KR101368327B1 - 프로그램 실행흐름 보고 시스템 및 방법 - Google Patents

프로그램 실행흐름 보고 시스템 및 방법 Download PDF

Info

Publication number
KR101368327B1
KR101368327B1 KR1020060132967A KR20060132967A KR101368327B1 KR 101368327 B1 KR101368327 B1 KR 101368327B1 KR 1020060132967 A KR1020060132967 A KR 1020060132967A KR 20060132967 A KR20060132967 A KR 20060132967A KR 101368327 B1 KR101368327 B1 KR 101368327B1
Authority
KR
South Korea
Prior art keywords
execution flow
program
measurement
verification
execution
Prior art date
Application number
KR1020060132967A
Other languages
English (en)
Other versions
KR20090000065A (ko
Inventor
정명준
최현진
정경임
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Priority to KR1020060132967A priority Critical patent/KR101368327B1/ko
Priority to US11/851,508 priority patent/US8112630B2/en
Publication of KR20090000065A publication Critical patent/KR20090000065A/ko
Application granted granted Critical
Publication of KR101368327B1 publication Critical patent/KR101368327B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/36Preventing errors by testing or debugging software
    • G06F11/3668Software testing
    • G06F11/3672Test management
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/445Program loading or initiating

Abstract

본 발명은 프로그램 실행흐름 보고 시스템 및 방법에 관한 것으로 사용자 장치의 보안 모듈 장치 정보를 바탕으로 소정 목적의 프로그램에 대한 실행흐름 관련 정보가 포함된 프로그램 패키지와 이에 상응하는 실행흐름 참조 정보를 제공하는 프로그램 제공 서버, 프로그램 제공 서버에서 수신되는 프로그램 패키지에 대한 무결성 측정 또는 무결성 검증에 대한 결과가 포함된 실행흐름 보고 메시지를 실행흐름 검증 서버로 송신하는 사용자 장치 및 프로그램 제공 서버로부터 수신한 실행흐름 참조 정보와 실행흐름 보고 메시지를 비교 판단하여 프로그램 패키지의 제공 또는 실행을 제한하는 실행흐름 검증 서버를 포함한다.
여기에 사용자 장치, 실행흐름 검증 서버 및 프로그램 제공 서버에 내장되는 보안 모듈에 대한 식별을 하고, 보안 모듈에 대한 서명 검증 키에 대한 인증서를 제공하는 플랫폼 인증 기관을 더 포함하여 프로그램 패키지에 대한 실행흐름 측정 또는 검증 결과에 상응하는 실행흐름 보고 메시지를 제공한다.
실행흐름, 프로그램 패키지, 실행흐름 보고

Description

프로그램 실행흐름 보고 시스템 및 방법{System and method for reporting execution flow of program}
도 1은 본 발명의 실시예에 따른 프로그램 실행흐름 보고 시스템을 도시한 도면.
도 2는 본 발명의 실시예에 따른 실행흐름 보고를 위한 신뢰 모델을 도시한 도면.
도 3은 본 발명의 실시예에 따른 실행흐름 보고 장치를 도시한 도면.
도 4는 본 발명의 실시예에 따른 실행흐름 보고 장치의 검사 모듈을 도시한 도면.
도 5는 본 발명의 실시예에 따른 실행흐름 보고 장치의 실행흐름 측정 모듈을 도시한 도면.
도 6는 본 발명의 실시예에 따른 실행흐름 보고 장치의 레지스터링 모듈을 도시한 도면.
도 7은 본 발명의 실시예에 따른 프로그램 패키지를 도시한 도면.
도 8은 본 발명의 실시예에 따른 실행흐름 참조 정보를 도시한 도면.
도 9는 본 발명의 실시예에 따른 체크-섬 계산 과정을 도시한 도면.
도 10은 본 발명의 실시예에 따른 실행흐름 동작 상태 간의 전이를 나타낸 도면.
도 11은 본 발명의 실시예에 따른 실행흐름 보고 흐름도.
<도면의 주요 부분에 대한 부호의 설명>
100: 사용자 장치 110: 실행흐름 검증 서버
120: 프로그램 제공 서버 130: 프로그램 패키지
140: 실행흐름 참조 정보 150: 실행흐름 보고 메시지
본 발명은 프로그램의 실행흐름 보고에 관한 것으로서, 더욱 상세하게는 사용자 장치에서 구동되는 프로그램 패키지에 대한 실행흐름 무결성 측정 또는 무결성 검증 결과에 상응하는 실행흐름 보고 메시지를 생성하여 실행흐름 검증 서버로 전송하고, 실행흐름 보고 메시지와 프로그램 제공 서버로부터 수신되는 실행흐름 참조 정보를 바탕으로 프로그램에 대한 상태를 점검하여 프로그램 패키지의 제공 또는 실행을 제한하는 조치를 취하는 프로그램 실행흐름 보고 시스템 및 방법에 관한 것이다.
프로그램의 위 변조 여부를 확인하기 위하여 프로그램에 대한 무결성 측정 및 검증 기술이 이용되고 있다. 그러나 무결성 측정이라는 방법 자체가 특정 시점에서의 프로그램 이미지를 다루는 기술이기 때문에, 프로그램에 대한 정적인 검증에만 적용되어 왔다. 즉, 종래의 무결성 측정 기술은 시간의 흐름을 고려하지 않고 있기 때문에, 특정 시점에서의 프로그램 이미지의 변조 유무를 판별할 수는 있으나 무결성 측정 시점 이전에 프로그램 이미지가 변조가 되었다가 다시 복원이 되었던 것인지에 대한 정보는 얻을 수 없으며, 이에 대한 보고가 이루어지지 않는 문제점이 있었다.
이러한 문제점을 극복하기 위한 방안으로, 주기적으로 무결성 측정을 수행하는 방법이 제안되었으나 무결성 측정의 대상 프로그램 이미지가 크면 클수록, 또 주기적인 측정을 자주하면 할수록 무결성 측정에 소요되는 시간과 비용이 많이 필요하게 되고 이로 인해서 프로그램 및 시스템의 성능을 저하시키는 결과를 초래할 수 있게 된다.
본 발명은 프로그램이 설계된 방식대로 실행되는지의 여부를 검사하고, 이에 대한 결과를 안전하게 보고하는데 그 목적이 있다.
본 발명의 다른 목적은 시스템의 부하를 낮추면서, 실행흐름의 검사를 효율적으로 수행하는 것이며, 보고에 상응하는 조치를 취하기 위한 것이다.
본 발명의 목적들은 이상에서 언급한 목적들로 제한되지 않으며, 언급되지 않은 또 다른 목적들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
상기 목적을 달성하기 위하여, 본 발명의 실시예에 따른 프로그램 실행흐름 보고 시스템은 소정의 실행흐름 관련 정보가 포함된 프로그램 패키지를 제공하는 프로그램 제공 서버, 실행흐름 관련 정보를 참조하여 프로그램 패키지의 실행흐름에 대한 무결성 측정 또는 측정에 대한 검증 결과가 포함된 실행흐름 보고 메시지를 송신하는 사용자 장치 및 실행흐름 보고 메시지에 대한 판단을 바탕으로 상기 프로그램 패키지의 제공 또는 실행을 제한하는 실행흐름 검증 서버를 포함한다.
상기 목적을 달성하기 위하여, 본 발명의 실시예에 따른 프로그램 실행흐름 보고 방법은 소정의 실행흐름 관련 정보가 포함된 프로그램 패키지를 제공하는 단계, 실행흐름 관련 정보를 참조하여 프로그램 패키지의 실행흐름에 대한 무결성 측정 또는 측정에 대한 검증 결과가 포함된 실행흐름 보고 메시지를 송신하는 단계 및 실행흐름 보고 메시지에 대한 판단을 바탕으로 프로그램 패키지의 제공 또는 실행을 제한하는 단계를 포함한다.
기타 실시예들의 구체적인 사항들은 상세한 설명 및 도면들에 포함되어 있다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 상세히 설명하 기로 한다.
도 1은 본 발명의 실시예에 따른 프로그램 실행흐름 보고 시스템을 도시한 도면이다.
본 발명의 실시예에 따른 프로그램 실행흐름 보고 시스템은 소정의 목적을 달성하기 위하여 프로그램을 실행시킬 수 있는 연산 장치로서, 휴대폰, PDA, 셋탑 박스, 노트북, 데스크 탑 등을 포함하는 사용자 장치(100), 사용자의 프로그램 제작 요청에 따라 소정의 프로그램을 패키지화 하여 제공하는 프로그램 제공 서버(120) 및 사용자 장치(100)로부터 실행흐름에 대한 보고를 받고, 프로그램 제공 서버(120)로부터 참조 정보를 제공받아 실행흐름 보고 메시지(150)에 대한 검증을 수행하는 실행흐름 검증 서버(110)를 포함한다.
여기에서 사용자 장치(100)와 실행흐름 검증 서버(110)는 통합 구성할 수 있는데, 이들을 통합 구성하는 경우 사용자 장치(100)로부터 수신되는 실행흐름 보고 메시지(150)에 대한 판단에 따라 실행흐름 검증 서버(110)에서 사용자 장치(100)에서 구동되는 프로그램 패키지(130)의 실행을 제한할 수 있다.
반면, 프로그램 제공 서버(120)와 실행흐름 검증 서버(110)를 통합 구성하는 경우 이는 통상적인 비즈니스 모델에 해당하는 경우로 사용자 장치(100)로부터 수신되는 실행흐름 보고 메시지(150)에 대한 판단에 따라 프로그램 제공 서버(120)에서 제공되는 프로그램 패키지(130)의 제공을 제한할 수도 있다.
이는 구성 요소간의 구성 방법 또는 사용자 장치(100)로 제공되는 프로그램 패키지(130)에 따라 상이할 수 있다.
먼저, 사용자 장치(100)는 소정 목적을 달성하기 위한 프로그램을 실제로 사용하는 주체로서 현재 실행중인 프로그램에 대한 실행흐름 측정, 검증 및 보고 기능을 수행한다.
사용자 장치(100)에서 실행되는 프로그램들은 프로그램 제공 서버(120)로부터 제공되는 것으로 사용자 장치(100)가 내장하는 보안 모듈(370)의 장치 정보를 이용하여 암호화되어 프로그램 제공 서버(120)에서 제작 및 제공된다.
이와 같이 제공되는 프로그램 패키지(130)는 웹 서비스를 통해 제공될 수 있는 컨텐츠, 전자 상거래 및 컴퓨터 시스템에서 구동되는 모든 종류의 프로그램에 사용자 장치(100)에 내장되는 보안 모듈(370)의 장치 정보를 바탕으로 암호화되며, 사용자 장치(100)에서 실행되는 동안 해당 프로그램의 설계 의도대로 동작되는 것이 바람직하다. 프로그램 패키지(130)에 대한 상세한 설명은 후술되는 도 7에서 상술하기로 한다.
프로그램 패키지(130)를 제공받은 사용자 장치(100)는 프로그램 패키지(130)에 포함되는 프로그램을 실행함으로써, 해당 프로그램이 제작 당시의 설계의도대로 정상 실행되는지를 검사한다. 이를 위하여, 사용자 장치(100)는 프로그램 패키지(130)의 실행흐름(Execution Flow)을 검사한다. 여기서 실행흐름이란 프로그램을 구성하는 인스트럭션(Instruction)들의 수행, 분기, 점프, 리턴 등으로 결정되는, 인스트럭션들 실행 경로의 궤적을 의미한다. 따라서 실행흐름은 프로그램을 구성하는 인스트럭션들의 값과 실행 순서를 반영하는 정보로 표현될 수 있다.
즉, 사용자 장치(100)는 소정 목적의 프로그램에 대한 실행흐름 측정 또는 검증을 수행하고, 해당 결과들에 대한 실행흐름 보고 메시지(150)를 실행흐름 검증 서버(110)로 전송하는 역할을 수행한다. 이때, 사용자 장치(100)는 프로그램 패키지(130)에 내장되는 실행흐름 검증 정보를 바탕으로 실행흐름 측정 또는 검증에 대한 실행흐름 보고 메시지(150)를 어떤 식으로 작성해야 하는지에 대한 결정을 하고 그에 따라 실행흐름 측정 또는 실행흐름 검증 결과에 상응하는 실행흐름 보고 메시지(150)를 전송하게 된다. 이때, 보고 결과가 실행흐름 측정 결과이냐 실행흐름 검증 결과이냐에 따라 실행흐름 보고 메시지(150) 정보가 상이할 수 있다.
사용자 장치(100)에서의 실행흐름 측정은 프로그램의 구동으로 실행되는 인스트럭션(Instruction)들을 입력 값으로 하는 소정의 체크-섬(Check-Sum) 계산을 통해서 이루어질 수 있으며, 실행흐름 검증은 실행흐름 측정의 결과로 생성된 체크-섬 결과 값을 소정의 참조 측정 값(880)과 비교함으로써 이루어진다.
실행흐름 검증은 소정 프로그램이 실행되는 사용자 장치(100)의 동작에 필요한 소정의 정보를 포함하는 것이 바람직하며, 프로그램 패키지(130) 전체 또는 일부에 대한 검증이 될 수 있으며, 프로그램 제작 시 해당 프로그램에서 실행흐름 검증이 요구되는 부분을 실행흐름 검증 대상으로 설정할 수 있다. 즉, 하나의 프로그램 내에는 하나 또는 그 이상의 실행흐름 검증 대상이 설정될 수 있다.
즉, 프로그램 제공 서버(120)에서 제작되는 프로그램 패키지(130)는 실행흐름 검증 작업에 필요한 정보와 구조를 갖도록 제작되어야 한다.
프로그램 제공 서버(120)는 앞서 언급했듯이 실행흐름 측정, 검증 및 보고에 대한 기술이 적용되는 프로그램 패키지(130)를 제작하는 주체로서 실행흐름 검증 서버(110)로부터 프로그램 기능 자체에 대한 요구사항뿐만 아니라, 실행흐름 측정, 검증 및 보고에 대한 요구사항을 제공받아 요구사항에 상응하는 소정의 프로그램을 패키지화 하여 제작한다.
즉, 프로그램 제공 서버(120)는 실행흐름 검증 서버(110)로부터 전송되는 요구 사항들을 바탕으로 실행흐름 측정, 검증 및 보고에 대한 기술이 적용되는 프로그램 패키지(130)를 제작한다. 프로그램 패키지(130) 제작이 완료되면 사용자 장치(100)로 전송되는데, 이때 프로그램 패키지(130)에 상응하는 실행흐름 참조 정보(140)가 실행흐름 검증 서버(110)로 전송된다.
프로그램 제공 서버(120)에서 사용자 장치(100)로 프로그램 패키지(130)를 전송할 때는 사용자 장치(100)에 내장되는 보안 모듈(370)에 프로그램 패키지(130)를 바인딩 시켜서 전송하게 된다.
실행흐름 검증 서버(110)는 전술한 사용자 장치(100)에서 프로그램 패키지(130)에 대한 실행흐름 측정 또는 검증 결과에 상응하는 실행흐름 보고 메시지(150)를 보고 받는다.
실행흐름 검증 서버(110)는 이러한 보고를 받기 위해서 정당한 권한을 가지고 있어야 하며, 이러한 권한을 사용자 장치(100)에게 증명할 수 있어야 한다.
뿐만 아니라, 실행흐름 검증 서버(110)는 사용자 장치(100)들 중 실행흐름 보고 메시지(150)를 전송하는 장치를 확실하게 구분할 수 있어야 한다. 이는 프로그램 패키지(130)를 실행하는 사용자 또는 사용자 장치(100)가 다수가 될 수 있고, 장치 별 실행흐름 측정 또는 검증 결과가 상이할 수 있으므로 이에 상응하는 관리 및 추가적인 행동을 수행하기 위한 것이다.
실행흐름 보고 메시지(150)에 대한 관리 또는 추가적인 행동을 수행하기 위해서는 프로그램 제공 서버(120)로부터 전송되는 실행흐름 참조 정보(140)를 바탕으로 사용자 장치(100)의 실행흐름 보고 메시지(150)와 비교 판단하여 사용자 장치(100)에서 구동되고 있는 프로그램에 대한 상태 점검을 할 수 있어야 한다.
실행흐름 검증 서버(110)는 사용자 장치(100)의 프로그램 요청 발생 시 이에 상응하는 프로그램 기능, 해당 프로그램에 대한 실행흐름 측정, 검증 및 보고에 대한 요구 사항을 프로그램 제공 서버(120)로 전송한다.
즉, 본 발명의 실시예에서는 이들 구성 요소들을 이용하여 소정의 프로그램에 대한 실행흐름 측정 또는 검증을 수행 한 후 해당 결과를 안전하게 보고할 수 있도록 하는 것이며, 실행흐름 보고 메시지(150)의 안전한 보고를 위해서는 구성 요소들간의 신뢰가 전제되어야 하는데, 이는 후술되는 도 2에서 상세한 설명을 하기로 한다.
도 2는 본 발명의 실시예에 따른 실행흐름 보고를 위한 신뢰 모델을 도시한 도면이다.
본 발명의 실시예에 따른 실행흐름 보고를 위한 신뢰 모델은 전술한 도 1의 프로그램 실행흐름 보고 시스템에서 각 장치간에 존재하는 기본적인 신뢰 방향, 대상 및 범위를 도시한 것이다.  
도시된 바와 같이, 실행흐름 보고를 위한 신뢰 모델의 각 구성 요소들은 도 1에서 언급한 프로그램 실행흐름 보고를 위한 시스템에 상응하는 구성 요소들이므 로 이들에 대한 상세한 설명은 생략하기로 한다. 다만, 플랫폼 인증 기관(Platform Certification Authority)(200)이 더 포함됨으로 이에 대한 상세한 설명 및 구성 요소들간의 신뢰 방향, 대상 및 범위를 언급 하기로 한다.
프로그램 실행흐름 보고를 위한 신뢰 모델에서는 각 구성 요소의 식별 및 인증이 필수적이므로 구성 요소들간의 인증 수행 및 플랫폼 인증 기관(200)에 대한 기본적인 신뢰(240a, b, c)를 전제로 한다.
플랫폼 인증 기관(200)은 프로그램 실행흐름 보고를 위한 신뢰 모델에서 사용자 장치(100), 프로그램 제공 서버(120) 및 실행흐름 검증 서버(110)로부터 신뢰되는 기관으로 해당 장치들에 포함되는 보안 모듈(370)을 유일하게 식별하고, 해당 모듈의 서명 검증 키(미도시)에 대한 인증서를 안전하게 제공하며, 구성 요소간 신뢰 형성을 위해 구성 요소들에 대한 인증을 수행한다.
다음은 각 구성요소간의 신뢰 형성을 상술한 것으로 실행흐름 검증 서버(110)는 프로그램 제공 서버(120)와 상호 신뢰 관계(210)에 있으며, 도 1에서 전술 했듯이 실행흐름 검증 서버(110)와 프로그램 제공 서버(120)가 하나의 서버로 구성되어 프로그램 제작과 해당 프로그램의 실행흐름 측정 또는 검증 결과에 대한 상태 점검을 겸하는 것이 통상적이므로 두 서버 사이에서 상호 신뢰(210)가 유지되는 것이 바람직하다.
반면, 본 발명의 실시예에 따른 프로그램 실행흐름 보고를 위한 신뢰 모델에서는 사용자 장치(100)를 신뢰하지 않는 것이 바람직하다. 그 이유는 통상적인 실행흐름 검증 서버(110)와 프로그램 제공 서버(120)간에는 비즈니스 모델의 특성 상 상호 신뢰(210)가 필연적이지만, 프로그램 제공 서버(또는 컨텐츠 제공 서버)(120)에서 제공되는 프로그램 또는 컨텐츠를 이용하는 사용자 장치(100)로부터 이들에 대한 위 변조가 발생할 수도 있기 때문이다.
사용자 장치(100)로부터의 위 변조 발생 가능성이 있다고 하더라도 실행흐름 보고를 위한 신뢰 모델에서는 사용자 장치(100)의 구성 요소 중 적어도 보안 모듈(370)에 대해서는 신뢰할 수 있는 모듈임을 전제로 한다. 
즉, 사용자 장치(100)의 보안 모듈(370)에 대한 신뢰성 검증이 바탕이 된 후에 프로그램 실행흐름 측정 또는 검증 결과에 대한 보고가 수행된다.
앞서 언급했듯이 프로그램 제공 서버(120)는 사용자 장치(100)를 신뢰하지 않지만, 사용자 장치(100)는 기본적으로 프로그램 제공 서버(120)를 신뢰(250)한다. 단, 프로그램 제공 서버(120)는 사용자 장치(100)의 보안 모듈(370)을 신뢰(220)한다.
프로그램 제공 서버(120)는 보안 모듈(370)에 대한 신뢰(220)를 통해 프로그램 패키지(130) 제공 시 보안 모듈(370)에 바인딩 시켜 제공하는데, 이는 사용자 장치(100)가 피싱(Phishing)과 같은 문제를 해결하기 위해 프로그램 제공 서버(120)에 대한 인증을 통해 올바른 프로그램 제공 서버(120)임을 확인하고, 소정 목적의 프로그램을 패키지화 하여 제공한다.
뿐만 아니라, 프로그램 패키지(130)의 안전한 제공을 위해 프로그램 패키지(130)에 프로그램 제공 서버(120)의 서명을 추가하여 사용자 장치(100)가 이를 검증함으로써 해당 프로그램을 구동할 수 있도록 할 수도 있다.
실행흐름 검증 서버(110)와 사용자 장치(100)에 있어서, 실행흐름 검증 서버(110)는 사용자 장치(100)를 신뢰하지 않지만, 프로그램 제공 서버(120)와 마찬가지로 사용자 장치(100)의 보안 모듈(370)에 대해서는 신뢰(260) 한다.
즉, 인증되지 않은 사용자 장치(100)의 실행흐름 보고 메시지(150)에는 보안 모듈(370)의 서명 키로 서명된 전자 서명이 포함되며, 실행흐름 검증 서버(110)는 전자 서명의 검증을 통해 신뢰되지 않은 사용자 장치(100)로부터 수신되는 실행흐름 보고 메시지(150)에 대한 출처를 확인하게 된다.
실행흐름 보고 메시지(150) 전송에 있어서 프로그램 제공 서버(120)에 대한 올바른 전송을 위해 전술한 방법이 이용될 수도 있지만, 실행흐름 검증 서버(110)의 공개 키에 상응하는 비밀 키 또는 실행흐름 검증 서버(110)에 포함될 수 있는 보안 모듈(370)의 공개 키에 상응하는 비밀 키로 암호화 한 후 전송될 수 있다.
이러한 과정을 통해 실행흐름 검증 서버(110)는 사용자 장치(100)의 실행흐름 보고 메시지(150)가 신뢰(230)할 수 있는 정보라는 것을 확신할 수 있게 된다. 즉, 사용자 장치(100)는 실행흐름 검증 서버(110)에 대한 인증이 완료되면, 실행흐름 보고 메시지(150)를 실행흐름 검증 서버(110)로 전송하게 된다.
도 3은 본 발명의 실시예에 따른 실행흐름 보고 장치를 도시한 도면이다.
본 발명의 실시예에 따른 실행흐름 보고 장치는 사용자 장치(100)에서 실행되는 소정 목적의 프로그램에 대한 실행흐름 측정, 검증 및 보고를 위한 장치이다.
도시된 바와 같이, 실행흐름 보고 장치(300)는 실행흐름을 검사하기 위한 인스트럭션 페칭 모듈(310), 디코딩 모듈(320), 검사 모듈(330), 실행흐름 참조 정보 저장 모듈(340), 레지스터링 모듈(350), 연산 모듈(360), 보안 모듈(370), 제어 모듈(380) 및 리포팅 모듈(390)을 포함한다.
페칭 모듈(310)은 컴퓨팅 시스템(100)의 메인 메모리 상에 로딩된 프로그램 패키지(130)의 인스트럭션들을 순차적으로 페칭(Fetching) 한다.
여기서 인스트럭션의 페칭 순서는 프로그램 개발자가 각 인스트럭션에 삽입한 수행, 분기, 점프, 리턴 등의 코드에 의하여 결정될 수 있다.
디코딩 모듈(320)은 페칭 모듈(310)이 페칭 한 인스트럭션을 디코딩 한다.
검사 모듈(330)은 사용자 장치(100)의 주 처리 장치(예를 들어, CPU)의 기능을 수행할 수 있으며, 실행흐름을 검사하기 위해 후술되는 도 4의 실행흐름을 측정하는 실행흐름 측정 모듈(400)과 실행흐름을 검증하는 실행흐름 검증 모듈(410)을 포함한다. 이들에 대한 상세한 설명은 후술되는 도 4에서 언급하기로 한다.
실행흐름 참조 정보 저장 모듈(340)은 보안 모듈(370)에 의하여 복호화 된 후술되는 도 8의 실행흐름 참조 정보(140)를 저장한다. 실행흐름 참조 정보(140)는 실행흐름 가능화 인스트럭션이 입력되는 경우에 보안 모듈(370)로부터 획득되는 정보이다. 이때, 실행흐름 불능화 인스트럭션이 입력되면, 실행흐름 참조 정보 저장 모듈(340)은 저장 중이던 실행흐름 참조 정보(140)를 삭제할 수 있다.
실행흐름 참조 정보 저장 모듈(340)에 저장되는 실행흐름 참조 정보(140)는 프로그램 제공 서버(120)에서 사용자 장치(100)로 프로그램 패키지(130) 제공 시 실행흐름 검증 서버(110)로 제공되며, 이들 정보는 사용자 장치(100)에서 보고되는 실행흐름 보고 메시지(150)와 비교 판단되어 사용자 장치(100)에서 실행되는 프로 그램에 대한 상태를 점검하는 정보이다.
레지스터링 모듈(350) 복수의 레지스터를 포함한다. 레지스터링 모듈(350)에 포함되는 복수의 레지스터들은 도 6에 도시된 바와 같이 실행흐름 검사 기반 레지스터(600)와 일반 레지스터(610)로 구분될 수 있다. 이들 복수의 레지스터들은 후술되는 도 6에서 상세한 설명을 하기로 한다.
연산 모듈(360)은 디코딩 모듈(320)이 디코딩 한 인스트럭션들을 실행시킨다. 연산 모듈(360)의 일 실시예로서 ALU(Arithmetic Logic Unit)를 들 수 있다.
보안 모듈(370)은 프로그램 패키지(130)가 사용자 장치(100)의 메인 메모리(예를 들어, RAM(Random Access Memory)) 상에 로딩되면, 메인 메모리로부터 프로그램 패키지(130)에 포함되는 도 7의 실행흐름 관련 정보(730)를 읽어 들이고, 암호화된 실행흐름 참조 정보(760)를 복호화 한다.
프로그램 패키지(130)에 포함된 암호화된 실행흐름 참조 정보(760)는 해당 정보의 암호화 과정에서 보안 모듈(370)의 비밀 키로 암호화 되어 제공됨으로 메인 메모리 상에서는 그 내용을 알 수 없다. 즉, 암호화 된 실행흐름 참조 정보(760)를 확인하기 위해서는 메인 메모리에 로딩되는 해당 정보를 보안 모듈(370)로 전달하고, 암호화 과정에서 사용되는 비밀 키에 상응하는 공개 키로 복호화 하여 그 내용을 검사 모듈(330)로 전달한다.
복호화 작업을 통해서 획득된 실행흐름 참조 정보(140)는 프로그램 패키지(130)의 실행흐름을 검사하는데 있어서 중요한 정보이므로, 실행흐름 보고 장치(500) 이외의 다른 장치나 모듈에게 노출되지 않도록 하는 것이 바람직하다. 이 를 위하여 보안 모듈(370)은 외부 모듈이나 임의의 장치로부터의 접근을 물리적 또는 논리적으로 차단할 수 있다.
또한, 실행흐름 참조 정보(140)의 보안을 유지하기 위하여, 암호화된 실행흐름 참조 정보(760)가 보안 모듈(370) 이외의 다른 장치나 모듈상에서 복호화 되지 않도록 할 수 있다. 예를 들어, 보안 모듈(370)은 공개키 알고리즘(예를 들어, Diffie-Hellman 방식, RSA 방식, ElGamal 방식, 및 타원곡선(Elliptic Curve) 방식 등)에서 사용되는 개인 키를 포함하고 있고, 프로그램 개발자는 보안 모듈(370)이 보유한 공개 키에 대응하는 비밀 키를 사용하여 실행흐름 참조 정보(140)를 암호화하여 둘 수 있다. 이 경우 실행흐름 참조 정보(140)를 암호화하는데 사용된 공개 키에 대응하는 비밀 키를 보유하지 않은 장치나 모듈은 암호화된 실행흐름 참조 정보(760)를 복호화 할 수 없으며, 보안 모듈(370)은 암호화된 실행흐름 참조 정보(760)를 복호화 할 수 있다.
도 3에서는 보안 모듈(370)이 실행흐름 보고 장치(300)에 포함되는 것으로 도시하였으나, 실시예에 따라서 보안 모듈(370)은 실행흐름 보고 장치(300)와 별도로 구성할 수도 있다.
제어 모듈(380)은 실행흐름 보고 장치(300)를 구성하는 각 모듈들(310 내지 370 및 390)의 동작 과정을 제어한다. 특히, 제어 모듈(380)은 실행흐름 검사 작업을 관리하는데 있어서 전술한 실행흐름 검사 기반 레지스터(600)에 저장되는 정보를 이용할 수 있다.
리포팅 모듈(390)은 실행흐름 측정 또는 검증 결과 중 적어도 하나의 결과를 실행흐름 검증 서버(110)로 보고하는 모듈로 도 1에서 전술한 실행흐름 보고 시스템의 통신 수단(미도시)에 상응하는 방법으로 실행흐름 보고 메시지(150)를 실행흐름 검증 서버(120)로 보고하게 된다.
도 4는 본 발명의 실시예에 따른 실행흐름 보고 장치의 검사 모듈을 도시한 도면이다.
본 발명의 실시예에 따른 실행흐름 보고 장치의 검사 모듈(330)은 도 3에 도시된 디코딩 모듈(320)에 의하여 디코딩 된 인스트럭션들의 실행흐름을 검사하는 모듈이다.
도시된 바와 같은 검사 모듈(330)은 소정 목적의 프로그램에 대한 실행흐름을 검사하기 위해 실행흐름을 측정하는 실행흐름 측정 모듈(400)과 실행흐름을 검증하는 실행흐름 검증 모듈(410)을 포함한다.
먼저, 실행흐름 측정 모듈(400)은 디코딩 모듈(320)에 의하여 디코딩 된 인스트럭션을 입력 값으로 하는 체크-섬 계산을 통해 실행흐름 측정 작업을 수행한다. 실행흐름의 측정 대상이 되는 인스트럭션들은 프로그램이 구동되는 동안, 그리고 실행흐름 측정 동작이 수행되는 동안 디코딩 모듈(320)로부터 지속적으로 공급된다.
실행흐름 측정 작업은 디코딩 모듈(320)이 측정 시작 인스트럭션을 디코딩 하면서 시작되고, 디코딩 모듈(320)이 측정 종료 인스트럭션을 디코딩 한 경우에 실행흐름 측정 작업이 종료된다. 뿐만 아니라, 디코딩 모듈(320)이 측정 일시 중지 인스트럭션을 디코딩 한 경우에 일시적으로 중지된다. 이 때, 디코딩 모듈(320)이 측정 재개 인스트럭션을 디코딩 하면 실행흐름 측정 작업이 재개된다.
실행흐름 측정 모듈(400)에 대한 상세한 설명은 후술되는 도 5에서 상술하기로 한다.
실행흐름 검증 모듈(410)은 실행흐름 측정 모듈(400)로부터 출력되는 체크-섬 결과 값을 소정의 참조 측정 값(880)과 비교하여 프로그램의 실행흐름이 정상적인지의 여부를 검증한다. 만약, 체크-섬 결과 값과 참조 측정 값(880)이 동일하다면 인스트럭션들의 실행흐름은 정상적이며, 프로그램이 설계 의도대로 동작한 것으로 판단할 수 있다. 그러나 두 값이 불 일치하는 경우 인스트럭션들의 실행흐름은 비정상적이며, 프로그램이 설계 의도대로 동작하지 않은 것으로 판단할 수 있다.
참조 측정 값(880)은 프로그램에 삽입되어 있을 수 있는데, 예를 들어, 프로그램 제작자(미도시)는 프로그램 제작 시 실행흐름 보고 장치(300)가 수행하는 실행흐름 측정 작업과 동일한 작업을 통해서 얻어진 체크-섬 결과 값을 참조 측정 값(880)으로서 프로그램 상에 삽입시켜둘 수 있다.
본 발명의 실시예에 따른 검사 모듈(330)에서는 실행흐름 참조 정보(140)에 참조 측정 값(880)이 포함되는 것으로 설명하였으며, 실행흐름 검증 모듈(410)은 실행흐름 참조 정보 저장 모듈(340)로부터 참조 측정 값(880)을 획득할 수 있다.
도 5는 본 발명의 실시예에 따른 실행흐름 보고 장치의 실행흐름 측정 모듈을 도시한 도면이다.
본 발명의 실시예에 따른 실행흐름 측정 모듈(400)은 검사 모듈(330)에 포함되는 모듈로 체크-섬 계산 모듈(500)과 연쇄 레지스터(510)를 포함한다.
도시된 바와 같이, 체크-섬 계산 모듈(500)은 디코딩 모듈(320)로부터 제공되는 현재의 인스트럭션 값, 체크-섬 키(870) 및 이전까지 계산된 체크-섬 결과 값을 입력 값으로 하여 체크-섬 계산을 수행한다. 체크-섬 계산을 위하여 체크-섬 계산 모듈(500)은 MD5(Message Digest 5)나 SHA-1(Secure Hash Algorithm-1)과 같은 소정의 해쉬 함수를 사용할 수 있다.
또는 체크-섬 계산 모듈(500)은 NAND, AND 등의 논리 연산을 사용할 수도 있다. 실행흐름 검사 기반 인스트럭션들은 체크-섬 계산 대상에서 제외되는 것이 바람직하다. 즉, 체크-섬 계산 대상은 프로그램 기반 인스트럭션들이 된다.
체크-섬 계산을 위하여 사용되는 입력 값 중에서 체크-섬 키(870)는 체크-섬 계산의 보안성을 높이기 위하여 사용되는 입력 값으로서, 임의의 값을 가질 수 있으며, 프로그램 개발자에 의하여 프로그램 패키지(130)에 사전에 삽입될 수 있다. 도 8의 실시예에서는 체크-섬 키(870)가 실행흐름 참조 정보(140)에 포함되는 것으로 상술하였으며, 체크-섬 계산 모듈(500)은 체크-섬 키(870)를 실행흐름 참조 정보 저장 모듈(340)로부터 얻을 수 있다. 이에 따라서 정당한 체크-섬 키(870)를 알지 못할 경우, 올바른 체크-섬 결과 값을 얻을 수 없게 된다.
연쇄 레지스터(510)는 체크-섬 결과 값을 저장하였다가 이를 다시 체크-섬 계산 모듈(500)에게 제공한다.
즉, 도 5의 실행흐름 측정 모듈(400)과 전술한 도 4의 실행흐름 검증 모듈(410)에서의 측정 또는 검증 결과가 소정 형태의 실행흐름 보고 메시지(150)로 작성되어 실행흐름 검증 서버(110)로 보고된다.
실행흐름 측정 모듈(400)의 체크-섬 계산 과정은 도 9에서 상술하기로 한다.
도 6은 본 발명의 실시예에 따른 실행흐름 보고 장치의 레지스터링 모듈을 도시한 도면이다.
본 발명의 실시예에 따른 실행흐름 보고 장치의 레지스터링 모듈(350)은 실행흐름 보고 장치(300)에 포함되는 것으로 도시된 바와 같이, 실행흐름 검사 기반 레지스터(600)와 일반 레지스터(610)로 구분될 수 있다.
실행흐름 검사 기반 레지스터(600)는 동작 상태 레지스터(620), 실행흐름 검사 대상 레지스터(630), 측정 종료 인스트럭션 위치 레지스터(640), 검사 오류 레지스터(650) 및 검증 결과 레지스터(660)를 포함한다.
동작 상태 레지스터(620)는 실행흐름 검사 작업에 대한 동작 상태를 저장한다. 본 발명의 실시예에 따른 동작 상태는 비활성화 상태(1010), 측정 오프 상태(1020), 측정 온 상태(1030) 및 측정 일시 중지 상태(1040)로 구분될 수 있다.
비활성화 상태(1010)는 프로그램의 실행흐름 검사 작업을 위한 기능이 비활성 되어 있음을 나타낸다. 그리고, 측정 온 상태(1030)와 측정 오프 상태(1020)는 각각 실행흐름 측정 작업이 수행 중인 경우와 종료된 경우를 나타낸다. 또한, 측정 일시 중지 상태(1040)는 실행흐름 측정 작업이 일시적으로 중지된 상태를 나타낸다.
동작 상태 레지스터(620)는 이들 중 어느 하나를 저장하며, 동작 상태 레지스터(620)가 저장하는 동작 상태에 따라서 실행흐름 검사 장치(500)의 동작 상태가 결정된다.
실행흐름 검사 대상 레지스터(630)는 프로그램 패키지(130) 상에 존재하는 실행흐름 검사 대상 중에서 현재 실행흐름 검사가 진행 중인 실행흐름 검사 대상을 식별하기 위한 대상 식별자를 저장한다. 대상 식별자는 측정 시작 인스트럭션이 입력될 경우, 측정 시작 인스트럭션의 파라미터에서 획득할 수 있다. 검사 모듈(330)은 실행흐름 검사 대상 레지스터(630)에 저장된 대상 식별자를 통해서 현재 실행흐름 검사 작업이 진행 중인 실행흐름 검사 대상을 식별할 수 있다.
측정 종료 인스트럭션 위치 레지스터(640)는 실행흐름 측정이 수행되고 있는 실행흐름 검사 대상에 포함되는 측정 종료 인스트럭션의 위치 정보를 저장한다. 측정 종료 인스트럭션의 위치 정보는 실행흐름 참조 정보 저장 모듈(340)에 저장된 실행흐름 참조 정보로부터 얻을 수 있다. 예를 들어, 측정 시작 인스트럭션이 입력될 경우 측정 시작 인스트럭션에 포함된 대상 식별자를 통해서 대응되는 검증 참조 정보가 검색될 수 있으며, 검색된 검증 참조 정보에 포함된 측정 종료 인스트럭션 위치 정보(890)가 측정 종료 인스트럭션 위치 레지스터(640)에 저장될 수 있다.
소정 목적의 프로그램을 포함하는 프로그램 패키지(130)를 수행하기 위해서 인스트럭션을 페칭 할 때마다 제어 모듈(380)은 페칭 된 인스트럭션의 상대적인 주소 정보를 체크하고 이를 측정 종료 인스트럭션 위치 레지스터(640)에 저장되어 있는 측정 종료 인스트럭션 위치 정보(890)와 비교한다. 여기서 상대적인 주소 정보는 후술되는 도 7의 프로그램 코드(720) 영역이 시작되는 부분에서부터 인스트럭션의 위치까지의 상대적인 거리 값을 의미한다.
만약, 측정 종료 인스트럭션 위치 레지스터(640)에 저장되어 있는 측정 종료 인스트럭션 위치 정보(890)와 매칭되는 상대적인 주소의 인스트럭션이 측정 종료 인스트럭션이라면 제어 모듈(380)은 현재까지 진행된 실행흐름 측정 작업을 종료시키고 실행흐름 검증 작업을 진행시킨다. 그러나 측정 종료 인스트럭션 위치 레지스터(640)에 저장되어 있는 측정 종료 인스트럭션 위치 정보(890)와 매칭되는 상대적인 주소의 인스트럭션이 측정 종료 인스트럭션이 아니라면 제어 모듈(380)은 실행흐름 측정 작업에 문제가 발생한 것으로 판단할 수 있다. 이를 통해서 제어 모듈(380)은 프로그램 패키지(130) 상에서 측정 종료 인스트럭션의 위치가 변경되어 실행흐름 검사 작업이 오동작 하는 상황을 예방할 수 있게 된다.
검사 오류 레지스터(650)는 실행흐름 측정 작업에 문제가 발생한 경우 이를 나타내기 위한 정보를 저장한다.
검증 결과 레지스터(660)는 실행흐름 검증 결과를 저장한다. 검증 결과는 특별한 정보가 없음을 의미하는 언셋(unset), 실행흐름이 정상적인 것으로 판단되었음을 나타내는 적합(valid), 및 실행흐름이 비정상적인 것으로 판단되었음을 나타내는 부적합(invalid) 중 어느 하나일 수 있다.
도 7은 본 발명의 실시예에 따른 프로그램 패키지를 도시한 도면이다.
본 발명의 실시예에 따른 프로그램 패키지(130)는 소정의 메타 정보를 포함하는 프로그램 헤더(710)와 소정 목적을 달성하기 위하여 사용자 장치(100)에서 실행될 프로그램 코드(720)를 포함한다.
프로그램 헤더(710)는 실행흐름 관련 정보(730)와 일반 정보(740)를 포함한다.
여기에서, 일반 정보(740)는 프로그램 패키지(130) 자체에 대한 메타 정보로서, 관련 기술의 프로그램 헤더(710)에 삽입되는 다양한 정보들을 포함한다.
이에 반하여 실행흐름 관련 정보(730)는 본 발명의 실시예에 따른 실행흐름 검사를 위하여 필요한 정보로서, 실행흐름 정보 헤더(750)와 암호화된 실행흐름 참조 정보(760)를 포함한다.
실행흐름 정보 헤더(750)는 암호화된 실행흐름 참조 정보(760)를 복호화 하는데 필요한 메타 정보를 포함한다. 예를 들어, 실행흐름 정보 헤더(750)는 암호화된 실행흐름 참조 정보(760)에 적용된 암호화 알고리즘의 종류를 나타내는 정보를 포함할 수 있다. 암호화된 실행흐름 참조 정보(760)를 복호화 하면, 후술되는 도 8에 도시되는 실행흐름 참조 정보(140)를 얻을 수 있다.
프로그램 코드(720)는 복수의 인스트럭션으로 구성된다. 복수의 인스트럭션들은 실행흐름 검사 기반 인스트럭션과 프로그램 기반 인스트럭션으로 분류될 수 있다.
프로그램 기반 인스트럭션은 프로그램 자체를 위한 것으로서, 프로그램 기반 인스트럭션들의 실행으로 인하여 사용자 장치(100)는 소정의 목적을 달성하기 위한 작업을 수행할 수 있게 된다.
반면, 실행흐름 검사 기반 인스트럭션은 프로그램의 실행흐름 검사 및 보고 작업을 위한 것으로서, 실행흐름 보고 장치(300)는 실행흐름 검사 기반 인스트럭션을 통해서 프로그램 패키지(130)의 실행흐름 검사 작업을 제어하여 실행흐름 검증 서버(110)로 실행흐름 검사에 상응하는 결과를 보고하게 된다.
본 발명의 실시예에 따른 실행흐름 검사 기반 인스트럭션들은, 측정 시작 인스트럭션, 측정 종료 인스트럭션, 측정 일시 중지 인스트럭션, 측정 재개 인스트럭션, 실행흐름 불능화 인스트럭션, 실행흐름 가능화 인스트럭션, 및 상태정보 요청 인스트럭션으로 구분될 수 있다.
프로그램 패키지(130)에서 실행흐름 검사 대상은 측정 시작 인스트럭션부터 시작하여 측정 종료 인스트럭션까지로 구성될 수 있다. 즉, 측정 시작 인스트럭션과 측정 종료 인스트럭션의 셋(Set)이 하나의 실행흐름 검사 대상을 설정하는데 사용된다.
측정 시작 인스트럭션은 실행흐름 측정 작업을 시작시키기 위하여 사용된다. 측정 시작 인스트럭션은 실행흐름 측정 작업의 시작을 지시하는 측정 시작 명령코드(Opcode)와 소정의 파라미터를 포함할 수 있다. 파라미터 중에는 실행흐름 검사 대상을 식별하기 위한 대상 식별자가 포함될 수 있다. 대상 식별자는 후술되는 도 8의 복수의 검증 참조 정보들(850-1 내지 850-n) 중에서 대응되는 검증 참조 정보의 배열 순서를 나타내는 형식을 가질 수 있다. 따라서 프로그램 내에 복수의 실행흐름 검사 대상이 존재하는 경우, 각 실행흐름 검사 대상의 측정 시작 인스트럭션에 포함되는 대상 식별자를 통해서 각 실행흐름 검사 대상에 대응하는 검증 참조 정보가 복수의 검증 참조 정보(850-1 내지 850-n) 중에서 몇 번째에 위치하는지 확인할 수 있다. 이 밖에도 대상 식별자는 실행흐름 측정 작업의 오류 여부를 확인하기 위하여 사용될 수 있다.
측정 종료 인스트럭션은 실행흐름 측정 작업을 종료시키기 위하여 사용된다. 측정 종료 인스트럭션은 실행흐름 측정 작업의 종료를 지시하는 측정 종료 명령코드와 소정의 파라미터를 포함할 수 있다. 파라미터 중에는 실행흐름 검사 대상을 식별하기 위한 대상 식별자와 실행흐름 측정이 종료된 후에 수행되어야 할 작업을 지시하는 측정 후 작업 정보가 포함될 수 있다. 실행흐름 측정이 종료된 후에 수행될 수 있는 작업의 바람직한 실시예로써 실행흐름 검증 작업을 들 수 있다. 이 밖에도 실행흐름 측정이 종료된 후에 수행되어야 할 작업의 종류에 따라서 이를 지시하는 다양한 측정 후 작업 정보가 존재할 수 있다.
측정 일시 중지 인스트럭션은 실행흐름 측정 작업을 일시적으로 중지시키기 위해서 사용된다. 측정 일시 중지 인스트럭션은 실행흐름 측정 작업의 일시 중지를 지시하는 측정 일시 중지 명령코드와 소정의 파라미터를 포함할 수 있다. 파라미터 중에는 실행흐름 검사 대상을 식별하기 위한 대상 식별자가 포함될 수 있다.
측정 재개 인스트럭션은 일시적으로 중지된 실행흐름 측정 작업을 재개시키기 위해서 사용된다. 측정 재개 인스트럭션은 실행흐름 측정 작업의 재개를 지시하는 측정 재개 명령코드와 소정의 파라미터를 포함할 수 있다. 파라미터 중에는 실행흐름 검사 대상을 식별하기 위한 대상 식별자가 포함될 수 있다.
실행흐름 가능화 인스트럭션은 실행흐름 검사 작업을 수행하는 기능을 활성화시키기 위해서 사용된다. 즉, 실행흐름 가능화 인스트럭션이 페칭 될 경우 실행흐름 보고 장치(300)는 해당 프로그램에 대한 실행흐름 검사 작업의 수행을 준비할 수 있다. 실행흐름 가능화 인스트럭션은 실행흐름 검사 기능의 활성화를 지시하는 실행흐름 가능화 명령코드와 소정의 파라미터를 포함할 수 있다.
실행흐름 불능화 인스트럭션은 실행흐름 검사 작업을 수행하는 기능을 비활성화시키기 위해서 사용된다. 즉, 실행흐름 불능화 인스트럭션이 페칭 될 경우 실행흐름 보고 장치(300)는 해당 프로그램에 대한 실행흐름 검사 기능을 비활성화시킬 수 있다. 실행흐름 불능화 인스트럭션은 실행흐름 검사 기능의 비활성화를 지시하는 실행흐름 불능화 명령코드와 소정의 파라미터를 포함할 수 있다.
상태정보 요청 인스트럭션은 실행흐름 검사와 관련된 상태정보를 획득하기 위하여 사용된다. 예를 들어 실행흐름 검증 결과나 실행흐름 측정 오류 상태를 참조할 필요가 있는 경우 상태정보 요청 인스트럭션이 사용될 수 있다. 상태정보 요청 인스트럭션은 상태정보의 요청을 지시하는 상태정보 요청 명령코드와 소정의 파라미터를 포함한다. 여기서 파라미터는 상태정보를 제공하여야 할 소스 레지스터에 대한 정보와 제공된 상태정보를 저장할 목적지 레지스터에 대한 정보를 포함할 수 있다.
전술한 프로그램 패키지(130)의 구조는 본 발명의 일 실시예일뿐이므로 본 발명의 구현을 위해 사용되는 프로그램의 구조는 이에 한정되지 않는다. 따라서 실행흐름 검사 대상이 되는 프로그램의 구조는 실행흐름의 측정 또는 검증에 필요한 정보들을 포함하는 다양한 형태로 구현될 수 있다. 여기서 실행흐름 측정 및 검증에 필요한 정보들의 종류는 전술한 프로그램에 대한 설명 및 이하에서 설명할 실행흐름 보고 장치(300)에 대한 설명을 통해서 이해될 수 있을 것이다.
도 8은 본 발명의 실시예에 따른 실행흐름 참조 정보를 도시한 도면이다.
본 발명의 실시예에 따른 실행흐름 참조 정보(140)는 전술한 도 7의 프로그 램 패키지(130) 중 암호화된 실행흐름 참조 정보(760)에 포함되는 것으로 보안 모듈(370)에서 복호화 되는 정보이다.
실행흐름 참조 정보(140)는 프로그램 식별자(810), 프로그램 버전 정보(820), 체크-섬 부가 정보(830), 검증 참조 정보 개수(840) 및 하나 이상의 검증 참조 정보(850-1 내지 850-n)를 포함하는 참조 정보 셋(850)을 포함한다.
먼저, 프로그램 식별자(810)는 프로그램 패키지(130)에 할당된 유일한(Uniqe) 정보로서, 프로그램 식별자(810)를 통해서 서로 다른 프로그램 식별할 수 있다.
프로그램 버전 정보(820)는 실행흐름 참조 정보(140)의 구조, 형식, 사용 방법 등을 결정하는 정보로서, 실행흐름 참조 정보(140)가 어떠한 포맷으로 작성된 것인지 확인하는데 사용된다. 실행흐름 보고 장치(300)는 프로그램 패키지(130)에 포함되는 소정 프로그램 버전 정보(820)와 자신이 처리할 수 있는 버전 정보를 비교함으로써, 실행흐름 측정, 검증 및 보고 작업의 수행 여부를 결정할 수 있다. 예를 들어, 실행흐름 보고 장치(300)는 양 버전 정보가 일치하는 경우에 실행흐름 측정, 검증 및 보고 작업을 수행하고, 양 버전 정보가 불일치하면 실행흐름 검사 작업을 수행하지 않을 수 있다.
체크-섬 부가 정보(830)는 프로그램 패키지(130) 구동 시 실행되는 인스트럭션에 대한 체크-섬 계산에 필요한 정보를 포함한다. 체크-섬 부가 정보(830)는 실행흐름 보고 장치(300)가 사용하는 체크-섬 알고리즘에 따라서 적절한 정보들을 포함할 수 있다. 예를 들어, 체크-섬 부가 정보(830)는 후술되는 도 9에 도시된 바와 같이 초기화 벡터(860) 및 체크-섬 키(870)를 포함할 수 있다. 그러나 본 발명은 이에 한정되지 않는다.
검증 참조 정보 개수(840)는 실행흐름 참조 정보(140)에 포함된 검증 참조 정보(850-1 내지 850-n)의 개수를 나타낸다.
참조 정보 셋(850)은 하나 이상의 검증 참조 정보(850-1 내지 850-n)를 포함하는데, 검증 참조 정보들(850-1 내지 850-n)의 크기는 동일한 것이 바람직하다. 각 검증 참조 정보(850-1 내지 850-n)는 참조 측정 값(880)과 측정 종료 인스트럭션 위치 정보(890)를 포함한다.
참조 측정 값(880)은 실행흐름 보고 장치(300)의 실행흐름 검증 작업 시 실행흐름 측정 결과와 비교 대상이 되는 정보이며, 측정 종료 인스트럭션 위치 정보(890)는 참조 측정값(880)이 적용될 실행흐름 검사 대상에 포함되는 측정 종료 인스트럭션의 위치를 나타낸다.
각 검증 참조 정보(850-1 내지 850-n)는 프로그램 패키지(130) 내에 존재하는 실행흐름 검사 대상과 대응한다. 따라서 실행흐름 검사 대상의 개수와 검증 참조 정보(850-1 내지 850-n)의 개수는 동일하다. 검증 참조 정보(850-1 내지 850-n) 각각이 어떤 실행흐름 검사 대상과 대응하는지는, 후술할 측정 시작 인스트럭션에 포함되는 대상 식별자를 통해서 확인 가능하다. 예를 들어 대상 식별자는 복수의 검증 참조 정보들(850-1 내지 850-n)의 배열 순서에 관련된 정보의 형식으로 표현될 수 있다. 이 경우, 대상 식별자를 확인하면 특정 실행흐름 검사 대상에 대응하는 검증 참조 정보가 복수의 검증 참조 정보들 중에서 몇 번째 위치하고 있는지 알 수 있게 된다.
측정 종료 인스트럭션 위치 정보(890)는 프로그램 패키지(130)에서 측정 종료 인스트럭션의 위치를 나타내기 위한 상대적인 주소 값으로서, 프로그램의 시작 주소로부터 측정 종료 인스트럭션까지의 거리로 계산될 수 있다. 측정 종료 인스트럭션 위치 정보(890)는 실행흐름 검사에 관련된 인스트럭션의 위치가 변경되거나 삭제되는 등 프로그램 코드(720)에 악의적인 변경이 가해진 경우에 이를 검출하는데 사용될 수 있다.
즉, 전술한 도 4의 검사 모듈(330)에서 소정 목적의 프로그램에 대한 실행흐름 측정 또는 검증 결과에 상응하는 실행흐름 보고 메시지(150)를 실행흐름 검증 서버(110)로 전달하고, 해당 서버에서는 프로그램 패키지(130)에 포함되고, 프로그램 제공 서버(120)에서 실행흐름 검증 서버(110)로 제공되는 실행흐름 참조 정보(140)와 비교되어 실행흐름 상태를 점검하게 된다.
도 9는 본 발명의 실시예에 따른 체크-섬 계산 과정을 도시한 도면이다.
본 발명의 실시예에 따른 인스트럭션 스트림의 체크-섬 계산 과정은 메인 메모리에 저장되어 있는 순서가 아니라 페칭 모듈(310)에 의하여 페칭 되는 순서로 나열된 인스트럭션들을 의미한다. 즉, 인스트럭션 스트림을 통해서 출력되는 체크-섬 결과 값은 인스트럭션 자체의 값뿐만 아니라 인스트럭션들의 실행 순서까지 반영된 정보가 된다.
체크-섬 계산 작업이 최초로 수행될 경우(시간 t1)에는 이전까지 계산된 체크-섬 결과값이 없으므로, 이와 동일한 비트 수를 갖는 초기화 벡터(860)가 사용된 다. 따라서, 최초의 체크-섬 계산 시 체크-섬 계산 모듈(500)은 인스트럭션 값, 초기화 벡터, 및 체크-섬 키(870)를 입력 값으로 사용하게 된다. 초기화 벡터도 체크-섬 키(870)와 마찬가지로 프로그램 제작자에 의하여 프로그램에 삽입되어 있을 수 있다.
최초의 체크-섬 계산이 수행된 후에는 시간의 흐름에 따라서 측정 대상이 되는 인스트럭션 값, 이전까지 계산된 체크-섬 결과값, 및 체크-섬 키(870)를 입력 값으로 하여 체크-섬 계산 작업이 수행된다. 이전까지 계산된 체크-섬 결과값은 연쇄 레지스터(510)에 저장되었다가 체크-섬 계산 모듈(500)에게 제공될 수 있다.
참고로, 실제 프로그램의 구동 시 인스트럭션들은 메인 메모리에 저장되어 있는 순서대로 실행되기도 하지만, 분기, 점프, 복귀 등에 의하여 저장 순서에 관계없이 실행되기도 한다. 따라서 인스트럭션 스트림은 메인 메모리에 저장되어 있는 순서가 아니라 페칭 모듈(310)에 의하여 페칭 되는 순서로 나열된 인스트럭션들을 의미한다.
이러한 방식을 통해서 최종적으로 출력되는 체크-섬 결과값은 인스트럭션 자체의 값뿐만 아니라 인스트럭션들의 실행 순서까지 반영한 정보가 된다.
도 10은 본 발명의 실시예에 따른 동작 상태 간의 전이를 나타낸 도면이다.
본 발명의 실시예에 따른 실행흐름 동작 상태 간 전이는 도시된 바와 같이 네 가지의 동작 상태(1010 내지 1040) 중에서 어느 하나의 동작 상태로 설정될 수 있으며, 실행흐름 보고 장치(300)의 현재 동작 상태와 새롭게 페칭 되는 실행흐름 검사 기반 인스트럭션의 종류에 따라서 동작 상태가 변경될 수 있다.
실행흐름 보고 장치(300)의 최초 동작 상태는 비활성화 상태(1010)로서, 동작 상태 레지스터(620)는 비활성화 상태(1010)로 설정되어 있다. 즉, 실행흐름 보고 장치(300)의 실행흐름 검사 기능은 비활성화 상태(1010)이다.
동작 상태 레지스터(620)가 비활성화 상태(1010)로 설정된 상황에서 실행흐름 가능화 인스트럭션이 입력되면 동작 상태 레지스터(620)는 측정 오프 상태(1020)로 설정된다(1). 이 때, 실행흐름 보고 장치(300)의 실행흐름 검사 기능이 활성화되어, 보안 모듈(370)에서 복호화 된 실행흐름 참조 정보(640)가 실행흐름 참조 정보 저장 모듈(340)에 저장된다. 또한, 실행흐름 검사 대상 레지스터(630), 검증 결과 레지스터(660), 및 검사 오류 레지스터(650)는 특별한 정보가 없다는 의미의 언셋(Unset)으로 설정된다. 동작 상태 레지스터(620)가 비활성화 상태(1010) 이외의 동작 상태로 설정되어 있는 상황에서 실행흐름 가능화 인스트럭션이 입력될 경우, 제어 모듈(380)은 이를 무시할 수 있다.
한편, 동작 상태 레지스터(620)가 측정 오프 상태(1020)로 설정된 상황에서 측정 시작 인스트럭션이 입력되면 동작 상태 레지스터(620)는 측정 온 상태(1030)로 설정된다(3). 이 때, 실행흐름 검사 대상 레지스터(630)는 측정 시작 인스트럭션에 포함된 대상 식별자를 저장하고, 측정 종료 인스트럭션 위치 레지스터(640)는 실행흐름 검사 대상에 포함된 측정 종료 인스트럭션의 위치 정보를 저장한다. 측정 종료 인스트럭션의 위치 정보는 실행흐름 참조 정보 저장 모듈(340)에 저장된 실행흐름 참조 정보(140)를 통해 알 수 있다. 또한, 검사 오류 레지스터(650)와 검증 결과 레지스터(660)는 언셋(Unset)으로 설정된다.
측정 온 상태(1030)에서 실행흐름 검사 장치(300)는 측정 시작 인스트럭션 이후로 입력되는 일반 인스트럭션들에 대한 실행흐름 측정 작업을 수행하게 된다. 동작 상태 레지스터(620)가 측정 오프 상태(1020) 이외의 동작 상태로 설정된 상황에서 측정 시작 인스트럭션이 입력되는 경우, 제어 모듈(380)은 이를 무시할 수 있다.
동작 상태 레지스터(620)가 측정 온 상태(1030)로 설정된 상황에서 측정 일시 중지 인스트럭션이 입력되면, 동작 상태 레지스터(620)는 측정 일시 중지 상태(1040)로 설정된다(4). 이 때, 실행흐름 보고 장치(300)는 실행흐름 측정 작업을 일시적으로 중지한다. 동작 상태 레지스터(620)가 측정 온 상태(1030) 이외의 동작 상태로 설정된 상황에서 측정 일시 중지 인스트럭션이 입력되면 제어 모듈(380)은 이를 무시할 수 있다.
동작 상태 레지스터(620)가 측정 일시 중지 상태(1040)로 설정된 상황에서 측정 재개 인스트럭션이 입력되면 동작 상태 레지스터(620)는 측정 온 상태(1030)로 설정된다(5). 이 때 실행흐름 보고 장치(300)는 측정 재개 인스트럭션 이후에 입력되는 인스트럭션들에 대하여 실행흐름 측정 작업을 재개한다. 동작 상태 레지스터(620)가 측정 일시 중지 상태(1040) 이외의 동작 상태로 설정된 상황에서 측정 재개 인스트럭션이 입력되면 제어 모듈(380)은 이를 무시할 수 있다.
동작 상태 레지스터(620)가 측정 온 상태(1030) 또는 측정 일시 중지 상태(1040)로 설정된 상황에서, 측정 종료 인스트럭션이 입력되면 동작 상태 레지스터(620)는 측정 오프 상태(1020)로 설정된다(6, 7). 이 때 실행흐름 검사 장 치(300)는 실행흐름 검사 작업을 종료한다. 그 후 실행흐름 검사 장치(300)는 측정 종료 인스트럭션에 포함된 측정 후 작업을 수행하게 된다. 본 발명의 일 실시예에 따라서, 측정 후 작업이 실행흐름 검증 작업인 경우 검사 모듈(330)은 지금까지 계산된 실행흐름 측정 결과값을 참조 측정값과 비교한다. 두 값이 일치한다면 프로그램이 설계된 대로 수행되었음을 의미하며, 두 값이 일치하지 않는다면 프로그램이 설계된 대로 수행되지 않았음을 의미한다. 따라서 두 값이 일치하면 검증 결과 레지스터(660)는 적합(valid)으로 설정되고 두 값이 일치하지 않는다면 검증 결과 레지스터(660)는 부적합(invalid)으로 설정된다. 실행흐름 검증 작업이 수행된 후에는 실행흐름 검사 대상 레지스터(630)는 언셋(Unset)으로 설정된다. 동작 상태 레지스터(620)가 측정 온 상태(1030) 또는 측정 일시 중지 상태(1040) 이외의 동작 상태로 설정된 상황에서 측정 종료 인스트럭션이 입력되는 경우 제어 모듈(380)은 이를 무시할 수 있다.
한편, 동작 상태 레지스터(620)가 측정 온 상태(1030)로 설정된 상황에서 측정 종료 인스트럭션이나 측정 일시 중지 인스트럭션이 입력되면, 제어 모듈(380)은 측정 종료 인스트럭션 또는 측정 일시 중지 인스트럭션에 포함된 대상 식별자와 실행흐름 검사 대상 레지스터(630)에 저장된 대상 식별자를 비교한다. 만약 양자가 일치한다면 지금까지 수행된 실행흐름 측정 동작에 문제가 없었던 것이지만, 양자가 불일치 한다면 실행흐름 측정 동작에 문제가 발생한 것으로 판단할 수 있다. 이러한 경우 검사 오류 레지스터(650)는 실행흐름 측정에 오류가 발생하였다는 정보를 저장하고 검증 결과 레지스터(660)와 실행흐름 검사 대상 레지스터(630)는 언 셋(Unset)으로 설정된다. 또한 동작 상태 레지스터(620)는 측정 오프 상태(1020)로 설정되고(8) 실행흐름 측정 작업은 중단된다.
이러한 작업은 동작 상태 레지스터(620)가 측정 일시 중지 상태(1040)로 설정된 상태에서 측정 종료 인스트럭션이나 측정 재개 인스트럭션이 입력되는 경우에도 동일하게 수행될 수 있다(9). 도 10에서 점선으로 표시한 동작 상태 전이가 이처럼 오류가 발생한 경우를 나타낸다.
도 11은 본 발명의 실시예에 따른 실행흐름 보고 흐름도이다.
본 발명의 실시예에 따른 실행흐름 보고는 프로그램 제공 서버(120)에서 제공되는 소정 목적의 프로그램 패키지(130)에 대한 실행흐름 측정 또는 검증 결과를 실행흐름 검증 서버로 안전하게 보고하기 위한 흐름도이다.
먼저, 사용자 장치(100)로부터 소정 목적의 프로그램이 요청되면, 실행흐름 검증 서버(110)는 사용자의 요청에 상응하는 요구 사항을 바탕으로 프로그램 제공 서버(120)에 해당 프로그램에 대한 제작을 요청한다(S1100).
실행흐름 검증 서버(110)로부터 프로그램 제작 요청이 완료되면(S1100), 프로그램 제공 서버(120)에서는 이에 상응하는 프로그램 패키지(130)를 제작한다(S1110).
이때, 제작되는 프로그램 패키지(130)는 프로그램을 요청한 사용자 장치(100)를 신뢰하지 않으므로, 사용자 장치(100)가 내장하는 보안 모듈(370) 정보를 바탕으로 소정 목적의 프로그램을 암호화하여 소정 프로그램에 대한 실행흐름 측정, 검증 및 보고기술이 적용된 프로그램 패키지(130)로 제작한다.
프로그램 제공 서버(120)에서 제작되는 프로그램 패키지(130)는 전술한 도 2의 신뢰 모델을 바탕으로 사용자 장치(100)로 안전하게 제공되며, 실행흐름 참조 정보(140)가 실행흐름 검증 서버(110)로 함께 제공된다(S1120).
프로그램 패키지(130) 및 실행흐름 참조 정보(140)가 제공되면(S1120), 사용자 장치(100)에서 프로그램의 실행여부를 판단한다(S1130).
이때, 프로그램이 실행되지 않으면 프로그램 실행흐름에 대한 보고가 종료되지만, 그렇지 않은 경우 사용자 장치(100)에서 구동되는 프로그램에 대한 실행흐름 측정 또는 검증을 수행한다(S1140).
프로그램이 실행되는 동안 해당 프로그램에 대한 실행흐름 측정 또는 검증 완료여부가 판단된다(S1150). 여기에서 측정 또는 검증되는 프로그램은 구동되는 프로그램 전체가 될 수도 있고, 부분이 될 수도 있기 때문에 지속적인 판단이 수행되어야 한다.
프로그램 측정 또는 검증 완료 여부 판단(S1150) 후, 측정 또는 검증에 대한 결과를 보고하기 위해 사용자 장치(100)와 실행흐름 검증 서버(110)간에 신뢰 관계가 판단된다(S1160). 이때의 신뢰 관계 판단은 사용자 장치(100)의 보안 모듈(370)에 대한 판단이 이루어지는 것이다.
두 장치간의 신뢰 관계 판단이 완료되면(S1160), 사용자 장치(100)에서 구동되는 프로그램에 대한 측정 또는 검증 결과를 소정 형태의 실행흐름 보고 메시지(150)로 작성하여 해당 결과를 실행흐름 검증 서버(110)로 전송한다(S1170). 여기에서, 실행흐름 보고 메시지(150)는 사용자 장치(100)의 보안 모듈(370)로 전자 서명되어 전송된다. 이는 실행흐름 검증 서버(110)에서 수신되는 실행흐름 보고 메시지(150)에 대한 출처를 확인하기 위한 것이다.
실행흐름 보고 메시지(150)가 전송되면(S1170), 실행흐름 검증 서버(1201)에서는 해당 메시지와 프로그램 제공 서버(120)에서 제공된 실행흐름 참조 정보(140)를 비교 판단하여 사용자 장치(100)에서 구동되는 소정 목적의 프로그램에 대한 상태를 점검한다(S1180).
실행흐름 검증 서버(110)에서는 상태 점검에 상응하는 조치 사항을 사용자 장치(100) 또는 프로그램 제공 서버(120) 중 적어도 하나의 장치로 알릴 수 있다.
즉, 실행흐름 검증 서버(110)에서는 실행흐름 보고 메시지(150)에 상응하는 조치를 제공한다. 실행흐름 보고 메시지(150)에 대한 조치 사항들은 전술한 프로그램 패키지(130)에 포함되는 인스트럭션들에 대한 제어가 될 수 있으나, 조치 사항들을 이에 국한 하지는 않는다.
이상과 첨부된 도면을 참조하여 본 발명의 실시예를 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다.
상기한 바와 같은 본 발명의 프로그램 실행흐름 보고 시스템 및 방법에 따르면 다음과 같은 효과가 하나 혹은 그 이상 있다.
첫째, 사용자 장치에서 구동되는 프로그램에 대해 시간의 흐름을 고려한 대상 프로그램 이미지의 실행흐름 측정이 가능하다는 장점이 있다.
둘째, 실행흐름 검증 결과에 따라 프로세서의 동작을 제어할 수 있다는 장점도 있다.
셋째, 사용자 장치에서 구동되는 프로그램에 대한 제공 또는 실행을 제한할 수 있다는 장점도 있다.

Claims (10)

  1. 소정의 실행흐름 관련 정보가 포함된 프로그램 패키지를 제공하는 프로그램 제공 서버;
    상기 실행흐름 관련 정보를 참조하여 상기 프로그램 패키지의 실행흐름에 대한 무결성 측정 또는 상기 측정에 대한 검증 결과가 포함된 실행흐름 보고 메시지를 송신하는 사용자 장치; 및
    상기 실행흐름 보고 메시지에 대한 판단을 바탕으로 상기 프로그램 패키지의 제공 또는 실행을 제한하는 실행흐름 검증 서버; 및
    상기 프로그램 제공 서버, 상기 사용자 장치 및 상기 실행흐름 검증 서버가 내장하는 보안 모듈을 식별하고,
    상기 보안 모듈의 서명 검증 키에 대한 인증서를 제공함으로써 상기 프로그램 제공 서버, 상기 사용자 장치 및 상기 실행흐름 검증 서버에 대한 인증을 수행하는 플랫폼 인증 기관을 포함하는 프로그램 실행흐름 보고 시스템.
  2. 삭제
  3. 제 1 항에 있어서,
    상기 프로그램 제공 서버는,
    상기 프로그램 패키지 제공 시 상기 실행흐름 보고 메시지에 대한 점검을 위해 상기 프로그램 패키지에 상응하는 실행흐름 참조 정보를 상기 실행흐름 검증 서버로 제공하는 프로그램 실행흐름 보고 시스템.
  4. 제 1 항에 있어서,
    상기 실행흐름 보고 메시지는,
    상기 사용자 장치가 내장하는 보안 모듈의 서명 키로 전자 서명되어 상기 실행흐름 검증 서버로 송신되는 프로그램 실행흐름 보고 시스템.
  5. 제 1 항에 있어서,
    상기 실행흐름 검증 서버는,
    상기 실행흐름 보고 메시지에 대한 출처 판단을 위해 상기 사용자 장치의 전자 서명에 대한 검증을 수행하고,
    상기 실행흐름 참조 정보를 바탕으로 상기 실행흐름 보고 메시지에 대한 판단을 수행하는 프로그램 실행흐름 보고 시스템.
  6. 소정의 실행흐름 관련 정보가 포함된 프로그램 패키지를 제공하는 단계;
    상기 프로그램 패키지를 제공하는 프로그램 제공 서버, 상기 실행흐름 관련 정보를 참조하여 상기 프로그램 패키지의 실행흐름에 대한 무결성 측정 또는 상기 측정에 대한 검증 결과가 포함된 실행흐름 보고 메시지를 송신하는 사용자 장치 및 상기 실행흐름 보고 메시지를 판단하는 실행흐름 검증 서버가 내장하는 보안 모듈을 식별하고,
    상기 보안 모듈의 서명 검증 키에 대한 인증서를 제공함으로써 상기 프로그램 제공 서버, 상기 사용자 장치 및 상기 실행흐름 검증 서버에 대한 인증을 수행하는 단계;
    상기 실행흐름 보고 메시지를 송신하는 단계; 및
    상기 실행흐름 보고 메시지에 대한 판단을 바탕으로 상기 프로그램 패키지의 제공 또는 실행을 제한하는 단계를 포함하는 프로그램 실행흐름 보고 방법.
  7. 삭제
  8. 제 6 항에 있어서,
    상기 프로그램 패키지 제공 단계는,
    상기 실행흐름 보고 메시지에 대한 점검을 위해 상기 프로그램 제공 서버로 상기 프로그램 패키지에 상응하는 실행흐름 참조 정보를 제공하는 단계를 포함하는 프로그램 실행흐름 보고 방법.
  9. 제 6 항에 있어서,
    상기 실행흐름 보고 메시지는,
    상기 사용자 장치가 내장하는 보안 모듈의 서명 키로 전자 서명되어 상기 실 행흐름 검증 서버로 송신되는 프로그램 실행흐름 보고 방법.
  10. 제 6 항에 있어서,
    상기 실행흐름 검증 서버는,
    상기 실행흐름 보고 메시지에 대한 출처 판단을 위해 상기 사용자 장치의 전자 서명에 대한 검증을 수행하고,
    상기 실행흐름 참조 정보를 바탕으로 상기 실행흐름 보고 메시지에 대한 판단을 수행하는 프로그램 실행흐름 보고 방법.
KR1020060132967A 2006-12-22 2006-12-22 프로그램 실행흐름 보고 시스템 및 방법 KR101368327B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020060132967A KR101368327B1 (ko) 2006-12-22 2006-12-22 프로그램 실행흐름 보고 시스템 및 방법
US11/851,508 US8112630B2 (en) 2006-12-22 2007-09-07 Device, system, and method for reporting execution flow of program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020060132967A KR101368327B1 (ko) 2006-12-22 2006-12-22 프로그램 실행흐름 보고 시스템 및 방법

Publications (2)

Publication Number Publication Date
KR20090000065A KR20090000065A (ko) 2009-01-07
KR101368327B1 true KR101368327B1 (ko) 2014-02-26

Family

ID=39544902

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060132967A KR101368327B1 (ko) 2006-12-22 2006-12-22 프로그램 실행흐름 보고 시스템 및 방법

Country Status (2)

Country Link
US (1) US8112630B2 (ko)
KR (1) KR101368327B1 (ko)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101861607B1 (ko) 2008-01-18 2018-05-29 인터디지탈 패튼 홀딩스, 인크 M2m 통신을 인에이블하는 방법 및 장치
WO2009152511A2 (en) * 2008-06-13 2009-12-17 Board Of Regents, The University Of Texas System Control flow deviation detection for software security
JP2012520027A (ja) 2009-03-06 2012-08-30 インターデイジタル パテント ホールディングス インコーポレイテッド 無線装置のプラットフォームの検証と管理
CN106055930A (zh) 2010-11-05 2016-10-26 交互数字专利控股公司 设备检验和遇险指示
US20130061328A1 (en) * 2011-09-06 2013-03-07 Broadcom Corporation Integrity checking system
US20130132933A1 (en) * 2011-11-17 2013-05-23 Microsoft Corporation Automated compliance testing during application development
US8751800B1 (en) 2011-12-12 2014-06-10 Google Inc. DRM provider interoperability
US8832435B2 (en) * 2012-12-17 2014-09-09 International Business Machines Corporation Providing a real-time indication of platform trust
KR101594317B1 (ko) * 2014-02-19 2016-02-16 주식회사 엔오디비즈웨어 자기 방어 보안 모듈을 포함하는 패키지 애플리케이션의 동작 방법과 이를 저장하는 기록 매체
US20170090929A1 (en) * 2015-09-25 2017-03-30 Mcafee, Inc. Hardware-assisted software verification and secure execution
CN112699057B (zh) * 2021-03-24 2021-06-18 广州弘一信息科技股份有限公司 一种软件开发过程中的预警系统

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100408758B1 (en) * 2003-01-22 2003-12-11 Nexon Co Ltd Method for controlling user application program
KR20050005666A (ko) * 2003-07-07 2005-01-14 주식회사데이콤 인터넷 파일 보관/공유 시스템 기반의 디지털 컨텐츠저작권 보호 시스템

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6308270B1 (en) * 1998-02-13 2001-10-23 Schlumberger Technologies, Inc. Validating and certifying execution of a software program with a smart card
CA2365733A1 (en) * 2001-12-20 2003-06-20 Ibm Canada Limited-Ibm Canada Limitee Testing measurements
US6880149B2 (en) * 2002-04-01 2005-04-12 Pace Anti-Piracy Method for runtime code integrity validation using code block checksums
JPWO2004053666A1 (ja) * 2002-12-11 2006-04-13 インターレックス株式会社 ソフトウェア実行制御システム及びソフトウェアの実行制御プログラム
US7574695B2 (en) * 2003-12-23 2009-08-11 Ntt Docomo, Inc. Performing checks on the resource usage of computer programs
US7711960B2 (en) * 2006-08-29 2010-05-04 Intel Corporation Mechanisms to control access to cryptographic keys and to attest to the approved configurations of computer platforms
US7721154B1 (en) * 2006-09-05 2010-05-18 Parasoft Corporation System and method for software run-time testing

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100408758B1 (en) * 2003-01-22 2003-12-11 Nexon Co Ltd Method for controlling user application program
KR20050005666A (ko) * 2003-07-07 2005-01-14 주식회사데이콤 인터넷 파일 보관/공유 시스템 기반의 디지털 컨텐츠저작권 보호 시스템

Also Published As

Publication number Publication date
KR20090000065A (ko) 2009-01-07
US8112630B2 (en) 2012-02-07
US20080155673A1 (en) 2008-06-26

Similar Documents

Publication Publication Date Title
KR101368327B1 (ko) 프로그램 실행흐름 보고 시스템 및 방법
Anati et al. Innovative technology for CPU based attestation and sealing
EP3642751B1 (en) Mutual authentication with integrity attestation
US11218330B2 (en) Generating an identity for a computing device using a physical unclonable function
US11361660B2 (en) Verifying identity of an emergency vehicle during operation
US8127146B2 (en) Transparent trust validation of an unknown platform
US8332632B2 (en) Method and system for execution monitor-based trusted computing
US9425965B2 (en) Cryptographic certification of secure hosted execution environments
US8161285B2 (en) Protocol-Independent remote attestation and sealing
TW201732669A (zh) 受控的安全碼鑑認
KR100800999B1 (ko) 프로그램의 실행흐름을 검사하는 방법 및 장치
US11399013B2 (en) Secure service mesh
US11966461B2 (en) Virtual environment type validation for policy enforcement
CN111414640B (zh) 秘钥访问控制方法和装置
US9122864B2 (en) Method and apparatus for transitive program verification
KR100897075B1 (ko) 배포 cd를 사용하는 장치에 서명 그룹의 다이렉트 증명개인 키들을 전달하는 방법
US20240037216A1 (en) Systems And Methods For Creating Trustworthy Orchestration Instructions Within A Containerized Computing Environment For Validation Within An Alternate Computing Environment
US11526598B2 (en) Microcontroller and semiconductor device
RU2812867C1 (ru) Защита двоичных файлов типовых коммерческих программ от пиратства с использованием аппаратных анклавов
WO2012060683A1 (en) A system and method for securing data storage
Kim et al. Efficient scheme of verifying integrity of application binaries in embedded operating systems
CN117951686A (en) Software package processing method and device, electronic equipment and medium
CN115600193A (zh) 应用监控方法、装置、电子设备和计算机可读存储介质
Anati et al. Innovative Technology for CPU Based Attestation and Sealing
Moon et al. On the Feasibility of Remote Attestation for IoT Devices

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170125

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20180130

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee