JP6663937B2 - 動的なセキュリティーモジュールサーバー装置及びその駆動方法 - Google Patents

動的なセキュリティーモジュールサーバー装置及びその駆動方法 Download PDF

Info

Publication number
JP6663937B2
JP6663937B2 JP2017567030A JP2017567030A JP6663937B2 JP 6663937 B2 JP6663937 B2 JP 6663937B2 JP 2017567030 A JP2017567030 A JP 2017567030A JP 2017567030 A JP2017567030 A JP 2017567030A JP 6663937 B2 JP6663937 B2 JP 6663937B2
Authority
JP
Japan
Prior art keywords
security
dynamic
security module
client
user terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017567030A
Other languages
English (en)
Other versions
JP2018511133A (ja
Inventor
ビン ハ,ヨン
ビン ハ,ヨン
Original Assignee
エバースピン コーポレーション
エバースピン コーポレーション
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by エバースピン コーポレーション, エバースピン コーポレーション filed Critical エバースピン コーポレーション
Priority claimed from PCT/KR2016/002535 external-priority patent/WO2016148471A1/ko
Publication of JP2018511133A publication Critical patent/JP2018511133A/ja
Application granted granted Critical
Publication of JP6663937B2 publication Critical patent/JP6663937B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0846Network architectures or network communication protocols for network security for authentication of entities using passwords using time-dependent-passwords, e.g. periodically changing passwords
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/12Protecting executable software
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/12Protecting executable software
    • G06F21/14Protecting executable software against software analysis or reverse engineering, e.g. by obfuscation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/51Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/54Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by adding security routines or objects to programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/567Computer malware detection or handling, e.g. anti-virus arrangements using dedicated hardware
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/141Setup of application sessions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/146Markers for unambiguous identification of a particular session, e.g. session cookie or URL-encoding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/34Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters 
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2137Time limited access, e.g. to a computer or data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Description

本発明は動的なセキュリティーモジュールサーバー装置及びその駆動方法に関するもので、より詳しくはセキュリティー管理を行うコードの一部又は全部が一定の有効時間を有する動的なセキュリティーモジュールを使用者端末のセキュリティークライアントに伝送して、使用者端末の各種応用プログラムに対する保安モジュールが随時変更されるようにすることにより、前記応用プログラムに対するハッキングを難しくして使用者端末の保安性(security)を著しく向上させることができる動的なセキュリティーモジュールサーバー装置及びその駆動方法に関するものである。
近年、モバイル端末であるスマートフォンは現代生活になくてはならない必需品として落ち着き、全世界的に広く普及されている。しかし、スマートフォンの保安脆弱性が継続的に発見され、悪性アプリケーションを介しての攻撃が急増している。
ハッカーはモバイル端末を対象として悪性アプリケーションを開発して悪性コードを挿入した後、これをオープンマーケット又はインターネットを介して一般使用者に正常アプリケーションのように偽装して配布する。悪性アプリケーションがモバイル端末に組み込まれた場合、モバイル端末内の悪性アプリケーションは使用者も知らないうちにSMS送受信情報、電話帳、インターネット接続記録などの個人情報だけではなくモバイルバンキングなどに使われるモバイル公認認証書などの金融情報を外部サーバーに流出させる攻撃を試みることができる。
大部分のアプリケーション保安ソリューションは、アプリケーションが実行されれば、アプリケーションの保安モジュールと通信して保安ロジッグを呼び出し、結果を応答する。しかし、ハッカーの攻撃によって保安モジュールとの通信が強制的に遮断されるとか変造されたアプリケーションによって保安モジュールが無力化されれば、個人の身上情報及び金融に関連した個人情報に致命的な弱みが発生することになる。
したがって、近年国内外で広く普及されているモバイル端末の使用者環境で保安脆弱問題を解決し、使用者端末に組み込まれた多様なソフトウェアの保安性を向上させることができる技術開発に対する必要性が大きく台頭している。
本発明の目的は前記のような従来技術の問題点を解決するために導出されたもので、セキュリティー管理を行うコードの一部又は全部が一定の有効時間を有する動的なセキュリティーモジュールを使用者端末のセキュリティークライアントに伝送して、使用者端末の各種応用プログラムに対する保安モジュールが随時変更されるようにすることにより、前記応用プログラムに対するハッキングを難しくして使用者端末の保安性(security)を著しく向上させることができる動的なセキュリティーモジュールサーバー装置及びその駆動方法に関するものである。
このような目的を達成するために、本発明による動的なセキュリティーモジュールサーバー装置は、使用者端末に動的なセキュリティーモジュールを伝送し、使用者端末からセキュリティー管理イベントを受信する動的なセキュリティーモジュールサーバー装置であって、ネットワークを介して前記セキュリティー管理イベントを送受信する通信ユニット、及び前記通信ユニットを制御するプロセッサを含み、前記プロセッサは、前記使用者端末のセキュリティークライアントとのセキュリティーセッションを生成し、前記動的なセキュリティーモジュールを前記使用者端末のセキュリティークライアントに伝送し、前記セキュリティーセッションが生成された前記使用者端末のセキュリティークライアントで前記セキュリティー管理を行うコードの一部又は全部が有効時間を有するように構成される。
前記プロセッサは、前記セキュリティークライアントに伝送された動的なセキュリティーモジュールからセキュリティー管理の結果を受信し、前記受信したセキュリティー管理の結果を確認し、セキュリティー管理の確認の結果の値を前記セキュリティークライアントの動的なセキュリティーモジュールに伝送することをさらに含むことができる。
前記プロセッサは、前記使用者端末でセキュリティー問題が発生する時、前記使用者端末の応用プログラム(アプリケーションプログラム)を停止させるようにする停止命令を前記セキュリティークライアントの動的なセキュリティーモジュールに伝送することをさらに含むことができる。
前記プロセッサは、セキュリティーセッション識別子としてセッションアイディー(ID)を生成して保存し、前記セッションアイディーを前記セキュリティークライアントに伝送して前記セキュリティークライアントが前記セッションアイディーを保存するようにして、前記セキュリティーセッションを生成することができる。
前記セキュリティーセッションの生成は、認証の完了した使用者端末のセキュリティークライアントと生成することができる。
前記有効時間(有効期間)は、前記有効時間の経過時、前記コードの一部又は全部が削除されるとか使われないようにする有効時間であり得る。
前記プロセッサは、前記セキュリティーセッションが維持されるうち前記セキュリティークライアントに伝送されたそれぞれの前記動的なセキュリティーモジュールに対するパラメーターを保存することをさらに含むことができる。
前記プロセッサは、前記セキュリティークライアントから伝送された内訳が前記動的なセキュリティーモジュールのパラメーターの構成と同一であるかを検証することをさらに含むことができる。
前記動的なセキュリティーモジュールサーバー装置は、前記使用者端末のセキュリティークライアントに伝送する動的なセキュリティーモジュール、セキュリティーセッション識別子としてセッションアイディー、及び動的なセキュリティーモジュールに対するパラメーターを保存するストレージをさらに含むことができる。
前記プロセッサは、前記動的なセキュリティーモジュールが正常に動作したことを証明する検証トーケン(トークン)を前記使用者端末の応用プログラム(アプリケーションプログラム)運用サーバーに伝送することをさらに含むことができる。
また、本発明は、前記目的を達成するために、使用者端末に動的なセキュリティーモジュールを伝送し、使用者端末からセキュリティー管理イベントを受信する動的なセキュリティーモジュールサーバー装置の駆動方法であって、前記使用者端末のセキュリティークライアントとのセキュリティーセッションを生成する段階、及び前記動的なセキュリティーモジュールを前記セキュリティーセッションが生成された前記使用者端末のセキュリティークライアントで前記セキュリティー管理を行うコードの一部又は全部が有効時間(有効期間)を有するように前記使用者端末のセキュリティークライアントに伝送する段階を含む動的なセキュリティーモジュールサーバー装置の駆動方法を提供する。
前記駆動方法は、前記セキュリティークライアントに伝送された動的なセキュリティーモジュールからセキュリティー管理結果を受信し、前記受信したセキュリティー管理結果を確認し、セキュリティー管理の確認の結果の値を前記セキュリティークライアントの動的なセキュリティーモジュールに伝送する段階をさらに含むことができる。
前記駆動方法は、前記使用者端末でセキュリティー問題が発生する時、前記使用者端末の応用プログラム(アプリケーションプログラム)を停止させるようにする停止命令を前記セキュリティークライアントの動的なセキュリティーモジュールに伝送する段階をさらに含むことができる。
前記駆動方法は、セキュリティーセッション識別子としてセッションアイディーを生成して保存し、前記セッションアイディーを前記セキュリティークライアントに伝送して前記セキュリティークライアントが前記セッションアイディーを保存するようにして、前記セキュリティーセッションを生成することができる。
前記駆動方法は、前記セキュリティーセッションが維持されるうち前記セキュリティークライアントに伝送されたそれぞれの前記動的なセキュリティーモジュールに対するパラメーターを保存する段階をさらに含むことができる。
また、本発明は、前記動的なセキュリティーモジュールサーバー装置の駆動方法を行うためのプログラムが記録されているコンピュータ可読の記録媒体を提供する。
本発明による動的なセキュリティーモジュールサーバー装置及びその駆動方法は、セキュリティー管理を行うコードの一部又は全部が一定の有効時間を有する動的なセキュリティーモジュールを使用者端末のセキュリティークライアントに伝送して、使用者端末の各種応用プログラムに対する保安モジュールが随時変更されるようにすることにより、前記応用プログラムに対するハッキングを難しくして使用者端末の保安性(security)を著しく向上させることができる効果がある。
本発明の一実施例によるダイナミック保安モジュールサーバー装置の概略的な構成を示した模式図である。 本発明の一実施例によるダイナミック保安モジュールサーバー装置でダイナミック保安モジュールを保存する形態を示した模式図である。 本発明の一実施例によるダイナミック保安モジュールサーバー装置でセッションアイディー及びダイナミック保安モジュールパラメーター生成例を示した模式図である。 本発明の第1実施例によるダイナミック保安モジュールサーバー装置の駆動方法を示したブロック図である。 本発明の第2実施例によるダイナミック保安モジュールサーバー装置の駆動方法を示したブロック図である。 本発明の第3実施例によるダイナミック保安モジュールサーバー装置の駆動方法を示したブロック図である。
このような目的を達成するために、本発明によるダイナミック保安モジュール(動的なセキュリティーモジュール)サーバー装置は、使用者端末にダイナミック保安モジュール(動的なセキュリティーモジュール)を伝送し、使用者端末から保安管理(セキュリティー管理)イベントを受信するダイナミック保安モジュールサーバー装置であって、ネットワークを介して前記保安管理イベントを送受信する通信ユニット、及び前記通信ユニットを制御するプロセッサを含み、前記プロセッサは、前記使用者端末の保安クライアント(セキュリティークライアント)との保安セッション(セキュリティーセッション)を生成し、前記ダイナミック保安モジュールを前記使用者端末の保安クライアントに伝送し、前記保安セッションが生成された前記使用者端末の保安クライアントで前記保安管理(セキュリティー管理)を行うコードの一部又は全部が有効時間を有するように構成される。
前記プロセッサは、前記保安クライアントに伝送されたダイナミック保安モジュールから保安管理結果を受信し、前記受信した保安管理結果を確認し、保安管理の確認の結果の値を前記保安クライアントのダイナミック保安モジュールに伝送することをさらに含むことができる。
前記プロセッサは、前記使用者端末で保安問題(セキュリティー問題)が発生する時、前記使用者端末の応用プログラムを停止させるようにする停止命令を前記保安クライアントのダイナミック保安モジュールに伝送することをさらに含むことができる。
前記プロセッサは、保安セッション識別子としてセッションアイディー(ID)を生成して保存し、前記セッションアイディーを前記保安クライアントに伝送して前記保安クライアントが前記セッションアイディーを保存するようにして、前記保安セッションを生成することができる。
前記保安セッションの生成は、認証の完了した使用者端末の保安クライアントと生成することができる。
前記有効時間は、前記有効時間の経過時、前記コードの一部又は全部が削除されるとか使われないようにする有効時間であり得る。
前記プロセッサは、前記保安セッションが維持されるうち前記保安クライアントに伝送されたそれぞれの前記ダイナミック保安モジュールに対するパラメーターを保存することをさらに含むことができる。
前記プロセッサは、前記保安クライアントから伝送された内訳が前記ダイナミック保安モジュールのパラメーターの構成と同一であるかを検証することをさらに含むことができる。
前記ダイナミック保安モジュールサーバー装置は、前記使用者端末の保安クライアントに伝送するダイナミック保安モジュール、保安セッション識別子としてセッションアイディー、及びダイナミック保安モジュールに対するパラメーターを保存するストレージをさらに含むことができる。
前記プロセッサは、前記ダイナミック保安モジュールが正常に動作したことを証明する検証トーケンを前記使用者端末の応用プログラム運用サーバーに伝送することをさらに含むことができる。
また、本発明は、前記目的を達成するために、使用者端末にダイナミック保安モジュールを伝送し、使用者端末から保安管理イベントを受信するダイナミック保安モジュールサーバー装置の駆動方法であって、前記使用者端末の保安クライアントとの保安セッションを生成する段階、及び前記ダイナミック保安モジュールを前記保安セッションが生成された前記使用者端末の保安クライアントで前記保安管理を行うコードの一部又は全部が有効時間を有するように前記使用者端末の保安クライアントに伝送する段階を含む、ダイナミック保安モジュールサーバー装置の駆動方法を提供する。
前記駆動方法は、前記保安クライアントに伝送されたダイナミック保安モジュールから保安管理結果を受信し、前記受信した保安管理結果を確認し、保安管理の確認の結果の値を前記保安クライアントのダイナミック保安モジュールに伝送する段階をさらに含むことができる。
前記駆動方法は、前記使用者端末で保安問題が発生する時、前記使用者端末の応用プログラムを停止させるようにする停止命令を前記保安クライアントのダイナミック保安モジュールに伝送する段階をさらに含むことができる。
前記駆動方法は、保安セッション識別子としてセッションアイディーを生成して保存し、前記セッションアイディーを前記保安クライアントに伝送して前記保安クライアントが前記セッションアイディーを保存するようにして、前記保安セッションを生成することができる。
前記駆動方法は、前記保安セッションが維持されるうち、前記保安クライアントに伝送されたそれぞれの前記ダイナミック保安モジュールに対するパラメーターを保存する段階をさらに含むことができる。
また、本発明は、前記ダイナミック保安モジュールサーバー装置の駆動方法を行うためのプログラムが記録されているコンピュータ可読の記録媒体を提供する。
発明の実施のための形態
以下、本発明の好適な実施例を添付図面に基づいて詳細に説明する。本発明の説明において、関連の公知の構成又は機能についての具体的な説明が本発明の要旨をあいまいにすることができると判断される場合にはその詳細な説明は省略する。また、本発明の実施例の説明において具体的な数値は実施例に過ぎない。
図1は本発明の一実施例によるダイナミック保安モジュールサーバー装置の概略的な構成を示した模式図、図2は本発明の一実施例によるダイナミック保安モジュールサーバー装置でダイナミック保安モジュールを保存する形態を示した模式図、図3は本発明の一実施例によるダイナミック保安モジュールサーバー装置でのセッションアイディー及びダイナミック保安モジュールパラメーター生成例を示した模式図である。
これらの図面を参照すると、本発明によるダイナミック保安モジュール(動的なセキュリティーモジュール)サーバー装置110は使用者端末150にダイナミック保安モジュール(動的なセキュリティーモジュール)118を伝送し、使用者端末150から保安管理イベントを受信するダイナミック保安モジュールサーバー装置であって、ネットワークを介して前記保安管理イベントを送受信するコミュニケーション(通信)ユニット112、及び前記コミュニケーションユニット112を制御するプロセッサ114を含み、前記プロセッサ114は、前記使用者端末150の保安クライアント(セキュリティークライアント)152と保安セッション(セキュリティーセッション)を生成し、前記ダイナミック保安モジュール118を前記使用者端末150の保安クライアント152に伝送し、前記保安セッションが生成された前記使用者端末150の保安クライアント152で前記保安管理を行うコードの一部又は全部が有効時間(有効期間)を有するように構成できる。
すなわち、本発明によるダイナミック保安モジュールサーバー装置110は、プロセッサ114が使用者端末150の保安クライアント152で保安管理を行うコードの一部又は全部が一定の有効時間を有するダイナミック保安モジュール118を保存するとか、伝送時ごとに生成して、使用者端末150の駆動時、又は使用者端末150で前記保安クライアント152を含む応用プログラム(アプリケーションプログラム)の駆動時、又は使用者端末150の使用者要請時、又は前記ダイナミック保安モジュールサーバー装置110で設定した一定の周期ごとに、又は使用者端末150で設定した一定の周期ごとになどの多様な場合に使用者端末150の保安クライアント152と保安セッションを生成し、前記ダイナミック保安モジュール118を前記使用者端末150の保安クライアント152に伝送することで、前記ダイナミック保安モジュール118がしばしば更新されるようにして、保安モジュールのハッキング又はコンピュータウイルス感染などによる使用者端末に搭載された応用プログラムに対する保安問題の発生を効果的に防止することができる特徴がある。
また、前記ダイナミック保安モジュール118は、同種のダイナミック保安モジュールを繰り返して前記保安クライアント152に伝送せず、例えば保安管理を行うためのコードの関数名、実行されるアルゴリズムを指定する変数、プロトコルフィールド、プロトコルシーケンスを指定する変数、コンパイルレベルを指定する変数及び実行コード難読化方法を指定する変数からなる群から選択された1種以上の変更可能な部分を異に構成して互いに異なるコード構造又はアルゴリズムを有する少なくとも2種以上のダイナミック保安モジュールを前記プロセッサ114に保存しておき、前記保安クライアント152への伝送時ごとにそれぞれ異なるダイナミック保安モジュール118を選択して伝送することができる。
また、前記ダイナミック保安モジュール118の保安管理を行うコードの一部又は全部の有効時間は、例えば1時間、3時間、6時間、9時間、12時間、24時間、48時間及び72時間からなる群から選択された時間の間隔に設定し、このような設定時間が終わった場合、ダイナミック保安モジュール118のコードの一部又は全部の機能が停止するように構成することもできる。したがって、このようなダイナミック保安モジュール118の有効時間の満了時、前記保安クライアント152はダイナミック保安モジュール118の使用を中止し、前記ダイナミック保安モジュールサーバー装置110から新しいダイナミック保安モジュール118を受けて更新することにより、ダイナミック保安モジュール118のハッキング又はウイルス感染による前記使用者端末150の保安問題の発生を効果的に防止することができる。
ここで、保安管理とは、前記ダイナミック保安モジュール118が前記保安クライアント152を含む応用プログラムに対するハッキング脅威となり得る要素の存在有無を感知すること、前記応用プログラムが組み込まれた端末機のO/S偽造又は変造、アプリ(App)の偽造又は変造、ルーティング(Rooting)、デバッガ(debugger)、ルートプロセス実行履歴、有害アプリケーションの組込み、有害アプリケーション実行履歴、有害ポート、セッション偽造又は変造、入力値偽造又は変造及びコンピュータウイルスからなるハッキング脅威となり得る要素を検出すること、前記ハッキング脅威となり得る要素についての情報を前記ダイナミック保安モジュールサーバー装置110に伝送すること、前記応用プログラムのウイルスを治療すること、前記応用プログラムに対するハッキング脅威とウイルス感染の問題を防止するために前記応用プログラムに対する停止命令を伝送すること、前記ダイナミック保安モジュール118の有効時間満了又はハッカーによるハッキング、ウイルス感染などの問題によってダイナミック保安モジュール118そのものの機能を停止することなど、前記ダイナミック保安モジュール118が前記使用者端末150の保安のために行う全般的な管理を含む概念である。
また、前記使用者端末150から受信された保安管理イベントは、例えば前記保安クライアント152から伝送されたダイナミック保安モジュール118に対するパラメーターを判断するための内訳、ダイナミック保安モジュール118が駆動されている状態についてのステート(state)内訳、ハッキング脅威があったことを知らせる保安管理結果情報、及び前記使用者端末150に搭載された応用プログラムに対するウイルス治療内訳などの多様なイベントであり得る。
また、前記使用者端末150は、例えばスマートフォン、タブレットPC、デスクトップコンピュータ、ノートブック型コンピュータなどの保安が必要な多様な端末器機であり得る。
前記プロセッサ114は制御信号を生成して、コミュニケーション(通信)ユニット112とストレージ113を含む前記サーバー装置110を制御することができる。ここで、コミュニケーションユニット112は外部デバイスと多様なプロトコルを用いて通信を行ってデータを送受信することができ、有線又は無線で外部ネットワークに接続して、コンテンツ、アプリケーションなどのデジタルデータを送受信することができる。
また、前記ストレージ113はオーディオ、写真、動画、アプリケーションなどを含む多様なデジタルデータを保存することができる装置であって、フラッシュメモリー、RAM(Random Access Memory)、SSD(Solid State Drive)などの多様なデジタルデータ保存空間を示す。このようなストレージ113はコミュニケーションユニット112を介して外部デバイスから受信されたデータを臨時に保存することができる。
前記プロセッサ114は、前記保安クライアント152に伝送されたダイナミック保安モジュール118から保安管理結果を受信し、前記受信した保安管理結果を確認し、保安管理の確認の結果の値を前記保安クライアント152のダイナミック保安モジュール118に伝送することをさらに含むことができる。
ここで、前記保安管理結果は前記ダイナミック保安モジュール118が前記保安クライアント152で実際に行った保安管理の内訳であって、前記ダイナミック保安モジュール118に含まれている詳細な保安管理機能を行った結果値であり、保安管理イベントの一部である。例えば、前記ハッキング脅威となり得る要素の存在有無に対する感知結果、前記ハッキング脅威となり得る要素の検出結果、前記応用プログラムに対するウイルス治療及びハッキング脅威となり得る要素の除去結果などの内訳であり得る。
また、前記保安管理の確認の結果の値は、前記ダイナミック保安モジュールサーバー装置110が前記保安管理結果を受信し、前記保安管理結果に基づいて分析した前記使用者端末150の保安問題発生有無に対する判断結果である。すなわち、前記使用者端末150に現在ハッキング脅威となり得る要素が存在するかに対する判断結果、使用者端末150に搭載された応用プログラムがハッキングされたかに対する判断結果、及び前記応用プログラムがウイルス又は悪性コードに感染されたかに対する判断結果であり得る。
具体的に、前記保安クライアント152に伝送されたダイナミック保安モジュール118から前記保安管理として保安管理結果を受信し、前記受信した保安管理結果を確認し、前記使用者端末150で保安問題が発生しなかった場合、保安問題が発生しなかったことを知らせる保安診断確認の結果値を前記保安クライアント152のダイナミック保安モジュール118に伝送することをさらに含むことができる。
また、前記保安クライアント152に伝送されたダイナミック保安モジュール118から前記保安管理として保安管理結果を受信し、前記受信した保安管理結果を確認し、前記使用者端末150で保安問題が発生した場合、保安問題が発生したことを知らせる保安管理の確認の結果の値を前記保安クライアント152のダイナミック保安モジュール118に伝送することをさらに含むことができる。
すなわち、本発明によるダイナミック保安モジュールサーバー装置110は、使用者端末150の保安クライアント152に伝送したダイナミック保安モジュール118から保安管理結果を受信してこれを確認し、保安管理の確認の結果の値を再びダイナミック保安モジュール118に伝送することにより、ダイナミック保安モジュール118が前記使用者端末150の保安問題発生時に迅速で効果的に対処するようにすることができる。
これに関連して、前記プロセッサ114は、前記保安クライアント152に伝送されたダイナミック保安モジュール118から前記保安管理として保安管理結果を受信し、前記受信した保安管理結果を確認し、前記使用者端末で保安問題が発生した場合、前記使用者端末150の応用プログラムを停止させるようにする停止命令を前記保安クライアント152のダイナミック保安モジュール118に伝送し、前記保安クライアント152との保安セッションを破棄することをさらに含むことにより、ハッカーがダイナミック保安モジュール118をハッキングして使用者端末150の各種応用プログラムに対する保安問題を発生させる問題を根本的に防止することができる。
すなわち、前記使用者端末150の保安問題の発生時、前記使用者端末150に搭載された応用プログラムの駆動を速かに停止することにより、前記応用プログラムの駆動による前記使用者端末150に搭載された他の応用プログラムに対する追加的な保安問題の拡散を防止し、前記保安セッションを破棄して、ハッカーによるダイナミック保安モジュール118又はダイナミック保安モジュールサーバー装置110に対する追跡及び分析を速かに遮断することができる。
一方、前記プロセッサ114は、保安セッション識別子としてセッションアイディー(ID)116を生成して保存し、前記セッションアイディー116を前記保安クライアント152に伝送して前記保安クライアント152が前記セッションアイディー116を保存するようにすることによって保安セッションを生成することができる。このようなセッションアイディーを用いて保安セッションを生成する方法は、多数の保安セッションを生成し、保安セッションをしばしば更新することにより、前記ダイナミック保安モジュール118による前記使用者端末150に対する保安管理の信頼性及び便宜性を向上させることができる利点がある。
ここで、前記保安セッションの生成は、認証の完了した使用者端末の保安クライアント152と生成することからなることができる。すなわち、前記保安セッションの生成は、使用者端末に対する保安性をより一層向上させるように、ダイナミック保安モジュール118を伝送するための使用者端末150の保安クライアント152に対する認証過程をさらに行うことができる。
また、前記使用者端末150の保安クライアント152の認証は、例えば前記保安クライアント152が含まれた応用プログラムであるアプリケーションが前記使用者端末150に組み込まれるとともに認証が完了するとか、又は前記アプリケーションが前記使用者端末150に組み込まれた後、最初駆動時に認証が完了するとか、又は前記アプリケーションに対するログイン(log in)及びログアウト(log out)の際に認証が完了するとか、又は前記アプリケーションが前記使用者端末150に組み込まれた後、前記アプリケーションによる使用者の要請によって認証が完了することができる。
前記有効時間は、前記有効時間の経過時に前記コードの一部又は全部が削除されるとか使われないようにする有効時間であり得る。すなわち、前記使用者端末150の保安クライアント152で保安管理を行うコードの一部又は全部が有効時間を有する前記ダイナミック保安モジュール118は、有効時間の経過時、コードの一部又は全部が削除されるとか、保安管理を行わないようにダイナミック保安モジュールそのものの使用が中止できる。
したがって、このようなダイナミック保安モジュール118の有効時間の満了時、前記保安クライアント152は、ダイナミック保安モジュール118を構成するコードの一部又は全部を更新することにより、ダイナミック保安モジュール118のハッキング又はウイルス感染などの原因による保安問題発生を根本的に遮断することができる。
また、前記プロセッサ114は、前記保安セッションが維持されるうちに前記保安クライアント152に伝送されたそれぞれの前記ダイナミック保安モジュール118に対するパラメーターを保存することをさらに含むことができる。
ここで、ダイナミック保安モジュール118に対するパラメーターは、前記保安クライアント152に伝送され、保安管理を行っているダイナミック保安モジュールの保安管理を行うためのコードの関数名、実行されるアルゴリズムを指定する変数、プロトコルフィールド、プロトコルシーケンスを指定する変数、コンパイルレベルを指定する変数及び実行コード難読化方法を指定する変数などについての具体的な情報に関するもので、しばしば更新されて相異なる構成を有するそれぞれのダイナミック保安モジュールを互いに区分するためのものであり、前記ダイナミック保安モジュールサーバー装置110で決定される情報であって、前記ダイナミック保安モジュール118の保安管理を行うコードの実行時の情報である。
また、前記プロセッサ114は、前記保安クライアント152に伝送されたダイナミック保安モジュール118についての内訳を受信し、前記保存したダイナミック保安モジュール118のパラメーターの構成と同一であるかを検証することをさらに含むことができる。このようなダイナミック保安モジュールのパラメーターの変更内容検証は、例えばそれぞれのパラメーターがA−B−C−Dのように順次伝送されたダイナミック保安モジュールのパラメーターが前記保安クライアント152から伝送された内訳と比較した時、同一ではなくて変更されたものであると確認された場合、ハッカーによるハッキング試みなどがあったことを類推することができ、これに対する措置を行うことができる。
具体的に、図4のように前記ダイナミック保安モジュールサーバー装置110と使用者端末150の保安クライアント152がセッションアイディーとして11836381を生成して保安セッションを生成した場合、前記保安クライアント152から伝送されたダイナミック保安モジュール118についての内訳は、パラメーター(param)がA、B、Cであり、この時のステート(state)が1、2であることを検証し、セッションアイディーとして72365784を生成して保安セッションを生成した場合、保安クライアント152から伝送されたダイナミック保安モジュール118についての内訳は、パラメーター(param)がC、B、Aであり、この時のステート(state)が0、3であることを検証し、セッションアイディーとして87656501を生成して保安セッションを生成した場合、保安クライアント152から伝送されたダイナミック保安モジュール118についての内訳は、パラメーター(param)がB、A、Cであり、この時のステート(state)が3、2であることを検証することができる。ここで、このようなパラメーターとステートの内訳は前記使用者端末150から受信された保安管理イベントであり得る。
前記保安管理は、前記保安クライアント152に伝送されたそれぞれのダイナミック保安モジュール118のプロトコルフィールド及びプロトコルシーケンスを保存し、前記保安クライアント152での前記ダイナミック保安モジュール118のプロトコルフィールド及びプロトコルシーケンスを受信し、前記保存されたプロトコルフィールド及びプロトコルシーケンスと前記受信したプロトコルフィールド及びプロトコルシーケンスを互いに比較して検証することであり得る。
すなわち、前記保安管理は、前記保安クライアント152に伝送されたダイナミック保安モジュール118のプロトコルフィールド及びプロトコルシーケンスを受信して分析することにより、プロトコルの進行に、例えば少なくとも1回以上のエラーが発生する場合、ハッカーによるハッキング試みなどがあったことを類推することができる。よって、このようなダイナミック保安モジュール118のプロトコルフィールド及びプロトコルシーケンスの分析内容に基づいてハッキング危険又は保安問題の発生可能性を予測し、保安問題が発生しないように措置することができる。
ここで、前記プロトコルフィールドは前記ダイナミック保安モジュール118が前記保安クライアント152で行う保安管理の多様な項目の実行方法などの規約であって、例えば前記保安クライアント152を含む応用プログラムに対するハッキング脅威となり得る要素の存在有無を判別した結果を伝送する通信規約、前記応用プログラムに対するファイルウイルス、ブートアンドファイル(Boot & file)ウイルスなどに対する自己治療内訳を伝送する通信規約であり得る。
また、前記プロトコルシーケンスは前記ダイナミック保安モジュール118が前記保安クライアント152で行う保安管理を含む多様な項目に対する実行手順を意味するもので、例えば前記アプリケーションが組み込まれた端末機のO/Sの偽造又は変造、アプリ(App)の偽造又は変造、ルーティング(Rooting)、デバッガ(debugger)、ルートプロセス実行履歴、有害アプリケーションの組込み、有害アプリケーション実行履歴、有害ポート、セッションの偽造又は変造、入力値の偽造又は変造及びコンピュータウイルスからなったハッキング脅威となり得る要素の検出において、前記それぞれの要素を検出する手順であり得る。
前記ダイナミック保安モジュールサーバー装置110は、前記使用者端末150の保安クライアント152に伝送するダイナミック保安モジュール118、保安セッション識別子としてセッションアイディー116、及びダイナミック保安モジュールに対するパラメーターを保存するストレージ113をさらに含むことができる。
すなわち、前記ダイナミック保安モジュールサーバー装置110は、前記ストレージ113にダイナミック保安モジュール118及びセッションアイディー116を保存することにより、前記ダイナミック保安モジュール118とセッションアイディー116を円滑で安定的に前記保安クライアント152に伝送することができる。また、前記ストレージ113に前記保安クライアント152に伝送したダイナミック保安モジュールに対するパラメーターを保存することにより、前記保安クライアント152に伝送されたダイナミック保安モジュール118に対する受信内訳との同一性検証をもっと安定的に行うことができる。
前記プロセッサ114は、前記ダイナミック保安モジュール118が正常に動作したことを証明する検証トーケン(トークン)を前記使用者端末150の応用プログラム運用サーバーに伝送することをさらに含むことができる。
具体的に、前記プロセッサ114は、前記ダイナミック保安モジュール118から受信した保安管理結果を確認し、前記使用者端末150で保安問題が発生しなかった場合、前記保安管理の確認の結果の値が前記保安クライアント152を迂回しなかったことを証明する検証トーケンを含めて前記保安管理の確認の結果の値を前記ダイナミック保安モジュール118に伝送し、前記ダイナミック保安モジュール118は前記保安クライアント152を含む応用プログラムの運用サーバー(図示せず)に前記検証トーケンを伝送し、前記運用サーバーは前記検証トーケンを前記ダイナミック保安モジュールサーバー装置110のプロセッサ114に再び伝送して、前記検証トーケンが有効なものであるかを検証するようにする過程をさらに行うことができる。
すなわち、前記ダイナミック保安モジュールサーバー装置110は、前記保安管理の確認の結果の値と一緒に前記保安管理の確認の結果の値に対する検証トーケンを追加して前記ダイナミック保安モジュール118に伝送し、前記ダイナミック保安モジュール118は前記保安クライアント152を含む応用プログラムの運用サーバー(図示せず)に前記検証トーケンを伝送することにより、前記応用プログラムの運用サーバーが前記検証トーケンによって前記保安管理の確認の結果の値が偽造又は変造されないで有効であるかを検証するようにして、前記保安管理の確認の結果の値に対する信頼度をもっと向上させることができる。
この時、前記ダイナミック保安モジュールサーバー装置110と前記応用プログラムの運用サーバーはダイナミック保安モジュールサーバー装置のシステム設計によって単一サーバーに併合して構成することもでき、互いに分離されて離隔した場所にそれぞれ配置されたサーバーで構成して運営することもできる。
図4は本発明の第1実施例によるダイナミック保安モジュールサーバー装置の駆動方法を示したブロック図、図5は本発明の第2実施例によるダイナミック保安モジュールサーバー装置の駆動方法を示したブロック図、図6は本発明の第3実施例によるダイナミック保安モジュールサーバー装置の駆動方法を示したブロック図である。
これらの図面を参照すると、まず第1実施例によるダイナミック保安モジュールサーバー装置の駆動方法は、使用者端末に前記ダイナミック保安モジュールを伝送し、使用者端末から保安管理イベントを受信するダイナミック保安モジュールサーバー装置の駆動方法であって、前記使用者端末の保安クライアントとの保安セッションを生成する段階(S210)、及び前記ダイナミック保安モジュールを前記保安セッションが生成された前記使用者端末の保安クライアントで前記保安管理を行うコードの一部又は全部が有効時間を有するように前記使用者端末の保安クライアントに伝送する段階(S220)を行う。
その後、前記保安クライアントに伝送されたダイナミック保安モジュールから前記保安管理として保安管理結果を受信する段階(S230)、前記受信した保安管理結果を確認して保安問題発生有無を確認する段階(S240)、及び前記使用者端末で保安問題が発生しなかった場合、保安問題が発生しなかったことを知らせる保安管理の確認の結果の値を前記保安クライアントのダイナミック保安モジュールに伝送する段階(S250)を行う。
ここで、前記使用者端末で保安問題が発生した場合には、保安問題が発生したことを知らせる保安管理の確認の結果の値を前記保安クライアントのダイナミック保安モジュールに伝送する段階(S251)を行う。
また、前記使用者端末で保安問題が発生した場合、前記使用者端末の応用プログラムを停止させるようにする停止命令を前記保安クライアントのダイナミック保安モジュールに伝送する段階(S252)をさらに行うことができる。
第2実施例による本発明のダイナミック保安モジュールサーバー装置の駆動方法は、使用者端末に前記ダイナミック保安モジュールを伝送し、使用者端末から保安管理イベントを受信するダイナミック保安モジュールサーバー装置の駆動方法であって、前記使用者端末の保安クライアントとの保安セッションを生成する段階(S310)、前記ダイナミック保安モジュールを前記保安セッションが生成された前記使用者端末の保安クライアントで前記保安管理を行うコードの一部又は全部が有効時間を有するように前記使用者端末の保安クライアントに伝送する段階(S320)、前記保安セッションに対する有効時間を設定し、前記有効時間情報を前記保安セッションが生成された保安クライアントのダイナミック保安モジュールに伝送する段階(S330)及び前記保安セッションの有効時間終了による保安セッション終了時、前記ダイナミック保安モジュールに対する廃棄命令を前記ダイナミック保安モジュール又は前記保安クライアントに伝送する段階(S340)を行うことができる。
この時、前記保安セッションに対する有効時間は、例えば1時間、3時間、6時間、9時間、12時間、24時間、48時間及び72時間からなる群から選択された時間の間隔に設定して前記ダイナミック保安モジュールに伝送することができる。
第3実施例による本発明のダイナミック保安モジュールサーバー装置の駆動方法は、使用者端末に前記ダイナミック保安モジュールを伝送し、使用者端末から保安管理イベントを受信するダイナミック保安モジュールサーバー装置の駆動方法であって、使用者端末の保安クライアントとの保安セッションを生成する段階(S410)、前記ダイナミック保安モジュールを前記保安セッションが生成された前記使用者端末の保安クライアントで前記保安管理を行うコードの一部又は全部が有効時間を有するように前記使用者端末の保安クライアントに伝送する段階(S420)を行う。
その後、前記保安セッションが維持されるうち前記保安クライアントに伝送されたそれぞれの前記ダイナミック保安モジュールに対するパラメーターを保存し、前記ダイナミック保安モジュールの前記保安クライアントでのパラメーター変更内訳を受信して保存する段階(S430)、前記ダイナミック保安モジュールのパラメーター変更内訳から保安問題の発生有無を判断する段階(S440)及び前記使用者端末で保安問題が発生しなかった場合、保安問題が発生しなかったことを知らせる保安管理の確認の結果の値を前記保安クライアントのダイナミック保安モジュールに伝送する段階(S450)を行う。
ここで、前記使用者端末で保安問題が発生した場合には、保安問題が発生したことを知らせる保安管理の確認の結果の値を前記保安クライアントのダイナミック保安モジュールに伝送する段階(S451)を行う。
また、前記使用者端末で保安問題が発生した場合、前記使用者端末の応用プログラムを停止させるようにする停止命令を前記保安クライアントのダイナミック保安モジュールに伝送する段階(S452)をさらに行うことができる。
本発明によるダイナミック保安モジュールサーバー装置の駆動方法は多様なコンピュータ手段によって実行可能なプログラム命令形態として具現されてコンピュータ可読の媒体に記録できる。前記コンピュータ可読の媒体は、プログラム命令、データファイル、データ構造などを単独で又は組合せで含むことができる。前記媒体に記録されるプログラム命令は本発明のために特別に設計されて構成されたものであるか又はコンピュータソフトウェアの当業者に公知となって使用可能なものであり得る。
以上のように、本発明を具体的な構成要素などの特定事項と限定された実施例及び図面に基づいて説明したが、これは本発明の全般的な理解を助けるために提供したものであるだけ、本発明は前記実施例に限定されるものではなく、本発明が属する分野で通常的な知識を有する者であればこのような記載から多様な修正及び変形が可能である。
したがって、本発明の思想は前述した実施例に限定されて決定されてはいけなく、後述する特許請求範囲だけではなくこの特許請求範囲と均等乃至等価の変形がある全てのものは本発明思想の範疇に属すると言える。
産業上利用可能性
本発明は、使用者端末にダイナミック保安モジュールを伝送し、使用者端末から保安管理イベントを受信するダイナミック保安モジュールサーバー装置であって、ネットワークを介して前記保安管理イベントを送受信するコミュニケーションユニット、及び前記コミュニケーションユニットを制御するプロセッサを含み、前記プロセッサは、前記使用者端末の保安クライアントとの保安セッションを生成し、前記ダイナミック保安モジュールを前記使用者端末の保安クライアントに伝送し、前記保安セッションが生成された前記使用者端末の保安クライアントで前記保安管理を行うコードの一部又は全部が有効時間を有するようにするダイナミック保安モジュールサーバー装置に関するものである。
本発明によれば、保安管理を行うコードの一部又は全部が一定の有効時間を有するダイナミック保安モジュールを使用者端末の保安クライアントに伝送し、使用者端末の各種応用プログラムに対する保安モジュールが随時変更されるようにすることにより、前記応用プログラムに対するハッキングを難しくして使用者端末の保安性(security)を著しく向上させることができる効果がある。

Claims (13)

  1. 使用者端末に動的なセキュリティーモジュールを伝送し、使用者端末からセキュリティー管理イベントを受信する動的なセキュリティーモジュールサーバー装置であって、
    ネットワークを介して前記セキュリティー管理イベントを送受信する通信ユニット;及び
    前記通信ユニットを制御するプロセッサ;を含み、
    前記プロセッサは、前記使用者端末のセキュリティークライアントとのセキュリティーセッションを生成し、
    前記動的なセキュリティーモジュールを前記使用者端末のセキュリティークライアントに伝送し、
    前記セキュリティーセッションが生成された前記使用者端末のセキュリティークライアントで前記セキュリティー管理を行うコードの一部又は全部が有効時間を有し、
    前記動的なセキュリティモジュールに対するパラメーターを指定し、前記指定されたパラメーターを用いて前記動的なセキュリティモジュールのコードを変更し、
    前記セキュリティーセッションが維持される中で、前記セキュリティークライアントに伝送されたそれぞれの前記動的なセキュリティーモジュールに対するパラメーターを保存することを含み、
    さらに、前記プロセッサは、
    前記セキュリティークライアントから伝送された内訳が前記動的なセキュリティーモジュールのパラメーターの構成と同一であるかを検証することを含む、動的なセキュリティーモジュールサーバー装置。
  2. 前記プロセッサは、
    前記セキュリティークライアントに伝送された動的なセキュリティーモジュールからセキュリティー管理の結果を受信し、前記受信したセキュリティー管理の結果を確認し、セキュリティー管理の確認の結果の値を前記セキュリティークライアントの動的なセキュリティーモジュールに伝送することをさらに含む、請求項1に記載の動的なセキュリティーモジュールサーバー装置。
  3. 前記プロセッサは、
    前記使用者端末でセキュリティー問題が発生する時、前記使用者端末の応用プログラムを停止させるようにする停止命令を前記セキュリティークライアントの動的なセキュリティーモジュールに伝送することをさらに含む、請求項1に記載の動的なセキュリティーモジュールサーバー装置。
  4. 前記プロセッサは、
    セキュリティーセッション識別子としてセッションIDを生成して保存し、前記セッションIDを前記セキュリティークライアントに伝送して前記セキュリティークライアントが前記セッションIDを保存するようにして、前記セキュリティーセッションを生成する、請求項1に記載の動的なセキュリティーモジュールサーバー装置。
  5. 前記セキュリティーセッションの生成は、認証の完了した使用者端末のセキュリティークライアントと生成する、請求項1に記載の動的なセキュリティーモジュールサーバー装置。
  6. 前記有効時間は、前記有効時間の経過時、前記コードの一部又は全部が削除される、又は使われないようにする有効時間である、請求項1に記載の動的なセキュリティーモジュールサーバー装置。
  7. 前記動的なセキュリティーモジュールサーバー装置は、前記使用者端末のセキュリティークライアントに伝送する動的なセキュリティーモジュール、セキュリティーセッション識別子としてセッションID、及び動的なセキュリティーモジュールに対するパラメーターを保存するストレージをさらに含む、請求項1に記載の動的なセキュリティーモジュールサーバー装置。
  8. 前記プロセッサは、
    前記動的なセキュリティーモジュールが正常に動作したことを証明する検証トーケンを前記使用者端末の応用プログラム運用サーバーに伝送することをさらに含む、請求項1に記載の動的なセキュリティーモジュールサーバー装置。
  9. 使用者端末に動的なセキュリティーモジュールを伝送し、使用者端末からセキュリティー管理イベントを受信する動的なセキュリティーモジュールサーバー装置の駆動方法であって、
    前記使用者端末のセキュリティークライアントとのセキュリティーセッションを生成する段階;及び
    前記動的なセキュリティーモジュールを前記セキュリティーセッションが生成された前記使用者端末のセキュリティークライアントで前記セキュリティー管理を行うコードの一部又は全部が有効時間を有するように前記使用者端末のセキュリティークライアントに伝送する段階;を含み、
    前記動的なセキュリティーモジュールサーバー装置は前記動的なセキュリティーモジュールに対するパラメーターを指定し、前記指定されたパラメーターを用いて前記動的なセキュリティーモジュールのコードを変更する段階と、
    前記セキュリティーセッションが維持される中で、前記セキュリティークライアントに伝送されたそれぞれの前記動的なセキュリティーモジュールに対するパラメーターを保存する段階と、
    前記セキュリティークライアントから伝送された内訳が前記動的なセキュリティーモジュールのパラメーターの構成と同一であるかを検証する段階とを含む、動的なセキュリティーモジュールサーバー装置の駆動方法。
  10. 前記駆動方法は、
    前記セキュリティークライアントに伝送された動的なセキュリティーモジュールからセキュリティー管理の結果を受信し、前記受信したセキュリティー管理の結果を確認し、セキュリティー管理の確認の結果の値を前記セキュリティークライアントの動的なセキュリティーモジュールに伝送する段階をさらに含む、請求項に記載の動的なセキュリティーモジュールサーバー装置の駆動方法。
  11. 前記駆動方法は、
    前記使用者端末でセキュリティー問題が発生する時、前記使用者端末の応用プログラムを停止させるようにする停止命令を前記セキュリティークライアントの動的なセキュリティーモジュールに伝送する段階をさらに含む、請求項に記載の動的なセキュリティーモジュールサーバー装置の駆動方法。
  12. 前記駆動方法は、
    セキュリティーセッション識別子としてセッションIDを生成して保存し、前記セッションIDを前記セキュリティークライアントに伝送して前記セキュリティークライアントが前記セッションIDを保存するようにして、前記セキュリティーセッションを生成する、請求項に記載の動的なセキュリティーモジュールサーバー装置の駆動方法。
  13. 請求項12のいずれか一項に記載の方法を行うためのプログラムが記録されているコンピュータ可読の記録媒体。
JP2017567030A 2015-03-13 2016-03-14 動的なセキュリティーモジュールサーバー装置及びその駆動方法 Active JP6663937B2 (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
KR10-2015-0035177 2015-03-13
KR20150035177 2015-03-13
PCT/KR2016/002535 WO2016148471A1 (ko) 2015-03-13 2016-03-14 다이나믹 보안모듈 서버장치 및 그 구동방법
KR1020160030568A KR101799366B1 (ko) 2015-03-13 2016-03-14 다이나믹 보안모듈 서버장치 및 그 구동방법
KR10-2016-0030568 2016-03-14

Publications (2)

Publication Number Publication Date
JP2018511133A JP2018511133A (ja) 2018-04-19
JP6663937B2 true JP6663937B2 (ja) 2020-03-13

Family

ID=57080532

Family Applications (3)

Application Number Title Priority Date Filing Date
JP2017567031A Active JP6654651B2 (ja) 2015-03-13 2016-03-14 動的なセキュリティーモジュール端末装置及びその駆動方法
JP2017567032A Active JP6654652B2 (ja) 2015-03-13 2016-03-14 動的なセキュリティーモジュール生成方法及び生成装置
JP2017567030A Active JP6663937B2 (ja) 2015-03-13 2016-03-14 動的なセキュリティーモジュールサーバー装置及びその駆動方法

Family Applications Before (2)

Application Number Title Priority Date Filing Date
JP2017567031A Active JP6654651B2 (ja) 2015-03-13 2016-03-14 動的なセキュリティーモジュール端末装置及びその駆動方法
JP2017567032A Active JP6654652B2 (ja) 2015-03-13 2016-03-14 動的なセキュリティーモジュール生成方法及び生成装置

Country Status (5)

Country Link
US (3) US10867048B2 (ja)
EP (3) EP3270318B1 (ja)
JP (3) JP6654651B2 (ja)
KR (3) KR101756692B1 (ja)
CN (3) CN107431705B (ja)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10318272B1 (en) * 2017-03-30 2019-06-11 Symantec Corporation Systems and methods for managing application updates
US11368474B2 (en) * 2018-01-23 2022-06-21 Rapid7, Inc. Detecting anomalous internet behavior
US11336658B2 (en) 2018-04-27 2022-05-17 Dell Products L.P. Information handling system threat management
US11595407B2 (en) 2018-04-27 2023-02-28 Dell Products L.P. Information handling system threat management
US10637876B2 (en) * 2018-04-27 2020-04-28 Dell Products L.P. Information handling system threat management
CN110413268B (zh) * 2018-04-28 2023-11-10 武汉斗鱼网络科技有限公司 一种中间件验证方法、存储介质、设备及系统
WO2022185418A1 (ja) * 2021-03-02 2022-09-09 三菱電機株式会社 デバッグ支援プログラム、デバッグ支援装置、デバッグ支援方法および機械学習装置
CN115098227B (zh) * 2022-08-24 2022-12-27 中诚华隆计算机技术有限公司 一种安防设备动态信息更新的方法及装置

Family Cites Families (36)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5708709A (en) * 1995-12-08 1998-01-13 Sun Microsystems, Inc. System and method for managing try-and-buy usage of application programs
KR20030003593A (ko) 2001-07-03 2003-01-10 (주) 해커스랩 제한조건 동안 특정 보안정책을 적용할 수 있는 네트워크보안장치 및 네트워크 보안방법
US7254586B2 (en) * 2002-06-28 2007-08-07 Microsoft Corporation Secure and opaque type library providing secure data protection of variables
US7552470B2 (en) * 2002-11-21 2009-06-23 Honeywell International Inc. Generic security infrastructure for COM based systems
KR100956823B1 (ko) * 2003-02-11 2010-05-11 엘지전자 주식회사 이동 통신 시스템에서 보안 설정 메시지를 처리하는 방법
KR100568228B1 (ko) * 2003-05-20 2006-04-07 삼성전자주식회사 고유번호를 이용한 프로그램 탬퍼 방지 방법과 난독처리된 프로그램 업그레이드 방법, 상기 방법을 위한 장치
US7551986B2 (en) * 2004-02-24 2009-06-23 Denso Corporation Program distribution system, program distribution device, and in-vehicle gateway device
US7360237B2 (en) * 2004-07-30 2008-04-15 Lehman Brothers Inc. System and method for secure network connectivity
FR2880441B1 (fr) 2004-12-31 2010-06-18 Trusted Logic Chargement dynamique securise
EP1862937A1 (en) * 2005-02-25 2007-12-05 Matsushita Electric Industrial Co., Ltd. Secure processing device and secure processing system
JP2006259848A (ja) * 2005-03-15 2006-09-28 Matsushita Electric Ind Co Ltd プログラム実行装置、プログラム実行方法、および、プログラム
KR101134217B1 (ko) 2005-06-13 2012-04-06 주식회사 엘지씨엔에스 보안정책의 암호화 방법 및 그 방법을 구현하는침입탐지시스템
US9311454B2 (en) * 2005-09-19 2016-04-12 At&T Intellectual Property I, L.P. Trial use of a collection of media files
WO2007049817A1 (en) * 2005-10-28 2007-05-03 Matsushita Electric Industrial Co., Ltd. Obfuscation evaluation method and obfuscation method
WO2007092573A2 (en) * 2006-02-07 2007-08-16 Cisco Technology, Inc. Methods and systems for providing telephony services and enforcing policies in a communication network
EP1879332A1 (fr) * 2006-07-12 2008-01-16 France Télécom Procede et systeme de gestion d'une transmission securisee
CN101083660A (zh) * 2007-05-30 2007-12-05 北京润汇科技有限公司 基于会话控制的动态地址分配协议的ip网认证鉴权方法
CN101188495B (zh) * 2007-12-04 2010-08-25 兆日科技(深圳)有限公司 一种实现强口令认证方式的安全系统及方法
JP5405986B2 (ja) * 2008-11-26 2014-02-05 パナソニック株式会社 ソフトウェア更新システム、管理装置、記録媒体及び集積回路
US8738932B2 (en) * 2009-01-16 2014-05-27 Teleputers, Llc System and method for processor-based security
CN101894094B (zh) * 2009-05-21 2014-10-15 鸿富锦精密工业(深圳)有限公司 客户端管理系统
JP5772031B2 (ja) * 2011-02-08 2015-09-02 富士通株式会社 通信装置およびセキュアモジュール
US9722973B1 (en) * 2011-03-08 2017-08-01 Ciphercloud, Inc. System and method to anonymize data transmitted to a destination computing device
US8819768B1 (en) * 2011-05-03 2014-08-26 Robert Koeten Split password vault
US9026784B2 (en) * 2012-01-26 2015-05-05 Mcafee, Inc. System and method for innovative management of transport layer security session tickets in a network environment
US9032520B2 (en) * 2012-02-22 2015-05-12 iScanOnline, Inc. Remote security self-assessment framework
KR101944010B1 (ko) 2012-02-24 2019-01-30 삼성전자 주식회사 애플리케이션의 변조 감지 방법 및 장치
KR101436202B1 (ko) 2012-05-31 2014-09-01 주식회사 엘지씨엔에스 모바일 보안 관리 방법 및 그를 위한 모바일 보안 관리 시스템
EP2690450B1 (en) * 2012-07-27 2014-07-09 ABB Technology AG A device for measuring the direct component of alternating current
KR101948285B1 (ko) * 2012-08-17 2019-02-14 에스케이플래닛 주식회사 결제 서비스를 위한 보안응용모듈 관리 시스템 및 방법
KR20140071744A (ko) * 2012-12-04 2014-06-12 한국전자통신연구원 스마트 통신단말을 위한 보안정책 협상 기반의 차등화된 보안제어 방법
US20140283038A1 (en) * 2013-03-15 2014-09-18 Shape Security Inc. Safe Intelligent Content Modification
KR101308703B1 (ko) * 2013-04-24 2013-09-13 (주)누리아이엔에스 전자상거래 보안 시스템 및 그 방법
KR102008945B1 (ko) 2013-04-26 2019-08-08 에스케이플래닛 주식회사 공용 단말 장치 보안을 위한 시스템 및 방법
US9591003B2 (en) * 2013-08-28 2017-03-07 Amazon Technologies, Inc. Dynamic application security verification
KR101451323B1 (ko) * 2014-02-10 2014-10-16 주식회사 락인컴퍼니 애플리케이션 보안 시스템, 보안 서버, 보안 클라이언트 장치 및 기록매체

Also Published As

Publication number Publication date
US10867050B2 (en) 2020-12-15
KR20160110276A (ko) 2016-09-21
EP3270319A1 (en) 2018-01-17
KR101799366B1 (ko) 2017-11-22
CN107408166B (zh) 2021-08-10
US10867049B2 (en) 2020-12-15
EP3270317A1 (en) 2018-01-17
CN107408179B (zh) 2021-05-11
JP2018509723A (ja) 2018-04-05
KR101756692B1 (ko) 2017-07-12
EP3270318A4 (en) 2018-11-07
EP3270319B1 (en) 2022-02-16
US20180007082A1 (en) 2018-01-04
EP3270317B1 (en) 2022-02-02
US10867048B2 (en) 2020-12-15
JP2018511133A (ja) 2018-04-19
CN107408166A (zh) 2017-11-28
KR20160110275A (ko) 2016-09-21
JP2018511899A (ja) 2018-04-26
JP6654651B2 (ja) 2020-02-26
EP3270318A1 (en) 2018-01-17
EP3270319A4 (en) 2018-11-07
EP3270318B1 (en) 2020-06-24
US20180012025A1 (en) 2018-01-11
EP3270317A4 (en) 2018-11-07
KR20160110274A (ko) 2016-09-21
CN107431705B (zh) 2021-05-11
CN107408179A (zh) 2017-11-28
CN107431705A (zh) 2017-12-01
US20180004940A1 (en) 2018-01-04
JP6654652B2 (ja) 2020-02-26
KR101969481B1 (ko) 2019-04-16

Similar Documents

Publication Publication Date Title
JP6663937B2 (ja) 動的なセキュリティーモジュールサーバー装置及びその駆動方法
US10334083B2 (en) Systems and methods for malicious code detection
CN105934927B (zh) 针对跨安全边界的sdn api调用的动态过滤
KR102511030B1 (ko) 검증 정보 업데이트 방법 및 장치
KR101700552B1 (ko) 보안 운영 체제 환경으로의 콘텍스트 기반 전환
WO2016029595A1 (zh) 开放平台的调用方法、装置、设备及非易失性计算机存储介质
US8782410B2 (en) Avoiding padding oracle attacks
EP3149882A1 (en) Secure mobile framework with operating system integrity checking
US11558365B1 (en) Multi-second factor authentication
US10311240B1 (en) Remote storage security
WO2021084220A1 (en) Iterative key generation for constrained devices
US20150170150A1 (en) Data verification
TW201633205A (zh) 用於惡意程式碼檢測之系統及方法
WO2016148471A1 (ko) 다이나믹 보안모듈 서버장치 및 그 구동방법
WO2016148472A1 (ko) 다이나믹 보안모듈 단말장치 및 그 구동방법
EP4111338A1 (en) Code integrity protection in devices having limited computing resources

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20171108

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20180302

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20180302

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180830

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180904

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20181203

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190521

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190819

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200204

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200217

R150 Certificate of patent or registration of utility model

Ref document number: 6663937

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250