KR102398014B1 - 커널영역에서의 접근통제 효율화 방법,그 프로그램 및 시스템 - Google Patents

커널영역에서의 접근통제 효율화 방법,그 프로그램 및 시스템 Download PDF

Info

Publication number
KR102398014B1
KR102398014B1 KR1020150118257A KR20150118257A KR102398014B1 KR 102398014 B1 KR102398014 B1 KR 102398014B1 KR 1020150118257 A KR1020150118257 A KR 1020150118257A KR 20150118257 A KR20150118257 A KR 20150118257A KR 102398014 B1 KR102398014 B1 KR 102398014B1
Authority
KR
South Korea
Prior art keywords
access
access right
information
access control
kernel area
Prior art date
Application number
KR1020150118257A
Other languages
English (en)
Other versions
KR20170022797A (ko
Inventor
이종건
김경남
박종하
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020150118257A priority Critical patent/KR102398014B1/ko
Publication of KR20170022797A publication Critical patent/KR20170022797A/ko
Application granted granted Critical
Publication of KR102398014B1 publication Critical patent/KR102398014B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

커널영역에서의 접근통제 방법에 있어서, 프로세스의 제1 객체에 대한 접근요청을 획득하는 단계; 접근요청에 대응하는 접근권한 정보가 기 저장된 접근권한 검사결과에 존재하는지 판단하는 단계; 판단 결과, 기 저장된 접근권한 검사결과에 접근요청에 대응하는 접근권한 정보가 존재하지 않는 경우, 기 설정된 접근권한 정책을 바탕으로 접근요청의 허용 여부를 결정하는 제1 결정 단계; 및 기 설정된 접근권한 정책을 바탕으로, 프로세스의, 제1 객체에 대한 접근권한 정보 및 제1 객체와 경로 관련성이 있는 관련 객체에 대한 접근권한 정보를, 기 저장된 접근권한 검사결과로서 기록하는 단계를 포함하는, 본 발명의 일 실시예에 따른 커널영역에서의 접근통제 방법이 개시된다.

Description

커널영역에서의 접근통제 효율화 방법,그 프로그램 및 시스템 {Method of Streamlining of Access Control in Kernel Layer, Program and System using thereof}
본 발명은 커널영역에서의 접근통제 효율화 방법, 그 프로그램 및 시스템에 관한 것이다. 보다 구체적으로, 본 발명은 시간적 또는 공간적 연관성에 기초하여 접근권한을 검사하고, 이를 저장 및 이용하여 커널영역에서의 접근통제를 효율적으로 구현하는 방법, 그 프로그램 및 시스템에 관한 것이다.
OS(Operating System)를 이용한 접근통제 기술은, 미리 설정된 보안정책에 근거하여, 시스템 콜 후킹을 통해 프로세스(Subject)가 접근하고자 하는 객체(Object)에 대한 정당한 권한을 갖는지를 우선적으로 결정하는 것을 그 주된 구성으로 한다.
여기서 시스템 콜이란, 커널영역이 특정기능(예: 파일 열기)을 수행하기 위하여 유저영역에서 호출 가능한 인터페이스로, 시스템 콜로 인해 프로세서의 제어가 유저영역에서 커널영역으로 전환되며, 해당기능 수행에 앞서 시스템 콜 후킹을 통해 프로세스의 객체에 대한 접근권한(해당 시스템 콜 서비스)을 검사할 수 있다.
즉, 이를 통해 기존의 OS에 의한 권한검사에 앞서, 접근통제를 수행할 수 있으므로, 보다 효과적인 보안체제를 구축할 수 있게 된다.
하지만, 이러한 Secure OS 영역에서의 접근통제 검사는, 각 프로세스별 객체에 대한 접근요청에 대응하여 일일이 수행되어야 하므로, 시스템상 과부하 초래 및 이로 인한 성능저하를 일으킬 수 있다는 단점이 있으며, 따라서 이를 개선한, 보다 효율적인 커널영역에서의 접근통제 방법의 구현이 필요한 실정이다.
본 발명의 일 실시예에 따른 커널영역에서의 접근통제 효율화 방법, 그 프로그램 및 시스템은 시간적 또는 공간적 연관성에 기초한 접근권한 검사결과를 저장하고, 이를 이용함으로써 커널영역에서의 접근통제 효율성을 증가시키는 것을 목적으로 한다.
또한, 본 발명의 일 실시예에 따른 커널영역에서의 접근통제 효율화 방법, 그 프로그램 및 시스템은 커널영역에서의 접근통제 효율성을 증가시켜, 시스템의 부하를 줄이면서 보안성을 확보하는 것을 목적으로 한다.
본 발명에서 이루고자 하는 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급하지 않은 또 다른 기술적 과제들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
본 발명의 일 실시예에 따른 커널영역에서의 접근통제 효율화 방법은,
프로세스의 제1 객체에 대한 접근요청을 획득하는 단계; 상기 접근요청에 대응하는 접근권한 정보가 기 저장된 접근권한 검사결과에 존재하는지 판단하는 단계; 상기 판단 결과, 상기 기 저장된 접근권한 검사결과에 상기 접근요청에 대응하는 접근권한 정보가 존재하지 않는 경우, 기 설정된 접근권한 정책을 바탕으로 상기 접근요청의 허용 여부를 결정하는 제1 결정 단계; 및 상기 기 설정된 접근권한 정책을 바탕으로, 상기 프로세스의, 상기 제1 객체에 대한 접근권한 정보 및 상기 제1 객체와 경로 관련성이 있는 관련 객체에 대한 접근권한 정보를, 상기 기 저장된 접근권한 검사결과로서 기록하는 단계를 포함할 수 있다.
상기 기록하는 단계는, 상기 제1 객체와 동일한 경로를 가지는 상기 관련 객체에 대한 접근권한 정보를, 상기 기 저장된 접근권한 검사결과로서 기록하는 단계를 포함할 수 있다.
상기 관련 객체는 상기 제1 객체와 동일한 형식을 가질 수 있다.
상기 기록하는 단계는, 상기 경로에 대한 정보 및, 상기 제1 객체와 관련 객체 사이에 공통되는 최소 접근권한 정보를, 상기 기 저장된 접근통제 검사결과에 기록하는 단계를 포함할 수 있다.
상기 커널영역에서의 접근통제 방법은, 상기 프로세스의 제2 객체에 대한 접근요청을 획득하는 단계; 상기 제2 객체에 대한 접근요청에 대응하는 접근권한 정보가 기 저장된 접근권한 검사결과에 존재하지 않으면, 상기 제2 객체에 대한 접근요청에 대응하는 경로 정보 및 최소 접근권한 정보가 상기 기 저장된 접근권한 검사결과에 존재하는지 판단하는 단계; 및 상기 판단 결과, 상기 기 저장된 접근권한 검사결과에 상기 경로 및 최소 접근권한 정보가 존재하는 경우, 해당 정보를 이용하여 상기 제2 객체에 대한 접근요청의 허용 여부를 결정하는 제2 결정 단계를 더 포함할 수 있다.
상기 기록하는 단계는 상기 제1 객체에 대한 접근권한 정보 및 상기 관련 객체에 대한 접근권한 정보를, 유효시간과 함께 기록하는 단계를 포함하되, 상기 유효시간이 만료되는 경우, 해당 정보는 삭제될 수 있다.
상기 커널영역에서의 접근통제 방법은 상기 판단 결과, 상기 기 저장된 접근권한 검사결과에 상기 프로세스의 상기 제1 객체에 대한 접근권한 정보가 존재하는 경우, 해당 정보를 이용하여 상기 접근요청의 허용 여부를 결정하는 제3 결정 단계를 포함할 수 있다.
상기 기록하는 단계는, 상기 제3 결정에 이용된 상기 해당 정보의 유효시간을 재설정하는 단계를 더 포함할 수 있다.
상기 기록하는 단계는, 상기 제3 결정에 이용된 상기 해당 정보의 참조값을 더하는 단계를 더 포함하되, 상기 기 저장된 접근권한 검사결과가 소정 용량을 초과하는 경우, 상기 참조값을 대비하여, 가장 적게 참조되거나, 가장 오래 전에 참조된 접근권한 정보는 삭제될 수 있다.
상기 커널영역에서의 접근통제 방법은, 상기 프로세스가 종료된 경우, 상기 기 저장된 접근권한 검사결과 중 상기 종료된 프로세스에 관한 접근권한 정보는 삭제하는 단계를 더 포함할 수 있다.
상기 커널영역에서의 접근통제 방법은, 상기 판단하는 단계 전에, 기 설정된 프로세스 접근권한 정책에 기초하여, 상기 접근요청의 허용 여부를 결정하는 단계를 더 포함할 수 있다.
상기 프로세스는 유저영역에서 동작하고, 상기 객체는 커널영역에 위치할 수 있다.
본 발명의 일 실시예에 따른 커널영역에서의 접근통제 효율화 시스템은,
프로세스의 객체에 대한 접근권한 정책을 관리하는 정책 관리부; 상기 프로세스의 제1 객체에 대한 접근요청에 대응하여, 상기 접근요청 허용 여부를 결정하는 접근통제 결정부; 및 상기 접근통제 결정부의 결정을 바탕으로, 상기 프로세스의, 상기 제1 객체에 대한 접근권한 정보 및 상기 제1 객체와 경로 관련성이 있는 관련 객체에 대한 접근권한 정보를 저장하는 연관성 관리부를 포함하되, 상기 접근통제 결정부는 상기 접근요청에 대응하는 접근권한 정보가 상기 연관성 관리부에 존재하는지 판단하고, 상기 판단 결과, 상기 연관성 관리부에 상기 프로세스의 상기 제1 객체에 대한 접근권한 정보가 존재하지 않는 경우, 상기 접근권한 정책을 바탕으로 상기 접근요청의 허용 여부를 결정할 수 있다.
상기 접근통제 결정부는 상기 판단 결과, 상기 연관성 관리부에 상기 프로세스의 상기 제1 객체에 대한 접근권한 정보가 존재하는 경우, 해당 정보를 이용하여 상기 접근요청의 허용 여부를 결정할 수 있다.
본 발명의 일 실시예에 따른 커널영역에서의 접근통제 효율화 방법, 그 프로그램 및 시스템은 시간적 또는 공간적 지역성에 기초한 접근권한 검사결과를 저장하고, 이를 이용함으로써 커널영역에서의 접근통제 효율성을 증가시킬 수 있다.
또한, 본 발명의 일 실시예에 따른 커널영역에서의 접근통제 효율화 방법, 그 프로그램 및 시스템은 커널영역에서의 접근통제 효율성을 증가시켜, 시스템의 부하를 줄이면서 보안성을 확보할 수 있다.
본 발명을 통해 이뤄지는 기술적 효과들은 이상에서 언급한 기술적 효과들로 제한되지 않으며, 언급하지 않은 또 다른 기술적 효과들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
도 1은 Secure OS의 기능을 개략적으로 도시한 도면이다.
도 2는 종래의 커널영역에서의 접근통제 시스템 구성에 대해 개략적으로 도시한 도면이다.
도 3은 종래의 커널영역에서의 접근통제 방법이 수행되는 일 예를 도시한 도면이다.
도 4는 본 발명의 일 실시예에 따른 커널영역에서의 접근통제 시스템 구성에 대해 개략적으로 도시한 도면이다.
도 5는 본 발명의 일 실시예에 따른 커널영역에서의 접근통제 효율화 방법을 도시한 순서도이다.
도 6은 본 발명의 다른 실시예에 따른 커널영역에서의 접근통제 효율화 방법을 도시한 순서도이다.
도 7은 본 발명의 또 다른 실시예에 따른 커널영역에서의 접근통제 효율화 방법을 도시한 순서도이다.
본 발명과 본 발명의 동작상의 이점 및 본 발명의 실시에 의하여 달성되는 목적을 설명하기 위하여, 이하에서는 본 발명의 바람직한 실시예를 예시하고 이를 참조하여 살펴본다.
먼저, 본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로서, 본 발명을 한정하려는 의도가 아니며, 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함할 수 있다. 또한 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서 상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
또한, 본 발명에서 사용되는 '부'라는 용어는 소프트웨어, FPGA 또는 ASIC과 같은 하드웨어 구성요소를 의미하며, '부'는 어떤 역할들을 수행한다. 그렇지만 '부'는 소프트웨어 또는 하드웨어에 한정되는 의미는 아니다. '부'는 어드레싱할 수 있는 저장 매체에 있도록 구성될 수도 있고 하나 또는 그 이상의 프로세서들을 재생시키도록 구성될 수도 있다. 따라서, 일 예로서 '부'는 소프트웨어 구성요소들, 객체지향 소프트웨어 구성요소들, 클래스 구성요소들 및 태스크 구성요소들과 같은 구성요소들과, 프로세스들, 함수들, 속성들, 프로시저들, 서브루틴들, 프로그램 코드의 세그먼트들, 드라이버들, 펌웨어, 마이크로 코드, 회로, 데이터, 데이터베이스, 데이터 구조들, 테이블들, 어레이들 및 변수들을 포함한다. 구성요소들과 '부'들 안에서 제공되는 기능은 더 작은 수의 구성요소들 및 '부'들로 결합되거나 추가적인 구성요소들과 '부'들로 더 분리될 수 있다.
한편, 본 발명을 설명함에 있어서, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략한다.
본 발명의 일 실시예에 따른, 커널영역에서의 접근통제 효율화 방법은, 시간적 또는 공간적 연관성 중 적어도 하나를 바탕으로 한 접근권한 검사를 수행하고, 이를 기록하여 차후 접근권한 검사 시 활용함으로써, 보다 효율적인 접근통제를 구현할 수 있다. 또한, 이를 통해 시스템의 부하 및 검사 비용을 줄이면서 보안성을 확보할 수 있다.
위와 같은, 본 발명에서 개시되는 커널영역에서의 접근통제 효율화 방법에 대하여, 아래에서 도면을 참조하여 자세히 설명한다.
도 1은 Secure OS의 기능을 개략적으로 도시한 도면이다. 도시된 바와 같이, Secure OS는 OS영역에서의 접근권한 등에 대한 검사에 앞서, 프로세스의 객체에 대한 접근을 통제함으로써, 시스템 내에서 보다 효과적인 보안정책이 구현될 수 있도록 한다.
상기 접근통제는 시스템 콜 후킹을 통해 이루어질 수 있으며, 관련된 보다 자세한 내용에 대해 도면 2를 참고하여 설명한다.
도 2는 종래의 커널영역에서의 접근통제 시스템 구성에 대해 개략적으로 도시한 도면이다. 도시된 바와 같이, 종래의 커널영역에서의 접근통제 시스템은 Secure OS(200) 내 정책 관리부(220) 및 접근통제 결정부(230)를 포함할 수 있다.
상기 정책 관리부(220)는 기 설정된 접근권한 정책을 저장할 수 있으며, 상기 접근통제 결정부(230)는 프로세스의 객체에 대한 접근요청에 기초하여, 상기 프로세스의 상기 객체에 대한 접근권한을 결정할 수 있다.
구체적으로는, 상기 접근통제 결정부(230)는 상기 정책 관리부(220)에 기 설정된 접근권한 정책을 바탕으로, 시스템 콜 후킹을 통해 상기 프로세스의 상기 객체에 대한 접근요청에 대응하는 접근통제를 수행할 수 있다.
Figure 112015081482249-pat00001
위 표 1에 도시된 바와 같이, 상기 정책 관리부(220)에 기 설정된 접근권한 정책은, 프로세스속성별 객체 및 오퍼레이션에 따른 통제 여부 정보를 포함할 수 있으며, 상기 접근통제 결정부(230)는 상기 접근권한 정책을 바탕으로, 시스템 콜 후킹을 통해 상기 접근요청에 대응하는 접근권한을 판단함으로써, 기존 OS 영역에서의 보안기능 수행에 앞서 시스템의 보안성을 확보할 수 있다.
한편, 상기 프로세스는 접속 IP 주소 등을 포함하는 사용자 계정 및 프로세스를 포함할 수 있다.
도 3은 종래의 커널영역에서의 접근통제 방법이 수행되는 일 예를 도시한 도면이다. 도시된 바와 같이, 종래의 커널영역에서의 접근통제 방법은 상기 접근요청이 발생할 때마다 상기 정책 관리부(220)의 정보를 바탕으로 상기 접근통제 결정부(230)에서 접근통제를 수행함으로써, 동일한 객체에 대한 중복 검사가 수행될 수 있다.
이로 인해, 종래의 커널영역에서의 접근통제 방법에 의해서는, 접근통제에 소요되는 시간 및 비용이 늘어나게 되며, 또한, 이로 인해 시스템상에 과도한 부하를 초래하여 전체 성능을 저하시킨다는 단점이 있다.
따라서, 이러한 점을 개선하기 위해, 본 발명의 일 실시예에 따른 커널영역에서의 접근통제 효율화 방법에서는, 연관성 관리부(410)를 이용한 커널영역에서의 접근통제를 개시함으로써, 기존에 비해 접근통제에 소요되는 시간 및 비용을 줄인, 효율적인 접근통제 방법을 구현한다. 이에 관하여는 도 4 내지 도 7을 참고하여 아래에서 자세히 설명한다.
도 4는 본 발명의 일 실시예에 따른 커널영역에서의 접근통제 시스템 구성에 대해 개략적으로 도시한 도면이다. 도시된 바와 같이, 본 발명의 일 실시예에 따른 커널영역에서의 접근통제 시스템은 Secure OS(400) 내 연관성 관리부(410), 정책 관리부(420) 및 접근통제 결정부(430)를 포함할 수 있다.
상기 연관성 관리부(410)는 상기 프로세스의 상기 제1 객체에 대한 접근요청에 대응하는 접근권한 정보 및 상기 제1 객체와 경로 관련성이 있는 관련 객체에 대한 접근권한 정보를 저장할 수 있다. 저장된 상기 접근권한 정보를 토대로, 상기 접근통제 결정부(430)는 상기 정책 관리부(420) 정책정보에 우선하여, 상기 접근요청에 대응하는 접근권한 허용 여부를 보다 효율적으로 결정할 수 있다.
구체적으로는, 상기 연관성 관리부(410)는 상기 접근통제 결정부(430)의 접근권한 허용 여부 결정을 바탕으로, 상기 접근권한 정보를 저장할 수 있으며, 상기 저장은 상기 접근통제 결정부(430)의 상기 연관성 관리부(410)에 대한 기록을 통해 이뤄질 수 있다.
그리고, 상기 관련 객체는 상기 제1 객체와 동일한 경로를 가지는 객체를 포함할 수 있으며, 상기 제1 객체와 동일한 형식을 가질 수 있다. 일 예로, 상기 제1 객체가 /lib/x86_64-linux-gnu/libselinux.so.1 파일 인 경우, 상기 관련 객체는 /lib/x86_64-linux-gnu/ 디렉토리 내 모든 파일을 포함할 수 있다.
한편, 기록되는 상기 접근권한 정보는, 상기 정책 관리부(420)의 접근권한 정책정보에 저장된 상기 프로세스의 상기 제1 객체와 관련 객체에 대한 접근권한 정보 및 상기 접근권한 정책정보를 바탕으로 한 접근요청 허용 여부 결정 정보 중 적어도 하나를 포함할 수 있다.
상기 연관성 관리부(410)는 캐시 메모리에 위치하여, 보다 더 효율적인 접근 통제가 구현되도록 할 수 있다.
상기 연관성 관리부(410)에 대해, 정책 관리부(420) 및 접근통제 결정부(430)와 함께 아래에서 보다 자세히 설명한다.
상기 정책 관리부(420)는 위 표 1과 같이, 프로세스의 객체에 대한 접근권한 정책정보를 저장할 수 있다. 상기 프로세스는 사용자 계정 정보를 포함한 프로세스 정보를 포함할 수 있으며, 상기 객체는 파일, 디렉토리 등을 포함하며, 상기 제1 객체를 포함할 수 있다.
일 예로, 상기 정책 관리부(420)는 특정 사용자 계정 내 특정 프로세스가 접근요청하는 파일 또는 디렉토리에 대한 접근권한 정보를 저장하고 있을 수 있다.
한편, 상기 프로세스는 사용자의 입력 등을 바탕으로 유저영역에서 동작하고, 상기 제1 객체는 커널영역에 위치함으로써, Secure OS에 의한 접근통제가 구현될 수 있다.
상기 접근통제 결정부(430)는 상기 프로세스의 상기 제1 객체에 대한 접근요청에 대응하여, 상기 접근요청의 허용 여부를 결정할 수 있다.
일 예로, 상기 정책 관리부(420)에 기 저장된 접근권한 정책정보 중 Root 계정 내 프로세스 B의 /lib/x86_64-linux-gnu/libselinux.so.1 에 대한 접근권한이 ReadOnly 일 때, 상기 Root 계정 내 프로세스 B의 상기 /lib/x86_64-linux-gnu/libselinux.so.1 에 대한 Write 접근요청이 있는 경우, 상기 접근통제 결정부(330)는 상기 접근요청을 거부(Deny)할 수 있다.
한편, 상기 접근통제 결정부(430)는 상기 프로세스의 상기 제1 객체에 대한 접근권한 정보를 상기 연관성 관리부(410)에 기록할 수 있으며, 이로 인해 향후, 상기 프로세스의 상기 객체에 대한 접근요청시, 정책 관리부(420)를 통한 중복된 판단에 우선하여, 연관성 관리부(410)에 저장된 접근권한 정보를 이용함으로써, 보다 효율적인 접근통제를 구현할 수 있다.
또한, 더 나아가, 본 발명의 일 실시예에 따른 커널영역에서의 접근통제 시스템은, 상기 프로세스의 상기 제1 객체와 경로 관련성이 있는 관련 객체에 대한 접근권한 정보를 상기 연관성 관리부(410)에 함께 기록할 수 있다.
이는 앞서 도 3에 도시된 바와 같이, 상기 프로세스의 객체에 대한 접근요청시, 동일한 경로 또는 인접한 경로에 속하는 객체에 대한 차후 접근요청 가능성이 높으므로, 최초 접근요청시 관련 객체에 대한 접근권한을 함께 판단하고, 상기 판단 결과를 상기 연관성 관리부(410)에 기록함으로써 보다 더 효율적인 커널영역에서의 접근통제 방법을 구현할 수 있게 하기 위함이다.
즉, 상기 기록은, 차후 참조 가능성이 높은, 상기 프로세스의 상기 제1 객체와 경로 관련성이 있는 다른 객체에 대한 접근권한 정보에 대해서도 이루어질 수 있다. 일 예로, 상기 접근통제 결정부(430)는 상기 제1 객체 및 상기 제1 객체와 동일한 경로를 가지는 모든 객체에 대한 접근권한 정보를 상기 연관성 관리부(410)에 기록할 수 있다.
이를 통해, 상기 접근통제 결정부(430)는 상기 정책 관리부(420)에 기 저장된 접근권한 정책정보에 기초한 접근요청 허용 여부 결정((설명의 편의를 위해, 이하에서 상기 결정은 '제1 결정'이라 한다.)에 우선하여, 상기 연관성 관리부(410)에 기록된 접근권한 정보를 이용한 접근요청 허용 여부 결정을 수행함으로써, 보다 효율적인 접근통제를 구현할 수 있다.
Figure 112015081482249-pat00002
또한, 위 표 2에 도시된 바와 같이, 상기 연관성 관리부(410)는 프로세스 및 객체별 요청권한, 유효시간, 접근통제 검사결과 정보 등을 저장할 수 있다.
상기 유효시간은 해당 정보의 존속시간을 의미할 수 있다. 즉, 상기 유효시간이 만료되는 경우, 해당 정보는 삭제될 수 있다.
Figure 112015081482249-pat00003
또한, 위 표 3에 도시된 바와 같이, 상기 연관성 관리부(410)는 프로세스 및 객체별 접근권한, 유효시간, 참조값 정보 등을 저장하고 있을 수 있다.
상기 접근권한은 상기 정책 관리부(420)에 저장된 접근권한 정책정보에 기초한, 접근권한 정보를 포함할 수 있으며, 상기 참조값은 해당 접근권한 정보가 상기 접근통제 판단부(430)에서 이용된 횟수를 의미할 수 있다.
상기 참조값을 대비하여, 가장 적게 참조되거나, 가장 오래 전에 참조된 접근권한 정보는 삭제될 수 있다. 일 예로, 상기 기 저장된 접근권한 검사결과가 소정 용량을 초과하는 경우, 가장 적게 참조되거나, 가장 오래 전에 참조된 접근권한 정보는 삭제될 수 있다.
Figure 112015081482249-pat00004
또한, 위 표 4에 도시된 바와 같이, 상기 연관성 관리부(410)는 특정 디렉토리에 대한 최소 접근권한 정보가 기록될 수 있다.
일 예로, 상기 접근통제 결정부(430)는 /lib/x86_64-linux-gnu/ 디렉토리 내에 포함된 모든 객체(파일, 디렉토리 등)에 대한 접근권한을 판단한 후, 공통되는 최소 접근권한 정보를 상기 연관성 관리부(410)에 저장할 수 있다.
이를 통해, 차후 상기 프로세스의 상기 디렉토리 내에 포함된 제2 객체에 대한 접근요청 시, 상기 접근통제 결정부(420)는 상기 경로(디렉토리) 및 최소 접근권한 정보가 상기 연관성 관리부(410)의 기 저장된 접근권한 검사결과에 존재하는지 판단하고, 상기 판단 결과, 상기 기 저장된 접근권한 검사결과에 상기 경로 및 최소 접근권한 정보가 존재하는 경우, 해당 정보를 이용하여 상기 접근요청의 허용 여부를 결정할 수 있다(설명의 편의를 위해, 이하에서 상기 결정은 '제2 결정'이라 한다.).
일 예로, 상기 경로 및 최소 접근권한 정보가 상기 접근요청에서의 권한 요청을 만족하는 경우, 해당 접근요청을 허용할 수 있으며, 만족하지 못하는 경우, 상기 정책 관리부(420)에 저장된 접근권한 정책정보에 기초하여, 접근요청 허용 여부를 결정할 수 있다.
다만, 상기 연관성 관리부(410)에 해당 접근요청에 대한 다른 기 저장된 접근권한 검사결과, 즉 최소 접근권한 정보가 아닌, 일반 접근권한 정보 등이 존재한다면, 상기 접근통제 결정부(420)는 상기 접근권한 정책정보에 기초한 접근요청 허용 여부에 우선하여, 해당 접근권한 검사결과를 이용하여 상기 접근요청에 대한 허용 여부를 결정함으로써, 시스템 부하를 줄이면서 보안성을 확보할 수 있다.
상술한 바와 같이, 본 발명의 일 실시예에 따른 상기 접근통제 결정부(430)는 상기 제1 결정에 우선하여, 상기 연관성 관리부(410)에 기록된 접근권한 정보를 이용하여 프로세스의 객체에 대한 접근요청의 허용 여부를 결정(설명의 편의를 위해, 이하에서 상기 결정은 '제3 결정'이라 한다.)함으로써, 종래의 기술보다 효율적인 접근통제를 구현할 수 있다.
한편, 상기 접근통제 결정부(420)가 아닌, 상기 연관성 관리부(410)에서 상기 제1 결정과 관련된, 객체들에 대한 접근권한 검사 및 기록 등이 수행될 수도 있다. 즉, 본 발명의 일 실시예에 따른 구성별 수행 기능은 본 명세서 기재사항에 의해 제한되는 것은 아니며, 사용자의 구성에 따라 변경 또는 응용될 수 있다.
상기 본 발명의 일 실시예에 따른 커널영역에서의 접근통제 시스템에 의한 커널영역에서의 접근통제 효율화 방법에 대해 아래에서 도 5를 참고하여 보다 자세히 설명한다.
도 5는 본 발명의 일 실시예에 따른 커널영역에서의 접근통제 효율화 방법을 도시한 순서도이다.
S510 단계에서, 프로세스의 제1 객체에 대한 접근요청에 대응하는 접근권한 검사결과가 존재하는지 판단할 수 있다.
상기 판단은 상기 접근통제 결정부에서 이루어질 수 있으며, 상기 접근권한 검사결과는 연관성 관리부에 기록되어 있을 수 있다. 이에 관하여는 위에서 자세히 설명하였으므로 생략하기로 한다.
한편, 접근권한 검사결과는 상기 접근권한 정보 자료를 포함할 수 있으며, 상기 접근권한 정보는, 상기 정책 관리부(420)의 정책정보에 저장된 상기 프로세스의 상기 제1 객체에 대한 접근권한 정보 및 상기 정책 관리부(420)의 정책정보를 바탕으로 한 접근요청 허용 여부 결정 정보 중 적어도 하나를 포함할 수 있다.
S520 단계에서, S510 단계에서의 판단 결과, 상기 접근권한 검사결과에 상기 프로세스의 상기 제1 객체에 대한 접근권한 정보가 존재하지 않는 경우, 기 설정된 접근권한 정책을 바탕으로 상기 프로세스의 상기 객체에 접근요청의 허용 여부를 결정할 수 있다(제1 결정).
구체적으로는, 상기 연관성 관리부에 상기 접근요청에 대응하는 접근권한 검사결과가 존재하지 않는 경우, 상기 접근통제 결정부는 상기 정책 관리부에 저장된 접근권한 정책을 바탕으로, 상기 접근요청의 허용 여부를 결정할 수 있다.
S530 단계에서, 상기 기 설정된 접근권한 정책을 바탕으로, 상기 프로세스의, 상기 제1 객체 및 상기 제1 객체와 경로 관련성이 있는 관련 객체에 대한 접근권한을 판단하고, 이를 상기 접근권한 검사결과로서 기록할 수 있다.
상술한 바와 같이, 상기 제1 객체와 경로 관련성이 있는 관련 객체들의 경우, 차후 참조 가능성이 높으므로 미리 해당 접근권한 정보를 기록하여 보다 효율적인 접근통제를 수행할 수 있도록 한다.
한편, 상기 경로 관련성은, 동일 경로에 존재하는 객체들에 대하여 상기 경로 관련성이 있는 것으로 판단할 수 있다. 또한 기 접근요청 이력을 바탕으로, 상기 경로 관련성을 분석·판단하여 적용할 수도 있다.
도 6은 본 발명의 다른 실시예에 따른 커널영역에서의 접근통제 효율화 방법을 도시한 순서도이다.
S610 단계에서, 프로세스의 제1 객체에 대한 접근요청에 대응하는 접근권한 검사결과가 존재하는지 판단할 수 있다.
상기 판단은 상기 접근통제 결정부에서 이루어질 수 있으며, 상기 접근권한 검사결과는 연관성 관리부에 기록되어 있을 수 있다. 이에 관하여는 위에서 자세히 설명하였으므로 생략하기로 한다.
S620 단계에서, S610 단계에서의 판단 결과, 상기 접근권한 검사결과에 상기 프로세스의 상기 제1 객체에 대한 접근권한 정보가 있는 경우, 해당 정보를 이용하여 상기 프로세스의 상기 제1 객체에 대한 접근요청 허용 여부를 결정할 수 있다(제3 결정).
즉, 상기 접근통제 결정부는 상기 연관성 관리부에 기록된 접근권한 검사결과에 상기 프로세스의 상기 제1 객체에 대한 접근권한 정보가 있는 경우, 상기 제1 결정에 우선하여, 상기 접근요청 허용 여부를 결정함으로써, 보다 효율적인 접근통제를 구현할 수 있다(제3 결정).
한편, 상기 접근권한 정보는, 상기 프로세스의 상기 제1 객체에 대한 접근권한 정보 및 접근요청 허용 여부 결정 정보 중 적어도 하나를 포함할 수 있다.
도 7은 본 발명의 또 다른 실시예에 따른 커널영역에서의 접근통제 효율화 방법을 도시한 순서도이다. 도시된 바와 같이, 도 7은 프로세스의 제1 객체에 대한 접근요청에 대응하는 접근권한 검사결과가 존재하지 않는 경우(S710, S720, S730, S740, S750) 및 존재하는 경우(S710, S720, S760, S770)에 대한 또 다른 실시예를 모두 도시한 순서도로써, 각 단계별 구성 중 상술한 내용과 겹치는 부분에 대해서는 설명을 생략하기로 한다.
S710 단계에서, 프로세스의 제1 객체에 대한 접근요청에 대응하는 접근권한 검사결과가 존재하는지 판단할 수 있다.
S720 단계에서, 상기 접근권한 검사결과 내에 상기 접근요청에 대응하는 접근권한 정보의 유무를 판단할 수 있다.
S730 단계에서, 상기 접근권한 검사결과 내 해당 접근권한 정보가 없는 경우, 기 설정된 접근권한 정책을 바탕으로 상기 프로세스의 상기 제1 객체에 대한 접근요청 허용 여부를 결정할 수 있다.
S740 단계에서, 상기 제1 객체의 경로 및 상기 경로 내 모든 객체의 최소 접근권한 정보를 기록할 수 있다.
일 예로, 앞서 표 4에 도시된 바와 같이, /lib/x86_64-linux-gnu/ 디렉토리 내에 포함된 모든 객체(파일, 디렉토리 등)에 대한 접근권한을 판단한 후, 해당 객체들 사이에서 공통되는 최소 접근권한 정보가 기록될 수 있다.
이는, 차후 상기 프로세스의 상기 디렉토리 내에 포함된 특정 객체에 대한 접근요청 시, 상기 경로(디렉토리) 및 최소 접근권한 정보가 기 저장된 접근권한 검사결과에 존재하는지 판단하고, 상기 판단 결과, 상기 기 저장된 접근권한 검사결과에 상기 경로 및 최소 접근권한 정보가 존재하는 경우, 해당 정보를 이용하여 상기 접근요청의 허용 여부를 결정할 수 있도록 하는데, 이용될 수 있다.
즉, 상기 경로 및 최소 접근권한 정보가 상기 접근요청에서의 권한 요청을 만족하는 경우, 해당 접근요청을 허용할 수 있으며, 만족하지 못하는 경우, 기 저장된 접근권한 정책정보에 기초하여, 접근요청 허용 여부를 결정할 수 있다(제2 결정).
S750 단계에서, 해당 접근권한 정보의 유효시간 및 참조값을 기록할 수 있다.
상기 유효시간 및 참조값은, 기 저장된 접근권한 검사결과에 할당된 용량을 효율적으로 이용하기 위한 것으로써, 상기 유효시간이 만료되는 경우, 해당 접근권한 정보는 삭제될 수 있다.
한편, 접근요청 허용 여부 결정에 이용된 상기 해당 정보의 유효시간은 재설정될 수 있으며, 이를 통해 이용된 상기 해당 정보를 더 장시간 저장할 수 있다.
또한, 상기 접근요청 허용 여부 결정에 이용된 상기 해당 정보의 참조값을 더할 수 있으며, 상기 참조값에 기초하여, 상기 기 저장된 접근권한 검사결과가 소정 용량을 초과하는 경우 가장 적게 참조된 접근권한 정보는 삭제될 수 있다.
한편, 상기 참조값 기록시, 기록시간 또한 저장함으로써 가장 오래 전에 참조된 접근권한 정보는 삭제될 수 있다.
S760 단계에서, 상기 접근권한 검사결과 내 해당 접근권한 정보가 존재하는 경우, 상기 접근권한 정보를 이용하여 상기 접근요청 허용 여부를 결정할 수 있다.
S770 단계에서, 이용된 상기 접근권한 정보의 유효시간 및 참조값을 변경할 수 있다.
이는 S750 단계에서 설명한 바와 같이, 기 저장된 접근권한 검사결과에 할당된 용량을 효율적으로 이용하기 위한 것이다.
또한, 본 발명의 또 다른 실시예에 따른 커널영역에서의 접근통제 방법은, 프로세스가 종료되는 경우, 상기 기 저장된 접근권한 검사결과 중 상기 종료된 프로세스에 관한 접근권한 정보는 삭제함으로써, 상기 기 저장된 접근권한 검사결과에 할당된 용량을 보다 더 효율적으로 이용할 수 있다.
한편, 본 발명의 일 실시예에 따른 커널영역에서의 접근통제 방법, 그 프로그램 및 시스템은 프로세스의 객체에 대한 접근요청에 대응하여, 상기 프로세스의 상기 객체에 대한 접근통제를 결정하기 전에, 기 설정된 프로세스 접근권한 정책에 기초하여, 상기 프로세스의 접근요청 허용 여부를 결정하는 단계를 더 포함할 수 있다.
상술한 바와 같이, 본 발명의 일 실시예에 따른 커널영역에서의 접근통제 방법은, 연관성 관리부(410), 정책 관리부(320) 및 접근통제 결정부(330) 등을 이용하여, 시스템 콜 후킹을 통한 Secure OS 영역에서의 접근통제를 보다 효율적으로 구현할 수 있다.
한편, 본 발명의 일 실시예에 따른 커널영역에서의 접근통제 방법은 컴퓨터상에서 수행하기 위한 프로그램을 포함하는 컴퓨터 판독가능 저장 매체를 포함할 수 있다. 상기 컴퓨터 판독가능 저장 매체는 프로그램 명령, 로컬 데이터 파일, 로컬 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체는 본 발명을 위하여 특별히 설계되고 구성된 것들일 수 있다. 컴퓨터 판독가능 저장 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM, DVD와 같은 광 기록 매체, 플롭티컬 디스크와 같은 자기-광 매체 및 롬, 램, 플래시 메모리 등과 같은, 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함할 수 있다.
이상과 첨부된 도면을 참조하여 본 발명의 실시예를 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 일 예로, 연관성 관리부(410), 정책 관리부(320) 및 접근통제 결정부(330)에서 수행되는 각 기능들은, 수행프로세스가 그에 한정되는 것이 아니라 본 발명의 목적을 달성하기 위한 다양한 방향에서 변형되어 수행될 수 있다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다.
100 : Secure OS
200, 400 : 커널영역에서의 접근통제 시스템
220, 420 : 정책 관리부
230, 430 : 접근통제 결정부
410 : 연관성 관리부

Claims (15)

  1. 프로세스의 제1 객체에 대한 접근요청을 획득하는 단계;
    상기 접근요청에 대응하는 접근권한 정보가 기 저장된 접근권한 검사결과에 존재하는지 판단하는 단계;
    상기 판단 결과, 상기 기 저장된 접근권한 검사결과에 상기 접근요청에 대응하는 접근권한 정보가 존재하지 않는 경우, 기 설정된 접근권한 정책을 바탕으로 상기 접근요청의 허용 여부를 결정하는 제1 결정 단계; 및
    상기 기 설정된 접근권한 정책을 바탕으로, 상기 프로세스의, 상기 제1 객체에 대한 접근권한 정보 및 상기 제1 객체와 경로 관련성이 있는 관련 객체에 대한 접근권한 정보를, 상기 기 저장된 접근권한 검사결과로서 기록하는 단계를 포함하는 것으로,
    상기 기록하는 단계는,
    상기 경로에 대한 정보 및, 상기 제1 객체와 관련 객체 사이에 공통되는 최소 접근권한 정보를, 상기 기 저장된 접근통제 검사결과에 기록하는 단계를 포함하는, 커널영역에서의 접근통제 방법.
  2. 제1항에 있어서,
    상기 기록하는 단계는,
    상기 제1 객체와 동일한 경로를 가지는 상기 관련 객체에 대한 접근권한 정보를, 상기 기 저장된 접근권한 검사결과로서 기록하는 단계를 포함하는, 커널영역에서의 접근통제 방법.
  3. 제2항에 있어서,
    상기 관련 객체는
    상기 제1 객체와 동일한 형식을 갖는, 커널영역에서의 접근통제 방법.
  4. 삭제
  5. 제1항에 있어서,
    상기 커널영역에서의 접근통제 방법은,
    상기 프로세스의 제2 객체에 대한 접근요청을 획득하는 단계;
    상기 제2 객체에 대한 접근요청에 대응하는 접근권한 정보가 기 저장된 접근권한 검사결과에 존재하지 않으면,
    상기 제2 객체에 대한 접근요청에 대응하는 경로 정보 및 최소 접근권한 정보가 상기 기 저장된 접근권한 검사결과에 존재하는지 판단하는 단계; 및
    상기 판단 결과, 상기 기 저장된 접근권한 검사결과에 상기 경로 및 최소 접근권한 정보가 존재하는 경우, 해당 정보를 이용하여 상기 제2 객체에 대한 접근요청의 허용 여부를 결정하는 제2 결정 단계를 더 포함하는, 커널영역에서의 접근통제 방법.
  6. 제1항에 있어서,
    상기 기록하는 단계는
    상기 제1 객체에 대한 접근권한 정보 및 상기 관련 객체에 대한 접근권한 정보를, 유효시간과 함께 기록하는 단계를 포함하되,
    상기 유효시간이 만료되는 경우, 해당 정보는 삭제되는 것을 특징으로 하는, 커널영역에서의 접근통제 방법.
  7. 제1항에 있어서,
    상기 커널영역에서의 접근통제 방법은
    상기 판단 결과, 상기 기 저장된 접근권한 검사결과에 상기 프로세스의 상기 제1 객체에 대한 접근권한 정보가 존재하는 경우, 해당 정보를 이용하여 상기 접근요청의 허용 여부를 결정하는 제3 결정 단계를 포함하는, 커널영역에서의 접근통제 방법.
  8. 제7항에 있어서,
    상기 기록하는 단계는,
    상기 제3 결정에 이용된 상기 해당 정보의 유효시간을 재설정하는 단계를 더 포함하는, 커널영역에서의 접근통제 방법.
  9. 제7항에 있어서,
    상기 기록하는 단계는,
    상기 제3 결정에 이용된 상기 해당 정보의 참조값을 더하는 단계를 더 포함하되,
    상기 참조값을 대비하여, 가장 적게 참조되거나, 가장 오래 전에 참조된 접근권한 정보는 삭제되는 것을 특징으로 하는, 커널영역에서의 접근통제 방법.
  10. 제1항에 있어서,
    상기 커널영역에서의 접근통제 방법은,
    상기 프로세스가 종료된 경우, 상기 기 저장된 접근권한 검사결과 중 상기 종료된 프로세스에 관한 접근권한 정보는 삭제하는 단계를 더 포함하는, 커널영역에서의 접근통제 방법.
  11. 제1항에 있어서,
    상기 커널영역에서의 접근통제 방법은,
    상기 판단하는 단계 전에,
    기 설정된 프로세스 접근권한 정책에 기초하여, 상기 접근요청의 허용 여부를 결정하는 단계를 더 포함하는, 커널영역에서의 접근통제 방법.
  12. 제1항에 있어서,
    상기 프로세스는 유저영역에서 동작하고,
    상기 객체는 커널영역에 위치하는 것을 특징으로 하는, 커널영역에서의 접근통제 방법.
  13. 하드웨어와 결합되어, 제1항 내지 제3항, 제5항 내지 제12항 중 적어도 어느 한 항에 기재된 커널영역에서의 접근통제 방법을 실행시키기 위하여 매체에 저장된 프로그램.
  14. 프로세스의 객체에 대한 접근권한 정책을 관리하는 정책 관리부;
    상기 프로세스의 제1 객체에 대한 접근요청에 대응하여, 상기 접근요청 허용 여부를 결정하는 접근통제 결정부; 및
    상기 접근통제 결정부의 결정을 바탕으로, 상기 프로세스의, 상기 제1 객체에 대한 접근권한 정보 및 상기 제1 객체와 경로 관련성이 있는 관련 객체에 대한 접근권한 정보를 저장하는 연관성 관리부를 포함하되,
    상기 접근통제 결정부는
    상기 접근요청에 대응하는 접근권한 정보가 상기 연관성 관리부에 존재하는지 판단하고, 상기 판단 결과, 상기 연관성 관리부에 상기 프로세스의 상기 제1 객체에 대한 접근권한 정보가 존재하지 않는 경우, 상기 접근권한 정책을 바탕으로 상기 접근요청의 허용 여부를 결정하고,
    상기 연관성 관리부는
    상기 경로에 대한 정보 및, 상기 제1 객체와 관련 객체 사이에 공통되는 최소 접근권한 정보를 저장하는 것을 특징으로 하는, 커널영역에서의 접근통제 시스템.
  15. 제14항에 있어서,
    상기 접근통제 결정부는
    상기 판단 결과, 상기 연관성 관리부에 상기 프로세스의 상기 제1 객체에 대한 접근권한 정보가 존재하는 경우, 해당 정보를 이용하여 상기 접근요청의 허용 여부를 결정하는 것을 특징으로 하는, 커널영역에서의 접근통제 시스템.
KR1020150118257A 2015-08-21 2015-08-21 커널영역에서의 접근통제 효율화 방법,그 프로그램 및 시스템 KR102398014B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150118257A KR102398014B1 (ko) 2015-08-21 2015-08-21 커널영역에서의 접근통제 효율화 방법,그 프로그램 및 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150118257A KR102398014B1 (ko) 2015-08-21 2015-08-21 커널영역에서의 접근통제 효율화 방법,그 프로그램 및 시스템

Publications (2)

Publication Number Publication Date
KR20170022797A KR20170022797A (ko) 2017-03-02
KR102398014B1 true KR102398014B1 (ko) 2022-05-16

Family

ID=58426924

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150118257A KR102398014B1 (ko) 2015-08-21 2015-08-21 커널영역에서의 접근통제 효율화 방법,그 프로그램 및 시스템

Country Status (1)

Country Link
KR (1) KR102398014B1 (ko)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10824745B2 (en) * 2017-04-19 2020-11-03 Servicenow, Inc. System for accessing a kernel space of an operating system with access control functionality
KR101956725B1 (ko) * 2018-12-06 2019-03-11 주식회사 아신아이 인가된 실행 파일 및 동적 라이브러리 파일 기반 서버 접근 통제 시스템
KR102542052B1 (ko) * 2023-02-03 2023-06-13 주식회사 피앤피시큐어 커널 레벨에서의 로그 카운트 처리장치와 처리시스템 및 이를 이용한 로그 카운트 방법

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006053788A (ja) * 2004-08-12 2006-02-23 Ntt Docomo Inc ソフトウェア動作監視装置及びソフトウェア動作監視方法
JP2006155416A (ja) * 2004-11-30 2006-06-15 Ntt Docomo Inc アクセス制御装置及びアクセス制御方法
JP2007133632A (ja) * 2005-11-10 2007-05-31 Hitachi Software Eng Co Ltd セキュリティポリシー設定方法及びプログラム
JP4077200B2 (ja) * 2000-04-14 2008-04-16 シキュウヴ カンパニー リミテッド 電子署名認証に基づいたファイルシステムの保護方法及び装置
KR100882348B1 (ko) * 2006-12-07 2009-02-13 한국전자통신연구원 보안 운영 체제를 위한 보안 정책 설정 방법 및 장치

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4077200B2 (ja) * 2000-04-14 2008-04-16 シキュウヴ カンパニー リミテッド 電子署名認証に基づいたファイルシステムの保護方法及び装置
JP2006053788A (ja) * 2004-08-12 2006-02-23 Ntt Docomo Inc ソフトウェア動作監視装置及びソフトウェア動作監視方法
JP2006155416A (ja) * 2004-11-30 2006-06-15 Ntt Docomo Inc アクセス制御装置及びアクセス制御方法
JP2007133632A (ja) * 2005-11-10 2007-05-31 Hitachi Software Eng Co Ltd セキュリティポリシー設定方法及びプログラム
KR100882348B1 (ko) * 2006-12-07 2009-02-13 한국전자통신연구원 보안 운영 체제를 위한 보안 정책 설정 방법 및 장치

Also Published As

Publication number Publication date
KR20170022797A (ko) 2017-03-02

Similar Documents

Publication Publication Date Title
CN107870968B (zh) 对文件系统卷执行实时更新
JP4931255B2 (ja) 仮想化されたファイル・システム
US8621605B2 (en) Method for reducing the time to diagnose the cause of unexpected changes to system files
US9058212B2 (en) Combining memory pages having identical content
US10318275B2 (en) Software update apparatus and method in virtualized environment
KR101931779B1 (ko) 가상 머신 내부의 파일 접근 모니터링 장치 및 그 방법
US10402378B2 (en) Method and system for executing an executable file
KR102398014B1 (ko) 커널영역에서의 접근통제 효율화 방법,그 프로그램 및 시스템
US11347717B2 (en) Generalized verification scheme for safe metadata modification
US20170109372A1 (en) File access system, method, and program
US10509767B2 (en) Systems and methods for managing snapshots of a file system volume
US11151247B2 (en) System and method for detecting malware injected into memory of a computing device
US20160283152A1 (en) Resource access control
US9330016B2 (en) Systems and methods for managing read-only memory
US20160170911A1 (en) Systems and/or methods for policy-based access to data in memory tiers
US11394748B2 (en) Authentication method for anonymous account and server
US9009430B2 (en) Restoration of data from a backup storage volume
US10007437B2 (en) Management apparatus, storage system, method, and computer readable medium
KR101857575B1 (ko) 악성코드탐지시스템 및 악성코드 탐지 방법
US20170039110A1 (en) Computer
KR20160113483A (ko) 스냅샷 이미지 업데이트 장치 및 방법
US9436408B2 (en) Direct hinting for a memory device
KR102084778B1 (ko) 접근 통제 방법 및 그 장치
US20170192694A1 (en) Movement-driven selection of a data storage location or device
CN111913915A (zh) 文件隐藏方法和装置

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant