KR101212828B1 - Terminal device, sever and method for enforcing security of virtual machine - Google Patents
Terminal device, sever and method for enforcing security of virtual machine Download PDFInfo
- Publication number
- KR101212828B1 KR101212828B1 KR1020100073494A KR20100073494A KR101212828B1 KR 101212828 B1 KR101212828 B1 KR 101212828B1 KR 1020100073494 A KR1020100073494 A KR 1020100073494A KR 20100073494 A KR20100073494 A KR 20100073494A KR 101212828 B1 KR101212828 B1 KR 101212828B1
- Authority
- KR
- South Korea
- Prior art keywords
- user
- security
- virtual machine
- information
- terminal device
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45595—Network integration; Enabling network access in virtual machine instances
Abstract
가상머신의 보안 강화를 위한 단말장치, 서버 및 방법이 제공된다. 복수 개의 사용자 가상머신은 사용자에게 해당 서비스를 제공하며, 보안 정보 입력부는 사용자로부터 권한 인증에 필요한 사용자 보안 정보를 입력받으며, 보안 관리부는 입력되는 사용자 보안 정보에 의해 사용자의 권한 인증이 수행되면, 복수 개의 사용자 가상머신들 중 타겟 사용자 가상머신의 활성화를 클라이언트 하이퍼바이저부에게 요청할 수 있다.Provided are a terminal device, a server, and a method for enhancing the security of a virtual machine. When the plurality of user virtual machines provide a corresponding service to the user, the security information input unit receives user security information necessary for authorization authentication from the user, and the security manager performs a plurality of user authorizations by the user security information input. The client hypervisor may request activation of the target user virtual machine among the user virtual machines.
Description
본 발명은 가상머신의 보안 강화를 위한 단말장치, 서버 및 방법에 관한 것으로, 보다 상세하게는, 사용자의 사용 권한을 확인하여 가상머신을 사용할 수 있도록 하는, 가상머신의 보안 강화를 위한 단말장치, 서버 및 방법에 관한 것이다.The present invention relates to a terminal device, a server, and a method for strengthening the security of a virtual machine, and more particularly, to a terminal device for strengthening the security of a virtual machine, so that a user can use the virtual machine by checking a user's usage rights; A server and method.
가상화 기술은 하나의 컴퓨터에서 여러 개의 OS(Operating System)를 동작시키기 위한 기술이다. 인터넷의 보급이 확산되고 가상화 기술이 발전함에 따라 사용자는 개인 컴퓨터를 가상머신(Virtual Machine)의 형태로 서버에 위치시키고, 서버의 가상머신에 연결하여 원하는 기능을 사용할 수 있다.Virtualization technology is a technology for operating multiple operating systems (OS) in one computer. With the spread of the Internet and the development of virtualization technology, users can place their personal computers on a server in the form of a virtual machine and connect to the server's virtual machine to use desired functions.
한편, 가상화 기술은 서버 가상화 기술 분야뿐 아니라 일반 사용자들의 PC, 노트북, 또는 스마트폰과 같은 기기에도 적용되고 있다. 따라서, 가상화 기술이 적용된 기기는 여러 사용자가 공용으로 사용가능하다. 그러나, 기존의 가상화 기술이 적용된 기기는 다양한 정보를 모든 사용자에게 제공하므로, 정보 유출 등의 대책을 미리 세워 보안을 유지할 필요가 있다.Meanwhile, virtualization technology is applied not only to server virtualization technology but also to devices such as PCs, notebooks, or smartphones of general users. Therefore, a device to which virtualization technology is applied can be shared among several users. However, since the existing virtualization technology device provides a variety of information to all users, it is necessary to maintain security in advance by taking measures such as information leakage.
따라서, 상기와 같은 문제점을 해결하기 위한 본 발명의 목적은, 사용자마다 사용권한을 설정하는 보안 정책을 세우고, 권한이 있는 사용자만이 해당 가상머신을 사용할 수 있도록 하여 사용자의 가상머신에 대한 접근을 관리할 수 있는 가상머신의 보안 강화를 위한 단말장치, 서버 및 방법을 제공함을 목적으로 한다.Accordingly, an object of the present invention for solving the above problems is to establish a security policy for setting the usage rights for each user, and to allow only authorized users to use the virtual machine to access the user's virtual machine. An object of the present invention is to provide a terminal device, a server, and a method for enhancing security of a virtual machine that can be managed.
본 발명의 일 실시예에 따르면, 사용자로부터 권한 인증에 필요한 사용자 보안 정보를 입력받는 보안 정보 입력부; 및 상기 입력되는 사용자 보안 정보에 의해 상기 사용자의 권한 인증이 수행되면, 사용자에게 해당 서비스를 제공하는 복수 개의 사용자 가상머신들 중 타겟 사용자 가상머신의 활성화를 클라이언트 하이퍼바이저부에게 요청하는 보안 관리부;를 포함하는, 가상머신의 보안 강화를 위한 단말장치가 제공된다.According to an embodiment of the present invention, a security information input unit for receiving user security information required for authorization from the user; And a security manager configured to request a client hypervisor to activate a target user virtual machine among a plurality of user virtual machines that provide a corresponding service to the user when authorization of the user is performed by the input user security information. Including, a terminal device for enhancing the security of the virtual machine is provided.
사용자에게 사용권한이 할당된 사용자 가상머신 리스트를 저장하는 보안 정보 저장부;를 더 포함하며, 사용자가 타겟 사용자 가상머신의 사용을 요청하면, 보안 관리부는 사용자 가상머신 리스트에 타겟 사용자 가상머신이 포함되어 있으면, 타겟 사용자 가상머신의 활성화를 클라이언트 하이퍼바이저부에게 요청할 수 있다.The security information storage unit for storing the user virtual machine list assigned to the user; further comprising, when the user requests the use of the target user virtual machine, the security management unit includes the target user virtual machine in the user virtual machine list If so, the client hypervisor may request activation of the target user virtual machine.
보안 관리부는 권한이 인증된 사용자가 타겟 사용자 가상머신을 사용한 이력 정보를 기록할 수 있다.The security manager may record history information of the authorized user using the target user virtual machine.
사용자가 사용자 보안 정보를 입력하여 타겟 사용자 가상머신으로의 접근을 시도하면, 보안 관리부는, 가상머신 접근정보-타겟 사용자 가상머신으로의 접근이 시도되었음을 나타내는 정보-를 기록할 수 있다.When the user attempts to access the target user virtual machine by inputting user security information, the security manager may record the virtual machine access information—information indicating that access to the target user virtual machine has been attempted.
보안 관리부는 사용자 보안 정보를 관리하는 보안 관리 서버에게 가상머신 접근정보를 전달하며, 보안 관리 서버는 가상머신 접근정보를 분석하여 사용자의 보안 위반 여부를 판단할 수 있다.The security management unit may transmit the virtual machine access information to the security management server managing the user security information, and the security management server may determine the user's security violation by analyzing the virtual machine access information.
보안 관리 서버는 사용자가 보안을 위반한 것으로 판단되면, 사용자에 설정된 타겟 사용자 가상머신의 사용권한을 하향조절하고, 하향조절된 사용권한에 대한 정보를 보안 관리부에게 전달할 수 있다.If it is determined that the user violates security, the security management server may lower the use authority of the target user virtual machine set in the user and transmit information on the down regulated use authority to the security management unit.
사용자의 보안 위반 여부는 사용자가 권한 인증이 실패한 횟수를 기초로 판단될 수 있다.The security breach of the user may be determined based on the number of times the user has failed the authorization.
클라이언트 하이퍼바이저부는, 타겟 사용자 가상머신의 사용자 가상머신에게 입출력 제어권을 부여하는 OS 스위칭부;를 포함할 수 있다.The client hypervisor may include an OS switching unit for granting an input / output control right to the user virtual machine of the target user virtual machine.
보안 관리부는 보안 가상머신에 의해 동작될 수 있다.The security manager may be operated by a secure virtual machine.
보안 관리부는 클라이언트 하이퍼바이저부 내에서 동작될 수 있다.복수 개의 사용자 가상머신들을 포함하는 단말장치와 통신하는 통신부;The security management unit may be operated in the client hypervisor unit. A communication unit for communicating with a terminal device including a plurality of user virtual machines;
한편, 본 발명의 다른 실시예에 따르면, 단말장치로부터 가상머신 접근정보-사용자가 단말장치에서 복수 개의 사용자 가상머신으로의 접근을 시도한 정보-가 수신되면, 가상머신 접근정보를 분석하여 사용자의 보안 위반 여부를 판단하는 보안 위반 판단부; 및 사용자가 보안을 위반한 것으로 판단되면, 사용자에 설정된 타겟 사용자 가상머신의 사용권한을 하향조절하고, 하향조절된 사용권한에 대한 정보를 단말장치에게 전달하도록 통신부를 제어하는 사용자 보안 관리부;를 포함하는, 가상머신의 보안 강화를 위한 서버가 제공된다.On the other hand, according to another embodiment of the present invention, when the virtual machine access information-information that the user attempts to access a plurality of user virtual machines from the terminal device-is received from the terminal device, the virtual machine access information is analyzed to secure the user A security violation determination unit for determining whether a violation; And a user security manager configured to control the communication unit to down-regulate the permission of the target user virtual machine set in the user and to transmit information about the down-regulated permission to the terminal device, if it is determined that the user violates security. The server for enhancing the security of the virtual machine is provided.
통신부는 단말장치로부터 사용자가 타겟 사용자 가상머신을 사용한 이력 정보를 수신하며, 이력 정보 및 가상머신 접근정보를 저장하는 보안정보 데이터베이스;를 더 포함할 수 있다.The communication unit may further include a security information database for receiving a history information of the user using the target user virtual machine from the terminal device, and storing the history information and the virtual machine access information.
한편, 본 발명의 다른 실시예에 따른, 복수 개의 사용자 가상머신들 및 클라이언트 하이퍼바이저를 포함하는 단말장치의 가상머신 보안 강화 방법은, 사용자로부터 복수 개의 사용자 가상머신들 중 타겟 사용자 가상머신의 권한 인증에 필요한 사용자 보안 정보를 입력받는 단계; 입력되는 사용자 보안 정보에 의해 사용자의 권한 인증을 수행하는 단계; 및 권한이 인증되면, 복수 개의 사용자 가상머신 중 타겟 사용자 가상머신의 활성화를 요청하는 단계;를 포함할 수 있다.On the other hand, according to another embodiment of the present invention, a virtual machine security enhancement method of a terminal device including a plurality of user virtual machines and a client hypervisor, authorization of a target user virtual machine among a plurality of user virtual machines from a user Receiving user security information required for; Performing authorization authentication of a user based on input user security information; And if the authority is authenticated, requesting activation of the target user virtual machine among the plurality of user virtual machines.
수행하는 단계는 보안 가상머신에서 동작하는 보안 관리부, 및 클라이언트 하이퍼바이저에서 동작하는 보안 관리부 중 적어도 하나에 의해 수행될 수 있다.The performing may be performed by at least one of a security manager operating in the secure virtual machine and a security manager operating in the client hypervisor.
권한이 인증된 사용자가 타겟 사용자 가상머신을 사용한 이력 정보를 기록하는 단계;를 더 포함할 수 있다.The method may further include recording, by the authorized user, history information using the target user virtual machine.
사용자가 사용자 보안 정보를 입력하여 타겟 사용자 가상머신으로의 접근을 시도하면, 가상머신 접근정보-타겟 사용자 가상머신으로의 접근이 시도되었음을 나타내는 정보-를 기록하는 단계;를 더 포함할 수 있다.If the user attempts to access the target user virtual machine by inputting the user security information, recording the virtual machine access information-information indicating that the access to the target user virtual machine has been attempted.
사용자 보안 정보를 관리하는 보안 관리 서버에게 가상머신 접근정보를 전달하는 단계;를 더 포함하며, 보안 관리 서버는 가상머신 접근정보를 분석하여 사용자의 보안 위반 여부를 판단할 수 있다.And transmitting the virtual machine access information to the security management server managing the user security information. The security management server may analyze the virtual machine access information to determine whether the user has a security breach.
보안 관리 서버에서 사용자가 보안을 위반한 것으로 판단되면, 보안 관리 서버로부터 사용자에 설정된 타겟 사용자 가상머신의 사용권한이 하향조절되었음을 전달받는 단계;를 더 포함할 수 있다.If it is determined that the user violates security at the security management server, the method may further include receiving, from the security management server, that a right of use of the target user virtual machine set to the user is adjusted down.
한편, 본 발명의 다른 실시예에 따른, 복수 개의 사용자 가상머신들 및 클라이언트 하이퍼바이저를 포함하는 단말장치와 통신하는 서버의 가상머신 보안 강화 방법은, 단말장치로부터 가상머신 접근정보-사용자가 단말장치에서 복수 개의 사용자 가상머신으로의 접근을 시도한 정보-를 수신하는 단계; 수신된 가상머신 접근정보를 분석하여 사용자의 보안 위반 여부를 판단하는 단계; 및 사용자가 보안을 위반한 것으로 판단되면, 사용자에 설정된 타겟 사용자 가상머신의 사용권한을 하향조절하고, 하향조절된 사용권한에 대한 정보를 단말장치에게 전달하는 단계;를 포함할 수 있다.On the other hand, according to another embodiment of the present invention, a method for enhancing the security of a virtual machine of a server communicating with a terminal device including a plurality of user virtual machines and a client hypervisor, the virtual machine access information from the terminal device-user terminal device Receiving information attempting to access a plurality of user virtual machines at; Analyzing the received virtual machine access information to determine whether the user has a security breach; And if it is determined that the user violates the security, down-regulating the use right of the target user virtual machine set in the user, and transmitting information on the down-regulated use right to the terminal device.
단말장치로부터 사용자가 타겟 사용자 가상머신을 사용한 이력 정보를 수신하는 단계; 및 수신된 이력 정보 및 수신된 가상머신 접근정보를 저장하는 단계를 더 포함할 수 있다.Receiving history information of a user using a target user virtual machine from a terminal device; And storing the received history information and the received virtual machine access information.
본 발명의 일 실시예에 따르면, 사용자마다 가상 머신을 사용할 수 있는 권한을 설정하고, 권한이 있는 사용자만이 가상 머신을 사용할 수 있도록 하여, 사용자의 가상머신에 대한 접근을 효율적으로 관리할 수 있다. According to an embodiment of the present invention, the user can set the right to use the virtual machine for each user, and only the authorized user can use the virtual machine, thereby efficiently managing the user's access to the virtual machine. .
또한, 사용자의 가상머신에 대한 접근을 관리함으로써 가상머신의 보안을 강화할 수 있다.In addition, the security of the virtual machine can be strengthened by managing the user's access to the virtual machine.
또한, 사용자의 가상머신 접근정보를 기반으로 사용자의 보안 위반이 감지되면, 사용자에게 기부여된 권한을 하향조정함으로써, 가상머신의 보안을 보다 강화할 수 있다.In addition, if a user's security violation is detected based on the user's virtual machine access information, the security of the virtual machine may be further strengthened by downgrading the authority donated to the user.
도 1은 본 발명의 일 실시예에 따른 가상머신의 보안 강화를 위한 시스템의 네트워크 구성도이다.
도 2는 본 발명의 다른 실시예에 따른 가상머신의 보안 강화를 위한 시스템의 네트워크 구성도이다.
도 3은 본 발명의 일 실시예에 따른 단말장치의 가상머신 보안 강화 방법을 설명하기 위한 흐름도이다.
도 4는 본 발명의 다른 실시예에 따른 단말장치의 가상머신 보안 강화 방법을 설명하기 위한 흐름도이다.
도 5는 본 발명의 다른 실시예에 따른 보안 관리 서버의 가상머신 보안 강화 방법을 설명하기 위한 흐름도이다.1 is a network diagram of a system for strengthening security of a virtual machine according to an embodiment of the present invention.
2 is a network diagram of a system for strengthening security of a virtual machine according to another embodiment of the present invention.
3 is a flowchart illustrating a method for strengthening virtual machine security of a terminal device according to an embodiment of the present invention.
4 is a flowchart illustrating a virtual machine security hardening method of a terminal device according to another embodiment of the present invention.
5 is a flowchart illustrating a virtual machine security enhancement method of the security management server according to another embodiment of the present invention.
이상의 본 발명의 목적들, 다른 목적들, 특징들 및 이점들은 첨부된 도면과 관련된 이하의 바람직한 실시예들을 통해서 쉽게 이해될 것이다. 그러나 본 발명은 여기서 설명되는 실시예들에 한정되지 않고 다른 형태로 구체화될 수도 있다. 오히려, 여기서 소개되는 실시예들은 개시된 내용이 철저하고 완전해질 수 있도록 그리고 당업자에게 본 발명의 사상이 충분히 전달될 수 있도록 하기 위해 제공되는 것이다. 본 명세서에서, 어떤 구성요소가 다른 구성요소 상에 있다고 언급되는 경우에 그것은 다른 구성요소 상에 직접 형성될 수 있거나 또는 그들 사이에 제 3의 구성요소가 개재될 수도 있다는 것을 의미한다. BRIEF DESCRIPTION OF THE DRAWINGS The above and other objects, features, and advantages of the present invention will become more readily apparent from the following description of preferred embodiments with reference to the accompanying drawings. However, the present invention is not limited to the embodiments described herein but may be embodied in other forms. Rather, the embodiments disclosed herein are provided so that the disclosure can be thorough and complete, and will fully convey the scope of the invention to those skilled in the art. In this specification, when an element is referred to as being on another element, it may be directly formed on another element, or a third element may be interposed therebetween.
본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 '포함한다(comprises)' 및/또는 '포함하는(comprising)'은 언급된 구성요소는 하나 이상의 다른 구성요소의 존재 또는 추가를 배제하지 않는다.The terminology used herein is for the purpose of describing particular embodiments only and is not intended to be limiting of the invention. In the present specification, the singular form includes plural forms unless otherwise specified in the specification. The terms "comprises" and / or "comprising" used in the specification do not exclude the presence or addition of one or more other elements.
이하, 도면을 참조하여 본 발명을 상세히 설명하도록 한다. 아래의 특정 실시예들을 기술하는데 있어서, 여러 가지의 특정적인 내용들은 발명을 더 구체적으로 설명하고 이해를 돕기 위해 작성되었다. 하지만 본 발명을 이해할 수 있을 정도로 이 분야의 지식을 갖고 있는 독자는 이러한 여러 가지의 특정적인 내용들이 없어도 사용될 수 있다는 것을 인지할 수 있다. 어떤 경우에는, 발명을 기술하는 데 있어서 흔히 알려졌으면서 발명과 크게 관련 없는 부분들은 본 발명을 설명하는 데 있어 별 이유 없이 혼돈이 오는 것을 막기 위해 기술하지 않음을 미리 언급해 둔다. Hereinafter, the present invention will be described in detail with reference to the drawings. In describing the specific embodiments below, various specific details have been set forth in order to explain the invention in greater detail and to assist in understanding it. However, those skilled in the art can understand that the present invention can be used without these various specific details. In some cases, it is mentioned in advance that parts of the invention which are commonly known in the description of the invention and which are not highly related to the invention are not described in order to prevent confusion in explaining the invention without cause.
도 1은 본 발명의 일 실시예에 따른 가상머신의 보안 강화를 위한 시스템의 네트워크 구성도이다.1 is a network diagram of a system for strengthening security of a virtual machine according to an embodiment of the present invention.
도 1의 시스템은 가상머신의 보안을 강화하기 위하여, 사용자가 사용가능하도록 권한이 설정된 가상머신을 사용자에게 제공하며, 사용자가 가상머신을 사용하기 위해 로그인한 정보를 관리할 수 있다. 이를 위하여, 시스템은 통신망(10)을 통한 통신이 가능하도록 연결되는 단말장치(100) 및 보안 관리 서버(20)를 포함할 수 있다. 통신망(10)는 무선 또는 유선의 통신망을 통칭하며, 통신망의 종류는 한정되지 않는다.In order to enhance the security of the virtual machine, the system of FIG. 1 provides a virtual machine to which the user is authorized to be used, and manages information on which the user logs in to use the virtual machine. To this end, the system may include a
단말장치(100)는 여러 사용자가 공용할 수 있으며, 복수 개의 사용자 가상머신을 사용자에게 제공할 수 있다. 사용자가 보안 정보를 입력하면, 단말장치(100)는 사용자의 인증 결과 및 사용자에 할당된 사용 권한에 따라 사용자 가상머신을 사용할 수 있도록 한다.The
또한, 단말장치(100)는 클라이언트 하이퍼바이저를 기반으로 동작하는 장치이다. 일반적으로, 하이퍼바이저는 서버에서 다수의 운영체제를 동시에 실행하기 위한 가상 플랫폼으로, 가상머신 모니터라고 하기도 한다. 이러한 하이퍼바이저의 개념을 서버가 아닌 클라이언트에 적용한 것이 클라이언트 하이퍼바이저이다.In addition, the
보안 관리 서버(20)는 사용자가 권한 인증을 위해 기등록한 인증 정보, 사용자가 단말장치(100)에 접근한 기록 또는 사용자 가상머신에 접근한 기록 등 사용자와 관련된 보안 정보를 저장할 수 있다. 보안 정보에 대한 자세한 설명은 후술한다. 또한, 보안 관리 서버(20)는 서버측 통합 보안정보를 주기적으로 사용자에게 업데이트해 주어 사용자 기기에 보안을 관리한다.The
도 1을 참조하면, 본 발명의 일 실시예에 따른 단말장치(100)는 하드웨어부(110), 클라이언트 하이퍼바이저부(120), 보안 모듈(130), 제1사용자 모듈(140) 및 제2사용자 모듈(150)을 포함할 수 있다. Referring to FIG. 1, the
하드웨어부(110)는 복수 개의 가상머신들(131, 141, 151)에게 자원을 제공한다. 하드웨어부(110)에는 CPU(Central Processing Unit), HDD(Hard Disk Drive), 그래픽 카드, ROM, RAM, 입출력 디바이스, 배터리 또는 그 외 다수의 디바이스가 구비될 수 있다. 입출력 디바이스는, 단말장치(100)에 정보를 입력시키거나 정보를 출력하는 기능을 수행하며, 예를 들어, 모니터, 키보드, 네트워크 인터페이스 카드, 외장형 스토리지 등 다양하다.The
또한, 하드웨어부(110)에는 보안 정보 입력부(111) 및 보안 정보 저장부(113)가 더 구비될 수 있다. 보안 정보 입력부(111)는 사용자로부터 사용자 보안 정보를 입력받기 위한 사용자 인터페이스이다. 사용자 보안 정보는 아이디와 패스워드, 공인인증서 번호, 및 지문, 홍채, 음성 등의 생체 인식 정보 중 적어도 하나일 수 있다. 이를 위하여, 보안 정보 입력부(111)는 아이디와 패스워드, 또는, 공인인증서 번호를 입력받기 위한 키패드, 생체 정보를 입력받기 위한 물리적 기기 등을 포함할 수 있다.In addition, the
보안 정보 저장부(113)에는 사용자의 권한 인증을 위한 사용자 보안 정보와, 사용자에게 부여된 사용권한, 사용자에게 사용권한이 할당된 사용자 가상머신 리스트가 사용자 별로 저장된다. 보안 정보 저장부(113)는 보안 정보 처리부(135)와 연동하는 가상머신이 사용할 수 있도록 할당된 가상디스크일 수 있다. The security
예를 들어, 후술할 보안 정보 처리부(135)가 보안 모듈(130)에 포함되는 경우, 보안 정보 저장부(113)는 보안 가상머신(131)에게 할당된 가상디스크이다. 보안 정보 처리부(135, 147, 157)가 보안 모듈(130), 제1사용자 모듈(140) 및 제2사용자 모듈(150) 모두에 포함되는 경우, 보안 정보 저장부(113)는 보안 가상머신(131), 제1사용자 가상머신(141) 및 제2사용자 가상머신(151)에게 할당된 가상디스크일 수 있다.For example, when the security
권한 인증은 복수 개의 사용자 가상머신들 중 사용자에게 사용 권한이 할당된 가상머신을 사용하기 위해 수행되는 인증 과정이다. [표 1]은 권한 인증 방식 및 권한 인증을 위해 저장되는 사용자 보안 정보의 일 예를 보여준다.Authorization authentication is an authentication process performed to use a virtual machine to which a user is assigned a use authority among a plurality of user virtual machines. [Table 1] shows an example of authority authentication method and user security information stored for authority authentication.
[표 1]과 같은 권한 인증 방식 및 사용자 정보는 사용자 별로 저장될 수 있다.The authorization authentication method and user information as shown in [Table 1] may be stored for each user.
클라이언트 하이퍼바이저부(120)는 하드웨어부(110) 상에 설치되며, 보안 모듈(130), 제1사용자 모듈(140) 및 제2사용자 모듈(150)을 선택적으로 동작시킬 수 있다. 이를 위하여, 클라이언트 하이퍼바이저부(120)는 해당 모듈(130, 140, 150)의 가상머신(131, 141, 151)에게 자원의 사용권한을 부여할 수 있다.The
가상머신들(131, 141, 151)은 클라이언트 하이퍼바이저부(120)로부터 자원의 사용권한을 부여받으면, 동작을 시작한다. 입출력 제어권을 포함한 자원의 사용권한(이하, '제1자원 사용권한'이라 함)을 부여받을 경우, 해당 가상머신은 단말장치(100) 내의 메인에서 동작할 수 있다. 또한, 입출력 제어권을 포함하지 않은 자원의 사용권한(이하, 제2자원 사용권한'이라 함)을 부여받을 경우, 해당 가상머신은 사용자 단말장치(100) 내의 백그라운드에서 동작을 할 수 있다. 백그라운드에서 동작하는 경우, 해당 모듈은 동작하고 있는 상태이나, 사용자가 해당 모듈의 동작을 인식하지 못할 수 있다.When the
클라이언트 하이퍼바이저부(120)는 보안 모듈(130)의 보안 관리부(137)로부터 제1 및 제2사용자 가상머신들(141, 151) 중 타겟 사용자 가상머신의 동작 요청을 받을 수 있다. 이 경우, 클라이언트 하이퍼바이저부(120)는 제1 또는 제2자원 사용권한을 타겟 사용자 가상머신에게 부여할 수 있다. OS 스위칭부(121)는 클라이언트 하이퍼바이저부(120) 내에 설치되며, 클라이언트 하이퍼바이저부(120)가 보안 가상머신(131), 제1 및 제2사용자 가상머신들(141, 151)을 선택적으로 동작시킬 때, 자원 사용권한의 부여 및 회수, 또는 입출력 제어권의 부여 및 회수를 위해 동작한다.The
보안 가상머신(131), 제1 및 제2사용자 가상머신들(141, 151)은 클라이언트 하이퍼바이저부(120)에 의해 자원을 할당받아 동작할 수 있다.The secure
먼저, 보안 모듈(130)은 사용자의 권한 인증을 수행하며, 권한 인증이 성공하면, 사용자가 요청한 가상머신의 활성화를 클라이언트 하이퍼바이저부(120)에게 요청한다. 이를 위하여, 보안 모듈(130)은 보안 가상머신(131), 보안 운영체제부(133), 보안 정보 처리부(135) 및 보안 관리부(137)를 포함할 수 있다.First, the
단말장치(100)의 전원이 온 되면, 보안 모듈(130)은 클라이언트 하이퍼바이저부(120)로부터 제1 또는 제2자원 사용권한을 부여받음으로써, 활성화 상태에 있게 된다.When the
보안 가상머신(131)은 클라이언트 하이퍼바이저부(120) 상에 최우선적으로 설치되고, 보안 운영체제부(133)는 보안 가상머신(131) 상에 설치되며, 보안 정보 처리부(135) 및 보안 관리부(137)는 보안 운영체제부(133) 상에 설치된다.The security
보안 정보 처리부(135)는 보안 정보 입력부(111)를 통해 입력되는 사용자 보안 정보를 분석하고, 분석 결과를 보안 관리부(137)로 전달할 수 있다. 예를 들어, 보안 정보 처리부(135)는 공인인증서 해독을 위한 키와 프로그램을 이용하여, 사용자가 입력한 공인인증서 번호를 해독할 수 있다. 또는, 보안 정보 처리부(135)는 사용자가 입력한 지문 또는 홍채를 분석할 수 있다.The security
보안 관리부(137)는 사용자 보안 정보의 분석결과와 보안 정보 저장부(113)에 저장된 사용자 보안 정보를 비교하여 사용자의 권한 인증을 수행할 수 있다. 즉, 보안 관리부(137)는 사용자가 타겟 사용자 가상머신을 사용가능한지 여부를 판단한다. 이러한 사용자의 권한 인증은 보안 정보 처리부(135)에서 수행될 수도 있다.The
사용자 보안 정보의 분석결과와 저장된 사용자 보안 정보가 일치하면, 사용자는 제1 및 제2사용자 가상머신들(141, 151) 중 사용자에게 할당된 타겟 사용자 가상머신을 사용할 수 있다. 이를 위하여, 권한 인증이 수행되면, 보안 관리부(137)는 타겟 사용자 가상머신의 활성화를 클라이언트 하이퍼바이저부(120)에게 요청할 수 있다. 이로써, 클라이언트 하이퍼바이저부(120)는 타겟 사용자 가상머신이 메인에서 동작하도록 타겟 사용자 가상머신이 메인에 자원을 할당한다.If the analysis result of the user security information matches the stored user security information, the user may use the target user virtual machine assigned to the user among the first and second user
또한, 보안 관리부(137)는 사용자의 권한 인증이 성공한 후, 사용자가 타겟 사용자 가상머신의 사용을 요청하면, 사용자 가상머신 리스트에 타겟 사용자 가상머신이 포함되어 있으면, 타겟 사용자 가상머신의 활성화를 클라이언트 하이퍼바이저부(120)에게 요청할 수 있다.In addition, if the user requests the use of the target user virtual machine after the user authentication is successful, the
또한, 보안 관리부(137)는 권한이 인증된 사용자가 타겟 사용자 가상머신을 사용한 이력 정보를 기록할 수 있다.In addition, the
또한, 보안 관리부(137)는 사용자가 사용자 보안 정보를 입력하여 타겟 사용자 가상머신으로의 접근을 시도하면, 가상머신 접근정보를 기록할 수 있다. 가상머신 접근정보는 사용자에 의해 타겟 사용자 가상머신으로의 접근이 시도되었음을 나타내는 정보이다. 따라서, 가상머신 접근정보는 권한 인증의 성공 여부와 관계없이 기록될 수 있다. 보안 관리부(137)는 이력 정보와 가상머신 접근정보를 로그 형태로 기록할 수 있다.In addition, when the user attempts to access the target user virtual machine by inputting the user security information, the
이하에서는, 사용자가 보안 정보 입력부(111)를 통해 입력하는 사용자 보안 정보, 보안 관리부(137)에 의해 기록되는 이력 정보 및 가상머신 접근정보 중 적어도 하나를 포함하는 정보를 통합 보안 정보라 한다. 보안 관리부(137)는 사용자의 보안 정보를 관리하는 보안 관리 서버(20)에게 통합 보안 정보 전체 또는 일부를 전송할 수 있다.Hereinafter, information including at least one of user security information input by the user through the security
보안 관리부(137)가 가상머신 접근정보를 전송하는 경우, 보안 관리 서버(20)는 가상머신 접근정보를 분석하여 사용자의 보안 위반 여부를 판단할 수 있다. 이에 대해서는 후술하기로 한다.When the
한편, 제1사용자 모듈(140)은 제1사용자 가상머신(141), 제1사용자 운영체제부(143) 및 제1사용자 어플리케이션부(145)를 포함하며, 옵션으로 보안 정보 처리부(147)를 더 포함할 수 있다.Meanwhile, the
제1사용자 가상머신(141)은 클라이언트 하이퍼바이저부(120) 상에 최우선적으로 설치되고, 제1사용자 운영체제부(143)는 제1사용자 가상머신(141) 상에 설치되며, 제1사용자 어플리케이션부(145)는 제1사용자 운영체제부(143) 상에 설치된다. 제1사용자 어플리케이션부(145)는 제1사용자 가상머신(141) 및 제1사용자 운영체제부(232)가 동작되면, 사용자의 선택에 의해 해당 어플리케이션의 동작을 시작할 수 있다.The first user
제2사용자 모듈(150)은 제2사용자 가상머신(151), 제2사용자 운영체제부(153) 및 제2사용자 어플리케이션부(155)를 포함하며, 옵션으로 보안 정보 처리부(157)를 더 포함할 수 있다. 제2사용자 모듈(150)은 제1사용자 모듈(140)과 유사하므로, 제2사용자 모듈(150)의 설명은 생략한다. The
보안 정보 처리부(137, 147, 157)는 입력되는 사용자 보안 정보를 분석하기 위한 구성요소로서, 보안 모듈(130), 제1 및 제2사용자 모듈(140, 150) 중 적어도 하나에 설치될 수 있다. 따라서, 도면에서는 제1 및 제2사용자 모듈(140, 150)에 설치된 보안 정보 처리부(147, 157)는 점선으로 표시되었다. The
사용자가 요청한 타겟 사용자 가상머신이 제1사용자 가상머신(141)인 경우, 보안 관리부(137)는 클라이언트 하이퍼바이저부(120)에게 제1사용자 가상머신(141)의 활성화를 요청한다. 이에 의해, OS 스위칭부(121)는 제1사용자 가상머신(141)에게 제1사용권한이 할당되도록 제1사용자 가상머신(141)을 스위칭한다. 사용자가 제1사용자 가상머신(141)을 사용하는 동안, 사용자가 제1사용자 가상머신(141)을 사용한 이력 정보는 보안 관리부(137)에 의해 기록된다. When the target user virtual machine requested by the user is the first user
이하에서는 도 1을 참조하여 보안 관리 서버(20)에 대해 설명한다.Hereinafter, the
도 1을 참조하면, 보안 관리 서버(20)는 통신부(21), 보안정보 데이터베이스(DB: DataBase)(22), 보안 위반 판단부(23) 및 사용자 보안 관리부(24)를 포함할 수 있다.Referring to FIG. 1, the
통신부(21)는 단말장치(100)와 통신망(10)을 통해 통신한다. 통신부(21)는 단말장치(100)로부터 통합 보안 정보를 수신하며, 단말장치(100)에게 변경된 통합 보안 정보를 전송할 수 있다.The
보안정보 DB(22)에는 단말장치(100)로부터 수신되는 통합 보안 정보가 저장될 수 있다. 보안정보 DB(22)에는 단말장치(100) 외의 기기들로부터 수신되는 통합 보안 정보도 저장될 수 있다. 따라서, 보안 관리 서버(20)는 여러 단말장치들의 통합 보안 정보를 관리할 수 있다. 통합 보안 정보는 상술한 바와 같이, 사용자 보안 정보, 이력 정보 및 가상머신 접근정보 중 적어도 하나를 포함할 수 있다. 사용자가 사용자 보안 정보를 보안 관리 서버(20)를 통해 변경하는 경우, 보안 관리 서버(20)는 단말장치(100)에게 변경된 보안 정보를 전송할 수 있다.The
보안 위반 판단부(23)는 단말장치(100)로부터 통합보안정보가 수신되어 보안정보 DB(22)에 업데이트될 때마다 보안 위반 여부를 판단할 수 있다. 특히, 보안 위반 판단부(23)는 단말장치(100)로부터 가상머신 접근정보를 포함하는 통합 보안 정보가 수신되면, 가상머신 접근정보를 분석하여 사용자의 보안 위반 여부를 판단할 수 있다. 예를 들어, 가상머신 접근정보의 분석 결과, 사용자가 설정된 최대횟수만큼 권한 인증에 실패하거나, 또는 권한 인증이 성공한 후, 허가되지 않은 사용자 가상 머신으로의 접근을 시도한 것으로 확인되면, 보안 위반 판단부(23)는 사용자가 보안을 위반한 것으로 판단할 수 있다.The security
사용자 보안 관리부(24)는 단말장치(100)에게 사용자의 보안과 관련된 정보를 전송하도록 통신부(21)를 제어할 수 있다. 예를 들어, 사용자가 보안을 위반한 것으로 판단되면, 사용자 보안 관리부(24)는 사용자에 대해 설정된 타겟 사용자 가상머신의 사용권한을 하향조절하고, 하향조절된 사용권한에 대한 정보를 단말장치(100)에게 전달하도록 통신부(21)를 제어할 수 있다. The user security manager 24 may control the
하향조절된 사용권한은 단말장치(100) 자체의 사용을 불허하거나, 또는 타겟 사용자 가상머신으로의 접근을 금지하는 등 다양한 옵션 중 하나일 수 있다. 이에 따라, 단말장치(100)의 보안 관리부(137)는 보안 정보 저장부(113)에 저장된 사용 권한 또는 사용가능한 가상머신을 변경 또는 삭제할 수 있다.The down-regulated usage rights may be one of various options such as disallowing use of the
또한, 사용자 보안 관리부(137)는 통합 보안 정보에 변경사항이 발생하면, 변경된 정보를 단말장치(100)에게 전송하여 업데이트하도록 한다.In addition, when a change occurs in the integrated security information, the
도 2는 본 발명의 다른 실시예에 따른 가상머신의 보안 강화를 위한 시스템의 네트워크 구성도이다.2 is a network diagram of a system for strengthening security of a virtual machine according to another embodiment of the present invention.
도 2를 참조하여, 시스템은 통신망(10)을 통한 통신이 가능하도록 연결되는 단말장치(200) 및 보안 관리 서버(20)를 포함할 수 있다. 단말장치(200) 는 도 1을 참조하여 설명한 단말장치(100)와 유사하다. 다만, 도 1의 단말장치(100)는 보안 강화를 위한 기능을 보안 가상머신을 이용하여 제공하는 반면, 도 2의 단말장치(200)는 보안 가상머신을 이용하지 않는다. Referring to FIG. 2, the system may include a
도 2를 참조하면, 단말장치(200)는 하드웨어부(210), 클라이언트 하이퍼바이저부(220), 제1사용자 모듈(230) 및 제2사용자 모듈(240)을 포함할 수 있다.Referring to FIG. 2, the
하드웨어부(210), 제1사용자 모듈(230) 및 제2사용자 모듈(240)은 도 1의 하드웨어부(110), 제1사용자 모듈(140) 및 제2사용자 모듈(150)과 유사하므로 상세한 설명은 생략한다. The
클라이언트 하이퍼바이저부(220)는 하드웨어부(210) 상에 설치되며, 제1사용자 모듈(230) 및 제2사용자 모듈(240)을 선택적으로 동작시킬 수 있다. 이를 위하여, 클라이언트 하이퍼바이저부(220)는 해당 모듈(230, 240, 150)의 가상머신(231, 241)에게 자원의 사용권한을 부여할 수 있다.The
클라이언트 하이퍼바이저부(220)는 OS 스위칭부(221) 및 보안부(223)를 포함할 수 있다. OS 스위칭부(221)는 자원 사용권한의 부여 및 회수, 또는 입출력 제어권의 부여 및 회수를 위해 스위칭 동작을 수행한다. The
제1사용자 모듈(230) 및 제2사용자 모듈(240)은 클라이언트 하이퍼바이저부(220)에 의해 자원을 할당받아 동작할 수 있다.The
보안부(223)는 보안 정보 처리부(223a) 및 보안 관리부(223b)를 포함할 수 있다. 보안 정보 처리부(223a) 및 보안 관리부(223b)는 도 1의 보안 정보 처리부(135) 및 보안 관리부(137)과 거의 동일하므로 간단히 설명한다. The
보안 정보 처리부(223a)는 보안 정보 입력부(211)를 통해 입력되는 사용자 보안 정보를 분석하고, 분석 결과를 보안 관리부(223b)로 전달할 수 있다. The
보안 관리부(223b)는 사용자 보안 정보의 분석결과와 보안 정보 저장부(213)에 저장된 사용자 보안 정보를 비교하여 사용자의 권한 인증을 수행할 수 있다. 사용자 보안 정보의 분석결과와 저장된 사용자 보안 정보가 일치하면, 보안 관리부(223b)는 사용자가 사용을 요청한 타겟 사용자 가상머신의 활성화를 클라이언트 하이퍼바이저부(120)에게 요청할 수 있다. 타겟 사용자 가상머신은 제1사용자 가상머신(231) 및 제2사용자 가상머신(241) 중 하나이다.The
또한, 보안 관리부(223b)는 도 1을 참조하여 설명한 이력 정보와 가상머신 접근정보를 기록하고, 이를 포함하는 통합 보안 정보를 보안 관리 서버(20)에게 전송할 수 있다. 보안 관리 서버(20)로부터 사용자의 하향조절된 사용권한이 입력되면, 보안 관리부(223b)는 보안 정보 DB(22)에 저장된 사용자의 권한 정보를 업데이트할 수 있다. In addition, the
도 3은 본 발명의 일 실시예에 따른 단말장치의 가상머신 보안 강화 방법을 설명하기 위한 흐름도이다.3 is a flowchart illustrating a method for strengthening virtual machine security of a terminal device according to an embodiment of the present invention.
도 3은 도 1을 참조하여 설명한 단말장치(100)에 의해 동작될 수 있다.3 may be operated by the
사용자가 사용자 보안 정보를 입력하면(S310), 단말장치는 입력된 사용자 보안 정보를 분석하여 사용자의 권한을 인증할 수 있다(S320). S310단계에서 입력되는 사용자 보안 정보는 예를 들어, 공인인증서 번호, 홍채, 지문, 아이디와 패스워드, 음성 등 사용자를 식별할 수 있는 정보이다. When the user inputs the user security information (S310), the terminal device may analyze the input user security information and authenticate the user's authority (S320). User security information input in step S310 is, for example, information that can identify the user, such as a certificate number, iris, fingerprint, ID and password, voice.
사용자의 권한 인증이 성공하면(S330), 즉, 사용자가 사용자 가상 머신의 사용이 가능한 것으로 판단되면, 단말장치는 타겟 사용자 가상 머신에게 자원을 할당하여 타겟 사용자 가상 머신을 활성화할 수 있다(S340).If the authorization of the user succeeds (S330), that is, if the user determines that the user virtual machine can be used, the terminal device may allocate resources to the target user virtual machine to activate the target user virtual machine (S340). .
단말장치는 사용자가 타겟 사용자 가상 머신을 사용하는 동안 이력 정보를 기록할 수 있다(S350). 이력 정보는 타겟 사용자 가상 머신이 사용되는 이력과 관련된 정보이다. The terminal device can record history information while the user uses the target user virtual machine (S350). The history information is information related to the history of the target user virtual machine used.
반면, 사용자의 권한 인증이 실패하면(S330), 단말장치는 가상머신 접근정보를 기록한다(S360). 즉, 단말장치는 S310단계에서 입력된 사용자 보안 정보와 사용자가 허락되지 않은 사용자 가상머신에 접근을 시도한 정보 등을 기록한다.On the other hand, if the user's authority authentication fails (S330), the terminal device records the virtual machine access information (S360). That is, the terminal device records the user security information input in step S310 and the information that the user attempted to access the user virtual machine is not allowed.
도 4는 본 발명의 다른 실시예에 따른 단말장치의 가상머신 보안 강화 방법을 설명하기 위한 흐름도이다.4 is a flowchart illustrating a virtual machine security hardening method of a terminal device according to another embodiment of the present invention.
도 4는 도 1을 참조하여 설명한 단말장치(100)에 의해 동작될 수 있으며, 보안 정보 입력부, 보안 정보 처리부, 보안 관리부, OS 스위칭부 및 보안 관리 서버는 도 1에 도시된 구성요소일 수 있다.FIG. 4 may be operated by the
보안 정보 입력부가 사용자로부터 사용자 보안 정보를 입력받으면(S400), 보안 정보 입력부는 입력된 사용자 보안 정보를 보안 정보 처리부로 전달한다(S410).When the security information input unit receives user security information from the user (S400), the security information input unit transfers the input user security information to the security information processing unit (S410).
보안 정보 처리부는 사용자 보안 정보를 분석하고(S420), 분석된 결과를 보안 관리부(430)에게 전달한다.The security information processing unit analyzes user security information (S420), and delivers the analyzed result to the security management unit 430.
보안 관리부는 분석 결과와 보안 정보 저장부에 저장된 정보를 비교하여 사용자 권한 인증을 수행한다. 권한 인증이 성공하고, 사용자가 사용가능한 타겟 사용자 가상 머신이 사용자 가상머신 리스트 상에 포함되면(S440), 보안 관리부는 타겟 사용자 가상 머신의 활성화를 클라이언트 하이퍼바이저부에게 요청한다(S450).The security manager compares the analysis result with the information stored in the security information storage unit and performs user authority authentication. If the authorization is successful and the target user virtual machine usable by the user is included on the user virtual machine list (S440), the security manager requests the client hypervisor unit to activate the target user virtual machine (S450).
클라이언트 하이퍼바이저부의 OS 스위칭부는 타겟 사용자 가상머신을 스위칭하여 타겟 사용자 가상 머신을 사용하는데 필요한 자원을 할당하고, 그 결과를 보안 관리부에게 보고한다(S460).The OS switching unit of the client hypervisor unit allocates resources required to use the target user virtual machine by switching the target user virtual machine, and reports the result to the security manager (S460).
보안 관리부는 사용자가 타겟 사용자 가상머신을 사용하는 이력 정보를 기록한다(S470).The security manager records history information of the user using the target user virtual machine (S470).
반면, S440단계에서, 사용자의 권한 인증이 실패하였거나, 사용가능한 사용자 가상머신이 없는 것으로 확인되면, 보안 관리부는 가상머신 접근정보를 기록한다(S480).On the other hand, in step S440, if the authorization of the user has failed, or it is confirmed that there is no user virtual machine available, the security management unit records the virtual machine access information (S480).
보안 관리부는 기록된 이력 정보, 가상머신 접근정보, 사용자 보안 정보 중 적어도 하나를 포함하는 통합 보안 정보를 보안 관리 서버에게 전송한다(S490).The security manager transmits the integrated security information including at least one of recorded history information, virtual machine access information, and user security information to the security management server (S490).
도 5는 본 발명의 다른 실시예에 따른 보안 관리 서버의 가상머신 보안 강화 방법을 설명하기 위한 흐름도이다.5 is a flowchart illustrating a virtual machine security enhancement method of the security management server according to another embodiment of the present invention.
도 5는 도 1을 참조하여 설명한 보안 관리 서버(20)에 의해 동작될 수 있으며, 통신부, 보안 위반 판단부, 사용자 보안 관리부 및 단말장치는 도 1에 도시된 구성요소일 수 있다.5 may be operated by the
통신부는 단말장치로부터 통합 보안 정보를 수신하고(S510), 수신된 통합 보장 정보를 보안 위반 판단부와 사용자 보안 관리부로 전달한다(S515, 520). 통합 보안 정보는 사용자의 이력 정보, 가상머신 접근 정보, 사용자 보안 정보 중 적어도 하나를 포함할 수 있다.The communication unit receives the integrated security information from the terminal device (S510), and transmits the received integrated security information to the security violation determination unit and the user security management unit (S515, 520). The integrated security information may include at least one of user history information, virtual machine access information, and user security information.
사용자 보안 관리부는 전달받은 통합 보안 정보를 보안정보 DB에 저장한다(S525).The user security management unit stores the received integrated security information in the security information DB (S525).
보안 위반 판단부는 전달받은 통합 보안 정보에 가상머신 접근 정보가 포함되어 있으면, 가상머신 접근정보를 분석하여 사용자의 보안 위반 여부를 판단한다(S530).If the security violation determination unit includes the virtual machine access information in the received integrated security information, and determines the user's security violation by analyzing the virtual machine access information (S530).
분석 결과, 사용자의 보안 위반이 판단되면, 보안 위반 판단부는 사용자의 보안 위반이 발견되었음을 사용자 보안 관리부에게 보고한다(S540).As a result of the analysis, if a security breach of the user is determined, the security breach determination unit reports to the user security manager that a security breach of the user is found (S540).
사용자 보안 관리부는 보안 위반 판단부의 보고에 의해, 위반에 대처하기 위한 방식을 결정한다(S545). 예를 들어, 사용자 보안 관리부는 사용자에 대해 설정된 타겟 사용자 가상머신의 사용권한, 즉, 권한 정보를 변경할 필요가 있는지 판단하고, 변경할 필요가 있으면, 사용권한을 하향조절할 수 있다.The user security management unit determines a method for coping with the violation by the report of the security violation determination unit (S545). For example, the user security manager may determine whether the user's right to use the target user virtual machine set up for the user, that is, the authority information, needs to be changed, and if necessary, the user security manager may adjust the use right down.
사용자의 권한 정보가 변경되면(S550), 사용자 보안 관리부는 변경된 권한 정보가 단말장치에게 전송되도록 한다(S555).When the authority information of the user is changed (S550), the user security manager allows the changed authority information to be transmitted to the terminal device (S555).
사용자 보안 관리부는 변경된 사용자의 권한 정보를 보안정보 DB에 저장하고(S560), 대기모드로 동작할 수 있다(S565). 대기모드는 예를 들어 단말장치와의 통신을 대기하거나, 그 외 보안 관리 서버에서 발생할 수 있는 동작을 대기하는 모드이다.The user security manager stores the changed user's authority information in the security information DB (S560) and may operate in the standby mode (S565). The standby mode is a mode, for example, waiting for communication with a terminal device or waiting for an operation that may occur in another security management server.
상술한 도 1 및 도 2의 실시예에서, 각 구성요소는 하나의 기능 블록 안에 포함된 것으로 도시되었으나 이는 설명의 편의를 위한 것으로 반드시 하나의 장치에 구현되는 것을 의미하는 것이 아니다. 따라서, 이러한 구성에만 본원 발명이 한정되는 것이 아니며, 예를 들면, 이들 구성요소의 적어도 하나 이상은 별도의 기능 블록으로 구현되는 것도 가능하다. 여기서, 별도라고 함은 논리적으로 구분되거나, 위치적으로 구분되거나, 또는 서로 다른 소프트웨어나 하드웨어로 구분되는 것을 포함하는 의미이다.1 and 2 described above, each component is shown as being included in one functional block, but this is for convenience of description and does not necessarily mean that it is implemented in one apparatus. Therefore, the present invention is not limited only to such a configuration, and for example, at least one or more of these components may be implemented as separate functional blocks. Here, the term "separate" means to include logically divided, positionally divided, or different software or hardware.
본 발명의 실시 예에 따른 방법들은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다.The methods according to embodiments of the present invention may be implemented in the form of program instructions that can be executed through various computer means and recorded in a computer-readable medium. The computer readable medium may include program instructions, data files, data structures, etc. alone or in combination. The program instructions recorded on the medium may be those specially designed and constructed for the present invention or may be available to those skilled in the art of computer software.
이상과 같이 본 발명은 비록 한정된 실시예와 도면에 의해 설명되었으나, 본 발명은 상기의 실시 예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다.While the invention has been shown and described with reference to certain preferred embodiments thereof, it will be understood by those of ordinary skill in the art that various changes in form and details may be made therein without departing from the spirit and scope of the invention as defined by the appended claims. This is possible.
그러므로, 본 발명의 범위는 설명된 실시 예에 국한되어 정해져서는 아니 되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다. Therefore, the scope of the present invention should not be limited to the described embodiments, but should be determined by the equivalents of the claims, as well as the claims.
100: 단말장치 110: 하드웨어부
120: 클라이언트 하이퍼바이저부 130: 보안 모듈
140: 제1사용자 모듈 150: 제2사용자 모듈100: terminal device 110: hardware unit
120: client hypervisor unit 130: security module
140: first user module 150: second user module
Claims (20)
상기 입력되는 사용자 보안 정보에 의해 상기 사용자의 권한 인증이 수행되면, 사용자에게 해당 서비스를 제공하는 복수 개의 사용자 가상머신들 중 타겟 사용자 가상머신의 활성화를 클라이언트 하이퍼바이저부에게 요청하고, 상기 권한이 인증된 상기 사용자가 상기 타겟 사용자 가상머신을 사용한 이력 정보를 기록하는 보안 관리부;를 포함하는, 가상머신의 보안 강화를 위한 단말장치.A security information input unit for receiving user security information required for authorization from a user; And
When authorization of the user is performed by the input user security information, requesting the client hypervisor unit to activate a target user virtual machine among a plurality of user virtual machines providing a corresponding service to the user, and the authority is authenticated. And a security manager configured to record history information of the user using the target user virtual machine.
상기 사용자에게 사용권한이 할당된 사용자 가상머신 리스트를 저장하는 보안 정보 저장부;를 더 포함하며,
상기 사용자가 상기 타겟 사용자 가상머신의 사용을 요청하면, 상기 보안 관리부는 상기 사용자 가상머신 리스트에 상기 타겟 사용자 가상머신이 포함되어 있으면, 상기 타겟 사용자 가상머신의 활성화를 상기 클라이언트 하이퍼바이저부에게 요청하는 것을 특징으로 하는, 가상머신의 보안 강화를 위한 단말장치.The method of claim 1,
And a security information storage unit for storing the user virtual machine list to which the user is assigned a use right.
When the user requests the use of the target user virtual machine, the security manager requests the client hypervisor to activate the target user virtual machine if the target user virtual machine is included in the user virtual machine list. Characterized in that the terminal device for enhancing the security of the virtual machine.
상기 사용자가 상기 사용자 보안 정보를 입력하여 상기 타겟 사용자 가상머신으로의 접근을 시도하면, 상기 보안 관리부는, 가상머신 접근정보-상기 타겟 사용자 가상머신으로의 접근이 시도되었음을 나타내는 정보-를 기록하는 것을 특징으로 하는, 가상머신의 보안 강화를 위한 단말장치.The method of claim 1,
When the user attempts to access the target user virtual machine by inputting the user security information, the security manager records the virtual machine access information-information indicating that access to the target user virtual machine has been attempted. Characterized in that the terminal device for enhancing the security of the virtual machine.
상기 보안 관리부는 상기 사용자 보안 정보를 관리하는 보안 관리 서버에게 상기 가상머신 접근정보를 전달하며,
상기 보안 관리 서버는 상기 가상머신 접근정보를 분석하여 상기 사용자의 보안 위반 여부를 판단하는 것을 특징으로 하는, 가상머신의 보안 강화를 위한 단말장치.5. The method of claim 4,
The security management unit delivers the virtual machine access information to a security management server that manages the user security information,
The security management server analyzes the virtual machine access information to determine whether or not a security breach of the user, the terminal device for strengthening the security of the virtual machine.
상기 보안 관리 서버는 상기 사용자가 보안을 위반한 것으로 판단되면, 상기 사용자에 설정된 상기 타겟 사용자 가상머신의 사용권한을 하향조절하고, 상기 하향조절된 사용권한에 대한 정보를 상기 보안 관리부에게 전달하는 것을 특징으로 하는, 가상머신의 보안 강화를 위한 단말장치.The method of claim 5,
If it is determined that the user violates the security, the security management server down-regulates the use right of the target user virtual machine set in the user, and transmits information on the down-regulated use right to the security management unit. Characterized in that the terminal device for enhancing the security of the virtual machine.
상기 사용자의 보안 위반 여부는 상기 사용자가 권한 인증이 실패한 횟수를 기초로 판단되는 것을 특징으로 하는, 가상머신의 보안 강화를 위한 단말장치.The method of claim 5,
The security breach of the user is characterized in that the user is determined based on the number of times that the authorization failed, terminal device for enhancing the security of the virtual machine.
상기 클라이언트 하이퍼바이저부는, 상기 타겟 사용자 가상머신의 사용자 가상머신에게 입출력 제어권을 부여하는 OS 스위칭부;를 포함하는 것을 특징으로 하는 가상머신의 보안 강화를 위한 단말장치.The method of claim 1,
The client hypervisor unit, OS switching unit for granting the input and output control rights to the user virtual machine of the target user virtual machine; Terminal device for enhancing the security of the virtual machine.
상기 보안 관리부는 보안 가상머신에 의해 동작되는 것을 특징으로 하는, 가상머신의 보안 강화를 위한 단말장치.The method of claim 1,
The security management unit is operated by a secure virtual machine, the terminal device for enhancing the security of the virtual machine.
상기 보안 관리부는 상기 클라이언트 하이퍼바이저부 내에서 동작되는 것을 특징으로 하는, 가상머신의 보안 강화를 위한 단말장치.The method of claim 1,
The security manager is operated in the client hypervisor, characterized in that the terminal device for enhanced security of the virtual machine.
상기 단말장치로부터 가상머신 접근정보-사용자가 상기 단말장치에서 상기 복수 개의 사용자 가상머신으로의 접근을 시도한 정보-가 수신되면, 상기 가상머신 접근정보를 분석하여 상기 사용자의 보안 위반 여부를 판단하는 보안 위반 판단부;
상기 사용자가 보안을 위반한 것으로 판단되면, 상기 사용자에 설정된 타겟 사용자 가상머신의 사용권한을 하향조절하고, 상기 하향조절된 사용권한에 대한 정보를 상기 단말장치에게 전달하도록 상기 통신부를 제어하는 사용자 보안 관리부; 및
상기 가상머신 접근정보 및 상기 통신부가 상기 단말장치로부터 수신한 이력 정보-상기 사용자가 상기 타겟 사용자 가상머신을 사용한 이력에 대한 정보임-를 저장하는 보안정보 데이터베이스;를 포함하며,
상기 단말장치는 상기 복수 개의 사용자 가상머신들 중 하나를 활성화하는 클라이언트 하이퍼바이저부를 포함하는, 가상머신의 보안 강화를 위한 서버.A communication unit communicating with a terminal device including a plurality of user virtual machines;
When the virtual machine access information received from the terminal device-information that the user attempted to access the plurality of user virtual machines from the terminal device-security to analyze the virtual machine access information to determine whether the security violation of the user Violation determination unit;
If it is determined that the user violates security, the user security for controlling the communication unit to down-regulate the use right of the target user virtual machine set in the user and to transmit information about the down-regulated use right to the terminal device. Management; And
And a security information database for storing the virtual machine access information and history information received from the terminal device from the terminal device, which is information on a history of the user using the target user virtual machine.
The terminal device includes a client hypervisor for activating one of the plurality of user virtual machines, the server for enhancing the security of the virtual machine.
사용자로부터 상기 복수 개의 사용자 가상머신들 중 타겟 사용자 가상머신의 권한 인증에 필요한 사용자 보안 정보를 입력받는 단계;
상기 입력되는 사용자 보안 정보에 의해 상기 사용자의 권한 인증을 수행하는 단계;
상기 권한이 인증되면, 상기 복수 개의 사용자 가상머신 중 타겟 사용자 가상머신을 활성화시키는 단계; 및
상기 권한이 인증된 상기 사용자가 상기 타겟 사용자 가상머신을 사용한 이력 정보를 기록하는 단계;를 포함하는, 가상머신 보안 강화 방법.In the virtual machine security enhancement method of a terminal device comprising a plurality of user virtual machines and a client hypervisor,
Receiving user security information required for authorization of a target user virtual machine among the plurality of user virtual machines from a user;
Performing authorization authentication of the user based on the input user security information;
If the authority is authenticated, activating a target user virtual machine among the plurality of user virtual machines; And
And recording history information of the authorized user using the target user virtual machine.
상기 수행하는 단계는 보안 가상머신에서 동작하는 보안 관리부, 및 클라이언트 하이퍼바이저에서 동작하는 보안 관리부 중 적어도 하나에 의해 수행되는 것을 특징으로 하는, 가상머신 보안 강화 방법.The method of claim 13,
The performing of the step is performed by at least one of a security management unit operating in a secure virtual machine, and a security management unit operating in a client hypervisor, virtual machine security strengthening method.
상기 사용자가 상기 사용자 보안 정보를 입력하여 상기 타겟 사용자 가상머신으로의 접근을 시도하면, 가상머신 접근정보-상기 타겟 사용자 가상머신으로의 접근이 시도되었음을 나타내는 정보-를 기록하는 단계;를 더 포함하는 것을 특징으로 하는, 가상머신 보안 강화 방법.The method of claim 13,
Recording the virtual machine access information-information indicating access to the target user virtual machine when the user attempts to access the target user virtual machine by inputting the user security information; Characterized in that the virtual machine security enhancement method.
상기 사용자 보안 정보를 관리하는 보안 관리 서버에게 상기 가상머신 접근정보를 전달하는 단계;를 더 포함하며,
상기 보안 관리 서버는 상기 가상머신 접근정보를 분석하여 상기 사용자의 보안 위반 여부를 판단하는 것을 특징으로 하는, 가상머신 보안 강화 방법.17. The method of claim 16,
And transmitting the virtual machine access information to a security management server that manages the user security information.
The security management server analyzes the virtual machine access information to determine whether or not a security violation of the user, virtual machine security strengthening method.
상기 보안 관리 서버에서 상기 사용자가 보안을 위반한 것으로 판단되면,
상기 보안 관리 서버로부터 상기 사용자에 설정된 상기 타겟 사용자 가상머신의 사용권한이 하향조절되었음을 전달받는 단계;를 더 포함하는 것을 특징으로 하는, 가상머신 보안 강화 방법.18. The method of claim 17,
If it is determined that the user violates security in the security management server,
And receiving, from the security management server, that the use right of the target user virtual machine set to the user has been down-regulated.
상기 단말장치로부터 가상머신 접근정보-사용자가 상기 단말장치에서 상기 복수 개의 사용자 가상머신으로의 접근을 시도한 정보-를 수신하는 단계;
상기 수신된 가상머신 접근정보를 분석하여 상기 사용자의 보안 위반 여부를 판단하는 단계;
상기 사용자가 보안을 위반한 것으로 판단되면, 상기 사용자에 설정된 타겟 사용자 가상머신의 사용권한을 하향조절하고, 상기 하향조절된 사용권한에 대한 정보를 상기 단말장치에게 전달하는 단계;
상기 단말장치로부터 상기 사용자가 상기 타겟 사용자 가상머신을 사용한 이력 정보를 수신하는 단계; 및
상기 수신된 이력 정보 및 상기 수신된 가상머신 접근정보를 저장하는 단계;를 포함하는, 가상머신 보안 강화 방법.A method of strengthening virtual machine security of a server communicating with a terminal device including a plurality of user virtual machines and a client hypervisor for activating one of the plurality of user virtual machines,
Receiving virtual machine access information from the terminal device-information that a user attempts to access the plurality of user virtual machines from the terminal device;
Analyzing the received virtual machine access information to determine whether the user has a security breach;
If it is determined that the user has violated security, down-regulating the use right of the target user virtual machine set in the user, and transmitting information on the down-regulated use right to the terminal device;
Receiving history information of the user from the terminal apparatus using the target user virtual machine; And
And storing the received history information and the received virtual machine access information.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020100073494A KR101212828B1 (en) | 2010-07-29 | 2010-07-29 | Terminal device, sever and method for enforcing security of virtual machine |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020100073494A KR101212828B1 (en) | 2010-07-29 | 2010-07-29 | Terminal device, sever and method for enforcing security of virtual machine |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20120011962A KR20120011962A (en) | 2012-02-09 |
KR101212828B1 true KR101212828B1 (en) | 2012-12-14 |
Family
ID=45835997
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020100073494A KR101212828B1 (en) | 2010-07-29 | 2010-07-29 | Terminal device, sever and method for enforcing security of virtual machine |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101212828B1 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20180113229A (en) * | 2017-04-05 | 2018-10-16 | 주식회사 케이뱅크은행 | Loan service providing method using black chain and system performing the same |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101394424B1 (en) * | 2013-04-22 | 2014-05-13 | 한국인터넷진흥원 | Hypervisor-based intrusion prevention platform and virtual network intrusion prevention system |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070180449A1 (en) * | 2006-01-24 | 2007-08-02 | Citrix Systems, Inc. | Methods and systems for providing remote access to a computing environment provided by a virtual machine |
US20090241192A1 (en) * | 2008-03-21 | 2009-09-24 | Thomas Andrew J | Virtual machine configuration sharing between host and virtual machines and between virtual machines |
-
2010
- 2010-07-29 KR KR1020100073494A patent/KR101212828B1/en active IP Right Grant
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070180449A1 (en) * | 2006-01-24 | 2007-08-02 | Citrix Systems, Inc. | Methods and systems for providing remote access to a computing environment provided by a virtual machine |
US20090241192A1 (en) * | 2008-03-21 | 2009-09-24 | Thomas Andrew J | Virtual machine configuration sharing between host and virtual machines and between virtual machines |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20180113229A (en) * | 2017-04-05 | 2018-10-16 | 주식회사 케이뱅크은행 | Loan service providing method using black chain and system performing the same |
KR101952498B1 (en) * | 2017-04-05 | 2019-02-27 | 주식회사 케이뱅크은행 | Loan service providing method using black chain and system performing the same |
Also Published As
Publication number | Publication date |
---|---|
KR20120011962A (en) | 2012-02-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10326795B2 (en) | Techniques to provide network security through just-in-time provisioned accounts | |
US8839354B2 (en) | Mobile enterprise server and client device interaction | |
US20200028838A1 (en) | Account authentication method for cloud storage, and server | |
EP2875464B1 (en) | Systems and methods of using a temporary private key between two devices | |
US9519784B2 (en) | Managing basic input/output system (BIOS) access | |
US11693974B2 (en) | Trust agents | |
EP3089040B1 (en) | Security access control method for hard disk, and hard disk | |
US20130086648A1 (en) | Updating resource access permissions in a virtual computing environment | |
US20120185528A1 (en) | Session allocation for distributed virtual desktop architecture | |
US20140150070A1 (en) | Mobile device identify factor for access control policies | |
US20200304543A1 (en) | Providing different levels of resource access to a computing device that is connected to a dock | |
US7702912B2 (en) | Secure systems management | |
US8271785B1 (en) | Synthesized root privileges | |
KR20130120893A (en) | System and method for providing cloud computing service using virtual machine | |
US9923976B2 (en) | Control device and control method | |
JP2012118833A (en) | Access control method | |
CN110301127B (en) | Apparatus and method for predictive token validation | |
KR101212828B1 (en) | Terminal device, sever and method for enforcing security of virtual machine | |
US11956228B2 (en) | Method and apparatus for securely managing computer process access to network resources through delegated system credentials | |
US11575664B2 (en) | Information handling systems and methods to manage tickets based on user presence, system state and ticket management policy | |
US20150281281A1 (en) | Identification of unauthorized application data in a corporate network | |
US20200257785A1 (en) | User authentication | |
US9246896B2 (en) | Registration of a security token | |
JP2016066132A (en) | Multilevel authentication device and multilevel authentication method | |
US20080301781A1 (en) | Method, system and computer program for managing multiple role userid |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
AMND | Amendment | ||
E601 | Decision to refuse application | ||
X091 | Application refused [patent] | ||
AMND | Amendment | ||
X701 | Decision to grant (after re-examination) | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20150930 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20160920 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20170928 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20180927 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20191202 Year of fee payment: 8 |