-
公开(公告)号:KR1020060056195A
公开(公告)日:2006-05-24
申请号:KR1020040095531
申请日:2004-11-20
Applicant: 한국전자통신연구원
CPC classification number: H04L63/1425 , H04L43/0894 , H04L63/1466
Abstract: 본 발명은 네트워크 장치(라우터 등)에 유입된 트래픽의 정보를 분석하여, 유입 트래픽이 네트워크의 성능을 저하시킬 우려가 있는 경우 유입 트래픽이 외부로부터의 공격 트래픽인 지 혹은 과다 유입 트래픽인 지 등 비정상 트래픽에 해당하는 지에 관하여 분석하는 장치 및 그 방법에 관한 것이다.
본 명세서에서 개시하는 비정상 트래픽 정보 분석 장치는 트래픽 처리 시스템으로 유입되는 트래픽을 캡쳐하여 상기 유입 트래픽의 정보를 검출하는 트래픽 정보 검출부; 및 상기 트래픽 정보 검출부로부터 상기 유입 트래픽의 정보를 받아 상기 이전 트래픽 정보와의 비교 결과인 시그너쳐를 생성하는 시그너쳐 생성부를 포함하여 본 발명의 목적 및 기술적 과제를 달성한다.-
公开(公告)号:KR100463842B1
公开(公告)日:2004-12-29
申请号:KR1020010085757
申请日:2001-12-27
Applicant: 한국전자통신연구원
IPC: G06F9/06
CPC classification number: G06F21/6218 , G06F2221/2107 , G06F2221/2113
Abstract: A file security system uses a security class set by an access control module. The file security system includes a disk, a kernel memory and an encryption file system. The disk includes a key file in which an encryption key corresponding to the security class is stored and a file encoded by the encryption key. The encryption key stored in the disk is loaded into the kernel memory when the file security system starts operating. The encryption file system extracts an encryption key corresponding to a security class of a file that a user intends to read or store; decodes or encodes the file by using the extracted encryption key; and then provides the decoded file to the user or stores the encoded file in the disk.
Abstract translation: 文件安全系统使用由访问控制模块设置的安全类别。 文件安全系统包括磁盘,内核内存和加密文件系统。 该盘包括其中存储了与安全级别对应的加密密钥的密钥文件和由加密密钥编码的文件。 当文件安全系统开始运行时,存储在磁盘中的加密密钥将加载到内核内存中。 加密文件系统提取与用户想要读取或存储的文件的安全等级对应的加密密钥; 通过使用提取的加密密钥对文件解码或编码; 然后将解码的文件提供给用户或将编码的文件存储在磁盘中。
-
公开(公告)号:KR1020020054196A
公开(公告)日:2002-07-06
申请号:KR1020000083019
申请日:2000-12-27
Applicant: 한국전자통신연구원
IPC: G06F12/14
Abstract: PURPOSE: An access control system and method is provided to secure a secrecy irrespective of an openness of a system OS, and to maintain a security against a system hacking by using a daemon determining an access authority and a security kernel performing a communication with the daemon via a character process device. CONSTITUTION: The method comprises steps of generating a packet to be requested via a system call module within a security kernel(S411), inserting the packet into a request list(S412), waking up a process sleeping at a read queue of a character process queue(S413), making the process sleep at a write process queue(S414), enabling a daemon, having an access authority and sleeping at the write queue of the character process device, to receive a request from a corresponding character process device and bring a corresponding packet from the request list(S421), checking if the corresponding packet exists at the request list(S422), if the corresponding packet exists at the request list, copying the brought packet at a user mode space(S423), if it does not, sleeping at the read queue(S424), if the security kernel wakes up a process sleeping at the read queue, instantly processing the request transmitted to the packet(S425), copying a response packet from the user space to a kernel space(S426), waking up the process sleeping at the write queue, and then executing the security kernel for receiving the result(S427), and giving back an execution result to a kernel module requesting an access control approval(S415).
Abstract translation: 目的:提供一种访问控制系统和方法,以保护系统OS的开放性,并且通过使用确定访问权限的守护进程和执行与守护进程通信的安全内核来维护针对系统黑客的安全性 通过字符处理设备。 构成:该方法包括以下步骤:通过安全内核内的系统调用模块生成要请求的分组(S411),将分组插入到请求列表(S412)中,唤醒在字符处理的读队列处睡眠的进程 队列(S413),使得进程在写入进程队列中休眠(S414),使具有访问权限的守护进程和在字符处理设备的写队列处睡眠,从相应的字符处理设备接收请求并带来 来自请求列表的相应分组(S421),如果在请求列表中存在对应的分组,则检查对应的分组是否存在(S422),如果相应的分组存在于请求列表,则在用户模式空间复制带来的分组(S423),如果 (S424),如果安全内核唤醒在读队列中睡眠的进程,则立即处理发送到分组的请求(S425),将响应分组从用户空间复制到内核空间 (S426) 唤醒在写入队列中睡眠的进程,然后执行安全内核以接收结果(S427),并将执行结果返回给请求访问控制许可的内核模块(S415)。
-
公开(公告)号:KR1020020051131A
公开(公告)日:2002-06-28
申请号:KR1020000080615
申请日:2000-12-22
Applicant: 한국전자통신연구원
IPC: G06F15/00
Abstract: PURPOSE: An access control method for an access control system using identification base is provided to flexibly and efficiently compose permission groups by being expanded to a specific user and a specific group and providing the permission of a corresponding object to the expanded specific user and specific group. CONSTITUTION: An access control list regarding a corresponding object(250) is stored in a security DB(240). The object(250) is classified into other user except for a user and a group, a specific user, and a specific group. The access control list is provided to the classified user and specific group. The access control list of the corresponding object(250) is stored in the security DB(240) using an NDBM(New DataBase Manager).
Abstract translation: 目的:提供一种使用识别库的访问控制系统的访问控制方法,通过扩展到特定用户和特定组,并向扩展的特定用户和特定组提供相应对象的许可来灵活高效地组成权限组 。 构成:关于相应对象(250)的访问控制列表存储在安全DB(240)中。 除了用户和组,特定用户和特定组之外,对象(250)被分类为其他用户。 访问控制列表提供给分类用户和特定组。 使用NDBM(New DataBase Manager)将对应对象(250)的访问控制列表存储在安全DB(240)中。
-
公开(公告)号:KR100656340B1
公开(公告)日:2006-12-11
申请号:KR1020040095531
申请日:2004-11-20
Applicant: 한국전자통신연구원
Abstract: 본 발명은 네트워크 장치(라우터 등)에 유입된 트래픽의 정보를 분석하여, 유입 트래픽이 네트워크의 성능을 저하시킬 우려가 있는 경우 유입 트래픽이 외부로부터의 공격 트래픽인 지 혹은 과다 유입 트래픽인 지 등 비정상 트래픽에 해당하는 지에 관하여 분석하는 장치 및 그 방법에 관한 것이다.
본 명세서에서 개시하는 비정상 트래픽 정보 분석 장치는 트래픽 처리 시스템으로 유입되는 트래픽을 캡쳐하여 상기 유입 트래픽의 정보를 검출하는 트래픽 정보 검출부; 및 상기 트래픽 정보 검출부로부터 상기 유입 트래픽의 정보를 받아 상기 이전 트래픽 정보와의 비교 결과인 시그너쳐를 생성하는 시그너쳐 생성부를 포함하여 본 발명의 목적 및 기술적 과제를 달성한다.-
Patent Agency Ranking
公开(公告)号:KR1020040039845A
公开(公告)日:2004-05-12
申请号:KR1020020068066
申请日:2002-11-05
Applicant: 한국전자통신연구원
IPC: H04L9/00
CPC classification number: H04L63/08 , H04L63/0428 , H04L63/105
Abstract: PURPOSE: An apparatus and a method for encrypting user authentication information and data using MAC(Mandatory Access Control) and RBAC(Role Based Access Control) are provided to perform an encrypting process corresponding to a grade of the user information by encrypting selectively a transmitting file according to an important grade of the transmitting file. CONSTITUTION: An apparatus for encrypting user authentication information and data using MAC and RBAC includes an FTP client program(10), a kernel layer(20), an FTP demon program(15), and a security database(30). The FTP client program(10) provides a user authentication information request and a server connection request. The kernel layer(20) is used for requesting the user authentication according to the server connection request of the FTP client program. In addition, the kernel layer is used for performing an encrypting/decrypting processing data of the FTP client program when being connected by a grade of MAC corresponding to the user authentication request. The FTP demon program(15) is used for analyzing the encrypted user authentication information and performing a user authentication process according to the grade of MAC. The security database(30) is used for storing the grade of MAC for the client and the grade of MAC for the data.
Abstract translation: 目的:提供一种使用MAC(强制访问控制)和RBAC(基于角色的访问控制)加密用户认证信息和数据的装置和方法,用于通过有选择地加密发送文件来执行与用户信息等级对应的加密处理 根据传输文件的重要等级。 构成:使用MAC和RBAC加密用户认证信息和数据的装置包括FTP客户端程序(10),内核层(20),FTP恶魔程序(15)和安全数据库(30)。 FTP客户端程序(10)提供用户认证信息请求和服务器连接请求。 内核层(20)用于根据FTP客户端程序的服务器连接请求请求用户认证。 此外,当通过与用户认证请求相对应的MAC级别连接时,内核层用于执行FTP客户端程序的加密/解密处理数据。 FTP恶魔程序(15)用于分析加密的用户认证信息,并根据MAC的等级进行用户认证过程。 安全数据库(30)用于存储客户端的MAC级别和数据的MAC级别。
-
公开(公告)号:KR1020040037583A
公开(公告)日:2004-05-07
申请号:KR1020020066130
申请日:2002-10-29
Applicant: 한국전자통신연구원
IPC: H04L12/22
CPC classification number: H04L63/0428 , H04L63/162 , H04L63/164
Abstract: PURPOSE: An apparatus and a method for providing a reliable channel in a security OS(Operating System) to which MAC(Mandatory Access Control) is applied is provided to offer a new header for independently encoding a packet used in communication by a security level of the MAC and minimize network performance degradation using the security level of the MAC. CONSTITUTION: If data according to a communication request provided from a transmission-side user(S1) are for a packet transmission request, a reliable channel subsystem(12) judges whether a reliable channel is applied. If the reliable channel is applied, the reliable channel subsystem(12) composes a reliable channel header, encodes a specific portion of a packet, stores authentication information in the reliable channel header, and transmits the packet through a network(A). A MAC module(20) provides MAC information for indicating whether the reliable channel is applied. A kernel memory(30) provides an encryption key and an authentication key necessary for encoding a reliable channel application host address and the packet and generating authentication data. A reliable channel subsystem(12-1) retrieves the authentication data of the reliable channel header before decoding the packet received through the network(A). If the authentication data are valid, the reliable channel subsystem(12-1) decodes the encoded packet. If process for the reliable channel is ended, the reliable channel subsystem(12-1) transmits the packet to an upper level to transmit the packet to a reception-side user(S2). A kernel memory provides an authentication key and an encryption key necessary for checking authentication with respect to the packet encoded by the reliable channel subsystem(12) and decoding the packet.
Abstract translation: 目的:提供一种用于在应用MAC(强制访问控制)的安全OS(操作系统)中提供可靠信道的装置和方法,以提供用于通过安全级别独立地编码通信中使用的分组的新标题 MAC,并使用MAC的安全级别最小化网络性能下降。 构成:如果从发送侧用户(S1)提供的根据通信请求的数据用于分组发送请求,则可靠的信道子系统(12)判断是否应用了可靠的信道。 如果可靠的信道被应用,可靠的信道子系统(12)构成可信的信道报头,对分组的特定部分进行编码,将认证信息存储在可信的信道报头中,并通过网络(A)发送分组。 MAC模块(20)提供用于指示是否应用可靠信道的MAC信息。 内核存储器(30)提供对可靠的信道应用主机地址和分组进行编码所需的加密密钥和认证密钥,并生成认证数据。 可靠的信道子系统(12-1)在对通过网络(A)接收的分组进行解码之前检索可靠信道报头的认证数据。 如果验证数据有效,则可靠的信道子系统(12-1)解码编码的分组。 如果可靠信道的处理结束,则可靠信道子系统(12-1)将分组发送到上层,将分组发送给接收侧用户(S2)。 内核存储器提供验证密钥和加密密钥,用于检查关于由可靠信道子系统(12)编码的分组的认证并对分组进行解码。
-
公开(公告)号:KR1020030055702A
公开(公告)日:2003-07-04
申请号:KR1020010085757
申请日:2001-12-27
Applicant: 한국전자통신연구원
IPC: G06F9/06
CPC classification number: G06F21/6218 , G06F2221/2107 , G06F2221/2113
Abstract: PURPOSE: A file security system using a security level and a method for managing an encryption key are provided to encrypt or decrypt a file having the security level by using the encryption key of each security level, and to offer the file to a user, or save the file in a disk. CONSTITUTION: The disk(130) stores the encryption key matched with the security level set by an access control module(120), a key file storing the encryption key, and the file encrypted by the encryption key. A kernel memory(140) stacks the encryption key stored in the disk(130) according to the driving of the encryption file system(110). The encryption file system(110) draws out the encryption key matched with the security level of the file to read or stored by the user from the kernel memory(140), and transmits the file decrypted or encrypted by the encryption key to the user, or stores the file in the disk.
Abstract translation: 目的:提供使用安全级别的文件安全系统和用于管理加密密钥的方法,以通过使用每个安全级别的加密密钥对具有安全级别的文件进行加密或解密,并将文件提供给用户,或 将文件保存在磁盘中。 构成:磁盘(130)存储与由访问控制模块(120)设置的安全等级相匹配的加密密钥,存储加密密钥的密钥文件和通过加密密钥加密的文件。 内核存储器(140)根据加密文件系统(110)的驱动堆叠存储在盘(130)中的加密密钥。 加密文件系统(110)从内核存储器(140)中提取与用户要读取或存储的文件的安全级别匹配的加密密钥,并将用加密密钥解密或加密的文件发送给用户, 或将文件存储在磁盘中。
-
公开(公告)号:KR100480999B1
公开(公告)日:2005-04-07
申请号:KR1020020066130
申请日:2002-10-29
Applicant: 한국전자통신연구원
IPC: H04L12/22
CPC classification number: H04L63/0428 , H04L63/162 , H04L63/164
Abstract: 본 발명은 강제적 접근 제어가 적용된 보안 운용 체제에서의 신뢰 채널 제공 장치 및 방법에 관한 것으로, 송신 측면에서 송신측 사용자로부터 제공된 통신 요청에 따른 데이터가 패킷 전송 요청일 경우, 신뢰 채널 적용 여부를 판단하여 신뢰 채널이 적용되면, 신뢰 채널 헤더를 구성하고, 패킷의 특정 부분을 암호화하며, 인증 정보를 신뢰 채널 헤더에 저장하여 네트워크를 통해 송신하는 신뢰 채널 서브 시스템; 신뢰 채널 적용 여부에 대한 정보를 제공하는 강제적 접근제어(Mandatory Access Control, MAC) 모듈; 신뢰 채널 서브 시스템에서 신뢰 채널 적용 정보 및 암호, 인증 키 등을 제공하는 커널 메모리; 수신 측면에서 네트워크를 통해 수신된 패킷을 복호화하기 전에 신뢰 채널 헤더 부분의 인증 데이터를 검색하고, 인증 데이터가 유효하면, 암호화된 패킷을 복호화하고, 신뢰 채널 수행에 대한 처리가 끝나면, 상위 레벨의 입력 처리 부분으로 전달하는 루틴을 이용해 패킷을 상위 레벨로 전달하여 수신측 사용자에게 전달하는 신뢰 채널 서브 시스템; 암호화된 패킷의 복호화에 필요한 인증 및 암호 키를 제공하는 커널 메모리를 구비한다. 따라서, 사용자가 보안 등급을 가지고 있지 않을 경우에는 데이터의 보호보다 전송에 더 큰 비중을 두어 암호화 대신 전송에 시스템 자원을 더 많이 제공하고, 사용자가 보안 등급을 가지고 있고, 그리고 그 보안 등급의 강도에 따라 각기 다른 키와 알고리즘을 적용하여 보안 등급이 높을수록 전송보다는 보안에 더 큰 비중을 두어 암호화에 시스템 자원을 활용할 수 있는 효과가 있다.
-
公开(公告)号:KR100450402B1
公开(公告)日:2004-09-30
申请号:KR1020020020800
申请日:2002-04-17
Applicant: 한국전자통신연구원
IPC: G06F12/14
CPC classification number: G06F21/6209 , G06F21/6218
Abstract: Disclosed is an access control method using a token having security attributes in a computer system when a user gains access to a specific file. The computer system adopts a token having encryption, modification, execution, and provision attributes to determine access permission or access denial between a user and a file in such a way that a file access request is controlled. The access control method enciphers a file and stores the enciphered file in a storage unit, so that it can maintain security of the file even though the storage unit is stolen. The access control method enables a system manager to read only enciphered contents of the file when the system manager performs a data backup operation, thereby eliminating limitations in commonly operating a system simultaneously with maintaining file security. The access control method enables programs for executing operations on behalf of a user to automatically obtain a corresponding token, confirms authority to execute the file, and prevents that the authority is stolen or drained due to a program error.
Abstract translation: 公开了当用户获得对特定文件的访问时,在计算机系统中使用具有安全属性的令牌的访问控制方法。 计算机系统采用具有加密,修改,执行和供应属性的令牌来确定用户和文件之间的访问许可或访问拒绝,从而控制文件访问请求。 访问控制方法对文件进行加密并将加密文件存储在存储单元中,从而即使存储单元被盗也可以保持文件的安全性。 该访问控制方法使得系统管理员在系统管理器执行数据备份操作时仅读取文件的加密内容,从而消除了在维持文件安全的同时操作系统时的一般限制。 该访问控制方法使得用于代表用户执行操作的程序能够自动获得相应的令牌,确认执行该文件的权限,并且防止由于程序错误而导致权限被窃取或排空。
-
-
-
-
-
-
-
-
-
Search Results
19
records
(took 0.022 seconds)
