KR100772455B1 - Dac 강화를 위한 프로세스 분류/실행 제어 장치 및 방법 - Google Patents

Dac 강화를 위한 프로세스 분류/실행 제어 장치 및 방법 Download PDF

Info

Publication number
KR100772455B1
KR100772455B1 KR1020050053935A KR20050053935A KR100772455B1 KR 100772455 B1 KR100772455 B1 KR 100772455B1 KR 1020050053935 A KR1020050053935 A KR 1020050053935A KR 20050053935 A KR20050053935 A KR 20050053935A KR 100772455 B1 KR100772455 B1 KR 100772455B1
Authority
KR
South Korea
Prior art keywords
group
execution
program
programs
dvo
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
KR1020050053935A
Other languages
English (en)
Other versions
KR20060134334A (ko
Inventor
강정민
남택준
장인숙
이진석
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020050053935A priority Critical patent/KR100772455B1/ko
Publication of KR20060134334A publication Critical patent/KR20060134334A/ko
Application granted granted Critical
Publication of KR100772455B1 publication Critical patent/KR100772455B1/ko
Assigned to (주)세코원 reassignment (주)세코원 권리의 전부이전등록 Assignors: 한국전자통신연구원
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/74Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information operating in dual or compartmented mode, i.e. at least one secure mode
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Automation & Control Theory (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 DAC 강화를 위한 프로세스 분류/실행 제어 장치 및 방법에 관한 것으로서, 시스템 내에서 실행 가능한 프로그램 객체들을 시스템 명령어(Command), 유틸리티(Utility), 안전성(Safety)이 입증된 프로그램들의 그룹인 CUS 그룹과, 내부 사용자가 임의로(Discretionary) 제작한 프로그램, 알려진 취약한(Vulnerable) 프로그램, 외부(Outer) 사용자가 접속 시 구동되는 서비스 프로그램들의 그룹인 DVO 그룹으로 나누고, DVO 그룹 멤버 프로세스 주체가 CUS 그룹 멤버 프로그램을 실행함으로써 발생 가능한 권한 상승을 사전에 차단할 수 있도록 하기 위해, 실행가능 객체들을 분류, 관리할 수 있는 응용단의 관리 프로그램과 커널단의 실행 프로세스 관리부, 실행객체 관리부 및 프로세스 실행 통제부로 구성시킴으로써, 기존 DAC 시스템의 운영성을 그대로 보장할 수 있으며, 버퍼오버플로우 같은 공격으로 인한 시스템 탈취 위협을 줄여 안전한 시스템 개발에 활용될 수 있다.
DAC, 프로세스 관리부, 실행객체 관리부, 프로세스 실행 통제부

Description

DAC 강화를 위한 프로세스 분류/실행 제어 장치 및 방법{DAC STRENGTHENING APPARATUS AND METHOD FOR CONTROLLING CLASSIFICATION AND EXECUTION OF PROCESS}
도 1은 전통적인 DAC 시스템에서의 프로세스간의 관계 부재로 인한 권한 상승 공격을 보여주고 있는 도면,
도 2는 DAC 강화 시스템의 개요를 보여주는 도면,
도 3은 실행 가능 객체 간의 실행 접근 허용/불허 관계를 보여주는 도면,
도 4는 DAC 강화 시스템의 작동 방식을 보여주는 화면이다.
<도면의 주요 부분에 대한 부호의 설명>
1 : CUS 그룹 2 : DVO 그룹
3 : 프로그램 그룹 관리 프로그램 4 : 리눅스 커널
5 : 커널 모듈 51 : 프로그램 분류 집행부
52 : 프로세스 실행 통제부 53 : 프로세스 관리부
54 : 실행객체 관리부 6 : 시스템 호출 인터페이스
7 : 실행 객체 저장소
본 발명은 DAC 강화를 위한 프로세스 분류/실행 제어 장치 및 방법에 관한 것으로, 더욱 상세하게는 임의적 접근 통제(DAC: Discretionary Access Control) 시스템의 보안을 강화하기 위해서 실행 가능한 객체를 두 그룹으로 분류하고, 프로세스 주체가 실행가능 객체에 접근(실행)하는 과정을 통제함으로써 악의적인 프로세스에 의한 권한 상승 공격을 차단하는 DAC 강화를 위한 프로세스 분류/실행 제어 장치 및 방법에 관한 것이다.
기존 리눅스 시스템의 접근 통제 기법은 임의적 접근 통제(DAC: Discretionary Access Control) 정책을 채용한다. 임의적 접근 통제 정책은 주체나 또는 그들이 속해 있는 그룹들의 신분에 근거하여 객체에 대한 접근을 제한한다. 이와 같이 주체의 신분이 매우 중요하므로 만약 다른 주체의 신분을 사용하여 행위가 이루어진다면 DAC은 파괴될 수 있는 단점이 있다. 또한 취약한 프로그램을 악용하여 루트권한을 획득하는 공격 사례들은 프로그램 실행 시 DAC 정책이 무효함을 보여준다.
이와 같이, 전통적인 임의적 접근 통제는 주체나 또는 그들이 속한 그룹들의 신분에 근거하여 객체에 대한 접근을 제한한다. 즉 접근 통제는 객체의 소유자에 의하여 임의적으로 이루어진다. 임의적 접근 통제 정책에서 내재적으로 상속되어지 는 결점은 다음과 같다.
■ DAC 속성상 접근은 주체의 ID에 전적으로 근거를 두고 있어서 메커니즘은 데이터(객체)의 의미에 대한 아무런 지식도 갖고 있지 않으며 이에 근거하여 접근 허가를 결정하지 않는다.
■ 이와 같이 ID가 매우 중요하므로 다른 주체의 ID를 사용하여 행위가 이루어질 수 있다면 DAC은 통제 불능의 상태로 빠지게 된다.
■ 트로이 목마 공격에 대하여 일반적으로 취약하다.
도 1은 전통적인 DAC 시스템에서의 프로세스간의 관계 부재로 인한 권한 상승 공격을 보여주고 있는 도면이다.
DAC 시스템이 파괴되는 대표적인 공격의 예를 들어보면, 도 1에 도시된 바와 같이 악의적 사용자가 아파치 같은 웹 서버의 버퍼오버플로우(BOF: Buffer OverFlow) 취약점을 이용하여 루트 쉘을 획득하는 권한상승공격을 들 수 있다. 이는 아파치 실행 객체 프로그램과 쉘 실행 객체 프로그램 간의 실행 흐름이 단지 실행 주체의 ID에 근거하기 때문이다. 다시 말해 프로그램간의 실행에 대한 어떤 관계 정의도 없기 때문이다. 또한 트로이 목마 같은 공격도 신분에 의한 접근 통제 정책이 반영될 뿐 프로그램의 의미에 대한 지식이 전통적인 DAC 에는 없기 때문에 일어나는 현상이다.
따라서, 본 발명은 상기한 종래 기술의 문제점을 해결하기 위해 이루어진 것으로서, 본 발명의 목적은 시스템 내에서 실행 가능한 프로그램 객체들을 시스템 명령어(Command), 유틸리티(Utility), 안전성(Safety)이 입증된 프로그램들의 그룹인 CUS 그룹과, 내부 사용자가 임의로(Discretionary) 제작한 프로그램, 알려진 취약한(Vulnerable) 프로그램, 외부(Outer) 사용자가 접속 시 구동되는 서비스 프로그램들의 그룹인 DVO 그룹으로 나누고, DVO 그룹 멤버 프로세스 주체가 CUS 그룹 멤버 프로그램을 실행함으로써 발생 가능한 권한 상승을 사전에 차단할 수 있는 DAC 강화를 위한 프로세스 분류/실행 제어 장치 및 방법을 제공하는데 있다.
상기와 같은 목적을 달성하기 위한 본 발명의 DAC 강화를 위한 프로세스 분류/실행 제어 장치는, CUS 그룹과 DVO 그룹으로 분류된 객체에 대해 프로그램 분류 작업을 의뢰하는 프로그램 그룹 관리 프로그램을 포함하는 응용단; 상기 프로그램 그룹 관리 프로그램의 의뢰에 대응하여 CUS 그룹과 DVO 그룹의 분류를 수행하며, 시스템 내 실행되고 있는 프로세스들의 그룹 및 실행 객체 저장소의 정보와 일관된 정보를 커널 메모리 상에 유지하면서 실행 가능 프로그램들의 그룹정보를 연계시켜 프로그램 실행을 통제하는 커널 모듈; 및 상기 CUS 그룹 또는 DVO 그룹으로 나누어 보관하는 실행 객체 저장소를 포함하는 것을 특징으로 한다.
한편, 본 발명의 DAC 강화를 위한 프로세스 분류/실행 제어 방법은, 프로그 램 그룹 관리 프로그램의 의뢰에 대응하여 프로그램 분류 집행부에서 CUS 그룹과 DVO 그룹의 분류하여 실행 객체 저장소에 저장하는 단계; 사용자 프로세스에 의한 실행 객체 접근시에 프로세스 실행 통제부에서 시스템 호출 execve를 후킹하여 프로세스 관리부 인터페이스를 통하여 현재 실행중인 프로세스 그룹 정보를 조회함과 아울러, 실행객체 관리부 인터페이스를 통하여 접근 시도하는 프로그램의 그룹 정보를 조회하는 단계; 및 상기 프로세스 주체의 그룹 정보가 DVO이고 실행객체의 그룹 정보가 CUS이면 실행 접근은 거부하는 단계를 포함하는 것을 특징으로 한다.
이와 같이, 본 발명은 실행 가능 객체에 대해 악의적 실행 접근으로 인한 권한 상승 행위를 통제하여 프로그램의 안전한 실행을 보장한다는 것이다. 한편, 상기와 같은 목적을 이루기 위해 실행가능 객체들은 아래와 같은 분류기준에 의해 두 그룹으로 분류된다.
■ CUS 그룹
- 내부 사용자가 공통으로 사용하는 시스템 명령어(Command)
(예) /bin/bash, id 등
- 내부 사용자가 공통으로 사용하는 시스템 유틸리티(Utility)
(예) vi, gzip 등
- 관리자가 인증하여 안전성(Safety)이 입증된 프로그램
(예) nessus 등
■ DVO 그룹
- 내부 사용자가 임의로(Discretionary) 제작한 프로그램
- 알려진 취약한(Vulnerable) 프로그램 및 해킹 프로그램
(예) fingerd 등
- 외부(Outer) 사용자가 접속 시 구동되는 서비스 프로그램
(예) httpd, sendmail 등
이하, 본 발명의 DAC 강화를 위한 프로세스 분류/실행 제어 장치 및 방법에 대하여 첨부된 도면을 참조하여 상세히 설명하기로 한다.
도 2는 DAC 강화 시스템의 개요를 보여주는 도면이고, 도 3은 실행 가능 객체 간의 실행 접근 허용/불허 관계를 보여주는 도면이다.
도 2에 도시된 바와 같이, 응용단에는 CUS 그룹(1), DVO 그룹(2) 및 프로그램 그룹 관리 프로그램(3)이 위치하며, 응용단과 리눅스 커널(4) 사이에는 커널 모듈(5)이 위치하게 된다. 상기 커널 모듈(5)과 응용단 사이에는 시스템 호출 인터페이스(6)를 통해 인터페이싱이 이루어지게 되며, 상기 커널 모듈(5)에는 CUS 그룹(1) 또는 DVO 그룹(2)으로 나누어 보관하는 실행 객체 저장소(7)가 접속되게 된다.
상기한 분류 정책에 의해 분류된 실행 객체(CUS 그룹(1), DVO 그룹(2))들은 실질적으로 응용단의 프로그램 그룹 관리 프로그램(3)에 의해서 커널 모듈(5)의 프로그램 분류 집행부(51)에 프로그램 분류 작업을 의뢰하게 된다. 프로그램 분류 집행부(51)는 실행 객체 저장소(7)에 실행 객체 프로그램들을 CUS 그룹(1) 또는 DVO 그룹(2)으로 나누어 보관하게 된다. CUS 그룹(1)의 실행 가능 객체들은 주로 내부 사용자들이 사용하는 명령어, 및 유틸리티 또는 안전성이 입증된 프로그램들이고, DVO 그룹(2)의 실행 가능 객체들은 주로 외부 사용자들의 접속에 대해 서비스를 해주는 프로그램 및 알려진 취약한 프로그램들로 구성된다. 최근 해킹 공격의 유형 중 웹 데몬 또는 내부 프로그램의 버퍼오버플로우 같은 취약점을 이용하여 관리자(Root) 쉘을 획득하는 점을 고려한다면 취약한 프로그램들에 의한 루트 쉘 실행을 허용해서는 안된다.
그리고, 프로세스 실행 통제부(52)는 도 3에 나타난 프로세스에 의한 프로그램 실행을 통제하는 커널 모듈이다. 즉, 프로세스 실행 통제부(52)는 실행 접근에 대한 허용/불허를 결정하기 위해 프로세스 관리부(53)와 실행 객체 관리부(54)와 협력한다. 프로세스 관리부(53)는 시스템 내 실행되고 있는 프로세스들의 그룹(CUS(Pc) 또는 DVO(Pd))정보를 조회, 수정할 수 있는 인터페이스로 이루어져 있다. 실행 객체 관리부(54)는  실행 객체 저장소(7)의 정보와 일관된 정보를 커널 메모리 상에 유지하면서 실행 가능 프로그램들의 그룹(CUS(Pc) 또는 DVO(Pd))정보를 조회, 수정할 수 있는 인터페이스로 이루어져 있다.
도 3에 도시된 바와 같이, 실행 프로세스가 실행 가능 객체에 대해 실행 접근을 하는 경우 접근의 허용 불허 유무를 나타내고 있다. 취약점 또는 외부 사용자에 대한 서비스를 실행하는 DVO 그룹(2)의 프로세스에 의한 CUS 그룹(1)의 프로그램(P1, P2, Pi)의 실행은 허용되지 않음을 보여주고 있다.
도 4는 DAC 강화 시스템의 작동 방식을 보여주는 화면이다.
도 4에 도시된 바와 같이, 사용자 프로세스가 실행 객체를 접근하는 순간 시스템이 내부적으로 작동하는 방식을 보여주고 있다. 프로세스 실행 통제부(52)는 시스템 호출 execve를 후킹하여 프로세스 관리부(53) 인터페이스를 통하여 현재 실행중인 프로세스 그룹 정보를 조회하고, 실행객체 관리부(54) 인터페이스를 통하여 접근 시도하는 프로그램의 그룹 정보를 조회한다. 프로세스 주체의 그룹 정보가 DVO(2)이고 실행객체의 그룹 정보가 CUS(1)이면 실행 접근은 거부된다. 이 때, 시스템 내의 실행중인 프로세스들은 커널 메모리에 연결 리스트 형태로 유지되며, 실행 객체들 또한 실행객체 저장소의 정보와 동기화를 이루면서 커널 메모리에 유지된다.
이상에서 몇 가지 실시예를 들어 본 발명을 더욱 상세하게 설명하였으나, 본 발명은 반드시 이러한 실시예로 국한되는 것이 아니고 본 발명의 기술사상을 벗어나지 않는 범위 내에서 다양하게 변형실시될 수 있다.
상술한 바와 같이, 본 발명에 의한 DAC 강화를 위한 프로세스 분류/실행 제어 장치 및 방법은, 실행 객체들에 그룹 정보를 부여하고 이들의 실행 관계를 정의, 통제함으로써 최근 빈번하게 발생하는 프로그램의 취약점을 악용한 권한 상승 공격을 원천적으로 차단하여 안전한 시스템 개발에 활용될 수 있다.

Claims (8)

  1. 시스템에 있어서 안정성이 입증된 프로그램들의 그룹인 CUS 그룹과 외부 사용자 접근 시 구동되는 서비스 프로그램들의 그룹인 DVO 그룹으로 분류된 객체에 대해 프로그램 분류 작업을 의뢰하는 프로그램 그룹 관리 프로그램을 포함하는 응용단;
    상기 프로그램 그룹 관리 프로그램의 의뢰에 대응하여 상기 CUS 그룹과 상기 DVO 그룹의 분류를 수행하며, 시스템 내 실행되고 있는 프로세스들의 그룹 및 실행 객체 저장소의 정보와 일관된 정보를 커널 메모리 상에 유지하면서 실행 가능 프로그램들의 그룹정보를 연계시켜 프로그램 실행을 통제하는 커널 모듈; 및
    실행 객체 프로그램들을 CUS 그룹 또는 DVO 그룹으로 나누어 보관하는 실행 객체 저장소를 포함하여 이루어지는 것을 특징으로 하는 DAC 강화를 위한 프로세스 분류/실행 제어 장치.
  2. 제 1 항에 있어서, 상기 커널 모듈은,
    상기 실행 객체 저장소에 상기 실행 객체 프로그램들을 CUS 그룹 또는 DVO 그룹으로 나누어 저장하는 프로그램 분류 집행부를 포함하는 것을 특징으로 하는 DAC 강화를 위한 프로세스 분류/실행 제어 장치.
  3. 제 1 항에 있어서, 상기 커널 모듈은,
    시스템 내 실행되고 있는 프로세스들의 그룹정보를 조회 및 수정하는 프로세스 관리부;
    상기 실행 객체 저장소의 정보와 일관된 정보를 커널 메모리 상에 유지하면서 실행 가능 프로그램들의 그룹정보를 조회 및 수정하는 실행 객체 관리부; 및
    상기 프로세스 관리부와 실행 객체 관리부와 연계하여 실행 접근에 대한 허용/불허를 결정하는 프로세스 실행 통제부
    를 포함하여 이루어지는 것을 특징으로 하는 DAC 강화를 위한 프로세스 분류/실행 제어 장치.
  4. 사용자 프로세스에 의한 실행 객체 접근시에 프로세스 실행 통제부에서 시스템 호출 execve를 후킹하여 프로세스 관리부 인터페이스를 통하여 현재 실행중인 프로세스 그룹 정보를 조회함과 아울러, 실행객체 관리부 인터페이스를 통하여 접근 시도하는 프로그램의 그룹 정보를 조회하는 제 1 단계; 및
    상기 현재 실행중인 프로세스 그룹 정보가 외부 사용자 접근 시 구동되는 서비스 프로그램들의 그룹인 DVO 그룹에 속하고, 상기 실행객체 관리부 인터페이스를 통하여 접근 시도하는 프로그램 그룹 정보가 시스템에 있어서 안정성이 입증된 프로그램들의 그룹인 CUS 그룹인 경우 실행 접근을 거부하는 제 2 단계
    를 포함하여 이루어지는 것을 특징으로 하는 DAC 강화를 위한 프로세스 분류/실행 제어 방법.
  5. 제 4 항에 있어서, 상기 제 1 단계 이전에,
    프로그램 그룹 관리 프로그램의 의뢰에 대응하여 프로그램 분류 집행부에서 상기 CUS 그룹과 상기 DVO 그룹을 분류하여 실행 객체 저장소에 저장하는 단계를 더 포함하는 것을 특징으로 하는 DAC 강화를 위한 프로세스 분류/실행 제어 방법.
  6. 제 4 항에 있어서, 상기 제 2 단계에서
    상기 시스템 내의 실행중인 프로세스들은 커널 메모리에 연결 리스트 형태로 유지되며, 상기 실행 객체들은 실행객체 저장소의 정보와 동기화를 이루면서 커널 메모리에 유지되는 것을 특징으로 하는 DAC 강화를 위한 프로세스 분류/실행 제어 방법.
  7. 제 4항 내지 제 6항 중 어느 하나의 항에 있어서, 상기 CUS 그룹은
    내부 사용자가 공통으로 사용하는 시스템 명령어, 내부 사용자가 공통으로 사용하는 시스템 유틸리티, 및 관리자가 인증하여 안전성(Safety)이 입증된 프로그램을 포함하는 것을 특징으로 하는 DAC 강화를 위한 프로세스 분류/실행 제어 방법.
  8. 제 4항 내지 제 6항 중 어느 하나의 항에 있어서, 상기 DVO 그룹은
    내부 사용자가 임의로(Discretionary) 제작한 프로그램, 알려진 취약한(Vulnerable) 프로그램 및 해킹 프로그램, 및 외부(Outer) 사용자가 접속 시 구동되는 서비스 프로그램을 포함하는 것을 특징으로 하는 DAC 강화를 위한 프로세스 분류/실행 제어 방법.
KR1020050053935A 2005-06-22 2005-06-22 Dac 강화를 위한 프로세스 분류/실행 제어 장치 및 방법 Expired - Fee Related KR100772455B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020050053935A KR100772455B1 (ko) 2005-06-22 2005-06-22 Dac 강화를 위한 프로세스 분류/실행 제어 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020050053935A KR100772455B1 (ko) 2005-06-22 2005-06-22 Dac 강화를 위한 프로세스 분류/실행 제어 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20060134334A KR20060134334A (ko) 2006-12-28
KR100772455B1 true KR100772455B1 (ko) 2007-11-01

Family

ID=37812727

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050053935A Expired - Fee Related KR100772455B1 (ko) 2005-06-22 2005-06-22 Dac 강화를 위한 프로세스 분류/실행 제어 장치 및 방법

Country Status (1)

Country Link
KR (1) KR100772455B1 (ko)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100874948B1 (ko) 2007-06-18 2008-12-19 한국전자통신연구원 권한 수준 위반 프로세스 관리 장치 및 방법
KR100926632B1 (ko) * 2007-08-07 2009-11-11 에스케이 텔레콤주식회사 분류 객체별 접근 권한 부여 시스템 및 그 방법

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR970062897A (ko) * 1996-02-09 1997-09-12 케니쓰 올슨 데이터 베이스 객체 처리 명령어들을 삽입하기 위하여 데이터 베이스 액세스 방법들을 자동적으로 수정하기 위한 시스템 및 그 방법
KR20010108114A (ko) * 1999-01-22 2001-12-07 썬 마이크로시스템즈, 인코포레이티드 콘텍스트 배리어를 사용해서 소형 풋프린트 장치의 보안을구현하기 위한 기술
KR20060071085A (ko) * 2004-12-21 2006-06-26 한국전자통신연구원 객체 기반 스토리지 시스템에서 고속의 데이터 입출력을위한 객체 저장소 관리 시스템 및 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR970062897A (ko) * 1996-02-09 1997-09-12 케니쓰 올슨 데이터 베이스 객체 처리 명령어들을 삽입하기 위하여 데이터 베이스 액세스 방법들을 자동적으로 수정하기 위한 시스템 및 그 방법
KR20010108114A (ko) * 1999-01-22 2001-12-07 썬 마이크로시스템즈, 인코포레이티드 콘텍스트 배리어를 사용해서 소형 풋프린트 장치의 보안을구현하기 위한 기술
KR20060071085A (ko) * 2004-12-21 2006-06-26 한국전자통신연구원 객체 기반 스토리지 시스템에서 고속의 데이터 입출력을위한 객체 저장소 관리 시스템 및 방법

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
공개특허공보 10-2006-0071085
공개특허공보 특1997-0062897
공개특허공보 특2001-0108114

Also Published As

Publication number Publication date
KR20060134334A (ko) 2006-12-28

Similar Documents

Publication Publication Date Title
US10361998B2 (en) Secure gateway communication systems and methods
US12174938B2 (en) Computer device and method for controlling process components
US8181219B2 (en) Access authorization having embedded policies
US7818781B2 (en) Behavior blocking access control
US8850549B2 (en) Methods and systems for controlling access to resources and privileges per process
US7904956B2 (en) Access authorization with anomaly detection
US7698741B2 (en) Controlling the isolation of an object
KR101565590B1 (ko) 역할기반 접근통제 및 인가된 파일 리스트를 통한 파일접근 통제 통합 시스템
US20090282457A1 (en) Common representation for different protection architectures (crpa)
US9888009B2 (en) Security bypass environment for circumventing a security application in a computing environment
US11314859B1 (en) Cyber-security system and method for detecting escalation of privileges within an access token
CN104601580A (zh) 一种基于强制访问控制的策略容器设计方法
US20050119902A1 (en) Security descriptor verifier
US20070294530A1 (en) Verification System and Method for Accessing Resources in a Computing Environment
KR100772455B1 (ko) Dac 강화를 위한 프로세스 분류/실행 제어 장치 및 방법
EP1643409A2 (en) Application programming Interface for Access authorization
EP3113066B1 (en) Computer security architecture and related computing method
KR20030077866A (ko) 확장된 blp보안시스템
CN113868663A (zh) 一种防御内核漏洞提权的方法、系统、设备和存储介质

Legal Events

Date Code Title Description
A201 Request for examination
PA0109 Patent application

St.27 status event code: A-0-1-A10-A12-nap-PA0109

PA0201 Request for examination

St.27 status event code: A-1-2-D10-D11-exm-PA0201

E902 Notification of reason for refusal
PE0902 Notice of grounds for rejection

St.27 status event code: A-1-2-D10-D21-exm-PE0902

P11-X000 Amendment of application requested

St.27 status event code: A-2-2-P10-P11-nap-X000

P13-X000 Application amended

St.27 status event code: A-2-2-P10-P13-nap-X000

PG1501 Laying open of application

St.27 status event code: A-1-1-Q10-Q12-nap-PG1501

E90F Notification of reason for final refusal
PE0902 Notice of grounds for rejection

St.27 status event code: A-1-2-D10-D21-exm-PE0902

P11-X000 Amendment of application requested

St.27 status event code: A-2-2-P10-P11-nap-X000

P13-X000 Application amended

St.27 status event code: A-2-2-P10-P13-nap-X000

E701 Decision to grant or registration of patent right
PE0701 Decision of registration

St.27 status event code: A-1-2-D10-D22-exm-PE0701

GRNT Written decision to grant
PR0701 Registration of establishment

St.27 status event code: A-2-4-F10-F11-exm-PR0701

PR1002 Payment of registration fee

St.27 status event code: A-2-2-U10-U11-oth-PR1002

Fee payment year number: 1

PG1601 Publication of registration

St.27 status event code: A-4-4-Q10-Q13-nap-PG1601

PN2301 Change of applicant

St.27 status event code: A-5-5-R10-R13-asn-PN2301

St.27 status event code: A-5-5-R10-R11-asn-PN2301

PR1001 Payment of annual fee

St.27 status event code: A-4-4-U10-U11-oth-PR1001

Fee payment year number: 4

PR1001 Payment of annual fee

St.27 status event code: A-4-4-U10-U11-oth-PR1001

Fee payment year number: 5

FPAY Annual fee payment

Payment date: 20121011

Year of fee payment: 6

PR1001 Payment of annual fee

St.27 status event code: A-4-4-U10-U11-oth-PR1001

Fee payment year number: 6

FPAY Annual fee payment

Payment date: 20130930

Year of fee payment: 7

PR1001 Payment of annual fee

St.27 status event code: A-4-4-U10-U11-oth-PR1001

Fee payment year number: 7

FPAY Annual fee payment

Payment date: 20140916

Year of fee payment: 8

PR1001 Payment of annual fee

St.27 status event code: A-4-4-U10-U11-oth-PR1001

Fee payment year number: 8

PN2301 Change of applicant

St.27 status event code: A-5-5-R10-R13-asn-PN2301

St.27 status event code: A-5-5-R10-R11-asn-PN2301

PR1001 Payment of annual fee

St.27 status event code: A-4-4-U10-U11-oth-PR1001

Fee payment year number: 9

PN2301 Change of applicant

St.27 status event code: A-5-5-R10-R11-asn-PN2301

PN2301 Change of applicant

St.27 status event code: A-5-5-R10-R14-asn-PN2301

LAPS Lapse due to unpaid annual fee
PC1903 Unpaid annual fee

St.27 status event code: A-4-4-U10-U13-oth-PC1903

Not in force date: 20161027

Payment event data comment text: Termination Category : DEFAULT_OF_REGISTRATION_FEE

PC1903 Unpaid annual fee

St.27 status event code: N-4-6-H10-H13-oth-PC1903

Ip right cessation event data comment text: Termination Category : DEFAULT_OF_REGISTRATION_FEE

Not in force date: 20161027

P22-X000 Classification modified

St.27 status event code: A-4-4-P10-P22-nap-X000