KR20220073550A - System For Blocks Users From Login In Before Specific Service Program Readying - Google Patents

System For Blocks Users From Login In Before Specific Service Program Readying Download PDF

Info

Publication number
KR20220073550A
KR20220073550A KR1020200161723A KR20200161723A KR20220073550A KR 20220073550 A KR20220073550 A KR 20220073550A KR 1020200161723 A KR1020200161723 A KR 1020200161723A KR 20200161723 A KR20200161723 A KR 20200161723A KR 20220073550 A KR20220073550 A KR 20220073550A
Authority
KR
South Korea
Prior art keywords
module
terminal
network
specific service
program
Prior art date
Application number
KR1020200161723A
Other languages
Korean (ko)
Inventor
신승환
김중한
Original Assignee
주식회사 이나시스템즈
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 이나시스템즈 filed Critical 주식회사 이나시스템즈
Priority to KR1020200161723A priority Critical patent/KR20220073550A/en
Publication of KR20220073550A publication Critical patent/KR20220073550A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/54Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by adding security routines or objects to programs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities

Abstract

본 발명은 제1통신망과 제2통신망에 선택적으로 연결되도록 하는 망분리 프로그램이 설치된 단말기에 설치된 특정 서비스 프로그램이 준비되기 전에 사용자의 로그인을 차단하는 시스템에 관한 것이다. 이와 같은 특정 서비스 프로그램이 준비되기 전에 사용자의 로그인을 차단하는 시스템은 단말기의 내부에 설치되어, 복수 개의 인증절차를 저장할 수 있는 크리뎐셜 프로바이더모듈; 단말기의 내부에 설치되어, 단말기에 전원이 인가되면 크리뎐셜 프로바이더모듈에 저장된 복수 개의 인증절차를 단말기로 출력시키고, 출력된 인증절차 중 어느 하나가 통과되고, 망분리 프로그램의 작동 준비가 완료되면 윈도우 로그인 화면을 출력시키고, 출력된 인증절차를 통과하지 못하거나, 망분리 프로그램이 준비가 완료되기 전이면, 윈도우 로그인 화면의 출력을 차단하는 프로바이더 필터모듈을 포함한다. The present invention relates to a system for blocking a user's login before a specific service program installed in a terminal installed with a network separation program for selectively connecting to a first communication network and a second communication network is prepared. The system for blocking a user's login before such a specific service program is prepared includes: a credential provider module that is installed inside the terminal and can store a plurality of authentication procedures; It is installed inside the terminal and outputs a plurality of authentication procedures stored in the credential provider module to the terminal when power is applied to the terminal. It outputs the window login screen and includes a provider filter module that blocks the output of the window login screen if it does not pass the output authentication procedure or if the network separation program is ready before completion.

Description

특정 서비스 프로그램이 준비되기 전에 사용자의 로그인을 차단하는 시스템{System For Blocks Users From Login In Before Specific Service Program Readying}{System For Blocks Users From Login In Before Specific Service Program Readying}

본 발명은 원도우 운영체제로 구동되는 컴퓨터에서 특정 서비스 프로그램이 준비되기 전에 사용자의 로그인을 막기 위한 시스템과 관련된 기술이다.The present invention is a technology related to a system for preventing a user from logging in before a specific service program is prepared in a computer running on a Windows operating system.

사회가 아날로그 사회에서 디지털 사회로 전환되면서, 컴퓨터로 처리되는 일이 많아지고 있다. 많은 사람들이 자신만이 사용하는 컴퓨터를 가지고 업무를 처리한다.As society shifts from an analog society to a digital society, more and more things are being processed by computers. Many people work with computers that only they use.

많은 사람들은 자신이 사용하는 컴퓨터에 타인이 로그인을 하지 못하도록 비밀번호를 설정해 두고 자신만이 사용할 수 있도록 하며 데이터가 유출되지 않도록 한다. 아울러, 많은 사람들은 컴퓨터에 망간 자료 전송 솔루션 프로그램(Secure Gate Service)을 설치하여 사내망 및 외부망의 접속에 따라 접속 가능한 폴더를 서로 다르게 하여, 외부망에 연결되었을 시 사내망에서 사용되는 폴더에 접근하지 못하도록 하고 있다.Many people set a password to prevent others from logging into their computer, allow only them to use it, and prevent data leakage. In addition, many people install a manganese data transfer solution program (Secure Gate Service) on their computer to set different accessible folders depending on the connection between the internal network and the external network, so that when connected to an external network, the folder used in the internal network is stored in the folder. preventing access.

이를 통해, 외부망을 통한 데이터 유출 및 외부망을 통해 악성코드가 유입되어 사내망 연결 시 사용되는 폴더가 감염되지 않도록 한다.This prevents data leakage through external networks and malicious codes from entering through external networks to infect the folders used when connecting to the internal network.

그러나, 이러한 망간 자료 전송 솔루션 프로그램이 구동되기 전에는 사용자가 외부망을 통해 로그인 되더라도, 사내망을 통해 접근해야 하는 폴더에 접근할 수 있게 되어, 자료 유출이 가능하게 된다.However, before such a network data transmission solution program is run, even if a user logs in through an external network, he or she can access a folder that needs to be accessed through the internal network, making data leakage possible.

즉, 망간 자료 전송 솔루션 프로그램 만으로는 망간 자료 유출을 완전하게 차단할 수 없는 문제가 있다.In other words, there is a problem that the leakage of manganese data cannot be completely blocked by the manganese data transmission solution program alone.

대한민국 등록특허 제10-2094315호 (2020년 03월 23일)Republic of Korea Patent Registration No. 10-2094315 (March 23, 2020)

본 발명은 망간 자료 전송 솔루션 프로그램 즉, 망분리 시스템이 구동되기 전에 사용자가 외부망을 통해 로그인 되더라도, 사내망을 통해 접근해야 하는 폴더에 접근할 수 있게 됨으로써 발생되는 문제를 해결하고자 한다.An object of the present invention is to solve a problem caused by being able to access a folder to be accessed through the internal network even if the user logs in through the external network before the network data transmission solution program, that is, the network separation system is operated.

본 발명이 해결하고자 하는 과제는 이상에서 언급한 과제들로 제한되지 않으며, 언급되지 않은 또 다른 기술적 과제들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.The problem to be solved by the present invention is not limited to the problems mentioned above, and other technical problems not mentioned will be clearly understood by those skilled in the art from the following description.

상기 기술적 과제를 달성하기 위한 본 발명의 특정 서비스 프로그램이 준비되기 전에 사용자의 로그인을 차단하는 시스템은,The system for blocking the login of the user before the specific service program of the present invention is prepared for achieving the above technical problem,

제1통신망과 제2통신망에 선택적으로 연결되도록 하는 망분리 프로그램이 설치된 단말기에 설치된 특정 서비스 프로그램이 준비되기 전에 사용자의 로그인을 차단하는 시스템에 있어서,In the system for blocking a user's login before a specific service program installed in a terminal installed with a network separation program for selectively connecting to a first communication network and a second communication network is prepared,

단말기의 내부에 설치되어, 복수 개의 인증절차를 저장할 수 있는 크리뎐셜 프로바이더모듈;a credential provider module installed inside the terminal and capable of storing a plurality of authentication procedures;

단말기의 내부에 설치되어, 단말기에 전원이 인가되면 크리뎐셜 프로바이더모듈에 저장된 복수 개의 인증절차를 단말기로 출력시키고 출력된 인증절차 중 어느 하나가 통과되고, 망분리 프로그램의 작동 준비가 완료되면 윈도우 로그인 화면을 출력시키고,Installed inside the terminal, when power is applied to the terminal, a plurality of authentication procedures stored in the credential provider module are output to the terminal, and when any one of the output authentication procedures is passed, and the network separation program is ready for operation, a window Display the login screen,

출력된 인증절차를 통과하지 못하거나, 망분리 프로그램이 준비가 완료되기 전이면, 윈도우 로그인 화면의 출력을 차단하는 프로바이더 필터모듈을 포함한다.It includes a provider filter module that blocks the output of the window login screen if it does not pass the output authentication procedure or before the network separation program is ready.

프로바이더 필터모듈은,The provider filter module is

망분리 프로그램의 작동 준비를 파악하여, 망분리 프로그램의 작동 준비가 완료되고 복수 개의 인증절차 중 적어도 하나의 인증절차가 완료되면, 단말기로 윈도우 로그인 화면의 출력할 수 있다.By determining the operation preparation of the network separation program, when the operation preparation of the network separation program is completed and at least one authentication procedure among a plurality of authentication procedures is completed, a window login screen may be outputted to the terminal.

본 발명에 따른 특정 서비스 프로그램이 준비되기 전에 사용자의 로그인을 차단하는 시스템은 컴퓨터에 설치된 망간 자료 전송 솔루션 프로그램 즉, 망분리 시스템이 구동되기 전에 사용자가 운영체제 프로그램에 접근하지 않도록 함으로써, 망분리 시스템이 정상적으로 실행될 때까지 발생될 수 있는 자료유출이 일어나지 않도록 할 수 있다.The system for blocking a user's login before the specific service program according to the present invention is prepared prevents the user from accessing the operating system program before the network data transmission solution program installed in the computer, that is, the network separation system is operated, so that the network separation system is It can prevent data leakage that can occur until it is normally executed.

도 1은 본 발명의 일 실시예에 대한 특정 서비스 프로그램이 준비되기 전에 사용자의 로그인을 차단하는 시스템의 단말기에 대한 사시도이다.
도 2는 도 1의 특정 서비스 프로그램이 준비되기 전에 사용자의 로그인을 차단하는 시스템의 블록도이다.
도 3은 도 1의 특정 서비스 프로그램이 준비되기 전에 사용자의 로그인을 차단하는 시스템의 흐름도이다.
도 4는 도 1의 단말기가 제1통신망과 제2통신망에 선택적으로 연결될 수 있도록 하는 구성요소 간 관계도이다.
도 5 및 도 6은 도 1의 단말기가 제1통신망과 제2통신망에 선택적으로 연결되는 상태를 나타낸 도면이다.1 is a perspective view of a terminal of a system that blocks a user's login before a specific service program is prepared according to an embodiment of the present invention.
FIG. 2 is a block diagram of a system for blocking a user's login before the specific service program of FIG. 1 is prepared.
3 is a flowchart of a system for blocking a user's login before the specific service program of FIG. 1 is prepared.
4 is a diagram illustrating a relationship between components that enable the terminal of FIG. 1 to be selectively connected to a first communication network and a second communication network.
5 and 6 are diagrams illustrating a state in which the terminal of FIG. 1 is selectively connected to a first communication network and a second communication network.

본 발명의 이점 및 특징은 첨부되는 도면과 함께 상세하게 후술되어 명확하게 설명될 수 있다. 후술되는 내용 및 이하의 도면은 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이다. 이에, 후술되는 내용 및 이하에게 개시되는 본 발명의 다양한 실시예 중 하나의 예시일 뿐이다.Advantages and features of the present invention can be clearly described below in detail in conjunction with the accompanying drawings. The following descriptions and drawings are provided to fully inform those of ordinary skill in the art to which the present invention pertains to the scope of the invention. Accordingly, it is merely an example of various embodiments of the present invention disclosed below and the content to be described below.

따라서, 후술되는 내용 및 이하에게 개시되는 실시 예가 본 발명을 정의하고 있지 않다. 본 발명은 오로지 청구항에 의해 정의될 수 있다.Accordingly, the content to be described later and the embodiments disclosed below do not define the present invention. The invention can only be defined by the claims.

이하, 도 1 내지 도 6을 참조하여, 본 발명의 일 실시예에 따른 특정 서비스 프로그램이 준비되기 전에 사용자의 로그인을 차단하는 시스템에 대해 구체적으로 설명한다.Hereinafter, a system for blocking a user's login before a specific service program is prepared according to an embodiment of the present invention will be described in detail with reference to FIGS. 1 to 6 .

다만, 본 발명에 대한 설명이 간결하고 명확해질 수 있도록, 도 1 및 도 2를 참조하여 특정 서비스 프로그램이 준비되기 전에 사용자의 로그인을 차단하는 시스템에 대해 개괄적으로 설명한 후, 도 3을 참조하여, 특정 서비스 프로그램이 준비되기 전에 사용자의 로그인을 차단하는 시스템의 작동에 대해 구체적으로 설명한다.However, in order for the description of the present invention to be concise and clear, with reference to FIGS. 1 and 2, a system for blocking a user's login before a specific service program is prepared, after an overview of the system, with reference to FIG. 3, The operation of the system that blocks the user's login before a specific service program is ready will be described in detail.

이후, 도 4 내지 도 6을 참조하여, 제1통신망과 제2통신망에 선택적으로 연결되도록 하는 단말기 및 특정 서비스 프로그램에 대해 구체적으로 설명한다.Hereinafter, a terminal and a specific service program for selectively connecting to the first communication network and the second communication network will be described in detail with reference to FIGS. 4 to 6 .

도 1은 본 발명의 일 실시예에 대한 특정 서비스 프로그램이 준비되기 전에 사용자의 로그인을 차단하는 시스템의 단말기에 대한 사시도이고, 도 2는 도 1의 특정 서비스 프로그램이 준비되기 전에 사용자의 로그인을 차단하는 시스템의 블록도이다.1 is a perspective view of a terminal of a system that blocks a user's login before a specific service program is prepared for an embodiment of the present invention, and FIG. 2 is a perspective view of a user's login before the specific service program of FIG. 1 is prepared It is a block diagram of the system.

본 발명에 따른 특정 서비스 프로그램이 준비되기 전에 사용자의 로그인을 차단하는 시스템(1)은 단말기(10)에 설치된 망간 자료 전송 솔루션 프로그램 즉, 망분리 시스템이 정상적으로 실행되기 전까지 사용자가 운영체제 프로그램에 접근할 수 없도록 한다.The system 1, which blocks the user's login before the specific service program according to the present invention is prepared, allows the user to access the operating system program until the network data transmission solution program installed in the terminal 10, ie, the network separation system, is normally executed. make it impossible

이를 통해, 사용자가 운영체제에 접근할 수 없도록 하여 망분리 시스템이 정상적으로 실행되는 동안 자료유출이 일어나지 않도록 할 수 있다.Through this, it is possible to prevent data leakage while the network separation system is normally executed by preventing the user from accessing the operating system.

더욱이, 특정 서비스 프로그램이 준비되기 전에 사용자의 로그인을 차단하는 시스템(1)은 사용자가 여러 가지의 인증 방식 중 어느 하나의 인증 방식을 선택할 수 있도록 하며 사용자가 사용자의 상황에 적합한 방식을 통해 인증 절차를 진행할 수 있도록 하며, 인증절차에 대한 높은 편의성을 가질 수 있다.Furthermore, the system 1 that blocks the user's login before a specific service program is prepared allows the user to select any one authentication method among various authentication methods, and allows the user to select an authentication method through a method suitable for the user's situation. and can have high convenience in the authentication process.

이와 같은 특징을 나타내는 특정 서비스 프로그램이 준비되기 전에 사용자의 로그인을 차단하는 시스템(1)이 설치된 단말기(10)는 도 1에 도시된 바와 같이 모니터와 본체를 포함하는 컴퓨터가 될 수 있다. 이때, 단말기(10)는 제1통신망(410)과 제2통신망(420)에 선택적으로 연결될 수 있도록 하는 제1랜카드모듈(127), 제2랜카드모듈(128)을 포함하는 컴퓨터가 될 수 있다. 여기서, 단말기(10)는 윈도우 운영체제가 설치된 하드디스크, 전원이 인가되면 윈도우 운영체제를 부팅(Booting)시키는 중앙처리장치(CPU: Central Processing Unit) 및 RAM(Random Access Memory) 등을 포함할 수 있다.As shown in FIG. 1 , the terminal 10 in which the system 1 for blocking the user's login is installed before a specific service program exhibiting these characteristics is prepared may be a computer including a monitor and a main body. In this case, the terminal 10 may be a computer including a first LAN card module 127 and a second LAN card module 128 for selectively connecting to the first communication network 410 and the second communication network 420 . . Here, the terminal 10 may include a hard disk on which the Windows operating system is installed, a central processing unit (CPU) for booting the Windows operating system when power is applied, and a random access memory (RAM), and the like.

이와 같은 단말기(10)에는 망분리 프로그램과 망분리 프로그램이 실행되기까지 운영체제에 접근할 수 없도록 하는 프로그램이 설치된다. 이때, 망분리 프로그램은 단말기의 사용을 시작하는 단계에서 물리적 분리된 제1통신망 또는 제2통신망 중 어느 하나를 선택하여 사용할 수 있도록 한다. 특히, 망분리 프로그램은 제1통신망(410)이 연결될 때는 제2통신망(420)과 연결될 때 접근할 수 있는 제2폴더(B2) 및 제2폴더(B2)에 있는 데이터를 접근할 수 없도록 하고, 제2통신망(420)이 연결될 때는 제1통신망(410)과 연결될 때 접근할 수 있는 제1폴더(410) 및 제1폴더(410)에 있는 데이터에 접근할 수 없도록 한다.Such a terminal 10 is provided with a network separation program and a program for preventing access to the operating system until the network separation program is executed. In this case, the network separation program selects and uses either the physically separated first communication network or the second communication network at the stage of starting to use the terminal. In particular, the network separation program disables access to the data in the second folder B2 and the second folder B2 that can be accessed when the first communication network 410 is connected when the first communication network 410 is connected. , when the second communication network 420 is connected, the first folder 410 that can be accessed when the first communication network 410 is connected and data in the first folder 410 cannot be accessed.

이를 통해, 망분리 프로그램은 각 통신망과 연계되는 폴더에 각 통신망(410, 420)과 연결되는 프로세스를 통해서만 접근하여 제1통신망(410)에 의해 관리되는 중요 데이터가 제2통신망(420)을 통해 유출되거나, 제2통신망(420)을 통해 유입된 바이러스로부터 제1통신망(410)을 통해 접근할 수 있는 중요 데이터가 감염되지 않도록 한다.Through this, the network separation program accesses the folder associated with each communication network only through a process connected to each communication network 410 and 420 , and important data managed by the first communication network 410 is transmitted through the second communication network 420 . Important data accessible through the first communication network 410 is prevented from being infected by a virus leaked or introduced through the second communication network 420 .

이와 같은 망분리 프로그램은 단말기(10)에 계정분할생성부(11), 접속제어부(12)등이 설치되도록 하며 전술 한 특징을 나타낼 수 있다.Such a network separation program allows the account division generation unit 11 and the access control unit 12 to be installed in the terminal 10, and may exhibit the above-described characteristics.

여기서, 계정분할생성부(11), 접속제어부(12) 등에 대한 상세한 설명은 특정 서비스 프로그램이 준비되기 전에 사용자의 로그인을 차단하는 시스템(1)을 설명한 후, 설명하도록 한다.Here, the detailed description of the account division generating unit 11, the access control unit 12, etc. will be described after the system 1 that blocks the user's login before a specific service program is prepared.

특정 서비스 프로그램이 준비되기 전에 사용자의 로그인을 차단하는 시스템(1)은 단말기(10)에 크리뎐셜 프로바이더모듈(20), 프로바이더 필터모듈(30) 등의 모듈을 설치할 수 있다.The system 1 that blocks a user's login before a specific service program is prepared may install modules such as the credential provider module 20 and the provider filter module 30 in the terminal 10 .

크리뎐셜 프로바이더모듈(20)은 단말기의 내부에 설치되어, 복수 개의 인증절차를 저장할 수 있는 모듈 또는 함수가 된다. 일례로, 크리뎐셜 프로바이더모듈(20)은 아이디(ID)와 비밀번호(Password)를 저장하고 있는 제1인증모듈(201) 또는 제1인증모듈의 함수와 사용자의 지문, 얼굴 인식 등을 저장하고 있는 제n인증모듈(20n) 또는 제n인증모듈의 함수 등을 포함한다.The credential provider module 20 is installed inside the terminal and becomes a module or function capable of storing a plurality of authentication procedures. For example, the credential provider module 20 stores the first authentication module 201 or a function of the first authentication module that stores an ID and password, and a user's fingerprint, face recognition, etc. The n-th authentication module 20n or a function of the n-th authentication module is included.

프로바이더 필터모듈(30)은 단말기의 내부에 설치되어 단말기(10)에 전원이 인가되면 크리뎐셜 프로바이더모듈(20)에 저장된 복수 개의 인증절차를 단말기(10)로 출력시킨다. 그리고 출력된 인증절차 중 어느 하나가 통과되고, 특정 서비스 파일 일례로, 망분리 프로그램이 준비 완료되면 윈도우 로그인 화면을 출력시킨다. 반면, 출력된 인증절차를 통과하지 못하거나, 망분리 프로그램이 준비가 완료되기 전이면, 윈도우 로그인 화면의 출력을 차단한다.The provider filter module 30 is installed inside the terminal and outputs a plurality of authentication procedures stored in the credential provider module 20 to the terminal 10 when power is applied to the terminal 10 . And when any one of the output authentication procedures is passed and the network separation program is prepared as an example of a specific service file, a Windows login screen is output. On the other hand, if the printed authentication procedure is not passed or the network separation program is not ready, the output of the Windows login screen is blocked.

프로바이더 필터모듈(30)은 특정 서비스 파일의 준비 상태를 실시간으로 체크하며 특정 서비스 파일의 실행 준비 완료 여부를 파악한다.The provider filter module 30 checks the ready state of the specific service file in real time and determines whether the execution preparation of the specific service file is complete.

아울러, 프로바이더 필터모듈(30)은 윈도우 운영체제와 Winlogon.exe를 연결하여 상호 작용하면서 로그인, 인증 UI를 관리한다. 여기서, Winlogon은 자격 증명 제공 오류로부터 자신을 보호하기 위하여 Logonui.exe(자격 증명 제공자)를 이용한다. 이것은 네트워크 제공자 로드, 로그온 인터페이스 노출, Winlogon 종료 방지 등의 기능을 할 수 있다.In addition, the provider filter module 30 manages login, authentication, and UI while interacting with the Windows operating system by connecting  Winlogon.exe. Here, Winlogon uses Logonui.exe (credential provider) to protect itself from credential provision errors. It can load the network provider, expose the logon interface, prevent Winlogon from shutting down, etc.

특정 서비스 프로그램이 준비되기 전에 사용자의 로그인을 차단하는 시스템(1)은 크리뎐셜 프로바이더모듈(20) 및 프로바이더 필터모듈(30) 간 유기적인 작동을 통해, 특정 서비스 프로그램이 실행 준비가 완료되고 복수 개의 인증절차 중 적어도 하나의 인증절차가 완료되면 단말기(10)로 윈도우 로그인 화면을 출력시키며 사용자가 윈도우 운영체제에 접근할 수 있도록 한다.The system 1, which blocks the user's login before a specific service program is ready, allows the specific service program to be ready for execution through organic operation between the credential provider module 20 and the provider filter module 30, and When at least one of the plurality of authentication procedures is completed, a window login screen is output to the terminal 10 and the user can access the Windows operating system.

이하, 도 3을 참조하여 특정 서비스 프로그램이 준비되기 전에 사용자의 로그인을 차단하는 시스템의 작동에 대해 설명한다.Hereinafter, the operation of the system for blocking the user's login before a specific service program is prepared will be described with reference to FIG. 3 .

도 3은 도 1의 특정 서비스 프로그램이 준비되기 전에 사용자의 로그인을 차단하는 시스템의 흐름도이다.3 is a flowchart of a system for blocking a user's login before the specific service program of FIG. 1 is prepared.

특정 서비스 프로그램이 준비되기 전에 사용자의 로그인을 차단하는 시스템(1)의 작동은 단말기에 전원이 인가되는 것을 전제로 한다. 이에, 단말기에 전원이 인가되지 않으면 작동되지 않을 수 있다.The operation of the system 1 for blocking a user's login before a specific service program is prepared is premised on the assumption that power is applied to the terminal. Accordingly, if power is not applied to the terminal, it may not operate.

단말기(10)에 전원이 인가되면, 크리뎐설 프로바이더(20)와 프로바이더 필터모듈(30)이 작동하여 내부에 설정된 복수 개의 인증절차를 출력한다. 그리고 출력된 인증절차 중 선택된 인증절차의 인증이 통과 여부를 확인한다. 이때, 선택된 인증절차를 통과하면 특정 서비스의 준비 상태를 체크하고, 인증절차를 통과하지 않으면 계속해서 인증절차를 통과할 수 있도록 인증절차의 화면을 출력한다.When power is applied to the terminal 10, the credential provider 20 and the provider filter module 30 operate to output a plurality of authentication procedures set therein. Then, it is checked whether the authentication of the selected authentication procedure among the printed authentication procedures has passed. At this time, if the selected authentication procedure is passed, the readiness of a specific service is checked, and if the authentication procedure is not passed, a screen of the authentication procedure is displayed so that the authentication procedure can be continuously passed.

특히, 특정 서비스 프로그램이 준비되기 전에 사용자의 로그인을 차단하는 시스템(1)은 특정 서비스의 실행 상태 체크 및 서비스 준비 상태를 확인한다. 그리고 서비스 프로그램이 실행되고, 실행된 서비스 프로그램이 완료되면 윈도우 로그인 화면의 출력한다.In particular, the system 1 that blocks the user's login before the specific service program is prepared checks the execution status of the specific service and the service preparation status. Then, the service program is executed, and when the executed service program is completed, a Windows login screen is displayed.

이를 통해, 본 발명은 사용자가 로그인 인증 이후 사용할 프로그램이 준비되었을 때, 비로써 윈도우 운영체제에 접근할 수 있도록 하며 불완전한 상태의 윈도우 운영체제를 사용하며 발생되는 문제를 원천적으로 차단할 수 있다.Through this, the present invention allows the user to access the Windows operating system when the program to be used after login authentication is ready, and can fundamentally block problems that occur when using the Windows operating system in an incomplete state.

이하, 도 4 내지 도 6을 참조하여, 단말기가 제1통신망과 제2통신망에 선택적으로 연결되는 상태를 나타낸 도면이다.Hereinafter, with reference to FIGS. 4 to 6 , it is a view showing a state in which a terminal is selectively connected to a first communication network and a second communication network.

도 4는 도 1의 단말기가 제1통신망과 제2통신망에 선택적으로 연결될 수 있도록 하는 구성요소 간 관계도이고, 도 5 및 도 6은 도 1의 단말기가 제1통신망과 제2통신망에 선택적으로 연결되는 상태를 나타낸 도면이다.4 is a diagram illustrating a relationship between components that allow the terminal of FIG. 1 to be selectively connected to a first communication network and a second communication network, and FIGS. 5 and 6 are diagrams of the terminal of FIG. 1 selectively connecting to the first communication network and the second communication network It is a diagram showing a connected state.

망분리 프로그램은 계정분할생성부(11), 접속제어부(12) 등을 포함하여 단말기(10)에 계정분할생성부(11), 접속제어부(12) 등이 설치될 수 있도록 한다. 이때, 계정분할생성부(11)는 제1계정프로세스모듈(110), 제2계정프로세스모듈(120), 경로설정모듈(130), 데이터적용모듈(140), 계정전환모듈(101), 세션제어모듈(102)을 포함하며, 이러한 모듈들은 후술되는 특징을 나타내는 함수가 될 수 있다.The network separation program includes the account division generation unit 11, the access control unit 12, and the like, so that the account division generation unit 11, the access control unit 12, and the like can be installed in the terminal 10. At this time, the account division generating unit 11 includes the first account process module 110 , the second account process module 120 , the path setting module 130 , the data application module 140 , the account conversion module 101 , the session A control module 102 is included, and these modules may be functions exhibiting features described below.

여기서, 제1계정프로세스모듈(110)은 단말기에 포함되는 스토리지에 운영체제를 공유하여 사용 가능한 제1폴더(B1)와 제2폴더(B2)를 형성할 수 있도록 하고, 제1 폴더()가 생성되면 제1폴더(B1)에 데이터를 저장하고 저장된 데이터를 불러올 수 있는 제1계정프로세스를 생성할 수 있다.Here, the first account process module 110 shares the operating system in the storage included in the terminal to form usable first folders B1 and second folders B2, and the first folder B2 is created. When the data is stored in the first folder B1, the first account process that can call the stored data can be created.

제2계정프로세스모듈(120)은 제2폴더(B2)가 생성되면 제2폴더(B2)에 데이터를 저장하고 저장된 데이터를 불러올 수 있는 제2계정프로세스를 생성한다.When the second folder B2 is created, the second account process module 120 creates a second account process capable of storing data in the second folder B2 and retrieving the stored data.

경로설정모듈(130)은 제1계정프로세스와 제2계정프로세스가 모두 접근할 수 있는 공동폴더를 생성하고, 제1계정프로세스를 통해 공동폴더에 제1데이터를 생성하였을 때, 제1데이터를 복사한 후 제1폴더로 이동시키고, 제2계정프로세스를 통해 공동폴더에 제2데이터를 생성하였을 때, 제2데이터를 복사한 후 제2폴더로 이동시킨다.The path setting module 130 creates a joint folder accessible to both the first account process and the second account process, and copies the first data when the first data is created in the joint folder through the first account process After doing this, it is moved to the first folder, and when the second data is created in the common folder through the second account process, the second data is copied and then moved to the second folder.

데이터적용모듈(140)은 제1계정프로세스 또는 제2계정프로세스를 통해 구동되는 운영체제 및 응용 프로그램에 제1데이터와 제2데이터가 적용될 수 있도록 한다. 그리고 계정전환모듈(101)은 외부로부터 계정전환신호가 전송되면 계정전환요청신호를 발생시킨다.The data application module 140 allows the first data and the second data to be applied to an operating system and an application program driven through the first account process or the second account process. And when the account conversion signal is transmitted from the outside, the account conversion module 101 generates an account conversion request signal.

세션제어모듈(102)은 계정전환요청신호를 수신하면, 현재 사용되는 계정프로세서를 차단한다. 그리고 계정자동전환모듈(103)은 설정된 인증정보와 계정전환요청신호를 대비하며 설정된 인증정보와 수신된 계정전환요청신호가 일치하면 요청된 계정프로세스로 전환되도록 하여, 제1계정프로세스를 통해 제1폴더에 접근하였을 때 제2계정프로세스를 통한 제1폴더의 접근을 차단하고, 제2계정프로세스를 통해 제2폴더에 접근하였을 때 제1계정프로세스를 통한 제2폴더의 접근을 차단할 수 있도록 한다. 그리고 접속제어부(12)는 제1네트워크호출모듈(121), 소켓인터셉트모듈(122), 랜카드매핑모듈(123), IP바인드모듈(125) 및 주변기기제어모듈을 포함할 수 있다. 여기서, 제1네트워크호출모듈(121)은 제1계정프로세스를 통해 제1파일지시자가 수신되면 제1라우팅신호를 생성하고 제2계정프로세스를 통해 제2파일지시자가 수신되면 제2라우팅신호를 생성시킨다.When the session control module 102 receives the account switch request signal, it blocks the currently used account processor. And, the account automatic conversion module 103 prepares the set authentication information and the account change request signal, and when the set authentication information and the received account change request signal match, the account is switched to the requested account process, and through the first account process, the first When the folder is accessed, access to the first folder through the second account process is blocked, and when the second folder is accessed through the second account process, access to the second folder through the first account process can be blocked. In addition, the connection control unit 12 may include a first network call module 121 , a socket intercept module 122 , a LAN card mapping module 123 , an IP bind module 125 , and a peripheral device control module. Here, the first network calling module 121 generates a first routing signal when the first file indicator is received through the first account process and generates a second routing signal when the second file indicator is received through the second account process make it

소켓인터셉트모듈(122)은 제1라우팅신호와 제2라우팅신호를 저장한 후, 제2라우팅신호가 제1계정프로세스로의 이동을 차단하고, 제1라우팅신호가 제2계정프로세스로의 이동을 차단한다.After the socket intercept module 122 stores the first routing signal and the second routing signal, the second routing signal blocks the movement to the first account process, and the first routing signal stops the movement to the second account process. block

랜카드매핑모듈(123)은 제1랜카드모듈(127)로부터 제1MAC 주소를 확인하고, 제2랜카드모듈로부터 제2MAC 주소를 확인하며 제1라우팅신호를 제1MAC 주소에 매핑시키며 제1매핑신호를 발생되도록 하고 제2라우팅신호를 제2MAC 주소에 매핑시키며 제2매핑신호를 발생시킨다.The LAN card mapping module 123 checks the first MAC address from the first LAN card module 127, checks the second MAC address from the second LAN card module, maps the first routing signal to the first MAC address, and generates a first mapping signal. and the second routing signal is mapped to the second MAC address, and a second mapping signal is generated.

IP바인드모듈(125)은 제1매핑신호를 수신하여 제1IP에 대응되는 제1랜카드호출함수를 발생시키고, 제2매핑신호를 수신하여 제2IP에 대응되는 제2랜카드호출함수를 발생시킨다. 제2네트워크호출모듈(126)은 IP바인드모듈(125), IP바인드모듈(125)로부터 제1랜카드호출신호를 수신하여 제1라우팅신호를 제1랜카드모듈에 전송하고 제2랜카드호출신호를 수신하여 제2라우팅신호를 제2랜카드모듈에 전송한다.The IP bind module 125 receives the first mapping signal to generate a first LAN card calling function corresponding to the first IP, and receives the second mapping signal to generate a second LAN card calling function corresponding to the second IP. The second network call module 126 receives the first LAN card call signal from the IP bind module 125 and the IP bind module 125, transmits the first routing signal to the first LAN card module, and receives the second LAN card call signal. to transmit the second routing signal to the second LAN card module.

접속제어부(12)는 전술 한 각 모듈 즉, 함수들 간의 유기적인 진행을 통해 제1계정프로세스를 제1랜카드모듈과 연결시켜 제1랜카드모듈에 제1IP(Internet Protocol address)를 할당하여 제1랜카드모듈이 제1통신망에 접속되도록 한다. 그리고 제2계정프로세스를 제2랜카드모듈과 연결시켜 제2랜카드모듈에 제2IP(Internet Protocol address)를 할당하여 제2랜카드모듈이 제2통신망에 접속되도록 한다.The access control unit 12 connects the first account process with the first LAN card module through each of the above-described modules, that is, organic progress between the functions, and allocates a first IP (Internet Protocol address) to the first LAN card module to the first LAN card. The module is connected to the first communication network. Then, the second account process is connected with the second LAN card module to allocate a second IP (Internet Protocol address) to the second LAN card module so that the second LAN card module is connected to the second communication network.

이상 첨부된 도면을 참조하여 본 발명의 실시예들을 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시 적인 것이며 한정적이 아닌 것으로 이해해야 한다.Although embodiments of the present invention have been described above with reference to the accompanying drawings, those of ordinary skill in the art to which the present invention pertains can realize that the present invention can be embodied in other specific forms without changing its technical spirit or essential features. you will be able to understand Therefore, it should be understood that the embodiments described above are illustrative in all respects and not restrictive.

1: 특정 서비스 프로그램이 준비되기 전에 사용자의 로그인을 차단하는 시스템
10: 단말기
11: 계정분할생성부 101: 계정전환모듈
102: 세션제어모듈 103: 계정자동전환모듈
110: 제1계정프로세스모듈 120: 제2계정프로세스모듈
130: 경로설정모듈 140: 데이터적용모듈
12: 접속제어부
121: 제1네트워크호출모듈 122: 소켓인터셉트모듈
123: 랜카드매핑모듈 124: 매핑저장소
125: IP바인드모듈 126: 제2네트워크호출모듈
127: 제1랜카드모듈 128: 제2랜카드모듈
20: 크리뎐셜 프로바이더모듈
201: 제1인증모듈 20n: 제n인증모듈
30: 프로바이더 필터모듈
410: 제1통신망 420: 제2통신망
B1: 제1폴더 B2: 제2폴더1: A system that blocks users from logging in before a specific service program is ready
10: terminal
11: account division generating unit 101: account conversion module
102: session control module 103: automatic account switching module
110: first account process module 120: second account process module
130: path setting module 140: data application module
12: access control unit
121: first network call module 122: socket intercept module
123: LAN card mapping module 124: mapping storage
125: IP bind module 126: second network call module
127: first LAN card module 128: second LAN card module
20: credential provider module
201: first authentication module 20n: nth authentication module
30: provider filter module
410: first communication network 420: second communication network
B1: first folder B2: second folder

Claims (2)

제1통신망(410)과 제2통신망(420)에 선택적으로 연결되도록 하는 망분리 프로그램이 설치된 단말기(10)에 설치된 특정 서비스 프로그램이 준비되기 전에 사용자의 로그인을 차단하는 시스템에 있어서,
단말기의 내부에 설치되어, 복수 개의 인증절차를 저장할 수 있는 크리뎐셜 프로바이더모듈(20);
단말기의 내부에 설치되어, 단말기(10)에 전원이 인가되면 크리뎐셜 프로바이더모듈(20)에 저장된 복수 개의 인증절차를 단말기(10)로 출력시키고 출력된 인증절차 중 어느 하나가 통과되고, 망분리 프로그램의 작동 준비가 완료되면 윈도우 로그인 화면을 출력시키고,
출력된 인증절차를 통과하지 못하거나, 망분리 프로그램이 준비가 완료되기 전이면, 윈도우 로그인 화면의 출력을 차단하는 프로바이더 필터모듈(30)을 포함하는, 특정 서비스 프로그램이 준비되기 전에 사용자의 로그인을 차단하는 시스템.In the system for blocking a user's login before a specific service program installed in the terminal 10 installed with a network separation program for selectively connecting to the first communication network 410 and the second communication network 420 is prepared,
a credential provider module 20 installed inside the terminal and capable of storing a plurality of authentication procedures;
Installed inside the terminal, when power is applied to the terminal 10, a plurality of authentication procedures stored in the credential provider module 20 are output to the terminal 10, and any one of the output authentication procedures is passed, and the network When the separation program is ready for operation, the Windows login screen is displayed,
If the output authentication procedure is not passed or the network separation program is ready, the user's login before the specific service program is prepared, including the provider filter module 30 that blocks the output of the window login screen blocking system. 제1항에 있어서, 프로바이더 필터모듈(30)은,
망분리 프로그램의 작동 준비를 파악하여, 망분리 프로그램의 작동 준비가 완료되고 복수 개의 인증절차 중 적어도 하나의 인증절차가 완료되면, 단말기로 윈도우 로그인 화면의 출력하는, 특정 서비스 프로그램이 준비되기 전에 사용자의 로그인을 차단하는 시스템.According to claim 1, wherein the provider filter module (30),
When the operation preparation of the network separation program is grasped, and when the operation preparation of the network separation program is completed and at least one authentication procedure among a plurality of authentication procedures is completed, the user system that blocks logins.
KR1020200161723A 2020-11-26 2020-11-26 System For Blocks Users From Login In Before Specific Service Program Readying KR20220073550A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200161723A KR20220073550A (en) 2020-11-26 2020-11-26 System For Blocks Users From Login In Before Specific Service Program Readying

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200161723A KR20220073550A (en) 2020-11-26 2020-11-26 System For Blocks Users From Login In Before Specific Service Program Readying

Publications (1)

Publication Number Publication Date
KR20220073550A true KR20220073550A (en) 2022-06-03

Family

ID=81982796

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200161723A KR20220073550A (en) 2020-11-26 2020-11-26 System For Blocks Users From Login In Before Specific Service Program Readying

Country Status (1)

Country Link
KR (1) KR20220073550A (en)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102094315B1 (en) 2019-08-14 2020-03-27 주식회사 이나시스템즈 Network Separation System Based On Access Point Allocation Per Account

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102094315B1 (en) 2019-08-14 2020-03-27 주식회사 이나시스템즈 Network Separation System Based On Access Point Allocation Per Account

Similar Documents

Publication Publication Date Title
CA2988332C (en) Operating system independent, secure data storage subsystem
US10402206B2 (en) Methods and systems for attaching an encrypted data partition during the startup of an operating system
CA2673950C (en) Cascading authentication system
US20180139238A1 (en) Anonymous Containers
RU2625721C2 (en) Method and device for controlling access to computer system
US20160149921A1 (en) Trusted peripheral device for a host in a shared electronic environment
US20160366130A1 (en) Apparatus and method for providing security service based on virtualization
AU2018201934B2 (en) Network based management of protected data sets
EP2678781B1 (en) Apparatus and method for unlocking a device remotely from a server
CN108322307B (en) Inter-container communication system and method based on kernel memory sharing
US20050216767A1 (en) Storage device
BRPI0920478B1 (en) METHOD FOR USE IN A NETWORK ARRANGEMENT, SENDING COMPUTER AND LEGIBLE STORAGE MEDIA BY NON-TRANSITIONAL COMPUTER
US20180270194A1 (en) Protecting computer systems from malicious usb devices via a usb firewall
CN113626133B (en) Virtual machine control method, device, equipment and computer readable storage medium
KR20220073550A (en) System For Blocks Users From Login In Before Specific Service Program Readying
US20180203819A1 (en) USB Device Firmware Sanitization
US10623370B1 (en) Secure data flow for virtual workspaces
KR101729681B1 (en) Security system based on physical level for data security of security terminal and method using the same
Bhatia et al. Vsys: A programmable sudo
CN111858433A (en) SSH (secure Shell) serial port redirection-based method, system, equipment and medium
EP3573001A1 (en) Method and system for implementing a virtual smart card service
US9992236B2 (en) Systems and methods for providing protocol independent disjoint port names
EP3308316B1 (en) Operating system independent, secure data storage subsystem
US20240031216A1 (en) Secure management of access to host device remote management functionality
Monnin et al. Turnstile File Transfer: A Unidirectional System for Medium-Security Isolated Clusters

Legal Events

Date Code Title Description
E601 Decision to refuse application