KR101418272B1 - 휴대용 컴퓨팅 단말의 시스템 자원 보안 장치 및 보안 방법 - Google Patents
휴대용 컴퓨팅 단말의 시스템 자원 보안 장치 및 보안 방법 Download PDFInfo
- Publication number
- KR101418272B1 KR101418272B1 KR1020090117903A KR20090117903A KR101418272B1 KR 101418272 B1 KR101418272 B1 KR 101418272B1 KR 1020090117903 A KR1020090117903 A KR 1020090117903A KR 20090117903 A KR20090117903 A KR 20090117903A KR 101418272 B1 KR101418272 B1 KR 101418272B1
- Authority
- KR
- South Korea
- Prior art keywords
- resource
- security
- protection policy
- system resources
- protection
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/25—Integrating or interfacing systems involving database management systems
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Databases & Information Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Storage Device Security (AREA)
Abstract
본 발명의 휴대용 컴퓨팅 단말의 시스템 자원 보안 장치는, 시스템 자원에 대한 프로세스의 접근을 감지하는 자원접근 감시부; 시스템 자원에 대한 보호정책을 저장하고 있는 자원보호정책 데이터베이스; 자원보호 정책 데이터 베이스로부터 시스템 자원을 보호하기 위해 필요한 보호정책을 검색하는 자원보호정책 검색부; 시스템자원을 보호하기 위한 보안 기능을 저장하고 있는 보안기능 데이터베이스; 자원보호정책 검색부에 의해 검색된 보호정책에 포함된 보안기능을 보안기능 데이터베이스로부터 읽어들여 보호정책에 포함된 보안기능을 실행하는 자원보안 실행부; 및 자원보호정책 데이터베이스와 보안기능 데이터베이스를 관리하는 보안관리부를 구비한다.
휴대용 컴퓨터, 시스템, 프로세서, 보안, 접근
Description
본 발명은 휴대용 컴퓨팅 단말의 시스템 자원 보안 및 보안 방법에 관한 것으로서, 더욱 상세하게는 휴대용 컴퓨팅 단말에서 보안 위협으로부터 시스템 자원을 효과적으로 보호하는 장치 및 그 방법에 관한 것이다.
본 발명은 지식경제부의 IT성장동력기술개발사업의 일환으로 수행한 연구로부터 도출된 것이다[과제관리번호:2007-S-023-03, 과제명:복합단말용 침해방지 기술개발].
휴대용 컴퓨팅 단말은 스마트폰, PDA (Personal Digital Assistant), PMP (Portable Multimedia Player), 미니 컴퓨터 등과 같은 작은 크기의 휴대용 컴퓨터이다. 휴대용 컴퓨팅 단말은 단말 가격이 점점 낮아지고 소형화, 고성능화, 다기능화, 그리고 경량화로 발전됨에 따라 그 수요가 크게 증가하고 있는 추세이다.
휴대용 컴퓨팅 단말은 PC(Personal Computer) 이면서 이동형 무선시스템이기 때문에 바이러스, 트로이 목마, 웜과 같은 전통적인 컴퓨터 보안 공격뿐만 아니 라 무선도청(eavesdropping) 이나 전파방해(jamming) 등과 같은 전통적인 무선 보안 공격에도 매우 취약하다. 더욱이, 휴대용 컴퓨팅 단말은 이동성 특징으로 인하여 크로스 서비스 공격과 배터리 소모 공격, 그리고 도난 및 분실 등과 같이 새로운 유형의 공격에도 취약한 문제가 있다.
시스템 자원이 활성화될 때 야기되는 보안 취약성 문제는 도 1을 통하여 설명한다. 도 1은 휴대용 컴퓨팅 단말의 시스템 자원 활성화에 따른 보안취약점 문제를 보여주고 있다. 휴대용 컴퓨팅 단말(106)은 무선망(102), 전화망(103), Ad-hoc 망(104), 인터넷(101)을 통하여 다른 시스템과 통신할 수 있으며, 이를 위하여 파일(109), 카메라(112), 프로세스(113)와 같은 기본적인 자원뿐만 아니라 Bluetooth(110), WiFi(111)와 같은 통신을 위한 시스템 자원(108)도 가지고 있다. 일반적으로 휴대용 컴퓨팅 단말의 프로세스가 시스템 자원에 접근하면 그 시스템 자원이 활성화되기 때문에 새로운 보안위험에 노출될 수 있다. 예를 들어, 휴대용 컴퓨팅 단말(106)의 프로세스(107)가 암호파일(109)을 접근하여 읽기(read) 오퍼레이션으로 읽으면, 그 파일은 복호화되어 사용자에게 제공된다. 파일이 암호화된 상태에서는 비록 그 데이터가 유출되더라도 공격자가 암호를 풀지 못하는 한 그 암호화된 파일을 볼 수 없기 때문에 데이터 유출 공격에 안전하다고 말할 수 있다. 그러나 파일의 암호화가 해제된 상황에서는 데이터 유출 공격에 취약하게 되는 문제가 발생한다. 또 다른 예로써 휴대용 컴퓨팅 단말(106)의 프로세스(107)가 데이터 전송을 위해 Bluetooth(110) 통신장치를 사용하는 경우에 그 단말(106)은 도청이라는 공격에 새로이 노출될 수 있으며, 데이터 수신을 위해 WiFi(112) 통신장치 를 사용하는 경우에는 바이러스나 웜과 같은 네트워크 공격에 노출되는 상황에 직면할 수 있다.
이러한 휴대용 컴퓨팅 단말의 보안 취약성을 해결할 수 있는 종래의 기술로써 바이러스 스캔, 네트워크 침입차단, 개인 방화벽, 중요정보유출 차단, 데이터 암호화 등, 다양한 종류의 개별 보안기술들이 존재한다. 사용자는 종래의 모든 개별 보안기술을 휴대용 컴퓨팅 단말에 적용함으로써 단말의 보안 취약점을 제거할 수 있다.
그러나 종래의 모든 개별 보안기술들을 휴대용 컴퓨팅 단말상에 그대로 적용하면 각 개별 보안기술의 기능 일부가 서로 중복되어 실행될 수 있고 또한 시스템 자원의 활성여부와 상관없이 각 개별 보안기술이 항상 실행되기 때문에 배터리, CPU, 메모리 등의 자원 소모량이 큰 문제가 있다. 여기서, 시스템 자원이란 파일, 프로세스, 카메라, WiFi, Bluetooth, CDMA 등의 단말 자원을 말한다. 또 다른 문제로써, 사용자는 각 보안기술을 개별적으로 운용해야 하는 불편함이 있기 때문에 사용자 편의성이 떨어지는 문제도 있다.
모든 시스템 자원을 통합하여 보호하는 종래의 기술로써 프로세스 접근 제어 기술이 있다. 이 종래의 기술은 프로세스들을 감시하면서 프로세스가 시스템자원에 접근할 때 그 프로세스가 그 시스템자원에 접근할 수 있는 허가된 프로세스 리스트에 속하지 않으면 그 접근을 거부하는 방법을 사용하여 시스템 자원을 보호한다. 허가된 프로세스 리스트는 사전에 정의되어 데이터베이스에 저장된다.
이 종래의 기술은 허가된 프로세스 리스트에 존재하는 권한있는 프로세스가 바이러스에 감염된 경우에는 시스템 자원을 보호할 수 없는 문제가 있다. 또한 이 종래의 기술은 시스템 자원이 권한 있는 프로세스의 접근에 의해 활성화될 때 만약 활성화됨으로써 야기될 수 있는 보안 취약점이 있는 경우에 그 시스템 자원은 감염되거나 감염을 위한 통로로 사용되는 위험을 막을 수 없는 한계가 있다.
따라서 종래의 기술은 다양한 개별 보안기술을 모두 휴대용 컴퓨팅 단말에 적용하여 시스템 자원을 보호할 수는 있지만, 각 보안기술의 개별적인 운용과 관리로 인하여 자원 소모량이 클 뿐 아니라 보안관리도 어려운 문제가 있다. 또한 모든 시스템 자원을 통합하여 직접 보호하는 종래의 보안기술은 부분적으로는 시스템자원을 보호할 수 있지만, 시스템 자원이 활성화될 때 야기될 수 있는 보안 취약성 문제를 해결하지 못하고 있다.
따라서, 다양한 보안위협으로부터 휴대용 컴퓨팅 단말의 시스템자원을 효과적으로 보호할 수 있는 방법이 요구되고 있다.
본 발명은 보안위협부터 휴대용 컴퓨팅 단말을 보호할 수 있는 보안 장치 및 보안 방법을 제공하는 것을 목적으로 한다.
본 발명의 다른 목적은 시스템 자원이 활성화되는 순간에 야기될 수 있는 보안 취약점을 미리 제거하는 장치 및 방법을 제공하는 것을 목적으로 한다.
본 발명의 또 다른 목적은 표준화되고 통합된 형태의 시스템자원 보호 방법을 제공하는 것이다.
이러한 목적을 달성하기 위한 본 발명에 따른 휴대용 컴퓨팅 단말의 시스템 자원 보안 및 보안 방법은 시스템 자원을 활성화하기에 앞서, 보안 취약점을 제거할 수 있는 자원보호 기능을 실행하는 것을 특징으로 한다.
본 발명의 다른 특징은 휴대용 컴퓨팅 단말에서 시스템 자원이 활성화될 때는 관련된 보안취약점을 제거하고, 시스템자원이 비활성화될 때는 관련된 보안기능을 해제시키는 것이다.
본 발명에 따른 휴대용 컴퓨팅 단말의 시스템 자원 보안 장치의 세부적 구성의 특징은 시스템 자원에 대한 프로세스의 접근을 감지하는 자원접근 감시부; 상기 시스템 자원에 대한 보호정책을 저장하고 있는 자원 보호정책 데이터베이스; 상기 자원보호 정책 데이터 베이스로부터 시스템 자원을 보호하기 위해 필요한 보호정책을 검색하는 자원보호정책 검색부; 상기 시스템자원을 보호하기 위한 보안 기능을 저장하고 있는 보안기능 데이터베이스; 상기 자원보호정책 검색부에 의해 검색된 자원 보호정책에 포함된 보안기능을 보안기능 데이터베이스로부터 읽어들여 자원 보호정책에 포함된 보안기능을 실행하는 자원보안 실행부; 상기 자원보호정책 데이터베이스와 보안기능 데이터베이스를 관리하는 보안관리부를 포함하여 이루어지는 점이다.
본 발명에 따른 휴대용 컴퓨팅 단말의 시스템 자원 보안 장치의 다른 세부적 구성의 특징은 상기 보호 대상이 되는 시스템 자원은 휴대용 컴퓨팅 단말에 탑재될 수 있는 모든 자원을 대상으로 하는 점이다.
본 발명에 따른 휴대용 컴퓨팅 단말의 시스템 자원 보안 장치의 다른 세부적 구성의 특징은 상기 시스템 자원에 대한 프로세스의 접근은 열기, 닫기, 읽기(또는 수신), 쓰기(전송) 등 네 종류의 접근 오퍼레이션 중 어느 하나인 점이다.
본 발명에 따른 휴대용 컴퓨팅 단말의 시스템 자원 보안 장치의 다른 세부적 구성의 특징은 상기 자원보호정책 검색부는 상기 프로세스의 식별자, 시스템 자원 식별자, 접근 오퍼레이션 등을 포함하는 정보를 키(key)로 하여 자원보호정책 데이터베이스에서 자원보호 정책을 검색하는 점이다.
본 발명에 따른 휴대용 컴퓨팅 단말의 시스템 자원 보안 장치의 다른 세부적 구성의 특징은 상기 자원보호 정책은 적어도 하나 이상의 정책룰(rule)을 포함하며, 하나의 정책룰(rule)은 하나 이상의 접근행위 조건과 접근행위조건이 만족될 때 실행되는 보호액션으로 구성되는 점이다.
본 발명에 따른 휴대용 컴퓨팅 단말의 시스템 자원 보안 장치의 다른 세부적 구성의 특징은 접근행위조건은 프로세스 식별자, 자원 식별자, 접근 오퍼레이션 정보를 포함하고, 보호액션은 자원보안 프로파일을 가리키는 점이다.
본 발명에 따른 휴대용 컴퓨팅 단말의 시스템 자원 보안 장치의 다른 세부적 구성의 특징은 상기 자원보안 실행부는 상기 검색된 자원보호 정책의 보호액션이 가리키는 자원보안 프로파일을 보안기능 데이터베이스에서 검색하여 실행하는 점이다.
본 발명에 따른 휴대용 컴퓨팅 단말의 시스템 자원 보안 장치의 다른 세부적 구성의 특징은 상기 보안기능 데이터베이스에 저장된 보안 기능은 상기 시스템 자 원을 보호하기 위해 수행해야 할 일련의 작업을 명세한 자원보안 프로파일과 암호, 인증, 바이러스 검사를 포함한 보안 컴포넌트들로 구성되는 점이다.
본 발명에 따른 휴대용 컴퓨팅 단말의 시스템 자원 보안 방법은 시스템 자원에 대한 프로세스의 접근을 감지하는 단계; 상기 시스템 자원에 대한 보안취약점을 제거할 수 있는 자원보호 정책을 검색하는 단계; 상기 시스템 자원에 대한 보안취약점을 제거하기 위한 보안기능이 현재 실행 중인지를 검사하는 단계; 상기 자원보호 정책의 보호액션이 가리키는 자원보호 프로파일을 실행하는 단계를 포함하여 이루어지는 것을 특징으로 한다.
본 발명에 따른 휴대용 컴퓨팅 단말의 시스템 자원을 보호하는 방법 및 장치는 다음과 같은 효과를 기대할 수 있다.
첫째, 시스템 자원이 활성화될 때 야기되는 모든 보안 취약점을 미리 제거하기 때문에 휴대용 컴퓨팅 단말을 감염시킬 수 있는 보안위협을 사전에 원천 차단하는 보안효과를 제공한다.
둘째, 사용자는 자원보호 정책만 관리하고 자원보안 프로파일과 보안컴포넌트는 보안 개발자/관리자가 개발/관리하므로 사용자의 보안관리를 최소화할 수 있다.
셋째, 독자적으로 보안 기술을 휴대용 컴퓨팅 단말에 적용할 때 야기되는 자원 낭비와 보안관리 복잡 등의 문제를 해결할 수 있다.
본 발명을 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다. 여기서, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능, 및 구성에 대한 상세한 설명은 생략한다. 본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. 따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.
도 2는 본 발명에 따른 휴대용 컴퓨팅 단말에서 시스템 자원을 효과적으로 보호하는 방법을 제공하기 위한 시스템 자원 보호 장치의 구조를 도시한 블록도이다.
도 2를 참조하면, 본 발명에 따른 휴대용 컴퓨팅 단말(10)에서 시스템자원을 효과적으로 보호하는 방법을 제공하기 위한 시스템 자원 보호 장치(200)는 휴대용 컴퓨팅 단말에서 프로세스(207)에 의해 접근되는 시스템 자원(208)을 감지하는 자원접근 감시부(201); 상기 프로세스가 시스템 자원을 접근하여 활성화 또는 비활성화시킬 때 그 시스템 자원을 보호하기 위해 필요한 보호정책을 검색하는 자원보호정책 검색부(202); 상기 시스템자원에 대한 보호정책을 저장하고 있는 자원보호정책 데이터베이스(203); 상기 검색된 자원보호정책에 명시된 보안기능을 실행하는 자원보안 실행부(204); 상기 시스템자원을 보호하기 위해 수행해야 할 일련의 작업을 명세한 자원보안 프로파일과 보안 컴포넌트를 저장하고 있는 보안기능 데이터베이스(205); 상기 자원보호정책 데이터베이스(203)와 보안기능 데이터베이스(205)를 관리하는 보안관리부(206)를 포함하는 것을 특징으로 한다.
도 3은 본 발명에 따른 자원보호정책 데이터베이스에 저장된 자원보호정책과 보안기능 데이터베이스에 저장된 보안기능의 데이터 구조를 도시한 도면이다.
자원보호정책 데이터베이스(301)에는 하나 이상의 자원보호 정책룰(303)이 저장되어 있으며, 보안기능 데이터베이스(302)에는 하나 이상의 자원보안 프로파일(306)과 보안 컴포넌트(307)가 저장되어 있다. 하나의 자원보호 정책룰(303)은 하나이상의 접근행위조건(304)과 그 접근행위조건(304)이 만족될 때 실행되는 보호액션(305)으로 구성된다. 참고로, 정책은 하나이상의 정책룰로 구성된다. 보호액션(305)은 시스템자원을 보호할 때 수행해야 할 일련의 작업을 명세한 하나의 자원보안 프로파일(306)을 가리킨다. 자원보안 프로파일(306)은 Tcl과 같은 스크립트 컴퓨터 프로그램이며, 하나 이상의 보안 컴포넌트(307)를 포함하여 작성된다. 보안 컴포넌트는 암호, 인증, 바이러스 검사, 네트워크 침입 탐지 등의 보안 구성요소를 말한다.
본 발명에 따른 휴대용 컴퓨팅 단말의 시스템 자원을 효과적으로 보호하는 시스템 자원 보호 장치가 제공하는 방법은 도 4를 통하여 설명한다.
본 발명에 따른 휴대용 컴퓨팅 단말의 시스템 자원을 효과적으로 보호하는 방법은 어떤 프로세스에 의해 접근되고 있는 시스템자원을 감지하면(S401) 그 시스템 자원에 대한 보안취약점을 제거할 수 있는 자원보호 정책을 자원보호정책 데이터베이스에서 검색한다(S402). 이때 검색 키는 프로세스 식별자, 시스템 자원 식별 자, 그리고 접근 오퍼레이션을 포함하여 구성된다. 접근 오퍼레이션은 자원 열기(open), 읽기(read) (또는 통신장치인 경우에는 수신), 쓰기(write)(또는 통신장치인 경우에는 송신), 그리고 닫기(close) 중의 하나이다. 만약 해당하는 자원보호 정책이 발견되면 그 시스템자원에 대한 보호기능이 이미 실행 중인지 검사한다(S403).
만약 실행 중이 아니라면, 그 정책의 보호액션이 가리키는 자원보안 프로파일을 실행한다(S404). 마지막으로 자원보안 프로파일에 명세 된 보안 컴포넌트들이 실행된다(S405).
시스템자원에 대한 자원보안 프로파일은 그 시스템 자원이 활성화될 때는 그 시스템 자원의 보안 취약점을 제거할 수 있는 보안 기능을 실행하고, 그 시스템 자원이 비활성화될 때는 관련된 보안기능을 해제할 수 있도록 명세 된다. 예를 들어, 한 프로세스가 어떤 시스템 자원에 대해 읽기(read) 요청을 했을 때 야기되는 보안 취약점을 제거하는 보안기능을 그 시스템 자원 읽기에 해당하는 자원 프로파일에 명세할 수 있으며, 또한 그 시스템 자원에 대해 닫기(close) 요청을 했을 때, 그 시스템 자원을 보호하기 위해 실행되었던 보안기능을 해제시키는 작업을 그 시스템 자원 닫기에 해당하는 자원 프로파일에 명세할 수 있다.
도 5는 본 발명에 따른 휴대용 컴퓨팅 단말의 시스템 자원을 보호하는방법에 의거한 예시도이다.
도 5의 일 실시 예는 휴대용 컴퓨팅 단말의 사용자가 주소록 정보를 읽기 위하여 주소록.exe 를 실행한 후 address.file 열기를 요청하는 상황이다. 주소록.exe 프로세스(501)가 address.file(509) 열기를 요청할 때, 본 발명에 따른 휴대용 컴퓨팅 단말의 시스템 자원을 보호하는 방법 및 장치는 그 프로세스의 접근행위를 감지하여 address.file(509)의 보안 취약점을 제거할 수 있는 자원보호 정책(503)을 검색한다. 해당 자원보호 정책(503)은 네 종류의 접근 오퍼레이션, 즉 open, read, write, close 각각에 따라서 수행해야 할 보호액션을 정의하고 있다. 주소록.exe 프로세스(501)는 열기(open) 오퍼레이션을 수행했으므로 encrypt-open.spt (505)라는 자원보호 프로파일이 실행된다. 그 프로파일(505)은 address.file(509)이 열릴 때 수행해야 하는 작업으로써, 로그기록, 클립보드 복사 금지, 사용자에게 보고 등의 작업을 명세하고 있다. 따라서 encrypt-open.spt (505) 보안 프로파일에 포함된 보안 컴포넌트들, 즉 보안컴포넌트:로그기록(506), 보안컴포넌트:복사금지(507)가 실행된다. 마지막으로, 본 발명에 따른 휴대용 컴퓨팅 단말의 시스템 자원을 보호하는 방법 및 장치는 주소록.exe 프로세스(501)가 요청한 address.file(509) 열기를 실행한다.
전술한 바와 같은 본 발명에 의하면, 시스템 자원이 활성화될 때 야기되는 모든 보안 취약점을 미리 제거하기 때문에 휴대용 컴퓨팅 단말을 감염시킬 수 있는 보안위협을 사전에 원천 차단하는 보안효과를 제공한다. 또한, 사용자는 자원보호 정책만 관리하고 자원보안 프로파일과 보안컴포넌트는 보안 개발자/관리자가 개발/관리하므로 사용자의 보안관리를 최소화할 수 있다. 또한, 독자적으로 보안 기술을 휴대용 컴퓨팅 단말에 적용할 때 야기되는 자원 낭비와 보안관리 복잡 등의 문제를 해결할 수 있다.
본 발명의 일부 단계들은 컴퓨터가 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다. 컴퓨터가 읽을 수 있는 기록 매체의 예로는 ROM, RAM, CD-ROM, CD-RW, 자기 테이프, 플로피디스크, HDD, 광 디스크, 광자기 저장장치 등이 있을 수 있으며, 또한 캐리어 웨이브(예를 들어, 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록 매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드로 저장되고 실행될 수 있다.
이상에서와 같이 도면과 명세서에서 최적의 실시예가 개시되었다. 여기서 특정한 용어들이 사용되었으나, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미 한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다. 그러므로, 본 기술 분야의 통상의 지식을 가진자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.
도 1은 휴대용 컴퓨팅 단말의 시스템 자원 활성화에 따른 보안취약성의 한 예를 도시한 휴대용 컴퓨팅 단말의 보안 환경 예시도이다.
도 2는 본 발명에 따른 휴대용 컴퓨팅 단말에서 시스템자원을 효과적으로 보호하는 방법을 제공하기 위한 시스템 자원 보호 장치의 구조를 도시한 블록도이다.
도 3은 본 발명에 따른 자원보호정책 데이터베이스에 저장된 자원보호정책과 보안기능 데이터베이스에 저장된 보안기능의 데이터 구조를 나타낸 예시도이다.
도 4는 본 발명에 따른 휴대용 컴퓨팅 단말의 시스템 자원 보안 방법의 진행과정을 나타낸 흐름도이다.
도 5은 본 발명에 따른 휴대용 컴퓨팅 단말의 시스템 자원 보안 방법에 의거한 예시도이다.
<도면의 주요부분에 대한 부호의 설명>
10:휴대용 컴퓨팅 단말 200:시스템 자원 보호 장치
201:자원접근 감시부 202:자원보호정책 검색부
203:자원보호정책 데이터베이스 204:자원보안 실행부
205:보안기능 데이터베이스 206:보안 관리부
207:프로세스 208:시스템 자원
Claims (17)
- 시스템 자원에 대한 프로세스의 접근을 감지하는 자원접근 감시부;상기 시스템 자원에 대한 보호정책을 저장하고 있는 자원보호정책 데이터베이스;상기 자원보호 정책 데이터 베이스로부터 시스템 자원을 보호하기 위해 필요한 보호정책을 검색하는 자원보호정책 검색부;상기 시스템자원을 보호하기 위한 보안 기능을 저장하고 있는 보안기능 데이터베이스;상기 자원보호정책 검색부에 의해 검색된 보호정책에 포함된 보안기능을 상기 보안기능 데이터베이스로부터 읽어들여 보호정책에 포함된 보안기능을 실행하는 자원보안 실행부; 및상기 자원보호정책 데이터베이스와 보안기능 데이터베이스를 관리하는 보안관리부를 구비하고,상기 시스템 자원에 대한 프로세스의 접근은열기, 닫기, 읽기, 쓰기, 수신 및 전송 오퍼레이션 중 어느 하나이고,상기 보안기능은암호, 인증 및 바이러스 검사 중 어느 하나 이상을 포함하는 보안 컴포넌트 및 상기 시스템 자원에 대한 프로세스의 접근 내용에 따라 달리하여, 상기 보안 컴포넌트를 수행할지 여부 및 상기 보안 컴포넌트의 수행방법을 명세한 자원보안 프로파일을 이용하여 수행되는 것을 특징으로 하는, 휴대용 컴퓨팅 단말의 시스템 자원 보안 장치.
- 청구항 1에 있어서,상기 보호 대상이 되는 시스템 자원은 휴대용 컴퓨팅 단말에 탑재될 수 있는 모든 자원을 대상으로 하는 것을 특징으로 하는, 휴대용 컴퓨팅 단말의 시스템 자원 보안 장치.
- 삭제
- 청구항 1에 있어서,상기 자원보호정책 검색부는, 상기 프로세스의 식별자, 시스템 자원 식별자, 및 접근 오퍼레이션을 포함하는 정보를 키(key)로 하여 상기 자원보호정책 데이터베이스에서 보호정책을 검색하는 것을 특징으로 하는, 휴대용 컴퓨팅 단말의 시스템 자원 보안 장치.
- 삭제
- 청구항 1에 있어서,상기 보호정책은 접근행위조건 및 보호액션으로 구성되는 정책룰(rule)을 포함하고,상기 접근행위조건은 프로세스 식별자, 자원 식별자, 접근 오퍼레이션 정보를 포함하고, 상기 보호액션은 자원보안 프로파일을 가리키는 것을 특징으로 하는, 휴대용 컴퓨팅 단말의 시스템 자원 보안 장치.
- 청구항 6에 있어서,상기 자원보안 실행부는 상기 검색된 자원보호 정책의 보호액션이 가리키는 자원보안 프로파일을 상기 보안기능 데이터베이스에서 검색하여 실행하는 것을 특징으로 하는, 휴대용 컴퓨팅 단말의 시스템 자원 보안 장치.
- 삭제
- 삭제
- 시스템 자원에 대한 프로세스의 접근을 감지하는 단계;상기 시스템 자원에 대한 보안취약점을 제거할 수 있는 자원보호 정책을 검색하는 단계;상기 시스템 자원에 대한 보안취약점을 제거하기 위한 보안기능이 현재 실행 중인지를 검사하는 단계; 및상기 자원보호 정책의 보호액션이 가리키는 자원보호 프로파일을 실행하는 단계를 포함하고,상기 시스템 자원에 대한 프로세스의 접근은열기, 닫기, 읽기, 쓰기, 수신 및 전송 오퍼레이션 중 어느 하나이고,상기 보안기능은암호, 인증 및 바이러스 검사 중 어느 하나 이상을 포함하는 보안 컴포넌트 및 상기 시스템 자원에 대한 프로세스의 접근 내용에 따라 달리하여, 상기 보안 컴포넌트를 수행할지 여부 및 상기 보안 컴포넌트의 수행방법을 명세한 자원보안 프로파일을 이용하여 수행되는 것을 특징으로 하는, 휴대용 컴퓨팅 단말의 시스템 자원 보안 방법.
- 청구항 10에 있어서,상기 시스템 자원은 휴대용 컴퓨팅 단말에 탑재될 수 있는 모든 자원을 대상으로 하는 것을 특징으로 하는, 휴대용 컴퓨팅 단말의 시스템 자원 보안 방법.
- 삭제
- 청구항 10에 있어서,상기 자원보호정책을 검색하는 단계는 상기 프로세스의 식별자, 시스템 자원 식별자, 및 접근 오퍼레이션을 포함하는 정보를 키(key)로 하여 자원보호정책 데이터베이스에서 자원보호 정책을 검색하는 것을 특징으로 하는, 휴대용 컴퓨팅 단말의 시스템 자원 보안 방법.
- 삭제
- 청구항 10에 있어서,상기 자원보호 정책은 접근행위조건 및 보호액션으로 구성되는 정책룰(rule)을 포함하고,상기 접근행위조건은 프로세스 식별자, 자원 식별자, 접근 오퍼레이션 정보를 포함하고, 상기 보호액션은 자원보안 프로파일을 가리키는 것을 특징으로 하는, 휴대용 컴퓨팅 단말의 시스템 자원 보안 방법.
- 청구항 15에 있어서,상기 자원보안 실행부는 상기 검색된 자원보호 정책의 보호액션이 가리키는 자원보안 프로파일을 보안기능 데이터베이스에서 검색하여 실행하는 것을 특징으로 하는, 휴대용 컴퓨팅 단말의 시스템 자원 보안 방법.
- 삭제
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020090117903A KR101418272B1 (ko) | 2009-12-01 | 2009-12-01 | 휴대용 컴퓨팅 단말의 시스템 자원 보안 장치 및 보안 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020090117903A KR101418272B1 (ko) | 2009-12-01 | 2009-12-01 | 휴대용 컴퓨팅 단말의 시스템 자원 보안 장치 및 보안 방법 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20110061296A KR20110061296A (ko) | 2011-06-09 |
| KR101418272B1 true KR101418272B1 (ko) | 2014-07-10 |
Family
ID=44395790
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020090117903A KR101418272B1 (ko) | 2009-12-01 | 2009-12-01 | 휴대용 컴퓨팅 단말의 시스템 자원 보안 장치 및 보안 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR101418272B1 (ko) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2801050A4 (en) * | 2012-01-06 | 2015-06-03 | Optio Labs Llc | SYSTEMS AND METHODS FOR APPLYING SECURITY IN MOBILE COMPUTING |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20030016500A (ko) * | 2001-08-20 | 2003-03-03 | 한국전자통신연구원 | 정책기반 네트워크 보안 시스템과 그를 이용한 보안 및보안정책 결정 방법 |
-
2009
- 2009-12-01 KR KR1020090117903A patent/KR101418272B1/ko active IP Right Grant
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20030016500A (ko) * | 2001-08-20 | 2003-03-03 | 한국전자통신연구원 | 정책기반 네트워크 보안 시스템과 그를 이용한 보안 및보안정책 결정 방법 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20110061296A (ko) | 2011-06-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109923548B (zh) | 通过监管进程访问加密数据实现数据保护的方法、系统及计算机程序产品 | |
| Shabtai et al. | Google android: A comprehensive security assessment | |
| KR100997802B1 (ko) | 정보 단말기의 보안 관리 장치 및 방법 | |
| US9195828B2 (en) | System and method for prevention of malware attacks on data | |
| Kodeswaran et al. | Securing enterprise data on smartphones using run time information flow control | |
| KR101414580B1 (ko) | 다중 등급 기반 보안 리눅스 운영 시스템 | |
| Rangwala et al. | A taxonomy of privilege escalation attacks in Android applications | |
| WO2007001046A1 (ja) | セキュリティ対策アプリケーションの機密ファイル保護方法、及び機密ファイル保護装置 | |
| US10339307B2 (en) | Intrusion detection system in a device comprising a first operating system and a second operating system | |
| Atamli-Reineh et al. | Analysis of trusted execution environment usage in samsung KNOX | |
| Ahn et al. | DiskShield: a data tamper-resistant storage for Intel SGX | |
| Shan et al. | Enforcing mandatory access control in commodity OS to disable malware | |
| Omar et al. | Android application security | |
| Zhang et al. | Once root always a threat: Analyzing the security threats of android permission system | |
| ES2951417T3 (es) | Procedimiento y sistema para proteger un archivo informático ante un posible cifrado de software malicioso | |
| Choi et al. | PhantomFS-v2: Dare you to avoid this trap | |
| KR101418272B1 (ko) | 휴대용 컴퓨팅 단말의 시스템 자원 보안 장치 및 보안 방법 | |
| KR101416618B1 (ko) | 리눅스 커널 보안 기반 침입방지 시스템 | |
| Sharma et al. | Smartphone security and forensic analysis | |
| Fledel et al. | Google android: an updated security review | |
| Wang et al. | MobileGuardian: A security policy enforcement framework for mobile devices | |
| Luo et al. | Towards hierarchical security framework for smartphones | |
| Luo et al. | Toward active and efficient privacy protection for Android | |
| JP2009501972A (ja) | ネットワーク動作制御リストを使用したネットワークサービスのセキュリティ保護 | |
| Kotkar et al. | Exploring security mechanisms to android device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E90F | Notification of reason for final refusal | ||
| E90F | Notification of reason for final refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20170627 Year of fee payment: 4 |
|
| FPAY | Annual fee payment |
Payment date: 20180627 Year of fee payment: 5 |
|
| FPAY | Annual fee payment |
Payment date: 20190625 Year of fee payment: 6 |