KR20170022797A - Method of Streamlining of Access Control in Kernel Layer, Program and System using thereof - Google Patents

Method of Streamlining of Access Control in Kernel Layer, Program and System using thereof Download PDF

Info

Publication number
KR20170022797A
KR20170022797A KR1020150118257A KR20150118257A KR20170022797A KR 20170022797 A KR20170022797 A KR 20170022797A KR 1020150118257 A KR1020150118257 A KR 1020150118257A KR 20150118257 A KR20150118257 A KR 20150118257A KR 20170022797 A KR20170022797 A KR 20170022797A
Authority
KR
South Korea
Prior art keywords
access
access right
information
access control
right information
Prior art date
Application number
KR1020150118257A
Other languages
Korean (ko)
Other versions
KR102398014B1 (en
Inventor
이종건
김경남
박종하
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020150118257A priority Critical patent/KR102398014B1/en
Publication of KR20170022797A publication Critical patent/KR20170022797A/en
Application granted granted Critical
Publication of KR102398014B1 publication Critical patent/KR102398014B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

According to an embodiment of the present invention, there is disclosed a method of efficiently controlling an access in a kernel area, capable of reducing a system load while ensuring security. The method of controlling the access in the kernel domain includes: obtaining an access request for a first object of a process; determining whether access right information corresponding to the access request exists in a previously stored access right test result; a first determining step of determining whether the access request is accepted based on a preset access right policy when the access right information corresponding to the access request does not exist in a preset access right judgement result; and recording the access right information for the first object and the access right information for a related object having a route related to the first object as a preset access right judgement result based on the predetermined access right policy.

Description

커널영역에서의 접근통제 효율화 방법,그 프로그램 및 시스템 {Method of Streamlining of Access Control in Kernel Layer, Program and System using thereof}TECHNICAL FIELD The present invention relates to a method and apparatus for access control in a kernel area,

본 발명은 커널영역에서의 접근통제 효율화 방법, 그 프로그램 및 시스템에 관한 것이다. 보다 구체적으로, 본 발명은 시간적 또는 공간적 연관성에 기초하여 접근권한을 검사하고, 이를 저장 및 이용하여 커널영역에서의 접근통제를 효율적으로 구현하는 방법, 그 프로그램 및 시스템에 관한 것이다.FIELD OF THE INVENTION The present invention relates to a method and system for access control in a kernel domain. More particularly, the present invention relates to a method, program, and system for efficiently access control in a kernel domain by checking access rights based on temporal or spatial associations, storing and using them.

OS(Operating System)를 이용한 접근통제 기술은, 미리 설정된 보안정책에 근거하여, 시스템 콜 후킹을 통해 프로세스(Subject)가 접근하고자 하는 객체(Object)에 대한 정당한 권한을 갖는지를 우선적으로 결정하는 것을 그 주된 구성으로 한다.An access control technology using an OS (Operating System) is to preferentially determine whether a process (Subject) has a right to an object (Object) to be accessed through system call hooking based on a preset security policy The main configuration is as follows.

여기서 시스템 콜이란, 커널영역이 특정기능(예: 파일 열기)을 수행하기 위하여 유저영역에서 호출 가능한 인터페이스로, 시스템 콜로 인해 프로세서의 제어가 유저영역에서 커널영역으로 전환되며, 해당기능 수행에 앞서 시스템 콜 후킹을 통해 프로세스의 객체에 대한 접근권한(해당 시스템 콜 서비스)을 검사할 수 있다.Here, the system call is an interface that can be called from the user area in order to perform a specific function (e.g., file open) in the kernel area. The processor control is switched from the user area to the kernel area due to the system call. Call hooking allows you to check the access rights (the corresponding system call service) of an object in the process.

즉, 이를 통해 기존의 OS에 의한 권한검사에 앞서, 접근통제를 수행할 수 있으므로, 보다 효과적인 보안체제를 구축할 수 있게 된다.That is, through this, access control can be performed prior to the authority check by the existing OS, so that a more effective security system can be constructed.

하지만, 이러한 Secure OS 영역에서의 접근통제 검사는, 각 프로세스별 객체에 대한 접근요청에 대응하여 일일이 수행되어야 하므로, 시스템상 과부하 초래 및 이로 인한 성능저하를 일으킬 수 있다는 단점이 있으며, 따라서 이를 개선한, 보다 효율적인 커널영역에서의 접근통제 방법의 구현이 필요한 실정이다.However, since the access control inspection in the Secure OS area is performed in response to the access request for each object of each process, there is a disadvantage that it may cause overload of the system and deterioration of performance due to the system overload. , It is necessary to implement a more efficient access control method in the kernel area.

본 발명의 일 실시예에 따른 커널영역에서의 접근통제 효율화 방법, 그 프로그램 및 시스템은 시간적 또는 공간적 연관성에 기초한 접근권한 검사결과를 저장하고, 이를 이용함으로써 커널영역에서의 접근통제 효율성을 증가시키는 것을 목적으로 한다.The access control efficiency method, the program and the system in the kernel domain according to an embodiment of the present invention store access right inspection results based on temporal or spatial associations and increase the access control efficiency in the kernel domain by using them The purpose.

또한, 본 발명의 일 실시예에 따른 커널영역에서의 접근통제 효율화 방법, 그 프로그램 및 시스템은 커널영역에서의 접근통제 효율성을 증가시켜, 시스템의 부하를 줄이면서 보안성을 확보하는 것을 목적으로 한다.Also, a method, a program, and a system for access control in a kernel area according to an embodiment of the present invention aim to increase the access control efficiency in a kernel area and secure security while reducing the load of the system .

본 발명에서 이루고자 하는 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급하지 않은 또 다른 기술적 과제들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.It is to be understood that both the foregoing general description and the following detailed description are exemplary and explanatory and are not restrictive of the invention, unless further departing from the spirit and scope of the invention as defined by the appended claims. It will be possible.

본 발명의 일 실시예에 따른 커널영역에서의 접근통제 효율화 방법은,A method of access control efficiency in a kernel area according to an embodiment of the present invention includes:

프로세스의 제1 객체에 대한 접근요청을 획득하는 단계; 상기 접근요청에 대응하는 접근권한 정보가 기 저장된 접근권한 검사결과에 존재하는지 판단하는 단계; 상기 판단 결과, 상기 기 저장된 접근권한 검사결과에 상기 접근요청에 대응하는 접근권한 정보가 존재하지 않는 경우, 기 설정된 접근권한 정책을 바탕으로 상기 접근요청의 허용 여부를 결정하는 제1 결정 단계; 및 상기 기 설정된 접근권한 정책을 바탕으로, 상기 프로세스의, 상기 제1 객체에 대한 접근권한 정보 및 상기 제1 객체와 경로 관련성이 있는 관련 객체에 대한 접근권한 정보를, 상기 기 저장된 접근권한 검사결과로서 기록하는 단계를 포함할 수 있다.Obtaining an access request for a first object of a process; Determining whether the access right information corresponding to the access request exists in the previously stored access right test result; A first determining step of determining whether the access request is allowed based on the predetermined access right policy when the access right information corresponding to the access request does not exist in the pre-stored access right inspection result as the determination result; And an access right information acquiring unit acquiring access right information on the first object and access right information on a related object related to the path related to the first object based on the preset access right policy, As shown in FIG.

상기 기록하는 단계는, 상기 제1 객체와 동일한 경로를 가지는 상기 관련 객체에 대한 접근권한 정보를, 상기 기 저장된 접근권한 검사결과로서 기록하는 단계를 포함할 수 있다.The writing may include recording access right information on the related object having the same path as the first object as the result of checking the pre-stored access right.

상기 관련 객체는 상기 제1 객체와 동일한 형식을 가질 수 있다.The related object may have the same format as the first object.

상기 기록하는 단계는, 상기 경로에 대한 정보 및, 상기 제1 객체와 관련 객체 사이에 공통되는 최소 접근권한 정보를, 상기 기 저장된 접근통제 검사결과에 기록하는 단계를 포함할 수 있다.The recording step may include recording information on the path and a minimum access right information common to the first object and the related object in the pre-stored access control test result.

상기 커널영역에서의 접근통제 방법은, 상기 프로세스의 제2 객체에 대한 접근요청을 획득하는 단계; 상기 제2 객체에 대한 접근요청에 대응하는 접근권한 정보가 기 저장된 접근권한 검사결과에 존재하지 않으면, 상기 제2 객체에 대한 접근요청에 대응하는 경로 정보 및 최소 접근권한 정보가 상기 기 저장된 접근권한 검사결과에 존재하는지 판단하는 단계; 및 상기 판단 결과, 상기 기 저장된 접근권한 검사결과에 상기 경로 및 최소 접근권한 정보가 존재하는 경우, 해당 정보를 이용하여 상기 제2 객체에 대한 접근요청의 허용 여부를 결정하는 제2 결정 단계를 더 포함할 수 있다.The access control method in the kernel area includes: obtaining an access request for a second object of the process; If the access right information corresponding to the access request for the second object does not exist in the pre-stored access right test result, the path information corresponding to the access request for the second object and the minimum access right information are stored in the pre- Determining whether the test result exists in the test result; And a second determination step of determining whether to permit access to the second object using the information if the path and the minimum access right information exist in the pre-stored access right inspection result as a result of the determination .

상기 기록하는 단계는 상기 제1 객체에 대한 접근권한 정보 및 상기 관련 객체에 대한 접근권한 정보를, 유효시간과 함께 기록하는 단계를 포함하되, 상기 유효시간이 만료되는 경우, 해당 정보는 삭제될 수 있다.Wherein the step of recording includes recording the access right information for the first object and the access right information for the related object together with the valid time, and when the valid time expires, the corresponding information can be deleted have.

상기 커널영역에서의 접근통제 방법은 상기 판단 결과, 상기 기 저장된 접근권한 검사결과에 상기 프로세스의 상기 제1 객체에 대한 접근권한 정보가 존재하는 경우, 해당 정보를 이용하여 상기 접근요청의 허용 여부를 결정하는 제3 결정 단계를 포함할 수 있다.The access control method in the kernel area may include a step of determining whether or not the access request is permitted using the corresponding information when the access right information for the first object of the process exists in the pre- And a third determining step of determining the second determining step.

상기 기록하는 단계는, 상기 제3 결정에 이용된 상기 해당 정보의 유효시간을 재설정하는 단계를 더 포함할 수 있다.The recording may further include resetting an effective time of the corresponding information used in the third determination.

상기 기록하는 단계는, 상기 제3 결정에 이용된 상기 해당 정보의 참조값을 더하는 단계를 더 포함하되, 상기 기 저장된 접근권한 검사결과가 소정 용량을 초과하는 경우, 상기 참조값을 대비하여, 가장 적게 참조되거나, 가장 오래 전에 참조된 접근권한 정보는 삭제될 수 있다.Wherein the step of recording further includes adding a reference value of the corresponding information used in the third determination, wherein when the result of checking the previously stored access right exceeds a predetermined capacity, Or the oldest previously referenced information may be deleted.

상기 커널영역에서의 접근통제 방법은, 상기 프로세스가 종료된 경우, 상기 기 저장된 접근권한 검사결과 중 상기 종료된 프로세스에 관한 접근권한 정보는 삭제하는 단계를 더 포함할 수 있다.The access control method in the kernel area may further include deleting the access right information related to the terminated process out of the pre-stored access rights check result when the process ends.

상기 커널영역에서의 접근통제 방법은, 상기 판단하는 단계 전에, 기 설정된 프로세스 접근권한 정책에 기초하여, 상기 접근요청의 허용 여부를 결정하는 단계를 더 포함할 수 있다.The access control method in the kernel area may further include determining whether to permit the access request based on a predetermined process access right policy before the determining step.

상기 프로세스는 유저영역에서 동작하고, 상기 객체는 커널영역에 위치할 수 있다.The process operates in a user area, and the object may be located in a kernel area.

본 발명의 일 실시예에 따른 커널영역에서의 접근통제 효율화 시스템은,According to an embodiment of the present invention, there is provided an access control efficiency system in a kernel area,

프로세스의 객체에 대한 접근권한 정책을 관리하는 정책 관리부; 상기 프로세스의 제1 객체에 대한 접근요청에 대응하여, 상기 접근요청 허용 여부를 결정하는 접근통제 결정부; 및 상기 접근통제 결정부의 결정을 바탕으로, 상기 프로세스의, 상기 제1 객체에 대한 접근권한 정보 및 상기 제1 객체와 경로 관련성이 있는 관련 객체에 대한 접근권한 정보를 저장하는 연관성 관리부를 포함하되, 상기 접근통제 결정부는 상기 접근요청에 대응하는 접근권한 정보가 상기 연관성 관리부에 존재하는지 판단하고, 상기 판단 결과, 상기 연관성 관리부에 상기 프로세스의 상기 제1 객체에 대한 접근권한 정보가 존재하지 않는 경우, 상기 접근권한 정책을 바탕으로 상기 접근요청의 허용 여부를 결정할 수 있다.A policy management unit for managing policies for accessing objects of the process; An access control determining unit for determining whether to permit the access request in response to an access request for the first object of the process; And an association management unit for storing access rights information on the first object and access right information on an object related to the path related to the first object based on the determination of the access control decision unit, Wherein the access control determination unit determines whether the access right information corresponding to the access request exists in the association management unit and if the access right information for the first object of the process does not exist in the association management unit, It is possible to determine whether the access request is allowed based on the access right policy.

상기 접근통제 결정부는 상기 판단 결과, 상기 연관성 관리부에 상기 프로세스의 상기 제1 객체에 대한 접근권한 정보가 존재하는 경우, 해당 정보를 이용하여 상기 접근요청의 허용 여부를 결정할 수 있다.The access control determining unit may determine whether the access request is permitted by using the corresponding information, if the access right information for the first object of the process exists in the association management unit.

본 발명의 일 실시예에 따른 커널영역에서의 접근통제 효율화 방법, 그 프로그램 및 시스템은 시간적 또는 공간적 지역성에 기초한 접근권한 검사결과를 저장하고, 이를 이용함으로써 커널영역에서의 접근통제 효율성을 증가시킬 수 있다.The access control efficiency method, the program and the system in the kernel area according to the embodiment of the present invention store the access right test result based on the temporal or spatial locality and use it to increase the access control efficiency in the kernel area have.

또한, 본 발명의 일 실시예에 따른 커널영역에서의 접근통제 효율화 방법, 그 프로그램 및 시스템은 커널영역에서의 접근통제 효율성을 증가시켜, 시스템의 부하를 줄이면서 보안성을 확보할 수 있다.Also, the access control efficiency method, the program and the system in the kernel area according to the embodiment of the present invention can increase the access control efficiency in the kernel area, and can secure the security while reducing the load of the system.

본 발명을 통해 이뤄지는 기술적 효과들은 이상에서 언급한 기술적 효과들로 제한되지 않으며, 언급하지 않은 또 다른 기술적 효과들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.The technical effects achieved through the present invention are not limited to the technical effects mentioned above, and other technical effects not mentioned can be understood from the following description to be clearly understood by those skilled in the art It will be possible.

도 1은 Secure OS의 기능을 개략적으로 도시한 도면이다.
도 2는 종래의 커널영역에서의 접근통제 시스템 구성에 대해 개략적으로 도시한 도면이다.
도 3은 종래의 커널영역에서의 접근통제 방법이 수행되는 일 예를 도시한 도면이다.
도 4는 본 발명의 일 실시예에 따른 커널영역에서의 접근통제 시스템 구성에 대해 개략적으로 도시한 도면이다.
도 5는 본 발명의 일 실시예에 따른 커널영역에서의 접근통제 효율화 방법을 도시한 순서도이다.
도 6은 본 발명의 다른 실시예에 따른 커널영역에서의 접근통제 효율화 방법을 도시한 순서도이다.
도 7은 본 발명의 또 다른 실시예에 따른 커널영역에서의 접근통제 효율화 방법을 도시한 순서도이다.1 is a view schematically showing a function of the Secure OS.
2 is a diagram schematically showing the configuration of an access control system in a conventional kernel area.
3 is a diagram illustrating an example in which a conventional access control method in a kernel area is performed.
4 is a diagram schematically showing a configuration of an access control system in a kernel area according to an embodiment of the present invention.
5 is a flowchart illustrating a method of access control efficiency in a kernel area according to an embodiment of the present invention.
6 is a flowchart illustrating a method of access control efficiency in a kernel area according to another embodiment of the present invention.
7 is a flowchart illustrating a method of access control efficiency in a kernel area according to another embodiment of the present invention.

본 발명과 본 발명의 동작상의 이점 및 본 발명의 실시에 의하여 달성되는 목적을 설명하기 위하여, 이하에서는 본 발명의 바람직한 실시예를 예시하고 이를 참조하여 살펴본다.BRIEF DESCRIPTION OF THE DRAWINGS The above and other objects, features and advantages of the present invention will become more apparent from the following detailed description of the present invention when taken in conjunction with the accompanying drawings.

먼저, 본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로서, 본 발명을 한정하려는 의도가 아니며, 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함할 수 있다. 또한 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서 상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.First, the terminology used in the present application is used only to describe a specific embodiment, and is not intended to limit the present invention, and the singular expressions may include plural expressions unless the context clearly indicates otherwise. Also, in this application, the terms "comprise", "having", and the like are intended to specify that there are stated features, integers, steps, operations, elements, parts or combinations thereof, But do not preclude the presence or addition of features, numbers, steps, operations, components, parts, or combinations thereof.

또한, 본 발명에서 사용되는 '부'라는 용어는 소프트웨어, FPGA 또는 ASIC과 같은 하드웨어 구성요소를 의미하며, '부'는 어떤 역할들을 수행한다. 그렇지만 '부'는 소프트웨어 또는 하드웨어에 한정되는 의미는 아니다. '부'는 어드레싱할 수 있는 저장 매체에 있도록 구성될 수도 있고 하나 또는 그 이상의 프로세서들을 재생시키도록 구성될 수도 있다. 따라서, 일 예로서 '부'는 소프트웨어 구성요소들, 객체지향 소프트웨어 구성요소들, 클래스 구성요소들 및 태스크 구성요소들과 같은 구성요소들과, 프로세스들, 함수들, 속성들, 프로시저들, 서브루틴들, 프로그램 코드의 세그먼트들, 드라이버들, 펌웨어, 마이크로 코드, 회로, 데이터, 데이터베이스, 데이터 구조들, 테이블들, 어레이들 및 변수들을 포함한다. 구성요소들과 '부'들 안에서 제공되는 기능은 더 작은 수의 구성요소들 및 '부'들로 결합되거나 추가적인 구성요소들과 '부'들로 더 분리될 수 있다.Also, the term " part " used in the present invention means a hardware component such as software, FPGA or ASIC, and 'part' performs certain roles. However, 'minus' is not limited to software or hardware. The " part " may be configured to be in an addressable storage medium and configured to play back one or more processors. Thus, by way of example, and by no means, the terms " component " or " component " means any combination of components, such as software components, object- oriented software components, class components and task components, Subroutines, segments of program code, drivers, firmware, microcode, circuitry, data, databases, data structures, tables, arrays and variables. The functions provided in the components and parts may be combined into a smaller number of components and parts or further separated into additional components and parts.

한편, 본 발명을 설명함에 있어서, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략한다.In the following description of the present invention, a detailed description of known functions and configurations incorporated herein will be omitted when it may make the subject matter of the present invention rather unclear.

본 발명의 일 실시예에 따른, 커널영역에서의 접근통제 효율화 방법은, 시간적 또는 공간적 연관성 중 적어도 하나를 바탕으로 한 접근권한 검사를 수행하고, 이를 기록하여 차후 접근권한 검사 시 활용함으로써, 보다 효율적인 접근통제를 구현할 수 있다. 또한, 이를 통해 시스템의 부하 및 검사 비용을 줄이면서 보안성을 확보할 수 있다.According to an embodiment of the present invention, a method of access control efficiency in a kernel area is performed by performing an access right check based on at least one of temporal and spatial associations, Access control can be implemented. In addition, security can be ensured by reducing the load of the system and inspection cost.

위와 같은, 본 발명에서 개시되는 커널영역에서의 접근통제 효율화 방법에 대하여, 아래에서 도면을 참조하여 자세히 설명한다.The method of access control efficiency in the kernel area disclosed in the present invention will be described below in detail with reference to the drawings.

도 1은 Secure OS의 기능을 개략적으로 도시한 도면이다. 도시된 바와 같이, Secure OS는 OS영역에서의 접근권한 등에 대한 검사에 앞서, 프로세스의 객체에 대한 접근을 통제함으로써, 시스템 내에서 보다 효과적인 보안정책이 구현될 수 있도록 한다.1 is a view schematically showing a function of the Secure OS. As shown, the Secure OS allows access to objects of the process to be controlled prior to checking for access rights in the OS area, thereby enabling a more effective security policy to be implemented in the system.

상기 접근통제는 시스템 콜 후킹을 통해 이루어질 수 있으며, 관련된 보다 자세한 내용에 대해 도면 2를 참고하여 설명한다.The access control can be performed through system call hooking, and related details will be described with reference to FIG.

도 2는 종래의 커널영역에서의 접근통제 시스템 구성에 대해 개략적으로 도시한 도면이다. 도시된 바와 같이, 종래의 커널영역에서의 접근통제 시스템은 Secure OS(200) 내 정책 관리부(220) 및 접근통제 결정부(230)를 포함할 수 있다.2 is a diagram schematically showing the configuration of an access control system in a conventional kernel area. As shown, the access control system in the conventional kernel area may include the policy management unit 220 and the access control decision unit 230 in the Secure OS 200. [

상기 정책 관리부(220)는 기 설정된 접근권한 정책을 저장할 수 있으며, 상기 접근통제 결정부(230)는 프로세스의 객체에 대한 접근요청에 기초하여, 상기 프로세스의 상기 객체에 대한 접근권한을 결정할 수 있다.The policy management unit 220 may store a predetermined access right policy and the access control decision unit 230 may determine an access right to the object of the process based on an access request for the object of the process .

구체적으로는, 상기 접근통제 결정부(230)는 상기 정책 관리부(220)에 기 설정된 접근권한 정책을 바탕으로, 시스템 콜 후킹을 통해 상기 프로세스의 상기 객체에 대한 접근요청에 대응하는 접근통제를 수행할 수 있다.Specifically, the access control decision unit 230 performs access control corresponding to an access request to the object of the process through system call hooking, based on the policy of access right preset in the policy management unit 220 can do.

Figure pat00001
Figure pat00001

위 표 1에 도시된 바와 같이, 상기 정책 관리부(220)에 기 설정된 접근권한 정책은, 프로세스속성별 객체 및 오퍼레이션에 따른 통제 여부 정보를 포함할 수 있으며, 상기 접근통제 결정부(230)는 상기 접근권한 정책을 바탕으로, 시스템 콜 후킹을 통해 상기 접근요청에 대응하는 접근권한을 판단함으로써, 기존 OS 영역에서의 보안기능 수행에 앞서 시스템의 보안성을 확보할 수 있다.As shown in Table 1, the access control policy preset in the policy management unit 220 may include object and object-specific control information according to the process attribute, and the access control decision unit 230 It is possible to secure the security of the system prior to performing the security function in the existing OS area by judging the access right corresponding to the access request through the system call hooking based on the access right policy.

한편, 상기 프로세스는 접속 IP 주소 등을 포함하는 사용자 계정 및 프로세스를 포함할 수 있다.Meanwhile, the process may include a user account and a process including a connection IP address and the like.

도 3은 종래의 커널영역에서의 접근통제 방법이 수행되는 일 예를 도시한 도면이다. 도시된 바와 같이, 종래의 커널영역에서의 접근통제 방법은 상기 접근요청이 발생할 때마다 상기 정책 관리부(220)의 정보를 바탕으로 상기 접근통제 결정부(230)에서 접근통제를 수행함으로써, 동일한 객체에 대한 중복 검사가 수행될 수 있다.3 is a diagram illustrating an example in which a conventional access control method in a kernel area is performed. As shown, in the conventional access control method in the kernel area, access control is performed by the access control deciding unit 230 based on the information of the policy managing unit 220 whenever the access request is generated, May be performed.

이로 인해, 종래의 커널영역에서의 접근통제 방법에 의해서는, 접근통제에 소요되는 시간 및 비용이 늘어나게 되며, 또한, 이로 인해 시스템상에 과도한 부하를 초래하여 전체 성능을 저하시킨다는 단점이 있다.Therefore, according to the access control method in the conventional kernel area, time and cost required for access control are increased, and this causes an excessive load on the system, thereby deteriorating the overall performance.

따라서, 이러한 점을 개선하기 위해, 본 발명의 일 실시예에 따른 커널영역에서의 접근통제 효율화 방법에서는, 연관성 관리부(410)를 이용한 커널영역에서의 접근통제를 개시함으로써, 기존에 비해 접근통제에 소요되는 시간 및 비용을 줄인, 효율적인 접근통제 방법을 구현한다. 이에 관하여는 도 4 내지 도 7을 참고하여 아래에서 자세히 설명한다.In order to solve this problem, in the method of access control efficiency in the kernel area according to the embodiment of the present invention, access control is started in the kernel area using the association management part 410, Implement an efficient access control method that reduces the time and cost involved. This will be described in detail below with reference to Figs. 4 to 7.

도 4는 본 발명의 일 실시예에 따른 커널영역에서의 접근통제 시스템 구성에 대해 개략적으로 도시한 도면이다. 도시된 바와 같이, 본 발명의 일 실시예에 따른 커널영역에서의 접근통제 시스템은 Secure OS(400) 내 연관성 관리부(410), 정책 관리부(420) 및 접근통제 결정부(430)를 포함할 수 있다.4 is a diagram schematically showing a configuration of an access control system in a kernel area according to an embodiment of the present invention. The access control system in the kernel area according to an embodiment of the present invention may include the association management unit 410, the policy management unit 420 and the access control decision unit 430 in the Secure OS 400 have.

상기 연관성 관리부(410)는 상기 프로세스의 상기 제1 객체에 대한 접근요청에 대응하는 접근권한 정보 및 상기 제1 객체와 경로 관련성이 있는 관련 객체에 대한 접근권한 정보를 저장할 수 있다. 저장된 상기 접근권한 정보를 토대로, 상기 접근통제 결정부(430)는 상기 정책 관리부(420) 정책정보에 우선하여, 상기 접근요청에 대응하는 접근권한 허용 여부를 보다 효율적으로 결정할 수 있다.The association management unit 410 may store the access right information corresponding to the access request for the first object of the process and the access right information for the related object related to the path related to the first object. Based on the stored access right information, the access control decision unit 430 may more efficiently determine whether or not the access right corresponding to the access request is allowed prior to the policy information of the policy managing unit 420.

구체적으로는, 상기 연관성 관리부(410)는 상기 접근통제 결정부(430)의 접근권한 허용 여부 결정을 바탕으로, 상기 접근권한 정보를 저장할 수 있으며, 상기 저장은 상기 접근통제 결정부(430)의 상기 연관성 관리부(410)에 대한 기록을 통해 이뤄질 수 있다.Specifically, the association management unit 410 may store the access right information based on the access right decision of the access control decision unit 430, and the storage may be stored in the access control decision unit 430 And may be recorded through the association management unit 410.

그리고, 상기 관련 객체는 상기 제1 객체와 동일한 경로를 가지는 객체를 포함할 수 있으며, 상기 제1 객체와 동일한 형식을 가질 수 있다. 일 예로, 상기 제1 객체가 /lib/x86_64-linux-gnu/libselinux.so.1 파일 인 경우, 상기 관련 객체는 /lib/x86_64-linux-gnu/ 디렉토리 내 모든 파일을 포함할 수 있다.The related object may include an object having the same path as the first object, and may have the same format as the first object. For example, if the first object is /lib/x86_64-linux-gnu/libselinux.so.1, the associated object may include all files in the / lib / x86_64-linux-gnu / directory.

한편, 기록되는 상기 접근권한 정보는, 상기 정책 관리부(420)의 접근권한 정책정보에 저장된 상기 프로세스의 상기 제1 객체와 관련 객체에 대한 접근권한 정보 및 상기 접근권한 정책정보를 바탕으로 한 접근요청 허용 여부 결정 정보 중 적어도 하나를 포함할 수 있다.The access right information to be recorded includes access right information on the first object and the related object of the process stored in the access right policy information of the policy management unit 420 and access right information on the access right based on the access right policy information And permission / non-permission determination information.

상기 연관성 관리부(410)는 캐시 메모리에 위치하여, 보다 더 효율적인 접근 통제가 구현되도록 할 수 있다.The association management unit 410 may be located in the cache memory so that more efficient access control can be implemented.

상기 연관성 관리부(410)에 대해, 정책 관리부(420) 및 접근통제 결정부(430)와 함께 아래에서 보다 자세히 설명한다.The association management unit 410 will be described in detail below together with the policy management unit 420 and the access control decision unit 430.

상기 정책 관리부(420)는 위 표 1과 같이, 프로세스의 객체에 대한 접근권한 정책정보를 저장할 수 있다. 상기 프로세스는 사용자 계정 정보를 포함한 프로세스 정보를 포함할 수 있으며, 상기 객체는 파일, 디렉토리 등을 포함하며, 상기 제1 객체를 포함할 수 있다.As shown in Table 1, the policy management unit 420 may store policy information for accessing the object of the process. The process may include process information including user account information, the object including a file, a directory, and the like, and may include the first object.

일 예로, 상기 정책 관리부(420)는 특정 사용자 계정 내 특정 프로세스가 접근요청하는 파일 또는 디렉토리에 대한 접근권한 정보를 저장하고 있을 수 있다.For example, the policy management unit 420 may store information on access rights to a file or directory requested by a specific process in a specific user account.

한편, 상기 프로세스는 사용자의 입력 등을 바탕으로 유저영역에서 동작하고, 상기 제1 객체는 커널영역에 위치함으로써, Secure OS에 의한 접근통제가 구현될 수 있다.On the other hand, the process operates in the user area based on the input of the user, and the first object is located in the kernel area, so that access control by the Secure OS can be implemented.

상기 접근통제 결정부(430)는 상기 프로세스의 상기 제1 객체에 대한 접근요청에 대응하여, 상기 접근요청의 허용 여부를 결정할 수 있다.The access control decision unit 430 may determine whether to permit the access request in response to an access request for the first object of the process.

일 예로, 상기 정책 관리부(420)에 기 저장된 접근권한 정책정보 중 Root 계정 내 프로세스 B의 /lib/x86_64-linux-gnu/libselinux.so.1 에 대한 접근권한이 ReadOnly 일 때, 상기 Root 계정 내 프로세스 B의 상기 /lib/x86_64-linux-gnu/libselinux.so.1 에 대한 Write 접근요청이 있는 경우, 상기 접근통제 결정부(330)는 상기 접근요청을 거부(Deny)할 수 있다.For example, when the access right to / lib / x86_64-linux-gnu/libselinux.so.1 of the process B in the Root account among the access right policy information stored in the policy management unit 420 is ReadOnly, If there is a write access request to the /lib/x86_64-linux-gnu/libselinux.so.1 of the process B, the access control decision unit 330 may deny the access request.

한편, 상기 접근통제 결정부(430)는 상기 프로세스의 상기 제1 객체에 대한 접근권한 정보를 상기 연관성 관리부(410)에 기록할 수 있으며, 이로 인해 향후, 상기 프로세스의 상기 객체에 대한 접근요청시, 정책 관리부(420)를 통한 중복된 판단에 우선하여, 연관성 관리부(410)에 저장된 접근권한 정보를 이용함으로써, 보다 효율적인 접근통제를 구현할 수 있다.Meanwhile, the access control decision unit 430 may write the access right information on the first object of the process to the association management unit 410, and thereby, when an access request is made to the object of the process , More efficient access control can be realized by using the access right information stored in the association management unit 410 prior to overlapping judgment through the policy management unit 420. [

또한, 더 나아가, 본 발명의 일 실시예에 따른 커널영역에서의 접근통제 시스템은, 상기 프로세스의 상기 제1 객체와 경로 관련성이 있는 관련 객체에 대한 접근권한 정보를 상기 연관성 관리부(410)에 함께 기록할 수 있다.In addition, the access control system in the kernel domain according to an embodiment of the present invention may further include an access right information on an association object related to a path related to the first object of the process to the association management unit 410 Can be recorded.

이는 앞서 도 3에 도시된 바와 같이, 상기 프로세스의 객체에 대한 접근요청시, 동일한 경로 또는 인접한 경로에 속하는 객체에 대한 차후 접근요청 가능성이 높으므로, 최초 접근요청시 관련 객체에 대한 접근권한을 함께 판단하고, 상기 판단 결과를 상기 연관성 관리부(410)에 기록함으로써 보다 더 효율적인 커널영역에서의 접근통제 방법을 구현할 수 있게 하기 위함이다.As shown in FIG. 3, since the possibility of a subsequent access request to an object belonging to the same path or an adjacent path is high at the time of requesting access to the object of the process, And records the determination result in the association management unit 410, thereby enabling a more efficient access control method in the kernel area to be implemented.

즉, 상기 기록은, 차후 참조 가능성이 높은, 상기 프로세스의 상기 제1 객체와 경로 관련성이 있는 다른 객체에 대한 접근권한 정보에 대해서도 이루어질 수 있다. 일 예로, 상기 접근통제 결정부(430)는 상기 제1 객체 및 상기 제1 객체와 동일한 경로를 가지는 모든 객체에 대한 접근권한 정보를 상기 연관성 관리부(410)에 기록할 수 있다.That is, the recording may be performed on access right information for another object having a path relation with the first object of the process, which is highly likely to be referred later. For example, the access control decision unit 430 may record the access right information on all objects having the same path as the first object and the first object in the association management unit 410.

이를 통해, 상기 접근통제 결정부(430)는 상기 정책 관리부(420)에 기 저장된 접근권한 정책정보에 기초한 접근요청 허용 여부 결정((설명의 편의를 위해, 이하에서 상기 결정은 '제1 결정'이라 한다.)에 우선하여, 상기 연관성 관리부(410)에 기록된 접근권한 정보를 이용한 접근요청 허용 여부 결정을 수행함으로써, 보다 효율적인 접근통제를 구현할 수 있다.The access control decision unit 430 determines whether or not the access request is permitted based on the access right policy information previously stored in the policy management unit 420. For convenience of explanation, It is possible to implement more efficient access control by determining whether or not the access request is allowed based on the access right information recorded in the association management unit 410. [

Figure pat00002
Figure pat00002

또한, 위 표 2에 도시된 바와 같이, 상기 연관성 관리부(410)는 프로세스 및 객체별 요청권한, 유효시간, 접근통제 검사결과 정보 등을 저장할 수 있다.Also, as shown in Table 2, the association management unit 410 can store the request authority, the expiration time, and the access control test result information according to processes and objects.

상기 유효시간은 해당 정보의 존속시간을 의미할 수 있다. 즉, 상기 유효시간이 만료되는 경우, 해당 정보는 삭제될 수 있다.The validity time may mean the duration of the information. That is, when the effective time expires, the information may be deleted.

Figure pat00003
Figure pat00003

또한, 위 표 3에 도시된 바와 같이, 상기 연관성 관리부(410)는 프로세스 및 객체별 접근권한, 유효시간, 참조값 정보 등을 저장하고 있을 수 있다.Also, as shown in Table 3, the association management unit 410 may store access rights, effective time, reference value information, and the like for each process and object.

상기 접근권한은 상기 정책 관리부(420)에 저장된 접근권한 정책정보에 기초한, 접근권한 정보를 포함할 수 있으며, 상기 참조값은 해당 접근권한 정보가 상기 접근통제 판단부(430)에서 이용된 횟수를 의미할 수 있다.The access authority may include the access right information based on the access right policy information stored in the policy management unit 420. The reference value indicates the number of times the access right information is used by the access control determination unit 430 can do.

상기 참조값을 대비하여, 가장 적게 참조되거나, 가장 오래 전에 참조된 접근권한 정보는 삭제될 수 있다. 일 예로, 상기 기 저장된 접근권한 검사결과가 소정 용량을 초과하는 경우, 가장 적게 참조되거나, 가장 오래 전에 참조된 접근권한 정보는 삭제될 수 있다.In contrast to the reference value, the least recently referenced or previously referenced access rights information may be deleted. For example, if the pre-stored access right test result exceeds the predetermined capacity, the least-referenced or the oldest access right information may be deleted.

Figure pat00004
Figure pat00004

또한, 위 표 4에 도시된 바와 같이, 상기 연관성 관리부(410)는 특정 디렉토리에 대한 최소 접근권한 정보가 기록될 수 있다.Also, as shown in Table 4, the association management unit 410 may record information on the minimum access right to a specific directory.

일 예로, 상기 접근통제 결정부(430)는 /lib/x86_64-linux-gnu/ 디렉토리 내에 포함된 모든 객체(파일, 디렉토리 등)에 대한 접근권한을 판단한 후, 공통되는 최소 접근권한 정보를 상기 연관성 관리부(410)에 저장할 수 있다.For example, the access control decision unit 430 determines access rights to all objects (files, directories, etc.) included in the directory / lib / x86_64-linux-gnu / And may be stored in the management unit 410.

이를 통해, 차후 상기 프로세스의 상기 디렉토리 내에 포함된 제2 객체에 대한 접근요청 시, 상기 접근통제 결정부(420)는 상기 경로(디렉토리) 및 최소 접근권한 정보가 상기 연관성 관리부(410)의 기 저장된 접근권한 검사결과에 존재하는지 판단하고, 상기 판단 결과, 상기 기 저장된 접근권한 검사결과에 상기 경로 및 최소 접근권한 정보가 존재하는 경우, 해당 정보를 이용하여 상기 접근요청의 허용 여부를 결정할 수 있다(설명의 편의를 위해, 이하에서 상기 결정은 '제2 결정'이라 한다.).In response to the request for access to the second object included in the directory of the process, the access control decision unit 420 determines whether the path (directory) and the least-access information are stored in the association management unit 410 It is determined whether or not the access right exists in the inspection result, and if the path and the minimum access right exist in the result of the checking, the access right can be determined using the information. For convenience of explanation, the determination will be referred to as " second determination " hereinafter).

일 예로, 상기 경로 및 최소 접근권한 정보가 상기 접근요청에서의 권한 요청을 만족하는 경우, 해당 접근요청을 허용할 수 있으며, 만족하지 못하는 경우, 상기 정책 관리부(420)에 저장된 접근권한 정책정보에 기초하여, 접근요청 허용 여부를 결정할 수 있다.For example, if the path and the minimum access right information satisfies the request for access in the access request, the access request can be granted. If the path and the minimum access right information do not satisfy the access request, the access right policy information stored in the policy managing unit 420 It is possible to determine whether or not the access request is allowed.

다만, 상기 연관성 관리부(410)에 해당 접근요청에 대한 다른 기 저장된 접근권한 검사결과, 즉 최소 접근권한 정보가 아닌, 일반 접근권한 정보 등이 존재한다면, 상기 접근통제 결정부(420)는 상기 접근권한 정책정보에 기초한 접근요청 허용 여부에 우선하여, 해당 접근권한 검사결과를 이용하여 상기 접근요청에 대한 허용 여부를 결정함으로써, 시스템 부하를 줄이면서 보안성을 확보할 수 있다.However, if there is a general access right information other than the minimum access right information, the access control decision unit 420 determines that the access right decision unit 420 determines that the access right decision It is possible to secure security while reducing the load on the system by determining whether or not the access request is permitted by using the result of inspection of the access right prior to the permission of the access request based on one policy information.

상술한 바와 같이, 본 발명의 일 실시예에 따른 상기 접근통제 결정부(430)는 상기 제1 결정에 우선하여, 상기 연관성 관리부(410)에 기록된 접근권한 정보를 이용하여 프로세스의 객체에 대한 접근요청의 허용 여부를 결정(설명의 편의를 위해, 이하에서 상기 결정은 '제3 결정'이라 한다.)함으로써, 종래의 기술보다 효율적인 접근통제를 구현할 수 있다.As described above, the access control decision unit 430 according to an embodiment of the present invention uses the access right information recorded in the association management unit 410 prior to the first determination, By determining whether or not the access request is permitted (hereinafter, the determination is referred to as a 'third decision') for convenience of explanation, it is possible to implement more efficient access control than the conventional technique.

한편, 상기 접근통제 결정부(420)가 아닌, 상기 연관성 관리부(410)에서 상기 제1 결정과 관련된, 객체들에 대한 접근권한 검사 및 기록 등이 수행될 수도 있다. 즉, 본 발명의 일 실시예에 따른 구성별 수행 기능은 본 명세서 기재사항에 의해 제한되는 것은 아니며, 사용자의 구성에 따라 변경 또는 응용될 수 있다.Meanwhile, the access control unit 420 may check and record access rights to the objects related to the first determination by the association management unit 410, and the like. That is, the performance function according to the configuration according to the embodiment of the present invention is not limited by the description herein, but may be changed or applied according to the configuration of the user.

상기 본 발명의 일 실시예에 따른 커널영역에서의 접근통제 시스템에 의한 커널영역에서의 접근통제 효율화 방법에 대해 아래에서 도 5를 참고하여 보다 자세히 설명한다.A method of access control efficiency in the kernel area by the access control system in the kernel area according to an embodiment of the present invention will be described in detail with reference to FIG.

도 5는 본 발명의 일 실시예에 따른 커널영역에서의 접근통제 효율화 방법을 도시한 순서도이다.5 is a flowchart illustrating a method of access control efficiency in a kernel area according to an embodiment of the present invention.

S510 단계에서, 프로세스의 제1 객체에 대한 접근요청에 대응하는 접근권한 검사결과가 존재하는지 판단할 수 있다.In step S510, it may be determined whether there is an access right check result corresponding to the access request for the first object of the process.

상기 판단은 상기 접근통제 결정부에서 이루어질 수 있으며, 상기 접근권한 검사결과는 연관성 관리부에 기록되어 있을 수 있다. 이에 관하여는 위에서 자세히 설명하였으므로 생략하기로 한다.The determination may be made by the access control decision unit, and the result of the access right check may be recorded in the association management unit. This is described in detail above and will be omitted.

한편, 접근권한 검사결과는 상기 접근권한 정보 자료를 포함할 수 있으며, 상기 접근권한 정보는, 상기 정책 관리부(420)의 정책정보에 저장된 상기 프로세스의 상기 제1 객체에 대한 접근권한 정보 및 상기 정책 관리부(420)의 정책정보를 바탕으로 한 접근요청 허용 여부 결정 정보 중 적어도 하나를 포함할 수 있다.The access right inspection information may include the access right information data, and the access right information may include at least one of the access right information for the first object of the process stored in the policy information of the policy managing unit 420, And the access request permission / non-permission decision information based on the policy information of the management unit 420.

S520 단계에서, S510 단계에서의 판단 결과, 상기 접근권한 검사결과에 상기 프로세스의 상기 제1 객체에 대한 접근권한 정보가 존재하지 않는 경우, 기 설정된 접근권한 정책을 바탕으로 상기 프로세스의 상기 객체에 접근요청의 허용 여부를 결정할 수 있다(제1 결정).If it is determined in step S520 that the access right information for the first object of the process does not exist in the access right check result, the process accesses the object of the process based on the preset access right policy It is possible to determine whether the request is allowed (first decision).

구체적으로는, 상기 연관성 관리부에 상기 접근요청에 대응하는 접근권한 검사결과가 존재하지 않는 경우, 상기 접근통제 결정부는 상기 정책 관리부에 저장된 접근권한 정책을 바탕으로, 상기 접근요청의 허용 여부를 결정할 수 있다.Specifically, when there is no access right inspection result corresponding to the access request to the association management unit, the access control decision unit can determine whether to permit the access request based on the access right policy stored in the policy management unit have.

S530 단계에서, 상기 기 설정된 접근권한 정책을 바탕으로, 상기 프로세스의, 상기 제1 객체 및 상기 제1 객체와 경로 관련성이 있는 관련 객체에 대한 접근권한을 판단하고, 이를 상기 접근권한 검사결과로서 기록할 수 있다.In step S530, on the basis of the preset access right policy, the access right of the process related to the first object and the related object having the path relation with the first object is determined, and the access right is recorded can do.

상술한 바와 같이, 상기 제1 객체와 경로 관련성이 있는 관련 객체들의 경우, 차후 참조 가능성이 높으므로 미리 해당 접근권한 정보를 기록하여 보다 효율적인 접근통제를 수행할 수 있도록 한다.As described above, in the case of the related objects having a path relation with the first object, since the possibility of future reference is high, it is possible to perform more efficient access control by recording the corresponding access information in advance.

한편, 상기 경로 관련성은, 동일 경로에 존재하는 객체들에 대하여 상기 경로 관련성이 있는 것으로 판단할 수 있다. 또한 기 접근요청 이력을 바탕으로, 상기 경로 관련성을 분석·판단하여 적용할 수도 있다.On the other hand, the path relevance can determine that the objects in the same path have the path relevance. Also, based on the past access request history, the path relevance can be analyzed and judged and applied.

도 6은 본 발명의 다른 실시예에 따른 커널영역에서의 접근통제 효율화 방법을 도시한 순서도이다.6 is a flowchart illustrating a method of access control efficiency in a kernel area according to another embodiment of the present invention.

S610 단계에서, 프로세스의 제1 객체에 대한 접근요청에 대응하는 접근권한 검사결과가 존재하는지 판단할 수 있다.In step S610, it may be determined whether there is an access right check result corresponding to the access request for the first object of the process.

상기 판단은 상기 접근통제 결정부에서 이루어질 수 있으며, 상기 접근권한 검사결과는 연관성 관리부에 기록되어 있을 수 있다. 이에 관하여는 위에서 자세히 설명하였으므로 생략하기로 한다.The determination may be made by the access control decision unit, and the result of the access right check may be recorded in the association management unit. This is described in detail above and will be omitted.

S620 단계에서, S610 단계에서의 판단 결과, 상기 접근권한 검사결과에 상기 프로세스의 상기 제1 객체에 대한 접근권한 정보가 있는 경우, 해당 정보를 이용하여 상기 프로세스의 상기 제1 객체에 대한 접근요청 허용 여부를 결정할 수 있다(제3 결정).If it is determined in step S620 that the access right information for the first object of the process is present in the result of the access right check, (Third decision).

즉, 상기 접근통제 결정부는 상기 연관성 관리부에 기록된 접근권한 검사결과에 상기 프로세스의 상기 제1 객체에 대한 접근권한 정보가 있는 경우, 상기 제1 결정에 우선하여, 상기 접근요청 허용 여부를 결정함으로써, 보다 효율적인 접근통제를 구현할 수 있다(제3 결정).That is, if there is access right information on the first object of the process in the access right check result recorded in the association management unit, the access control decision unit determines whether or not to grant the access request prior to the first decision , Enabling more efficient access control (third decision).

한편, 상기 접근권한 정보는, 상기 프로세스의 상기 제1 객체에 대한 접근권한 정보 및 접근요청 허용 여부 결정 정보 중 적어도 하나를 포함할 수 있다.The access right information may include at least one of access right information for the first object of the process and access information determination information.

도 7은 본 발명의 또 다른 실시예에 따른 커널영역에서의 접근통제 효율화 방법을 도시한 순서도이다. 도시된 바와 같이, 도 7은 프로세스의 제1 객체에 대한 접근요청에 대응하는 접근권한 검사결과가 존재하지 않는 경우(S710, S720, S730, S740, S750) 및 존재하는 경우(S710, S720, S760, S770)에 대한 또 다른 실시예를 모두 도시한 순서도로써, 각 단계별 구성 중 상술한 내용과 겹치는 부분에 대해서는 설명을 생략하기로 한다.7 is a flowchart illustrating a method of access control efficiency in a kernel area according to another embodiment of the present invention. 7, if there is no access right check result corresponding to the access request for the first object of the process (S710, S720, S730, S740, S750) and if there is an access right check result corresponding to the access right request (S710, S720, S760 , S770) according to the second embodiment of the present invention.

S710 단계에서, 프로세스의 제1 객체에 대한 접근요청에 대응하는 접근권한 검사결과가 존재하는지 판단할 수 있다.In step S710, it may be determined whether there is an access right check result corresponding to the access request for the first object of the process.

S720 단계에서, 상기 접근권한 검사결과 내에 상기 접근요청에 대응하는 접근권한 정보의 유무를 판단할 수 있다.In step S720, it is possible to determine whether the access right information corresponding to the access request exists in the access right result.

S730 단계에서, 상기 접근권한 검사결과 내 해당 접근권한 정보가 없는 경우, 기 설정된 접근권한 정책을 바탕으로 상기 프로세스의 상기 제1 객체에 대한 접근요청 허용 여부를 결정할 수 있다.In step S730, if there is no corresponding access right information in the access right test result, it may be determined whether or not the access request for the first object of the process is permitted based on the preset access right policy.

S740 단계에서, 상기 제1 객체의 경로 및 상기 경로 내 모든 객체의 최소 접근권한 정보를 기록할 수 있다.In step S740, the path of the first object and the minimum access right information of all objects in the path may be recorded.

일 예로, 앞서 표 4에 도시된 바와 같이, /lib/x86_64-linux-gnu/ 디렉토리 내에 포함된 모든 객체(파일, 디렉토리 등)에 대한 접근권한을 판단한 후, 해당 객체들 사이에서 공통되는 최소 접근권한 정보가 기록될 수 있다.For example, as shown in Table 4, after determining access rights to all objects (files, directories, etc.) included in the / lib / x86_64-linux-gnu / directory, One piece of information can be recorded.

이는, 차후 상기 프로세스의 상기 디렉토리 내에 포함된 특정 객체에 대한 접근요청 시, 상기 경로(디렉토리) 및 최소 접근권한 정보가 기 저장된 접근권한 검사결과에 존재하는지 판단하고, 상기 판단 결과, 상기 기 저장된 접근권한 검사결과에 상기 경로 및 최소 접근권한 정보가 존재하는 경우, 해당 정보를 이용하여 상기 접근요청의 허용 여부를 결정할 수 있도록 하는데, 이용될 수 있다.It is determined whether the path (directory) and the minimum access right information exist in the pre-stored access right check result at the time of an access request for a specific object included in the directory of the process of the process in the future, And if the path and the minimum access right information exist in one inspection result, the access information can be used to determine whether the access request is allowed or not.

즉, 상기 경로 및 최소 접근권한 정보가 상기 접근요청에서의 권한 요청을 만족하는 경우, 해당 접근요청을 허용할 수 있으며, 만족하지 못하는 경우, 기 저장된 접근권한 정책정보에 기초하여, 접근요청 허용 여부를 결정할 수 있다(제2 결정).That is, if the path and the minimum access right information satisfies the request for access in the access request, the access request can be allowed. If the path and the minimum access right information do not satisfy the access request, (Second decision).

S750 단계에서, 해당 접근권한 정보의 유효시간 및 참조값을 기록할 수 있다.In step S750, the effective time and the reference value of the access right information can be recorded.

상기 유효시간 및 참조값은, 기 저장된 접근권한 검사결과에 할당된 용량을 효율적으로 이용하기 위한 것으로써, 상기 유효시간이 만료되는 경우, 해당 접근권한 정보는 삭제될 수 있다.The validity time and the reference value are used to efficiently use the capacity allocated to the result of checking the previously stored access rights. If the validity time expires, the information of the access right may be deleted.

한편, 접근요청 허용 여부 결정에 이용된 상기 해당 정보의 유효시간은 재설정될 수 있으며, 이를 통해 이용된 상기 해당 정보를 더 장시간 저장할 수 있다.On the other hand, the valid time of the corresponding information used in the determination of whether or not the access request is permitted can be reset, and the corresponding information used can be stored for a longer time.

또한, 상기 접근요청 허용 여부 결정에 이용된 상기 해당 정보의 참조값을 더할 수 있으며, 상기 참조값에 기초하여, 상기 기 저장된 접근권한 검사결과가 소정 용량을 초과하는 경우 가장 적게 참조된 접근권한 정보는 삭제될 수 있다.In addition, a reference value of the corresponding information used in the determination of whether or not the access request is permitted can be added. If the result of checking the previously stored access right exceeds the predetermined capacity, based on the reference value, the least- .

한편, 상기 참조값 기록시, 기록시간 또한 저장함으로써 가장 오래 전에 참조된 접근권한 정보는 삭제될 수 있다.On the other hand, at the time of recording the reference value, by storing the recording time, the access right information referenced the longest ago can be deleted.

S760 단계에서, 상기 접근권한 검사결과 내 해당 접근권한 정보가 존재하는 경우, 상기 접근권한 정보를 이용하여 상기 접근요청 허용 여부를 결정할 수 있다.In step S760, if there is information corresponding to the access right in the result of the access right test, it is possible to determine whether the access request is permitted using the access right information.

S770 단계에서, 이용된 상기 접근권한 정보의 유효시간 및 참조값을 변경할 수 있다.In step S770, the valid time and the reference value of the used access right information can be changed.

이는 S750 단계에서 설명한 바와 같이, 기 저장된 접근권한 검사결과에 할당된 용량을 효율적으로 이용하기 위한 것이다.This is for efficiently utilizing the capacity allocated to the result of checking the previously stored access rights, as described in step S750.

또한, 본 발명의 또 다른 실시예에 따른 커널영역에서의 접근통제 방법은, 프로세스가 종료되는 경우, 상기 기 저장된 접근권한 검사결과 중 상기 종료된 프로세스에 관한 접근권한 정보는 삭제함으로써, 상기 기 저장된 접근권한 검사결과에 할당된 용량을 보다 더 효율적으로 이용할 수 있다.According to another aspect of the present invention, there is provided a method of access control in a kernel area, comprising the steps of: deleting, when a process ends, It is possible to use the capacity allocated to the result of the access right test more efficiently.

한편, 본 발명의 일 실시예에 따른 커널영역에서의 접근통제 방법, 그 프로그램 및 시스템은 프로세스의 객체에 대한 접근요청에 대응하여, 상기 프로세스의 상기 객체에 대한 접근통제를 결정하기 전에, 기 설정된 프로세스 접근권한 정책에 기초하여, 상기 프로세스의 접근요청 허용 여부를 결정하는 단계를 더 포함할 수 있다.Meanwhile, the access control method, the program, and the system in the kernel domain according to an embodiment of the present invention may be configured such that, in response to an access request for an object of a process, before the access control of the process is determined, Determining whether or not to permit the access request of the process based on the process access right policy.

상술한 바와 같이, 본 발명의 일 실시예에 따른 커널영역에서의 접근통제 방법은, 연관성 관리부(410), 정책 관리부(320) 및 접근통제 결정부(330) 등을 이용하여, 시스템 콜 후킹을 통한 Secure OS 영역에서의 접근통제를 보다 효율적으로 구현할 수 있다.As described above, in the access control method in the kernel area according to the embodiment of the present invention, system call hooking is performed using the association management unit 410, the policy management unit 320, the access control decision unit 330, It is possible to implement access control in the Secure OS area more efficiently.

한편, 본 발명의 일 실시예에 따른 커널영역에서의 접근통제 방법은 컴퓨터상에서 수행하기 위한 프로그램을 포함하는 컴퓨터 판독가능 저장 매체를 포함할 수 있다. 상기 컴퓨터 판독가능 저장 매체는 프로그램 명령, 로컬 데이터 파일, 로컬 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체는 본 발명을 위하여 특별히 설계되고 구성된 것들일 수 있다. 컴퓨터 판독가능 저장 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM, DVD와 같은 광 기록 매체, 플롭티컬 디스크와 같은 자기-광 매체 및 롬, 램, 플래시 메모리 등과 같은, 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함할 수 있다.Meanwhile, the access control method in the kernel area according to an embodiment of the present invention may include a computer-readable storage medium including a program to be executed on a computer. The computer-readable storage medium may include program instructions, local data files, local data structures, etc., alone or in combination. The media may be those specially designed and constructed for the present invention. Examples of computer-readable storage media include magnetic media such as hard disks, floppy disks and magnetic tape, optical recording media such as CD-ROMs and DVDs, magnetic-optical media such as floppy disks, and magnetic and optical media such as ROMs, , And a hardware device specifically configured to store and execute program instructions. Examples of program instructions may include machine language code such as those generated by a compiler, as well as high-level language code that may be executed by a computer using an interpreter or the like.

이상과 첨부된 도면을 참조하여 본 발명의 실시예를 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 일 예로, 연관성 관리부(410), 정책 관리부(320) 및 접근통제 결정부(330)에서 수행되는 각 기능들은, 수행프로세스가 그에 한정되는 것이 아니라 본 발명의 목적을 달성하기 위한 다양한 방향에서 변형되어 수행될 수 있다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다.While the present invention has been described in connection with what is presently considered to be practical exemplary embodiments, it is to be understood that the invention is not limited to the disclosed embodiments, but, on the contrary, It will be understood. For example, each of the functions performed by the association management unit 410, the policy management unit 320, and the access control decision unit 330 is not limited to the execution process, but may be modified in various ways to achieve the object of the present invention . It is therefore to be understood that the above-described embodiments are illustrative in all aspects and not restrictive.

100 : Secure OS
200, 400 : 커널영역에서의 접근통제 시스템
220, 420 : 정책 관리부
230, 430 : 접근통제 결정부
410 : 연관성 관리부100: Secure OS
200, 400: Access control system in kernel area
220, 420: Policy management unit
230, 430: access control decision unit
410: Association Management Unit

Claims (15)

프로세스의 제1 객체에 대한 접근요청을 획득하는 단계;
상기 접근요청에 대응하는 접근권한 정보가 기 저장된 접근권한 검사결과에 존재하는지 판단하는 단계;
상기 판단 결과, 상기 기 저장된 접근권한 검사결과에 상기 접근요청에 대응하는 접근권한 정보가 존재하지 않는 경우, 기 설정된 접근권한 정책을 바탕으로 상기 접근요청의 허용 여부를 결정하는 제1 결정 단계; 및
상기 기 설정된 접근권한 정책을 바탕으로, 상기 프로세스의, 상기 제1 객체에 대한 접근권한 정보 및 상기 제1 객체와 경로 관련성이 있는 관련 객체에 대한 접근권한 정보를, 상기 기 저장된 접근권한 검사결과로서 기록하는 단계를 포함하는, 커널영역에서의 접근통제 방법.
Obtaining an access request for a first object of a process;
Determining whether the access right information corresponding to the access request exists in the previously stored access right test result;
A first determining step of determining whether the access request is allowed based on the predetermined access right policy when the access right information corresponding to the access request does not exist in the pre-stored access right inspection result as the determination result; And
Wherein the access right information for the first object and the access right information for the related object that is related to the path with the first object are included in the process as a result of the pre- And accessing the kernel area.
제1항에 있어서,
상기 기록하는 단계는,
상기 제1 객체와 동일한 경로를 가지는 상기 관련 객체에 대한 접근권한 정보를, 상기 기 저장된 접근권한 검사결과로서 기록하는 단계를 포함하는, 커널영역에서의 접근통제 방법.
The method according to claim 1,
Wherein the recording step comprises:
And recording the access right information on the related object having the same path as the first object as the result of checking the pre-stored access right in the kernel area.
제2항에 있어서,
상기 관련 객체는
상기 제1 객체와 동일한 형식을 갖는, 커널영역에서의 접근통제 방법.
3. The method of claim 2,
The related object
Wherein the first object has the same format as the first object.
제2항에 있어서,
상기 기록하는 단계는,
상기 경로에 대한 정보 및, 상기 제1 객체와 관련 객체 사이에 공통되는 최소 접근권한 정보를, 상기 기 저장된 접근통제 검사결과에 기록하는 단계를 포함하는, 커널영역에서의 접근통제 방법.
3. The method of claim 2,
Wherein the recording step comprises:
And recording the information on the path and the minimum access right information common to the first object and the related object in the pre-stored access control check result.
제4항에 있어서,
상기 커널영역에서의 접근통제 방법은,
상기 프로세스의 제2 객체에 대한 접근요청을 획득하는 단계;
상기 제2 객체에 대한 접근요청에 대응하는 접근권한 정보가 기 저장된 접근권한 검사결과에 존재하지 않으면,
상기 제2 객체에 대한 접근요청에 대응하는 경로 정보 및 최소 접근권한 정보가 상기 기 저장된 접근권한 검사결과에 존재하는지 판단하는 단계; 및
상기 판단 결과, 상기 기 저장된 접근권한 검사결과에 상기 경로 및 최소 접근권한 정보가 존재하는 경우, 해당 정보를 이용하여 상기 제2 객체에 대한 접근요청의 허용 여부를 결정하는 제2 결정 단계를 더 포함하는, 커널영역에서의 접근통제 방법.
5. The method of claim 4,
The access control method in the kernel area includes:
Obtaining an access request for a second object of the process;
If the access right information corresponding to the access request for the second object does not exist in the previously stored access right test result,
Determining whether path information and minimum access right information corresponding to an access request for the second object exists in the pre-stored access right test result; And
And a second determining step of determining whether to permit access to the second object by using the information if the path and the minimum access right information exist in the pre-stored access right inspection result as a result of the determination A method of access control in the kernel domain.
제1항에 있어서,
상기 기록하는 단계는
상기 제1 객체에 대한 접근권한 정보 및 상기 관련 객체에 대한 접근권한 정보를, 유효시간과 함께 기록하는 단계를 포함하되,
상기 유효시간이 만료되는 경우, 해당 정보는 삭제되는 것을 특징으로 하는, 커널영역에서의 접근통제 방법.
The method according to claim 1,
The recording step
Recording the access right information for the first object and the access right information for the related object together with the validity time,
And when the valid time expires, the corresponding information is deleted.
제1항에 있어서,
상기 커널영역에서의 접근통제 방법은
상기 판단 결과, 상기 기 저장된 접근권한 검사결과에 상기 프로세스의 상기 제1 객체에 대한 접근권한 정보가 존재하는 경우, 해당 정보를 이용하여 상기 접근요청의 허용 여부를 결정하는 제3 결정 단계를 포함하는, 커널영역에서의 접근통제 방법.
The method according to claim 1,
The access control method in the kernel area
And a third determination step of determining whether the access right of the first object of the process exists in the result of the checking of the previously stored access right, , Access control method in kernel area.
제7항에 있어서,
상기 기록하는 단계는,
상기 제3 결정에 이용된 상기 해당 정보의 유효시간을 재설정하는 단계를 더 포함하는, 커널영역에서의 접근통제 방법.
8. The method of claim 7,
Wherein the recording step comprises:
And resetting the valid time of the corresponding information used in the third determination.
제7항에 있어서,
상기 기록하는 단계는,
상기 제3 결정에 이용된 상기 해당 정보의 참조값을 더하는 단계를 더 포함하되,
상기 기 저장된 접근권한 검사결과가 소정 용량을 초과하는 경우, 상기 참조값을 대비하여, 가장 적게 참조되거나, 가장 오래 전에 참조된 접근권한 정보는 삭제되는 것을 특징으로 하는, 커널영역에서의 접근통제 방법.
8. The method of claim 7,
Wherein the recording step comprises:
Further comprising adding a reference value of the corresponding information used in the third determination,
Wherein when the result of the pre-stored access right inspection exceeds a predetermined capacity, the least recently accessed or previously referenced access right information is deleted in comparison with the reference value.
제1항에 있어서,
상기 커널영역에서의 접근통제 방법은,
상기 프로세스가 종료된 경우, 상기 기 저장된 접근권한 검사결과 중 상기 종료된 프로세스에 관한 접근권한 정보는 삭제하는 단계를 더 포함하는, 커널영역에서의 접근통제 방법.
The method according to claim 1,
The access control method in the kernel area includes:
Further comprising the step of deleting, when the process is terminated, the access right information regarding the terminated process of the pre-stored access right inspection result.
제1항에 있어서,
상기 커널영역에서의 접근통제 방법은,
상기 판단하는 단계 전에,
기 설정된 프로세스 접근권한 정책에 기초하여, 상기 접근요청의 허용 여부를 결정하는 단계를 더 포함하는, 커널영역에서의 접근통제 방법.
The method according to claim 1,
The access control method in the kernel area includes:
Before the determining step,
Further comprising the step of determining whether to permit the access request based on a predetermined process access right policy.
제1항에 있어서,
상기 프로세스는 유저영역에서 동작하고,
상기 객체는 커널영역에 위치하는 것을 특징으로 하는, 커널영역에서의 접근통제 방법.
The method according to claim 1,
The process operating in a user area,
Wherein the object is located in a kernel area.
하드웨어와 결합되어, 제1항 내지 제12항 중 적어도 어느 한 항에 기재된 커널영역에서의 접근통제 방법을 실행시키기 위하여 매체에 저장된 프로그램.
12. A program stored in a medium for executing an access control method in a kernel area according to any one of claims 1 to 12, in combination with hardware.
프로세스의 객체에 대한 접근권한 정책을 관리하는 정책 관리부;
상기 프로세스의 제1 객체에 대한 접근요청에 대응하여, 상기 접근요청 허용 여부를 결정하는 접근통제 결정부; 및
상기 접근통제 결정부의 결정을 바탕으로, 상기 프로세스의, 상기 제1 객체에 대한 접근권한 정보 및 상기 제1 객체와 경로 관련성이 있는 관련 객체에 대한 접근권한 정보를 저장하는 연관성 관리부를 포함하되,
상기 접근통제 결정부는
상기 접근요청에 대응하는 접근권한 정보가 상기 연관성 관리부에 존재하는지 판단하고, 상기 판단 결과, 상기 연관성 관리부에 상기 프로세스의 상기 제1 객체에 대한 접근권한 정보가 존재하지 않는 경우, 상기 접근권한 정책을 바탕으로 상기 접근요청의 허용 여부를 결정하는 것을 특징으로 하는, 커널영역에서의 접근통제 시스템.
A policy management unit for managing policies for accessing objects of the process;
An access control determining unit for determining whether to permit the access request in response to an access request for the first object of the process; And
And an association management unit for storing access right information on the first object and access right information on an object related to the path related to the first object based on the determination of the access control decision unit,
The access control decision unit
Determining whether the access right information corresponding to the access request exists in the association management unit; and if the access right information for the first object of the process is not present in the association management unit, Wherein the access control unit determines whether the access request is allowed based on the access control information.
제14항에 있어서,
상기 접근통제 결정부는
상기 판단 결과, 상기 연관성 관리부에 상기 프로세스의 상기 제1 객체에 대한 접근권한 정보가 존재하는 경우, 해당 정보를 이용하여 상기 접근요청의 허용 여부를 결정하는 것을 특징으로 하는, 커널영역에서의 접근통제 시스템.15. The method of claim 14,
The access control decision unit
Wherein if the access right information for the first object of the process exists in the association management unit, the access control unit determines whether the access request is permitted using the corresponding information, system.
KR1020150118257A 2015-08-21 2015-08-21 Method of Streamlining of Access Control in Kernel Layer, Program and System using thereof KR102398014B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150118257A KR102398014B1 (en) 2015-08-21 2015-08-21 Method of Streamlining of Access Control in Kernel Layer, Program and System using thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150118257A KR102398014B1 (en) 2015-08-21 2015-08-21 Method of Streamlining of Access Control in Kernel Layer, Program and System using thereof

Publications (2)

Publication Number Publication Date
KR20170022797A true KR20170022797A (en) 2017-03-02
KR102398014B1 KR102398014B1 (en) 2022-05-16

Family

ID=58426924

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150118257A KR102398014B1 (en) 2015-08-21 2015-08-21 Method of Streamlining of Access Control in Kernel Layer, Program and System using thereof

Country Status (1)

Country Link
KR (1) KR102398014B1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180307850A1 (en) * 2017-04-19 2018-10-25 Servicenow, Inc. System for accessing a kernel space of an operating system with access control functionality
KR101956725B1 (en) * 2018-12-06 2019-03-11 주식회사 아신아이 A system for server access control using permitted execution files and dynamic library files
KR102542052B1 (en) * 2023-02-03 2023-06-13 주식회사 피앤피시큐어 Log count processing device and processing system at the kernel level, and log count method using it

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006053788A (en) * 2004-08-12 2006-02-23 Ntt Docomo Inc Software operation monitoring device and software operation monitoring method
JP2006155416A (en) * 2004-11-30 2006-06-15 Ntt Docomo Inc Access control device and access control method
JP2007133632A (en) * 2005-11-10 2007-05-31 Hitachi Software Eng Co Ltd Method and program for setting security policy
JP4077200B2 (en) * 2000-04-14 2008-04-16 シキュウヴ カンパニー リミテッド Method and apparatus for protecting file system based on electronic signature authentication
KR100882348B1 (en) * 2006-12-07 2009-02-13 한국전자통신연구원 Secure policy description method and apparatus for secure operating system

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4077200B2 (en) * 2000-04-14 2008-04-16 シキュウヴ カンパニー リミテッド Method and apparatus for protecting file system based on electronic signature authentication
JP2006053788A (en) * 2004-08-12 2006-02-23 Ntt Docomo Inc Software operation monitoring device and software operation monitoring method
JP2006155416A (en) * 2004-11-30 2006-06-15 Ntt Docomo Inc Access control device and access control method
JP2007133632A (en) * 2005-11-10 2007-05-31 Hitachi Software Eng Co Ltd Method and program for setting security policy
KR100882348B1 (en) * 2006-12-07 2009-02-13 한국전자통신연구원 Secure policy description method and apparatus for secure operating system

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180307850A1 (en) * 2017-04-19 2018-10-25 Servicenow, Inc. System for accessing a kernel space of an operating system with access control functionality
US10824745B2 (en) * 2017-04-19 2020-11-03 Servicenow, Inc. System for accessing a kernel space of an operating system with access control functionality
KR101956725B1 (en) * 2018-12-06 2019-03-11 주식회사 아신아이 A system for server access control using permitted execution files and dynamic library files
KR102542052B1 (en) * 2023-02-03 2023-06-13 주식회사 피앤피시큐어 Log count processing device and processing system at the kernel level, and log count method using it

Also Published As

Publication number Publication date
KR102398014B1 (en) 2022-05-16

Similar Documents

Publication Publication Date Title
US10404708B2 (en) System for secure file access
US8621605B2 (en) Method for reducing the time to diagnose the cause of unexpected changes to system files
US8464319B2 (en) Resource access based on multiple scope levels
JP4931255B2 (en) Virtualized file system
US8448217B2 (en) Computer program, method, and system for access control
US7689733B2 (en) Method and apparatus for policy-based direct memory access control
US10402378B2 (en) Method and system for executing an executable file
US9904484B2 (en) Securing protected information based on software designation
US12007849B2 (en) System and method for securing instant access of data in file based backups in a backup storage system using metadata files
JP4521865B2 (en) Storage system, computer system, or storage area attribute setting method
US8307166B2 (en) Information processing program, information processing device and information processing method
KR20170022797A (en) Method of Streamlining of Access Control in Kernel Layer, Program and System using thereof
KR101624005B1 (en) Controlling access to software component state
US9465752B2 (en) Systems and/or methods for policy-based access to data in memory tiers
JP2008305377A (en) System and method for intrusion protection of network storage
US9330016B2 (en) Systems and methods for managing read-only memory
US7890994B2 (en) Storage network system
KR101233810B1 (en) Apparatus and method of managing system resources of computer and processes
US10445289B1 (en) Method and apparatus for automatic cleanup of disfavored content
KR102134905B1 (en) Method and Apparatus for Processing Data Using Non-Volatile Memory
US8301608B1 (en) Real-time access of opportunistically locked files without breaking opportunistic locks
JP2014191766A (en) Lending management system, lending management device and lending management method
JP6257844B2 (en) Execution control device, execution control method, and execution control program
CN117909962A (en) Method and device for protecting browser plug-in at kernel driving level, medium and equipment
KR100971515B1 (en) A non-buffered computer system recovery device that does not use a hard disk as a buffer

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant