KR101110672B1 - Host security module virtualization system under downloadable conditional access system - Google Patents

Host security module virtualization system under downloadable conditional access system Download PDF

Info

Publication number
KR101110672B1
KR101110672B1 KR1020090133116A KR20090133116A KR101110672B1 KR 101110672 B1 KR101110672 B1 KR 101110672B1 KR 1020090133116 A KR1020090133116 A KR 1020090133116A KR 20090133116 A KR20090133116 A KR 20090133116A KR 101110672 B1 KR101110672 B1 KR 101110672B1
Authority
KR
South Korea
Prior art keywords
host
operating system
layer
security module
virtual machine
Prior art date
Application number
KR1020090133116A
Other languages
Korean (ko)
Other versions
KR20110076414A (en
Inventor
신석균
김충수
Original Assignee
주식회사 코어트러스트
사단법인한국디지털케이블연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 코어트러스트, 사단법인한국디지털케이블연구원 filed Critical 주식회사 코어트러스트
Priority to KR1020090133116A priority Critical patent/KR101110672B1/en
Publication of KR20110076414A publication Critical patent/KR20110076414A/en
Application granted granted Critical
Publication of KR101110672B1 publication Critical patent/KR101110672B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1416Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights
    • G06F12/1425Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights the protection being physical, e.g. cell, word, block
    • G06F12/1433Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights the protection being physical, e.g. cell, word, block for a module or a part of a module
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45537Provision of facilities of other operating environments, e.g. WINE
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45591Monitoring or debugging support
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45595Network integration; Enabling network access in virtual machine instances

Abstract

본 발명은 복수의 상이한 CAS를 온라인 방식으로 수신하여 수신자격을 관리하는 경우 호스트에 다운로드 되어 동작하는 클라이언트 모듈 간 보안성을 확보할 수 있도록 한 DCAS 환경에서의 호스트 보안모듈 가상화 시스템 및 방법에 관한 것으로, 호스트의 운영체제 하부에 가상화 머신을 적용하고 상기 가상화 머신을 베이스로 하여 복수의 운영체제가 각각 독립적으로 동작하도록 시스템을 구성한 후, 각 운영체제에서 보안 모듈과 CAS 클라이언트 모듈이 독립적으로 동작하도록 함으로써, CAS 클라이언트 모듈 간 높은 보안성을 확보할 수 있도록 하는 효과가 있다.The present invention relates to a system and method for virtualizing a host security module in a DCAS environment to secure security between client modules that are downloaded and operated on a host when receiving a plurality of different CASs in an online manner to manage eligibility. By applying a virtual machine under the operating system of the host and configuring the system so that a plurality of operating systems independently operate based on the virtual machine, the CAS client module operates independently of the security module and the CAS client module in each operating system. It is effective to ensure high security between modules.

CAS, DCAS, 클라이언트 모듈, 호스트, 셋톱박스, 디지털 케이블 방송 CAS, DCAS, Client Module, Host, Set Top Box, Digital Cable Broadcast

Description

DCAS 환경에서의 호스트 보안모듈 가상화 시스템 및 방법{HOST SECURITY MODULE VIRTUALIZATION SYSTEM UNDER DOWNLOADABLE CONDITIONAL ACCESS SYSTEM}HOST SECURITY MODULE VIRTUALIZATION SYSTEM UNDER DOWNLOADABLE CONDITIONAL ACCESS SYSTEM}

본 발명은 DCAS(Downloadable Conditional Access System) 환경에서의 호스트 보안모듈 가상화 시스템 및 방법에 관한 것으로, 특히 복수의 상이한 CAS를 온라인 방식으로 수신하여 수신자격을 관리하는 경우 호스트에 다운로드 되어 동작하는 클라이언트 모듈 간 보안성을 확보할 수 있도록 한 DCAS 환경에서의 호스트 보안모듈 가상화 시스템 및 방법에 관한 것이다.The present invention relates to a system and method for virtualizing a host security module in a downloadable conditional access system (DAS) environment, and in particular, between client modules downloaded and operated to a host when receiving a plurality of different CASes in an online manner to manage eligibility. The present invention relates to a host security module virtualization system and method in a DCAS environment to secure security.

현재 케이블 방송 시스템이나 위성 방송 시스템 등에서 사용되는 CAS(Conditional Access System)는 방송되는 콘텐츠를 암호화하여 수신자격을 부여받은 사용자만 해당 방송 콘텐츠를 시청할 수 있도록 하는 장치로서 유료 방송의 기본적 구성이 되는 시스템이다.CAS (Conditional Access System), which is currently used in cable broadcasting systems and satellite broadcasting systems, is a system that allows users to receive only the authorized contents by encrypting the broadcast contents so that the broadcast contents can be viewed. .

종래 케이블 방송을 위한 제한수신 시스템은 대부분 스마트 카드나 PCMCIA카드 형태의 케이블 카드를 이용하고 있는데, 이러한 물리적인 카드에 구현된 CAS를 오프라인으로 제공하여 호스트에 장착하여 사용하도록 하고 있다. In the conventional system for receiving a cable broadcast, most of the CA system uses a cable card in the form of a smart card or a PCMCIA card, and provides a CAS implemented in such a physical card offline to be mounted on a host.

이러한 물리적인 카드를 통해 제공되는 CAS의 경우 결함이나 보안상의 이유로 카드를 재발급하는데 오랜 시간이 걸리게 된다는 점에서 결함이나 보안에 따른 신속한 대처가 어렵고, 추가 비용이 발생하게 된다는 문제점이 있다.In the case of CAS provided through such a physical card, it takes a long time to reissue the card due to a defect or security reasons, and thus, it is difficult to quickly deal with a defect or security and incurs additional costs.

또한, CAS를 개발하여 제공하는 업체에 따라 각각 상이한 장치를 사용하기 때문에 공정한 경쟁을 위해서 복수의 상이한 CAS를 이용할 수 있도록 할 경우 별도의 물리적 장치를 호스트에 부가해야 하는 상황이 발생한다. In addition, since a different device is used depending on a company that develops and provides a CAS, when a plurality of different CASs are used for fair competition, a separate physical device needs to be added to a host.

결국, 기존의 CAS 방식은 CAS 업체에 대한 종속성이 높으며 카드 발급과 관리 등에 많은 비용이 발생하게 되어 케이블방송사의 부담이 큰 실정이다.As a result, the existing CAS method has a high dependency on the CAS company and causes a lot of costs for card issuance and management.

따라서, 이러한 느린 대응과 높은 비용의 해결 및 공정한 경쟁을 유도하기 위해서 다운로드가 가능한 CAS(DCAS)를 도입해야 하는 필요성이 높아지게 되었으며, 이러한 DCAS 도입을 위한 다양한 연구들이 진행되고 있다.Therefore, the necessity of introducing a downloadable CAS (DCAS) has been increased to induce such a slow response, a high cost resolution, and a fair competition, and various studies for the introduction of the DCAS have been conducted.

DCAS는 CAS를 안전하게 호스트(즉, 셋톱박스)로 온라인 다운로드하여 사용할 수 있도록 지원하는 기술로, 현재 사용되고 있는 Open Cable 규격을 가능한 준수하면서 안전성과 편의성을 높이는 방향으로 개발되고 있다.DCAS is a technology that enables CAS to be downloaded online to a host (ie, set-top box) safely, and is being developed to enhance safety and convenience while complying with current Open Cable standards.

이러한 DCAS의 기본 특징은 호스트에 장착되는 보안모듈에 보안 클라이언트 모듈, 즉 CAS 클라이언트 모듈을 안전하게 다운로드하는 것과, 제한수신을 위한 수신자격을 안전하게 관리하는 것이다.The basic features of the DCAS are to securely download a secure client module, that is, a CAS client module, to a security module mounted on the host, and to securely manage the eligibility for CA.

한편 DCAS 환경에서는 주기적이거나 이벤트 발생에 따라 CAS 클라이언트 모듈을 변경하도록 하여 보안성을 높이도록 하는 작업이 필수적이며, 공정성을 위해서 복수의 CAS 클라이언트 모듈이 동시에 사용될 수 있어야 한다. On the other hand, in the DCAS environment, it is essential to increase the security by changing the CAS client module according to periodic or event occurrences. For fairness, a plurality of CAS client modules must be able to be used simultaneously.

다시 말해서, 방송 사업자 별로 CAS 클라이언트 모듈을 필요에 따라 갱신하면서 서비스를 제공할 수 있고, 하나의 호스트가 복수의 방송 사업자를 지원할 수 있도록 할 수 있다. 기존의 물리적 카드를 이용하는 호스트의 경우 방송 사업자 별로 특화된 전용 호스트를 이용하고 있으나, CAS 클라이언트 모듈을 다운로드 받아 사용할 수 있는 DCAS 방식의 호스트에서는 하나의 호스트가 다양한 사업자에 대응할 수 있게 되므로 하나의 호스트를 이용하여 복수의 방송 사업자별 CAS 클라이언트 모듈을 다운로드받아 필요한 서비스를 선택하는 것으로 해당 CAS 클라이언트 모듈을 통해 원하는 서비스를 이용할 수 있게 된다. 이는 지역 사업자와 광역 사업자 등이 혼재될 가능성이 있는 상황에서 사용자의 서비스 선택 자유도를 높일 수 있으며, 호스트의 범용성도 높일 수 있게 된다. In other words, it is possible to provide services while updating CAS client modules for each broadcaster as needed, and to allow one host to support a plurality of broadcasters. In the case of a host using an existing physical card, a dedicated host specialized for each broadcasting company is used, but in a DCAS type host that can download and use a CAS client module, one host can cope with a variety of operators. In order to download a plurality of broadcaster CAS client modules and select a required service, a desired service can be used through the corresponding CAS client module. This may increase the user's freedom of service selection in a situation where local service providers and local service providers may be mixed, and also increase the universality of the host.

하지만 이러한 방식은 기존의 물리적 카드를 이용할 경우 고려되지 않았던 사항이기 때문에 현재 제공되고 있는 호스트의 구성상 복수의 CAS 클라이언트 모듈을 일종의 어플리케이션을 복수 구동하는 것처럼 동작시키는 방식을 이용하여 복수의 서비스에 대응하도록 해야한다. However, since this method was not considered when using an existing physical card, it is necessary to cope with a plurality of services by using a method of operating a plurality of CAS client modules as if a plurality of applications are run in the configuration of the host provided. Should be.

이렇게 단일 운영체제 상에서 복수의 상이한 CAS 클라이언트 모듈이 동시에 동작할 경우 해당 단일 운영체제의 자원을 상기 CAS 클라이언트 모듈들이 서로 공유하게 되며, 이러한 공유 리소스에 의해서 각 CAS 클라이언트 모듈에 대한 보안성이 낮아지게 되는 치명적인 문제점이 발생하게 된다.When a plurality of different CAS client modules simultaneously operate on a single operating system, the CAS client modules share the resources of the single operating system with each other, and the shared resources lower the security of each CAS client module. This will occur.

따라서, 복수의 서비스를 지원하기 위해서 복수의 CAS 클라이언트 모듈을 동시에 실행시켜야 하는 호스트가 요구되는 경우 해당 CAS 클라이언트 모듈 간의 보 안성을 높일 수 있는 새로운 형태의 시스템이 필요하다.Therefore, when a host is required to simultaneously execute a plurality of CAS client modules to support a plurality of services, a new type of system capable of increasing security between corresponding CAS client modules is required.

전술한 문제점을 개선하기 위한 본 발명 실시예들의 목적은 호스트의 운영체제 하부에 가상화 머신을 적용하고 상기 가상화 머신을 베이스로 하여 복수의 운영체제가 각각 독립적으로 동작하도록 시스템을 구성한 후, 각 운영체제에서 보안 모듈과 CAS 클라이언트 모듈이 독립적으로 동작하도록 함으로써, CAS 클라이언트 모듈 간 보안성을 확보할 수 있도록 한 DCAS 환경에서의 호스트 보안모듈 가상화 시스템 및 방법을 제공하는 것이다. An object of the embodiments of the present invention for improving the above-mentioned problem is to apply a virtual machine to the operating system of the host under the configuration of the system to operate a plurality of operating systems independently of each other based on the virtual machine, and then the security module in each operating system And the CAS client module to operate independently, to provide a host security module virtualization system and method in the DCAS environment to secure the security between the CAS client modules.

본 발명 실시예들의 다른 목적은 호스트의 물리적 자원 상에 하이퍼바이저를 적용하여 복수의 운영체제를 가상화방식으로 실행하도록 하고, 각 운영체제마다 CAS 클라이언트 모듈을 분리 동작시켜 클라이언트 모듈간 공유 리소스 발생을 원천적으로 차단하도록 한 DCAS 환경에서의 호스트 보안모듈 가상화 시스템 및 방법을 제공하는 것이다. Another object of the embodiments of the present invention is to apply a hypervisor on a physical resource of a host to execute a plurality of operating systems in a virtualized manner, and separate the CAS client module for each operating system to fundamentally block shared resource generation between client modules. To provide a host security module virtualization system and method in a DCAS environment.

본 발명 실시예들의 다른 목적은 가상화 방식을 통해 복수의 운영체제를 독립적으로 실행하여 각 운영체제마다 상이한 CAS 클라이언트 모듈을 동작시킴으로써 운영체제 오류에 따른 신뢰성을 높일 수 있도록 한 DCAS 환경에서의 호스트 보안모듈 가상화 시스템 및 방법을 제공하는 것이다. Another object of the embodiments of the present invention is to implement a host security module virtualization system in a DCAS environment to increase reliability according to an operating system error by operating a different CAS client module for each operating system independently by executing a plurality of operating systems through a virtualization method; To provide a way.

상기와 같은 목적을 달성하기 위하여, 본 발명의 일 실시예에 따른 DCAS 환 경에서의 호스트 보안모듈 가상화 시스템은 호스트의 물리 자원 계층과; 상기 물리 자원 계층 상에 구성되는 가상화 머신 계층과; 상기 가상화 머신 계층이 제공하는 가상화된 자원을 이용하여 각각 독립적으로 실행되는 복수의 운영체제를 포함하는 운영체제 계층과; 상기 운영체체 계층의 각 운영체제 별로 독립적으로 동작하여 CAS 클라이언트 모듈을 다운로드 및 실행하는 보안 모듈 어플리케이션이 설치된 어플리케이션 계층을 포함한다. In order to achieve the above object, the host security module virtualization system in a DCAS environment according to an embodiment of the present invention includes a physical resource layer of the host; A virtual machine layer configured on the physical resource layer; An operating system layer including a plurality of operating systems each independently executed using virtualized resources provided by the virtual machine layer; And an application layer on which a security module application for operating and downloading each CAS operating module independently of each operating system of the operating system layer is installed.

상기 가상화 머신 계층은 별도의 운영체제가 아닌 상기 호스트의 물리 자원 계층에 직접 설치되어 실행되는 가상화 어뮬레이터로 구성되어 상기 물리 자원 계층의 자원을 복수의 운영체제가 동작할 수 있도록 가상화하여 상위 운영체제 계층에 제공하도록 한다.The virtual machine layer is configured as a virtualization emulator that is directly installed and executed in the physical resource layer of the host, rather than a separate operating system, and virtualizes the resources of the physical resource layer so that a plurality of operating systems can operate. Do it.

상기 운영체제는 디지털 케이블 방송 수신용 호스트에 적용되는 임베디드 OS이며, 동일한 운영체제가 복수로 설치될 수 있다.The operating system is an embedded OS applied to a host for receiving digital cable broadcasting, and a plurality of identical operating systems may be installed.

상기 어플리케이션 계층에는 디지털 케이블 방송 수신용 호스트에 적용되는 모든 어플리케이션이 각 운영체제별로 각각 설치될 수 있으며, 이들은 각각 지원하는 서비스 제공자의 서비스 전용 어플리케이션 일 수 있다.In the application layer, all applications applied to the host for receiving the digital cable broadcast may be installed for each OS, and these may be service-only applications of a service provider supporting each.

상기 운영체제 계층 및 상기 어플리케이션 계층은 상기 각 운영체제 및 그에 따른 어플리케이션 계층이 동시에 실행되며, 사용자의 선택 정보에 따라 사용 운영체제 및 어플리케이션이 선택되는 것이 바람직하다.In the operating system layer and the application layer, each operating system and an application layer according to the same are executed at the same time, and the operating system and the application are preferably selected according to the user's selection information.

본 발명의 다른 실시예에 따른 DCAS 환경에서의 호스트 보안모듈 가상화 방법은 호스트의 물리 자원 계층에 가상화 머신을 설치하고, 상기 가상화 머신 상에 복수의 운영체제를 설치하며, 상기 각 운영체제 별로 CAS 클라이언트 모듈을 다운로드 및 실행하는 보안 모듈 어플리케이션을 설치하는 호스트 구성 단계와; 상기 가상화 머신이 상기 물리 자원 계층의 자원을 가상화하여 상기 각 운영체제에 자원으로 제공하는 것으로 상기 각 운영체제가 독립적으로 동작하여 해당 운영체제에 설치된 보안 모듈 어플리케이션을 실행하는 호스트 동작 단계를 포함한다.Host security module virtualization method in a DCAS environment according to another embodiment of the present invention is to install a virtual machine in the physical resource layer of the host, a plurality of operating systems on the virtual machine, CAS client module for each operating system A host configuration step of installing a security module application for downloading and executing; And a host operation step of virtualizing the resources of the physical resource layer and providing the resources to the respective operating systems, each of the operating systems operating independently and executing a security module application installed in the corresponding operating system.

상기 호스트 구성 단계는 상기 각 운영체제 별로 호스트 동작에 따른 서비스 제공을 위한 어플리케이션들이 설치되는 단계를 더 포함할 수 있다. The host configuring step may further include installing applications for providing a service according to a host operation for each operating system.

본 발명 실시예에 따른 DCAS 환경에서의 호스트 보안모듈 가상화 시스템 및 방법은 호스트의 운영체제 하부에 가상화 머신을 적용하고 상기 가상화 머신을 베이스로 하여 복수의 운영체제가 각각 독립적으로 동작하도록 시스템을 구성한 후, 각 운영체제에서 보안 모듈과 CAS 클라이언트 모듈이 독립적으로 동작하도록 함으로써, CAS 클라이언트 모듈 간 높은 보안성을 확보할 수 있는 효과가 있다.Host security module virtualization system and method in a DCAS environment according to an embodiment of the present invention after applying a virtual machine to the operating system of the host and configure the system so that a plurality of operating systems independently operate based on the virtual machine, each By operating the security module and the CAS client module independently in the operating system, it is possible to secure a high security between the CAS client modules.

본 발명 실시예에 따른 DCAS 환경에서의 호스트 보안모듈 가상화 시스템 및 방법은 호스트의 물리적 자원 상에 하이퍼바이저를 적용하여 복수의 운영체제를 가상화방식으로 실행하도록 하고, 각 운영체제마다 CAS 클라이언트 모듈을 분리 동작시켜 클라이언트 모듈간 공유 리소스 발생을 원천적으로 차단하도록 함으로써, 다운로드 방식의 CAS 환경에서 안전하게 복수의 서비스를 지원할 수 있는 효과가 있으며, 이를 통해 다양한 서비스 제공자의 서비스를 선택할 수 있고 호스트의 범용 성을 확보할 수 있는 효과가 있다.A host security module virtualization system and method in a DCAS environment according to an embodiment of the present invention apply a hypervisor on a physical resource of a host to execute a plurality of operating systems in a virtualized manner, and separate and operate a CAS client module for each operating system. By blocking the generation of shared resources among client modules, it is possible to securely support multiple services in a download-type CAS environment. Through this, it is possible to select services from various service providers and ensure universality of the host. It has an effect.

본 발명 실시예에 따른 DCAS 환경에서의 호스트 보안모듈 가상화 시스템 및 방법은 가상화 방식을 통해 복수의 운영체제를 독립적으로 실행하여 각 운영체제마다 상이한 CAS 클라이언트 모듈을 동작시킴으로써 운영체제 오류 가능성을 줄이고 운영체제 오류에 따른 보안성과 신뢰성을 재고할 수 있는 효과가 있다.Host security module virtualization system and method in a DCAS environment according to an embodiment of the present invention by running a plurality of operating systems independently through a virtualization method to operate different CAS client modules for each operating system to reduce the possibility of operating system errors and security according to operating system errors This has the effect of rethinking performance reliability.

상기한 바와 같은 본 발명을 첨부된 도면들과 실시예들을 통해 상세히 설명하도록 한다. BRIEF DESCRIPTION OF THE DRAWINGS The above and other objects, features and advantages of the invention will become more apparent from the following detailed description of the present invention when taken in conjunction with the accompanying drawings.

도 1은 DCAS 환경의 디지털 케이블 방송 시스템의 예를 보인 것으로, 도시한 바와 같이 실질적으로 일정 지역의 사용자나 광역 사용자에게 서비스를 제공하는 임의의 서비스 사업자의 헤드엔드 시스템(20)과, 상기 헤드엔드 시스템(20)과 케이블망(30)을 통해 연결되는 사용자의 호스트(40)로 이루어진다. 도시된 호스트(40)는 일반적으로 셋톱박스로 알려져 있는 장치로서, 케이블 방송 시스템에서는 호스트(40)라 칭해진다.FIG. 1 shows an example of a digital cable broadcasting system in a DCAS environment. As shown, a headend system 20 of an arbitrary service provider providing a service to a user or a wide area user in a predetermined region, and the headend. It consists of the host 40 of the user connected via the system 20 and the cable network 30. The illustrated host 40 is a device generally known as a set top box, and is called a host 40 in a cable broadcasting system.

상기 헤드엔드 시스템(20)은 호스트(40)에 대한 인증을 외부의 신뢰할 수 있는 인증 기관(10)을 이용함으로써 호스트(40)에 CAS 클라이언트 모듈을 안전하게 제공하는 인증 서버(21)와, 상기 호스트(40)와 헤드엔드 시스템(20) 사이의 상호 인증 과정에서 발생되는 모든 키 정보를 관리하는 키 관리 서버(22)와, 과금에 관한 정보를 관리하는 과금 서버(23)와, 인증이 완료된 후에 CAS 클라이언트 모듈을 호스트(40)로 전달하는 다운로드 서버(24)와, 실질적인 통신을 위한 케이블 모뎀종단시스템(Cable Modem Termination System: CMTS)(25)을 포함한다. The head-end system 20 includes an authentication server 21 for securely providing a CAS client module to the host 40 by using an external trusted certification authority 10 for authentication of the host 40, and the host. The key management server 22 which manages all the key information generated in the mutual authentication process between the 40 and the headend system 20, the billing server 23 which manages the information about billing, and after authentication is completed. A download server 24 that delivers the CAS client module to the host 40 and a Cable Modem Termination System (CMTS) 25 for actual communication.

상기 헤드엔드 시스템(20)과 케이블망(30)으로 연결되는 호스트(40)는 상기 헤드엔드 시스템(20)의 인증 서버(21)와 인증을 수행하고 그 결과에 따라 DCAS 클라이언트 모듈(46)을 다운로드 받아 해당 CAS에 의해 상기 헤드엔드 시스템(20)이 제공하는 스크램블된 방송 신호를 수신권한에 따라 선택적으로 복원하여 제공하는 보안 모듈(45)을 포함한다. The host 40 connected to the headend system 20 and the cable network 30 performs authentication with the authentication server 21 of the headend system 20 and accordingly results in the DCAS client module 46. It includes a security module 45 to download and selectively restore the scrambled broadcast signal provided by the head-end system 20 by the CAS according to the receiving authority.

이러한 DCAS 환경에서, 상기 호스트(40)의 보안 모듈(45)은 상기 호스트(40)가 가입한 서비스 제공자의 헤드엔드 시스템(20)과 인증 과정을 수행하여 해당 헤드엔드 시스템(20)이 제공하는 CAS 클라이언트 모듈(46)을 갱신하면서 이용하게 된다.In this DCAS environment, the security module 45 of the host 40 performs an authentication process with the headend system 20 of the service provider to which the host 40 subscribes to provide the corresponding headend system 20. It is used while updating the CAS client module 46.

한편, 이러한 인증 과정을 위해서 일반적으로 상기 헤드엔드 시스템(20)의 인증 서버(21)와 키관리 서버(20)가 미리 상기 호스트(40)에 대한 정보를 필요로 할 수 있으며, 상기 특정한 서비스 제공자의 헤드엔드 시스템(20)이 제공하는 CAS 클라이언트 모듈(46)에 특화되도록 호스트(40)의 보안 모듈(45)을 해당 서비스 제공자 전용으로 구성할 수 있다.On the other hand, for this authentication process, in general, the authentication server 21 and the key management server 20 of the head-end system 20 may need information about the host 40 in advance, the specific service provider The security module 45 of the host 40 may be configured exclusively for the service provider so as to be specialized in the CAS client module 46 provided by the headend system 20 of the host 40.

이는 현재 디지털 케이블 시스템을 이용한 서비스의 제공이 지역 단위로 구분된 지역 서비스 제공자에 의해서 이루어져 왔기 때문이며, 이러한 전용 호스트의 이용에 의해서 서비스 이용자의 이동 시 기존 호스트를 그대로 이용할 수 없어 지역 이동 시 새로운 서비스 제공자에 대한 가입과 호스트의 교체 과정이 필요하였 다.This is because the service provided by the digital cable system has been made by regional service providers divided by region, and by using such a dedicated host, the existing host cannot be used as it is when a user moves a service. A subscription process and a host replacement were required.

하지만, 서비스의 다양화 요구와 광역 사업자의 도래에 따라, 혹은 이동에 따른 호스트의 범용적 이용 요구에 따라서, 단일 호스트가 복수의 서비스 사업자에 대응할 수 있도록 하는 구성의 필요성은 날로 높아져 가고 있다.However, according to the demand for diversification of services and the arrival of wide-area providers, or according to the demand for universal use of the host according to the movement, the necessity of a configuration that enables a single host to cope with a plurality of service providers is increasing day by day.

따라서, 보안 모듈 어플리케이션이 복수의 CAS 클라이언트 모듈을 각각 상이한 서비스 사업자로부터 수신하여 이들을 동시에 실행시켜야 하는 환경이 필요하다.Therefore, there is a need for an environment in which a security module application must receive a plurality of CAS client modules from different service providers and execute them simultaneously.

도 2는 현재 제공되는 호스트 시스템을 이용하여 복수의 사업자로부터 수신한 복수의 CAS 클라이언트 모듈을 실행하기 위한 시스템 구성을 보인 것으로, 도시한 바와 같이 호스트(50)의 물리 자원 계층(51) 상에 구성된 운영체제 계층(52)에 설치된 호스트용 운영체제에는 어플리케이션 계층에 해당하는 서비스 지원용 어플리케이션들이 설치되게 된다. 해당 운영체제에서 동작하는 어플리케이션의 하나인 보안 모듈 어플리케이션(53)은 복수의 CAS 클라이언트 모듈(54, 55)을 수신하며 서비스 제공을 위해서 이들을 동시에 운영하게 된다.FIG. 2 shows a system configuration for executing a plurality of CAS client modules received from a plurality of operators using a host system currently provided, and is configured on the physical resource layer 51 of the host 50 as shown. In the host operating system installed in the OS layer 52, applications for service support corresponding to the application layer are installed. The security module application 53, which is one of the applications operating in the corresponding operating system, receives the plurality of CAS client modules 54 and 55 and operates them simultaneously to provide a service.

상기 운영체제 계층(52) 상에는 복수의 사업자 서비스를 지원하기 위한 복수의 서비스 제공용 어플리케이션들이 복수로 설치될 수 있으며, 사용자가 원하는 서비스 전환 시 복수의 CAS 클라이언트 모듈(54, 55) 중 하나가 이용된다. 이를 위해서 상기 보안 모듈 어플리케이션(53)은 복수의 CAS 클라이언트 모듈(54, 55)을 동시에 관리해야 하며, 이러한 개별 CAS 클라이언트 모듈(54, 55)의 실행을 위해 운영체제 계층(50)의 자원을 공용으로 이용하게 된다. A plurality of service providing applications for supporting a plurality of service providers may be installed on the operating system layer 52, and one of the plurality of CAS client modules 54 and 55 may be used to switch a service desired by a user. . To this end, the security module application 53 must manage a plurality of CAS client modules 54 and 55 at the same time, and share the resources of the OS layer 50 to execute these individual CAS client modules 54 and 55 in common. Will be used.

즉, 단일 운영체제를 이용하는 호스트 시스템에서는 필연적으로 한정된 자원을 복수의 보안 모듈 어플리케이션(53)이 다운로드하여 운영하는 복수의 CAS 클라이언트 모듈들(54, 55)이 나누어 사용하게 되므로 이러한 자원 공유, 즉 프로세스의 공유에 의해서 각각의 CAS 클라이언트 모듈(54, 55)에 대한 독립성은 운영체제 레벨에서 볼 때 유지될 수 없다. That is, in a host system using a single operating system, a limited resource is inevitably shared between a plurality of CAS client modules 54 and 55 that are downloaded and operated by a plurality of security module applications 53. Independence for each CAS client module 54, 55 by sharing cannot be maintained at the operating system level.

도 3은 도 2에 도시한 시스템 구성에 따른 소프트웨어적인 수준에서의 CAS 운영 상태를 보인 것으로, 도시한 바와 같은 호스트의 소프트웨어 모델(60)을 보면 단일 운영체제에서 실행되는 보안 모듈 어플리케이션(62)이 운영하는 복수의 CAS 클라이언트 모듈(63, 64)은 단일 프로세스(61)에서 수행되기 때문에 해당 프로세스(61)를 해킹할 경우 CAS 클라이언트 모듈(63, 64)에 대한 인증여부, 수신자격 여부 등의 상태 변화에 따른 정보를 상호 관계를 통해 유추할 수 있어 보안성이 낮아지게 된다.3 illustrates a CAS operating state at a software level according to the system configuration shown in FIG. 2. In the software model 60 of the host as illustrated, a security module application 62 running on a single operating system is operated. Since the plurality of CAS client modules 63 and 64 are performed in a single process 61, when the process 61 is hacked, the state change such as authentication or eligibility of the CAS client modules 63 and 64 is hacked. Information can be inferred through mutual relations, thus reducing security.

이러한 CAS 클라이언트 모듈들 간의 운영체제 자원 공유는 소프트웨어 레벨에서 최상의 보안성을 유지해야 하는 DCAS에 대한 심각한 보안상의 위협이 될 수 있기 때문에 현재의 호스트 시스템 구성으로는 호스트의 범용성을 확보한다거나 복수 서비스 제공자에 대한 서비스 공용화 등이 어렵다.Operating system resource sharing between these CAS client modules can be a serious security threat to DCAS that requires the highest level of security at the software level. Service sharing is difficult.

이러한 문제점을 완전하게 해결하기 위한 본 발명의 실시예에 따른 호스트 시스템을 도 4에 도시한다. 4 illustrates a host system according to an embodiment of the present invention for completely solving this problem.

도 4는 복수의 CAS 클라이언트 모듈이 상호 호스트의 운영체제 자원을 공유하는 것을 원천적으로 방지하기 위하여 복수의 운영체제를 구성하고 각 운영체제 별로 하나의 CAS 클라이언트 모듈만 운영되도록 구성한 것이다.4 is configured to configure a plurality of operating systems and to operate only one CAS client module for each operating system in order to prevent a plurality of CAS client modules from sharing operating system resources of mutual hosts.

도시한 바와 같이 호스트(100)는 물리 자원 계층(110)과, 상기 물리 자원 계층(110) 상에 구성되어 상기 물리 자원을 가상화하여 복수의 운영체제에 가상적으로 제공하는 가상화 머신 계층(120)과, 상기 가상화 머신 계층(120)에서 가상적으로 제공되는 물리 자원 계층(110)의 자원을 이용하여 동작하는 복수의 운영체제(130, 140)가 구성된 운영체제 계층과, 상기 운영체제 계층의 각 운영체제(130, 140) 상에 각각 설치되어 실행되는 보안 모듈 어플리케이션(131, 141) 및 CAS 클라이언트 모듈(132, 142)이 존재하는 어플리케이션 계층으로 구성된다.As shown, the host 100 includes a physical resource layer 110, a virtual machine layer 120 configured on the physical resource layer 110 to virtualize the physical resources and provide the virtual resources to a plurality of operating systems. An operating system layer configured with a plurality of operating systems 130 and 140 operating by using resources of the physical resource layer 110 virtually provided by the virtual machine layer 120, and each operating system 130 and 140 of the operating system layer. The security layer applications 131 and 141 and CAS client modules 132 and 142 installed and executed respectively on the application layer are configured.

상기 어플리케이션 계층은 각 운영체제(130, 140) 별로 각각 대응되는 서비스 제공자의 서비스를 지원하기 위한 서비스용 어플리케이션들이 각각 설치될 수 있다.In the application layer, service applications for supporting a service of a service provider corresponding to each operating system 130 and 140 may be installed.

즉, 하나의 호스트에서 복수의 운영체제가 동시에 동작하도록 하고, 각 운영체제가 운영체제 레벨에서의 자원을 공유하지 않도록 함으로써 복수의 서비스 제공자에 대응할 수 있는 안전한 DCAS 지원 호스트를 구성할 수 있게 된다.That is, by allowing a plurality of operating systems to operate at the same time on one host and each operating system does not share resources at the operating system level, it is possible to configure a secure DCAS support host that can cope with a plurality of service providers.

이러한 가상화, 즉 하이퍼바이저 기능을 수행하기 위해서는 제한된 호스트 기반 시스템의 특성에 맞는 새로운 형태의 호스트 전용 가상화 머신이 구성되어야 한다. 일반적으로 이러한 하이퍼바이저의 경우 주로 서버급 장비에서 복수의 상이한 대형 운영체제를 이용하기 위해서 제한적으로 사용되고 있는 방식이며, 이를 위한 솔루션을 직접 호스트와 같은 제한된 하드웨어를 가진 장비에 적용할 수 없다. 특히, 이러한 하이퍼바이저의 경우 복수의 상이한 운영체제를 단일 장비에서 이용 함으로써, 단일 하드웨어를 통해 복수 운영체제 환경에 대응할 수 있도록 하는 것을 목적으로 제공되는 것으로 본 발명의 실시예와 같이 동일하거나 유사한 운영체제를 분리 동작시켜 보안성을 높이고자 하는 용도로 사용되는 것이 아니다. In order to perform this virtualization, that is, hypervisor function, a new type of host-only virtualization machine suitable for the characteristics of limited host-based systems must be configured. In general, such a hypervisor is mainly used in server-class equipment to use a plurality of different large operating systems, and a solution for this cannot be directly applied to equipment with limited hardware such as a host. In particular, in the case of such a hypervisor, a plurality of different operating systems are used in a single device, so that the same or similar operating system is separated from an operating system of the present invention. It is not used to increase security.

하지만 본 발명의 실시예에서는 이러한 운영체제의 개별 설치 및 구동에 따른 프로세스의 완전한 구분으로 인해 각각의 운영체제에서 실행되는 어플리케이션이 서로 운영체제 자원을 공유하지 않게 된다는 점에 착안하여 이러한 방식으로 최고 레벨의 보안성이 우선적으로 보장되어야하는 DCAS 환경에서의 CAS 클라이언트 모듈 실행의 독립성을 얻을 수 있도록 한 것이다. 즉, 동일한 운영체제를 복수로 설치하는 방식으로 동작하며, 필요한 경우 버전이 상이한 유사 운영체제를 복수로 설치할 수 있고, 특정 서비스에 특화된 유사 운영체제를 복수로 설치할 수 있으며, 경우에 따라서는 상이한 운영체제를 설치할 수도 있다. 하지만 기본적으로 동일한 운영체제 2개가 설치되고, 각 운영체제 별로 서비스에 특화된 전용 어플리케이션들이 설치되어 서비스별로 운영되는 방식으로 적용되는 것이 바람직하다.However, in the embodiment of the present invention, the highest level of security in this manner, focusing on the fact that the application running on each operating system does not share operating system resources with each other due to the complete division of processes according to the individual installation and operation of the operating system. This ensures the independence of CAS client module execution in a DCAS environment that must be guaranteed first. That is, it operates in a manner of installing a plurality of the same operating system, and if necessary, it is possible to install a plurality of similar operating systems with different versions, a plurality of similar operating systems specialized for a specific service may be installed, and in some cases, different operating systems may be installed. have. However, it is preferable that the same two operating systems are basically installed, and dedicated applications specialized for the service are installed for each operating system and applied to operate in each service.

한편, 호스트에 적용되는 메인 코어의 성능이 지속적으로 개선되고 있으며 해당 메인 코어의 원형이 되는 고성능 코어에는 하이퍼바이저를 위한 설계가 적용되고있기 때문에 호스트라는 제한된 기능 및 용도로 한정한다면 이러한 하이퍼바이저 기술에 따른 가상화 머신을 호스트의 물리 자원 가상화 용도로 구현할 수 있다. On the other hand, the performance of the main core applied to the host is continuously improving, and since the design for the hypervisor is applied to the high-performance core that is the prototype of the main core, the hypervisor technology is limited to the limited functions and uses of the host. According to the virtual machine can be implemented for the virtualization of the physical resources of the host.

현재 기본 운영체제 상에 가상화 머신을 설치하고, 게스트 운영체제를 추가하는 방식과 같은 유사 가상화 방식도 있으나, 이는 게스트 운영체제의 한정적 이용을 목적으로 하는 것으로 그 자원은 기본 운영체제의 것을 공유하게 될 뿐만 아 니라 기본 운영체제의 부하가 커져 전체적인 서비스 성능이 하락한다는 측면에서 스크램블된 방대한 방송 신호를 고속으로 복원해야 하는 복수의 CAS 클라이언트 모듈 실행에 대한 신뢰성 및 독립성 확보에는 부적합하다.There are currently similar virtualization methods such as installing a virtual machine on the base operating system and adding a guest operating system, but this is for the limited use of the guest operating system, and the resources not only share the base operating system but also the basic operating system. It is not suitable for securing reliability and independence of execution of a plurality of CAS client modules that need to restore a large amount of scrambled broadcast signals at high speed in view of a large operating system load and a decrease in overall service performance.

따라서, 도시된 구성과 같이 물리 자원 계층(110) 상에 직접적으로 가상화 머신 계층(120)을 구축한 후 그 상부에 개별 서비스 사업자에 대한 서비스 지원 어플리케이션이 동작할 수 있는 수준의 운영체제들(130, 140)을 운영체제 계층(140)에 구성하는 방식이 가장 적합하며, 이를 통해 완전한 CAS 클라이언트 모듈(132, 142)의 보안성을 담보할 수 있게 된다.Accordingly, as shown in FIG. 1, after the virtual machine layer 120 is directly built on the physical resource layer 110, operating system 130 of a level at which a service support application for an individual service provider can operate thereon. It is most suitable to configure the 140 in the operating system layer 140, through which it is possible to ensure the security of the complete CAS client module (132, 142).

도 5는 본 발명의 실시예에 따른 호스트의 소프트웨어 모델(200)을 보인 것으로, 도시한 바와 같이 가상화 머신에서 동작되는 가상화 어뮬레이터(210)가 물리적 자원들을 가상화하여 각각의 운영체제에 중복되지 않도록 제공하면 각 운영체제의 독립적 프로세스(220, 230)에 의해 독립적으로 수행되는 보안 모듈 어플리케이션(221, 231) 및 그에 의해서 운영되는 각각의 CAS 클라이언트 모듈(222, 232)의 구성을 시각적으로 확인할 수 있다.FIG. 5 illustrates a software model 200 of a host according to an embodiment of the present invention, and provides a virtualization emulator 210 operating in a virtual machine as shown to virtualize physical resources so that they are not duplicated in each operating system. The configuration of the security module applications 221 and 231 independently performed by the independent processes 220 and 230 of each operating system and the CAS client modules 222 and 232 operated therefrom may be visually confirmed.

따라서, 복수의 상이한 운영체제를 단일 하드웨어에서 이용하기 위한 목적이 아닌 호스트에서 복수의 CAS를 완전히 독립적으로 동작시키기 위하여 가상화 머신을 호스트에 적용하도록 함으로써, DCAS 환경에서도 복수의 서비스 제공자의 서비스를 지원할 수 있는 최고레벨의 보안성을 갖춘 호스트를 제공할 수 있으며, 그에 따라 호스트의 범용화도 가능해질 수 있다.Therefore, by applying a virtual machine to a host to operate a plurality of CASs completely independently from a host rather than using a plurality of different operating systems on a single hardware, a service of a plurality of service providers can be supported even in a DCAS environment. It is possible to provide hosts with the highest level of security, which in turn enables the host to be generalized.

이상에서는 본 발명에 따른 바람직한 실시예들에 대하여 도시하고 또한 설명 하였다. 그러나 본 발명은 상술한 실시예에 한정되지 아니하며, 특허 청구의 범위에서 첨부하는 본 발명의 요지를 벗어남이 없이 당해 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 누구든지 다양한 변형 실시가 가능할 것이다. In the above described and illustrated with respect to preferred embodiments according to the present invention. However, the present invention is not limited to the above-described embodiments, and various changes and modifications may be made by those skilled in the art without departing from the scope of the present invention. .

도 1은 다운로드 가능한 CAS 방식이 적용된 디지털 케이블 방송 시스템의 구성도.1 is a configuration diagram of a digital cable broadcasting system to which the downloadable CAS method is applied.

도 2는 기존 호스트를 이용한 복수 CAS 클라이언트 모듈을 적용한 경우의 하드웨어 구성을 보인 개념도.2 is a conceptual diagram illustrating a hardware configuration when a plurality of CAS client modules using an existing host is applied.

도 3은 기존 호스트를 이용한 복수의 CAS 클라이언트 모듈을 적용한 경우의 소프트웨어 모델을 보인 개념도.3 is a conceptual diagram illustrating a software model when a plurality of CAS client modules using an existing host is applied.

도 4는 본 발명의 실시예에 따른 호스트를 이용한 복수 CAS 클라이언트 모듈을 적용한 경우의 하드웨어 구성을 보인 개념도.4 is a conceptual diagram illustrating a hardware configuration when a plurality of CAS client modules using a host according to an embodiment of the present invention is applied.

도 5는 본 발명의 실시예에 따른 복수의 CAS 클라이언트 모듈을 적용한 경우의 소프트웨어 모델을 보인 개념도.5 is a conceptual diagram illustrating a software model when a plurality of CAS client modules according to an embodiment of the present invention is applied.

Claims (11)

호스트의 물리 자원 계층과; A physical resource layer of the host; 상기 물리 자원 계층 상에 구성되는 가상화 머신 계층과; A virtual machine layer configured on the physical resource layer; 상기 가상화 머신 계층이 제공하는 가상화된 자원을 이용하여 각각 독립적으로 실행되는 복수의 운영체제를 포함하는 운영체제 계층과; An operating system layer including a plurality of operating systems each independently executed using virtualized resources provided by the virtual machine layer; 상기 운영체체 계층의 각 운영체제 별로 독립적으로 동작하여 CAS 클라이언트 모듈을 다운로드 및 실행하는 보안 모듈 어플리케이션이 설치된 어플리케이션 계층을 포함하되,Including an application layer in which a security module application that operates independently for each operating system of the operating system layer to download and execute the CAS client module is installed. 상기 가상화 머신 계층은 별도의 운영체제가 아닌 상기 호스트의 물리 자원 계층에 직접 설치되어 실행되는 가상화 어뮬레이터로 구성되어 상기 물리 자원 계층의 자원을 복수의 운영체제가 동작할 수 있도록 가상화하여 상위 운영체제 계층에 제공하는 것을 특징으로 하는 DCAS 환경에서의 호스트 보안모듈 가상화 시스템.The virtual machine layer is configured as a virtualization emulator that is directly installed and executed in the physical resource layer of the host, rather than a separate operating system, and virtualizes the resources of the physical resource layer so that a plurality of operating systems can operate. Host security module virtualization system in the DCAS environment, characterized in that. 삭제delete 청구항 1에 있어서, 상기 운영체제는 디지털 케이블 방송 수신용 호스트에 적용되는 임베디드 OS인 것을 특징으로 하는 DCAS 환경에서의 호스트 보안모듈 가상화 시스템.The host security module virtualization system of claim 1, wherein the operating system is an embedded OS applied to a host for receiving a digital cable broadcast. 청구항 1에 있어서, 상기 어플리케이션 계층에는 디지털 케이블 방송 수신용 호스트에 적용되는 모든 어플리케이션이 각 운영체제별로 각각 설치된 것을 특징으로 하는 DCAS 환경에서의 호스트 보안모듈 가상화 시스템.The host security module virtualization system of claim 1, wherein all the applications applied to the host for receiving the digital cable broadcast are installed for each operating system in the application layer. 청구항 1에 있어서, 상기 운영체제 계층 및 상기 어플리케이션 계층은 상기 각 운영체제 및 그에 따른 어플리케이션 계층이 동시에 실행되며, 사용자의 선택 정보에 따라 사용 운엉체제 및 어플리케이션이 선택되는 것을 특징으로 하는 DCAS 환경에서의 호스트 보안모듈 가상화 시스템.2. The host security of claim 1, wherein the operating system layer and the application layer are simultaneously executed by each operating system and the application layer, and a use cloud system and an application are selected according to user selection information. Modular Virtualization System. 청구항 1에 있어서, 상기 가상화 머신 계층은 상기 운영체제 계층의 각 운영체제 별로 상이한 프로세스로 분리하여 자원을 제공하는 가상화 애물레이터를 포함하는 것을 특징으로 하는 DCAS 환경에서의 호스트 보안모듈 가상화 시스템.The host security module virtualization system of claim 1, wherein the virtual machine layer includes a virtualization aerator for separating and providing resources by different processes for each operating system of the operating system layer. 청구항 1에 있어서, 상기 운영체제 계층은 2개의 동일한 호스트용 운용체제가 설치되어 동시 구동되는 것을 특징으로 하는 DCAS 환경에서의 호스트 보안모듈 가상화 시스템.The host security module virtualization system of claim 1, wherein the operating system layer is installed and operated at the same time by two operating systems for the same host. 청구항 1에 있어서, 상기 어플리케이션 계층은 상기 운영체제 계층의 각 운영체제 별로 각각 상이한 사업자용 어플리케이션이 설치되는 것을 특징으로 하는 DCAS 환경에서의 호스트 보안모듈 가상화 시스템.The host security module virtualization system of claim 1, wherein the application layer is installed with a different operator application for each operating system of the operating system layer. 호스트의 물리 자원 계층에 가상화 머신을 설치하고, 상기 가상화 머신 상에 복수의 운영체제를 설치하며, 상기 각 운영체제 별로 CAS 클라이언트 모듈을 다운로드 및 실행하는 보안 모듈 어플리케이션을 설치하는 호스트 구성 단계와; 상기 가상화 머신이 상기 물리 자원 계층의 자원을 가상화하여 상기 각 운영체제에 자원으로 제공하는 것으로 상기 각 운영체제가 독립적으로 동작하여 해당 운영체제에 설치된 보안 모듈 어플리케이션을 실행하는 호스트 동작 단계를 포함하되,A host configuration step of installing a virtual machine in a physical resource layer of the host, installing a plurality of operating systems on the virtual machine, and installing a security module application for downloading and executing a CAS client module for each operating system; The virtual machine virtualizes the resources of the physical resource layer and provides resources to the respective operating systems. Each operating system operates independently and includes a host operation step of executing a security module application installed in the corresponding operating system. 상기 호스트 구성 단계는 상기 각 운영체제 별로 호스트 동작에 따른 서비스 제공을 위한 어플리케이션들이 설치되는 단계를 더 포함하는 것을 특징으로 하는 DCAS 환경에서의 호스트 보안모듈 가상화 방법.The host configuration step of the host security module virtualization method in the DCAS environment, characterized in that further comprising the step of installing applications for providing a service according to the host operation for each operating system. 삭제delete 청구항 9에 있어서, 상기 호스트 동작 단계는 서비스 제공을 위한 사용자 선택 정보에 따라 상기 운영체제 중 하나가 선택되어 해당 보안 모듈 어플리케이션 및 서비스 제공을 위한 어플리케이션들의 실행에 따라 해당 운영체제에 대응되는 서비스가 제공되는 것을 특징으로 하는 DCAS 환경에서의 호스트 보안모듈 가상화 방법.The method of claim 9, wherein in the host operation, one of the operating systems is selected according to user selection information for providing a service, and a service corresponding to the operating system is provided according to execution of a corresponding security module application and applications for providing a service. Host Security Module Virtualization Method in DCAS Environment.
KR1020090133116A 2009-12-29 2009-12-29 Host security module virtualization system under downloadable conditional access system KR101110672B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020090133116A KR101110672B1 (en) 2009-12-29 2009-12-29 Host security module virtualization system under downloadable conditional access system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090133116A KR101110672B1 (en) 2009-12-29 2009-12-29 Host security module virtualization system under downloadable conditional access system

Publications (2)

Publication Number Publication Date
KR20110076414A KR20110076414A (en) 2011-07-06
KR101110672B1 true KR101110672B1 (en) 2012-02-24

Family

ID=44916315

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090133116A KR101110672B1 (en) 2009-12-29 2009-12-29 Host security module virtualization system under downloadable conditional access system

Country Status (1)

Country Link
KR (1) KR101110672B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101216581B1 (en) * 2012-04-05 2012-12-31 ㈜ 엘케이컴즈 Security system using dual os and method thereof

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070108723A (en) * 2006-05-08 2007-11-13 삼성전자주식회사 Apparatus and method for providing security access control
KR100901970B1 (en) 2007-12-06 2009-06-10 한국전자통신연구원 The method and apparauts for providing downloadable conditional access service using distribution key
KR20090078563A (en) * 2008-01-15 2009-07-20 삼성전자주식회사 Method and system for sharing contents securely

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070108723A (en) * 2006-05-08 2007-11-13 삼성전자주식회사 Apparatus and method for providing security access control
KR100901970B1 (en) 2007-12-06 2009-06-10 한국전자통신연구원 The method and apparauts for providing downloadable conditional access service using distribution key
KR20090078563A (en) * 2008-01-15 2009-07-20 삼성전자주식회사 Method and system for sharing contents securely

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101216581B1 (en) * 2012-04-05 2012-12-31 ㈜ 엘케이컴즈 Security system using dual os and method thereof
WO2013151376A1 (en) * 2012-04-05 2013-10-10 (주) 엘케이컴즈 Security system using dual os and method therefor

Also Published As

Publication number Publication date
KR20110076414A (en) 2011-07-06

Similar Documents

Publication Publication Date Title
EP2723094B1 (en) Set top box architecture with application based security definitions
US8849941B2 (en) Virtual desktop configuration and operation techniques
US9569237B2 (en) Virtual machine management using a downloadable subscriber identity module
US8782637B2 (en) Mini-cloud system for enabling user subscription to cloud service in residential environment
US8631404B2 (en) Mechanism for downloading hypervisor updates via a virtual hardware device using existing virtual machine-host channels
US9705890B2 (en) Set top box architecture supporting mixed secure and unsecure media pathways
US9450783B2 (en) Abstracting cloud management
CN109358866B (en) Multi-cloud management system for application
US9794630B2 (en) Device for processing multimedia contents implementing a plurality of virtual machines
US9967257B2 (en) Software defined network (SDN) application integrity
CN106776067B (en) Method and device for managing system resources in multi-container system
EP2723091A1 (en) Integration of untrusted framework components with a secure operating system environment
CN102667803B (en) For the method and apparatus running virtual machine according to the authority information distributed
CN105654970B (en) A kind of audio play control method of multisystem, system and onboard system
WO2000072583A1 (en) Software architecture for a television set-top terminal providing compatibility with multiple operating environments
KR101110672B1 (en) Host security module virtualization system under downloadable conditional access system
WO2022040171A9 (en) Wi-fi virtualization
KR20130039452A (en) Account management system for broadcasting receivers using android platform
CN105549906A (en) External virtual storage deploying method, device and system
KR101652194B1 (en) Method and system for controling remote vertual machine using client terminal
CN114726863A (en) Method, device, system and storage medium for load balancing
US11528511B2 (en) Methods and systems for loading data onto transportation vehicles
KR101313764B1 (en) Exchangeable conditional access host system based on android platform
KR20210109484A (en) Internet-based content service device for providing over the top service and method of the same
EP4160411A1 (en) Virtual network routers for cloud native software-defined network architectures

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20150112

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20160111

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20170120

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20180119

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20190121

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20200120

Year of fee payment: 9