KR101773300B1 - 안드로이드 기반 모바일 단말기를 위한 간편한 커널 접근제어 정책 설정 방법 및 시스템 - Google Patents

안드로이드 기반 모바일 단말기를 위한 간편한 커널 접근제어 정책 설정 방법 및 시스템 Download PDF

Info

Publication number
KR101773300B1
KR101773300B1 KR1020160105459A KR20160105459A KR101773300B1 KR 101773300 B1 KR101773300 B1 KR 101773300B1 KR 1020160105459 A KR1020160105459 A KR 1020160105459A KR 20160105459 A KR20160105459 A KR 20160105459A KR 101773300 B1 KR101773300 B1 KR 101773300B1
Authority
KR
South Korea
Prior art keywords
policy
group
application
access control
mobile terminals
Prior art date
Application number
KR1020160105459A
Other languages
English (en)
Inventor
이상훈
김훈규
권미영
강태인
이성기
한승호
Original Assignee
국방과학연구소
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 국방과학연구소 filed Critical 국방과학연구소
Priority to KR1020160105459A priority Critical patent/KR101773300B1/ko
Priority to US15/370,270 priority patent/US10097588B2/en
Application granted granted Critical
Publication of KR101773300B1 publication Critical patent/KR101773300B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/305Authentication, i.e. establishing the identity or authorisation of security principals by remotely controlling device operation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • G06F21/335User authentication using certificates for accessing specific resources, e.g. using Kerberos tickets
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/30Profiles
    • H04L67/303Terminal profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0893Assignment of logical groups to network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Automation & Control Theory (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Multimedia (AREA)
  • Technology Law (AREA)
  • Stored Programmes (AREA)
  • Telephone Function (AREA)

Abstract

본 발명은 컴퓨팅 시스템의 보안 침해 대응 기술에 관한 것으로서, 더 상세하게는 안드로이드 환경에서 접근제어 정책에 대한 설정과 배포를 효율적으로 구현하기 위한 커널 접근제어 정책 설정 방법 및 시스템에 대한 것이다.
본 발명에 따르면, 종래의 접근제어 정책 작성의 어려움으로 인한 문제점 발생을 최소화하고, 다양한 접근제어 요구사항에 유연하게 대응할 수 없었던 점을 개선할 수 있다.

Description

안드로이드 기반 모바일 단말기를 위한 간편한 커널 접근제어 정책 설정 방법 및 시스템{Method and System for configurating simple kernel access control policy for android-based mobile terminal}
본 발명은 컴퓨팅 시스템의 보안 침해 대응 기술에 관한 것으로서, 더 상세하게는 안드로이드 환경에서 접근제어 정책에 대한 설정과 배포를 효율적으로 구현하기 위한 커널 접근제어 정책 설정 방법 및 시스템에 대한 것이다.
컴퓨팅 시스템의 보안 침해 대응 기술은 매우 다양한 형태로 발전되어 왔다. 그 중 운영체제 시스템 콜 레벨의 접근제어는 시스템 자원에 대한 불법적 접근을 원천적으로 제한할 수 있으므로 가장 강력한 보안 침해 대응 기술 중 하나라고 할 수 있다. 시스템 콜 레벨의 접근제어는 접근제어 정책에 따라 수행되므로, 정책을 얼마나 세밀하고 엄격하게 수립하는지에 따라 보호 대상의 보안 수준이 달라질 수 있다. 따라서 시스템에 요구되는 보안 수준에 따라 접근제어 정책을 면밀히 작성하는 것이 매우 중요하다.
하지만 전문지식이 없는 사용자가 시스템 콜 단위의 접근제어 정책을 작성하는 것은 상당히 어려운 일이다. 특히 스마트폰을 업무에 활용하는 경우가 증가함에 따라 업무용으로 설치한 앱 및 데이터에 대한 불법적 접근 통제가 요구됨에 따라 접근제어 정책 설정은 보다 세분화 및 전문화가 필요한 실정이다.
1. 한국공개특허번호 제10-2014-0044974호(2014.04.16)
1. 권순석, "제트엔진변조 및 레이더영상의 표적인식성능 향상을 위한 적응적인 신호성분 분리기법에 관한 연구"학위논문(박사) KAIST 2015년 전기및전자공학과 2. 최영석외, "개인정보 유출 탐지 및 차단에 관한 연구 : 안드로이드 플랫폼 환경"정보보호학회논문지 제23권 제4호 (2013년 8월) pp.757-766
본 발명은 위 배경기술에 따른 문제점을 해소하기 위해 제안된 것으로서, 인터페이스를 통해 안드로이드 OS(Operating System)가 설치된 모바일 단말기의 시스템, 업무용 앱 및 데이터에 대한 접근제어 정책을 간편하고 효율적으로 설정하는 할 수 있는 간편한 커널 접근제어 정책 설정 방법 및 시스템을 제공하는데 그 목적이 있다.
본 발명은 위에서 제시된 과제를 달성하기 위해, 인터페이스를 통해 안드로이드 OS(Operating System)가 설치된 모바일 단말기의 시스템, 업무용 앱 및 데이터에 대한 접근제어 정책을 간편하고 효율적으로 설정하는 할 수 있는 간편한 커널 접근제어 정책 설정 방법을 제공한다.
상기 간편한 커널 접근제어 정책 설정 방법은,
안드로이드 기반 모바일 단말기를 위한 간편한 커널 접근제어 정책 설정 방법으로서,
관리 서버의 웹 유저 인터페이스를 통해 다수의 모바일 단말기의 파일 시스템으로 전체 목록을 생성하는 단계;
상기 관리 서버가 상기 전체 목록에서 주체 및 객체를 상기 사전 식별에 따라 시스템 정책셋 및 앱 정책셋을 생성하는 단계;
상기 관리 서버가 상기 시스템 정책셋 및 앱 정책셋을 사용자 그룹별로그룹 정책을 생성하는 단계;
상기 관리 서버가 상기 그룹 정책을 상기 다수의 모바일 단말기에 배포하는 단계; 및
상기 다수의 모바일 단말기가 상기 그룹 정책을 적용하여 실행하는 단계;를 포함하는 것을 특징으로 할 수 있다.
이때, 상기 그룹 정책은 상기 시스템 정책셋의 시스템 정책 항목들로 조합된 조합 시스템 정책셋 및 앱 정책 항목의 앱 정책 항목들로 조합된 조합 앱 정책셋으로 이루어지는 것을 특징으로 할 수 있다.
또한, 상기 사용자 그룹은 다수의 사용자 및 상기 다수의 사용자에게 각각 할당된 다수의 모바일 단말기로 이루어지는 것을 특징으로 할 수 있다.
또한, 상기 주체의 타입은 앱과 프로세스로 정의되고, 상기 객체의 타입은 파일, 앱, 프로세스와 시스템으로 정의되는 것을 특징으로 할 수 있다.
또한, 상기 시스템 정책셋 및 앱 정책셋은 수정 또는 추가가 가능한 것을 특징으로 할 수 있다.
또한, 상기 시스템 정책 항목들은 커널 부팅이 완료되면 최초의 사용자 프로세스를 보호하는 init 보호 정책, 앱들을 실행하는 프로세스를 보호하는 zygote 보호 정책, media를 실행하는 프로세스를 보호하는 media 보호 정책을 포함할 수 있다.
또한, 상기 앱 정책 항목들은 카메라 앱 정책, 동영상 앱 정책, 녹음기 앱 정책, 지도 앱 정책을 포함하는 것을 특징으로 할 수 있다.
다른 한편으로, 본 발명의 다른 일실시예는, 다수의 모바일 단말기 및 관리 서버로 이루어지며, 안드로이드 기반 모바일 단말기를 위한 간편한 커널 접근제어 정책 설정 시스템으로서, 관리 서버의 웹 유저 인터페이스를 통해 다수의 모바일 단말기의 파일 시스템으로 전체 목록을 생성하고, 상기 관리 서버가 상기 전체 목록에서 주체 및 객체를 상기 사전 식별에 따라 시스템 정책셋 및 앱 정책셋을 생성하며, 상기 시스템 정책셋 및 앱 정책셋을 사용자 그룹별로그룹 정책을 생성하고, 상기 그룹 정책을 상기 다수의 모바일 단말기에 배포하고, 상기 다수의 모바일 단말기가 상기 그룹 정책을 적용하여 실행하는 것을 특징으로 하는 안드로이드 기반 모바일 단말기를 위한 간편한 커널 접근제어 정책 설정 시스템을 제공할 수 있다.
본 발명에 따르면, 종래의 접근제어 정책 작성의 어려움으로 인한 문제점 발생을 최소화하고, 다양한 접근제어 요구사항에 유연하게 대응할 수 없었던 점을 개선할 수 있다.
또한, 본 발명의 다른 효과로서는 군에서 요구되는 다양한 작전과 상황별 개별 접근제어 정책 작성을 지원함으로써 신뢰성 있는 군 모바일 환경을 구축할 수 있다는 점을 들 수 있다.
또한, 본 발명의 또 다른 효과로서는 접근제어 정책을 보다 유연하고 손쉽게 작성할 수 있도록 지원함으로써 접근제어 정책 작성 비용을 감소시킬 수 있다는 점을 들 수 있다.
도 1은 본 발명의 일실시예에 따른 안드로이드에서 사용자 그룹 별 접근제어 정책을 설정하는 개념을 보여주는 개념도이다.
도 2는 도 1에서 생성한 그룹 정책을 조직 내 사용자 그룹별로 배포하는 개념을 보여주는 개념도이다.
도 3은 본 발명의 일실시예에 따른 접근제어 정책(시스템 및 앱) 설정을 위한 주체 및 객체에 대한 사전 식별 UI(User Interface) 화면예이다.
도 4는 본 발명의 일실시예에 따른 접근제어 정책 설정 UI(User Interface) 화면예이다.
도 5는 도 4에서 주체 목록 추가를 선택하였을 때 제공하는 주체 설정 UI(User Interface) 화면예이다.
도 6은 도 4에서 객체목록 추가를 선택하였을 때 제공하는 객체 설정 UI(User Interface) 화면예이다.
도 7은 본 발명의 일실시예에 따른 시스템 정책 생성 UI(User Interface) 화면예이다.
도 8은 본 발명의 일실시예에 따른 앱별 정책 생성 UI(User Interface) 화면예이다.
도 9는 본 발명의 일실시예에 따른 그룹 정책 생성 UI(User Interface) 화면예이다.
도 10은 본 발명의 일실시예에 따른 그룹 별 정책 배포를 위한 정책 적용 UI)(User Interface) 화면예이다.
도 11은 도 10에 도시된 사용자 그룹에 적용할 그룹을 선택하는 UI(User Interface) 화면예이다
도 12는 본 발명의 일실시예에 따른 안드로이드 기반 모바일 단말기를 위한 간편한 커널 접근제어 정책 설정 시스템의 구성 블록도이다.
도 13은 본 발명의 일실시예에 따른 접근제어 정책 작성 흐름도이다.
도 14는 본 발명의 일실시예에 따른 그룹 정책 설정 흐름도이다.
도 15는 본 발명의 일실시예에 따른 정책 배포 흐름도이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는바, 특정 실시예들을 도면에 예시하고 상세한 설명에 구체적으로 설명하고자 한다. 그러나 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용한다.
제 1, 제 2등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다.
예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제 1 구성요소는 제 2 구성요소로 명명될 수 있고, 유사하게 제 2 구성요소도 제 1 구성요소로 명명될 수 있다. "및/또는" 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미가 있다.
일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않아야 한다.
이하 첨부된 도면을 참조하여 본 발명의 일실시예에 따른 안드로이드 기반 모바일 단말기를 위한 간편한 커널 접근제어 정책 설정 방법 및 시스템을 상세하게 설명하기로 한다.
도 1은 본 발명의 일실시예에 따른 안드로이드에서 사용자 그룹 별 접근제어 정책을 설정하는 개념을 보여주는 개념도이다. 도 1을 참조하면, 사용자 그룹 별 그룹 정책(100)을 작성하며, 각 사용자 그룹별 그룹 정책은 시스템 정책셋(110)과 앱 정책셋(120)으로 구성된다. 시스템 정책셋(110)은 시스템의 주요 보호 요소(예를 들면, 파일, 프로세스, 시스템 앱 등)에 대한 접근제어 정책들의 집합으로 구성된다. 한편, 앱 정책셋(120)은 각 앱 별 접근제어 정책들의 집합으로 구성된다.
물론, 시스템 정책셋(110)은 다수의 시스템 정책 항목(111)으로 구성되며, 이러한 시스템 정책 항목으로는 예를 들면, 커널 부팅이 완료되면 최초의 사용자 프로세스를 보호하는 init 보호 정책, 앱들을 실행하는 프로세스를 보호하는 zygote 보호 정책, media를 실행하는 프로세스를 보호하는 media 보호 정책 등이 될 수 있다.
init 프로세스는 각종 디바이스를 초기화하는 작업을 비롯해서 안드로이드 프레임워크 동작에 필요한 각종 데몬, 컨텍스트 매니저, 미디어 서버, zygote 등을 실행하며, 크게 4가지 기능을 수행한다. 즉, init.rc 파일 분석 및 실행, 디바이스 드라이버 노드 생성, 자식 프로세스 종료 처리, 프로퍼티 서비스 등의 기능을 수행한다.
init.rc 파일 분석 및 실행은 init 프로세스가 해야 할 일을 기술한 init.rc 파일을 분석해서 해당 파일에 담긴 내용에 따른 기능을 수행한다.
디바이스 드라이버 노드 생성은 응용 프로그램이 디바이스 드라이버에 접근할 때 사용하기 위한 디바이스 노드 파일을 생성한다.
자식 프로세스 종료 처리는 시스템이 부팅완료된 이후, init 프로세스는 백그라운드 프로세스로 동작하면서 다른 프로세스를 감시한다. 만약 감시중인 프로세스가 종료되어 좀비 상태가 되면 해당 프로세스가 가진 자원이 정상적으로 반환되게 하는 역할을 수행한다.
프로퍼티 서비스는 시스템 동작에 필요한 환경 변수를 저장한다.
zygote 프로세스는 dalvik vm, classes, resource 등을 미리 로딩하고 있고, fork()로 생성된 프로세스는 이것들을 다 상속받기 때문에 앱이 빠르게 로딩될 수 있게 한다.
미디어 프로세스는 오디오 출력, 카메라 서비스 등을 실행한다.
이와 유사하게, 앱 정책셋(120)도 다수의 앱 정책 항목(121)으로 구성되며, 이러한 앱 정책 항목으로는 예를 들면, 카메라 앱 정책, 동영상 앱 정책, 녹음기 앱 정책, 지도 앱 정책 등이 될 수 있다. 이들 정책 들은 해당 앱의 사용을 제한하거나 허용하는 역할을 수행한다.
시스템 정책셋과 앱 정책셋은 적용하고자 하는 사용자 그룹의 특성(업무, 임무, 환경 등)에 맞도록 조합이 가능하며, 각 정책 셋의 조합은 그룹 정책으로 통합된다. 부연하면, 그룹 정책A(130-1)는 제 1 그룹 정책이 되고, 시스템 정책셋(110)의 일부 시스템 정책 항목(111)으로 조합된 조합 시스템 정책셋(131)과 앱 정책 항목(121)의 일부 앱 정책 항목(121)으로 조합된 조합 앱 정책셋(132)으로 구성된다.
이와 유사하게, 그룹 정책B(130-2)는 제 2 그룹 정책이 되고, 시스템 정책셋(110)의 일부 시스템 정책 항목(111)으로 조합된 조합 시스템 정책셋과 앱 정책 항목(121)의 일부 앱 정책 항목(121)으로 조합된 조합 앱 정책셋으로 구성된다.
도 2는 도 1에서 생성한 그룹 정책을 조직 내 사용자 그룹별로 배포하는 개념을 보여주는 개념도이다. 도 2를 참조하면, 사용자와 사용자에 할당된 모바일 단말기(즉 모바일 폰)(210)를 관리하고, 조직의 업무에 따라 사용자 그룹(220)을 생성한다. 부연하면, 각각의 사용자에 할당된 각각의 모바일 단말기(210)를 기준으로 사용자 그룹(220)을 생성한다. 즉, 사용자 그룹A에는 사용자1, 사용자 2,...사용자 12로 구성되고, 사용자 그룹B에는 사용자13,사용자14,...사용자 24로 구성된다. 이렇게 생성된 그룹 별로 그룹의 업무에 필요한 그룹 정책을 할당하여 배포한다. 부연하면 그룹A에는 그룹 정책A(130-1)가 할당되고, 그룹B에는 그룹 정책B(130-2)가 할당된다.
도 3은 본 발명의 일실시예에 따른 접근제어 정책(시스템 및 앱) 설정을 위한 주체 및 객체에 대한 사전 식별 UI(User Interface) 화면예이다. 도 3을 참조하면, 접근제어 정책에서 주체의 타입은 앱과 프로세스로 정의되며, 객체의 타입은 파일, 앱, 프로세스와 시스템으로 정의된다. 도 3의 유저 인터페이스(UI)를 통해 정책 생성 버튼(310)을 선택하여 접근제어 정책을 설정하기 위한 주요 주체와 객체를 식별한다.
도 4는 본 발명의 일실시예에 따른 접근제어 정책 설정 UI(User Interface) 화면예이다. 도 4를 참조하면, 도 3에서 식별된 주체, 객체 그리고 객체에 대한 권한을 설정하는 형태로 직관적인 설정 환경을 제공한다.
도 5는 도 4에서 주체 목록 추가를 선택하였을 때 제공하는 주체 설정 UI(User Interface) 화면예이다. 도 5를 참조하면, 도 3에서 타입별로 식별된 주체를 접근제어 정책의 주체로 추가한다. 부연하면, 주체 유형에서 프로세스(510)를 선택하고, 대상에서 리스트(520)를 추가한다.
도 6은 도 4에서 객체목록 추가를 선택하였을 때 제공하는 객체 설정 UI(User Interface) 화면예이다. 도 6을 참조하면, 도 3에서 타입별로 식별된 객체를 접근제어 정책의 객체로 추가하며, 도 5에서 추가된 주체가 도 6에서 추가되는 각 객체에 대해 가질 수 있는 권한을 설정한다. 예를 들면, 객체 유형은 파일(610)이고, 정책은 허용(620)이고 대상 리스트(630)에 권한(640)을 설정한다. 권한으로는 읽기, 쓰기, 생성, 실행 등이 있다.
도 7은 본 발명의 일실시예에 따른 시스템 정책 생성 UI(User Interface) 화면예이다. 도 7을 참조하면, 안드로이드의 기본 프로세스, 시스템 앱에 대한 개별 정책들을 생성한다. 물론, 수정 버튼(710)을 선택하여 수정하는 것도 가능하다. 시스템 정책 추가는 도 4를 통해 설정한다.
도 8은 본 발명의 일실시예에 따른 앱별 정책 생성 UI(User Interface) 화면예이다. 도 8을 참조하면, 사용자 또는 조직의 필요에 의해 설치되는 앱에 대한 정책들(820)을 생성한다. 새로운 앱 정책 등록은 도 4를 통해 설정한다.
도 9는 본 발명의 일실시예에 따른 그룹 정책 생성 UI(User Interface) 화면예이다. 도 9를 참조하면, 도 7을 통해 생성된 시스템 정책들을 선택하여 그룹 정책에 적합한 시스템 정책셋을 수립한다. 또한, 도 8을 통해 생성된 앱정책들을 선택하여 그룹 정책에서 사용되는 앱 정책셋을 수립한다.
도 10은 본 발명의 일실시예에 따른 그룹 별 정책 배포를 위한 정책 적용 UI)(User Interface) 화면예이다. 도 10을 참조하면, 도 9를 통해 생성된 그룹 정책과 정책이 적용될 사용자 그룹을 연결한다.
도 11은 도 10에 도시된 사용자 그룹에 적용할 그룹을 선택하는 UI(User Interface) 화면예이다.
도 12는 본 발명의 일실시예에 따른 안드로이드 기반 모바일 단말기를 위한 간편한 커널 접근제어 정책 설정 시스템(1200)의 구성 블록도이다. 도 12를 참조하면, 커널 접근제어 정책 설정 시스템(1200)은 모바일 단말기(1210), 관리 서버(1250), 모바일 단말기(1210)와 관리 서버(1250)를 연결하는 이동 통신망(1240) 등을 포함하여 구성될 수 있다.
모바일 단말기(1210)는 데이터 및/또는 사용자 입력 등을 수행하는 입력부(1211), 데이터 및/또는 입력 신호를 처리하는 제어부(1220), 처리된 정보를 디스플레이하는 디스플레이부(1230), 이동 통신망(1240)과 연결되어 데이터 및/또는 신호를 주고받는 통신부(1231), 제어부(1220)에 의해 처리된 정보를 저장하거나 단말기를 운용 및/또는 관리하기 위한 데이터를 저장하는 저장부(1212) 등을 포함하여 구성된다.
입력부(1211)는 터치 스크린, 음성 인식 장치 등이 될 수 있다.
저장부(1212)에는 단말기(1210)를 운용하는 운영 OS(Operating System) 프로그램, 관리 서버(1250)로부터 커널 정책 정보를 수신하여 이 커널 정책 정보에 따라 단말기(1210)를 제한하는 알고리즘을 갖는 프로그램, 데이터 등이 저장된다. 이러한 저장부(1212)는 제어부(1220) 내에 구비되는 메모리일 수 있고, 별도의 메모리가 될 수 있다. 따라서 플래시 메모리 디스크(SSD: Solid State Disk), 하드 디스크 드라이브, 플래시 메모리, EEPROM(Electrically erasable programmable read-only memory), SRAM(Static RAM), FRAM (Ferro-electric RAM), PRAM (Phase-change RAM), MRAM(Magnetic RAM) 등과 같은 비휘발성 메모리 및/또는 DRAM(Dynamic Random Access Memory), SDRAM(Synchronous Dynamic Random Access Memory), DDR-SDRAM(Double Date Rate-SDRAM) 등과 같은 휘발성 메모리의 조합으로 구성될 수 있다.
디스플레이부(1230)는 터치스크린, LCD(Liquid Crystal Display), OLED(Organic Light Emitting Diodes) 등으로 구성되어 정보를 표시하는 기능을 수행한다.
이동 통신망(1240)은 CDMA(code division multiple access), GSM(global system for mobile communication),WCDMA(wideband CDMA) 등과 같은 통신망뿐만 아니라 WiBro(Wireless Broadband Internet), WiMAX(World Interoperability for Microwave Access), UWB(ULTRA WIDE BAND), WiFi(Wireless Fidelity), UMTS(Universal Mobile Telecomunication System) 등도 포함할 수 있다.
관리 서버(1250)는 모바일 단말기(1210)와 무선 및/또는 유선으로 연결되어 접근제어 정책(즉, 커널 정책)을 배포하는 기능을 수행한다. 물론, 이러한 접근제어 정책을 위해 사용자 정보, 모바일 단말기 정보, 커널 정책을 위한 데이터 등을 저장하는 데이터베이스(1240)를 구성한다. 또한, 관리자가 관리 서버(1250)에 접속하여 접근제어 정책을 생성, 변경, 편집 등을 할 수 있도록 웹 인터페이스(1251)가 구성된다.
도 13은 본 발명의 일실시예에 따른 접근제어 정책 작성 흐름도이다. 도 13을 참조하면, 관리 서버(1250)의 관리자(미도시)가 관리 서버(1250)에 접속하여 접근제어 정책 작성을 시작할 수 있으며, 이 때 모바일 단말기(1210)의 파일 시스템으로 전체 목록이 생성된다(단계 S1310,S1320).
이 전체 목록에서 주체/객체를 사전 식별에 따라 시스템 정책 및 앱 정책을 생성한다(단계 S1330,S1340,S1341,S1342).
한편, 접근제어 정책을 추가할 수도 있는데, 이 경우, 시스템 정책/앱 정책을 다시 생성하고, 사전 식별된 주체를 추가하며, 사전 식별된 객체를 추가하며 객체에 대한 권한을 설정한다(단계 S1350,S1351,S1353,S1360,S1370).
도 14는 본 발명의 일실시예에 따른 그룹 정책 설정 흐름도이다. 도 14를 참조하면, 시스템 정책 및 앱 정책이 생성되면, 그룹 정책을 설정하고 생성한다(단계 S1410,S1420).
이때 추가할 정책타입을 구분하여 시스템 정책 또는 앱 정책으로 선택하고, 정책셋을 추가한다(단계 S1430,S1441,S1442).
이후, 그룹 정책을 더 추가할 지를 판단하여(단계 S1450), 추가할 그룹 정책이 있으면 단계 S1430 내지 S1450을 반복 수행한다. 단계 S1450에서 추가할 그룹 정책이 없으면 그룹 정책 설정을 완료한다(단계 S1460).
도 15는 본 발명의 일실시예에 따른 정책 배포 흐름도이다. 도 15를 참조하면, 그룹 정책 설정이 완료되면, 사용자 그룹 정책을 적용하고. 사용자 그룹에 적용할 그룹 정책을 선택한다(단계 S1510,S1520,S1530).
이후, 사용자 그룹에 적용된 그룹 정책을 배포하고 정책 배포를 완료한다(단계 S1540,S1550).
한편, 당업자는, 여기에 개시된 실시형태들과 관련하여 설명된 다양한 예시적인 논리 블록들 및 알고리즘들이 전자 하드웨어, 컴퓨터 소프트웨어, 또는 이들의 조합으로서 구현될 수도 있음을 인식할 것이다. 하드웨어와 소프트웨어의 이러한 상호교환가능성을 명확히 나타내기 위해, 다양한 예시적인 블록들은 그들의 기능의 관점에서 일반적으로 상술되었다.
그러한 기능이 하드웨어 또는 소프트웨어로서 구현될지는, 전체 시스템에 부과된 설계 제약들 및 특정한 애플리케이션에 의존한다. 당업자는, 각각의 특정한 애플리케이션에 대해 다양한 방식들로 그 설명된 기능을 구현할 수도 있지만, 그러한 구현 결정이 본 발명의 예시적인 실시형태들의 범위를 벗어나게 하는 것으로 해석되지는 않아야 한다.
여기에 개시된 실시형태들과 관련하여 설명된 다양한 예시적인 논리 블록들은, 범용 프로세서, 디지털 신호 프로세서(DSP), 주문형 집적회로(ASIC), 필드 프로그래밍가능한 게이트 어레이(FPGA) 또는 다른 프로그래밍가능한 로직 디바이스, 이산 게이트 또는 트랜지스터 로직, 이산 하드웨어 컴포넌트들, 또는 여기에 설명된 기능들을 수행하도록 설계된 그들의 임의의 조합으로 구현되거나 수행될 수도 있다.
범용 프로세서는 마이크로프로세서일 수도 있지만, 대안적으로, 그 프로세서는 임의의 종래의 프로세서, 제어기, 마이크로제어기, 또는 상태 머신일 수도 있다. 또한, 프로세서는 컴퓨팅 디바이스들의 결합, 예를 들어, DSP와 마이크로프로세서의 결합, 복수의 마이크로프로세서들, DSP 코어와 결합한 하나 이상의 마이크로프로세서들, 또는 임의의 다른 그러한 구성으로서 구현될 수도 있다.
100: 사용자 그룹 별 그룹 정책
110: 시스템 정책셋 111: 시스템 정책 항목
120: 앱 정책셋
121 시스템 정책 항목
130-1: 그룹 정책A 130-2: 그룹 정책B
1200: 커널 접근제어 정책 설정 시스템
210: 모바일 단말기 1240: 이동 통신망
1250: 관리 서버 1252: 데이터베이스

Claims (7)

  1. 안드로이드 기반 모바일 단말기를 위한 간편한 커널 접근제어 정책 설정 방법에 있어서,
    관리 서버의 웹 유저 인터페이스를 통해 다수의 모바일 단말기의 파일 시스템으로 전체 목록을 생성하는 단계;
    상기 관리 서버가 상기 전체 목록에서 주체 및 객체를 사전 식별에 따라 시스템 정책셋 및 앱 정책셋을 생성하는 단계;
    상기 관리 서버가 상기 시스템 정책셋 및 앱 정책셋을 사용자 그룹별로 할당되는 그룹 정책을 생성하는 단계;
    상기 관리 서버가 상기 그룹 정책을 상기 다수의 모바일 단말기에 배포하는 단계; 및
    상기 다수의 모바일 단말기가 상기 그룹 정책을 적용하여 실행하는 단계;를 포함하며,
    상기 사용자 그룹은 다수의 사용자 및 상기 다수의 사용자에게 각각 할당된 다수의 모바일 단말기로 이루어지는 것을 특징으로 하는 안드로이드 기반 모바일 단말기를 위한 간편한 커널 접근제어 정책 설정 방법.
  2. 제 1 항에 있어서,
    상기 그룹 정책은 상기 시스템 정책셋의 시스템 정책 항목들로 조합된 조합 시스템 정책셋 및 앱 정책 항목의 앱 정책 항목들로 조합된 조합 앱 정책셋으로 이루어지는 것을 특징으로 하는 안드로이드 기반 모바일 단말기를 위한 간편한 커널 접근제어 정책 설정 방법.
  3. 삭제
  4. 제 1 항에 있어서,
    상기 주체의 타입은 앱과 프로세스로 정의되고, 상기 객체의 타입은 파일, 앱, 프로세스와 시스템으로 정의되는 것을 특징으로 하는 안드로이드 기반 모바일 단말기를 위한 간편한 커널 접근제어 정책 설정 방법.
  5. 제 1 항에 있어서,
    상기 시스템 정책셋 및 앱 정책셋은 수정 또는 추가가 가능한 것을 특징으로 하는 안드로이드 기반 모바일 단말기를 위한 간편한 커널 접근제어 정책 설정 방법.
  6. 제 2 항에 있어서,
    상기 시스템 정책 항목들은 커널 부팅이 완료되면 최초의 사용자 프로세스를 보호하는 init 보호 정책, 앱들을 실행하는 프로세스를 보호하는 zygote 보호 정책, media를 실행하는 프로세스를 보호하는 media 보호 정책을 포함하고, 상기 앱 정책 항목들은 카메라 앱 정책, 동영상 앱 정책, 녹음기 앱 정책, 지도 앱 정책을 포함하는 것을 특징으로 하는 안드로이드 기반 모바일 단말기를 위한 간편한 커널 접근제어 정책 설정 방법.
  7. 다수의 모바일 단말기 및 관리 서버로 이루어지며, 안드로이드 기반 모바일 단말기를 위한 간편한 커널 접근제어 정책 설정 시스템에 있어서,
    관리 서버의 웹 유저 인터페이스를 통해 다수의 모바일 단말기의 파일 시스템으로 전체 목록을 생성하고, 상기 관리 서버가 상기 전체 목록에서 주체 및 객체를 사전 식별에 따라 시스템 정책셋 및 앱 정책셋을 생성하며, 상기 시스템 정책셋 및 앱 정책셋을 사용자 그룹별로 할당되는 그룹 정책을 생성하고, 상기 그룹 정책을 상기 다수의 모바일 단말기에 배포하고, 상기 다수의 모바일 단말기가 상기 그룹 정책을 적용하여 실행하며,
    상기 사용자 그룹은 다수의 사용자 및 상기 다수의 사용자에게 각각 할당된 다수의 모바일 단말기로 이루어지는 것을 특징으로 하는 안드로이드 기반 모바일 단말기를 위한 간편한 커널 접근제어 정책 설정 시스템.
KR1020160105459A 2016-08-19 2016-08-19 안드로이드 기반 모바일 단말기를 위한 간편한 커널 접근제어 정책 설정 방법 및 시스템 KR101773300B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020160105459A KR101773300B1 (ko) 2016-08-19 2016-08-19 안드로이드 기반 모바일 단말기를 위한 간편한 커널 접근제어 정책 설정 방법 및 시스템
US15/370,270 US10097588B2 (en) 2016-08-19 2016-12-06 Method and system for configuring simple kernel access control policy for android-based mobile terminal

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160105459A KR101773300B1 (ko) 2016-08-19 2016-08-19 안드로이드 기반 모바일 단말기를 위한 간편한 커널 접근제어 정책 설정 방법 및 시스템

Publications (1)

Publication Number Publication Date
KR101773300B1 true KR101773300B1 (ko) 2017-08-31

Family

ID=59761281

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160105459A KR101773300B1 (ko) 2016-08-19 2016-08-19 안드로이드 기반 모바일 단말기를 위한 간편한 커널 접근제어 정책 설정 방법 및 시스템

Country Status (2)

Country Link
US (1) US10097588B2 (ko)
KR (1) KR101773300B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190067492A (ko) * 2017-12-07 2019-06-17 삼성에스디에스 주식회사 보안 관리 시스템 및 방법과 이를 수행하기 위한 서버

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11816358B2 (en) * 2021-08-24 2023-11-14 Micron Technology, Inc. Preserving application data order in memory devices

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030115246A1 (en) * 1999-08-24 2003-06-19 Hewlett-Packard Company And Intel Corporation Policy management for host name mapped to dynamically assigned network address
US20060190984A1 (en) * 2002-09-23 2006-08-24 Credant Technologies, Inc. Gatekeeper architecture/features to support security policy maintenance and distribution
JP4400059B2 (ja) * 2002-10-17 2010-01-20 株式会社日立製作所 ポリシー設定支援ツール
US20050257245A1 (en) * 2003-10-10 2005-11-17 Bea Systems, Inc. Distributed security system with dynamic roles
US20050262362A1 (en) * 2003-10-10 2005-11-24 Bea Systems, Inc. Distributed security system policies
US9942271B2 (en) * 2005-12-29 2018-04-10 Nextlabs, Inc. Information management system with two or more interactive enforcement points
US8661499B2 (en) * 2010-07-07 2014-02-25 Ca, Inc. Dynamic policy trees for matching policies
KR101388053B1 (ko) 2012-09-17 2014-04-22 주식회사 인프라웨어테크놀러지 권한탐지 기반의 안드로이드 어플리케이션 보안강화 방법, 그리고 이를 위한 권한탐지 기반의 안드로이드 보안 프로그램을 기록한 컴퓨터로 판독가능한 기록매체
US20160205082A1 (en) 2013-08-12 2016-07-14 Graphite Software Corporation Secure authentication and switching to encrypted domains

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190067492A (ko) * 2017-12-07 2019-06-17 삼성에스디에스 주식회사 보안 관리 시스템 및 방법과 이를 수행하기 위한 서버
KR102412227B1 (ko) * 2017-12-07 2022-06-22 삼성에스디에스 주식회사 보안 관리 시스템 및 방법과 이를 수행하기 위한 서버

Also Published As

Publication number Publication date
US20180054462A1 (en) 2018-02-22
US10097588B2 (en) 2018-10-09

Similar Documents

Publication Publication Date Title
US10664592B2 (en) Method and system to securely run applications using containers
US9246941B1 (en) Systems and methods for predicting the impact of security-policy changes on users
US10454942B2 (en) Managed clone applications
US10043007B2 (en) Security within a software-defined infrastructure
US10326772B2 (en) Systems and methods for anonymizing log entries
Miller Mobile attacks and defense
US8429745B1 (en) Systems and methods for data loss prevention on mobile computing systems
US9407664B1 (en) Systems and methods for enforcing enterprise data access control policies in cloud computing environments
US9852294B1 (en) Systems and methods for detecting suspicious applications based on how entry-point functions are triggered
US10282557B1 (en) Systems and methods for protecting sensitive data against data loss
US11042646B2 (en) Selecting data storage based on data and storage classifications
US8281410B1 (en) Methods and systems for providing resource-access information
US11757937B2 (en) Enabling webapp security through containerization
KR102534334B1 (ko) 컴퓨팅 디바이스들에서 프로세스들에 대한 소프트웨어 공격들의 검출
CA2915068C (en) Systems and methods for directing application updates
US9104859B1 (en) Systems and methods for scanning data stored on cloud computing platforms
KR101773300B1 (ko) 안드로이드 기반 모바일 단말기를 위한 간편한 커널 접근제어 정책 설정 방법 및 시스템
US9398042B1 (en) Systems and methods for capturing input from users to prevent data loss
US9552481B1 (en) Systems and methods for monitoring programs
US9300691B1 (en) Systems and methods for enforcing secure network segmentation for sensitive workloads
US9646157B1 (en) Systems and methods for identifying repackaged files
US11836269B2 (en) Protection of data of database clients from persistent adversaries
US10819748B2 (en) Systems and methods for enforcing data loss prevention policies on endpoint devices
US11113389B1 (en) Systems and methods for providing persistent visual warnings for application launchers
US11423175B1 (en) Systems and methods for protecting users

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant