에 대해서만, 특정 접근 요청자에게 접근 권한이 설정될 수 있다.Access rights can be set differently for each file stored in the external storage. Since it is inefficient to grant access only to specific access requesters to all files stored in external storage, among files stored in external storage, only very important files such as installation files, firmware, user personal information, certificate files, etc. Access rights can be set.

일실시예로서, 접근 권한 설정은 derive_permissions_locked 메소드(method)에 의해 구현될 수 있으며, 접근 권한은, 타겟 파일의 식별 정보에 따라 설정될 수 있다. 이러한 파일의 식별 정보는 파일 포맷, 헤더 정보, 파일 확장자 등일 수 있으며, 중요 파일에 해당하는 포맷이나 확장자로 구성된 파일에, 접근 권한이 선택적으로 설정될 수 있다.As an embodiment, access permission setting may be implemented by a derive_permissions_locked method, and access permission may be set according to identification information of a target file. The identification information of such a file may be a file format, header information, file extension, etc., and access authority may be selectively set for a file composed of a format or extension corresponding to an important file.

단계 S110에서 컴퓨팅 장치는 타겟 파일에 대해 접근을 요청한 접근 요청자의 식별 정보와, 접근 요청자의 식별 정보에 부여된 타겟 파일에 대한 접근 권한 정보를 이용하여, 접근 요청에 대한 접근 권한을 확인할 수 있다. 예컨대, 인증서 파일에 대한 접근 권한이, 안드로이드 단말 사용자의 ID나 그룹 ID와 같은 식별 정보에 부여된 경우, 컴퓨팅 장치는 이러한 식별 정보에 부여된 접근 권한 정보를 확인하여, 인증서 파일에 대한 접근 권한이 존재하는지 여부를 확인할 수 있다. 일실시예로서, 권한 정보의 확인은 check_caller_access_to_name 메소드에 의해 구현될 수 있다.In step S110, the computing device can check the access right for the access request by using the identification information of the access requester requesting access to the target file and the access right information on the target file assigned to the access requester's identification information. For example, when access rights to a certificate file are granted to identification information such as an Android terminal user's ID or a group ID, the computing device checks the access rights information granted to the identification information, and the access rights to the certificate file are granted. You can check whether it exists or not. As an embodiment, verification of authority information may be implemented by a check_caller_access_to_name method.

본 발명의 일실시예에 따르면, 외부 저장소에 저장된 파일 중 중요 파일에 접근 권한 설정이 가능하며, 중요 파일 대한 접근 요청자의 접근 권한을 확인하여 접근을 허용함으로써, 중요 파일에 대한 위변조 공격이 차단될 수 있다.According to one embodiment of the present invention, it is possible to set access rights to important files among files stored in external storage, and by checking the access rights of the person requesting access to the important files and allowing access, forgery and falsification attacks on important files can be blocked. can

한편, 본 발명의 일실예에 따른 컴퓨팅 장치는, 사용자의 식별 정보를 탈취하여 외부 저장소의 파일에 접근하는 공격에 효율적으로 대응하기 위해, 접근 요청에 의해 타겟 파일의 상태가 변경된 경우, 타겟 파일의 상태 변경 이력을 저장하여 관리(S130)할 수 있다. 또한 컴퓨팅 장치는 상태 변경 이력과 함께, 접근 요청자의 식별 정보를 상태 변경 이력에 매칭시켜 저장할 수 있다. 여기서, 상태 변경 이력은 타겟 파일의 이동, 삭제, 이름 변경, 복사 등을 포함하며, 또한 타겟 파일의 상태가 변경된 시간을 더 포함할 수 있다. 그리고 상태 변경 이력의 저장은 handle_rename 메소드에 의해 구현될 수 있다.Meanwhile, the computing device according to one embodiment of the present invention, in order to efficiently respond to an attack of stealing user identification information and accessing a file in an external storage, when the state of a target file is changed by an access request, the target file The state change history may be stored and managed (S130). In addition, the computing device may match and store identification information of an access requester with the state change history along with the state change history. Here, the state change history includes movement, deletion, renaming, copying, etc. of the target file, and may further include a time when the state of the target file is changed. And saving the state change history can be implemented by the handle_rename method.

따라서, 공격자에 의해 타겟 파일의 상태가 변경된 경우, 상태 변경 이력을 통해 공격에 이용된 식별 정보와 공격 시간이 확인될 수 있으며, 공격에 대한 적절한 대응이 가능하다.Therefore, when the state of the target file is changed by an attacker, the identification information used in the attack and the attack time can be confirmed through the state change history, and an appropriate response to the attack is possible.

또한 공격 루트를 효율적으로 확인하기 위해, 상태 변경 이력은 타겟 파일의 상태가 변경된 시간 이전의 인터넷 접속 주소를 더 포함할 수 있다. 상태 변경 이력에 포함된 인터넷 접속 주소를 통해, 공격에 이용된 악성 코드 등이 배포된 주소가 용이하게 확인될 수 있다.In addition, in order to efficiently check the attack route, the state change history may further include an Internet access address prior to the time when the state of the target file was changed. Through the Internet access address included in the state change history, the address where the malicious code used in the attack was distributed can be easily identified.

이 때, 인터넷 접속 주소는, 컴퓨팅 장치의 인터넷 접속 빈도가 임계 빈도 이하인 인터넷 접속 주소인 것이 바람직하다. 사용자가 자주 접속하는 인터넷 주소의 경우, 공격 루트로 활용될 가능성이 부족하므로, 공격 루트로 활용될 가능성이 높은, 임계 빈도 이하로 이용된 인터넷 접속 주소가, 상태 변경 이력에 포함될 수 있다.In this case, the Internet access address is preferably an Internet access address at which the frequency of Internet access of the computing device is less than or equal to a threshold frequency. Since Internet addresses frequently accessed by users are unlikely to be used as attack routes, Internet access addresses that are highly likely to be used as attack routes and are used less than a critical frequency may be included in the state change history.

도 2는 본 발명의 다른 실시예에 따른 외부 저장소에 저장된 파일을 보호하는 방법을 설명하기 위한 도면이다.2 is a diagram for explaining a method of protecting a file stored in an external storage according to another embodiment of the present invention.

본 발명의 일실시예에 따른 컴퓨팅 장치는, 단계 S110에서 타겟 파일이 심볼릭 링크(symbolic link)인 경우, 심볼릭 링크가 참조하는 파일에 대한 접근 권한을 확인할 수 있다. 심볼릭 링크는 절대 경로 또는 상대 경로의 형태로 된 다른 파일이나 디렉터리에 대한 참조를 포함하고 있는 파일로서, 도 2에 도시된 바와 같이, 복수의 파일(210)을 참조할 수 있다.If the target file is a symbolic link in step S110, the computing device according to an embodiment of the present invention may check the access authority for the file referred to by the symbolic link. A symbolic link is a file containing a reference to another file or directory in the form of an absolute path or a relative path, and as shown in FIG. 2 , it may refer to a plurality of files 210 .

공격자가 심볼릭 링크를 통해, 심볼릭 링크가 참조하는 파일에 접근할 수 있으므로, 컴퓨팅 장치는 공격자가 심볼릭 링크가 참조하는 파일에 접근할 수 없도록, 심볼릭 링크가 참조하는 파일에 대한 접근 권한을 확인하고, 확인 결과에 따라서 접근을 허용한다.Since an attacker can access the file referenced by the symbolic link via a symbolic link, the computing device checks the access rights to the file referenced by the symbolic link, so that the attacker cannot access the file referenced by the symbolic link, Access is allowed according to the verification result.

심볼릭 링크가 참조하는 파일이 1개인 경우, 단계 S120에서 컴퓨팅 장치는 심볼릭 링크가 참조하는 파일에 대한 접근 권한이 접근 요청자에게 존재하는지에 따라 접근을 허용한다. 하지만, 심볼릭 링크가 참조하는 파일이 복수개인 경우에는 파일에 따라 접근 권한이 존재하거나 존재하지 않을 수 있으며, 이 경우 복수 파일에 대한 접근 허용 방식은 미리 설정된 보안 레벨에 따라 달라질 수 있다.If there is only one file referred to by the symbolic link, in step S120, the computing device grants access to the file referred to by the symbolic link depending on whether or not the access requestor has access rights. However, when there are multiple files referenced by symbolic links, access rights may or may not exist depending on the files, and in this case, the method for allowing access to the multiple files may vary according to a preset security level.

컴퓨팅 장치는 제1보안 레벨에서, 심볼릭 링크가 참조하는 복수개의 파일 중 적어도 하나에 대한 접근 권한이 미확인될 경우, 복수개의 파일 전체에 대한 접근을 불허할 수 있다. 심볼릭 링크가 참조하는 복수개의 파일 중, 일부 파일에 대한 접근 권한이 설정되지 못한 경우에도, 이러한 접근 방식을 통해 공격자의 파일 접근이 차단될 수 있다.At the first security level, the computing device may disallow access to all of the plurality of files when the access authority for at least one of the plurality of files referred to by the symbolic link is not confirmed. Even if the access authority for some of the files referenced by the symbolic link is not set, the attacker's file access can be blocked through this approach.

또는 제1보안 레벨보다 낮은 제2보안 레벨에서, 컴퓨팅 장치는 심볼릭 링크가 참조하는 복수개의 파일 중 접근 권한이 확인된 파일에 대해서 선택적으로 접근을 허용할 수 있다.Alternatively, at a second security level lower than the first security level, the computing device may selectively allow access to files for which access rights are confirmed among a plurality of files referred to by symbolic links.

또는 제2보안 레벨보다 낮은 제3보안 레벨에서 컴퓨팅 장치는, 심볼릭 링크가 참조하는 복수개의 파일 중 접근 권한이 확인된 파일이 적어도 하나가 존재하는 경우, 접근 권한이 확인된 파일뿐만 아니라, 접근 권한이 확인된 파일과 동일한 타입의 파일에 대해서도 접근을 허용할 수 있다. 일실시예로서, 파일 타입은 파일의 확장자에 대응될 수 있으며, 접근 권한이 확인된 파일과 동일한 확장자의 파일에 대한 접근 권한이 확인되지 않은 상황에서도, 접근 권한이 확인된 파일과 동일한 타입의 파일에 대해서 접근이 허용될 수 있다.Alternatively, in the third security level lower than the second security level, the computing device, if there is at least one file whose access right is confirmed among a plurality of files referred to by the symbolic link, not only the file whose access right is confirmed, but also the access right. Access can also be granted to files of the same type as this identified file. As an embodiment, the file type may correspond to the extension of the file, and even in a situation where the access right to the file having the same extension as the file for which the access right is checked is not confirmed, the file of the same type as the file for which the access right is confirmed. access may be granted.

도 3은 본 발명의 일실시시예에 따른 유닉스 계열 운영체제 환경에서, 외부 저장소에 저장된 파일을 보호하는 장치를 설명하기 위한 도면이다.3 is a diagram for explaining an apparatus for protecting files stored in an external storage in a Unix-like operating system environment according to an embodiment of the present invention.

도 3을 참조하면 본 발명의 일실시예에 따른 파일 보호 장치는 접근 권한 확인부(310) 및 접근 제어부(320)를 포함한다.Referring to FIG. 3 , the file protection device according to an embodiment of the present invention includes an access authority confirmation unit 310 and an access control unit 320 .

접근 권한 확인부(310)는 외부 저장소에 저장된 타겟 파일에 대한 접근 요청에 응답하여, 접근 요청에 대한 접근 권한을 확인한다. 접근 권한 확인부(310)는는 전술된 접근 권한 확인 방법에 따라 접근 요청에 대한 접근 권한을 확인할 수 있다. The access authority checking unit 310 responds to a request for access to a target file stored in an external storage and checks the access authority for the access request. The access right confirmation unit 310 may check the access right for the access request according to the above-described access right checking method.

그리고 접근 제어부(320)는 접근 권한 확인부(310)의 접근 권한 확인 결과에 따라서, 타겟 파일에 대한 접근 요청을 처리한다. 접근 제어부(320)는 전술된 접근 허용 방법에 따라서, 타겟 파일에 대한 접근 요청을 처리할 수 있다.Further, the access control unit 320 processes the access request for the target file according to the access authority check result of the access authority confirmation unit 310 . The access control unit 320 may process an access request for a target file according to the above-described access permission method.

앞서 설명한 기술적 내용들은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시예들을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 하드웨어 장치는 실시예들의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.The technical contents described above may be implemented in the form of program instructions that can be executed through various computer means and recorded on a computer readable medium. The computer readable medium may include program instructions, data files, data structures, etc. alone or in combination. Program commands recorded on the medium may be specially designed and configured for the embodiments or may be known and usable to those skilled in computer software. Examples of computer-readable recording media include magnetic media such as hard disks, floppy disks and magnetic tapes, optical media such as CD-ROMs and DVDs, and magnetic media such as floptical disks. - includes hardware devices specially configured to store and execute program instructions, such as magneto-optical media, and ROM, RAM, flash memory, and the like. Examples of program instructions include high-level language codes that can be executed by a computer using an interpreter, as well as machine language codes such as those produced by a compiler. A hardware device may be configured to act as one or more software modules to perform the operations of the embodiments and vice versa.

이상과 같이 본 발명에서는 구체적인 구성 요소 등과 같은 특정 사항들과 한정된 실시예 및 도면에 의해 설명되었으나 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상적인 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다. 따라서, 본 발명의 사상은 설명된 실시예에 국한되어 정해져서는 아니되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등하거나 등가적 변형이 있는 모든 것들은 본 발명 사상의 범주에 속한다고 할 것이다.As described above, the present invention has been described by specific details such as specific components and limited embodiments and drawings, but these are provided to help a more general understanding of the present invention, and the present invention is not limited to the above embodiments. , Those skilled in the art in the field to which the present invention belongs can make various modifications and variations from these descriptions. Therefore, the spirit of the present invention should not be limited to the described embodiments, and it will be said that not only the claims to be described later, but also all modifications equivalent or equivalent to these claims belong to the scope of the present invention. .

Claims (11)

유닉스 계열 운영체제를 이용하는 컴퓨팅 장치가, 외부 저장소에 저장된 파일을 보호하는 방법에 있어서,
외부 저장소에 저장된 타겟 파일에 대한 접근 요청에 응답하여, 상기 접근 요청에 대한 접근 권한을 확인하는 단계; 및
상기 접근 권한의 확인 결과에 따라서, 상기 타겟 파일에 대한 접근을 허용하는 단계를 포함하며,
상기 접근 요청에 대한 접근 권한을 확인하는 단계는
상기 타겟 파일에 대해 접근을 요청한 요청자의 식별 정보와, 상기 식별 정보에 부여된 상기 타겟 파일에 대한 접근 권한 정보를 이용하여, 상기 접근 요청에 대한 접근 권한을 확인하는
외부 저장소에 저장된 파일을 보호하는 방법.
A method of protecting a file stored in an external storage by a computing device using a Unix-type operating system, the method comprising:
In response to a request for access to a target file stored in an external storage, checking an access right to the access request; and
Allowing access to the target file according to the confirmation result of the access authority,
The step of checking the access authority for the access request is
Confirming the access right for the access request using the identification information of the requester who requested access to the target file and the access right information for the target file given to the identification information
How to protect files stored on external storage.
 삭제delete 제 1항에 있어서,
상기 접근 요청에 의해 상기 타겟 파일의 상태가 변경된 경우, 상기 타겟 파일의 상태 변경 이력 및 상기 요청자에 대한 식별 정보를 저장하는 단계
를 더 포함하는 외부 저장소에 저장된 파일을 보호하는 방법.
According to claim 1,
When the state of the target file is changed by the access request, storing a state change history of the target file and identification information about the requester.
How to protect files stored on external storage that further includes.
 제 3항에 있어서,
상기 상태 변경 이력은
상기 타겟 파일의 이동, 삭제, 이름 변경, 복사 중 적어도 하나, 상기 타겟 파일의 상태가 변경된 시간, 상기 타겟 파일의 상태가 변경된 시간 이전의 인터넷 접속 주소
를 포함하는 외부 저장소에 저장된 파일을 보호하는 방법.
According to claim 3,
The status change history
At least one of moving, deleting, renaming, and copying the target file, the time the state of the target file is changed, and the Internet access address before the time the state of the target file is changed
How to protect files stored on external storage including .
 제 4항에 있어서,
상기 인터넷 접속 주소는
상기 컴퓨팅 장치의 인터넷 접속 빈도가 임계 빈도 이하인 인터넷 접속 주소인
외부 저장소에 저장된 파일을 보호하는 방법.
According to claim 4,
The Internet access address is
An Internet access address in which the Internet access frequency of the computing device is less than or equal to the threshold frequency
How to protect files stored on external storage.
 제 1항에 있어서,
상기 접근 요청에 대한 접근 권한을 확인하는 단계는
상기 타겟 파일이 심볼릭 링크인 경우, 상기 심볼릭 링크가 참조하는 파일에 대한 접근 권한을 확인하는
외부 저장소에 저장된 파일을 보호하는 방법.
According to claim 1,
The step of checking the access authority for the access request is
If the target file is a symbolic link, checking the access rights to the file referenced by the symbolic link
How to protect files stored on external storage.
 제 6항에 있어서,
상기 타겟 파일에 대한 접근을 허용하는 단계는
제1보안 레벨에서, 상기 심볼릭 링크가 참조하는 복수개의 파일 중 적어도 하나에 대한 접근 권한이 미확인될 경우, 상기 복수개의 파일 전체에 대한 접근을 불허하는
외부 저장소에 저장된 파일을 보호하는 방법.
According to claim 6,
The step of allowing access to the target file is
In the first security level, if the access authority for at least one of the plurality of files referred to by the symbolic link is unconfirmed, access to all of the plurality of files is not permitted.
How to protect files stored on external storage.
 제 7항에 있어서,
상기 타겟 파일에 대한 접근을 허용하는 단계는
상기 제1보안 레벨보다 낮은 레벨인 제2보안 레벨에서, 상기 심볼릭 링크가 참조하는 복수개의 파일 중 접근 권한이 확인된 파일에 대해서 접근을 허용하는
외부 저장소에 저장된 파일을 보호하는 방법.
According to claim 7,
The step of allowing access to the target file is
At a second security level lower than the first security level, allowing access to a file whose access authority is confirmed among a plurality of files referred to by the symbolic link
How to protect files stored on external storage.
 제 8항에 있어서,
상기 타겟 파일에 대한 접근을 허용하는 단계는
상기 제2보안 레벨보다 낮은 제3보안 레벨에서, 상기 심볼릭 링크가 참조하는 복수개의 파일 중 접근 권한이 확인된 파일이 적어도 하나가 존재하는 경우, 상기 접근 권한이 확인된 파일 및 상기 접근 권한이 확인된 파일과 동일한 타입의 파일에 대해서 접근을 허용하는
외부 저장소에 저장된 파일을 보호하는 방법.
According to claim 8,
The step of allowing access to the target file is
In a third security level lower than the second security level, if there is at least one file whose access authority is confirmed among a plurality of files referred to by the symbolic link, the file for which the access authority is confirmed and the access authority are confirmed. Allows access to files of the same type as the
How to protect files stored on external storage.
 제 1항에 있어서,
상기 접근 권한은
상기 타겟 파일의 식별 정보에 따라 설정되는 접근 권한인
외부 저장소에 저장된 파일을 보호하는 방법.
According to claim 1,
The above access rights
Access authority set according to the identification information of the target file
How to protect files stored on external storage.
 유닉스 계열 운영체제 환경에서, 외부 저장소에 저장된 파일을 보호하는 장치에 있어서,
외부 저장소에 저장된 타겟 파일에 대한 접근 요청에 응답하여, 상기 접근 요청에 대한 접근 권한을 확인하는 접근 권한 확인부; 및
상기 접근 권한의 확인 결과에 따라서, 상기 타겟 파일에 대한 접근 요청을 처리하는 접근 제어부를 포함하며,
상기 접근 권한 확인부는
상기 타겟 파일에 대해 접근을 요청한 요청자의 식별 정보와, 상기 식별 정보에 부여된 상기 타겟 파일에 대한 접근 권한 정보를 이용하여, 상기 접근 요청에 대한 접근 권한을 확인하는
외부 저장소에 저장된 파일을 보호하는 장치.
In a Unix-like operating system environment, in a device for protecting files stored in external storage,
In response to a request for access to a target file stored in an external storage, an access authority confirmation unit confirming an access authority for the access request; and
An access control unit that processes a request for access to the target file according to a result of checking the access authority,
The access authority verification unit
Confirming the access right for the access request using the identification information of the requester who requested access to the target file and the access right information for the target file given to the identification information
A device that protects files stored on external storage.
KR1020210128479A 2021-09-29 2021-09-29 Method and apparatus for portecting files of external storage KR102542007B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020210128479A KR102542007B1 (en) 2021-09-29 2021-09-29 Method and apparatus for portecting files of external storage

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210128479A KR102542007B1 (en) 2021-09-29 2021-09-29 Method and apparatus for portecting files of external storage

Publications (2)

Publication Number Publication Date
KR20230045781A KR20230045781A (en) 2023-04-05
KR102542007B1 true KR102542007B1 (en) 2023-06-12

Family

ID=85884409

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210128479A KR102542007B1 (en) 2021-09-29 2021-09-29 Method and apparatus for portecting files of external storage

Country Status (1)

Country Link
KR (1) KR102542007B1 (en)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102227363B1 (en) 2019-05-30 2021-03-15 트럼피아 주식회사 System and method for controlling data access of multy hierarchy structure
CN113449327A (en) * 2021-08-31 2021-09-28 统信软件技术有限公司 File access control system and method and computing device

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100746029B1 (en) * 2006-01-11 2007-08-06 삼성전자주식회사 Method and apparatus for generating symbolic link, and accessing a file/directory using the symbolic link with maintaining compatibility of file system
KR101874878B1 (en) * 2016-11-23 2018-07-05 엘에스웨어(주) System for controlling access of database using user terminal

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102227363B1 (en) 2019-05-30 2021-03-15 트럼피아 주식회사 System and method for controlling data access of multy hierarchy structure
CN113449327A (en) * 2021-08-31 2021-09-28 统信软件技术有限公司 File access control system and method and computing device

Also Published As

Publication number Publication date
KR20230045781A (en) 2023-04-05

Similar Documents

Publication Publication Date Title
US9881013B2 (en) Method and system for providing restricted access to a storage medium
US8234477B2 (en) Method and system for providing restricted access to a storage medium
RU2430413C2 (en) Managing user access to objects
EP2377063B1 (en) Method and apparatus for providing access to files based on user identity
JP4854000B2 (en) Confidential file protection method
US7979465B2 (en) Data protection method, authentication method, and program therefor
US10979450B2 (en) Method and system for blocking phishing or ransomware attack
CN104318176B (en) Data management method and device for terminal and terminal
US10289860B2 (en) Method and apparatus for access control of application program for secure storage area
KR20010109271A (en) System And Method For Providing Data Security
JP4636607B2 (en) How to protect sensitive files in security application
JP2019531519A (en) Ransomware blocking apparatus and blocking method using content file access control
US7596694B1 (en) System and method for safely executing downloaded code on a computer system
KR102542007B1 (en) Method and apparatus for portecting files of external storage
JP2004126634A (en) File protection system
JP2002149494A (en) Access control method and access controller, and recording medium
KR102227558B1 (en) Data security method based on program protection
JP2008234188A (en) Information processor
KR101956725B1 (en) A system for server access control using permitted execution files and dynamic library files
CN107087003B (en) System anti-attack method based on network
KR930004434B1 (en) Data accessing method
KR102623168B1 (en) Data protection system
US11960617B2 (en) Hardware protection of files in an integrated-circuit device
US11841970B1 (en) Systems and methods for preventing information leakage
JP4379382B2 (en) Operating system security management method, security management method thereof, and program thereof

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant