KR20140015642A - A file securing system based on drive - Google Patents
A file securing system based on drive Download PDFInfo
- Publication number
- KR20140015642A KR20140015642A KR1020120061138A KR20120061138A KR20140015642A KR 20140015642 A KR20140015642 A KR 20140015642A KR 1020120061138 A KR1020120061138 A KR 1020120061138A KR 20120061138 A KR20120061138 A KR 20120061138A KR 20140015642 A KR20140015642 A KR 20140015642A
- Authority
- KR
- South Korea
- Prior art keywords
- file
- area
- user
- security
- drive
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/14—Protection against unauthorised use of memory or access to memory
- G06F12/1408—Protection against unauthorised use of memory or access to memory by using cryptography
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6227—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Automation & Control Theory (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
Description
본 발명은 컴퓨터 단말의 저장매체에 영역 파일을 생성하고 영역 파일을 드라이브로 마운트하여 사용자 파일을 영역 파일에 저장하고 암호화하는 드라이브 기반 파일 보안 시스템에 관한 것이다.
The present invention relates to a drive-based file security system that creates a region file on a storage medium of a computer terminal, mounts the region file as a drive, and stores and encrypts the user file in the region file.
일반적으로, 기업 또는 공공기관 등은 외부로부터의 비인가된 접속을 통한 불법적인 정보유출을 차단하고 내부의 중요한 기밀과 정보를 보호하기 위하여 방화벽(Firewall) 또는 침입탐지시스템(Intruder detection system) 등의 정보보안 솔루션을 설치하고 있다. 하지만 이러한 정보보안 솔루션은 로컬 네트워크(LAN) 또는 PC로의 외부 침입자에 대한 응용일 뿐 내부자가 정보를 유출하고자 하는 경우에는 막을 수 있는 방법은 아니었다.In general, companies or public institutions, such as firewalls or intruder detection systems to block illegal information leakage through unauthorized access from outside and protect important confidential information and information inside I'm installing a security solution. However, this information security solution was only an application for external intruders to the local network (LAN) or PC, and was not a way to prevent the insider from leaking information.
하나의 네트워크(또는 조직) 내에 속하는 사용자들은 다른 사용자의 파일 자원에 쉽게 접근할 수 있다. 사용자들이 번거롭기 때문에 파일을 별도로 암호화하지 않기 때문이다. 또한, 공동 작업을 하는 경우 공유 폴더 등으로 사용자 파일들을 공유하기도 한다. 이러한 작업 습관때문에, 조직 내부 또는 하나의 네트워크 내에서는 사용자 파일들이 쉽게 내부자에게 노출될 위험이 항상 존재한다.Users within one network (or organization) can easily access other users' file resources. Because users are cumbersome, they don't encrypt files separately. In addition, when collaborating, user files are shared by shared folders. Because of this work habit, there is always a risk that user files are easily exposed to insiders within an organization or within a network.
이를 방지하기 위하여, 보안 폴더가 개발되어 이용되고 있다. 즉, 중요한 문서 또는 기밀 문서 등을 보안 폴더에 저장하고, 상기 보안 폴더는 암호화 등으로 특별히 허가된 자 또는 접근을 위한 인증정보를 아는 사용자에게만 접근될 수 있게 한다.In order to prevent this, a secure folder has been developed and used. That is, important documents or confidential documents are stored in a secure folder, and the secure folder can be accessed only by a user who is specifically authorized by encryption or the like or who knows authentication information for access.
상기과 같은 컴퓨터 파일 보안 방법의 일례가 [한국등록특허 제10-0324656호, "컴퓨터 파일의 보안 방법"](이하 선행기술 1)에 개시되고 있다. 상기 선행기술 1은 전용 프로그램을 설치한 뒤 이 프로그램을 구동시켜 보안이 요구되는 파일 또는 폴더를 선택하고 선택된 파일 또는 폴더에 소정의 보안 기능 옵션을 설정하여 컴퓨터 파일 또는 폴더를 보안하는 기술이다. 상기 선행기술 1은 구체적인 보안 방법을 제시하고 있지 못하다.An example of such a computer file security method is disclosed in Korean Patent No. 10-0324656, "Security Method of Computer File" (hereinafter, referred to as Prior Art 1). Prior art 1 is a technology for securing a computer file or folder by installing a dedicated program and then running the program to select a file or folder requiring security and setting a predetermined security function option on the selected file or folder. Prior art 1 does not suggest a specific security method.
보안 영역을 서버에서 관리하는 기술의 일례가 [한국등록특허 제10-0948812호, "보안 영역 관리 시스템 및 그 관리 방법"](이하 선행기술 2)에 개시되고 있다. 상기 선행기술 2는 보안 서버에서 사용자 컴퓨터에 보안 영역 설정 프로그램을 제공하고 접속된 사용자의 사용 이력을 감시하고 제어한다. 이때, 보안 영역은 파일, 폴더, USB 메모리, 하드 디스크 드라이브 등을 선택하여 결정된다. 보안 영역은 컴퓨터 등의 저장매체의 일부가 할당되고, 파일들을 암호화 하여 할당된 공간에 저장한다. 그러나 상기 선행기술 2는 보안 영역이 어느 저장 공간인지 노출될 수 있고, 이로 인해, 보안 영역 자체가 제거될 수 있는 위험이 있다.An example of a technology for managing a security zone in a server is disclosed in [Korean Patent Registration No. 10-0948812, "Security Zone Management System and Its Management Method"] (hereinafter, referred to as Prior Art 2). The prior art 2 provides a security zone setting program to a user computer in a security server and monitors and controls the usage history of the connected user. In this case, the security area is determined by selecting a file, a folder, a USB memory, a hard disk drive, or the like. In the secure area, a portion of a storage medium such as a computer is allocated, and files are encrypted and stored in the allocated space. However, the prior art 2 may expose which storage space the security area is, and there is a risk that the security area itself may be removed.
또한, 메모리 등 이동성 저장매체에 보안 영역을 관리하는 기술의 예들이 [한국공개특허 제10-2011-0132787호, "보안 기능을 구비한 메모리 장치 및 그 보안 방법"](이하 선행기술 3), [한국공개특허 제10-2010-0112724호, "보안 이동형 저장장치 및 그 제어 방법"](이하 선행기술 4) 등이 있다. 상기 선행기술 3 및 4는 상기 선행기술 2와 같이, 보안영역을 메모리 영역의 일정 부분으로 설정되어 암호화된다. 그러나 상기 선행기술들은 보안 영역의 경로만 숨기거나 암호화하여 접근하지 못하게 한다. 따라서 경로만 알아내거나 파일을 물리적 수준에서 분석하면 노출될 수 있는 위험이 있다.Further, examples of a technology for managing a security area in a mobile storage medium such as a memory are disclosed in Korean Patent Laid-Open No. 10-2011-0132787, "Memory Device With Security Function and Security Method thereof" (hereinafter, referred to as Prior Art 3), [Korean Patent Publication No. 10-2010-0112724, "Secure Mobile Storage and Its Control Method"] (hereinafter, referred to as Prior Art 4). The prior arts 3 and 4, like the prior art 2, are encrypted by setting a secure area as a part of the memory area. However, the prior art hides or encrypts only the path of the security area to prevent access. Therefore, there is a risk that it can be exposed by just finding the path or analyzing the file at the physical level.
따라서 운영체제의 시스템을 훼손하지 않고도 사용자 파일을 안전하게 숨기고 보안할 수 있는 기술이 절실하다.
Therefore, a technology that can safely hide and secure user files without compromising the operating system system is urgently needed.
본 발명의 목적은 상술한 바와 같은 문제점을 해결하기 위한 것으로, 컴퓨터 단말의 저장매체에 영역 파일을 생성하고 영역 파일을 드라이브로 마운트하여 사용자 파일을 영역 파일에 저장하고 암호화하는 드라이브 기반 파일 보안 시스템을 제공하는 것이다.SUMMARY OF THE INVENTION An object of the present invention is to solve the above-mentioned problems, and to generate a file on a storage medium of a computer terminal, and mount a file as a drive to store and encrypt a user file in the file. To provide.
특히, 본 발명의 목적은 컴퓨터 단말의 저장매체에 영역 파일을 생성하고 영역 파일을 드라이브로 마운트하여 사용자 파일을 영역 파일에 저장하고 암호화하는 드라이브 기반 파일 보안 시스템을 제공하는 것이다.
In particular, it is an object of the present invention to provide a drive-based file security system that creates a region file on a storage medium of a computer terminal, mounts the region file as a drive, and stores and encrypts the user file in the region file.
상기 목적을 달성하기 위해 본 발명은 컴퓨터 단말에 설치되어, 사용자 파일을 저장하는 드라이브 기반 파일 보안 시스템에 관한 것으로서, 상기 컴퓨터 단말의 저장매체에 파일(이하 영역 파일)을 생성하는 영역파일 생성부; 상기 영역 파일을 상기 컴퓨터 단말의 드라이브로 마운트하거나 언마운트하는 영역 마운팅부; 상기 영역 파일을 암호화하여 저장하거나, 저장된 영역 파일을 복호화하는 영역 암호화부; 사용자 파일을 상기 마운트된 드라이브의 영역(이하 보안영역)에 저장하거나, 상기 보안영역으로부터 사용자 파일을 열기하는 보안파일 저장부; 및, 사용자 파일에 대한 처리 명령을 받으면, 상기 영역 파일을 복호화하여 마운트하고, 상기 보안영역에서 상기 사용자 파일에 대한 처리 명령을 수행하고, 명령 수행이 완료되면 상기 영역 파일을 언마운트하고 암호화하는 보안파일 처리부를 포함하는 것을 특징으로 한다.In order to achieve the above object, the present invention relates to a drive-based file security system installed in a computer terminal for storing a user file, comprising: an area file generation unit for generating a file (hereinafter, referred to as an area file) in a storage medium of the computer terminal; An area mounting unit which mounts or unmounts the area file as a drive of the computer terminal; An area encryption unit encrypting and storing the area file or decrypting the stored area file; A security file storage unit for storing a user file in an area of the mounted drive (hereinafter referred to as a security area) or opening a user file from the security area; And, when receiving a processing command for a user file, decrypts and mounts the area file, performs a processing command for the user file in the secure area, and when the command is completed, unmounts and encrypts the area file. And a file processing unit.
또, 본 발명은 드라이브 기반 파일 보안 시스템에 있어서, 상기 시스템은, 상기 사용자 파일에 대한 디렉터리 구조의 계층적 폴더 인터페이스를 제공하고, 상기 사용자 파일에 대한 처리 명령을 입력받는 인터페이스부를 더 포함하는 것을 특징으로 한다.In another aspect, the present invention provides a drive-based file security system, the system further comprises an interface unit providing a hierarchical folder interface of the directory structure for the user file, and receives a processing command for the user file. It is done.
또, 본 발명은 드라이브 기반 파일 보안 시스템에 있어서, 상기 인터페이스부는 상기 사용자 파일에 대한 처리 명령을 받기 전에, 상기 보안파일 처리부에 상기 디렉터리 구조에 대한 조회를 명령하여, 조회된 디렉터리 구조를 계층적 폴더로 표시하는 것을 특징으로 한다.In addition, in the drive-based file security system, the interface unit instructs the secure file processing unit to query the directory structure before receiving the processing command for the user file, thereby hierarchically searching the directory structure. It is characterized by displaying.
또, 본 발명은 드라이브 기반 파일 보안 시스템에 있어서, 상기 보안파일 처리부는 상기 사용자 파일에 대한 열기 명령을 받은 후, 저장 명령을 받기 전까지 상기 영역 파일을 언마운트하지 않는 것을 특징으로 한다.In the drive-based file security system, the secure file processing unit does not unmount the region file until the storage command is received after receiving the open command for the user file.
또, 본 발명은 드라이브 기반 파일 보안 시스템에 있어서, 상기 인터페이스부는 상기 사용자 파일에 대한 열기 명령을 처리한 후, 상기 사용자 파일의 확장자와 매칭되는 프로그램을 실행시키고 상기 사용자 파일을 상기 프로그램으로 열어주는 것을 특징으로 한다.The present invention provides a drive-based file security system, wherein the interface unit executes a program matching an extension of the user file and opens the user file with the program after processing an open command for the user file. It features.
또, 본 발명은 드라이브 기반 파일 보안 시스템에 있어서, 상기 인터페이스부는 사용자의 인증정보를 사전에 입력받아 저장하고, 인증된 사용자만 사용자 파일의 처리 명령을 수행해주는 것을 특징으로 한다.In the drive-based file security system, the interface unit receives and stores authentication information of a user in advance, and only an authenticated user executes a processing command of a user file.
또, 본 발명은 드라이브 기반 파일 보안 시스템에 있어서, 상기 영역파일 생성부는 상기 컴퓨터 단말의 폴더 상에서 상기 영역파일을 숨기는 것을 특징으로 한다.In another aspect of the present invention, in the drive-based file security system, the area file generation unit hides the area file on a folder of the computer terminal.
또, 본 발명은 드라이브 기반 파일 보안 시스템에 있어서, 상기 영역 마운팅부는 상기 영역파일을 드라이브로 마운트한 후 상기 드라이브를 숨기는 것을 특징으로 한다.
In another aspect of the present invention, in the drive-based file security system, the area mounting unit hides the drive after mounting the area file as a drive.
상술한 바와 같이, 본 발명에 따른 드라이브 기반 파일 보안 시스템에 의하면, 컴퓨터 단말에 생성된 영역 파일을 마운트하여 사용자 파일을 저장하고 영역 파일을 암호화함으로써, 후킹 등 운영체제의 시스템을 훼손하지 않고도 사용자 파일을 안전하게 숨기고 보안할 수 있는 효과가 얻어진다.
As described above, according to the drive-based file security system according to the present invention, by mounting the area file generated on the computer terminal to store the user file and encrypts the area file, the user file without damaging the system of the operating system, such as hooking The effect is that it can be safely hidden and secured.
도 1은 본 발명을 실시하기 위한 전체 시스템 구성의 일례를 도시한 도면이다.
도 2는 본 발명을 실시하기 위한 컴퓨터 단말의 소프트웨어 및 하드웨어 구성에 대한 블록도이다.
도 3은 본 발명의 일실시예에 따른 드라이브 기반 파일 보안 시스템의 구성에 대한 블록도이다.
도 4는 본 발명의 일실시예에 따른 인터페이스 화면의 일례를 도시한 것이다.
도 5는 본 발명의 일실시예에 따른 인증을 통한 파일 보안 방법을 설명하는 흐름도이다.1 is a diagram showing an example of the overall system configuration for implementing the present invention.
2 is a block diagram of a software and hardware configuration of a computer terminal for implementing the present invention.
3 is a block diagram of a configuration of a drive-based file security system according to an embodiment of the present invention.
4 illustrates an example of an interface screen according to an embodiment of the present invention.
5 is a flowchart illustrating a file security method through authentication according to an embodiment of the present invention.
이하, 본 발명의 실시를 위한 구체적인 내용을 도면에 따라서 설명한다.DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Hereinafter, the present invention will be described in detail with reference to the drawings.
또한, 본 발명을 설명하는데 있어서 동일 부분은 동일 부호를 붙이고, 그 반복 설명은 생략한다.
In the description of the present invention, the same parts are denoted by the same reference numerals, and repetitive description thereof will be omitted.
다음, 본 발명을 실시하기 위한 전체 시스템 구성의 예들을 도 1을 참조하여 설명한다. 도 1a 내지 도 1c에서 보는 바와 같이, 본 발명에 따른 드라이브 기반 파일 보안 시스템은 컴퓨터 단말 또는 외장 저장매체 상의 프로그램 시스템, 또는 네트워크 상의 서버 시스템으로 실시될 수 있다.Next, examples of the overall system configuration for implementing the present invention will be described with reference to FIG. As shown in Figures 1a to 1c, the drive-based file security system according to the present invention can be implemented as a program system on a computer terminal or an external storage medium, or a server system on a network.
도 1a에서 보는 바와 같이, 본 발명을 실시하기 위한 전체 시스템의 일례는 컴퓨터 단말(10)과 상기 컴퓨터 단말(10)에 설치되는 파일 보안 시스템(30)으로 구성될 수 있다. 즉, 파일 보안 시스템(30)의 각 기능들은 컴퓨터 프로그램으로 구현되어 컴퓨터 단말(10)에 설치된다. 파일 보안 시스템(30)은 컴퓨터 단말(10)의 저장매체(11), 예를 들어, 하드디스크, 외장 디스크, USB메모리 등의 저장매체 이미지를 대상으로 파일 보안 영역을 구성한다.As shown in FIG. 1A, an example of the entire system for implementing the present invention may include a
이때, 파일을 보안하여 저장할 공간(또는 영역)으로서, 저장매체(11)에 하나의 파일을 생성한다. 이 파일을 영역 파일이라 부르기로 한다. 파일 보안 시스템(30)은 영역 파일을 드라이브로 마운트하여, 컴퓨터 단말에서 별도의 가상 드라이브로 인식되도록 한다.At this time, one file is created in the
또한, 도 1b에서 보는 바와 같이, 본 발명을 실시하기 위한 전체 시스템의 다른 예는 컴퓨터 단말(10)과 상기 외장 저장매체(12)에 설치되는 파일 보안 시스템(30)으로 구성될 수 있다. 이때 외장 저장매체(12)에 설치된 시스템(30)은 컴퓨터 단말(10)에 의해 실행된다.In addition, as shown in FIG. 1B, another example of the entire system for implementing the present invention may include a
이때, 파일 보안 시스템(30)은 컴퓨터 단말의 저장매체(11)에 영역 파일을 생성하고, 상기 영역 파일을 컴퓨터 단말에서 가상 드라이버로 마운트한다. 그리고 보안할 파일들을 상기 가상 드라이브에 저장하게 한다.In this case, the
다음으로, 도 1c에서 보는 바와 같이, 본 발명을 실시하기 위한 전체 시스템의 또 다른 예는 컴퓨터 단말(10)과 파일 보안 시스템(30)으로 구성되고 서로 네트워크(20)로 연결된다. 또, 필요한 데이터를 저장하기 위한 데이터베이스(40)를 더 구비할 수 있다.Next, as shown in FIG. 1C, another example of the entire system for implementing the present invention is composed of a
컴퓨터 단말(10)은 조직 내의 사용자가 이용하는 PC, 노트북, 넷북 등의 통상의 컴퓨팅 단말기이다. The
파일 보안 시스템(30)은 통상의 서버로서 네트워크(20)에 연결되어 컴퓨터 단말(10)의 저장매체(11)에 직접 접근하여, 저장매체(11)에 영역 파일을 생성하고, 상기 영역 파일을 컴퓨터 단말에서 가상 드라이버로 마운트한다. 그리고 보안할 파일들을 상기 가상 드라이브에 저장하게 한다. 파일 보안 시스템(30)은 보안 파일들에 대한 정보를 추출하고, 추출된 데이터를 데이터베이스(40)에 기록한다. 예를 들어, 보안 파일들을 빠르게 검색하기 위한 키워드, 인덱스 등의 정보를 추출하여 저정할 수 있다.The
데이터베이스(40)는 파일 보안 시스템(30)에서 필요한 데이터를 저장하는 통상의 저장매체로서, 보안 파일에 관한 정보, 사용자 접근 정보 등을 저장한다. 상기 데이터베이스(40)에 저장하는 데이터들은 앞서의 도 1(a)와 도 1(b)의 예의 경우 각각 저장매체(11)나 외장 저장매체(12)에 저장될 수 있다.The
상기와 같이 본 발명에 따른 드라이브 기반 파일 보안 시스템은 다양한 실시예가 가능하지만, 이하에서 설명의 편의를 위해, 도 1(a)의 실시예인 컴퓨터 단말에 설치되는 프로그램 시스템으로 설명하기로 한다.
As described above, the drive-based file security system according to the present invention may be various embodiments. For convenience of explanation, the following description will be given as a program system installed in the computer terminal of the embodiment of FIG.
다음으로, 본 발명을 실시하기 위한 컴퓨터 단말의 소프트웨어 및 하드웨어 구성에 대하여 도 2를 참조하여 설명한다.Next, a software and hardware configuration of a computer terminal for implementing the present invention will be described with reference to FIG.
도 2에서 보는 바와 같이, 본 발명의 실시하기 위한 컴퓨터 단말(10)은 운영체제(50), 하드웨어(60), 및 응용 프로그램(70)으로 구성된다.As shown in FIG. 2, the
응용 프로그램(70)은 운영체제(50) 상에서 실행되는 프로그램들이고, 운영체제(50)는 응용 프로그램(70)들이 실행되는 사용자 계층과 운영체제 시스템이 실행되는 커널 계층으로 구분된다. 바람직하게는, 운영체제(50)는 윈도우즈 시스템이다.The
하드 디스크(61)는 저장매체로서 하나의 하드웨어 장치(60)이다. 하드 디스크(61)는 운영체제의 디스크 드라이버(52)에 의해 제어되고, 응용 프로그램(70)은 시스템 콜 등 시스템 처리 모듈(51)을 호출함으로써, 디스크 드라이버(52)를 통해 하드 디스크(61)에 접근할 수 있다. 즉, 응용 프로그램(70)은 하드 디스크(61) 내에 파일(이하 사용자 파일)들을 생성, 삭제, 갱신, 이동 등 파일 작업을 수행할 수 있다.The
이때, 하드 디스크(61)는 디스크 드라이버(52)에 하나의 드라이브로 인식되어(마운트 되어) 제어된다. 하드 디스크(61)는 FAT32, NTFS 등 파일 시스템 구조로 포맷되어, 사용자 파일을 저장한다. 특히, 상기 파일 시스템은 계층적 구조를 가진 디렉터리 구조이고, 계층적 폴더 형태로 표현된다.At this time, the
파일 보안 시스템(30)은 하나의 응용 프로그램(30)으로서, 운영체제(50)의 사용자 계층에 설치되어 실행되는 프로그램이다. 파일 보안 시스템(30)은 파일을 보안하는 일종의 보안 클라이언트이다.The
파일 보안 시스템(30)은 하드 디스크(61) 내에 하나의 영역 파일(62)을 생성하고, 상기 영역 파일(62)을 가상 디스크로 마운트하여, 디스크 드라이버(52)에 하나의 드라이브로 인식되게 한다. 따라서 영역 파일에 할당된 공간(영역)은 하나의 드라이브로 인식되어 하드 디스크와 동일한 파일 시스템으로 접근될 수 있다.The
즉, 응용 프로그램(70)은 영역 파일(62) 내의 공간을 하나의 드라이브로 인식하여, 시스템 처리 모듈(51) - 디스크 드라이버(52) - 영역 파일(62)로 접근하여 사용할 수 있다.That is, the
한편, 파일 보안 시스템(30)이 영역 파일(62)을 언마운트하면 영역 파일(62)이 드라이브로 인식되지 않기 때문에, 응용 프로그램(70)에서 영역 파일(62) 내의 공간(또는 영역)에 접근할 수 없다. 파일 보안 시스템(30)은 단순히 영역 파일(62)을 마운트 또는 언마운트 하는 것만으로, 영역 파일(62) 내의 사용자 파일들을 다른 응용 프로그램(70)에 노출시키지 않을 수 있다.On the other hand, if the
또한, 파일 보안 시스템(30)은 영역 파일을 암호화하여 저장하거나 상기 영역 파일을 숨김으로써, 응용 프로그램(70)이 영역 파일(62) 자체를 접근하는 것도 차단할 수 있다.In addition, the
또한, 운영체제(OS)에서 “숨김 파일 보기” 옵션을 설정해도 보안영역은 하나의 디스크로 마운드/언마운트 되므로, 마운트된 상태에서도 운영체제(OS)에서 보이지 않으며 컴퓨터 디스크관리자에도 표시가 되지 않는다.
Also, even if you set the “Show hidden files” option in the operating system (OS), the security zone is mounted / unmounted as a single disk, so it is not visible in the operating system (OS) even when mounted, and is not displayed in the computer disk manager.
다음으로, 본 발명의 일실시예에 따른 드라이브 기반 파일 보안 시스템에 대하여, 도 3을 참조하여 보다 구체적으로 설명한다.Next, a drive-based file security system according to an embodiment of the present invention will be described in more detail with reference to FIG. 3.
도 3에서 보는 바와 같이, 본 발명의 일실시예에 따른 파일 보안 시스템(30)은 영역파일 생성부(31), 영역 마운팅부(32), 영역 암호화부(33), 보안파일 저장부(34), 및, 보안파일 처리부(35)로 구성된다. 추가적으로, 인터페이스부(36), 감시부(37), 인덱스부(38)를 더 포함하여 구성될 수 있다.As shown in FIG. 3, the
영역파일 생성부(31)는 컴퓨터 단말의 저장매체(61)에 파일(이하 영역 파일)을 생성한다. 앞서 설명한 바와 같이, 저장매체(61)는 하드 디스크 등을 데이터를 저장하는 공간을 말하며, 영역 파일은 하나의 파일로서 생성된다.The area
구체적으로, 윈도우즈 운영체제의 API(Application programming interface) 중 하나인 CreateFile()을 이용하여 파일 생성한다. 그리고 DeviceIOControl을 사용하여 별로도 만들어진 드라이버와 통신하여 NTFS와 동일한 헤더 구조를 가지는 원시데이터를 생성한다.Specifically, a file is created by using CreateFile (), which is one of the application programming interfaces (APIs) of the Windows operating system. It uses DeviceIOControl to communicate with a separate driver to create raw data with the same header structure as NTFS.
또한, 영역파일 생성부(31)는 컴퓨터 단말의 폴더 상에서 상기 영역파일을 숨긴다. 컴퓨터 단말의 하드 디스크 등은 드라이브로 인식되고, 계층적인 디렉터리 구조를 가지고, 계층적인 구조의 폴더 형태로 표시된다. 이때, 컴퓨터 단말의 운영체제는 폴더 또는 파일들을 숨기는 기능을 가지고 있다. 영역파일 생성부(31)는 운영체제의 파일 숨김 기능을 이용하여 영역 파일을 숨긴다.
In addition, the area
영역 마운팅부(32)는 영역 파일을 컴퓨터 단말의 드라이브로 마운트하거나 언마운트한다. 앞서 설명한 바와 같이, 영역 파일을 드라이브로 마운트하면 영역 파일의 저장 공간을 하나의 가상 파일 시스템으로 이용될 수 있다. 따라서 영역 파일 내에 폴더 등 디렉터리 구조를 생성하고, 생성된 폴더 내에 사용자 파일을 저장할 수 있다. 이와 같이 영역 파일 내의 파일 시스템이 곧 보안 영역이 된다.The
영역 마운팅부(32)가 영역 파일을 마운트 하면 상기 영역 파일 내에 구성된 파일 시스템(또는 보안 영역)에 사용자 파일을 저장하거나 저장된 파일을 열기할 수 있고, 영역파일이 언마운트되면, 상기 보안 영역에 사용자 파일을 저장/열기 등을 수행할 수 없다. 즉, 영역 파일을 언마운트하는 것만으로도, 보안 영역을 외부에 노출되지 않게 할 수 있다.When the
예를 들어, 리눅스의 폴더는 파일로 이루어져 있고 이 파일을 Symbolic Link를 이용하여 다른 영역으로 마운트 할 수 있는데 이 개념을 이용하여 윈도우 NTFS구조와 동일한 파일을 생성하여 이 파일을 IoCreateSymbolicLink를 사용하여 직접 마운트 시켜서 윈도우가 다른 디스크가 존재하는 것처럼 인식하게 한다.For example, a Linux folder is made up of files and you can mount this file to another area using Symbolic Link. Using this concept, you create the same file as the Windows NTFS structure and mount it directly using IoCreateSymbolicLink. This causes Windows to recognize it as if another disk exists.
또한, 윈도우즈 API인 ZwCreateFile을 이용하여 인식된 볼륨에 대한 핸들을 가지고 IoDeleteSymbolicLink API를 사용하여 연결된 디스크를 해제한다.It also uses the Windows API ZwCreateFile to release the attached disk using the IoDeleteSymbolicLink API with a handle to the recognized volume.
한편, 영역 마운팅부(32)는 영역파일을 드라이브로 마운트한 후 상기 드라이브를 숨긴다. 영역 파일을 마운트 하면 영역 파일 내의 보안 영역은 누구나 접근될 수 있다. 따라서 이를 방지하기 위하여, 마운트된 영역 파일을 숨긴다.Meanwhile, the
구체적으로, 윈도우즈 운영체제의 레지스트리에서 다음과 같은 항목을 설정하여 마운트된 디스크를 숨긴다.Specifically, hide the mounted disk by setting the following entry in the registry of the Windows operating system.
[HLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer][HLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer]
그리고 마운트된 영역을 해제할 때, 상기 레지스트리 항목에서 설정을 해제하여 디스크를 다시 원래 상태로 복구한다.
When the mounted area is released, the registry item is released to restore the disk to its original state.
영역 암호화부(33)는 상기 영역 파일을 암호화하여 저장하거나, 저장된 영역 파일을 복호화한다.The
암호화 기능을 추가하여 일반 사용자가 원시파일을 열더라도 구조를 파악할 수 없다. 이 단계에서 생성된 파일을 AES 암호화 알고리즘을 이용하여 암호화한다.
By adding the encryption function, even if the general user opens the source file, the structure cannot be understood. The file created in this step is encrypted using the AES encryption algorithm.
보안파일 저장부(34)는 사용자 파일을 상기 마운트된 드라이브의 영역(이하 보안영역)에 저장하거나, 상기 보안영역으로부터 사용자 파일을 열기한다.The secure
바람직하게는, 보안파일 저장부(34)는 사용자 파일을 암호화한 후 저장한다. 구체적으로, AES 암호화 일고리즘을 이용하여 암호화 한 후 암호화된 파일을 SaveFile() 윈도우즈 API를 이용하여 보안 영역에 저장한다. 또한, 저장된 파일(사용자 파일)을 읽어온 후, 상기 사용자 파일을 복호화하여 제공한다.
Preferably, the secure
보안파일 처리부(35)는 사용자 파일에 대한 처리 명령을 받으면, 상기 영역 파일을 복호화하여 마운트하고, 상기 보안영역에서 상기 사용자 파일에 대한 처리 명령을 수행하고, 명령 수행이 완료되면 상기 영역 파일을 언마운트하고 암호화한다.When the security
보안파일 처리부(35)는 상기 사용자 파일에 대한 열기 명령을 받은 후, 저장 명령을 받기 전까지 상기 영역 파일을 언마운트하지 않는다. 사용자 파일을 열고 사용하는 동안은 지속해서 보안 영역의 사용자 파일에 접근해야하기 때문이다.
After receiving the open command for the user file, the
인터페이스부(36)는 상기 사용자 파일에 대한 디렉터리 구조의 계층적 폴더 인터페이스를 제공하고, 상기 사용자 파일에 대한 처리 명령을 입력받는다. 특히, 인터페이스부(36)는 상기 사용자 파일에 대한 처리 명령을 받기 전에, 상기 보안파일 처리부(35)에 상기 디렉터리 구조에 대한 조회를 명령하여, 조회된 디렉터리 구조를 계층적 폴더로 표시한다.The
인터페이스부(36)는 보안영역에 대하여 통상의 파일 관리 기능을 갖는다. 즉, 윈도우즈 운영체제의 파일 탐색기와 같은 기능을 수행하는 기능을 갖는다. 즉, 사용자 파일에 대한 처리 명령은 파일 목록 조회, 사용자 파일의 열기/수정/삭제/이동 등을 포함한다. 인터페이스부(36)는 이러한 명령을 입력받아 보안파일 처리부(35) 등에 의해 상기 처리 명령을 수행하게 한다.The
한편, 도 4에서 보는 바와 같이, 인터페이스부(36)는 사용자에게 사용자 파일을 관리할 수 있는 인터페이스 화면을 제공한다. 도 4에서, 좌측 화면에는 폴더 구성을 계층적으로 보여주고, 우측 화면에는 저장된 파일에 관한 상세한 정보를 표시한다.Meanwhile, as shown in FIG. 4, the
먼저, 인터페이스부(36)는 보안영역의 파일목록을 조회해줄 수 있다. 보안영역으로 파일 복사 또는 이동 시 파일정보를 로컬DB(파일 보안 시스템에서만 직접 사용하는 자신만의 저장공간)에 입력하여 전용 탐색기를 이용하여 조회한다. 보안영역에 저장 및 삭제 루틴은 내부 영역에서 이루어지기 때문에 복사 및 삭제에 대한 실시간 감시를 하지 않더라도 로컬DB에서 관리가 가능하다.First, the
다음으로, 보안영역에서 파일을 열기하거나 수정할 수 있다. 사용자가 보안영역에 보관중인 데이터(또는 사용자 파일)를 열려고 시도하면, 인터페이스부(36)는 실행 및 수정하려는 파일정보를 로컬DB로부터 보안영역 어느 위치에 있는지 읽어오고, 보안영역을 윈도우가 인식할 수 있도록 마운트한다.Next, you can open or modify the file in the secure area. When the user tries to open the data (or user file) stored in the secure area, the
또한, 인터페이스부(36)는 상기 사용자 파일에 대한 열기 명령을 처리한 후, 상기 사용자 파일의 확장자와 매칭되는 프로그램을 실행시키고 상기 사용자 파일을 상기 프로그램으로 열어준다. 즉, 사용자 파일을 실행 및 수정할 수 있다. 이때, 사용자 파일이 MS-OFFICE 문서나 한글 문서인 경우 해당 소프트웨어가 설치되어 있는 것이 바람직하다. 해당 소프트웨어가 설치되지 않는 경우 등을 대비하여, 전용 뷰어가 설치될 수도 있다.In addition, the
다음으로, 보안영역에서 사용자 파일을 삭제한다. 보안영역에 사용자 파이을 저장하는 방식과 동일하게 이루어진다. 보안영역에 저장된 파일을 완전 삭제하여 성공했는지 확인후 로컬DB에서 정보를 삭제하여 사용자에게 알려준다.Next, delete the user file from the security zone. This is done in the same way as storing user pie in the secure area. After confirming that the file saved in the security area is completely deleted, delete the information from the local DB and notify the user.
또한, 인터페이스부(36)는 사용자의 인증정보를 사전에 입력받아 저장하고, 인증된 사용자만 사용자 파일의 처리 명령을 수행해준다.In addition, the
도 5에서 보는 바와 같이, 사용자 ID와 비밀번호 등을 인증정보로 사용하여, 인증된 사용자에게만 보안 영역에 접근하게 하거나, 보안 영역에 대한 정보를 검색해준다. 도 5에서, 전용 뷰어는 열기한 파일 문서를 열어줄 응용 프로그램이 없는 경우, 상기 파일 문서를 열어 보여준다.
As shown in FIG. 5, the user ID and password are used as authentication information to allow only the authenticated user to access the security area, or retrieve information about the security area. In FIG. 5, when there is no application program to open the opened file document, the dedicated viewer opens and displays the file document.
또한, 본 발명의 일실시예에 따른 파일 보안 시스템(30)은 상기와 같은 기본적인 파일 관리 기능 외에도 지속적인 감시 기능과 사용자 파일의 검색을 위한 감시부(37), 인덱스부(38) 등을 에이전트로서 추가적으로 구성한다.In addition, the
감시부(37)는 사용자 파일이 생성, 수정 등의 처리 작업이 발생하면 상기 사용자 파일을 실시간으로 감시하여 보안영역으로 이동한다.The
또한, 인덱스부(38)는 컴퓨터 단말의 저장매체 또는 보안 영역에 저장된 사용자 파일에 대한 정보를 획득하여 해쉬값을 생성한다. 이를 통해, 저장된 사용자 파일을 보다 빠르고 정확하게 검색할 수 있게 한다. 바람직하게는, 사용자 파일의 문서 내용까지 분석하여 해쉬한다. 따라서 사용자 파일의 내용으로도 검색할 수 있다.
In addition, the
이상, 본 발명자에 의해서 이루어진 발명을 실시 예에 따라 구체적으로 설명하였지만, 본 발명은 실시 예에 한정되는 것은 아니고, 그 요지를 이탈하지 않는 범위에서 여러 가지로 변경 가능한 것은 물론이다.
The invention made by the present inventors has been described concretely with reference to the embodiments. However, it is needless to say that the present invention is not limited to the embodiments, and that various changes can be made without departing from the gist of the present invention.
10 : 컴퓨터 단말 11 : 저장매체
20 : 네트워크 40 : 데이터베이스
30 : 파일 보안 시스템 31 : 영역파일 생성부
32 : 영역 마운팅부 33 : 영역 암호화부
34 : 보안파일 저장부 35 : 보안파일 처리부
36 : 인터페이스부 37 : 감시부
38 : 인덱스부
50 : 운영체제 51 : 시스템 처리모듈
52 : 디스크 드라이브 60 : 하드웨어
61 : 하드 디스크 62 : 영역 파일
70 : 응용 프로그램10: computer terminal 11: storage medium
20: network 40: database
30: file security system 31: zone file generation unit
32: area mounting unit 33: area encryption unit
34: secure file storage unit 35: secure file processing unit
36
38: index portion
50: operating system 51: system processing module
52: disk drive 60: hardware
61: Hard Disk 62: Zone Files
70: application
Claims (8)
상기 컴퓨터 단말의 저장매체에 파일(이하 영역 파일)을 생성하는 영역파일 생성부;
상기 영역 파일을 상기 컴퓨터 단말의 드라이브로 마운트하거나 언마운트하는 영역 마운팅부;
상기 영역 파일을 암호화하여 저장하거나, 저장된 영역 파일을 복호화하는 영역 암호화부;
사용자 파일을 상기 마운트된 드라이브의 영역(이하 보안영역)에 저장하거나, 상기 보안영역으로부터 사용자 파일을 열기하는 보안파일 저장부; 및,
사용자 파일에 대한 처리 명령을 받으면, 상기 영역 파일을 복호화하여 마운트하고, 상기 보안영역에서 상기 사용자 파일에 대한 처리 명령을 수행하고, 명령 수행이 완료되면 상기 영역 파일을 언마운트하고 암호화하는 보안파일 처리부를 포함하는 것을 특징으로 하는 드라이브 기반 파일 보안 시스템.
In the drive-based file security system installed in the computer terminal, and stores the user file,
An area file generator for generating a file (hereinafter, referred to as an area file) on a storage medium of the computer terminal;
An area mounting unit which mounts or unmounts the area file as a drive of the computer terminal;
An area encryption unit encrypting and storing the area file or decrypting the stored area file;
A security file storage unit for storing a user file in an area of the mounted drive (hereinafter referred to as a security area) or opening a user file from the security area; And
Receiving a processing command for a user file, decrypts and mounts the area file, performs a processing command for the user file in the secure area, and when the command is completed, the secure file processing unit for unmounting and encrypting the area file Drive-based file security system comprising a.
상기 사용자 파일에 대한 디렉터리 구조의 계층적 폴더 인터페이스를 제공하고, 상기 사용자 파일에 대한 처리 명령을 입력받는 인터페이스부를 더 포함하는 것을 특징으로 하는 드라이브 기반 파일 보안 시스템.
The system of claim 1,
And providing an hierarchical folder interface having a directory structure for the user file and receiving a processing command for the user file.
상기 인터페이스부는 상기 사용자 파일에 대한 처리 명령을 받기 전에, 상기 보안파일 처리부에 상기 디렉터리 구조에 대한 조회를 명령하여, 조회된 디렉터리 구조를 계층적 폴더로 표시하는 것을 특징으로 하는 드라이브 기반 파일 보안 시스템.
3. The method of claim 2,
The interface unit instructs the secure file processing unit to query the directory structure before receiving the processing command for the user file, and displays the inquired directory structure as a hierarchical folder.
상기 보안파일 처리부는 상기 사용자 파일에 대한 열기 명령을 받은 후, 저장 명령을 받기 전까지 상기 영역 파일을 언마운트하지 않는 것을 특징으로 하는 드라이브 기반 파일 보안 시스템.
The method of claim 1,
And the secure file processing unit does not unmount the area file until the save command is received after receiving the open command for the user file.
상기 인터페이스부는 상기 사용자 파일에 대한 열기 명령을 처리한 후, 상기 사용자 파일의 확장자와 매칭되는 프로그램을 실행시키고 상기 사용자 파일을 상기 프로그램으로 열어주는 것을 특징으로 하는 드라이브 기반 파일 보안 시스템.
The method of claim 1,
The interface unit processes the open command for the user file, executes a program matching the extension of the user file, and drives the user-based file security system, characterized in that for opening the user file to the program.
상기 인터페이스부는 사용자의 인증정보를 사전에 입력받아 저장하고, 인증된 사용자만 사용자 파일의 처리 명령을 수행해주는 것을 특징으로 하는 드라이브 기반 파일 보안 시스템.
The method of claim 1,
The interface unit receives and stores the authentication information of the user in advance, and the drive-based file security system, characterized in that only the authenticated user performs a user file processing command.
상기 영역파일 생성부는 상기 컴퓨터 단말의 폴더 상에서 상기 영역파일을 숨기는 것을 특징으로 하는 드라이브 기반 파일 보안 시스템.
The method of claim 1,
The area file generation unit hides the area file on a folder of the computer terminal.
상기 영역 마운팅부는 상기 영역파일을 드라이브로 마운트한 후 상기 드라이브를 숨기는 것을 특징으로 하는 드라이브 기반 파일 보안 시스템.
The method of claim 1,
And the area mounting unit hides the drive after mounting the area file as a drive.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020120061138A KR101371031B1 (en) | 2012-06-07 | 2012-06-07 | A File Securing System Based on Drive |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020120061138A KR101371031B1 (en) | 2012-06-07 | 2012-06-07 | A File Securing System Based on Drive |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20140015642A true KR20140015642A (en) | 2014-02-07 |
KR101371031B1 KR101371031B1 (en) | 2014-03-10 |
Family
ID=50264958
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020120061138A KR101371031B1 (en) | 2012-06-07 | 2012-06-07 | A File Securing System Based on Drive |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101371031B1 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20150144312A (en) * | 2014-04-15 | 2015-12-24 | (주)나무소프트 | Method and software product for controlling application program which access secure saving area |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100589541B1 (en) * | 2004-11-25 | 2006-06-14 | 소프트캠프(주) | Electrical transmission system in secret environment between virtual disks and Electrical transmission method thereof |
KR100990973B1 (en) * | 2007-11-14 | 2010-11-19 | 한국전력공사 | Apparatus of processing data using raw area of removable storage device |
-
2012
- 2012-06-07 KR KR1020120061138A patent/KR101371031B1/en active IP Right Grant
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20150144312A (en) * | 2014-04-15 | 2015-12-24 | (주)나무소프트 | Method and software product for controlling application program which access secure saving area |
Also Published As
Publication number | Publication date |
---|---|
KR101371031B1 (en) | 2014-03-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101852725B1 (en) | Computer programs, secret management methods and systems | |
US10554635B2 (en) | Protecting documents using policies and encryption | |
Carrier | Risks of live digital forensic analysis | |
KR101705550B1 (en) | Method and software product for controlling application program which access secure saving area | |
US20150019864A1 (en) | Secure Virtual Machine | |
KR100596135B1 (en) | Control system for access classified by application in virtual disk and Controling method thereof | |
US20050066165A1 (en) | Method and system for protecting confidential information | |
CN110622163B (en) | Auxiliary storage device with independent recovery area and equipment suitable for same | |
WO2017011293A1 (en) | Securing temporary data on untrusted devices | |
JP2007140798A (en) | Information leakage prevention system for computer | |
KR102037656B1 (en) | Data files protection | |
Scarfone et al. | Guide to storage encryption technologies for end user devices | |
TWI607338B (en) | Storage device, data protection method therefor, and data protection system | |
KR20220085786A (en) | Ransomware Protection | |
CN103605934B (en) | Protection method and device for executable files | |
KR101371031B1 (en) | A File Securing System Based on Drive | |
US11880482B2 (en) | Secure smart containers for controlling access to data | |
KR20230042840A (en) | Data Protection System for Protecting Data from the Ransomware | |
JP7527539B2 (en) | Electronic data management method, electronic data management device, program therefor, and recording medium | |
KR20030090568A (en) | System for protecting computer resource and method thereof | |
KR101552688B1 (en) | Security method and system at endpoint stage using user policy | |
Mehta et al. | Towards Enablement Of Efficient Forensics Of Encrypted Storage Devices Such As HDDs and SSDs | |
Stewart | Forensic implications of Windows vista | |
KR20210043069A (en) | System and method for storing security information using a plurality of storages | |
Scarfone et al. | SP 800-111. Guide to Storage Encryption Technologies for End User Devices |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20170214 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20190214 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20200217 Year of fee payment: 7 |