KR20080079124A - Apparatus and method for controlling access to system resource - Google Patents

Apparatus and method for controlling access to system resource Download PDF

Info

Publication number
KR20080079124A
KR20080079124A KR1020070019226A KR20070019226A KR20080079124A KR 20080079124 A KR20080079124 A KR 20080079124A KR 1020070019226 A KR1020070019226 A KR 1020070019226A KR 20070019226 A KR20070019226 A KR 20070019226A KR 20080079124 A KR20080079124 A KR 20080079124A
Authority
KR
South Korea
Prior art keywords
resource
access
virtual machine
virtual
resources
Prior art date
Application number
KR1020070019226A
Other languages
Korean (ko)
Inventor
정복득
모상덕
이성민
김종태
서상범
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Priority to KR1020070019226A priority Critical patent/KR20080079124A/en
Publication of KR20080079124A publication Critical patent/KR20080079124A/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/468Specific access rights for resources, e.g. using capability register
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/60Information retrieval; Database structures therefor; File system structures therefor of audio data
    • G06F16/68Retrieval characterised by using metadata, e.g. metadata not derived from the content or metadata generated manually
    • G06F16/686Retrieval characterised by using metadata, e.g. metadata not derived from the content or metadata generated manually using information manually generated, e.g. tags, keywords, comments, title or artist information, time, location or usage information, user ratings
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0602Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
    • G06F3/062Securing storage systems
    • G06F3/0622Securing storage systems in relation to access
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/50Allocation of resources, e.g. of the central processing unit [CPU]
    • G06F9/5061Partitioning or combining of resources
    • G06F9/5077Logical partitioning of resources; Management or configuration of virtualized resources

Abstract

An apparatus and a method for controlling access to system resources are provided to improve system stability for system resource access control according to a virtual machine monitor and prevent system resources from being improperly used by malware. An apparatus(100) for controlling access to system resources includes a tag generating module(150), a resource management module(130) and an access control module(140). When a virtual machine requests access to system resources, the tag generating module generates a predetermined tag corresponding to the request. The resource management module manages the generated tag and information on the system resources. The access control module controls access of the virtual machine to the system resources by using the tag and the information.

Description

시스템 자원에 대한 접근 제어 장치 및 방법{Apparatus and method for controlling access to system resource}Apparatus and method for controlling access to system resource

도 1은 본 발명의 일 실시예에 따른 시스템 자원에 대한 접근 제어 장치를 도시한 도면.1 is a diagram illustrating an apparatus for controlling access to system resources according to an embodiment of the present invention.

도 2는 본 발명의 일 실시예에 따른 물리 자원에 대한 접근 요청 및 가상 자원 등록을 도시한 흐름도.2 is a flowchart illustrating an access request and a virtual resource registration for a physical resource according to an embodiment of the present invention.

도 3은 본 발명의 일 실시예에 따른 가상 자원에 대한 접근 요청을 도시한 흐름도.3 is a flowchart illustrating an access request for a virtual resource according to an embodiment of the present invention.

<도면의 주요 부분에 대한 부호의 설명><Explanation of symbols for the main parts of the drawings>

100: 접근 제어 장치 110: 물리 장치100: access control device 110: physical device

120: 가상 기계 모니터 30: 자원 관리 모듈120: virtual machine monitor 30: resource management module

140: 접근 제어 모듈 150: 태그 생성 모듈 140: access control module 150: tag generation module

160a, b, n: 가상 기계 170a, b, n: 가상 자원160a, b, n: virtual machine 170a, b, n: virtual resource

본 발명은 시스템 자원에 대한 접근 제어 장치 및 방법에 관한 것으로, 보다 상세하게는 가상 기계 모니터에서 가상 기계들이 사용하고자 하는 시스템 자원을 파악하여 소정 개수의 기계 장치들이 요청하는 자원만을 이용하도록 하고, 가상 기계들간에 공유되는 시스템 자원을 중요도에 따라 자원을 배분하기 위한 시스템 자원에 대한 접근 제어 장치 및 방법에 관한 것이다.The present invention relates to an apparatus and method for controlling access to system resources, and more particularly, to identify system resources that virtual machines want to use in a virtual machine monitor to use only resources requested by a predetermined number of machine devices, The present invention relates to an apparatus and method for controlling access to system resources for distributing resources according to importance of system resources shared between machines.

가상 기계 구조(Virtual Machine Architecture)는 기계의 기본적인 하드웨어가 시분할되고(time-shared) 하나 또는 그 이상의 독립적으로 동작하는 가상 기계(Virtual Machine)로서 나타나도록 물리적 기계를 논리적으로 구획한다. 각 가상 기계는 그 자체로 완비된 플랫폼(self-contained platform)으로 기능할 수 있으며, 자체의 운영 체제(OS)와 응용(Application) 소프트웨어를 실행한다. 가상 기계에서 실행되는 소프트웨어를 게스트(guest) 소프트웨어라고 한다.Virtual Machine Architecture logically partitions a physical machine such that the underlying hardware of the machine is time-shared and appears as one or more independently operating virtual machines. Each virtual machine can function as a self-contained platform, running its own operating system (OS) and application software. Software running on a virtual machine is called guest software.

게스트 소프트웨어는 이것이 가상 기계에서가 아니라 마치 전용의 컴퓨터에서 실행되는 것처럼 동작하는 것으로 기대된다. 즉, 게스트 컴퓨터는 여러 가지 사건을 제어하고 컴퓨터(예컨대, 물리적 기계) 상의 하드웨어적 자원에 접근하는 것으로 생각된다. 물리적 기계의 하드웨어 자원은 하나 또는 그 이상의 프로세서(CPU), 프로세서상에 존재하는 자원(예컨대, 제어 레지스터, 캐시 등), 메모리 그리고 물리적 기계에 존재하는 기타 자원들(예컨대, 입출력 장치)을 포함할 수 있다.Guest software is expected to behave as if it is running on a dedicated computer, not in a virtual machine. That is, a guest computer is thought to control various events and to access hardware resources on a computer (eg, a physical machine). The hardware resources of a physical machine may include one or more processors (CPUs), resources that reside on the processor (eg, control registers, cache, etc.), memory, and other resources (eg, I / O devices) that reside on the physical machine. Can be.

사건은 인터럽트(interrupt) 처리, 예외(exception) 처리, 플랫폼 사건(예컨대, 초기화(INIT)나 시스템 관리 인터럽트(SMI) 등)을 포함할 수 있다.Events may include interrupt handling, exception handling, platform events (eg, initialization (INIT) or system management interrupt (SMI), etc.).

가상 기계 모니터는 필요에 따라 물리적 기계의 장치, 메모리 및 레지스터의 안팎에서 게스트 소프트웨어 상태를 바꿀 수가 있다. The virtual machine monitor can change the guest software state in and out of the physical machine's devices, memory and registers as needed.

가상 기계 모니터는 기본적인 물리적 기계에의 직접적인 접근을 허용함으로써 가상 기계의 성능을 향상시킬 수가 있다. 이것은 어떤 동작이 게스트 소프트웨어에서, 물리적 기계에의 소프트웨어 접근을 제한하는 비특권 모드(non-privileged mode)에서 수행되고 있는 때에 또는 동작이 가상 기계 모니터가 제어를 계속 유지하기를 원하는 물리적 기계에서 하드웨어 자원을 이용하지 않을 것일 때에 특히 적합하다.Virtual machine monitors can improve virtual machine performance by allowing direct access to underlying physical machines. This means that when an operation is performed in guest software, in a non-privileged mode that restricts software access to the physical machine, or on a physical machine where the operation wants the virtual machine monitor to remain in control. It is particularly suitable when not using.

가상 기계 모니터는 게스트 동작이 가상 기계 장치의 올바른 실행이나 비 실행 가상 기계의 어느 것에도 영향을 미칠 수 있을 때마다 제어를 되찾는다. 통상적으로 가상 기계 장치는 그와 같은 동작들을 검사하여, 동작이 기본적인 물리적 기계로 전이되거나 게스트를 위하여 동작을 에뮬레이트(emulate)하기 전에 어떤 문제가 있는지를 판단한다. 예컨대, 가상 기계 모니터는 게스트가 입출력 장치에 접근할 때, 게스트가 (예컨대, 제어 레지스트 값을 변경함으로써) 장치 구성을 변경하려고 때, 게스트가 메모리의 특정 영역에 접근하려고 할 때와 같이 때에 제어를 되찾아야 할 필요가 있을 수 있다.The virtual machine monitor regains control whenever guest behavior can affect the correct execution of a virtual machine device or any of a non-running virtual machine. Typically, the virtual machine device inspects such operations to determine what is wrong before the operation is transferred to the underlying physical machine or emulates the operation for the guest. For example, a virtual machine monitor may take control when a guest accesses an input / output device, when the guest attempts to change the device configuration (eg, by changing a control register value), or when the guest attempts to access a specific area of memory. You may need to get it back.

한국공개특허 10-2006-0108711 "액티비티 정보를 이용한 가상 머신 관리"는 가상 머신(들)의 액티비티에 관한 정보를 이용한 가상 머신 관리에 관한 것으로, 보다 구체적으로는 가상 머신(들)의 액티비티에 대하여 적어도 부분적으로 기초하여 가상 머신(들) 간에 자원을 재할당하는 것에 관한 것으로 액티비티 모니터는, 가상 머신의 액티비티를 모니터링하고, 가상 기계 모니터 또한 가상 ATLS에 할당되 는 자원을 재할당할 수 있는 자원 관리자를 포함한다.Korean Patent Laid-Open Publication No. 10-2006-0108711 "virtual machine management using activity information" relates to virtual machine management using information on activities of virtual machine (s), and more specifically, to activities of virtual machine (s). Relocating resources between virtual machine (s) based, at least in part, on activity monitors, resource managers that monitor activities of virtual machines, and virtual machine monitors can also reallocate resources allocated to virtual ATLS It includes.

그러나 이와 같은 종래 기술에서는 시스템 자원 중 제한된 자원을 대상으로 가상 기계 모니터를 통해 접근 제어가 이루어진다. 이때의 접근 제어는 물리적 자원에 대한 접근 제어가 이루어 지지 않음으로써, 물리 자원에 대한 제어와 분배가 의도한대로 실행되지 않거나 악의적인 가상 기계로 인해 해당 자원에 대한 정보 노출 위험이 따르는 문제점이 있었다.However, in the related art, access control is performed through a virtual machine monitor targeting a limited resource among system resources. At this time, the access control of the physical resource is not made, there is a problem that the control and distribution of the physical resource is not executed as intended or there is a risk of information disclosure on the resource due to a malicious virtual machine.

또한, 가상 기계 모니터 계층에서 가상 기계가 이용하는 통신 채널이 궁극적으로 어떤 가상 자원에 대한 접근을 의미하는지 구분하지 않는다. 이는 통신 채널 접근 제어가 자원 단위의 접근 제어를 의미하지는 않는다. In addition, it does not distinguish which virtual resource the communication channel used by the virtual machine in the virtual machine monitor layer ultimately means. This does not mean that communication channel access control controls resource access.

본 발명은 상기한 문제점을 해결하기 위해 발명된 것으로서, 시스템 자원에 대한 접근 제어는 가상 자원을 제공하는 가상 기계에서의 접근 제어가 이루어지기 전에 시스템 자원에 대한 접근을 가상 기계 모니터에서 먼저 제어를 함으로써 프로세서의 점유 시간을 절약하고, 가상 기계의 오작동 시 가상 기계에서의 접근 제어가 의도한대로 이루어지지 않는 한계점을 해결하기 위한 것이다.The present invention has been invented to solve the above problems, the access control to the system resources by first controlling the access to the system resources in the virtual machine monitor before the access control is made in the virtual machine providing the virtual resources This is to save the processor occupancy time and to solve the limitation that the access control in the virtual machine does not work as intended when the virtual machine malfunctions.

또한, 가상 기계 모니터에서 소정 개수의 가상 기계들이 이용하고자 하는 다수의 시스템 자원을 파악하여 각 가상 기계가 필요로 하는 시스템 자원만을 사용하도록 하며, 공유되는 자원을 사용하는 가상 기계들의 중요도에 따라 시스템 자원을 배분하여 가상 시스템엔 대한 보안 및 안정성을 지키기 위한 것이다. In addition, the virtual machine monitor identifies a plurality of system resources that a predetermined number of virtual machines want to use, and uses only the system resources required by each virtual machine, and system resources according to the importance of the virtual machines using shared resources. This is to distribute security to ensure the security and stability of the virtual machine.

본 발명의 목적들은 이상에서 언급한 것들로 제한되지 않으며, 언급되지 않 은 또 다른 사항들은 아래의 기재로부터 당 업자에게 명확하게 이해될 수 있을 것이다.The objects of the present invention are not limited to those mentioned above, and other matters not mentioned will be clearly understood by those skilled in the art from the following description.

본 발명의 실시예에 따른 시스템 자원에 대한 접근 제어 장치는 가상 기계로부터 시스템 자원에 대한 접근 요청 시 상기 접근 요청에 상응하는 소정 태그를 생성하는 태그 생성 모듈, 생성된 태그 및 시스템 자원에 대한 이용 정보를 관리하는 자원 관리 모듈 및 태그 및 이용 정보를 이용하여 가상 기계의 시스템 자원에 대한 접근을 제어하는 접근 제어 모듈을 포함한다.An apparatus for controlling access to system resources according to an embodiment of the present invention includes a tag generation module for generating a predetermined tag corresponding to the access request when a request for access to system resources from a virtual machine, generated information about the generated tag, and system resources is used. It includes a resource management module for managing the and access control module for controlling access to the system resources of the virtual machine using the tag and the usage information.

본 발명의 실시예에 따른 시스템 자원에 대한 접근 제어 방법은 가상 기계로부터 시스템 자원에 대한 접근 요청 시 상기 접근 요청에 상응하는 소정 태그를 생성하는 단계, 생성된 태그 및 시스템 자원에 대한 이용 정보를 관리하는 단계 및 태그 및 이용 정보를 이용하여 가상 기계의 시스템 자원에 대한 접근을 제어하는 단계를 포함한다.The method for controlling access to system resources according to an embodiment of the present invention includes generating a predetermined tag corresponding to the access request when a request for access to system resources from a virtual machine, and managing usage information on the generated tags and system resources. And controlling access to system resources of the virtual machine using the tag and the usage information.

기타 실시예들의 구체적인 사항들은 상세한 설명 및 도면들에 포함되어 있다. Specific details of other embodiments are included in the detailed description and the drawings.

본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.Advantages and features of the present invention and methods for achieving them will be apparent with reference to the embodiments described below in detail with the accompanying drawings. However, the present invention is not limited to the embodiments disclosed below, but can be implemented in various different forms, and only the embodiments make the disclosure of the present invention complete, and the general knowledge in the art to which the present invention belongs. It is provided to fully inform the person having the scope of the invention, which is defined only by the scope of the claims. Like reference numerals refer to like elements throughout.

도 1은 본 발명의 일 실시예에 따른 시스템 자원에 대한 접근 제어 장치를 도시한 도면이다.1 illustrates an apparatus for controlling access to system resources according to an embodiment of the present invention.

본 발명의 일 실시예에 따른 시스템 자원에 대한 접근 제어 장치(100)는 외부의 침입으로부터 시스템 자원에 대한 포괄적인 접근 제어를 수행하는 곳으로, 시스템 자원에 대한 접근 제어를 바탕으로 가상 시스템의 보안을 수행한다.Apparatus 100 for accessing system resources according to an embodiment of the present invention is a place for performing comprehensive access control on system resources from external intrusion, security of a virtual system based on access control to system resources Do this.

도시된 바와 같이, 본 발명의 일 실시예에 따른 시스템 자원에 대한 접근 제어 장치(100)는 물리 장치(110), 가상 기계 모니터(120) 및 가상 기계 모니터(120)로부터 가상화 된 소정 개수의 가상 기계(160a, b, n)를 포함할 수 있다.As shown, the apparatus 100 for access control to system resources according to an embodiment of the present invention includes a predetermined number of virtualized virtual devices from the physical device 110, the virtual machine monitor 120, and the virtual machine monitor 120. Machine 160a, b, n.

먼저, 물리 장치(110)는 프로세서, 메모리, 입출력 장치 및 네트워크 카드와 같은 통상적인 하드웨어적 자원을 포함하며, 이들을 물리 자원이라고 한다.First, the physical device 110 includes conventional hardware resources such as processors, memory, input / output devices, and network cards, which are referred to as physical resources.

물리적 자원은 하나 또는 그 이상의 프로세서와 해당 프로세서상에 존재하는 자원, 예를 들어, 제어 레지스터, 캐시를 더 포함할 수 있다. 이들 물리 자원에 대한 사건(Event)은 인터럽트(interrupt) 처리, 예외(exception) 처리, 플랫폼 사건(예를 들어, 초기화(INIT)나 시스템 관리 인터럽트(System Management Interrupt, SMI)를 포함할 수 있다.The physical resource may further include one or more processors and resources residing on the processor, for example, a control register, a cache. Events for these physical resources may include interrupt processing, exception processing, platform events (eg, INIT or System Management Interrupt (SMI)).

프로세서 및 메모리는 가상화된 프로세서 및 가상화된 메모리 형태로 배타적 공유 자원(Exclusive Shared Resource)으로 가상 기계 모니터(120)로부터 가상 기계(160a, b, n)로 제공되며, 이러한 자원의 할당 또한 접근 제어 대상인 시스템 자 원에 포함될 수 있다.Processors and memory are provided from virtual machine monitor 120 to virtual machines 160a, b, n as Exclusive Shared Resources in the form of virtualized processors and virtualized memory, and allocation of these resources is also subject to access control. It can be included in system resources.

가상 기계 모니터(120)는 시스템 자원에 대한 접근 제어를 수행하는 곳으로 자원 관리 모듈(130), 접근 제어 모듈(140) 및 태그 생성 모듈(150)을 포함할 수 있다.The virtual machine monitor 120 may include a resource management module 130, an access control module 140, and a tag generation module 150 as a place for performing access control on system resources.

여기에서, 시스템 자원은 앞서 언급한 물리 자원 및 가상 자원 1, 2, n(170a, 170b, 170n)을 포함한다. 가상 자원 1, 2, n(170a, 170b, 170n)은 다수의 가상 기계(160a, b, n) 중 어느 하나의 가상 기계가 물리 자원에 대한 접근이 허용된 경우 해당 가상 기계가 자원 공유를 위해 가상 자원 1, 2, n(170a, 170b, 170n)으로 등록 함으로써 물리 자원이 가상화 된 자원을 의미한다.Here, the system resources include the aforementioned physical resources and virtual resources 1, 2, n (170a, 170b, 170n). Virtual resources 1, 2, and n (170a, 170b, 170n) are used to share resources when a virtual machine of any of a plurality of virtual machines (160a, b, n) is allowed to access a physical resource. By registering as the virtual resources 1, 2, n (170a, 170b, 170n) means a resource virtualized physical resources.

가상 기계 모니터(120)에 포함되는 자원 관리 모듈(130)은 시스템 자원에 대한 이용 정보를 기록하고, 기록된 이용 정보를 바탕으로 시스템 자원을 관리하는 모듈이다.The resource management module 130 included in the virtual machine monitor 120 is a module that records usage information on system resources and manages system resources based on the recorded usage information.

해당 모듈에 기록되는 시스템 자원에 대한 이용 정보들은 시스템 자원 중 물리 자원의 종류 및 물리 자원을 가상 자원 1, 2, n(170a, 170b, 170n)으로 제공하는 가상 기계의 정보, 가상 자원 1, 2, n(170a, 170b, 170n)을 통하여 물리 자원을 이용중인 가상 기계 1, 2, n(160a, 160b, 160n)의 정보를 포함할 수 있으며, 시스템 자원 중 접근 요청된 물리 자원의 종류 및 물리 자원에 대한 가상 자원 1, 2, n(170a, 170b, 170n)의 등록 여부가 포함될 수 있다.The usage information on the system resources recorded in the module includes information on the types of physical resources among the system resources and the virtual machines that provide the physical resources to the virtual resources 1, 2, and n (170a, 170b, 170n), and virtual resources 1, 2 It may include information of the virtual machines 1, 2, n (160a, 160b, 160n) using the physical resources through, n (170a, 170b, 170n), the type and physical of the physical resources requested to access the system resources It may include whether to register the virtual resources 1, 2, n (170a, 170b, 170n) for the resource.

즉, 시스템 자원에 대한 이용 정보들은 시스템 자원의 이용 현황 및 시스템 자원의 상태 정보가 포함될 수 있는 것이다. That is, the usage information on the system resource may include the usage status of the system resource and the state information of the system resource.

접근 제어 모듈(140)은 자원 관리 모듈(130)의 시스템 자원 이용 정보와 시스템 자원 접근 정책을 바탕으로 가상 기계(160a, b n)로부터 시스템 자원에 대한 접근 요청 시 가상 기계(160a, b, n)의 접근을 제어하는 모듈이다. 시스템 자원 접근 정책은 통상적인 접근 제어 모델(Data Type & Enforcement, Chinese wall, Role Based Access control 등)을 바탕으로 사용자에 의해 설정되는 정책이다. 즉, 시스템 자원 접근 정책은 접근 제어 모듈(140)에 기록되는 것이다.The access control module 140 requests the access to system resources from the virtual machines 160a and bn based on the system resource usage information and the system resource access policy of the resource management module 130. Module to control access. The system resource access policy is a policy set by a user based on normal access control models (Data Type & Enforcement, Chinese wall, Role Based Access control, etc.). That is, the system resource access policy is recorded in the access control module 140.

태그 생성 모듈(150)은 가상 기계로부터 시스템 자원에 대한 접근 요청 시 상기 접근 요청에 상응하는 소정 태그를 생성하는 모듈이다. The tag generation module 150 generates a predetermined tag corresponding to the access request when requesting access to system resources from the virtual machine.

태그 생성 모듈(150)에서 생성되는 소정 태그는 가상 기계간 통신 채널을 이용하려는 목적을 나타내는 통신 채널 태그와 가상 기계가 이용하고자 하는 물리 자원에 대한 장치 태그로 구분될 수 있다.The predetermined tag generated by the tag generation module 150 may be divided into a communication channel tag indicating a purpose of using a communication channel between virtual machines and a device tag for a physical resource that the virtual machine intends to use.

여기에서, 통신 채널 태그는 다수의 가상 기계 중 적어도 두 개의 가상 기계(160a, b)간에 가상 자원 1, 2, n(170a, 170b, 170n) 공유를 위한 통신 채널 이용 시 가상 기계간의 통신 채널 이용 목적을 파악하기 위한 소정 방식의 태그이다. 이러한 통신 채널 태그는 임의의 가상 기계(160a)가 통신을 하고자 하는 가상 기계(160b)를 명시하는 것이 아니라, 가상 기계(160b)가 제공하는 가상 자원(170b)에 대한 정보를 의미하는 것이다. Herein, the communication channel tag uses a communication channel between virtual machines when using a communication channel for sharing virtual resources 1, 2, n (170a, 170b, 170n) between at least two virtual machines 160a and b among a plurality of virtual machines. It is a tag of a predetermined method for grasping the purpose. The communication channel tag does not specify the virtual machine 160b with which the virtual machine 160a wishes to communicate, but refers to information about the virtual resource 170b provided by the virtual machine 160b.

즉, 자원 관리 모듈(130)은 가상 기계(160a, 160b)간에 생성된 통신 채널 태그를 바탕으로 가상 자원(170b)를 포함하는 가상 기계(160b)를 찾고, 접근 제어 모듈(140)은 가상 기계(160b)에 대한 접근 허용 여부를 결정하여 가상 기계(160a)와 의 통신 채널 연결을 결정함으로써, 가상 자원(170b)을 제공하는 가상 기계(160b)에 대한 익명성을 보장하게 된다.That is, the resource management module 130 finds the virtual machine 160b including the virtual resource 170b based on the communication channel tag generated between the virtual machines 160a and 160b, and the access control module 140 searches for the virtual machine. By determining whether to allow access to 160b to determine a communication channel connection with the virtual machine 160a, anonymity for the virtual machine 160b providing the virtual resource 170b is guaranteed.

장치 태그는 물리 자원(예를 들어, 입출력 장치)에 대해 가상 기계(160a, b, n)로부터 인터럽트 처리기(Handler) 등록 요청, 입출력 공간 접근 요청 및 DMA(Direct Memory Access) 사용 요청 중 어느 하나에 대한 요청 또는 이들을 제외한 물리 자원에 대한 사용 요청이 발생하는 경우 가상 기계 모니터(120)에서 이러한 요청들이 어떤 입출력 장치에 대한 접근인지를 판단하기 위해 생성되는 태그이다.The device tag may be assigned to any one of an interrupt handler (Handler) registration request, an input / output space access request, and a direct memory access (DMA) use request from the virtual machines 160a, b, and n for a physical resource (for example, an input / output device). When a request for or a request for using a physical resource other than these occurs, the virtual machine monitor 120 is a tag generated to determine which input / output device these requests are accessed.

이러한 태그들은 가상 기계(160a, b, n)의 시스템 자원에 대한 접근 요청이 있을 때마다 새롭게 생성되어 자원 관리 모듈(130)에 기록되며, 가상 기계(160a, b, n)로부터 해당 자원들의 사용이 완료되면, 사용된 시스템 자원들은 자원 관리 모듈(130)에서 삭제되는 것으로 가상 기계의 정보, 시스템 자원 중 접근 요청된 물리 자원의 종류 및 물리 자원에 대한 가상 자원 1, 2, n(170a, 170b, 170n)의 등록 여부를 포함할 수 있다.These tags are newly generated and recorded in the resource management module 130 whenever there is a request for access to system resources of the virtual machines 160a, b and n, and the use of the resources from the virtual machines 160a, b and n. When this is completed, the used system resources are deleted from the resource management module 130 and the virtual machine information, types of physical resources requested for access among the system resources, and virtual resources 1, 2, n for the physical resources (170a, 170b). , 170n) may be registered.

도 2는 본 발명의 일 실시예에 따른 물리 자원에 대한 접근 제어 및 가상 자원 등록 흐름도이다.2 is a flowchart illustrating access control and virtual resource registration for a physical resource according to an embodiment of the present invention.

본 발명의 일 실시예에 따른 물리 자원에 대한 접근 제어 및 가상 자원 1, 2, n(170a, 170b, 170n) 등록은 소정 개수의 가상 기계(160a, b, n)로부터 물리 자원으로의 접근 요청에 대한 접근 허용을 통해 가상 기계에 가상 자원 1, 2, n(170a, 170b, 170n)로 등록되는 것을 도시한 것이다.The access control and the virtual resource 1, 2, n (170a, 170b, 170n) registration for the physical resource according to an embodiment of the present invention request access to the physical resource from a predetermined number of virtual machines (160a, b, n) It shows that the virtual resources 1, 2, n (170a, 170b, 170n) is registered in the virtual machine through the permission to access.

본 발명의 실시예에 따른 물리 자원은 물리 장치(110)에 포함되는 하드웨어적 자원을 의미하고, 가상 자원 1, 2, n(170a, 170b, 170n)은 물리 자원이 가상화된 자원을 의미하며, 이 두 자원들은 시스템 자원에 속한다.The physical resource according to the embodiment of the present invention refers to the hardware resources included in the physical device 110, the virtual resources 1, 2, n (170a, 170b, 170n) means a resource virtualized resources, These two resources belong to system resources.

먼저, 가상 기계 모니터(120)는 다수의 가상 기계(160a, b, n) 중 어느 하나의 가상 기계로부터 물리 자원에 대한 접근 요청이 있는지를 판단한다(S200).First, the virtual machine monitor 120 determines whether there is a request for access to a physical resource from any one of the plurality of virtual machines 160a, b, and n (S200).

본 발명의 일 실시예에 따른 물리 자원이 입출력 장치인 경우 해당 장치에 접근을 요청한 임의의 가상 기계는 자신의 입출력 장치 드라이버를 이용하여 입출력 장치로 접근을 해야 하는데, 물리 자원에 대한 접근 요청 단계(S200)에서 인터럽트 처리기의 등록 요청, 입출력 공간에 대한 접근 요청, 경우에 따라 DMA 요청 및 이외의 입출력 장치 사용을 위한 시스템 자원 사용 요청이 있을 수 있다. 즉, 물리 자원에 대한 접근 요청 단계(S200)는 이들에 대한 요청이 있는지를 판단하는 것이다.When the physical resource according to an embodiment of the present invention is an input / output device, any virtual machine requesting access to the corresponding device should access the input / output device using its own input / output device driver. In S200, there may be a request for registering an interrupt handler, an access request for an input / output space, a DMA request, and a system resource use request for using an input / output device other than the case. That is, the access request step (S200) for the physical resource is to determine whether there is a request for them.

이와 같은 접근 요청이 판단되면(S200), 가상 기계로부터 접근이 요청된 물리 자원이 어떤 자원인지를 판단한다(S210).When such an access request is determined (S200), it is determined what resource the physical resource requested for access from the virtual machine is (S210).

요청된 자원이 무엇이지 판단되면(S210), 태그 생성 모듈(150)에서 가상 기계가 요청한 자원에 상응하는 장치 태그를 생성한다(S220).If it is determined what is the requested resource (S210), the tag generation module 150 generates a device tag corresponding to the resource requested by the virtual machine (S220).

장치 태그는 전술한 도 1에서 상세한 설명을 하였으므로 여기에서는 상세한 설명을 생략하기로 한다.Since the device tag has been described in detail with reference to FIG. 1, the detailed description thereof will be omitted.

태그 생성 모듈(150)에서 장치 태그가 생성되면(S220), 접근 제어 모듈(140)에서는 시스템 자원의 이용 정보, 시스템 자원 접근 정책 및 장치 태그를 바탕으로 입출력 장치에 접근을 요청한 가상 기계가 해당 장치에 접근 가능한지를 판단한다(S230).When the device tag is generated in the tag generation module 150 (S220), in the access control module 140, the virtual machine that requests access to the input / output device based on the usage information of the system resource, the system resource access policy, and the device tag is the corresponding device. It is determined whether the access to (S230).

물리 자원에 대한 접근 요청 시 본 발명의 실시예에 따른 접근 제어는 물리 자원에 대한 접근 요청 발생 시 장치 태그를 생성하여 해당 태그, 시스템 자원 접근 정책 및 요청 내용을 바탕으로 접근을 허용하거나 거부하는 것이다.When requesting access to a physical resource, access control according to an embodiment of the present invention generates a device tag when a request for access to a physical resource is generated and permits or denies access based on a corresponding tag, a system resource access policy, and the request content. .

가상 기계의 입출력 장치에 대한 접근이 허용되면, 접근을 요청한 가상 기계의 최초 접근 여부를 판단한다(S240). 최초 접근 여부를 판단하는 것은 자원 관리 모듈(130)에 기 저장된 가상 기계 정보를 바탕으로 접근 제어 모듈(140)에서 이루어 지며, 가상 기계 정보 및 시스템 자원 이용 현황을 기록하기 위한 것이다.If access to the input / output device of the virtual machine is allowed, it is determined whether the virtual machine requesting the first access (S240). The first access is determined by the access control module 140 based on the virtual machine information previously stored in the resource management module 130 and records the virtual machine information and the system resource usage status.

즉, 입출력 장치(물리 자원)에 대한 접근을 요청 한 가상 기계가 최초 접근인 경우 접근이 요청된 물리 자원의 이용 현황 및 가상 기계 정보를 자원 관리 모듈(130)에 기록한다(S250). That is, when the virtual machine requesting the access to the input / output device (physical resource) is the first access, the resource management module 130 records the usage status of the requested physical resource and the virtual machine information (S250).

물리 자원에 대한 접근 요청 단계(S200)부터 물리 자원에 대한 이용 현황 기록 단계(S250)는 물리 자원에 대한 가상 기계의 접근 제어를 도시한 것이며, 이 후의 단계들은 접근이 허용된 물리 자원을 가상 기계 1, 2, n(160a, 160b, 160n)들이 공유 하기 위한 가상 자원 1, 2, n(170a, 170b, 170n) 등록과정에서의 접근 제어를 도시한 것이다.From the request for access to the physical resource step (S200) to the usage status recording step for the physical resource (S250) shows the access control of the virtual machine to the physical resource, the subsequent steps are the virtual machine is allowed access to the physical resource 1, 2, n (160a, 160b, 160n) shows the access control in the process of registering virtual resources 1, 2, n (170a, 170b, 170n) for sharing.

먼저, 물리 자원에 대한 가상 자원으로의 등록 요청이 있는지를 판단한다(S260).First, it is determined whether there is a request to register a virtual resource for a physical resource (S260).

가상 자원으로의 등록이 요청되면, 물리 자원이 공유 가능한지를 판단한 다(S270).When registration to the virtual resource is requested, it is determined whether the physical resource can be shared (S270).

이때, 물리 자원의 공유 가능 여부를 판단하기 위해서는 임의의 물리 자원에 대해 가상 자원 등록을 요청한 가상 기계 1, 2, n(160a, 160b, 160n)가 물리 자원에 대한 접근이 가능해야 하며, 시스템 자원 접근 정책을 만족해야 한다.In this case, in order to determine whether the physical resources can be shared, the virtual machines 1, 2, and n (160a, 160b, 160n) that have requested virtual resource registration for any physical resource should have access to the physical resources, and system resources. The access policy must be satisfied.

시스템 자원 접근 정책을 만족해야 한다는 것은 임의의 물리자원에 대해 다수의 가상 기계(160a, 160b, 160n) 중에 하나의 가상 기계만 독점적으로 접근되는지, 아니면 공유할 수 있는지를 판단하는 것이 될 수도 있고, 가상 기계1, 2, n(160a, b, n) 측면에서는 요청한 자원을 접근할 수 있는 보안 레벨(level)이나 특권을 가지고 있는지 등에 대해 판단하는 것이다.Satisfying the system resource access policy may be to determine whether only one virtual machine among the plurality of virtual machines 160a, 160b, 160n is exclusively accessed or shared with any physical resource. In the virtual machine 1, 2, n (160a, b, n) aspect is to determine whether you have a security level or privilege to access the requested resource.

시스템 자원 접근 정책에 대한 만족 여부는 접근 제어 모듈(140)에서 이루어진다.Satisfaction with the system resource access policy is performed by the access control module 140.

다시 말해서, 물리 자원에 대한 접근이 가능한 가상 기계 1, 2, n(160a, 160b, 160n) 중 시스템 자원 접근 정책을 만족하는 임의의 가상 기계 1(160a)가 있을 경우 가상 자원 등록이 요청된 물리 자원을 가상 자원 1(170a)으로 등록한다(S280). 이때, 등록되는 가상 자원 1(170a)은 물리 자원의 가상 자원 등록을 요청한 가상 기계 1(160a)의 가상 자원 1(170a)이 되는 것이며, 등록된 가상 자원 1(170a)을 다른 가상 기계 2, n(160b, 160n)들과 공유하게 된다.In other words, if there is any virtual machine 1 (160a) that satisfies the system resource access policy among the virtual machines 1, 2, n (160a, 160b, 160n) that can access the physical resource, the physical resource for which virtual resource registration is requested. The resource is registered as the virtual resource 1 170a (S280). At this time, the registered virtual resource 1 (170a) is to be a virtual resource 1 (170a) of the virtual machine 1 (160a) requesting a virtual resource registration of the physical resource, the virtual resource 1 (170a) registered to another virtual machine 2, It is shared with n (160b, 160n).

도 3은 본 발명의 일 실시예에 따른 가상 자원에 대한 접근 제어 흐름도이다.3 is a flowchart illustrating access control for a virtual resource according to an embodiment of the present invention.

본 발명의 일 실시예에 따른 가상 자원 1, 2, n(170a, 170b, 170n)에 대한 접근 제어는 전술한 도 2의 물리 자원에 대한 접근 제어 및 가상 자원 등록에 따라 등록된 가상 자원 1, 2, n(170a, 170b, 170n)을 다수의 가상 기계 1, 2, n(160a, 160b, 160n)들간에 통신 채널을 이용함으로써 접근 제어가 이루어진다.Access control for the virtual resources 1, 2, n (170a, 170b, 170n) according to an embodiment of the present invention is registered in accordance with the access control and virtual resource registration for the physical resource of FIG. Access control is achieved by using 2, n (170a, 170b, 170n) with a communication channel between a plurality of virtual machines 1, 2, n (160a, 160b, 160n).

가상 자원 1, 2, n(170a, 170b, 170n)에 대한 접근 제어는 가상 자원 1, 2, n(170a, 170b, 170n) 중 어느 하나의 가상 자원에 접근을 하고자 하는 가상 기계 1, 2, n(160a, 160b, 160n) 중 어느 하나의 가상 기계의 접근 요청 시 해당 요청에 상응하는 통신 채널을 제공하는 가상 기계 모니터(120)가 가상 기계에 제공되는 통신 채널을 제어함으로써 이루어진다.The access control for the virtual resources 1, 2, n (170a, 170b, 170n) is the virtual machine 1, 2, which wants to access the virtual resource of any one of the virtual resources 1, 2, n (170a, 170b, 170n). When the virtual machine monitor 120 provides a communication channel corresponding to the request when the virtual machine access request of any one of the n (160a, 160b, 160n) is made by controlling the communication channel provided to the virtual machine.

먼저, 임의의 가상 기계(160a)로부터 가상 기계(160b)가 포함하는 가상 자원(170b)에 대한 접근을 가상 기계 모니터(120)에게 요청한다(S300).First, the virtual machine monitor 120 requests the virtual machine monitor 120 to access the virtual resource 170b included in the virtual machine 160b from any virtual machine 160a (S300).

가상 자원(170b)에 대한 접근 요청은 앞서 언급했듯이 가상 기계(160a)가 가상 자원(170b)에 접근 할 수 있도록 가상 기계 모니터(120)에 통신 채널을 생성을 요청하는 것이다.As described above, the request for access to the virtual resource 170b requests the virtual machine monitor 120 to create a communication channel so that the virtual machine 160a can access the virtual resource 170b.

가상 자원(170b) 접근을 위한 통신 채널이 생성되면, 태그 생성 모듈(150)에서 통신 채널 태그를 생성한다(S310).When a communication channel for accessing the virtual resource 170b is generated, the tag generation module 150 generates a communication channel tag (S310).

이때, 생성된 통신 채널 태그는 가상 기계(160a)이 접근을 요청한 가상 자원(170b)에 상응하는 태그이다.In this case, the generated communication channel tag is a tag corresponding to the virtual resource 170b that the virtual machine 160a requests to access.

통신 채널에 가상 자원(170b)에 상응하는 태그가 생성되면, 자원 관리 모듈(130)이 시스템 자원 이용 정보 및 시스템 자원 접근 정책을 바탕으로 가상 자원(170b)를 포함하는 가상 기계(160b)를 검색한다(S320).When a tag corresponding to the virtual resource 170b is generated in the communication channel, the resource management module 130 searches for the virtual machine 160b including the virtual resource 170b based on the system resource usage information and the system resource access policy. (S320).

가상 기계(160b) 검색을 위한 시스템 자원 이용 정보는 전술한 도 1에서 상술하였으므로 여기에서는 상세한 설명을 생략하기로 한다. Since the system resource usage information for searching for the virtual machine 160b has been described above with reference to FIG. 1, a detailed description thereof will be omitted.

가상 자원(170b)를 포함하는 가상 기계(160b) 검색이 완료되면, 가상 기계(160b)의 존재 여부를 판단한다(S330). 이 단계(S330) 역시 시스템 자원 이용 정보 및 시스템 자원 접근 정책을 바탕으로 가상 기계(160b) 존재 여부를 판단한다. 여기에서, 가상 기계(160b)가 존재하지 않을 경우 접근 제어 모듈(140)은 통신 채널 생성 요청을 거부되고, 가상 기계(160b)가 존재할 경우는 요청된 통신 채널을 바탕으로 가상 자원(170b)으로의 접근 요청에 대한 처리를 진행한다.When the search for the virtual machine 160b including the virtual resource 170b is completed, it is determined whether the virtual machine 160b exists (S330). This step S330 also determines whether the virtual machine 160b exists based on the system resource usage information and the system resource access policy. Herein, when the virtual machine 160b does not exist, the access control module 140 rejects the communication channel creation request, and when the virtual machine 160b exists, the access control module 140 returns to the virtual resource 170b based on the requested communication channel. Proceed with processing the access request.

가상 기계(160b)가 존재하면(가상 자원(170b)로의 접근이 허용되면), 접근 제어 모듈(140)은 자원 관리 모듈(130)에게 가상 자원(170b)의 상태 정보를 요청한다(S340).If the virtual machine 160b exists (when access to the virtual resource 170b is allowed), the access control module 140 requests the resource management module 130 for status information of the virtual resource 170b (S340).

가상 자원(170b)의 상태 정보는 앞서 언급한 시스템 자원 이용 정보에 포함되는 것으로 해당 자원의 이용 현황 및 해당 가상 자원을 포함하는 가상 기계에 대한 정보가 될 수 있다.The state information of the virtual resource 170b is included in the above-described system resource usage information, and may be information about a usage state of the corresponding resource and a virtual machine including the corresponding virtual resource.

접근 제어 모듈(140)은 시스템 자원 이용 정보와 시스템 자원 접근 정책을 바탕으로 가상 자원(170b)의 상태 정보를 요청한 가상 기계(160a)가 해당 자원으로 접근 가능한지를 판단한다(S350). 이때의 시스템 자원 접근 정책은 가상 자원(170b)에 대한 동시 접근에 상응하는 정책이 될 수 있다.The access control module 140 determines whether the virtual machine 160a that has requested the state information of the virtual resource 170b is accessible to the corresponding resource based on the system resource usage information and the system resource access policy (S350). In this case, the system resource access policy may be a policy corresponding to simultaneous access to the virtual resource 170b.

접근 가능 여부 판단 결과에 따라 가상 자원(170b) 접근을 위해 요청된 통신 채널의 생성이 허용된다(S360). 통신 채널 생성의 허용으로 자원 관리 모듈(130)은 가상 자원(170b)을 이용하고자 하는 가상 기계(160a) 정보를 기록한다.The generation of the communication channel requested for access to the virtual resource 170b is allowed according to the determination result of the accessibility (S360). With the permission of the communication channel creation, the resource management module 130 records the virtual machine 160a information for using the virtual resource 170b.

즉, 본 발명의 일 실시예에 따른 가상 자원 공유를 위한 접근 제어는 자원 공유를 위해 요청되는 통신 채널 생성 결정을 가상 자원에 대한 접근 이전에 결정 함으로써, 자원 접근이 허용되지 않은 경우 프로세서 점유 시간을 절약할 수 있다.That is, the access control for virtual resource sharing according to an embodiment of the present invention determines the communication channel creation decision requested for resource sharing before the access to the virtual resource, thereby reducing the processor occupancy time when the resource access is not allowed. You can save.

본 발명이 속하는 기술분야의 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다. 본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구의 범위에 의하여 나타내어지며, 특허청구의 범위의 의미 및 범위 그리고 그 균등 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.Those skilled in the art will appreciate that the present invention can be embodied in other specific forms without changing the technical spirit or essential features of the present invention. Therefore, it should be understood that the embodiments described above are exemplary in all respects and not restrictive. The scope of the present invention is indicated by the scope of the following claims rather than the detailed description, and all changes or modifications derived from the meaning and scope of the claims and the equivalent concept are included in the scope of the present invention. Should be interpreted.

상기한 바와 같은 시스템 자원에 대한 접근 제어 장치 및 방법에 따르면 본 발명의 효과는 신뢰할 수 있고 안정성이 있는 가상 기계 모니터에 의해 시스템 자원의 접근 제어에 대해 시스템의 안정성을 높이고 악성 소프트웨어(Malware)에 의해 시스템 자원이 남용되는 것을 방지 할 수 있다는 장점이 있다.According to the apparatus and method for controlling access to system resources as described above, the effect of the present invention is to increase the stability of the system with respect to access control of system resources by a reliable and stable virtual machine monitor and by malware. The advantage is that system resources can be prevented from being abused.

또한, 가상 기계가 사용하려는 시스템 자원에 대해 정확히 파악하여 각 가상 기계가 요청하는 자원만 사용하도록 하고, 공유되는 가상 자원을 사용하는 가상 기계들의 중요도에 따라 가상 자원을 배분할 수 있다는 장점도 있다.In addition, it is possible to accurately understand the system resources to be used by the virtual machine to use only the resources requested by each virtual machine, and to allocate the virtual resources according to the importance of the virtual machines using the shared virtual resource.

뿐만 아니라, 가상 기계 모니터에서의 접근 제어가 가상 기계의 접근 요청 단계에서부터 이루어짐으로써, 가상 기계의 시스템 자원으로의 접근이 허용되지 않는 경우 CPU 점유 시간을 단축할 수 있다는 장점도 있다.In addition, since the access control in the virtual machine monitor is performed from the access request step of the virtual machine, the CPU occupancy time can be shortened when access to the system resources of the virtual machine is not allowed.

Claims (5)

가상 기계로부터 시스템 자원에 대한 접근 요청 시 상기 접근 요청에 상응하는 소정 태그를 생성하는 태그 생성 모듈;A tag generation module for generating a predetermined tag corresponding to the access request when requesting access to system resources from a virtual machine; 상기 생성된 태그 및 상기 시스템 자원에 대한 이용 정보를 관리하는 자원 관리 모듈; 및A resource management module for managing usage information on the generated tag and the system resource; And 상기 태그 및 상기 이용 정보를 이용하여 상기 가상 기계의 상기 시스템 자원에 대한 접근을 제어하는 접근 제어 모듈을 포함하는 시스템 자원에 대한 접근 제어 장치.And an access control module for controlling access to the system resources of the virtual machine by using the tag and the usage information. 제 1항에 있어서,The method of claim 1, 상기 태그는,The tag is, 상기 가상 기계의 정보, 상기 시스템 자원 중 접근 요청된 물리 자원의 종류 및 상기 물리 자원에 대한 가상 자원의 등록 여부를 포함하는 시스템 자원에 대한 접근 제어 장치.Apparatus for controlling access to system resources, including the information of the virtual machine, the type of physical resources requested for access among the system resources, and whether the virtual resources are registered with the physical resources. 제 1항에 있어서,The method of claim 1, 상기 이용 정보는,The usage information, 상기 시스템 자원 중 물리 자원의 종류 및 상기 물리 자원을 가상 자원으로 제공하는 가상 기계의 정보; 및A type of a physical resource among the system resources and information of a virtual machine providing the physical resource as a virtual resource; And 상기 가상 자원을 통하여 상기 물리 자원을 이용중인 가상 기계의 정보를 포함하는 시스템 자원에 대한 접근 제어 장치.Access control device for a system resource including the information of the virtual machine using the physical resource through the virtual resource. 가상 기계로부터 시스템 자원에 대한 접근 요청 시 상기 접근 요청에 상응하는 소정 태그를 생성하는 단계;Generating a predetermined tag corresponding to the access request when requesting access to system resources from a virtual machine; 상기 생성된 태그 및 상기 시스템 자원에 대한 이용 정보를 관리하는 단계; 및Managing usage information on the generated tag and the system resource; And 상기 태그 및 상기 이용 정보를 이용하여 상기 가상 기계의 상기 시스템 자원에 대한 접근을 제어하는 단계를 포함하는 시스템 자원에 대한 접근 제어 방법.And controlling access to the system resource of the virtual machine using the tag and the usage information. 제 4항에 있어서,The method of claim 4, wherein 상기 태그는,The tag is, 상기 가상 기계의 정보, 상기 시스템 자원 중 접근 요청된 물리 자원의 종류 및 상기 물리 자원에 대한 가상 자원의 등록 여부를 포함하는 시스템 자원에 대한 접근 제어 방법.And information on the virtual machine, a type of a physical resource requested for access among the system resources, and whether a virtual resource is registered with the physical resource.
KR1020070019226A 2007-02-26 2007-02-26 Apparatus and method for controlling access to system resource KR20080079124A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020070019226A KR20080079124A (en) 2007-02-26 2007-02-26 Apparatus and method for controlling access to system resource

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070019226A KR20080079124A (en) 2007-02-26 2007-02-26 Apparatus and method for controlling access to system resource

Publications (1)

Publication Number Publication Date
KR20080079124A true KR20080079124A (en) 2008-08-29

Family

ID=39880913

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070019226A KR20080079124A (en) 2007-02-26 2007-02-26 Apparatus and method for controlling access to system resource

Country Status (1)

Country Link
KR (1) KR20080079124A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8464253B2 (en) 2008-12-03 2013-06-11 Samsung Electronics Co., Ltd. Apparatus and method for providing services using a virtual operating system
US8799895B2 (en) 2008-12-22 2014-08-05 Electronics And Telecommunications Research Institute Virtualization-based resource management apparatus and method and computing system for virtualization-based resource management

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8464253B2 (en) 2008-12-03 2013-06-11 Samsung Electronics Co., Ltd. Apparatus and method for providing services using a virtual operating system
US9459899B2 (en) 2008-12-03 2016-10-04 Samsung Electronics Co., Ltd. Apparatus and method for providing services using a virtual operating system
US8799895B2 (en) 2008-12-22 2014-08-05 Electronics And Telecommunications Research Institute Virtualization-based resource management apparatus and method and computing system for virtualization-based resource management

Similar Documents

Publication Publication Date Title
US9898601B2 (en) Allocation of shared system resources
Modica et al. Supporting temporal and spatial isolation in a hypervisor for arm multicore platforms
US7886098B2 (en) Memory access security management
US10802729B2 (en) Apparatus and method for sharing pages including enforcing ownership rights independently of privilege level
US11314658B2 (en) Apparatus and method including an ownership table for indicating owner processes for blocks of physical addresses of a memory
KR102255767B1 (en) Systems and methods for virtual machine auditing
TWI451338B (en) Processor extensions for execution of secure embedded containers
US8893267B1 (en) System and method for partitioning resources in a system-on-chip (SoC)
IL255645A (en) Secure initialisation
IL255646A (en) Protected exception handling
US20180285560A1 (en) System, Apparatus And Method For Providing Locality Assertion Between A Security Processor And An Enclave
KR20160021028A (en) Technologies for secure inter-virtual-machine shared memory communication
TWI780546B (en) System for performing secure operations and method for performing secure operations by a system
US10664304B2 (en) Application memory protection using an extended page table switching virtual machine function
KR20130060287A (en) Supporting a secure readable memory region for pre-boot and secure mode operations
US10257166B2 (en) Guest netfilter protection by virtual machine function
US9183391B2 (en) Managing device driver cross ring accesses
US9875132B2 (en) Input output memory management unit based zero copy virtual machine to virtual machine communication
US10552345B2 (en) Virtual machine memory lock-down
US10108800B1 (en) ARM processor-based hardware enforcement of providing separate operating system environments for mobile devices with capability to employ different switching methods
US9459907B2 (en) Guest controlled malicious payload protection
US10241838B2 (en) Domain based resource isolation in multi-core systems
CN113391881A (en) Interrupt management method and device, electronic equipment and computer storage medium
KR20080079124A (en) Apparatus and method for controlling access to system resource
US10140148B1 (en) Copy based IOMMU emulation for out-of-process emulated devices

Legal Events

Date Code Title Description
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid