KR102355213B1 - 운영 체제 공격으로부터 애플리케이션 기밀사항을 보호하는 기법 - Google Patents

운영 체제 공격으로부터 애플리케이션 기밀사항을 보호하는 기법 Download PDF

Info

Publication number
KR102355213B1
KR102355213B1 KR1020177008645A KR20177008645A KR102355213B1 KR 102355213 B1 KR102355213 B1 KR 102355213B1 KR 1020177008645 A KR1020177008645 A KR 1020177008645A KR 20177008645 A KR20177008645 A KR 20177008645A KR 102355213 B1 KR102355213 B1 KR 102355213B1
Authority
KR
South Korea
Prior art keywords
kernel
access
memory
operating system
pages
Prior art date
Application number
KR1020177008645A
Other languages
English (en)
Other versions
KR20170067740A (ko
Inventor
데이비드 비 프로버트
제프 엥겔
아르살란 아마드
아룬 유 키샨
조나단 이 랭지
Original Assignee
마이크로소프트 테크놀로지 라이센싱, 엘엘씨
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 마이크로소프트 테크놀로지 라이센싱, 엘엘씨 filed Critical 마이크로소프트 테크놀로지 라이센싱, 엘엘씨
Publication of KR20170067740A publication Critical patent/KR20170067740A/ko
Application granted granted Critical
Publication of KR102355213B1 publication Critical patent/KR102355213B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1458Protection against unauthorised use of memory or access to memory by checking the subject access rights
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/74Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information operating in dual or compartmented mode, i.e. at least one secure mode
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/02Addressing or allocation; Relocation
    • G06F12/08Addressing or allocation; Relocation in hierarchically structured memory systems, e.g. virtual memory systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1408Protection against unauthorised use of memory or access to memory by using cryptography
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1416Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1458Protection against unauthorised use of memory or access to memory by checking the subject access rights
    • G06F12/1491Protection against unauthorised use of memory or access to memory by checking the subject access rights in a hierarchical protection system, e.g. privilege levels, memory rings
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mathematical Physics (AREA)
  • Storage Device Security (AREA)

Abstract

다양한 실시예는 운영 체제 공격으로부터 애플리케이션 기밀사항을 보호하는 기법 및 장치를 제공한다. 일부 예에서, 애플리케이션은 리소스 관리 및 시스템 서비스에 대해서는 별도의 실행 환경에서 실행되는 운영 체제에 의존하면서, 보안 실행 환경의 격리된 사용자 모드로 실행된다. 프록시 커널은 보안 실행 환경과 연관된 데이터에 대한 운영 체제에 의한 액세스를 제어할 수 있다. 더 나아가, 프록시 커널은 리소스 관리 및 시스템 서비스의 제공 동안 격리된 사용자 모드 프로세스와 운영 체제 간의 투명한 인터페이스로서 동작할 수 있다.

Description

운영 체제 공격으로부터 애플리케이션 기밀사항을 보호하는 기법{PROTECTING APPLICATION SECRETS FROM OPERATING SYSTEM ATTACKS}
많은 애플리케이션은 비인가 액세스로부터 보호해야 하는 기밀사항(secret)을 포함한다. 또한, 많은 컴퓨팅 아키텍처는 운영 체제(OS) 커널과 같은 시스템 소프트웨어를 신뢰할 수 있다는 가정하에 그 시스템 소프트웨어에 이러한 기밀사항을 노출해야 한다. 예를 들어, OS 커널 내에서 실행되는 OS 컴포넌트는 시스템의 메모리에 대한 전체 액세스 권한을 가지므로 시스템 메모리에 저장된 애플리케이션 기밀사항에 액세스할 수 있다. 따라서, 애플리케이션 기밀사항의 보안은 손상되었거나 악의적인 시스템 소프트웨어에 의한 공격에 취약하다.
애플리케이션의 실행을 격리하는 것은 애플리케이션 데이터를 비인가 액세스로부터 보호하기 위해 이용되는 하나의 보안 기법이다. 격리는 종종 엄격하게 제어되는 리소스 세트를 애플리케이션에 제공하는 것을 포함한다. 그러나, 격리는 주로 동일한 시스템에서 실행되는 신뢰할수 없는 애플리케이션으로부터 애플리케이션을 보호하는 데 사용된다. 또한, 격리 기술은 일반적으로 두 개의 운영 체제 또는 두 개의 가상 머신을 사용해야 하는데, 이는 비효율적이고 리소스 집약적이며 및/또는 애플리케이션 코드의 수정을 요구한다.
본 발명은 리소스 관리에 대해서는 운영 체제에 의존하면서, 그 운영 체제에 의한 비인가 액세스로부터 애플리케이션 기밀사항을 보호하기 위한 시스템 및 방법을 설명한다. 이러한 기밀사항은 암호화 키, 패스워드, 보호된 콘텐츠 및/또는 애플리케이션 바이너리 코드를 포함할 수 있다. 또한, OS 리소스 관리는 리소스 할당, 메모리 관리, 메모리 스케줄링, CPU 스케줄링, 스레드 생성 및/또는 스레드 동기화를 포함할 수 있다.
예를 들어, 컴퓨팅 장치는 제1 사용자 모드 및 제1 커널 모드를 포함하는 운영 체제 실행 환경을 관리하는 단계 및 제2 사용자 모드 및 제2 커널 모드를 포함하는 보안 실행 환경을 관리하는 단계를 포함하는 방법을 구현할 수 있다. 또한, 컴퓨팅 장치는 보안 실행 환경의 제2 사용자 모드 내에서 격리된 프로세스를 실행할 수 있고, 제1 커널 모드의 하나 이상의 시스템 서비스를 제2 커널 모드를 통해 격리된 프로세스에 제공할 수 있다. 또한, 컴퓨팅 장치는 제1 사용자 모드 및 제1 커널 모드에 의한 메모리의 하나 이상의 페이지에 대한 액세스를 제한 또는 비활성화할 수 있다. 일부 경우, 메모리의 하나 이상의 페이지는 격리된 프로세스와 연관된 기밀사항을 저장할 수 있다.
본 개요는 이하의 상세한 설명에서 더 설명되는 선택된 개념들을 단순화된 형태로 소개하기 위해 제공된다. 본 요약은 청구 대상의 핵심 또는 필수 특징을 식별하기 위한 것이 아니며 청구 대상의 범위를 결정하는 데 도움을 주기 위한 것도 아니다. 예를 들어, 용어 "기술"은 앞서 설명한 또한 문서 전반에 걸쳐 설명되는 문맥에서 알 수 있는 바와 같이 시스템(들), 방법(들), 컴퓨터 판독가능 명령어, 모듈(들), 알고리즘, 하드웨어 로직 및/또는 동작을 지칭할 수 있다.
상세한 설명은 첨부된 도면을 참조하여 설명된다. 도면에서, 참조 번호의 가장 왼쪽 숫자는 그 참조 번호가 처음 나타나는 도면을 나타낸다. 상이한 도면에서 동일한 참조 번호를 사용하여 유사하거나 동일한 항목 또는 특징을 나타낸다.
도 1은 다양한 예에 따라, 운영 체제 공격으로부터 애플리케이션 기밀사항을 보호하기 위한 환경을 나타낸 블록도이다.
도 2는 다양한 예에 따라, 운영 체제 공격으로부터 애플리케이션 기밀사항을 보호하기 위한 환경을 나타낸 블록도이다.
도 3은 다양한 예에 따라, 격리된 사용자 모드 프로세스에 커널 서비스를 투명하게 제공하기 위한 환경을 나타낸 블록도이다.
도 4는 몇몇 예에 따라, 운영 체제 공격으로부터 애플리케이션 기밀사항을 보호하기 위한 프로세스를 나타내는 흐름도이다.
도 5는 몇몇 예에 따라, 운영 체제 공격으로부터 애플리케이션 기밀사항을 보호하기 위한 프로세스를 나타내는 흐름도이다.
도 6은 일부 예에 따라, 운영 체제 공격으로부터 애플리케이션 기밀사항을 보호하기 위한 프로세스를 나타내는 흐름도이다.
도 7은 일부 예에 따른 컴퓨팅 장치의 블록도이다.
이하의 상세한 설명은 일반적으로 프록시 커널 및 격리된 사용자 모드를 사용하여 운영 체제로부터 애플리케이션 기밀사항을 보호하는 것에 관한 것이다. 다양한 예에서, 기술 및 아키텍처는 정상적인 실행 환경과는 별도로 보안 실행 환경을 생성한다. 보안 실행 환경은 커널 모드 및 사용자 모드를 포함할 수 있다. 또한, 정상적인 실행 환경의 OS 커널은 보안 실행 환경에서 실행되는 프로세스가 리소스 관리에 대해 OS 커널에 의존한다 하더라도 그 프로세스에 속하는 애플리케이션 데이터에 액세스할 수 없다.
정상적인 실행 환경 내에서 실행되는 프로세스와 관련하여, 프로세서는 2개의 다른 모드, 즉 사용자 모드 및 커널 모드를 가질 수 있다. 또한, 프로세서의 모드는 수행될 수 있는 동작의 유형 및 범위에 대한 제한을 결정할 수 있다. 따라서, 프로세서는 현재 실행중인 프로세스에 따라 두 모드 간을 전환할 수 있다. 일반적으로, 사용자 애플리케이션 프로세스는 사용자 모드에서 실행되는 반면 OS 커널에 속한 프로세스는 커널 모드에서 실행된다.
또한, 사용자 모드 애플리케이션의 실행이 시작될 때, OS 커널은 그 애플리케이션에 대한 프로세스를 생성한다. 프로세스는 다른 사용자 모드 애플리케이션에 의해 변경될 수 없는 개인 가상 주소 공간을 애플리케이션에 제공할 수 있다. 또한, 이 프로세스는 그의 가상 주소 공간에서 실행되며, 프로세스는 OS 커널용으로 예약된 가상 주소에 액세스할 수 없다. 사용자 모드 애플리케이션의 가상 주소 공간을 제한하면 애플리케이션이 변경되는 것을 막을 수 있고, 또한 OS 데이터가 손상되는 것도 막을 수 있다. 그러나, 프로세서가 커널 모드에 있는 경우, 신뢰할 수 있는 애플리케이션이 실행되고 있는 것으로 간주되고, 따라서, 커널 모드 프로세스는 임의의 명령을 실행할 수 있고 임의의 가상 주소를 참조할 수 있다. 따라서, 애플리케이션 기밀사항은 손상되었거나 악의적인 OS 커널 또는 임의의 커널 모드 프로세스에 의해 액세스될 수 있다. 애플리케이션 기밀사항을 보호하기 위해, 본 명세서에서 설명된 예는 커널 서비스에 대해 커널 모드 프로세스에 의존하고 있더라도 이 커널 모드 프로세스에 의한 애플리케이션 기밀사항에 대한 액세스를 비활성화할 수 있다.
보안 실행 환경은 제2 커널 모드 및 제2 사용자 모드를 포함할 수 있다. 프록시 커널은 제2 커널 모드에서 실행될 수 있으며, 하나 이상의 애플리케이션은 격리된 사용자 모드 애플리케이션으로서 보안 실행 환경의 사용자 모드에서 실행될 수 있다. 격리된 사용자 모드 애플리케이션의 애플리케이션 데이터를 감추기 위해, 프록시 커널은 보안 실행 환경과 연관된 가상 주소에 대한 액세스를 관리할 수 있다. 예를 들어, 프록시 커널은 격리된 사용자 모드 애플리케이션과 연관된 가상 주소 공간에 대한 OS 커널에 의한 액세스를 비활성화할 수 있다. 또한, 프록시 커널은 커널용으로 예약된 가상 주소에 액세스할 수 있다.
일부 예에서, 프록시 커널은 2개 이상의 가상 신뢰 레벨을 시행할 수 있다. 가상 신뢰 레벨이 2개인 경우, 상위 가상 신뢰 레벨은 정상적인 실행 환경의 가상 주소 공간과 보안 실행 환경의 가상 액세스 공간에 액세스할 수 있다. 그러나, 하위 가상 신뢰 레벨은 보안 실행 환경의 가상 주소 공간에 액세스할 수 없다. 또한, 보안 실행 환경과 연관된 가상 주소는 프록시 커널 및 격리된 사용자 모드 애플리케이션에 속하는 데이터를 저장할 수 있다. 또한, 정상적인 실행 환경 내에서 실행되는 프로세스는 하위 가상 신뢰 레벨에 할당된다. 이와 같이, 격리된 사용자 모드 애플리케이션에 속하는 데이터는, OS 커널이 하위 가상 신뢰 레벨에 속하여 상위 가상 신뢰 레벨에 속하는 데이터에 액세스할 수 없는 경우, OS 커널로부터 보호될 수 있다.
격리된 사용자 모드 프로세스와 연관된 개별적인 메모리 페이지는 상이한 액세스가능 규칙을 가질 수 있다. 예를 들어, 제1 메모리 페이지는 하위 가상 신뢰 레벨 내의 프로세스에 대해 판독 전용 보호 권한을 실행할 수 있는 반면, 제2 메모리 페이지는 하위 가상 신뢰 레벨 내의 프로세스에 대한 판독 전용 보호 권한을 가질 수 있다. 또한, 격리된 사용자 모드 프로세스와 연관된 개별 메모리 페이지는 하위 가상 신뢰 레벨 프로세스와 상위 가상 신뢰 레벨 프로세스에 대해 서로 다른 액세스가능 규칙을 가질 수 있다. 예를 들어, 프로세스의 스택 또는 힙(stack or heap)에 대응하는 메모리 페이지와 같은 일부 격리된 사용자 모드 페이지는 하위 가상 신뢰 레벨 내에서 실행되는 프로세스에 의해 액세스가능하지 않다. 그러나, 일부 경우, 하위 가상 신뢰 레벨과 상위 가상 신뢰 레벨 내에서 실행되는 프로세스들 간에 메모리 페이지가 공유될 수 있다. 이와 같이, 하위 가상 신뢰 레벨 내에서 실행되는 프로세스에서 공유 메모리 페이지에 대한 액세스 보호는 판독 전용 실행 가능(read-only executable) 또는 판독 전용 실행불가능(read-only not executable)일 수 있다.
예를 들어, 윈도우 환경에서, ntdll 및/또는 kernel32와 같은 공유 라이브러리는 하위 가상 신뢰 레벨 내의 프로세스에 의한 판독 전용 실행가능일 수 있다. 공유 메모리 페이지의 액세스 보호를 판독 전용으로 설정하면, 하위 가상 신뢰 레벨에서 실행되는 프로세스가 상위 가상 신뢰 레벨 내의 프로세스에 의해 사용될 수 있는 메모리 페이지를 악의적으로 수정하는 것을 방지할 수 있다. 액세스 보호는 실행(execute), 실행 판독(execute read), 실행 판독-쓰기(execute read-write), 실행 쓰기-복사(execute write-copy), 실행 판독-쓰기(execute read-write), 액세스 없음(no access), 판독-전용(read only), 판독-쓰기(read-write), 쓰기-복사(write-copy) 등을 포함할 수 있다.
본 명세서에 사용된 바와 같이, 실행은 페이지에 대한 실행 액세스(execute access)를 가능하게 하고, 실행 판독은 페이지에 대한 실행 액세스 또는 판독 전용 액세스를 가능하게 하고, 실행 판독-쓰기는 페이지에 대한 실행 액세스, 판독 전용 액세스 또는 판독/쓰기 액세스를 가능하게 하고, 실행 쓰기-복사는 파일 맵핑 객체의 맵핑된 뷰에 대한 실행 액세스, 판독 전용 액세스 또는 쓰기시 복사(copy-on-write) 액세스를 가능하게 하고, 액세스 없음은 페이지에 대한 모든 액세스를 비활성화하고, 판독 전용은 페이지에 대한 판독 전용 액세스만 가능하게 하고, 판독-쓰기는 페이지에 대한 판독 전용 액세스 또는 판독/쓰기 액세스를 가능하게 하며, 쓰기-복사는 파일 맵핑 객체의 맵핑된 뷰에 대한 판독 전용 액세스 또는 쓰기시 복사 액세스를 가능하게 한다.
일부 예들에서, 커널 서비스는 상위 가상 신뢰 모드에서 실행될 수 있다. 커널 서비스를 실행하기 전에, 프록시 커널은 커널 서비스의 코드 무결성 검사를 수행할 수 있다. 또한, 프록시 커널은 커널 서비스에 대응하는 코드의 액세스 보호를 실행 동안 판독 전용으로 설정할 수 있다.
또한, 프록시 커널은 OS 서비스의 제공을 위해 격리된 사용자 모드 애플리케이션과 OS 커널 사이에서 투명한 인터페이스로서 작용할 수 있다. 일부 예에서, 정상적인 실행 환경의 커널 모드에서 실행되는 OS 서비스는, 애플리케이션 구성 관리와 같은 API(애플리케이션 프로그래밍 인터페이스), GUI(그래픽 사용자 인터페이스) 서비스 및 사용자 인터페이스 컴포넌트 이외에, 스레드, 가상 메모리 및 파일 액세스와 같은 기본적인 계산 프리미티를 제공할 수 있다. 예를 들어, OS 커널은 격리된 사용자 모드 애플리케이션 프로세스에 할당된 가상 메모리가 물리적 메모리에서 제거되고 2차 저장소로 페이징되는 시기를 결정할 수 있다. 또한, OS 커널은 보안 실행 환경 내에서 실행되는 프로세스와 연관된 페이징된 데이터를 저장하고 검색하는데 필요한 모든 I/O를 수행할 수 있다.
일부 예에서, 격리된 사용자 모드 애플리케이션은 시스템 호출을 통해 OS 커널 서비스를 요청할 수 있다. 결과적으로, 프로세서는 보안 실행 환경의 커널 모드내로 트랩(trap)될 수 있다. 일단 프록시 커널로의 전환이 발생하면, 프록시 커널은 요청을 만족시키거나 시스템 호출을 OS 커널에 디스패치할 수 있다.
일부 예에서, 프록시 커널은 커널 서비스를 제공할 수 있다. 예를 들어, 프록시 커널은 OS 커널 서비스의 서브세트를 제공할 수 있다. 따라서, 프록시 커널이 제공하는 서비스에 시스템 호출이 대응하는 경우, 프록시 커널은 프록시 커널에 포함된 로직을 사용하여 요청을 만족시킬 수 있다.
예를 들어, 프록시 커널은 격리된 사용자 모드 애플리케이션에 암호화 서비스를 제공할 수 있다. 프록시 커널은 예를 들어 격리된 사용자 모드 애플리케이션으로부터의 암호화 서비스 요청을 만족시킬 수 있다. 보안 실행 환경 내에서 암호화 서비스를 제공하면, 격리된 사용자 모드 애플리케이션의 기밀사항을 포함할 수 있는 암호화 서비스에 대해 신뢰할 수없는 커널에 의존하게 되는 위험으로부터 격리된 사용자 모드 애플리케이션을 보호한다.
일부 예에서, 프록시 커널은 스케줄링 기능을 포함할 수 없다. 예를 들어, OS 커널은 보안 실행 환경에서 실행되는 스레드가 CPU 코어에 스케쥴링된 시기를 결정할 수 있다. 또 다른 예로, OS 커널은 보안 실행 환경에서 실행되는 프로세스의 컨텍스트로 전환할 수 있다. 이와 같이, 보안 실행 환경 내에서 실행되는 스레드 및 프로세스는 정상적인 실행 환경으로만 콜백할 수 있다.
프록시 커널이 시스템 호출과 연관된 OS 커널 서비스를 제공하지 않는 경우, 프록시 커널은 시스템 호출을 OS 커널에 디스패치할 수 있다. 프록시 커널은 시스템 버퍼를 통한 마샬링(marshaling)을 통해, 시스템 호출과 관련된 애플리케이션 데이터를 OS 커널에 안전하게 제공할 수 있다. 예를 들어, 프록시 커널은 복사-복원(copy-restore) 기술을 사용하여 참조 호출(call-by reference)을 시뮬레이트할 수 있다.
마샬링은 객체의 메모리 표현을 저장 또는 전송에 적합한 데이터 포맷으로 변환하는 프로세스 및/또는 그 적절한 데이터 포맷으로 객체를 전송 또는 저장하는 프로세스를 포함할 수 있다. 마샬링은 프로세스들 및/또는 프로그램들 간에 객체 및/또는 데이터를 통신하는 프로세스를 더 포함할 수 있다. 마샬링된 객체가 저장소로 보내지거나 전송되면, 마샬링된 객체는 본래의 객체로 언마샬링될 수 있다.
일부 다른 예에서, 프록시 커널은 애플리케이션 데이터를 가상 주소로 복사하고, 커널에 의한 가상 주소에 대한 액세스를 허용할 수 있다. 또한, 프록시 커널은 커널이 애플리케이션에 할당한 메모리 위치에 애플리케이션 데이터를 배치할 수 있다. 따라서, 프록시 커널은 커널에 대해 투명하게 작동할 수 있다.
프록시 커널은 데이터 무결성을 보장하기 위해 보안 실행 환경과 연관된 메모리 페이지의 해시를 유지할 수 있다. 일부 예에서, 프록시 커널은 메모리 페이지의 해시를 사용하여 메모리 페이지의 콘텐츠를 메모리 내로 읽어들이기 전에 그 메모리 페이지를 검증할 수 있다. 부가적으로 또한 대안적으로, 보안 실행 환경과 연관된 메모리 페이지는 하드디스크와 같은 2차 저장소에 기록되기 전에 암호화될 수 있고, 이후에 보안 실행 환경에서 이용될 때 복호화될 수 있다. 또한, 페이지가 프록시 커널에 의해 릴리즈되면(released), 이들 페이지는 용도 변경 전에 0으로 설정될 수 있다.
일부 예에서, 하이퍼바이저가 정상적인 실행 환경 및 보안 실행 환경을 관리할 수 있다. 또한, 하이퍼바이저는 정상적인 실행 환경 및 보안 실행 환경을 포함하는 가상 파티션을 제공할 수 있다. 또한, 정상적인 실행 환경 및 보안 실행 환경은 가상 파티션의 게스트 물리적 주소 공간을 활용할 수 있다. 일부 예에서, 하이퍼바이저는 Microsoft Hyper-V™, Citrix XENServer™, VMWare ESX™ 등을 포함할 수 있다. 또한, 하이퍼바이저에 의해 제공되는 가상 파티션 내에 하나 이상의 게스트 OS가 실행될 수 있다. 게스트 OS는 Microsoft Windows™ OS, Linux/BSD/UNIX OS, Apple® OS X™ 등을 포함할 수 있다.
다양한 예가 도 1 내지 도 7을 참조하여 더 설명된다.
예시적인 환경
도 1은 다양한 예에 따라, 운영 체제에 의한 비인가 액세스로부터 애플리케이션 기밀사항을 보호하기 위한 컴퓨팅 장치(100)를 포함하는 환경을 도시한다. 일부 예에서, 컴퓨팅 장치(100)의 다양한 장치 및/또는 컴포넌트는 하나 이상의 공유 시스템 버퍼(106)를 통해 서로 통신할 수 있는 OS 실행 환경(102) 및 보안 실행 환경(104)을 포함한다.
OS 실행 환경(102)은 코드 실행을 위한 프레임워크를 제공할 수 있고 애플리케이션에 대한 공통 서비스를 제공할 수 있다. 일부 실시예에서, OS 실행 환경(102)은 사용자 모드(108) 및 커널 모드(110)를 포함할 수 있다. 비특권 프로세스일 수 있는 프로세스 A(112)와 같은 사용자 애플리케이션은 사용자 모드(106)에서 실행될 수 있는 한편, 커널 서비스(114)와 같은 OS 컴포넌트는 커널 모드(110)에서 실행될 수 있다.
프로세스 A(112)는 시스템 호출을 통해 하나 이상의 커널 서비스(114)를 요청할 수 있다. 일부 예에서, 시스템 호출은 프로세스 생성 또는 입출력 동작과 같은 특권 명령어의 실행을 트리거할 수 있다. 또한, 커널 서비스(114)는 프로세스 A(112)의 실행에 관련된 프로세스 A 커널 데이터(116)를 관리할 수 있다. 일부예에서, 프로세스 A 커널 데이터(116)와 같은 프로세스 커널 데이터는 메모리 관리에 관련된 데이터(예를 들어, 가상 주소 공간, 프로세스 핸들 테이블 등)을 포함할 수 있다.
보안 실행 환경(104)은 신뢰할 수 없는 커널 서비스일 수 있는 커널 서비스(114)로부터 사용자 애플리케이션 기밀사항을 보호하는 실행 환경을 제공할 수 있다. 보안 실행 환경(104)은 사용자 모드(118) 및 커널 모드(120)를 포함할 수 있다. 일부 예에서, 프록시 커널(122)은 보안 실행 환경(104)의 커널 모드(120)에서 실행될 수 있다. 또한, 프로세스 B(124)는 보안 실행 환경(104)의 사용자 모드(118)에서 격리된 사용자 모드 애플리케이션으로서 실행될 수 있다.
보안 실행 환경(104) 내에서 실행되는 동안, 프로세스 B(124)는 여전히 OS 실행 환경(102)의 커널 서비스(114)에 서비스를 요청할 수 있다. 예를 들어, 프로세스 B(124)가 실행되는 동안, 커널 서비스(114)는 개인 가상 주소 공간(즉, 사용자 공간)을 프로세스 B(124)에 제공할 수 있다. 그러나, 프록시 커널(122)은 프로세스 B(124)의 사용자 공간의 메모리 액세스 보호를 결정할 수 있다. 예를 들어, 프록시 커널(122)은 커널 서비스(114)에 의한 프로세스 B(124)의 사용자 공간에 대한 액세스를 비활성화할 수 있다.
일부 예에서, 프록시 커널(122)은 OS 커널 서비스를 프로세스 B(124)에 제공할 수 있다. 예를 들어, 프록시 커널(122)은 자신의 커널 로직에 의존하여 프로세스 B(124)에 의해 발행된 커널 서비스 요청을 만족시킬 수 있다. 커널 로직은 커널 서비스(114)의 시스템 호출 API의 서브세트를 포함할 수 있다. 일부 예에서, 프록시 커널(124)은 보안 실행 환경(104)에서 실행되는 프로세스에 암호화 서비스를 제공할 수 있다. 보안 실행 환경(104) 내에서 암호화 서비스를 실행하게 되면, 잠재적으로 신뢰할 수 없는 커널 서비스(114)에 기밀의 암호화 정보가 노출되는 것을 막을 수 있다.
프록시 커널(122)은 OS 실행 환경(102)의 커널 서비스(114)에 커널 서비스 요청을 보낼 수 있다. 예를 들어, 프로세스 B(124)는 시스템 호출을 통해 커널 서비스를 요청할 수 있고, 프록시 커널(122)은 프로세스 B(124)의 시스템 호출과 연관된 파라미터를 커널 서비스(114)에 대해 마샬링할 수 있다. 일부 예에서, 마샬링된 파라미터의 적어도 일부는 정상적인 실행 환경(102) 내에 커널 데이터(128)로서 저장될 수 있다.
일부 경우에서, 프록시 커널(122)은 공유 시스템 버퍼(106)를 사용하여 파라미터를 커널 서비스(114)에 대해 마샬링할 수 있다. 파라미터를 마샬링하기 전에, 프록시 커널은 커널 서비스(114)에 제공할 프로세스 B(124)와 연관된 데이터를 결정할 수 있다. 예를 들어, 프록시 커널(122)은 보안 실행 환경(104)의 프로세스 B 커널 데이터(126)와 같은 커널 데이터에 맵핑된 하나 이상의 메모리 페이지는 커널 서비스(114)에 액세스불가능하게 하고, OS 실행 환경(102)의 프로세스 B 커널 데이터(128)와 같은 커널 데이터에 맵핑된 하나 이상의 메모리 페이지는 액세스가능하게 할 수 있다.
보안 실행 환경의 사용자 모드(118) 내에서 실행되는 프로세스에 대한 메모리 액세스 보호를 제어하는 것 이외에, 프록시 커널(122)은 보안 실행 환경(104)의 커널 모드(120)와 연관된 가상 주소 공간의 메모리 액세스 보호를 결정할 수 있다. 예를 들어, 커널 모드(120)는 프로세스 B(124)의 실행과 관련된 커널 데이터(126)를 포함할 수 있다. 또한, 프록시 커널(122)은 OS 실행 환경(102) 내에서 실행되는 프로세스에 의한 커널 데이터(1206)에 대한 액세스를 제어할 수 있다. 예를 들어, 프록시 커널은 커널 서비스(114)에 의한 커널 데이터(126)에 대한 액세스를 비활성화할 수 있다. 또한, 프록시 커널(122)은 자신의 프로세스와 연관된 가상 메모리가 먼저 암호화되지 않고 페이징되는 것을 방지할 수 있다.
도 2는 다양한 예에 따라, 운영 체제에 의한 비인가 액세스로부터 애플리케이션 기밀사항을 보호하기 위한 컴퓨팅 장치(200)를 포함하는 환경을 도시한다. 도 2에 도시된 바와 같이, 컴퓨팅 장치(200)는 하이퍼바이저(202), 및 가상 파티션(204-1, 204-2 등)과 같은 하나 이상의 가상 파티션을 포함할 수 있다.
하이퍼바이저(202)는 중간개입 OS 없이 컴퓨팅 장치(200)상에서 실행되는 "베어 메탈(bare metal)" 하이퍼바이저를 포함할 수 있으며, 사실상 자신의 최소 OS를 포함한다. 일부 예에서, 하이퍼바이저(202)는 가상 파티션(204)을 관리할 수 있다. 또한, 개별 가상 파티션(204)은 하이퍼바이저(202)에 의해 생성된 가상 머신(VM)을 포함할 수 있다. 또한, 개별 가상 파티션(204)은 게스트 OS 커널(206-1, 206-2 등)과 같은 게스트 OS 커널을 포함할 수 있다. 일부 예에서, 게스트 OS 커널(206)은 Microsoft WindowsTM OS, Linux/BSD/UNIX OS, Apple® OS 등의 커널을 포함할 수 있다.
도 2에 도시된 예에서, 가상 파티션(204-1)은 OS 실행 환경(102)과 같은 하위 가상 신뢰 레벨(208), 보안 실행 환경(104)과 같은 상위 가상 신뢰 레벨(210) 및 시스템 버퍼(212)를 포함할 수 있다. 일부 예에서, 시스템 버퍼(212)는 하위 가상 신뢰 레벨(208)과 상위 가상 신뢰 레벨(210) 사이에서 통신하는데 사용될 수 있다. 또한, 메시지 전달, 동기화, 공유 메모리 페이지 및 원격 프로시저 호출(RPC)과 같은 프로세스 간 통신의 하나 이상의 방법이 하위 가상 신뢰 레벨(208)과 상위 가상 신뢰 레벨(210) 간의 통신에 사용될 수 있다.
하위 가상 신뢰 레벨(208)은 커널 서비스(114)와 같은 게스트 OS 커널(206-1), 가상 프로세스 A(214) 및 이 프로세스 A(214)와 연관된 커널 데이터(216)를 포함할 수 있다. 또한, 상위 가상 신뢰 레벨(210)은 프록시 커널(122)과 같은 프록시 커널(218), 가상 프로세스 B(220), 이 가상 프로세스 B(220)와 연관된 커널 데이터(222)를 포함할 수 있다.
하이퍼바이저(202)는 개별 가상 파티션(204)에 가상 운영 플랫폼(예를 들어, 가상 머신(VM))을 제공할 수 있다. 가상 운영 플랫폼은 프로세서의 가상 뷰 및 개별 가상 파티션(204)에 전용인 가상 메모리 주소 영역을 포함할 수 있다. 예를 들어, 하이퍼바이저(202)는 게스트 OS 커널(206-1)에 게스트 물리적 주소를 제공할 수 있다. 또한, 가상 파티션(204-1) 내에서 실행하는 가상 프로세스(214 및 220)는 게스트 OS 커널(206-1)에 의해 제어되는 페이지 테이블을 통해 게스트 물리적 주소에 액세스할 수 있다. 페이지 테이블은 일반적으로 페이지의 콘텐츠가 액세스될 수 있는 범위를 지정하는 것을 포함하여, 메모리 페이지의 관련된 속성(예를 들어, 메모리 액세스 보호)을 기록한다. 하이퍼바이저(202)에 의해 허용되는 경우를 제외하고, 가상 컨테이너(204-1) 외부의 리소스 및 활동은 가상 컨테이너(204-1) 내의 가상 프로세스(214 및 220)에게 보이지 않는다.
또한, 하이퍼바이저(202)는 컴퓨팅 장치(201) 내의 메모리 및/또는 저장소의 각 부분을 사용하도록 허용된 가상 컨테이너(206)를 추적하는 페이지 및 주소 변환 테이블(224)(예를 들어, 제2 레벨 주소 변환, 확장 페이지 테이블 등)을 포함할 수 있다. 예를 들어, 페이지 및 주소 변환 테이블(224)은 가상 컨테이너(204)의 가상 메모리 주소 영역 내의 게스트 물리적 주소를 컴퓨팅 장치(201)의 시스템 물리적 주소에 맵핑할 수 있다.
상위 가상 신뢰 레벨(210)의 프록시 커널(218)은 상위 가상 신뢰 레벨(210) 내에서 실행되는 프로세스에 속하는 데이터를 보호할 수 있다. 예를 들어, 상위 가상 신뢰 레벨(210)은 게스트 OS 커널(206-1)이 가상 프로세스 B와 연관된 커널 데이터(222)에 액세스하는 것을 방지할 수 있다. 일부 예에서, 하이퍼바이저의 페이지 및 주소 변환 테이블(224)은 프록시 커널(218)이 상위 가상 신뢰 레벨(210)에 의해 사용되는 가상 어드레스에 대한 하위 가상 신뢰 레벨(208)에 의한 액세스를 제어할 수 있도록 확장될 수 있다. 부가적으로 또는 대안적으로, 프록시 커널(218)은 프록시 커널(218)이 상위 가상 신뢰 레벨(210)에 의해 사용되는 시스템 물리적 주소에 대한 하위 가상 신뢰 레벨(208)에 의한 액세스를 제어할 수 있도록 OS 커널(206-1)의 하나 이상의 페이지 테이블을 변경할 수 있다.
테이블 내의 각각의 맵핑은 페이지 테이블 엔트리로서 지칭될 수 있다. 페이지 테이블 엔트리는 하위 가상 신뢰 레벨(208)에 대한 속성 세트, 상위 가상 신뢰 레벨(210)에 대한 속성 세트 및 다른 속성 세트와 같은 다수의 속성 필드 세트를 포함할 수 있다. 예를 들어, 커널 데이터(222)에 맵핑된 페이지 엔트리는 하위 가상 신뢰 레벨(208)에 대해 '액세스 없음'으로 구성된 속성 세트를 가질 수 있다.
하이퍼바이저(202)는 입출력 메모리 관리 유닛(IOMMU)(226)을 포함할 수 있다. IOMMU(226)는 장치 가시적인(device-visible) 가상 주소를 시스템 물리적 주소에 맵핑할 수 있어서, 컴퓨팅 장치(201)의 하드웨어에 대한 허용 액세스를 가상 파티션(204)에 제공할 수 있다. 일부 예에서, IOMMU(226)는 직접 메모리 액세스 공격으로부터 보호할 수 있다.
도 3은 다양한 예들에 따라 격리된 사용자 모드 프로세스에 커널 서비스를 투명하게 제공하기 위한 아키텍처(300)를 도시한다. 일부 예에서, 환경(300)의 다양한 장치 및/또는 컴포넌트는 하이퍼바이저(202)와 같은 하이퍼바이저(302), 커널 서비스(114) 및/또는 게스트 OS 커널(206-1)과 같은 커널 서비스(304), 프록시 커널(120 및/또는 218)과 같은 프록시 커널(306), 및 시스템 버퍼(106 및/또는 212)와 같은 하나 이상의 시스템 버퍼(308)를 포함할 수 있다. 도 3에 도시된 바와 같이, 하이퍼바이저(302)는 커널 서비스(304) 및 프록시 커널(306)을 포함하는 가상 파티션(310)을 관리할 수 있다. 일부 예에서, 커널 서비스(304) 및 프록시 커널(306)은 시스템 버퍼(308)를 통해 통신할 수 있다.
커널 서비스(304)는 시스템 서비스 테이블(312), 메모리 관리자(314), 스케줄러(316) 및 교차모드 디스패치(318)를 포함할 수 있다. 시스템 서비스 테이블(312)은 커널 서비스(304)의 기능을 가리키는 기능 포인터를 포함할 수 있다. 더 나아가, 시스템 서비스 테이블(312)은 페이지 테이블 레벨에서 커널 서비스(304)에 의해 보호될 수 있고, 따라서, 커널 모드 서비스(304)만이 시스템 서비스 테이블(310)로부터 읽고 쓸 수 있다.
메모리 관리자(314)는 하이퍼바이저(302)에 의해 커널 서비스(304)에 제공되는 게스트 물리적 주소를 관리할 수 있다. 일부 경우, 메모리 관리자(314)는 가상 파티션(310) 내에서 가상 어드레싱 기법을 구현하는 것을 포함할 수 있다. 더 나아가, 메모리 관리자(314)는 가상 파티션(310) 내에서 실행되는 프로세스에 사용자 공간을 할당할 수 있다. 또한, 메모리 관리자(314)는 메모리를 예약 및 커밋하고, 가드 페이지를 생성하고, 힙(heap)을 관리하고, 파일 맵핑을 적용할 수 있다. 예를 들어, 메모리 관리자(314)는 가상 파티션(310) 내에서 실행되는 프로세스에 할당된 가상 메모리가 물리적 메모리로부터 제거되고 2차 저장소로 페이징될 때를 결정할 수 있다.
스케줄러(316)는 가상 파티션(310) 내에서 실행되는 스레드 및 프로세스에 가상 리소스에 대한 액세스를 제공할 때를 결정할 수 있다. 예를 들어, 스케줄러(316)는 가상 파티션(310)에서 실행되는 스레드가 가상 CPU 코어에 스케줄링된 시기를 결정할 수 있다. 다른 예로서, 스케줄러(316)는 가상 파티션(310) 내에서 실행되는 프로세스들 사이에서 컨텍스트 전환을 수행할 수 있다.
교차모드 디스패치(318)는 커널 서비스(304)와 프록시 커널(306) 간의 통신을 관리할 수 있다. 또한, 교차모드 디스패치(318)는 프록시 커널(306)로부터 수신된 통신을 시스템 서비스 테이블(312), 메모리 관리자(314) 및 스케줄러(316) 중 적어도 하나로 라우팅할지를 결정할 수 있다. 또한, 교차모드 디스패치(318)는 시스템 버퍼(308)를 통해 통신을 송신 및 수신할 수 있다.
프록시 커널(306)은 트랩 코드(320), 페이지 테이블 관리자(322), 시스템 호출 핸들러(324), 인터럽트 핸들러(326), 예외 핸들러(328), 교차모드 디스패치(330), 커널 로직(332) 및 암호서비스 모듈(334)을 포함할 수 있다. 트랩 코드(320)는 가상 파티션(310) 내에서 다른 모드로부터 프록시 커널(306)로 전환할 수 있다. 인터럽트 또는 트랩의 유형에 따라, 트랩 코드(320)는 그 인터럽트 또는 트랩을 페이지 테이블 관리자(322), 시스템 호출 핸들러(324), 인터럽트 핸들러(326) 또는 예외 핸들러(328)에 전달할 수 있다. 인터럽트 핸들러(326)는 사용자 모드(118)(도 3에 도시되지 않음)와 같은 격리된 사용자 모드에서 실행되는 프로세스로부터 수신된 보안 인터럽트를 핸들링할 수 있다. 일부 예에서, 커널 서비스(304)는 프록시 커널에 대한 인터럽트를 마스크하거나 생성할 수 없다. 예외 핸들러(328)는 격리된 사용자 모드에서 실행되는 프로세스로부터 수신된 예외를 핸들링할 수 있다. 일부 예에서, 예외 핸들러(328)는 커널 서비스(304)에 의해 제공되는 예외 핸들러와 동일할 수 있다. 교차모드 디스패치(330)는 커널 서비스(304)와 프록시 커널(306) 간의 통신을 관리할 수 있다.
시스템 호출 핸들러(324)는 격리된 사용자 모드에서 실행되는 프로세스로부터 수신된 시스템 호출을 핸들링할 수 있다. 또한, 시스템 호출 핸들러(324)는 커널 로직(332)이 시스템 호출과 관련된 서비스 요청을 만족시킬 수 있는지를 결정할 수 있다. 또한, 시스템 호출 핸들러(324)는 커널 로직(332)에 서비스 요청을 제공할 수 있다. 커널 로직(332)은 요청을 더 만족시킬 수 있고 프로세서는 격리된 사용자 모드에서 실행되는 프로세스로 다시 전환할 수 있다.
또한, 시스템 호출 핸들러(324)는 서비스 요청이 커널 서비스(304)에 의해 만족되어야 하는지를 결정할 수 있다. 서비스 요청이 커널 서비스(304)에 의해 만족되어야 한다고 시스템 호출 핸들러가 판단하면, 시스템 호출 핸들러(324)는 시스템 호출과 연관된 파라미터를 마샬러/언마샬러(marshaler/unmarshaler)(336)에 제공할 수 있다. 또한, 마샬러/언마샬러(336)는 커널 서비스(304)가 사용할 수 있도록 시스템 호출 및 시스템 호출 파라미터를 포맷할 수 있다. 일부 예에서, 마샬러/언마샬러(336)는 또한 시스템 호출을 생성한 격리된 사용자 모드 프로세스와 연관된 데이터를 보안화할 수 있다. 또한, 커널 서비스(304)가 서비스 요청이 만족되는 동안 데이터를 반환하는 경우, 마샬러/언마샬러(336)는 그 반환된 데이터를 프록시 커널(306)이 사용할 수 있도록 포맷할 수 있다.
페이지 테이블 관리자(322)는 프록시 커널(306)과 연관된 격리된 사용자 모드에 대해 메모리 관리 장치로서 기능할 수 있다. 일부 예에서, 프록시 커널(306)은 커널 서비스(304)에 의해 유지되는 페이지 테이블의 섀도우 테이블(338)을 유지할 수 있다. 더 나아가, 페이지 테이블 관리자(322)는 섀도우 테이블이 커널 서비스(304)에 의해 유지되는 페이지 테이블과 동기화되도록 가상 파티션(310) 내의 시스템 호출을 모니터링할 수 있다. 예를 들어, 페이지 테이블에 영향을 주는 시스템 호출은 페이지 테이블 및 그의 섀도우 테이블이 업데이트되도록 커널 서비스(304)와 프록시 커널(306)에 의한 핸들링을 요구할 수 있다. 또한, 일부 예에서, 프록시 커널(306) 내에서 발생하는 페이지 폴트는, 커널 서비스(304)에 의해 유지되는 페이지 테이블이 프록시 커널(306) 내에서의 동작을 반영하도록, 커널 서비스(304) 내에서 모방된다.
또한, 페이지 테이블 관리자(322)는 게스트 물리적 주소 메모리 페이지의 메모리 액세스 속성을 제어할 수 있다. 예를 들어, 페이지 테이블 관리자(322)는 하나 이상의 게스트 물리적 주소 페이지 및 개개의 게스트 물리적 주소 페이지에 대한 커널 서비스(304) 및 프록시 커널(306)의 메모리 액세스 속성을 식별하는 테이블을 유지할 수 있다. 예를 들어, 테이블은, 커널 서비스(304)는 게스트 물리적 주소의 페이지에 대해 액세스 권한이 없는 반면, 프록시 커널(306)은 게스트 물리적 주소 페이지에 대해 실행 판독 전용 액세스 권한을 가짐을 나타낼 수 있다.
몇몇 예에서, 페이지 테이블 관리자(322)는 프록시 커널(306)과 연관된 격리 된 사용자 모드에서의 프로세스 실행 동안 발생하는 페이지 폴트를 핸들링할 수 있다. 예를 들어, 격리된 사용자 모드 프로세스와 연관된 메모리 페이지가 커밋되는 경우, 프록시 커널(306)은 그 메모리 페이지를 릴리즈할 수 있고 커널 서비스(304)가 메모리 페이지와 연관된 가상 주소에 액세스하는 것을 허용할 수 있다. 몇몇 경우, 릴리즈된 메모리는 다른 프로세스에 의해 액세스될 수 있기 전에 0으로 설정될 수 있다.
또한, 페이지 테이블 관리자(322)는 암호화 및 암호 검증을 관리함으로써 프록시 커널(306)과 연관된 메모리 페이지를 보호할 수 있다. 예를 들어, 페이지 테이블 관리자(322)는 페이지 오류 핸들링 동안 해시(hash)에 대해 메모리 페이지를 검증할 수 있다. 또한, 페이지 테이블 관리(322)는 수정된 메모리 페이지의 해시를 유지하고, 메모리 페이지 커밋 동안 메모리 페이지를 검증할 수 있다.
예를 들어, 메모리 페이지가 프록시 커널(306)에만 액세스가능한 경우, 프록시 커널(306)는 커널 서비스(304)가 메모리 페이지를 2차 저장소에 페이징하기 이전에 그 메모리 페이지를 암호화할 수 있다. 페이지 폴트에 응답하여, 페이지 테이블 관리자는 메모리 페이지에 대한 커널 서비스(304)에 의한 액세스를 비활성화하고, 그런 다음 메모리 페이지의 복호화를 지시할 수 있다. 메모리 페이지가 복호화된 후, 프록시 커널(306)은 이전에 계산된 암호화 해시를 사용하여 메모리 페이지의 무결성을 검증할 수 있다. 메모리 페이지가 커널 서비스(304)에 의해 액세스는 가능하지만 수정은 불가능한 경우(예를 들어, 판독 액세스 및/또는 실행 액세스), 페이지 테이블 관리자(322)는, 커널 서비스(304)에 액세스를 제공하기 전에 암호화 해시를 계산함으로써 커널 서비스(304)에 의한 액세스 동안 메모리 페이지의 무결성을 보장할 수 있고, 프록시 커널(306)이 이어서 메모리 페이지에 액세스하는 경우 암호화 해시를 사용하여 메모리 페이지를 검증할 수 있다.
일부 예에서, 암호화, 해싱 및 검증은 암호화서비스 모듈(334)에 의해 수행될 수 있다. 일부 예에서, 암호화서비스 모듈(334)은 메모리 페이지의 암호화, 해싱 및 검증을 안전하게 수행하기 위해 신뢰 플랫폼 모듈(TPM)(340)을 이용할 수 있다. 또한, 암호화서비스 모듈(334)은 복수의 암호화 키를 포함할 수 있다. 예를 들어, 암호화서비스 모듈(334)은 개별적인 격리된 사용자 모드 애플리케이션을 위한 루트 암호화 키를 포함할 수 있다. 일부 예에서, 루트 암호화 키는 격리된 사용자 모드 프로세스의 생성 동안 프록시 커널(306)에 제공될 수 있다. 또한, 암호화서비스 모듈(334)은 보안 통신 및 보안 저장을 위해 하나 이상의 암호화 키를 사용할 수 있다. 또한, 일부 예에서, 격리된 사용자 모드 프로세스는 암호화서비스 모듈(334)의 암호화 키에 액세스할 수 없다. 예를 들어, 프록시 커널(306)은 격리된 사용자 모드 애플리케이션보다 우위의 메모리 액세스 권한을 가질 수 있다.
도 4는 일부 예에 따른 격리된 사용자 모드 애플리케이션을 위한 보호된 주소 공간을 설정하는 흐름도(400)이다. 예를 들어, 흐름도(400)는 격리된 사용자 모드 프로세스의 생성 동안 이용될 수 있다.
402에서, 하나 이상의 기밀사항을 식별하는 데이터를 포함하는 격리된 사용자 모드 프로세스의 생성에 대한 요청이 커널로 전송된다. 예를 들어, 윈도우 환경에서, NtCreateUserProcess가 호출될 수 있다. 다른 예로서, 리눅스 환경에서, fork()가 호출될 수 있다. 또한, 요청은 루트 암호화 키, 저장 암호 키, 통신 암호 키, 페이지 해시 및/또는 프로세스 내에서 실행할 바이너리 코드를 식별하는 데이터를 포함할 수 있다. 예를 들어, 요청은 암호화된 페이지 해시 및 이 페이지 해시를 생성하는 데 사용되는 암호화 키를 식별하는 데이터를 포함할 수 있다.
404에서, 커널은 프로세스에 개인 사용자 공간을 할당할 수 있다. 예를 들어, 윈도우™ 환경 또는 애플® iOS 환경에서, 커널은 프로세스에 개인 가상 주소 공간을 할당할 수 있다.
406에서, 프록시 커널은 프로세스의 개인 사용자 공간에 대한 커널에 의한 액세스를 비활성화할 수 있다. 예를 들어, 프록시 커널은 사용자 공간에 맵핑된 페이지 엔트리의 속성 세트를 변경할 수 있다. 예를 들어, 프록시 커널은 속성 세트를 판독 전용으로 구성할 수 있다.
408에서, 프록시 커널은 요청과 연관된 하나 이상의 기밀사항을 복호화 및/또는 검증할 수 있다. 예를 들어, 프록시 커널은 요청에서 식별된 암호화된 키를 복호화하고, 그 키를 이용하여 요청에서 식별된 페이지 해시를 검증할 수 있다.
도 5는 일부 예에 따라 프록시를 통해 커널 서비스를 격리된 사용자 모드 프로세스에 제공하는 흐름도(500)이다. 예를 들어, 흐름도(500)는 격리된 사용자 모드 프로세스로부터 시스템 호출을 서비스하는데 사용될 수 있다.
502에서, 프록시 커널은 격리된 사용자 모드 프로세스로부터 커널 서비스에 대한 시스템 호출을 수신할 수 있다. 예를 들어, 프록시 커널은 격리된 사용자 모드 애플리케이션의 프로세스로부터 장치에 대한 요청을 수신할 수 있다. 일부 예에서, 시스템 호출은 프록시 커널의 보안 실행 환경 내로 트랩될 수 있다. 또한, 일부 예에서, 프록시 커널은 그의 로컬 커널 로직이 서비스 요청을 만족시킬 수 있는지 여부를 결정할 수 있다.
504에서, 프록시 커널은 시스템 버퍼를 통해 커널 서비스에 대해 시스템 호출의 하나 이상의 파라미터를 마샬링할 수 있다. 예를 들어, 윈도우 환경에서, 프록시 커널은 장치에 대한 요청을 포함하는 메시지 호출을 커널에 전송할 수 있다. 또한, 장치에 대한 요청과 연관된 하나 이상의 속성은 커널의 정상적인 실행 환경 내에 적합한 포맷으로 변환될 수 있다. 또한, 변환된 속성은 시스템 버퍼를 통해 커널로 제공될 수 있다.
몇몇 경우에, 프록시 커널은, 서비스 요청이 프록시 커널의 커널 로직에 의해 만족될 수 없는 것으로 판정된 이후, 시스템 호출 및 시스템 호출의 파라미터를 커널 서비스로 통신할 수 있다.
506에서, 프록시 커널은 시스템 버퍼를 통해 커널로부터 서비스 요청에 대한 하나 이상의 결과를 수신할 수 있다. 예를 들어, 윈도우 환경에서, 프록시 커널은 서비스 요청과 관련된 반환 값을 수신할 수 있다.
508에서, 프록시 커널은 서비스 요청의 하나 이상의 결과를 언마샬링할 수 있다. 510에서, 프록시 커널은 격리된 사용자 모드 프로세스에 언마샬링된 결과를 전송할 수 있다. 예를 들어, 장치에 대한 요청이 판독을 포함하는 경우, 언마샬링된 결과는 요청된 장치로부터 판독된 데이터를 포함할 수 있다.
도 6은 격리된 사용자 모드 프로세스에 할당된 가상 메모리를 안전하게 관리하기 위한 프로세스의 흐름도(600)이다. 예를 들어, 흐름도(600)에 도시된 프로세스는 격리된 사용자 모드 프로세스와 연관된 데이터를 2차 저장소에 또한 그로부터 페이징할 때 사용될 수 있다.
602에서, 커널 서비스 모듈은 2차 저장소에 기록하기 위해 격리된 사용자 모드 프로세스와 관련된 메모리 페이지를 식별할 수 있다. 예를 들어, (도 6에 도시되지 않은) 메모리 관리자(314)는, 이 메모리 관리자가 물리적 메모리 페이지를 다른 용도로 변경하는 것에 기초하여, 메모리 페이지가 하드디스크에 기록되어야한다는 것을 확인할 수 있다.
604에서, 프록시 커널은 메모리 페이지의 해시를 계산할 수 있다. 예를 들어, (도 6에 도시되지 않은) 페이지 테이블 관리자(322)는 메모리 페이지의 제1 암호화 해시를 계산하도록 (도 6에 도시되지 않은) 암호화 서비스 모듈(334)에게 지시할 수 있다.
606에서, 프록시 커널은 메모리 페이지를 암호화하고, 암호화된 메모리 페이지에 하나 이상의 커널 서비스 액세스를 제공할 수 있다. 예를 들어, 암호화 서비스 모듈(334)은 메모리 페이지를 암호화할 수 있으며, 페이지 테이블 관리자(322)는 판독 전용 액세스를 하나 이상의 커널 서비스에 제공할 수 있다. 이와 같이, 하나 이상의 커널 서비스는 커널 메모리 페이지를 관리할 수 있지만, 그 콘텐츠에 대한 액세스를 가지지는 않는다.
608에서, 하나 이상의 커널 서비스는 암호화된 메모리 페이지를 2차 저장소에 저장할 수 있다. 예를 들어, (도 6에 도시되지 않은) 메모리 관리자(314)는 암호화된 메모리 페이지를 하드디스크 상의 페이지 파일에 저장할 수 있다.
610에서, 하나 이상의 커널 서비스는 암호화된 메모리 페이지를 2차 저장소로부터 물리적 메모리로 로딩할 수 있다. 예를 들어, 메모리 관리자(314)는 페이지 폴트의 발생에 적어도 부분적으로 기초하여 암호화된 메모리 페이지를 하드디스크로부터 물리적 메모리로 로딩할 수 있다.
612에서, 프록시 커널은 하나 이상의 커널 서비스에 의한 메모리 페이지에 대한 액세스를 비활성화하고 암호화된 메모리 페이지를 복호화할 수 있다. 예를 들어, 페이지 테이블 관리자(322)는 하나 이상의 커널 서비스(304)(도 6에 도시되어 있지 않음)에 의한 암호화된 메모리 페이지에 대한 액세스를 비활성화할 수 있고, 그런 다음, 암호화 서비스 모듈(334)은 암호화된 메모리 페이지를 복호화할 수 있다.
614에서, 프록시 커널은 메모리 페이지를 암호화 해시에 비교할 수 있다. 예를 들어, 암호화 서비스 모듈(334)은 메모리 페이지의 제2 해시를 계산할 수 있으며, 페이지 테이블 관리자(322)는 메모리 페이지의 무결성을 검증하기 위해 제1 암호화 해시와 제2 암호화 해시를 비교할 수 있다.
본 명세서에 기술된 및/또는 첨부한 도면에 도시된 흐름도에서의 임의의 루틴 설명, 요소 또는 블록은 루틴 내의 특정 논리적 기능을 구현하기 위한 하나 이상의 실행가능한 명령어를 포함하는 코드의 모듈, 세그먼트 또는 부분을 잠재적으로 나타내는 것으로 이해되어야 한다. 요소 또는 기능이 삭제되거나, 관련된 기능에 따라, 도시 또는 설명된 순서와는 다르게, 예를 들어 사실상 동시에 또는 반대 순서로 실행될 수 있는 다른 실시예도 본 명세서에서 기술한 예들의 범주 내에 포함됨을 당업자라면 알 수 있을 것이다.
도 7은 본원에 설명된 모듈 및 기능을 구현하기 위해 사용될 수 있는 컴퓨팅 장치(700)의 예시적인 구성을 도시한다. 예를 들어, 컴퓨팅 장치(100) 및/또는 컴퓨팅 장치(200)는 컴퓨팅 장치(700)와 유사한 구조를 포함할 수 있다.
장치(700)는 적어도 하나의 프로세서(702), 메모리(704), 통신 인터페이스(들)(706), 디스플레이 장치(708), 다른 입/출력(I/O) 장치(710) 및 하나 이상의 대용량 저장 장치를 포함할 수 있으며, 이들은 시스템 버스(714) 또는 다른 적절한 연결을 통해 같이 서로 통신할 수 있다.
프로세서(702)는 단일 처리 장치 또는 다수의 처리 장치일 수 있으며, 이들은 모두 단일 또는 다수의 컴퓨팅 유닛 또는 다수의 코어를 포함할 수 있다. 프로세서(702)는 하나 이상의 마이크로프로세서, 마이크로컴퓨터, 마이크로컨트롤러, 디지털 신호 프로세서, 중앙 처리 장치, 상태 머신, 로직 회로, 및/또는 연산 명령어에 기초하여 신호를 처리하는 임의의 장치로서 구현될 수 있다. 다른 기능 중에서, 프로세서(702)는 메모리(704), 대용량 저장 장치(712), 또는 다른 컴퓨터 판독 가능 매체에 저장된 컴퓨터 판독가능 명령어를 인출 및 실행하도록 구성될 수 있다.
메모리(704) 및 대용량 저장 장치(712)는 전술한 다양한 기능을 수행하도록 프로세서(702)에 의해 실행되는 명령어를 저장하기 위한 컴퓨터 저장 매체의 예이다. 예를 들어, 메모리(704)는 일반적으로 휘발성 메모리와 비휘발성 메모리(예컨대, RAM, ROM 등)를 포함할 수 있다. 또한, 대용량 저장 장치(712)는 일반적으로 하드디스크 드라이브, 고체 상태 드라이브, 외장형 착탈식 드라이브, 메모리 카드, 플래시 메모리, 플로피 디스크, 광학 디스크(예를 들면, CD, DVD)를 포함하는 착탈식 매체, 저장소 어레이, 네트워크 연결 저장소, 저장 영역 네트워크 등을 포함할 수 있다. 메모리(704)와 대용량 저장 장치(712)는 본원에서 통칭하여 메모리 또는 컴퓨터 저장 매체로 지칭될 수 있고, 본 명세서에서 기술된 동작 및 기능을 수행하도록 구성된 특정 머신으로서 프로세서(702)에 의해 실행될 수 있는 컴퓨터 프로그램 코드로서 컴퓨터 판독가능, 프로세서 실행가능 프로그램 명령어를 저장할 수 있는 비일시적 매체일 수 있다.
도 7에서는 컴퓨팅 장치(700)의 메모리(704)에 저장되어 있는 것으로 도시되어 있지만, 모듈(716, 718, 720) 또는 이들의 일부는 컴퓨팅 장치(700)에 의해 액세스가능한 임의의 형태의 컴퓨터 판독가능 매체를 사용하여 구현될 수 있다. 본 명세서에서 사용되는 바와 같이, "컴퓨터 판독가능 매체"는 적어도 2가지 유형의 컴퓨터 판독가능 매체, 즉 컴퓨터 저장 매체 및 통신 매체를 포함한다.
컴퓨터 저장 매체는 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈 또는 다른 데이터와 같은 정보의 저장을 위한 임의의 방법 또는 기술로 구현되는 휘발성 및 비휘발성, 착탈식 및 비착탈식 매체를 포함한다. 컴퓨터 저장 매체는 RAM, ROM, EEPROM, 플래시 메모리 또는 다른 메모리 기술, CD-ROM, 디지털 다기능 디스크(DVD) 또는 다른 광학 저장 장치, 자기 카세트, 자기 테이프, 자기 디스크 저장소 또는 다른 자기 저장 장치, 또는 컴퓨팅 장치에 의해 액세스되는 정보를 저장하는데 사용될 수 있는 임의의 다른 비전송 매체를 포함하지만 이에 국한되지는 않는다.
이와 달리, 통신 매체는 반송파 또는 다른 전송 메커니즘과 같은 변조된 데이터 신호에 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈 또는 다른 데이터를 구현할 수 있다. 본원에서 정의된 바와 같이, 컴퓨터 저장 매체는 통신 매체를 포함하지 않는다.
컴퓨팅 장치(700)는 또한 전술한 바와 같이, 예를 들어 네트워크, 직접 접속 등을 통해 다른 장치와 데이터를 교환하기 위한 하나 이상의 통신 인터페이스(들)(706)를 포함할 수 있다. 통신 인터페이스(706)는 유선 네트워크(예를 들어, LAN, 케이블 등) 및 무선 네트워크(예를 들면, WLAN, 셀룰러, 위성 등), 인터넷 등을 포함한 다양한 네트워크 및 프로토콜 유형 내에서 통신을 용이하게 할 수 있다. 통신 인터페이스(706)는 또한 저장소 어레이 내의 외부 저장소(도시하지 않음), 네트워크 연결 저장소, 저장 영역 네트워크 등과의 통신을 제공할 수 있다.
모니터와 같은 디스플레이 장치(708)는 사용자 정보 및 이미지를 사용자에게 디스플레이하기 위해 일부 예에서 포함될 수 있다. 기타 I/O 장치(710)는 사용자로부터의 다양한 입력을 수신하고 다양한 출력을 사용자에게 제공하는 장치일 수 있으며, 터치 입력 장치, 제스처 입력 장치, 카메라, 키보드, 원격 컨트롤러, 마우스, 프린터, 오디오 입/출력 장치 등을 포함할 수 있다.
메모리(704)는 본 명세서에 기재된 실시 예에 따른 차단 방식에 기초하여 레코드들을 링크하는 모듈 및 컴포넌트를 포함할 수 있다. 메모리(704)는 하이퍼바이저(202)와 같은 하이퍼바이저 모듈(716), 하나 이상의 가상 파티션 모듈(예를 들어, 718-1 및 718-2)과 같은 다양한 기능을 수행하는 여러 모듈을 포함할 수 있다. 하이퍼바이저 모듈(716)은 가상 파티션(718-1 또는 718-2)과 같은 하나 이상의 가상 파티션을 관리하는데 사용될 수 있다. 또한, 가상 파티션 모듈(718-1)은 하위 가상 신뢰 레벨(208)과 같은 하위 가상 신뢰 레벨(720)과, 상위 가상 신뢰 레벨(210)과 같은 상위 가상 신뢰 레벨(722)을 포함할 수 있다. 또한, 가상 파티션 모듈(718-2)은 게스트 OS(206-2)와 같은 게스트 OS(724)를 포함할 수 있다. 메모리(704)는 또한 중간 계산 등을 포함하는 다른 특징 및 다른 데이터(728)를 구현하는 다른 모듈(726)을 포함할 수 있다.
예시적인 조항
A: 방법으로서, 제1 사용자 모드와 제1 커널 모드를 포함하는 운영 체제 실행 환경을 관리하는 단계; 제2 사용자 모드와 제2 커널 모드를 포함하는 보안 실행 환경을 관리하는 단계; 보안 실행 환경의 제2 사용자 모드 내에서 격리된 프로세스를 실행하는 단계; 제1 커널 모드의 하나 이상의 시스템 서비스를 제2 커널 모드를 통해 격리된 프로세스에 제공하는 단계; 제1 사용자 모드 및 제1 커널 모드에 의한 메모리의 하나 이상의 페이지에 대한 액세스를 비활성화함으로써 시스템 서비스의 공격으로부터 격리된 프로세스를 보호하는 단계를 포함한다.
B: 조항 A의 방법으로서, 액세스를 비활성화하는 것은 메모리의 페이지에 대한 판독 액세스, 쓰기 액세스, 또는 실행 액세스 중 적어도 하나를 비활성화하는 것을 포함한다.
C: 조항 A 또는 B의 방법으로서, 액세스를 비활성화하는 것은 판독 액세스 및 실행 액세스 중 적어도 하나를 허용하면서 쓰기 액세스를 비활성화하는 것을 포함한다.
D: 조항 A 내지 조항 C 중 어느 한 조항의 방법으로서, 운영 체제 실행 환경 및 보안 실행 환경은 하이퍼바이저에 의해 관리된다.
E: 조항 A 내지 조항 D 중 어느 한 조항의 방법으로서, 제1 커널 모드의 하나 이상의 서비스에 의해, 메모리의 하나 이상의 페이지를 격리된 프로세스에 할당하는 단계; 메모리의 하나 이상의 페이지를 암호화하여 메모리의 하나 이상의 암호화된 페이지를 형성하는 단계; 제1 커널 모드의 하나 이상의 서비스에 의해, 메모리의 하나 이상의 암호화된 페이지를 하드디스크에 저장하는 단계를 더 포함한다.
F: 조항 A 내지 조항 E 중 어느 한 조항의 방법으로서, 제1 커널 모드의 하나 이상의 서비스에 의해, 페이지 폴트들에 부분적으로 기초하여 메모리의 하나 이상의 암호화된 페이지를 물리적 메모리에 로딩하는 단계; 메모리의 하나 이상의 암호화된 페이지를 복호화하여 메모리의 하나 이상의 복호화된 페이지를 형성하는 단계; 및 메모리의 하나 이상의 복호화된 페이지의 무결성을 검증하는 단계를 더 포함한다.
G: 조항 A 내지 조항 F 중 어느 한 조항의 방법으로서, 제2 커널 모드의 프록시 서비스를 통해, 격리된 프로세스로부터 제1 커널 모드의 하나 이상의 시스템 서비스 중 하나로 시스템 호출을 전송하는 단계; 제1 커널 모드의 하나 이상의 서비스에 제공할 시스템 호출 파라미터를 결정하는 단계; 및 시스템 버퍼 통해 제1 커널 모드의 하나 이상의 서비스에 대해 시스템 호출 파라미터를 마샬링하는 단계를 더 포함한다.
H: 조항 A 내지 조항 G 중 어느 한 조항의 방법으로서, 제1 커널 모드의 하나 이상의 시스템 서비스에 의한 시스템 호출의 실행과 연관된 데이터를 제2 커널 모드의 프록시 서비스를 통해 격리된 프로세스에 투명하게 전달하는 단계를 더 포함한다.
I: 컴퓨터 판독가능 매체로서, 이 컴퓨터 판독가능 매체는 조항 A 내지 조항 H 중 어느 한 조항의 방법을 수행하도록 컴퓨터를 구성하는 컴퓨터 실행가능 명령어를 저장한다.
J: 장치로서, 조항 A 내지 조항 H 중 어느 한 조항의 방법을 수행하도록 컴퓨터를 구성하는 컴퓨터 실행가능 명령어를 갖는 컴퓨터 판독가능 매체, 및 조항 A 내지 조항 H 중 어느 한 조항의 방법을 수행하도록 명령어를 실행하도록 구성된 처리 장치를 포함한다.
K: 시스템으로서, 이 시스템은 조항 A 내지 조항 H 중 어느 한 조항의 방법을 수행하는 수단을 포함한다.
L: 시스템으로서, 하나 이상의 프로세서; 메모리; 메모리의 하나 이상의 주소에 맵핑된 주소 공간; 주소 공간에 대해 제1 액세스 권한과 연관된 제1 신뢰 레벨; 주소 공간에 대해 제2 액세스 권한과 연관된 제2 신뢰 레벨- 제2 액세스 권한은 제1 액세스 권한보다 우위의 주소 공간에 대한 액세스를 제공함 -; 제1 액세스 정책에 따라 제1 신뢰 레벨에서 하나 이상의 프로세서상에서 실행되는 커널; 제2 액세스 정책에 따라 제2 신뢰 레벨에서 하나 이상의 프로세서상에서 실행되는 프록시 커널; 및 제2 신뢰 레벨에서 하나 이상의 프로세서상에서 실행되는 하나 이상의 애플리케이션 프로세스를 포함하되, 프록시 커널은 하나 이상의 애플리케이션 프로세스의 기밀사항을 커널에 노출하지 않고 애플리케이션 프로세스와 커널 간에 서비스 요청을 투명하게 통신한다.
M: 조항 L의 시스템으로서, 제1 액세스 정책에 따라 커널에 액세스가능한 주소 공간 내의 주소들의 제1 그룹과, 주소 공간 내의 주소들의 제2 그룹을 더 포함하되, 커널은 제1 정책에 따라 제한된 액세스를 가지며, 프록시 커널은 제2 액세스 정책에 따라 완전한 액세스를 갖는다.
N: 조항 L 또는 조항 M의 시스템으로서, 제2 액세스 정책에 따라 제2 신뢰 레벨에서 실행되는 페이지 테이블 관리자 모듈을 더 포함하되, 이 페이지 테이블 관리자 모듈은 커널의 페이지 테이블의 섀도우 테이블을 유지하고, 주소들의 제2 그룹에 맵핑된 게스트 물리적 주소 페이지와 연관된 페이지 폴트의 발생을 판정하도도록 프로그램된다.
O: 조항 L 내지 조항 N 중 어느 한 조항의 시스템으로서, 제1 액세스 정책은 주소 공간의 제2 그룹에 대한 판독 액세스, 쓰기 액세스 및 실행 액세스 중 적어도 하나를 비활성화하는 것, 및 주소 공간에 대한 판독 액세스 및 실행 액세스 중 적어도 하나를 허용하면서 쓰기 액세스를 비활성화하는 것 중 적어도 하나를 포함한다.
P: 조항 L 내지 조항 O 중 어느 한 조항의 시스템으로서, 암호화 해시에 부분적으로 기초하여 게스트 물리적 주소 페이지를 검증하도록 프로그래밍된 암호화 모듈을 더 포함한다.
Q: 조항 L 내지 조항 P 중 어느 한 조항의 시스템으로서, 주소 공간은 하이퍼바이저에 의해 제공되는 게스트 물리적 주소와 연관되고, 제1 신뢰 레벨 및 제2 신뢰 레벨은 하이퍼바이저에 의해 제공되는 가상 파티션의 가상 신뢰 레벨을 나타낸다.
R: 조항 L 내지 조항 Q 중 어느 한 조항의 시스템으로서, 애플리케이션 프로세스와 커널 사이에서 서비스 요청을 투명하게 통신하는 시스템 버퍼를 더 포함한다.
S: 컴퓨터 실행가능 명령어를 포함하는 컴퓨터 판독가능 매체로서, 컴퓨터 실행가능 명령어는 실행시, 사용자 애플리케이션의 격리된 사용자 모드 프로세스의 생성을 위한 시스템 호출을 생성하는 동작과, 커널에 의해, 격리된 사용자 모드 프로세스에 대한 가상 주소 공간을 할당하는 동작과, 커널에 의한 가상 주소 공간에 대한 액세스를 비활성화하는 동작을 포함하는 동작들을 수행하도록 컴퓨터를 구성하고, 가상 주소 공간에 대한 액세스는, 프록시 커널이 가상 주소 공간에 맵핑된 하나 이상의 물리적 주소 메모리 페이지의 메모리 액세스 속성을 변경함으로써 비활성화된다.
T: 조항 S의 컴퓨터 판독가능 매체로서, 하나 이상의 게스트 물리적 주소 메모리 페이지의 제1 암호화 해시를 생성하는 동작과, 페이지 폴트의 발생에 적어도 부분적으로 기초하여 하나 이상의 게스트 물리적 주소 메모리 페이지의 제2 암호화 해시를 생성하는 동작과, 제1 암호화 해시와 제2 암호화 해시의 비교에 적어도 부분적으로 기초하여 하나 이상의 메모리 페이지를 검증하는 동작을 더 포함한다.
U: 조항 S 내지 조항 T 중 어느 한 조항의 컴퓨터 판독가능 매체로서, 시스템 호출은 제1 시스템 호출을 나타내고, 동작들은 격리된 사용자 모드 프로세스에 의해, 커널에 의해 제공되는 하나 이상의 커널 서비스를 요청하는 제2 시스템 호출을 생성하는 동작과, 커널에 대해 제2 시스템 호출과 연관된 파라미터를 마샬링하는 동작과, 커널로부터의 하나 이상의 서비스를 격리된 사용자 모드 프로세스에 제공하는 동작을 더 포함한다.
V: 조항 S 내지 조항 U 중 어느 한 조항의 컴퓨터 판독가능 매체로서, 동작들은 커널에 의해 격리된 사용자 모드 프로세스의 컨텍스트로 전환하는 동작을 더 포함한다.
W: 조항 S 내지 조항 V 중 어느 한 조항의 컴퓨터 판독가능 매체로서, 액세스를 비활성화하는 것은 하나 이상의 메모리 페이지에 대한 판독 액세스, 쓰기 액세스 및 실행 액세스 중 적어도 하나를 비활성화하는 것, 및 하나 이상의 메모리 페이지에 대한 판독 액세스 및 실행 액세스 중 적어도 하나를 허용하면서 쓰기 액세스를 비활성화하는 것 중 적어도 하나를 포함한다.
결론
기술은 구조적 특징 및/또는 방법론적 동작에 특정한 언어로 설명되었지만, 첨부된 청구 범위는 반드시 설명된 특징 또는 동작에 한정되지 않는 것으로 이해되어야 한다. 오히려, 특징 및 동작은 이러한 기술의 예시적인 구현으로 설명된다.
예시적인 프로세스의 동작들은 개별 블록으로 도시되어 있고 이들 블록을 참조하여 요약된다. 프로세스들은 블록들의 논리적 흐름으로 도시되어 있으며, 각 블록은 하드웨어, 소프트웨어, 또는 이들의 조합으로 구현될 수 있는 하나 이상의 동작을 나타낼 수 있다. 소프트웨어의 맥락에서, 동작들은 하나 이상의 프로세서에 의해 실행될 때, 그 프로세서로 하여금 기술된 동작을 수행하게 하는 하나 이상의 컴퓨터 판독가능 매체 상에 저장된 컴퓨터 실행가능 명령어를 나타낸다. 일반적으로, 컴퓨터 판독가능 명령어는 특정 기능을 수행하거나 특정 추상 데이터 유형을 구현하는 루틴, 프로그램, 객체, 모듈, 컴포넌트, 데이터 구조 등을 포함한다. 동작이 설명되는 순서는 그에 한정되는 것으로 해석되지 않으며, 설명된 임의의 수의 동작들은 임의의 순서로 실행될 수 있고, 임의의 순서로 결합될 수 있고, 다수의 하위 동작들로 나뉘어질 수 있으며, 및/또는 동시에 실행되어 기술한 프로세스를 구현할 수 있다. 설명된 프로세스는 하나 이상의 장치(들)(101, 201 및/또는 700)와 연관된 리소스, 예를 들어 하나 이상의 내부 또는 외부의 CPU 또는 GPU, 및/또는 FPGA, DSP 또는 다른 유형의 가속기와 같은 하나 이상의 하드웨어 로직 부품에 의해 수행될 수 있다.
전술한 방법 및 프로세스 모두는 하나 이상의 범용 컴퓨터 또는 프로세서에 의해 실행되는 소프트웨어 코드 모듈을 통해 완전히 자동화될 수 있다. 이 코드 모듈은 임의의 유형의 컴퓨터 판독가능 저장 매체 또는 다른 컴퓨터 저장 장치에 저장될 수 있다. 대안적으로, 방법의 일부 또는 모두는 특별한 컴퓨터 하드웨어로 구현될 수 있다.
"할 수 있다", "할 수 있을 것이다", "할 수도 있다" 또는 "할지도 모른다"와 같은 조건부적 표현은 구체적으로 달리 언급하지 않는 한, 특정 기능, 요소 및/또는 단계를 소정의 예는 포함하나 다른 예는 포함하지 않음을 나타내는 문맥으로 이해된다. 따라서, 이러한 조건부적 표현은 일반적으로 특정한 특징, 요소 및/또는 단계들이 하나 이상의 예를 위해 어떤식으로든 요구된다거나 하나 이상의 예가 특정 기능, 요소 및/또는 단계가 임의의 특정 예에 포함되거나 수행되어야 하는지 여부를, 사용자 입력 또는 프롬프팅를 통해 또는 이를 통하지 않고, 결정하는 로직을 반드시 포함한다는 것을 암시하려는 것은 아니다. 구체적으로 달리 언급하지 않는 한, "X, Y 또는 Z 중 적어도 하나"와 같은 접속어는, 아이템, 항목(term) 등이 X, Y, 또는 Z, 또는 이들의 조합일 수 있음을 나타내는 것으로 이해되어야 한다. 본 명세서에서 설명하고 및/또는 첨부한 도면에서 기술한 흐름도 내의 임의의 루틴 설명, 요소 또는 블록은 잠재적으로 루틴 내의 특정 논리적 기능 또는 요소를 구현하기 위한 하나 이상의 실행가능한 명령어를 포함하는 코드의 모듈, 세그먼트 또는 부분을 나타내는 것으로 이해되어야 한다. 당업자라면 알 수 있는 바와 같이, 포함되는 기능에 따라, 요소 또는 기능이 삭제될 수 있고, 또는 도시되거나 설명한 순서와는 다르게, 예를 들어 실질적으로 동시에 또는 반대 순서로 수행될 수 있는 대안적 실시예도 본 명세서에 기술한 예들의 범주 내에 포함된다. 전술한 예에 대한 다수의 변형 및 수정이 행해질 수 있으며, 그 요소들은 다른 수용가능한 예인 것으로 이해되어야 한다. 이러한 수정 및 변형은 본 발명의 범주 내에 포함되어야 하며 후속하는 청구범위에 의해 보호되어야 한다.

Claims (20)

  1. 방법으로서,
    제1 사용자 모드와 제1 커널 모드를 포함하는 운영 체제 실행 환경을 관리하는 단계와,
    상기 제1 커널 모드에서 단일 운영 체제를 실행하는 단계- 상기 단일 운영 체제를 실행하는 단계는 상기 단일 운영 체제의 하나 이상의 운영 체제 서비스를 상기 제1 커널 모드의 하나 이상의 프로세스에 제공하는 것을 포함함 -와,
    제2 사용자 모드와 제2 커널 모드를 포함하는 보안 실행 환경을 관리하는 단계와,
    상기 보안 실행 환경의 상기 제2 사용자 모드 내에서 격리된 프로세스를 실행하는 단계와,
    상기 제2 커널 모드를 통해 상기 제1 커널 모드에서 실행되는 상기 단일 운영 체제의 상기 하나 이상의 운영 체제 서비스를 상기 격리된 프로세스에 제공하는 단계와,
    상기 제1 사용자 모드 및 상기 제1 커널 모드에 의한 메모리의 하나 이상의 페이지에 대한 액세스를 비활성화함으로써 상기 하나 이상의 운영 체제 서비스의 공격으로부터 상기 격리된 프로세스를 보호하는 단계를 포함하는
    방법.
  2. 제1항에 있어서,
    상기 액세스를 비활성화하는 것은 메모리의 페이지에 대한 판독 액세스, 쓰기 액세스 및 실행 액세스 중 적어도 하나를 비활성화하는 것을 포함하는
    방법.
  3. 제1항에 있어서,
    상기 액세스를 비활성화하는 것은 판독 액세스 및 실행 액세스 중 적어도 하나를 허용하면서 쓰기 액세스를 비활성화하는 것을 포함하는
    방법.
  4. 제1항에 있어서,
    상기 운영 체제 실행 환경 및 상기 보안 실행 환경은 하이퍼바이저에 의해 관리되는
    방법.
  5. 제1항에 있어서,
    상기 제1 커널 모드의 상기 하나 이상의 운영 체제 서비스에 의해, 상기 메모리의 하나 이상의 페이지를 상기 격리된 프로세스에 할당하는 단계와,
    상기 메모리의 하나 이상의 페이지를 암호화하여 메모리의 하나 이상의 암호화된 페이지를 형성하는 단계와,
    상기 제1 커널 모드의 상기 하나 이상의 운영 체제 서비스에 의해, 상기 메모리의 하나 이상의 암호화된 페이지를 하드 디스크에 저장하는 단계를 더 포함하는
    방법.
  6. 제5항에 있어서,
    상기 제1 커널 모드의 상기 하나 이상의 운영 체제 서비스에 의해, 페이지 폴트(page fault)에 부분적으로 기초하여 상기 메모리의 하나 이상의 암호화된 페이지를 물리적 메모리에 로딩하는 단계와,
    상기 메모리의 하나 이상의 암호화된 페이지를 복호화하여 메모리의 하나 이상의 복호화된 페이지를 형성하는 단계와,
    상기 메모리의 하나 이상의 복호화된 페이지의 무결성을 검증하는 단계를 더 포함하는
    방법.
  7. 제5항에 있어서,
    상기 제2 커널 모드의 프록시 서비스를 통해 상기 격리된 프로세스로부터 상기 제1 커널 모드의 상기 하나 이상의 운영 체제 서비스 중 하나로 시스템 호출을 전송하는 단계와,
    상기 제1 커널 모드의 상기 하나 이상의 운영 체제 서비스에 제공될 시스템 호출 파라미터를 결정하는 단계와,
    공유된 메모리 페이지를 포함하는 시스템 버퍼를 통해 상기 제1 커널 모드의 상기 하나 이상의 운영 체제 서비스로 상기 시스템 호출 파라미터를 마샬링(marshaling)하는 단계를 더 포함하는
    방법.
  8. 제7항에 있어서,
    상기 제1 커널 모드의 상기 하나 이상의 운영 체제 서비스에 의한 상기 시스템 호출의 실행과 연관된 데이터를, 상기 제2 커널 모드의 상기 프록시 서비스를 통해 상기 격리된 프로세스에 투명하게 전달하는 단계를 더 포함하는
    방법.
  9. 시스템으로서,
    하나 이상의 프로세서와,
    메모리와,
    상기 메모리의 하나 이상의 주소에 맵핑된 주소 공간과,
    상기 주소 공간에 대한 제1 액세스 정책과 연관된 제1 신뢰 레벨과,
    상기 주소 공간에 대한 제2 액세스 정책과 연관된 제2 신뢰 레벨- 상기 제2 액세스 정책은 상기 제1 액세스 정책보다 우위의 상기 주소 공간에 대한 액세스를 제공함 -과,
    상기 제1 액세스 정책에 따라 상기 제1 신뢰 레벨에서 상기 하나 이상의 프로세서 상에서 실행되는 운영 체제를 포함하는 커널- 상기 운영 체제는 상기 제1 신뢰 레벨에서 실행되는 하나 이상의 프로세스에 하나 이상의 운영 체제 서비스를 제공함 -과,
    상기 제2 액세스 정책에 따라 상기 제2 신뢰 레벨에서 상기 하나 이상의 프로세서 상에서 실행되는 프록시 커널과,
    상기 제2 신뢰 레벨에서 상기 하나 이상의 프로세서 상에서 실행되는 하나 이상의 애플리케이션 프로세스를 포함하되,
    상기 프록시 커널은 상기 하나 이상의 애플리케이션 프로세스의 기밀사항을 상기 커널에 노출하지 않고 상기 하나 이상의 애플리케이션 프로세스와 상기 커널 간에 서비스 요청을 투명하게 통신하고, 상기 서비스 요청은 상기 제1 신뢰 레벨에서 실행되는 상기 운영 체제에 의해 제공되는 상기 하나 이상의 운영 체제 서비스 중 적어도 하나의 사용을 위한 하나 이상의 시스템 호출을 포함하는
    시스템.
  10. 제9항에 있어서,
    상기 제1 액세스 정책에 따라 상기 커널에 액세스가능한 상기 주소 공간 내의 주소들의 제1 그룹과, 상기 주소 공간 내의 주소들의 제2 그룹을 더 포함하되, 상기 커널은 상기 제1 액세스 정책에 따라 제한된 액세스를 가지며, 상기 프록시 커널은 상기 제2 액세스 정책에 따라 완전한 액세스를 갖는
    시스템.
  11. 제10항에 있어서,
    상기 제2 액세스 정책에 따라 상기 제2 신뢰 레벨에서 실행되는 하나 이상의 모듈을 더 포함하되, 상기 모듈은
    상기 커널의 페이지 테이블의 섀도우(shadow) 테이블을 유지하고,
    상기 주소들의 제2 그룹에 맵핑된 게스트 물리적 주소 페이지와 연관된 페이지 폴트의 발생을 판정하도록 프로그래밍된
    시스템.
  12. 제11항에 있어서,
    상기 제1 액세스 정책은
    상기 주소 공간의 제2 그룹에 대한 판독 액세스, 쓰기 액세스 및 실행 액세스 중 적어도 하나를 비활성화하는 것, 및
    상기 주소 공간의 제2 그룹에 대한 판독 액세스 및 실행 액세스 중 적어도 하나를 허용하면서 쓰기 액세스를 비활성화하는 것
    중 적어도 하나를 포함하는
    시스템.
  13. 제11항에 있어서,
    암호화 해시에 부분적으로 기초하여 상기 게스트 물리적 주소 페이지를 검증하도록 프로그래밍된 암호화 모듈을 더 포함하는
    시스템.
  14. 제13항에 있어서,
    상기 주소 공간은 하이퍼바이저에 의해 제공되는 게스트 물리적 주소와 연관되고, 상기 제1 신뢰 레벨 및 상기 제2 신뢰 레벨은 상기 하이퍼바이저에 의해 제공되는 가상 파티션의 가상 신뢰 레벨을 나타내는
    시스템.
  15. 제11항에 있어서,
    상기 애플리케이션 프로세스와 상기 커널 사이에서 상기 서비스 요청을 투명하게 통신하는 시스템 버퍼를 더 포함하는
    시스템.
  16. 컴퓨터 실행가능 명령어를 저장한 하나 이상의 컴퓨터 저장 매체로서,
    상기 컴퓨터 실행가능 명령어는 컴퓨터로 하여금,
    사용자 애플리케이션에 대한 격리된 사용자 모드 프로세스의 생성을 위한 제1 시스템 호출을 생성하는 동작과,
    운영 체제를 포함하는 커널에 의해, 상기 격리된 사용자 모드 프로세스를 위한 가상의 주소 공간을 할당하는 동작과,
    상기 커널에 의한 상기 가상의 주소 공간에 대한 액세스를 비활성화하는 동작- 상기 가상의 주소 공간에 대한 액세스는 프록시 커널이 상기 가상의 주소 공간에 맵핑된 하나 이상의 게스트 물리적 주소 메모리 페이지의 메모리 액세스 속성을 수정함으로써 비활성화됨 -과,
    상기 격리된 사용자 모드 프로세스에 의해, 상기 운영 체제에 의해 제공되는 하나 이상의 운영 체제 서비스를 요청하는 제2 시스템 호출을 생성하는 동작과,
    상기 제2 시스템 호출과 연관된 파라미터들을 상기 운영 체제로 마샬링하는 동작과,
    상기 커널로부터의 상기 하나 이상의 운영 체제 서비스를 상기 격리된 사용자 모드 프로세스에 제공하는 동작
    을 포함하는 동작들을 수행하게 하는
    컴퓨터 저장 매체.
  17. 제16항에 있어서,
    상기 동작들은
    상기 하나 이상의 게스트 물리적 주소 메모리 페이지의 제1 암호화 해시를 생성하는 동작과,
    페이지 폴트의 발생에 부분적으로 기초하여 상기 하나 이상의 게스트 물리적 주소 메모리 페이지의 제2 암호화 해시를 생성하는 동작과,
    상기 제1 암호화 해시와 상기 제2 암호화 해시의 비교에 적어도 부분적으로 기초하여 상기 하나 이상의 메모리 페이지를 검증하는 동작을 더 포함하는
    컴퓨터 저장 매체.
  18. 제16항에 있어서,
    상기 동작들은 상기 커널에 의해 상기 격리된 사용자 모드 프로세스의 컨텍스트로 전환하는 동작을 더 포함하는
    컴퓨터 저장 매체.
  19. 제16항에 있어서,
    상기 액세스를 비활성화하는 동작은
    상기 하나 이상의 메모리 페이지에 대한 판독 액세스, 쓰기 액세스 및 실행 액세스 중 적어도 하나를 비활성화하는 것, 및
    상기 하나 이상의 메모리 페이지에 대한 판독 액세스 및 실행 액세스 중 적어도 하나를 허용하면서 쓰기 액세스를 비활성화하는 것
    중 적어도 하나를 포함하는
    컴퓨터 저장 매체.
  20. 제1항에 있어서,
    상기 격리된 프로세스는 상기 단일 운영 체제와는 상이한 또 다른 운영 체제으로부터 독립되어 실행되는
    방법.
KR1020177008645A 2014-09-30 2015-09-29 운영 체제 공격으로부터 애플리케이션 기밀사항을 보호하는 기법 KR102355213B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US14/502,965 US9628279B2 (en) 2014-09-30 2014-09-30 Protecting application secrets from operating system attacks
US14/502,965 2014-09-30
PCT/US2015/052762 WO2016053923A1 (en) 2014-09-30 2015-09-29 Protecting application secrets from operating system attacks

Publications (2)

Publication Number Publication Date
KR20170067740A KR20170067740A (ko) 2017-06-16
KR102355213B1 true KR102355213B1 (ko) 2022-01-24

Family

ID=54325714

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020177008645A KR102355213B1 (ko) 2014-09-30 2015-09-29 운영 체제 공격으로부터 애플리케이션 기밀사항을 보호하는 기법

Country Status (5)

Country Link
US (1) US9628279B2 (ko)
EP (1) EP3201820B1 (ko)
KR (1) KR102355213B1 (ko)
CN (1) CN107077428B (ko)
WO (1) WO2016053923A1 (ko)

Families Citing this family (47)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015095352A1 (en) * 2013-12-17 2015-06-25 Sequitur Labs, Inc. Method and system for dynamic runtime selection and modification of conditional expressions in computations
US10725770B2 (en) * 2015-01-19 2020-07-28 Vmware, Inc. Hot-swapping operating systems using inter-partition application migration
US10445123B2 (en) 2015-01-19 2019-10-15 Vmware, Inc. Hypervisor exchange with virtual-machine consolidation
US20160210069A1 (en) * 2015-01-21 2016-07-21 Bitdefender IPR Management Ltd. Systems and Methods For Overriding Memory Access Permissions In A Virtual Machine
US9904803B2 (en) * 2015-03-25 2018-02-27 Intel Corporation Technologies for hardening data encryption with secure enclaves
US11422840B2 (en) * 2015-08-28 2022-08-23 Vmware, Inc. Partitioning a hypervisor into virtual hypervisors
US10210324B2 (en) * 2015-11-23 2019-02-19 Armor Defense Inc. Detecting malicious instructions on a virtual machine
US10073710B2 (en) * 2016-02-25 2018-09-11 Red Hat Israel, Ltd. Host-driven application memory protection for virtual machines
US9779248B1 (en) 2016-03-30 2017-10-03 Microsoft Technology Licensing, Llc Protection of secured boot secrets for operating system reboot
US10289853B2 (en) 2016-03-31 2019-05-14 Microsoft Technology Licensing, Llc Secure driver platform
WO2017209876A1 (en) 2016-05-31 2017-12-07 Brocade Communications Systems, Inc. Buffer manager
US10261919B2 (en) * 2016-07-08 2019-04-16 Hewlett Packard Enterprise Development Lp Selective memory encryption
CN115688129A (zh) 2016-08-25 2023-02-03 郑在落 在锁定、中间和解锁模式的数据处理终端及其相关方法
US10114768B2 (en) * 2016-08-29 2018-10-30 Intel Corporation Enhance memory access permission based on per-page current privilege level
US10083129B2 (en) * 2016-08-29 2018-09-25 Red Hat Israel, Ltd. Code loading hardening by hypervisor page table switching
US10713177B2 (en) 2016-09-09 2020-07-14 Intel Corporation Defining virtualized page attributes based on guest page attributes
US10498712B2 (en) 2016-11-10 2019-12-03 Ernest Brickell Balancing public and personal security needs
US10855465B2 (en) 2016-11-10 2020-12-01 Ernest Brickell Audited use of a cryptographic key
US11405201B2 (en) 2016-11-10 2022-08-02 Brickell Cryptology Llc Secure transfer of protected application storage keys with change of trusted computing base
US11398906B2 (en) 2016-11-10 2022-07-26 Brickell Cryptology Llc Confirming receipt of audit records for audited use of a cryptographic key
US10311217B2 (en) * 2016-12-09 2019-06-04 Microsoft Technology Licensing, Llc Application piracy prevention with secure enclave protection of automatically modularized functions
US10528746B2 (en) * 2016-12-27 2020-01-07 Intel Corporation System, apparatus and method for trusted channel creation using execute-only code
US20180181755A1 (en) * 2016-12-28 2018-06-28 Intel Corporation Execution of software with monitoring of return oriented programming exploits
US10198202B2 (en) 2017-02-24 2019-02-05 Red Hat, Inc. Safe userspace device access for network function virtualization using an IOMMU to map supervisor memory to a reserved range of application virtual addresses
US10509733B2 (en) 2017-03-24 2019-12-17 Red Hat, Inc. Kernel same-page merging for encrypted memory
US10209917B2 (en) 2017-04-20 2019-02-19 Red Hat, Inc. Physical memory migration for secure encrypted virtual machines
US10445257B2 (en) * 2017-04-30 2019-10-15 Microsoft Technology Licensing, Llc Execution of subset of driver code in separate protection domain
US10650157B2 (en) * 2017-04-30 2020-05-12 Microsoft Technology Licensing, Llc Securing virtual execution environments
US10652245B2 (en) 2017-05-04 2020-05-12 Ernest Brickell External accessibility for network devices
US10348706B2 (en) 2017-05-04 2019-07-09 Ernest Brickell Assuring external accessibility for devices on a network
US10379764B2 (en) 2017-05-11 2019-08-13 Red Hat, Inc. Virtual machine page movement for encrypted memory
EP3418933A1 (de) * 2017-06-19 2018-12-26 Siemens Aktiengesellschaft Edge-gerät und verfahren zum betrieb eines edge-geräts
US11354420B2 (en) 2017-07-21 2022-06-07 Red Hat, Inc. Re-duplication of de-duplicated encrypted memory
KR102075701B1 (ko) 2017-11-24 2020-02-10 서울대학교산학협력단 명령어 레벨 데이터 격리 방법 및 장치
CN108595983B (zh) * 2018-04-24 2021-08-06 许昌学院 一种基于硬件安全隔离执行环境的硬件架构、及应用上下文完整性度量方法
US10719362B2 (en) * 2018-10-10 2020-07-21 Oracle International Corporation Managing multiple isolated execution contexts in a single process
CN109547450A (zh) * 2018-11-29 2019-03-29 北京元心科技有限公司 运行安全执行域的方法、装置、电子设备及计算机介质
US11748178B2 (en) * 2019-04-02 2023-09-05 Intel Corporation Scalable and accelerated function as a service calling architecture
CN110135201A (zh) * 2019-04-28 2019-08-16 阿里巴巴集团控股有限公司 一种基于独立运行环境的网页取证方法及装置
US11194639B2 (en) * 2019-05-19 2021-12-07 International Business Machines Corporation Executing system calls in isolated address space in operating system kernel
US10853263B1 (en) * 2019-07-23 2020-12-01 Ati Technologies Ulc Unified kernel virtual address space for heterogeneous computing
CN112541166A (zh) * 2019-09-20 2021-03-23 杭州中天微系统有限公司 一种方法、系统和计算机可读存储介质
US11614956B2 (en) 2019-12-06 2023-03-28 Red Hat, Inc. Multicast live migration for encrypted virtual machines
CN111177703B (zh) * 2019-12-31 2023-03-31 青岛海尔科技有限公司 操作系统数据完整性的确定方法及装置
CN111709023B (zh) * 2020-06-16 2023-04-28 全球能源互联网研究院有限公司 一种基于可信操作系统的应用隔离方法及系统
KR20220057005A (ko) * 2020-10-29 2022-05-09 삼성전자주식회사 전자 장치 및 이를 이용한 메모리 보호 방법
CN116204458A (zh) * 2021-11-30 2023-06-02 华为技术有限公司 一种运行进程的方法及装置

Family Cites Families (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0851426A3 (en) * 1996-12-27 1999-11-24 STMicroelectronics S.r.l. Memory block for realizing semiconductor memory devices and corresponding manufacturing process
US7028305B2 (en) * 2001-05-16 2006-04-11 Softricity, Inc. Operating system abstraction and protection layer
US7143288B2 (en) * 2002-10-16 2006-11-28 Vormetric, Inc. Secure file system server architecture and methods
US20040243783A1 (en) * 2003-05-30 2004-12-02 Zhimin Ding Method and apparatus for multi-mode operation in a semiconductor circuit
US7530103B2 (en) * 2003-08-07 2009-05-05 Microsoft Corporation Projection of trustworthiness from a trusted environment to an untrusted environment
US7516331B2 (en) * 2003-11-26 2009-04-07 International Business Machines Corporation Tamper-resistant trusted java virtual machine and method of using the same
KR101201118B1 (ko) * 2004-11-08 2012-11-13 마이크로소프트 코포레이션 바이러스 방지 소프트웨어 어플리케이션들의 지식 베이스를모으는 시스템 및 방법
US7624240B1 (en) * 2006-10-17 2009-11-24 Vmware, Inc. Separate swap files corresponding to different virtual machines in a host computer system
US8032899B2 (en) 2006-10-26 2011-10-04 International Business Machines Corporation Providing policy-based operating system services in a hypervisor on a computing system
US8364910B2 (en) * 2007-03-08 2013-01-29 Daniel Shawcross Wilkerson Hard object: hardware protection for software objects
KR101396831B1 (ko) * 2007-03-30 2014-05-21 삼성전자주식회사 메모리 접근 제어 방법
US9740637B2 (en) * 2007-10-30 2017-08-22 Vmware, Inc. Cryptographic multi-shadowing with integrity verification
WO2009088175A2 (en) 2008-01-04 2009-07-16 Markany Inc. Virtual application program system, storing device, method for executing virtual application program and method for protecting virtual environment
KR100960358B1 (ko) * 2008-03-28 2010-05-28 티에스온넷(주) 다중 등급 보안 방식에 기초한 강제적 프로세스 메모리접근 제어 방법 및 이를 프로그램화하여 수록한 컴퓨터로읽을 수 있는 기록매체
US8782670B2 (en) 2009-04-10 2014-07-15 Open Invention Network, Llc System and method for application isolation
US9372711B2 (en) * 2009-07-20 2016-06-21 Google Technology Holdings LLC System and method for initiating a multi-environment operating system
US8549249B1 (en) * 2009-09-21 2013-10-01 Tilera Corporation Supporting secondary atomic operations using primary atomic operations
US8271450B2 (en) 2009-10-01 2012-09-18 Vmware, Inc. Monitoring a data structure in a virtual machine and determining if memory pages containing the data structure are swapped into or out of guest physical memory
US8776245B2 (en) 2009-12-23 2014-07-08 Intel Corporation Executing trusted applications with reduced trusted computing base
US20110296164A1 (en) * 2010-05-28 2011-12-01 Mcafee, Inc. System and method for providing secure network services
US9323921B2 (en) 2010-07-13 2016-04-26 Microsoft Technology Licensing, Llc Ultra-low cost sandboxing for application appliances
KR101155123B1 (ko) * 2010-10-26 2012-06-11 한국과학기술원 커널 코드의 오류로부터 응용 프로그램의 메모리를 보호하는 장치 및 방법
CN102043927B (zh) * 2010-12-29 2013-04-10 北京深思洛克软件技术股份有限公司 一种用于计算机系统的数据泄密防护方法
US8375221B1 (en) 2011-07-29 2013-02-12 Microsoft Corporation Firmware-based trusted platform module for arm processor architectures and trustzone security extensions
US8782351B2 (en) 2011-10-13 2014-07-15 International Business Machines Corporation Protecting memory of a virtual guest
US9146767B2 (en) 2012-06-19 2015-09-29 Raytheon Company Secure cloud hypervisor monitor
US9049208B2 (en) * 2012-10-18 2015-06-02 Broadcom Corporation Set top box architecture supporting mixed secure and unsecure media pathways
KR101414580B1 (ko) * 2013-01-24 2014-07-16 한남대학교 산학협력단 다중 등급 기반 보안 리눅스 운영 시스템
US10198572B2 (en) * 2013-09-17 2019-02-05 Microsoft Technology Licensing, Llc Virtual machine manager facilitated selective code integrity enforcement
US20150082378A1 (en) * 2013-09-18 2015-03-19 Apcera, Inc. System and method for enabling scalable isolation contexts in a platform
WO2015176048A1 (en) * 2014-05-15 2015-11-19 Lynx Software Technologies, Inc. Aspects of hardware virtualization, hypervisors, code detection
CN103955438B (zh) * 2014-05-21 2016-11-23 南京大学 基于硬件辅助虚拟化技术的进程内存保护方法

Also Published As

Publication number Publication date
EP3201820B1 (en) 2023-10-25
KR20170067740A (ko) 2017-06-16
US9628279B2 (en) 2017-04-18
CN107077428B (zh) 2020-08-14
WO2016053923A1 (en) 2016-04-07
US20160092678A1 (en) 2016-03-31
CN107077428A (zh) 2017-08-18
EP3201820A1 (en) 2017-08-09

Similar Documents

Publication Publication Date Title
KR102355213B1 (ko) 운영 체제 공격으로부터 애플리케이션 기밀사항을 보호하는 기법
EP3281146B1 (en) Isolating guest code and data using multiple nested page tables
US10599489B2 (en) Processing a guest event in a hypervisor-controlled system
US9690947B2 (en) Processing a guest event in a hypervisor-controlled system
US10922402B2 (en) Securing secret data embedded in code against compromised interrupt and exception handlers
KR101323858B1 (ko) 가상화 시스템에서 메모리 접근을 제어하는 장치 및 방법
CN107533615B (zh) 用于利用安全飞地来强化数据加密的技术
US10644888B2 (en) Systems and methods for providing I/O state protections in a virtualized environment
KR101213572B1 (ko) 하이퍼바이저를 활용한 사용자 어플리케이션 메모리 보호방법
US11755753B2 (en) Mechanism to enable secure memory sharing between enclaves and I/O adapters
CN110874468B (zh) 应用程序安全保护方法以及相关设备
US11442770B2 (en) Formally verified trusted computing base with active security and policy enforcement
EP3178032B1 (en) Embedding secret data in code
WO2016164424A1 (en) Isolating guest code and data using multiple nested page tables
EP3314502B1 (en) Protecting state information for virtual machines
Shang A new hardware isolation architecture
Singh Fundamental of Windows

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant