KR102088297B1 - Apparatus for access control of secure domain and method using the same - Google Patents

Apparatus for access control of secure domain and method using the same Download PDF

Info

Publication number
KR102088297B1
KR102088297B1 KR1020160013401A KR20160013401A KR102088297B1 KR 102088297 B1 KR102088297 B1 KR 102088297B1 KR 1020160013401 A KR1020160013401 A KR 1020160013401A KR 20160013401 A KR20160013401 A KR 20160013401A KR 102088297 B1 KR102088297 B1 KR 102088297B1
Authority
KR
South Korea
Prior art keywords
security
api group
api
access
area
Prior art date
Application number
KR1020160013401A
Other languages
Korean (ko)
Other versions
KR20170092269A (en
Inventor
김건량
임재덕
박수완
임경수
김정녀
전용성
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020160013401A priority Critical patent/KR102088297B1/en
Publication of KR20170092269A publication Critical patent/KR20170092269A/en
Application granted granted Critical
Publication of KR102088297B1 publication Critical patent/KR102088297B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/42User authentication using separate channels for security data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/54Interprogram communication

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Automation & Control Theory (AREA)
  • Storage Device Security (AREA)

Abstract

보안 영역 접근 제어 장치 및 방법이 개시된다. 본 발명의 일실시예에 따른 보안 영역 접근 제어 장치는 가상화 기술을 이용하여 일반 영역과 보안 영역 사이에 보안채널을 생성하여 연동시키는 가상화부; 일반 영역의 보안 어플리케이션을 보안API(APPLICATION PROGRAM INTERFACE)를 이용하여 보안 영역으로 접근하여 보안기능 및 보안데이터 중 적어도 하나 이상을 이용하는 응용부 및 상기 보안 어플리케이션을 상기 보안API의 그룹의 종류에 기반하여 상기 보안 영역으로의 접근을 제어하는 보안부를 포함한다.A security area access control device and method are disclosed. The security area access control apparatus according to an embodiment of the present invention includes a virtualization unit that creates and interlocks a secure channel between a general area and a security area using virtualization technology; Based on the type of group of the security API and the application unit that uses at least one of security functions and security data by accessing the security application in the general area to the security area using a security API (APPLICATION PROGRAM INTERFACE), It includes a security unit that controls access to the security area.

Description

보안 영역 접근 제어 장치 및 방법 {APPARATUS FOR ACCESS CONTROL OF SECURE DOMAIN AND METHOD USING THE SAME}Security zone access control device and method {APPARATUS FOR ACCESS CONTROL OF SECURE DOMAIN AND METHOD USING THE SAME}

본 발명은 가상화를 이용하여 일반 영역과 격리된 보안 영역을 포함하는 보안 단말에서 보안 영역을 이용하는 일반 영역의 보안 어플리케이션들이 보안 영역의 보안기능을 이용하거나 보안 영역에 저장된 보안데이터를 접근할 때 불법적인 접근을 방지하고 보안 데이터 유출을 방지하기 위한 접근제어 방법에 관한 것이다.According to the present invention, security applications in a general area using a security area in a security terminal including a security area isolated from the general area using virtualization are illegal when using security functions of the security area or accessing security data stored in the security area. The present invention relates to an access control method for preventing access and preventing security data leakage.

스마트 모바일 단말의 사용자는 매우 증가하고 있다. 최근에는 개인의 단말을 기업에서 활용하고자 하는 요구가 증가하고 있다. 이 때, 기업 데이터가 개인 단말을 통해 유출되는 경우가 증가하여 이에 대한 솔루션의 필요가 절실한 상황이다. 가상화 기술은 기업의 데이터를 개인의 데이터와 분리하여 관리하기 위한 기술이다. 가상화 기술은 악성 코드가 존재하는 오픈 플랫폼의 일반 영역과 격리된 보안 영역을 구축하여 이러한 필요성을 만족시키고 있다.The number of users of smart mobile terminals is increasing. In recent years, there is an increasing demand to utilize personal terminals in the enterprise. At this time, the number of cases in which corporate data leaks through personal terminals increases, and there is an urgent need for a solution for this. Virtualization technology is a technology for managing corporate data separately from personal data. Virtualization technology satisfies this need by establishing a security area that is isolated from the general area of the open platform where malicious code exists.

보안 영역에 저장되어 관리되는 보안 데이터는 접근 권한이 있는 사용자 또는 어플리케이션 외에는 접근이 차단되며 이에 따라 안전한 접근제어 방법이 필요하다Security data stored and managed in the security area is blocked except for users or applications with access, and thus a secure access control method is required.

한편, 한국공개특허 제 10-2011-0004138 호의 "애플리케이션 가상화를 위한 보안 제공방법" 은 애플리케이션 가상화를 위한 보안 제공방법에 관하여 개시하고 있다.On the other hand, Korean Patent Publication No. 10-2011-0004138, "Method for providing security for application virtualization" discloses a method for providing security for application virtualization.

그러나, 한국공개특허 제 10-2011-0004138 호는 보안 API 그룹의 종류를 판정하여 접근을 제어하는 기술에 대해서는 침묵하고 있다.However, Korean Patent Publication No. 10-2011-0004138 is silent about the technology for controlling access by determining the type of the security API group.

본 발명은 보안 영역을 접근할 수 있는 보안 API와 보안채널을 구비하여 보안 영역의 보안기능 및 보안데이터를 인가된 사용자 또는 어플리케이션에게 안전하게 제공하는 것을 목적으로 한다.An object of the present invention is to provide a secure function and security data of a secure area to an authorized user or application by providing a secure API and a secure channel to access the secure area.

또한, 본 발명은 가상화 기술을 이용하여 악성 코드 및 해킹 등의 위험요소들이 존재하는 일반 영역과 격리된 보안 영역을 구축하고 보안채널을 생성하여 안전하게 연동하는 것을 목적으로 한다. In addition, the present invention aims to build a secure area that is isolated from the general area where risk factors such as malicious codes and hacking exist using virtualization technology, and to securely interwork with a secure channel.

본 발명은 일반 영역에서 보안API를 통해 다양한 차원의 접근제어 정책을 적용함으로써 인가되지 않은 사용자 또는 어플리케이션의 접근을 차단하여 불법적인 데이터 유출을 방지하는 것을 목적으로 한다.The present invention aims to prevent unauthorized data leakage by blocking access to unauthorized users or applications by applying various levels of access control policies through a secure API in the general area.

상기한 목적을 달성하기 위한 본 발명의 일실시예에 따른 보안 영역 접근 제어 장치는 가상화 기술을 이용하여 일반 영역과 보안 영역 사이에 보안채널을 생성하여 연동시키는 가상화부; 일반 영역의 보안 어플리케이션을 보안API(APPLICATION PROGRAM INTERFACE)를 이용하여 보안 영역으로 접근하여 보안기능 및 보안데이터 중 적어도 하나 이상을 이용하는 응용부 및 상기 보안 어플리케이션을 상기 보안API의 그룹의 종류에 기반하여 상기 보안 영역으로의 접근을 제어하는 보안부를 포함한다.A security area access control apparatus according to an embodiment of the present invention for achieving the above object is a virtualization unit for generating and interlocking a security channel between a general area and a security area using virtualization technology; Based on the type of group of the security API and the application unit that uses at least one of security functions and security data by accessing the security application in the general area to the security area using a security API (APPLICATION PROGRAM INTERFACE), It includes a security unit that controls access to the security area.

이 때, 상기 보안부는 상기 보안API의 그룹의 종류를 확인하여 사용자인증API 그룹인 경우, 사용자 인증 입력정보에 기반하여 사용자 인증을 수행하는 것으로 상기 보안 어플리케이션의 접근을 제어하고, 상기 사용자인증API 그룹이 아닌 경우, 암복호화 기능 및 서명생성 기능 중 적어도 하나 이상을 이용하여 상기 보안기능API 그룹 여부를 확인하고, 상기 보안기능API 그룹이 아닌 경우, 데이터의 저장, 수정, 삭제, 및 검색 중 적어도 하나 이상을 이용하여 보안데이터API 그룹 여부를 확인하고, 상기 보안 어플리케이션이 상기 보안API 그룹의 종류에 포함되지 않는 경우, 상기 보안 어플리케이션의 접근을 차단할 수 있다.At this time, the security unit checks the type of the security API group, and if it is a user authentication API group, controls the access of the security application by performing user authentication based on user authentication input information, and the user authentication API group If not, the security function API group is checked by using at least one of the encryption / decryption function and the signature generation function, and if it is not the security function API group, at least one of data storage, modification, deletion, and retrieval The security data API group is checked using the above, and when the security application is not included in the type of the security API group, access to the security application may be blocked.

이 때, 상기 보안부는 상기 보안API의 그룹이 상기 보안기능API 그룹인 경우, 암복호화 키 도출을 위해 사용자 기본 키 입력정보에 기반하여 인증을 수행하는 것으로 상기 보안 어플리케이션의 접근을 제어하고, 상기 보안기능API 그룹이 아닌 경우, 데이터의 저장, 수정, 삭제, 및 검색 중 적어도 하나 이상을 이용하여 보안데이터API 그룹 여부를 확인할 수 있다.In this case, when the group of the security API is the security function API group, the security unit controls access of the security application by performing authentication based on user basic key input information to derive an encryption / decryption key, and the security If it is not a functional API group, it is possible to check whether or not it is a secure data API group using at least one of data storage, modification, deletion, and search.

이 때, 상기 보안부는 상기 보안API의 그룹이 상기 보안데이터API 그룹인 경우, 데이터 길이 검색 및 데이터 리스트 검색 중 적어도 하나 이상을 이용하여 읽기API 그룹인 경우, 읽기 접근 제어 정책과 읽기 데이터 타입 정책에 따라 상기 보안 어플리케이션의 접근을 제어하고 상기 읽기API 그룹이 아닌 경우, 쓰기API 그룹 여부를 확인할 수 있다.At this time, if the group of the security API is the security data API group, if the read API group by using at least one of data length search and data list search, the read access control policy and read data type policy Accordingly, it is possible to control access to the secure application and to check whether or not the write API group exists if not the read API group.

이 때, 상기 보안부는 상기 보안API의 그룹이 상기 쓰기API 그룹인 경우, 쓰기 접근 제어 정책과 쓰기 데이터 타입 정책에 따라 상기 보안 어플리케이션의 접근을 제어하고 상기 쓰기API 그룹이 아닌 경우, 상기 보안 어플리케이션의 접근을 차단할 수 있다.At this time, when the group of the security API is the write API group, the security unit controls access of the security application according to a write access control policy and a write data type policy, and when the group is not the write API group, the security application You can block access.

또한, 상기한 목적을 달성하기 위한 본 발명의 일실시예에 따른 보안 영역 접근 제어 방법은 보안 영역 접근 제어 장치를 이용하는 방법에 있어서, 가상화 기술을 이용하여 일반 영역과 보안 영역 사이에 보안채널을 생성하여 연동시키는 단계; 상기 일반 영역의 보안 어플리케이션을 보안API(APPLICATION PROGRAM INTERFACE)를 이용하여 상기 보안채널을 통해 상기 보안 영역에 접근하는 단계; 상기 보안 어플리케이션을 상기 보안API의 그룹의 종류에 기반하여 상기 보안 영역으로의 접근을 제어하는 단계 및 상기 보안 영역으로의 접근이 허용된 경우 보안기능 및 보안데이터 중 적어도 하나 이상을 이용하는 단계를 포함한다.In addition, the security area access control method according to an embodiment of the present invention for achieving the above object is a method using a security area access control device, using a virtualization technology to create a secure channel between the general area and the security area Interlocking; Accessing the secure area through the secure channel using a secure API (APPLICATION PROGRAM INTERFACE); And controlling access to the security area based on the type of the security API group, and using at least one of security functions and security data when access to the security area is permitted. .

이 때, 상기 제어하는 단계는 상기 보안API의 그룹을 확인하여 사용자인증API 그룹인 경우, 사용자 인증 입력정보에 기반하여 사용자 인증을 수행하는 것으로 상기 보안 어플리케이션의 접근을 제어하고, 상기 사용자인증API 그룹이 아닌 경우, 암복호화 기능 및 서명생성 기능 중 적어도 하나 이상을 이용하여 상기 보안기능API 그룹 여부를 확인하고, 상기 보안기능API 그룹이 아닌 경우, 데이터의 저장, 수정, 삭제, 및 검색 중 적어도 하나 이상을 이용하여 보안데이터API 그룹 여부를 확인하고, 상기 보안 어플리케이션이 상기 보안API의 그룹의 종류에 포함되지 않는 경우, 상기 보안 어플리케이션의 접근을 차단할 수 있다.At this time, the controlling step is to check the group of the security API and, in the case of the user authentication API group, performs user authentication based on user authentication input information to control access to the security application, and the user authentication API group If not, the security function API group is checked by using at least one of the encryption / decryption function and the signature generation function, and if it is not the security function API group, at least one of data storage, modification, deletion, and retrieval The security data API group is checked using the above, and when the security application is not included in the type of the security API group, access to the security application may be blocked.

이 때, 상기 제어하는 단계는 상기 보안API의 그룹이 상기 보안기능API 그룹인 경우, 암복호화 키 도출을 위해 사용자 기본 키 입력정보에 기반하여 인증을 수행하는 것으로 상기 보안 어플리케이션의 접근을 제어하고, 상기 보안기능API 그룹이 아닌 경우, 데이터의 저장, 수정, 삭제, 및 검색 중 적어도 하나 이상을 이용하여 보안데이터API 그룹 여부를 확인할 수 있다.At this time, the controlling step is to control the access of the security application by performing authentication based on user basic key input information to derive an encryption / decryption key when the group of the security API is the security function API group, If it is not the security function API group, it is possible to check whether the security data API group is used by using at least one of data storage, modification, deletion, and search.

이 때, 상기 제어하는 단계는 상기 보안API의 그룹이 상기 보안데이터API 그룹인 경우, 데이터 길이 검색 및 데이터 리스트 검색 중 적어도 하나 이상을 이용하여 읽기API 그룹인 경우, 읽기 접근 제어 정책과 읽기 데이터 타입 정책에 따라 상기 보안 어플리케이션의 접근을 제어하고 상기 읽기API 그룹이 아닌 경우, 쓰기API 그룹 여부를 확인할 수 있다.At this time, in the case of the read API group using at least one of a data length search and a data list search, if the group of the secure API is the secure data API group, the read access control policy and read data type According to the policy, access to the security application is controlled, and if it is not the read API group, it is possible to check whether the write API group exists.

이 때, 상기 제어하는 단계는 상기 보안API의 그룹이 상기 쓰기API 그룹인 경우, 쓰기 접근 제어 정책과 쓰기 데이터 타입 정책에 따라 상기 보안 어플리케이션의 접근을 제어하고 상기 쓰기API 그룹이 아닌 경우, 상기 보안 어플리케이션의 접근을 차단할 수 있다.At this time, in the step of controlling, if the group of the secure API is the write API group, the access of the security application is controlled according to the write access control policy and the write data type policy. Access to the application can be blocked.

본 발명은 보안 영역을 접근할 수 있는 보안 API와 보안채널을 구비하여 보안 영역의 보안기능 및 보안데이터를 인가된 사용자 또는 어플리케이션에게 안전하게 제공할 수 있다.The present invention is provided with a secure API and a secure channel to access the secure area to securely provide security functions and secure data in the secure area to authorized users or applications.

또한, 본 발명은 가상화 기술을 이용하여 악성 코드 및 해킹 등의 위험요소들이 존재하는 일반 영역과 격리된 보안 영역을 구축하여 보안채널을 생성하여 안전하게 연동할 수 있다 In addition, the present invention can be securely interlocked by creating a security channel by constructing a security area isolated from the general area where risk factors such as malicious code and hacking exist using virtualization technology.

본 발명은 일반 영역에서 보안API를 통해 다양한 차원의 접근제어 정책을 적용함으로써 인가되지 않은 사용자 또는 어플리케이션의 접근을 차단하여 불법적인 데이터 유출을 방지할 수 있다.The present invention can prevent unauthorized data leakage by blocking access of unauthorized users or applications by applying various levels of access control policies through the security API in the general area.

도 1은 본 발명의 일실시예에 따른 보안 영역 접근 제어 장치를 나타낸 블록도이다.
도 2는 본 발명의 일실시예에 따른 보안 영역 접근 제어 방법을 나타낸 동작 흐름도이다.
도 3은 도 2에 도시된 접근 제어 단계의 일 예를 세부적으로 나타낸 도면이다.
도 4는 도 3에 도시된 보안데이터 그룹 여부 확인 단계의 일 예를 세부적으로 나타낸 도면이다.1 is a block diagram showing a security area access control device according to an embodiment of the present invention.
2 is an operation flowchart showing a security area access control method according to an embodiment of the present invention.
3 is a view showing in detail an example of the access control step illustrated in FIG. 2.
FIG. 4 is a view showing in detail an example of a step of checking whether a security data group is illustrated in FIG. 3.

본 발명을 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다. 여기서, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능, 및 구성에 대한 상세한 설명은 생략한다. 본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. 따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.If described in detail with reference to the accompanying drawings the present invention. Here, repeated descriptions, well-known functions and configurations that may unnecessarily obscure the subject matter of the present invention, and detailed description of the configuration will be omitted. Embodiments of the present invention are provided to more fully describe the present invention to those skilled in the art. Accordingly, the shape and size of elements in the drawings may be exaggerated for a more clear description.

이하, 본 발명에 따른 바람직한 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명의 일실시예에 따른 보안 영역 접근 제어 장치를 나타낸 블록도이다.1 is a block diagram showing a security area access control device according to an embodiment of the present invention.

도 1을 참조하면, 본 발명의 일실시예에 따른 보안 영역 접근 제어 장치는 가상화부(110), 응용부(120) 및 보안부(130)를 포함한다.Referring to FIG. 1, a security area access control apparatus according to an embodiment of the present invention includes a virtualization unit 110, an application unit 120, and a security unit 130.

가상화부(110)는 가상화 기술을 이용할 수 있다.The virtualization unit 110 may use virtualization technology.

본 발명에서 사용되는 가상화 기술은 하이퍼바이저(HYPERVISIOR) 방식 등을 이용할 수 있다.The virtualization technology used in the present invention may use a hypervisor (HYPERVISIOR) method or the like.

하이퍼바이저는 하드웨어와 운영체제 사이의 얇은 층의 소프트웨어 가상화 플랫폼으로 불릴 수 있다.The hypervisor can be called a thin layer of software virtualization platform between hardware and operating system.

이 때, 하이퍼바이저는 하나의 호스트 상에서 동시에 다수의 운영체제를 구동시킬 수 있다.At this time, the hypervisor can run multiple operating systems simultaneously on one host.

이 때, 하이퍼바이저는 여러 운영체제에서 호스트 프로세서나 메모리와 같은 공유자원으로의 접근을 통제할 수 있다.At this time, the hypervisor can control access to shared resources such as a host processor or memory in various operating systems.

이 때, 가상화부(110)는 가상화 기술을 이용하여 응용부(120)에 일반 영역을 구축할 수 있다.At this time, the virtualization unit 110 may build a general area in the application unit 120 using virtualization technology.

이 때, 가상화부(110)는 가상화 기술을 이용하여 보안부(130)에 보안 영역을 구축할 수 있다.At this time, the virtualization unit 110 may build a security area in the security unit 130 using virtualization technology.

이 때, 가상화부(110)는 가상화 기술을 이용하여 일반 영역과 보안 영역 사이에 보안채널을 생성할 수 있다.At this time, the virtualization unit 110 may create a secure channel between the general area and the security area using virtualization technology.

이 때, 가상화부(110)는 생성된 보안채널을 통해 응용부(120)의 일반 영역과 보안부(130)의 보안 영역을 연동시킬 수 있다.At this time, the virtualization unit 110 may link the general area of the application unit 120 with the security area of the security unit 130 through the generated security channel.

응용부(120)는 일반 영역에 보안 어플리케이션과 보안API(APPLICATION PROGRAM INTERFACE)를 포함할 수 있다.The application unit 120 may include a security application and a security API (APPLICATION PROGRAM INTERFACE) in the general area.

보안API의 그룹의 종류는 사용자인증API, 보안기능API, 보안데이터API, 읽기API 및 쓰기API 등의 종류일 수 있다.The security API group may be a user authentication API, a security function API, a security data API, a read API, or a write API.

사용자인증API 그룹은 사용자 인증 입력정보에 기반하여 사용자 인증을 수행하는 것으로 보안 영역으로의 접근을 제어할 수 있다.The user authentication API group performs user authentication based on the user authentication input information, thereby controlling access to the security area.

사용자 인증 입력정보는 PIN 인증, 얼굴 인식, 음성 인식, 지문 인식 등 다양한 정보가 포함될 수 있다.The user authentication input information may include various information such as PIN authentication, face recognition, voice recognition, and fingerprint recognition.

이 때, 사용자 인증이 실패한 경우, 사용자인증API 그룹은 사용자 인증 관련 접근 제어 정책에 기반하여 사용자 인증 입력을 재시도 할 수 있다.At this time, if the user authentication fails, the user authentication API group may retry the user authentication input based on the user authentication related access control policy.

보안기능API 그룹은 암복호화 기능, 서명생성 기능 등을 포함할 수 있다.The security function API group may include an encryption / decryption function, a signature generation function, and the like.

이 때, 보안기능API 그룹은 암복호화 키 도출을 위하여 사용자 기본 키 입력에 기반하여 인증을 수행하는 것으로 보안 영역으로의 접근을 제어할 수 있다.At this time, the security function API group can control access to the security area by performing authentication based on a user's primary key input to derive an encryption / decryption key.

이 때, 인증이 실패한 경우, 보안기능API 그룹은 보안기능 관련 접근 제어 정책에 기반하여 인증을 재시도 할 수 있다.At this time, if authentication fails, the security function API group may retry authentication based on the access control policy related to the security function.

보안데이터API 그룹은 특정 데이터의 저장, 수정, 삭제 및 검색 등을 수행할 수 있다.The secure data API group can perform storage, modification, deletion and retrieval of specific data.

보안데이터API 그룹은 읽기API 및 쓰기API 그룹 여부에 기반하여 보안 영역으로의 접근을 제어할 수 있다.The security data API group can control access to the security area based on whether it is a read API or a write API group.

읽기API 그룹은 데이터 길이 검색 및 데이터 리스트 검색 등을 수행할 수 있다.The read API group can perform data length search and data list search.

읽기API 그룹은 읽기 접근 제어 정책과 읽기 데이터 타입 정책의 만족 여부에 기반하여 보안 영역으로의 접근을 제어할 수 있다.The read API group can control access to the security area based on whether the read access control policy and the read data type policy are satisfied.

쓰기API 그룹은 쓰기 접근 제어 정책과 쓰기 데이터 타입 정책의 만족 여부에 기반하여 보안 영역으로의 접근을 제어할 수 있다.The write API group can control access to the security area based on whether the write access control policy and the write data type policy are satisfied.

보안API의 그룹의 종류는 보안 어플리케이션의 종류에 기반하여 연동하는 것으로 달라질 수 있다.The type of the security API group may vary depending on the type of security application.

응용부(120)는 일반 영역의 보안 어플리케이션을 보안API를 이용하여 보안 영역에 접근할 수 있다.The application unit 120 may access the security area of the general area using the security API.

이 때, 응용부(120)는 보안채널을 통해 보안 영역에 접근할 수 있다.At this time, the application unit 120 may access the secure area through the secure channel.

이 때, 응용부(120)는 보안 영역으로의 접근이 허용된 경우, 보안 영역의 보안 기능 및 보안 데이터를 이용할 수 있다.At this time, when the access to the secure area is permitted, the application unit 120 may use security functions and security data in the secure area.

보안부(130)는 접근 제어 모듈, 보안기능 및 보안데이터를 포함할 수 있다.The security unit 130 may include an access control module, security functions, and security data.

접근 제어 모듈은 사용자 인증 접근 제어 정책, 암복호화 키 도출을 위한 사용자 기본 키 인증 접근 제어 정책 및 보안 어플리케이션이 접근하고자 하는 보안데이터에 대한 읽기/쓰기 접근 제어 정책, 보안데이터의 데이터 타입에 기반한 접근 제어 정책 등 여러 단계와 다양한 차원의 접근 제어 방법을 이용하여 보안 영역으로의 접근을 제어한다.The access control module includes user authentication access control policy, user basic key authentication access control policy for deriving encryption / decryption keys, read / write access control policy for security data to be accessed by security applications, and access control based on data type of security data It controls access to the security area by using various steps such as policy and various levels of access control.

보안부(130)는 보안 영역으로 접근한 보안 어플리케이션이 이용하는 보안API의 그룹의 종류를 확인할 수 있다.The security unit 130 may check the type of security API group used by the security application accessing the security area.

이 때, 보안부(130)는 보안 API의 그룹이 사용자인증API 그룹 여부를 확인할 수 있다.At this time, the security unit 130 may check whether the group of the security API is a user authentication API group.

이 때, 보안부(130)는 보안 API의 그룹이 사용자인증API 그룹인 경우, 사용자 인증 입력정보에 기반하여 사용자 인증을 수행할 수 있다.At this time, when the group of the security API is the user authentication API group, the security unit 130 may perform user authentication based on the user authentication input information.

사용자 인증 입력정보는 PIN 인증, 얼굴 인식, 음성 인식, 지문 인식 등 다양한 정보가 포함될 수 있다.The user authentication input information may include various information such as PIN authentication, face recognition, voice recognition, and fingerprint recognition.

이 때, 보안부(130)는 사용자 인증이 성공한 경우, 보안 영역으로의 접근을 허용할 수 있다.At this time, if the user authentication is successful, the security unit 130 may allow access to the security area.

이 때, 보안부(130)는 사용자 인증이 실패한 경우 사용자 인증 관련 접근 제어 정책에 기반하여 사용자 인증을 재시도 할 수 있다.At this time, if the user authentication fails, the security unit 130 may retry the user authentication based on the access control policy related to the user authentication.

사용자 인증 관련 접근 제어 정책은 사용자 인증 재시도 회수를 제한할 수 있다.The access control policy related to user authentication may limit the number of user authentication retries.

이 때, 보안부(130)는 사용자 인증 접근 제어 정책을 만족한 경우, 사용자 인증 재시도를 수행하기 위해 사용자 인증 입력정보를 재입력 할 수 있다.At this time, when the user authentication access control policy is satisfied, the security unit 130 may re-enter user authentication input information to perform a user authentication retry.

이 때, 보안부(130)는 보안API의 그룹이 사용자인증API 그룹이 아닌 경우, 보안기능API 그룹 여부를 확인할 수 있다.At this time, when the security API group is not the user authentication API group, the security unit 130 may check whether the security function API group is present.

이 때, 보안부(130)는 보안API의 그룹이 보안기능API 그룹인 경우, 암복호화 키 도출을 위한 사용자 기본 키 입력에 기반하여 인증을 수행할 수 있다.At this time, when the security API group is a security function API group, the security unit 130 may perform authentication based on a user's primary key input for deriving an encryption / decryption key.

이 때, 보안부(130)는 인증이 성공한 경우, 보안 영역으로의 접근을 허용할 수 있다.At this time, if the authentication is successful, the security unit 130 may allow access to the security area.

이 때, 보안부(130)는 인증이 실패한 경우 보안기능 관련 접근 제어 정책에 기반하여 인증을 재시도 할 수 있다.At this time, if the authentication fails, the security unit 130 may retry authentication based on the access control policy related to the security function.

보안기능 관련 접근 제어 정책은 인증 재시도 회수를 제한할 수 있다.Security function-related access control policies can limit the number of authentication retries.

이 때, 보안부(130)는 보안기능 관련 접근 제어 정책을 만족한 경우, 사용자 기본 키 입력에 기반하여 인증 재시도를 수행하기 위해 사용자 기본 키를 재입력 할 수 있다.At this time, if the security function-related access control policy is satisfied, the security unit 130 may re-enter the user primary key to perform authentication retry based on the user primary key input.

이 때, 보안부(130)는 보안API의 그룹이 보안기능API 그룹이 아닌 경우, 보안데이터API 그룹 여부를 확인할 수 있다.At this time, when the security API group is not the security function API group, the security unit 130 may check whether the security data API group is present.

이 때, 보안부(130)는 보안API의 그룹이 보안데이터API 그룹인 경우, 읽기API 그룹 여부를 확인할 수 있다.At this time, when the security API group is the security data API group, the security unit 130 may check whether the read API group is present.

이 때, 보안부(130)는 보안API 그룹이 읽기API 그룹인 경우, 읽기 접근 제어 정책에 기반하여 보안 영역으로의 접근을 제어할 수 있다.At this time, when the security API group is the read API group, the security unit 130 may control access to the security area based on the read access control policy.

이 때, 보안부(130)는 읽기 접근 제어 정책 확인에 성공할 경우, 읽기 데이터 타입의 정책에 기반하여 보안 영역으로의 접근을 제어할 수 있다.At this time, the security unit 130 may control access to the security area based on the read data type policy when the read access control policy check is successful.

이 때, 보안부(130)는 읽기 데이터 타입의 정책 확인에 성공할 경우, 보안 영역으로의 접근을 허용할 수 있다.At this time, the security unit 130 may allow access to the secure area when the policy check of the read data type is successful.

이 때, 보안부(130)는 읽기 데이터 타입의 정책 확인에 실패할 경우, 보안 영역으로의 접근을 차단할 수 있다.At this time, the security unit 130 may block access to the security area when the policy check of the read data type fails.

이 때, 보안부(130)는 읽기 접근 제어 정책 확인에 실패할 경우, 보안 영역으로의 접근을 차단할 수 있다.At this time, the security unit 130 may block access to the security area when the read access control policy check fails.

이 때, 보안부(130)는 사용자 인증 재시도가 실패한 경우, 보안 영역으로의 접근을 차단할 수 있다.At this time, when the user authentication retry fails, the security unit 130 may block access to the security area.

이 때, 보안부(130)는 접근한 보안 어플리케이션이 보안API 그룹의 종류에 포함되지 않은 경우, 보안 영역으로의 접근을 차단할 수 있다.At this time, the security unit 130 may block access to the security area when the accessed security application is not included in the type of the security API group.

이 때, 보안부(130)는 보안API의 그룹이 읽기API 그룹이 아닌 경우, 쓰기API 그룹 여부를 확인할 수 있다.At this time, when the security API group is not the read API group, the security unit 130 may check whether the write API group is present.

이 때, 보안부(130)는 보안API 그룹이 쓰기API 그룹인 경우, 쓰기 접근 제어 정책에 기반하여 보안 영역으로의 접근을 제어할 수 있다.At this time, when the security API group is the write API group, the security unit 130 may control access to the security area based on the write access control policy.

이 때, 보안부(130)는 쓰기 접근 제어 정책 확인에 성공할 경우, 쓰기 데이터 타입의 정책에 기반하여 보안 영역으로의 접근을 제어할 수 있다.At this time, when the write access control policy verification is successful, the security unit 130 may control access to the security area based on the write data type policy.

이 때, 보안부(130)는 쓰기 데이터 타입의 정책 확인에 성공할 경우, 보안 영역으로의 접근을 허용할 수 있다.At this time, the security unit 130 may allow access to the security area when the policy of the write data type is successful.

이 때, 보안부(130)는 쓰기 데이터 타입의 정책 확인에 실패할 경우, 보안 영역으로의 접근을 차단할 수 있다.At this time, the security unit 130 may block access to the security area when the policy check of the write data type fails.

이 때, 보안부(130)는 쓰기 접근 제어 정책 확인에 실패할 경우, 보안 영역으로의 접근을 차단할 수 있다.At this time, when the write access control policy check fails, the security unit 130 may block access to the security area.

이 때, 보안부(130)는 사용자 인증 재시도가 실패하고 사용자 인증 접근 제어 정책을 만족하지 않은 경우, 보안 영역으로의 접근을 차단할 수 있다.At this time, the security unit 130 may block access to the security area when the user authentication retry fails and the user authentication access control policy is not satisfied.

이 때, 보안부(130)는 기본 키 기반 인증 재시도가 실패하고, 보안기능 관련 접근 제어 정책을 만족하지 않은 경우, 보안 영역으로의 접근을 차단할 수 있다.At this time, the security unit 130 may block access to the security area when the retry of the basic key-based authentication fails and the security function related access control policy is not satisfied.

도 2는 본 발명의 일실시예에 따른 보안 영역 접근 제어 방법을 나타낸 동작 흐름도이다.2 is an operation flowchart showing a security area access control method according to an embodiment of the present invention.

도 2를 참조하면, 본 발명의 일실시예에 따른 보안 영역 접근 제어 방법은 먼저 보안 채널을 생성한다(S210).Referring to FIG. 2, in the secure area access control method according to an embodiment of the present invention, a secure channel is first generated (S210).

즉, 단계(S210)는 가상화 기술을 이용할 수 있다.That is, in step S210, virtualization technology may be used.

본 발명에서 사용되는 가상화 기술은 하이퍼바이저(HYPERVISIOR) 방식을 이용할 수 있다.The virtualization technology used in the present invention may use a hypervisor (HYPERVISIOR) method.

하이퍼바이저는 하드웨어와 운영체제 사이의 얇은 층의 소프트웨어 가상화 플랫폼으로 불릴 수 있다.The hypervisor can be called a thin layer of software virtualization platform between hardware and operating system.

이 때, 하이퍼바이저는 하나의 호스트 상에서 동시에 다수의 운영체제를 구동시킬 수 있다.At this time, the hypervisor can run multiple operating systems simultaneously on one host.

이 때, 하이퍼바이저는 여러 운영체제에서 호스트 프로세서나 메모리와 같은 공유자원으로의 접근을 통제할 수 있다.At this time, the hypervisor can control access to shared resources such as a host processor or memory in various operating systems.

이 때, 단계(S210)는 가상화 기술을 이용하여 일반 영역을 구축할 수 있다.At this time, step S210 may establish a general area using virtualization technology.

이 때, 단계(S210)는 가상화 기술을 이용하여 보안 영역을 구축할 수 있다.At this time, step S210 may build a security area using virtualization technology.

이 때, 단계(S210)는 가상화 기술을 이용하여 일반 영역과 보안 영역 사이에 보안채널을 생성할 수 있다.At this time, step S210 may create a secure channel between the general area and the security area using virtualization technology.

이 때, 단계(S210)는 생성된 보안채널을 통해 응용부(120)의 일반 영역과 보안부(130)의 보안 영역을 연동시킬 수 있다.At this time, step S210 may link the general area of the application unit 120 and the security area of the security unit 130 through the generated security channel.

일반 영역은 보안 어플리케이션과 보안API(APPLICATION PROGRAM INTERFACE)를 포함할 수 있다.The general area may include a security application and a security API (APPLICATION PROGRAM INTERFACE).

보안API의 그룹의 종류는 사용자인증API, 보안기능API, 보안데이터API, 읽기API 및 쓰기API 등의 종류일 수 있다.The security API group may be a user authentication API, a security function API, a security data API, a read API, or a write API.

사용자인증API 그룹은 사용자 인증 입력정보에 기반하여 사용자 인증을 수행하는 것으로 보안 영역으로의 접근을 제어할 수 있다.The user authentication API group performs user authentication based on the user authentication input information, thereby controlling access to the security area.

사용자 인증 입력정보는 PIN 인증, 얼굴 인식, 음성 인식, 지문 인식 등 다양한 정보가 포함될 수 있다.The user authentication input information may include various information such as PIN authentication, face recognition, voice recognition, and fingerprint recognition.

이 때, 사용자 인증이 실패한 경우, 사용자인증API 그룹은 사용자 인증 관련 접근 제어 정책에 기반하여 사용자 인증 입력정보 입력을 재시도 할 수 있다.At this time, if the user authentication fails, the user authentication API group may retry inputting the user authentication input information based on the access control policy related to the user authentication.

보안기능API 그룹은 암복호화 기능, 서명생성 기능 등을 포함할 수 있다.The security function API group may include an encryption / decryption function, a signature generation function, and the like.

이 때, 보안기능API 그룹은 암복호화 키 도출을 위하여 사용자 기본 키 입력에 기반하여 인증을 수행하는 것으로 보안 영역으로의 접근을 제어할 수 있다.At this time, the security function API group can control access to the security area by performing authentication based on a user's primary key input to derive an encryption / decryption key.

이 때, 인증이 실패한 경우, 보안기능API 그룹은 보안기능 관련 접근 제어 정책에 기반하여 인증을 재시도 할 수 있다.At this time, if authentication fails, the security function API group may retry authentication based on the access control policy related to the security function.

보안데이터API 그룹은 특정 데이터의 저장, 수정, 삭제 및 검색 등을 수행할 수 있다.The secure data API group can perform storage, modification, deletion and retrieval of specific data.

보안데이터API 그룹은 읽기API 및 쓰기API 그룹 여부에 기반하여 보안 영역으로의 접근을 제어할 수 있다.The security data API group can control access to the security area based on whether it is a read API or a write API group.

읽기API 그룹은 데이터 길이 검색 및 데이터 리스트 검색 등을 수행할 수 있다.The read API group can perform data length search and data list search.

읽기API 그룹은 읽기 접근 제어 정책의 만족 여부에 기반하여 보안 영역으로의 접근을 제어할 수 있다.The read API group can control access to the security area based on whether the read access control policy is satisfied.

쓰기API 그룹은 쓰기 접근 제어 정책의 만족 여부에 기반하여 보안 영역으로의 접근을 제어할 수 있다.The write API group can control access to the security area based on whether the write access control policy is satisfied.

보안API의 그룹의 종류는 보안 어플리케이션의 종류에 기반하여 연동하는 것으로 달라질 수 있다.The type of the security API group may vary depending on the type of security application.

또한, 보안 영역 접근 제어 방법은 보안 영역에 접근할 수 있다(S220).In addition, the security area access control method may access the security area (S220).

즉, 단계(S220)는 일반 영역의 보안 어플리케이션을 보안API를 이용하여 보안 영역에 접근할 수 있다.That is, in step S220, the security application in the general area may access the security area using the security API.

이 때, 단계(S220)는 보안채널을 통해 보안 영역에 접근할 수 있다.At this time, step S220 may access the secure area through the secure channel.

이 때, 단계(S220)는 보안 영역으로의 접근이 허용된 경우, 보안 영역의 보안 기능 및 보안 데이터를 이용할 수 있다.At this time, in step S220, if access to the secure area is permitted, the security function and security data of the secure area may be used.

보안 영역은 접근 제어 모듈, 보안기능 및 보안데이터를 포함할 수 있다.The security area may include an access control module, security functions, and security data.

접근 제어 모듈은 사용자 인증 접근 제어 정책, 암복호화 키 도출을 위한 사용자 기본 키 인증 접근 제어 정책 및 보안 어플리케이션이 접근하고자 하는 보안데이터에 대한 읽기/쓰기 접근 제어 정책, 보안데이터의 데이터 타입에 기반한 접근 제어 정책 등 여러 단계와 다양한 차원의 접근 제어 방법을 이용하여 보안 영역으로의 접근을 제어한다.The access control module includes user authentication access control policy, user basic key authentication access control policy for deriving encryption / decryption key, read / write access control policy for security data to be accessed by security applications, and access control based on the data type of security data It controls access to the security area by using various steps such as policy and various levels of access control.

또한, 보안 영역 접근 제어 방법은 접근한 보안 어플리케이션의 보안 영역으로의 접근을 제어할 수 있다(S240),In addition, the security area access control method may control access to the security area of the accessed security application (S240),

즉, 단계(S240)은 접근한 보안 어플리케이션의 보안 영역으로의 접근을 보안API 그룹의 종류에 기반하여 접근을 제어할 수 있다.That is, in step S240, access to the security area of the accessed security application may be controlled based on the type of the security API group.

또한, 보안 영역 접근 제어 방법은 접근이 허용된 보안 어플리케이션이 보안기능 및 보안데이터를 이용할 수 있다(S270).In addition, in the security area access control method, a security application and security data may be used by a security application that is allowed access (S270).

즉, 단계(S270)는 보안 영역으로의 접근이 허용된 보안 어플리케이션은 이용하고자 하는 보안기능 또는 보안데이터를 이용할 수 있다.That is, in step S270, a security application or security data to be used may be used for a security application that is allowed access to the security area.

도 3은 도 2에 도시된 접근 제어 단계의 일 예를 세부적으로 나타낸 도면이다.3 is a view showing in detail an example of the access control step illustrated in FIG. 2.

도 3을 참조하면, 접근 제어단계는 먼저 보안 영역으로 접근한 보안 어플리케이션이 이용하는 보안API의 그룹의 종류를 확인할 수 있다(S241).Referring to FIG. 3, in the access control step, first, a type of a group of security APIs used by a security application accessing a security area may be checked (S241).

즉, 단계(S241)는 보안API의 그룹의 사용자인증API 그룹 여부를 확인할 수 있다.That is, in step S241, it is possible to check whether the group of security API is a user authentication API group.

또한, 단계(S240)는 사용자 인증 입력정보를 입력 할 수 있다(S242).In addition, step S240 may input user authentication input information (S242).

즉, 단계(S242)는 사용자 인증 입력정보에 기반하여 사용자 인증을 수행할 수 있다(S243).That is, step S242 may perform user authentication based on the user authentication input information (S243).

이 때, 단계(S243)는 사용자 인증이 성공한 경우, 보안 영역으로의 접근을 허용할 수 있다(S244).At this time, step S243, if the user authentication is successful, may allow access to the secure area (S244).

이 때, 단계(S243)는 사용자 인증이 실패한 경우, 사용자 인증 관련 접근 제어 정책에 기반하여 사용자 인증을 재시도 할 수 있다(S245).At this time, in step S243, if user authentication fails, the user authentication may be retried based on the access control policy related to user authentication (S245).

사용자 인증 관련 접근 제어 정책은 사용자 인증 재시도 회수를 제한할 수 있다.The access control policy related to user authentication may limit the number of user authentication retries.

이 때, 단계(S245)는 사용자 인증 접근 제어 정책을 만족한 경우, 사용자 인증 재시도를 수행하기 위해 사용자 인증 입력정보를 재입력 할 수 있다(S242).At this time, in step S245, if the user authentication access control policy is satisfied, the user authentication input information may be re-entered to perform a user authentication retry (S242).

이 때, 단계(S243)는 사용자 인증 재시도가 성공한 경우, 보안 영역으로의 접근을 허용할 수 있다(S244).At this time, in step S243, if the user authentication retry is successful, access to the secure area may be allowed (S244).

이 때, 단계(S245)는 사용자 인증 재시도가 실패하고 사용자 인증 접근 제어 정책을 만족하지 않은 경우, 보안 영역으로의 접근을 차단할 수 있다(S257).At this time, in step S245, if the user authentication retry fails and the user authentication access control policy is not satisfied, access to the security area may be blocked (S257).

즉, 단계(S257)는 보안 영역으로의 접근을 차단할 수 있다.That is, step S257 may block access to the secure area.

또한, 단계(S241)는 보안API의 그룹이 사용자인증API 그룹이 아닌 경우, 보안기능API 그룹 여부를 확인할 수 있다(S246).In addition, in step S241, when the group of the security API is not the user authentication API group, it may be checked whether the security function API group is present (S246).

즉, 단계(S246)는 보안API의 그룹의 보안기능API 그룹 여부를 확인할 수 있다.That is, in step S246, it is possible to check whether the group of security APIs is a security function API group.

이 때, 단계(S246)는 보안API의 그룹이 보안기능API 그룹인 경우, 암복호화 키 도출을 위한 사용자 기본 키 입력에 기반하여 인증을 수행할 수 있다(S247).At this time, in step S246, when the group of the security API is a security function API group, authentication may be performed based on a user's primary key input for deriving an encryption / decryption key (S247).

즉, 단계(S247)는 사용자 기본 키 입력에 기반하여 인증을 수행할 수 있다(S248).That is, step S247 may perform authentication based on the user primary key input (S248).

이 때, 단계(S248)는 인증이 성공한 경우, 보안 영역으로의 접근을 허용할 수 있다(S244).At this time, step S248, if authentication is successful, may allow access to the secure area (S244).

이 때, 단계(S248)는 인증이 실패한 경우, 보안기능 관련 접근 제어 정책에 기반하여 인증을 재시도 할 수 있다(S249).At this time, in step S248, if authentication fails, authentication may be retried based on the access control policy related to the security function (S249).

보안기능 관련 접근 제어 정책은 인증 재시도 회수를 제한할 수 있다.Security function-related access control policies can limit the number of authentication retries.

이 때, 단계(S249)는 보안기능 관련 접근 제어 정책을 만족한 경우, 사용자 기본 키 입력에 기반하여 인증 재시도를 수행하기 위해 사용자 기본 키를 재입력 할 수 있다(S246).At this time, in step S249, when the access control policy related to the security function is satisfied, the user primary key may be re-entered to perform authentication retry based on the user primary key input (S246).

이 때, 단계(S248)는 인증 재시도가 성공한 경우, 보안 영역으로의 접근을 허용할 수 있다(S244).At this time, in step S248, if the authentication retry is successful, access to the secure area may be allowed (S244).

이 때, 단계(S249)는 실패하고 보안기능 관련 접근 제어 정책을 만족하지 않은 경우, 보안 영역으로의 접근을 차단할 수 있다(S257).At this time, step S249 may fail and access to the security area may be blocked if the security function related access control policy is not satisfied (S257).

즉, 단계(S257)는 보안 영역으로의 접근을 차단할 수 있다.That is, step S257 may block access to the secure area.

또한, 단계(S246)는 보안API의 그룹이 보안기능API 그룹이 아닌 경우, 보안데이터API 그룹 여부를 확인할 수 있다(S258).In addition, in step S246, when the group of the security API is not the security function API group, it may be checked whether the security data API group is present (S258).

즉, 단계(S258)는 보안API의 그룹의 보안데이터API 그룹 여부를 확인할 수 있다.That is, in step S258, it is possible to check whether the group of security API is the security data API group.

도 4는 도 3에 도시된 보안데이터 그룹 여부 확인 단계의 일 예를 세부적으로 나타낸 도면이다.FIG. 4 is a view showing in detail an example of a step of checking whether a security data group is illustrated in FIG. 3.

도 4를 참조하면, 먼저 단계(S258)는 보안API의 그룹의 보안데이터API 그룹 여부를 확인할 수 있다(S250).Referring to FIG. 4, first, in step S258, it is possible to check whether a group of security API is a security data API group (S250).

즉, 단계(S250)는 보안API의 그룹의 보안데이터API 그룹 여부를 확인할 수 있다.That is, in step S250, it is possible to check whether a group of security API is a security data API group.

이 때, 단계(S250)는 보안API의 그룹이 보안데이터API 그룹인 경우, 읽기API 그룹 여부를 확인할 수 있다(S251).At this time, step S250, if the group of security API is a security data API group, it can be confirmed whether the read API group (S251).

이 때, 단계(S250)는 보안API의 그룹이 보안데이터API 그룹이 아닌 경우, 보안 영역으로의 접근을 차단할 수 있다(S259).At this time, in step S250, when the group of the secure API is not the secure data API group, access to the secure area may be blocked (S259).

즉, 단계(S251)는 보안API의 그룹이 읽기API 그룹 여부를 확인할 수 있다.That is, in step S251, it is possible to check whether the security API group is a read API group.

이 때, 단계(S251)는 보안API의 그룹이 읽기API 그룹인 경우, 읽기 접근 제어 정책 만족 여부를 판정할 수 있다(S252).At this time, in step S251, if the group of the secure API is the read API group, it may be determined whether the read access control policy is satisfied (S252).

즉, 단계(S252)는 읽기API 그룹의 읽기 접근 제어 정책 만족 여부를 판정할 수 있다.That is, step S252 may determine whether the read access control policy of the read API group is satisfied.

이 때, 단계(S252)는 읽기API 그룹이 읽기 접근 제어 정책을 만족할 경우, 읽기 데이터 타입 정책 만족 여부를 판정할 수 있다(S253).In this case, step S252 may determine whether the read data type policy is satisfied if the read API group satisfies the read access control policy (S253).

이 때, 단계(S252)는 읽기API 그룹이 읽기 접근 제어 정책을 만족하지 않는 경우, 보안 영역으로의 접근을 차단할 수 있다(S259)In this case, step S252 may block access to the security area when the read API group does not satisfy the read access control policy (S259).

즉, 단계(S253)는 읽기API 그룹의 읽기 데이터 타입 정책 만족 여부를 판정할 수 있다.That is, step S253 may determine whether the read API group satisfies the read data type policy.

이 때, 단계(S253)는 읽기 데이터 타입 정책을 만족하는 경우, 보안 영역으로의 접근을 허용할 수 있다(S244).At this time, in step S253, if the read data type policy is satisfied, access to the secure area may be allowed (S244).

이 때, 단계(S253)는 읽기 데이터 타입 정책을 만족하지 않는 경우, 보안 영역으로의 접근을 차단할 수 있다(S259).At this time, in step S253, if the read data type policy is not satisfied, access to the security area may be blocked (S259).

또한, 단계(S251)는 보안데이터API의 그룹이 읽기API 그룹이 아닌 경우, 쓰기API 그룹 여부를 확인할 수 있다(S254).In addition, in step S251, if the group of the secure data API is not a read API group, it may be checked whether a write API group is provided (S254).

즉, 단계(S254)는 보안API의 그룹이 쓰기API 그룹 여부를 확인할 수 있다.That is, in step S254, it is possible to check whether the group of secure APIs is a write API group.

이 때, 단계(S254)는 보안API의 그룹이 쓰기API 그룹인 경우, 쓰기 접근 제어 정책 만족 여부를 판정할 수 있다(S255).At this time, in step S254, when the group of the secure API is the write API group, it may be determined whether the write access control policy is satisfied (S255).

이 때, 단계(S254)는 보안API의 그룹이 쓰기API 그룹이 아닌 경우, 보안 영역으로의 접근을 차단할 수 있다(S259).At this time, in step S254, when the group of the secure API is not the write API group, access to the secure area may be blocked (S259).

즉, 단계(S255)는 쓰기API 그룹의 쓰기 접근 제어 정책 만족 여부를 판정할 수 있다.That is, step S255 may determine whether the write access control policy of the write API group is satisfied.

이 때, 단계(S255)는 쓰기API 그룹의 쓰기 접근 제어 정책을 만족하는 경우, 쓰기 데이터 타입 정책 만족 여부를 판정할 수 있다(S256).At this time, in step S255, when the write access control policy of the write API group is satisfied, it may be determined whether the write data type policy is satisfied (S256).

이 때, 단계(S255)는 쓰기API 그룹의 쓰기 접근 제어 정책을 만족하지 않는 경우, 보안 영역으로의 접근을 차단할 수 있다(S259).At this time, in step S255, if the write access control policy of the write API group is not satisfied, access to the security area may be blocked (S259).

즉, 단계(S256)는 쓰기API 그룹의 쓰기 데이터 타입 정책 만족 여부를 판정할 수 있다.That is, step S256 may determine whether the write API group's write data type policy is satisfied.

이 때, 단계(S256)는 쓰기 데이터 타입 정책을 만족하는 경우, 보안 영역으로의 접근을 허용할 수 있다(S244).In this case, step S256 may allow access to the secure area when the write data type policy is satisfied (S244).

이 때, 단계(S256)는 쓰기 데이터 타입 정책을 만족하지 않는 경우, 보안 영역으로의 접근을 차단할 수 있다(S259).At this time, in step S256, if the write data type policy is not satisfied, access to the secure area may be blocked (S259).

즉, 단계(S259)는 보안 영역으로의 접근을 차단할 수 있다.That is, step S259 may block access to the secure area.

이상에서와 같이 본 발명에 따른 보안 영역 접근 제어 장치 및 방법은 상기한 바와 같이 설명된 실시예들의 구성과 방법이 한정되게 적용될 수 있는 것이 아니라, 상기 실시예들은 다양한 변형이 이루어질 수 있도록 각 실시예들의 전부 또는 일부가 선택적으로 조합되어 구성될 수도 있다.As described above, the security area access control apparatus and method according to the present invention are not limited to the configuration and method of the above-described embodiments, and the above embodiments can be applied to various embodiments so that various modifications can be made. All or part of them may be configured by selectively combining.

110: 가상화부
120: 응용부
130: 보안부110: virtualization department
120: application
130: security department

Claims (10)

가상화 기술을 이용하여 일반 영역과 보안 영역 사이에 보안채널을 생성하여 연동시키는 가상화부;
일반 영역의 보안 어플리케이션을 보안API(APPLICATION PROGRAM INTERFACE)를 이용하여 보안 영역으로 접근하여 보안기능 및 보안데이터 중 적어도 하나 이상을 이용하는 응용부; 및
상기 보안 어플리케이션을 상기 보안API의 그룹의 종류에 기반하여 상기 보안 영역으로의 접근을 제어하는 보안부;
를 포함하고,
상기 보안부는
상기 보안API의 그룹의 종류를 확인하여 상기 보안API 그룹이 사용자인증API 그룹 및 보안기능API 그룹이 아니고, 보안데이터API 그룹인 경우, 상기 보안데이터API 그룹이 읽기API 그룹 및 쓰기API 그룹 중 어느 하나에 해당하는지 확인하고,
상기 읽기API 그룹인 경우, 읽기 접근 제어 정책과 읽기 데이터 타입 정책에 따라 상기 보안 어플리케이션의 접근을 제어하고,
상기 쓰기API 그룹인 경우, 쓰기 접근 제어 정책과 쓰기 데이터 타입 정책에 따라 상기 보안 어플리케이션의 접근을 제어하고,
상기 보안데이터API 그룹이 읽기API 그룹 및 쓰기API 그룹에 모두 해당하지 않는 경우, 상기 보안 어플리케이션의 접근을 차단하는 것을 특징으로 하는 보안 영역 접근 제어 장치.A virtualization unit that creates and interlocks a secure channel between a general area and a security area using virtualization technology;
An application unit that accesses a security application in a general area to a security area using a security API (APPLICATION PROGRAM INTERFACE) and uses at least one of security functions and security data; And
A security unit controlling access to the security area based on the type of the security API group;
Including,
The security department
Check the type of the security API group, and if the security API group is not a user authentication API group and a security function API group, but is a security data API group, the security data API group is one of a read API group and a write API group. Check if it corresponds to,
In the case of the read API group, access to the security application is controlled according to a read access control policy and a read data type policy,
In the case of the write API group, access to the security application is controlled according to a write access control policy and a write data type policy,
When the security data API group does not correspond to both the read API group and the write API group, the security area access control device is characterized in that access to the security application is blocked. 청구항 1에 있어서,
상기 보안부는
상기 보안API의 그룹의 종류를 확인하여 사용자인증API 그룹인 경우,
사용자 인증 입력정보에 기반하여 사용자 인증을 수행하는 것으로 상기 보안 어플리케이션의 접근을 제어하고,
상기 사용자인증API 그룹이 아닌 경우,
보안기능API 그룹 여부를 확인하는 것을 특징으로 하는 보안 영역 접근 제어 장치.The method according to claim 1,
The security department
In the case of a user authentication API group by checking the type of the security API group,
Controlling access to the security application by performing user authentication based on user authentication input information,
If not the user authentication API group,
Security function access control device characterized in that to check whether the API group. 청구항 2에 있어서,
상기 보안부는
상기 보안API의 그룹이 상기 보안기능API 그룹인 경우,
암복호화 키 도출을 위해 사용자 기본 키 입력정보에 기반하여 인증을 수행하는 것으로 상기 보안 어플리케이션의 접근을 제어하고,
상기 보안기능API 그룹이 아닌 경우,
보안데이터API 그룹 여부를 확인하는 것을 특징으로 하는 보안 영역 접근 제어 장치.The method according to claim 2,
The security department
When the group of the security API is the security function API group,
In order to derive the encryption / decryption key, authentication is performed based on user basic key input information to control access to the security application,
If not in the above security function API group,
Security area access control device, characterized in that for checking whether the security data API group. 삭제delete 삭제delete 보안 영역 접근 제어 장치를 이용하는 방법에 있어서,
가상화 기술을 이용하여 일반 영역과 보안 영역 사이에 보안채널을 생성하여 연동시키는 단계;
상기 일반 영역의 보안 어플리케이션을 보안API(APPLICATION PROGRAM INTERFACE)를 이용하여 상기 보안채널을 통해 상기 보안 영역에 접근하는 단계;
상기 보안 어플리케이션을 상기 보안API의 그룹의 종류에 기반하여 상기 보안 영역으로의 접근을 제어하는 단계; 및
상기 보안 영역으로의 접근이 허용된 경우 보안기능 및 보안데이터 중 적어도 하나 이상을 이용하는 단계;
를 포함하고,
상기 제어하는 단계는
상기 보안API의 그룹의 종류를 확인하여 상기 보안API 그룹이 사용자인증API 그룹 및 보안기능API 그룹이 아니고, 보안데이터API 그룹인 경우, 상기 보안데이터API 그룹이 읽기API 그룹 및 쓰기API 그룹 중 어느 하나에 해당하는지 확인하고,
상기 읽기API 그룹인 경우, 읽기 접근 제어 정책과 읽기 데이터 타입 정책에 따라 상기 보안 어플리케이션의 접근을 제어하고,
상기 쓰기API 그룹인 경우, 쓰기 접근 제어 정책과 쓰기 데이터 타입 정책에 따라 상기 보안 어플리케이션의 접근을 제어하고,
상기 보안데이터API 그룹이 읽기API 그룹 및 쓰기API 그룹에 모두 해당하지 않는 경우, 상기 보안 어플리케이션의 접근을 차단하는 것을 특징으로 하는 보안 영역 접근 제어 방법.In the method using the security area access control device,
Creating and interworking a secure channel between a general area and a security area using virtualization technology;
Accessing the security area in the general area through the secure channel using a security API (APPLICATION PROGRAM INTERFACE);
Controlling the security application to access the security area based on the type of the security API group; And
Using at least one of a security function and security data when access to the security area is permitted;
Including,
The controlling step
Check the type of the security API group, and if the security API group is not a user authentication API group and a security function API group, but is a security data API group, the security data API group is one of a read API group and a write API group. Check if it corresponds to,
In the case of the read API group, access to the security application is controlled according to a read access control policy and a read data type policy,
In the case of the write API group, access to the security application is controlled according to a write access control policy and a write data type policy,
If the security data API group does not correspond to both the read API group and the write API group, the security area access control method characterized in that access to the security application is blocked. 청구항 6에 있어서,
상기 제어하는 단계는
상기 보안API의 그룹을 확인하여 사용자인증API 그룹인 경우,
사용자 인증 입력정보에 기반하여 사용자 인증을 수행하는 것으로 상기 보안 어플리케이션의 접근을 제어하고,
상기 사용자인증API 그룹이 아닌 경우,
보안기능API 그룹 여부를 확인하는 것을 특징으로 하는 보안 영역 접근 제어 방법.The method according to claim 6,
The controlling step
If it is a user authentication API group by checking the group of the security API,
Controlling access to the security application by performing user authentication based on user authentication input information,
If not the user authentication API group,
Security function access control method characterized by checking whether the API group. 청구항 7에 있어서,
상기 제어하는 단계는
상기 보안API의 그룹이 상기 보안기능API 그룹인 경우,
암복호화 키 도출을 위해 사용자 기본 키 입력정보에 기반하여 인증을 수행하는 것으로 상기 보안 어플리케이션의 접근을 제어하고,
상기 보안기능API 그룹이 아닌 경우,
보안데이터API 그룹 여부를 확인하는 것을 특징으로 하는 보안 영역 접근 제어 방법.The method according to claim 7,
The controlling step
When the group of the security API is the security function API group,
In order to derive the encryption / decryption key, authentication is performed based on user basic key input information to control access to the security application,
If not in the above security function API group,
Security data access control method characterized in that to check whether the security data API group. 삭제delete 삭제delete
KR1020160013401A 2016-02-03 2016-02-03 Apparatus for access control of secure domain and method using the same KR102088297B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160013401A KR102088297B1 (en) 2016-02-03 2016-02-03 Apparatus for access control of secure domain and method using the same

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160013401A KR102088297B1 (en) 2016-02-03 2016-02-03 Apparatus for access control of secure domain and method using the same

Publications (2)

Publication Number Publication Date
KR20170092269A KR20170092269A (en) 2017-08-11
KR102088297B1 true KR102088297B1 (en) 2020-03-12

Family

ID=59651477

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160013401A KR102088297B1 (en) 2016-02-03 2016-02-03 Apparatus for access control of secure domain and method using the same

Country Status (1)

Country Link
KR (1) KR102088297B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US12028351B2 (en) 2021-11-15 2024-07-02 International Business Machines Corporation Protecting against API attacks by continuous auditing of security compliance of API usage relationship

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11272698A (en) * 1998-03-20 1999-10-08 Seiko Epson Corp Information providing system
KR102201218B1 (en) * 2013-10-15 2021-01-12 한국전자통신연구원 Access control system and method to security engine of mobile terminal
KR20150073567A (en) * 2013-12-23 2015-07-01 한국전자통신연구원 The Method for Transmitting and Receiving the Secure Message Using the Terminal Including Secure Storage

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US12028351B2 (en) 2021-11-15 2024-07-02 International Business Machines Corporation Protecting against API attacks by continuous auditing of security compliance of API usage relationship

Also Published As

Publication number Publication date
KR20170092269A (en) 2017-08-11

Similar Documents

Publication Publication Date Title
CN112513857A (en) Personalized cryptographic security access control in a trusted execution environment
CN107273755B (en) Controlling access to application data
US8341707B2 (en) Near real-time multi-party task authorization access control
KR102107277B1 (en) System and method for anti-fishing or anti-ransomware application
CN1185584C (en) Use method of safety cipher in nonsafety programming environment
US20150227748A1 (en) Method and System for Securing Data
CN113168476A (en) Access control for personalized cryptography security in operating systems
US9286486B2 (en) System and method for copying files between encrypted and unencrypted data storage devices
CN104318176B (en) Data management method and device for terminal and terminal
KR20070098869A (en) Versatile content control with partitioning
US20120137372A1 (en) Apparatus and method for protecting confidential information of mobile terminal
WO2017112641A1 (en) Dynamic management of protected file access
KR102088290B1 (en) Method of providing trusted service based on security area and apparatus using the same
US9460305B2 (en) System and method for controlling access to encrypted files
CN107358118B (en) SFS access control method and system, SFS and terminal equipment
CN110543775B (en) Data security protection method and system based on super-fusion concept
US20170187527A1 (en) Obtaining A Decryption Key From a Mobile Device
RU2311676C2 (en) Method for providing access to objects of corporate network
KR102088297B1 (en) Apparatus for access control of secure domain and method using the same
KR101206735B1 (en) Apparatus for protecting information associated with security of mobile terminal and method thereof
EP4322095A1 (en) Resource transfer
CN116595573A (en) Data security reinforcement method and device for traffic management information system
EP2835758B1 (en) System and method for controlling access to encrypted files
KR102090151B1 (en) Data protection system and method thereof
Lee et al. A study on a secure USB mechanism that prevents the exposure of authentication information for smart human care services

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right