特表2024-512381フォルダー保護機能を提供するセキュリティ機器システムの駆動装置およびその動作方法
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2024-03-19
(54)【発明の名称】フォルダー保護機能を提供するセキュリティ機器システムの駆動装置およびその動作方法
(51)【国際特許分類】
G06F 21/55 20130101AFI20240312BHJP
G06F 21/78 20130101ALI20240312BHJP
G06F 21/62 20130101ALI20240312BHJP
【FI】
G06F21/55
G06F21/78
G06F21/62 318
【審査請求】有
【予備審査請求】未請求
(21)【出願番号】P 2023554928
(86)(22)【出願日】2021-07-30
(85)【翻訳文提出日】2023-09-07
(86)【国際出願番号】 KR2021009940
(87)【国際公開番号】W WO2023008620
(87)【国際公開日】2023-02-02
(81)【指定国・地域】
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.UNIX
2.macOS
(71)【出願人】
【識別番号】517434585
【氏名又は名称】株式会社ギウォンテク
【氏名又は名称原語表記】KIWONTECH
【住所又は居所原語表記】509-Ho, 53, Digital-ro 31-gil, Guro-gu, Seoul, Republic of Korea
(74)【代理人】
【識別番号】110002262
【氏名又は名称】TRY国際弁理士法人
(72)【発明者】
【氏名】キム チュンハン
(57)【要約】
本発明の実施形態によるセキュリティ機器システムを駆動させる駆動装置の動作方法において、前記セキュリティ機器システムの暗号化プロセスに従って、オリジナルフォルダーのツリー構造を変換して変換ツリー構造情報を生成する暗号化処理段階と、前記変換ツリー構造情報に基づいて前記セキュリティ機器システムのフォルダー構造変換情報を管理するフォルダー構造管理段階と、前記フォルダー構造変換情報に基づいて、前記セキュリティ機器システムの内部から求められたファイル読み取り命令の経路を変換する変換処理段階と、を含む。
【特許請求の範囲】
【請求項1】
セキュリティ機器システムを駆動させる駆動装置であって、前記セキュリティ機器システムのフォルダー構造変換情報を管理するフォルダー構造管理部と、
前記フォルダー構造変換情報に基づいて、前記セキュリティ機器システムの内部から求められたファイル読み取り命令の経路を変換する変換処理部と、
を含む、セキュリティ機器システムの駆動装置。
【請求項2】
前記フォルダー構造変換情報は、暗号化処理部で予め行われた暗号化プロセスに従って生成され、前記セキュリティ機器システムのオリジナルフォルダーのツリー構造を変換した変換ツリー構造情報と、前記変換ツリー構造情報にマッピングされるオリジナルフォルダーのツリー構造情報と、を含む、請求項1に記載のセキュリティ機器システムの駆動装置。
【請求項3】
前記予め行われた暗号化プロセスは、前記オリジナルフォルダーのツリー構造情報を、ランダム暗号化処理された前記変換ツリー構造にマッピングするプロセスを含む、請求項2に記載のセキュリティ機器システムの駆動装置。
【請求項4】
前記ランダム暗号化処理は、前記オリジナルフォルダーのツリー構造情報の深さまたは経路名の少なくとも1つをランダムに変更して変換ツリー構造を生成する暗号化処理を含む、請求項3に記載のセキュリティ機器システムの駆動装置。
【請求項5】
前記予め行われた暗号化プロセスは、前記セキュリティ機器システムの駆動により経過した第1周期ごとに繰り返し行われる、請求項3に記載のセキュリティ機器システムの駆動装置。
【請求項6】
前記予め行われた暗号化プロセスを処理するために、前記セキュリティ機器システムの駆動による管理者インターフェースを出力するインターフェース提供部をさらに含み、前記予め行われた暗号化プロセスは、前記管理者インターフェースに対応するユーザーのフォルダー構造の暗号化入力によって処理される、請求項3に記載のセキュリティ機器システムの駆動装置。
【請求項7】
前記フォルダー構造の暗号化入力は、前記暗号化プロセスの即時実行命令または繰り返し周期設定命令を含む、請求項6に記載のセキュリティ機器システムの駆動装置。
【請求項8】
前記フォルダー構造管理部は、前記セキュリティ機器システムのランダムアクセスメモリ上に前記フォルダー構造変換情報を保存および管理する、請求項1に記載のセキュリティ機器システムの駆動装置。
【請求項9】
前記フォルダー構造変換情報は、前記セキュリティ機器システムが起動する時点に生成され、前記ランダムアクセスメモリ上に揮発性として保存される、請求項8に記載のセキュリティ機器システムの駆動装置。
【請求項10】
セキュリティ機器システムを駆動させる駆動装置の動作方法であって、前記セキュリティ機器システムの暗号化プロセスに従って、オリジナルフォルダーのツリー構造を変換して変換ツリー構造情報を生成する暗号化処理段階と、
前記変換ツリー構造情報に基づいて前記セキュリティ機器システムのフォルダー構造変換情報を管理するフォルダー構造管理段階と、
前記フォルダー構造変換情報に基づいて、前記セキュリティ機器システムの内部から求められたファイル読み取り命令の経路を変換する変換処理段階と、
を含む、セキュリティ機器システムを駆動させる駆動装置の動作方法。
【請求項11】
前記フォルダー構造変換情報は、前記暗号化処理段階で予め行われた暗号化プロセスに従って生成され、前記変換ツリー構造情報と、前記変換ツリー構造情報にマッピングされるオリジナルフォルダーのツリー構造情報と、を含む、請求項10に記載のセキュリティ機器システムを駆動させる駆動装置の動作方法。
【請求項12】
前記予め行われた暗号化プロセスは、前記オリジナルフォルダーのツリー構造情報を、ランダム暗号化処理された前記変換ツリー構造にマッピングするプロセスを含む、請求項11に記載のセキュリティ機器システムを駆動させる駆動装置の動作方法。
【請求項13】
前記ランダム暗号化処理は、前記オリジナルフォルダーのツリー構造情報の深さまたは経路名の少なくとも1つをランダムに変更して変換ツリー構造を生成する暗号化処理を含む、請求項12に記載のセキュリティ機器システムを駆動させる駆動装置の動作方法。
【請求項14】
前記予め行われた暗号化プロセスは、前記セキュリティ機器システムの駆動により経過した第1周期ごとに繰り返し行われる、請求項12に記載のセキュリティ機器システムを駆動させる駆動装置の動作方法。
【請求項15】
前記予め行われた暗号化プロセスを処理するために、前記セキュリティ機器システムの駆動による管理者インターフェースを出力するインターフェース提供段階をさらに含み、前記予め行われた暗号化プロセスは、前記管理者インターフェースに対応するユーザーのフォルダー構造の暗号化入力によって処理される、請求項12に記載のセキュリティ機器システムを駆動させる駆動装置の動作方法。
【請求項16】
前記フォルダー構造の暗号化入力は、前記暗号化プロセスの即時実行命令または繰り返し周期の設定命令を含む、請求項15に記載のセキュリティ機器システムを駆動させる駆動装置の動作方法。
【請求項17】
前記フォルダー構造管理段階は、前記セキュリティ機器システムのランダムアクセスメモリ上に前記フォルダー構造変換情報を保存および管理する、請求項10に記載のセキュリティ機器システムを駆動させる駆動装置の動作方法。
【請求項18】
前記フォルダー構造変換情報は、前記セキュリティ機器システムが起動する時点に生成され、前記ランダムアクセスメモリ上に揮発性として保存される、請求項17に記載のセキュリティ機器システムを駆動させる駆動装置の動作方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、駆動装置およびその方法に関する。より具体的には、本発明は、フォルダー保護機能を提供するセキュリティ機器システムの駆動装置およびその動作方法に関する。
【背景技術】
【0002】
一般に、オペレーティングシステム(Operating System)は、システムハードウェアおよびソフトウェアのリソースを効率的に管理し、データ処理および作業計画を調整する役割を果たす。このようなオペレーティングシステムのサブシステムであるファイルシステムは、システムに保存されているファイルなどのデータを探索してアクセスできるデータ管理システムを提供することができる。このようなファイルシステムは、オペレーティングシステムによってそれぞれの特性を有し、様々な種類で提供できる。例えば、ウィンドウズ(登録商標)(Windows)系のオペレーティングシステムでのファイルシステムは、代表的に、FAT32(File Allocation table 32)、NTFS(New Technology File System)などで提供される。UnixおよびLinux(登録商標)オペレーティングシステムにおけるファイルシステムは、それぞれUFS(Unix File System)、EXT(Extended File System)などで提供され、MacOS用ファイルシステムは、APFS(Apple file system)などで提供される。
【0003】
ファイルシステムは、オペレーティングシステムによるハードウェア的なリソースとソフトウェア的なリソースの管理が効率的に行われるように、ストレージデバイス内の保存されたデータを論理的に管理することができる。ファイルシステムは、特定のストレージデバイスのスペースにデータを保存でき、保存されたデータを呼び出すことができるようにアクセスするデータ管理システムを提供することができる。このようなファイルシステムのデータ管理システムは、フォルダー(ディレクトリ)構造で体系化することができる。フォルダー構造は、ツリー構造のように階層的に構成することができる。
【0004】
これにより、フォルダー構造は、オペレーティングシステムのシステム管理プロセス、特定のアプリケーションプログラムの実行のための位置経路として活用できる。また、フォルダー構造は、オペレーティングシステムのプロセスまたはアプリケーションプログラムなどの実行において読み取り(呼び出し)が求められるデータファイルの保存位置経路を提供してアクセス可能にする。
【0005】
これに対して、悪意的な意図を持ってハッキングを通じてイントラネットに侵入するハッカーまたは標的型メール攻撃、スピアフィッシングなどを通じてセキュリティ機器システムに接続したユーザーが、あらかじめセキュリティ機器システムのフォルダー構造であるデータ管理システムまで把握している場合、機密資料が容易に流出したり、セキュリティ機器システムが異常動作をしたりするリスクが発生する。
【0006】
特に、同一メーカーのセキュリティシステムの装備である場合、フォルダーのシステム体系は、通常、同一または類似するため、当該メーカーの同一または類似の装備を分析してターゲット装備を無力化させてファイルを容易に奪取することができる。
【0007】
このようなセキュリティリスクの要素は、フォルダーシステム構造を装備ごとに異なるように適用して販売することもできるが、これは毎回時間および費用がかかり、中央で管理するためのインフラ構築設備と管理費用が追加されるため図りにくい限界がある。
【0008】
また、フォルダーシステム構造が流出する場合、セキュリティシステムの技師が派遣されてシステム構造を変えなければならないが、個別装備ごとに進行されなければならないので、過度な時間と費用が所要される。フォルダーシステム構造が流出する場合、周期的にフォルダーシステムを変更することも望ましいが、同様に、セキュリティシステム技師が派遣されてシステム構造を変えなければならず、個別装備ごとに進行されなければならないため、過度な時間と費用がかかるため、このような対応方式は現実的に限界がある。
【発明の概要】
【発明が解決しようとする課題】
【0009】
本発明は、前記した従来の問題点を解決するためになされたもので、悪意的な意図を持つ外部侵入者または内部ユーザーがセキュリティ機器システム内のデータ管理システムの情報を悪用してシステムを無力化させることにより、これを通じた内部情報システムに加えられる有害な影響と不法なデータの流出、変調、破壊行為を遮断できるように、セキュリティ機器システム内へのアクセスとプロセスの実行をコントロールできるフォルダー保護機能を提供するセキュリティ機器システムの駆動装置およびその動作方法を提供することにその目的がある。
【課題を解決するための手段】
【0010】
前記課題を解決するための本発明の実施形態による方法は、前記セキュリティ機器システムを駆動させる駆動装置の動作方法において、前記セキュリティ機器システムの暗号化プロセスに従って、オリジナルフォルダーのツリー構造を変換して変換ツリー構造情報を生成する暗号化処理段階と、前記変換ツリー構造情報に基づいて前記セキュリティ機器システムのフォルダー構造変換情報を管理するフォルダー構造管理段階と、前記フォルダー構造変換情報に基づいて、前記セキュリティ機器システムの内部から求められたファイル読み取り命令の経路を変換する変換処理段階と、を含む。
【0011】
また、前記のような課題を解決するための本発明の実施形態による装置は、前記セキュリティ機器システムのフォルダー構造変換情報を管理するフォルダー構造管理部と、前記フォルダー構造変換情報に基づいて、前記セキュリティ機器システムの内部から求められたファイル読み取り命令の経路を変換する変換処理部と、を含むセキュリティ機器システムの駆動装置である。
【0012】
なお、前記のような課題を解決するための本発明の実施形態による方法は、前記方法を実行させるためのプログラムまたは前記プログラムが記録されてコンピュータで読み取り可能な記録媒体で具現できる。
【発明の効果】
【0013】
本発明の実施形態によれば、悪意的な意図を持ってイントラネットのセキュリティ機器システムにアクセスするハッカーまたは内部ユーザーに対して、データ管理システムであるフォルダーシステムの構造を動的に変換可能にすることにより、セキュリティ機器システムにデフォルトとして適用されて運営されるフォルダーシステム構造のセキュリティを強化してセキュリティ機器システムの正常なセキュリティ機能を保障し、これによって、内部情報システムを侵入者から保護することができる。また、セキュリティ機器システムのフォルダーシステムの構造変換を周期的にまたは必要に応じてユーザーインターフェースを通じて管理者が直接実行させ得るようにすることで、セキュリティの強化を極大化することができる。このように、メーカーのエンジニアまたはセキュリティ装備専門家の現場訪問なしにフォルダーシステム構造を動的に変換できるため、設定変更に所要となる時間を最小化でき、費用節減を図ることができる。
【図面の簡単な説明】
【0014】
【図1】本発明の一実施形態による全体システムを概略的に示した概念図である。
【図2】本発明の一実施形態による駆動装置をより具体的に示したブロック図である。
【図3】本発明の一実施形態による駆動装置の動作方法を説明するためのフローチャートである。
【発明を実施するための形態】
【0015】
以下の内容は、単に本発明の原理を例示する。したがって、当業者はたとえ本明細書で明確に説明又は図示されなかったとしても、本発明の原理を具現し、本発明の概念と範囲に含まれた多様な装置と方法を発明することができる。また、本明細書に列挙されたすべての条件付き用語および実施形態は、原則として、本発明の概念を理解させるための目的にのみ明確に意図され、このように特に列挙された実施形態および状態に限定するものと理解してはならない。
【0016】
また、本発明の原理、観点及び実施形態だけでなく、特定の実施形態を列挙するすべての詳細な説明は、このような事項の構造的および機能的な均等物を含むように意図されるものと理解されなければならない。また、これらの均等物は、現在公知とされている均等物のみならず、将来開発される均等物、すなわち構造と関係なく同じ機能を遂行するように発明されたすべての素子を含むものと理解されなければならない。
【0017】
したがって、例えば、本明細書のブロック図は、本発明の原理を具体化する例示的な回路の概念的な観点を示すものと理解すべきである。これと同じく、すべてのフローチャート、状態変化図、擬似コードなどは、コンピュータで読み取り可能な媒体で実質的に表わすことができ、コンピュータまたはプロセッサが明確に図示されているかどうかを問わず、コンピュータまたはプロセッサによって遂行される多様なプロセスを表わすものと理解されなければならない。
【0018】
プロセッサまたはこれと類似した概念で表示された機能ブロックを含む図面に示された多様な素子の機能は、専用ハードウェアだけでなく、好適なソフトウェアと関連してソフトウェアを実行する能力を持つハードウェアの使用で提供されることができる。プロセッサによって提供される場合、前記機能は、単一の専用プロセッサ、単一の共有プロセッサまたは複数の個別プロセッサによって提供されてもよく、これらの一部は共有されることができる。
【0019】
また、プロセッサ、制御またはそれに類似する概念として提示される用語の明確な使用は、ソフトウェアを実行する能力を持つハードウェアを排他的に引用して解釈してはならず、制限なくデジタル信号プロセッサ(DSP)のハードウェア、ソフトウェアを保存するためのROM、RAMおよび不揮発性メモリを暗示的に含むものと理解されなければならない。周知慣用の他のハードウェアも含まれることができる。
【0020】
本明細書の請求範囲において、詳細な説明に記載された機能を遂行するための手段として表現された構成要素は、例えば、前記機能を遂行する回路素子の組み合わせまたはファームウェア/マイクロコードなどを含むすべての形式のソフトウェアを含む機能を遂行するすべての方法を含むことが意図され、前記機能を遂行するように前記ソフトウェアを実行するための適切な回路と結合される。このような請求範囲によって定義される本発明は、多様に列挙された手段によって提供される機能が結合され、請求項が求める方式と結合されるため、前記機能を提供できる如何なる手段も本明細書から把握されるものと均等なものと理解されなければならない。
【0021】
前述した目的、特徴および長所は、添付の図面に関する次の詳細な説明を通じてより明確になるはずであり、これによって、本発明の属する技術分野における通常の知識を持つ者が本発明の技術的思想を容易に実施できる。また、本発明を実施するにあたり、本発明に関連する公知の技術に対する具体的な説明が、本発明の要旨を無駄に濁らす恐れがあると判断される場合に、その詳細な説明を省略することにする。
【0022】
以下、添付の図面を参照して、本発明の望ましい実施形態をより詳しく説明する。本発明を説明するにあたり、全般的な理解を容易にするため、図面上の同じ構成要素に対しては同じ符号を付し、同一の構成要素に対する重複する説明は省略する。
【0023】
図1は、本発明の一実施形態による全体システムを概略的に示した概念図である。
【0024】
本発明の一実施形態によるフォルダー保護機能を提供するセキュリティ機器システムを含む全体システムは、内部ITシステム1と、外部ITシステム200と、を含むことができる。そして、前記内部ITシステム1は、セキュリティ機器システム10と、ネットワークデバイス20と、サーバー・クライアント30と、を含むことができる。
【0025】
内部ITシステム1は、外部ネットワーク(インターネット網)を通じて分岐する通信経路において、外部ネットワークから独立して構成できる。この時、内部ITシステム1は、インターネットゲートウェイルーターなどの通信装備(図示せず)を通じてエクストラネットから独立した通信経路を確保でき、これにより、インターネットゲートウェイルーターの下段に更なるITインフラを構築することができる。内部ITシステム1は、セキュリティ機器システム10と、ネットワークデバイス20と、データの移動と共有並びに処理を行うサーバー・クライアント30などとを含んで、IT資源を活用できるように構成することができる。
【0026】
この時、セキュリティ機器システム10は、エクストラネットから非認可者の接続を遮断したり、異常なデータの流入を防止したりできる情報保護装備またはシステムを含むことができる。具体的には、ネットワークファイアウォール、ウェブファイアウォール、Anti-DDoS、ネットワークアクセスコントロール(NAC)、不正侵入防止システム(IPS)、および迷惑メール遮断システムなどを含むことができる。
【0027】
ここで、本発明の実施形態による駆動装置100は、セキュリティ機器システム10に搭載されて前記セキュリティ機器システム10の駆動を制御する運営制御装置であることができ、そのための一つ以上のハードウェアモジュールと、これを動作させるソフトウェアモジュールとを含んでなることができる。例えば、駆動装置100は、セキュリティ機器システム10の駆動によって、ネットワークファイアウォール、ウェブファイアウォール、Anti-DDoS、ネットワークアクセスコントロール(NAC)、不正侵入防止システム(IPS)、迷惑メール遮断システムなどを動作させるソフトウェアオペレーティングシステムがハードウェアで具現された1つ以上のマイクロプロセッ基盤回路を含むことができる。
【0028】
また、ネットワークデバイス20は、ルーター(Router)、スイッチ(Switch)、ハブ(Hub)などのように通信経路の指定および拡張機能を遂行する装備で構成されることができる。
【0029】
そして、サーバーは、メールサーバー、ウェブサーバー、ウェブアプリケーションサーバー、DBサーバーなどに区分でき、クライアントは、PC、端末機などのユーザー端末に区分できる。
【0030】
外部ITシステム200は、外部ネットワークに連結される不特定ITシステムであり、これを通じて要求されるデータの移動と交換並びに処理サービスが提供されることができる。
【0031】
内部ITシステム1は、セキュリティ機器システム10、ネットワークデバイス20、サーバー・クライアント30間のイントラネットを通じて接続でき、相互間の通信を行うことができる。また、前記内部ITシステム1は、外部ITシステム200と外部ネットワーク(インターネット網)を通じて連結でき、相互間の通信を行うことができる。
【0032】
ここで、前記各ネットワークは、ローカルエリアネットワーク(Local Area Network;LAN)、広域通信網(Wide Area Network;WAN)、付加価値通信網(Value Area Network;VAN)、パーソナルエリアネットワーク(Personal Area Network;PAN)、移動無線通信網(mobile radio communication network)または衛星通信網などのあらゆる種類の有・無線ネットワークで具現できる。
【0033】
ユーザー端末は、コンピュータ、携帯電話、スマートフォン(smart phone)、スマートパッド(smart pad)、ノート型パソコン(laptop computer)、PDA(Personal Digital Assistants)、PMP(Portable Media Player)のうちいずれか一つの個別デバイスまたは特定の場所に設置されるキオスクまたは据置型ディスプレイ装置などの共用化されたデバイスのうち少なくとも1つのマルチデバイスであってもよい。これにより、ユーザー端末は、内部ITシステム1および外部ITシステム200から提供されるIT資源に対するデータ送受信サービスを利用することができる。
【0034】
図2は、本発明の一実施形態による駆動装置をより具体的に示したブロック図である。
【0035】
図2を参照すると、本発明の実施形態によるセキュリティ機器システム10の駆動装置100は、制御部110と、フォルダー構造管理部120と、暗号化処理部130と、変換処理部140と、インターフェース提供部150と、通信部160と、を含む。さらに、暗号化処理部130は、正常変換確認部131を含むことができる。
【0036】
前述したように、本発明の実施形態による駆動装置100は、セキュリティ機器システム10に搭載されて前記セキュリティ機器システム10の駆動を制御する運営制御装置であることができ、そのための一つ以上のハードウェアモジュールと、これを動作させるソフトウェアモジュールとを含んでなることができる。
【0037】
まず、制御部110は、セキュリティ機器システム10のフォルダーおよびファイルシステム駆動を制御し、駆動装置100の各構成要素の動作を全般的に制御するための1つ以上のプロセッサで具現することができる。例えば、駆動装置100の制御部110は、セキュリティ機器システム10の駆動によって、ネットワークファイアウォール、ウェブファイアウォール、Anti-DDoS、ネットワークアクセスコントロール(NAC)、不正侵入防止システム(IPS)、迷惑メール遮断システムなどを動作させるソフトウェアオペレーティングシステム機能の全部または一部をハードウェアで具現する1つ以上のマイクロプロセッサ基盤の駆動回路を含むことができる。
【0038】
次いで、フォルダー構造管理部120は、セキュリティ機器システム10のフォルダー構造変換情報を管理することができる。フォルダー構造変換情報は、暗号化処理部130で予め行われた暗号化プロセスに従って生成されることができる。また、フォルダー構造変換情報は、セキュリティ機器システム10のオリジナルフォルダーのツリー構造を変換した変換ツリー構造情報を含むことができる。さらに、フォルダー構造変換情報は、変換ツリー構造情報にマッピングされるオリジナルフォルダーのツリー構造情報を含むことができる。
【0039】
フォルダー構造管理部120は、セキュリティ機器システム10に具備されるストレージデバイスに存在するファイルの位置経路を固有に表わすことができるように、フォルダーツリー構造を利用して階層的ストレージシステムを提供することができる。これにより、フォルダー構造管理部120は、フォルダーツリー構造の拡張と縮小などの変更が行われる時、前記階層的ストレージシステムを利用して固有経路を保障することができる。前記階層的ストレージシステムは、各々のフォルダーツリー構造として生成されるフォルダー名に割り当てられる文字、数字、記号などのテキストを指定または割り当てることができ、重複または承認されていないテキストに対しては非認可イベントを発生して使用を制限することができる。
【0040】
参考までに、ファイルは、データファイルとプログラムファイル、システムファイルなどに区分できる。この中で、システムファイルは、セキュリティ機器システムの運用目的によって具備されるハードウェアおよびソフトウェアを制御するために設置されるオペレーティングシステムが管理できる。
【0041】
フォルダー構造管理部120は、階層的ストレージシステムを利用してオリジナルフォルダーのツリー構造情報を別途管理することができる。フォルダー構造管理部120は、オリジナルフォルダーのツリー構造情報をデフォルトツリー構造として管理し、不揮発性メモリに保存することができる。フォルダー構造管理部120は、デフォルトツリー構造であるオリジナルフォルダーのツリー構造情報に対するデータの削除および変更プロセスへのアクセスを遮断することができる。
【0042】
フォルダー構造管理部120は、セキュリティ機器システム10の駆動及び機能提供に必要なプロセスが遂行できるように、関連データファイルが位置したデフォルトツリー構造をオリジナルフォルダーのツリー構造情報として管理することができる。
【0043】
このように、フォルダー構造管理部120は、オリジナルフォルダーのツリー構造情報に基づいてフォルダーツリー構造変更に係わるイベント発生時、フォルダーツリー構造の拡張と縮小、変換などによって獲得されるフォルダー構造変換情報をマッピングすることができる。これにより、前記フォルダー構造変換情報は、セキュリティ機器システム10の内部から求められたファイル読み取り命令の経路を正常に追跡することができる。
【0044】
フォルダー構造管理部120は、セキュリティ機器システム10に構成されるランダムアクセスメモリ上にフォルダー構造変換情報を保存して管理することができる。フォルダー構造管理部120は、ファイル読み取り命令に対して、ランダムアクセスメモリ上に常駐するフォルダー構造変換情報の探索を行い、これにより、ファイルの読み取りが行われるファイルの位置経路が得られる。
【0045】
フォルダー構造管理部120は、セキュリティ機器システム10が起動される時、フォルダー構造変換情報をランダムアクセスメモリ上に保存して活性化することができる。これに対し、オリジナルツリー構造に関する情報は、不揮発性メモリ上に保存され、マスター情報として管理できる。
【0046】
暗号化処理部130は、暗号化プロセスを実行してオリジナルフォルダーのツリー構造を変換した変換ツリー構造を得ることができる。前記オリジナルフォルダーのツリー構造および変換ツリー構造は、フォルダー構造変換情報として保存され、前記フォルダー構造管理部120で管理され得る。前記暗号化プロセスは、オリジナルフォルダーのツリー構造情報を、ランダム暗号化処理された前記変換ツリー構造にマッピングするプロセスを含むことができる。
【0047】
前記暗号化プロセスは、オリジナルフォルダーのツリー構造情報に含まれるそれぞれのフォルダー名にランダム暗号化処理によって任意のテキストが入力されて変換できる。また、前記暗号化プロセスは、1次的に処理された変換ツリー構造に対しても、変換イベント発生時にそれぞれのフォルダー名にランダム暗号化処理によってフォルダー名を変換して2次変換ツリー構造を生成することができる。
【0048】
このとき、暗号化プロセスは、フォルダーツリー構造においてフォルダー名を変更すべき対象フォルダーの選択と、変更すべき対象フォルダーの最小数または最大数が設定可能である。また、暗号化プロセスは、フォルダー名に適用されるテキストの類型および選択されるテキストの最小長または最大長を設定可能である。これと共に、暗号化プロセスは、既存のフォルダー名から特定部分の変更または既存のフォルダー名の全体変更を設定することができる。このように暗号化プロセスは、オリジナルフォルダーのツリー構造において、変更すべき対象の範囲及び形態に対する設定を異にすることができる。
【0049】
このように、暗号化プロセスは、フォルダー構造またはフォルダー名の変更範囲および形態に対する設定が、ランダム暗号化処理方式で行われることができる。さらに、暗号化プロセスは、現在割り当てられているフォルダー名を活用してフォルダー間のフォルダー名を交換して混合する方式で適用されてもよい。
【0050】
ランダム暗号化処理は、オリジナルフォルダーのツリー構造情報の深さまたは経路名の少なくとも一つをランダムに変更して前記変換ツリー構造を生成する暗号化処理を含むことができる。例えば、ランダム暗号化処理は、オリジナルフォルダーのツリー構造情報における最上位の「1」フォルダーのサブフォルダーである「2」フォルダー、「2」フォルダーのサブフォルダーである「3」フォルダー内における「123.sys」ファイルのあるオリジナルフォルダーのツリー構造を、「1」フォルダーは「A」フォルダー、「2」フォルダーは「A2」フォルダーにそれぞれ変更して変換ツリー構造を生成することができる。これに加えて、変換された「A3」フォルダーの下位として「A4フォルダー」を生成し、「A4」フォルダー内の「123.sys」ファイルが位置する経路に変換する変換ツリー構造を生成することができる。
【0051】
また、暗号化処理部130は、最初のオリジナルフォルダーのツリー構造を変換して獲得する変換ツリー構造に対して連鎖的な変換を処理することができる。例えば、暗号化処理部130は、オリジナルフォルダーのツリー構造を変換した第1の変換ツリー構造を獲得することができる。引き続き、暗号化処理部130は、第1の変換ツリー構造に暗号化プロセスを遂行することで第2の変換ツリー構造を獲得することができる。このように第[n]の変換ツリー構造は、暗号化プロセスの遂行によって、第[n+1]、第[n+2]、第[n+3]、・・・、第[n+m]の変換ツリー構造に変換できる。
【0052】
前記暗号化プロセスは、前記セキュリティ機器システム10の駆動によって、経過した第1の周期ごとに繰り返し行うことができる。また、前記暗号化プロセスは、管理者の定期点検スケジュールに従って入力される設定値に基づいて行われることができ、不定期で必要に応じて即時実行できる。前記暗号化プロセスは、周期的若しくは必要に応じて変換ツリー構造を生成して適用することで、セキュリティの強化を通じてフォルダー構造情報の流出によって引き起こされる恐れがある外部侵入または内部者の悪意的なシステムへのアクセスリスクを未然に防止するとともに、内部システムの完全性を保障することができる。
【0053】
暗号化処理部130は、正常変換確認部131を含むことができる。正常変換確認部131は、オリジナルフォルダーのツリー構造情報にマッピングされる変換ツリー構造にエラーが発生したり、固有経路ではないと判断したりする場合、進行作業をキャンセルすることができる。正常変換確認部131は、最終的に変換ツリー構造がフォルダー構造変換情報として保存される前に、既存のツリー構造との整合性の判断によって異常有無を確認することができる。
【0054】
本発明の一実施形態によれば、暗号化処理部130は、次のように変換ツリー構造を生成することができる。特定のストレージデバイスであるディスクは、最上位階層のフォルダーとして「A1」、「A2」、「A3」があり、「A1」フォルダーのサブフォルダーとしては、「B11」、「B12」のフォルダー、「A2」フォルダーのサブフォルダーには「B21」のフォルダー、「A3」フォルダーのサブフォルダーとしては「B31」、「B32」、「B1」フォルダーが位置する構造を持つオリジナルフォルダーのツリー構造からなることができる。暗号化処理部130は、暗号化プロセスを実行して、前記オリジナルフォルダーのツリー構造を以下のように変換することができる。暗号化処理部130は、暗号化プロセスのランダム暗号化処理により、「A1」フォルダーに限って「B1」に変換できる。暗号化処理部130は、前記暗号化プロセスにより、「B1」フォルダーのサブフォルダーとしては「B11」、「B12」のフォルダー、「A2」フォルダーのサブフォルダーとしては「B21」のフォルダー、「A3」フォルダーのサブフォルダーとしては「B31」、「B32」、「B1」という変換ツリー構造を獲得することができる。この時、正常変換確認部131は、最上位階層のフォルダーとして「B1」、「A2」、「A3」を獲得したが、最上位階層のフォルダーである「B1」フォルダーは、前記「A3」フォルダーのサブフォルダーである「B1」とフォルダー名とが同一であることができる。このとき、固有経路を確保するための正常変換確認部131の条件によって整合性を判断することができる。正常変換確認部131は、整合性判断条件として重複するフォルダー名の使用を制限する場合、「B1」に変換された変換ツリー構造は作業がキャンセルされ、オリジナル状態のフォルダー名の構造に戻ることができる。正常変換確認部131は、整合性判断条件を絶対経路へのファイル経路を基準として他の階層でのフォルダー名の重複が許可される設定の下では変換ツリー構造が承認され、フォルダー構造変換情報で管理できる。
【0055】
このように、暗号化処理部130は、フォルダー構造変換時にエラーが発生する場合またはユーザーのフォルダー構造の暗号化入力がロールバック(Roll-Back)命令に該当する場合など、オリジナルツリー構造への変換が要求される時、オリジナルツリー構造であるマスター情報を利用してロールバック(Roll-Back)機能を遂行し、オリジナルツリー構造にフォルダー構造を戻すことができる。
【0056】
変換処理部140は、フォルダー構造変換情報に基づいて、セキュリティ機器システム10の内部から求められたファイル読み取り命令の経路を変換することができる。
【0057】
本発明の一実施形態によれば、オリジナルフォルダーのツリー構造として、最上位階層のフォルダーは、「dir1」、「dir2」、「dir3」で構成され、「dir1」下位階層のフォルダーは、「dir11」、「dir12」、「dir13」、また、「dir2」下位階層のフォルダーは、「dir21」、「dir22」、「dir23」、そして「dir3」下位階層のフォルダーは、「dir31」、または「dir32」で構成されることができる。さらに、「dir31」下位階層のフォルダーは、「dir41」、「dir42」で構成され、「dir41」には「setup.exe」の実行ファイルが存在する可能性がある。上位フォルダーと下位フォルダーとを区分する区分子として「/」を使用する場合、前記「setup.exe」実行ファイルの全体経路は、「dir3/dir31/dir41」と表わすことができる。このとき、フォルダー構造の暗号化入力によって、暗号化処理部130は、暗号化プロセスを遂行し、「dir3」フォルダーを「change3」に、「dir31」フォルダーを「change31」に、「dir41」フォルダーを「change41」フォルダーに、夫々当該フォルダー名を変換して変換ツリー構造情報を取得してフォルダー構造変換情報に含めることができる。これにより、セキュリティ機器システムの駆動に係わるプロセスによって前記「setup.exe」ファイルを呼び出そうとすると、既存の「dir3/dir31/dir41」経路ではない「change3/change31/change41」のファイル経路を通じて実行ファイルを呼び出して実行することができる。また、フォルダー構造変換情報は、ランダムアクセスメモリに常駐し、「setup.exe」ファイルを通じて読み取られなければならないファイルに対するファイル経路をランダムアクセスメモリのフォルダー構造変換情報とマッピングして獲得することができる。このように「setup.exe」および特定のプロセスが活用するファイルの経路も変換されることにより、フォルダー構造変換情報はセキュリティ機器システムに構成された最初のフォルダーツリー構造情報を知っている悪意的な意図を持つ外部侵入者または内部ユーザーの実行ファイルへのアクセスを遮断することができ、これと共に、セキュリティ機器の機能を制御できるシステムファイルまたは環境設定ファイルなどを保護することができる。
【0058】
インターフェース提供部150は、予め行われた暗号化プロセスを処理するために、前記セキュリティ機器システム10の駆動による管理者インターフェースを出力することができる。前記予め行われた暗号化プロセスは、前記管理者インターフェースに対応するユーザーのフォルダー構造の暗号化入力によって処理できる。フォルダー構造の暗号化入力は、前記暗号化プロセスの即時実行命令または繰り返し周期の設定命令を含むことができる。
【0059】
図3は、本発明の一実施形態による駆動装置の動作方法を説明するためのフローチャートである。
【0060】
図3を参照すると、フォルダー保護機能を提供するセキュリティ機器システムの駆動装置の動作方法において、暗号化処理段階(S101)は、セキュリティ機器システム10の暗号化プロセスによってオリジナルフォルダーのツリー構造を変換して変換ツリー構造情報を生成することができる。
【0061】
フォルダー構造管理段階(S103)は、前記変換ツリー構造情報に基づいて前記セキュリティ機器システム10のフォルダー構造変換情報を管理することができる。前記フォルダー構造管理段階(S103)は、前記セキュリティ機器システムのランダムアクセスメモリ上に前記フォルダー構造変換情報を保存及び管理することができる。前記フォルダー構造変換情報は、前記セキュリティ機器システム10が起動する時点に生成され、前記ランダムアクセスメモリ上に揮発性として保存されることを特徴とする。
【0062】
前記フォルダー構造変換情報は、前記暗号化処理段階(S101)で予め行われた暗号化プロセスによって生成され、前記変換ツリー構造情報と、前記変換ツリー構造情報にマッピングされるオリジナルフォルダーのツリー構造情報と、を含むことができる。前記予め行われた暗号化プロセスは、前記オリジナルフォルダーのツリー構造情報を、ランダム暗号化処理された前記変換ツリー構造にマッピングするプロセスを含むことができる。前記ランダム暗号化処理は、前記オリジナルフォルダーのツリー構造情報の深さまたは経路名のうち少なくとも一つをランダムに変更して前記変換ツリー構造を生成する暗号化処理を含むことができる。
【0063】
前記予め行われた暗号化プロセスは、前記セキュリティ機器システム10の駆動によって経過した第1の周期ごとに繰り返し行うことができる。
【0064】
変換処理段階(S105)は、前記フォルダー構造変換情報に基づいて、前記セキュリティ機器システムの内部から求められたファイル読み取り命令の経路を変換することができる。
【0065】
インターフェース提供段階(S107)は、前記予め行われた暗号化プロセスを処理するために、前記セキュリティ機器システム10の駆動による管理者インターフェースを出力することができる。前記予め行われた暗号化プロセスは、前記管理者インターフェースに対応するユーザーのフォルダー構造の暗号化入力によって処理できる。前記フォルダー構造の暗号化入力は、前記暗号化プロセスの即時実行命令または繰り返し周期の設定命令を含むことができる。
【0066】
前述した本発明による方法は、コンピュータで実行されるためのプログラムとして製作され、コンピュータで読み取り可能な記録媒体に格納でき、コンピュータで読み取り可能な記録媒体の例としては、ROM、RAM、CD-ROM、磁気テープ、フロッピー(登録商標)ディスク、光データ記憶装置などが挙げられる。
【0067】
コンピュータで読み取り可能な記録媒体は、ネットワークで接続されたコンピュータシステムに分散され、分散方式によりコンピュータ可読コードを保存および実行することができる。そして、前記方法を具現するための機能的な(function)プログラム、コード及びコードセグメントは、本発明の属する技術分野におけるプログラマーによって容易に推論できる。
【0068】
また、以上では本発明の望ましい実施形態について図示して説明したが、本発明は前述した特定の実施形態に限らず、請求範囲で請求する本発明の要旨から逸脱することなく当該発明の属する技術分野における通常の知識を持つ者によって多様な変形実施が可能であることはもちろん、これらの変形実施は本発明の技術的思想や展望から個別的に理解されてはならない。
【図1】
【図2】
【図3】
【国際調査報告】