KR20020089848A - Pre Secure OS 파일 시스템을 이용한 부팅 통제 방식의 PC보안 유지 방법 - Google Patents

Pre Secure OS 파일 시스템을 이용한 부팅 통제 방식의 PC보안 유지 방법 Download PDF

Info

Publication number
KR20020089848A
KR20020089848A KR1020010028792A KR20010028792A KR20020089848A KR 20020089848 A KR20020089848 A KR 20020089848A KR 1020010028792 A KR1020010028792 A KR 1020010028792A KR 20010028792 A KR20010028792 A KR 20010028792A KR 20020089848 A KR20020089848 A KR 20020089848A
Authority
KR
South Korea
Prior art keywords
user
file system
secure
hard disk
user authentication
Prior art date
Application number
KR1020010028792A
Other languages
English (en)
Inventor
전창용
Original Assignee
주식회사 에프엔에프시큐어텍
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 에프엔에프시큐어텍 filed Critical 주식회사 에프엔에프시큐어텍
Priority to KR1020010028792A priority Critical patent/KR20020089848A/ko
Publication of KR20020089848A publication Critical patent/KR20020089848A/ko

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/81Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer by operating on the power supply, e.g. enabling or disabling power-on, sleep or resume operations
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0602Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
    • G06F3/062Securing storage systems
    • G06F3/0622Securing storage systems in relation to access

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Human Computer Interaction (AREA)
  • Stored Programmes (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 PC 보안을 위해 부팅시퀀스를 이용한 사용자 인증 과정을 적용한 보안을 수행하는 것이 아니라 하드디스크에 접근이 불가능한 별도의 파일 시스템(Pre Secure OS File System)을 만들고 이 파일 시스템 안에 저장해 놓은 사용자 인증 프로그램을 이용하여 하드디스크에 있는 OS가 수행되기 전에 사용자로부터 받은 인증 정보를 이용하여 하드디스크에 대한 접근 통제를 수행하는데 목적이 있다. 기존의 PC 보안 방식은 사용자 인증을 수행하기 위해 일정한 롬 바이어스 코드를 이용하는 방식이며 부팅디스켓을 이용한 우회방식 및 안전모드 부팅 후 관련 디바이스 삭제하는 방법과 바이어스를 이용한 사용자 인증체계 역시 마더보드에 있는 스위치를 조작하므로 패스워드 인증 과정을 생략할 수 있는 등 우회적인 침투 방식으로 아주 쉽고 간단하게 접근할 수 있는 취약점을 가진다. 더욱이 보안성이 적용된 하드디스크를 다른 PC에 옮겨 장착한 경우 중요 데이터가 보이게 된다. 본 발명은 이전 방식의 고전적인 보안 체계가 가지고 있던 타인 PC 접근에 따른 정보유출 및 데이터 도난 방지를 완벽하게 보장하며 'HDD Hidden' 기능을 통하여 하드디스크 도난 시에도 데이터에 대한 접근 및 복구를 원천적으로 방지하였다. 또한 사용자의 보안 등급을 구분하기 위한 인증 체계를 통하여 책임 및 권한별로 보안 관리의 수행이나 정책 설정에 효과적으로 적용할 수 있도록 하였다.

Description

Pre Secure OS 파일 시스템을 이용한 부팅 통제 방식의 PC 보안 유지 방법{Internet information security system using the new network file system}
본 발명은 부팅 시퀀스를 이용한 PC 보안 유지 방법에 관한 것으로써 롬바이오스(ROM BIOS)를 수행한 후 OS체제로 넘어가기 이전에 Pre Secure OS를 이용하여 사용자 인증 과정을 수행함으로써 불법적인 사용자의 접근을 차단하는 PC 보안 유지 방법에 관한 것이다.
종래에는 PC 보안을 위하여 OS 부팅과정 전의 바이오스(BIOS)에서 수행되는 패스워드 인증을 이용하여 보안을 수행하였다. 이러한 바이오스 레벨에서의 사용자인증은 위조의 가능성이 없는 롬의 코드를 이용함으로써 영구성을 가지고 있다. 그러나 이 방법은 사용자가 패스워드를 잊어버리는 것에 대비하여 마더보드(Motherboard:주 회로기판)에 특정 스위치(점퍼)가 포함되어 있다는 점을 이용하여 이 스위치를 조작하여 패스워드를 입력받는 부분을 없애므로 사용자 인정과정을 생략할 수 있다.
이것은 마더보드 매뉴얼에 기재된 스위치 정보를 이용하므로 롬바이오스에 대한 접근이 가능하므로 불법적인 사용자가 불법으로 접근하고자 하는 컴퓨터의 마더보드 매뉴얼만 확보하게 되면 접근이 가능하여 데이터를 유출할 수 있는 보안상의 문제점을 가지고 있다. 또한 한 번 PC를 부팅한 후에는 롬바이오스의 데이터 영역을 읽어 패스워드를 알아낼 수 있으므로 차후에는 더욱 용이하게 PC의 사용이 가능하게 되는 문제점이 있다. 이러한 방법은 단일사용자에 한해서만 적용할 수 있는 사항이므로 다양한 사용자에 대한 관리는 존재하지 않는다. 다양한 사용자에 대한 관리는 사용자의 보안등급을 요구하며, 보안등급을 구분하기 위해서는 책임 및 권한별로 보안 관리를 수행하거나 정책 설정에 필요한 인증 체계가 필요하다. 이것은 하나의 PC를 다양한 사용자들이 공유하는 조직에서는 책임에 대한 소재가 불분명해질 수 있는 단점을 제거한다.
또한 부팅디스켓을 이용한 우회 방식 및 안전모드부팅 후 관련 디바이스의 삭제와 다른 입·출력장치를 통한 접근시도의 경우 하드디스크를 Slave로 설정하여 다른 PC에 장착하는 경우 하드디스크에 대한 접근이 가능하게 되어 보안을 유지할 수 없었다.
따라서, 본 발명은 전술한 문제점을 해결하기 위하여 제작된 것으로서 그 목적은 부팅 과정중의 사용자 인증을 생략할 수 없도록 함과 동시에 사용자 인증이 하드디스크의 마스터 부트 레코드(Master Boot Record)상에 있는 Pre Secure OS 시스템을 통해 항상 수행될 수 있도록 하여 불법적인 사용자의 접근을 차단할 수 있도록 한 부팅 시퀀스를 이용한 PC보안 유지방법을 제공 하고자 하는 것이다.
이러한 목적을 수행하기 위하여 본 발명에 적용한 기술은 Pre Secure OS 설치시 기존 하드디스크의 파일 시스템을 Pre Secure OS 파일 시스템으로 바꾸는 모듈을 설치하여 롬바이오스를 수행한 후 OS체제로 넘어가기 이전에 Pre Secure OS가 사용자 인증 과정을 수행하는 단계; 인가된 사용자인 경우 파일 시스템을 원래의 파일시스템으로 바꾸는 단계; 바뀌어진 파일 시스템에 있는 원래의 OS 체제로 넘어가는 단계로 이루어지는 특징을 가진다.
또한 본 발명에 적용한 기술은 하드디스크 도난 후 하드디스크의 Slave설정에 의한 접근시도를 통한 데이터 유출, 기본적인 부팅 방법이 아닌 우회적인 침투로도 사용될 수 있는 기타 입·출력 장치인 [A:] 드라이버와 CD-ROM에 의한 접근을 차단할 수 있게 한다.
사용자에 대한 보안등급을 구분하기 위해서는 책임 및 권한별로 보안 관리를 수행하거나 정책 설정에 필요한 인증 체계가 필요하며, I-key·지문인식·홍체인식과 같은 키 체계를 통하여 인증 체계를 수립할 수 있다. 다만 높은 책임 및 권한을 가진 사용자가 인증 체계에 사용할 정보를 유출하거나 분실한 경우를 대비하여 숨김키(Hidden key) 정보를 자체 인증 알고리즘을 이용하여 사용할 수 있도록 하는 특징을 가진다.
도1은 본 발명에 의한 부팅 통제 방식의 구현방법을 나타낸 흐름도.
도2는 본 발명에 의한 부팅 통제 방식으로 인해 전원부터 운영체제에 이르기까지의 하드디스크에서의 과정을 보여주는 흐름도.
도3은 본 발명에 적용한 I-key에 의한 사용자 인증을 위한 보안관리 키 체계 및 숨김 키(Hidden key) 정보를 이용하여 모든 사용자에 대한 접근을 보여주는 흐름도.
이하에서는 첨부한 도면을 참고하여 본 발명의 실시 예에 따른 부팅 시퀀스를 이용한 PC보안 유지 방법에 대하여 설명한다.
부팅을 시도할 경우 먼저 바이오스(BIOS)가 실행되는데 이는 컴퓨터의 기본적인 입·출력 사항에 관한 모든 것을 관장하는 장치이다. 바이오스는 크게 포스트기능과 입·출력 기능으로 나뉜다.
포스트(POST : Power-On self Test)란 컴퓨터 전원을 켰을 때 각 장치가 정상적으로 동작을 할 수 있는지 여부를 파악하는 것이며, 입·출력 기능은 다시 키보드를 통한 데이터의 입출력, 화상 데이터 입출력, 디스크 제어 기능으로 나뉠 수 있다. 이러한 기능은 대부분 소프트웨어 인터럽트방식을 통해 이루어진다.
도 1은 본 발명에 따른 부팅 시퀀스를 이용한 PC 보안 유지 방법을 설명하기 위한 개략적인 동작 순서도를 나타낸 것이다. 도 1에서 도시된 바와 같이 본 발명에 따른 부팅 시퀀스를 이용한 PC보안 유지 방법은 먼저 전원이 연결되면, 중앙처리장치(CPU)는 먼저 위에서 설명한 기능을 수행하게 된다. 특히 PC에 장착된 하드디스크의 상태가 'Master'인지 'Slave'인지 파악하게 된다(110). 만약 'Master'로 되어 있는 경우에는 부팅을 위한 준비 과정이 수행되지만 Slave로 설정되어 있는 경우에는 'OSL File System Checking'과정을 거쳐 하드디스크를 인식할 수 없도록 하는 'HDD Hide'기능이 수행된다(180).
위에 있어 'Master'로 되어 있는 경우에는 'OSL File System Checking'과정(120)을 거쳐 'OSL Loading'(130)이 수행된다. 이후 비로소 사용자 인증과정에 들어가는데(140), 만약 비인가자로 파악된 경우 즉 불법적인 사용자가 접근을 시도한 경우에는 운영체제로 넘어가지 못하고 'HDD Hide'기능에 의해 pc에 저장되어 있는 정보의 파악이 불가능하게 된다(180). 이때에는 'OSL File System Checking'과정을 거쳐 HDD를 인식할 수 없게 된다.
사용자가 인가된 사용자로 인정된 경우에는 'Convert to Original File System' 수행과정을 거쳐(150) 중앙처리장치는 비로소 활성화된 부트레코드(Activated Boot Record)를 읽어 들여(160) OS를 수행하게 된다(190).
한편 불법적인 사용자는 [A:] 드라이브나 CD-ROM을 통해서도 부팅시도를 시도할 수 있는데, 이 경우 OSL은 Checking과정을 거쳐 사용자에게 운영 제어권을 넘겨주지 않게 된다(170).
도 2는 드라이브 상에서 XOSL 프로그램의 수행과정을 개략적으로 설명하고 있다. 이 부분은 크게 ROM BIOS와 MBR 부분, XOSL 데이터로 나누어지는데, 먼저 부팅이 시작되면 ROM BIOS 부분에서 하드디스크 드라이브(HDD)의 MBR(Master boot Record)이 수행되어 이를 통해 XOSL 데이터 주소검색을 하게 된다. 다음 MBR에 있는 'XOSL SUB PROGRAM'이 수행되는데 이 프로그램에서 변환된 XOSL 파일 시스템을 원래의 파일 시스템으로 변환하게 된다. 이후 XOSL데이터 부분에서는 디스크 관련 INTERRUPT 코드 변경이 이루어지고, 활성화된 부분의 부트레코드가 수행되어 OS가 실행된다.
이상에서 설명한 바와 같이, 본 발명에 따른 부팅시퀀스를 이용한 PC 보안 유지 방법은 사용자 인증을 수행하기 위하여 PC의 생산시 정해지는 롬 바이오스 코드를 이용하지 않고,
하드디스크에 접근이 불가능한 별도의 파일 시스템(Pre Secure OS File System)을 만들고 이 파일 시스템 안에 저장해 놓은 사용자 인증 프로그램을 이용하여 하드디스크에 있는 OS가 수행되기 전에 사용자로부터 받은 인증 정보를 이용하여 하드디스크에 대한 접근 통제를 수행하게 된다.
따라서, 본 발명에 따른 Pre Secure OS 파일 시스템을 이용한 부팅 통제 방식의 PC 보안 유지 방법에 의하여 PC 접근에 따른 정보유출 및 데이터 도난 방지를 완벽하게 보장하며 'HDD Hidden' 기능을 통하여 하드디스크 도난 시에도 데이터에 대한 접근 및 복구를 원천적으로 방지하게 된다. 또한 사용자의 보안등급을 구분하여 책임 및 권한별로 보안 관리를 수행하거나 정책 설정에 효과적으로 적용할 수 있다.

Claims (10)

  1. 시스템 전원이 인가되면 롬 바이오스를 수행하여 하드디스크의 MBR을 메모리로 로딩하고 상기 MBR에 활성화된 Pre Secure OS 운영체제의 부트레코드를 읽어들이고 파일시스템 변환을 수행함으로써 PC를 부팅시키는 부팅 시퀀스를 갖는 단계
  2. Pre Secure OS 프로그램 설치시 원래의 하드디스크에 있던 파일 시스템을 변환하여 Pre Secure OS 프로그램 내부에 정보를 숨기는 단계;
  3. 롬 바이오스의 인터럽트 벡터 테이블에 사용자 인증에 따른 디스크 접근 권한을 부여하기 위한 Pre Secure OS을 설정하는 방법에 있어서,
    사용자 인증에 따른 올바른 사용자가 아닐 경우에는 하드디스크로 접근할 수 없는 없게 하는 Hidden 기능에 의해 PC에 대한 접근을 원천적으로 차단하는 단계;
    상기 사용자 인증 결과 사용자 인증이 정상 수행된 경우에는 Pre Secure OS 프로그램에 의해 변환되었던 파일시스템을 원래의 파일시스템으로 변환시키는 것을 특징으로 하는 Pre Secure OS 파일 시스템을 이용한 부팅 통제 방식의 PC 보안 유지 방법.
  4. FDD(Floppy Disk Driver), CD-ROM 등 기타 입·출력 장치를 통한 비인가 사용자의 부팅 통제.
  5. 하드디스크를 다른 PC에 Slave로 설치하여 부팅시 가능한 접근에 대한 통제.
  6. 사용자 인증을 수행함에 있어서,
    사용자 정보를 아이디와 패스워드를 입력받아 인증을 수행하는 단계;
    사용자 정보를 주변장치(I-key, 지문인식기, 홍채인식기 등)를 통해 입력받아 인증을 수행하는 방법.
  7. I-key·지문인식·홍체인식 등 주변장치를 통한 사용자 인증 수행 과정 중 보안 등급별 관리 체계 수립을 위해 PC사용자 및 관리자 등에 따라 보안등급을 구분하여 책임 및 권한별로 보안 관리 체계를 수립하는 방법에 있어서,
    주 관리자에 의해 부 관리자의 등록이 가능한 단계. 이를 통해 주 관리자는 부 관리자 및 일반 사용자에 대한 등록·삭제 등의 모든 권한을 가진다.
    부 관리자에 의해 일반 사용자의 등록이 가능한 단계. 부 관리자는 일반 사용자들이 자신의 정보를 분실 시 사용자 정보에 대한 등록/추가/삭제를 수행할 수 있다.
    부 사용자에 의해 일반 사용자들의 실시간 접속 Log 기능의 조회 방법.
  8. 주 관리자·부 관리자·일반 사용자 정보를 유출 및 분실 시 대처 방안에 있어서,
    숨김 키(Hidden key) 정보를 Pre Secure OS 파일 시스템 내의 자체 인증 알고리즘을 이용하여 접근 할 수 있도록 하는 방법.
  9. Pre Secure OS 프로그램에서의 환경설정에 있어서,
    주사용자 및 부사용자에 대한 사용자 관리 단계;
    마우스, 키보드, 모니터 등 입·출력 장치에 대한 환경 설정을 수행하는 방법.
  10. 부팅시 Pre Secure OS에 의해 원래의 하드디스크의 MBR 부분의 바이러스를 검사하고 치료하는 방법
KR1020010028792A 2001-05-24 2001-05-24 Pre Secure OS 파일 시스템을 이용한 부팅 통제 방식의 PC보안 유지 방법 KR20020089848A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020010028792A KR20020089848A (ko) 2001-05-24 2001-05-24 Pre Secure OS 파일 시스템을 이용한 부팅 통제 방식의 PC보안 유지 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020010028792A KR20020089848A (ko) 2001-05-24 2001-05-24 Pre Secure OS 파일 시스템을 이용한 부팅 통제 방식의 PC보안 유지 방법

Publications (1)

Publication Number Publication Date
KR20020089848A true KR20020089848A (ko) 2002-11-30

Family

ID=27706351

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020010028792A KR20020089848A (ko) 2001-05-24 2001-05-24 Pre Secure OS 파일 시스템을 이용한 부팅 통제 방식의 PC보안 유지 방법

Country Status (1)

Country Link
KR (1) KR20020089848A (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060065003A (ko) * 2004-12-09 2006-06-14 엘지전자 주식회사 하드디스크의 보안회로

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR940020215A (ko) * 1993-02-18 1994-09-15 박표서 컴퓨터 정보의 보안 방법
JPH08147062A (ja) * 1994-11-22 1996-06-07 Oki Electric Ind Co Ltd コンピュータのパスワード照会方法
JPH08328683A (ja) * 1995-06-06 1996-12-13 Toshiba Corp コンピュータシステム及びそのメッセージ表示方法
KR980004630A (ko) * 1996-06-20 1998-03-30 김주용 컴퓨터의 하드디스크 드라이브 보안방법
KR19990079740A (ko) * 1998-04-08 1999-11-05 윤종용 부팅 시퀀스를 이용한 피씨 보안 유지 방법
KR20020081909A (ko) * 2001-04-20 2002-10-30 소프트캠프(주) 컴퓨터의 부팅 방법 및 컴퓨터 시스템

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR940020215A (ko) * 1993-02-18 1994-09-15 박표서 컴퓨터 정보의 보안 방법
JPH08147062A (ja) * 1994-11-22 1996-06-07 Oki Electric Ind Co Ltd コンピュータのパスワード照会方法
JPH08328683A (ja) * 1995-06-06 1996-12-13 Toshiba Corp コンピュータシステム及びそのメッセージ表示方法
KR980004630A (ko) * 1996-06-20 1998-03-30 김주용 컴퓨터의 하드디스크 드라이브 보안방법
KR19990079740A (ko) * 1998-04-08 1999-11-05 윤종용 부팅 시퀀스를 이용한 피씨 보안 유지 방법
KR20020081909A (ko) * 2001-04-20 2002-10-30 소프트캠프(주) 컴퓨터의 부팅 방법 및 컴퓨터 시스템

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060065003A (ko) * 2004-12-09 2006-06-14 엘지전자 주식회사 하드디스크의 보안회로

Similar Documents

Publication Publication Date Title
US7107460B2 (en) Method and system for securing enablement access to a data security device
US5944821A (en) Secure software registration and integrity assessment in a computer system
US8201239B2 (en) Extensible pre-boot authentication
EP3125149B1 (en) Systems and methods for securely booting a computer with a trusted processing module
US8909940B2 (en) Extensible pre-boot authentication
JP4690310B2 (ja) セキュリティシステム及びその方法
US7841000B2 (en) Authentication password storage method and generation method, user authentication method, and computer
US5748888A (en) Method and apparatus for providing secure and private keyboard communications in computer systems
US9292300B2 (en) Electronic device and secure boot method
KR101487865B1 (ko) 판독전용 영역과 판독/기록 영역, 분리형 매체 구성부품, 시스템 관리 인터페이스, 네트워크 인터페이스를 가진 컴퓨터 기억장치
KR100486639B1 (ko) 보안유지되지 않는 프로그램 환경에서 보안 패스워드를이용하는 방법
US8756667B2 (en) Management of hardware passwords
US20070180509A1 (en) Practical platform for high risk applications
US20120011354A1 (en) Boot loading of secure operating system from external device
US6823464B2 (en) Method of providing enhanced security in a remotely managed computer system
US6098171A (en) Personal computer ROM scan startup protection
US20040003265A1 (en) Secure method for BIOS flash data update
US8499345B2 (en) Blocking computer system ports on per user basis
JP2004531004A (ja) コンピュータのためのセキュリティシステムおよび方法
JP2010527060A (ja) コンピュータ・システムの操作を防止するための方法及びデータ処理システム
JPH08371U (ja) 機械の制御ステーション用計算機
US20030208696A1 (en) Method for secure storage and verification of the administrator, power-on password and configuration information
US5878210A (en) Personal computer having a security function, a method of implementing the security function, and methods of installing and detaching a security device to/from a computer
US7203697B2 (en) Fine-grained authorization using mbeans
JP2003330726A (ja) BIOSの拡張ボード及びBIOSLock機能分離方法

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application