KR101212828B1 - Terminal device, sever and method for enforcing security of virtual machine - Google Patents

Terminal device, sever and method for enforcing security of virtual machine Download PDF

Info

Publication number
KR101212828B1
KR101212828B1 KR1020100073494A KR20100073494A KR101212828B1 KR 101212828 B1 KR101212828 B1 KR 101212828B1 KR 1020100073494 A KR1020100073494 A KR 1020100073494A KR 20100073494 A KR20100073494 A KR 20100073494A KR 101212828 B1 KR101212828 B1 KR 101212828B1
Authority
KR
South Korea
Prior art keywords
user
security
virtual machine
information
terminal device
Prior art date
Application number
KR1020100073494A
Other languages
Korean (ko)
Other versions
KR20120011962A (en
Inventor
윤미현
허제민
Original Assignee
삼성에스디에스 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성에스디에스 주식회사 filed Critical 삼성에스디에스 주식회사
Priority to KR1020100073494A priority Critical patent/KR101212828B1/en
Publication of KR20120011962A publication Critical patent/KR20120011962A/en
Application granted granted Critical
Publication of KR101212828B1 publication Critical patent/KR101212828B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45595Network integration; Enabling network access in virtual machine instances

Abstract

가상머신의 보안 강화를 위한 단말장치, 서버 및 방법이 제공된다. 복수 개의 사용자 가상머신은 사용자에게 해당 서비스를 제공하며, 보안 정보 입력부는 사용자로부터 권한 인증에 필요한 사용자 보안 정보를 입력받으며, 보안 관리부는 입력되는 사용자 보안 정보에 의해 사용자의 권한 인증이 수행되면, 복수 개의 사용자 가상머신들 중 타겟 사용자 가상머신의 활성화를 클라이언트 하이퍼바이저부에게 요청할 수 있다.Provided are a terminal device, a server, and a method for enhancing the security of a virtual machine. When the plurality of user virtual machines provide a corresponding service to the user, the security information input unit receives user security information necessary for authorization authentication from the user, and the security manager performs a plurality of user authorizations by the user security information input. The client hypervisor may request activation of the target user virtual machine among the user virtual machines.

Figure R1020100073494
Figure R1020100073494

Description

가상머신의 보안 강화를 위한 단말장치, 서버 및 방법{Terminal device, sever and method for enforcing security of virtual machine}Terminal device, server and method for enforcing security of virtual machine

본 발명은 가상머신의 보안 강화를 위한 단말장치, 서버 및 방법에 관한 것으로, 보다 상세하게는, 사용자의 사용 권한을 확인하여 가상머신을 사용할 수 있도록 하는, 가상머신의 보안 강화를 위한 단말장치, 서버 및 방법에 관한 것이다.The present invention relates to a terminal device, a server, and a method for strengthening the security of a virtual machine, and more particularly, to a terminal device for strengthening the security of a virtual machine, so that a user can use the virtual machine by checking a user's usage rights; A server and method.

가상화 기술은 하나의 컴퓨터에서 여러 개의 OS(Operating System)를 동작시키기 위한 기술이다. 인터넷의 보급이 확산되고 가상화 기술이 발전함에 따라 사용자는 개인 컴퓨터를 가상머신(Virtual Machine)의 형태로 서버에 위치시키고, 서버의 가상머신에 연결하여 원하는 기능을 사용할 수 있다.Virtualization technology is a technology for operating multiple operating systems (OS) in one computer. With the spread of the Internet and the development of virtualization technology, users can place their personal computers on a server in the form of a virtual machine and connect to the server's virtual machine to use desired functions.

한편, 가상화 기술은 서버 가상화 기술 분야뿐 아니라 일반 사용자들의 PC, 노트북, 또는 스마트폰과 같은 기기에도 적용되고 있다. 따라서, 가상화 기술이 적용된 기기는 여러 사용자가 공용으로 사용가능하다. 그러나, 기존의 가상화 기술이 적용된 기기는 다양한 정보를 모든 사용자에게 제공하므로, 정보 유출 등의 대책을 미리 세워 보안을 유지할 필요가 있다.Meanwhile, virtualization technology is applied not only to server virtualization technology but also to devices such as PCs, notebooks, or smartphones of general users. Therefore, a device to which virtualization technology is applied can be shared among several users. However, since the existing virtualization technology device provides a variety of information to all users, it is necessary to maintain security in advance by taking measures such as information leakage.

따라서, 상기와 같은 문제점을 해결하기 위한 본 발명의 목적은, 사용자마다 사용권한을 설정하는 보안 정책을 세우고, 권한이 있는 사용자만이 해당 가상머신을 사용할 수 있도록 하여 사용자의 가상머신에 대한 접근을 관리할 수 있는 가상머신의 보안 강화를 위한 단말장치, 서버 및 방법을 제공함을 목적으로 한다.Accordingly, an object of the present invention for solving the above problems is to establish a security policy for setting the usage rights for each user, and to allow only authorized users to use the virtual machine to access the user's virtual machine. An object of the present invention is to provide a terminal device, a server, and a method for enhancing security of a virtual machine that can be managed.

본 발명의 일 실시예에 따르면, 사용자로부터 권한 인증에 필요한 사용자 보안 정보를 입력받는 보안 정보 입력부; 및 상기 입력되는 사용자 보안 정보에 의해 상기 사용자의 권한 인증이 수행되면, 사용자에게 해당 서비스를 제공하는 복수 개의 사용자 가상머신들 중 타겟 사용자 가상머신의 활성화를 클라이언트 하이퍼바이저부에게 요청하는 보안 관리부;를 포함하는, 가상머신의 보안 강화를 위한 단말장치가 제공된다.According to an embodiment of the present invention, a security information input unit for receiving user security information required for authorization from the user; And a security manager configured to request a client hypervisor to activate a target user virtual machine among a plurality of user virtual machines that provide a corresponding service to the user when authorization of the user is performed by the input user security information. Including, a terminal device for enhancing the security of the virtual machine is provided.

사용자에게 사용권한이 할당된 사용자 가상머신 리스트를 저장하는 보안 정보 저장부;를 더 포함하며, 사용자가 타겟 사용자 가상머신의 사용을 요청하면, 보안 관리부는 사용자 가상머신 리스트에 타겟 사용자 가상머신이 포함되어 있으면, 타겟 사용자 가상머신의 활성화를 클라이언트 하이퍼바이저부에게 요청할 수 있다.The security information storage unit for storing the user virtual machine list assigned to the user; further comprising, when the user requests the use of the target user virtual machine, the security management unit includes the target user virtual machine in the user virtual machine list If so, the client hypervisor may request activation of the target user virtual machine.

보안 관리부는 권한이 인증된 사용자가 타겟 사용자 가상머신을 사용한 이력 정보를 기록할 수 있다.The security manager may record history information of the authorized user using the target user virtual machine.

사용자가 사용자 보안 정보를 입력하여 타겟 사용자 가상머신으로의 접근을 시도하면, 보안 관리부는, 가상머신 접근정보-타겟 사용자 가상머신으로의 접근이 시도되었음을 나타내는 정보-를 기록할 수 있다.When the user attempts to access the target user virtual machine by inputting user security information, the security manager may record the virtual machine access information—information indicating that access to the target user virtual machine has been attempted.

보안 관리부는 사용자 보안 정보를 관리하는 보안 관리 서버에게 가상머신 접근정보를 전달하며, 보안 관리 서버는 가상머신 접근정보를 분석하여 사용자의 보안 위반 여부를 판단할 수 있다.The security management unit may transmit the virtual machine access information to the security management server managing the user security information, and the security management server may determine the user's security violation by analyzing the virtual machine access information.

보안 관리 서버는 사용자가 보안을 위반한 것으로 판단되면, 사용자에 설정된 타겟 사용자 가상머신의 사용권한을 하향조절하고, 하향조절된 사용권한에 대한 정보를 보안 관리부에게 전달할 수 있다.If it is determined that the user violates security, the security management server may lower the use authority of the target user virtual machine set in the user and transmit information on the down regulated use authority to the security management unit.

사용자의 보안 위반 여부는 사용자가 권한 인증이 실패한 횟수를 기초로 판단될 수 있다.The security breach of the user may be determined based on the number of times the user has failed the authorization.

클라이언트 하이퍼바이저부는, 타겟 사용자 가상머신의 사용자 가상머신에게 입출력 제어권을 부여하는 OS 스위칭부;를 포함할 수 있다.The client hypervisor may include an OS switching unit for granting an input / output control right to the user virtual machine of the target user virtual machine.

보안 관리부는 보안 가상머신에 의해 동작될 수 있다.The security manager may be operated by a secure virtual machine.

보안 관리부는 클라이언트 하이퍼바이저부 내에서 동작될 수 있다.복수 개의 사용자 가상머신들을 포함하는 단말장치와 통신하는 통신부;The security management unit may be operated in the client hypervisor unit. A communication unit for communicating with a terminal device including a plurality of user virtual machines;

한편, 본 발명의 다른 실시예에 따르면, 단말장치로부터 가상머신 접근정보-사용자가 단말장치에서 복수 개의 사용자 가상머신으로의 접근을 시도한 정보-가 수신되면, 가상머신 접근정보를 분석하여 사용자의 보안 위반 여부를 판단하는 보안 위반 판단부; 및 사용자가 보안을 위반한 것으로 판단되면, 사용자에 설정된 타겟 사용자 가상머신의 사용권한을 하향조절하고, 하향조절된 사용권한에 대한 정보를 단말장치에게 전달하도록 통신부를 제어하는 사용자 보안 관리부;를 포함하는, 가상머신의 보안 강화를 위한 서버가 제공된다.On the other hand, according to another embodiment of the present invention, when the virtual machine access information-information that the user attempts to access a plurality of user virtual machines from the terminal device-is received from the terminal device, the virtual machine access information is analyzed to secure the user A security violation determination unit for determining whether a violation; And a user security manager configured to control the communication unit to down-regulate the permission of the target user virtual machine set in the user and to transmit information about the down-regulated permission to the terminal device, if it is determined that the user violates security. The server for enhancing the security of the virtual machine is provided.

통신부는 단말장치로부터 사용자가 타겟 사용자 가상머신을 사용한 이력 정보를 수신하며, 이력 정보 및 가상머신 접근정보를 저장하는 보안정보 데이터베이스;를 더 포함할 수 있다.The communication unit may further include a security information database for receiving a history information of the user using the target user virtual machine from the terminal device, and storing the history information and the virtual machine access information.

한편, 본 발명의 다른 실시예에 따른, 복수 개의 사용자 가상머신들 및 클라이언트 하이퍼바이저를 포함하는 단말장치의 가상머신 보안 강화 방법은, 사용자로부터 복수 개의 사용자 가상머신들 중 타겟 사용자 가상머신의 권한 인증에 필요한 사용자 보안 정보를 입력받는 단계; 입력되는 사용자 보안 정보에 의해 사용자의 권한 인증을 수행하는 단계; 및 권한이 인증되면, 복수 개의 사용자 가상머신 중 타겟 사용자 가상머신의 활성화를 요청하는 단계;를 포함할 수 있다.On the other hand, according to another embodiment of the present invention, a virtual machine security enhancement method of a terminal device including a plurality of user virtual machines and a client hypervisor, authorization of a target user virtual machine among a plurality of user virtual machines from a user Receiving user security information required for; Performing authorization authentication of a user based on input user security information; And if the authority is authenticated, requesting activation of the target user virtual machine among the plurality of user virtual machines.

수행하는 단계는 보안 가상머신에서 동작하는 보안 관리부, 및 클라이언트 하이퍼바이저에서 동작하는 보안 관리부 중 적어도 하나에 의해 수행될 수 있다.The performing may be performed by at least one of a security manager operating in the secure virtual machine and a security manager operating in the client hypervisor.

권한이 인증된 사용자가 타겟 사용자 가상머신을 사용한 이력 정보를 기록하는 단계;를 더 포함할 수 있다.The method may further include recording, by the authorized user, history information using the target user virtual machine.

사용자가 사용자 보안 정보를 입력하여 타겟 사용자 가상머신으로의 접근을 시도하면, 가상머신 접근정보-타겟 사용자 가상머신으로의 접근이 시도되었음을 나타내는 정보-를 기록하는 단계;를 더 포함할 수 있다.If the user attempts to access the target user virtual machine by inputting the user security information, recording the virtual machine access information-information indicating that the access to the target user virtual machine has been attempted.

사용자 보안 정보를 관리하는 보안 관리 서버에게 가상머신 접근정보를 전달하는 단계;를 더 포함하며, 보안 관리 서버는 가상머신 접근정보를 분석하여 사용자의 보안 위반 여부를 판단할 수 있다.And transmitting the virtual machine access information to the security management server managing the user security information. The security management server may analyze the virtual machine access information to determine whether the user has a security breach.

보안 관리 서버에서 사용자가 보안을 위반한 것으로 판단되면, 보안 관리 서버로부터 사용자에 설정된 타겟 사용자 가상머신의 사용권한이 하향조절되었음을 전달받는 단계;를 더 포함할 수 있다.If it is determined that the user violates security at the security management server, the method may further include receiving, from the security management server, that a right of use of the target user virtual machine set to the user is adjusted down.

한편, 본 발명의 다른 실시예에 따른, 복수 개의 사용자 가상머신들 및 클라이언트 하이퍼바이저를 포함하는 단말장치와 통신하는 서버의 가상머신 보안 강화 방법은, 단말장치로부터 가상머신 접근정보-사용자가 단말장치에서 복수 개의 사용자 가상머신으로의 접근을 시도한 정보-를 수신하는 단계; 수신된 가상머신 접근정보를 분석하여 사용자의 보안 위반 여부를 판단하는 단계; 및 사용자가 보안을 위반한 것으로 판단되면, 사용자에 설정된 타겟 사용자 가상머신의 사용권한을 하향조절하고, 하향조절된 사용권한에 대한 정보를 단말장치에게 전달하는 단계;를 포함할 수 있다.On the other hand, according to another embodiment of the present invention, a method for enhancing the security of a virtual machine of a server communicating with a terminal device including a plurality of user virtual machines and a client hypervisor, the virtual machine access information from the terminal device-user terminal device Receiving information attempting to access a plurality of user virtual machines at; Analyzing the received virtual machine access information to determine whether the user has a security breach; And if it is determined that the user violates the security, down-regulating the use right of the target user virtual machine set in the user, and transmitting information on the down-regulated use right to the terminal device.

단말장치로부터 사용자가 타겟 사용자 가상머신을 사용한 이력 정보를 수신하는 단계; 및 수신된 이력 정보 및 수신된 가상머신 접근정보를 저장하는 단계를 더 포함할 수 있다.Receiving history information of a user using a target user virtual machine from a terminal device; And storing the received history information and the received virtual machine access information.

본 발명의 일 실시예에 따르면, 사용자마다 가상 머신을 사용할 수 있는 권한을 설정하고, 권한이 있는 사용자만이 가상 머신을 사용할 수 있도록 하여, 사용자의 가상머신에 대한 접근을 효율적으로 관리할 수 있다. According to an embodiment of the present invention, the user can set the right to use the virtual machine for each user, and only the authorized user can use the virtual machine, thereby efficiently managing the user's access to the virtual machine. .

또한, 사용자의 가상머신에 대한 접근을 관리함으로써 가상머신의 보안을 강화할 수 있다.In addition, the security of the virtual machine can be strengthened by managing the user's access to the virtual machine.

또한, 사용자의 가상머신 접근정보를 기반으로 사용자의 보안 위반이 감지되면, 사용자에게 기부여된 권한을 하향조정함으로써, 가상머신의 보안을 보다 강화할 수 있다.In addition, if a user's security violation is detected based on the user's virtual machine access information, the security of the virtual machine may be further strengthened by downgrading the authority donated to the user.

도 1은 본 발명의 일 실시예에 따른 가상머신의 보안 강화를 위한 시스템의 네트워크 구성도이다.
도 2는 본 발명의 다른 실시예에 따른 가상머신의 보안 강화를 위한 시스템의 네트워크 구성도이다.
도 3은 본 발명의 일 실시예에 따른 단말장치의 가상머신 보안 강화 방법을 설명하기 위한 흐름도이다.
도 4는 본 발명의 다른 실시예에 따른 단말장치의 가상머신 보안 강화 방법을 설명하기 위한 흐름도이다.
도 5는 본 발명의 다른 실시예에 따른 보안 관리 서버의 가상머신 보안 강화 방법을 설명하기 위한 흐름도이다.1 is a network diagram of a system for strengthening security of a virtual machine according to an embodiment of the present invention.
2 is a network diagram of a system for strengthening security of a virtual machine according to another embodiment of the present invention.
3 is a flowchart illustrating a method for strengthening virtual machine security of a terminal device according to an embodiment of the present invention.
4 is a flowchart illustrating a virtual machine security hardening method of a terminal device according to another embodiment of the present invention.
5 is a flowchart illustrating a virtual machine security enhancement method of the security management server according to another embodiment of the present invention.

이상의 본 발명의 목적들, 다른 목적들, 특징들 및 이점들은 첨부된 도면과 관련된 이하의 바람직한 실시예들을 통해서 쉽게 이해될 것이다. 그러나 본 발명은 여기서 설명되는 실시예들에 한정되지 않고 다른 형태로 구체화될 수도 있다. 오히려, 여기서 소개되는 실시예들은 개시된 내용이 철저하고 완전해질 수 있도록 그리고 당업자에게 본 발명의 사상이 충분히 전달될 수 있도록 하기 위해 제공되는 것이다. 본 명세서에서, 어떤 구성요소가 다른 구성요소 상에 있다고 언급되는 경우에 그것은 다른 구성요소 상에 직접 형성될 수 있거나 또는 그들 사이에 제 3의 구성요소가 개재될 수도 있다는 것을 의미한다. BRIEF DESCRIPTION OF THE DRAWINGS The above and other objects, features, and advantages of the present invention will become more readily apparent from the following description of preferred embodiments with reference to the accompanying drawings. However, the present invention is not limited to the embodiments described herein but may be embodied in other forms. Rather, the embodiments disclosed herein are provided so that the disclosure can be thorough and complete, and will fully convey the scope of the invention to those skilled in the art. In this specification, when an element is referred to as being on another element, it may be directly formed on another element, or a third element may be interposed therebetween.

본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 '포함한다(comprises)' 및/또는 '포함하는(comprising)'은 언급된 구성요소는 하나 이상의 다른 구성요소의 존재 또는 추가를 배제하지 않는다.The terminology used herein is for the purpose of describing particular embodiments only and is not intended to be limiting of the invention. In the present specification, the singular form includes plural forms unless otherwise specified in the specification. The terms "comprises" and / or "comprising" used in the specification do not exclude the presence or addition of one or more other elements.

이하, 도면을 참조하여 본 발명을 상세히 설명하도록 한다. 아래의 특정 실시예들을 기술하는데 있어서, 여러 가지의 특정적인 내용들은 발명을 더 구체적으로 설명하고 이해를 돕기 위해 작성되었다. 하지만 본 발명을 이해할 수 있을 정도로 이 분야의 지식을 갖고 있는 독자는 이러한 여러 가지의 특정적인 내용들이 없어도 사용될 수 있다는 것을 인지할 수 있다. 어떤 경우에는, 발명을 기술하는 데 있어서 흔히 알려졌으면서 발명과 크게 관련 없는 부분들은 본 발명을 설명하는 데 있어 별 이유 없이 혼돈이 오는 것을 막기 위해 기술하지 않음을 미리 언급해 둔다. Hereinafter, the present invention will be described in detail with reference to the drawings. In describing the specific embodiments below, various specific details have been set forth in order to explain the invention in greater detail and to assist in understanding it. However, those skilled in the art can understand that the present invention can be used without these various specific details. In some cases, it is mentioned in advance that parts of the invention which are commonly known in the description of the invention and which are not highly related to the invention are not described in order to prevent confusion in explaining the invention without cause.

도 1은 본 발명의 일 실시예에 따른 가상머신의 보안 강화를 위한 시스템의 네트워크 구성도이다.1 is a network diagram of a system for strengthening security of a virtual machine according to an embodiment of the present invention.

도 1의 시스템은 가상머신의 보안을 강화하기 위하여, 사용자가 사용가능하도록 권한이 설정된 가상머신을 사용자에게 제공하며, 사용자가 가상머신을 사용하기 위해 로그인한 정보를 관리할 수 있다. 이를 위하여, 시스템은 통신망(10)을 통한 통신이 가능하도록 연결되는 단말장치(100) 및 보안 관리 서버(20)를 포함할 수 있다. 통신망(10)는 무선 또는 유선의 통신망을 통칭하며, 통신망의 종류는 한정되지 않는다.In order to enhance the security of the virtual machine, the system of FIG. 1 provides a virtual machine to which the user is authorized to be used, and manages information on which the user logs in to use the virtual machine. To this end, the system may include a terminal device 100 and a security management server 20 connected to enable communication through the communication network 10. The communication network 10 collectively refers to a wireless or wired communication network, and the type of communication network is not limited.

단말장치(100)는 여러 사용자가 공용할 수 있으며, 복수 개의 사용자 가상머신을 사용자에게 제공할 수 있다. 사용자가 보안 정보를 입력하면, 단말장치(100)는 사용자의 인증 결과 및 사용자에 할당된 사용 권한에 따라 사용자 가상머신을 사용할 수 있도록 한다.The terminal device 100 may be shared by several users, and may provide a plurality of user virtual machines to the user. When the user inputs security information, the terminal device 100 allows the user virtual machine to be used according to the authentication result of the user and the use authority assigned to the user.

또한, 단말장치(100)는 클라이언트 하이퍼바이저를 기반으로 동작하는 장치이다. 일반적으로, 하이퍼바이저는 서버에서 다수의 운영체제를 동시에 실행하기 위한 가상 플랫폼으로, 가상머신 모니터라고 하기도 한다. 이러한 하이퍼바이저의 개념을 서버가 아닌 클라이언트에 적용한 것이 클라이언트 하이퍼바이저이다.In addition, the terminal device 100 is a device that operates based on the client hypervisor. In general, the hypervisor is a virtual platform for running multiple operating systems simultaneously on a server, also called a virtual machine monitor. It is the client hypervisor that applies this hypervisor concept to the client, not the server.

보안 관리 서버(20)는 사용자가 권한 인증을 위해 기등록한 인증 정보, 사용자가 단말장치(100)에 접근한 기록 또는 사용자 가상머신에 접근한 기록 등 사용자와 관련된 보안 정보를 저장할 수 있다. 보안 정보에 대한 자세한 설명은 후술한다. 또한, 보안 관리 서버(20)는 서버측 통합 보안정보를 주기적으로 사용자에게 업데이트해 주어 사용자 기기에 보안을 관리한다.The security management server 20 may store security information related to the user, such as authentication information registered by the user for authority authentication, a record of the user accessing the terminal device 100, or a record of accessing the user virtual machine. Detailed description of the security information will be described later. In addition, the security management server 20 periodically updates the server-side integrated security information to the user to manage security on the user device.

도 1을 참조하면, 본 발명의 일 실시예에 따른 단말장치(100)는 하드웨어부(110), 클라이언트 하이퍼바이저부(120), 보안 모듈(130), 제1사용자 모듈(140) 및 제2사용자 모듈(150)을 포함할 수 있다. Referring to FIG. 1, the terminal device 100 according to an embodiment of the present invention may include a hardware unit 110, a client hypervisor unit 120, a security module 130, a first user module 140, and a second user unit. It may include a user module 150.

하드웨어부(110)는 복수 개의 가상머신들(131, 141, 151)에게 자원을 제공한다. 하드웨어부(110)에는 CPU(Central Processing Unit), HDD(Hard Disk Drive), 그래픽 카드, ROM, RAM, 입출력 디바이스, 배터리 또는 그 외 다수의 디바이스가 구비될 수 있다. 입출력 디바이스는, 단말장치(100)에 정보를 입력시키거나 정보를 출력하는 기능을 수행하며, 예를 들어, 모니터, 키보드, 네트워크 인터페이스 카드, 외장형 스토리지 등 다양하다.The hardware unit 110 provides resources to the plurality of virtual machines 131, 141, and 151. The hardware unit 110 may include a central processing unit (CPU), a hard disk drive (HDD), a graphics card, a ROM, a RAM, an input / output device, a battery, or a plurality of other devices. The input / output device performs a function of inputting information to or outputting information to the terminal device 100, for example, various types of monitors, keyboards, network interface cards, external storage, and the like.

또한, 하드웨어부(110)에는 보안 정보 입력부(111) 및 보안 정보 저장부(113)가 더 구비될 수 있다. 보안 정보 입력부(111)는 사용자로부터 사용자 보안 정보를 입력받기 위한 사용자 인터페이스이다. 사용자 보안 정보는 아이디와 패스워드, 공인인증서 번호, 및 지문, 홍채, 음성 등의 생체 인식 정보 중 적어도 하나일 수 있다. 이를 위하여, 보안 정보 입력부(111)는 아이디와 패스워드, 또는, 공인인증서 번호를 입력받기 위한 키패드, 생체 정보를 입력받기 위한 물리적 기기 등을 포함할 수 있다.In addition, the hardware unit 110 may further include a security information input unit 111 and a security information storage unit 113. The security information input unit 111 is a user interface for receiving user security information from a user. The user security information may be at least one of an ID and password, an authentication certificate number, and biometric information such as a fingerprint, an iris, and a voice. To this end, the security information input unit 111 may include an ID and password, or a keypad for inputting an authentication certificate number, a physical device for receiving biometric information, and the like.

보안 정보 저장부(113)에는 사용자의 권한 인증을 위한 사용자 보안 정보와, 사용자에게 부여된 사용권한, 사용자에게 사용권한이 할당된 사용자 가상머신 리스트가 사용자 별로 저장된다. 보안 정보 저장부(113)는 보안 정보 처리부(135)와 연동하는 가상머신이 사용할 수 있도록 할당된 가상디스크일 수 있다. The security information storage unit 113 stores user security information for authorization of a user, a user right granted to the user, and a list of user virtual machines to which the user right is assigned. The security information storage unit 113 may be a virtual disk allocated for use by a virtual machine interoperating with the security information processing unit 135.

예를 들어, 후술할 보안 정보 처리부(135)가 보안 모듈(130)에 포함되는 경우, 보안 정보 저장부(113)는 보안 가상머신(131)에게 할당된 가상디스크이다. 보안 정보 처리부(135, 147, 157)가 보안 모듈(130), 제1사용자 모듈(140) 및 제2사용자 모듈(150) 모두에 포함되는 경우, 보안 정보 저장부(113)는 보안 가상머신(131), 제1사용자 가상머신(141) 및 제2사용자 가상머신(151)에게 할당된 가상디스크일 수 있다.For example, when the security information processing unit 135 to be described later is included in the security module 130, the security information storage unit 113 is a virtual disk assigned to the security virtual machine 131. When the security information processing unit 135, 147, and 157 are included in all of the security module 130, the first user module 140, and the second user module 150, the security information storage unit 113 may be a secure virtual machine ( 131, the virtual disk allocated to the first user virtual machine 141 and the second user virtual machine 151.

권한 인증은 복수 개의 사용자 가상머신들 중 사용자에게 사용 권한이 할당된 가상머신을 사용하기 위해 수행되는 인증 과정이다. [표 1]은 권한 인증 방식 및 권한 인증을 위해 저장되는 사용자 보안 정보의 일 예를 보여준다.Authorization authentication is an authentication process performed to use a virtual machine to which a user is assigned a use authority among a plurality of user virtual machines. [Table 1] shows an example of authority authentication method and user security information stored for authority authentication.

권한 인증 방식Authorization authentication method 권한 인증을 위해 저장된 사용자 정보User information stored for authorization 아이디와 패스워드 입력Enter your username and password 사용자의 아이디와 패스워드User ID and Password 공인인증서 방식Accredited Certificate Method 사용자의 공인인증서 또는 공인인증서 해독을 위한 키Key for decrypting user's certificate or certificate 지문 입력Fingerprint input 사용자의 지문Your fingerprint 홍채 확인Iris Check 사용자의 홍채User's iris 음성 인식Speech recognition 사용자의 음성User's voice

[표 1]과 같은 권한 인증 방식 및 사용자 정보는 사용자 별로 저장될 수 있다.The authorization authentication method and user information as shown in [Table 1] may be stored for each user.

클라이언트 하이퍼바이저부(120)는 하드웨어부(110) 상에 설치되며, 보안 모듈(130), 제1사용자 모듈(140) 및 제2사용자 모듈(150)을 선택적으로 동작시킬 수 있다. 이를 위하여, 클라이언트 하이퍼바이저부(120)는 해당 모듈(130, 140, 150)의 가상머신(131, 141, 151)에게 자원의 사용권한을 부여할 수 있다.The client hypervisor unit 120 is installed on the hardware unit 110 and may selectively operate the security module 130, the first user module 140, and the second user module 150. To this end, the client hypervisor unit 120 may grant the use rights of resources to the virtual machines (131, 141, 151) of the module (130, 140, 150).

가상머신들(131, 141, 151)은 클라이언트 하이퍼바이저부(120)로부터 자원의 사용권한을 부여받으면, 동작을 시작한다. 입출력 제어권을 포함한 자원의 사용권한(이하, '제1자원 사용권한'이라 함)을 부여받을 경우, 해당 가상머신은 단말장치(100) 내의 메인에서 동작할 수 있다. 또한, 입출력 제어권을 포함하지 않은 자원의 사용권한(이하, 제2자원 사용권한'이라 함)을 부여받을 경우, 해당 가상머신은 사용자 단말장치(100) 내의 백그라운드에서 동작을 할 수 있다. 백그라운드에서 동작하는 경우, 해당 모듈은 동작하고 있는 상태이나, 사용자가 해당 모듈의 동작을 인식하지 못할 수 있다.When the virtual machines 131, 141, and 151 receive permission to use a resource from the client hypervisor 120, the virtual machines 131, 141, and 151 start operation. When a user right of using a resource including an input / output control right (hereinafter, referred to as a “first resource use right”) is granted, the virtual machine may operate in the main in the terminal device 100. In addition, when a user right of using a resource that does not include an input / output control right (hereinafter, referred to as a second resource use right) is granted, the virtual machine may operate in the background in the user terminal device 100. When operating in the background, the module is in a state of being operated, but the user may not recognize the operation of the module.

클라이언트 하이퍼바이저부(120)는 보안 모듈(130)의 보안 관리부(137)로부터 제1 및 제2사용자 가상머신들(141, 151) 중 타겟 사용자 가상머신의 동작 요청을 받을 수 있다. 이 경우, 클라이언트 하이퍼바이저부(120)는 제1 또는 제2자원 사용권한을 타겟 사용자 가상머신에게 부여할 수 있다. OS 스위칭부(121)는 클라이언트 하이퍼바이저부(120) 내에 설치되며, 클라이언트 하이퍼바이저부(120)가 보안 가상머신(131), 제1 및 제2사용자 가상머신들(141, 151)을 선택적으로 동작시킬 때, 자원 사용권한의 부여 및 회수, 또는 입출력 제어권의 부여 및 회수를 위해 동작한다.The client hypervisor 120 may receive an operation request of the target user virtual machine among the first and second user virtual machines 141 and 151 from the security manager 137 of the security module 130. In this case, the client hypervisor 120 may grant the target user virtual machine the right to use the first or second resource. The OS switching unit 121 is installed in the client hypervisor unit 120, and the client hypervisor unit 120 selectively selects the secure virtual machine 131 and the first and second user virtual machines 141 and 151. When operating, it operates for granting and retrieving resource use authority, or granting and retrieving input / output control right.

보안 가상머신(131), 제1 및 제2사용자 가상머신들(141, 151)은 클라이언트 하이퍼바이저부(120)에 의해 자원을 할당받아 동작할 수 있다.The secure virtual machine 131 and the first and second user virtual machines 141 and 151 may operate by allocating resources by the client hypervisor 120.

먼저, 보안 모듈(130)은 사용자의 권한 인증을 수행하며, 권한 인증이 성공하면, 사용자가 요청한 가상머신의 활성화를 클라이언트 하이퍼바이저부(120)에게 요청한다. 이를 위하여, 보안 모듈(130)은 보안 가상머신(131), 보안 운영체제부(133), 보안 정보 처리부(135) 및 보안 관리부(137)를 포함할 수 있다.First, the security module 130 performs authorization of the user. If the authorization is successful, the security module 130 requests the client hypervisor unit 120 to activate the virtual machine requested by the user. To this end, the security module 130 may include a security virtual machine 131, a security operating system unit 133, a security information processing unit 135, and a security management unit 137.

단말장치(100)의 전원이 온 되면, 보안 모듈(130)은 클라이언트 하이퍼바이저부(120)로부터 제1 또는 제2자원 사용권한을 부여받음으로써, 활성화 상태에 있게 된다.When the terminal device 100 is powered on, the security module 130 is in an active state by receiving the first or second resource use right from the client hypervisor 120.

보안 가상머신(131)은 클라이언트 하이퍼바이저부(120) 상에 최우선적으로 설치되고, 보안 운영체제부(133)는 보안 가상머신(131) 상에 설치되며, 보안 정보 처리부(135) 및 보안 관리부(137)는 보안 운영체제부(133) 상에 설치된다.The security virtual machine 131 is installed first on the client hypervisor unit 120, the security operating system unit 133 is installed on the security virtual machine 131, and the security information processing unit 135 and the security management unit ( 137 is installed on the security operating system unit 133.

보안 정보 처리부(135)는 보안 정보 입력부(111)를 통해 입력되는 사용자 보안 정보를 분석하고, 분석 결과를 보안 관리부(137)로 전달할 수 있다. 예를 들어, 보안 정보 처리부(135)는 공인인증서 해독을 위한 키와 프로그램을 이용하여, 사용자가 입력한 공인인증서 번호를 해독할 수 있다. 또는, 보안 정보 처리부(135)는 사용자가 입력한 지문 또는 홍채를 분석할 수 있다.The security information processing unit 135 may analyze user security information input through the security information input unit 111, and may transmit the analysis result to the security management unit 137. For example, the security information processing unit 135 may decrypt the public certificate number input by the user using a key and a program for decrypting the public certificate. Alternatively, the security information processor 135 may analyze the fingerprint or iris input by the user.

보안 관리부(137)는 사용자 보안 정보의 분석결과와 보안 정보 저장부(113)에 저장된 사용자 보안 정보를 비교하여 사용자의 권한 인증을 수행할 수 있다. 즉, 보안 관리부(137)는 사용자가 타겟 사용자 가상머신을 사용가능한지 여부를 판단한다. 이러한 사용자의 권한 인증은 보안 정보 처리부(135)에서 수행될 수도 있다.The security manager 137 may perform authorization of the user by comparing the analysis result of the user security information with the user security information stored in the security information storage 113. That is, the security manager 137 determines whether the user can use the target user virtual machine. Authorization of the user may be performed by the security information processing unit 135.

사용자 보안 정보의 분석결과와 저장된 사용자 보안 정보가 일치하면, 사용자는 제1 및 제2사용자 가상머신들(141, 151) 중 사용자에게 할당된 타겟 사용자 가상머신을 사용할 수 있다. 이를 위하여, 권한 인증이 수행되면, 보안 관리부(137)는 타겟 사용자 가상머신의 활성화를 클라이언트 하이퍼바이저부(120)에게 요청할 수 있다. 이로써, 클라이언트 하이퍼바이저부(120)는 타겟 사용자 가상머신이 메인에서 동작하도록 타겟 사용자 가상머신이 메인에 자원을 할당한다.If the analysis result of the user security information matches the stored user security information, the user may use the target user virtual machine assigned to the user among the first and second user virtual machines 141 and 151. To this end, when authorization authentication is performed, the security manager 137 may request the client hypervisor 120 to activate the target user virtual machine. As a result, the client hypervisor unit 120 allocates resources to the main user virtual machine so that the target user virtual machine operates in the main.

또한, 보안 관리부(137)는 사용자의 권한 인증이 성공한 후, 사용자가 타겟 사용자 가상머신의 사용을 요청하면, 사용자 가상머신 리스트에 타겟 사용자 가상머신이 포함되어 있으면, 타겟 사용자 가상머신의 활성화를 클라이언트 하이퍼바이저부(120)에게 요청할 수 있다.In addition, if the user requests the use of the target user virtual machine after the user authentication is successful, the security manager 137 activates the target user virtual machine if the target user virtual machine is included in the user virtual machine list. The hypervisor 120 may request the hypervisor 120.

또한, 보안 관리부(137)는 권한이 인증된 사용자가 타겟 사용자 가상머신을 사용한 이력 정보를 기록할 수 있다.In addition, the security manager 137 may record history information of the user whose authority is authenticated using the target user virtual machine.

또한, 보안 관리부(137)는 사용자가 사용자 보안 정보를 입력하여 타겟 사용자 가상머신으로의 접근을 시도하면, 가상머신 접근정보를 기록할 수 있다. 가상머신 접근정보는 사용자에 의해 타겟 사용자 가상머신으로의 접근이 시도되었음을 나타내는 정보이다. 따라서, 가상머신 접근정보는 권한 인증의 성공 여부와 관계없이 기록될 수 있다. 보안 관리부(137)는 이력 정보와 가상머신 접근정보를 로그 형태로 기록할 수 있다.In addition, when the user attempts to access the target user virtual machine by inputting the user security information, the security manager 137 may record the virtual machine access information. The virtual machine access information is information indicating that the user attempted to access the target user virtual machine. Therefore, the virtual machine access information can be recorded regardless of whether the authorization is successful. The security manager 137 may record the history information and the virtual machine access information in a log form.

이하에서는, 사용자가 보안 정보 입력부(111)를 통해 입력하는 사용자 보안 정보, 보안 관리부(137)에 의해 기록되는 이력 정보 및 가상머신 접근정보 중 적어도 하나를 포함하는 정보를 통합 보안 정보라 한다. 보안 관리부(137)는 사용자의 보안 정보를 관리하는 보안 관리 서버(20)에게 통합 보안 정보 전체 또는 일부를 전송할 수 있다.Hereinafter, information including at least one of user security information input by the user through the security information input unit 111, history information recorded by the security manager 137, and virtual machine access information is referred to as integrated security information. The security manager 137 may transmit all or part of the integrated security information to the security management server 20 managing the security information of the user.

보안 관리부(137)가 가상머신 접근정보를 전송하는 경우, 보안 관리 서버(20)는 가상머신 접근정보를 분석하여 사용자의 보안 위반 여부를 판단할 수 있다. 이에 대해서는 후술하기로 한다.When the security manager 137 transmits the virtual machine access information, the security management server 20 may determine the user's security violation by analyzing the virtual machine access information. This will be described later.

한편, 제1사용자 모듈(140)은 제1사용자 가상머신(141), 제1사용자 운영체제부(143) 및 제1사용자 어플리케이션부(145)를 포함하며, 옵션으로 보안 정보 처리부(147)를 더 포함할 수 있다.Meanwhile, the first user module 140 includes a first user virtual machine 141, a first user operating system unit 143, and a first user application unit 145, and optionally the security information processing unit 147. It may include.

제1사용자 가상머신(141)은 클라이언트 하이퍼바이저부(120) 상에 최우선적으로 설치되고, 제1사용자 운영체제부(143)는 제1사용자 가상머신(141) 상에 설치되며, 제1사용자 어플리케이션부(145)는 제1사용자 운영체제부(143) 상에 설치된다. 제1사용자 어플리케이션부(145)는 제1사용자 가상머신(141) 및 제1사용자 운영체제부(232)가 동작되면, 사용자의 선택에 의해 해당 어플리케이션의 동작을 시작할 수 있다.The first user virtual machine 141 is installed first on the client hypervisor unit 120, the first user operating system unit 143 is installed on the first user virtual machine 141, and the first user application. The unit 145 is installed on the first user operating system unit 143. When the first user virtual machine 141 and the first user operating system unit 232 operate, the first user application unit 145 may start the operation of the corresponding application by the user's selection.

제2사용자 모듈(150)은 제2사용자 가상머신(151), 제2사용자 운영체제부(153) 및 제2사용자 어플리케이션부(155)를 포함하며, 옵션으로 보안 정보 처리부(157)를 더 포함할 수 있다. 제2사용자 모듈(150)은 제1사용자 모듈(140)과 유사하므로, 제2사용자 모듈(150)의 설명은 생략한다. The second user module 150 includes a second user virtual machine 151, a second user operating system unit 153, and a second user application unit 155, and optionally further includes a security information processing unit 157. Can be. Since the second user module 150 is similar to the first user module 140, the description of the second user module 150 is omitted.

보안 정보 처리부(137, 147, 157)는 입력되는 사용자 보안 정보를 분석하기 위한 구성요소로서, 보안 모듈(130), 제1 및 제2사용자 모듈(140, 150) 중 적어도 하나에 설치될 수 있다. 따라서, 도면에서는 제1 및 제2사용자 모듈(140, 150)에 설치된 보안 정보 처리부(147, 157)는 점선으로 표시되었다. The security information processor 137, 147, or 157 is a component for analyzing input user security information and may be installed in at least one of the security module 130 and the first and second user modules 140 and 150. . Accordingly, in the drawing, the security information processing units 147 and 157 installed in the first and second user modules 140 and 150 are indicated by dotted lines.

사용자가 요청한 타겟 사용자 가상머신이 제1사용자 가상머신(141)인 경우, 보안 관리부(137)는 클라이언트 하이퍼바이저부(120)에게 제1사용자 가상머신(141)의 활성화를 요청한다. 이에 의해, OS 스위칭부(121)는 제1사용자 가상머신(141)에게 제1사용권한이 할당되도록 제1사용자 가상머신(141)을 스위칭한다. 사용자가 제1사용자 가상머신(141)을 사용하는 동안, 사용자가 제1사용자 가상머신(141)을 사용한 이력 정보는 보안 관리부(137)에 의해 기록된다. When the target user virtual machine requested by the user is the first user virtual machine 141, the security manager 137 requests the client hypervisor 120 to activate the first user virtual machine 141. As a result, the OS switching unit 121 switches the first user virtual machine 141 such that the first user right is assigned to the first user virtual machine 141. While the user uses the first user virtual machine 141, the history information of the user using the first user virtual machine 141 is recorded by the security manager 137.

이하에서는 도 1을 참조하여 보안 관리 서버(20)에 대해 설명한다.Hereinafter, the security management server 20 will be described with reference to FIG. 1.

도 1을 참조하면, 보안 관리 서버(20)는 통신부(21), 보안정보 데이터베이스(DB: DataBase)(22), 보안 위반 판단부(23) 및 사용자 보안 관리부(24)를 포함할 수 있다.Referring to FIG. 1, the security management server 20 may include a communication unit 21, a security information database (DB) 22, a security violation determination unit 23, and a user security management unit 24.

통신부(21)는 단말장치(100)와 통신망(10)을 통해 통신한다. 통신부(21)는 단말장치(100)로부터 통합 보안 정보를 수신하며, 단말장치(100)에게 변경된 통합 보안 정보를 전송할 수 있다.The communication unit 21 communicates with the terminal apparatus 100 through the communication network 10. The communication unit 21 may receive the integrated security information from the terminal device 100 and transmit the changed integrated security information to the terminal device 100.

보안정보 DB(22)에는 단말장치(100)로부터 수신되는 통합 보안 정보가 저장될 수 있다. 보안정보 DB(22)에는 단말장치(100) 외의 기기들로부터 수신되는 통합 보안 정보도 저장될 수 있다. 따라서, 보안 관리 서버(20)는 여러 단말장치들의 통합 보안 정보를 관리할 수 있다. 통합 보안 정보는 상술한 바와 같이, 사용자 보안 정보, 이력 정보 및 가상머신 접근정보 중 적어도 하나를 포함할 수 있다. 사용자가 사용자 보안 정보를 보안 관리 서버(20)를 통해 변경하는 경우, 보안 관리 서버(20)는 단말장치(100)에게 변경된 보안 정보를 전송할 수 있다.The security information DB 22 may store integrated security information received from the terminal device 100. The security information DB 22 may also store integrated security information received from devices other than the terminal device 100. Therefore, the security management server 20 may manage integrated security information of various terminal devices. As described above, the integrated security information may include at least one of user security information, history information, and virtual machine access information. When the user changes the user security information through the security management server 20, the security management server 20 may transmit the changed security information to the terminal device 100.

보안 위반 판단부(23)는 단말장치(100)로부터 통합보안정보가 수신되어 보안정보 DB(22)에 업데이트될 때마다 보안 위반 여부를 판단할 수 있다. 특히, 보안 위반 판단부(23)는 단말장치(100)로부터 가상머신 접근정보를 포함하는 통합 보안 정보가 수신되면, 가상머신 접근정보를 분석하여 사용자의 보안 위반 여부를 판단할 수 있다. 예를 들어, 가상머신 접근정보의 분석 결과, 사용자가 설정된 최대횟수만큼 권한 인증에 실패하거나, 또는 권한 인증이 성공한 후, 허가되지 않은 사용자 가상 머신으로의 접근을 시도한 것으로 확인되면, 보안 위반 판단부(23)는 사용자가 보안을 위반한 것으로 판단할 수 있다.The security breach determination unit 23 may determine whether there is a security breach whenever integrated security information is received from the terminal device 100 and updated in the security information DB 22. In particular, when the security violation determination unit 23 receives integrated security information including the virtual machine access information from the terminal device 100, the security violation determination unit 23 may analyze the virtual machine access information to determine whether the user has a security violation. For example, as a result of analyzing the virtual machine access information, if it is determined that the user fails to authenticate the authority the maximum number of times or after the authentication is successful, attempts to access the unauthorized user virtual machine, the security violation determination unit 23 may determine that the user violates security.

사용자 보안 관리부(24)는 단말장치(100)에게 사용자의 보안과 관련된 정보를 전송하도록 통신부(21)를 제어할 수 있다. 예를 들어, 사용자가 보안을 위반한 것으로 판단되면, 사용자 보안 관리부(24)는 사용자에 대해 설정된 타겟 사용자 가상머신의 사용권한을 하향조절하고, 하향조절된 사용권한에 대한 정보를 단말장치(100)에게 전달하도록 통신부(21)를 제어할 수 있다. The user security manager 24 may control the communication unit 21 to transmit the information related to the security of the user to the terminal device 100. For example, if it is determined that the user violates security, the user security manager 24 down-regulates the use authority of the target user virtual machine set for the user, and transmits information on the down-regulated use authority to the terminal device 100. The communicator 21 may be controlled to transmit to.

하향조절된 사용권한은 단말장치(100) 자체의 사용을 불허하거나, 또는 타겟 사용자 가상머신으로의 접근을 금지하는 등 다양한 옵션 중 하나일 수 있다. 이에 따라, 단말장치(100)의 보안 관리부(137)는 보안 정보 저장부(113)에 저장된 사용 권한 또는 사용가능한 가상머신을 변경 또는 삭제할 수 있다.The down-regulated usage rights may be one of various options such as disallowing use of the terminal device 100 itself or prohibiting access to the target user virtual machine. Accordingly, the security manager 137 of the terminal device 100 may change or delete the usage right or the available virtual machine stored in the security information storage 113.

또한, 사용자 보안 관리부(137)는 통합 보안 정보에 변경사항이 발생하면, 변경된 정보를 단말장치(100)에게 전송하여 업데이트하도록 한다.In addition, when a change occurs in the integrated security information, the user security manager 137 transmits the changed information to the terminal device 100 to update it.

도 2는 본 발명의 다른 실시예에 따른 가상머신의 보안 강화를 위한 시스템의 네트워크 구성도이다.2 is a network diagram of a system for strengthening security of a virtual machine according to another embodiment of the present invention.

도 2를 참조하여, 시스템은 통신망(10)을 통한 통신이 가능하도록 연결되는 단말장치(200) 및 보안 관리 서버(20)를 포함할 수 있다. 단말장치(200) 는 도 1을 참조하여 설명한 단말장치(100)와 유사하다. 다만, 도 1의 단말장치(100)는 보안 강화를 위한 기능을 보안 가상머신을 이용하여 제공하는 반면, 도 2의 단말장치(200)는 보안 가상머신을 이용하지 않는다. Referring to FIG. 2, the system may include a terminal device 200 and a security management server 20 connected to enable communication through the communication network 10. The terminal device 200 is similar to the terminal device 100 described with reference to FIG. 1. However, while the terminal device 100 of FIG. 1 provides a function for enhancing security by using a secure virtual machine, the terminal device 200 of FIG. 2 does not use a secure virtual machine.

도 2를 참조하면, 단말장치(200)는 하드웨어부(210), 클라이언트 하이퍼바이저부(220), 제1사용자 모듈(230) 및 제2사용자 모듈(240)을 포함할 수 있다.Referring to FIG. 2, the terminal device 200 may include a hardware unit 210, a client hypervisor unit 220, a first user module 230, and a second user module 240.

하드웨어부(210), 제1사용자 모듈(230) 및 제2사용자 모듈(240)은 도 1의 하드웨어부(110), 제1사용자 모듈(140) 및 제2사용자 모듈(150)과 유사하므로 상세한 설명은 생략한다. The hardware unit 210, the first user module 230, and the second user module 240 are similar to the hardware unit 110, the first user module 140, and the second user module 150 of FIG. 1. Description is omitted.

클라이언트 하이퍼바이저부(220)는 하드웨어부(210) 상에 설치되며, 제1사용자 모듈(230) 및 제2사용자 모듈(240)을 선택적으로 동작시킬 수 있다. 이를 위하여, 클라이언트 하이퍼바이저부(220)는 해당 모듈(230, 240, 150)의 가상머신(231, 241)에게 자원의 사용권한을 부여할 수 있다.The client hypervisor 220 may be installed on the hardware 210 and may selectively operate the first user module 230 and the second user module 240. To this end, the client hypervisor 220 may grant the use of resources to the virtual machines (231, 241) of the module (230, 240, 150).

클라이언트 하이퍼바이저부(220)는 OS 스위칭부(221) 및 보안부(223)를 포함할 수 있다. OS 스위칭부(221)는 자원 사용권한의 부여 및 회수, 또는 입출력 제어권의 부여 및 회수를 위해 스위칭 동작을 수행한다. The client hypervisor 220 may include an OS switching unit 221 and a security unit 223. The OS switching unit 221 performs a switching operation for granting and retrieving resource use rights or granting and retrieving input / output control rights.

제1사용자 모듈(230) 및 제2사용자 모듈(240)은 클라이언트 하이퍼바이저부(220)에 의해 자원을 할당받아 동작할 수 있다.The first user module 230 and the second user module 240 may operate by allocating resources by the client hypervisor 220.

보안부(223)는 보안 정보 처리부(223a) 및 보안 관리부(223b)를 포함할 수 있다. 보안 정보 처리부(223a) 및 보안 관리부(223b)는 도 1의 보안 정보 처리부(135) 및 보안 관리부(137)과 거의 동일하므로 간단히 설명한다. The security unit 223 may include a security information processor 223a and a security manager 223b. Since the security information processor 223a and the security manager 223b are almost the same as the security information processor 135 and the security manager 137 of FIG.

보안 정보 처리부(223a)는 보안 정보 입력부(211)를 통해 입력되는 사용자 보안 정보를 분석하고, 분석 결과를 보안 관리부(223b)로 전달할 수 있다. The security information processor 223a may analyze user security information input through the security information input unit 211, and may transmit the analysis result to the security manager 223b.

보안 관리부(223b)는 사용자 보안 정보의 분석결과와 보안 정보 저장부(213)에 저장된 사용자 보안 정보를 비교하여 사용자의 권한 인증을 수행할 수 있다. 사용자 보안 정보의 분석결과와 저장된 사용자 보안 정보가 일치하면, 보안 관리부(223b)는 사용자가 사용을 요청한 타겟 사용자 가상머신의 활성화를 클라이언트 하이퍼바이저부(120)에게 요청할 수 있다. 타겟 사용자 가상머신은 제1사용자 가상머신(231) 및 제2사용자 가상머신(241) 중 하나이다.The security manager 223b may compare the analysis result of the user security information with the user security information stored in the security information storage unit 213 to perform authorization of the user. If the analysis result of the user security information matches the stored user security information, the security manager 223b may request the client hypervisor unit 120 to activate the target user virtual machine which the user requests to use. The target user virtual machine is one of the first user virtual machine 231 and the second user virtual machine 241.

또한, 보안 관리부(223b)는 도 1을 참조하여 설명한 이력 정보와 가상머신 접근정보를 기록하고, 이를 포함하는 통합 보안 정보를 보안 관리 서버(20)에게 전송할 수 있다. 보안 관리 서버(20)로부터 사용자의 하향조절된 사용권한이 입력되면, 보안 관리부(223b)는 보안 정보 DB(22)에 저장된 사용자의 권한 정보를 업데이트할 수 있다. In addition, the security manager 223b may record the history information and the virtual machine access information described with reference to FIG. 1, and transmit the integrated security information including the same to the security management server 20. When the down-regulated usage authority of the user is input from the security management server 20, the security management unit 223b may update the authority information of the user stored in the security information DB 22.

도 3은 본 발명의 일 실시예에 따른 단말장치의 가상머신 보안 강화 방법을 설명하기 위한 흐름도이다.3 is a flowchart illustrating a method for strengthening virtual machine security of a terminal device according to an embodiment of the present invention.

도 3은 도 1을 참조하여 설명한 단말장치(100)에 의해 동작될 수 있다.3 may be operated by the terminal apparatus 100 described with reference to FIG. 1.

사용자가 사용자 보안 정보를 입력하면(S310), 단말장치는 입력된 사용자 보안 정보를 분석하여 사용자의 권한을 인증할 수 있다(S320). S310단계에서 입력되는 사용자 보안 정보는 예를 들어, 공인인증서 번호, 홍채, 지문, 아이디와 패스워드, 음성 등 사용자를 식별할 수 있는 정보이다. When the user inputs the user security information (S310), the terminal device may analyze the input user security information and authenticate the user's authority (S320). User security information input in step S310 is, for example, information that can identify the user, such as a certificate number, iris, fingerprint, ID and password, voice.

사용자의 권한 인증이 성공하면(S330), 즉, 사용자가 사용자 가상 머신의 사용이 가능한 것으로 판단되면, 단말장치는 타겟 사용자 가상 머신에게 자원을 할당하여 타겟 사용자 가상 머신을 활성화할 수 있다(S340).If the authorization of the user succeeds (S330), that is, if the user determines that the user virtual machine can be used, the terminal device may allocate resources to the target user virtual machine to activate the target user virtual machine (S340). .

단말장치는 사용자가 타겟 사용자 가상 머신을 사용하는 동안 이력 정보를 기록할 수 있다(S350). 이력 정보는 타겟 사용자 가상 머신이 사용되는 이력과 관련된 정보이다. The terminal device can record history information while the user uses the target user virtual machine (S350). The history information is information related to the history of the target user virtual machine used.

반면, 사용자의 권한 인증이 실패하면(S330), 단말장치는 가상머신 접근정보를 기록한다(S360). 즉, 단말장치는 S310단계에서 입력된 사용자 보안 정보와 사용자가 허락되지 않은 사용자 가상머신에 접근을 시도한 정보 등을 기록한다.On the other hand, if the user's authority authentication fails (S330), the terminal device records the virtual machine access information (S360). That is, the terminal device records the user security information input in step S310 and the information that the user attempted to access the user virtual machine is not allowed.

도 4는 본 발명의 다른 실시예에 따른 단말장치의 가상머신 보안 강화 방법을 설명하기 위한 흐름도이다.4 is a flowchart illustrating a virtual machine security hardening method of a terminal device according to another embodiment of the present invention.

도 4는 도 1을 참조하여 설명한 단말장치(100)에 의해 동작될 수 있으며, 보안 정보 입력부, 보안 정보 처리부, 보안 관리부, OS 스위칭부 및 보안 관리 서버는 도 1에 도시된 구성요소일 수 있다.FIG. 4 may be operated by the terminal apparatus 100 described with reference to FIG. 1, and the security information input unit, the security information processing unit, the security management unit, the OS switching unit, and the security management server may be the components shown in FIG. 1. .

보안 정보 입력부가 사용자로부터 사용자 보안 정보를 입력받으면(S400), 보안 정보 입력부는 입력된 사용자 보안 정보를 보안 정보 처리부로 전달한다(S410).When the security information input unit receives user security information from the user (S400), the security information input unit transfers the input user security information to the security information processing unit (S410).

보안 정보 처리부는 사용자 보안 정보를 분석하고(S420), 분석된 결과를 보안 관리부(430)에게 전달한다.The security information processing unit analyzes user security information (S420), and delivers the analyzed result to the security management unit 430.

보안 관리부는 분석 결과와 보안 정보 저장부에 저장된 정보를 비교하여 사용자 권한 인증을 수행한다. 권한 인증이 성공하고, 사용자가 사용가능한 타겟 사용자 가상 머신이 사용자 가상머신 리스트 상에 포함되면(S440), 보안 관리부는 타겟 사용자 가상 머신의 활성화를 클라이언트 하이퍼바이저부에게 요청한다(S450).The security manager compares the analysis result with the information stored in the security information storage unit and performs user authority authentication. If the authorization is successful and the target user virtual machine usable by the user is included on the user virtual machine list (S440), the security manager requests the client hypervisor unit to activate the target user virtual machine (S450).

클라이언트 하이퍼바이저부의 OS 스위칭부는 타겟 사용자 가상머신을 스위칭하여 타겟 사용자 가상 머신을 사용하는데 필요한 자원을 할당하고, 그 결과를 보안 관리부에게 보고한다(S460).The OS switching unit of the client hypervisor unit allocates resources required to use the target user virtual machine by switching the target user virtual machine, and reports the result to the security manager (S460).

보안 관리부는 사용자가 타겟 사용자 가상머신을 사용하는 이력 정보를 기록한다(S470).The security manager records history information of the user using the target user virtual machine (S470).

반면, S440단계에서, 사용자의 권한 인증이 실패하였거나, 사용가능한 사용자 가상머신이 없는 것으로 확인되면, 보안 관리부는 가상머신 접근정보를 기록한다(S480).On the other hand, in step S440, if the authorization of the user has failed, or it is confirmed that there is no user virtual machine available, the security management unit records the virtual machine access information (S480).

보안 관리부는 기록된 이력 정보, 가상머신 접근정보, 사용자 보안 정보 중 적어도 하나를 포함하는 통합 보안 정보를 보안 관리 서버에게 전송한다(S490).The security manager transmits the integrated security information including at least one of recorded history information, virtual machine access information, and user security information to the security management server (S490).

도 5는 본 발명의 다른 실시예에 따른 보안 관리 서버의 가상머신 보안 강화 방법을 설명하기 위한 흐름도이다.5 is a flowchart illustrating a virtual machine security enhancement method of the security management server according to another embodiment of the present invention.

도 5는 도 1을 참조하여 설명한 보안 관리 서버(20)에 의해 동작될 수 있으며, 통신부, 보안 위반 판단부, 사용자 보안 관리부 및 단말장치는 도 1에 도시된 구성요소일 수 있다.5 may be operated by the security management server 20 described with reference to FIG. 1, and the communication unit, the security violation determining unit, the user security management unit, and the terminal device may be the components shown in FIG. 1.

통신부는 단말장치로부터 통합 보안 정보를 수신하고(S510), 수신된 통합 보장 정보를 보안 위반 판단부와 사용자 보안 관리부로 전달한다(S515, 520). 통합 보안 정보는 사용자의 이력 정보, 가상머신 접근 정보, 사용자 보안 정보 중 적어도 하나를 포함할 수 있다.The communication unit receives the integrated security information from the terminal device (S510), and transmits the received integrated security information to the security violation determination unit and the user security management unit (S515, 520). The integrated security information may include at least one of user history information, virtual machine access information, and user security information.

사용자 보안 관리부는 전달받은 통합 보안 정보를 보안정보 DB에 저장한다(S525).The user security management unit stores the received integrated security information in the security information DB (S525).

보안 위반 판단부는 전달받은 통합 보안 정보에 가상머신 접근 정보가 포함되어 있으면, 가상머신 접근정보를 분석하여 사용자의 보안 위반 여부를 판단한다(S530).If the security violation determination unit includes the virtual machine access information in the received integrated security information, and determines the user's security violation by analyzing the virtual machine access information (S530).

분석 결과, 사용자의 보안 위반이 판단되면, 보안 위반 판단부는 사용자의 보안 위반이 발견되었음을 사용자 보안 관리부에게 보고한다(S540).As a result of the analysis, if a security breach of the user is determined, the security breach determination unit reports to the user security manager that a security breach of the user is found (S540).

사용자 보안 관리부는 보안 위반 판단부의 보고에 의해, 위반에 대처하기 위한 방식을 결정한다(S545). 예를 들어, 사용자 보안 관리부는 사용자에 대해 설정된 타겟 사용자 가상머신의 사용권한, 즉, 권한 정보를 변경할 필요가 있는지 판단하고, 변경할 필요가 있으면, 사용권한을 하향조절할 수 있다.The user security management unit determines a method for coping with the violation by the report of the security violation determination unit (S545). For example, the user security manager may determine whether the user's right to use the target user virtual machine set up for the user, that is, the authority information, needs to be changed, and if necessary, the user security manager may adjust the use right down.

사용자의 권한 정보가 변경되면(S550), 사용자 보안 관리부는 변경된 권한 정보가 단말장치에게 전송되도록 한다(S555).When the authority information of the user is changed (S550), the user security manager allows the changed authority information to be transmitted to the terminal device (S555).

사용자 보안 관리부는 변경된 사용자의 권한 정보를 보안정보 DB에 저장하고(S560), 대기모드로 동작할 수 있다(S565). 대기모드는 예를 들어 단말장치와의 통신을 대기하거나, 그 외 보안 관리 서버에서 발생할 수 있는 동작을 대기하는 모드이다.The user security manager stores the changed user's authority information in the security information DB (S560) and may operate in the standby mode (S565). The standby mode is a mode, for example, waiting for communication with a terminal device or waiting for an operation that may occur in another security management server.

상술한 도 1 및 도 2의 실시예에서, 각 구성요소는 하나의 기능 블록 안에 포함된 것으로 도시되었으나 이는 설명의 편의를 위한 것으로 반드시 하나의 장치에 구현되는 것을 의미하는 것이 아니다. 따라서, 이러한 구성에만 본원 발명이 한정되는 것이 아니며, 예를 들면, 이들 구성요소의 적어도 하나 이상은 별도의 기능 블록으로 구현되는 것도 가능하다. 여기서, 별도라고 함은 논리적으로 구분되거나, 위치적으로 구분되거나, 또는 서로 다른 소프트웨어나 하드웨어로 구분되는 것을 포함하는 의미이다.1 and 2 described above, each component is shown as being included in one functional block, but this is for convenience of description and does not necessarily mean that it is implemented in one apparatus. Therefore, the present invention is not limited only to such a configuration, and for example, at least one or more of these components may be implemented as separate functional blocks. Here, the term "separate" means to include logically divided, positionally divided, or different software or hardware.

본 발명의 실시 예에 따른 방법들은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다.The methods according to embodiments of the present invention may be implemented in the form of program instructions that can be executed through various computer means and recorded in a computer-readable medium. The computer readable medium may include program instructions, data files, data structures, etc. alone or in combination. The program instructions recorded on the medium may be those specially designed and constructed for the present invention or may be available to those skilled in the art of computer software.

이상과 같이 본 발명은 비록 한정된 실시예와 도면에 의해 설명되었으나, 본 발명은 상기의 실시 예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다.While the invention has been shown and described with reference to certain preferred embodiments thereof, it will be understood by those of ordinary skill in the art that various changes in form and details may be made therein without departing from the spirit and scope of the invention as defined by the appended claims. This is possible.

그러므로, 본 발명의 범위는 설명된 실시 예에 국한되어 정해져서는 아니 되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다. Therefore, the scope of the present invention should not be limited to the described embodiments, but should be determined by the equivalents of the claims, as well as the claims.

100: 단말장치 110: 하드웨어부
120: 클라이언트 하이퍼바이저부 130: 보안 모듈
140: 제1사용자 모듈 150: 제2사용자 모듈100: terminal device 110: hardware unit
120: client hypervisor unit 130: security module
140: first user module 150: second user module

Claims (20)

사용자로부터 권한 인증에 필요한 사용자 보안 정보를 입력받는 보안 정보 입력부; 및
상기 입력되는 사용자 보안 정보에 의해 상기 사용자의 권한 인증이 수행되면, 사용자에게 해당 서비스를 제공하는 복수 개의 사용자 가상머신들 중 타겟 사용자 가상머신의 활성화를 클라이언트 하이퍼바이저부에게 요청하고, 상기 권한이 인증된 상기 사용자가 상기 타겟 사용자 가상머신을 사용한 이력 정보를 기록하는 보안 관리부;를 포함하는, 가상머신의 보안 강화를 위한 단말장치.A security information input unit for receiving user security information required for authorization from a user; And
When authorization of the user is performed by the input user security information, requesting the client hypervisor unit to activate a target user virtual machine among a plurality of user virtual machines providing a corresponding service to the user, and the authority is authenticated. And a security manager configured to record history information of the user using the target user virtual machine. 제1항에 있어서,
상기 사용자에게 사용권한이 할당된 사용자 가상머신 리스트를 저장하는 보안 정보 저장부;를 더 포함하며,
상기 사용자가 상기 타겟 사용자 가상머신의 사용을 요청하면, 상기 보안 관리부는 상기 사용자 가상머신 리스트에 상기 타겟 사용자 가상머신이 포함되어 있으면, 상기 타겟 사용자 가상머신의 활성화를 상기 클라이언트 하이퍼바이저부에게 요청하는 것을 특징으로 하는, 가상머신의 보안 강화를 위한 단말장치.The method of claim 1,
And a security information storage unit for storing the user virtual machine list to which the user is assigned a use right.
When the user requests the use of the target user virtual machine, the security manager requests the client hypervisor to activate the target user virtual machine if the target user virtual machine is included in the user virtual machine list. Characterized in that the terminal device for enhancing the security of the virtual machine. 삭제delete 제1항에 있어서,
상기 사용자가 상기 사용자 보안 정보를 입력하여 상기 타겟 사용자 가상머신으로의 접근을 시도하면, 상기 보안 관리부는, 가상머신 접근정보-상기 타겟 사용자 가상머신으로의 접근이 시도되었음을 나타내는 정보-를 기록하는 것을 특징으로 하는, 가상머신의 보안 강화를 위한 단말장치.The method of claim 1,
When the user attempts to access the target user virtual machine by inputting the user security information, the security manager records the virtual machine access information-information indicating that access to the target user virtual machine has been attempted. Characterized in that the terminal device for enhancing the security of the virtual machine. 제4항에 있어서,
상기 보안 관리부는 상기 사용자 보안 정보를 관리하는 보안 관리 서버에게 상기 가상머신 접근정보를 전달하며,
상기 보안 관리 서버는 상기 가상머신 접근정보를 분석하여 상기 사용자의 보안 위반 여부를 판단하는 것을 특징으로 하는, 가상머신의 보안 강화를 위한 단말장치.5. The method of claim 4,
The security management unit delivers the virtual machine access information to a security management server that manages the user security information,
The security management server analyzes the virtual machine access information to determine whether or not a security breach of the user, the terminal device for strengthening the security of the virtual machine. 제5항에 있어서,
상기 보안 관리 서버는 상기 사용자가 보안을 위반한 것으로 판단되면, 상기 사용자에 설정된 상기 타겟 사용자 가상머신의 사용권한을 하향조절하고, 상기 하향조절된 사용권한에 대한 정보를 상기 보안 관리부에게 전달하는 것을 특징으로 하는, 가상머신의 보안 강화를 위한 단말장치.The method of claim 5,
If it is determined that the user violates the security, the security management server down-regulates the use right of the target user virtual machine set in the user, and transmits information on the down-regulated use right to the security management unit. Characterized in that the terminal device for enhancing the security of the virtual machine. 제5항에 있어서,
상기 사용자의 보안 위반 여부는 상기 사용자가 권한 인증이 실패한 횟수를 기초로 판단되는 것을 특징으로 하는, 가상머신의 보안 강화를 위한 단말장치.The method of claim 5,
The security breach of the user is characterized in that the user is determined based on the number of times that the authorization failed, terminal device for enhancing the security of the virtual machine. 제1항에 있어서,
상기 클라이언트 하이퍼바이저부는, 상기 타겟 사용자 가상머신의 사용자 가상머신에게 입출력 제어권을 부여하는 OS 스위칭부;를 포함하는 것을 특징으로 하는 가상머신의 보안 강화를 위한 단말장치.The method of claim 1,
The client hypervisor unit, OS switching unit for granting the input and output control rights to the user virtual machine of the target user virtual machine; Terminal device for enhancing the security of the virtual machine. 제1항에 있어서,
상기 보안 관리부는 보안 가상머신에 의해 동작되는 것을 특징으로 하는, 가상머신의 보안 강화를 위한 단말장치.The method of claim 1,
The security management unit is operated by a secure virtual machine, the terminal device for enhancing the security of the virtual machine. 제1항에 있어서,
상기 보안 관리부는 상기 클라이언트 하이퍼바이저부 내에서 동작되는 것을 특징으로 하는, 가상머신의 보안 강화를 위한 단말장치.The method of claim 1,
The security manager is operated in the client hypervisor, characterized in that the terminal device for enhanced security of the virtual machine. 복수 개의 사용자 가상머신들을 포함하는 단말장치와 통신하는 통신부;
상기 단말장치로부터 가상머신 접근정보-사용자가 상기 단말장치에서 상기 복수 개의 사용자 가상머신으로의 접근을 시도한 정보-가 수신되면, 상기 가상머신 접근정보를 분석하여 상기 사용자의 보안 위반 여부를 판단하는 보안 위반 판단부;
상기 사용자가 보안을 위반한 것으로 판단되면, 상기 사용자에 설정된 타겟 사용자 가상머신의 사용권한을 하향조절하고, 상기 하향조절된 사용권한에 대한 정보를 상기 단말장치에게 전달하도록 상기 통신부를 제어하는 사용자 보안 관리부; 및
상기 가상머신 접근정보 및 상기 통신부가 상기 단말장치로부터 수신한 이력 정보-상기 사용자가 상기 타겟 사용자 가상머신을 사용한 이력에 대한 정보임-를 저장하는 보안정보 데이터베이스;를 포함하며,
상기 단말장치는 상기 복수 개의 사용자 가상머신들 중 하나를 활성화하는 클라이언트 하이퍼바이저부를 포함하는, 가상머신의 보안 강화를 위한 서버.A communication unit communicating with a terminal device including a plurality of user virtual machines;
When the virtual machine access information received from the terminal device-information that the user attempted to access the plurality of user virtual machines from the terminal device-security to analyze the virtual machine access information to determine whether the security violation of the user Violation determination unit;
If it is determined that the user violates security, the user security for controlling the communication unit to down-regulate the use right of the target user virtual machine set in the user and to transmit information about the down-regulated use right to the terminal device. Management; And
And a security information database for storing the virtual machine access information and history information received from the terminal device from the terminal device, which is information on a history of the user using the target user virtual machine.
The terminal device includes a client hypervisor for activating one of the plurality of user virtual machines, the server for enhancing the security of the virtual machine. 삭제delete 복수 개의 사용자 가상머신들 및 클라이언트 하이퍼바이저를 포함하는 단말장치의 가상머신 보안 강화 방법에 있어서,
사용자로부터 상기 복수 개의 사용자 가상머신들 중 타겟 사용자 가상머신의 권한 인증에 필요한 사용자 보안 정보를 입력받는 단계;
상기 입력되는 사용자 보안 정보에 의해 상기 사용자의 권한 인증을 수행하는 단계;
상기 권한이 인증되면, 상기 복수 개의 사용자 가상머신 중 타겟 사용자 가상머신을 활성화시키는 단계; 및
상기 권한이 인증된 상기 사용자가 상기 타겟 사용자 가상머신을 사용한 이력 정보를 기록하는 단계;를 포함하는, 가상머신 보안 강화 방법.In the virtual machine security enhancement method of a terminal device comprising a plurality of user virtual machines and a client hypervisor,
Receiving user security information required for authorization of a target user virtual machine among the plurality of user virtual machines from a user;
Performing authorization authentication of the user based on the input user security information;
If the authority is authenticated, activating a target user virtual machine among the plurality of user virtual machines; And
And recording history information of the authorized user using the target user virtual machine. 제13항에 있어서,
상기 수행하는 단계는 보안 가상머신에서 동작하는 보안 관리부, 및 클라이언트 하이퍼바이저에서 동작하는 보안 관리부 중 적어도 하나에 의해 수행되는 것을 특징으로 하는, 가상머신 보안 강화 방법.The method of claim 13,
The performing of the step is performed by at least one of a security management unit operating in a secure virtual machine, and a security management unit operating in a client hypervisor, virtual machine security strengthening method. 삭제delete 제13항에 있어서,
상기 사용자가 상기 사용자 보안 정보를 입력하여 상기 타겟 사용자 가상머신으로의 접근을 시도하면, 가상머신 접근정보-상기 타겟 사용자 가상머신으로의 접근이 시도되었음을 나타내는 정보-를 기록하는 단계;를 더 포함하는 것을 특징으로 하는, 가상머신 보안 강화 방법.The method of claim 13,
Recording the virtual machine access information-information indicating access to the target user virtual machine when the user attempts to access the target user virtual machine by inputting the user security information; Characterized in that the virtual machine security enhancement method. 제16항에 있어서,
상기 사용자 보안 정보를 관리하는 보안 관리 서버에게 상기 가상머신 접근정보를 전달하는 단계;를 더 포함하며,
상기 보안 관리 서버는 상기 가상머신 접근정보를 분석하여 상기 사용자의 보안 위반 여부를 판단하는 것을 특징으로 하는, 가상머신 보안 강화 방법.17. The method of claim 16,
And transmitting the virtual machine access information to a security management server that manages the user security information.
The security management server analyzes the virtual machine access information to determine whether or not a security violation of the user, virtual machine security strengthening method. 제17항에 있어서,
상기 보안 관리 서버에서 상기 사용자가 보안을 위반한 것으로 판단되면,
상기 보안 관리 서버로부터 상기 사용자에 설정된 상기 타겟 사용자 가상머신의 사용권한이 하향조절되었음을 전달받는 단계;를 더 포함하는 것을 특징으로 하는, 가상머신 보안 강화 방법.18. The method of claim 17,
If it is determined that the user violates security in the security management server,
And receiving, from the security management server, that the use right of the target user virtual machine set to the user has been down-regulated. 복수 개의 사용자 가상머신들 및 상기 복수 개의 사용자 가상머신들 중 하나를 활성화하는 클라이언트 하이퍼바이저를 포함하는 단말장치와 통신하는 서버의 가상머신 보안 강화 방법에 있어서,
상기 단말장치로부터 가상머신 접근정보-사용자가 상기 단말장치에서 상기 복수 개의 사용자 가상머신으로의 접근을 시도한 정보-를 수신하는 단계;
상기 수신된 가상머신 접근정보를 분석하여 상기 사용자의 보안 위반 여부를 판단하는 단계;
상기 사용자가 보안을 위반한 것으로 판단되면, 상기 사용자에 설정된 타겟 사용자 가상머신의 사용권한을 하향조절하고, 상기 하향조절된 사용권한에 대한 정보를 상기 단말장치에게 전달하는 단계;
상기 단말장치로부터 상기 사용자가 상기 타겟 사용자 가상머신을 사용한 이력 정보를 수신하는 단계; 및
상기 수신된 이력 정보 및 상기 수신된 가상머신 접근정보를 저장하는 단계;를 포함하는, 가상머신 보안 강화 방법.A method of strengthening virtual machine security of a server communicating with a terminal device including a plurality of user virtual machines and a client hypervisor for activating one of the plurality of user virtual machines,
Receiving virtual machine access information from the terminal device-information that a user attempts to access the plurality of user virtual machines from the terminal device;
Analyzing the received virtual machine access information to determine whether the user has a security breach;
If it is determined that the user has violated security, down-regulating the use right of the target user virtual machine set in the user, and transmitting information on the down-regulated use right to the terminal device;
Receiving history information of the user from the terminal apparatus using the target user virtual machine; And
And storing the received history information and the received virtual machine access information. 삭제delete
KR1020100073494A 2010-07-29 2010-07-29 Terminal device, sever and method for enforcing security of virtual machine KR101212828B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020100073494A KR101212828B1 (en) 2010-07-29 2010-07-29 Terminal device, sever and method for enforcing security of virtual machine

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100073494A KR101212828B1 (en) 2010-07-29 2010-07-29 Terminal device, sever and method for enforcing security of virtual machine

Publications (2)

Publication Number Publication Date
KR20120011962A KR20120011962A (en) 2012-02-09
KR101212828B1 true KR101212828B1 (en) 2012-12-14

Family

ID=45835997

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100073494A KR101212828B1 (en) 2010-07-29 2010-07-29 Terminal device, sever and method for enforcing security of virtual machine

Country Status (1)

Country Link
KR (1) KR101212828B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180113229A (en) * 2017-04-05 2018-10-16 주식회사 케이뱅크은행 Loan service providing method using black chain and system performing the same

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101394424B1 (en) * 2013-04-22 2014-05-13 한국인터넷진흥원 Hypervisor-based intrusion prevention platform and virtual network intrusion prevention system

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070180449A1 (en) * 2006-01-24 2007-08-02 Citrix Systems, Inc. Methods and systems for providing remote access to a computing environment provided by a virtual machine
US20090241192A1 (en) * 2008-03-21 2009-09-24 Thomas Andrew J Virtual machine configuration sharing between host and virtual machines and between virtual machines

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070180449A1 (en) * 2006-01-24 2007-08-02 Citrix Systems, Inc. Methods and systems for providing remote access to a computing environment provided by a virtual machine
US20090241192A1 (en) * 2008-03-21 2009-09-24 Thomas Andrew J Virtual machine configuration sharing between host and virtual machines and between virtual machines

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180113229A (en) * 2017-04-05 2018-10-16 주식회사 케이뱅크은행 Loan service providing method using black chain and system performing the same
KR101952498B1 (en) * 2017-04-05 2019-02-27 주식회사 케이뱅크은행 Loan service providing method using black chain and system performing the same

Also Published As

Publication number Publication date
KR20120011962A (en) 2012-02-09

Similar Documents

Publication Publication Date Title
US10326795B2 (en) Techniques to provide network security through just-in-time provisioned accounts
US8839354B2 (en) Mobile enterprise server and client device interaction
US20200028838A1 (en) Account authentication method for cloud storage, and server
EP2875464B1 (en) Systems and methods of using a temporary private key between two devices
US9519784B2 (en) Managing basic input/output system (BIOS) access
US11693974B2 (en) Trust agents
EP3089040B1 (en) Security access control method for hard disk, and hard disk
US20130086648A1 (en) Updating resource access permissions in a virtual computing environment
US20120185528A1 (en) Session allocation for distributed virtual desktop architecture
US20140150070A1 (en) Mobile device identify factor for access control policies
US20200304543A1 (en) Providing different levels of resource access to a computing device that is connected to a dock
US7702912B2 (en) Secure systems management
US8271785B1 (en) Synthesized root privileges
KR20130120893A (en) System and method for providing cloud computing service using virtual machine
US9923976B2 (en) Control device and control method
JP2012118833A (en) Access control method
CN110301127B (en) Apparatus and method for predictive token validation
KR101212828B1 (en) Terminal device, sever and method for enforcing security of virtual machine
US11956228B2 (en) Method and apparatus for securely managing computer process access to network resources through delegated system credentials
US11575664B2 (en) Information handling systems and methods to manage tickets based on user presence, system state and ticket management policy
US20150281281A1 (en) Identification of unauthorized application data in a corporate network
US20200257785A1 (en) User authentication
US9246896B2 (en) Registration of a security token
JP2016066132A (en) Multilevel authentication device and multilevel authentication method
US20080301781A1 (en) Method, system and computer program for managing multiple role userid

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
X091 Application refused [patent]
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20150930

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20160920

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20170928

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20180927

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20191202

Year of fee payment: 8