KR102411920B1 - 전자 장치 및 그 제어 방법 - Google Patents

전자 장치 및 그 제어 방법 Download PDF

Info

Publication number
KR102411920B1
KR102411920B1 KR1020170148241A KR20170148241A KR102411920B1 KR 102411920 B1 KR102411920 B1 KR 102411920B1 KR 1020170148241 A KR1020170148241 A KR 1020170148241A KR 20170148241 A KR20170148241 A KR 20170148241A KR 102411920 B1 KR102411920 B1 KR 102411920B1
Authority
KR
South Korea
Prior art keywords
execution mode
stored
access
code
memory
Prior art date
Application number
KR1020170148241A
Other languages
English (en)
Other versions
KR20190052510A (ko
Inventor
김동욱
강병훈
하승현
장대희
장진수
홍석
Original Assignee
삼성전자주식회사
한국과학기술원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사, 한국과학기술원 filed Critical 삼성전자주식회사
Priority to KR1020170148241A priority Critical patent/KR102411920B1/ko
Priority to US16/760,679 priority patent/US11669614B2/en
Priority to PCT/KR2018/013475 priority patent/WO2019093762A1/ko
Publication of KR20190052510A publication Critical patent/KR20190052510A/ko
Application granted granted Critical
Publication of KR102411920B1 publication Critical patent/KR102411920B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1458Protection against unauthorised use of memory or access to memory by checking the subject access rights
    • G06F12/1491Protection against unauthorised use of memory or access to memory by checking the subject access rights in a hierarchical protection system, e.g. privilege levels, memory rings
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/567Computer malware detection or handling, e.g. anti-virus arrangements using dedicated hardware
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/02Addressing or allocation; Relocation
    • G06F12/08Addressing or allocation; Relocation in hierarchically structured memory systems, e.g. virtual memory systems
    • G06F12/0802Addressing of a memory level in which the access to the desired data or data block requires associative addressing means, e.g. caches
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/02Addressing or allocation; Relocation
    • G06F12/08Addressing or allocation; Relocation in hierarchically structured memory systems, e.g. virtual memory systems
    • G06F12/0802Addressing of a memory level in which the access to the desired data or data block requires associative addressing means, e.g. caches
    • G06F12/0804Addressing of a memory level in which the access to the desired data or data block requires associative addressing means, e.g. caches with main memory updating
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/02Addressing or allocation; Relocation
    • G06F12/08Addressing or allocation; Relocation in hierarchically structured memory systems, e.g. virtual memory systems
    • G06F12/0802Addressing of a memory level in which the access to the desired data or data block requires associative addressing means, e.g. caches
    • G06F12/0806Multiuser, multiprocessor or multiprocessing cache systems
    • G06F12/0815Cache consistency protocols
    • G06F12/0831Cache consistency protocols using a bus scheme, e.g. with bus monitoring or watching means
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/02Addressing or allocation; Relocation
    • G06F12/08Addressing or allocation; Relocation in hierarchically structured memory systems, e.g. virtual memory systems
    • G06F12/10Address translation
    • G06F12/1009Address translation using page tables, e.g. page table structures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1416Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights
    • G06F12/1425Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights the protection being physical, e.g. cell, word, block
    • G06F12/1441Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights the protection being physical, e.g. cell, word, block for a range
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/74Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information operating in dual or compartmented mode, i.e. at least one secure mode
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0628Interfaces specially adapted for storage systems making use of a particular technique
    • G06F3/0653Monitoring storage devices or systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/48Program initiating; Program switching, e.g. by interrupt
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/48Program initiating; Program switching, e.g. by interrupt
    • G06F9/4806Task transfer initiation or dispatching
    • G06F9/4843Task transfer initiation or dispatching by program, e.g. task dispatcher, supervisor, operating system
    • G06F9/4881Scheduling strategies for dispatcher, e.g. round robin, multi-level priority queues
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/54Interprogram communication
    • G06F9/545Interprogram communication where tasks reside in different layers, e.g. user- and kernel-space
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2212/00Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
    • G06F2212/10Providing a specific technical effect
    • G06F2212/1052Security improvement

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Mathematical Physics (AREA)
  • Human Computer Interaction (AREA)
  • Automation & Control Theory (AREA)
  • Virology (AREA)
  • Databases & Information Systems (AREA)
  • Memory System Of A Hierarchy Structure (AREA)
  • Retry When Errors Occur (AREA)

Abstract

전자 장치가 개시된다. 전자 장치는 운영체제 및 운영체제 상에서 실행되는 응용 프로그램이 저장된 제1 메모리, 제2 메모리, 응용 프로그램에 대응되는 코드 중 적어도 일부 코드를 제1 메모리로부터 제2 메모리로 로딩하고, 운영체제의 커널(kernel)로부터 제2 메모리에 로드된 코드에 대한 액세스 정보가 수신되면, 수신된 정보에 기초하여 로드된 코드가 저장된 영역에 액세스하여 응용 프로그램을 실행하는 프로세서 및 제2 메모리에 로드된 코드 중 액세스가 제한된 기설정된 코드가 저장된 영역에 대한 액세스를 모니터링을 수행하는 스누프(snoop)를 포함한다.

Description

전자 장치 및 그 제어 방법 {Electronic device and control method thereof}
본 발명은 전자장치 및 그 제어방법에 관한 것으로서, 보다 상세하게는 메모리의 모니터링을 수행하는 전자 장치 및 그 제어 방법에 관한 것이다.
최근 DDoS 대란, 랜섬웨어 등의 보안사고가 빈번하게 일어남에 따라 소프트웨어의 취약점을 이용한 해킹예방 및 보안문제가 대두되고 있다.
특히, 전자 장치에 구비된 메모리에 비정상적으로 접근하여 보안 영역에 침투하는 비정상적 메모리 접근버그 문제를 해결하기 위한 연구 및 기술개발이 활발히 진행되고 있는 실정이다.
다만, 종래에는 기설정된 시간 간격 또는 이벤트 발생시에 보안 영역에 대한 검증을 수행하거나, 잘못된 메모리 공간에 읽기 및 쓰기 시도가 발생할 때마다 검증을 수행하여 중요 데이터에 대한 보안을 수행하였다. 페이지 폴트(page-fault) 방식, 도메인 폴트(domain-fault) 방식은 프로세서의 자원소모를 야기할 뿐 아니라, 페이지 입상도(4KB) 및 도메인 입상도(16MB)를 기반으로 하기 때문에 작은 크기의 메모리를 감시하기에는 비효율적인 문제점이 있다.
이에 따라, 별도의 하드웨어를 통해 메모리에 비정상적으로 접근하는 공격시도를 차단하여, 종래 기술과 달리 메모리에 대한 비정상적인 접근 횟수가 증가하여도 성능저하가 발생하지 않는 보안 방법이 개발될 필요가 있다.
본 발명은 상술한 필요성에 따른 것으로, 본 발명의 목적은 전자 장치에 구비된 별도의 하드웨어를 이용하여 메모리에 대한 모니터링을 수행하고 액세스를 제한할 수 전자 장치 및 제어 방법을 제공함에 있다.
이상과 같은 목적을 달성하기 위한 본 발명의 일 실시 예에 따른 전자 장치는 운영체제 및 상기 운영체제 상에서 실행되는 응용 프로그램이 저장된 제1 메모리, 제2 메모리, 상기 응용 프로그램에 대응되는 코드 중 적어도 일부 코드를 상기 제1 메모리로부터 상기 제2 메모리로 로딩하고, 상기 운영체제의 커널(kernel)로부터 상기 제2 메모리에 로드된 코드에 대한 액세스 정보가 수신되면, 상기 수신된 정보에 기초하여 상기 로드된 코드가 저장된 영역에 액세스하여 상기 응용 프로그램을 실행하는 프로세서 및 상기 제2 메모리에 로드된 코드 중 액세스가 제한된 기설정된 코드가 저장된 영역에 대한 액세스를 모니터링을 수행하는 스누프(snoop)를 포함하며, 상기 프로세서는, 상기 기설정된 코드의 시작(start)을 인디케이팅하는 제1 명령어가 실행되면, 상기 제2 메모리 상에서 상기 기설정된 코드가 저장된 영역으로의 액세스에 대한 모니터링을 중지하기 위한 제1 제어 신호를 상기 스누프로 전송한다.
또한, 상기 프로세서는, 상기 기설정된 코드의 종료(end)를 인디케이팅하는 제2 명령어가 실행되면, 상기 기설정된 코드가 저장된 영역으로의 액세스에 대한 모니터링을 재개하기 위한 제2 제어 신호를 상기 스누프로 전송할 수 있다.
여기서, 상기 프로세서는, 캐쉬(cache) 메모리를 포함하고, 상기 기설정된 코드가 저장된 영역으로의 액세스에 대한 모니터링이 중지됨에 따라 상기 기설정된 코드가 저장된 영역에 대한 액세스가 수행되면, 상기 기설정된 코드가 저장된 영역에 대응되는 데이터를 상기 캐쉬 메모리에 저장하고, 상기 제2 명령어가 실행되면, 상기 캐쉬 메모리에 저장된 상기 데이터를 삭제할 수 있다.
또한, 상기 프로세서는, 상기 운영체제를 기반으로 하는 제1 실행모드 또는 보안 운영체제(Secure OS)를 기반으로 하는 제2 실행모드에서 동작하고, 상기 제1 실행모드에서 상기 제1 명령어가 실행됨에 따라, 상기 운영체제의 커널로부터 모드 전환을 위한 스위칭 코드가 수신되면, 상기 제1 실행모드에서 상기 제2 실행모드로 전환하고, 상기 제2 실행모드에서 상기 제1 제어 신호를 상기 스누프로 전송할 수 있다.
여기서, 상기 스위칭 코드는, 상기 운영체제의 커널에서 실행되는 SMC(Secure Monitor Call) 명령어이고, 상기 운영체제의 커널은 상기 SMC 명령어를 상기 제2 실행모드에서 동작하는 가상 모니터 모듈로 전송하며, 상기 가상 모니터 모듈은, 상기 SMC(Secure Monitor Call) 명령어가 수신되면, 상기 제1 실행모드를 상기 제2 실행모드로 전환할 수 있다.
또한, 상기 SMC 명령어는 상기 제1 제어 신호를 상기 스누프로 전송하기 위한 제어 신호를 포함하고, 상기 제2 실행모드에서 동작하는 스누프 드라이버 모듈은 상기 제어 신호가 수신되면, 상기 제어 신호에 기초하여 상기 제1 제어 신호를 상기 스누프로 전송할 수 있다.
또한, 상기 프로세서는, 상기 운영체제를 기반으로 하는 제1 실행모드 또는 보안 운영체제(Secure OS)를 기반으로 하는 제2 실행모드에서 동작하고, 상기 제1 실행모드에서 상기 기설정된 코드의 종료(end)를 인디케이팅하는 제2 명령어가 실행됨에 따라 상기 운영체제의 커널로부터 모드 전환을 위한 스위칭 코드가 수신되면, 상기 제1 실행모드에서 상기 제2 실행모드로 전환하고, 상기 제2 실행모드에서 상기 기설정된 코드가 저장된 영역으로의 액세스에 대한 모니터링을 재개하기 위한 제2 제어 신호를 상기 스누프로 전송할 수 있다.
또한, 상기 스누프는, 상기 프로세서로부터 상기 제1 제어 신호가 수신되기 전에 상기 기설정된 코드가 저장된 영역에 대한 액세스가 감지되면 상기 액세스를 차단하거나, 상기 액세스에 대한 로그를 생성하여 저장할 수 있다.
한편, 본 발명의 일 실시 예에 따른 운영체제 및 상기 운영체제 상에서 실행되는 응용 프로그램이 저장된 제1 메모리 및 제2 메모리를 포함하는 전자 장치의 제어 방법은 상기 응용 프로그램에 대응되는 코드 중 적어도 일부 코드를 상기 제1 메모리에서 상기 제2 메모리로 로딩하는 단계, 상기 전자 장치에 포함된 스누프(snoop)에 의해 상기 제2 메모리에 로드된 코드 중 액세스가 제한된 기설정된 코드가 저장된 영역에 대한 액세스를 모니터링을 수행하는 단계 및 상기 운영체제의 커널로부터 상기 제2 메모리에 로드된 코드에 대한 액세스 정보가 수신되면, 상기 수신된 정보에 기초하여 상기 로드된 코드가 저장된 영역에 액세스하여 상기 응용 프로그램을 실행하는 단계를 포함하고, 상기 응용 프로그램을 실행하는 단계는, 상기 기설정된 코드의 시작(start)을 인디케이팅하는 제1 명령어가 실행되면, 상기 제2 메모리 상에서 상기 기설정된 코드가 저장된 영역으로의 액세스에 대한 모니터링을 중지하기 위한 제1 제어 신호를 상기 스누프로 전송하는 단계를 포함할 수 있다.
여기서, 상기 응용 프로그램을 실행하는 단계는, 상기 기설정된 코드의 종료(end)를 인디케이팅하는 제2 명령어가 실행되면, 상기 기설정된 코드가 저장된 영역으로의 액세스에 대한 모니터링을 재개하기 위한 제2 제어 신호를 상기 스누프로 전송하는 단계를 포함할 수 있다.
또한, 상기 응용 프로그램을 실행하는 단계는, 상기 기설정된 코드가 저장된 영역으로의 액세스에 대한 모니터링이 중지됨에 따라 상기 기설정된 코드가 저장된 영역에 대한 액세스가 수행되면, 상기 기설정된 코드가 저장된 영역에 대응되는 데이터를 캐쉬 메모리에 저장하는 단계 및 상기 제2 명령어가 실행되면, 상기 캐쉬 메모리에 저장된 상기 데이터를 삭제하는 단계를 포함할 수 있다.
또한, 상기 응용 프로그램을 실행하는 단계는, 상기 운영체제를 기반으로 하는 제1 실행모드에서 상기 제1 명령어가 실행됨에 따라, 상기 운영체제의 커널로부터 모드 전환을 위한 스위칭 코드가 수신되면, 상기 제1 실행모드에서 보안 운영체제(Secure OS)를 기반으로 하는 제2 실행모드로 전환하는 단계 및 상기 제2 실행모드에서 상기 제1 제어 신호를 상기 스누프로 전송하는 단계를 포함할 수 있다.
여기서, 상기 스위칭 코드는, 상기 운영체제의 커널에서 실행되는 SMC(Secure Monitor Call) 명령어이고, 상기 제2 실행모드로 전환하는 단계는, 상기 운영체제의 커널이 상기 SMC 명령어를 상기 제2 실행모드에서 동작하는 가상 모니터 모듈로 전송하는 단계 및 상기 SMC 명령어가 수신되면, 상기 가상 모니터 모듈이 상기 제1 실행모드를 상기 제2 실행모드로 전환하는 단계를 포함할 수 있다.
또한, 상기 SMC 명령어는, 상기 제1 제어 신호를 상기 스누프로 전송하기 위한 제어 신호를 포함하고, 상기 제1 제어 신호를 상기 스누프로 전송하는 단계는, 상기 제2 실행모드에서 동작하는 스누프 드라이버 모듈이 상기 제어 신호가 수신되면, 상기 제어 신호에 기초하여 상기 제1 제어 신호를 상기 스누프로 전송할 수 있다.
한편, 상기 응용 프로그램을 실행하는 단계는, 상기 운영체제를 기반으로 하는 제1 실행모드에서 상기 기설정된 코드의 종료(end)를 인디케이팅하는 제2 명령어가 실행됨에 따라, 상기 운영체제의 커널로부터 모드 전환을 위한 스위칭 코드가 수신되면, 상기 제1 실행모드에서 보안 운영체제(Secure OS)를 기반으로 하는 제2 실행모드로 전환하는 단계 및 상기 제2 실행모드에서 상기 기설정된 코드가 저장된 영역으로의 액세스에 대한 모니터링을 재개하기 위한 제2 제어 신호를 상기 스누프로 전송하는 단계를 포함할 수 있다.
또한, 상기 모니터링을 수행하는 단계는, 상기 제1 제어 신호가 상기 스누프로 수신되기 전에 상기 기설정된 코드가 저장된 영역에 대한 액세스가 감지되면 상기 액세스를 차단하거나, 상기 액세스에 대한 로그를 생성하여 저장할 수 있다.
한편, 본 발명의 일 실시 예에 따른 전자 장치의 프로세서에 의해 실행되는 경우 상기 전자 장치가 동작을 수행하도록 컴퓨터 명령을 저장하는 비일시적 컴퓨터 판독 가능 매체에 있어서, 상기 동작은, 응용 프로그램에 대응되는 코드 중 적어도 일부 코드를 제1 메모리에서 제2 메모리로 로딩하는 단계, 상기 전자 장치에 포함된 스누프(snoop)에 의해 상기 제2 메모리에 로드된 코드 중 액세스가 제한된 기설정된 코드가 저장된 영역에 대한 액세스를 모니터링을 수행하는 단계 및 상기 운영체제의 커널로부터 상기 제2 메모리에 로드된 코드에 대한 액세스 정보가 수신되면, 상기 수신된 정보에 기초하여 상기 로드된 코드가 저장된 영역에 액세스하여 상기 응용 프로그램을 실행하는 단계를 포함하고, 상기 응용 프로그램을 실행하는 단계는, 상기 기설정된 코드의 시작(start)을 인디케이팅하는 제1 명령어가 실행되면, 상기 제2 메모리 상에서 상기 기설정된 코드가 저장된 영역으로의 액세스에 대한 모니터링을 중지하기 위한 제1 제어 신호를 상기 스누프로 전송하는 단계를 포함한다.
이상과 같은 본 발명의 다양한 실시 예에 따르면, 프로세서의 메모리에 대한 액세스를 모니터링 할 수 있는 하드웨어 장치를 이용하여 메모리에 대한 공격 여부를 성능저하, 오버헤드 문제 없이 즉각적으로 감지하고 대처할 수 있다.
도 1는 본 발명의 일 실시 예에 따른 전자 장치의 구성을 나타내는 블록도이다.
도 2는 전자 장치의 세부 구성의 일 예를 나타내는 블럭도이다.
도 3은 스누프의 세부 구성의 일 예를 나타내는 블럭도이다.
도 4는 본 발명의 일 실시 예에 따른 프로세서 및 스누프의 동작을 설명하기 위한 시퀀스도이다.
도 5는 본 발명의 일 실시 예에 따른 프로세서의 실행모드를 도시한 도면이다.
도 6은 본 발명의 일 실시 예에 따른 실행모드 전환을 설명하기 위한 시퀀스도이다
도 7은 본 발명의 일 실시 예에 따른 실행모드 전환을 설명하기 위한 시퀀스도이다.
도 8은 본 발명의 일 실시 예에 따른 전자 장치의 제어 방법을 설명하기 위한 흐름도이다.
이하에서, 첨부된 도면을 이용하여 본 발명의 다양한 실시 예들에 대하여 구체적으로 설명한다. 그리고, 본 발명을 설명함에 있어서, 관련된 공지기능 혹은 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단된 경우 그 상세한 설명은 생략한다. 덧붙여, 하기 실시 예는 여러 가지 다른 형태로 변형될 수 있으며, 본 개시의 기술적 사상의 범위가 하기 실시 예에 한정되는 것은 아니다. 오히려, 이들 실시 예는 본 개시를 더욱 충실하고 완전하게 하고, 당업자에게 본 개시의 기술적 사상을 완전하게 전달하기 위하여 제공되는 것이다.
또한, 어떤 구성요소를 '포함'한다는 것은, 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있다는 것을 의미한다. 나아가, 도면에서의 다양한 요소와 영역은 개략적으로 그려진 것이다. 따라서, 본 개시의 기술적 사상은 첨부한 도면에 그려진 상대적인 크기나 간격에 의해 제한되지 않는다.
도 1는 본 발명의 일 실시 예에 따른 전자 장치의 구성을 나타내는 블록도이다.
도 1에 따르면, 전자 장치(100)는 제1 메모리(110), 제2 메모리(120), 프로세서(130) 및 스누프(snoop)(140)를 포함한다.
여기서, 전자 장치(100)는 사용자 단말 장치, 디스플레이 장치, 셋톱 박스(set-top box), 태블릿 PC(tablet personal computer), 스마트 폰(smart phone), 전자책 리더기(e-book reader), 데스크탑 PC (desktop PC), 랩탑 PC(laptop PC), 워크스테이션(workstation), 서버, PDA(personal digital assistant), PMP(portable multimedia player), MP3 플레이어 등과 같은 다양한 형태의 디바이스로 구현될 수 있다. 다만, 이는 일 실시 예이며, 전자 장치(100)는 네비게이션(navigation) 장치, 자동차 인포테인먼트(infotainment) 장치, 각종 의료기기, 사물 인터넷 장치(internet of things) 및 각종 센서와 같은 다양한 유형의 디바이스로 구현될 수 있음은 물론이다.
제1 메모리(110) 및 제2 메모리(120)는 전자 장치(100)의 동작에 필요한 각종 프로그램 및 데이터를 저장할 수 있다.
특히, 제1 메모리(110)는 운영체제(OS, Operating System) 및 운영체제 상에서 실행되는 응용 프로그램이 저장되어 있을 수 있다.
일 실시 예에 따라, 제1 메모리(110)는 비휘발성 메모리, 휘발성 메모리, 플래시메모리(flash-memory), 하드디스크 드라이브(HDD), 솔리드 스테이트 드라이브(SSD) 또는 전자 장치(100)에 장착되는 메모리 카드(미도시)(예를 들어, micro SD 카드, 메모리 스틱) 등으로 구현될 수 있으며, 전자 장치(100)의 제조사 또는 사용자의 조작에 따라 운영체제 및 응용 프로그램이 제1 메모리(110)에 저장될 수 있다.
여기서, 운영체제는 일반적으로 사용되는 범용 운영체제를 의미하고, 운영체제 상에서 실행되는 응용 프로그램은 범용 운영체제의 지원에 의해 실행될 수 있는 일반적인 프로그램을 의미할 수 있다.
제2 메모리(120)는 휘발성(volatile) 저장매체로서, 저장된 정보(예를 들어, 실행 코드 및 데이터)를 유지하기 위해 전기의 공급이 요구된다. 일 예로, 제2 메모리(120)는 랜덤 액세스 메모리(RAM: Random Access Memory)로 구현될 수 있다. 한편, 제2 메모리(120)는 휘발성 저장매체로 한정되는 것은 아니며, 비휘발성 메모리, 플래시메모리(flash-memory), 하드디스크 드라이브(HDD) 또는 솔리드 스테이트 드라이브(SSD)등으로 구현될 수 있음은 물론이다.
이하에서는 설명의 편의를 위해 제1 메모리(110)는 보조기억장치이고, 제2 메모리(120)는 운영체제 및 운영체제 상에서 실행되는 응용 프로그램에 대응되는 코드, 데이터 및 명령어 등이 저장되며, 프로세서(130)의 액세스에 의하여 읽고 쓰기가 가능한 주기억장치로 구현되는 경우를 상정하여 설명하도록 한다.
한편, 제2 메모리(120)에 저장된 코드 및 데이터는 악의적인 해킹 및 비정상적인 액세스에 노출되어 있으므로 이에 대한 감시 또는 보안이 요구된다.
이를 위해 본 발명의 일 실시 예에 따른 전자 장치(100)는 스누프(140)를 통해 제2 메모리(120)에 저장된 코드, 데이터에서 보안이 요구되는 기설정된 코드, 데이터를 모니터링할 수 있으며, 액세스를 차단할 수 있다. 또한, 전자 장치(100)의 동작을 위해 기설정된 코드, 데이터에 액세스가 요구되는 경우에는 스누프(140)의 모니터링을 중지 및 재개시킬 수 있다. 이하에서는 본 발명의 다양한 실시 예에 대해 설명하도록 한다.
프로세서(130)는 전자 장치(100)의 전반적인 동작을 제어한다. 프로세서(130)는 디지털 시그널 프로세서(digital signal processor(DSP)), 중앙처리장치(central processing unit(CPU)), 컨트롤러(controller), 어플리케이션 프로세서(application processor(AP)), 또는 커뮤니케이션 프로세서(communication processor(CP)), ARM 프로세서 중 하나 또는 그 이상을 포함하거나, 해당 용어로 정의될 수 있다.
특히, 프로세서(130)는 실행하고자 하는 응용 프로그램에 대응되는 코드 중 적어도 일부 코드를 제1 메모리(110)로부터 제2 메모리(120)로 로드할 수 있다.
특히, 프로세서(130)는 운영체제의 커널(kernel)로부터 제2 메모리(120)에 로드된 코드에 대한 액세스 정보를 수신할 수 있고, 수신된 정보에 기초하여 로드된 코드가 저장된 영역에 액세스하여 응용 프로그램을 실행할 수 있다.
여기서, 운영체제의 커널은 운영체제의 핵심 부분으로서, 프로세서(130)의 스케쥴링, 제1 및 제2 메모리(110, 120) 관리, 입출력 관리, 추상화, 보안과 관련된 기능을 수행할 수 있다. 특히, 운영체제의 커널은 제2 메모리(120)의 저장 영역 보다 상대적으로 큰 저장 영역을 이용하기 위해 가상 메모리(virtual memory)를 이용할 수 있다. 가상 메모리는 본 발명의 기술적 특징이 아니므로, 이하에서 간략하게 설명하도록 한다.
커널은 가상 메모리를 구현하기 위해 제2 메모리(120) 및 가상 메모리 공간을 일정한 크기의 페이지(page) 단위로 나누고, 응용 프로그램 역시 페이지 단위로 구분할 수 있다. 이와 같은 과정을 페이징(paging)이라고 칭한다. 이하에서는 설명의 편의를 위해 페이지의 크기가 코드 단위로 구분되는 경우를 상정하여 설명하도록 한다. 페이지는 임의의 크기 단위로서, 코드 단위로 제한되는 것이 아님은 물론이다.
운영체제의 커널은 응용 프로그램을 구성하는 복수의 코드 중에서 특정 코드가 제2 메모리(120) 상에서 어느 영역에 저장되는지는 나타내는(또는, 인디케이팅하는) 테이블을 관리할 수 있다. 여기서, 테이블은 특정 코드에 대해 가상적으로 주어진 가상 주소(virtual address) 또는 논리 주소(logical address)와 제2 메모리(120) 상에서 특정 코드가 저장된 영역을 나타내는 물리 주소(physical address) 또는 실주소(real address)의 관계를 포함할 수 있다. 가상 주소는 메모리 관리 장치(MMU)에 의해서 물리 주소로 변환될 수 있다. 본 발명에서는 테이블을 페이지 테이블(page table), 제2 메모리(120)에 로드된 코드에 대한 액세스 정보로 표현하도록 한다.
본 발명의 일 실시 예에 따른 프로세서(130)는 응용 프로그램을 실행하기 위해 특정 코드가 요구되면, 운영체제의 커널이 관리하는 페이지 테이블에 기초하여 특정 코드가 저장된 영역에 액세스할 수 있다. 즉, 프로세서(130)는 운영체제의 커널로부터 제2 메모리(120)에 로드된 코드에 대한 액세스 정보를 수신하고, 수신된 정보에 기초하여 로드된 코드가 저장된 영역에 액세스하여 응용 프로그램을 실행할 수 있다.
본 발명의 다른 실시 예에 따른 프로세서(130)는 커널로부터 수신된 정보에 기초하여 제2 메모리(120)에 해당 코드가 있는지 여부를 식별할 수 있다. 제2 메모리(120)에 해당 코드가 없는 경우, 프로세서(130)는 해당 코드를 제1 메모리(110)로부터 제2 메모리로 로딩하고, 로드된 코드에 액세스하여 응용 프로그램을 실행할 수도 있다.
본 발명의 일 실시 예에 따라, 프로세서(130)가 로드된 코드에 액세스하는 동작은 프로세서(130)가 제2 메모리(120)에 로드된 코드, 데이터에 대한 인출/기록/수정/삭제/갱신 등의 기능을 수행하는 과정을 포함하는 것을 의미할 수 있다.
스누프(140)는 제2 메모리에 로드된 코드 중 액세스가 제한된 기설정된 코드가 저장된 영역에 대한 액세스를 모니터링을 수행할 수 있다.
특히, 스누프(140)는 프로세서(130)와 제2 메모리(120)를 연결하는 시스템 버스에 연결되어 데이터 트래픽을 스누핑(snooping)할 수 있다.
일 실시 예에 따라, 스누프(140)는 커널로부터 보안이 요구되는 기설정된 코드에 대한 정보를 수신할 수 있다. 여기서, 기설정된 코드에 대한 정보는 제2 메모리(120) 상에서 기설정된 코드가 저장된 영역의 물리 주소(physical address) 또는 실주소(real address)에 대한 정보를 포함할 수 있다. 이에 따라, 스누프(140)는 제2 메모리(120)에서 기설정된 코드가 저장된 영역에 대한 액세스를 모니터링할 수 있다.
다른 예로, 의도되지 않은 코드가 버그에 의해서 저장되면, 스누프(140)는 해당 영역에 대한 모니터링을 수행할 수 있다. 예를 들어, 스누프(140)는 실행하고자 하는 응용 프로그램에 대응되는 코드 중 현재 요구되는 코드가 아닌 버그에 의해 로드되어 저장된 코드에 대한 액세스를 모니터링할 수 있다. 여기서, 버그는 응용 프로그램의 설계 과정에서 발생된 버그 외에도, 비정상적인 액세스, 악의적인 해킹 공격 등 전자 장치(100)가 의도하지 않은 동작을 일으키도록 하는 모든 행위가 포함될 수 있음은 물론이다.
본 발명의 일 실시 예에 따른 스누프(140)는 기설정된 코드가 저장된 영역에 대한 액세스가 감지되면, 액세스를 차단하거나 로그를 생성하고, 생성된 로그를 저장할 수 있다. 여기서, 로그는 전자 장치(100), 시스템 등의 모든 기록을 담고 있는 데이터를 의미할 수 있다. 예를 들어, 로그는 전자 장치(100)의 오류, 노티, 이벤트 등의 발생 여부, 성능 정보, 작동 히스토리 등이 저장된 데이터일 수 있다. 생성된 로그를 분석하여 전자 장치(100)에 대한 비정상적인 액세스, 악의적인 공격, 외부로부터의 침입 감지 및 추적에 대한 정보를 획득할 수 있다.
본 발명의 일 실시 예에 따른 스누프(140)는 전자장치(100) 내에서 별도의 하드웨어로 구현될 수 있다. 스누프(140)가 하드웨어로 구현되는 경우, 스누프(140)는 제2 메모리(120) 또는 프로세서(130)와는 독립적으로 기설정된 코드에 대한 모니터링을 수행할 수 있으므로, 소프트웨어로 구현되는 경우보다 성능 면에서 뛰어나고, 전자 장치(100) 또는 시스템의 오버헤드 발생을 줄일 수 있다. 또한, 실시간으로 제2 메모리(120)에 대한 비정상적인 액세스를 감지할 수 있으므로, 즉각적인 대처가 가능하다. 다만 이에 한정되는 것은 아니며, 스누프(140)가 소프트웨어로 구현될 수도 있음은 물론이다.
본 발명의 일 실시 예에 따라, 제2 메모리에 로드된 코드 중 응용 프로그램 실행을 위해 운영체제의 커널이 액세스하려는 코드가 기설정된 코드인 경우를 상정할 수 있다. 여기서, 기설정된 코드는 응용 프로그램의 배포자 또는 사용자의 설정 등에 의해 보안이 요구되는 코드로 설정된 코드를 의미할 수 있다. 이 경우, 스누프(140)가 기설정된 코드가 저장된 영역에 대한 액세스를 모니터링하고 있으며, 비정상적인 액세스는 물론, 프로세서(130)의 액세스까지 차단될 수 있다.
본 발명의 일 실시 예에 따라, 프로세서(130)는 기설정된 코드의 시작(start)을 인디케이팅하는 제1 명령어가 실행되면, 기설정된 코드가 저장된 영역으로의 액세스에 대한 모니터링을 중지하기 위한 제1 제어 신호를 스누프(140)로 전송할 수 있다. 스누프(140)는 제1 제어 신호가 수신됨에 따라, 액세스에 대한 모니터링을 중지할 수 있다. 프로세서(130)는 기설정된 코드가 저장된 영역에 액세스하고, 운영체제의 커널이 기설정된 코드에 액세스하여 응용 프로그램을 실행할 수 있다.
본 발명의 일 실시 예에 따라, 악의적인 해킹 또는 비정상적인 액세스는 기설정된 코드의 시작(start)을 인디케이팅하는 제1 명령어에 대한 실행 없이, 제2 메모리(120) 상에서 기설정된 코드가 저장된 영역에 대한 액세스가 시도되므로, 스누프(140)에 의해 액세스가 차단되거나 액세스 발생에 대한 로그를 생성하고, 생성된 로그를 저장할 수 있다.
본 발명의 일 실시 예에 따라, 기설정된 코드의 종료(end)를 인디케이팅하는 제2 명령어가 실행되면, 프로세서(130)는 기설정된 코드가 저장된 영역으로의 액세스에 대한 모니터링을 재개하기 위한 제2 제어 신호를 스누프(140)로 전송할 수 있다. 일 예로, 프로세서(130)가 기설정된 코드를 모두 실행하였다면, 기설정된 코드 및 기설정된 코드가 저장된 영역에 대한 액세스가 제한될 필요가 있다.
이에 따라, 프로세서(130)는 기설정된 코드의 종료(end)를 인디케이팅하는 제2 명령어가 실행되면, 제2 제어 신호를 스누프(140)로 전송할 수 있다. 제2 제어 신호를 수신되면, 스누프(140)는 기설정된 코드가 저장된 영역으로의 액세스에 대한 모니터링을 재개할 수 있다.
본 발명의 일 실시 예에 따른 프로세서(130)는 캐쉬 메모리(cache)를 포함할 수 있다. 여기서, 캐쉬 메모리는 프로세서(130)의 논리 연산을 위해 코드, 데이터 등을 임시로 저장하는 임시저장소이다. 캐쉬 메모리는 플립플롭(flip-flop)으로 이루어진 레지스터들로서 버퍼(buffer) 메모리로 표현될 수도 있다.
프로세서(130)는 제1 제어 신호를 스누프(140)로 전송한 뒤, 스누프(140)에 의한 기설정된 코드가 저장된 영역으로의 액세스에 대한 모니터링이 중지되면, 기설정된 코드가 저장된 영역에 대한 액세스를 수행할 수 있다. 또한, 기설정된 코드가 저장된 영역에 대응되는 데이터를 캐쉬 메모리에 저장할 수 있다.
일 실시 예에 따라 캐쉬 메모리에 저장된 데이터는 보안이 요구되는 기설정된 코드가 저장된 영역에 대응되는 데이터이므로, 기설정된 코드가 실행된 후에는 캐쉬 메모리에 임시로 저장된 데이터를 삭제하여 캐쉬 메모리에 저장된 데이터에 대한 악의적인 해킹을 방지할 필요가 있다. 이에 따라, 프로세서(130)는 기설정된 코드의 종료(end)를 인디케이팅하는 제2 명령어가 실행되면, 캐쉬 메모리에 저장된 데이터를 삭제할 수 있다.
본 발명의 일 실시 예에 따른 프로세서(130)는 상술한 운영체제를 기반으로 하는 제1 실행모드 또는 보안 운영체제(Secure OS)를 기반으로 하는 제2 실행모드에서 동작할 수 있다. 여기서, 운영체제는 검증은 어려우나 일반적으로 많이 사용하는 범용 운영체제(또는, 노말 운영체제)를 의미하고, 보안 운영체제는 충분히 검증되고 보안에 강한 운영체제를 의미할 수 있다. 이하에서는 설명의 편의를 위해, 프로세서(130)가 제1 실행모드에서는 범용 운영체제, 제2 실행모드에서는 보안 운영체제를 기반으로 동작하는 것으로 상정하도록 한다.
프로세서(130)는 제1 실행모드에서 제1 명령어가 실행됨에 따라 운영체제의 커널로부터 모드 전환을 위한 스위칭 코드를 수신할 수 있다.
일 예로, 제1 실행모드 및 제2 실행모드 중 어느 하나가 기본 실행모드(디폴트 실행모드)로 설정되어 있을 수 있다. 제1 실행모드에서 기본 실행모드로 설정되어 있으며, 제1 실행모드에서 기설정된 이벤트가 발생하면, 범용 운영체제의 커널은 실행모드를 전환하기 위한 스위칭 코드를 생성할 수 있다. 스위칭 코드가 수신되면, 프로세서(130)는 제1 실행모드에서 제2 실행모드로 전환할 수 있다. 여기서, 기설정된 이벤트는 제1 명령어가 실행되는 경우, 제2 명령어가 실행되는 경우, 실행모드 전환 명령이 수신되는 경우, 제1 실행모드에서 중요한 개인정보 데이터의 처리, 암호화된 데이터의 처리와 같은 보안 운영체제에서 처리되어야 하는 동작을 수행하려는 경우 등 다양한 경우가 될 수 있다.
프로세서(130)는 제2 실행모드에서 상술한 제1 제어 신호를 스누프(140)로 전송할 수 있다. 즉, 범용 운영체제의 사용자 모드가 아닌 커널 모드에서 생성된 스위칭 코드에 따라 프로세서(130)는 보안 운영체제를 기반으로 동작하는 제2 실행모드로 전환하고, 제2 실행모드에서 스누프(140)를 제어하는 제1 또는 제2 제어 신호를 스누프(140)로 전송하므로, 제1 또는 제2 제어 신호가 비정상적인 액세스에 의해 스누프(140)로 전송되지 않는 효과가 있다. 제1 및 제2 실행모드에 대한 구체적인 설명은 도 5 내지 도 7에서 하도록 한다.
본 발명의 일 실시 예에 따른 스위칭 코드는 제1 실행모드에서 제2 실행모드로 실행모드의 전환을 명하는 명령어 일 수 있다. 일 예로, 스위칭 코드는 운영체제의 커널에서 실행되는 SMC(Secure Monitor Call) 명령어로서 실행모드를 전환하는 인스트럭션(instruction) 일 수 있다. 여기서, 운영체제의 커널은 SMC 명령어를 제2 실행모드에서 동작하는 가상 모니터(Virtual-monitor) 모듈로 전송할 수 있다. 가상 모니터 모듈은 SMC 명령어가 수신되면, 프로세서(130)를 제1 실행모드에서 제2 실행모드로 전환하는 모듈로서, 제2 실행모드의 접근제어를 담당할 수 있다. 특히, 가상 모니터 모듈에 포함된 IPC(Inter Process Communication) 모듈은 제1 및 제2 실행모드 간의 통신을 위한 모듈로서, 어느 하나의 실행모드가 나머지 하나의 실행모드와 통신하기 위한 스위칭 코드를 해석하고 처리하는 기능을 수행할 수 있다. 다만, SMC 명령어를 사용하는 경우 외에도 프로세서(130)는 IRQ(Interrupt Request) 또는 FIQ(Fast Interrupt Request)를 이용하여 현재 실행되는 모드를 모니터 모드로 변경할 수도 있다. 일반적으로 IRQ는 제1 실행모드의 인터럽트로 사용되며, FIQ는 제2 실행모드의 인터럽트로 사용될 수 있다.
본 발명의 일 실시 예에 따른 SMC 명령어는 제1 제어 신호를 스누프(140)로 전송하기 위한 제어 신호를 포함할 수 있다. 제2 실행모드에서 동작하는 스누프 드라이버 모듈은 제어 신호가 수신되면, 제어 신호에 기초하여 제1 제어 신호를 스누프(140)로 전송할 수 있다. 스누프(140)는 프로세서(130)로부터 제1 제어 신호가 수신되기 전에 기설정된 코드가 저장된 영역에 대한 액세스가 감지되면 액세스를 차단하거나, 액세스에 대한 로그를 생성할 수 있고, 생성된 로그를 저장할 수 있다.
본 발명의 일 실시 예에 따른 프로세서(130)는 제1 실행모드에서 기설정된 코드의 종료를 인디케이팅하는 제2 명령어가 실행됨에 따라 운영체제의 커널로부터 모드 전환을 위한 스위칭 코드를 수신할 수 있다. 이에 따라, 프로세서(130)는 제1 실행모드에서 제2 실행모드로 전환하고, 제2 실행모드에서 기설정된 코드가 저장된 영역으로의 액세스에 대한 모니터링을 재개하기 위한 제2 제어 신호를 스누프(140)로 전송할 수 있다.
도 2는 전자 장치(100)의 세부 구성의 일 예를 나타내는 블럭도이다.
도 2에 따르면, 전자 장치(100)는 제1 메모리(110), 제2 메모리(120), 프로세서(130), 스누프(140), 디스플레이(150), 감지부(160), 입력부(170) 및 통신부(180)을 더 포함할 수 있다. 도 2에 도시된 구성요소들 중 도 1에 도시된 구성요소와 중복되는 부분에 대해서는 자세한 설명을 생략하도록 한다.
제2 메모리(120)는 상술한 바와 같이, 전자 장치(100)의 동작에 필요한 운영체제 및 응용 프로그램을 저장할 수 있다. 본 발명의 일 실시 예에 따라 프로세서(130)가 제1 및 제2 실행모드 중 어느 하나로 동작하는 경우, 제2 메모리(120)는 운영체제 및 보안 운영체제를 저장할 수 있다.
프로세서(130)는 제1 및 제2 메모리(110, 120)에 저장된 운영체제 및 응용 프로그램을 이용하여 전자 장치(100)의 동작을 전반적으로 제어한다.
구체적으로, 프로세서(130)는 메인 CPU(131) 및 캐쉬 메모리(132)를 포함하고, 프로세서(130)는 제2 메모리(120), ROM(133), 그래픽 처리부(134), 제1 내지 n 인터페이스(135-1 ~ 135-n) 및 스누퍼(140) 등과 버스(135)를 통해 서로 연결될 수 있다.
ROM(133)에는 시스템 부팅을 위한 명령어 세트 등이 저장된다. 턴 온 명령이 입력되어 전원이 공급되면, 메인 CPU(131)는 ROM(133)에 저장된 명령어에 따라 제1 메모리(110)에 저장된 O/S를 제2 메모리(120)에 복사(또는, 로드)하고, O/S를 실행시켜 시스템을 부팅시킨다. 부팅이 완료되면, 메인 CPU(131)는 제1 메모리(110)에 저장된 각종 응용 프로그램을 제2 메모리(120)에 복사하고, 제2 메모리(120)에 복사된 응용 프로그램을 실행시켜 각종 동작을 수행한다. 그리고, 메인 CPU(131)는 제1 및 제2 메모리(110, 120)에 저장된 각종 프로그램, 컨텐츠, 데이터 등을 이용하여 다양한 동작을 수행한다.
그래픽 처리부(134)는 연산부(미도시) 및 렌더링부(미도시)를 이용하여 아이템, 이미지, 텍스트 등과 같은 다양한 객체를 포함하는 화면을 생성한다. 여기서, 연산부는 입력부(160)로부터 수신된 제어 명령을 이용하여 화면의 레이아웃에 따라 각 객체들이 표시될 좌표값, 형태, 크기, 컬러 등과 같은 속성값을 연산하는 구성일 수 있다. 그리고, 렌더링부는 연산부에서 연산한 속성값에 기초하여 객체를 포함하는 다양한 레이아웃의 화면을 생성하는 구성이 일 수 있다. 이러한 렌더링부에서 생성된 화면은 디스플레이(150)의 디스플레이 영역 내에 표시될 수 있다.
제1 내지 n 인터페이스(135-1 내지 135-n)는 상술한 각종 구성요소들과 연결된다. 인터페이스들 중 하나는 네트워크를 통해 외부 장치와 연결되는 네트워크 인터페이스가 될 수도 있다.
디스플레이(150)는 디스플레이 영역에 다양한 화면들을 디스플레이할 수 있다. 예를 들어, 디스플레이(150)는 어플리케이션 실행 화면, 이미지, 동영상, 텍스트와 같은 컨텐츠 등을 디스플레이 할 수 있다.
이때, 디스플레이(150)는 다양한 형태의 디스플레이 패널로 구현될 수 있다. 예로, 디스플레이 패널은 LCD(Liquid Crystal Display), OLED(Organic Light Emitting Diodes), AM-OLED(Active-Matrix Organic Light-Emitting Diode), LcoS(Liquid Crystal on Silicon) 또는 DLP(Digital Light Processing) 등과 같은 다양한 디스플레이 기술로 구현될 수 있다.
또한, 디스플레이(150)는 플렉서블 디스플레이(flexible display)의 형태로 전자 장치(100)의 전면 영역 및, 측면 영역 및 후면 영역 중 적어도 하나에 결합될 수도 있다. 플렉서블 디스플레이는 종이처럼 얇고 유연한 기판을 통해 손상 없이 휘거나 구부리거나 말 수 있는 것을 특징으로 할 수 있다. 이러한 플렉서블 디스플레이는 일반적으로 사용되는 유리 기판뿐 아니라 플라스틱 기판을 사용하여 제조될 수도 있다. 플라스틱 기판을 사용하는 경우, 기판의 손상을 방지하기 위해서 기존의 제조 프로세서를 사용하지 않고 저온 제조 프로세서를 사용하여 형성될 수 있다. 또한, 플렉서블 액정을 싸고 있는 유리 기판을 플라스틱 필름으로 대체하여, 접고 펼 수 있는 유연성을 부여할 수 있다. 이러한 플렉서블 디스플레이는 얇고 가벼울 뿐만 아니라 충격에도 강하며, 또한 휘거나 굽힐 수 있고 다양한 형태로 제작이 가능하다는 장점을 갖고 있다.
본 발명의 일 실시 예에 의한 전자 장치(100)가 디스플레이(150)가 없는 소형 IoT 장치인 경우, 디스플레이(150)는 소형 IoT 장치를 제어하는 외부 단말 장치로 구현될 수도 있다.
입력부(170)는 다양한 입력을 수신하기 위하여 터치 패널(171), 펜센서(172), 키(173) 및 마이크(174)를 포함할 수 있다. 터치 패널(171)은 디스플레이(150) 및 터치 센서(미도시)가 결합되어 구성될 수 있으며, 터치 센서는 정전식, 감압식, 적외선 방식, 초음파 방식 중 적어도 하나의 방식을 사용할 수 있다. 터치 패널은 디스플레이 기능뿐만 아니라 터치 입력 위치, 터치된 면적뿐만 아니라 터치 입력 압력까지도 검출하는 기능을 가질 수 있고, 또한 실질적인 터치(real-touch)뿐만 아니라 근접 터치(proximity touch)도 검출하는 기능을 가질 수 있다. 펜 센서(172)는 터치 패널(171)의 일부로 구현될 수 있으며 또는 별도의 인식용 시트를 포함할 수 있다. 키(173)는 물리적 버튼, 광학식 키 또는 키패드를 포함할 수 있다. 마이크(174)는 내장형 마이크 또는 외장형 마이크 중 적어도 하나를 포함할 수 있다.
특히, 입력부(170)는 상술한 다양한 구성들로부터 외부 명령을 수신하여 프로세서(130)로 전달할 수 있다. 프로세서(130)는 수신한 입력에 대응되는 제어 신호를 생성하여 전자 장치(100)를 제어할 수 있다.
통신부(180)는 외부 장치와 통신을 수행할 수 있다. 특히, 통신부(180)는 와이파이 칩(181), 블루투스 칩(182), 무선 통신 칩(183), NFC칩(184) 등과 같은 다양한 통신 칩을 포함할 수 있다. 이때, 와이파이 칩(181), 블루투스 칩(182), NFC 칩(184)은 각각 LAN 방식, WiFi 방식, 블루투스 방식, NFC 방식으로 통신을 수행한다. 와이파이 칩(181)이나 블루투스칩(182)을 이용하는 경우에는 SSID 및 세션 키 등과 같은 각종 연결 정보를 먼저 송수신 하여, 이를 이용하여 통신 연결한 후 각종 정보들을 송수신할 수 있다. 무선 통신칩(183)은 IEEE, 지그비, 3G(3rd Generation), 3GPP(3rd Generation Partnership Project), LTE(Long Term Evolution) 등과 같은 다양한 통신 규격에 따라 통신을 수행하는 칩을 의미한다.
오디오 처리부(미도시)는 오디오 데이터에 대한 처리를 수행하는 구성 요소다. 오디오 처리부에서는 오디오 데이터에 대한 디코딩이나 증폭, 노이즈 필터링 등과 같은 다양한 처리가 수행될 수 있다.
오디오 출력부(미도시)는 오디오 처리부에 의해 디코딩이나 증폭, 노이즈 필터링과 같은 다양한 처리 작업이 수행된 각종 오디오 데이터뿐만 아니라 각종 알림 음이나 음성 메시지를 출력하는 구성이다. 특히, 오디오 출력부는 스피커로 구현될 수 있으나, 이는 일 실시 예에 불과할 뿐, 오디오 데이터를 출력할 수 있는 출력 단자로 구현될 수 있다.
도 3은 스누프(140)의 세부 구성의 일 예를 나타내는 블럭도이다.
도 3에 따르면, 스누프(140)는 모니터링 모듈(141), 메모리(142) 및 프로세서(143)를 포함한다.
모니터링 모듈(141)은 전자 장치(100)의 프로세서(130)와 제2 메모리(120) 사이의 시스템버스에 연결되어 트래픽을 감지하여 기설정된 코드가 저장된 영역에 대한 액세스를 모니터링할 수 있다. 예를 들면 기설정된 코드가 저장된 영역에 대한 읽기 또는 쓰기 시도를 감지할 수 있다.
본 발명의 일 실시 예에 따라, 스누프(140)의 메모리(142)에는 커널로부터 수신된 보안이 요구되는 기설정된 코드에 대한 정보가 저장될 수 있다. 여기서, 기설정된 코드에 대한 정보는 제2 메모리(120) 상에서 기설정된 코드가 저장된 영역의 물리 주소(physical address) 또는 실주소(real address)에 대한 정보를 포함할 수 있다.
스누프(140)의 프로세서(143)는 메모리(142)에 저장된 정보에 기초하여 제2 메모리(120)에서 기설정된 코드가 저장된 영역에 대한 액세스를 모니터링하도록 모니터링 모듈(141)을 제어할 수 있다.
특히, 프로세서(130)로부터 모니터링을 중지시키기 위한 제1 제어 신호가 수신되면, 스누프(140)의 프로세서(143)는 기설정된 코드가 저장된 영역으로의 액세스에 대한 모니터링을 중지하도록 모니터링 모듈(141)을 제어할 수 있다.
본 발명의 일 실시 예에 따라 프로세서(130)로부터 모니터링을 재개시키기 위한 제2 제어 신호가 수신되면, 스누프(140)의 프로세서(143)는 기설정된 코드가 저장된 영역으로의 액세스에 대한 모니터링을 재개하도록 모니터링 모듈(141)을 제어할 수 있다. 여기서, 제2 제어 신호는 기설정된 코드에 대한 실행이 종료됨에 따라 프로세서(130)로부터 수신되는 신호일 수 있다. 따라서, 스누프(140)는 기설정된 코드 및 기설정된 코드가 저장된 영역에 대한 비정상적인 액세스를 차단하기 위해 모니터링을 재개할 수 있다.
도 4는 본 발명의 일 실시 예에 따른 프로세서(130) 및 스누프(140)의 동작을 설명하기 위한 시퀀스도이다.
본 발명의 일 실시 예에 따른 프로세서(130)는 실행하고자 하는 응용 프로그램에 대응되는 코드 중 적어도 일부 코드를 제1 메모리로부터 제2 메모리로 로딩할 수 있다(S410). 여기서, 응용 프로그램은 임의의 단위로 구분될 수 있으며, 프로세서(130)는 응용 프로그램을 구성하는 복수의 페이지 또는 코드 중 일부 페이지 또는 일부 코드를 제1 메모리로부터 제2 메모리로 로딩할 수 있다.
스누프(140)는 제2 메모리로 로딩된 코드 중 기설정된 코드가 저장된 영역에 대한 액세스를 모니터링할 수 있다(S420). 여기서, 기설정된 코드는 보안이 요구되는 코드이며, 정상적인 액세스 요청 또는 모니터링 중지 요청 없이는 운영체제의 커널에 의한 액세스가 차단되는 코드일 수 있다.
운영체제의 커널로부터 제2 메모리에 로드된 코드에 대한 액세스 정보가 수신되면, 프로세서(130)는 수신된 정보에 기초하여 로드된 코드가 저장된 영역에 액세스하여 응용 프로그램을 실행할 수 있다(S430).
프로세서(130)는 응용 프로그램을 실행하는 단계에서, 기설정된 코드의 시작(start)을 인디케이팅하는 제1 명령어가 실행되면(S440:Y), 제2 메모리 상에서 기설정된 코드가 저장된 영역으로의 액세스에 대한 모니터링을 중지하기 위한 제1 제어 신호를 스누프(140)로 전송할 수 있다(S450).
여기서, 기설정된 코드는 상술한 바와 같이 비정상적인 액세스가 제한되어야 하는 코드일 수 있다. 일 예로, 스누프(140)는 GOT(Global Offset Table)가 저장된 영역에 대한 액세스를 모니터링 및 차단할 수 있다. 프로세서(130)는 dl_resolve() 또는 Loader 코드가 실행되면, GOT가 저장된 영역으로의 액세스에 대한 모니터링을 중지하기 위한 제1 제어 신호를 스누프(140)로 전송할 수 있다. 즉, 프로세서(130)는 dl_resolve() 또는 Loader 코드가 실행되면, GOT에 비정상적으로 액세스하는 것이 아닌, 정상적인 액세스가 발생한 것으로 식별하고, GOT에 대한 모니터링을 중지한 뒤 Read 또는 Write를 수행할 수 있다. 여기서, GOT는 PLT(Procedure Linkage Table)가 참조하는 테이블로서 프로시져(Procedure)들의 주소를 포함하고 있는 테이블을 의미한다.
다른 실시 예로, TLS(Thread Local Storage) 영역에 있어서, _stack_chk_fail() 코드가 실행되면, 프로세서(130)는 canary 값이 저장된 영역에 액세스하여 Read 또는 Write를 수행할 수 있다. 구체적으로, _stack_chk_fail() 코드가 실행되면, canary 값이 저장된 영역에 정상적인 액세스가 발생한 것으로 식별하고, 프로세서(130)는 제1 제어 신호를 스누프(140)로 전송할 수 있다. 이 경우, 스누프(140)는 canary 값이 저장된 영역에 대한 모니터링을 중지할 수 있다.
또 다른 실시 예로, 프로세서(130)는 heap allocator 코드라 실행되면, 스누프(140)로 제1 제어 신호를 전송하고, 스누프(140)는 chunk head가 저장된 영역으로의 액세스에 대한 모니터링을 중지할 수 있다. 이에 따라, 프로세서(130)는 chunk head가 저장된 영역에 액세스하여 Read 또는 Write를 할 수 있다.
또 다른 실시 예로, 제2 메모리(120)에 저장된 클라이언트 API(Application Programming Interface)에서 보안이 요구되는 API(즉, 기설정된 코드)는 해당 API의 시작 및 종료를 인디케이팅하는 명령어가 실행됨에 따라 스누프(140)의 모니터링이 중지되는 동안에만 프로세서(130)의 액세스가 가능할 수 있다.
여기서, API는 제1 실행모드에서 응용 프로그램이 운영체제와 통신할 때 사용하는 언어로, 응용 프로그램의 실행을 위한 함수를 호출함에 의해 구현될 수 있다.
본 발명의 일 실시 예에 따라 프로세서(130)는, 기설정된 코드의 종료(end)를 인디케이팅하는 제2 명령어가 실행되면, 제2 메모리 상에서 기설정된 코드가 저장된 영역으로의 액세스에 대한 모니터링을 재개하기 위한 제2 제어 신호를 스누프로 전송할 수 있다.
도 5는 본 발명의 일 실시 예에 따른 프로세서(130)의 실행모드를 도시한 도면이다.
본 발명의 일 실시 예에 따라 프로세서(130)는 제1 실행모드(130-1) 및 제2 실행모드(130-2) 중 하나로 선택적으로 동작할 수 있다. 여기서, 제1 실행모드(130-1)는 범용 운영체제를 기반으로 하는 실행모드이고, 제2 실행모드(130-2)는 보안 운영체제를 기반으로 하는 실행모드이다. 제1 및 제2 실행모드(130-2)는 각각 노멀 월드(Normal world) 및 시큐어 월드(Secure world)로 표현될 수 있으며, 노멀 월드는 일반적인 데이터 처리 아키텍처, 시큐어 월드는 보안성을 확보한 데이터 처리 아키텍처를 의미할 수 있다.
일 실시 예로, 프로세서(130)는 "ARM 트러스트존 아키텍처(ARM Trustzone Architecture)"가 사용될 수 있다. "ARM 트러스트존 아키텍처(ARM Trustzone Architecture)"는 ARM사(社)의 두 개로 분할된 런타임-아키텍처를 포함하는 마이크로 프로세스를 공지하고 있다. 두 개의 런타임-아키텍처 중 하나인 비보안 런타임-아키텍처는 "노멀 존(Normal Zone)" 또는 "노멀 월드(Normal World)"로 지칭될 수 있다. 비보안 런타임-아키텍처는 범용 운영체제를 기반으로 동작할 수 있다. 다른 하나는 보안 런타임-아키텍처이고, "트러스트 존(Trustzone)", "트러스티드 월드(TrustedWorld)" 또는 "시큐어 월드(Secure World)”로 지칭될 수 있다. 보안 런타임-아키텍처는 보안 운영체제를 기반으로 동작할 수 있다.
여기서, 범용 운영체제는 예를 들어, 안드로이드, 윈도우, 심비안 등과 같은 통상적이고, 일반적인 운영체제일 수 있다. 보안 운영체제는 예를 들어, MOBICORE, RedCastle 등과 같이 기존의 운영체제에 보안 기능이 통합된 보안 커널(security kernel)을 삽입한 운영체제일 수 있다. ARM 트러스트 존에 따르면, 상술한 비보안 런타임-아키텍처 및 보안 런타임-아키텍처는 각각 가상의 제1 실행모드(130-1) 및 제2 실행모드(130-2)로 정의될 수 있다.
본 발명의 일 실시 예에 따른 프로세서(130)는 범용 운영체제 또는 보안 운영체제 중 어느 하나가 디폴트로 설정이 되어 있을 수 있다. 일 예로, 범용 운영체제가 디폴트로 설정되어 있으면, 프로세서(130)는 범용 운영체제를 기반으로 하는 제1 실행모드(130-1)에서 동작하고 기설정된 이벤트가 발생하면, 프로세서(130)는 제2 실행모드(130-2)로 전환할 수 있다. 이 경우, 제2 실행모드(130-2)에서는 보안 운영체제가 실행될 수 있다. 여기서, 기설정된 이벤트는 사용자의 모드 선택 명령, 스위칭 코드 수신 여부, 모드 전환 명령어 발생 여부 등이 될 수 있다.
일 예로, 기설정된 이벤트가 스위칭 코드 수신 여부이면, 프로세서(130)는 운영체제의 커널로부터 모드 전환을 위한 스위칭 코드가 수신되면 제1 실행모드(130-1)에서 제2 실행모드(130-2)로 전환될 수 있다. 여기서, 스위칭 코드는 사용자 레벨이 아닌 운영체제의 커널 레벨에서 발생되므로 악의적인 해킹 또는 비정상정인 액세스 등에 의해 스위칭 코드가 발생되는 위험을 줄일 수 있다.
여기서, 스위칭 코드는 운영체제의 커널에서 실행되는 SMC 명령어일 수 있다. SMC 명령어는 가상 모니터 모듈로 전송되고, 가상 모니터 모듈은 제1 실행모드(130-1)를 제2 실행모드(130-2)로 전환할 수 있다. 실행모드가 제2 실행모드(130-2)일 때, SMC 명령어가 수신되면, 가상 모니터 모듈이 제2 실행모드(130-2)를 제1 실행모드(130-1)로 전환할 수도 있음은 물론이다.
한편, SMC 명령어를 사용하는 경우 외에도 프로세서(130)는 IRQ(Interrupt Request) 또는 FIQ(Fast Interrupt Request)를 이용하여 현재 실행되는 모드를 모니터 모드로 변경할 수도 있다. 일반적으로 IRQ는 제1 실행모드(130-1)의 인터럽트로 사용되며, FIQ는 제2 실행모드(130-2)의 인터럽트로 사용될 수 있다.
다른 실시 예로, 실행모드 선택을 위한 사용자 명령이 수신되면, 프로세서(130)는 사용자 명령에 대응되는 실행모드로 전환할 수 있다. 예를 들어, 범용 운영체제를 기반으로 동작하는 제1 실행모드(130-1)에서 제2 실행모드(130-2)로 전환하기 위한 사용자 명령이 수신되면, 프로세서(130)는 제2 실행모드(130-2)로 전환할 수 있다. 여기서, 제2 실행모드(130-2)는 보안 운영체제를 기반으로 동작하는 실행모드일 수 있다.
또 다른 실시 예로, 프로세서(130)가 제1 실행모드(130-1)에서 범용 운영체제가 실행되고 있는 경우, 전자 장치(100)를 종료한 후 재부팅하여 보안 운영체제를 실행하고, 프로세서(130)는 보안 운영체제를 기반으로 하는 제2 실행모드(130-2)로 동작할 수도 있다.
한편, 상술한 실시 예에서, 제1 실행모드(130-1) 및 제2 실행모드(130-2)는 각각의 실행모드 대응되는 운영체제를 실행하는 것으로 이해될 수도 있으나, 프로세서(130)는 범용 운영체제 및 범용 운영체제 상에서 동작하는 응용 프로그램을 실행하는 도중에, 보안이 요구되는 데이터를 생성한 경우, 해당 데이터를 제2 실행모드(130-2) 및 보안 운영체제로 전달할 수도 있다.
예를 들어, 프로세서(130)가 범용 운영체제에서 동작하는 응용 프로그램을 실행하기 위해 제2 메모리(120)의 특정 주소에 액세스하고, 해당 주소에 대응되는 데이터가 보안 운영체제를 기반으로 하는 제2 실행모드(130-2)인 경우, 프로세서(130)는 제1 실행모드(130-1)에서 생성된 데이터를 제2 실행모드(130-2)로 전달하고, 보안 운영체제에서 동작할 수 있다.
제2 실행모드(130-2)는 보안성을 강화하기 위하여 제1 실행모드(130-1)와 별개로 네트워크 드라이버 모듈, TCP/IP 모듈 등과 같은 각종 소프트웨어를 포함할 수 있다. 또한, 제2 실행모드(130-2)는 제1 실행모드(130-1)와 독립된 하드웨어로 구현될 수도 있다. 예를 들어, 제1 실행모드(130-1)는 제2 실행모드(130-2)와 서로 다른 SoC(System on Chip) 이나 서로 다른 프로세서로 구현될 수도 있다. 다만 이에 한정되는 것은 아니며, 하나의 프로세서를 논리적, 가상적으로 구분한 두 개의 영역 각각에서 구현될 수도 있음은 물론이다.
도 6은 본 발명의 일 실시 예에 따른 실행모드 전환을 설명하기 위한 시퀀스도이다.
본 발명의 일 실시 예에 따른 프로세서(130)는 실행하고자 하는 응용 프로그램에 대응되는 코드 중 적어도 일부 코드를 제1 메모리로부터 제2 메모리로 로딩할 수 있다(S610).
스누프(140)는 제2 메모리로 로딩된 코드 중 기설정된 코드가 저장된 영역에 대한 액세스를 모니터링할 수 있다(S620).
프로세서(130)는 제1 실행모드(130-1)에서 운영체제의 커널로부터 제2 메모리에 로드된 코드에 대한 액세스 정보가 수신되면, 수신된 정보에 기초하여 로드된 코드가 저장된 영역에 액세스하여 응용 프로그램을 실행할 수 있다(S630). 여기서, 운영체제는 범용 운영체제이고, 제1 실행모드(130-1)는 범용 운영체제를 기반으로 동작되는 실행모드를 의미할 수 있다.
제1 실행모드(130-1)에서 동작하는 프로세서(130)는 기설정된 코드의 시작(start)을 인디케이팅하는 제1 명령어가 실행되면(S640:Y), 프로세서(130)는 운영체제의 커널로부터 모드 전환을 위한 스위칭 코드를 수신하고, 제1 실행모드(130-1)에서 제2 실행모드(130-2)로 전환할 수 있다(S650). 이어서, 프로세서(130)는 기설정된 코드가 저장된 영역으로의 액세스에 대한 모니터링을 중지하기 위한 제1 제어 신호를 스누프(140)로 전송할 수 있다. 특히, 제1 제어 신호는 제2 실행모드(130-2)에서 동작하는 스누프 드라이버 모듈에 의해 스누프(140)로 전송될 수 있다.
이어서, 스누프(140)는 제2 메모리(120) 상에서 기설정된 코드가 저장된 영역으로의 액세스에 대한 모니터링을 중지할 수 있다. 프로세서(130)는 기설정된 코드가 저장된 영역에 액세스하여 응용 프로그램을 실행시킬 수 있으며, 해당 영역에 대한 Read 또는 Write를 수행할 수 있다.
본 발명의 일 실시 예에 따라, 제1 제어 신호가 수신되기 전에 기설정된 코드가 저장된 영역에 대한 액세스가 감지되면, 스누프(140)는 액세스를 차단하거나, 액세스에 대한 로그를 생성할 수 있다.
도 7은 본 발명의 일 실시 예에 따른 실행모드 전환을 설명하기 위한 시퀀스도이다.
제1 실행모드(130-1)에서 동작하는 프로세서(130)는 기설정된 코드의 종료(end)를 인디케이팅하는 제2 명령어가 실행되면(S710:Y), 프로세서(130)는 운영체제의 커널로부터 모드 전환을 위한 스위칭 코드를 수신하고, 제1 실행모드(130-1)에서 제2 실행모드(130-2)로 전환할 수 있다(S720). 이어서, 프로세서(130)는 기설정된 코드가 저장된 영역으로의 액세스에 대한 모니터링을 재개하기 위한 제2 제어 신호를 스누프(140)로 전송할 수 있다. 이에 따라, 스누프(140)는 제2 메모리(120) 상에서 기설정된 코드가 저장된 영역으로의 액세스에 대한 모니터링을 재개할 수 있다. 프로세서(130)는 기설정된 코드가 저장된 영역에 액세스하여 해당 영역에 대한 Read 또는 Write를 수행할 수 없으며, 외부 경로를 통한 비정상적인 액세스 또는 악의적인 해킹 또한 스누프(140)에 의해 차단될 수 있다.
도 8은 본 발명의 일 실시 예에 따른 전자 장치의 제어 방법을 설명하기 위한 흐름도이다.
먼저, 응용 프로그램에 대응되는 코드 중 적어도 일부 코드를 제1 메모리에서 제2 메모리로 로딩한다(S810).
전자 장치에 포함된 스누프에 의해 제2 메모리에 로드된 코드 중 운영체제의 커널에 의한 액세스가 제한된 기설정된 코드가 저장된 영역에 대한 액세스를 모니터링을 수행한다(S820).
운영체제의 커널로부터 제2 메모리에 로드된 코드에 대한 액세스 정보가 수신되면, 수신된 정보에 기초하여 로드된 코드가 저장된 영역에 액세스하여 응용 프로그램을 실행한다(S830).
여기서, 응용 프로그램을 실행하는 S830 단계는, 기설정된 코드의 시작(start)을 인디케이팅하는 제1 명령어가 실행되면, 제2 메모리 상에서 기설정된 코드가 저장된 영역으로의 액세스에 대한 모니터링을 중지하기 위한 제1 제어 신호를 스누프로 전송하는 단계를 포함한다.
이어서, 응용 프로그램을 실행하는 S830 단계는, 기설정된 코드의 종료(end)를 인디케이팅하는 제2 명령어가 실행되면, 기설정된 코드가 저장된 영역으로의 액세스에 대한 모니터링을 재개하기 위한 제2 제어 신호를 스누프로 전송할 수 있다.
여기서, 응용 프로그램을 실행하는 S830 단계는, 기설정된 코드가 저장된 영역으로의 액세스에 대한 모니터링이 중지됨에 따라 기설정된 코드가 저장된 영역에 대한 액세스가 수행되면, 기설정된 코드가 저장된 영역에 대응되는 데이터를 캐쉬 메모리에 저장하는 단계 및 제2 명령어가 실행되면, 캐쉬 메모리에 저장된 데이터를 삭제하는 단계를 포함할 수 있다.
한편, 응용 프로그램을 실행하는 S830 단계는, 운영체제를 기반으로 하는 제1 실행모드에서 제1 명령어가 실행됨에 따라, 운영체제의 커널로부터 모드 전환을 위한 스위칭 코드가 수신되면, 제1 실행모드에서 보안 운영체제(Secure OS)를 기반으로 하는 제2 실행모드로 전환하는 단계 및 제2 실행모드에서 제1 제어 신호를 스누프로 전송하는 단계를 포함할 수 있다.
여기서, 스위칭 코드는, 운영체제의 커널에서 실행되는 SMC(Secure Monitor Call) 명령어이고, 제2 실행모드로 전환하는 단계는, 운영체제의 커널이 SMC 명령어를 제2 실행모드에서 동작하는 가상 모니터 모듈로 전송하는 단계 및 SMC 명령어가 수신되면, 가상 모니터 모듈이 제1 실행모드를 제2 실행모드로 전환하는 단계를 포함할 수 있다.
또한, SMC 명령어는, 제1 제어 신호를 스누프로 전송하기 위한 제어 신호를 포함하고, 제1 제어 신호를 스누프로 전송하는 단계는, 제2 실행모드에서 동작하는 스누프 드라이버 모듈이 제어 신호가 수신되면, 제어 신호에 기초하여 제1 제어 신호를 스누프로 전송할 수 있다.
본 발명의 일 실시 예에 따른, 응용 프로그램을 실행하는 S830 단계는, 운영체제를 기반으로 하는 제1 실행모드에서 기설정된 코드의 종료(end)를 인디케이팅하는 제2 명령어가 실행됨에 따라, 운영체제의 커널로부터 모드 전환을 위한 스위칭 코드가 수신되면, 제1 실행모드에서 보안 운영체제(Secure OS)를 기반으로 하는 제2 실행모드로 전환하는 단계 및 제2 실행모드에서 기설정된 코드가 저장된 영역으로의 액세스에 대한 모니터링을 재개하기 위한 제2 제어 신호를 스누프로 전송하는 단계를 포함할 수 있다.
본 발명의 일 실시 예에 따라 모니터링을 수행하는 S820 단계는, 제1 제어 신호가 스누프로 수신되기 전에 기설정된 코드가 저장된 영역에 대한 액세스가 감지되면 액세스를 차단하거나, 액세스에 대한 로그를 생성할 수 있다.
한편, 이상에서 설명된 다양한 실시 예들은 소프트웨어(software), 하드웨어(hardware) 또는 이들의 조합을 이용하여 컴퓨터(computer) 또는 이와 유사한 장치로 읽을 수 있는 기록 매체 내에서 구현될 수 있다. 일부 경우에 있어 본 명세서에서 설명되는 실시 예들이 프로세서 자체로 구현될 수 있다. 소프트웨어적인 구현에 의하면, 본 명세서에서 설명되는 절차 및 기능과 같은 실시 예들은 별도의 소프트웨어 모듈들로 구현될 수 있다. 소프트웨어 모듈들 각각은 본 명세서에서 설명되는 하나 이상의 기능 및 작동을 수행할 수 있다.
한편, 상술한 본 개시의 다양한 실시 예들에 따른 처리 동작을 수행하기 위한 컴퓨터 명령어(computer instructions)는 비일시적 컴퓨터 판독 가능 매체(non-transitory computer-readable medium) 에 저장될 수 있다. 이러한 비일시적 컴퓨터 판독 가능 매체에 저장된 컴퓨터 명령어는 프로세서에 의해 실행되었을 때 상술한 다양한 실시 예에 따른 처리 동작을 특정 기기가 수행하도록 할 수 있다.
비일시적 컴퓨터 판독 가능 매체란 레지스터, 캐쉬, 메모리 등과 같이 짧은 순간 동안 데이터를 저장하는 매체가 아니라 반영구적으로 데이터를 저장하며, 기기에 의해 판독(reading)이 가능한 매체를 의미한다. 비일시적 컴퓨터 판독 가능 매체의 구체적인 예로는, CD, DVD, 하드 디스크, 블루레이 디스크, USB, 메모리카드, ROM 등이 있을 수 있다.
이상에서는 본 개시의 바람직한 실시 예에 대하여 도시하고 설명하였지만, 본 개시는 상술한 특정의 실시 예에 한정되지 아니하며, 청구범위에서 청구하는 본 개시의 요지를 벗어남이 없이 당해 개시에 속하는 기술분야에서 통상의 지식을 가진자에 의해 다양한 변형실시가 가능한 것은 물론이고, 이러한 변형실시들은 본 개시의 기술적 사상이나 전망으로부터 개별적으로 이해되어져서는 안될 것이다.
100: 전자장치 110: 제1 메모리
120: 제2 메모리 130: 프로세서
140: 스누프

Claims (17)

  1. 운영체제 및 상기 운영체제 상에서 실행되는 응용 프로그램이 저장된 제1 메모리;
    제2 메모리;
    상기 응용 프로그램에 대응되는 코드 중 적어도 일부 코드를 상기 제1 메모리로부터 상기 제2 메모리로 로딩하고,
    상기 운영체제의 커널(kernel)로부터 상기 제2 메모리에 로드된 코드에 대한 액세스 정보가 수신되면, 상기 수신된 정보에 기초하여 상기 로드된 코드가 저장된 영역에 액세스하여 상기 응용 프로그램을 실행하는 프로세서; 및
    상기 제2 메모리에 로드된 코드 중 액세스가 제한된 기설정된 코드가 저장된 영역에 대한 액세스를 모니터링을 수행하는 스누프(snoop);를 포함하며,
    상기 프로세서는,
    상기 기설정된 코드의 시작(start)을 인디케이팅하는 제1 명령어가 실행되면, 상기 제2 메모리 상에서 상기 기설정된 코드가 저장된 영역으로의 액세스에 대한 모니터링을 중지하기 위한 제1 제어 신호를 상기 스누프로 전송하고,
    상기 기설정된 코드가 저장된 영역으로의 액세스에 대한 모니터링이 중지됨에 따라 상기 기설정된 코드가 저장된 영역에 대한 액세스가 수행되면, 상기 기설정된 코드가 저장된 영역에 대응되는 데이터를 상기 프로세서의 캐쉬 메모리에 저장하고
    상기 기설정된 코드의 종료(end)를 인디케이팅하는 제2 명령어가 실행되면, 상기 기설정된 코드가 저장된 영역으로의 액세스에 대한 모니터링을 재개하기 위한 제2 제어 신호를 상기 스누프로 전송하며,
    상기 캐쉬 메모리에 저장된 상기 데이터를 삭제하는, 전자 장치.
  2. 삭제
  3. 삭제
  4. 제1항에 있어서,
    상기 프로세서는,
    상기 운영체제를 기반으로 하는 제1 실행모드 또는 보안 운영체제(Secure OS)를 기반으로 하는 제2 실행모드에서 동작하고,
    상기 제1 실행모드에서 상기 제1 명령어가 실행됨에 따라, 상기 운영체제의 커널로부터 모드 전환을 위한 스위칭 코드가 수신되면, 상기 제1 실행모드에서 상기 제2 실행모드로 전환하고,
    상기 제2 실행모드에서 상기 제1 제어 신호를 상기 스누프로 전송하는, 전자 장치.
  5. 제4항에 있어서,
    상기 스위칭 코드는,
    상기 운영체제의 커널에서 실행되는 SMC(Secure Monitor Call) 명령어이고,
    상기 운영체제의 커널은 상기 SMC 명령어를 상기 제2 실행모드에서 동작하는 가상 모니터 모듈로 전송하며,
    상기 가상 모니터 모듈은,
    상기 SMC(Secure Monitor Call) 명령어가 수신되면, 상기 제1 실행모드를 상기 제2 실행모드로 전환하는, 전자 장치.
  6. 제5항에 있어서,
    상기 SMC 명령어는 상기 제1 제어 신호를 상기 스누프로 전송하기 위한 제어 신호를 포함하고,
    상기 제2 실행모드에서 동작하는 스누프 드라이버 모듈은 상기 제어 신호가 수신되면, 상기 제어 신호에 기초하여 상기 제1 제어 신호를 상기 스누프로 전송하는, 전자 장치.
  7. 제1항에 있어서,
    상기 프로세서는,
    상기 운영체제를 기반으로 하는 제1 실행모드 또는 보안 운영체제(Secure OS)를 기반으로 하는 제2 실행모드에서 동작하고,
    상기 제1 실행모드에서 상기 기설정된 코드의 종료(end)를 인디케이팅하는 제2 명령어가 실행됨에 따라 상기 운영체제의 커널로부터 모드 전환을 위한 스위칭 코드가 수신되면,
    상기 제1 실행모드에서 상기 제2 실행모드로 전환하고,
    상기 제2 실행모드에서 상기 기설정된 코드가 저장된 영역으로의 액세스에 대한 모니터링을 재개하기 위한 제2 제어 신호를 상기 스누프로 전송하는, 전자 장치.
  8. 제1항에 있어서,
    상기 스누프는,
    상기 프로세서로부터 상기 제1 제어 신호가 수신되기 전에 상기 기설정된 코드가 저장된 영역에 대한 액세스가 감지되면 상기 액세스를 차단하거나, 상기 액세스에 대한 로그를 생성하여 저장하는, 전자 장치.
  9. 운영체제 및 상기 운영체제 상에서 실행되는 응용 프로그램이 저장된 제1 메모리 및 제2 메모리를 포함하는 전자 장치의 제어 방법에 있어서,
    상기 응용 프로그램에 대응되는 코드 중 적어도 일부 코드를 상기 제1 메모리에서 상기 제2 메모리로 로딩하는 단계;
    상기 전자 장치에 포함된 스누프(snoop)에 의해 상기 제2 메모리에 로드된 코드 중 액세스가 제한된 기설정된 코드가 저장된 영역에 대한 액세스를 모니터링을 수행하는 단계; 및
    상기 운영체제의 커널로부터 상기 제2 메모리에 로드된 코드에 대한 액세스 정보가 수신되면, 상기 수신된 정보에 기초하여 상기 로드된 코드가 저장된 영역에 액세스하여 상기 응용 프로그램을 실행하는 단계;를 포함하고,
    상기 응용 프로그램을 실행하는 단계는,
    상기 기설정된 코드의 시작(start)을 인디케이팅하는 제1 명령어가 실행되면, 상기 제2 메모리 상에서 상기 기설정된 코드가 저장된 영역으로의 액세스에 대한 모니터링을 중지하기 위한 제1 제어 신호를 상기 스누프로 전송하는 단계;
    상기 기설정된 코드가 저장된 영역으로의 액세스에 대한 모니터링이 중지됨에 따라 상기 기설정된 코드가 저장된 영역에 대한 액세스가 수행되면, 상기 기설정된 코드가 저장된 영역에 대응되는 데이터를 캐쉬 메모리에 저장하는 단계;
    상기 기설정된 코드의 종료(end)를 인디케이팅하는 제2 명령어가 실행되면, 상기 기설정된 코드가 저장된 영역으로의 액세스에 대한 모니터링을 재개하기 위한 제2 제어 신호를 상기 스누프로 전송하는 단계; 및
    상기 제2 명령어가 실행되면, 상기 캐쉬 메모리에 저장된 상기 데이터를 삭제하는 단계;를 포함하는, 제어 방법.
  10. 삭제
  11. 삭제
  12. 제9항에 있어서,
    상기 응용 프로그램을 실행하는 단계는,
    상기 운영체제를 기반으로 하는 제1 실행모드에서 상기 제1 명령어가 실행됨에 따라, 상기 운영체제의 커널로부터 모드 전환을 위한 스위칭 코드가 수신되면, 상기 제1 실행모드에서 보안 운영체제(Secure OS)를 기반으로 하는 제2 실행모드로 전환하는 단계; 및
    상기 제2 실행모드에서 상기 제1 제어 신호를 상기 스누프로 전송하는 단계;를 포함하는, 제어 방법.
  13. 제12항에 있어서,
    상기 스위칭 코드는,
    상기 운영체제의 커널에서 실행되는 SMC(Secure Monitor Call) 명령어이고,
    상기 제2 실행모드로 전환하는 단계는,
    상기 운영체제의 커널이 상기 SMC 명령어를 상기 제2 실행모드에서 동작하는 가상 모니터 모듈로 전송하는 단계; 및
    상기 SMC 명령어가 수신되면, 상기 가상 모니터 모듈이 상기 제1 실행모드를 상기 제2 실행모드로 전환하는 단계;를 포함하는, 제어 방법.
  14. 제13항에 있어서,
    상기 SMC 명령어는,
    상기 제1 제어 신호를 상기 스누프로 전송하기 위한 제어 신호를 포함하고,
    상기 제1 제어 신호를 상기 스누프로 전송하는 단계는,
    상기 제2 실행모드에서 동작하는 스누프 드라이버 모듈이 상기 제어 신호가 수신되면, 상기 제어 신호에 기초하여 상기 제1 제어 신호를 상기 스누프로 전송하는, 제어 방법.
  15. 제9항에 있어서,
    상기 응용 프로그램을 실행하는 단계는,
    상기 운영체제를 기반으로 하는 제1 실행모드에서 상기 기설정된 코드의 종료(end)를 인디케이팅하는 제2 명령어가 실행됨에 따라, 상기 운영체제의 커널로부터 모드 전환을 위한 스위칭 코드가 수신되면, 상기 제1 실행모드에서 보안 운영체제(Secure OS)를 기반으로 하는 제2 실행모드로 전환하는 단계; 및
    상기 제2 실행모드에서 상기 기설정된 코드가 저장된 영역으로의 액세스에 대한 모니터링을 재개하기 위한 제2 제어 신호를 상기 스누프로 전송하는 단계;를 포함하는, 제어 방법.
  16. 제9항에 있어서,
    상기 모니터링을 수행하는 단계는,
    상기 제1 제어 신호가 상기 스누프로 수신되기 전에 상기 기설정된 코드가 저장된 영역에 대한 액세스가 감지되면 상기 액세스를 차단하거나, 상기 액세스에 대한 로그를 생성하여 저장하는, 제어 방법.
  17. 전자 장치의 프로세서에 의해 실행되는 경우 상기 전자 장치가 동작을 수행하도록 컴퓨터 명령을 저장하는 비일시적 컴퓨터 판독 가능 매체에 있어서, 상기 동작은,
    응용 프로그램에 대응되는 코드 중 적어도 일부 코드를 제1 메모리에서 제2 메모리로 로딩하는 단계;
    상기 전자 장치에 포함된 스누프(snoop)에 의해 상기 제2 메모리에 로드된 코드 중 액세스가 제한된 기설정된 코드가 저장된 영역에 대한 액세스를 모니터링을 수행하는 단계; 및
    운영체제의 커널로부터 상기 제2 메모리에 로드된 코드에 대한 액세스 정보가 수신되면, 상기 수신된 정보에 기초하여 상기 로드된 코드가 저장된 영역에 액세스하여 상기 응용 프로그램을 실행하는 단계;를 포함하고,
    상기 응용 프로그램을 실행하는 단계는,
    상기 기설정된 코드의 시작(start)을 인디케이팅하는 제1 명령어가 실행되면, 상기 제2 메모리 상에서 상기 기설정된 코드가 저장된 영역으로의 액세스에 대한 모니터링을 중지하기 위한 제1 제어 신호를 상기 스누프로 전송하는 단계;
    상기 기설정된 코드가 저장된 영역으로의 액세스에 대한 모니터링이 중지됨에 따라 상기 기설정된 코드가 저장된 영역에 대한 액세스가 수행되면, 상기 기설정된 코드가 저장된 영역에 대응되는 데이터를 캐쉬 메모리에 저장하는 단계;
    상기 기설정된 코드의 종료(end)를 인디케이팅하는 제2 명령어가 실행되면, 상기 기설정된 코드가 저장된 영역으로의 액세스에 대한 모니터링을 재개하기 위한 제2 제어 신호를 상기 스누프로 전송하는 단계; 및
    상기 제2 명령어가 실행되면, 상기 캐쉬 메모리에 저장된 상기 데이터를 삭제하는 단계;를 포함하는, 비일시적 컴퓨터 판독 가능 매체.
KR1020170148241A 2017-11-08 2017-11-08 전자 장치 및 그 제어 방법 KR102411920B1 (ko)

Priority Applications (3)

Application Number Priority Date Filing Date Title
KR1020170148241A KR102411920B1 (ko) 2017-11-08 2017-11-08 전자 장치 및 그 제어 방법
US16/760,679 US11669614B2 (en) 2017-11-08 2018-11-07 Electronic device and control method therefor
PCT/KR2018/013475 WO2019093762A1 (ko) 2017-11-08 2018-11-07 전자 장치 및 그 제어 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170148241A KR102411920B1 (ko) 2017-11-08 2017-11-08 전자 장치 및 그 제어 방법

Publications (2)

Publication Number Publication Date
KR20190052510A KR20190052510A (ko) 2019-05-16
KR102411920B1 true KR102411920B1 (ko) 2022-06-22

Family

ID=66438944

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170148241A KR102411920B1 (ko) 2017-11-08 2017-11-08 전자 장치 및 그 제어 방법

Country Status (3)

Country Link
US (1) US11669614B2 (ko)
KR (1) KR102411920B1 (ko)
WO (1) WO2019093762A1 (ko)

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5737569A (en) 1993-06-30 1998-04-07 Intel Corporation Multiport high speed memory having contention arbitration capability without standby delay
US7353319B2 (en) 2005-06-02 2008-04-01 Qualcomm Incorporated Method and apparatus for segregating shared and non-shared data in cache memory banks
US20070005907A1 (en) * 2005-06-29 2007-01-04 Intel Corporation Reduction of snoop accesses
US7809922B2 (en) 2007-10-21 2010-10-05 International Business Machines Corporation Translation lookaside buffer snooping within memory coherent system
US9680770B2 (en) 2009-10-30 2017-06-13 Iii Holdings 2, Llc System and method for using a multi-protocol fabric module across a distributed server interconnect fabric
KR101679349B1 (ko) * 2010-09-14 2016-11-24 엘지전자 주식회사 이동 단말기, 그 구동 방법 및 식별 모듈 카드
WO2012135192A2 (en) 2011-03-28 2012-10-04 Mcafee, Inc. System and method for virtual machine monitor based anti-malware security
US9536075B2 (en) * 2013-03-01 2017-01-03 Infineon Technologies Ag Dynamic resource sharing
KR102167393B1 (ko) 2013-08-16 2020-10-19 삼성전자 주식회사 메모리 공유 환경에서 데이터 무결성 감시 장치 및 방법
TW201535145A (zh) * 2013-12-04 2015-09-16 Insyde Software Corp 使用保護讀取儲存器安全地儲存韌體數據之系統及方法
US9870324B2 (en) 2015-04-09 2018-01-16 Vmware, Inc. Isolating guest code and data using multiple nested page tables
US10078589B2 (en) 2015-04-30 2018-09-18 Arm Limited Enforcing data protection in an interconnect
KR102494167B1 (ko) * 2015-11-25 2023-02-01 삼성전자주식회사 메모리의 커널영역을 보호하기 위한 전자장치 및 방법
KR20170105353A (ko) 2016-03-09 2017-09-19 삼성전자주식회사 전자장치 및 그 제어방법

Also Published As

Publication number Publication date
US11669614B2 (en) 2023-06-06
US20210173923A1 (en) 2021-06-10
WO2019093762A1 (ko) 2019-05-16
KR20190052510A (ko) 2019-05-16

Similar Documents

Publication Publication Date Title
US10921967B2 (en) Electronic device and method for configuring display thereof
US20220075696A1 (en) Application Exception Recovery
KR102327782B1 (ko) 전자 장치 및 커널 데이터 접근 방법
US8327174B2 (en) Loading operating systems using memory segmentation and ACPI based context switch
US10885229B2 (en) Electronic device for code integrity checking and control method thereof
US20170269725A1 (en) Electronic device for touch and finger scan sensor input and control method thereof
US9135435B2 (en) Binary translator driven program state relocation
EP3678039B1 (en) Secure startup method and apparatus, and terminal device
WO2016209552A1 (en) Firmware-related event notification
US8132167B2 (en) Context based virtualization
JP2018519560A (ja) システム稼働方法およびインテリジェント端末
WO2020015203A1 (zh) 一种系统恢复方法及装置
WO2013159632A1 (zh) 实现安全防护的方法、防火墙、终端及可读存储介质
US20120159136A1 (en) Computer system boot enhancements with user override
US20130198502A1 (en) Method For Reducing Platform Boot Times By Providing Lazy Input/Output Abstractions
EP3550462A1 (en) Security system and method for protecting against malicious code
EP4156008A1 (en) Seamless access to trusted domain protected memory by virtual machine manager using transformer key identifier
US20140025903A1 (en) Multi-core processor system
CN109145598B (zh) 脚本文件的病毒检测方法、装置、终端及存储介质
US9910677B2 (en) Operating environment switching between a primary and a secondary operating system
US20110047240A1 (en) Computer system and control method thereof
KR102411608B1 (ko) 보안 네트워크 시스템 및 그 데이터 처리 방법
KR102411920B1 (ko) 전자 장치 및 그 제어 방법
US20140189342A1 (en) Method for controlling registration of input device in input handler instance, terminal and storage device
WO2019001320A1 (zh) 追踪方法、装置、设备和机器可读介质

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right