KR20050096047A - 사용자 계정 및 스케쥴링에 의한 디바이스 접근권한 제어장치 및 그 방법 - Google Patents

사용자 계정 및 스케쥴링에 의한 디바이스 접근권한 제어장치 및 그 방법 Download PDF

Info

Publication number
KR20050096047A
KR20050096047A KR1020040021311A KR20040021311A KR20050096047A KR 20050096047 A KR20050096047 A KR 20050096047A KR 1020040021311 A KR1020040021311 A KR 1020040021311A KR 20040021311 A KR20040021311 A KR 20040021311A KR 20050096047 A KR20050096047 A KR 20050096047A
Authority
KR
South Korea
Prior art keywords
user
list
access
scheduling
client
Prior art date
Application number
KR1020040021311A
Other languages
English (en)
Other versions
KR100546045B1 (ko
Inventor
이정웅
신제철
Original Assignee
유한회사 알파데이터링크시스템
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 유한회사 알파데이터링크시스템 filed Critical 유한회사 알파데이터링크시스템
Priority to KR1020040021311A priority Critical patent/KR100546045B1/ko
Publication of KR20050096047A publication Critical patent/KR20050096047A/ko
Application granted granted Critical
Publication of KR100546045B1 publication Critical patent/KR100546045B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

1. 청구범위에 기재된 발명이 속하는 기술분야
본 발명은 사용자 계정 및 스케쥴링에 의한 디바이스 접근권한 제어 장치 및 그 방법과, 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것임.
2. 발명이 해결하려고 하는 기술적 과제
본 발명은 특히 컴퓨터 디바이스(Device)에 대한 사용자별 접근권한을 사용자 계정 및 스케쥴링에 따라 부여함으로써, 컴퓨터 본체의 자료가 외부로 무단 유출되는 것을 방지하기 위한 디바이스 접근권한 제어 장치 및 그 방법과, 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공하고자 함.
3. 발명의 해결 방법의 요지
본 발명은, 디바이스 접근권한 제어 장치에 적용되는 디바이스 접근권한 제어 방법에 있어서, 설치되어야 할 파일의 종류 및 사용자 환경을 운영체계별로 분류하여 디바이스 접근권한 제어 프로그램을 설치하는 프로그램 설치 단계; 네트워크 상의 오류를 탐지하여 접속 요청된 클라이언트의 목록을 작성하는 클라이언트 목록 작성 단계; 사용자 계정 및 그룹정보를 수집해 그룹별 사용자의 목록을 작성하는 사용자/그룹 계정 목록 작성 단계; 디바이스 정보를 수집하여, 수집된 디바이스 목록을 유형별로 분류하는 디바이스 목록 작성 단계; 상기 클라이언트 목록, 상기 사용자/그룹 계정 목록, 상기 디바이스 목록을 이용하여 각각의 디바이스에 접근 가능한 그룹/사용자 계정을 할당하고, 각각의 그룹/사용자가 해당 디바이스에 접근할 수 있는 시간과 접근권한의 정도를 부여하여 목록화(스케쥴링 테이블)하는 스케쥴링 단계; 디바이스 입출력 메시지를 훅킹하여 해당 입출력 행위(디바이스 접근 행위)가 상기 스케쥴링 테이블에 정의되어 있는 인증자료에 위배되는지를 점검하는 메시지 훅킹 및 인증 단계; 및 상기 메시지 훅킹 및 인증 단계의 인증 결과에 따라, 운영체제별로 디바이스의 접근권한을 제어하고, 인증 실패 결과를 기록하는 불법행위 방지 및 기록 단계를 포함함.
4. 발명의 중요한 용도
본 발명은 컴퓨터에 저장된 자료의 보안/인증 등에 이용됨.

Description

사용자 계정 및 스케쥴링에 의한 디바이스 접근권한 제어 장치 및 그 방법{Apparatus and method for controlling access right of device using user account and scheduling}
본 발명은 사용자 계정 및 스케쥴링에 의한 디바이스 접근권한 제어 장치 및 그 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것으로, 특히 컴퓨터 디바이스(Device)에 대한 사용자별 접근권한을 사용자 계정 및 스케쥴링에 따라 부여함으로써, 컴퓨터 본체의 자료가 외부로 무단 유출되는 것을 방지할 수 있는 것이다.
본 발명에서 디바이스(Device)라 함은, USB(USB 메모리 스틱, USB 프린터, USB 하드드라이브 포함), CD-ROM(DVD, CD-RW 포함), IEEE 1394포트, 병렬포트(프린터), 직렬포트(모뎀), 적외선 포트(Infra-Red port), 플로피 디스켓 드라이버, 하드 드라이버 등의 컴퓨터 입출력 주변장치를 의미한다.
현재, 기업체, 군부대 등의 업무환경이 컴퓨터와 통신 네트워크 및 인터넷(internet)을 사용하는 환경의 급격한 발달로 인해 각 개인은 필요로 하는 정보를 자유롭게 취득하거나 전송할 수 있게 되었고, 각 기업체, 군부대 등에서도 원거리 상에 위치되어 있다 하더라도 각종 자료의 공유가 가능하게 되었다.
일반적으로, 컴퓨터에 대한 보안은 바이러스(Virus)나 웜과 같이 외부에서 네트워크 또는 파일의 형태로 전파되는 것을 방어하는데 주력하고 있는데, 최근 각종 기록매체(USB 메모리 스틱, USB 하드드라이브, CD-RW, DVD-RW 등)들의 가격인하 및 초소형화로 인하여 물리적인 보안의 허점을 노리는 데이터 유출 사고가 잇따르고 있다. 여기에는 새로 설치되는 USB 디바이스(Device)에 대해서는 기본적으로 모든 사용자에게 읽기/쓰기 권한이 주어진다는 점과, 운영체계 윈도우즈(Windows)2000 이상에서는 드라이버 설치없이 바로 USB 기기를 사용할 수 있다는 편리성도 한몫하고 있다.
통상, 현재까지의 USB 보안기술은 USB에 암호화된 인증키를 설치하여 본체의 데이터를 보호하는 것이었다. 하지만, 이러한 기술은 CD-RW, 프린터(Printer), 모뎀(Modem) 등으로 유출되는 자료를 막을 수 있는 근본적인 대안이 되지 못하였기에 이를 극복할 수 있는 방안이 필수적으로 요구된다.
본 발명은, 상기와 같은 문제점을 해결하기 위하여 제안된 것으로, 특히 컴퓨터 디바이스(Device)에 대한 사용자별 접근권한을 사용자 계정 및 스케쥴링에 따라 부여함으로써, 컴퓨터 본체의 자료가 외부로 무단 유출되는 것을 방지하기 위한 디바이스 접근권한 제어 장치 및 그 방법과, 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공하는데 그 목적이 있다.
상기 목적을 달성하기 위한 본 발명은, 디바이스 접근권한 제어 장치에 있어서, 설치되어야 할 파일의 종류 및 사용자 환경을 운영체계별로 분류하여 설치하기 위한 프로그램 설치수단; 서버/클라이언트를 설정할 수 있는 함수들을 제공하고, 서버와 클라이언트 사이의 메시지 요청 및 응답을 위한 독자적인 메시지 집합/프로토콜을 제공하여, 접속 요청된 클라이언트의 목록을 작성하기 위한 네트워크 구성수단; 사용자 계정 및 그룹정보를 수집해 그룹별 사용자의 목록을 작성하여 데이터베이스화하기 위한 사용자/그룹 계정 정보 수집 수단; 디바이스 정보를 수집하여, 수집된 디바이스 목록을 유형별로 분류하기 위한 디바이스 정보 수집수단; 상기 클라이언트 목록, 상기 사용자/그룹 계정 목록, 상기 디바이스 목록을 이용하여 각각의 디바이스에 접근 가능한 그룹/사용자 계정을 할당하고, 각각의 그룹/사용자가 해당 디바이스에 접근할 수 있는 시간과 접근권한의 정도를 부여하여 목록화(스케쥴링 테이블)하기 위한 스케쥴링수단; 운영체제에 디바이스 접근권한 제어 관련 이벤트를 처리하기 위한 서비스를 등록하고, 스케쥴링 테이블을 지속적으로 점검하여 현재의 시간이 테이블에 설정된 시간범위를 벗어난 경우 디바이스에 접근 가능한 계정 및 접근권한을 원래의 값으로 복원하기 위한 서비스 등록수단; 커널로 전송되는 디바이스 입출력 메시지를 훅킹하여 해당 입출력 행위(디바이스 접근 행위)가 상기 스케쥴링 테이블에 정의되어 있는 인증자료에 위배되는지를 점검하기 위한 메시지 훅킹 및 인증 수단; 상기 메시지 훅킹 및 인증 수단의 인증 결과에 따라, 운영체제별로 디바이스의 접근권한을 제어하고, 인증 실패 결과를 기록하기 위한 불법행위 방지 및 기록 수단; 및 운영체제에 의해 보고되는 네트워크 상의 오류를 탐지하기 위한 에러탐지수단을 포함하여 이루어진 것을 특징으로 한다.
그리고, 본 발명은 디바이스 접근권한 제어 장치에 적용되는 디바이스 접근권한 제어 방법에 있어서, 설치되어야 할 파일의 종류 및 사용자 환경을 운영체계별로 분류하여 디바이스 접근권한 제어 프로그램을 설치하는 프로그램 설치 단계; 네트워크 상의 오류를 탐지하여 접속 요청된 클라이언트의 목록을 작성하는 클라이언트 목록 작성 단계; 사용자 계정 및 그룹정보를 수집해 그룹별 사용자의 목록을 작성하는 사용자/그룹 계정 목록 작성 단계; 디바이스 정보를 수집하여, 수집된 디바이스 목록을 유형별로 분류하는 디바이스 목록 작성 단계; 상기 클라이언트 목록, 상기 사용자/그룹 계정 목록, 상기 디바이스 목록을 이용하여 각각의 디바이스에 접근 가능한 그룹/사용자 계정을 할당하고, 각각의 그룹/사용자가 해당 디바이스에 접근할 수 있는 시간과 접근권한의 정도를 부여하여 목록화(스케쥴링 테이블)하는 스케쥴링 단계; 디바이스 입출력 메시지를 훅킹하여 해당 입출력 행위(디바이스 접근 행위)가 상기 스케쥴링 테이블에 정의되어 있는 인증자료에 위배되는지를 점검하는 메시지 훅킹 및 인증 단계; 및 상기 메시지 훅킹 및 인증 단계의 인증 결과에 따라, 운영체제별로 디바이스의 접근권한을 제어하고, 인증 실패 결과를 기록하는 불법행위 방지 및 기록 단계를 포함하여 이루어진 것을 특징으로 한다.
한편, 본 발명은 사용자 계정 및 스케쥴링에 의한 디바이스 접근권한 제어를 위하여, 프로세서를 구비한 디바이스 접근권한 제어 장치에, 설치되어야 할 파일의 종류 및 사용자 환경을 운영체계별로 분류하여 디바이스 접근권한 제어 프로그램을 설치하는 프로그램 설치 기능; 네트워크 상의 오류를 탐지하여 접속 요청된 클라이언트의 목록을 작성하는 클라이언트 목록 작성 기능; 사용자 계정 및 그룹정보를 수집해 그룹별 사용자의 목록을 작성하는 사용자/그룹 계정 목록 작성 기능; 디바이스 정보를 수집하여, 수집된 디바이스 목록을 유형별로 분류하는 디바이스 목록 작성 기능; 상기 클라이언트 목록, 상기 사용자/그룹 계정 목록, 상기 디바이스 목록을 이용하여 각각의 디바이스에 접근 가능한 그룹/사용자 계정을 할당하고, 각각의 그룹/사용자가 해당 디바이스에 접근할 수 있는 시간과 접근권한의 정도를 부여하여 목록화(스케쥴링 테이블)하는 스케쥴링 기능; 디바이스 입출력 메시지를 훅킹하여 해당 입출력 행위(디바이스 접근 행위)가 상기 스케쥴링 테이블에 정의되어 있는 인증자료에 위배되는지를 점검하는 메시지 훅킹 및 인증 기능; 및 상기 메시지 훅킹 및 인증 단계의 인증 결과에 따라, 운영체제별로 디바이스의 접근권한을 제어하고, 인증 실패 결과를 기록하는 불법행위 방지 및 기록 기능을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공한다.
본 발명은 USB(USB 메모리 스틱, USB 프린터, USB 하드드라이브 포함), CD-ROM(DVD, CD-RW 포함), IEEE 1394포트, 병렬포트(프린터), 직렬포트(모뎀), 적외선 포트(Infra-Red port), 플로피 디스켓 드라이버, 하드 드라이버 등의 디바이스(Device)에 대해 사용자별 계정 및 스케쥴링(Scheduling)에 따라 접근권한을 부여하고, 각 디바이스에 대한 접근/입출력 기록을 로컬(Local) 또는 원격(Remote) 컴퓨터에 저장 관리함으로써, 컴퓨터 본체의 자료가 외부로 무단 유출되는 것을 방지(보안)하고자 한다.
이를 위해, 본 발명은 컴퓨터에 연결되어 있는 모든 읽기/쓰기가 가능한 디바이스의 접근권한을 사용자 계정별/스케쥴링된 시간별로 제어함으로써, 컴퓨터 소유자의 의지와 무관한 자료의 유출을 방지한다. 이때, 원격으로 클라이언트 컴퓨터의 디바이스를 제어하고 각 클라이언트에서 발생한 이벤트들을 기록할 수 있는 기능을 제공하여, 중앙집중적인 관리가 가능하다. 또한, 이러한 기능들을 운영체계의 서비스로 등록함으로써, 사용자가 최초 1회 설치후에는 컴퓨터 기동시 자동으로 주어진 기능을 시작하게 하여 사용자 편의성을 높일 수 있다.
본 발명에 따르면, 군부대나 대기업 등과 같이 군사기밀/사내기밀이 각종 디바이스를 통해 유출될 경우 막대한 재정적/보안상의 위협을 받는 환경에서 보다 유용하며, 제품들의 다양화에 따른 프로그램의 수정을 최소화함으로써 사용자의 추가적인 비용부담을 줄일 수 있다.
상술한 목적, 특징들 및 장점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해 질 것이다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 일실시예를 상세히 설명한다.
도 1 은 본 발명이 적용되는 사용자 계정 및 스케쥴링에 의해 디바이스의 접근권한을 제어하기 위한 하드웨어 시스템의 구성 예시도이다.
도면에 도시된 바와 같이, 본 발명이 적용되는 하드웨어 시스템은, 사용자 정합을 위한 클라이언트 단말기(10)와, 사용자가 클라이언트 컴퓨터(10)로 네트워크를 통해 접속하면 데이터베이스(30)에 저장된 디바이스 접근권한 제어 프로그램을 바탕으로 사용자 계정 및 스케쥴링에 따라 해당 사용자의 접근권한을 제어하는 서버 단말기(20)로 구성된다.
여기서, 네트워크는 클라이언트(10)와 서버(20) 간의 통신회선을 연결하여 상호간에 디바이스 접근권한 제어 서비스와 관련된 데이터 통신이 이루어지도록 연결 설정한다.
물론, 클라이언트(10)는 전용선로 혹은 랜(LAN), 무선랜(Wireless LAN), 유무선 인터넷 등을 통해서 서버(20)에 접속할 수 있고, 통신중재장치(예를 들면, 모뎀 등), 모니터, 키보드(혹은 키패드) 등이 포함되어진 개인용컴퓨터(PC), 노트북 등이 될 수 있다.
상기 디바이스 접근권한 제어 프로그램은 클라이언트(10) 및 서버(20)의 상호 연동 형태(이러한 경우, 디바이스 접근권한 제어 프로그램이 클라이언트(10) 및 서버(20) 각각에 설치되어 상호 연동됨)에 한정되지 않고, 클라이언트(10)의 독립적인 수행이 가능함을 미리 밝혀둔다.
즉, 디바이스 접근권한 제어 프로그램은 클라이언트(10) 및 서버(20)의 상호 연동 형태(클라이언트 디바이스 접근권한 제어 프로그램(이하, "클라이언트 프로그램"이라 함) - 서버 디바이스 접근권한 제어 프로그램(이하, "서버 프로그램"이라 함))가 가능할 뿐만 아니라, 클라이언트(10)에서의 독립적인 수행이 가능하다. 물론, 클라이언트(10)에서 디바이스 접근권한 제어 프로그램의 독립적인 수행시, 서버(20) 역시 하나의 독립적인 클라이언트(10)로 볼 수 있음은 자명하다. 이러한 경우에는 로컬 데이터베이스(30)가 클라이언트(10)측에 탑재 혹은 연동되어야 한다.
상호 연동 혹은 독립적인 수행이 가능한 디바이스 접근권한 제어 프로그램은, 클라이언트(10)에 연결되어 있는 모든 읽기/쓰기가 가능한 디바이스(USB(USB 메모리 스틱, USB 프린터, USB 하드드라이브 포함), CD-ROM(DVD, CD-RW 포함), IEEE 1394포트, 병렬포트(프린터), 직렬포트(모뎀), 적외선 포트(Infra-Red port), 플로피 디스켓 드라이버, 하드 드라이버 등)의 접근권한을 사용자 계정별/스케쥴링된 시간별로 관리한다. 이때, 디바이스 접근권한 제어 프로그램은 클라이언트(10)의 디바이스를 제어하고 각 클라이언트(10)에서 발생한 이벤트들을 데이터베이스(네트워크 DB, 계정 정보 DB, 디바이스 유형 DB, 디바이스 DB, 스케쥴링 DB 등)(30)에 기록하고 있다. 또한, 디바이스 접근권한 제어 프로그램은 운영체계의 서비스로 등록되어, 사용자가 최초 1회 설치후에는 컴퓨터 기동시 자동으로 주어진 기능을 수행한다.
상호 연동시, 클라이언트 프로그램과 서버 프로그램이 상호 연동하여 서버(20)는 클라이언트(10)로부터 사용자 계정 정보, 디바이스 정보, 로그(Log) 정보, 생존(Alive) 메시지를 받아, 디바이스별 스케쥴링된 사용자 접근 가능 시간 및 접근권한 정보를 해당 클라이언트(10)로 제공한다.
그럼, 상기 디바이스 접근권한 제어 프로그램에 대해 보다 상세하게 살펴보기로 한다.
도 2 는 본 발명에 따른 디바이스 접근권한 제어 장치의 일실시예 구성도로서, 상기 디바이스 접근권한 제어 프로그램의 소프트웨어 항목들을 모듈화한 것이다.
도 2에 도시된 바와 같이 본 발명에 따른 디바이스 접근권한 제어 장치는, 설치되어야 할 파일의 종류 및 사용자 환경을 운영체계별로 분류하여 설치하기 위한 프로그램 설치부(201)와, 서버(20)/클라이언트(10)를 설정할 수 있는 함수들을 제공하고, 서버(20)와 클라이언트(10) 사이의 메시지 요청 및 응답을 위한 독자적인 메시지 집합/프로토콜을 제공하여, 접속 요청된 클라이언트의 목록을 작성하기 위한 네트워크 구성부(202)와, 사용자 계정 및 그룹정보를 수집해 그룹별 사용자의 목록을 작성하여 데이터베이스화하기 위한 사용자/그룹 계정 정보 수집부(203)와, 디바이스 정보를 수집하여, 수집된 디바이스 목록을 유형별로 분류하기 위한 디바이스 정보 수집부(204)와, 클라이언트 목록, 사용자/그룹 계정 목록, 디바이스 목록을 이용하여 각각의 디바이스에 접근 가능한 그룹/사용자 계정을 할당하고, 각각의 그룹/사용자가 해당 디바이스에 접근할 수 있는 시간과 접근권한의 정도를 부여하여 목록화(스케쥴링 테이블)하기 위한 스케쥴링부(205)와, 운영체제에 디바이스 접근권한 제어 관련 이벤트를 처리하기 위한 서비스를 등록하고, 스케쥴링 테이블을 지속적으로 점검하여 현재의 시간이 테이블에 설정된 시간범위를 벗어난 경우 디바이스에 접근 가능한 계정 및 접근권한을 원래의 값으로 복원하기 위한 서비스 등록부(206)와, 커널로 전송되는 디바이스 입출력 메시지를 훅킹하여 해당 입출력 행위(디바이스 접근 행위)가 스케쥴링 테이블에 정의되어 있는 인증자료에 위배되는지를 점검하기 위한 메시지 훅킹 및 인증부(207)와, 메시지 훅킹 및 인증부(207)의 인증 결과에 따라, 운영체제별로 디바이스의 접근권한을 제어하고, 인증 실패 결과를 기록하기 위한 불법행위 방지 및 기록부(208)와, 운영체제에 의해 보고되는 네트워크 상의 오류를 탐지하기 위한 에러 탐지부(209)를 포함한다.
운영체제(Windows 9X 계열/Windows NT 계열)의 종류 및 버전에 따라 적용되는 보안 규칙, 사용자 계정의 관리, 디바이스 정보 저장 및 수집의 형태가 틀리므로, 디바이스 접근권한 제어 프로그램이 각 운영체계별로 정상적인 기능을 수행하기 위해서는, 설치되어야 할 파일의 종류 및 사용자 환경을 운영체계별로 분류하여 설치하여야 한다. 이를 위해, 프로그램 설치부(201)는 운영체계의 종류와 버전을 탐지하고, 기 정의된 설치 목록으로부터 설치되어야 할 파일과 환경변수를 읽어 온 후 사용자 정의 또는 기본 설치 디렉토리에 프로그램을 설치하게 된다.
디바이스 접근권한 제어 프로그램은 하나의 컴퓨터(클라이언트 혹은 서버)에서 독자적으로 수행될 수 있는 기능 뿐만 아니라, 네트워크를 통해 중앙집중적인 처리(클라이언트-서버 연동)를 할 수 있는 기능을 갖는다. 이를 위해, 네트워크 구성부(202)는 기본적으로 클라이언트(10)/서버(20)를 설정할 수 있는 함수들을 제공하고, 서버(20)와 클라이언트(10) 사이의 메시지 요청 및 응답을 위한 독자적인 메시지 집합/프로토콜을 제공한다.
네트워크는 다양한 이유로 그 접속상태에 변경이 발생할 수 있으므로, 운영체계에 의해 보고되는 네트워크 상의 오류를 탐지할 수 있는 수동적인 에러 탐지부(209)와, 클라이언트(10)가 그 수행여부를 서버(20)에게 주기적으로 생존 메시지(Alive Message) 형식으로 전송하기 때문에, 만약 전송주기내에 클라이언트(10)로부터 생존 메시지를 수신하지 못하면 자동으로 해당 클라이언트(10)에 관련된 데이터베이스(30)를 삭제/수정할 수 있는 능동적인 에러 탐지부(209)를 제공한다.
서버(20)의 역할을 하는 프로그램(서버 프로그램)은 그 시작과 동시에 지정된 포트(Port)를 열어, 클라이언트(10)의 접속을 기다린다. 한편, 클라이언트(10)의 역할을 수행하는 프로그램(클라이언트 프로그램)은 그 시작과 동시에 지정된 포트(Port)로 서버 위치 확인 메시지를 브로드캐스팅한 후, 응답을 송신한 서버(20)로 접속을 시도한다. 이때, 만약 일정 기간 동안 클라이언트(10)로부터의 서버 위치 확인 메시지에 응답하는 서버(20)가 없다면, 클라이언트 프로그램은 독립적으로 수행된다.
서버 위치 확인 메시지에 대해 응답한 서버 프로그램은 접속 요청을 보내온 클라이언트 프로그램에게 응답하며, 클라이언트(10)를 데이터베이스화한다.
운영체계는 사용자 계정 및 그룹정보를 SID(Security Identifier)의 형태로 관리하는데, 사용자/그룹 계정 정보 수집부(203)는 이러한 정보를 수집해 그룹별 사용자의 목록을 작성하여 데이터베이스화한다.
클라이언트 프로그램은 서버(20)와 연결된 후 자신의 그룹/사용자 목록을 서버 프로그램에게 제공하며, 만일 독립적으로 수행되는 경우에는 로컬(Local) 데이터베이스를 작성한다. 한편, 서버 프로그램은 클라이언트 프로그램이 송신한 그룹/사용자 목록을 클라이언트 목록과 연결하여 이를 데이터베이스화한다. 이렇게 수집된 목록은 리스트 컨트롤의 양식으로 사용자에게 제공된다.
하나의 컴퓨터는 수십(때에 따라서는 수백)가지의 물리적인 디바이스들과 논리적인 디바이스들로 구성된다. 이중 디바이스 접근권한 제어 프로그램이 필요로 하는 것은 USB 포트, Serial 포트, Parellel 포트, 1394 포트, 적외선 포트, CD-ROM, 플로피(Floppy), 하드디스크(Hard Disk)의 디바이스들에 대한 정보이므로, 디바이스 정보 수집부(204)는 디바이스 정보를 수집한 후, 수집된 디바이스 목록을 유형별로 분류하고 위에 해당하는 종류를 제외한 나머지는 목록에서 삭제한다.
클라이언트 프로그램은 서버(20) 접속 이후 로컬 컴퓨터의 디바이스 정보를 수집하여 서버 프로그램으로 전송한다. 그러면, 서버 프로그램은 클라이언트 프로그램으로부터 수집한 디바이스 정보를 클라이언트 컴퓨터 목록과 연결(Join)하여 이를 데이터베이스화한다. 이렇게 수집된 목록은 리스트 컨트롤의 양식으로 사용자에게 제공된다.
스케쥴링부(205)는 수집된 컴퓨터 목록, 그룹/사용자 계정 목록, 디바이스 목록 리스트를 이용하여 각각의 디바이스에 접근 가능한 그룹/사용자 계정을 할당하고, 각각의 그룹/사용자가 해당 디바이스에 접근할 수 있는 시간과 접근권한의 정도를 부여하여 하기의 [표 1]과 같이 목록화한다. 이는 특정 사용자가 디바이스에 입출력 행위를 할 때 인증 자료로 사용된다. 스케쥴링 테이블을 살펴보면 하기의 [표 1]과 같다.
스케쥴링부(205)는 디바이스의 핸들(Handle)값을 이용하여 디폴트로 설정되어 있는 DACL(Discretionary Access Control List)을 읽어온 후 사용자가 정의한 계정의 SID(Security Identifier) 및 사용자 정의 접근 허락(Access Permission) 정보가 기록된 ACE(Access Control Entry)를 DACL에 기록하여 저장함으로써 디바이스 접근권한을 수정한다. 이에 대한 자세한 내용은 하기의 도 5에서 후술하기로 한다.
서비스 등록부(206)는 최초로 디바이스 접근권한 제어 프로그램이 설치되면 서비스 등록 과정을 수행한다. 이는 컴퓨터가 종료되고 다시 기동된 이후에도 사용자의 개입없이 본 프로그램을 수행하기 위한 하나의 방편이며, 상기 [표 1]의 스케쥴링 테이블을 지속적으로 점검하여 현재의 시간이 테이블에 설정된 시간범위를 벗어난 경우 디바이스에 접근 가능한 계정 및 접근권한을 원래의 값으로 복원시키기 위한 것이다. 또한, 운영체계 서비스는 관리자 계정에 의해서만 종료될 수 있고 서비스의 시작과 종료가 이벤트 로그로 기록되기 때문에 일반적인 프로그램의 수행보다는 보안적인 측면에서 장점을 가지고 있다.
메시지 훅킹(Hooking) 및 인증부(207)는 드라이버 형식으로 지원되며, 커널로 전송되는 디바이스 입출력 메시지를 훅킹하여 해당 입출력 행위(디바이스 접근 행위)가 상기 [표 1]의 스케쥴링 테이블에 정의되어 있는 인증자료에 위배되는지를 점검하게 된다. 만약, 위배되지 않는다면 사용자의 입출력 행위는 정상적으로 수행될 것이며, 위배된다면 적절한 방지절차 및 로그절차를 수행하게 될 것이다.
만약, 사용자의 입출력 행위(디바이스 접근 행위)가 스케쥴링 테이블을 이용한 인증절차를 통과하지 못하였다면, 불법행위 방지 및 기록부(208)에서 적절한 접근권한 제어 절차를 수행하는데, 이는 운영체계별로 구분되어 실행된다. 예를 들면, Windows 9X 계열의 경우 인증받지 못한 입출력 행위(디바이스 접근 행위)가 탐지되면, 화면잠김 절차가 수행되고 사용자의 정의에 의해 키보드 및 마우스 잠김도 가능하다. 이는 Windows 9X 계열이 보안에 있어서 Windows NT 계열보다 취약하기 때문에 최대한의 물리적인 잠금을 통해서 인증받지 못한 입출력 행위(디바이스 접근 행위)를 방지하기 위한 것이다.
반면, Windows NT 계열은 사용자 계정 및 디바이스에 대한 보안이 상대적으로 강하며 이에 대한 다수의 API를 제공하기 때문에 인증되지 못한 입출력 행위(디바이스 접근 행위)가 발생한 디바이스에 대한 접근을 방어하는 것만으로도 충분하다.
이러한 인증되지 못한 행위에 대해서는, 불법행위 방지 및 기록부(208)에서 Window 9X 계열 및 Window NT 계열에 상관없이 로그를 남기게 되는데, 이 때에는 행위가 발생한 컴퓨터명, 사용자명, 디바이스 명 및 입출력 대상이 되었던 파일명이 함께 기록되게 된다.
도 3 은 본 발명에 따른 디바이스 접근권한 제어 방법 중 서비스 등록 과정을 나타낸 일실시예 흐름도로서, 최초로 디바이스 접근권한 제어 프로그램이 설치된 후 수행하는 서비스 등록 절차를 나타낸다. 이 과정을 통해 컴퓨터가 종료되고 다시 기동된 이후에도 사용자의 개입없이 디바이스 접근권한 제어 프로그램을 수행할 수 있다.
프로그램이 클라이언트 모드(클라이언트 프로그램)인가 서버 모드(서버 프로그램)인가에 따라(301) 수행되는 절차 및 수집하는 데이터가 다르다.
클라이언트(10)는 로컬 계정정보, 디바이스 정보를 수집하여 서버(20)로 제공하며, 서버(20)는 자신의 로컬 계정정보 및 디바이스 정보 뿐만 아니라 클라이언트들(10)로부터 수집한 정보들을 시스템 계정정보 및 디바이스 정보 데이터베이스(30)로 관리한다.
이러한 시스템 계정정보 및 디바이스 정보 데이터베이스(30)를 기초로 하여 운영자는 특정 디바이스에 대해 각각의 계정에 대한 접근권한 및 스케쥴을 부여할 수 있는데, 클라이언트(10)는 입력된 내용을 자신의 스케쥴링 데이터베이스를 갱신할 뿐만 아니라, 서버(20)에 등록하기 위해 스케쥴링 데이터베이스 변경사항을 서버(20)로 전송한다. 그러면, 서버(20)는 자신의 로컬 스케쥴링 데이터베이스(30)와 클라이언트들(10)로부터 수신된 스케쥴링 데이터베이스(30)를 총괄하여 시스템 스케쥴링 데이터베이스(30)를 확립하고 관리하는 기능을 갖는다.
마지막으로, 서버 및 클라이언트 프로그램은 운영체제에 디바이스 입출력(접근 행위) 관련 이벤트를 처리하기 위한 서비스를 등록한다.
상기의 과정을 구체적으로 살펴보면, 먼저 클라이언트(10)가 지정된 포트로 서버 위치 확인 메시지를 브로드캐스트한 후 응답을 송신한 서버(20)에 접속을 시도한다(302). 이때, 만약 일정 기간 동안 서버 위치 확인 메시지를 응답하는 서버(20)가 없다면 클라이언트(10)는 독립적으로 수행된다.
클라이언트(10)가 독립적으로 수행되는 경우, 클라이언트(10)는 로컬/원격 사용자 계정 및 그룹정보를 수집한 후(304,306) 그룹별 사용자의 목록(그룹/사용자 목록)을 작성하여 데이터베이스(계정 정보 데이터베이스)화 한다.
그리고, 클라이언트(10)는 디바이스 유형 데이터베이스(30)의 디바이스 유형 자료(USB(USB 메모리 스틱, USB 프린터, USB 하드드라이브 포함), CD-ROM(DVD, CD-RW 포함), IEEE 1394포트, 병렬포트(프린터), 직렬포트(모뎀), 적외선 포트(Infra-Red port), 플로피 디스켓 드라이버, 하드 드라이버 등)을 참조하여(308), 접근권한 제어가 필요한 디바이스들에 대한 디바이스 목록을 수집한 후(310), 수집된 디바이스 목록을 유형별로 분류하여 데이터베이스(디바이스 정보 데이터베이스)화 한다(312).
또한, 클라이언트(10)는 수집된 클라이언트 목록, 그룹/사용자 계정 목록, 디바이스 목록을 이용하여 각각의 디바이스에 접근 가능한 그룹/사용자 계정을 할당하고 각각의 그룹/사용자가 해당 디바이스에 접근할 수 있는 시간과 접근권한의 정도를 부여하여 목록화한다(314). 이 스케쥴링 목록은 스케쥴링 데이터베이스(30)에 저장되어, 추후 특정 사용자가 디바이스에 접근 행위(입출력 행위)를 할 때 인증 자료로 활용된다.
마지막으로, 클라이언트(10)는 커널로 전송되는 디바이스 입출력 메시지를 훅킹(Hooking)할 수 있도록 훅킹 드라이버를 설치하고(315), 운용체제에 디바이스 입출력(접근) 관련 이벤트를 처리하기 위한 서비스를 등록한다(317).
한편, 클라이언트(10)와 서버(20)가 연동하여 수행되는 경우, 클라이언트(10)는 로컬/원격 사용자 계정 및 그룹정보를 수집한 후(304,306) 그룹별 사용자의 목록(그룹/사용자 목록)을 작성하여 데이터베이스(계정 정보 데이터베이스)화 한다. 이후, 서버(20)와 연결되면, 자신의 그룹/사용자 목록을 서버(20)로 전송하고, 서버(20)는 자신의 로컬 사용자 계정 및 그룹정보를 수집하여(305,307) 수집된 정보들과 클라이언트(10)로부터 전송된 정보들을 시스템 계정 정보 데이터베이스(30)로 관리한다. 즉, 서버(20)에서는 클라이언트(10)가 송신한 그룹/사용자 목록과 클라이언트 목록을 연결(Join)하여 데이터베이스(계정 정보 데이터베이스)화 한다.
그리고, 클라이언트(10)는 디바이스 유형 데이터베이스(30)의 디바이스 유형 자료(USB(USB 메모리 스틱, USB 프린터, USB 하드드라이브 포함), CD-ROM(DVD, CD-RW 포함), IEEE 1394포트, 병렬포트(프린터), 직렬포트(모뎀), 적외선 포트(Infra-Red port), 플로피 디스켓 드라이버, 하드 드라이버 등)을 참조하여(308), 접근권한 제어가 필요한 디바이스들에 대한 디바이스 목록을 수집한 후(310), 수집된 디바이스 목록을 유형별로 분류하여 데이터베이스(디바이스 정보 데이터베이스)화 한다(312). 이후, 서버(20)와 연결되면, 자신의 디바이스 목록을 서버(20)로 전송하고, 서버(20)는 자신의 로컬 디바이스 정보를 수집한 후(309,311) 수집된 정보들과 클라이언트(10)로부터 전송된 정보들을 유형별로 분류하여 데이터베이스(디바이스 정보 데이터베이스)화 한다(313). 즉, 서버(20)에서는 클라이언트(10)가 송신한 디바이스 목록과 클라이언트 목록을 연결(Join)하여 데이터베이스(디바이스 정보 데이터베이스)화 한다. 이렇게 수집된 목록은 리스트 컨트롤의 양식으로 사용자에게 제공된다.
마지막으로, 서버(20)는 커널로 전송되는 디바이스 입출력 메시지를 훅킹(Hooking)할 수 있도록 훅킹 드라이버를 설치하고(316), 운용체제에 디바이스 입출력(접근) 관련 이벤트를 처리하기 위한 서비스를 등록한다(318).
도 4 는 본 발명에 따른 디바이스 접근권한 제어 방법 중 서비스 인증 과정을 나타낸 일실시예 흐름도이다.
먼저, 디바이스의 입출력 메시지를 훅킹(Hooking)할 수 있는 드라이버를 적재한다(401). 이 드라이버는 디바이스에 대한 Open/Close/Read/Write 등에 대한 이벤트를 Hooking하여 스케쥴링 DB의 시간/사용자계정/접근권한을 비교하여(402~403) 모든 조건이 만족될 경우에만 해당 행위를 허가할 수 있도록 하며(405), 그렇지 않은 경우에는 행위는 무시되고 경고메시지/경고음(NT 계열) 또는 화면/키보드/마우스 잠금(Windows 95/98 계열)과 같은 물리적인 잠금을 실시한다(406~408). 이렇게 인증받지 못한 행위에 대해서는 물리적인 잠금외에 행위자체에 대한 로그(Log)를 기록함으로써(409,410), 사후 분석이 가능토록 한다.
즉, 메시지 훅킹(Hooking) 및 인증부(207)는 디바이스 입출력 메시지 훅킹 드라이버를 로드하여(401), 해당 입출력 행위(디바이스 접근 행위 이벤트)가 상기 [표 1]의 스케쥴링 테이블에 정의되어 있는 인증자료에 위배되는지를 인증한다(403,404).
인증 결과, 위배되지 않으면 사용자의 입출력 행위(디바이스 접근 행위)는 정상적으로 수행되며(405), 적절한 접근권한 제어 절차를 수행하는데, 이는 운영체계별로 구분되어 실행된다. 예를 들면, Windows 9X 계열의 경우(406), 인증받지 못한 입출력 행위(디바이스 접근 행위)가 탐지되면, 화면잠김 절차가 수행되고 사용자의 정의에 의해 키보드 및 마우스 잠김도 가능하다(408). 이는 Windows 9X 계열이 보안에 있어서 Windows NT 계열보다 취약하기 때문에 최대한의 물리적인 잠금을 통해서 인증받지 못한 입출력 행위(디바이스 접근 행위)를 방지하기 위함이다.
반면, Windows NT 계열의 경우(406), 사용자 계정 및 디바이스에 대한 보안이 상대적으로 강하며 이에 대한 다수의 API를 제공하기 때문에, 인증되지 못한 입출력 행위(디바이스 접근 행위)가 발생한 디바이스에 대한 접근을 방어하는 것만으로도 충분하다(407).
이처럼 인증되지 못한 행위에 대해서는(407,408), 불법행위 방지 및 기록부(208)에서 Window 9X 계열 및 Window NT 계열에 상관없이 행위가 발생한 컴퓨터명, 사용자명, 디바이스 명 및 입출력 대상이 되었던 파일명이 함께 기록한다(409,410).
그럼, 도 5를 참조하여 디바이스 접근권한을 수정하는 과정을 살펴보기로 한다.
도 5의 과정은 스케쥴링부(205)에서 디바이스의 핸들(Handle)값을 이용하여 디폴트로 설정되어 있는 DACL을 읽어온 후 사용자가 정의한 계정의 SID 및 사용자 정의 접근 허락(Access Permission) 정보가 기록된 ACE를 DACL에 기록하여 저장함으로써 디바이스 접근권한을 수정할 수 있다.
먼저, 사용자에 의한 디바이스 권한 변경사항이 입력되면(501), 지정된 사용자 또는 그룹의 SID 번호를 찾아[함수명: LookupAccountName()](502), 지정된 디바이스의 SD(SD) 구조체 값을 조회한 후[함수명: GetDeviceSecurity()](503), 새로운 SD 값을 저장할 SD 구조체를 초기화한다[함수명: InitializeSecurityDesc()](504).
그리고, 조회된 SD 구조체 내부의 DACL 포인터를 조회하여[함수명: GetSecurityDescDACL()](505), DACL의 크기정보를 획득하고[함수명: GetAclInformation()](506), DACL의 보다 정확한 크기정보를 획득한다[함수명: GetAclInformation()](507).
또한, 새로운 ACL(Access Control List)을 위한 메모리를 할당한 후[함수명: myheapalloc()](508), 새로운 ACL을 초기화한다[함수명: InitializeAcl()](509).
이후, 디바이스의 DACL상에 있는 ACE 포인터를 조회한다[함수명: GetACE()](510).
조회 결과, NonInherited ACE를 새로운 DACL에 복사한다[함수명: CopyNonInheritedACE()](511~513).
조회 결과, Inherited ACE인 경우, 루프를 종료한 후[함수명: Break()](514), ACL에 사용자가 지정한 Access Mask를 갖는 새로운 ACE를 추가하고[함수명: AddNewACE()](515), Inherited ACE를 새로운 DACL에 복사한다[함수명: CopyInheritedACEs()](516).
그리고, 새롭게 생성된 DACL를 SD에 설정하고[함수명: SetSecurityDescDACL()](517), 새롭게 생성된 SD 구조체를 디바이스에 설정한다[함수명: SetDeviceSecurity()](518).
이렇게 함으로써, 디바이스 접근권한을 수정할 수 있다.
상술한 바와 같은 본 발명의 방법은 프로그램으로 구현되어 컴퓨터로 읽을 수 있는 기록매체(씨디롬, 램, 롬, 플로피 디스크, 하드 디스크, 광자기 디스크 등)에 저장될 수 있다.
이상에서 설명한 본 발명은 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니고, 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하다는 것이 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어 명백할 것이다.
상기한 바와 같은 본 발명은, 컴퓨터 디바이스에 대한 사용자별 접근권한을 사용자 계정 및 스케쥴링에 따라 부여함으로써, 컴퓨터 본체의 자료가 외부로 무단 유출되는 것을 방지할 수 있어, 군부대나 대기업 등과 같이 군사기밀/사내기밀이 각종 디바이스를 통해 유출될 경우 막대한 재정적/보안상의 위협을 받는 환경에서 보다 유용하며, 제품들의 다양화에 따른 프로그램의 수정을 최소화함으로써 사용자의 추가적인 비용부담을 줄일 수 있는 효과가 있다.
도 1 은 본 발명이 적용되는 사용자 계정 및 스케쥴링에 의해 디바이스의 접근권한을 제어하기 위한 하드웨어 시스템의 구성 예시도.
도 2 는 본 발명에 따른 디바이스 접근권한 제어 장치의 일실시예 구성도.
도 3 은 본 발명에 따른 디바이스 접근권한 제어 방법 중 서비스 등록 과정을 나타낸 일실시예 흐름도.
도 4 는 본 발명에 따른 디바이스 접근권한 제어 방법 중 서비스 인증 과정을 나타낸 일실시예 흐름도.
도 5 는 본 발명에 따른 디바이스 접근권한 제어 방법 중 서비스 변경 과정을 나타낸 일실시예 흐름도.
* 도면의 주요 부분에 대한 부호 설명
201 : 프로그램 설치부 202 : 네트워크 구성부
203 : 사용자/그룹계정 정보 수집부 204 : 디바이스 정보 수집부
205 : 스케쥴링부 206 : 서비스 등록부
207 : 메시지 훅킹 및 인증부 208 : 불법행위 방지 및 기록부
209 : 에러 탐지부

Claims (11)

  1. 디바이스 접근권한 제어 장치에 있어서,
    설치되어야 할 파일의 종류 및 사용자 환경을 운영체계별로 분류하여 설치하기 위한 프로그램 설치수단;
    서버/클라이언트를 설정할 수 있는 함수들을 제공하고, 서버와 클라이언트 사이의 메시지 요청 및 응답을 위한 독자적인 메시지 집합/프로토콜을 제공하여, 접속 요청된 클라이언트의 목록을 작성하기 위한 네트워크 구성수단;
    사용자 계정 및 그룹정보를 수집해 그룹별 사용자의 목록을 작성하여 데이터베이스화하기 위한 사용자/그룹 계정 정보 수집 수단;
    디바이스 정보를 수집하여, 수집된 디바이스 목록을 유형별로 분류하기 위한 디바이스 정보 수집수단;
    상기 클라이언트 목록, 상기 사용자/그룹 계정 목록, 상기 디바이스 목록을 이용하여 각각의 디바이스에 접근 가능한 그룹/사용자 계정을 할당하고, 각각의 그룹/사용자가 해당 디바이스에 접근할 수 있는 시간과 접근권한의 정도를 부여하여 목록화(스케쥴링 테이블)하기 위한 스케쥴링수단;
    운영체제에 디바이스 접근권한 제어 관련 이벤트를 처리하기 위한 서비스를 등록하고, 스케쥴링 테이블을 지속적으로 점검하여 현재의 시간이 테이블에 설정된 시간범위를 벗어난 경우 디바이스에 접근 가능한 계정 및 접근권한을 원래의 값으로 복원하기 위한 서비스 등록수단;
    커널로 전송되는 디바이스 입출력 메시지를 훅킹하여 해당 입출력 행위(디바이스 접근 행위)가 상기 스케쥴링 테이블에 정의되어 있는 인증자료에 위배되는지를 점검하기 위한 메시지 훅킹 및 인증 수단;
    상기 메시지 훅킹 및 인증 수단의 인증 결과에 따라, 운영체제별로 디바이스의 접근권한을 제어하고, 인증 실패 결과를 기록하기 위한 불법행위 방지 및 기록 수단; 및
    운영체제에 의해 보고되는 네트워크 상의 오류를 탐지하기 위한 에러탐지수단
    을 포함하는 사용자 계정 및 스케쥴링에 의한 디바이스 접근권한 제어 장치.
  2. 제 1 항에 있어서,
    상기 스케쥴링수단은,
    디바이스별로 접근 가능한 사용자를 선택하고 접근권한을 부여하며, 시간을 스케쥴링함에 있어서 디바이스의 ACL(Access Control List)를 재구성할 수 있는 것을 특징으로 하는 사용자 계정 및 스케쥴링에 의한 디바이스 접근권한 제어 장치.
  3. 제 1 항에 있어서,
    상기 메시지 훅킹 및 인증 수단은, 디바이스로 전달되는 메시지를 훅킹(Hooking)하여 입출력 행위(접근 행위)에 대한 인증을 수행하고,
    상기 불법행위 방지 및 인증 수단은, 인증되지 못한 행위에 대해 경고메시지/경고음 혹은 화면/키보드/마우스잠금과 같은 물리적인 잠금을 실시하고, 인증받지 못한 행위 자체에 대한 로그(디바이스 이름 및 입출력 파일 이름)를 기록하되, 로그 파일 생성시 디스크의 용량을 고려하여 클라이언트별 순환 로그 파일을 생성하는 것을 특징으로 하는 사용자 계정 및 스케쥴링에 의한 디바이스 접근권한 제어 장치.
  4. 제 1 항 내지 제 3 항 중 어느 한 항에 있어서,
    상기 디바이스는,
    컴퓨터에 연결되어 있는 모든 읽기/쓰기가 가능한 유에스비(USB)(USB 메모리 스틱, USB 프린터, USB 하드드라이브 포함), 시디롬(CD-ROM)(DVD, CD-RW 포함), IEEE 1394포트, 병렬포트(프린터), 직렬포트(모뎀), 적외선 포트(Infra-Red port), 플로피 디스켓 드라이버, 하드 드라이버를 포함하는 것을 특징으로 하는 사용자 계정 및 스케쥴링에 의한 디바이스 접근권한 제어 장치.
  5. 제 4 항에 있어서,
    상기 클라이언트/서버의 연동에 의하여, 인터넷 프로토콜(IP) 기반의 멀티캐스트를 이용하여 동시에 서버가 클라이언트에게 명령을 전달하고 클라이언트들로부터 사용자/그룹 계정 정보, 디바이스 정보, 생존(Alive)메시지를 수신하여 중앙집권적인 통제가 가능한 것을 특징으로 하는 사용자 계정 및 스케쥴링에 의한 디바이스 접근권한 제어 장치.
  6. 디바이스 접근권한 제어 장치에 적용되는 디바이스 접근권한 제어 방법에 있어서,
    설치되어야 할 파일의 종류 및 사용자 환경을 운영체계별로 분류하여 디바이스 접근권한 제어 프로그램을 설치하는 프로그램 설치 단계;
    네트워크 상의 오류를 탐지하여 접속 요청된 클라이언트의 목록을 작성하는 클라이언트 목록 작성 단계;
    사용자 계정 및 그룹정보를 수집해 그룹별 사용자의 목록을 작성하는 사용자/그룹 계정 목록 작성 단계;
    디바이스 정보를 수집하여, 수집된 디바이스 목록을 유형별로 분류하는 디바이스 목록 작성 단계;
    상기 클라이언트 목록, 상기 사용자/그룹 계정 목록, 상기 디바이스 목록을 이용하여 각각의 디바이스에 접근 가능한 그룹/사용자 계정을 할당하고, 각각의 그룹/사용자가 해당 디바이스에 접근할 수 있는 시간과 접근권한의 정도를 부여하여 목록화(스케쥴링 테이블)하는 스케쥴링 단계;
    디바이스 입출력 메시지를 훅킹하여 해당 입출력 행위(디바이스 접근 행위)가 상기 스케쥴링 테이블에 정의되어 있는 인증자료에 위배되는지를 점검하는 메시지 훅킹 및 인증 단계; 및
    상기 메시지 훅킹 및 인증 단계의 인증 결과에 따라, 운영체제별로 디바이스의 접근권한을 제어하고, 인증 실패 결과를 기록하는 불법행위 방지 및 기록 단계
    를 포함하는 사용자 계정 및 스케쥴링에 의한 디바이스 접근권한 제어 방법.
  7. 제 6 항에 있어서,
    상기 스케쥴링 단계는,
    디바이스별로 접근 가능한 사용자를 선택하고 접근권한을 부여하며, 시간을 스케쥴링함에 있어서 디바이스의 ACL(Access Control List)를 재구성할 수 있는 것을 특징으로 하는 사용자 계정 및 스케쥴링에 의한 디바이스 접근권한 제어 방법.
  8. 제 6 항에 있어서,
    상기 메시지 훅킹 및 인증 단계에서, 디바이스로 전달되는 메시지를 훅킹(Hooking)하여 입출력 행위(접근 행위)에 대한 인증을 수행하고,
    상기 불법행위 방지 및 인증 단계에서, 인증되지 못한 행위에 대해 경고메시지/경고음 혹은 화면/키보드/마우스잠금과 같은 물리적인 잠금을 실시하고, 인증받지 못한 행위 자체에 대한 로그(디바이스 이름 및 입출력 파일 이름)를 기록하는 것을 특징으로 하는 사용자 계정 및 스케쥴링에 의한 디바이스 접근권한 제어 방법.
  9. 제 6 항 내지 제 8 항 중 어느 한 항에 있어서,
    상기 디바이스 접근권한 제어 프로그램은,
    클라이언트 및 서버의 상호 연동 혹은 클라이언트에서의 독립적인 수행이 가능하되, 클라이언트에 연결되어 있는 모든 읽기/쓰기가 가능한 디바이스의 접근권한을 사용자 계정별/스케쥴링된 시간별로 관리하고, 이때 클라이언트의 디바이스를 제어하고 각 클라이언트에서 발생한 이벤트들을 데이터베이스에 기록하며, 운영체계의 서비스로 등록되어 사용자가 최초 1회 설치후에는 컴퓨터 기동시 자동으로 주어진 기능을 수행하는 것을 특징으로 하는 사용자 계정 및 스케쥴링에 의한 디바이스 접근권한 제어 방법.
  10. 제 9 항에 있어서,
    상기 디바이스는,
    컴퓨터에 연결되어 있는 모든 읽기/쓰기가 가능한 유에스비(USB)(USB 메모리 스틱, USB 프린터, USB 하드드라이브 포함), 시디롬(CD-ROM)(DVD, CD-RW 포함), IEEE 1394포트, 병렬포트(프린터), 직렬포트(모뎀), 적외선 포트(Infra-Red port), 플로피 디스켓 드라이버, 하드 드라이버를 포함하는 것을 특징으로 하는 사용자 계정 및 스케쥴링에 의한 디바이스 접근권한 제어 방법.
  11. 사용자 계정 및 스케쥴링에 의한 디바이스 접근권한 제어를 위하여, 프로세서를 구비한 디바이스 접근권한 제어 장치에,
    설치되어야 할 파일의 종류 및 사용자 환경을 운영체계별로 분류하여 디바이스 접근권한 제어 프로그램을 설치하는 프로그램 설치 기능;
    네트워크 상의 오류를 탐지하여 접속 요청된 클라이언트의 목록을 작성하는 클라이언트 목록 작성 기능;
    사용자 계정 및 그룹정보를 수집해 그룹별 사용자의 목록을 작성하는 사용자/그룹 계정 목록 작성 기능;
    디바이스 정보를 수집하여, 수집된 디바이스 목록을 유형별로 분류하는 디바이스 목록 작성 기능;
    상기 클라이언트 목록, 상기 사용자/그룹 계정 목록, 상기 디바이스 목록을 이용하여 각각의 디바이스에 접근 가능한 그룹/사용자 계정을 할당하고, 각각의 그룹/사용자가 해당 디바이스에 접근할 수 있는 시간과 접근권한의 정도를 부여하여 목록화(스케쥴링 테이블)하는 스케쥴링 기능;
    디바이스 입출력 메시지를 훅킹하여 해당 입출력 행위(디바이스 접근 행위)가 상기 스케쥴링 테이블에 정의되어 있는 인증자료에 위배되는지를 점검하는 메시지 훅킹 및 인증 기능; 및
    상기 메시지 훅킹 및 인증 단계의 인증 결과에 따라, 운영체제별로 디바이스의 접근권한을 제어하고, 인증 실패 결과를 기록하는 불법행위 방지 및 기록 기능
    을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
KR1020040021311A 2004-03-29 2004-03-29 사용자 계정 및 스케쥴링에 의한 디바이스 접근권한 제어장치 및 그 방법 KR100546045B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020040021311A KR100546045B1 (ko) 2004-03-29 2004-03-29 사용자 계정 및 스케쥴링에 의한 디바이스 접근권한 제어장치 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020040021311A KR100546045B1 (ko) 2004-03-29 2004-03-29 사용자 계정 및 스케쥴링에 의한 디바이스 접근권한 제어장치 및 그 방법

Publications (2)

Publication Number Publication Date
KR20050096047A true KR20050096047A (ko) 2005-10-05
KR100546045B1 KR100546045B1 (ko) 2006-01-25

Family

ID=37276276

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040021311A KR100546045B1 (ko) 2004-03-29 2004-03-29 사용자 계정 및 스케쥴링에 의한 디바이스 접근권한 제어장치 및 그 방법

Country Status (1)

Country Link
KR (1) KR100546045B1 (ko)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100696322B1 (ko) * 2005-10-27 2007-03-19 닉스테크 주식회사 하드웨어 매체 접근제어 시스템 및 이를 이용한 하드웨어매체 접근제어 방법
KR20070081996A (ko) * 2006-02-14 2007-08-20 하모니 마이크로일렉트로닉 주식회사 유니버셜 시리얼 버스 저장 시스템 및 그 제어 방법
KR100825726B1 (ko) * 2005-12-08 2008-04-29 한국전자통신연구원 정보거부공격에 대비한 사용자의 신용정보 및 지적재산보호를 위한 장치 및 그 보호 방법
KR100941320B1 (ko) * 2007-10-08 2010-02-11 프롬투정보통신(주) Drm과 보안 usb 메모리를 연동한 비밀자료 유통기한관리방법 및 시스템
WO2013022319A2 (ko) * 2011-08-10 2013-02-14 엘지전자 주식회사 서버의 명령에 대한 권한 인증 방법, 권한 인증 요청 방법 및 그를 위한 장치

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100696322B1 (ko) * 2005-10-27 2007-03-19 닉스테크 주식회사 하드웨어 매체 접근제어 시스템 및 이를 이용한 하드웨어매체 접근제어 방법
KR100825726B1 (ko) * 2005-12-08 2008-04-29 한국전자통신연구원 정보거부공격에 대비한 사용자의 신용정보 및 지적재산보호를 위한 장치 및 그 보호 방법
KR20070081996A (ko) * 2006-02-14 2007-08-20 하모니 마이크로일렉트로닉 주식회사 유니버셜 시리얼 버스 저장 시스템 및 그 제어 방법
KR100941320B1 (ko) * 2007-10-08 2010-02-11 프롬투정보통신(주) Drm과 보안 usb 메모리를 연동한 비밀자료 유통기한관리방법 및 시스템
WO2013022319A2 (ko) * 2011-08-10 2013-02-14 엘지전자 주식회사 서버의 명령에 대한 권한 인증 방법, 권한 인증 요청 방법 및 그를 위한 장치
WO2013022319A3 (ko) * 2011-08-10 2013-04-04 엘지전자 주식회사 서버의 명령에 대한 권한 인증 방법, 권한 인증 요청 방법 및 그를 위한 장치

Also Published As

Publication number Publication date
KR100546045B1 (ko) 2006-01-25

Similar Documents

Publication Publication Date Title
US7814021B2 (en) Managed distribution of digital assets
JP4667361B2 (ja) 適応的透過暗号化
JP5809084B2 (ja) ネットワーク・セキュリティ・システムおよび方法
JP3728536B1 (ja) ネットワーク接続制御システム,ネットワーク接続対象端末用プログラムおよびネットワーク接続制御プログラム
US20090282457A1 (en) Common representation for different protection architectures (crpa)
US20140259092A1 (en) Access control to files based on source information
US20070136603A1 (en) Method and apparatus for providing secure access control for protected information
US20080178256A1 (en) System and method providing policy based control of interaction between client computer users and client computer software programs
EP2575070B1 (en) Classification-based digital rights management
US20070079364A1 (en) Directory-secured packages for authentication of software installation
RU2434283C1 (ru) Система защиты информации от несанкционированного доступа к информации, содержащей сведения, составляющие государственную тайну
KR100546045B1 (ko) 사용자 계정 및 스케쥴링에 의한 디바이스 접근권한 제어장치 및 그 방법
JP2003330802A (ja) 機密情報アクセス監視制御方法、該アクセス監視制御方法を利用した機密情報アクセス監視制御システム及び前記機密情報アクセス監視制御プログラムを格納した記録媒体
Bickel et al. Guide to Securing Microsoft Windows XP
JP4896656B2 (ja) セキュリティ管理システム
RU2443017C1 (ru) Система защиты информации от несанкционированного доступа к информации, содержащей сведения, составляющие государственную тайну
Miroshnikov Windows security monitoring: scenarios and patterns
KR100706338B1 (ko) 전자상거래에 있어서 가상접근통제 보안시스템
JP2005258606A (ja) 情報漏洩監査機能付きネットワークシステム
RU2444057C1 (ru) Система защиты информации от несанкционированного доступа к конфиденциальной информации и информации, содержащей персональные данные
KR100657353B1 (ko) 다양한 접근 통제 정책을 수용할 수 있는 보안 시스템,보안방법, 및 그 기록매체
RU2571372C1 (ru) Система защиты информации от несанкционированного доступа к информации, содержащей сведения, составляющие государственную тайну
RU2504835C1 (ru) Система защиты информации от несанкционированного доступа к информации, содержащей сведения, составляющие государственную тайну
Smith The Windows Server 2003 Security Log Revealed
RU2648942C1 (ru) Система защиты информации от несанкционированного доступа

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee