KR100871679B1 - Method for providing the educational virtual os environment using the security kernel - Google Patents

Method for providing the educational virtual os environment using the security kernel Download PDF

Info

Publication number
KR100871679B1
KR100871679B1 KR1020060131824A KR20060131824A KR100871679B1 KR 100871679 B1 KR100871679 B1 KR 100871679B1 KR 1020060131824 A KR1020060131824 A KR 1020060131824A KR 20060131824 A KR20060131824 A KR 20060131824A KR 100871679 B1 KR100871679 B1 KR 100871679B1
Authority
KR
South Korea
Prior art keywords
user
file
security
virtual
environment
Prior art date
Application number
KR1020060131824A
Other languages
Korean (ko)
Other versions
KR20080057916A (en
Inventor
김기현
김상철
Original Assignee
주식회사 레드게이트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 레드게이트 filed Critical 주식회사 레드게이트
Priority to KR1020060131824A priority Critical patent/KR100871679B1/en
Publication of KR20080057916A publication Critical patent/KR20080057916A/en
Application granted granted Critical
Publication of KR100871679B1 publication Critical patent/KR100871679B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6227Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 하나의 시스템에 대해 사용자별로 다른 시스템으로 보이도록 보안 커널을 이용하여 교육용 가상운영체제 환경을 제공하기 위한 보안 커널을 이용한 교육용 가상운영체제 환경 제공 방법에 관한 것으로, 보안커널을 이용하여 사용자와 파일시스템에 보안속성을 부여하고 사용자에게 자신의 프로세스와 파일 그리고 시스템의 프로세스와 파일로의 접근만 허용되며 다른 사용자의 프로세스와 파일로의 접근은 통제되게 함으로써 시스템에 자신만이 있는 것으로 보이도록 가상시스템 환경을 구성하며 사용자에게 root 권한을 부여하더라도 사용자별로 구별되며 파일 변경 시 커널 레벨에서 리다이렉션을 이용하여 복사된 파일로 경로를 변경하여 처리함으로써 원래의 환경이 보존되도록 하는 보안 커널을 이용한 교육용 가상운영체제 환경 제공 방법에 관한 것이다. The present invention relates to a method for providing a virtual operating system environment for education using a secure kernel for providing a virtual operating system environment for education using a security kernel so that each system is viewed as a different system for each user. A virtual system that grants security attributes to the system, allows the user to access only his or her own processes and files, and processes and files of the system, and controls access to other users' processes and files. Educational virtual operating system environment using the secure kernel that makes the original environment by configuring the environment and distinguishing by user even if the user is given root authority and changing the path to the copied file by using redirection at the kernel level. offer It is about a method.

가상운영체제, 보안커널, 파일시스템, 보안역할, 보안카테고리 Virtual operating system, security kernel, file system, security role, security category

Description

보안 커널을 이용한 교육용 가상운영체제 환경 제공 방법{METHOD FOR PROVIDING THE EDUCATIONAL VIRTUAL OS ENVIRONMENT USING THE SECURITY KERNEL}METHOOD FOR PROVIDING THE EDUCATIONAL VIRTUAL OS ENVIRONMENT USING THE SECURITY KERNEL}

도 1은 본 발명의 보안커널을 이용한 교육용 가상운영체제 환경 제공 방법을 구현하기 위한 전체 시스템 구성도이다.1 is a block diagram of an overall system for implementing a method for providing an educational virtual operating system environment using the security kernel of the present invention.

도 2는 본 발명의 보안 커널을 이용한 교육용 가상운영체제 환경 제공 방법의 전체 순서도이다. 2 is a flowchart illustrating a method for providing an educational virtual operating system environment using the secure kernel of the present invention.

도 3은 사용자 보안역할이다.3 is a user security role.

도 4는 가상운영체제에서의 파일시스템 구조도이다.4 is a structural diagram of a file system in a virtual operating system.

도 5는 파일시스템 및 프로세스에 대한 접근 구조도이다.5 is an access structure diagram for a file system and a process.

도 6은 파일시스템 리다이렉션 및 접근구조도이다.6 is a file system redirection and access structure diagram.

도 7은 파일시스템 보안속성 테이블이다.7 is a file system security attribute table.

도 8은 에뮬레이터 처리 순서도이다.8 is an emulator processing flowchart.

삭제delete

도 9는 프로세스 보안속성 테이블이다.
도 10은 프로세스 통제 처리 순서도이다.9 is a process security attribute table.
10 is a process control processing flowchart.

도 11은 파일시스템 통제 처리 순서도이다. 11 is a file system control processing flowchart.

*도면의 주요부분에 대한 설명** Description of the main parts of the drawings *

101 : 사용자 보안속성 설정부 102 : 파일시스템 보안속성 설정부101: user security attribute setting unit 102: file system security attribute setting unit

103 : 에뮬레이터 처리부 104 : 시스템콜 제어부103: emulator processing unit 104: system call control unit

105 : 프로세스 통제부 106 : 파일시스템 통제부105: process control unit 106: file system control unit

107 : 사용자 보안속성 DB 108 : 프로세스 보안속성 테이블107: User Security Attributes DB 108: Process Security Attributes Table

109 : 파일시스템 보안속성 테이블109: Filesystem Security Attribute Table

본 발명은 하나의 시스템 상에서 여러 사용자가 하나의 파일에 대하여 동시에 여러 작업을 하도록 하는 보안 커널을 이용한 교육용 가상운영체제 환경 제공 방법에 관한 것이다. The present invention relates to a method for providing a virtual operating system environment for education using a secure kernel that allows multiple users to simultaneously perform multiple operations on a file on a system.

하나의 시스템에서 여러 사용자가 하나의 파일에 대하여 동시에 여러 작업을 하기 어려우며 관리자 권한을 여러 사용자에게 부여하기 어려움이 발생한다. 관리자 권한을 주어 교육할 경우 1인당 하나의 시스템이 필요하며 교육이 끝난 후 시스템 환경이 바뀌어 다시 복원해야 하는 문제가 발생한다.It is difficult for multiple users to work on a file at the same time on one system, and it is difficult to give administrator rights to multiple users. When training with administrator authority, one system is needed per person, and the system environment is changed after training and needs to be restored.

이런 단점을 극복하기 위하여 가상화 기술이 사용된다. VMWare와 같은 가상화 기술은 1대의 시스템 상에 여러 개의 운영체제를 동시에 동작시킨다. To overcome this disadvantage, virtualization technology is used. Virtualization technologies such as VMWare run multiple operating systems simultaneously on one system.

그러나 관리자 권한으로 교육하기 위해서는 1인당 하나의 운영체제가 필요하 며 상기 가상화 기술은 시스템 규모 및 성능에 따라 설치할 수 있는 운영체제의 수가 제한되므로 교육을 위한 사용자 수에 제한을 받는다.However, in order to educate as an administrator, one operating system is required per person, and the virtualization technology is limited by the number of users for training because the number of operating systems that can be installed is limited according to system size and performance.

상기와 같은 문제점을 해결하기 위한 본 발명의 목적은, 하나의 운영체제에서 보안 커널을 이용하여 사용자별로 독자적인 시스템을 사용하는 것처럼 보이도록 가상운영체제 환경을 제공하는 것이다.An object of the present invention for solving the above problems is to provide a virtual operating system environment so that it seems to use a unique system for each user by using a secure kernel in one operating system.

또한 본 발명이 이루고자 하는 다른 목적은, 가상화 기술에 의해 구성된 운영체제의 수와 상관없이 하나의 운영체제에서 사용자가 복수인인 경우 각 사용자에게 일대일로 대응되는 시스템을 제공하도록 가상운영체제 환경을 제공하는 것이다.In addition, another object of the present invention is to provide a virtual operating system environment to provide a one-to-one corresponding system to each user when a plurality of users in one operating system irrespective of the number of operating systems configured by the virtualization technology.

본 발명이 이루고자 하는 또 다른 목적은, 여러 사용자에 대해 root 권한으로 시스템 환경을 교육하더라도 원래의 시스템 환경이 보존되고 교육 후 쉽게 복원할 수 있도록 가상운영체제 환경을 제공하는 것이다.Another object of the present invention is to provide a virtual operating system environment so that the original system environment is preserved and easily restored after the training even if the system environment is educated with root authority for various users.

도 1은 본 발명에서 보안 커널을 이용한 가상운영체제 환경 제공 방법을 나타낸 전체 시스템 구성도이다.1 is a diagram illustrating an overall system showing a method for providing a virtual operating system environment using a secure kernel in the present invention.

본 발명에 따른 보안 커널을 이용한 가상운영체제 환경 제공 방법을 구현하기 위해, 상기 보안커널은 사용자 보안속성 설정부(101), 파일시스템 보안속성 설정부(102), 에뮬레이터처리부(103), 시스템콜 제어부(104), 프로세스 통제부(105), 파일시스템 통제부(106)를 포함하여 구성하고 있다.In order to implement a method for providing a virtual operating system environment using a secure kernel according to the present invention, the security kernel includes a user security attribute setting unit 101, a file system security attribute setting unit 102, an emulator processing unit 103, and a system call control unit. It comprises the 104, the process control part 105, and the file system control part 106. As shown in FIG.

상기 사용자 보안속성 설정부(101)는 시스템 사용자에 대한 보안속성을 정의하여 사용자 보안속성 DB(107)에 저장한다.The user security attribute setting unit 101 defines a security attribute for a system user and stores the security attribute in the user security attribute DB 107.

상기 사용자 보안속성은 사용자 정보, 보안역할, 사용자별 카테고리를 포함하여 구성된다. The user security attribute includes a user information, a security role, and a category for each user.

상기 시스템 보안관리자는 파일시스템 보안속성 설정부(102)에서 파일시스템 보안속성을 설정, 변경, 삭제하고, 설정된 파일시스템 보안속성 테이블(109)을 커널에 저장한다The system security manager sets, changes, and deletes file system security attributes in the file system security attribute setting unit 102 and stores the set file system security attribute table 109 in the kernel.

상기 에뮬레이션 처리부(103)는 실제 시스템 정보를 제공하지 않고 가상환경에 필요한 시스템 정보만을 제공하거나 시스템의 오작동을 막기 위하여 관련 명령어들이 에뮬레이터로 처리되도록 처리한다.The emulation processor 103 does not provide actual system information, but provides only system information necessary for a virtual environment or processes related instructions to be processed by an emulator in order to prevent malfunction of the system.

상기 시스템콜 제어부(104)에서는 접근통제에 관련된 시스템콜만 필터링하는 역할을 수행한다. The system call control unit 104 performs a role of filtering only system calls related to access control.

상기 프로세스 통제부(105)는 새로이 생성된 프로세스에 대하여 보안속성을 설정하고 다른 사용자의 작업을 간섭하지 못하도록 프로세스에 대한 통제 기능을 제공한다.The process control unit 105 sets a security attribute for the newly created process and provides a control function for the process so as not to interfere with another user's work.

상기 프로세스 통제부(105)에서는 새로이 생성된 프로세스가 발생하면 프로세스 사용자 정보를 기반으로 사용자 보안속성 DB(107)를 검색하고 이를 이용하여 프로세스 보안속성 테이블(108)을 구성한다.When the newly generated process occurs, the process control unit 105 searches the user security attribute DB 107 based on the process user information, and configures the process security attribute table 108 by using the same.

상기 프로세스 보안속성 테이블(108)은 보안역할 필드(801), 제어 필 드(802), 사용자별 카테고리 필드(804)의 3필드로 구성된다.The process security attribute table 108 includes three fields: a security role field 801, a control field 802, and a category field 804 for each user.

도 2는 본 발명의 보안 커널을 이용한 가상운영체제 환경 제공 방법의 전체 순서도를 통해 전체적인 순서를 설명함과 동시에, 이와 함께 첨부된 도 3~도 9를 통해 그 세부적인 순서 및 설명을 하도록 한다. 2 illustrates the overall sequence through the entire flow chart of the method for providing a virtual operating system environment using the secure kernel of the present invention, and the detailed sequence and description thereof will be described with reference to FIGS. 3 to 9.

도 2에서 보는 바와 같이 우선, 시스템 보안관리자는 사용자 보안속성 설정부(101)에서 사용자 보안속성을 설정, 변경, 삭제하고 설정된 보안속성을 커널의 사용자 보안속성 DB(107)에 저장한다.(a)As shown in FIG. 2, the system security manager sets, changes, and deletes user security attributes in the user security attribute setting unit 101 and stores the set security attributes in the user security attributes DB 107 of the kernel. )

상기 (a) 단계에서 설정되는 사용자 보안속성은 사용자 정보, 보안역할, 사용자별 카테고리를 포함하여 구성하게 되는데, 이에 따라 실제 운영체제 환경 관리와 가상운영체제 환경의 관리를 위하여 사용자별로 분리된 역할과 카테고리를 정의한다.The user security attribute set in step (a) is configured to include user information, security role, and category for each user. Accordingly, roles and categories separated for each user are managed to manage the actual OS environment and the virtual OS environment. define.

도 3은 사용자 보안속성 중 보안역할과 카테고리를 정의하고 있다. 3 defines security roles and categories among user security attributes.

상기 보안역할은 보안관리자(501), 가상사용자(502), 시스템사용자(503)로 구분된다. The security role is divided into a security manager 501, a virtual user 502, and a system user 503.

먼저 상기 보안관리자(501)는 최상위 root 역할을 수행하는 사용자로 별도로 인가된 보안관리자이며, 상기 보안관리자(501)는 실제 운영체제 환경을 관리하기 위한 사용자이다. First, the security manager 501 is a user who is separately authorized as a user performing a top-level root role, and the security manager 501 is a user for managing an actual operating system environment.

상기 가상사용자(502)는 가상운영체제를 사용하는 사용자로 서비스를 이용하는 교육 사용자로 정의되며, 사용자별로 분리된 카테고리를 부여받으며 root로 권한 이동할 경우에도 분리된 카테고리에 의해 사용자별로 구분된다. The virtual user 502 is defined as an education user who uses a service as a user who uses a virtual operating system. The virtual user 502 is given a separate category for each user.

상기 시스템사용자(503)는 시스템 자체 운영 및 서비스를 위해 필요한 계정의 시스템 사용자로 정의되며 사용자라는 의미보다는 시스템 서비스로 볼 수 있으며 서비스를 이용하는 일반사용자인 사람은 이에 속하지 않는다.The system user 503 is defined as a system user of an account required for system operation and service, and can be viewed as a system service rather than a user, and a person who is a general user who uses the service does not belong to this.

상기 보안관리자에 의해 상기 사용자 보안속성이 저장된 후, 도 2에서 보는 바와 같이, 시스템 보안관리자는 파일시스템 보안속성 설정부(102)에서 파일시스템 보안속성을 설정, 변경, 삭제하고 설정된 상기 파일시스템 보안속성 테이블(109)을 커널에 저장한다.(b) After the user security attributes are stored by the security administrator, as shown in FIG. 2, the system security administrator sets, changes, and deletes the file system security attributes in the file system security attribute setting unit 102 and sets the file system security. The attribute table 109 is stored in the kernel. (B)

도 4는 본 발명의 가상운영체제 환경에서의 파일시스템 구조를 나타내고 있다. 4 illustrates a file system structure in a virtual operating system environment of the present invention.

상기 가상운영체제의 파일시스템은 크게 사용자 영역(201)과 시스템 영역(202)으로 구분된다. The file system of the virtual operating system is largely divided into a user area 201 and a system area 202.

상기 사용자 영역(201)은 사용자들이 마음대로 읽기, 쓰기, 실행을 할 수 있는 영역으로 사용자별 홈디렉토리를 의미한다. The user area 201 is an area where users can read, write, and execute freely, and means a home directory for each user.

사용자 영역을 제외한 나머지 영역을 시스템 영역(202)으로 두며 기본적으로 읽기와 실행만 가능하도록 한다.The remaining area excluding the user area is left as the system area 202, and basically only read and execute are possible.

상기 시스템 영역(202)에서 쓰기를 금지하는 것은 시스템의 변형을 막기 위한 것이며 파일 변경이 필요한 부분에 대하여 별도의 쓰기 가능 영역(203)을 둔다. The prohibition of writing in the system area 202 is intended to prevent the system from being deformed and has a separate writable area 203 for the part requiring the file change.

쓰기 가능 영역(203)의 파일을 리다이렉션 목록으로 유지되며 리다이렉션이 선언된 파일일 경우 원본 파일을 그대로 유지하고 복사된 파일로 리다이렉션하여 쓰기가 이루어지도록 한다. The file in the writable area 203 is maintained as a redirection list, and in the case of a file in which a redirection is declared, the original file is kept as it is and the file is redirected to the copied file so that writing is performed.

시스템에서 shutdown, reboot, halt 명령은 시스템 및 서비스를 중단할 수 있으며 이를 방지하기 위해 별도의 실행 통제 영역(204)을 둔다. The shutdown, reboot, and halt commands in a system can halt the system and services, and have a separate execution control area 204 to prevent this.

상기 실행 통제 영역(204)은 명령어 통제 목록으로 관리한다.The execution control area 204 is managed by the command control list.

도 5는 본 발명의 가상운영체제 환경에서의 프로세스 및 파일시스템 접근 구조를 나타낸다. 5 shows a process and file system access structure in the virtual operating system environment of the present invention.

본 발명에서 모든 프로세스 및 파일시스템은 보안커널에서 사용하는 보안속성으로 구분되고 통제된다. In the present invention, all processes and file systems are classified and controlled by security attributes used in the security kernel.

모든 사용자는 자신의 프로세스와 파일 그리고 시스템의 프로세스와 파일로의 접근만 허용되며 다른 사용자의 프로세스와 파일로의 접근은 통제된다. All users are allowed access only to their own processes and files, and to processes and files on the system, and to other users' processes and files.

사용자가 자신의 프로세스와 파일에 대해서는 모든 접근 및 통제가 가능하지만 시스템 프로세스와 파일로의 접근은 가능하나 행위는 통제된다. 사용자는 시스템 프로세스를 볼 수 있지만 중지할 수 없으며 파일시스템으로 접근은 도 4에 나타난 시스템 영역으로의 접근규칙에 따른다.Users can access and control all of their processes and files, but they can access system processes and files, but their behavior is controlled. The user can see the system processes but cannot stop them, and access to the file system follows the access rules to the system area shown in FIG.

도 6은 본 발명의 파일시스템에 대한 리다이렉션 및 접근 구조를 나타낸다.6 shows a redirection and access structure for the file system of the present invention.

쓰기 가능 영역(203)의 파일들은 리다이렉션 플래그가 선언되며 원본 파일이 유지되고 사용자별로 복사된 파일을 갖는다. The files in the writable area 203 have a file in which a redirection flag is declared and the original file is maintained and copied for each user.

사용자가 리다이렉션이 선언된 파일에 접속하고자 할 경우 보안 커널에서 원본 파일로의 접근 경로를 바꾸어 사용자별 복사된 파일로 접근하도록 한다. When a user wants to access a file for which a redirect has been declared, change the access path from the security kernel to the original file to access the copied file for each user.

도 7은 가상운영체제 환경에서의 파일시스템 보안속성 테이블 구조를 나타낸다. 7 shows a file system security attribute table structure in a virtual operating system environment.

상기 파일시스템 보안속성 테이블은 보안역할 필드(601), 리다이렉션 및 명령어 통제 필드(602), 사용자별 카테고리 필드(603) 등 3필드로 구성된다. The file system security attribute table consists of three fields: a security role field 601, a redirection and command control field 602, and a category field 603 for each user.

상기 보안역할 필드(601)에는 파일시스템에 대한 보안역할(보안관리자, 가상사용자, 시스템사용자) 정보가 저장되어 있다.The security role field 601 stores security role (security manager, virtual user, system user) information on the file system.

상기 사용자별 카테고리 필드(603)에 가상사용자별 카테고리가 저장된다. The category for each virtual user is stored in the category category for each user.

상기 리다이렉션 및 명령어 통제 필드(602)에는 쓰기 가능 영역(203)의 파일임을 나타내기 위해 리다이렉션 플래그를 선언하고 실행 통제 영역(204)의 파일임을 나타내기 위해 실행 통제 플래그를 선언한다.The redirection and command control field 602 declares a redirection flag to indicate that it is a file in the writable area 203 and an execution control flag to indicate that it is a file in the execution control area 204.

도 2에서 보는 바와 같이, 상기 사용자 보안속성과 파일시스템 보안속성 테이블이 작성되어 저장된 후, 사용자가 명령어를 실행하면 에뮬레이터 처리부(103)는 가상 환경을 제공하기 위한 명령어로 변환하여 실행한다.(c) As shown in FIG. 2, after the user security attributes and the file system security attributes table are created and stored, when a user executes a command, the emulator processing unit 103 converts and executes the command to provide a virtual environment. )

상기 에뮬레이션 처리부(103)에서는 실제 시스템 정보를 제공하지 않고 가상환경에 필요한 시스템 정보만을 제공하거나 시스템의 오작동을 막기 위하여 관련 명령어들이 에뮬레이터로 처리된다.The emulation processing unit 103 does not provide actual system information but provides only system information necessary for a virtual environment or related instructions are processed by an emulator to prevent a system malfunction.

도 8은 에뮬레이터의 명령어 처리 순서도를 나타낸다. 8 shows an instruction processing flowchart of the emulator.

사용자가 명령어를 실행하면 상기 명령어에 대해 에뮬레이션 처리부(103)에서는 에뮬레이터 된 명령어인지를 검사한다(701). When the user executes an instruction, the emulation processor 103 checks whether the instruction is an emulated instruction, in step 701.

에뮬레이터 된 명령어일 경우 에뮬레이터 명령어를 수행(702)하고 에뮬레이터된 명령어가 아닌 경우 시스템 명령어를 수행(703)한다.If it is an emulated instruction, it performs an emulator instruction (702), and if it is not an emulated instruction, it performs a system instruction (703).

도 2에서 보는 바와 같이, (d)명령어가 실행되면 시스템콜이 발생하고 시스 템콜 제어부(103)에서 파일시스템 및 프로세스에 대한 시스템콜만을 필터링한다.(d) As shown in FIG. 2, when the (d) command is executed, a system call is generated, and the system call control unit 103 filters only system calls for file systems and processes.

상기 (d) 단계의 시스템콜 제어부(104)에서는 접근통제에 관련된 시스템콜만 필터링하는 역할을 수행한다. The system call control unit 104 of step (d) performs a role of filtering only system calls related to access control.

일반적으로 시스템 또는 사용자에 의하여 응용이 수행될 때 운영체제의 시스템콜이 발생하며 운영체제는 시스템콜이 요청한 기능을 수행한다. In general, when an application is executed by a system or a user, a system call of an operating system occurs, and the operating system performs a function requested by the system call.

본 발명에서 시스템콜 제어부(104)는 운영체제의 시스템콜 중 본 발명에 관련된 기능의 시스템콜을 대치하고 본 발명의 기능?을 수행한 후 운영체제의 시스템콜을 호출한다. In the present invention, the system call control unit 104 replaces the system call of the function related to the present invention among the system calls of the operating system and calls the system call of the operating system after performing the function of the present invention.

본 발명에서 시스템콜 제어부(104)는 운영체제의 시스템콜 중 프로세스 통제 및 파일시스템 접근통제에 관련된 시스템콜을 대치하고 대치된 시스템콜을 수행한 후 원래의 시스템콜을 호출한다. In the present invention, the system call control unit 104 replaces the system call related to process control and file system access control among the system call of the operating system and calls the original system call after performing the replaced system call.

또한 본 발명에서 사용되는 보안정책 및 보안기능 환경설정 등을 위하여 제어시스템 콜이 추가된다.In addition, a control system call is added for security policy and security function environment setting used in the present invention.

도 2에서 보는 바와 같이, 상기 (c)단계에 의해 새로운 프로세스가 발생되면, 상기 프로세스 통제부(105)에서는 사용자 보안속성 DB(107) 정보를 이용하여 프로세스 보안속성 테이블(108)을 구성하고 다른 사용자의 프로세스를 간섭하지 않도록 통제한다.(e) As shown in FIG. 2, when a new process is generated by the step (c), the process control unit 105 configures the process security attribute table 108 by using the user security attribute DB 107 information, and the other process. (E) Control not to interfere with user processes.

도 10은 상기 프로세스 보안속성 테이블의 구성과 이에 따른 프로세스 통제 순서도를 나타낸다.10 shows a configuration of the process security attribute table and a process control flowchart accordingly.

상기 시스템콜 제어부에서 시스템콜이 넘어오면 새로운 프로세스가 생성되었는지 검사한다(901). The system call controller checks whether a new process is generated when the system call passes (901).

이때, 새로운 프로세스인 경우 사용자 로그인인지 검사하며(902), 새로운 프로세스가 아닌 경우 즉, 기존에 프로세스 보안속성이 부여되어 있는 프로세스인 경우 프로세스 정책 위반 검사를 위하여 프로세스 보안속성 테이블로부터 프로세스 속성 정보를 수집(905)한다.In this case, the process checks whether the user is a user login (902). If the process is not a new process, that is, a process to which a process security attribute is granted, the process attribute information is collected from the process security attribute table for the process policy violation check. (905).

또한 사용자 로그인인 경우 프로세스 보안속성을 설정(904)하고 사용자 로그인이 아닌 다른 행위에 의한 프로세스 생성일 경우 상위 프로세스의 보안속성을 상속(903)한다. 상위 프로세스의 보안속성을 상속한다는 것은 사용자가 로그인할 경우 보안속성을 부여하고 사용자가 로그아웃 할 때까지 보안속성의 변경 없이 계속 상속됨을 의미한다.In addition, in the case of a user login, a process security attribute is set (904). In the case of a process generation by an action other than the user login, the security attribute of the upper process is inherited (903). Inheriting the security attributes of the parent process means that when a user logs in, the security attributes are granted and inherited without changing the security attributes until the user logs out.

사용자 로그인인 경우 프로세스 보안속성을 설정하기 위해 사용자 보안속성 DB를 참조하여 구성되는 프로세스 보안속성 테이블은 도 9와 같다. In the case of a user login, the process security attribute table configured by referring to the user security attribute DB to set the process security attribute is shown in FIG. 9.

상기 프로세스 보안속성 테이블(108)은 보안역할 필드(801), 제어 필드(802), 사용자별 카테고리 필드(804)의 3필드로 구성된다.The process security attribute table 108 includes three fields: a security role field 801, a control field 802, and a category field 804 for each user.

상기 보안역할 필드(801)에는 프로세스의 사용자 역할(보안관리자, 가상사용자, 시스템사용자)을 표현한다. The security role field 801 represents a user role of the process (security manager, virtual user, system user).

상기 제어필드(802)에는 프로세스 통제를 위해 사용된 제어 정보를 저장한다. The control field 802 stores control information used for process control.

상기 사용자별 카테고리 필드(803)에는 가상사용자에 대해 root 상태에서도 사용자별로 구분할 수 있는 카테고리 정보가 저장된다.The category field 803 for each user stores category information that can be classified for each user even in a root state for the virtual user.

상기 프로세스 보안속성 테이블이 설정된 다음, 프로세스에 대한 사용자 정보, 보안속성 정보, 행위 정보 등을 수집한다(905).After the process security attribute table is set, user information, security attribute information, and behavior information about the process are collected (905).

상기 수집된 프로세스 정보를 기반으로 프로세스 접근정책을 위반하였는지 검증한다(906).Based on the collected process information, it is verified whether the process access policy is violated (906).

프로세스 접근정책은 사용자가 root 권한에서도 시스템 프로세스를 중지하지 못하도록 하며 다른 사용자의 프로세스에 접근하지 못하도록 설정된다. 프로세스 접근정책을 위반하였을 경우 프로세스 중지 등 대응행위를 수행하고 위반하지 않았을 경우 파일시스템 통제부를 수행한다.The process access policy prevents users from stopping system processes even under root privileges and prevents other users from accessing processes. If the process access policy is violated, the countermeasures such as process suspension are performed. If the process access policy is not violated, the file system control unit is executed.

도 2에서 보는 바와 같이, 파일시스템 통제부에서(106)는 시스템 파일을 보호하고 다른 사용자의 파일에 접근하지 않도록 통제한다.(f) As shown in Fig. 2, the file system control unit 106 controls the system file and controls not to access another user's file. (F)

도 11은 파일시스템 통제 순서도를 나타낸다. 11 shows a file system control flowchart.

상기 시스템콜 제어부에서 시스템콜이 넘어오면 먼저 리다이렉션 파일인지 검사한다(1001).When the system call is over, the system call controller checks whether it is the redirection file (1001).

상기 리다이렉션 파일은 쓰기 가능 영역의 파일로 리다이렉션이 선언되어 있으면 복사된 파일로의 경로를 변경한다(1002). If the redirection file is a file in the writable area and the redirection is declared, the path to the copied file is changed (1002).

다음으로 명령어 통제 목록의 파일인지 검사한다(1003). 명령어 통제 목록에 있는 파일일 경우 프로세스를 중지한다.Next, it is checked whether the file is in the command control list (1003). If the file is on the command control list, stop the process.

파일시스템 접근정책을 비교하기 위하여 프로세스와 파일시스템에 대한 속성 정보를 수집한다(1004). 프로세스와 파일시스템 속성 정보로는 사용자 정보와 보안 속성 정보로 구성된다. In order to compare the file system access policy, attribute information about the process and the file system is collected (1004). Process and file system attribute information consists of user information and security attribute information.

프로세스와 파일시스템에 대한 속성정보가 수집되면 이를 기반으로 파일시스템 접근정책 위반인지 검사한다(1005). When attribute information about the process and the file system are collected, the process checks whether the file system access policy is violated (1005).

시스템 영역의 파일일 경우 읽기와 실행만을 허용하고 리다이렉션 파일일 경우만 쓰기를 허용한다. 또한 사용자 영역의 파일일 경우 해당 소유자인 경우에만 읽기, 쓰기, 실행을 허용하고 다른 사용자 영역의 파일일 경우 접근을 거부한다. 파일시스템 접근정책 위반인 경우 프로세스 중지 등 대응행위를 수행하고 위반하지 않았을 경우 원래의 시스템콜을 수행한다.Only read and execute files in the system area are allowed, and writes are allowed only in the redirect file. Also, if the file is in the user area, read, write, and execute is allowed only if the owner is the file. If the file is in another user area, access is denied. If the file system access policy is violated, countermeasures such as process stop are performed. If the file system is not violated, the original system call is executed.

앞서 상세히 설명한 바와 같이 본 발명의 보안 커널을 이용한 가상운영체제 환경 제공 방법은 하나의 운영체제에서 보안 커널을 이용하여 사용자별로 독자적인 시스템을 사용하는 것처럼 보이도록 가상운영체제 환경을 제공하며, 가상화 기술에 의해 구성된 운영체제의 수와 상관없이 하나의 운영체제에서 사용자가 복수명인 경우 그에 각각 일대일로 대응되는 시스템으로 보이도록 가상운영체제 환경을 제공함으로써, 여러 사용자에 대해 root 권한으로 시스템 환경을 교육하더라도 원래의 시스템 환경이 보존되고 교육 후 쉽게 복원할 수 있게 된다. As described in detail above, the method for providing a virtual operating system environment using the secure kernel of the present invention provides a virtual operating system environment so that a user can use a unique system for each user by using the secure kernel in one operating system, and an operating system configured by virtualization technology. By providing a virtual operating system environment so that if there are multiple users in one operating system, regardless of the number of users, the system will be preserved even if the system environment is trained with root privileges for multiple users. It can be easily restored after training.

이상에서 본 발명의 보안 커널을 이용한 가상운영체제 환경 제공 방법에 대한 기술사상을 첨부도면과 함께 서술하였지만 이는 본 발명의 가장 양호한 실시예를 예시적으로 설명한 것이지 본 발명을 한정하는 것은 아니다. 또한, 이 기술분 야의 통상의 지식을 가진 자이면 누구나 본 발명의 기술사상의 범주를 이탈하지 않는 범위 내에서 다양한 변형 및 모방이 가능함은 명백한 사실이다. In the above description, the technical idea of the method for providing a virtual operating system environment using the secure kernel of the present invention has been described with the accompanying drawings. However, the present invention has been described by way of example and is not intended to limit the present invention. In addition, it is obvious that any person skilled in the art can make various modifications and imitations without departing from the scope of the technical idea of the present invention.

Claims (12)

(a)사용자 보안속성 설정부(101)에 의해 사용자 보안속성이 설정, 변경, 삭제하고 설정된 보안속성은 커널의 사용자 보안속성 DB(107)에 저장되는 단계와;(a) setting, changing, and deleting the user security attributes by the user security attribute setting unit 101 and storing the set security attributes in the user security attributes DB 107 of the kernel; (b)파일시스템 보안속성 설정부(102)에 의해 파일시스템 보안속성이 설정, 변경, 삭제하고 설정된 파일시스템 보안속성 테이블(109)이 커널에 저장되는 단계와; (b) setting, changing and deleting the file system security attributes by the file system security attribute setting unit 102 and storing the set file system security attribute table 109 in the kernel; (c)사용자가 실행한 명령어가 에뮬레이터 처리부(103)에 의해 에뮬레이터 처리되어 가상 환경을 제공하기 위한 명령어로 변환되어 실행되는 단계와; (c) emulating the command executed by the user by the emulator processing unit 103 and converting the command into a command for providing a virtual environment; (d)상기 (c)단계의 명령어 실행에 의해 시스템콜이 발생하면, 시스템콜 제어부(103)에 의해 파일시스템 및 프로세스에 대한 시스템콜만이 필터링되는 단계와; (d) when the system call is generated by executing the command of step (c), filtering only the system call for the file system and the process by the system call controller 103; (e)프로세스 통제부(105)가 상기 사용자 보안속성 DB(107)를 이용하여 프로세스 보안속성 테이블(108)을 구성하고 다른 사용자의 프로세스를 간섭하지 않도록 통제하는 단계와;(e) controlling, by the process control unit 105, to configure the process security attribute table 108 using the user security attribute DB 107 and not to interfere with another user's process; (f)파일시스템 통제부(106)에 의해 시스템 파일이 보호되고 다른 사용자의 파일에 접근되지 않도록 통제되는 단계로 구성되는 것을 특징으로 하는 보안 커널을 이용한 가상운영체제 환경 제공 방법.(f) the file system control unit 106, the system file is protected and controlled to prevent access to the files of other users, the virtual operating system environment providing method using a secure kernel, characterized in that the configuration. 제 1항에 있어서, The method of claim 1, 상기 (a) 단계에서 설정되는 사용자 보안속성은 사용자 정보, 보안역할, 사용자별 카테고리를 포함하여 구성되며, 이에 따라 실제 운영체제 환경 관리와 가상운영체제 환경의 관리를 위하여 사용자별로 분리된 역할과 카테고리가 정의되는 것을 특징으로 하는 보안 커널을 이용한 가상운영체제 환경 제공 방법.The user security attribute set in step (a) is configured to include user information, security role, and category for each user. Accordingly, roles and categories separated for each user are defined for actual OS environment management and virtual OS environment management. Method for providing a virtual operating system environment using a secure kernel, characterized in that. 제 1항에 있어서, The method of claim 1, 상기 (b) 단계에서 설정되는 상기 파일시스템 보안속성 테이블은 보안역할 필드(601), 리다이렉션 및 명령어 통제 필드(602), 사용자별 카테고리 필드(603)로 구성되는 것을 특징으로 하는 보안 커널을 이용한 가상운영체제 환경 제공 방법.The file system security attribute table set in step (b) includes a security role field 601, a redirection and command control field 602, and a category field 603 for each user. How to provide operating system environment. 제 2항 혹은 제3항에 있어서, The method according to claim 2 or 3, 상기 사용자 보안속성 및 파일시스템 보안속성 테이블을 구성하는 보안역할과 각 보안역할에 따른 사용자별 카테고리는,The security role constituting the user security attribute and file system security attribute table, and the category for each user according to each security role, 최상위 root 역할을 수행하는 사용자로 별도로 인가된 보안관리자인 보안관리자(501)와; A security manager 501 which is a separately authorized security manager as a user performing a top-level root role; 실제 운영체제 환경을 관리하기 위한 시스템 사용자인 시스템사용자(503)와;A system user 503 which is a system user for managing an actual operating system environment; 가상운영체제를 사용하는 사용자로써, 서비스를 이용하는 교육 사용자로 정의되며, 사용자별로 분리된 카테고리를 부여받으며 root로 권한 이동할 경우에도 분리된 카테고리에 의해 사용자별로 구분되는 상기 가상사용자(502)인 것을 특징으로 하는 보안 커널을 이용한 가상운영체제 환경 제공 방법.A user using a virtual operating system, which is defined as an educational user who uses a service, and is classified as a virtual user 502 divided into categories by a separate category even when a user is given a category divided by user and is authorized to move to root. How to provide a virtual operating system environment using a secure kernel. 제 3항에 있어서, The method of claim 3, wherein 상기 (b)단계의 파일시스템 구조는, The file system structure of step (b) is 가상사용자의 홈디렉토리로 가상사용자 자신만이 읽기, 쓰기, 실행을 행할 수 있는 사용자 영역(201)과; A user area 201 in which only the virtual user can read, write, and execute the home directory of the virtual user; 상기 사용자 영역을 제외한 나머지 시스템 영역으로, 가상 사용자가 읽기와 실행만 가능한 시스템 영역(202)으로 구분되며, It is divided into a system area 202 except for the user area, and which can be read and executed by a virtual user. 상기 시스템 영역(202)은 그 예외 처리를 위하여, 쓰기가 금지된 시스템 영역 중 가상 사용자가 변경할 수 있도록 별도의 쓰기가 가능한 쓰기 가능 영역(203)과, 실행이 허용된 시스템 영역 중 특정 명령어의 실행에 의해 시스템이 중단되는 것을 방지하도록 명령어 통제 목록으로 관리되는 실행 통제 영역(204)으로 구성되어 있는 것을 특징으로 하는 보안 커널을 이용한 가상운영체제 환경 제공 방법.The system region 202 is a writeable region 203 that can be written separately so that a virtual user can change it among the system regions that are prohibited from writing, and executes a specific command among system regions that are allowed to execute. A method for providing a virtual operating system environment using a secure kernel, comprising: an execution control area 204 managed by a command control list to prevent the system from being interrupted by the system. 제 5항에 있어서, The method of claim 5, 상기 쓰기 가능 영역(203)의 파일은 리다이렉션 목록으로 유지되며 리다이렉션이 선언된 파일일 경우 원본 파일을 그대로 유지하고 복사된 파일로 리다이렉션하여 쓰기가 이루어지는 것을 특징으로 하는 보안 커널을 이용한 가상운영체제 환 경 제공 방법.The file in the writable area 203 is maintained as a redirection list, and in the case of a file in which a redirection is declared, the virtual operating system environment using the secure kernel is characterized in that the original file is kept as it is and the write is performed by redirecting to the copied file. Way. 제 3항 혹은 제5항에 있어서, The method according to claim 3 or 5, 상기 리다이렉션 및 명령어 통제 필드(602)는 쓰기 가능 영역(203)의 파일임을 나타내기 위해 리다이렉션 플래그를 선언하고 실행 통제 영역(204)의 파일임을 나타내기 위해 실행 통제 플래그를 선언하는 것을 특징으로 하는 보안 커널을 이용한 가상운영체제 환경 제공 방법.The redirection and command control field 602 declares a redirection flag to indicate that it is a file in the writable area 203 and a execution control flag to indicate that it is a file in the execution control area 204. How to provide virtual operating system environment using kernel. 제 1항에 있어서, The method of claim 1, 상기 (c)단계에 있어서, 에뮬레이터의 명령어 처리 순서는In the step (c), the instruction processing order of the emulator 사용자가 명령어를 실행하면 상기 명령어에 대해 에뮬레이션 처리부(103)에서 에뮬레이터 된 명령어인지를 검사하는 단계와(701); When the user executes the command, checking whether the command is emulated by the emulation processor 103 at step 701; 상기 에뮬레이터 된 명령어일 경우 에뮬레이터 명령어를 수행(702)하는 단계와;Performing (702) an emulator instruction in the case of the emulated instruction; 상기 에뮬레이터된 명령어가 아닌 경우 시스템 명령어를 수행(703)하는 단계로 구성되는 것을 특징으로 하는 보안 커널을 이용한 가상운영체제 환경 제공 방법.The method of providing a virtual operating system environment using the secure kernel, characterized in that the step of performing a system command (703) if not the emulated command. 제 1항에 있어서, The method of claim 1, 상기 (d) 단계에 있어서, 상기 시스템콜 제어부로 시스템콜이 넘어오면 새로운 프로세스가 생성되었는지 검사하는 단계와(901); In the step (d), checking whether a new process is generated when a system call is passed to the system call controller (901); 새로운 프로세스인 경우 사용자 로그인인지 검사하는 단계와(902);Checking whether it is a user login in the case of a new process (902); 사용자 로그인인 경우 사용자 보안속성 DB를 이용하여 프로세스 보안속성 테이블을 설정(904)하는 단계와;Setting 904 a process security attribute table using a user security attribute DB in case of a user login; 사용자 로그인이 아닌 다른 행위-로그인 한 사용자가 명령어 등을 실행하거나 시스템에 의하여 새로운 프로세스가 생성되는 경우-에 의한 프로세스 생성일 경우 상위 프로세스의 보안속성을 상속하는 단계와(903);Inheriting the security attributes of the parent process when the process is created by an action other than a user login—when a user executes a command or the like or a new process is created by the system—903; 상기 프로세스 보안속성 테이블이 설정된 후, 프로세스 정보를 수집하는 단계와(905);Collecting (905) process information after the process security attribute table is set; 상기 수집된 프로세스 정보를 기반으로 프로세스 접근정책을 위반하였는지 검증하는 단계(906)로 구성되며, 프로세스 접근정책을 위반하였을 경우 해당 대응행위를 수행하고 위반하지 않았을 경우 파일시스템 통제부를 수행하는 것을 특징으로 하는 보안 커널을 이용한 가상운영체제 환경 제공 방법.And a step 906 of verifying whether the process access policy is violated based on the collected process information. If the process access policy is violated, a corresponding action is performed, and if not, a file system control unit is performed. How to provide a virtual operating system environment using a secure kernel. 제 9항에 있어서, 상기 프로세스 보안속성 테이블(108)은 10. The process security attribute table 108 according to claim 9, wherein 역할보안관리자, 가상사용자, 시스템사용자로 구성되는 보안역할 필드(801)와;A security role field 801 consisting of a role security manager, a virtual user, and a system user; 프로세스를 통제하도록 사용된 제어 정보를 저장하고 있는 제어필드(802)와;A control field 802 that stores control information used to control the process; 가상사용자에 대해 root 상태에서도 사용자별로 구분할 수 있는 카테고리 정보가 저장되어 있는 사용자별 카테고리 필드(803)로 구성되는 것을 특징으로 하는 보안 커널을 이용한 가상운영체제 환경 제공 방법.A method for providing a virtual operating system environment using a secure kernel, comprising a category field 803 for each user, in which category information that can be distinguished for each user even in a root state is stored for the virtual user. 제 1항에 있어서,The method of claim 1, 상기 (f)단계의 파일시스템 통제 순서는, The file system control sequence of step (f) is 상기 시스템콜 제어부에서 파일시스템 통제부(106)로 시스템콜이 넘어오면 리다이렉션 파일인지 검사하는 단계와(1001);Checking whether the system call controller redirects the file system to the file system controller 106 and whether the redirect file is a redirection file (1001); 상기 리다이렉션 파일이 쓰기 가능 영역의 파일로 리다이렉션이 선언되어 있으면 복사된 파일로의 경로를 변경하는 단계와(1002); Changing a path to a copied file if a redirect is declared as a file in a writable area (1002); 명령어 통제 목록의 파일인지 검사하여 상기 명령어 통제 목록에 있는 파일일 경우 프로세스를 중지하는 단계와(1003);Checking whether the file is in the command control list and stopping the process if the file is in the command control list (1003); 상기 명령어 통제 목록에 있는 파일이 아닐 경우, 파일시스템 접근정책을 비교하기 위하여 프로세스와 파일시스템에 대한 속성 정보를 수집하는 단계와(1004);If it is not a file in the command control list, collecting attribute information for the process and the filesystem to compare a filesystem access policy (1004); 수집된 프로세스와 파일시스템에 대한 속성정보로 파일시스템 접근정책 위반인지 검사하는 단계(1005)로 구성되어 있는 것을 특징으로 하는 보안 커널을 이용한 가상운영체제 환경 제공 방법.Method (1005) of providing a virtual operating system environment, characterized in that it comprises a step (1005) of checking whether the file system access policy violations with the collected information about the process and the file system. 상기 11항에 있어서, The method of claim 11, 상기 파일시스템 접근정책 위반인지 검사하는 단계(1005)에서, In step 1005, checking whether the file system access policy is violated. 시스템 영역의 파일일 경우 읽기와 실행만을 허용하고 리다이렉션 파일일 경우만 쓰기를 허용하며, Allows only reads and executes for files in the system area, writes only for redirected files, 사용자 영역의 파일일 경우 해당 소유자인 경우에만 읽기, 쓰기, 실행을 허용하고 다른 사용자 영역의 파일일 경우 접근을 거부하며, If the file is in a user area, read, write, or execute is allowed only if the owner is the user. If the file is in another user area, access is denied. 파일시스템 접근정책 위반인 경우 프로세스 중지 등 대응행위를 수행하고 위반하지 않았을 경우 원래의 시스템콜을 수행하는 것을 특징으로 하는 보안 커널을 이용한 가상운영체제 환경 제공 방법.A method for providing a virtual operating system environment using a secure kernel, characterized in that a countermeasure such as stopping a process in the case of a violation of a file system access policy and executing an original system call if it is not violated.
KR1020060131824A 2006-12-21 2006-12-21 Method for providing the educational virtual os environment using the security kernel KR100871679B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020060131824A KR100871679B1 (en) 2006-12-21 2006-12-21 Method for providing the educational virtual os environment using the security kernel

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020060131824A KR100871679B1 (en) 2006-12-21 2006-12-21 Method for providing the educational virtual os environment using the security kernel

Publications (2)

Publication Number Publication Date
KR20080057916A KR20080057916A (en) 2008-06-25
KR100871679B1 true KR100871679B1 (en) 2008-12-05

Family

ID=39803637

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060131824A KR100871679B1 (en) 2006-12-21 2006-12-21 Method for providing the educational virtual os environment using the security kernel

Country Status (1)

Country Link
KR (1) KR100871679B1 (en)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010097361A (en) * 2000-04-21 2001-11-08 한 동 원 A multi-user computer system and a control method thereof
JP2005000410A (en) * 2003-06-12 2005-01-06 Gce Sas Closing device for use in valve gear for pressurized gas cylinder

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010097361A (en) * 2000-04-21 2001-11-08 한 동 원 A multi-user computer system and a control method thereof
JP2005000410A (en) * 2003-06-12 2005-01-06 Gce Sas Closing device for use in valve gear for pressurized gas cylinder

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
정보보호학회지 (2005.04.10page)

Also Published As

Publication number Publication date
KR20080057916A (en) 2008-06-25

Similar Documents

Publication Publication Date Title
US11714884B1 (en) Systems and methods for establishing and managing computer network access privileges
US8380987B2 (en) Protection agents and privilege modes
US5347578A (en) Computer system security
Ames et al. Security kernel design and implementation: An introduction
US7765374B2 (en) Protecting operating-system resources
EP2541453B1 (en) System and method for malware protection using virtualization
JP5079246B2 (en) System and method for multi-level intercept processing in a virtual machine environment
Zeng et al. Cloud computing data capsules for non-consumptiveuse of texts
US20080126740A1 (en) Restricting type access to high-trust components
RU2589852C2 (en) System and method for automatic regulation of rules for controlling applications
US20070050369A1 (en) Accessing file under confinement
KR20010050351A (en) System and method for role based dynamic configuration of user profiles
CN103810422A (en) Safety virtualization isolation method based on mirror image intelligent management
US7797727B1 (en) Launching an application in a restricted user account
Hayden et al. Securing linux containers
CN102222189A (en) Method for protecting operating system
US9953104B2 (en) Controlling access to one or more datasets of an operating system in use
KR100871679B1 (en) Method for providing the educational virtual os environment using the security kernel
Wurster et al. A control point for reducing root abuse of file-system privileges
JP2014170324A (en) Access control system, access control method and program
CN110598393B (en) Safe user architecture and authority control method
US8627068B1 (en) Selecting access authorities
Russinovich Inside windows vista user account control
KR101434794B1 (en) The method and system for defending program hacking
Quynh et al. Centralized security policy support for virtual machine

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20121122

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20131114

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20141211

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20151126

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20161124

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20181126

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20191111

Year of fee payment: 12