KR102416501B1 - 전자 장치 및 그의 제어 방법 - Google Patents

전자 장치 및 그의 제어 방법 Download PDF

Info

Publication number
KR102416501B1
KR102416501B1 KR1020170121227A KR20170121227A KR102416501B1 KR 102416501 B1 KR102416501 B1 KR 102416501B1 KR 1020170121227 A KR1020170121227 A KR 1020170121227A KR 20170121227 A KR20170121227 A KR 20170121227A KR 102416501 B1 KR102416501 B1 KR 102416501B1
Authority
KR
South Korea
Prior art keywords
code block
secure
world
area
loaded
Prior art date
Application number
KR1020170121227A
Other languages
English (en)
Other versions
KR20190032861A (ko
Inventor
김인호
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Priority to KR1020170121227A priority Critical patent/KR102416501B1/ko
Priority to US16/132,754 priority patent/US10885229B2/en
Priority to PCT/KR2018/011127 priority patent/WO2019059671A1/en
Publication of KR20190032861A publication Critical patent/KR20190032861A/ko
Application granted granted Critical
Publication of KR102416501B1 publication Critical patent/KR102416501B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/74Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information operating in dual or compartmented mode, i.e. at least one secure mode
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/008Reliability or availability analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1446Point-in-time backing up or restoration of persistent data
    • G06F11/1458Management of the backup or restore process
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/02Addressing or allocation; Relocation
    • G06F12/06Addressing a physical block of locations, e.g. base addressing, module addressing, memory dedication
    • G06F12/0615Address space extension
    • G06F12/063Address space extension for I/O modules, e.g. memory mapped I/O
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1416Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights
    • G06F12/1425Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights the protection being physical, e.g. cell, word, block
    • G06F12/1441Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights the protection being physical, e.g. cell, word, block for a range
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1458Protection against unauthorised use of memory or access to memory by checking the subject access rights
    • G06F12/1491Protection against unauthorised use of memory or access to memory by checking the subject access rights in a hierarchical protection system, e.g. privilege levels, memory rings
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/572Secure firmware programming, e.g. of basic input output system [BIOS]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/01Input arrangements or combined input and output arrangements for interaction between user and computer
    • G06F3/03Arrangements for converting the position or the displacement of a member into a coded form
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/30Arrangements for executing machine instructions, e.g. instruction decode
    • G06F9/30003Arrangements for executing specific machine instructions
    • G06F9/3004Arrangements for executing specific machine instructions to perform operations on memory
    • G06F9/30043LOAD or STORE instructions; Clear instruction
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2212/00Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
    • G06F2212/10Providing a specific technical effect
    • G06F2212/1052Security improvement

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Quality & Reliability (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Mathematical Physics (AREA)
  • Human Computer Interaction (AREA)
  • Storage Device Security (AREA)

Abstract

전자 장치 및 그의 제어 방법이 개시된다. 본 개시에 따른 전자 장치는, 노멀 월드에서 동작되는 비보안 영역 및 시큐어 월드에서 동작되는 보안 영역을 포함하는 메모리 및 상기 노멀 월드 및 상기 시큐어 월드 중 하나로 선택적으로 동작하는 프로세서를 포함하고, 상기 프로세서는, 상기 시큐어 월드로 동작하는 동안 상기 비보안 영역 중 제1 영역에 로드(load)된 복수의 코드 블록의 무결성을 검사하고, 상기 복수의 코드 블록 중 하나가 변조(compromised)된 경우, 상기 변조된 코드 블록에 대응되는 메모리 영역을 보안 영역으로 변경하고, 상기 변조된 코드 블록의 원본 코드 블록을 상기 비보안 영역 중 제2 영역에 로드한다.

Description

전자 장치 및 그의 제어 방법 {Electronic device and control method thereof}
본 개시는 전자 장치 및 그의 제어 방법에 관한 것으로, 특히 외부 공격에 의해 메모리에 로드된 코드 블록 중 일부가 변조된 경우, 정상적인 코드 블록을 실행할 수 있는 전자 장치 및 그의 제어 방법에 관한 것이다.
전자 기술의 발달에 힘입어 다양한 유형의 전자 장치가 개발 및 보급되고 있다. 또한 전자 기술의 발달과 함께 통신기술의 발달로 다양한 전자 장치들이 유무선 네트워크로 연결되어 사용자에게 다양한 서비스를 제공하고 있다. 다양한 전자 장치들의 발전과 함께, 전자 장치들의 보안성을 향상시키기 위한 다양한 방법들이 제시되고 있다. 예를 들어 종래의 기술들로는 외부 사용자에 의한 해킹이 감지된 경우, 시스템 동작을 멈추고 취약점이 패치된 버전으로 업데이트 하는 방법, 복수개의 ECU가 동일한 동작을 수행하여 결과를 비교한 후 정상적인 동작을 결정하는 방법, 하이퍼바이저를 사용한 Dual OS를 이용하여 Slave OS를 실행하는 방법 등이 존재한다.
한편 근래에는 생활 속 사물들을 유무선 네트워크로 연결해 정보를 공유하거나 특정 서비스를 할 수 있는 IoT(Internet of Things)기술이 발전하고, IoT 장치의 보안을 강화할 수 있는 다양한 방안들이 논의되고 있다.
그러나 대부분의 IOT 장치는 센서, 저용량 배터리와 같이 간단한 구성만을 포함하는 경량/소형 단말일 경우가 많아, 종래 복잡한 보안 방법이 적용되기 어려운 경우가 많아 문제점이 존재하였다.
본 개시는 상술한 문제점을 해결하기 위해 안출된 것으로, 변조된 코드 블록을 보안 영역에서 관리함과 동시에 변조된 코드 블록의 원본 코드 블록을 메모리의 다른 영역에 로드하여 액세스 할 수 있는 전자 장치 및 그의 제어 방법에 대하여 개시한다.
상기 문제를 해결하기 위한 본 개시의 일 실시예에 따른 전자 장치는, 노멀 월드에서 동작되는 비보안 영역 및 시큐어 월드에서 동작되는 보안 영역을 포함하는 메모리 및 상기 노멀 월드 및 상기 시큐어 월드 중 하나로 선택적으로 동작하는 프로세서를 포함하고, 상기 프로세서는, 상기 시큐어 월드로 동작하는 동안 상기 비보안 영역 중 제1 영역에 로드(load)된 복수의 코드 블록의 무결성을 검사하고, 상기 복수의 코드 블록 중 하나가 변조(compromised)된 경우, 상기 변조된 코드 블록에 대응되는 메모리 영역을 보안 영역으로 변경하고, 상기 변조된 코드 블록의 원본 코드 블록을 상기 비보안 영역 중 제2 영역에 로드하는 것을 특징으로 한다.
이때, 상기 프로세서는, 상기 노멀 월드로 동작하는 동안 상기 제1 영역에 로드된 상기 복수의 코드 블록에 순차적으로 액세스하고, 상기 복수의 코드 블록에 순차적으로 액세스하는 동안 상기 변조된 코드 블록의 시작 주소에 액세스한 경우, 상기 시큐어 월드로 전환하여 동작하는 것을 특징으로 할 수 있다.
이때, 상기 프로세서는, 상기 시큐어 월드로 동작하는 동안 상기 변조된 코드 블록의 시작 주소를 상기 제2 영역에 로드된 상기 원본 코드 블록의 시작 주소로 변경하고, 상기 노멀 월드로 전환하며, 상기 노멀 월드로 동작하는 동안 상기 제2 영역에 로드된 상기 원본 코드 블록의 시작 주소에 액세스할 수 있다.
이때, 상기 프로세서는, 상기 노멀 월드로 동작하는 동안 상기 제2 영역에 로드된 변조된 코드 블록의 원본 코드 블록의 마지막 주소를 액세스 한 경우, 상기 시큐어 월드로 전환하고, 상기 시큐어 월드로 동작하는 동안, 상기 제2 영역에 로드된 원본 코드 블록 다음 코드 블록의 시작 주소를 상기 제1 영역에 로드된 변조된 코드 블록 다음 코드 블록의 시작 주소로 변경하고 상기 노멀 월드로 전환하며, 상기 노멀 월드로 동작하는 동안, 상기 제1 영역의 상기 다음 코드 블록의 시작 주소에 액세스할 수 있다.
이때, 상기 메모리의 보안 영역은 펌웨어 무결성 검사 모듈(firmware Integrity Check Module, FIM) 및 상기 제1 영역에 로드된 코드 블록에 대응되는 해시 테이블을 더 포함하고, 상기 프로세서는, 상기 시큐어 월드로 동작하는 동안 상기 FIM 및 상기 해시 테이블을 이용하여 상기 제1 영역에 로드된 복수의 코드 블록의 해시가 변조되었는지 검사할 수 있다.
이때, 상기 프로세서는, 상기 복수의 코드 블록 중 하나가 변조된 경우, 상기 변조된 코드 블록 및 상기 변조된 코드 블록의 전후 코드 블록의 원본 코드 블록을 제2 영역에 함께 로드할 수 있다.
이때, 상기 메모리의 보안 영역은 폴트 제어 모듈을 더 포함하고, 상기 프로세서는, 상기 노멀 월드에서 동작하는 동안 폴트(fault)가 발생한 경우, 상기 폴트가 코드 블록이 변조되어 발생한 폴트인지 판단하고, 상기 폴트가 코드 블록이 변조되어 발생한 폴트이고 상기 제2 영역에 상기 변조된 코드 블록의 원본 코드가 로드되어 있는 경우, 상기 노멀 월드를 시큐어 월드로 전환하고, 상기 시큐어 월드에서 동작하는 동안, 상기 변조된 코드 블록의 시작 주소를 상기 제2 영역에 로드된 상기 원본 코드 블록의 메모리 시작 주소로 변경할 수 있다.
이때, 상기 프로세서는, 상기 폴트가 코드 블록이 변조되어 발생한 폴트가 아닌 경우, 상기 폴트가 발생한 주소에 액세스 할 수 있다.
이때, 상기 프로세서는, 상기 폴트가 코드 블록이 변조되어 발생한 폴트이고 상기 제2 영역에 상기 변조된 코드 블록의 원본 코드가 로드되어 있지 않은 경우, 슬레이브 운영 체제를 실행할 수 있다.
한편, 상술한 문제를 해결하기 위한 본 개시의 또다른 실시예에 따른 노멀 월드에서 동작되는 비보안 영역 및 시큐어 월드에서 동작되는 보안 영역을 포함하는 메모리 및 상기 노멀 월드 및 상기 시큐어 월드 중 하나로 선택적으로 동작하는 프로세서를 포함하는 전자 장치의 제어 방법은, 상기 시큐어 월드로 동작하는 동안 상기 비보안 영역 중 제1 영역에 로드(load)된 복수의 코드 블록의 무결성을 검사하는 단계 및 상기 복수의 코드 블록 중 하나가 변조(compromised)된 경우, 상기 변조된 코드 블록에 대응되는 메모리 영역을 보안 영역으로 변경하고, 상기 변조된 코드 블록의 원본 코드 블록을 상기 비보안 영역 중 제2 영역에 로드하는 단계를 포함한다.
이때, 상기 제어 방법은, 상기 노멀 월드로 동작하는 동안 상기 제1 영역에 로드된 상기 복수의 코드 블록에 순차적으로 액세스하는 단계 및 상기 복수의 코드 블록에 순차적으로 액세스되는 동안 상기 변조된 코드 블록의 시작 주소에 액세스한 경우, 상기 시큐어 월드로 전환하는 단계를 더 포함할 수 있다.
이때, 상기 제어 방법은, 상기 시큐어 월드로 동작하는 동안 상기 변조된 코드 블록의 시작 주소를 상기 제2 영역에 로드된 상기 원본 코드 블록의 시작 주소로 변경하고 노멀 월드로 전환하는 단계 및 상기 노멀 월드로 동작하는 동안 상기 제2 영역에 로드된 상기 원본 코드 블록의 시작 주소에 액세스하는 단계를 더 포함할 수 있다.
이때, 상기 노멀 월드로 동작하는 동안 상기 제2 영역에 로드된 변조된 코드 블록의 원본 코드 블록의 마지막 주소를 액세스 한 경우, 상기 시큐어 월드로 전환하는 단계, 상기 시큐어 월드로 동작하는 동안, 상기 제2 영역에 로드된 원본 코드 블록 다음 코드 블록의 시작 주소를 상기 제1 영역에 로드된 변조된 코드 블록 다음 코드 블록의 시작 주소로 변경하고 상기 노멀 월드로 전환하는 단계 및 상기 노멀 월드로 동작하는 동안, 상기 제1 영역의 상기 다음 코드 블록의 시작 주소에 액세스하는 단계를 더 포함할 수 있다.
이때, 상기 무결성을 검사하는 단계는, 상기 시큐어 월드로 동작하는 동안, 상기 복수의 코드 블록의 해시 정보와 상기 보안 영역의 해시테이블을 비교하여 상기 복수의 코드 블록이 변조되었는지 식별하는 것을 특징으로 할 수 있다.
이때, 제2 영역에 로드하는 단계는, 상기 변조된 코드 블록 및 상기 변조된 코드 블록의 전후 코드 블록의 원본 코드 블록을 제2 영역에 함께 로드하는 것을 특징으로 할 수 있다.
이때, 상기 노멀 월드에서 동작하는 동안 폴트(fault)가 발생한 경우, 상기 폴트가 코드 블록이 변조되어 발생한 폴트인지 판단하는 단계, 상기 폴트가 코드 블록이 변조되어 발생한 폴트이고 상기 제2 영역에 상기 변조된 코드 블록의 원본 코드가 로드되어 있는 경우, 상기 노멀 월드를 시큐어 월드로 전환하는 단계 및 상기 시큐어 월드에서 동작하는 동안, 상기 변조된 코드 블록의 시작 주소를 상기 제2 영역에 로드된 상기 원본 코드 블록의 메모리 시작 주소로 변경하는 단계를 더 포함할 수 있다.
이때, 상기 폴트가 코드 블록이 변조되어 발생한 폴트가 아닌 경우, 상기 폴트가 발생한 주소에 액세스 하는 단계를 더 포함할 수 있다.
이때, 상기 폴트가 코드 블록이 변조되어 발생한 폴트이고 상기 제2 영역에 상기 변조된 코드 블록의 원본 코드가 로드되어 있지 않은 경우, 슬레이브 운영 체제를 실행하는 단계를 더 포함할 수 있다.
한편, 상술한 문제를 해결하기 위한 본 개시의 또다른 실시예에 따른 전자 장치를 제어하기 위한 프로그램을 포함하는 컴퓨터 판독 가능 기록 매체에 있어서, 상기 전자 장치의 제어 방법은, 상기 시큐어 월드로 동작하는 동안 상기 비보안 영역 중 제1 영역에 로드(load)된 복수의 코드 블록의 무결성을 검사하는 단계 및 상기 복수의 코드 블록 중 하나가 변조(compromised)된 경우, 상기 변조된 코드 블록에 대응되는 메모리 영역을 보안 영역으로 변경하고, 상기 변조된 코드 블록의 원본 코드 블록을 상기 비보안 영역 중 제2 영역에 로드하는 단계를 포함한다.
상술한 바와 같이, 본 개시의 다양한 실시예에 따라, 외부 공격에 의해 코드 블록이 변조된 경우에도, 전자 장치는 변조되지 않은 코드 블록을 정상적으로 실행할 수 있다.
도 1은 본 개시의 일 실시예에 따른 전자 장치의 구성을 간략히 도시한 블록도이다.
도 2는 본 개시의 일 실시예에 따른 전자 장치(100)의 구성을 상세히 나타낸 블록도이다.
도 3은 노멀 OS를 이용한 노멀 월드의 소프트웨어를 설명하기 위한 도면이며, 도 4는 노멀 OS와 시큐어 OS를 함께 구동하는 소프트웨어를 설명하기 위한 도면이다.
도 5는 본 개시의 일 실시예에 따른 메모리 및 보안 모듈을 설명하기 위한 예시도이다.
도 6은 본 개시의 일 실시예에 따른 보안 영역 및 비보안 영역에 로드된 다양한 모듈을 설명하기 위한 예시도이다
도 7a 및 도 7b는 본 개시의 일 실시예에 따른, 코드 블록이 변조된 경우, 제2 영역에 변조된 코드 블록의 원본 코드 블록을 로드하는 방법을 설명하기 위한 예시도이다.
도 8a 내지 도 9b는 본 개시의 일 실시예에 따른 프로세서의 동작 방법을 설명하기 위한 예시도이다.
도 10은 본 개시의 일 실시예에 따른 폴트가 발생한 원인에 따른 프로세서의 동작을 설명하기 위한 흐름도이다.
도 11은 본 개시의 일 실시예에 따른 프로세서의 동작을 설명하기 위한 흐름도이다.
도 12a 및 도 12b는 본 개시에 따른 다양한 종류의 프로세서를 설명하기 위한 예시도이다.
도 13 내지 도 14c는 은 본 개시의 일 실시예에 따른 보안 시스템을 설명하기 위한 예시도이다.
도 15는 본 개시의 일 실시예에 따른 전자 장치가 코드 블록이 변조되었는지 여부를 판단하는 방법을 설명하는 흐름도이다.
도 16은 프로세서가 제2 영역에 액세스하는 과정을 설명하기 위한 흐름도이다.
도 17은 프로세서가 제2 영역에서 다시 제1 영역에 액세스하는 과정을 설명하기 위한 흐름도이다.
본 명세서에서 사용되는 용어에 대해 간략히 설명하고, 본 개시에 대해 구체적으로 설명하기로 한다.
본 개시의 실시 예에서 사용되는 용어는 본 개시에서의 기능을 고려하면서 가능한 현재 널리 사용되는 일반적인 용어들을 선택하였으나, 이는 당 분야에 종사하는 기술자의 의도 또는 판례, 새로운 기술의 출현 등에 따라 달라질 수 있다. 또한, 특정한 경우는 출원인이 임의로 선정한 용어도 있으며, 이 경우 해당되는 발명의 설명 부분에서 상세히 그 의미를 기재할 것이다. 따라서 본 개시에서 사용되는 용어는 단순한 용어의 명칭이 아닌, 그 용어가 가지는 의미와 본 개시의 전반에 걸친 내용을 토대로 정의되어야 한다.
본 개시의 실시 예들은 다양한 변환을 가할 수 있고 여러 가지 실시 예를 가질 수 있는바, 특정 실시 예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나 이는 특정한 실시 형태에 대해 범위를 한정하려는 것이 아니며, 개시된 사상 및 기술 범위에 포함되는 모든 변환, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 실시 예들을 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다.
제1, 제2 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 구성요소들은 용어들에 의해 한정되어서는 안 된다. 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다.
단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "구성되다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
본 개시의 실시 예에서 '모듈' 혹은 '부'는 적어도 하나의 기능이나 동작을 수행하며, 하드웨어 또는 소프트웨어로 구현되거나 하드웨어와 소프트웨어의 결합으로 구현될 수 있다. 또한, 복수의'모듈' 혹은 복수의'부'는 특정한 하드웨어로 구현될 필요가 있는 '모듈' 혹은 '부'를 제외하고는 적어도 하나의 모듈로 일체화되어 적어도 하나의 프로세서(미도시)로 구현될 수 있다.
본 개시의 실시 예에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 "직접적으로 연결"되어 있는 경우뿐 아니라, 그 중간에 다른 소자를 사이에 두고 "전기적으로 연결"되어 있는 경우도 포함한다. 또한 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.
아래에서는 첨부한 도면을 참고하여 본 개시의 실시 예에 대하여 본 개시가 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 개시는 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시 예에 한정되지 않는다. 그리고 도면에서 본 개시를 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.
또한, 본 개시의 실시 예에서, "어플리케이션"은 특정한 업무를 수행하기 위해 고안된 일련의 컴퓨터 프로그램 집합을 말한다. 본 개시의 실시 예에서, 어플리케이션은 다양할 수 있다. 예를 들어, 게임 애플리케이션, 동영상 재생 애플리케이션, 지도 애플리케이션, 메모 애플리케이션, 캘린더 애플리케이션, 폰 북 애플리케이션, 방송 애플리케이션, 운동 지원 애플리케이션, 결제 애플리케이션, 사진 폴더 애플리케이션, 의료 기기 제어 어플리케이션, 다수의 의료 기기의 사용자 인터페이스 제공 어플리케이션 등이 있을 수 있으나, 이에 한정되는 것은 아니다.
도 1은 본 개시의 일 실시예에 따른 전자 장치의 구성을 간략히 도시한 블록도이다.
도 1에 도시된 바와 같이, 전자 장치(100)는 메모리(110) 및 프로세서(120)를 포함한다. 이때, 전자 장치(100)은 스마트 폰으로 구현될 수 있으나, 이는 일 실시예에 불과할 뿐, 스마트폰(smartphone), 태블릿 PC(tablet personal computer), 이동 전화기(mobile phone), 영상 전화기, 전자책 리더기(e-book reader), 데스크탑 PC (desktop PC), 랩탑 PC(laptop PC), 넷북 컴퓨터(netbook computer), 워크스테이션(workstation), 서버, PDA(personal digital assistant), PMP(portable multimedia player), MP3 플레이어, 모바일 의료기기, 카메라, 또는 웨어러블 장치(wearable device) 중 적어도 하나를 포함할 수 있다. 다양한 실시 예에 따르면 웨어러블 장치는 엑세서리 형(예: 시계, 반지, 팔찌, 발찌, 목걸이, 안경, 콘텍트 렌즈, 또는 머리 착용형 장치(head-mounted-device(HMD)), 직물 또는 의류 일체 형(예: 전자 의복), 신체 부착 형(예: 스킨 패드(skin pad) 또는 문신), 또는 생체 이식 형(예: implantable circuit) 중 적어도 하나를 포함할 수 있다.
또 다른 실시 예로, 전자 장치(100)는 가전 제품(home appliance)일 수 있다. 가전 제품은, 예를 들면, 텔레비전, DVD 플레이어(Digital Video Disk player), 오디오, 냉장고, 에어컨, 청소기, 오븐, 전자레인지, 세탁기, 공기 청정기, 셋톱 박스(set-top box), 홈 오토매이션 컨트롤 패널(home automation control panel), 보안 컨트롤 패널(security control panel), TV 박스(예: 삼성 HomeSync™, 애플TV™, 또는 구글 TV™), 게임 콘솔(예: Xbox™, PlayStation™), 전자 사전, 전자 키, 캠코더, 또는 전자 액자 중 적어도 하나를 포함할 수 있다.
또 다른 실시 예로, 전자 장치(100)는, 각종 의료기기(예: 각종 휴대용 의료측정기기(혈당 측정기, 심박 측정기, 혈압 측정기, 또는 체온 측정기 등), MRA(magnetic resonance angiography), MRI(magnetic resonance imaging), CT(computed tomography), 촬영기, 또는 초음파기 등), 네비게이션(navigation) 장치, 위성 항법 시스템(GNSS(Global Navigation Satellite System)), EDR(event data recorder), FDR(flight data recorder), 자동차 인포테인먼트(infotainment) 장치, 선박용 전자 장비(예: 선박용 항법 장치, 자이로 콤파스 등), 항공 전자기기(avionics), 보안 기기, 차량용 헤드 유닛(head unit), 산업용 또는 가정용 로봇, 금융 기관의 ATM(automatic teller's machine), 상점의 POS(point of sales), 또는 사물 인터넷 장치(internet of things)(예: 전구, 각종 센서, 전기 또는 가스 미터기, 스프링클러 장치, 화재경보기, 온도조절기(thermostat), 가로등, 토스터(toaster), 운동기구, 온수탱크, 히터, 보일러 등) 중 적어도 하나를 포함할 수 있다.
또 다른 실시 예로, 전자 장치(100)는 가구(furniture) 또는 건물/구조물의 일부, 전자 보드(electronic board), 전자 사인 수신 장치(electronic signature receiving device), 프로젝터(projector), 또는 각종 계측 기기(예: 수도, 전기, 가스, 또는 전파 계측 기기 등) 중 적어도 하나를 포함할 수 있다.
메모리(110)는 전자 장치(100)의 동작에 필요한 각종 프로그램 및 데이터를 저장할 수 있다. 메모리(110)는 비휘발성 메모리, 휘발성 메모리, 플래시메모리(flash-memory), 하드디스크 드라이브(HDD) 또는 솔리드 스테이트 드라이브(SSD) 등으로 구현될 수 있다.
메모리(110)는 프로세서(120)에 의해 액세스되며, 프로세서(120)에 의한 데이터의 인출/기록/수정/삭제/갱신 등이 수행될 수 있다. 본 개시에서 메모리라는 용어는 메모리(110), 프로세서(120) 내 ROM(122), RAM(121) 또는 전자 장치(100)에 장착되는 메모리 카드(미도시)(예를 들어, micro SD 카드, 메모리 스틱)를 포함할 수 있다. 또한, 본 개시에서는, 프로세서(120)에 의해 메모리(110)의 데이터가 인출/기록/수정/삭제/갱신되는 동작을 "프로세서(120)가 메모리(110)에 액세스된다." 라고 표현한다. 즉, 일반적으로 프로세서(120)는 메모리(110)에 액세스 하고, 메모리(110)에 저장된 내용에 따라 인출/기록/수정/삭제/갱신 등의 기능을 수행하지만, 본 개시에서는 "프로세서(120)가 메모리(110)에 액세스 한다."는 표현은 프로세서(120)가 메모리(110)에 액세스 하여 인출/기록/수정/삭제/갱신 등의 기능을 실행하는 과정을 포함하는 것으로 설명한다.
프로세서(120)는 전자 장치(100)의 전반적인 동작을 제어한다. 이때, 프로세서(120)는 노멀 월드(normal world) 및 시큐어 월드(secure world) 중 하나로 선택적으로 동작 가능하다.
시큐어 월드란 보안성을 확보한 데이터 처리 아키텍처를 의미하고, 노멀 월드란 일반적인 데이터 처리 아키텍처를 의미한다.
일 실시예로, 프로세서(120)는 "ARM 트러스트존 아키텍처(ARM Trustzone Architecture)"가 사용될 수 있다. "ARM 트러스트존 아키텍처(ARM Trustzone Architecture)" 로는 마이크로 프로세스 시스템용의 ARM사(社)의 두 개로 분할된 런타임-아키텍처가 공지되어 있다. 이와 같은 런타임-아키텍처는 두 가지의 런타임 환경을 포함한다. 그 중 하나인 비보안 런타임 환경은, "노멀 존(Normal Zone)" 또는 "노멀 월드(Normal World)"로 지칭될 수 있다. 비보안 런타임 환경은 정상 운영 체제에 의해서 제어될 수 있다. 다른 하나의 런타임 환경인 보안 런타임 환경은 "트러스트 존(Trustzone)" 또는 "트러스티드 월드(TrustedWorld)" 또는 "시큐어 월드(Secure World)로 지칭될 수 있다. 보안 런타임 환경은 안전 운영체제에 의해 제어된다.
여기서, 정상 운영 체제는 예를 들어, 안드로이드, 윈도우 폰, 심비안 등과 같은 통상적인 운영 체제일 수 있으며, 안전 운영 체제는 예를 들어, MOBICORE, RedCastle 등과 같이 기존 운영 체제 내에 보안 기능이 통합된 보안 커널(security kernel)을 삽입한 운영 체제일 수 있다. ARM 트러스트 존에 따르면, 상술한 비보안 런타임 환경 및 보안 런타임 환경은 가상 실행 환경으로 정의될 수 있다.
이때, 프로세서(120)가 노멀 월드 또는 시큐어 월드 중 하나로 동작하기 위한 조건은 다양할 수 있다. 일 실시예로, 프로세서(120)는 사용자 입력에 따라 노멀 월드 및 시큐어 월드 중 하나로 선택적으로 동작할 수 있다. 구체적으로는, 사용자가 노멀 월드를 사용하기 위한 제1 메뉴(또는, 제1 버튼, 1 터치 입력 등)를 선택하면 프로세서(120)는 노멀 월드에서 동작하는 OS를 실행시키고 노멀 월드로 동작한다. 반면 사용자가 시큐어 월드를 사용하기 위한 제2 메뉴(또는 제2 버튼, 제2 터치 입력 등)를 선택하면 프로세서(120)는 시큐어 월드에서 동작하는 OS를 실행시키고 시큐어 월드로 동작한다.
또 다른 실시예로, 노멀 OS 또는 시큐어 OS가 디폴트로 설정이 되어 있을 수도 있다. 예를 들어, 노멀 OS가 디폴트 OS로 설정되어 있다면, 전자 장치(100)가 부팅되거나 기타 특정 이벤트가 도래하는 경우, 프로세서(120)는 노멀 OS를 실행시키고 바로 노멀 월드로 동작한다. 이러한 상태에서 사용자가 제2 메뉴(또는 제2 버튼)을 선택하면, 프로세서(120)는 시큐어 OS를 실행시키고 시큐어 월드로 동작한다. 이후에 사용자가 제1 메뉴(또는 제1 버튼)을 선택하면, 프로세서(120)는 노멀 OS를 실행시키고 다시 노멀 월드로 동작한다.
또 다른 실시 예로, 프로세서(120)는 노멀 OS가 실행되고 있는 경우, 제2 메뉴(또는 제2 버튼)가 선택되면, 전자 장치(100)를 종료한 후 재부팅하여 시큐어 OS가 실행되도록 할 수도 있다.
또 다른 실시 예로, 프로세서(120)는 노멀 OS가 실행되고 있는 상태에서, 사용자 조작이 기 설정된 시간 동안 없는 경우에는, 노멀 OS를 종료하고 시큐어 OS를 구동시킬 수 있다. 마찬가지로, 프로세서(120)는 시큐어 OS가 실행되고 있는 상태에서, 사용자 조작이 기 설정된 시간 동안 없는 경우에는, 시큐어 OS를 종료하고 노멀 OS를 구동시킬 수도 있다.
한편, 상술한 실시 예에서, 노멀 월드 및 시큐어 월드는 노멀 월드 및 시큐어 월드 각각에 대응되는 OS를 전제하여 실행되는 것으로 이해될 수도 있으나, 프로세서(120)는 노멀 OS가 실행되는 도중에, 어플리케이션에서 보안이 요구되는 데이터를 생성한 경우, 해당 데이터를 시큐어 월드로 전달할 수도 있다.
예를 들어, 프로세서(120)가 노멀 월드에서 동작하는 특정 어플리케이션을 실행하기 위해 메모리(110)의 특정 주소에 액세스하면, 프로세서(120)는 노멀 월드 OS 상에서 동작을 수행할 수 있다. 프로세서(120)가 노멀 OS에서 실행되는 도중, 특정 어플리케이션이 가르키는 메모리(110)의 주소가 시큐어 월드에서 동작하는 시큐어 월드 영역인 경우, 프로세서(120)는 노멀 OS에서 생성된 데이터를 시큐어 월드로 전달하고, 시큐어 OS에서 동작할 수 있다.
시큐어 월드는 보안성을 강화하기 위하여 노멀 월드와 별개로 네트워크 드라이버 모듈, TCP/IP 모듈 등과 같은 각종 소프트웨어를 포함할 수 있다. 또는 시큐어 월드 자체는 노멀 월드와 상이한 독립적인 하드웨어로 구현될 수도 있다. 예를 들어, 시큐어 월드와 노멀 월드는 서로 다른 SoC(System on Chip) 이나 서로 다른 프로세서로 구현될 수도 있다. 또는, 하나의 프로세서를 논리적으로 구분한 두 개의 영역으로 구현될 수도 있다.
한편, 프로세서(120)는 메모리(110)의 영역을 노멀 월드에서 동작하는 비보안 영역 및 시큐어 월드에서 동작하는 보안 영역으로 구분할 수 있다. 이때, 프로세서(120)가 노멀 월드에서 동작하는 어플리케이션을 수행하고자 하는 경우, RAM과 같은 메모리에 어플리케이션 실행에 필요한 프로그램을 로드할 수 있다. 이때, 어플리케이션의 실행에 필요한 프로그램은 블록 단위로 메모리에 로드될 수 있으며, 각각의 블록은 변조 여부를 확인하기 위한 해시를 포함할 수 있다. 또한, 프로세서(120)는 메모리(110)의 보안 영역에 상기 블록들의 해시 테이블을 저장할 수 있다.
즉, 프로세서(120)는 메모리(110)의 비보안 영역에는 노멀 월드에서 동작하는 프로그램을 블록 단위로 구분하여 로드하고, 메모리(110)의 보안 영역에는 노멀 월드에서 동작하는 프로그램이 변조되었는지 여부를 검사하기 위한 데이터를 저장할 수 있다.
메모리(110)에 데이터가 로드된 경우, 프로세서(120)는 시큐어 월드에서 메모리(110)의 비보안 영역 중 제1 영역에 로드된 복수의 코드 블록의 무결성을 검사할 수 있다. 상술한 바와 같이, 제1 영역에 로드된 복수의 코드 블록의 무결성 검사는, 메모리(110)의 보안 영역에 로드된 해시 테이블을 이용하여 수행될 수 있다.
이때, 제1 영역에 로드된 복수의 코드 블록의 무결성 검사는 기 설정된 시간마다 수행될 수 있다. 그러나 이에 한정되는 것은 아니며, 무결성 검사는 사용자 명령에 따라 수행될 수 있다. 또는 무결성 검사는 제1 영역에 로드된 코드 블록을 실행할 때마다 수행될 수도 있다.
제1 영역에 로드된 복수의 코드 블록 중 적어도 하나의 코드 블록이 변조된 경우, 프로세서(120)는 변조된 코드 블록에 대응되는 메모리 영역을 보안 영역으로 변경하고, 변조된 코드 블록의 원본 코드 블록을 메모리(110)의 비보안 영역 중 제2 영역에 로드할 수 있다. 즉, 프로세서(120)는 제1 영역에 로드된 코드 블록을 실행하는 상황에서 코드 블록이 변조된 경우, 변조된 코드 블록 영역을 보안 영역으로 변경하여 변조된 코드 블록이 실행되는 것을 방지하고, 제2 영역에 로드된 코드 블록을 실행할 수 있다.
구체적으로, 제1 영역에 적재된 복수의 코드 블록을 실행하고자 하는 경우, 프로세서(120)는 노멀 월드로 동작하는 동안, 제1 영역에 로드된 복수의 코드 블록에 순차적으로 액세스 할 수 있다. 복수의 코드 블록을 순차적으로 액세스 하는 동안 변조된 코드 블록의 시작 주소에 액세스한 경우, 프로세서(120)는 노멀 월드에서의 동작을 중단하고, 시큐어 월드로 동작할 수 있다.
구체적으로 상술한 바와 같이, 변조된 코드 블록의 시작 주소는 메모리(110)의 보안 영역에 존재한다. 따라서 프로세서(120)가 노멀 월드에서 동작하는 동안 변조된 코드 블록의 시작 주소에 액세스 한 경우, 폴트(Fault)가 발생 할 수 있다. 폴트가 발생한 경우, 프로세서(120)는 노멀 월드에서의 동작을 중단하고 시큐어 월드에서 동작할 수 있다.
이때, 프로세서(120)는 시큐어 월드에서 동작하는 동안 변조된 코드 블록의 시작 주소를 제2 영역에 로드된 원본 코드 블록의 시작 주소로 변경하고, 노멀 월드로 전환할 수 있다. 노멀 월드에서 동작하는 동안 프로세서(120)는 제2 영역에 로드된 원본 코드 블록의 시작 주소에 액세스하여 프로그램을 실행할 수 있다. 즉, 프로세서(120)는 변조된 코드 블록 대신 원본 코드 블록에 액세스하여 정상적으로 프로그램을 실행할 수 있다.
한편, 상술한 실시예에서는 프로세서(120)가 변조된 코드 블록만을 제2 영역에 로드하였으나 이에 한정되는 것은 아니다. 즉, 프로세서(120)는 제2 영역에 변조된 코드 블록의 전후 코드 블록을 함께 로드할 수 있다. 이에 대한 상세한 설명은 후술한다.
프로세서(120)가 노멀 월드로 동작하는 동안 제2 영역에 로드된 변조된 코드 블록의 원본 코드 블록의 마지막 주소를 액세스 한 경우, 프로세서(120)는 시큐어 월드로 전환될 수 있다. 시큐어 월드로 동작하는 동안, 프로세서(120)는 제2 영역에 로드된 원본 코드 블록 다음 코드 블록의 시작 주소를 제1 영역에 로드된 변조된 코드 블록 다음 코드 블록의 시작 주소로 변경하고 다시 노멀 월드로 전환될 수 있다.
노멀 월드로 동작하는 동안, 프로세서(120)는 상기 제1 영역의 다음 코드 블록의 시작 주소에 액세스할 수 있다.
결론적으로, 프로세서(120)는 프로그램을 실행하기 위해 비보안 영역의 특정 주소에 액세스할 수 있으며, 이러한 동작은 노멀 월드에서 수행된다. 또한, 변조된 코드 블록과 관련하여 메모리(110)의 액세스 주소가 변경되는 경우, 프로세서(120)는 시큐어 월드에서 변경된 액세스 주소를 관리할 수 있다. 따라서, 프로세서(120)는 특정 코드 블록이 외부 공격에 의해 변조된 경우에도, 복잡한 조치 없이도 원본 코드 블록을 실행할 수 있다. 구체적인 실시예에 대하여는 후술한다.
도 2는 본 개시의 일 실시예에 따른 전자 장치(100)의 구성을 상세히 나타낸 블록도이다. 도 2에 도시된 바와 같이, 전자 장치(100)는 메모리(110), 프로세서(120)외에 디스플레이(130), 감지부(140), 입력부(150) 및 통신부(160)을 더 포함할 수 있다. 다만, 상술한 구성에 한정되는 것은 아니며, 필요에 따라 일부 구성 요소가 추가 또는 생략될 수 있음은 물론이다.
메모리(110)는 상술한 바와 같이, 전자 장치(100)의 동작에 필요한 각종 프로그램 및 데이터를 저장할 수 있다. 이때, 메모리(110)는 하드 디스크, 메모리, 캐시 및 레지스터를 포함할 수 있다. 또한, 본 개시에서 메모리(110)는 프로세서(120) 내부의 ROM, RAM등을 포함할 수 있다. 상술한 바와 같이, 메모리(110)는 노멀 OS 및 시큐어 OS를 저장하고 있으며, 프로세서(120)의 제어에 따라 데이터를 인출/기록/수정/삭제/갱신할 수 있다.
상술한 바와 같이, 메모리(110)는 보안 영역과 비보안 영역으로 구분되며, 프로그램 등을 실행하기 위한 다양한 모듈을 포함할 수 있다. 예를 들어, 메모리(110)의 보안 영역은 펌웨어 무결성 검사 모듈(firmware Integrity Check Module, FIM), 제1 영역에 로드된 코드 블록에 대응되는 해시 테이블 및 폴트 제어 모듈(Fault Handler Module, FHM)을 더 포함할 수 있다.
FIM 및 제1 영역에 로드된 코드 블록에 대응되는 해시 테이블은 메모리(110)의 비보안 영역에 로드된 코드 블록의 무결성을 검사하기 위해 사용될 수 있다. 구체적으로, 프로세서(120)는 FIM을 제어하여 비보안 영역의 코드 블록 각각이 포함하는 해시가 해시 테이블의 해시와 동일한지 여부를 판단할 수 있다. 코드 블록 각각의 해시와 해시 테이블의 해시가 동일한 경우, 프로세서(120)는 코드 블록이 변조되지 않았다고 판단할 수 있다. 코드 블록 각각의 해시와 해시 테이블의 해시가 상이한 경우, 프로세서(120)는 코드 블록이 변조되었다고 판단할 수 있다.
FHM은 노멀 월드에서 동작하는 동안 폴트가 발생한 경우, 발생한 폴트를 제어하기 위한 모듈이다. 예를 들어, 노멀 월드에서 동작하는 동안, 프로세서(120)가 보안 영역에 액세스한 경우 폴트가 발생할 수 있다. 폴트가 발생한 경우, 노멀 월드에서의 동작이 시큐어 월드에서의 동작으로 변경될 수 있다. 이때, 프로세서(120)는 시큐어 월드에서 동작하는 FHM을 제어하여 발생한 폴트를 분석할 수 있다. 구체적으로, 프로세서(120)는 FHM을 제어하여 폴트가 발생한 메모리 주소, 폴트가 발생한 이유 및 발생한 폴트에 대응되는 노멀 월드에서의 동작(예를 들어 액세스하여야 할 메모리 주소를 새로 지정하거나, 노멀 월드에서의 동작을 중단시키는 등의 동작)을 판단할 수 있다.
이때, 폴트가 발생한 이유는 다양할 수 있다. 예를 들어, 메모리(110)에 필요한 프로그램이 로드되지 않은 경우에 폴트가 발생할 수 있다. 이 경우 프로세서(120)는 누락된 프로그램을 메모리(110)에 로드하고, 폴트 발생지점으로 복귀할 수 있다.
또는, 본 개시의 실시예에 따라, 프로세서(120)가 노멀 월드에서 동작하는 동안 보안 영역으로 변경된 변조된 코드 블록에 액세스하여 폴트가 발생할 수 있다. 이 경우, 프로세서(120)는 제2 영역에 로드된 원본 코드 블록의 시작 주소에 액세스할 수 있다.
즉, FHM은 폴트가 발생한 이유를 분석하고, 프로세서(120)는 FHM을 제어하여 폴트가 발생한 각각에 이유에 대응되는 동작을 수행할 수 있다.
디스플레이(130)는 디스플레이 영역에 다양한 화면들을 디스플레이할 수 있다. 예를 들어, 디스플레이(130)는 어플리케이션 실행 화면, 이미지, 동영상, 텍스트와 같은 컨텐츠 등을 디스플레이 할 수 있다.
이때, 디스플레이(130)는 다양한 형태의 디스플레이 패널로 구현될 수 있다. 예로, 디스플레이 패널은 LCD(Liquid Crystal Display), OLED(Organic Light Emitting Diodes), AM-OLED(Active-Matrix Organic Light-Emitting Diode), LcoS(Liquid Crystal on Silicon) 또는 DLP(Digital Light Processing) 등과 같은 다양한 디스플레이 기술로 구현될 수 있다.
또한, 디스플레이(130)는 플렉서블 디스플레이(flexible display)의 형태로 전자 장치(100)의 전면 영역 및, 측면 영역 및 후면 영역 중 적어도 하나에 결합될 수도 있다. 플렉서블 디스플레이는 종이처럼 얇고 유연한 기판을 통해 손상 없이 휘거나 구부리거나 말 수 있는 것을 특징으로 할 수 있다. 이러한 플렉서블 디스플레이는 일반적으로 사용되는 유리 기판뿐 아니라 플라스틱 기판을 사용하여 제조될 수도 있다. 플라스틱 기판을 사용하는 경우, 기판의 손상을 방지하기 위해서 기존의 제조 프로세서를 사용하지 않고 저온 제조 프로세서를 사용하여 형성될 수 있다. 또한, 플렉서블 액정을 싸고 있는 유리 기판을 플라스틱 필름으로 대체하여, 접고 펼 수 있는 유연성을 부여할 수 있다. 이러한 플렉서블 디스플레이는 얇고 가벼울 뿐만 아니라 충격에도 강하며, 또한 휘거나 굽힐 수 있고 다양한 형태로 제작이 가능하다는 장점을 갖고 있다.
한편, 본 개시의 일 실시예에 의한 전자 장치(100)가 디스플레이(130)가 없는 소형 IOT 장치인 경우, 디스플레이(130)는 소형 IOT 장치를 제어하는 사용자 단말 장치로 구현될 수 있다.
입력부(140)는 다양한 입력을 수신하기 위하여 터치 패널(141), 펜센서(142), 키(143) 및 마이크(144)를 포함할 수 있다. 터치 패널(141)은 디스플레이(130) 및 터치 센서(미도시)가 결합되어 구성될 수 있으며, 터치 센서는 정전식, 감압식, 적외선 방식, 초음파 방식 중 적어도 하나의 방식을 사용할 수 있다. 터치 패널은 디스플레이 기능뿐만 아니라 터치 입력 위치, 터치된 면적뿐만 아니라 터치 입력 압력까지도 검출하는 기능을 가질 수 있고, 또한 실질적인 터치(real-touch)뿐만 아니라 근접 터치(proximity touch)도 검출하는 기능을 가질 수 있다. 펜 센서(142)는 터치 패널(141)의 일부로 구현될 수 있으며 또는 별도의 인식용 시트를 포함할 수 있다. 키(143)는 물리적 버튼, 광학식 키 또는 키패드를 포함할 수 있다. 마이크(144)는 내장형 마이크 또는 외장형 마이크 중 적어도 하나를 포함할 수 있다.
특히, 입력부(140)는 상술한 다양한 구성들로부터 외부 명령을 수신하여 프로세서(120)로 전달할 수 있다. 프로세서(120)는 수신한 입력에 대응되는 제어 신호를 생성하여 전자 장치(100)를 제어할 수 있다.
오디오 처리부(150)는 오디오 데이터에 대한 처리를 수행하는 구성 요소다. 오디오 처리부(150)에서는 오디오 데이터에 대한 디코딩이나 증폭, 노이즈 필터링 등과 같은 다양한 처리가 수행될 수 있다. 오디오 처리부(150)에서 처리된 오디오 데이터는 오디오 출력부(160)로 출력될 수 있다.
오디오 출력부(160)는 오디오 처리부(150)에 의해 디코딩이나 증폭, 노이즈 필터링과 같은 다양한 처리 작업이 수행된 각종 오디오 데이터뿐만 아니라 각종 알림 음이나 음성 메시지를 출력하는 구성이다. 특히, 오디오 출력부(160)는 스피커로 구현될 수 있으나, 이는 일 실시 예에 불과할 뿐, 오디오 데이터를 출력할 수 있는 출력 단자로 구현될 수 있다.
통신부(170)는 외부 장치와 통신을 수행할 수 있다. 특히, 통신부(170)는 와이파이 칩(171), 블루투스 칩(172), 무선 통신 칩(173), NFC칩(174) 등과 같은 다양한 통신 칩을 포함할 수 있다. 이때, 와이파이 칩(171), 블루투스 칩(172), NFC 칩(174)은 각각 LAN 방식, WiFi 방식, 블루투스 방식, NFC 방식으로 통신을 수행한다. 와이파이 칩(171)이나 블루투스칩(172)을 이용하는 경우에는 SSID 및 세션 키 등과 같은 각종 연결 정보를 먼저 송수신 하여, 이를 이용하여 통신 연결한 후 각종 정보들을 송수신할 수 있다. 무선 통신칩(173)은 IEEE, 지그비, 3G(3rd Generation), 3GPP(3rd Generation Partnership Project), LTE(Long Term Evolution) 등과 같은 다양한 통신 규격에 따라 통신을 수행하는 칩을 의미한다.
프로세서(120)는 메모리(110)에 저장된 각종 프로그램을 이용하여 전자 장치(100)의 전반적인 동작을 제어할 수 있다.
프로세서(120)는 RAM(121), ROM(122), 그래픽 처리부(123), 메인 CPU(124), 보안 모듈(125) 제1 내지 n 인터페이스(126-1 ~ 126-n) 및 버스(127)로 구성될 수 있다. 이때, RAM(121), ROM(122), 그래픽 처리부(123), 메인 CPU(124), 보안 모듈(125) 제1 내지 n 인터페이스(126-1 ~ 126-n) 등은 버스(127)를 통해 서로 연결될 수 있다.
RAM(121)은 O/S 및 어플리케이션 프로그램을 저장한다. 구체적으로, 전자 장치(100)가 부팅되면 O/S가 RAM(121)에 저장되고, 사용자가 선택한 각종 어플리케이션 데이터가 RAM(121)에 저장될 수 있다.
ROM(122)에는 시스템 부팅을 위한 명령어 세트 등이 저장된다. 턴 온 명령이 입력되어 전원이 공급되면, 메인 CPU(124)는 ROM(122)에 저장된 명령어에 따라 메모리(110)에 저장된 O/S를 RAM(121)에 복사하고, O/S를 실행시켜 시스템을 부팅시킨다. 부팅이 완료되면, 메인 CPU(124)는 메모리(110)에 저장된 각종 어플리케이션 프로그램을 RAM(121)에 복사하고, RAM(121)에 복사된 어플리케이션 프로그램을 실행시켜 각종 동작을 수행한다.
그래픽 처리부(123)는 연산부(미도시) 및 렌더링부(미도시)를 이용하여 아이템, 이미지, 텍스트 등과 같은 다양한 객체를 포함하는 화면을 생성한다. 여기서, 연산부는 입력부(140)로부터 수신된 제어 명령을 이용하여 화면의 레이아웃에 따라 각 객체들이 표시될 좌표값, 형태, 크기, 컬러 등과 같은 속성값을 연산하는 구성일 수 있다. 그리고, 렌더링부는 연산부에서 연산한 속성값에 기초하여 객체를 포함하는 다양한 레이아웃의 화면을 생성하는 구성이 일 수 있다. 이러한 렌더링부에서 생성된 화면은 디스플레이(130)의 디스플레이 영역 내에 표시될 수 있다.
메인 CPU(124)는 메모리(110)에 액세스하여, 메모리(110)에 저장된 OS를 이용하여 부팅을 수행한다. 그리고, 메인 CPU(124)는 메모리(110)에 저장된 각종 프로그램, 컨텐츠, 데이터 등을 이용하여 다양한 동작을 수행한다.
보안 모듈(125)는 노멀 월드와 시큐어 월드를 구분할 수 있다. 구체적으로, 보안 모듈(125)는 메모리(110)의 주소 공간을 보안 영역 및 비보안 영역으로 분리하여 권한이 없는 경우, 메모리(110)의 액세스를 제어할 수 있다. 필요에 따라, 보안 모듈(125)는 메모리의 주소 공간을 보안 영역에서 비보안 영역으로, 또는 비보안 영역에서 보안 영역으로 변경할 수 있다. 예를 들어, 보안 모듈(125)은 비보안 영역의 특정 코드 블록이 변조된 경우, 변조된 코드 블록 영역을 보안 영역으로 변경할 수 있다. 이 경우, 노멀 월드에서 변조된 코드 블록 영역의 메모리(110)에 액세스하는 경우, 보안 모듈(125)는 CPU(124)가 메모리(110)로 액세스하는 것을 차단하거나 시큐어 월드에서 액세스하도록 제어할 수 있다.
이러한 보안 모듈(125)는 ARM사의 cortexA계열에 포함된 TZASC(TrustZone Address Space Controller) 또는 cortexM계열에 포함된 SAU(Secure Attribute Unit)로 구현될 수 있다.
제1 내지 n 인터페이스(126-1 내지 126-n)는 상술한 각종 구성요소들과 연결된다. 제1 내지 n 인터페이스(126-1 내지 126-n) 중 하나는 네트워크를 통해 외부 장치와 연결되는 네트워크 인터페이스가 될 수도 있다.
이하에서는 도 3 및 도 4를 참조하여 메모리(110)에 저장된 소프트웨어 아키텍쳐 구조를 설명한다. 특히, 도 3은 노멀 OS를 이용한 노멀 월드의 소프트웨어를 설명하기 위한 도면이며, 도 4는 노멀 OS와 시큐어 OS를 함께 구동하는 소프트웨어를 설명하기 위한 도면이다.
본 개시의 일 실시예에 따른 도 3에 따르면, 메모리(110)의 노멀 월드에는 노멀 OS(310), 커널(320), 미들웨어(330), 어플리케이션(340) 등을 포함할 수 있다.
노멀 운영체제(Normal Operating System: 노멀 OS, 310)는 하드웨어의 전반적인 동작을 제어하고 관리하는 기능을 수행한다. 즉, 노멀 OS(310)는 하드웨어 관리와 메모리, 보안 등의 기본적인 기능을 담당하는 계층이다.
커널(320)은 입력 장치 등을 통해 입력된 터치 신호 등을 비롯한 각종 신호들을 미들웨어(330)로 전달하는 통로 역할을 한다.
미들웨어(330)는 전자 장치(100)의 동작을 제어하는 각종 소프트웨어 모듈을 포함한다. 도 3에 따르면, 미들웨어(330)는 X11 모듈(330-1), APP 매니저(330-2), 연결 매니저(330-3), 보안 모듈(330-4), 시스템 매니저(330-5), 멀티미디어 프레임워크(330-6), 메인 UI 프레임워크(330-7), 윈도우 매니저(330-8), 서브 UI 프레임워크(330-9)를 포함한다.
X11 모듈(330-1)은 전자 장치(100)에 구비된 각종 하드웨어들로부터 각종 이벤트 신호를 수신하는 모듈이다. 여기서 이벤트란, 사용자 제스쳐가 감지되는 이벤트, 시스템 알람(alarm)이 발생하는 이벤트, 특정 프로그램이 실행 또는 종료되는 이벤트 등과 같이 다양하게 설정될 수 있다.
APP 매니저(330-2)는 메모리(110)에 설치(install)된 각종 어플리케이션(340)의 실행 상태를 관리하는 모듈이다. X11 모듈(330-1)로부터 어플리케이션 실행 이벤트가 감지되면, APP 매니저(330-2)는 해당 이벤트에 대응되는 어플리케이션을 호출하여 실행시킨다.
연결 매니저(330-3)는 유선 또는 무선 네트워크 연결을 지원하기 위한 모듈이다. 연결 매니저(330-3)는 DNET 모듈, UPnP 모듈 등과 같은 다양한 세부 모듈들을 포함할 수 있다.
보안 모듈(330-4)은 하드웨어에 대한 인증(Certification), 요청 허용(Permission), 보안 저장(Secure Storage) 등을 지원하는 모듈이다.
시스템 매니저(330-5)는 전자 장치(100) 내의 각 구성요소들의 상태를 모니터링하고, 그 모니터링 결과를 타 모듈들에게 제공한다. 가령, 배터리 잔량이 부족하거나, 에러가 발생하는 경우, 통신 연결 상태가 끊어지는 경우 등이 발생하면 시스템 매니저(330-5)는 그 모니터링 결과를 메인 UI 프레임워크(330-7)나 서브 UI 프레임워크(330-9)로 제공하여 알림 메시지나 알림 음을 출력할 수 있다.
멀티미디어 프레임워크(330-6)는 전자 장치(100)에 저장되어 있거나, 외부 소스로부터 제공되는 멀티미디어 컨텐츠를 재생하기 위한 모듈이다. 멀티미디어 프레임워크(330-6)는 플레이어 모듈, 캠코더 모듈, 사운드 처리모듈 등을 포함할 수 있다. 이에 따라, 각종 멀티미디어 컨텐츠를 재생하여 화면 및 음향을 생성하여 재생하는 동작을 수행할 수 있다.
메인 UI 프레임워크(330-7)는 디스플레이(130)의 메인 영역에 표시할 각종 UI를 제공하기 위한 모듈이고, 서브 UI 프레임워크(330-9)는 서브 영역에 표시할 각종 UI를 제공하기 위한 모듈이다. 메인 UI 프레임워크(330-7) 및 서브 UI 프레임워크(330-9)는 각종 UI 엘리먼트를 구성하는 이미지 합성기(Image Compositor module), UI 엘리먼트가 표시될 좌표를 산출하는 좌표 합성기, 구성된 UI 엘리먼트를 산출된 좌표에 렌더링하는 렌더링 모듈, 2D 또는 3D 형태의 UI를 구성하기 위한 툴(tool)을 제공하는 2D/3D UI 툴킷 등을 포함할 수 있다.
윈도우 매니저(330-8)는 사용자의 신체나 펜을 이용한 터치 이벤트나 기타 입력 이벤트를 감지할 수 있다. 윈도우 매니저(330-8)는 이러한 이벤트가 감지되면 메인 UI 프레임워크(330-7) 또는 서브 UI 프레임워크(330-9)로 이벤트 신호를 전달하여, 이벤트에 대응되는 동작을 수행하도록 한다.
어플리케이션 모듈(340)은 다양한 기능을 지원하기 위한 어플리케이션들(340-1~340-n)을 포함한다. 예를 들어, 네비게이션 프로그램 모듈, 게임 모듈, 전자 책 모듈, 달력 모듈, 알람 관리 모듈 등과 같은 다양한 서비스를 제공하기 위한 프로그램 모듈을 포함할 수 있다. 이러한 어플리케이션들은 디폴트로 설치되어 있을 수도 있고, 사용자가 사용 과정에서 임의로 설치하여 사용할 수도 있다. UI 엘리먼트가 선택되면, 메인 CPU는 어플리케이션 모듈(340)을 이용하여 선택된 UI 엘리먼트에 대응되는 어플리케이션을 실행시킬 수 있다.
도 3에 표시된 노멀 월드의 구조는 일 예에 불과하므로, 반드시 이에 한정되어야 하는 것은 아니다. 따라서, 전자 장치(100)의 종류 또는 전자 장치(100)의 목적에 따라 일부가 생략 또는 변형되거나, 추가될 수도 있음은 물론이다. 가령, 메모리(110)에는 각종 센서들에서 센싱된 신호들을 분석하기 위한 센싱 모듈이나, 메신저 프로그램, 문자 메시지 프로그램, 이메일 프로그램 등과 같은 메시징 모듈, 전화 정보 수집기(Call Info Aggregator) 프로그램 모듈, VoIP 모듈, 웹 브라우저 모듈 등과 같이 다양한 프로그램들이 추가로 마련될 수도 있다.
도 4는 본 개시의 일 실시예에 따른 프로세서(120)가 노멀 월드(410) 및 시큐어 월드(420)에서 동작하는 방법에 대한 소프트웨어 아키텍쳐를 설명하기 위한 예시도이다.
도 4에 도시된 바와 같이, 트러스트존 아키텍처는 노멀 월드(410) 및 시큐어 월드(420)의 두가지 런타임 환경을 제공할 수 있다. 이때, 노멀 월드는(410) 노멀 월드 사용자 모드(411) 및 노멀 월드 커널 모드(412)를 포함하며, 시큐어 월드(420)는 시큐어 월드 사용자 모드(421), 시큐어 월드 커널 모드(422) 및 모니터 모드(430)을 포함할 수 있다. 이때, 각각의 월드는 캐시, TLB, MMU, 레지스터 등의 하드웨어 자원을 가상으로 분리하여 관리할 수 있다.
상술한 바와 같이 노멀 월드(410)와 시큐어 월드(420)는 선택적으로 동작할 수 있으므로, 트러스트존 아키텍쳐는 노멀 월드(410)와 시큐어 월드(420)의 변경을 관리하기 위하여 모니터 모드(430)를 제공할 수 있다. 이때, 모니터 모드(430)의 소프트웨어는 시큐어 월드(420)에서 동작할 수 있다.
구체적으로, 노멀 월드(410)에서 시큐어 월드(420)로 변경되거나 또는 시큐어 월드(420)에서 노멸 월드(410)로 변경되는 경우, 모니터 모드(430)는 현재 실행되는 월드의 하드웨어 컨텍스트를 저장하고, 새로운 월드의 컨텍스트를 복원할 수 있다. 예를 들어, 노멀 월드(410)에서 시큐어 월드(420)로 변경되는 경우, 노멀 월드(410)의 실행 환경이 모니터 모드(430)에 저장될 수 있다. 따라서, 시큐어 월드(420)에서 동작 후 다시 노멀 월드(410)로 동작하는 경우, 이전에 저장되었던 노멀 월드(410)의 환경에서 프로그램이 실행될 수 있다.
한편, 도 4에 도시된 바와 같이, 노멀 월드(410) 및 시큐어 월드(420)는 모니터 모드(430)에 의해 제어되므로, 프로세서(120)에 의해 생성되는 다양한 명령어 또는 인터럽트는 모니터 모드를 통해 각각의 월드로 전달될 수 있다. 예를 들어, 노멀 월드 커널 모드 또는, 시큐어 월드 커널 모드는 SMC(Secure Monitor Call) 명령어를 이용하여 연결될 수 있다.
즉, 프로세서(120)는 SMC 명령어를 이용하여 모니터 모드(430)에 진입할 수 있으며, 프로세서(120)는 SMC 명령어를 이용하여 현재 실행되는 모드(노멀 월드 커널 모드(412) 또는 시큐어 월드 커널 모드(422))를 모니터 모드(430)로 변경할 수 있다. 다만, SMC 명령어를 사용하는 경우 외에도 프로세서(120)는 IRQ(Interrupt Request) 또는 FIQ(Fast Interrupt Request)를 이용하여 현재 실행되는 모드를 모니터 모드로 변경할 수도 있다. 일반적으로 IRQ는 노멀 월드(410)의 인터럽트로 사용되며, FIQ는 시큐어 월드(420)의 인터럽트로 사용될 수 있다.
한편, 도 4에 도시된 바와 같이, 노멀 월드(410) 및 시큐어 월드(420)는 모니터 모드(430) 소프트웨어에 의해 관리될 수 있으나, 별도의 하드웨어 구성에 의해 관리될 수도 있다. 예를 들어, 상술한 SAU, TZASC와 같은 하드웨어 보안 모듈(125)이 노멀 월드(410) 및 시큐어 월드(420)을 관리할 수도 있다. 본 개시의 주된 실시예는 하드웨어로 구성된 보안 모듈(125)이 노멀 월드(410) 및 시큐어 월드(420)를 관리하는 것을 기준으로 설명하나, 모니터 모드(430) 소프트웨어에 의해 관리될 수 있음은 물론이다.
이하에서는 도 5 내지 도 11을 이용하여 본 개시에 따른 보안 방법에 대하여 설명한다.
도 5에 도시된 바와 같이, 보안 모듈(125)는 메모리(110)를 보안 영역 및 비보안 영역으로 구분하여 관리할 수 있다. 구체적으로, 상술한 바와 같이, 보안 모듈(125)는 하나의 메모리를 보안 영역 및 비보안 영역으로 구분하여 관리 할 수 있다. 이때, 프로세서(120)가 노멀 월드에서 동작하는 경우에는, 메모리(110)의 비보안 영역에만 액세스할 수 있다. 노멀 월드에서 동작하는 동안 프로세서(120)가 메모리(110)의 보안 영역에 액세스하는 경우, 보안 모듈(125)는 프로세서(120)의 액세스를 제어하여 폴트 신호를 발생시킬 수 있다. 폴트 신호가 발생하는 경우, 프로세서(120)는 노멀 월드에서의 동작을 시큐어 월드에서의 동작으로 변환할 수 있다.
한편, 프로세서(120)가 시큐어 월드에서 동작하는 경우에는, 메모리(110)의 보안 영역 및 비보안 영역에 모두 액세스할 수 있다. 즉, 시큐어 월드에서 동작하는 동안, 프로세서(120)는 전체 메모리의 영역을 확인할 수 있으나, 노멀 월드에서 동작하는 동안, 프로세서(120)는 비보안 영역에 대응되는 메모리 영역만을 확인할 수 있다.
한편, 본 개시에서는 보안 모듈(125)이 하나의 메모리(110)를 보안 영역 및 비보안 영역으로 나누어 관리하는 방법에 대하여 설명하였으나, 복수의 메모리를 보안 영역 및 비보안 영역으로 나누어 관리할 수도 있음은 물론이다.
한편, 이하의 실시예에서는 특별한 사정이 없는 한, 보안 영역의 메모리를 사용하는 것은 시큐어 월드에서 동작하고, 비보안 영역의 메모리를 사용하는 것은 노멀 월드에서 동작하는 것을 기초로 설명한다. 즉, 각각의 동작이 노멀 월드에서 동작하는지, 시큐어 월드에서 동작하는지에 대한 구체적인 설명이 없는 경우라고 하더라도, 프로세서(120)가 보안 영역의 메모리에 액세스하는 경우, 시큐어 월드에서 동작하고, 비보안 영역의 메모리에 액세스하는 경우 노멀 월드에서 동작하는 것으로 해석한다.
도 6은 본 개시의 일 실시예에 따른 보안 영역 및 비보안 영역에 로드된 다양한 모듈을 설명하기 위한 예시도이다. 설명의 편의를 위해 이하에서는 보안 모듈(125) 좌측의 메모리 영역을 비보안 영역으로, 보안 모듈(125) 우측의 메모리 영역을 보안 영역으로 도시하여 설명한다. 다만, 상술한 바와 같이, 보안 영역 및 비보안 영역은 하나의 메모리(110)로 구성될 수 있음은 물론이다.
도 6에 도시된 바와 같이, 보안 모듈(125)는 보안 관리 영역(125-1) 및 비보안 관리 영역(125-2)를 포함할 수 있다. 보안 관리 영역(125-1)은 메모리(110)의 보안 영역(620)을 관리하고, 비보안 관리 영역(125-2)는 메모리(110)의 비보안 영역(610)을 관리 할 수 있다.
비보안 영역(610)은 제1 영역(611) 및 제2 영역(612)를 포함할 수 있다. 이때, 제1 영역(611)은 프로그램 실행 등에 필요한 코드 블록이 로드될 수 있다. 구체적으로, 메모리(110)가 RAM인 경우, 프로세서(120)는 ROM에 저장된 다양한 프로그램 중 필요한 프로그램을 RAM에 복사하여 로드할 수 있다. RAM에 로드된 코드 블록은 커널 코드 블록일 수 있으나 이에 한정되는 것은 아니다.
제1 영역(610)에는 복수의 코드 블록(611-1 내지 611-4)이 로드될 수 있다. 도 6에서는 4개의 코드 블록이 로드되는 경우에 대하여 설명하나 코드 블록의 개수는 다양할 수 있음은 물론이다.
각각의 코드 블록(611-1 내지 611-4)은 프로그램 실행을 위한 소스코드 및 각각의 코드 블록에 대응되는 해시를 포함할 수 있다. 예를 들어 제1 블록(611-1)은 AAA라는 해시를 포함하고, 제2 블록(611-2)은 BBB라는 해시를 포함하고, 제3 블록(611-3)은 CCC라는 해시를 포함하고, 제4 블록(611-4)은 DDD라는 해시를 포함할 수 있다.
제2 영역(620)은 제1 영역에 로드된 코드 블록 중 어느 하나가 변조된 경우, 변조된 코드 블록의 원본 코드 블록을 로드하기 위한 메모리 영역일 수 있다.
한편, 보안 영역(620)은 보안을 위한 다양한 모듈을 포함할 수 있다. 구체적으로, 보안 영역(620)은 FHM(621), FIM(622) 및 해시 테이블(623)을 포함할 수 있다.
상술한 바와 같이, FIM(622) 및 해시테이블(623)는 제1 영역(611)에 로드된 코드 블록의 무결성을 검사하기 위해 사용될 수 있다. 해시 테이블(623)은 제1 영역(611)에 로드된 코드 블록들의 해시를 저장할 수 있다. 프로세서(120)는 FIM(622)을 제어하여 제1 영역(611)의 코드 블록 각각이 포함하는 해시가 해시 테이블(623)의 해시와 동일한지 여부를 판단할 수 있다. 코드 블록 각각의 해시와 해시 테이블(623)의 해시가 동일한 경우, 프로세서(120)는 코드 블록이 변조되지 않았다고 판단할 수 있다. 코드 블록 각각의 해시와 해시 테이블(623)의 해시가 상이한 경우, 프로세서(120)는 코드 블록이 변조되었다고 판단할 수 있다. 이때, FIM(622)는 기 설정된 시간마다 코드 블록들의 무결성을 검사할 수 있다.
FHM(621)은 노멀 월드에서 동작하는 동안 폴트가 발생한 경우, 발생한 폴트를 제어하기 위한 모듈이다. 상술한 바와 같이, 프로세서(120)는 FHM(621)을 제어하여 폴트가 발생한 메모리 주소, 폴트가 발생한 이유 및 발생한 폴트에 대응되는 노멀 월드에서의 동작(예를 들어 액세스하여야 할 메모리 주소를 새로 지정하거나, 노멀 월드에서의 동작을 중단시키는 등의 동작)을 판단할 수 있다.
도 7a 및 도 7b는 본 개시의 일 실시예에 따른, 코드 블록이 변조된 경우, 제2 영역에 변조된 코드 블록의 원본 코드 블록을 로드하는 방법을 설명하기 위한 예시도이다.
도 7a에 도시된 바와 같이, 외부 공격으로 제2 코드 블록(611-2)의 해시가 BBB에서 XXX로 변조된 경우, FIM(622)는 해시 테이블(623)에 저장된 제2 코드 블록(BBB)의 해시와 제2 코드 블록(611-2)의 해시(XXX)가 다름을 확인하고, 제2 코드 블록이 변조되었다고 판단할 수 있다.
제2 코드 블록(611-2)가 변조되었다고 판단한 경우, 프로세서(120)는 변조된 제2 코드 블록(611-2)에 대응되는 메모리 영역을 보안 영역으로 변경할 수 있다. 보안 모듈(125)을 제어할 수 있다. 즉, 도 7a에 도시된 바와 같이, 보안 모듈(125)은, 제1 보안 관리 영역(125-1)에 FHM(621), FIM(622) 및 해시 테이블(623)을 매핑하고, 제2 비보안 관리 영역(125-2)에 제1 코드 블록(611-1)에 대응되는 메모리 영역을 매핑하고, 제3 보안 관리 영역(125-3)에 변조된 제2 코드 블록(611-2)에 대응되는 메모리 영역을 매핑하고, 제4 비보안 관리 영역(125-4)에 제3 코드 블록(611-3), 제4 코드 블록(611-4) 내지 제2 영역(612)에 대응되는 메모리 영역을 매핑할 수 있다.
한편, 제2 코드 블록(611-2)이 변조되었다고 판단한 경우, 프로세서(120)는 제2 코드 블록의 원본 코드가 저장된 메모리(예를 들어 ROM)에서 제2 코드 블록의 원본 코드를 복사하여 제2 영역(612)에 로드 할 수 있다. 제2 영역에 로드된 제2 코드 블록은 편의상 제2 원본 코드 블록(612-4)이라 명명한다. 다만, 제2 원본 코드 블록(612-4)는 ROM등에 저장된 제2 코드 블록의 원본 코드를 복사한 것일 뿐, ROM등에 저장된 제2 코드 블록의 원본 코드 그 자체가 아님은 자명하다.
한편, 제2 영역(612)에 제2 원본 코드 블록(612-2)을 로드하는 것은 시큐어 월드에서 동작할 수 있다. 즉, 프로세서(120)는 보안 모듈(125)을 제어하여 제2 원본 코드 블록(612-4)를 제2 영역(612)에 로드할 수 있다. 다만 이에 한정되는 것은 아니며, 필요에 따라 제2 원본 코드 블록(612-2)을 로드하는 것은 노멀 월드에서 동작할 수도 있음은 물론이다.
한편, 제2 영역(620)은 제2 원본 코드 블록(612-2)과 함께 보안 영역 블록(612-4)를 더 로드할 수 있다. 보안 영역 블록(612-4)는 프로세서(120)가 제2 원본 코드 블록(612-2)에 액세스가 완료된 경우, 제1 영역(611)의 제3 블록(611-3)에 액세스하기 위해 사용되는 소스 코드를 포함할 수 있다. 보안 영역 블록(612-4)에 대한 상세한 설명은 도 8a 내지 도 9b에서 후술한다.
한편, 도 7b에 도시된 바와 같이, 상대 주소 지정 방식(PC_relative Addressing)을 지원하기 위하여, 프로세서(120)는 제2 영역(612)에 변조된 제2 코드 블록(611-2)의 전후의 코드 블록(611-1,611-3)의 원본 코드 블록을 로드할 수 있다. 즉, 제2 영역(612)은 제1 원본 코드 블록 내지 제3 원본 코드 블록(621-1 내지 621-3) 및 보안 영역 블록(621-4)가 로드될 수 있다.
이때, 상대 주소 지정 방식이란 PC값과 명령어 내의 상수의 합을 더해서 주소를 구하는 방식을 의미한다. 이 경우, 도 7a와 같이 변조된 제2 코드 블록(611-2)만을 제2 영역(612)에 로드하는 경우, 문제가 될 수 있다.
예를 들어 제1 영역(611)에 로드된 각각의 코드 블록의 크기가 20 바이트이고, 제1 코드 블록의 시작 주소가 1이고, 제2 영역(612)에 로드된 제2 원본 코드 블록(612-2)의 시작 주소가 101인 경우를 가정해 볼 수 있다. 이 경우, 제2 코드 블록(611-2)의 시작 주소는 21, 제3 코드 블록(611-3)의 시작 주소는 41, 제4 코드 블록(611-4)의 시작 주소는 61일 수 있다. 코드 블록이 변조되지 않은 경우, 프로세서(120)는 제1 코드 블록의 시작 주소에 액세스하여 순차적으로 복수의 코드 블록에 액세스 할 수 있다.
이때, 제2 코드 블록(611-1)의 35번째 주소에는 현재 주소에서 8 바이트 뒤로 점프하는 명령어가 포함되고, 제3 코드 블록(611-3)의 45번째 주소에는 현재 주소에서 9바이트 앞으로 점프하는 명령어가 포함된 경우를 가정할 수 있다.
이 경우, 프로세서(120)는 제2 코드 블록(611-2)의 35번째 메모리 주소에 액세스한 후 제3 코드 블록(611-3)의 43번째 메모리 주소로 점프하고, 44,45번째 메모리 주소에 액세스한 후, 다시 제2 코드 블록(611-2)의 36번째 메모리 주소로 점프할 수 있다.
다만, 제2 코드 블록(611-2)이 변조된 경우, 프로세서(120)는 제2 코드 블록(611-2)의 시작 주소에 액세스 하는 대신, 제2 원본 코드 블록(612-2)의 시작 주소에 액세스하게 된다. 이때, 메모리(110)의 115번째 주소에는 현재 주소에서 8바이트 뒤로 점프하는 명령어가 존재한다. 따라서, 프로세서(120)는 메모리(110)의 123번째 주소에 액세스하지만, 메모리(110)의 123번째 주소에 로드된 데이터는 메모리(110)의 43번째 주소에 로드된 데이터와 다르므로 문제가 될 수 있다.
상술한 문제점을 해결하기 위하여, 프로세서(120)는 도 7b에 도시된 바와 같이, 제2 영역(612)에 변조된 제2 코드 블록(611-2)의 전후의 코드 블록(611-1,611-3)의 원본 코드 블록(612-1,612-3)을 로드할 수 있다. 즉, 변조된 코드 블록에 타 코드 블록으로 점프하는 명령어가 포함된 경우, 프로세서(120)는 제2 영역(612)에 변조된 코드 블록의 원본 코드 블록 및 타 코드 블록의 원본 코드 블록을 함께 로드할 수 있다. 도 7b에서는 변조된 제2 코드 블록(612-2)의 전후 코드 블록만(611-1,611-3)을 제2 영역(612)에 로드하는 경우에 대하여 설명하였으나 이에 한정되는 것은 아니다. 즉, 프로세서(120)는 변조된 코드 블록에 포함된 점프 명령어를 분석하고, 점프되는 메모리 주소의 길이에 따라 제2 영역(612)에 로드되는 코드 블록을 결정할 수 있음은 물론이다.
도 8a 내지 도 9b는 본 개시의 일 실시예에 따른 프로세서의 동작 방법을 설명하기 위한 예시도이다. 구체적으로 도 8a 및 도 8b는 프로세서(120)가 변조된 제2 코드 블록의 시작 주소에 액세스 한 경우의 프로세서의 동작을 설명하기 위한 예시도이며, 도 9a 및 도 9b는 프로세서(120)가 제2 원본 코드 블록(612-2)에 액세스 한 후 제3 코드 블록(611-3)에 액세스하는 방법을 설명하기 위한 예시도이다.
이때, 도 8a 내지 도 9b에 도시되어 있지는 않으나, 도 8a 내지 도 9b는 도 7b에 도시된 바와 같이, 제2 코드 블록(611-2)이 변조되어 제3 보안 관리 영역(125-3)에 변조된 제2 코드 블록(611-2)에 대응되는 메모리 영역이 매핑된 경우를 기초로 하여 설명한다.
프로세서(120)는 노멀 월드에서 동작하는 동안, 비보안 영역 중 제1 영역(611)에 로드된 복수의 블록 코드에 순차적으로 액세스 할 수 있다. 프로세서(120)가 제1 코드 블록(611-1)의 액세스가 완료된 경우, 프로세서(120)는 변조된 제2 코드 블록(611-2)의 시작 주소에 액세스하게 된다. 이때, 프로세서(120)는 노멀 월드에서 동작하고, 변조된 제2 코드 블록(611-2)영역은 보안 영역으로 변경되었으므로, 폴트가 발생한다.
이때, 일반적인 경우 도 8a 및 도 9a에 도시된 바와 같이, 폴트가 발생하면, 프로세서(120)는 시큐어 월드에서 동작하게 되고, 폴트가 발생된 원인을 해결한 경우, 프로세서(120)는 노멀 월드에서 동작하며 폴트가 발생된 주소로 복귀하게 된다.
그러나, 본 개시의 일 실시예에 따르면, 도 8b에 도시된 바와 같이, 폴트가 발생하면, 프로세서(120)는 시큐어 월드에서 동작하게 되고, 폴트가 발생한 원인을 해결하는 대신, 제2 영역(612)에 로드된 제2 원본 코드 블록(612-2)의 시작 주소에 액세스하기 위해 FHM(621)를 제어할 수 있다. 구체적으로, 폴트가 발생한 경우, 프로세서(120)는 제2 원본 코드 블록(612-2)의 시작 주소와 제2 코드 블록(611-2)의 시작 주소의 차이값(이하 오프셋(offset)이라고 한다.)을 산출하고, 산출된 오프셋을 기초로 폴트 복귀 주소를 제2 원본 코드 블록(612-2)의 시작 주소로 변경할 수 있다.
한편, 시큐어 월드에서 동작하는 동안, 프로세서(120)는 제2 영역의 제2 원본 코드 블록(612-2)에 액세스할 수 있다. 제2 원본 코드 영역(612-2)의 액세스가 완료된 경우, 프로세서(120)는 제2 영역(612)의 보안 영역 블록의 시작 주소에 액세스 하게 된다. 프로세서(120)가 보안 영역 코드(612-4)의 시작 주소에 액세스한 경우, 폴트가 발생할 수 있다. 이때 발생되는 폴트는 도 8a 및 도 8b와는 달리, 보안 영역 블록(612-2) 자체에서 생성된 폴트일 수 있다. 즉, 도 8a 및 도 8b에서 발생되는 폴트는 프로세서(120)가 노멀 월드에서 동작하는 도중 보안 영역에 액세스하여 발생되는 폴트이지만, 도 9a 및 도 9b에서 발생되는 폴트는 보안 영역 블록(612-4)에 의해 발생되는 폴트라는 점에서 차이점이 존재할 수 있다.
도 9b에 도시된 바와 같이, 프로세서(120)가 보안 영역 블록(612-4)에 접근하여 폴트가 발생한 경우, 프로세서(120)는 시큐어 월드에서 동작할 수 있다. 이때, 프로세서(120)는 제1 영역(611)에 로드된 제3 코드 블록(611-3)의 시작 주소에 액세스하기 위해 FHM(621)를 제어할 수 있다. 구체적으로, 폴트가 발생한 경우, 프로세서(120)는 보안 영역 블록(612-4)의 시작 주소와 제3 코드 블록(611-3)의 시작 주소의 오프셋을 산출하고, 산출된 오프셋을 기초로 폴트 복귀 주소를 제3 코드 블록(611-3)의 시작 주소로 변경할 수 있다.
한편, 도 8a 내지 도 9b에서는 제2 영역(612)에 변조된 제2 코드 블록(611-2)만이 로드된 경우에 대하여 설명하였으나 이에 한정되는 것은 아니다. 일 실시예로, 도 7b에 도시된 바와 같이, 제1 코드 블록 내지 제3 코드 블록(611-1 내지 611-3)의 원본 코드 블록이 제2 영역(612)에 로드될 수도 있음은 물론이다. 이 경우, 프로세서(120)가 보안 영역 블록(612-4)에 액세스하여 폴트가 발생한 경우, 프로세서(120)는 FHM(621)을 제어하여 보안 영역 블록(612-4)의 시작 주소를 제4 코드 블록(611-4)의 시작 주소로 변경할 수 있다. 즉, 도 7b의 경우, 프로세서(120)는 제3 원본 코드 블록(612-3)에 액세스 한 후 보안 영역 블록(612-4)에 액세스 하므로, 프로세서(120)는 복귀 주소를 제4 코드 블록(611-4)의 시작 주소로 결정할 수 있다.
그러나 이러한 실시예에 한정되는 것은 아니고, 프로세서(120)는 복귀 주소를 제3 코드 블록(611-3)으로 결정할 수도 있음은 물론이다. 예를 들어, 제2 영역(612)에 코드 블록이 제1 원본 코드 블록(611-1), 제2 코드 원본 블록(612-2), 보안 영역 블록(611-4) 및 제3 원본 코드 블록(611-3)의 순서로 로드되는 경우에는, 프로세서(120)는 복귀 주소를 제3 코드 블록(611-3)으로 결정할 수 있다.
도 10은 본 개시의 일 실시예에 따른 폴트가 발생한 원인에 따른 프로세서의 동작을 설명하기 위한 흐름도이다.
폴트가 발생한 경우(S1010), 프로세서(120)는 발생된 폴트가 코드 블록 변조에 의해 발생한 것인지 여부를 판단할 수 있다(S1020).
발생된 폴트가 코드 블록 변조에 의해 발생된 것이 아닌 경우(S1020-N), 프로세서(120)는 일반적인 폴트 제어 동작을 수행한다(S1060).
폴트 발생 원인이 해결된 경우, 프로세서(120)는 폴트가 발생한 주소로 복귀할 수 있다(S1070). 예를 들어, 프로세서(120)가 메모리(110)에 액세스하여 프로그램을 실행하던 도중, 로드 되었어야 할 코드 블록이 로드되지 않아 폴트가 발생할 수 있다. 이러한 경우, 프로세서(120)는 해당 코드 블록을 메모리(110)에 로드한 후 폴트가 발생한 주소로 복귀할 수 있다.
한편, 발생한 폴트가 코드 블록 변조에 의해 발생한 폴트인 경우(S1020-Y), 프로세서(120)는 변조된 코드 블록의 원본 코드가 제2 영역에 로드 되었는지 여부를 판단할 수 있다(S1030).
변조된 코드 블록의 원본 코드가 제2 영역에 로드된 경우(S1030-Y), 프로세서(120)는 제2 영역에 로드된 원본 코드 블록의 시작 주소에 액세스 할 수 있다(S1040). 프로세서(120)가 제2 영역에 로드된 원본 코드 블록의 시작 주소에 액세스하는 구체적인 방법은 상술한 바와 같아.
한편, 변조된 코드 블록의 원본 코드가 제2 영역에 로드되지 않은 경우(S1030-N), 프로세서(120)는 별도의 Fail-safe 시스템을 실행할 수 있다. 예를 들어, 특정 코드 블록이 변조되고, 변조된 코드 블록이 제2 영역에 로드되지 않은 경우, 프로세서(120)는 Master OS를 정지시키고 Slave OS를 실행할 수 있다. 또는 프로세서(120)는 시스템의 동작을 멈추고, 펌웨어 업그레이드 후 재부팅 할 수 있다.
도 11은 본 개시의 일 실시예에 따른 프로세서의 동작을 설명하기 위한 흐름도이다. 구체적으로, 도 11은 상술한 동작들이 노멀 월드에서 동작하는지, 시큐어 월드에서 동작하는지를 설명하기 위한 흐름도이다.
시큐어 월드로 동작하는 동안, 프로세서(120)는 메모리의 제1 영역에 로드된 복수의 코드 블록의 무결성을 검사할 수 있다(S1105). 상술한 바와 같이, 무결성 검사는 기 설정된 시간마다 수행될 수 있다.
시큐어 월드로 동작하는 동안, 복수의 코드 블록 중 적어도 하나의 코드 블록이 변조된 경우, 프로세서(120)는 변조된 코드 블록에 해당하는 메모리 영역을 보안 영역으로 변경하고, 변조된 코드 블록의 원본 코드 블록을 제2 영역에 로드할 수 있다(S1110).
프로세서(120)의 동작이 시큐어 월드에서 노멀 월드로 전환된 경우(S1115), 프로세서(120)는 코드 블록을 실행하기 위해 메모리의 제1 영역에 액세스할 수 있다(S1120).
노멀 월드로 동작하는 동안, 프로세서(120)가 변조된 코드 블록의 시작 주소에 액세스 한 경우, 프로세서(120)는 폴트 신호를 생성할 수 있다(S1125).
폴트 신호가 생성되면, 프로세서(120)의 동작이 노멀 월드에서 시큐어 월드로 전환되고(S1130), 프로세서(120)는 메모리(110)의 FHM 시작 주소에 액세스하여, 제2 영역에 로드된 원본 코드 블록의 시작 주소 획득할 수 있다(S1135).
프로세서(120)의 동작이 시큐어 월드에서 노멀 월드로 다시 전환된 경우(S1140), 프로세서(120)는 제2 영역에 로드된 원본 코드 블록의 시작 주소에 액세스 할 수 있다(S1145).
노멀 월드로 동작하는 동안, 프로세서(120)가 보안 영역 블록의 시작 주소에 액세스 한 경우, 프로세서(120)는 폴트 신호를 생성할 수 있다(S1150).
폴트 신호가 생성되면, 프로세서(120)의 동작이 노멀 월드에서 시큐어 월드로 전환되고(S1155), 프로세서(120)는 메모리(110)의 FHM 시작 주소에 액세스하여, 제1 영역에 로드된 변조된 코드 블록 다음 블록의 시작 주소를 획득할 수 있다(S1160).
프로세서(120)의 동작이 시큐어 월드에서 노멀 월드로 다시 전환된 경우(S1165), 프로세서(120)는 변조된 코드 블록 다음 불록의 시작 주소에 액세스할 수 있다(S1170).
한편, 본 개시에서는 도 12a에 도시된 바와 같이, 하나의 프로세서(120)가 노멀 월드(610) 및 시큐어 영역(620) 중 하나로 선택적으로 동작하는 경우에 대하여 설명하였으나, 이에 한정되는 것은 아니다. 예를 들어, 도 12b에 도시된 바와 같이, 프로세서(1200)는 제1 프로세서(1210) 및 제2 프로세서(1220)를 포함할 수 있다. 이때, 제1 프로세서(1210)은 노멀 월드에 대응되는 동작을 수행하며, 제2 프로세서(1220)는 시큐어 월드에 대응되는 동작을 수행할 수 있다. 즉, 제1 프로세서(1210)는 비보안 동작을 실행하고, 제2 프로세서(1220) 보안 동작을 실행할 수 있다. 또한, 제 2 프로세서(1220)는 외부로부터의 액세스에 대하여 격리되어 동작할 수 있다.
도 13 내지 도 14c는 은 본 개시의 일 실시예에 따른 보안 시스템을 설명하기 위한 예시도이다.
구체적으로, 본 개시에 의한 전자 장치(100)는 다양한 전자 장치일 수 있다. 본 개시에 따른 전자 장치(100)는 도 13에 도시된 전자 장치(1300) 및 전자 장치(1300)와 연결된 복수의 IOT 기기들(1301 내지 1304)을 포함할 수 있다.
이때, 복수의 IOT 기기들(1301 내지 1304)는 경우에 따라서는 저사양의 전자 제품일 수 있다. 변조된 코드 블록들의 개수가 증가하는 경우, 메모리(110)의 제2 영역에 로드되는 코드 블록의 개수 또한 증가하고, 메모리 공간이 부족해 질 수 있다. 따라서, 복수의 IOT 기기들(1301 내지 1304)를 관리하는 전자 장치(1300)는 필요에 따라 복수의 IOT 기기들(1301 내지 1304)의 메모리 공간을 정리할 수 있다.
구체적으로, 도 14a에 도시된 바와 같이, 복수의 IOT 기기 중 어느 하나의 메모리 공간이 부족한 경우, 전자 장치(1300)는 메모리 부족을 알리는 UI(1410)를 디스플레이 할 수 있다.
메모리 부족을 알리는 UI(1410)에 대한 사용자 명령(예를 들어 확인 버튼을 터치하는 명령)이 입력된 경우, 도 14b에 도시된 바와 같이, 전자 장치(1300)는 관리중인 복수의 IOT 기기(1301 내지 1304)의 리스트를 디스플레이 할 수 있다.
이때 도 14c에 도시된 바와 같이, 복수의 IOT 기기(1301 내지 1304)의 리스트 중 어느 하나의 리스트가 선택된 경우, 전자 장치(1300)는 선택된 리스트에 대응되는 IOT 기기의 메모리를 정리하기 위한 UI(1430)를 디스플레이할 수 있다. 이때, 필요한 경우, 전자 장치(1300)는 변조된 코드 블록의 문제점을 해결하기 위한 펌웨어 업그레이드를 함께 수행할 수 있다. 즉, 전자 장치(1300)는 변조된 코드 블록에 대한 원본 코드 블록을 삭제하기 전에, 변조된 코드 블록을 패치하여 동일한 공격이 발생하여도 코드 블록이 변조되지 않도록 조치한 후, 원본 코드 블록을 삭제할 수 있다. 따라서, 복수의 IOT기기(1301 내지 1304)들은 코드 블록이 변조된 즉시 펌웨어 업그레이드 등을 통해 대응하지 않더라도 안전하게 장치의 기능을 수행할 수 있으며, 필요한 경우에만 주기적으로 펌웨어 업그레이드 등을 수행할 수 있다.
한편, 상술한 실시예에서는 복수의 IOT 기기들(1301 내지 1304)의 메모리를 관리하는 방법에 대하여 설명하였으나, 상술한 방법이 전자 장치(1300)에도 동일하게 적용될 수 있음은 물론이다.
도 15는 본 개시의 일 실시예에 따른 전자 장치가 코드 블록이 변조되었는지 여부를 판단하는 방법을 설명하는 흐름도이다.
전자 장치(100)는 시큐어 월드에서 동작하는 동안, 비보안 영역 중 제1 영역에 로드된 복수의 코드 블록의 무결성을 검사할 수 있다(S1510). 이때, 무결성 검사는 복수의 코드 블록 각각의 해시와 보안 영역에 로드된 해시 테이블의 해시를 비교하여 수행될 수 있다.
무결성 검사를 수행한 결과, 코드 블록이 변조되지 않은 경우(S1520-N), 전자 장치는 단계 S1510으로 돌아간다. 즉, 전자 장치(100)는 기 설정된 시간마다 코드 블록이 변조되었는지 여부를 판단할 수 있다.
적어도 하나의 코드 블록이 변조된 경우(S1520-Y), 전자 장치(100)는 변조된 코드 블록에 대응되는 메모리 영역을 보안 영역으로 변경하고, 변조된 코드 블록의 원본 코드 블록을 비보안 영역 중 제2 영역에 로드할 수 있다(S1530).
도 16 및 도 17은 본 개시의 일 실시예에 따른, 변조된 코드 블록이 발생하는 경우 전자 장치의 동작을 설명하기 위한 예시도이다.
도 16은 프로세서가 제2 영역에 액세스하는 과정을 설명하기 위한 흐름도이다.
도 15 과정에 의해 변조된 코드 블록이 제2 영역에 로드되어 있고, 노멀 월드로 동작하는 동안 프로세서(120)는 제1 영역에 로드된 복수의 코드 블록에 순차적으로 액세스 할 수 있다(S1610).
복수된 코드 블록에 순차적으로 액세스 하는 동안, 프로세서(120)가 변조된 코드 블록의 시작 주소에 액세스한 경우,프로세서(120)는 시큐어 월드로 전환할 수 있다(S1620).
시큐어 월드에서 동작하는 동안, 프로세서(120)는 변조된 코드 블록의 시작 주소를 제2 영역에 로드된 원본 코드 블록의 시작 주소로 변경하고, 노멀 월드로 전환할 수 있다(S1630).
노멀 월드로 동작하는 동안, 프로세서(120)는 제2 영역에 로드된 원본 코드 블록의 시작 주소에 액세스 할 수 있다(S1640).
도 17은 프로세서가 제2 영역에서 다시 제1 영역에 액세스하는 과정을 설명하기 위한 흐름도이다.
노멀 월드로 동작하는 동안, 프로세서(120)가 제2 영역에 로드된 변조된 코드 블록의 원본 코드 블록의 마지막 주소에 액세스한 경우, 프로세서(120)는 시큐어 월드로 전환할 수 있다(S1710). 이때, 프로세서(120)가 원본 코드 블록의 마지막 주소에 액세스한 경우는, 원본 코드 블록 다음에 존재하는 보안 영역 블록의 시작 주소에 액세스한 경우를 포함할 수 있다.
시큐어 월드로 동작하는 동안, 프로세서(120)는 제2 영역에 로드된 원본 코드 블록 다음 코드 블록의 시작 주소를 제1 영역에 로드된 변조된 코드 블록 다음 코드 블록의 시작 주소로 변경하고, 노멀 월드로 전환할 수 있다(S1720).
노멀 월드로 동작하는 동안, 프로세서(120)는 제1 영역의 다음 코드 블록의 시작 주소에 액세스 할 수 있다(S1730).
다양한 실시 예에 따른 장치 (예: 모듈들 또는 전자 장치(100)) 또는 방법 (예: 동작들)은, 예컨대, 컴퓨터로 읽을 수 있는 저장매체(computer-readable storage media)에 유지되는(maintain) 프로그램들 중 적어도 하나의 프로그램에 포함된 명령어(instructions)를 실행하는 적어도 하나의 컴퓨터(예: 프로세서 120)에 의하여 수행될 수 있다.
상기 명령어가 컴퓨터(예: 프로세서 120)에 의해 실행될 경우, 상기 적어도 하나의 컴퓨터는 상기 명령어에 해당하는 기능을 수행할 수 있다. 이 때, 컴퓨터로 읽을 수 있는 저장매체는, 예를 들면, 상기 메모리(110)가 될 수 있다.
프로그램은, 예로, 하드디스크, 플로피디스크, 마그네틱 매체 (magnetic media)(예: 자기테이프), 광기록 매체 (optical media)(예: CD-ROM (compact disc read only memory), DVD (digital versatile disc), 자기-광 매체 (magneto-optical media)(예: 플롭티컬 디스크 (floptical disk)), 하드웨어 장치 (예: ROM (read only memory), RAM (random access memory), 또는 플래시 메모리 등) 등과 같은 컴퓨터로 읽을 수 저장 매체에 포함될 수 있다. 이 경우, 저장 매체는 일반적으로 전자 장치(100)의 구성의 일부로 포함되나, 전자 장치(100)의 포트(port)를 통하여 장착될 수도 있으며, 또는 전자 장치(100)의 외부에 위치한 외부 기기(예로, 클라우드, 서버 또는 다른 전자 기기)에 포함될 수도 있다. 또한, 프로그램은 복수의 저장 매체에 나누어 저장될 수도 있으며, 이 때, 복수의 저장 매체의 적어도 일부는 전자 장치(100)의 외부 기기에 위치할 수도 있다.
명령어는, 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함할 수 있다. 상술한 하드웨어 장치는 다양한 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지다.
또한, 이상에서는 본 개시의 바람직한 실시 예에 대하여 도시하고 설명하였지만, 본 개시는 상술한 특정의 실시 예에 한정되지 아니하며, 청구범위에서 청구하는 본 개시의 요지를 벗어남이 없이 당해 발명이 속하는 기술분야에서 통상의 지식을 가진 자에 의해 다양한 변형실시가 가능한 것은 물론이고, 이러한 변형실시들은 본 개시의 기술적 사상이나 전망으로부터 개별적으로 이해되어서는 안될 것이다.
100: 전자 장치 110: 메모리
120: 프로세서

Claims (19)

  1. 노멀 월드에서 동작되는 비보안 영역 및 시큐어 월드에서 동작되는 보안 영역을 포함하는 메모리; 및
    상기 노멀 월드 및 상기 시큐어 월드 중 하나로 선택적으로 동작하는 프로세서;를 포함하고,
    상기 프로세서는,
    상기 시큐어 월드로 동작하는 동안 상기 비보안 영역 중 제1 영역에 로드(load)된 복수의 코드 블록의 무결성을 검사하고,
    상기 복수의 코드 블록 중 하나가 변조(compromised)된 경우, 상기 변조된 코드 블록에 대응되는 메모리 영역을 보안 영역으로 변경하고, 상기 변조된 코드 블록의 원본 코드 블록을 상기 비보안 영역 중 제2 영역에 로드하는 것을 특징으로 하는 전자 장치.
  2. 제1항에 있어서,
    상기 프로세서는,
    상기 노멀 월드로 동작하는 동안 상기 제1 영역에 로드된 상기 복수의 코드 블록에 순차적으로 액세스하고,
    상기 복수의 코드 블록에 순차적으로 액세스하는 동안 상기 변조된 코드 블록의 시작 주소에 액세스한 경우, 상기 시큐어 월드로 전환하여 동작하는 것을 특징으로 하는 전자 장치.
  3. 제2항에 있어서,
    상기 프로세서는,
    상기 시큐어 월드로 동작하는 동안 상기 변조된 코드 블록의 시작 주소를 상기 제2 영역에 로드된 상기 원본 코드 블록의 시작 주소로 변경하고, 상기 노멀 월드로 전환하며,
    상기 노멀 월드로 동작하는 동안 상기 제2 영역에 로드된 상기 원본 코드 블록의 시작 주소에 액세스하는 것을 특징으로 하는 전자 장치.
  4. 제3항에 있어서,
    상기 프로세서는,
    상기 노멀 월드로 동작하는 동안 상기 제2 영역에 로드된 변조된 코드 블록의 원본 코드 블록의 마지막 주소를 액세스 한 경우, 상기 시큐어 월드로 전환하고,
    상기 시큐어 월드로 동작하는 동안, 상기 제2 영역에 로드된 원본 코드 블록 다음 코드 블록의 시작 주소를 상기 제1 영역에 로드된 변조된 코드 블록 다음 코드 블록의 시작 주소로 변경하고 상기 노멀 월드로 전환하며,
    상기 노멀 월드로 동작하는 동안, 상기 제1 영역의 상기 다음 코드 블록의 시작 주소에 액세스하는 것을 특징으로 하는 전자 장치.
  5. 제1항에 있어서,
    상기 메모리의 보안 영역은 펌웨어 무결성 검사 모듈(firmware Integrity Check Module, FIM) 및 상기 제1 영역에 로드된 코드 블록에 대응되는 해시 테이블을 더 포함하고,
    상기 프로세서는,
    상기 시큐어 월드로 동작하는 동안 상기 FIM 및 상기 해시 테이블을 이용하여 상기 제1 영역에 로드된 복수의 코드 블록의 해시가 변조되었는지 검사하는 것을 특징으로 하는 전자 장치.
  6. 제1항에 있어서,
    상기 프로세서는,
    상기 복수의 코드 블록 중 하나가 변조된 경우,
    상기 변조된 코드 블록 및 상기 변조된 코드 블록의 전후 코드 블록의 원본 코드 블록을 제2 영역에 함께 로드하는 것을 특징으로 하는 전자 장치.
  7. 제2항에 있어서,
    상기 메모리의 보안 영역은 폴트 제어 모듈을 더 포함하고,
    상기 프로세서는,
    상기 노멀 월드에서 동작하는 동안 폴트(fault)가 발생한 경우, 상기 폴트가 코드 블록이 변조되어 발생한 폴트인지 판단하고,
    상기 폴트가 코드 블록이 변조되어 발생한 폴트이고 상기 제2 영역에 상기 변조된 코드 블록의 원본 코드가 로드되어 있는 경우, 상기 노멀 월드를 시큐어 월드로 전환하고,
    상기 시큐어 월드에서 동작하는 동안, 상기 변조된 코드 블록의 시작 주소를 상기 제2 영역에 로드된 상기 원본 코드 블록의 메모리 시작 주소로 변경하는 것을 특징으로 하는 전자 장치.
  8. 제 7항에 있어서,
    상기 프로세서는,
    상기 폴트가 코드 블록이 변조되어 발생한 폴트가 아닌 경우, 상기 폴트가 발생한 주소에 액세스 하는 것을 특징으로 하는 전자 장치.
  9. ◈청구항 9은(는) 설정등록료 납부시 포기되었습니다.◈
    제8항에 있어서,
    상기 프로세서는,
    상기 폴트가 코드 블록이 변조되어 발생한 폴트이고 상기 제2 영역에 상기 변조된 코드 블록의 원본 코드가 로드되어 있지 않은 경우, 슬레이브 운영 체제를 실행하는 것을 특징으로 하는 전자 장치.
  10. 노멀 월드에서 동작되는 비보안 영역 및 시큐어 월드에서 동작되는 보안 영역을 포함하는 메모리 및 상기 노멀 월드 및 상기 시큐어 월드 중 하나로 선택적으로 동작하는 프로세서를 포함하는 전자 장치의 제어 방법에 있어서,
    상기 시큐어 월드로 동작하는 동안 상기 비보안 영역 중 제1 영역에 로드(load)된 복수의 코드 블록의 무결성을 검사하는 단계; 및
    상기 복수의 코드 블록 중 하나가 변조(compromised)된 경우, 상기 변조된 코드 블록에 대응되는 메모리 영역을 보안 영역으로 변경하고, 상기 변조된 코드 블록의 원본 코드 블록을 상기 비보안 영역 중 제2 영역에 로드하는 단계;를 포함하는 제어 방법.
  11. ◈청구항 11은(는) 설정등록료 납부시 포기되었습니다.◈
    제10항에 있어서,
    상기 노멀 월드로 동작하는 동안 상기 제1 영역에 로드된 상기 복수의 코드 블록에 순차적으로 액세스하는 단계; 및
    상기 복수의 코드 블록에 순차적으로 액세스되는 동안 상기 변조된 코드 블록의 시작 주소에 액세스한 경우, 상기 시큐어 월드로 전환하는 단계;를 더 포함하는 제어 방법.
  12. ◈청구항 12은(는) 설정등록료 납부시 포기되었습니다.◈
    제11항에 있어서,
    상기 시큐어 월드로 동작하는 동안 상기 변조된 코드 블록의 시작 주소를 상기 제2 영역에 로드된 상기 원본 코드 블록의 시작 주소로 변경하고 노멀 월드로 전환하는 단계; 및
    상기 노멀 월드로 동작하는 동안 상기 제2 영역에 로드된 상기 원본 코드 블록의 시작 주소에 액세스하는 단계;를 포함하는 제어 방법.
  13. ◈청구항 13은(는) 설정등록료 납부시 포기되었습니다.◈
    제12항에 있어서,
    상기 노멀 월드로 동작하는 동안 상기 제2 영역에 로드된 변조된 코드 블록의 원본 코드 블록의 마지막 주소를 액세스 한 경우, 상기 시큐어 월드로 전환하는 단계;
    상기 시큐어 월드로 동작하는 동안, 상기 제2 영역에 로드된 원본 코드 블록 다음 코드 블록의 시작 주소를 상기 제1 영역에 로드된 변조된 코드 블록 다음 코드 블록의 시작 주소로 변경하고 상기 노멀 월드로 전환하는 단계; 및
    상기 노멀 월드로 동작하는 동안, 상기 제1 영역의 상기 다음 코드 블록의 시작 주소에 액세스하는 단계;를 더 포함하는 제어 방법.
  14. ◈청구항 14은(는) 설정등록료 납부시 포기되었습니다.◈
    제10항에 있어서,
    상기 무결성을 검사하는 단계는,
    상기 시큐어 월드로 동작하는 동안, 상기 복수의 코드 블록의 해시 정보와 상기 보안 영역의 해시테이블을 비교하여 상기 복수의 코드 블록이 변조되었는지 식별하는 것을 특징으로 하는 제어 방법.

  15. ◈청구항 15은(는) 설정등록료 납부시 포기되었습니다.◈
    제10항에 있어서,
    제2 영역에 로드하는 단계는,
    상기 변조된 코드 블록 및 상기 변조된 코드 블록의 전후 코드 블록의 원본 코드 블록을 제2 영역에 함께 로드하는 것을 특징으로 하는 제어 방법.
  16. ◈청구항 16은(는) 설정등록료 납부시 포기되었습니다.◈
    제11항에 있어서,
    상기 노멀 월드에서 동작하는 동안 폴트(fault)가 발생한 경우, 상기 폴트가 코드 블록이 변조되어 발생한 폴트인지 판단하는 단계;
    상기 폴트가 코드 블록이 변조되어 발생한 폴트이고 상기 제2 영역에 상기 변조된 코드 블록의 원본 코드가 로드되어 있는 경우, 상기 노멀 월드를 시큐어 월드로 전환하는 단계; 및
    상기 시큐어 월드에서 동작하는 동안, 상기 변조된 코드 블록의 시작 주소를 상기 제2 영역에 로드된 상기 원본 코드 블록의 메모리 시작 주소로 변경하는 단계;를 더 포함하는 제어 방법.
  17. ◈청구항 17은(는) 설정등록료 납부시 포기되었습니다.◈
    제 16항에 있어서,
    상기 폴트가 코드 블록이 변조되어 발생한 폴트가 아닌 경우, 상기 폴트가 발생한 주소에 액세스 하는 단계;를 포함하는 제어 방법.
  18. ◈청구항 18은(는) 설정등록료 납부시 포기되었습니다.◈
    제17항에 있어서,
    상기 폴트가 코드 블록이 변조되어 발생한 폴트이고 상기 제2 영역에 상기 변조된 코드 블록의 원본 코드가 로드되어 있지 않은 경우, 슬레이브 운영 체제를 실행하는 단계;를 더 포함하는 제어 방법.
  19. 노멀 월드에서 동작되는 비보안 영역 및 시큐어 월드에서 동작되는 보안 영역을 포함하는 메모리 및 상기 노멀 월드 및 상기 시큐어 월드 중 하나로 선택적으로 동작하는 프로세서를 포함하는 전자 장치의 제어 방법을 실행하는 프로그램을 포함하는 컴퓨터 판독 가능 기록 매체에 있어서,
    상기 전자 장치의 제어 방법은,
    상기 시큐어 월드로 동작하는 동안 상기 비보안 영역 중 제1 영역에 로드(load)된 복수의 코드 블록의 무결성을 검사하는 단계; 및
    상기 복수의 코드 블록 중 하나가 변조(compromised)된 경우, 상기 변조된 코드 블록에 대응되는 메모리 영역을 보안 영역으로 변경하고, 상기 변조된 코드 블록의 원본 코드 블록을 상기 비보안 영역 중 제2 영역에 로드하는 단계;를 포함하는 컴퓨터 판독 가능 기록 매체.
KR1020170121227A 2017-09-20 2017-09-20 전자 장치 및 그의 제어 방법 KR102416501B1 (ko)

Priority Applications (3)

Application Number Priority Date Filing Date Title
KR1020170121227A KR102416501B1 (ko) 2017-09-20 2017-09-20 전자 장치 및 그의 제어 방법
US16/132,754 US10885229B2 (en) 2017-09-20 2018-09-17 Electronic device for code integrity checking and control method thereof
PCT/KR2018/011127 WO2019059671A1 (en) 2017-09-20 2018-09-20 ELECTRONIC DEVICE AND ITS CONTROL METHOD

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170121227A KR102416501B1 (ko) 2017-09-20 2017-09-20 전자 장치 및 그의 제어 방법

Publications (2)

Publication Number Publication Date
KR20190032861A KR20190032861A (ko) 2019-03-28
KR102416501B1 true KR102416501B1 (ko) 2022-07-05

Family

ID=65720224

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170121227A KR102416501B1 (ko) 2017-09-20 2017-09-20 전자 장치 및 그의 제어 방법

Country Status (3)

Country Link
US (1) US10885229B2 (ko)
KR (1) KR102416501B1 (ko)
WO (1) WO2019059671A1 (ko)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2579034B (en) * 2018-11-15 2021-05-05 Trustonic Ltd Software installation method
JP7290166B2 (ja) * 2019-07-22 2023-06-13 日本電気株式会社 セキュリティ管理装置、セキュリティ管理方法、及びプログラム
KR20210026233A (ko) * 2019-08-29 2021-03-10 삼성전자주식회사 디바이스 리소스에 대한 접근을 제어하기 위한 전자 장치 및 그의 동작 방법
US20210200873A1 (en) * 2019-12-31 2021-07-01 Renesas Electronics America Inc. Method and system for continuously verifying integrity of secure instructions during runtime
US11604505B2 (en) * 2020-12-29 2023-03-14 Qualcomm Incorporated Processor security mode based memory operation management
CN117744067A (zh) * 2024-02-21 2024-03-22 北京象帝先计算技术有限公司 访问空间切换方法、装置、处理器、设备及存储介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090307770A1 (en) 2006-08-17 2009-12-10 Peter William Harris Apparatus and method for performing integrity checks on sofware
US20170185781A1 (en) 2015-12-29 2017-06-29 Samsung Electronics Co., Ltd. System-on-chips and electronic devices including same

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6986052B1 (en) 2000-06-30 2006-01-10 Intel Corporation Method and apparatus for secure execution using a secure memory partition
GB0414983D0 (en) 2004-07-03 2004-08-04 Ibm A method for replacing code in a running object oriented program
KR100745640B1 (ko) 2005-08-11 2007-08-02 주식회사 웨어플러스 커널 메모리를 보호하는 방법 및 그 장치
US20120159193A1 (en) 2010-12-18 2012-06-21 Microsoft Corporation Security through opcode randomization
US10496824B2 (en) 2011-06-24 2019-12-03 Microsoft Licensing Technology, LLC Trusted language runtime on a mobile platform
US9609020B2 (en) 2012-01-06 2017-03-28 Optio Labs, Inc. Systems and methods to enforce security policies on the loading, linking, and execution of native code by mobile applications running inside of virtual machines
KR20120039569A (ko) 2012-01-30 2012-04-25 주식회사 안철수연구소 실행 파일을 이용한 악성 코드 차단 장치
US9477834B2 (en) * 2012-02-08 2016-10-25 Arm Limited Maintaining secure data isolated from non-secure access when switching between domains
US9483635B2 (en) * 2012-08-03 2016-11-01 North Carolina State University Methods, systems, and computer readable medium for active monitoring, memory protection and integrity verification of target devices
US10120694B2 (en) * 2013-03-15 2018-11-06 Bitmicro Networks, Inc. Embedded system boot from a storage device
US9292684B2 (en) 2013-09-06 2016-03-22 Michael Guidry Systems and methods for security in computer systems
KR102183852B1 (ko) * 2013-11-22 2020-11-30 삼성전자주식회사 전자 장치의 무결성 검증을 위한 방법, 저장 매체 및 전자 장치
WO2015105486A1 (en) 2014-01-08 2015-07-16 Hewlett-Packard Development Company, L.P. Dynamically applying a software patch to a computer program
KR101638257B1 (ko) 2014-12-11 2016-07-20 단국대학교 산학협력단 애플리케이션의 소스 코드 보호 방법 및 이를 수행하는 장치

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090307770A1 (en) 2006-08-17 2009-12-10 Peter William Harris Apparatus and method for performing integrity checks on sofware
US20170185781A1 (en) 2015-12-29 2017-06-29 Samsung Electronics Co., Ltd. System-on-chips and electronic devices including same

Also Published As

Publication number Publication date
WO2019059671A1 (en) 2019-03-28
KR20190032861A (ko) 2019-03-28
US10885229B2 (en) 2021-01-05
US20190087185A1 (en) 2019-03-21

Similar Documents

Publication Publication Date Title
KR102416501B1 (ko) 전자 장치 및 그의 제어 방법
US10853979B2 (en) Electronic device and method for displaying screen thereof
US10187872B2 (en) Electronic device and method of providing notification by electronic device
EP3171242B1 (en) Electronic device and method for configuring display thereof
KR102391772B1 (ko) 터치 감응 디스플레이를 포함하는 전자 장치 및 이 전자 장치를 동작하는 방법
CN105653084B (zh) 屏幕配置方法、电子设备和存储介质
CN105630326B (zh) 电子设备和控制电子设备中的对象的方法
KR102219861B1 (ko) 화면 공유 방법 및 그 전자 장치
US20160062556A1 (en) Method and apparatus for processing touch input
US20160092022A1 (en) Method for reducing ghost touch and electronic device thereof
KR102176645B1 (ko) 어플리케이션 운용 방법 및 이를 이용한 전자 장치
KR20160070571A (ko) 제어 방법 및 그 방법을 처리하는 전자장치
US10037135B2 (en) Method and electronic device for user interface
KR20170137404A (ko) 어플리케이션을 전환하기 위한 방법 및 그 전자 장치
KR20160046401A (ko) 보안을 제어하기 위한 방법 및 그 전자 장치
KR102211776B1 (ko) 컨텐츠 선택 방법 및 그 전자 장치
KR102416071B1 (ko) 전자장치 및 전자장치의 어플리케이션 실행 방법
KR102618480B1 (ko) 전자 장치 및 그의 운용 제공 방법
KR102553558B1 (ko) 전자 장치 및 전자 장치의 터치 이벤트 처리 방법
KR102544716B1 (ko) 화면 출력 방법 및 이를 지원하는 전자 장치
US20170017373A1 (en) Electronic device and method for controlling the same
US10320786B2 (en) Electronic apparatus and method for controlling the same
KR102526860B1 (ko) 전자 장치 및 전자 장치 제어 방법
KR102589496B1 (ko) 화면 표시 방법 및 이를 지원하는 전자 장치
KR102545907B1 (ko) 콘텐츠 표시 방법 및 이를 수행하는 전자 장치

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant