JP2008269589A - Safe apparatus and method for protecting system in virtualized environment - Google Patents

Safe apparatus and method for protecting system in virtualized environment Download PDF

Info

Publication number
JP2008269589A
JP2008269589A JP2008074946A JP2008074946A JP2008269589A JP 2008269589 A JP2008269589 A JP 2008269589A JP 2008074946 A JP2008074946 A JP 2008074946A JP 2008074946 A JP2008074946 A JP 2008074946A JP 2008269589 A JP2008269589 A JP 2008269589A
Authority
JP
Japan
Prior art keywords
domain
access
system resource
access control
device driver
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2008074946A
Other languages
Japanese (ja)
Other versions
JP5496464B2 (en
Inventor
Sung-Min Lee
聖 民 李
Bok-Deuk Jeong
福 得 鄭
Sang-Bum Suh
尚 範 徐
Sang-Dok Mo
相 徳 牟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Samsung Electronics Co Ltd
Original Assignee
Samsung Electronics Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from KR1020070110296A external-priority patent/KR101405319B1/en
Application filed by Samsung Electronics Co Ltd filed Critical Samsung Electronics Co Ltd
Publication of JP2008269589A publication Critical patent/JP2008269589A/en
Application granted granted Critical
Publication of JP5496464B2 publication Critical patent/JP5496464B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To guarantee a security service by protecting system resources from a malicious access such as a malignant code (malware) in a virtualized environment and solving a system failure. <P>SOLUTION: The system protecting apparatus which is safe in a virtualized environment includes a domain unit including a plurality of domains, each having at least one device driver; a system resource unit forming hardware of a device; a DMA (direct memory access) driver; and a control unit including an access control module which controls the access of the domain unit to the system resource unit in the virtualized environment. <P>COPYRIGHT: (C)2009,JPO&INPIT

Description

本発明はシステム保護装置および方法に関するものであってより詳細には仮想化環境で悪意的な接近からシステム資源を保護し、安全な保安サービスを保障するための仮想化環境での安全なシステム保護装置および方法に関するものである。   The present invention relates to a system protection apparatus and method, and more particularly to secure system protection in a virtualized environment for protecting system resources from malicious access in a virtualized environment and ensuring a safe security service. The present invention relates to an apparatus and a method.

一般的にPC、PDA、無線端末機、DTVなどの装置は安全性と多様な応用およびサービスの実現のために仮想化(Virtualization)技術を使用することができる。このような仮想化技術において安全な環境を提供するためには保安ブート(Secure Boot)、保安ソフトウェア(Secure SW)、接近コントロール(Access Control)などの機能を必要とする。   Generally, devices such as a PC, a PDA, a wireless terminal, and a DTV can use a virtualization technology to realize safety and various applications and services. In order to provide a safe environment in such a virtualization technology, functions such as a security boot (Secure Boot), a security software (Secure SW), and an access control (Access Control) are required.

図1は従来の仮想化システム装置の構成を図示したブロック図である。
図1に図示したように、従来の仮想化システム装置はVMM(Virtual Machine Monitor)10を利用する仮想化環境で、多数個のドメイン(21、22、...)を具備するドメイン部20と、ロム(ROM)、中央処理処置(CPU)、メモリ、バッテリー、入出力デバイス(I/O DEVICE)などを具備するシステム資源部30などを含む。 FIG. 1 is a block diagram illustrating the configuration of a conventional virtualization system apparatus.
As shown in FIG. 1, the conventional virtualization system apparatus is a virtual environment using a virtual machine monitor (VMM) 10, and includes a domain unit 20 having a large number of domains (21, 22,...) , ROM, a central processing unit (CPU), a memory, a battery, a system resource unit 30 including an input / output device (I / O DEVICE), and the like.

前記ドメイン部20の各ドメイン(21、22、...)は少なくとも一つのデバイスドライバ(21a、22a、...)を具備し、多数のドメイン(21、22、...)のうち少なくとも一つのドメイン21はDMAドライバ21bを含む。このような従来の仮想化システム装置はドメイン部20でDMAに対する処理を遂行し、ドメインの間のチャネルを形成するに何らかの制限がない。また、各ドメイン(21、22、...)がシステム資源部30に対して接近時単純な接近制御がドメイン部20またはVMM10のうち何れかの一つで遂行される。   Each domain (21, 22,...) Of the domain unit 20 includes at least one device driver (21a, 22a,...), And at least one of the multiple domains (21, 22,...). One domain 21 includes a DMA driver 21b. In such a conventional virtualization system apparatus, the domain unit 20 performs processing for DMA, and there is no limitation in forming a channel between domains. Further, when each domain (21, 22,...) Approaches the system resource unit 30, simple access control is performed in either one of the domain unit 20 or the VMM 10.

しかし、前記のような従来の仮想化システム装置はDMA処理がドメイン部20で遂行され、VMM10でシステム資源部30に対するドメイン部20の悪意的な接近を防止するための接近制御が遂行されないためにシステム保安上問題がある。   However, in the conventional virtualization system apparatus as described above, the DMA processing is performed in the domain unit 20 and the VMM 10 does not perform the access control for preventing the domain unit 20 from maliciously approaching the system resource unit 30. There is a system security problem.

より詳細には、DMAがドメイン21で遂行されて物理的なメモリに対する接近制御が提供されていないため、不安定なドメインやバグがあるデバイスドライバがドメインに存在する場合にVMMまたは他のドメインの物理的なドメインに接近し、機密データを持ってきたり、ダミー(dummy)データを重複記載(overwrite)してシステム障害をもたらす問題がある。   More specifically, since DMA is performed in domain 21 and access control to physical memory is not provided, if there is an unstable domain or a buggy device driver in the domain, the VMM or other domain There is a problem that a system failure is caused by approaching a physical domain, bringing confidential data, or overwriting dummy data.

また、特定ドメインがシステムメモリを過度に使用すると、システム障害がもたらされてシステム有用性(availability)を阻害する問題がある。   In addition, when a specific domain uses system memory excessively, there is a problem that a system failure is caused to hinder system availability.

また、二つのドメインの間に形成されるイベントチャネルの数は限定されているが、もし悪意の特定ドメインが使用可能なイベントチャネルをすべて使用すると、残りドメインの間ではイベントチャネルを形成できなくなるため、システム障害がもたらされる。
韓国公開特許第2007−0108723号公報 In addition, the number of event channels formed between two domains is limited, but if all the event channels that can be used by a malicious specific domain are used, an event channel cannot be formed between the remaining domains. System failure will result.
Korean Published Patent No. 2007-0108723

本発明は前記のような点を解決するために案出されたものであって、仮想化環境で悪性コード(malware)など悪義的な接近からシステム資源を保護してシステム障害を解決し、安全な保安サービスを保障できる仮想化環境で安全なシステム保護装置および方法に関するものである。   The present invention has been devised to solve the above-described points, and solves a system failure by protecting system resources from malicious access such as malicious code in a virtual environment, The present invention relates to a system protection apparatus and method that are safe in a virtual environment that can ensure a safe security service.

本発明の目的は以上で言及した目的に制限されず、言及されていないまた他の目的は次の記載から当業者に明確に理解されるであろう。   The objects of the present invention are not limited to the objects mentioned above, and other objects not mentioned will be clearly understood by those skilled in the art from the following description.

前記目的を達成するために、本発明の一実施形態による仮想化環境での安全なシステム保護装置は、少なくとも一つのデバイスドライバを含むドメインを多数個具備するドメイン部、デバイスのハードウェアを構成するシステム資源部、およびDMA(Direct Memory Access)ドライバおよび仮想化環境で前記システム資源部に対して前記ドメイン部の接近動作を制御する接近制御モジュールを具備する制御部を含む。   In order to achieve the above object, a secure system protection apparatus in a virtual environment according to an embodiment of the present invention configures a domain unit including a plurality of domains including at least one device driver, and device hardware. A system resource unit; and a control unit including a DMA (Direct Memory Access) driver and an access control module that controls an access operation of the domain unit to the system resource unit in a virtual environment.

前記他の目的を達成するために、本発明の一実施形態による仮想化環境での安全なシステム保護方法は、システム資源部に対する各ドメインのデバイスドライバのI/OスペースおよびIRQ(インターラプトリクエスト)ナンバー割り当てを要請する段階、前記デバイスドライバを実行する前記ドメインが所定の接近制御政策(policy)によって前記システム資源部に対する接近権限が許容されるのかを判断する段階、および前記接近制御政策によって前記システム資源部に対して前記ドメインの接近権限が許容されれば前記ドメインのデバイスドライバに前記要請したI/OスペースおよびIRQナンバーを割り当てて、そうではなければ前記要請したI/OスペースおよびIRQナンバーを割り当てない段階を含む。   In order to achieve the other objects, a secure system protection method in a virtualized environment according to an embodiment of the present invention includes a device driver I / O space and an IRQ (interrupt request) for each system resource unit. Requesting number assignment, determining whether the domain executing the device driver is allowed access authority to the system resource unit by a predetermined access control policy, and the access control policy If the access authority of the domain to the resource unit is allowed, the requested I / O space and IRQ number are assigned to the device driver of the domain, otherwise the requested I / O space and IRQ number are assigned. Includes non-assignment stages.

前記他の目的を達成するために、本発明の他の実施形態による仮想化環境で安全なシステム保護方法は、ドメインの特定デバイスドライバがDMAをとおし、システム資源部のメモリに接近を要請する段階、前記特定デバイスドライバを実行するドメインが所定の接近制御政策によって、接近権限が許容される前記メモリに接近を試みるかを判断する段階、および前記接近制御政策によって前記ドメインが前記メモリに接近を試みれば前記要請したメモリに対して前記ドメインの特定デバイスドライバの接近を許容して、そうではなければ前記要請したメモリに対して前記ドメインの特定デバイスドライバの接近を許容しない段階を含む。   According to another aspect of the present invention, there is provided a method for protecting a system in a virtual environment, wherein a specific device driver of a domain requests access to a memory of a system resource unit through a DMA. Determining whether a domain executing the specific device driver attempts to access the memory to which access authority is allowed according to a predetermined access control policy, and the domain attempts to access the memory according to the access control policy. And allowing the specific device driver of the domain to access the requested memory, and not allowing the specific device driver of the domain to access the requested memory.

前記他の目的を達成するために、本発明のまた他の実施形態による仮想化環境で安全なシステム保護方法は、多数個のドメインのうち少なくとも一つのドメインでシステム資源の割り当てを要請する段階、前記ドメインで要請したシステム資源の割当量が所定の接近制御政策によって設定された基準値を超過していないかを判断する段階、および前記接近制御政策によって、前記ドメインが要請したシステム資源の割当量が前記設定された基準値以下であれば前記ドメインに前記要請したシステム資源の割り当てを許容し、そうではなければ、前記ドメインに前記要請したシステム資源の割り当てを許容しない段階を含む。
その他実施形態の具体的な事項は詳細な説明および図に含まれている。 According to another aspect of the present invention, a system protection method that is secure in a virtualized environment requests allocation of system resources in at least one domain among a plurality of domains. Determining whether the allocation amount of the system resource requested in the domain does not exceed a reference value set by a predetermined access control policy, and the allocation amount of the system resource requested by the domain according to the access control policy; If the requested system resource is less than or equal to the set reference value, the requested system resource is allowed to be allocated to the domain; otherwise, the requested system resource is not allowed to be allocated.
Specific matters of other embodiments are included in the detailed description and the drawings.

前記したような本発明の仮想化環境で安全なシステム保護装置および方法によれば、仮想化環境で悪性コード(malware)など悪義的なの接近からシステム資源を保護し、システム障害を解決して安全な保安サービスを保障することができる。   According to the system protection apparatus and method safe in the virtual environment of the present invention as described above, the system resource is protected from malicious access such as malicious code in the virtual environment, and the system failure is solved. Safe security service can be ensured.

本発明の効果は以上で言及した効果に制限されず、言及されていないまた他の効果は請求範囲の記載から当業者に明確に理解できるであろう。   The effects of the present invention are not limited to the effects mentioned above, and other effects that are not mentioned will be clearly understood by those skilled in the art from the claims.

本発明の利点および特徴、そしてそれらを達成する方法は添付される図面と共に詳細に後述されている実施形態を参照すれば明確になるであろう。しかし本発明は以下で開示される実施形態に限定されるものではなく互いに異なる多様な形態で具現されることができ、単に本実施形態は本発明の開示を完全にし、本発明が属する技術分野で通常の知識を有する者に発明の範疇を完全に知らせるために提供されるものであり、本発明は請求項の範囲によってのみ定義される。明細書全体にかけて同一参照符号は同一構成要素を指称する。   Advantages and features of the present invention and methods of achieving them will be apparent with reference to the embodiments described in detail below in conjunction with the accompanying drawings. However, the present invention is not limited to the embodiments disclosed below, and can be embodied in various forms different from each other. The embodiments merely complete the disclosure of the present invention and the technical field to which the present invention belongs. And is provided to fully inform those skilled in the art of the scope of the invention, which is defined only by the claims. Like reference numerals refer to like elements throughout the specification.

以下、添付された図面を参照して本発明の好ましい実施形態による仮想化環境で安全なシステム保護装置および方法を詳細に説明する。参考として本発明を説明するにおいて関連した公知機能あるいは構成に対する具体的な説明が本発明の要旨が不明確になり得ると判断される場合、その詳細な説明を省略する。   Hereinafter, a system protection apparatus and method that are secure in a virtual environment according to a preferred embodiment of the present invention will be described in detail with reference to the accompanying drawings. If it is determined that a specific description of a known function or configuration related to the description of the present invention as a reference may obscure the gist of the present invention, a detailed description thereof will be omitted.

図2は本発明の一実施形態による仮想化環境で安全なシステム保護装置の構成を図示したブロック図である。   FIG. 2 is a block diagram illustrating the configuration of a system protection device that is secure in a virtual environment according to an embodiment of the present invention.

図2に図示したように、本発明の一実施形態による仮想化(Virtualization)環境で安全なシステム保護装置はドメイン部100、システム資源部200および制御部300などを含む。   As shown in FIG. 2, a system protection apparatus that is secure in a virtualization environment according to an embodiment of the present invention includes a domain unit 100, a system resource unit 200, a control unit 300, and the like.

前記ドメイン部100は少なくとも一つのデバイスドライバ(111、121、...)を含む多数のドメイン(110、120、...)を具備する。例えば、ドメイン部100は安全性が保障される少なくとも一つの保安ドメイン110と、安全性が多少脆弱な多数の一般ドメイン(120、...)を含む。   The domain unit 100 includes a plurality of domains (110, 120,...) Including at least one device driver (111, 121,...). For example, the domain unit 100 includes at least one security domain 110 in which security is ensured and a large number of general domains (120,...) Whose security is somewhat weak.

本発明においてドメイン(Domain)はそれぞれのオペレーティングシステム(OS)によって該当デバイスドライバを実行できる環境を意味する。   In the present invention, a domain means an environment in which a corresponding device driver can be executed by each operating system (OS).

前記システム資源部200は装置のハードウェアを構成する。システム資源部200はロム(ROM)210、中央処理処置(CPU)220、バッテリー230、メモリ240、ドメイン間のイベントチャネル250、入出力デバイス(I/O device)260などを含む。   The system resource unit 200 constitutes hardware of the apparatus. The system resource unit 200 includes a ROM (ROM) 210, a central processing unit (CPU) 220, a battery 230, a memory 240, an event channel 250 between domains, an input / output device (I / O device) 260, and the like.

前記ロム210はユーザまたはシステムによって不法的に変更されることがない保存領域である。
前記メモリ240はデータ情報が保存されるストレージであって、非揮発性メモリ、例えばフラッシュメモリが適用される。 The ROM 210 is a storage area that is not illegally changed by the user or the system.
The memory 240 is a storage for storing data information, and a nonvolatile memory such as a flash memory is applied.

前記メモリ240はシステムメモリおよび後述するDMAに関する物理的なメモリ(phisical memory)などを含む。   The memory 240 includes a system memory and a physical memory related to DMA, which will be described later.

前記メモリ240は多様なデータ情報を種類および保安に応じて区分し、保存できるように複数個の保存領域に分割され、前記保存領域のうち所定の保存領域に重要なデータ情報が暗号化されて保存されるのが好ましい。   The memory 240 divides various data information according to type and security and is divided into a plurality of storage areas so that the data can be stored, and important data information is encrypted in a predetermined storage area among the storage areas. Preferably it is preserved.

前記制御部300はVMM(Virtual Machine Monitor)を利用して、仮想化環境、例えば無線インターネット環境でドメイン部100がシステム資源部200に接近可能なように動作を制御する。   The control unit 300 uses a virtual machine monitor (VMM) to control the operation so that the domain unit 100 can access the system resource unit 200 in a virtual environment such as a wireless Internet environment.

前記制御部300はDMA(Direct Memory Access)ドライバ310および仮想化環境でシステム資源部200に対してドメイン部100の接近動作を制御する接近制御モジュール320などを具備する。   The control unit 300 includes a DMA (Direct Memory Access) driver 310 and an access control module 320 that controls an approach operation of the domain unit 100 to the system resource unit 200 in a virtual environment.

前記DMAドライバ310はDMA Operationを遂行するモジュールである。
前記接近制御モジュール320は各ドメイン(110、120、...)のデバイスドライバ(111、121、...)がDMAドライバ310によってシステム資源部200に接近する動作を制御する。特に、接近制御モジュール320は各ドメイン(110、120、...)のうち安全性に脆弱な一般ドメイン(120、...)に設置される悪意的なデバイスドライバ(121)がDMAドライバ310に関連する入出力スペース(I/O space)およびIRQに対する接近を制限する。より詳細には、接近制御モジュール320はドメイン(110、120、...)の特定デバイスドライバが所定の接近制御政策(policy)によってDMAをとおし、システム資源部200に接近を試みれば、DMAドライバ310に関連する入出力スペース(I/O space)に対する接近を許容し、そうではなければ、DMAドライバ310に関連する入出力スペース(I/O space)およびIRQに対する接近を遮断する。 The DMA driver 310 is a module that performs a DMA operation.
The access control module 320 controls the operation of the device driver (111, 121,...) Of each domain (110, 120,...) Approaching the system resource unit 200 by the DMA driver 310. In particular, the access control module 320 includes a malicious device driver (121) installed in a general domain (120,...) Vulnerable to security among the domains (110, 120,...). Limit access to I / O space and IRQ associated with. More specifically, the access control module 320 performs DMA if a specific device driver in the domain (110, 120,...) Tries to access the system resource unit 200 through the DMA according to a predetermined access control policy. Access to the input / output space (I / O space) associated with the driver 310 is allowed, otherwise access to the input / output space (I / O space) and IRQ associated with the DMA driver 310 is blocked.

前記接近制御モジュール320は各ドメイン(110、120、...)別にシステム資源部200に対する接近権限を別に設定し、システム資源部200に対する接近権限によって各ドメイン(110、120、...)のデバイスドライバ(111、121、...)に要請したI/OスペースおよびIRQナンバーの割り当てを制御する。より詳細には接近制御モジュール320は所定の接近制御政策によってシステム資源部200に対するデバイスドライバ(111、121、...)の接近が許容されれば、デバイスドライバ(111、121、...)に要請したI/OスペースおよびIRQナンバーを割り当てて、接近が許容されなければ、要請したI/OスペースおよびIRQナンバーを割り当てない。   The access control module 320 separately sets the access authority for the system resource unit 200 for each domain (110, 120,...), And the access authority for the system resource unit 200 sets each domain (110, 120,...). Controls allocation of I / O space and IRQ number requested to the device driver (111, 121,...). More specifically, if the access control module 320 allows the device driver (111, 121,...) To access the system resource unit 200 according to a predetermined access control policy, the device driver (111, 121,...) If the requested I / O space and IRQ number are assigned and access is not permitted, the requested I / O space and IRQ number are not assigned.

前記接近制御モジュール320はシステム資源部200に対して各ドメイン(110、120、...)の過度な使用接近を制限する。より詳細には、接近制御モジュール320は各ドメイン(110、120、...)のデバイスドライバ(111、121、...)がシステム資源部200のメモリ240を許容基準値以上に使用する場合、所定の接近制御政策によってメモリ240に対する該当ドメインの接近を遮断する。また、接近制御モジュール320は各ドメイン(110、120、...)間のイベントチャネル形成時、所定の接近制御政策によって各ドメイン(110、120、...)が許容基準値以上のイベントチャネルを形成できないように遮断する。   The access control module 320 restricts excessive use access of each domain (110, 120,...) To the system resource unit 200. In more detail, the access control module 320 is used when the device driver (111, 121,...) Of each domain (110, 120,...) Uses the memory 240 of the system resource unit 200 above the allowable reference value. The access of the corresponding domain to the memory 240 is blocked by a predetermined access control policy. In addition, when the event control module 320 forms an event channel between the domains (110, 120,...), An event channel in which each domain (110, 120,...) Exceeds the allowable reference value according to a predetermined access control policy. To prevent it from forming.

以下、図3ないし5を参照し、本発明の一実施形態による仮想化環境で安全なシステム保護方法を具体的に説明する。   Hereinafter, a system protection method that is safe in a virtual environment according to an embodiment of the present invention will be described in detail with reference to FIGS.

図3は本発明の仮想化環境で安全なシステム保護方法によってデバイスドライバのI/Oスペース割り当て過程を説明するためのフローチャートである。   FIG. 3 is a flowchart for explaining an I / O space allocation process of a device driver by a system protection method secure in a virtual environment according to the present invention.

図3に図示したように、本発明は制御部300の接近制御モジュール320から各ドメイン(110、120、...)別にシステム資源部200に対する接近権限を異に設定し、システム資源部200に対する接近権限に応じ各ドメイン(110、120、...)のデバイスドライバ(111、121、...)に要請したI/OスペースおよびIRQナンバーの割り当てを制御する。   As shown in FIG. 3, the present invention sets the access authority for the system resource unit 200 for each domain (110, 120,...) From the access control module 320 of the control unit 300. The allocation of the I / O space and IRQ number requested to the device driver (111, 121,...) Of each domain (110, 120,...) Is controlled according to the access authority.

より詳細には、システム資源部200に対する各ドメイン(110、120、...)のデバイスドライバ(111、121、...)のI/Oスペース割り当てを要請する(S101)。次に、デバイスドライバ(111、121、...)を実行するドメイン(110、120、...)が制御部300の接近制御モジュール320に応じ決定される所定の接近制御政策によってシステム資源部200に対する接近権限が許容されるのかを判断する(S102)。次に、接近制御政策によってシステム資源部200に対してドメイン(110、120、...)の接近権限が許容されれば、ドメイン(110、120、...)のデバイスドライバ(111、121、...)に要請したI/OスペースおよびIRQナンバーを割り当てる(S103)。しかし、接近制御政策によってシステム資源部に対してドメインの接近権限が許容されなければ要請したI/OスペースおよびIRQナンバーを割り当てない。   More specifically, the system resource unit 200 is requested to allocate the I / O space of the device driver (111, 121,...) Of each domain (110, 120,...) (S101). Next, the domain (110, 120,...) That executes the device driver (111, 121,...) Is determined by the access control module 320 of the control unit 300 according to a predetermined access control policy. It is determined whether the access authority to 200 is permitted (S102). Next, if the access authority of the domain (110, 120,...) Is permitted to the system resource unit 200 by the access control policy, the device driver (111, 121) of the domain (110, 120,...). The requested I / O space and IRQ number are allocated to the request (S103). However, the requested I / O space and the IRQ number are not assigned unless the access authority of the domain is allowed for the system resource unit by the access control policy.

図4は本発明の仮想化環境で安全なシステム保護方法によってデバイスドライバがDMAをとおし、システムメモリに接近時接近制御過程を説明するためのフローチャートである。
図4に図示したように、本発明は制御部300の接近制御モジュール320で各ドメイン(110、120、...)のデバイスドライバ(111、121、...)がDMAドライバ310をとおし、システム資源部200に接近する動作を制御する。 FIG. 4 is a flowchart for explaining an approach control process when the device driver approaches the system memory through the DMA by the secure system protection method in the virtual environment according to the present invention.
As shown in FIG. 4, the present invention is an access control module 320 of the controller 300 in which the device drivers (111, 121,...) Of each domain (110, 120,...) Pass through the DMA driver 310. The operation of approaching the system resource unit 200 is controlled.

より詳細には、ドメイン(110、120、...)の特定デバイスドライバがDMAをとおし、システム資源部200のメモリ240に接近を要請する(S201)。次に、特定のデバイスドライバを実行するドメインが所定の接近制御政策によって接近権限が許容されるメモリ240に接近を試みるのかを判断する(S202)。次に、接近制御政策によってドメイン(110、120、...)がメモリ240に接近を試みれば、要請したメモリ240に対してドメイン(110、120、...)の特定デバイスドライバの接近を許容する(S203)。しかし、接近制御政策によってドメイン(110、120、...)がメモリ240に接近を試みなければ、要請したメモリ240に対してドメイン(110、120、...)の特定デバイスドライバの接近を遮断する。   More specifically, the specific device driver of the domain (110, 120,...) Requests access to the memory 240 of the system resource unit 200 through the DMA (S201). Next, it is determined whether a domain executing a specific device driver attempts to access the memory 240 that is allowed to have access authority according to a predetermined access control policy (S202). Next, if the domain (110, 120,...) Tries to access the memory 240 by the access control policy, the access of the specific device driver of the domain (110, 120,...) To the requested memory 240. Is allowed (S203). However, if the domain (110, 120,...) Does not attempt to access the memory 240 due to the access control policy, the access of the specific device driver of the domain (110, 120,. Cut off.

図5は本発明の仮想化環境で安全なシステム保護方法によってシステム資源に対するドメインの接近制御過程を説明するためのフローチャートである。
図5に図示したように、本発明は制御部の接近制御モジュールでシステム資源部に対して各ドメインの過度な使用接近を制限する。 FIG. 5 is a flowchart for explaining a domain access control process for system resources by a system protection method secure in a virtual environment according to the present invention.
As shown in FIG. 5, the present invention restricts the excessive use access of each domain to the system resource unit by the access control module of the control unit.

より詳細には、多数個のドメイン(110、120、...)のうち少なくとも一つのドメインでシステム資源の割り当てを要請する(S301)。次に、ドメインで要請したシステム資源の割当量が所定の接近制御政策によって設定された基準値を超過しないかを判断する(S302)。次に、接近制御政策によって、ドメインが要請したシステム資源の割当量が設定された基準値以下であれば、ドメインに要請したシステム資源の割り当てを許容する(S303)。しかし、接近制御政策によってドメインが要請したシステム資源の割当量が設定された基準値以上であれば、ドメインに要請したシステム資源の割り当てを許容しない。例えば、接近制御モジュール320は各ドメイン(110、120、...)のデバイスドライバ(111、121、...)がシステム資源部200のメモリ240を許容基準値以上に使用する場合、メモリ240に対して該当ドメインの接近を遮断する。また、接近制御モジュール320は各ドメイン(110、120、...)間のイベントチャネル形成時、各ドメイン(110、120、...)が許容基準値以上のイベントチャネルを形成できないように遮断する。   More specifically, system resource allocation is requested in at least one of the multiple domains (110, 120, ...) (S301). Next, it is determined whether the allocated amount of system resources requested in the domain exceeds a reference value set by a predetermined access control policy (S302). Next, if the allocation amount of the system resource requested by the domain is equal to or less than the set reference value according to the access control policy, the allocation of the system resource requested by the domain is permitted (S303). However, if the allocation amount of the system resource requested by the domain by the access control policy is equal to or greater than the set reference value, the allocation of the system resource requested by the domain is not permitted. For example, when the device driver (111, 121,...) Of each domain (110, 120,...) Uses the memory 240 of the system resource unit 200 above the allowable reference value, the access control module 320 uses the memory 240. Against the access of the corresponding domain. In addition, when the event channel is formed between the domains (110, 120,...), The access control module 320 blocks the domains (110, 120,...) From being able to form an event channel exceeding the allowable reference value. To do.

以上添付された図面を参照して本発明の実施形態を説明したが、本発明が属する技術分野で通常の知識を有する者は本発明がその技術的思想や必須の特徴を変更せず、他の具体的な形態で実施され得ることを理解できるであろう。したがって以上で記述した実施形態はすべての面で例示的なものであり、限定的ではないものとして理解しなければならない。本発明の範囲は前記詳細な説明よりは後述する特許請求範囲によって示され、特許請求範囲の意味および範囲そしてその均等概念から導出されるすべての変更または変形された形態が本発明の範囲に含まれるものとして解釈されなければならない。   Although the embodiments of the present invention have been described with reference to the accompanying drawings, those skilled in the art to which the present invention belongs will not change the technical idea or essential features of the present invention. It will be understood that the present invention can be implemented in a specific form. Accordingly, the embodiments described above are to be understood as illustrative in all aspects and not restrictive. The scope of the present invention is defined by the following claims rather than the above detailed description, and all modifications or variations derived from the meaning and scope of the claims and equivalents thereof are included in the scope of the present invention. Must be interpreted.

従来の仮想化システム装置の構成を図示したブロック図である。It is the block diagram which illustrated the structure of the conventional virtualization system apparatus. 本発明の一実施形態による仮想化環境での安全なシステム保護装置の構成を図示したブロック図である。1 is a block diagram illustrating a configuration of a secure system protection device in a virtual environment according to an embodiment of the present invention. 本発明の仮想化環境での安全なシステム保護方法によって、デバイスドライバのI/OスペースおよびIRQナンバーの割り当て過程を説明するためのフローチャート。The flowchart for demonstrating the allocation process of the I / O space and IRQ number of a device driver by the secure system protection method in the virtual environment of this invention. 本発明の仮想化環境での安全なシステム保護方法によってデバイスドライバがDMAをとおし、システムメモリに接近時接近制御過程を説明するためのフローチャートである。5 is a flowchart for explaining an approach control process when a device driver approaches a system memory through a DMA by a secure system protection method in a virtual environment according to the present invention. 本発明の仮想化環境での安全なシステム保護方法によってシステム資源に対するドメインの接近制御過程を説明するためのフローチャートである。4 is a flowchart for explaining a domain access control process for system resources by a secure system protection method in a virtual environment according to the present invention.

符号の説明Explanation of symbols

100 ドメイン部
110、120、... ドメイン
111、121、... デバイスドライバ
200 システム資源部
300 制御部
310 DMAドライバ
320 接近制御モジュール 100 domain parts 110, 120,. . . Domains 111, 121,. . . Device driver 200 System resource unit 300 Control unit 310 DMA driver 320 Access control module

Claims (18)

少なくとも一つのデバイスドライバを含むドメインを多数個具備するドメイン部と、
デバイスのハードウェアを構成するシステム資源部、および
DMA(Direct Memory Access)ドライバ、および仮想化環境で前記システム資源部に対する前記ドメイン部の接近動作を制御する接近制御モジュールを具備する制御部を含む仮想化環境での安全なシステム保護装置。 A domain part having a plurality of domains including at least one device driver;
A virtual system including a system resource unit that configures the hardware of the device, a DMA (Direct Memory Access) driver, and a control unit that includes an access control module that controls an access operation of the domain unit to the system resource unit in a virtual environment. Safe system protection device in a computer environment. 前記ドメイン部は安全性が保障されるドメインを少なくとも一つ含む、請求項1に記載の仮想化環境での安全なシステム保護装置。   The secure system protection apparatus in a virtual environment according to claim 1, wherein the domain unit includes at least one domain in which security is ensured. 前記システム資源部はシステムメモリ、前記DMAに関する物理的なメモリ、前記ドメイン間のイベントチャネルのうち少なくとも一つを含む、請求項1に記載の仮想化環境での安全なシステム保護装置。   The secure system protection apparatus in a virtual environment according to claim 1, wherein the system resource unit includes at least one of a system memory, a physical memory related to the DMA, and an event channel between the domains. 前記制御部はVMM(Virtual Machine Monitor)を利用して制御する請求項1に記載の仮想化環境での安全なシステム保護装置。   The secure system protection apparatus in a virtual environment according to claim 1, wherein the control unit is controlled using a VMM (Virtual Machine Monitor). 前記接近制御モジュールは前記各ドメインのデバイスドライバが前記DMAドライバをとおし、前記システム資源部に接近する動作を制御する、請求項1に記載の仮想化環境での安全なシステム保護装置。   2. The secure system protection apparatus in a virtual environment according to claim 1, wherein the access control module controls an operation in which a device driver of each domain approaches the system resource unit through the DMA driver. 前記接近制御モジュールは前記各ドメインのうち安全性に脆弱なドメインに設置される悪意のデバイスドライバが前記DMAドライバに関連する入出力スペース(I/O space)およびIRQ(インターラプト)に対する接近を制限する請求項5に記載の仮想化環境での安全なシステム保護装置。   The access control module limits access to an input / output space (I / O space) and an IRQ (interrupt) related to the DMA driver by a malicious device driver installed in a domain vulnerable to security among the domains. The secure system protection device in a virtual environment according to claim 5. 前記接近制御モジュールは前記各ドメイン別に前記システム資源部に対する接近権限を異に設定する請求項1に記載の仮想化環境での安全なシステム保護装置。   2. The secure system protection apparatus in a virtual environment according to claim 1, wherein the access control module sets different access authority for the system resource unit for each domain. 前記接近制御モジュールは前記システム資源部に対する接近権限によって前記ドメインのデバイスドライバに要請したI/OスペースおよびIRQナンバーの割り当てを制御する、請求項7に記載の仮想化環境での安全なシステム保護装置。   8. The secure system protection apparatus in a virtual environment according to claim 7, wherein the access control module controls allocation of an I / O space and an IRQ number requested to a device driver of the domain by an access right to the system resource unit. . 前記接近制御モジュールは前記システム資源部に対する前記デバイスドライバの接近が許容されれば、前記デバイスドライバに要請したI/OスペースおよびIRQナンバーを割り当てて、接近が許容されなければ、要請したI/OスペースおよびIRQナンバーを割り当てない、請求項8に記載の仮想化環境での安全なシステム保護装置。   The access control module assigns the requested I / O space and IRQ number to the device driver if the access of the device driver to the system resource unit is allowed, and if the access is not allowed, the requested I / O. 9. The secure system protection device in a virtualized environment according to claim 8, wherein no space or IRQ number is assigned. 前記接近制御モジュールは前記システム資源部に対して前記各ドメインの過度な使用接近を制限する、請求項1に記載の仮想化環境での安全なシステム保護装置。   The secure system protection device in a virtual environment according to claim 1, wherein the access control module restricts excessive use access of each domain to the system resource unit. 前記接近制御モジュールは前記各ドメインのデバイスドライバが前記システム資源部のメモリを許容基準値以上に使用する場合、前記メモリに対して該当ドメインの接近を遮断する、請求項10に記載の仮想化環境での安全なシステム保護装置。   The virtualization environment according to claim 10, wherein when the device driver of each domain uses a memory of the system resource unit at an allowable reference value or more, the access control module blocks access of the corresponding domain to the memory. Safe system protection device at. 前記接近制御モジュールは前記各ドメイン間のイベントチャネル形成時、前記各ドメインが許容基準値以上のイベントチャネルを形成できないように遮断する、請求項10に記載の仮想化環境での安全なシステム保護装置。   11. The secure system protection apparatus in a virtual environment according to claim 10, wherein when the event channel is formed between the domains, the access control module blocks the domains so that an event channel exceeding an allowable reference value cannot be formed. . システム資源部に対する各ドメインのデバイスドライバのI/OスペースおよびIRQナンバーの割り当てを要請する段階と、
前記デバイスドライバを実行する前記ドメインが所定の接近制御政策(policy)によって前記システム資源部に対する接近権限が許容されるのかを判断する段階、および
前記接近制御政策によって前記システム資源部に対して前記ドメインの接近権限が許容されれば前記ドメインのデバイスドライバに前記要請したI/OスペースおよびIRQナンバーを割り当てて、そうではなければ前記要請したI/OスペースおよびIRQナンバーを割り当てない段階を含む仮想化環境での安全なシステム保護方法。 Requesting allocation of I / O space and IRQ number of the device driver of each domain to the system resource part;
Determining whether the domain executing the device driver is permitted to access the system resource unit according to a predetermined access control policy; and the domain for the system resource unit according to the access control policy If the access authority of the domain is permitted, the requested I / O space and IRQ number are assigned to the device driver of the domain, and if not, the requested I / O space and IRQ number are not assigned. Safe system protection method in the environment. ドメインの特定デバイスドライバがDMAをとおし、システム資源部のメモリに接近を要請する段階と、
前記特定デバイスドライバを実行するドメインが所定の接近制御政策によって、接近権限が許容される前記メモリに接近を試みるのかを判断する段階、および
前記接近制御政策によって前記ドメインが前記メモリに接近を試みれば前記要請したメモリに対して前記ドメインの特定デバイスドライバの接近を許容し、そうではなければ前記要請したメモリに対して前記ドメインの特定デバイスドライバの接近を許容しない段階を含む仮想化環境での安全なシステム保護方法。 The domain specific device driver requests access to the memory of the system resource part through DMA,
Determining whether a domain executing the specific device driver attempts to access the memory to which access authority is allowed according to a predetermined access control policy; and, according to the access control policy, the domain attempts to access the memory. In a virtualized environment including the step of allowing access of the specific device driver of the domain to the requested memory, and otherwise not allowing access of the specific device driver of the domain to the requested memory. Safe system protection method. 多数個のドメインのうち少なくとも一つのドメインでシステム資源の割り当てを要請する段階と、
前記ドメインで要請したシステム資源の割当量が所定の接近制御政策によって設定された基準値を超過しないかを判断する段階、および
前記接近制御政策によって前記ドメインが要請したシステム資源の割当量が前記設定された基準値以下であれば前記ドメインに前記要請したシステム資源の割り当てを許して、そうではなければ前記ドメインに前記要請したシステム資源の割り当てを許容しない段階を含む仮想化環境での安全なシステム保護方法。 Requesting allocation of system resources in at least one of a number of domains;
Determining whether the allocation amount of the system resource requested in the domain does not exceed a reference value set by a predetermined access control policy; and the allocation amount of the system resource requested by the domain by the access control policy A secure system in a virtualized environment including a step of permitting the domain to allocate the requested system resource if it is equal to or less than a requested reference value, and not permitting the domain to allocate the requested system resource otherwise Protection method. 前記システム資源の割当量はシステム資源部でメモリ使用量を含む、請求項15に記載の仮想化環境での安全なシステム保護方法。   The secure system protection method in a virtual environment according to claim 15, wherein the system resource allocation amount includes a memory usage amount in a system resource section. 前記システム資源の割当量はシステム資源部でドメイン間のイベントチャネル形成個数を含む、請求項15に記載の仮想化環境での安全なシステム保護方法。   The secure system protection method in a virtual environment according to claim 15, wherein the system resource allocation amount includes the number of event channels formed between domains in a system resource section. 前記所定の接近制御政策はVMMに具備される接近制御モジュールによって決定される、請求項13ないし15のうち何れか一項に記載の、仮想化環境での安全なシステム保護方法。   The secure system protection method in a virtual environment according to any one of claims 13 to 15, wherein the predetermined access control policy is determined by an access control module provided in the VMM.
JP2008074946A 2007-04-16 2008-03-24 Apparatus and method for secure system protection in a virtualized environment Expired - Fee Related JP5496464B2 (en)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US91193007P 2007-04-16 2007-04-16
US60/911,930 2007-04-16
KR1020070110296A KR101405319B1 (en) 2007-04-16 2007-10-31 Apparatus and method for protecting system in virtualization
KR10-2007-0110296 2007-10-31

Publications (2)

Publication Number Publication Date
JP2008269589A true JP2008269589A (en) 2008-11-06
JP5496464B2 JP5496464B2 (en) 2014-05-21

Family

ID=40048935

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008074946A Expired - Fee Related JP5496464B2 (en) 2007-04-16 2008-03-24 Apparatus and method for secure system protection in a virtualized environment

Country Status (1)

Country Link
JP (1) JP5496464B2 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013008188A (en) * 2011-06-24 2013-01-10 Univ Of Tsukuba Computing machine, device management method, program and storage medium
KR20170106066A (en) * 2016-03-11 2017-09-20 삼성전자주식회사 Electronic apparatus and the control method thereof

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002041304A (en) * 2000-07-28 2002-02-08 Hitachi Ltd Automatic imparting method of backup resource of logical section and logical section based computer system
JP2002318701A (en) * 2001-01-23 2002-10-31 Internatl Business Mach Corp <Ibm> Dma window for lpar environment for enabling a plurality of ioa for one terminal bridge by using device arbitration level
US20030187904A1 (en) * 2002-04-01 2003-10-02 Bennett Joseph A. Device virtualization and assignment of interconnect devices
JP2004199561A (en) * 2002-12-20 2004-07-15 Hitachi Ltd Computer resource assignment method, resource management server for executing it, and computer system
WO2005104486A1 (en) * 2004-03-31 2005-11-03 Intel Corporation Accelerated tcp (transport control protocol) stack processing
JP2005309553A (en) * 2004-04-19 2005-11-04 Hitachi Ltd Computer
WO2006063274A1 (en) * 2004-12-10 2006-06-15 Intel Corporation System and method to deprivilege components of a virtual machine monitor
WO2006088637A1 (en) * 2005-02-17 2006-08-24 Intel Corporation Method, apparatus and system for dynamically reassigning memory from one virtual machine to another

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002041304A (en) * 2000-07-28 2002-02-08 Hitachi Ltd Automatic imparting method of backup resource of logical section and logical section based computer system
JP2002318701A (en) * 2001-01-23 2002-10-31 Internatl Business Mach Corp <Ibm> Dma window for lpar environment for enabling a plurality of ioa for one terminal bridge by using device arbitration level
US20030187904A1 (en) * 2002-04-01 2003-10-02 Bennett Joseph A. Device virtualization and assignment of interconnect devices
JP2004199561A (en) * 2002-12-20 2004-07-15 Hitachi Ltd Computer resource assignment method, resource management server for executing it, and computer system
WO2005104486A1 (en) * 2004-03-31 2005-11-03 Intel Corporation Accelerated tcp (transport control protocol) stack processing
JP2005309553A (en) * 2004-04-19 2005-11-04 Hitachi Ltd Computer
WO2006063274A1 (en) * 2004-12-10 2006-06-15 Intel Corporation System and method to deprivilege components of a virtual machine monitor
WO2006088637A1 (en) * 2005-02-17 2006-08-24 Intel Corporation Method, apparatus and system for dynamically reassigning memory from one virtual machine to another

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013008188A (en) * 2011-06-24 2013-01-10 Univ Of Tsukuba Computing machine, device management method, program and storage medium
KR20170106066A (en) * 2016-03-11 2017-09-20 삼성전자주식회사 Electronic apparatus and the control method thereof
KR102484606B1 (en) * 2016-03-11 2023-01-05 삼성전자주식회사 Electronic apparatus and the control method thereof

Also Published As

Publication number Publication date
JP5496464B2 (en) 2014-05-21

Similar Documents

Publication Publication Date Title
EP3326104B1 (en) Technologies for secure trusted i/o access control
US20200380116A1 (en) Secure environment in a non-secure microcontroller
TWI570589B (en) Apparatus for providing trusted computing
US20110078760A1 (en) Secure direct memory access
EP2106583B1 (en) Protecting operating-system resources
US20170364707A1 (en) Technologies for trusted i/o with a channel identifier filter and processor-based cryptographic engine
EP3008656B1 (en) Secure privilege level execution and access protection
US20180082057A1 (en) Access control
KR101405319B1 (en) Apparatus and method for protecting system in virtualization
US8627069B2 (en) System and method for securing a computer comprising a microkernel
EP3842973B1 (en) Security schemes for multiple trusted-execution-environments (tees) and multiple rich-execution-environments (rees)
US10360386B2 (en) Hardware enforcement of providing separate operating system environments for mobile devices
EP1983460B1 (en) Apparatus and method for protecting system in virtualized environment
US10242194B2 (en) Method and apparatus for trusted execution of applications
US10250595B2 (en) Embedded trusted network security perimeter in computing systems based on ARM processors
US10303885B2 (en) Methods and systems for securely executing untrusted software
JP5727545B2 (en) Wireless terminal device and system protection method
JP5496464B2 (en) Apparatus and method for secure system protection in a virtualized environment
CN114722404B (en) Method and system for realizing any number of EAPP based on RISC-V
JP2008257715A (en) Wireless terminal device and system protection method
US10824766B2 (en) Technologies for authenticated USB device policy enforcement
EP3314516B1 (en) System management mode privilege architecture
US20190042473A1 (en) Technologies for enabling slow speed controllers to use hw crypto engine for i/o protection
CN116823585A (en) Construction method of GPU trusted execution environment, and GPU trusted computing execution method and device

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20110316

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120315

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130116

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130129

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130430

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20131015

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140115

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140204

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140305

R150 Certificate of patent or registration of utility model

Ref document number: 5496464

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees