KR20030005760A - Method of access control according to access right of user in Personal Computer and apparatus thereof - Google Patents

Method of access control according to access right of user in Personal Computer and apparatus thereof Download PDF

Info

Publication number
KR20030005760A
KR20030005760A KR1020010041207A KR20010041207A KR20030005760A KR 20030005760 A KR20030005760 A KR 20030005760A KR 1020010041207 A KR1020010041207 A KR 1020010041207A KR 20010041207 A KR20010041207 A KR 20010041207A KR 20030005760 A KR20030005760 A KR 20030005760A
Authority
KR
South Korea
Prior art keywords
user
file
computer
access
folder
Prior art date
Application number
KR1020010041207A
Other languages
Korean (ko)
Inventor
양태연
박응기
Original Assignee
주식회사 니츠
한국산업기술평가원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 니츠, 한국산업기술평가원 filed Critical 주식회사 니츠
Priority to KR1020010041207A priority Critical patent/KR20030005760A/en
Publication of KR20030005760A publication Critical patent/KR20030005760A/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Storage Device Security (AREA)

Abstract

PURPOSE: A method and a device for controlling an access according to an access authority of a user on a PC are provided to prevent leakage of the important data stored in a computer by protecting a file and a folder from the user without a just access authority. CONSTITUTION: A user authority management part(702) stores the access authority for each user by receiving the access authority for the files and the folders. A user monitoring part(703) monitors the present user using the computer. A file control command monitoring part(704) intercepts a file control command of an application program before the command is inputted to a file system manager. A user file access controlling part(705) permits the user having the access authority for the file and the folder to control the file by deciding the access authority of the user based on the stored access authority information for the file and the folder.

Description

개인용 컴퓨터에서 사용자의 접근권한에 따라 접근제어하는 방법 및 그 장치{Method of access control according to access right of user in Personal Computer and apparatus thereof}Method and access control according to access right of user in personal computer and apparatus

본 발명은 개인용 컴퓨터(Personal Computer)를 여러 사용자가 이용하는데 있어서 자료의 유출의 방지를 위해 사용자 접근권한에 따라 파일 및 폴더의 접근을 제어하는 방법 및 그 장치에 관한 것이다.The present invention relates to a method and apparatus for controlling access to files and folders according to user access rights to prevent the leakage of data in the use of a personal computer (Personal Computer) for multiple users.

현재 개인용 컴퓨터는 여러 명의 사용자가 공유하여 사용하기는 불편하게 되어 있으며, 또한 비인가된 사용자가 개인용 컴퓨터의 주인이 없는 사이에 접근하여 컴퓨터를 켜서 여러 가지 악의적인 조작이 가능하다. 기본적으로 개인용 컴퓨터에서 비인가자의 접근을 통제하기 위한 수단으로 윈도우 로그온시 사용자 ID 및 패스워드를 이용하고 있으나, 윈도우시스템(윈도우 95, 98, ME)에서는 형식적인 절차일 뿐이고, 개인용 컴퓨터의 사용에는 아무런 제한이 없이 사용이 가능하다. 따라서 어느 누구라도 개인용 컴퓨터에 접근하여 사용이 가능하여 개인용 컴퓨터에 불법적인 조작이 가능하다. 즉, 개인용 컴퓨터에 불법 접근하여 자료파괴, 자료 유출, 자료변경, 자료삭제, 자료의 복사 등의 불법적인 조작이 가능한 문제점이 존재한다.Currently, personal computers are inconvenient to share and use by multiple users, and unauthorized users can access various computers without the owner of the personal computers and turn on the computers to perform various malicious operations. Basically, the user ID and password are used when logging on to Windows as a means of controlling unauthorized access on the personal computer. However, in Windows systems (Windows 95, 98, and ME), this is only a formal procedure and there are no restrictions on the use of personal computers. It can be used without it. Therefore, anyone can access and use a personal computer, and thus illegal operation on the personal computer is possible. That is, there is a problem that illegal access to a personal computer enables illegal manipulation such as data destruction, data leakage, data change, data deletion, and copying of data.

업무를 공동으로 수행하는 사무실 환경의 윈도우 NT와 윈도우 2000있어서 개인용 컴퓨터의 주인이 장기 출장 혹은 장기 이석시 업무의 공백이 없도록 하기 위해서는 다른 사람에게 자신의 개인용 컴퓨터의 사용자 ID와 패스워드를 알려주어 다른 사람이 대신 처리하도록 하고 있다. 이와 같은 상황 하에서 다른 사용자가 개인용 컴퓨터의 사용자 ID 및 패스워드를 알고 있는 경우 항상 불법적인 사용이 가능한 문제점이 존재한다.In Windows NT and Windows 2000 in a co-working office environment, in order to ensure that the owner of a personal computer has no space for work during long business trips or long-term transfers, the other person is given a user ID and password for his or her personal computer. This is done instead. In such a situation, when another user knows a user ID and password of a personal computer, there is a problem that illegal use is always possible.

개인용 컴퓨터(윈도우 95, 98, ME)의 경우에 있어서 어느 누구라도 접근하여악의적인 행위를 수행할 수 있다. 즉, 개인용 컴퓨터를 사용하면서 아무런 제약사항이 없이 시스템 파괴, 자료 파괴, 자료 변경, 자료 삭제, 파일 이름 변경, 자료 복사, 파일 생성 등 일련의 파일시스템 조작이 모두 가능하다. 윈도우 NT와 2000의 경우에 있어서는 사용자 ID와 패스워드를 알고있는 사용자는 악의적으로 다른 사람의 개인용 컴퓨터에 접근하여 개인용 컴퓨터에 저장된 각종 중요한 자료를 복사하여 유출하거나, 자료내용 및 파일이름을 변경할 수 있으며, 자료를 삭제하는 등 파일 조작이 가능한 문제점이 존재한다. 이러한 문제점을 해결하기 위해 최근에 개인용 컴퓨터의 사용을 개인별로 통제하는 시스템이 존재하나, 사용자별 접근권한에 따른 접근제어가 제공되지 못해 개인용 컴퓨터의 접근통제 기능만이 제공되고 있으며, 컴퓨터의 사용이 허가된 사용자는 다른 사용자의 자료 및 폴더를 원하는 대로 조작할 수 있는 문제점은 그대로 존재한다.In the case of personal computers (Windows 95, 98, ME), anyone can access and perform malicious actions. In other words, using a personal computer, a series of file system operations such as system destruction, data destruction, data change, data deletion, file name change, data copy, and file creation are all possible without any limitations. In the case of Windows NT and 2000, a user who knows a user ID and password can maliciously access another person's personal computer, copy and leak various important data stored on the personal computer, or change the content and file name. There are some problems that can be manipulated, such as deleting data. In order to solve this problem, there exists a system which controls the use of personal computer in recent years, but only the access control function of the personal computer is provided because access control according to user's access right is not provided. The problem remains that an authorized user can manipulate other users' data and folders as desired.

본 발명이 이루고자 하는 기술적 과제는 개인용 컴퓨터(Personal Computer)에서 여러 사용자의 접근권한에 따라 파일 및 폴더의 접근을 제어하는 방법 및 그 장치를 제공하는데 있다.An object of the present invention is to provide a method and apparatus for controlling access of files and folders according to access rights of various users in a personal computer.

도 1은 종래의 개인용 컴퓨터의 일반적인 동작단계를 나타내고 있다.1 shows general operation steps of a conventional personal computer.

도 2는 종래의 개인용 컴퓨터에서의 일반적인 파일조작단계를 나타내고 있다.2 shows a general file manipulation step in a conventional personal computer.

도 3은 본 발명에 따른 파일조작단계의 바람직한 실시예를 나타내고 있다.Figure 3 shows a preferred embodiment of the pile operation step according to the present invention.

도 4는 본 발명에 따른 여러 사용자의 접근권한 정보를 관리하는 사용자권한 DB의 데이터 구조의 바람직한 실시예를 나타내고 있다.4 illustrates a preferred embodiment of a data structure of a user rights DB for managing access rights information of various users according to the present invention.

도 5는 본 발명에 따른 개인용 컴퓨터의 사용을 허가하는 단계의 바람직한 실시예를 나타내고 있다.5 shows a preferred embodiment of the step of authorizing the use of a personal computer according to the present invention.

도 6은 본 발명에 따른 파일 및 폴더의 접근제어를 실시하는 단계의 바람직한 실시예를 나타내고 있다.6 shows a preferred embodiment of the step of performing access control of files and folders according to the present invention.

도 7은 본 발명에 따른 파일 및 폴더의 접근제어를 실시하는 바람직한 실시예의 구성을 나타내고 있다.7 shows a configuration of a preferred embodiment for implementing access control of files and folders according to the present invention.

상기의 문제점을 해결하기 위한 본 발명에 따른 사용자별 파일접근제어방법은 개인용 컴퓨터를 다수의 사용자가 개별적으로 사용케 하는 방법에 있어서 (a) 사용자별로 파일 및 폴더들에 대한 접근권한을 입력받아 저장하는 단계, (b) 상기 컴퓨터를 현재 사용중인 사용자를 점검하는 단계, (c) 응용프로그램의 파일조작명령을 파일시스템관리자로 입력되기 전에 가로채는 단계, (d) 상기 파일조작명령의 조작대상 파일 또는 폴더에 대하여 상기 사용자에게 접근권한이 있는지 여부를 상기 저장된 사용자별 파일 및 폴더들에 대한 접근권한 정보를 기초로 판단하여, 상기 사용자에게 상기 파일 또는 폴더에 대한 접근권한이 있는 경우에만 상기 파일에 대한 조작을 허용하는 것을 특징으로 한다. 또한 위의 (a) 단계는 상기 컴퓨터의 사용을 허가받은 사용자의 고유코드 및 인증정보를 더 입력받아 저장하고, 위의 (b) 단계는 상기 컴퓨터를 현재 사용중인 사용자로부터 상기 고유코드 및 인증정보를 입력받고, 저장되어 있는 상기 고유코드 및 인증정보를 기초로 상기 사용자가 정당한 권한을 가진 사용자인지를 판단하여, 정당한 권한을 가진 사용자에게 만을 사용을 허가하는 단계를 더 포함할 수 있다. 그리고 위의 (c) 단계는 상기 컴퓨터를 현재 사용중인 사용자 이외의 다른 사용자의 보호폴더를 상기 현재 사용중인 사용자의 화면에 나타나지 않도록 하여 숨기는 단계를 더 포함할 수 있으며, 위의 (c) 단계의 상기 파일 또는 폴더에 대한 조작의 허용은 위의 (a)단계에서 저장한 사용자별 접근권한의 범위 내에서만 허용할 수 있다.According to the present invention, there is provided a method for controlling a file access for each user according to the present invention. (A) Receiving and storing access rights for files and folders for each user. (B) checking a user who is currently using the computer, (c) intercepting a file manipulation command of an application program before being input to a file system manager, (d) an operation target file of the file manipulation command, or It is determined whether or not the user has access to a folder based on the access right information on the stored user-specific files and folders, so that the user can access the file or folder only if the user has access to the file or folder. It is characterized by allowing the operation. In addition, step (a) above receives and stores the unique code and authentication information of the user who is authorized to use the computer, and step (b) above is the unique code and authentication information from the user who is currently using the computer. The method may further include determining whether the user is a user having a right authority based on the stored unique code and authentication information, and allowing the use of only a user having a right authority. In addition, the step (c) may further include hiding a protection folder of a user other than the user who is currently using the computer so as not to appear on the screen of the user who is currently using the computer. The operation of the file or folder can be allowed only within the range of the user-specific access authority stored in step (a) above.

한편, 상기의 문제점을 해결하기 위한 본 발명에 따른 사용자별 파일접근제어장치는 다수의 사용자가 개별적으로 사용할 수 있는 개인용 컴퓨터에 있어서, 사용자별로 파일 및 폴더들에 대한 접근권한을 입력받아 저장하는 사용자별 권한관리부, 상기 컴퓨터를 현재 사용중인 사용자점검부, 응용프로그램의 파일조작명령을 파일시스템관리자로 입력되기 전에 가로채는 파일조작명령감시부, 상기 파일조작명령의 조작대상 파일 또는 폴더에 대하여 상기 사용자에게 접근권한이 있는지 여부를 상기 저장된 사용자별 파일 및 폴더들에 대한 접근권한 정보를 기초로 판단하여, 상기 사용자에게 상기 파일 또는 폴더에 대한 접근권한이 있는 경우에만 사이 파일에 대한 조작을 허용하는 사용자별 파일접근제어부를 포함하는 것을 특징으로 한다. 또한 위의 사용자별 권한관리부는 상기 컴퓨터의 사용을 허가받은 사용자의 고유코드 및 인증정보를 더 입력받아 저장하고, 상기 사용자점검부는 상기 컴퓨터를 현재 사용중인 사용자로부터 상기 고유코드 및 인증정보를 입력받고, 저장되어 있는 상기 고유코드 및 인증정보를 기초로 상기 사용자가 정당한 권한을 가진 사용자인지를 판단하여, 정당한 권한을 가진 사용자에게 만을 사용을 허가하는 기능을 더 포함할 수 있고, 위의 파일조작명령감시부는 상기 컴퓨터를 현재 사용중인 사용자 이외의 다른 사용자의 보호폴더를 상기 현재 사용중인 사용자의 화면에 나타나지 않도록 하여 숨기는 기능을 더 포함할 수 있다.On the other hand, user access control device for each user according to the present invention for solving the above problems in a personal computer that can be used by a plurality of users, a user for receiving and storing the access rights to files and folders for each user The authority control unit for each user, the user checking unit currently using the computer, a file operation command monitoring unit intercepting a file operation command of an application program as a file system manager, and a file or folder for operation of the file operation command. It is determined whether there is an access right on the basis of the access right information on the stored files and folders for each user, and the user per user that permits manipulation of the file only when the user has access right to the file or folder. It characterized in that it comprises a file access control unit. In addition, the user-specific authority management unit receives and stores the unique code and authentication information of the user who is authorized to use the computer, and the user checking unit receives the unique code and authentication information from the user currently using the computer The method may further include a function of judging whether the user is a user having a right authority based on the stored unique code and authentication information, and allowing only a user having a right right to use the above file manipulation command. The monitoring unit may further include a function of hiding a protection folder of a user other than the user who is currently using the computer so as not to appear on the screen of the user who is currently using the computer.

이하에서는 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 상세히 설명한다.Hereinafter, with reference to the accompanying drawings will be described a preferred embodiment of the present invention;

도 1은 종래의 개인용 컴퓨터의 일반적인 동작단계를 나타내고 있다. 일반적으로 개인용 컴퓨터의 사용은 컴퓨터의 전원을 켜고(101) 사용자 ID와 패스워드로 윈도우 로그온(102)을 수행하면 윈도우 시스템으로 진입(103)하여 개인용 컴퓨터를 누구나 사용할 수 있다(104). 개인용 컴퓨터를 사용하는 사용자는 모든 파일 조작이 가능하게 된다. 즉, 응용프로그램의 실행, 각종 파일에 대한 조작, 자료 변경 및 삭제, 자료 복사 등이 아무런 제약이 없이 가능하게 된다. 개인용 컴퓨터를 사용하고 난 후 전원을 끄면(105) 개인용 컴퓨터에서 모든 행위가 끝나게 된다.1 shows general operation steps of a conventional personal computer. In general, the use of a personal computer can turn on the computer (101) and perform a Windows logon 102 with a user ID and password to enter the window system (103) so that anyone can use the personal computer (104). A user using a personal computer can operate all files. That is, execution of an application program, manipulation of various files, data change and deletion, data copying, etc. can be performed without any limitation. Turning off the power after using the personal computer (105) will end all actions on the personal computer.

도 2는 종래의 개인용 컴퓨터에서의 일반적인 파일조작단계를 나타내고 있다. 일반적으로 사용자는 각종 응용프로그램을 통해 파일 관련 조작(201)을 실행한다. 즉, 새로 문서를 작성하거나 혹은 기존의 작성된 문서를 불러오기 등의 작업을 실행한다. 작업 실행 명령을 파일시스템 관리자(201)가 받아 이를 분석한 후 해당 파일시스템(2031, 2032, 2033, 2034)으로 제어를 넘기면 작업 처리에 필요한 작업을 수행하고 제어권을 장치관리자(204) 넘기게 되며, 장치관리자는 하드디스크, 플로피디스크 등과 같은 하드웨어(205)에 접근하여 파일조작을 수행하게 된다.2 shows a general file manipulation step in a conventional personal computer. In general, a user executes a file related operation 201 through various application programs. In other words, it creates a new document or loads an existing document. When the file system manager 201 receives the job execution command and analyzes it, and transfers control to the corresponding file system 2031, 2032, 2033, and 2034, the work necessary for job processing is performed and control is passed to the device manager 204. The device manager accesses hardware 205 such as a hard disk or floppy disk to perform file manipulation.

도 3은 본 발명에 따른 파일조작단계의 바람직한 실시예를 나타내고 있다. 각종 응용프로그램을 통해 개인용 컴퓨터의 사용자는 파일 관련 조작(301)을 실행한다. 예를들어 새로 문서를 작성하거나 혹은 기존에 작성한 문서를 불러오기 등의 작업을 실행한다. 작업 실행 명령을 본 발명에서 제공하고자 하는 사용자 접근권한에 따라 파일 접근제어를 수행하는 파일시스템 후킹모듈(302)에서 이를 가로채기하여 사용자별 접근제어를 수행하고 파일시스템 관리자(303)에게 제어를 넘기면 파일시스템 관리자가는 파일 관련 조작을 분석한 후 해당 파일시스템(3041, 3042, 3043, 3044)으로 제어를 넘기면 작업 처리에 필요한 작업을 수행하고 제어권을 장치관리자(305) 넘기게 되며, 장치관리자는 하드디스크, 플로피디스크 등과 같은 하드웨어(306)에 접근하여 파일조작을 수행하게 된다.Figure 3 shows a preferred embodiment of the pile operation step according to the present invention. The user of the personal computer executes file related operations 301 through various application programs. For example, create a new document or import an existing document. If the file execution hook is intercepted by the file system hooking module 302 which performs file access control according to the user access right to be provided by the present invention, the user executes access control and passes control to the file system manager 303. When the file system administrator analyzes file-related operations and passes control to the corresponding file system (3041, 3042, 3043, 3044), the file system administrator performs the tasks necessary for job processing and passes the control right to the device manager 305. The hardware 306 such as a disk or floppy disk is accessed to perform file manipulation.

도 4는 본 발명에 따른 여러 사용자의 접근권한 정보를 관리하는 사용자권한 DB의 데이터 구조의 바람직한 실시예를 나타내고 있다. 사용자 고유코드 및 사용자 인증정보는 컴퓨터에 전원을 연결하고 윈도우에 로그온 할 때 현재 사용중인 사용자가 상기 컴퓨터를 이용할 정당한 권한을 가지고 있는지 여부를 판단하기 위한 정보로 사용될 수 있다. 여기서 사용자 인증정보는 사용자의 비밀코드, 지문 등 사용자 본인임을 확인할 수 있는 정보를 말한다. 그리고 공유폴더의 경로 및 이름, 사용자 보호폴더의 경로 및 이름과 다른사용자의 접근권한, 사용자 보호파일의 경로 및 이름과 다른 사용자의 접근권한에 관한 정보는 상기 컴퓨터의 정당한 사용권한을 가지고 있는 사용자의 파일 및 폴더에 대한 접근권한 정보를 나타낸다. 여기서 공유폴더 또는 사용자 보호폴더 및 사용자 보호파일은 복수개가 존재할 수 있으며, 공유폴더의 경우에도 사용자 보호폴더와 동일하게 다른 사용자의 접근권한을 제한 하는 정보를 포함시킬 수 있을 것이다. 이러한 정보의 관리는 상기 컴퓨터의 주요관리자가 입력하여 관리할 수도 있을 것이며, 사용자 개인이 개별적으로 자신의 정보를 입력하여 관리할 수도 있을 것이다. 또한 이러한 정보는 변경, 삭제, 추가될 수도 있을 것이다.4 illustrates a preferred embodiment of a data structure of a user rights DB for managing access rights information of various users according to the present invention. The user unique code and user authentication information may be used as information for determining whether a user currently using the computer has a legitimate authority to use the computer when powering on the computer and logging on to Windows. Here, the user authentication information refers to information that can identify the user, such as the user's secret code, fingerprint. The information on the path and name of the shared folder, the path and name of the user protection folder and the access rights of other users, the path and name of the user protection file, and the access rights of other users is provided by the user who has the right to use the computer. Shows access permission information for files and folders. Here, the shared folder or the user protection folder and the user protection file may exist in plural, and in the case of the shared folder, similarly to the user protection folder, it may include information restricting access rights of other users. The management of such information may be inputted and managed by the main administrator of the computer, and each user may individually input and manage his or her own information. Such information may also be changed, deleted, or added.

도 5는 본 발명에 따른 개인용 컴퓨터의 사용을 허가하는 단계의 바람직한 실시예를 나타내고 있다. 컴퓨터에 전원을 연결하고 윈도우에 로그온(501)하면서 사용자의 정보를 입력받아 상기 사용자가 등록된 정당한 컴퓨터의 사용권한을 가지고 있는지 여부를 판단(502)하고, 여기서 상기 사용자가 정당한 권한을 가지고 있지 않은 경우에는 다시 501단계로 이동한다. 그러나 상기 사용자가 정당한 권한을 가지고 있는 경우에는 현재 사용자의 정보를 저장(503)하고, 상기 컴퓨터의 사용을 허가(504)하게 된다.5 shows a preferred embodiment of the step of authorizing the use of a personal computer according to the present invention. Connect the power to the computer and log on to the window (501) to receive the user's information to determine whether the user has the right to use the registered legitimate computer (502), where the user does not have legitimate rights If so, go back to step 501. However, if the user has the right, the user's information is stored (503), and the use of the computer is allowed (504).

도 6은 본 발명에 따른 파일 및 폴더의 접근제어를 실시하는 단계의 바람직한 실시예를 나타내고 있다. 사용자에 의해 응용프로그램이 파일조작명령을 발생시키면 상기 파일조작 명령을 가로채는 단계(601)를 수행하고, 상기 사용자 이외의 다른 사용자의 보호폴더를 현재 컴퓨터 사용자의 화면에 나타나지 않도록 하여, 상기 사용자 자신이 접근권한을 가지는 폴더 또는 파일 만을 나타나도록 하므로써 상기 사용자에게 다른 사용자의 보호폴더 또는 파일을 숨기고(602), 상기 파일조작 명령의 조작대상인 파일 또는 폴더에 대해 상기 사용자가 접근권한을 가지고 있는지 여부를 사용자권한 DB상에 저장된 사용자별 접근권한 정보에 기초하여 판단(603)하여 정당한 접근권한을 상기 사용자가 가지고 있는 경우에만 해당 파일 또는 폴더에 대한 상기 사용자의 조작을 허용하되 상기 사용자의 접근권한 내에서만 이를 허용(604)하고, 위 603 단계에서 상기 사용자에게 접근권한이 없는 경우에는 해당 폴더에 접근을 금지(605)한다.6 shows a preferred embodiment of the step of performing access control of files and folders according to the present invention. When an application program generates a file manipulation command by the user, the user may perform the step 601 of intercepting the file manipulation command, and prevent the user's own folder from appearing on the screen of the current computer user. By hiding only the folder or file having the access right, the user hides another user's protected folder or file (602), and determines whether the user has access right to the file or folder which is the operation target of the file manipulation command. The user's manipulation of the file or folder is allowed only if the user has the right access right by judging based on the access right information for each user stored on the authority DB (603), but only within the access right of the user. Allow 604, and the user in step 603 above. If you do not have access rights shall be prohibited (605) to access the folder.

도 7은 본 발명에 따른 파일 및 폴더의 접근제어를 실시하는 바람직한 실시예의 구성을 나타내고 있다. 사용자정보입력부(701)은 도 4에서 보이고 있는 사용자의 고유코드, 인증정보를 포함하여 사용자의 파일 또는 폴더에 대한 접근권한에 관한 정보를 입력받아, 사용자별권한관리부(702) 및 사용자 점검부(703)에 전달한다. 상기 사용자별권한관리부(702)는 상기 사용자정보입력부(701)로부터 전송받은 사용자에 관한 정보를 사용자별권한DB에 저장한다. 상기 사용자점검부(703)은 사용자가 컴퓨터를 사용하기 위해 상기 컴퓨터에 전원을 연결하고 윈도우에 로그온할 때 사용자로부터 사용자정보입력부(701)에서 입력받은 사용자의 고유코드 및 인증정보를 전달받고, 상기 사용별권한DB상에 저장되어 있는 상기 사용자의 고유코드및 인증정보에 기초하여 상기 사용자가 상기 컴퓨터를 이용할 수 있는 정당한 권한을 가지고 있는지 여부를 판단하여 상기 사용자가 상기 컴퓨터를 사용할 정당한 권한을 가지고 있는 경우에만 상기 사용자에게 상기 컴퓨터를 이용할 수 있도록 하고, 그렇지 않은 경우에는 상기 사용자의 상기 컴퓨터 사용을 차단한다. 또한 상기 사용자가 상기 컴퓨터를 이용할 정당한 권한이 있는 경우에는 상기 사용자가 접근권한을 갖는 파일 또는 폴더만을 상기 사용자에게 보이게 함으로써 상기 사용자 이외의 다른 사용자의 보호 폴도 또는 파일을 상기 사용자로부터 숨김으로써 상기 다른 사용자의 보호폴더 또는 파일을 보호하는 기능도 수행할 수 있다. 파일조작 명령감시부(704)는 응용프로그램에서 발생시키는 파일조작명령을 감시하고 있다가, 상기 파일조작명령을 파일관리자보다 먼저 가로채는 역할을 수행한다. 이렇게 가로챈 파일조작명령은 사용자별 파일접근제어부(705)에 전달되고, 상기 사용자별 파일접근제어부(705)는 상기 사용자 점검부(703)으로부터 사용자 정보를 전달받고, 상기 사용자별권한DB상에 저장된 사용자별 파일접근권한 정보에 기초하여 상기 사용자에게 상기 파일조작명령이 대상으로 하는 파일 또는 폴더에 대한 상기 사용자의 접근권한을 판단하여, 상기 사용자에게 상기 파일에 대해 접근권한이 있는 경우에만 그 접근권한에 해당하는 만큼만 상기 파일에 대한 조작을 허용하는 역할을 수행한다. 상기 접근권한에는 파일 삭제, 읽기, 쓰기, 내용변경, 파일이름 변경, 복사, 이동, 파일 및 폴더의 생성 등이 포함될 수 있으며, 이러한 내용이 도 4에서 보이고 있는 사용자별 권한DB에 저장될 수 있다.7 shows a configuration of a preferred embodiment for implementing access control of files and folders according to the present invention. The user information input unit 701 receives information on a user's access right to a file or folder, including the user's unique code and authentication information shown in FIG. 4, and includes a user-specific permission manager 702 and a user checker ( 703). The authority for each user management unit 702 stores the information about the user received from the user information input unit 701 in the authority for each user DB. The user checking unit 703 receives a user's unique code and authentication information input from the user information input unit 701 when the user connects power to the computer and logs on to use the computer. The user has the right to use the computer by determining whether the user has the right to use the computer based on the unique code and authentication information of the user stored on the use-specific permission DB. Only allow the user to use the computer, otherwise block the user from using the computer. In addition, if the user has the right to use the computer, only the files or folders to which the user has access are visible to the user, thereby hiding a protection folder or file of a user other than the user from the user. You can also protect your folder or files. The file operation command monitoring unit 704 monitors a file operation command generated by an application program, and then intercepts the file operation command before the file manager. The file manipulation command intercepted in this way is transmitted to the file access control unit 705 for each user, and the file access control unit 705 for each user receives user information from the user checker 703, and executes the user information on the authority DB for each user. The user's access right to the file or folder targeted by the file manipulation command is determined to the user based on the stored file access right information for each user, and the access is made only when the user has access to the file. It plays a role of allowing the manipulation of the file as much as the authority. The access right may include file deletion, reading, writing, content change, file name change, copying, moving, creation of files and folders, and the like may be stored in a user-specific permission DB shown in FIG. 4. .

한편, 상술한 본 발명의 실시예들은 컴퓨터에서 실행될 수 있는 프로그램으로 작성 가능하다. 그리고, 컴퓨터에서 사용되는 매체를 이용하여 상기 프로그램을 동작시키는 범용 디지털 컴퓨터에서 구현될 수 있다. 상기 매체는 마그네틱 저장매체(예를 들면, 롬, 플로피 디스크, 하드 디스크 등), 광학적 판독 매체(예를 들면, 씨디롬, 디브이디 등) 및 캐리어 웨이브(예를 들면, 인터넷을 통한 전송)와 같은 저장매체를 포함한다.Meanwhile, the above-described embodiments of the present invention can be written as a program that can be executed on a computer. And, it can be implemented in a general-purpose digital computer for operating the program using a medium used in the computer. The media may be stored such as magnetic storage media (e.g., ROM, floppy disk, hard disk, etc.), optical reading media (e.g., CD-ROM, DVD, etc.) and carrier waves (e.g., transmission over the Internet). Media.

이제까지 본 발명에 대하여 그 바람직한 실시예들을 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.So far I looked at the center of the preferred embodiment for the present invention. Those skilled in the art will appreciate that the present invention can be implemented in a modified form without departing from the essential features of the present invention. Therefore, the disclosed embodiments should be considered in descriptive sense only and not for purposes of limitation. The scope of the present invention is shown in the claims rather than the foregoing description, and all differences within the scope will be construed as being included in the present invention.

본 발명에 의하면, 개인용 컴퓨터에서 사용이 허용된 등록사용자만이 해당 개인용 컴퓨터를 사용할 수 있도록 하여 비인가자에 의한 개인용 컴퓨터의 사용을 원천적으로 봉쇄할 수 있게된다. 또한 개인용 컴퓨터에 등록된 사용자라 할지라도 자신의 파일 및 폴더이외에 다른 사용자가 지정한 보호폴더 또는 보호파일은 윈도우탐색기에 나타나지 않도록 하는 등 현재 사용자에게 숨김으로써 현재 사용자가 다른 사용자의 자료에 접근하는 것을 차단할 수 있게되어, 자료 유출을 방지할 수 있다. 그리고 접근권한이 없는 사용자에 의한 파일 및 폴더의 삭제방지/이름변경방지/이동방지/복사방지 및 내용변경 방지를 제공함으로써 컴퓨터에 저장된 중요한 자료의 유출을 방지할 수 있는 효과가 있다.According to the present invention, only a registered user who is allowed to use in a personal computer can use the personal computer, so that the use of the personal computer by an unauthorized person can be fundamentally blocked. Also, even if a user is registered on a personal computer, a protected folder or protected file designated by another user other than his or her own files and folders can be hidden from the current user such as to prevent the current user from accessing other users' data. Can be prevented, data leakage. In addition, it is possible to prevent the leakage of important data stored in the computer by providing prevention of deletion, renaming, movement, copying, and contents change of files and folders by users without access rights.

Claims (8)

개인용 컴퓨터를 다수의 사용자가 개별적으로 사용케 하는 방법에 있어서,In a method of allowing a personal computer to be used individually by multiple users, (a) 사용자별로 파일 및 폴더들에 대한 접근권한을 입력받아 저장하는 단계;(a) receiving and storing access rights to files and folders for each user; (b) 상기 컴퓨터를 현재 사용중인 사용자를 점검하는 단계;(b) checking the user currently using the computer; (c) 응용프로그램의 파일조작명령을 파일시스템관리자로 입력되기 전에 가로채는 단계;(c) intercepting a file manipulation command of the application program before being input to the file system manager; (d) 상기 파일조작명령의 조작대상 파일 또는 폴더에 대하여 상기 사용자에게 접근권한이 있는지 여부를 상기 저장된 사용자별 파일 및 폴더들에 대한 접근권한 정보를 기초로 판단하여, 상기 사용자에게 상기 파일 또는 폴더에 대한 접근권한이 있는 경우에만 상기 파일에 대한 조작을 허용하는 것을 특징으로 하는 사용자별 파일접근제어방법.(d) Determining whether the user has an access right to the file or folder to be manipulated by the file manipulation command based on the access right information for the stored files and folders for each user, and giving the file or folder to the user. The file access control method for each user, characterized in that the operation of the file is allowed only when there is an access right for the file. 제1항에 있어서,The method of claim 1, 상기 (a) 단계는 상기 컴퓨터의 사용을 허가받은 사용자의 고유코드 및 인증정보를 더 입력받아 저장하고,Step (a) further receives and stores the unique code and authentication information of the user who is authorized to use the computer, 상기 (b) 단계는 상기 컴퓨터를 현재 사용중인 사용자로부터 상기 고유코드 및 인증정보를 입력받고, 저장되어 있는 상기 고유코드 및 인증정보를 기초로 상기사용자가 정당한 권한을 가진 사용자인지를 판단하여, 정당한 권한을 가진 사용자에게 만을 사용을 허가하는 단계를 더 포함하는 것을 특징으로 하는 사용자별 파일접근제어방법.The step (b) receives the unique code and authentication information from a user who is currently using the computer, determines whether the user has a legitimate authority based on the stored unique code and authentication information, and The file access control method for each user, characterized in that it further comprises the step of allowing use only to the user having the authority. 제1항에 있어서,The method of claim 1, 상기 (c) 단계는 상기 컴퓨터를 현재 사용중인 사용자 이외의 다른 사용자의 보호폴더를 상기 현재 사용중인 사용자의 화면에 나타나지 않도록 하여 숨기는 단계를 더 포함하는 것을 특징으로 하는 사용자별 파일접근제어방법.The step (c) further comprises the step of hiding the protection folder of the user other than the user who is currently using the computer on the screen of the user currently in use so as to hide. 제1항에 있어서,The method of claim 1, 상기 (c) 단계의 상기 파일 또는 폴더에 대한 조작의 허용은 상기 (a)단계에서 저장한 사용자별 접근권한의 범위 내에서만 허용하는 것을 특징으로 하는 사용자별 파일접근제어방법.The user's file access control method according to claim (c), wherein the operation of the file or folder is allowed only within the range of the user's access authority stored in the step (a). 다수의 사용자가 개별적으로 사용할 수 있는 개인용 컴퓨터에 있어서,In a personal computer that can be used individually by multiple users, 사용자별로 파일 및 폴더들에 대한 접근권한을 입력받아 저장하는 사용자별 권한관리부;A user rights management unit for receiving and storing access rights to files and folders for each user; 상기 컴퓨터를 현재 사용중인 사용자점검부;A user checking unit currently using the computer; 응용프로그램의 파일조작명령을 파일시스템관리자로 입력되기 전에 가로채는 파일조작명령감시부;A file manipulation command monitoring unit which intercepts a file manipulation command of an application program before being input to the file system manager; 상기 파일조작명령의 조작대상 파일 또는 폴더에 대하여 상기 사용자에게 접근권한이 있는지 여부를 상기 저장된 사용자별 파일 및 폴더들에 대한 접근권한 정보를 기초로 판단하여, 상기 사용자에게 상기 파일 또는 폴더에 대한 접근권한이 있는 경우에만 사이 파일에 대한 조작을 허용하는 사용자별 파일접근제어부를 포함하는 것을 특징으로 하는 사용자별 파일접근제어장치.Access to the file or folder is determined to the user by determining whether the user has an access right to the manipulation target file or folder on the basis of the access right information on the stored files and folders for each user. A file access control device for each user, characterized in that it comprises a file access control for each user that allows the operation of the file only if there is authority. 제4항에 있어서,The method of claim 4, wherein 상기 사용자별 권한관리부는 상기 컴퓨터의 사용을 허가받은 사용자의 고유코드 및 인증정보를 더 입력받아 저장하고,The user-specific rights management unit further receives and stores the unique code and authentication information of the user who is authorized to use the computer, 상기 사용자점검부는 상기 컴퓨터를 현재 사용중인 사용자로부터 상기 고유코드 및 인증정보를 입력받고, 저장되어 있는 상기 고유코드 및 인증정보를 기초로 상기 사용자가 정당한 권한을 가진 사용자인지를 판단하여, 정당한 권한을 가진 사용자에게 만을 사용을 허가하는 기능을 더 포함하는 것을 특징으로 하는 사용자별 파일접근제어장치.The user checking unit receives the unique code and authentication information from a user who is currently using the computer, determines whether the user has a right authority based on the stored unique code and authentication information, and determines the right authority. File access control device for each user, characterized in that it further comprises a function for allowing use only to the user having. 제4항에 있어서,The method of claim 4, wherein 상기 파일조작명령감시부는 상기 컴퓨터를 현재 사용중인 사용자 이외의 다른 사용자의 보호폴더를 상기 현재 사용중인 사용자의 화면에 나타나지 않도록 하여 숨기는 기능을 더 포함하는 것을 특징으로 하는 사용자별 파일접근제어방법.The file manipulation command monitoring unit may further include a function of hiding a protection folder of a user other than the user currently using the computer on the screen of the currently using user, thereby hiding the file. 제1항 내지 제4항 중 어느 한 항의 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.A computer-readable recording medium having recorded thereon a program for executing the method of any one of claims 1 to 4.
KR1020010041207A 2001-07-10 2001-07-10 Method of access control according to access right of user in Personal Computer and apparatus thereof KR20030005760A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020010041207A KR20030005760A (en) 2001-07-10 2001-07-10 Method of access control according to access right of user in Personal Computer and apparatus thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020010041207A KR20030005760A (en) 2001-07-10 2001-07-10 Method of access control according to access right of user in Personal Computer and apparatus thereof

Publications (1)

Publication Number Publication Date
KR20030005760A true KR20030005760A (en) 2003-01-23

Family

ID=27714227

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020010041207A KR20030005760A (en) 2001-07-10 2001-07-10 Method of access control according to access right of user in Personal Computer and apparatus thereof

Country Status (1)

Country Link
KR (1) KR20030005760A (en)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100439468B1 (en) * 2001-12-27 2004-07-09 삼성에스디에스 주식회사 Table Contolling Method Through Data Distribution Definition
KR100615634B1 (en) * 2004-06-18 2006-08-25 주식회사 노트북나라 Method for searching goods
US7861311B2 (en) 2006-01-11 2010-12-28 Samsung Electronics Co., Ltd. Apparatus and method of managing hidden area
KR101159343B1 (en) * 2004-12-09 2012-06-25 마이크로소프트 코포레이션 System and method for restricting user access to a network document
KR101425595B1 (en) * 2013-12-23 2014-08-01 김상진 Apparatus for security in mobile terminal
US9127202B1 (en) * 2008-07-18 2015-09-08 University Of Central Florida Research Foundation, Inc. Biocompatible nano rare earth oxide upconverters for imaging and therapeutics

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07141244A (en) * 1993-11-15 1995-06-02 Nec Corp File protecting method
JPH10111833A (en) * 1996-10-07 1998-04-28 Hitachi Ltd Access right management system
JPH10154131A (en) * 1996-11-25 1998-06-09 Micro Tooku Syst Kk File access management system
KR20020016711A (en) * 2000-08-26 2002-03-06 박태규 Mandatory Object Access Control Method Using Multi-Level Security, and Computer Readable Recording Medium Having thereon Programmed Mandatory Object Access Control Method Using Multi-Level Security
KR20020055210A (en) * 2000-12-28 2002-07-08 구자홍 apparatus and method for file access control in multi user computer system

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07141244A (en) * 1993-11-15 1995-06-02 Nec Corp File protecting method
JPH10111833A (en) * 1996-10-07 1998-04-28 Hitachi Ltd Access right management system
JPH10154131A (en) * 1996-11-25 1998-06-09 Micro Tooku Syst Kk File access management system
KR20020016711A (en) * 2000-08-26 2002-03-06 박태규 Mandatory Object Access Control Method Using Multi-Level Security, and Computer Readable Recording Medium Having thereon Programmed Mandatory Object Access Control Method Using Multi-Level Security
KR20020055210A (en) * 2000-12-28 2002-07-08 구자홍 apparatus and method for file access control in multi user computer system

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100439468B1 (en) * 2001-12-27 2004-07-09 삼성에스디에스 주식회사 Table Contolling Method Through Data Distribution Definition
KR100615634B1 (en) * 2004-06-18 2006-08-25 주식회사 노트북나라 Method for searching goods
KR101159343B1 (en) * 2004-12-09 2012-06-25 마이크로소프트 코포레이션 System and method for restricting user access to a network document
US7861311B2 (en) 2006-01-11 2010-12-28 Samsung Electronics Co., Ltd. Apparatus and method of managing hidden area
US9127202B1 (en) * 2008-07-18 2015-09-08 University Of Central Florida Research Foundation, Inc. Biocompatible nano rare earth oxide upconverters for imaging and therapeutics
KR101425595B1 (en) * 2013-12-23 2014-08-01 김상진 Apparatus for security in mobile terminal

Similar Documents

Publication Publication Date Title
US8484483B2 (en) Method for protecting computer programs and data from hostile code
KR100450402B1 (en) Access control method by a token with security attributes in computer system
US8195938B2 (en) Cloud-based application whitelisting
JP4007873B2 (en) Data protection program and data protection method
KR100596135B1 (en) Control system for access classified by application in virtual disk and Controling method thereof
US20070050369A1 (en) Accessing file under confinement
JP5429157B2 (en) Confidential information leakage prevention system and confidential information leakage prevention method
KR20060045000A (en) File locker and mechanisms for providing and using same
US20030221115A1 (en) Data protection system
AU1329601A (en) System and method for providing data security
JP2007140798A (en) Information leakage prevention system for computer
JP2006260176A (en) Confidential document management method and confidential document management system
KR100948812B1 (en) The management system and management method of a secure area
KR20030005760A (en) Method of access control according to access right of user in Personal Computer and apparatus thereof
JP6310125B1 (en) Data protection system, data protection method and program
KR102227558B1 (en) Data security method based on program protection
WO2023007570A1 (en) Information processing method, program, storage medium
KR100901014B1 (en) Apparatus and method for running application in virtual environment
KR102623168B1 (en) Data protection system
KR20020060517A (en) Method for Securing Document File Using Process Identification and Hard Disk Identification
KR20040027682A (en) The Method of To Provide Against Virus, Hacking and Wrong Usage of File By Using Transformed File Driver
KR20030086747A (en) Storage Medium Having PC Management Programm Using Voice Verification
JPWO2005010761A1 (en) Write control method and computer system
Chang et al. A Java Security Model Based on Information Flow Control
JP2009080711A (en) Information leakage prevention system

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application