KR20140027622A - File access control device and control method for virtual enviroment - Google Patents

File access control device and control method for virtual enviroment Download PDF

Info

Publication number
KR20140027622A
KR20140027622A KR1020120088554A KR20120088554A KR20140027622A KR 20140027622 A KR20140027622 A KR 20140027622A KR 1020120088554 A KR1020120088554 A KR 1020120088554A KR 20120088554 A KR20120088554 A KR 20120088554A KR 20140027622 A KR20140027622 A KR 20140027622A
Authority
KR
South Korea
Prior art keywords
file
operating system
specific
information
access
Prior art date
Application number
KR1020120088554A
Other languages
Korean (ko)
Other versions
KR101392821B1 (en
Inventor
박희안
Original Assignee
주식회사 안랩
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 안랩 filed Critical 주식회사 안랩
Priority to KR1020120088554A priority Critical patent/KR101392821B1/en
Publication of KR20140027622A publication Critical patent/KR20140027622A/en
Application granted granted Critical
Publication of KR101392821B1 publication Critical patent/KR101392821B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Abstract

A file access control device and a control method in a virtual environment are disclosed. Embodiments of the present invention relate to a technique capable of increasing security and efficiency in a OS-level virtualization environment by effectively resolving security weak points that can occur due to a program, operated in an execution environment of a virtual operating system which is the virtual environment, allowing to access/refer files managed in the execution environment of a host operating system for compatibility. [Reference numerals] (AA) Start; (BB) End; (S100) Initialize an execution environment of a virtual operating system; (S110) Generate an access permission list and storage state unique information by file; (S120) Operate a system in the execution environment of the virtual operating system; (S130) Try to access a specific file; (S140) Exit in the access permission list?; (S150) Current storage state = Storage state of the storage state unique information ?; (S160) Allow access; (S170) Do not allow access

Description

가상환경에서의 파일접근 제어장치 및 제어방법{FILE ACCESS CONTROL DEVICE AND CONTROL METHOD FOR VIRTUAL ENVIROMENT}[0001] FILE ACCESS CONTROL DEVICE AND CONTROL METHOD FOR VIRTUAL ENVIROMENT [0002]

본 발명의 실시예들은 OS 레벨의 가상화 환경에서, 가상운영체제의 실행환경 즉 가상환경에서 동작하는 프로그램이 호환성을 위해 호스트운영체제의 실행환경에서 관리되는 파일을 접근/참조할 수 있도록 함에 따라 발생될 수 있는 보안 취약점을 효과적으로 해결하여 보안성 및 효율성을 높이는 기술들과 관련된다. Embodiments of the present invention can be implemented in an OS level virtualization environment by allowing a program running in a virtual operating system, that is, a virtual environment, to access / refer to a file managed in the execution environment of the host operating system for compatibility Related technologies that effectively address security vulnerabilities and improve security and efficiency.

최근, 특정 운영체제(OS)를 기반으로 서버(예 : 호스트, 클라이언트1,2 등)를 분리함으로써, 마치 여러 개의 독립된 운영체제가 실행되는 것으로 보이도록 하는 OS 레벨의 가상화 환경이 제공되고 있다. 예컨대, OS 레벨의 가상화 환경에서는, 시스템에서 전술의 특정 운영체제를 기반으로 호스트에 의해 실행되는 호스트운영체제의 실행환경 및 클라이언트에 의해 실행되는 가상운영체제의 실행환경을 가질 수 있다. Recently, an OS-level virtualization environment has been provided that separates a server (e.g., host, client 1, 2, etc.) based on a particular operating system (OS) to make multiple independent operating systems appear to be running. For example, in an OS level virtualization environment, the system may have an execution environment of the host operating system executed by the host and a execution environment of the virtual operating system executed by the client based on the specific operating system described above.

이러한 OS 레벨의 가상화 환경은, 시스템에 존재하는 OS 관련 실행 파일들과 일반 프로그램 파일들을 그대로 이용하면서 가상운영체제의 실행환경 즉 가상환경에서 실행되는 프로그램의 행위(File/Registry/Object등등)에 대해서만 가상화된 영역으로 Redirect하는 방식의 기술이다.Such an OS level virtualization environment is a virtualization environment in which OS-related executable files and general program files existing in the system are used as they are, and virtualization is performed only for the execution environment of the virtual operating system, that is, Redirection to the area of the area is a technique.

이에, 가상운영체제의 실행환경 즉 가상환경에서 실행되는 프로그램이 호환성을 위해 시스템에 존재하는 파일들 즉 호스트운영체제의 실행환경에서 관리되는 파일들에 접근/참조할 수 있도록 하고 있으며, 이에 따른 보안 취약점이 발생할 수 밖에 없는 상황이다. Therefore, the execution environment of the virtual operating system, that is, a program running in the virtual environment, can access / refer to the files that exist in the system for compatibility, that is, the files managed in the execution environment of the host operating system, It is inevitable that it will happen.

이에 기존에는 이러한 보안 취약점을 해결하기 위한 다양한 방안들이 제시되고 있으나, 실제적으로 보안성 및 효율성을 모두 고려한 방안이 존재하고 있지 않은 실정이다.Accordingly, various measures for solving such a security vulnerability have been proposed, but there is no method considering both security and efficiency in practice.

따라서, 본 발명에서는, 가상환경에서 동작하는 프로그램이 호환성을 위해 호스트에 존재하는 파일들을 접근/참조할 수 있도록 함에 따라 발생될 수 있는 보안 취약점을 효과적으로 해결할 수 있는 방안을 제안하고자 한다.Accordingly, the present invention proposes a method for effectively solving a security vulnerability that can be caused by allowing a program running in a virtual environment to access / refer to files existing on a host for compatibility.

본 발명의 실시예들은 OS 레벨의 가상화 환경에서, 가상운영체제의 실행환경 즉 가상환경에서 동작하는 프로그램이 호환성을 위해 호스트운영체제의 실행환경에서 관리되는 파일을 접근/참조할 수 있도록 함에 따라 발생될 수 있는 보안 취약점을 효과적으로 해결할 수 있도록 한다.Embodiments of the present invention can be implemented in an OS level virtualization environment by allowing a program running in a virtual operating system, that is, a virtual environment, to access / refer to a file managed in the execution environment of the host operating system for compatibility To effectively address security vulnerabilities.

상기 목적을 달성하기 위한 본 발명의 제 1 관점에 따른 가상환경에서의 파일접근 제어방법은, 호스트운영체제의 실행환경에서 관리되는 파일들 중 가상운영체제의 환경에서 접근을 허용하는 적어도 하나의 파일을 나타내는 접근허용리스트를 보유하는 단계; 상기 접근허용리스트 작성 시 상기 적어도 하나의 파일 각각의 저장상태와 관련된 파일별 저장상태고유정보를 보유하는 단계; 상기 가상운영체제의 실행환경에서 특정 파일로의 접근이 시도되면, 상기 특정 파일이 상기 접근허용리스트에 존재하는지 확인하는 단계; 및 상기 특정 파일이 상기 접근허용리스트에 존재하면, 상기 특정 파일의 현재 저장상태가 상기 파일별 저장상태고유정보에서 확인되는 상기 특정 파일의 저장상태와 일치하는 경우에 한하여 상기 가상운영체제의 실행환경에서 상기 특정 파일로의 접근을 허용하는 단계를 포함한다.According to a first aspect of the present invention, there is provided a file access control method in a virtual environment, the file access control method comprising: displaying at least one file among files managed in an execution environment of a host operating system, Holding an access permission list; Storing the file-specific storage-state-specific information associated with the storage state of each of the at least one file when creating the access-permission list; Confirming whether the specific file exists in the access permission list when an attempt is made to access a specific file in the execution environment of the virtual operating system; And when the specific file is present in the access permission list, only when the current storage state of the specific file matches the storage state of the specific file identified in the file specific storage state specific information, And allowing access to the specific file.

상기 목적을 달성하기 위한 본 발명의 제 2 관점에 따른 가상환경에서의 파일접근 제어장치는, 호스트운영체제의 실행환경에서 관리되는 파일들 중 가상운영체제의 환경에서 접근을 허용하는 적어도 하나의 파일을 나타내는 접근허용리스트를 저장하는 리스트저장부; 상기 접근허용리스트 작성 시 상기 적어도 하나의 파일 각각의 저장상태와 관련된 파일별 저장상태고유정보를 저장하는 고유정보저장부; 및 상기 가상운영체제의 실행환경에서 특정 파일로의 접근이 시도되면, 상기 특정 파일이 접근허용리스트에 존재하는지 확인하고, 상기 특정 파일이 상기 접근허용리스트에 존재하면 상기 특정 파일의 현재 저장상태가 상기 파일별 저장상태고유정보에서 확인되는 상기 특정 파일의 저장상태와 일치하는 경우에 한하여 상기 가상운영체제의 실행환경에서 상기 특정 파일로의 접근을 허용하는 접근제어부를 포함한다.According to a second aspect of the present invention, there is provided a file access control apparatus in a virtual environment, the file access control apparatus including at least one file which is permitted to be accessed in a virtual operating system environment among files managed in an execution environment of the host operating system A list storage unit for storing an access permission list; A unique information storage unit for storing file-specific storage state specific information associated with the storage state of each of the at least one file when the access permission list is created; And checking whether the specific file is present in the access permission list if access to a specific file is attempted in the execution environment of the virtual operating system, and if the specific file is present in the access permission list, And an access control unit which permits access to the specific file in the execution environment of the virtual operating system only when the storage state of the specific file matches the storage state of the specific file identified by the file specific storage state specific information.

본 발명의 실시예들은 OS 레벨의 가상화 환경에서, 가상운영체제의 실행환경 즉 가상환경에서 동작하는 프로그램이 호환성을 위해 호스트운영체제의 실행환경에서 관리되는 파일을 접근/참조할 수 있도록 함에 따라 발생될 수 있는 보안 취약점을 효과적으로 해결하여 보안성 및 효율성을 높일 수 있는 효과를 도출한다.Embodiments of the present invention can be implemented in an OS level virtualization environment by allowing a program running in a virtual operating system, that is, a virtual environment, to access / refer to a file managed in the execution environment of the host operating system for compatibility The security vulnerability can be effectively solved and security and efficiency can be improved.

도 1은 일반적인 OS 레벨의 가상화 환경을 나타내는 개념도이다.
도 2는 본 발명의 바람직한 실시예에 따른 가상환경에서의 파일접근 제어장치의 구성을 나타내는 블록도이다.
도 3은 본 발명의 바람직한 실시예에 따른 가상환경에서의 파일접근 제어방법의 흐름을 나타내는 흐름도이다.1 is a conceptual diagram showing a general OS level virtualization environment.
2 is a block diagram showing the configuration of a file access control apparatus in a virtual environment according to a preferred embodiment of the present invention.
3 is a flowchart illustrating a flow of a file access control method in a virtual environment according to a preferred embodiment of the present invention.

본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다.While the invention is susceptible to various modifications and alternative forms, specific embodiments thereof are shown by way of example in the drawings and will herein be described in detail. It should be understood, however, that the invention is not intended to be limited to the particular embodiments, but includes all modifications, equivalents, and alternatives falling within the spirit and scope of the invention. Like reference numerals are used for like elements in describing each drawing.

어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.When a component is referred to as being "connected" or "connected" to another component, it may be directly connected to or connected to that other component, but it may be understood that other components may be present in between. Should be. On the other hand, when an element is referred to as being "directly connected" or "directly connected" to another element, it should be understood that there are no other elements in between.

본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.The terminology used in this application is used only to describe a specific embodiment and is not intended to limit the invention. Singular expressions include plural expressions unless the context clearly indicates otherwise. In this application, the terms "comprise" or "having" are intended to indicate that there is a feature, number, step, operation, component, part, or combination thereof described in the specification, and one or more other features. It is to be understood that the present invention does not exclude the possibility of the presence or the addition of numbers, steps, operations, components, components, or a combination thereof.

다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.Unless defined otherwise, all terms used herein, including technical or scientific terms, have the same meaning as commonly understood by one of ordinary skill in the art to which this invention belongs. Terms such as those defined in commonly used dictionaries are to be interpreted as having a meaning consistent with the contextual meaning of the related art and are to be interpreted as either ideal or overly formal in the sense of the present application Do not.

이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 대하여 설명한다.Hereinafter, preferred embodiments of the present invention will be described with reference to the accompanying drawings.

OS 레벨의 가상화 환경은, 시스템에서 특정 운영체제를 기반으로 서버(예 : 호스트, 클라이언트1,2 등)를 분리함으로써, 마치 여러 개의 독립된 운영체제 예컨대 호스트운영체제(10) 및 가상운영체제(20)가 실행되는 것으로 보이도록 하는 가상화 환경을 의미한다. OS-level virtualization environment is a system in which a plurality of independent operating systems such as the host operating system 10 and the virtual operating system 20 are executed by separating a server (e.g., a host, a client 1, Virtualization environment.

이에, 도 1을 참조하여 특정 운영체제를 기반으로 호스트에 의해 실행되는 호스트운영체제(10)의 실행환경 및 클라이언트1에 의해 실행되는 가상운영체제(20)의 실행환경을 갖는 OS 레벨의 가상화 환경을 언급하여 설명하도록 하겠다. 여기서, 1, reference is made to an OS-level virtualization environment having an execution environment of the host operating system 10 executed by the host on the basis of a specific operating system and an execution environment of the virtual operating system 20 executed by the client 1 Let me explain. here,

가상운영체제(20)의 실행환경 즉 가상환경에서는, 가상환경에서 동작하는 프로그램이 호스트운영체제(10)의 실행환경에서 관리되는 호스트파일시스템(30)의 파일들 즉 호스트에 존재하는 파일들에 접근/참조할 수 있도록 호환성을 지원하게 된다.In the execution environment of the virtual operating system 20, that is, in the virtual environment, a program operating in the virtual environment accesses the files of the host file system 30 managed in the execution environment of the host operating system 10, that is, Support for compatibility is provided for reference.

헌데, 이처럼 가상환경에서 동작하는 프로그램이 호스트에 존재하는 파일로의 접근을 허용함에 따라, 보안상의 취약점 다시 말해 보안 홀이 발생할 수 밖에 없는 상황이다. However, since a program running in a virtual environment allows access to a file existing on the host, a security vulnerability, in other words, a security hole, is inevitable.

이러한 보안상의 취약점을 해결하기 위한 해결방안으로서, 호스트 상의 파일들에 대해서 가상환경의 프로그램에서 접근/참조하는 경우 열거하는 행위를 차단함으로써 사용자의 눈에 보이지만 않도록 하거나, 또는 가상환경에서 접근/참조해야 하는 파일들을 모두 가상환경에 복사하여 아예 호스트파일시스템(30)을 참조하지 않도록 하는 것을 생각할 수 있다. As a solution to solve these security vulnerabilities, it is necessary to prevent accessing / referencing of files on the host by blocking the enumeration when accessing / referencing the files in the virtual environment. It is conceivable to copy all of the files to the virtual environment so as not to refer to the host file system 30 at all.

하지만, 첫 번째 해결방안의 경우 눈에만 보이지 않도록 했을 뿐 실제 파일은 접근이 되므로 궁극적으로 보안상의 취약점을 해결할 수 없고, 전용 프로그램을 이용하여 접근하는 경우에 대해서는 방어할 수 없고, 두 번째 해결방안의 경우 필요한 모든 파일을 복사해야 하기 때문에 가상환경 구축에 상당히 많은 공간이 필요하게 되어 부수적인 문제점을 야기시킬 수 있다. However, in the case of the first solution, the actual file is accessed only because it is not visible to the eye. Therefore, the security weakness can not be solved ultimately, and it is impossible to defend against the access using the dedicated program. In this case, it is necessary to copy all the necessary files. Therefore, a considerable space is required to construct a virtual environment, which may cause an additional problem.

이에 본 발명에서는, 이하에서 구체적으로 설명하게 되는 가상환경에서의 파일접근 제어장치(100)를 제안한다. Therefore, the present invention proposes a file access control apparatus 100 in a virtual environment which will be described in detail below.

도 2에 도시되 바와 같이, 본 발명의 바람직한 실시예에 따른 가상환경에서의 파일접근 제어장치(100)는, 호스트운영체제의 실행환경에서 관리되는 파일들 중 가상운영체제의 환경에서 접근을 허용하는 적어도 하나의 파일을 나타내는 접근허용리스트를 저장하는 리스트저장부(110)와, 상기 접근허용리스트 작성 시 상기 적어도 하나의 파일 각각의 저장상태와 관련된 파일별 저장상태고유정보를 저장하는 고유정보저장부(120)와, 상기 가상운영체제의 실행환경에서 특정 파일로의 접근이 시도되면, 상기 특정 파일이 접근허용리스트에 존재하는지 확인하고, 상기 특정 파일이 상기 접근허용리스트에 존재하면 상기 특정 파일의 현재 저장상태가 상기 파일별 저장상태고유정보에서 확인되는 상기 특정 파일의 저장상태와 일치하는 경우에 한하여 상기 가상운영체제의 실행환경에서 상기 특정 파일로의 접근을 허용하는 접근제어부(140)를 포함한다.2, the file access control apparatus 100 in the virtual environment according to the preferred embodiment of the present invention is a file access control apparatus for accessing at least the files managed in the execution environment of the host operating system, A list storage unit 110 for storing an access permission list indicating one file and a unique information storage unit 110 for storing file specific storage status information related to the storage status of each of the at least one file And an access control unit (120) which, when an access to a specific file is attempted in an execution environment of the virtual operating system, checks whether the specific file exists in the access permission list and, Only when the state coincides with the storage state of the specific file identified in the file-specific storage state unique information, In the operating system execution environment it includes access controller 140 to allow access to the particular file.

이하에서는 설명의 편의를 위해, 전술의 도 1에 도시된 참조번호를 언급하여 시스템에서 마치 여러 개의 독립된 운영체제 예컨대 호스트운영체제(10) 및 가상운영체제(20)가 실행되는 것으로 보이도록 한 OS 레벨의 가상화 환경을 토대로 설명하도록 한다.Hereinafter, referring to the reference numerals shown in Fig. 1 for the sake of convenience, it is assumed that a plurality of independent operating systems, such as the host operating system 10 and the virtual operating system 20, Explain based on the environment.

리스트저장부(110)는, 호스트운영체제의 실행환경에서 관리되는 파일들 중 가상운영체제의 환경에서 접근을 허용하는 적어도 하나의 파일을 나타내는 접근허용리스트를 저장한다.The list storage unit 110 stores an access permission list indicating at least one file that allows access in the virtual operating system environment among the files managed in the execution environment of the host operating system.

즉, 리스트저장부(110)는, 호스트운영체제(10)의 실행환경에서 관리되는 호스트파일시스템(30) 상의 파일들 중에서, 가상운영체제(20)의 환경에서 접근을 허용하는 적어도 하나의 파일을 나타내는 접근허용리스트 즉 접근을 허용하는 파일이름들을 포함한 접근허용리스트를 저장할 수 있다. That is, the list storage unit 110 stores at least one file that permits access from the environment of the virtual operating system 20 among the files on the host file system 30 managed in the execution environment of the host operating system 10 You can store a list of access permissions, including file names that allow access.

여기서, 접근허용리스트에 포함되는 적어도 하나의 파일은, 가상운영체제(20)의 실행환경을 구축하기 위해 접근해야만 하는 필수접근파일 예컨대 Windows\system32, Program files 등에 속하는 파일들을 포함하는 것이 바람직하다.Here, the at least one file included in the access permission list preferably includes files belonging to essential access files, such as Windows \ system32, Program files, etc., which must be accessed in order to construct the execution environment of the virtual operating system 20. [

고유정보저장부(120)는, 리스트저장부(110)에 저장되는 접근허용리스트의 작성 시 접근허용리스트에 따른 적어도 하나의 파일 각각의 저장상태와 관련된 파일별 저장상태고유정보를 저장한다.The unique information storage unit 120 stores file-specific storage-state specific information related to the storage state of each of the at least one file in accordance with the access permission list when creating the accessibility list stored in the list storage unit 110. [

즉, 고유정보저장부(120)는, 접근허용리스트에 포함되는 각 파일에 대하여, 해당 접근허용리스트가 작성되는 시점에서의 각 파일의 저장상태와 관련된 파일별 저장상태고유정보를 저장할 수 있다. That is, the unique information storage unit 120 may store, for each file included in the access permission list, file-specific storage state specific information related to the storage state of each file at the time when the access permission list is created.

여기서, 파일별 저장상태고유정보는, 접근허용리스트에 따른 적어도 하나의 파일 각각에 대하여 저장상태와 관련된 파일크기정보, 파일종류정보 (예 : PE,Word,PDF,HWP), 파일설치시간정보, 파일변경시간정보 및 파일해쉬값정보, 파일리소스정보, 파일헤더정보, 파일 내 특정위치의 해쉬값정보, 다운로드 받은 URL정보 및 인증서정보 중 적어도 하나를 포함하는 것이 바람직하다. 이러한 파일별 저장상태고유정보는, 스냅샷(snapshot)형태의 정보일 수 있다. Here, the file-specific storage state specific information includes at least one file size information, file type information (e.g., PE, Word, PDF, HWP) related to the storage state, file installation time information, File change time information, file hash value information, file resource information, file header information, hash value information of a specific location in the file, downloaded URL information, and certificate information. Such file specific storage state specific information may be information in the form of a snapshot.

이에, 도 1의 호스트파일시스템(30) 상의 파일1이 접근허용리스트에 속하는 것으로 설명한다면, 고유정보저장부(120)에 저장되는 파일별 저장상태고유정보 중 파일1의 저장상태고유정보에는, 파일1의 정상상태를 나타내는 정보들 예컨대 접근허용리스트가 작성될 당시에 파일1에 대하여 확인된 파일크기정보, 파일종류정보, 파일설치시간정보, 파일변경시간정보, 파일해쉬값정보, 파일리소스정보, 파일헤더정보, 파일 내 특정위치의 해쉬값정보, 다운로드 받은 URL정보 및 인증서정보 중 적어도 하나가 포함될 수 있다. If the file 1 on the host file system 30 of FIG. 1 is described as belonging to the access permission list, among the file-specific storage-state unique information stored in the unique information storage unit 120, File type information, file installation time information, file change time information, file hash value information, file resource information, file name information, and the like, which are information on the normal state of the file 1, File header information, hash value information of a specific location in the file, downloaded URL information, and certificate information.

한편, 본 발명에 따른 가상환경에서의 파일접근 제어장치(100)는 정보생성부(130)를 더 포함할 수 있다. Meanwhile, the file access control apparatus 100 in the virtual environment according to the present invention may further include an information generating unit 130.

정보생성부(130)는, 가상운영체제(20)의 실행환경과 관련된 특정 시점에, 가상운영체제(20)에 대응하여 접근허용리스트 및 파일별 저장상태고유정보 중 적어도 하나를 생성한다.The information generating unit 130 generates at least one of the access permission list and the file-specific storage state unique information corresponding to the virtual operating system 20 at a specific time point related to the execution environment of the virtual operating system 20. [

여기서, 예컨대 가상운영체제(20)의 실행환경과 관련된 특정 시점은, 가상운영체제(20)의 실행환경을 구축하는 시점, 가상운영체제(20)의 실행환경을 초기화하는 시점, 가상운영체제(20)가 기반으로 하는 전술의 특정 운영체제와 관련된 데이터 변경이 발생되는 시점 및 운영자에 의해 정보생성요청이 발생되는 시점 중 적어도 하나를 포함할 수 있다. Here, the specific time point related to the execution environment of the virtual operating system 20 may be a time point at which the execution environment of the virtual operating system 20 is established, a time at which the execution environment of the virtual operating system 20 is initialized, A time at which a data change related to the specific operating system described above occurs and a time at which an information generation request is generated by an operator.

이에, 정보생성부(130)는, 가상운영체제(20)의 실행환경이 구축되는 최초 시점에, 또는 가상운영체제(20)의 실행환경을 초기화하는 시점 마다, 또는 특정 운영체제가 업데이트되는 등의 데이터 변경이 발생되는 시점 마다, 또는 인증된 운영자가 정보생성요청을 입력/발생시키는 시점에, 가상운영체제(20)에 대응하여 필수접근파일인 파일들을 나타내는 전술과 같은 접근허용리스트를 작성/생성하여 리스트저장부(110)에 저장하고, 이처럼 접근허용리스트가 작성되는 시점에서의 접근허용리스트에 따른 파일들에 대한 전술과 같은 파일별 저장상태고유정보를 생성하여 고유정보저장부(120)에 저장할 수 있다. The information generating unit 130 may be configured to execute the data change such as updating the specific operating system at the initial point of time when the execution environment of the virtual operating system 20 is established or at the time of initializing the execution environment of the virtual operating system 20, Creates or creates an access allowance list as described above indicating the files that are essential access files in response to the virtual operating system 20 at the time when the authenticated operator inputs / generates the information generation request, And stores the file-specific storage-state unique information in the unique information storage unit 120 as described above with respect to the files according to the access permission list at the time when the accessibility list is created as described above .

만약, 호스트운영체제(10) 이외에 가상운영체제가 복수개 존재한다면, 정보생성부(130)는, 가상운영체제 각각에 대응하여 전술과 같은 특정 시점에 접근허용리스트 및 파일별 저장상태고유정보를 생성하여 해당 가상운영체제에 대응되도록 리스트저장부(110) 및 고유정보저장부(120)에 저장할 수도 있을 것이다.If there are a plurality of virtual operating systems other than the host operating system 10, the information generating unit 130 generates the access permission list and the storage state specific information for each file corresponding to each virtual operating system at the specific point in time as described above, And may be stored in the list storage unit 110 and the unique information storage unit 120 so as to correspond to the operating system.

접근제어부(140)는, 가상운영체제의 실행환경에서 특정 파일(예 : 파일1)로의 접근이 시도되면, 접근허용리스트 및 파일별 저장상태고유정보를 토대로 접근 허용여부를 결정한다.When the access control unit 140 attempts to access a specific file (e.g., file 1) in the execution environment of the virtual operating system, the access control unit 140 determines whether or not the access is allowed based on the access permission list and the file-specific storage-

구체적으로 설명하면, 우선 본 발명에 따른 가상환경에서의 파일접근 제어장치(100)가 탑재된 컴퓨터시스템에서, 가상운영체제(20)의 실행환경에서 시스템이 동작되는 것을 전제로 한다.More specifically, it is assumed that the system is operated in the execution environment of the virtual operating system 20 in the computer system in which the file access control apparatus 100 in the virtual environment according to the present invention is mounted.

이때, 접근제어부(140)는, 가상운영체제(20)의 실행환경에서 동작하는 프로그램에 의해 특정 파일(예 : 파일1)로의 접근이 시도되는 것을 인지할 수 있다. At this time, the access control unit 140 can recognize that access to a specific file (e.g., file 1) is attempted by a program operating in the execution environment of the virtual operating system 20. [

이처럼 접근제어부(140)는, 가상운영체제(20)의 실행환경에서 파일1로의 접속 시도가 인지되면, 파일1이 가상운영체제(20)에 대응하는 접근허용리스트에 존재하는지 여부를 확인한다.If the access control unit 140 recognizes an access attempt to the file 1 in the execution environment of the virtual OS 20, the access control unit 140 checks whether the file 1 exists in the access permission list corresponding to the virtual operating system 20. [

접근제어부(140)는, 파일1이 가상운영체제(20)에 대응하는 접근허용리스트에 존재하면, 파일1의 현재 저장상태가 가상운영체제(20)에 대응하는 파일별 저장상태고유정보에서 확인되는 파일1의 저장상태와 일치하는지 여부를 판단한다. When the file 1 exists in the access permission list corresponding to the virtual operating system 20, the access control unit 140 determines whether the current storage state of the file 1 is a file that is confirmed in the file-specific storage state specific information corresponding to the virtual operating system 20 1 < / RTI >

즉, 접근제어부(140)는, 파일1의 현재 저장상태 다시 말해 파일1의 현재 파일크기정보, 파일종류정보, 파일설치시간정보, 파일변경시간정보 및 파일해쉬값정보가, 파일별 저장상태고유정보에서 확인되는 파일1의 저장상태 다시 말해 접근허용리스트가 작성될 당시 파일1의 파일크기정보, 파일종류정보, 파일설치시간정보, 파일변경시간정보 및 파일해쉬값정보와 일치하는지 여부를 판단한다.That is, the access control unit 140 determines whether or not the current storage state of the file 1, that is, the current file size information of the file 1, the file type information, the file installation time information, the file change time information and the file hash value information, It is determined whether or not the file size information, the file type information, the file installation time information, the file change time information, and the file hash value information of the file 1 at the time of creation of the access permission list, that is, the storage state of the file 1, .

이에, 접근제어부(140)는, 전술과 같이 파일1에 대한 일치 여부를 판단한 결과, 일치한다고 판단되는 경우에 한하여 금번 가상운영체제(20)의 실행환경에서 시도된 파일1로의 접근을 허용한다.The access control unit 140 permits access to the file 1 attempted in the execution environment of the virtual operating system 20 only when the access control unit 140 determines that the file 1 matches the file 1 as described above.

물론 접근제어부(140)는, 전술과 같이 파일1에 대한 일치 여부를 판단한 결과, 일치하지 않는다고 판단되는 경우에는 금번 가상운영체제(20)의 실행환경에서 시도된 파일1로의 접근을 허용하지 않을 것이다.Of course, the access control unit 140 will not allow access to the attempted file 1 in the execution environment of the virtual operating system 20 when it is determined that the file 1 does not coincide with the file 1 as described above.

이처럼, 본 발명에 따른 가상환경에서의 파일접근 제어장치(100)는, 가상환경에서의 접근을 허용하는 파일들에 대한 접근허용리스트 및 접근허용리스트 작성 당시의 파일들에 대한 저장상태 즉 파일별 저장상태고유정보를 모두 고려하여, 가상환경에서의 파일 접근 시 접근 허용여부를 결정할 수 있다. As described above, the file access control apparatus 100 in the virtual environment according to the present invention is able to determine the access permission list for files allowing access in the virtual environment and the storage state of the files at the time of creation of the access permission list, It is possible to determine whether or not to allow access when accessing a file in a virtual environment by considering all the storage state unique information.

예를 들어, 접근허용리스트만을 고려하여 가상환경에서의 파일 접근 시 접근 허용여부를 결정하는 방식의 경우, 불순한 사용자에 의해 가상환경에서 접근 허용되지 않는 파일을 접근허용리스트에 포함된 파일이름으로 변경함으로써 가상환경에서 파일에 접근하여 데이터를 유출하게 되는 보안 취약점이 여전히 발생할 수 있고, 또는 접근허용리스트에 존재하는 파일에 유출하기 위한 데이터를 추가로 저장하거나 데이터를 Overwrite하여 가상환경에서 접근할 수 있는 파일을 이용하여 추가 저장 또는 Overwrite된 데이터를 유출하게 되는 보안 취약점이 여전히 발생할 수 있을 것이다. For example, in the case of a method for determining whether or not to allow access when a file is accessed in a virtual environment by considering only the access permission list, a file that is not allowed to be accessed by an impure user is changed to a file name included in the access permission list There is still a security vulnerability that accesses files in a virtual environment and causes data to leak out. Or, data to be leaked to a file existing in the access permission list may be additionally stored, or data may be overwritten and accessed in a virtual environment There may still be a security vulnerability that causes files to be used for additional storage or overwriting of overwritten data.

하지만, 전술과 같이 본 발명에 따른 가상환경에서의 파일접근 제어장치(100)는, 접근허용리스트 및 접근허용리스트 작성 당시의 파일들에 대한 저장상태와 관련된 파일별 저장상태고유정보를 모두 고려하여 가상환경에서의 파일 접근 시 접근 허용 여부를 결정하기 때문에, 가상환경에서 접근하려고 하는 파일의 파일이름 뿐 아니라 해당 파일의 저장상태 변경 여부까지 확인하여 접근 허용 여부를 결정할 수 있어, 가상환경에서의 호환성을 위해 호스트에 존재하는 접근/참조할 수 있도록 함에 따라 발생될 수 있는 보안 취약점을 효과적으로 보다 완벽하게 해결할 수 있다.However, as described above, the file access control apparatus 100 in the virtual environment according to the present invention considers both the access permission list and file-specific storage-state unique information related to the storage state of the files at the time of creation Since it is decided whether or not to allow access when accessing a file in a virtual environment, it is possible to determine whether or not to allow access by checking not only the file name of the file to be accessed in the virtual environment but also the storage state of the file, To be able to access / reference existing on the host for security reasons.

한편, 본 발명에 따른 가상환경에서의 파일접근 제어장치(100)는, 전술과 같은 리스트저장부(110), 고유정보저장부(120), 정보생성부(130) 및 접근제어부(140)의 기능을 포함하는 접근제어프로그램 형태로 구성되는 것도 가능할 것이다.The file access control apparatus 100 in the virtual environment according to the present invention includes the list storage unit 110, the unique information storage unit 120, the information generation unit 130, and the access control unit 140 It is also possible to configure the access control program in the form of an access control program.

또한, 본 발명에 따른 가상환경에서의 파일접근 제어장치(100)는, 개념적으로 도 1의 커널모드 레벨 상에 위치하여 호스트운영체제(10) 및 가상운영체제(20)와, 호스트파일시스템(30) 사이에서 전술의 제반 동작을 수행하는 것이 가능할 것이다. The file access control apparatus 100 in the virtual environment according to the present invention is conceptually located on the kernel mode level in FIG. 1 and includes a host operating system 10 and a virtual operating system 20, a host file system 30, It is possible to perform all of the above-mentioned operations.

이하에서는 도 3을 참조하여 본 발명에 따른 가상환경에서의 파일접근 제어방법을 설명하도록 한다. 여기서, 설명의 편의를 위해 전술한 도 1 내지 도 2에 도시된 구성은 해당 참조번호를 언급하여 설명하겠다. Hereinafter, a file access control method in a virtual environment according to the present invention will be described with reference to FIG. Here, for the convenience of description, the configuration shown in FIGS. 1 to 2 described above will be described with reference to the corresponding reference numerals.

도 3에 도시되 바와 같이, 본 발명에 따른 가상환경에서의 파일접근 제어방법은, 가상운영체제(20)의 실행환경이 구축되면(S100), 가상운영체제(20)에 대응하여 접근허용리스트 및 파일별 저장상태고유정보 중 적어도 하나를 생성한다(S110).3, when the execution environment of the virtual operating system 20 is established (S100), the file access control method in the virtual environment according to the present invention is a file access control method in the virtual environment 20, And unique storage state specific information (S110).

이 외에도, 본 발명에 따른 가상환경에서의 파일접근 제어방법은, 가상운영체제(20)의 실행환경을 초기화하는 시점 마다, 또는 특정 운영체제가 업데이트되는 등의 데이터 변경이 발생되는 시점 마다, 또는 인증된 운영자가 정보생성요청을 입력/발생시키는 시점에, 가상운영체제(20)에 대응하여 필수접근파일인 파일들을 나타내는 전술과 같은 접근허용리스트를 작성/생성하여 리스트저장부(110)에 저장하고, 이처럼 접근허용리스트가 작성되는 시점에서의 접근허용리스트에 따른 파일들에 대한 전술과 같은 파일별 저장상태고유정보를 생성하여 고유정보저장부(120)에 저장할 수 있다. In addition, the file access control method in the virtual environment according to the present invention may be performed at every time the execution environment of the virtual operating system 20 is initialized, or whenever data changes such as updating a specific operating system occur, At the point in time when the operator inputs / generates the information generation request, the above-mentioned access permission list is created / created corresponding to the virtual operating system 20 and is stored in the list storage unit 110, File specific storage state information such as the foregoing for the files according to the access permission list at the time when the access permission list is created can be generated and stored in the unique information storage unit 120. [

만약, 호스트운영체제(10) 이외에 가상운영체제가 복수개 존재한다면, 본 발명에 따른 가상환경에서의 파일접근 제어방법은, 가상운영체제 각각에 대응하여 전술과 같이 접근허용리스트 및 파일별 저장상태고유정보를 생성하여 해당 가상운영체제에 대응되도록 리스트저장부(110) 및 고유정보저장부(120)에 저장할 수도 있을 것이다.If there are a plurality of virtual operating systems in addition to the host operating system 10, the file access control method in the virtual environment according to the present invention generates the access permission list and file specific storage state specific information corresponding to each virtual operating system And may be stored in the list storage unit 110 and the unique information storage unit 120 so as to correspond to the virtual operating system.

그리고, 본 발명에 따른 가상환경에서의 파일접근 제어장치(100)가 탑재된 컴퓨터시스템에서, 가상운영체제(20)의 실행환경에서 시스템이 동작되는 것을 전제로 한다(S120).It is assumed that the system is operated in the execution environment of the virtual OS 20 in the computer system equipped with the file access control apparatus 100 in the virtual environment according to the present invention (S120).

본 발명에 따른 가상환경에서의 파일접근 제어방법은, 가상운영체제(20)의 실행환경에서 동작하는 프로그램에 의해 특정 파일(예 : 파일1)로의 접근이 시도되는 것을 인지할 수 있다(S130). The file access control method in the virtual environment according to the present invention can recognize that access to a specific file (e.g., file 1) is attempted by a program running in the execution environment of the virtual operating system 20 (S130).

이처럼 본 발명에 따른 가상환경에서의 파일접근 제어방법은, 가상운영체제(20)의 실행환경에서 파일1로의 접속 시도가 인지되면, 파일1이 가상운영체제(20)에 대응하는 접근허용리스트에 존재하는지 여부를 확인한다(S140).As described above, in the file access control method in the virtual environment according to the present invention, when the access attempt to the file 1 is recognized in the execution environment of the virtual operating system 20, whether the file 1 exists in the access permission list corresponding to the virtual operating system 20 (S140).

본 발명에 따른 가상환경에서의 파일접근 제어방법은, 파일1이 가상운영체제(20)에 대응하는 접근허용리스트에 존재하면, 파일1의 현재 저장상태가 가상운영체제(20)에 대응하는 파일별 저장상태고유정보에서 확인되는 파일1의 저장상태와 일치하는지 여부를 판단한다(S150). The file access control method in the virtual environment according to the present invention is such that if the file 1 exists in the access permission list corresponding to the virtual operating system 20, It is determined whether or not the storage state of the file 1 is identical to the storage state of the file 1 identified in the state specific information (S150).

즉, 본 발명에 따른 가상환경에서의 파일접근 제어방법은, 파일1의 현재 저장상태 다시 말해 파일1의 현재 파일크기정보, 파일종류정보, 파일설치시간정보, 파일변경시간정보 및 파일해쉬값정보가, 파일별 저장상태고유정보에서 확인되는 파일1의 저장상태 다시 말해 접근허용리스트가 작성될 당시 파일1의 파일크기정보, 파일종류정보, 파일설치시간정보, 파일변경시간정보, 파일해쉬값정보, 파일리소스정보, 파일헤더정보, 파일 내 특정위치의 해쉬값정보, 다운로드 받은 URL정보 및 인증서정보와 일치하는지 여부를 판단한다.That is, the file access control method in the virtual environment according to the present invention is a method for controlling the file access in the virtual environment, including the current storage state of the file 1, that is, the current file size information, file type information, The file size information of the file 1, the file type information, the file install time information, the file change time information, and the file hash value information when the access permission list is created , File resource information, file header information, hash value information of a specific location in the file, downloaded URL information, and certificate information.

이에, 본 발명에 따른 가상환경에서의 파일접근 제어방법은, 전술과 같이 파일1에 대한 일치 여부를 판단한 결과, 일치한다고 판단되는 경우에 한하여 금번 가상운영체제(20)의 실행환경에서 시도된 파일1로의 접근을 허용한다(S160).The file access control method in the virtual environment according to the present invention is a method for controlling file access in the virtual environment when the file access control method judges that the file 1 (S160).

물론 본 발명에 따른 가상환경에서의 파일접근 제어방법은, 전술과 같이 파일1에 대한 일치 여부를 판단한 결과, 일치하지 않는다고 판단되는 경우에는 금번 가상운영체제(20)의 실행환경에서 시도된 파일1로의 접근을 허용하지 않을 것이다(S170).Of course, the file access control method in the virtual environment according to the present invention, when it is determined that the file 1 is not coincident with the file 1 as described above, It will not allow access (S170).

이처럼, 본 발명에 따른 가상환경에서의 파일접근 제어방법은, 가상환경에서의 접근을 허용하는 파일들에 대한 접근허용리스트 및 접근허용리스트 작성 당시의 파일들에 대한 저장상태 즉 파일별 저장상태고유정보를 모두 고려하여, 가상환경에서의 파일 접근 시 접근 허용여부를 결정할 수 있다.As described above, the file access control method in the virtual environment according to the present invention is a method for controlling access to files in a virtual environment, including access permission lists for files allowing access in a virtual environment and storage states for files at the time of creation of an access- By considering all the information, it is possible to determine whether to allow access when accessing a file in a virtual environment.

이상에서 설명한 바와 같이 본 발명에 따른 가상환경에서의 파일접근 제어방법은, 접근허용리스트 및 접근허용리스트 작성 당시의 파일들에 대한 저장상태와 관련된 파일별 저장상태고유정보를 모두 고려하여 가상환경에서의 파일 접근 시 접근 허용 여부를 결정하기 때문에, 가상환경에서 접근하려고 하는 파일의 파일이름 뿐 아니라 해당 파일의 저장상태 변경 여부까지 확인하여 접근 허용 여부를 결정할 수 있어, 가상환경에서의 호환성을 위해 호스트에 존재하는 접근/참조할 수 있도록 함에 따라 발생될 수 있는 보안 취약점을 효과적으로 보다 완벽하게 해결할 수 있다.As described above, the file access control method in a virtual environment according to the present invention is a method of controlling access to a file in a virtual environment in consideration of both the access permission list and the storage state specific information per file related to the storage state of the files at the time of creation of the access- It is possible to determine whether or not access is permitted by checking not only the file name of the file to be accessed in the virtual environment but also the storage state of the corresponding file. Thus, for compatibility in the virtual environment, To be able to access / refer to existing security vulnerabilities effectively.

본 발명의 일실시예에 따른 가상환경에서의 파일접근 제어방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.A file access control method in a virtual environment according to an embodiment of the present invention may be implemented in a form of a program command that can be executed through various computer means and recorded in a computer readable medium. The computer-readable medium may include program instructions, data files, data structures, and the like, alone or in combination. The program instructions recorded on the medium may be those specially designed and constructed for the present invention or may be available to those skilled in the art of computer software. Examples of computer-readable media include magnetic media such as hard disks, floppy disks and magnetic tape; optical media such as CD-ROMs and DVDs; magnetic media such as floppy disks; Magneto-optical media, and hardware devices specifically configured to store and execute program instructions such as ROM, RAM, flash memory, and the like. Examples of program instructions include machine language code such as those produced by a compiler, as well as high-level language code that can be executed by a computer using an interpreter or the like. The hardware devices described above may be configured to operate as one or more software modules to perform the operations of the present invention, and vice versa.

이상과 같이 본 발명에서는 구체적인 구성 요소 등과 같은 특정 사항들과 한정된 실시예 및 도면에 의해 설명되었으나 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상적인 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다. As described above, the present invention has been described by specific embodiments such as specific components and the like. For those skilled in the art, various modifications and variations are possible from these descriptions.

따라서, 본 발명의 사상은 설명된 실시예에 국한되어 정해져서는 아니되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등하거나 등가적 변형이 있는 모든 것들은 본 발명 사상의 범주에 속한다고 할 것이다.Accordingly, the spirit of the present invention should not be construed as being limited to the embodiments described, and all of the equivalents or equivalents of the claims, as well as the following claims, belong to the scope of the present invention .

100 : 가상환경에서의 파일접근 제어장치
110 : 리스트저장부 120 : 고유정보저장부
130 : 정보생성부 140 : 접근제어부100: File access control device in virtual environment
110: list storage unit 120: unique information storage unit
130: Information Generation Unit 140:

Claims (10)

특정 운영체제를 기반으로 호스트에 의해 실행되는 호스트운영체제의 실행환경 및 클라이언트에 의해 실행되는 가상운영체제의 실행환경을 갖는 가상환경에서의 파일접근 제어 방법에 있어서,
상기 호스트운영체제의 실행환경에서 관리되는 파일들 중 상기 가상운영체제의 실행환경에서 접근을 허용하는 적어도 하나의 파일을 나타내는 접근허용리스트를 보유하는 단계;
상기 접근허용리스트 작성 시 상기 적어도 하나의 파일 각각의 저장상태와 관련된 파일별 저장상태고유정보를 보유하는 단계;
상기 가상운영체제의 실행환경에서 특정 파일로의 접근이 시도되면, 상기 특정 파일이 상기 접근허용리스트에 존재하는지 확인하는 단계; 및
상기 특정 파일이 상기 접근허용리스트에 존재하면, 상기 특정 파일의 현재 저장상태가 상기 파일별 저장상태고유정보에서 확인되는 상기 특정 파일의 저장상태와 일치하는 경우에 한하여 상기 가상운영체제의 실행환경에서 상기 특정 파일로의 접근을 허용하는 단계를 포함하는 것을 특징으로 하는 가상환경에서의 파일접근 제어방법.A file access control method in a virtual environment having an execution environment of a host operating system executed by a host based on a specific operating system and an execution environment of a virtual operating system executed by a client,
Holding an access permission list indicating at least one file that is permitted to access in an execution environment of the virtual operating system among files managed in the execution environment of the host operating system;
Storing the file-specific storage-state-specific information associated with the storage state of each of the at least one file when creating the access-permission list;
Confirming whether the specific file exists in the access permission list when an attempt is made to access a specific file in the execution environment of the virtual operating system; And
If the specific file exists in the access permission list, the execution environment of the virtual operating system may be changed only when the current storage state of the specific file matches the storage state of the specific file identified in the storage state specific information for each file. File access control method in a virtual environment comprising the step of allowing access to a specific file. 제 1 항에 있어서,
상기 가상운영체제의 실행환경과 관련된 특정 시점에, 상기 가상운영체제에 대응하여 상기 접근허용리스트 및 상기 파일별 저장상태고유정보 중 적어도 하나를 생성하는 단계를 더 포함하는 것을 특징으로 하는 가상환경에서의 파일접근 제어방법.The method of claim 1,
And generating at least one of the access permission list and the storage state specific information for each file in response to the virtual operating system at a specific point in time associated with an execution environment of the virtual operating system. Access Control Method. 제 1 항에 있어서,
상기 특정 시점은,
상기 가상운영체제의 실행환경을 구축하는 시점, 상기 가상운영체제의 실행환경을 초기화하는 시점, 상기 특정 운영체제와 관련된 데이터 변경이 발생되는 시점 및 운영자에 의해 정보생성요청이 발생되는 시점 중 적어도 하나를 포함하는 것을 특징으로 하는 가상환경에서의 파일접근 제어방법.The method of claim 1,
The specific point in time is,
Wherein the virtual operating system includes at least one of a time at which the execution environment of the virtual operating system is established, a time at which the execution environment of the virtual operating system is initialized, a time at which data changes related to the specific operating system occur, And a file access control method in a virtual environment. 제 1 항에 있어서,
상기 적어도 하나의 파일은,
상기 가상운영체제의 실행환경을 구축하기 위해 접근해야만 하는 필수접근파일을 포함하는 것을 특징으로 하는 가상환경에서의 파일접근 제어방법. The method of claim 1,
Wherein the at least one file comprises:
And a required access file that must be accessed in order to establish an execution environment of the virtual operating system. 제 1 항에 있어서,
상기 파일별 저장상태고유정보는,
상기 적어도 하나의 파일 각각에 대하여 저장상태와 관련된 파일크기정보, 파일종류정보, 파일설치시간정보, 파일변경시간정보, 파일해쉬값정보, 파일리소스정보, 파일헤더정보, 파일 내 특정위치의 해쉬값정보, 다운로드 받은 URL정보 및 인증서정보 중 적어도 하나를 포함하는 것을 특징으로 하는 가상환경에서의 파일접근 제어방법.The method of claim 1,
The file-specific storage-state unique information may include:
File size information, file type information, file install time information, file change time information, file hash value information, file resource information, file header information, hash value of a specific position in a file Information of the downloaded URL, information of the downloaded URL, and certificate information. 특정 운영체제를 기반으로 호스트에 의해 실행되는 호스트운영체제의 실행환경 및 클라이언트에 의해 실행되는 가상운영체제의 실행환경을 갖는 가상환경에서의 파일접근 제어장치에 있어서,
상기 호스트운영체제의 실행환경에서 관리되는 파일들 중 상기 가상운영체제의 환경에서 접근을 허용하는 적어도 하나의 파일을 나타내는 접근허용리스트를 저장하는 리스트저장부;
상기 접근허용리스트 작성 시 상기 적어도 하나의 파일 각각의 저장상태와 관련된 파일별 저장상태고유정보를 저장하는 고유정보저장부; 및
상기 가상운영체제의 실행환경에서 특정 파일로의 접근이 시도되면, 상기 특정 파일이 접근허용리스트에 존재하는지 확인하고, 상기 특정 파일이 상기 접근허용리스트에 존재하면 상기 특정 파일의 현재 저장상태가 상기 파일별 저장상태고유정보에서 확인되는 상기 특정 파일의 저장상태와 일치하는 경우에 한하여 상기 가상운영체제의 실행환경에서 상기 특정 파일로의 접근을 허용하는 접근제어부를 포함하는 것을 특징으로 하는 가상환경에서의 파일접근 제어장치.A file access control apparatus in a virtual environment having an execution environment of a host operating system executed by a host based on a specific operating system and an execution environment of a virtual operating system executed by a client,
A list storage unit for storing an access permission list indicating at least one file that allows access in an environment of the virtual operating system among files managed in the execution environment of the host operating system;
A unique information storage unit for storing file-specific storage state specific information associated with the storage state of each of the at least one file when the access permission list is created; And
If access to a specific file is attempted in the execution environment of the virtual operating system, check whether the specific file exists in the access permission list. If the specific file exists in the access permission list, the current storage state of the specific file is determined by the file. File in a virtual environment, characterized in that it includes an access control unit for allowing access to the specific file in the execution environment of the virtual operating system only when it matches the storage state of the specific file identified in the unique storage state specific information Access control system. 제 6 항에 있어서,
상기 가상운영체제의 실행환경과 관련된 특정 시점에, 상기 가상운영체제에 대응하여 상기 접근허용리스트 및 상기 파일별 저장상태고유정보 중 적어도 하나를 생성하는 정보생성부를 더 포함하는 것을 특징으로 하는 가상환경에서의 파일접근 제어장치.The method according to claim 6,
In a virtual environment characterized in that it further comprises an information generation unit for generating at least one of the access permission list and the storage state specific information for each file corresponding to the virtual operating system at a specific time point associated with the execution environment of the virtual operating system. File access control. 제 6 항에 있어서,
상기 적어도 하나의 파일은,
상기 가상운영체제의 실행환경을 구축하기 위해 접근해야만 하는 필수접근파일을 포함하는 것을 특징으로 하는 가상환경에서의 파일접근 제어장치.The method according to claim 6,
Wherein the at least one file comprises:
And a required access file that must be accessed in order to establish an execution environment of the virtual operating system. 제 6 항에 있어서,
상기 파일별 저장상태고유정보는,
상기 적어도 하나의 파일 각각에 대하여 저장상태와 관련된 파일크기정보, 파일종류정보, 파일설치시간정보, 파일변경시간정보 및 파일해쉬값정보, 파일리소스정보, 파일헤더정보, 파일 내 특정위치의 해쉬값정보, 다운로드 받은 URL정보 및 인증서정보 중 적어도 하나를 포함하는 것을 특징으로 하는 가상환경에서의 파일접근 제어장치.The method according to claim 6,
The file-specific storage-state unique information may include:
File size information, file type information, file install time information, file change time information and file hash value information, file resource information, file header information, and hash value of a specific position in the file for each of the at least one file Information of the downloaded file, URL information of the downloaded file, and certificate information. 제 1 항 내지 제 5 항 중 어느 한 항의 방법을 수행하는 프로그램을 기록한 컴퓨터 판독 가능 기록 매체.A computer-readable recording medium recording a program for performing the method of any one of claims 1 to 5.
KR1020120088554A 2012-08-13 2012-08-13 File access control device and control method for virtual enviroment KR101392821B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020120088554A KR101392821B1 (en) 2012-08-13 2012-08-13 File access control device and control method for virtual enviroment

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120088554A KR101392821B1 (en) 2012-08-13 2012-08-13 File access control device and control method for virtual enviroment

Publications (2)

Publication Number Publication Date
KR20140027622A true KR20140027622A (en) 2014-03-07
KR101392821B1 KR101392821B1 (en) 2014-05-09

Family

ID=50641422

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120088554A KR101392821B1 (en) 2012-08-13 2012-08-13 File access control device and control method for virtual enviroment

Country Status (1)

Country Link
KR (1) KR101392821B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10846376B2 (en) 2016-03-11 2020-11-24 Samsung Electronics Co., Ltd. Electronic apparatus and control method thereof

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100707940B1 (en) * 2006-02-27 2007-04-13 전남대학교산학협력단 Security method for supporting various access control policies in operating system or application

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10846376B2 (en) 2016-03-11 2020-11-24 Samsung Electronics Co., Ltd. Electronic apparatus and control method thereof

Also Published As

Publication number Publication date
KR101392821B1 (en) 2014-05-09

Similar Documents

Publication Publication Date Title
KR102137773B1 (en) System for transmitting secure data via security application and method thereof
CN109446815B (en) Management method and device for basic input/output system firmware and server
JP5900911B2 (en) File system access for one or more sandboxed applications
EP2828745B1 (en) Updating software components
US10289860B2 (en) Method and apparatus for access control of application program for secure storage area
US10474812B2 (en) System and method for secure execution of script files
US11038860B2 (en) Virtualized host ID key sharing
US9396329B2 (en) Methods and apparatus for a safe and secure software update solution against attacks from malicious or unauthorized programs to update protected secondary storage
JP5381670B2 (en) Execution control method, execution control program, and execution control apparatus
US9690944B2 (en) System and method updating disk encryption software and performing pre-boot compatibility verification
CN102110213A (en) Detection of hided object in computer system
US11397815B2 (en) Secure data protection
JP2018124893A (en) Computer system and file access controlling method
EP3178032A1 (en) Embedding secret data in code
JP2012212431A (en) System and method implemented in security service
JP2008305377A (en) System and method for intrusion protection of network storage
KR20200041639A (en) In-vehicle software update system and method for controlling the same
US20160044041A1 (en) Verifying caller authorization using secret data embedded in code
CN115244535A (en) System and method for protecting folders from unauthorized file modification
KR101392821B1 (en) File access control device and control method for virtual enviroment
JP2019046266A (en) Information processor, information processing method, and program
KR102058493B1 (en) Security device and method for providing security service through guest operating system integrity and file i / o control
US20140090063A1 (en) System and method for inhibiting the processing of new code modules by an outdated runtime environment
JP6253333B2 (en) Information processing apparatus, information processing system, and information processing method
KR102332588B1 (en) Cache Tamper-Proof Method and System on Android

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee