KR20090026846A - Separator of the internal/external network throughout the dual indepentent environment and th controlling method thereof - Google Patents

Separator of the internal/external network throughout the dual indepentent environment and th controlling method thereof Download PDF

Info

Publication number
KR20090026846A
KR20090026846A KR1020070091878A KR20070091878A KR20090026846A KR 20090026846 A KR20090026846 A KR 20090026846A KR 1020070091878 A KR1020070091878 A KR 1020070091878A KR 20070091878 A KR20070091878 A KR 20070091878A KR 20090026846 A KR20090026846 A KR 20090026846A
Authority
KR
South Korea
Prior art keywords
environment
internal
independent
independent environment
control subsystem
Prior art date
Application number
KR1020070091878A
Other languages
Korean (ko)
Other versions
KR100919643B1 (en
Inventor
김대성
Original Assignee
(주)기가바이트씨앤씨
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)기가바이트씨앤씨 filed Critical (주)기가바이트씨앤씨
Priority to KR1020070091878A priority Critical patent/KR100919643B1/en
Publication of KR20090026846A publication Critical patent/KR20090026846A/en
Application granted granted Critical
Publication of KR100919643B1 publication Critical patent/KR100919643B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/54Interprogram communication
    • G06F9/545Interprogram communication where tasks reside in different layers, e.g. user- and kernel-space
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45579I/O management, e.g. providing access to device drivers or storage

Abstract

An apparatus for separating internal and external networks through dualized independent environments and a control method thereof are provided to offer a free and open common environment and a restricted secret environment, and thoroughly prevent an unauthorized access and infiltration as having an independent work environment on one operating system. The first and second HDDs(Hard Disc Drives)(110a,110b) are virtually separated. The first HDD is provided to a general common environment. The second HDD is provided to a restricted secret environment. An operating system(130) comprises a kernel for supporting the computer hardware connection of the first and second HDDs. The operating system controls the kernel to stably and perfectly separate the first and second HDDs. Therefore, two work environments and two networks can be isolated.

Description

이원화된 독립적 환경을 통한 내외부망 분리 장치 및 그 제어 방법{Separator of the internal/external network throughout the dual indepentent environment and th controlling method thereof} Separator of the internal / external network throughout the dual indepentent environment and th controlling method

본 발명은 내외부망 분리 장치 및 그 제어 방법에 관한 것이다. The present invention relates to an internal and external network separation device and a control method thereof.

특히, 본 발명은 네트워크를 기반으로 사용하는 개인용 컴퓨터에 있어서 그 개인용 컴퓨터를 제어하는 전체적인 운영 체계 환경위에서 가상 또는 물리적으로 2개의 격리된 작업환경으로 분리하여 각 환경에 맞는 표준과 보안 구조를 적용시켜 환경상으로 공용과 비밀, 네트워크상으로 내외부망의 분리운영이 가능하도록 하는 이원화된 독립적 환경을 통한 내외부망 분리 장치 및 그 제어 방법에 관한 것이다.In particular, in the personal computer using a network based on the overall operating system environment that controls the personal computer in the virtual or physically separated into two separate working environment by applying a standard and security structure for each environment The present invention relates to an internal and external network separation device and a control method through a dual independent environment that enables separate operation of internal and external networks in a public, secret, and network environment.

종래의 망 분리/전환 시스템은 소프트웨어적으로 분리시킨 스위치방식 또는 개인용 컴퓨터 내장형 PCI카드방식, 하드웨어적 전환방식인 망전환장치, 물리적인 2개의 개인용 컴퓨터를 1개의 개인용 컴퓨터로 구성하여 이원화 구분시킨 방식인 2인1 시스템(2 in 1 System)등이 있다.The conventional network separation / switching system is divided into two types: a switch type separated by software or a PCI card type with a personal computer, a network switching device with a hardware switch type, and two physical computers composed of one personal computer. 2 in 1 system.

종래의 소프트웨어의 망전환방식은 설치가 간편하고 사용법이 쉽고, 개인용 컴퓨터의 리부팅없이 네트워크의 빠른 전환 및 저렴한 비용의 장점이 있으나 하드디스크 드라이브(Hard Disk Drive)를 공유해서 가상의 공간을 사용하는 부분에서 운영 체계의 커널 프로세스부분을 완벽하게 제어하지 못하므로 외부 침투에 대한 취약점이 많고, 파일 숨김기능으로 비사용망이 활성화되고, 외부의 악의적 목적의 접근자 침입이 용이한 보안 약점이 있다.The network switching method of the conventional software is simple to install, easy to use, and has advantages of fast switching of networks and low cost without rebooting a personal computer, but uses virtual space by sharing a hard disk drive. Because it does not have complete control over the kernel process part of the operating system, there are many vulnerabilities for external intrusion, file hiding function enables non-use network, and security weakness that is easy to intrude external malicious purpose accessor.

또한 종래의 하드웨어적 망 전환방식은 물리적 전환방식으로 내부 네트워크와 인터넷이 분리된 상태에서 사용자에게 내부 네트워크의 자원을 외부 해킹으로부터 보호함으로써 안심하게 인터넷을 사용하도록 지원하는 보안의 장점이 크나 내외부망 전환시 전원의 단락, 망전환시 소요시간 발생(최소 3~8분), 작업의 연속성 미보장으로 업무 효율성 저하, 낭비적인 요소의 업무수행(1인2컴퓨터,1인2모니터), 망전환장치와 전산장비 미일체화로 불량 및 장애 발생등의 문제점을 나타내고 있다.In addition, the conventional hardware network switching method is a physical switching method, while the internal network and the Internet are separated from each other, the security of supporting the use of the Internet by protecting the resources of the internal network from external hacking is great. Power supply short-circuit, time required when switching network (minimum 3-8 minutes), work efficiency deterioration due to non-continuity of work, wasteful work (1 person 2 computer, 1 person 2 monitor), network switching device And unification of computer equipment shows problems such as defects and failures.

위의 두가지 방식의 보안점으로 나온 두대의 개인용 컴퓨터의 하드웨어를 1개의 데이크탑안에 내장시킨 2인1 시스템은 물리적으로 완벽하게 차단된 상태로서 단락 방식을 개선, 사용자가 내외부망에 전환시 업무연속성이 좋고, 시스템.네크워크를 전환할수 있도록 사용자 인터페이스(UI:User Intedrface)가 구축되어있는 장점이 있다.The two-in-one system, which has the hardware of two personal computers from the above two security points in one desktop, is completely blocked and improves the short circuit method. This has the advantage of having a user interface (UI: User Intedrface) built to switch the system and network.

하지만 하드웨어적인 비용 부담과 소프트웨어적인 제어능력이 부족하다는 큰 단점이 있다.However, there is a big disadvantage of hardware cost and lack of software control.

공공기관이나 각 기업체에서는 외부로부터 비인가된 접근을 통한 불법적인 정보유출을 차단하고 내부의 중요한 기밀과 파일을 보호하기 위하여 그에 대한 대응방법 또한 다양하다.Public institutions and corporations also have a variety of countermeasures to prevent illegal information leakage through unauthorized access from outside and to protect important internal confidentiality and files.

외부망 사용시 내부망에서 사용하던 중요 데이터의 노출, 해커에 의한 내부정보유출, 바이러스에 의한 내부정보접근, 인트라넷의 악성코드/트로이 목마/웜/백도어/Snoof 등의 내부정보 및 자료회손 등 다양한 방법의 침투에 의한 대책이 강구되고 있으며, 그에따른 각종 백신프로 그램이나 스파이웨어 검색.치료프로그램, 웹서버의 SSL(Secure Sockets Layer)인증 사용, 서버관리자의 강화벽(SSH: Secure Shell)을 이용한 서버접속관리 등의 범용의 개인용 컴퓨터에 대한 보안의 대응도 다양해지고 있다.When using the external network, various methods such as exposure of important data used in the internal network, internal information leakage by hackers, internal information access by viruses, internal information such as malicious code / Trojan horse / worm / backdoor / Snoof, etc. Countermeasures have been taken, and various antivirus programs, spyware search and treatment programs, web server SSL (Secure Sockets Layer) authentication, and server administrator's server (SSH) are used. Security responses to general-purpose personal computers, such as connection management, are also diversified.

하지만 가장 기본적 대응으로 작업환경의 절대적이고 완벽한 격리운영과 침투 경로가 되는망을 분리함으로써 원천적인 보안으로써, 이원화된 내.외부망 분리/전환방식이 적용이 활발해지고 있으며 이에 안정적이고 신뢰성있는 망 분리/전환 시스템이 요구된다. However, as the basic security by separating the network that is the absolute and complete isolation operation of the working environment and the infiltration path as the most basic response, the application of the dual internal / external network separation / transition method is becoming active and the stable and reliable network separation A switching system is required.

따라서, 본 발명은 상기와 같은 필요에 부응하기 위하여 안출된 것으로서, 운영 체계의 커널에 의한 프로세서와 각종 프로세서, 메모리, 파일시스템, 디바Accordingly, the present invention has been made in order to meet the above-described needs, a processor by the kernel of the operating system, various processors, memory, file system, diva

이스, 네트워크를 제어 및 후킹(hooking)하면서 환경 개념으로는 2개의 이원화된 환경으로 분리하고, 각 환경은 하나의 운영체계상에서 독립적 작업환경을 가지면서, 자유롭고 오픈된 공용환경과 비인가적인 접근과 침투를 통제하는 철저한 격리되고, 제한된 비밀환경을 제공할 수 있도록 하는 이원화된 독립적 환경을 통한 내외부망 분리 장치 및 그 제어 방법를 제공하는 것을 목적으로 한다.Controlling and hooking data and networks, separating the environment into two dual environments, each with its own independent working environment on one operating system, free and open public environment, and unauthorized access and penetration. It is an object of the present invention to provide a device for separating internal and external networks and a control method through a dual independent environment capable of providing a thorough quarantined and restricted secret environment.

또한, 본 발명은, 내부와 외부망이 분리.격리 운영이 가능하도록 적용시켜, 외부망에서는 일반적이고 자유로운 인터넷 등의 외부 네트워크 작업활동이 가능하고, 내부망에서는 차단된 인트라넷환경에서 작업업무를 수행가능하도록 하여 비인가자 및 각종 침입 및 유출을 미연에 방지하기 위한, 방화벽, IDS(Intrusion Delection System), 진보된 기능으로써 공격시그니처를 찾아내 네트워크에 연결된 기기에서 직접 감시하고 자동으로 모종의 조치를 취하여 중단시키는 IPS(Intrusion Prevention System) 등의 기능을 제공하는 이원화된 독립적 환경을 통한 내외부망 분리 장치 및 그 제어 방법을 제공하는 것을 목적으로 한다.In addition, the present invention, the internal and external networks can be applied to separate and isolate the operation, the external network is possible to work on the external network, such as the general and free Internet, the internal network to perform the work in a blocked intranet environment Firewall, IDS (Intrusion Delection System), advanced features to prevent unauthorized persons and various intrusions and leaks in advance, finds attack signatures, monitors directly from the devices connected to the network, and automatically takes some action An object of the present invention is to provide an internal and external network separation apparatus and a control method through a dual independent environment providing a function such as an IPS (Intrusion Prevention System) to stop.

또한, 본 발명은, 환경의 독립적 프로세스 제어를 통한 각종 애플리케이션 프로그램에 대한 저장, 사용 분리가 가능하고 바이러스, 스파이웨어의 차단 등 통합 보안 및 통제가 가능하도록 하는 이원화된 독립적 환경을 통한 내외부망 분리 장치 및 그 제어 방법을 제공하는 것을 목적으로 한다.In addition, the present invention, the internal and external network separation device through a dual independent environment that enables the storage, use and separation of various application programs through the independent process control of the environment and to enable integrated security and control, such as blocking viruses and spyware And a control method thereof.

상기와 같은 목적을 달성하기 위한 본 발명은, 분리되어 있으며 분리된 하나는 일반적 공용 환경에 제공되고 다른 하나는 제한적 비밀환경에 제공되는 하드디 스크 드라이브; 상기 하드디스크 드라이브의 컴퓨터 하드웨어의 접속을 지원하는 커널(Kernel)을 포함하고 있으며, 상기 커널을 제어하여 분리된 상기 하드 디스크 드라이브를 안정적이고 완벽하게 분리해서 2개의 작업환경과 2개의 망을 격리시킬 수 있도록 하는 운영체제; 및 일반적 공용 환경에 제공되는 분리된 하나의 상기 하드디스크 드라이브를 외부 인터넷망과 상기 운영 체제에 접속되도록 하며, 제한적 비밀환경에 제공되는 분리된 다른 하나의 상기 하드디스크 드라이브를 내부망 네트워크와 상기 운영 체제에 접속되도록 하는 이원화된 독립 환경 시스템을 포함하여 이루어진 것을 특징으로 한다.The present invention for achieving the above object is a separate and separated hard disk drive is provided in a common common environment and the other is provided in a limited secret environment; It includes a kernel (Kernel) to support the connection of the computer hardware of the hard disk drive, and to control the kernel to separate and separate the hard disk drive stable and completely separate the two working environment and two networks An operating system to enable; And the one separate hard disk drive provided in a general public environment to be connected to an external internet network and the operating system, and the other separated hard disk drive provided in a limited secret environment to the internal network network and the operating system. It is characterized by including a dual independent independent environment system to be connected to the system.

또한, 본 발명은, 독립 환경 시스템의 프로세서 런 제어 서브시스템은 프로세스 규칙에 의해 규칙에 어긋난 프로세스를 발견하는 제1 단계; 상기 프로세서 런 제어 서브시스템은 기존 부모프로세스에게 합당한지를 판단하여 합당하면 부모프로세스를 호출하고, 합당하지 않으면 격리수용하거나 새로운 규칙을 생성한 후에 부호 프로세스를 호출하는 제2 단계; 상기 프로세서 런 제어 서브시스템이 복사 프로세스가 합당한지를 판단하여 합당하면 카운트 값을 증가시킨 후에 새로운 스케쥴러를 구동하고 합당하지 않으면 카운트값의 증가없이 스케쥴러를 구동하는 제3 단계를 포함하여 이루어진 것을 특징으로 한다.In addition, the present invention provides a processor run control subsystem of an independent environment system, comprising: a first step of discovering a process deviating from a rule by a process rule; A second step of the processor run control subsystem determining whether it is suitable for an existing parent process and calling the parent process if it is appropriate, and if not, calling the sign process after accepting or generating a new rule; And a third step of determining, by the processor run control subsystem, whether the copying process is reasonable and driving a new scheduler after increasing the count value if it is reasonable and driving the scheduler without increasing the count value if it is not. .

본 발명에 따르면, 이원화된 내.외부망의 구현을 위해 한개의 운영체제에서 격리된 두개의 환경을 제공하여 각 환경에 맞는 독립적 작업환경과 각각의 내외부 적인 네크워크 망을 구축하여 비인가된 외부 침입과 기타 불인증된 접근과 기타 바이러스, 스파이웨어 등의 활동을 차단하고 종결 시킬 수 있도록 하는 효과가 있다.According to the present invention, to implement a dual internal and external network, by providing two environments isolated from one operating system to build an independent working environment and each internal and external network for each environment, unauthorized external intrusion and other It is effective to block and terminate unauthorized access and other viruses and spyware.

또한, 본 발명에 따르면, 공개된 한 개의 공용 환경에서는 자유로운 웹 접속과 네트워크 활동이 가능하며, 그에 따르는 외부접속과의 번거러움이 없으며 또 차단된 비밀 환경에서는 외부접속과의 절대적인 차단과 애플리케이션 프로그램의 제어, 기타 외부인자 및 기타 바이러스, 스파이웨어 등 으로 부터의 차단이 가능하여, 보안이 필요한 데이터들과 중요문서, 오브젝트 등에 대한 절대적 보호를 받을 수 있으며, 지정된 내부그룹과의 원활한 인트라넷으로 업무적 효율을 높일 수 있도록 하는 효과가 있다.In addition, according to the present invention, in one public environment, free web access and network activity are possible, and there is no hassle with external access, and in a closed secret environment, absolute blocking with external access and control of application programs are performed. It is possible to block from other external factors, other viruses, spyware, etc., so you can receive absolute protection for security data, important documents, objects, etc., and work efficiency with a smooth intranet with designated internal groups. It is effective to increase.

또한, 본 발명에 따르면, 네트워크의 제어에 의한 내외부망을 분리 함으로써 외부망의 접근차단과 그룹관리에 의한 내부망의 통제가 가능해지고 내부접속 인자 역시 그룹에의한 관리로 침투나 감시에 의한 차단이 가능하도록 하는 효과가 있다.In addition, according to the present invention, by separating the internal and external network under the control of the network, it is possible to control the access of the external network and control the internal network by group management, and the internal access factor is also blocked by infiltration or monitoring by management by the group. There is an effect to make this possible.

또한, 본 발명에 따르면, 향후 서버간의 통제와 제어의 영향이 증대해지며 임베이드 소포트웨어 분야까지 기초를 두어, 그 영향을 미칠 수 있도록 하는 효과가 있다.In addition, according to the present invention, the influence of the control and control between the server is increased in the future, and based on the embedded software field, there is an effect that can be affected.

또한, 본 발명에 따르면, 일반 제어 서버에 탑재했을 경우, 서버대 클라이언트 개념으로 제어가 가능해지는 기업이나 공공단체의 기업형 유비쿼터스 기술 도입이 가능하도록 하는 효과가 있다.In addition, according to the present invention, when mounted in a general control server, there is an effect that it is possible to introduce the enterprise type ubiquitous technology of the enterprise or public organizations that can be controlled in the server-to-client concept.

이제, 도 1 이하를 참조하여 본 발명에 따른 이원화된 독립적 환경을 통한 내외부망 분리 장치 및 그 방법을 상세히 설명한다.Referring now to Figure 1 below it will be described in detail the internal and external network separation apparatus and method through a dual independent environment according to the present invention.

도 1 은 본 발명의 일실시예에 따른 이원화된 독립적 환경을 통한 내외부망 분리 장치의 구성도이다.1 is a block diagram of an internal and external network separation apparatus through a dual independent environment according to an embodiment of the present invention.

도면을 참조하면 본 발명의 일실시예에 따른 이원화된 독립적 환경을 통한 내외부망 분리 장치(100)는 2개로 분리된 하드디스크 드라이브(110a, 110b), 이러한 2개로 분리된 하드디스크 드라이브(110a, 110b)와 운영체제(130)에 대한 접근을 제공하고 제어하는 이원화된 독립 환경 시스템(120), 운영 체제(130)를 구비하고 있다(물론, 여기에서는 하드디스크 드라이브를 가상적으로 2개로 분리되어 있을 수도 있고, 물리적으로 2개로 분리되어 있을 수도 있다).Referring to the drawings, the internal and external network separation apparatus 100 through a dual independent environment according to an embodiment of the present invention is divided into two hard disk drives (110a, 110b), these two hard disk drives (110a, 110b) and a dual independent environment system 120, operating system 130, which provides and controls access to the operating system 130 (of course, the hard disk drive may be virtually separated into two here). And physically separated into two).

여기에서, 하드 디스크 드라이브(110a,110b)는 이원화된 독립 환경 시스템(120)을 통하여 외부 인터넷망과 접속하고 운영 체제(130)에 접속하는 일반적 공용 환경에 제공되는 하드디스크 드라이브(110a)와, 이원화된 독립 환경 시스템(120)을 통하여 내부 네트워크에 접속하고 운영 체제에 접속하는 제한적 비밀환경에 제공되는 하드디스크 드라이브(110b)로 분리되어 있다.Here, the hard disk drive (110a, 110b) is a hard disk drive (110a) is provided in a general public environment to connect to the external Internet network and the operating system 130 through the dual independent independent environment system 120, It is separated into a hard disk drive 110b provided in a restricted secret environment that accesses an internal network and accesses an operating system through a dual independent environment system 120.

이원화된 독립 환경 시스템(120)은 일반적 공용 환경에 제공되는 하드디스크 드라이브(110a)를 외부 인터넷망에 접속되도록 하고 운영 체제에 접속되도록 하며, 제한적 비밀환경에 제공되는 하드디스크 드라이브(110b)를 내부망 네트워크에 접속되도록 하고 운영 체제에 접속되도록 한다. 이러한 이원화된 독립 환경 시스템(120)은 외부 인터넷망과 접속될 수 있는 외부망 네트워크 인터페이스(121a)와 내부 인트라넷망과 접속할 수 있도록 지원하는 내부망 네트워크 인터페이스(121b)를 구비하고 있다.The dual independent environment system 120 allows a hard disk drive 110a provided in a general public environment to be connected to an external Internet network and an operating system, and internally provides a hard disk drive 110b provided in a restricted secret environment. It is connected to the network network and to the operating system. The dual independent environment system 120 includes an external network network interface 121a that can be connected to an external Internet network and an internal network network interface 121b that can be connected to an internal intranet network.

그리고, 운영체제(130)는 이원화된 독립 환경 시스템(120)을 지원하여 일반적 공용 환경과, 제한적 비밀환경이 분리될 수 있도록 지원하고, 각각의 분리된 환경에서 2개로 분리된 하드 디스크 드라이브(110a, 110b)가 구동되도록 한다. In addition, the operating system 130 supports the dual independent environment system 120 so that a general public environment and a limited secret environment can be separated, and two hard disk drives 110a, respectively, in each separated environment. 110b) is driven.

이러한, 운영 체제(130)은 이원화된 독립 환경 시스템과 하드웨어의 접속을 지원하는 커널(Kernel)을 포함하고 있으며, 이러한 커널을 제어하여 2개로 분리된 하드 디스크 드라이브(110a, 110b)를 안정적이고 완벽하게 분리해서 한 개의 운영체제(130) 위에서 2개의 작업환경과 2개의 망을 격리시킬 수 있도록 한다.The operating system 130 includes a kernel that supports access to a dual independent environment system and hardware. The operating system 130 controls these kernels to stably and completely separate the two separate hard disk drives 110a and 110b. In order to separate the two work environment and two networks on one operating system 130 to separate.

도 2a는 종래 기술에 따른 애플리케이션과 운영체제의 연결 관계를 보여주는 개념도이다. 2A is a conceptual diagram illustrating a connection relationship between an application and an operating system according to the related art.

도 2a를 참고하면, 일반적으로 사용자가 애플리케이션(200)에서 운영체제의 커널(210)에 질문을 하고, 운영체제의 커널(210)이 애플리케이션(200)으로 응답을 한다.Referring to FIG. 2A, in general, a user asks a kernel 210 of an operating system in an application 200, and the kernel 210 of the operating system responds to an application 200.

이처럼, 애플리케이션(200)과 커널(210)이 질문과 응답으로 작업을 수행하며, 종래 기술에 의하면 운영체제인 커널(Kernel)이 직접 사용자의 요구와 수행과정을 거치게 된다.As such, the application 200 and the kernel 210 perform tasks in response to questions and answers. According to the related art, a kernel, which is an operating system, directly undergoes a user's request and execution process.

도 2b는 본 발명의 일실시예에 따른 일반적 공용환경에서 독립 환경 시스템을 이용한 애플리케이션과 운영체제의 연결 관계를 보여주는 개념도이고, 도 2c는 본 발명의 일실시예에 따른 제한적 비밀환경에서 독립 환경 시스템을 이용한 애플 리케이션과 운영체제의 연결 관계를 보여주는 개념도이다.2B is a conceptual diagram illustrating a connection relationship between an application and an operating system using an independent environment system in a general common environment according to an embodiment of the present invention, and FIG. 2C illustrates an independent environment system in a limited secret environment according to an embodiment of the present invention. The conceptual diagram shows the connection between the used application and the operating system.

도 2b와 도 2c를 참조하면 본 발명의 일실시예에 따른 일반적 공용환경 또는 제한적 비밀환경에서 독립 환경 시스템을 이용한 애플리케이션과 운영체제의 연결 관계는, 독립 환경 시스템(205)이 애플리케이션(200)과 커널(210) 중간에 위치하여 커널을 제어하고 후킹하며 사용자의 수행에 대한 명령, 질의에 대한 응답, 수행자의 역할을 대신한다.2B and 2C, a connection relationship between an application and an operating system using an independent environment system in a general public environment or a limited secret environment according to an embodiment of the present invention may be determined by the independent environment system 205 between the application 200 and the kernel. (210) Located in the middle, it controls and hooks the kernel and takes over the commands for the user's execution, responses to queries, and the role of the performer.

이러한 독립 환경 시스템(205)은 운영체제의 커널(Kernel)(210)상에서Including File System, Registry, Network, Named Object, Mutex, Semaphore, Event, LPC/RPC, Windows Messages, Keyboard, Video, removable devices, I/Os등을 관리하고 수행한다.The independent environment system 205 may include Including File System, Registry, Network, Named Object, Mutex, Semaphore, Event, LPC / RPC, Windows Messages, Keyboard, Video, removable devices, I on the kernel 210 of the operating system. Manage and run / Os.

도2b의 경우는 외부네트워크나 인터넷이 연결된 일반적 공용환경에서 사용자(User)가 애플리케이션(Application)(200)에서 설치와 수행(Create[1])을 명할 때 독립환경시스템(205)이 커널(Kernel)(201)의 위에서 그 질의나 명령을 수행하고 사용자(User)에게 그 수행결과를 대신해서 사용자에게 응답(Reply[4])해주는 것을 개념적으로 보여주는 것이다.In the case of FIG. 2B, when a user commands installation and execution (Create [1]) in an application 200 in a general public environment connected to an external network or the Internet, the independent environment system 205 executes a kernel. In the above example, the query or command is executed and the user (Reply [4]) is conceptually shown to the user instead of the result of the execution.

여기에서, [AA]는 애플리케이션(200)에 대한 제어 오브젝트나 라이브러리에 대한 수행 공간을 임의로 나타낸 것이다.Here, [AA] arbitrarily represents an execution space for a control object or a library for the application 200.

이때 독립환경시스템(205)은 사용자에게 받은 애플리케이션(Application)(200)에 대한 설치와 수행(Create[1])을 수반하고 분석 한 후, 가상 공간에 그 개념적 부분을 저장한 후에 인지된 내용을 커널(Kernel)(210)에 질의 와 가능판단을 요청하고(Create[2])하고, 그에대한 응답을 받은 후(Reply[3]), 다시 애플리케이션(Application)(200)에 대한 결과응답(Reply[4])을 전달한다.At this time, the independent environment system 205 involves the installation and execution (Create [1]) of the application 200 received from the user and analyzes it, and stores the conceptual part in the virtual space, and then recognizes the recognized contents. After asking the kernel 210 for a query and a possible decision (Create [2]), receiving a response (Reply [3]), and responding to the application 200 again (Reply). [4]).

[BB]는 독립환경시스템(205)와 커널(Kernel)(210)에 대한 저장과 수행요소들을 임의로 지정해 놓은 것이다.[BB] arbitrarily specifies the storage and execution elements for the independent environment system 205 and the kernel 210.

한편, 도 2c을 참조하면 제한적 비밀환경은 외부망과 차단된 환경에서 작업수행을 행하는데, 공용환경에 비해 규칙범위가 높다.Meanwhile, referring to FIG. 2C, the restricted secret environment performs work in an environment blocked from the external network, and has a higher rule range than the public environment.

제한적 비밀환경에서 독립환경시스템(205)는 커널(Kernel)(210)위에서 오브젝트와 드라이브들에 대한 강화된 제한과 규칙범위를 갖게 된다.In a restricted secret environment, the independent environment system 205 has enhanced restrictions and rules for objects and drives on the kernel 210.

도 3은 본 발명의 이원화된 독립적 환경을 통한 내외부망 분리 장치의 내부 블럭 구성도이다.Figure 3 is a block diagram of the internal and external network separation apparatus through a dual independent environment of the present invention.

도 3을 참조하면 본 발명의 이원화된 독립적 환경을 통한 내외부망 분리 장치는 애플리케이션(310), 공용 환경 하드 디스크 드라이브(314), 비밀환경 하드 디스크 드라이브(316), 네트워크 관리 모듈(320), 파일시스템/필터 드라이버(322), 독립환경 드라이버(324), 시스템 호출 인터페이스(326), 파일 서브 시스템(328), 버퍼캐쉬(330), 특성(332), 블락(334), 장치 드라이버(336), 인터프레세스(340), 스케쥴러(342), 메모리 관리자(344), 하드웨어 제어기(346), 하드웨어(348)을 포함하고 있다.Referring to FIG. 3, the internal and external network separation apparatus through the dual independent environment of the present invention includes an application 310, a public environment hard disk drive 314, a secret environment hard disk drive 316, a network management module 320, and a file. System / Filter Driver 322, Independent Environment Driver 324, System Call Interface 326, File Subsystem 328, Buffer Cache 330, Properties 332, Block 334, Device Driver 336 And an interprocess 340, a scheduler 342, a memory manager 344, a hardware controller 346, and a hardware 348.

이때, 네트워크 관리 모듈(320), 파일 시스템 모듈/필터 드라이버(322), 독립 환경 드라이버(324)는 독립환경 시스템을 구성한다.In this case, the network management module 320, the file system module / filter driver 322, and the independent environment driver 324 constitute an independent environment system.

여기에서, 독립환경 드라이버(324)는 프로세서에 의한 관리 프로세스와 메모 리, 파일시스템, 기타 디바이스 커널(Kernel)을 제어,후킹(hooking)하는데, 이는 시스템 호출 인터페이스(SCI:System CallInterface)(326)를 생성하고, 통합적 병렬 전달 체계를 가지게 된다. Here, the independent environment driver 324 controls and hooks a management process and memory, a file system, and other device kernels by a processor, which is a system call interface (SCI) 326. We will create a, and have an integrated parallel delivery scheme.

이 시스템 호출 인터페이스(326)은 커널(Kernel)의 파일 서브 시스템(328), 프로세스 제어 서브 시스템(338)과 독립환경 드라이버(324)의 개념적 전달자 및 가상테이블로서의 역할을 수행한다.This system call interface 326 serves as a conceptual bearer and virtual table for the kernel's file subsystem 328, process control subsystem 338, and independent environment driver 324.

한편, 네트워크 관리 모듈(320)은 내외부망을 분리하고 격리시키면서, 내부망의 그룹자원을 생성하고 인가자 구분을 제어, 관리한다.On the other hand, the network management module 320 separates and isolates the internal and external networks, generates group resources of the internal network, and controls and manages the classification of authorized persons.

그리고, 파일 시스템 모듈/필터 드라이버(322)는 두개의 차단된 독립 환경인 일반적 공용환경(The Public Independent Environment)과 제한적 비밀환경(The Secured Independent Environment)에 분리하고, 각종 애플리케이션에 대한 필터링 역활을 하는 매개체의 중간자 역할을 수행한다.In addition, the file system module / filter driver 322 is separated into two blocked independent environments, the Public Independent Environment and the Secured Independent Environment, and performs a filtering role for various applications. It acts as an intermediary for the medium.

한편, 이와 같은 이원화된 독립 환경을 사용 측면에서 보면 두개의 독립 환경인 공용환경(The Public Independent Environment:HDD1)과 제한된 비밀환경(The Secured Independent Environment:HDD2)의 관계는 격리되어 존재하며, 오픈 환경에서는 인터넷, 이메일, 게임, 커뮤니케이션 등 각종 엔터테이먼트와 오피스, 기타개발, 공용업무 등 공용업무를 제한없는 환경(일반적인 PC사용)에서 사용하며, 외부와의 접속이 자유롭다.On the other hand, in terms of using such a dual independent environment, the relationship between the two independent environments, The Public Independent Environment (HDD1) and The Secured Independent Environment (HDD2), is isolated and is open. In the Internet, e-mail, games, communication, various entertainment, office, other development, common work, such as common work is used in an unlimited environment (generally using a PC) and access to the outside is free.

이와 같은 모든 행위는 비밀환경에서 공유할 수 없으며, 비밀환경에서도 역으로 오픈환경으로의 공유가 제한되어 있다.All of these activities cannot be shared in a secret environment, and conversely, sharing in an open environment is restricted.

독립적인 작업환경을 수행하기 위해서는 2개의 작업환경이 필요하고 각각의 운영체제와 애플리케이션 프로그램들을 설치하고 병행해야 한다.To run an independent work environment, two work environments are required and each operating system and application programs must be installed and run in parallel.

그럴 경우 두번의 설치작업과 2개분량의 소프트웨어적인 라이센스가 필요하다. 사용자측면에서 불편하고 관리적 효율성이 떨어지게 된다.This requires two installations and two software licenses. It is inconvenient in terms of users and inferior in management efficiency.

그래서 여기에서는 독립 환경 시스템은 하나의 운영체제의 커널(Kernel)상에서 두개의 환경을 물리적 시스템에 맞게 분리해주고, 그 각 환경들에게 독립적인 작업공간을 주게된다. 즉 하나의 운영체제이지만 독립적 운영체제의 방식으로 진행된다.So here, an independent environment system separates two environments into physical systems on the kernel of one operating system, giving each of them an independent workspace. In other words, it is a single operating system, but in an independent operating system.

그 방식에서 독립환경시스템은 분리된 내.외부망과 두개의 환경의 제한적 차단과 규칙범위를 정해야 한다. 즉, 각 환경에서 진행된 애플리케이션이나 공통적으로 사용되는 운영체제의 실행 프로세스들은, 수행 프로세스들과 비수행 프로세스들의 순차적인 스케줄러가 필요한 것이다.In that way, the independent environment system should define the limited interception and rule coverage of the separate internal and external networks and the two environments. That is, execution processes of an application or a commonly used operating system in each environment require a sequential scheduler of execution processes and non-execution processes.

수행되는 프로세스와 비수행 프로세스의 차단에 의해 한 개의 운영체제를 공용해서 사용하면서도, 각각의 독립적 프로세스가 기타 접근의 절대적 차단을 통제해주고, 비밀환경(The Secured Independent Environment:HDD2)에 대한 독립적이고 폐쇠된 절대환경을 유지해 줄 수 있는 것이다.The use of one operating system in common by the blocking of running and non-executing processes, while each independent process controls the absolute blocking of other access, is independent and closed to the Secured Independent Environment (HDD2). You can maintain an absolute environment.

도4는 본 발명의 일실시예에 따른 독립 환경 시스템의 프로세스 커널(Process Kernel)을 수행하고 이를 수행하는 순차적 개념을 보여주는 예시도이다.4 is an exemplary diagram illustrating a sequential concept of performing a process kernel of an independent environment system and performing the same according to an embodiment of the present invention.

독립 환경 시스템의 프로세스 런 제어 서브시스템(410)은 각 프로세 스(Process)들(401~404)의 프로세스를 인식하고 식별자를 부여하고 제어 하기위하여 새로운 프로세스를 위한 프로세스 테이블 항목을 할당하고 자식프로세스에게 고유한 ID를 부여한다.The process run control subsystem 410 of the independent environment system allocates process table entries for new processes and assigns child processes to recognize, assign, and control the processes of each of the processes 401-404. Give it a unique ID.

또한 프로세스 런 제어 서브시스템(410)은 부모 프로세스의 내용을 복사해서 관련된 파일 테이블과 inode테이블 카운터를 증가한다. 새로운 프로세스들은 서브개념으로 종속시키고 새 프로세스들은 예전의 프로세스를 복제하면서 생성된다.Process run control subsystem 410 also copies the contents of the parent process to increment the associated file table and inode table counters. New processes depend on subconcepts and new processes are created by duplicating the old process.

이때 스케쥴러가 자신을 선택하여 실행하길 기다리는 새로운 프로세스가 있게 되는데, 새로운 자료구조가 자료 식별자를 만들게 되고, 부모 프로세스로서 식별자를 종속시키게 하게 된다.There is a new process waiting for the scheduler to choose and execute itself. The new data structure creates a data identifier, which in turn makes the identifier dependent as the parent process.

두개의 환경을 분리하고 제한적 사용권한을 가지는 비밀환경으로서 권한부여와 애플리케이션 프로그램들의 제어를 위해서 커널내의 프로세스들의 자원(프로세스의 파일들, 시그널 핸들러와 가상메모리)를 공유하도록 하는데, 이를위해선 자원을 공유할 때 카운트값을 증가시켜 여러 개의 프로세스 모두가 자원사용을 마치기전에 할당을 해제하지 못하도록 제어하면 된다.It is a secret environment that separates the two environments and has limited permission to share resources of processes (process files, signal handlers and virtual memory) in the kernel for authorization and control of application programs. When you do this, you can increase the count value so that all processes do not deallocate the resource before it finishes using it.

복제된 프로세스와 가상 메모리를 공유할 때 프로세스의 struct은 원래 프로세스의 struct에 대한 포인터를 갖고 struct의 카운트값은 증가되어서 공유하고 있는 프로세스의 증폭량을 조절할 수 있다.When sharing virtual memory with a replicated process, the struct of the process has a pointer to the struct of the original process and the count of the struct is incremented to control the amount of amplification of the shared process.

또한 실행되는 애플리케이션 프로그램들과 기존 커널의 실행행위가 수행될 때, 새로운 오브젝트가 실행되거나(예를들어 불특성 바이러스 , 스파이웨어 등), 새로운 자식프로세스의 스택과 데이터 세그먼트(부모프로세스의 복사본)를 위한 메 모리 부족호출이 이루어 질 때 종속되어진 프로세서의 의한 fork 호출이 프로세스 및 파일시스템 등에 의한 호출로 이어지게 된다.Also, when running application programs and existing kernel executions, new objects can be executed (e.g., non-specific viruses, spyware, etc.), or new child processes stacks and data segments (parent copies) can be created. When the memory shortage call is made, the fork call by the dependent processor is followed by the call by the process and file system.

Add_to_runquese() runquese에 프로세스를 추가Add_to_runquese () Adds a process to runquese

Del_from_runquese() 사용권한을 가process가 정해지면 수행Del_from_runquese () executes when permission is granted

Move_last_runquese() 런큐 끝으로 프로세스를 이동Move_last_runquese () Moves a process to the end of the run queue

Move_first_runquese() 런큐 처음으로 프로세스를 이동Move_first_runquese () Moves the process to the first run queue

우선순위 프로세스 선택Select priority process

Sched() / Goodness() / Sys_nice()Sched () / Goodness () / Sys_nice ()

그에대한 시스템 호출 인터페이스(420)내의 Fork system call 수행이 가동되고 프로세스의 process.c 파일에 있는 fork() 가 호출되며, 이는 다시 do_fork()를 호출한다.Fork system call execution in the system call interface 420 is executed and fork () in the process.c file of the process is called, which in turn calls do_fork ().

do_fork()는 여러 자식프로세스들에게 호출하고 종속시키는 부모프로세스는 이 호출명령에 의하여 bindmt를 증가시키고 새로운 실행 프로세스들에 대한 종결 명령을 내린다.do_fork () calls and subordinates to multiple child processes, causing the parent process to increment bindmt by this invocation command and terminate the new running processes.

새로운 프로세스들은 종결시 새로운 자식프로세스들을 만들게 되는데, 이때 오픈환경에 생성된 기록들은 비밀환경으로 전달되고 비밀환경에서의 해당되는 정보를 종결시킨다.When new processes terminate, they create new child processes, where records created in the open environment are transferred to the secret environment and terminate the corresponding information in the secret environment.

종결정보에는 copy_thead와 copy_file, cppy_fs등의 내용이 전달되는데 이부분이 새로운 프로세스(바이러스나 스파이웨어의 자식프로세스)의 행동문맥과 초기 프로세스의 스택과 데이터 세그먼트, 파일시스템 설정변경의 기록 등이다.The final report contains the contents of copy_thead, copy_file, cppy_fs, etc. This is the context of the behavior of the new process (child of the virus or spyware), the stack and data segment of the initial process, and the recording of the file system configuration changes.

비밀환경에서는 그부분에 대한 종결정보를 읽고 해당 프로세스의 사용에 대한 차단을 결정짓는것이다.In a secret environment, you read the final decision on that part and decide to block the use of that process.

Error Handling이 발생되어 불특성 프로그램의 실행으로 프로세스의 접근이 발견됐을때 호출되는 상황 Called when an error handling occurs and a process access is found due to execution of an unspecified program.

- 비밀환경에서 정해진 애플리케이션 프로그램의 사용 규칙에 어긋날 때-If you violate the usage rules of the application program in the secret environment

- 메모리가 프로세스의 task struct의 할당을 사용하지 못할 때When memory cannot use the allocation of a process's task struct

- 부모프로세스의 스택과 데이터 세그먼트를 복사할 때 에러가 발생하는 경우An error occurs when copying the stack and data segment of the parent process.

중단된 프로세스를 깨움. 프로세스 상태를 Task Running해주고, Ready 상태의 리스트에 추가 Wake_up_process() 모든 프로세스는 사용자모드 또는 시스템모드에서 실행된다.Wake aborted process. Task running the process state and adding it to the list of ready states. Wake_up_process () All processes run in user mode or system mode.

사용자모드는 시스템모드에 비하여 훨씬 적은 권한을 가지고 있다. 모든 프로세스는 각각 어떤 시스템 이벤트가 발생하기를 기다려야만 할 때 시스템모드에서 그개념이 발생한다. 프로세스들은 파일을 읽고 열기위하여 라이브러리 함수를 사용하며, 이를 위하여 차례로 실행된 파일을 읽는 시스템콜을 호출한다.User mode has much less privileges than system mode. Every concept takes place in system mode when each has to wait for some system event to occur. Processes use library functions to read and open files, and to do this, call system calls that read the file in turn.

이 경우 전 프로세스는 일시 중단되고 다른 실행가능한 프로세스가 선택되어 실행된다.In this case, the entire process is suspended and another executable process is selected and executed.

방대하지만 이경우에 대한 중간 종결기록이 전송값을 가지고 정해진 규칙함수에 그 스케줄을 기록하게 되는데 중단중인 프로세스와 샐행되는 프로세스의 기본 규칙에서 어긋나는 수행이 이루어졌을 때 그 내역에대한 호출을 이루어지게되며 제어와 차단의 관리가 정해진다.In this case, the intermediate termination record for this case is recorded with the transfer value, and the schedule is recorded in the defined rule function. When the execution is executed that is inconsistent with the basic rules of the suspended process and the executed process, a call is made to the details. The management of and blocking is determined.

이때 이러한 기존 OS(Operating System)환경에서의 수행되는 커널내의 프로세스들의 규칙을 복사하고 그 규칙의 어긋난 수행들을 읽기위한 스케줄러(scheduler)가 필요하며 이러한 스케줄러(scheduler)의 실행이 두개의 가상의 환경에서의 제어, 차단 등의 관리가 이루어 진다. At this time, a scheduler is needed to copy the rules of processes in the kernel that are executed in the existing operating system (OS) environment and read the erroneous executions of the rules, and the execution of these schedulers is performed in two virtual environments. Control, blocking, etc. are managed.

이러한 외부접속이나 내부의 데이터 전송을 위해 두개의 환경에 의해 내.외부망이 구분되어지고, 외부망을 쓰는 오픈환경과 내부망을 쓰는 비밀환경의 방화벽 개념도 틀려지게 된다.The internal and external networks are separated by two environments for such external access or internal data transfer, and the concept of firewalls of open environment using external network and secret environment using internal network is also wrong.

외부망을 접속하는 오픈환경은 IPS(Intrusion Prevention System)에 의해 기본적 감지를 하게되고 차단명령과 그 기록이 남겨지게 되는데, 내부망의 비밀환경은 그 결과에 따른 기록이 남겨지게 되고 그에따른 대응 DB도 달라 지게된다.The open environment connecting the external network is basically detected by the Intrusion Prevention System (IPS) and the blocking command and its record are left.The secret environment of the internal network is left as a result and the corresponding DB Will also be different.

외부로부터 비인가된 접근이 이루어졌을경우 내부망에 의한 비밀환경으로의 접근은 아예불가하며, 오픈환경으로 접근되어지고 또한 오픈환경에서 감지되고 차단되며, 이미 침투되었다고 하더라도 내부망의 비밀환경은 격리된 상태로 존재한다.If unauthorized access is made from the outside, access to the secret environment by the internal network is not possible at all, and access to the open environment is also detected and blocked in the open environment. Exists in a state.

비밀환경의 내부망에서는 그룹 인가자를 생성할 수 있으며, 그에따른 인가된 내부망내에서 이루어지는 모든 접속, 전송 등의 수행은 IP필터링 모듈을 통한 관리을 받게된다.In the internal network of the secret environment, a group authorizer can be created, and all accesses and transmissions performed in the authorized internal network are managed through the IP filtering module.

내부 인가자를 통한 접근 역시 정해진 규칙에서 어긋날경우 바로 차단되어 약속된 내부 인가자와의 내부망 접속역시 통제관리 할 수 있다.Access via internal licensors can also be blocked immediately if they deviate from the established rules, so that access to the internal network with the promised internal licensors can also be controlled.

즉, 차단된 그룹 인가자와의 본 발명엔진에 의한 규칙배열 필터링 모듈로 데이터의 전송및 접근이 관리 된다.That is, the transmission and access of data are managed by the rule array filtering module by the present invention engine with the blocked group authorizer.

도 5는 본 발명에 따른 독립 환경 시스템의 프로세스 런 제어 서브시스템의 독립환경간의 제어와 차단을 설명하기 위한 흐름도이다.5 is a flowchart illustrating control and interruption between the independent environments of the process run control subsystem of the independent environment system according to the present invention.

도 5를 참조하면 독립 환경 시스템의 프로세서 런 제어 서브시스템은 먼저 프로세스 규칙을 배열한다(단계 S110).Referring to FIG. 5, the processor run control subsystem of the independent environment system first arranges process rules (step S110).

이후에, 프로세서 런 제어 서브시스템은 프로세스 스케줄러 규칙을 생성하고(단계 S112), 규칙에 어긋나는 프로세스를 발견하면(단계 S114), 기존 부모프로세스에게 합당한지를 판단한다(단계 S116).Thereafter, the processor run control subsystem generates a process scheduler rule (step S112), and if it finds a process that violates the rule (step S114), it determines whether it is suitable for the existing parent process (step S116).

판단 결과, 기존 부모프로세스에게 합당하면 부모 프로세스를 호출한 후에 복사 프로세스가 합당한지를 판단한다(단계 S124).As a result of the determination, if it is appropriate to the existing parent process, it is determined whether the copy process is appropriate after calling the parent process (step S124).

판단 결과 합당하면 카운트값을 증가시킨 후에(단계 S126), 새로운 스케쥴러를 수행하거나 비수행하여 적용한다(단계 S128).If the determination result is correct, the count value is increased (step S126), and then a new scheduler is executed or not performed (step S128).

한편, 판단 결과, 기존 부모 프로세스에게 합당하지 않으면 시스템콜을 호출하고(단계 S118), 격리수용하거나 새로운 규칙을 생성한다(단계 S120).On the other hand, as a result of the determination, if it is not suitable for the existing parent process, the system call is called (step S118), and it is isolated or generates a new rule (step S120).

이후에, 부모 프로세스를 호출한 후에 복사 프로세스가 합당한지를 판단한다(단계 S124).Thereafter, after calling the parent process, it is determined whether the copying process is appropriate (step S124).

판단 결과 합당하면 카운트값을 증가시킨 후에(단계 S126), 새로운 스케쥴러를 수행하거나 비수행하여 적용한다(단계 S128).If the determination result is correct, the count value is increased (step S126), and then a new scheduler is executed or not performed (step S128).

도 6은 본 발명에 따른 독립 환경 시스템의 시스템 호출 인터페이스를 통한 커널 제어 과정을 보여주는 도면이다.6 is a diagram illustrating a kernel control process through a system call interface of an independent environment system according to the present invention.

도 6을 참조하면 독립 환경 시스템은 시스템 호출 인터페이스를 통하여 커널 APC에 전달하는 입출입 처리를 일시적으로 중단시킨다(단계 S210).Referring to FIG. 6, the independent environment system temporarily stops the entry / exit process delivered to the kernel APC through the system call interface (step S210).

그리고, 독립 환경 시스템은 시스템 호출 인터페이스를 통하여 레지스트리 정보를 후킹하며(단계 S212), 새로운 레지스트를 추가한다(단계 S214).The independent environment system hooks the registry information through the system call interface (step S212) and adds a new register (step S214).

이후에, 독립환경 시스템은 시스템 호출 인터페이스를 통하여 유출 레지스트리를 변경삭제하고(단계 S216), 중단된 입출입 처리를 재개한다(단계 S218).Thereafter, the independent environment system changes and deletes the outflow registry through the system call interface (step S216), and resumes the interrupted entry / exit process (step S218).

도 1 은 본 발명의 일실시예에 따른 이원화된 독립적 환경을 통한 내외부망 분리 장치의 구성도이다.1 is a block diagram of an internal and external network separation apparatus through a dual independent environment according to an embodiment of the present invention.

도 2a는 종래 기술에 따른 애플리케이션과 운영체제의 연결 관계를 보여주는 개념도이고, 도 2b는 본 발명의 일실시예에 따른 일반적 공용환경에서 독립 환경 시스템을 이용한 애플리케이션과 운영체제의 연결 관계를 보여주는 개념도이고, 도 2c는 본 발명의 일실시예에 따른 제한적 비밀환경에서 독립 환경 시스템을 이용한 애플리케이션과 운영체제의 연결 관계를 보여주는 개념도이다.2A is a conceptual diagram illustrating a connection relationship between an application and an operating system according to the prior art, and FIG. 2B is a conceptual diagram illustrating a connection relationship between an application and an operating system using an independent environment system in a general common environment according to an embodiment of the present invention. 2c is a conceptual diagram illustrating a connection relationship between an application and an operating system using an independent environment system in a restricted secret environment according to an embodiment of the present invention.

도 3은 본 발명의 이원화된 독립적 환경을 통한 내외부망 분리 장치의 내부 블럭 구성도이다.Figure 3 is a block diagram of the internal and external network separation apparatus through a dual independent environment of the present invention.

도4는 본 발명의 일실시예에 따른 독립 환경 시스템의 프로세스 커널(Process Kernel)을 수행하고 이를 수행하는 순차적 개념을 보여주는 예시도이다.4 is an exemplary diagram illustrating a sequential concept of performing a process kernel of an independent environment system and performing the same according to an embodiment of the present invention.

도 5는 본 발명에 따른 독립 환경 시스템의 프로세스 런 제어 서브시스템의 독립환경간의 제어와 차단을 설명하기 위한 흐름도이다.5 is a flowchart illustrating control and interruption between the independent environments of the process run control subsystem of the independent environment system according to the present invention.

Claims (10)

분리되어 있으며 분리된 하나는 일반적 공용 환경에 제공되고 다른 하나는 제한적 비밀환경에 제공되는 하드디스크 드라이브;A hard disk drive that is separate and separate, provided in a general public environment, and in a restricted secret environment; 상기 하드디스크 드라이브의 컴퓨터 하드웨어의 접속을 지원하는 커널(Kernel)을 포함하고 있으며, 상기 커널을 제어하여 분리된 상기 하드 디스크 드라이브를 안정적이고 완벽하게 분리해서 2개의 작업환경과 2개의 망을 격리시킬 수 있도록 하는 운영체제; 및 It includes a kernel (Kernel) to support the connection of the computer hardware of the hard disk drive, and to control the kernel to separate and separate the hard disk drive stable and completely separate the two working environment and two networks An operating system to enable; And 일반적 공용 환경에 제공되는 분리된 하나의 상기 하드디스크 드라이브를 외부 인터넷망과 상기 운영 체제에 접속되도록 하며, 제한적 비밀환경에 제공되는 분리된 다른 하나의 상기 하드디스크 드라이브를 내부망 네트워크와 상기 운영 체제에 접속되도록 하는 이원화된 독립 환경 시스템을 포함하여 이루어진 이원화된 독립적 환경을 통한 내외부망 분리 장치.The separate hard disk drive provided in a general public environment is connected to an external Internet network and the operating system, and the separate separate hard disk drive provided in a limited secret environment is connected to an internal network network and the operating system. Internal and external network separation devices through a dual independent environment, including a dual independent environment system to be connected to. 제 1 항에 있어서,The method of claim 1, 상기 하드디스크 드라이브는 가상적으로 분리되어 있는 것을 특징으로 하는 이원화된 독립적 환경을 통한 내외부망 분리 장치. The internal and external network separation apparatus through a dual independent environment, characterized in that the hard disk drive is virtually separated. 제 1 항에 있어서,The method of claim 1, 상기 하드디스크 드라이브는 물리적으로 분리되어 있는 것을 특징으로 하는 이원화된 독립적 환경을 통한 내외부망 분리 장치. The internal and external network separation apparatus through a dual independent environment, characterized in that the hard disk drive is physically separated. 제 1 항에 있어서,The method of claim 1, 상기 이원화된 독립 환경 시스템은, The dual independent environment system, 내외부망을 분리하고 격리시키면서, 내부망의 그룹자원을 생성하고 인가자 구분을 제어, 관리하는 네트워크 관리 모듈; A network management module for generating a group resource of the internal network and controlling and managing the division of licensers while separating and isolating the internal and external networks; 두개의 차단된 독립 환경인 일반적 공용환경(The Public Independent Environment)과 제한적 비밀환경(The Secured Independent Environment)에 분리하고, 각종 애플리케이션에 대한 필터링 역활을 하는 파일시스템 모듈/필터 드라이버; 및 A file system module / filter driver that separates two blocked independent environments, The Public Independent Environment and The Secured Independent Environment, and acts as a filter for various applications; And 프로세서에 의한 관리 프로세스와 메모리, 파일시스템, 기타 디바이스 커널(Kernel)을 제어하고 후킹(hooking)하도록 하는 독립 환경 드라이버를 포함하여 이루어진 이원화된 독립적 환경을 통한 내외부망 분리 장치.Device that separates internal and external networks through a dual independent environment including a processor-managed process, and an independent environment driver that controls and hooks memory, filesystems, and other device kernels. 제 4 항에 있어서, The method of claim 4, wherein 상기 독립 환경 드라이버는 상기 운영체제에 프로세서에 의한 관리 프로세스 와 메모리, 파일시스템, 기타 디바이스 커널(Kernel)을 제어하고 후킹(hooking)하도록 하는 시스템 호출 인터페이스(SCI:System CallInterface)를 생성하고, 통합적 병렬 전달 체계를 가지도록 하는 것을 특징으로 하는 이원화된 독립적 환경을 통한 내외부망 분리 장치.The independent environment driver generates a system call interface (SCI: System CallInterface) for controlling and hooking a processor-managed process, memory, file system, and other device kernels to the operating system, and integrated parallel transfer. Internal and external network separation device through a dual independent environment characterized in that it has a system. 제 5 항에 있어서, The method of claim 5, wherein 상기 독립 환경 드라이버는 프로세스를 복사하고 테이블을 생성하며 카운트를 증가시키고 가상 메모리를 할당하는 이원화된 독립적 환경을 통한 내외부망 분리 장치.The independent environment driver copies the process, creates a table, increments a count, and allocates virtual memory. 독립 환경 시스템의 프로세서 런 제어 서브시스템은 프로세스 규칙에 의해 규칙에 어긋난 프로세스를 발견하는 제1 단계;The processor run control subsystem of the independent environment system may include a first step of detecting a process that is out of compliance by the process rule; 상기 프로세서 런 제어 서브시스템은 기존 부모프로세스에게 합당한지를 판단하여 합당하면 부모프로세스를 호출하고, 합당하지 않으면 격리수용하거나 새로운 규칙을 생성한 후에 부호 프로세스를 호출하는 제2 단계; 및A second step of the processor run control subsystem determining whether it is suitable for an existing parent process and calling the parent process if it is appropriate, and if not, calling the sign process after accepting or generating a new rule; And 상기 프로세서 런 제어 서브시스템이 복사 프로세스가 합당한지를 판단하여 합당하면 카운트 값을 증가시킨 후에 새로운 스케쥴러를 구동하고 합당하지 않으면 카운트값의 증가없이 스케쥴러를 구동하는 제3 단계를 포함하여 이루어진 이원화된 독립적 환경을 통한 내외부망 분리 장치의 제어방법.And a third step of the processor run control subsystem determining whether the copying process is reasonable and starting a new scheduler after increasing the count value if it is reasonable and driving the scheduler without increasing the count value if it is not. Control method of internal and external network separation device through. 제 7 항에 있어서,The method of claim 7, wherein 상기 제 1 단계는,The first step is, 상기 독립 환경 시스템의 프로세서 런 제어 서브시스템은 프로세스 규칙을 배열하는 단계;A processor run control subsystem of the independent environment system, arranging process rules; 상기 프로세서 런 제어 서브시스템은 프로세스 스케줄러 규칙을 생성하는 단계; 및The processor run control subsystem generating a process scheduler rule; And 상기 프로세서 런 제어 서브시스템이 규칙에 어긋나는 프로세스를 발견하는 단계를 포함하여 이루어진 이원화된 독립적 환경을 통한 내외부망 분리 장치의 제어방법.And detecting, by the processor run control subsystem, a process that violates the rules. 제 7 항에 있어서,The method of claim 7, wherein 상기 제 2 단계는, The second step, 상기 프로세서 런 제어 서브시스템은 기존 부모프로세스에 합당한지를 판단하는 단계; Determining, by the processor run control subsystem, whether the existing parent process is appropriate; 판단 결과 합당하면 부모 프로세스를 호출하는 단계; 및Invoking the parent process if it is reasonable; And 판단 결과 합당하지 않으면 시스템콜을 호출한 후에 격리 수용하거나 새로운 규칙을 생성한 후에 부모 프로세스를 호출하는 단계를 포함하여 이루어진 이원화된 독립적 환경을 통한 내외부망 분리 장치의 제어방법.If not determined, the control method of the internal and external network separation device through a dual independent environment, comprising the step of calling the parent process after receiving the system call or creating a new rule after calling the system call. 제 7 항에 있어서,The method of claim 7, wherein 상기 제 3 단계는, The third step, 상기 프로세서 런 제어 서브시스템이 복사 프로세스가 합당한지를 판단하는 단계;Determining, by the processor run control subsystem, whether a copy process is reasonable; 상기 프로세서 런 제어 서브 시스템은 복사 프로세스가 합당한지를 판단하여 합당하면 카운트 값을 증가시킨 후에 새로운 스케쥴러를 구동하는 단계; 및 Determining, by the processor run control subsystem, that the copying process is reasonable; if so, driving the new scheduler after increasing the count value; And 상기 프로세서 런 제어 서브 시스템은 복사 프로세스가 합당하면 새로운 스케쥴러를 수행하는 단계를 포함하여 이루어진 이원화된 독립적 환경을 통한 내외부망 분리 장치의 제어방법.And the processor run control subsystem includes executing a new scheduler if the copying process is reasonable.
KR1020070091878A 2007-09-11 2007-09-11 Separator of the internal/external network throughout the dual indepentent environment and th controlling method thereof KR100919643B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020070091878A KR100919643B1 (en) 2007-09-11 2007-09-11 Separator of the internal/external network throughout the dual indepentent environment and th controlling method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070091878A KR100919643B1 (en) 2007-09-11 2007-09-11 Separator of the internal/external network throughout the dual indepentent environment and th controlling method thereof

Publications (2)

Publication Number Publication Date
KR20090026846A true KR20090026846A (en) 2009-03-16
KR100919643B1 KR100919643B1 (en) 2009-09-30

Family

ID=40694646

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070091878A KR100919643B1 (en) 2007-09-11 2007-09-11 Separator of the internal/external network throughout the dual indepentent environment and th controlling method thereof

Country Status (1)

Country Link
KR (1) KR100919643B1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101662162B1 (en) * 2016-03-18 2016-10-10 주식회사 블랙포트시큐리티 User action detecting method for backtracking of infection way of vicious code
US9503420B2 (en) 2013-04-09 2016-11-22 Electronics And Telecommunications Research Institute Logical network separation method and apparatus
WO2017018719A1 (en) * 2015-07-27 2017-02-02 삼성전자 주식회사 Security network system and data processing method therefor

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101216581B1 (en) * 2012-04-05 2012-12-31 ㈜ 엘케이컴즈 Security system using dual os and method thereof
KR101255748B1 (en) 2012-08-29 2013-04-17 주식회사 컴트리 Network switching terminal
KR101437455B1 (en) 2013-11-26 2014-09-05 대한민국 Virtual bidding system and method for providing virtual bidding service based on cloud
KR101646223B1 (en) 2014-05-07 2016-08-05 주식회사 다나와컴퓨터 A Computer with Network Selecting Function and Its Method for Network Activation

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR200193570Y1 (en) * 2000-03-22 2000-08-16 이재천 Computer network switching device with dual hard disk
US7447896B2 (en) * 2005-12-12 2008-11-04 Microsoft Corporation OS mini-boot for running multiple environments

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9503420B2 (en) 2013-04-09 2016-11-22 Electronics And Telecommunications Research Institute Logical network separation method and apparatus
WO2017018719A1 (en) * 2015-07-27 2017-02-02 삼성전자 주식회사 Security network system and data processing method therefor
KR20170012957A (en) * 2015-07-27 2017-02-06 삼성전자주식회사 system for secure network and data processing method thereof
US10637827B2 (en) 2015-07-27 2020-04-28 Samsung Electronics Co., Ltd. Security network system and data processing method therefor
KR101662162B1 (en) * 2016-03-18 2016-10-10 주식회사 블랙포트시큐리티 User action detecting method for backtracking of infection way of vicious code

Also Published As

Publication number Publication date
KR100919643B1 (en) 2009-09-30

Similar Documents

Publication Publication Date Title
EP3430556B1 (en) System and method for process hollowing detection
Ta-Min et al. Splitting interfaces: Making trust between applications and operating systems configurable
US9424430B2 (en) Method and system for defending security application in a user's computer
US5361359A (en) System and method for controlling the use of a computer
US7765544B2 (en) Method, apparatus and system for improving security in a virtual machine host
US20110239306A1 (en) Data leak protection application
US7263718B2 (en) Security framework for supporting kernel-based hypervisors within a computing system
TWI475388B (en) Protection agents and privilege modes
US20070245334A1 (en) Methods, media and systems for maintaining execution of a software process
US10325116B2 (en) Dynamic privilege management in a computer system
US20150212842A1 (en) On-demand disposable virtual work system
US20110030045A1 (en) Methods and Systems for Controlling Access to Resources and Privileges Per Process
US20070050369A1 (en) Accessing file under confinement
KR100919643B1 (en) Separator of the internal/external network throughout the dual indepentent environment and th controlling method thereof
WO2018212474A1 (en) Auxiliary memory having independent recovery area, and device applied with same
US9454652B2 (en) Computer security system and method
EP3753221B1 (en) System and method for monitoring effective control of a machine
US7979865B2 (en) Identifying separate threads executing within a single process
KR20210068444A (en) Techniques for controlling the installation of unauthorized drivers on computer systems
Çeliktaş The ransomware detection and prevention tool design by using signature and anomaly based detection methods
RU2460133C1 (en) System and method of protecting computer applications
Zhao et al. Virtual machine security systems
Wurster et al. A control point for reducing root abuse of file-system privileges
KR20090048293A (en) Apparatus and method of managing system resources of computer and processes
US20060047727A1 (en) Method of accessing a file for editing with an application having limited access permissions

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee