WO2017069489A1

WO2017069489A1 - 선택적 암호화 방법 및 그를 이용한 전자 장치

Info

Publication number: WO2017069489A1
Application number: PCT/KR2016/011693
Authority: WO
Inventors: 이우중; 길영진; 윤성환; 이기태; 정대호; 김민정
Original assignee: 삼성전자 주식회사
Priority date: 2015-10-19
Filing date: 2016-10-18
Publication date: 2017-04-27
Also published as: US20180307847A1; KR102428461B1; US10853503B2; KR20170045619A

Abstract

전자 장치의 동작 방법이 개시된다. 일 실시예에 의한 전자 장치의 동작 방법은 휘발성 메모리 상에 스토리지를 블록 장치로 가상화 하기 위한 블록 계층을 설정하는 동작, 설정된 블록 계층에, 파일을 블록 단위로 저장하는 동작, 블록 단위로 저장된, 파일을, 적어도 하나의 블록 단위로, 선택적으로 암호화하는 동작 및 암호화된 블록 및 암호화되지 않은 블록 중 적어도 하나를 스토리지에 저장하는 동작을 포함할 수 있다.

Description

선택적 암호화 방법 및 그를 이용한 전자 장치

본 발명의 다양한 실시예들은 전자 장치 및 그 동작 방법에 관한 것으로, 예를 들면, 스토리지에 저장되는 파일에 대한 블록을 선택적으로 암호화하는 전자 장치 및 그 동작 방법에 관한 것이다.

전자 장치는 운영 체제(operating system)의 파일 시스템을 통해 메모리에 파일을 구성하고, 파일을 읽고 쓸 수 있다.

데이터 보안 문제가 중요시됨에 따라, 다양한 형태의 메모리 또는 스토리지에 저장되는 파일의 데이터를 암호화하는 암호화 기능이 제공되고 있다.

디스크 장치와 같은 스토리지를 암호화 하는 방법으로는 디스크 장치 전체를 암호화하는 디스크 암호화 방법이 있으며, 전자 장치에서 디스크 장치가 물리적으로 제거된 뒤 또는 운영체제가 비활성화된 상태에서도 디스크 장치에 저장된 데이터를 보호할 수 있어서, 뛰어난 보안 성능을 제공할 수 있다.

디스크 암호화 방법은 디스크 장치에 블록 단위로 데이터를 입력 또는 출력하기 때문에, 이러한 디스크 장치 암호화 방법을 블록 장치 암호화라고도 한다.

일반적인 블록 장치 암호화 방식은 암호화 대상이 되는 블록 장치인 디스크 장치 전체를 암호화 함에 따라, 오류 분석을 위한 데이터까지 암호화되어서 블록 장치 또는 블록 장치가 포함된 시스템의 불안정으로 인한 파일 시스템의 오류를 분석하기 어렵다.

또한, 일반적인 블록 장치 암호화 방식은 암호화 대상이 되는 블록 장치에 저장된 블록 전체를 암호화하므로, 암호화 또는 복호화 동작이 비효율적일 수 있다.

본 발명의 다양한 실시예에서는, 블록을 선택적으로 암호화하여, 파일 시스템의 오류 등을 분석하기 위한 블록은 암호화를 수행하지 않을 수 있다.

또한, 본 발명의 다양한 실시예에서는, 다양한 기준을 기초로 복수의 데이터 중 암호화할 데이터를 판단하고, 판단 결과를 기초로 블록 암호화 동작을 수행할 수 있다.

또한, 본 발명의 다양한 실시예에서는, 블록 장치의 암호화와 관련된 동작을 효율적으로 수행할 수 있다.

본 발명의 다양한 실시예에서, 전자 장치는, 비휘발성 스토리지; 휘발성 메모리; 및 상기 스토리지 및 상기 메모리와 전기적으로 연결된 프로세서를 포함하고, 상기 스토리지는, 실행 시에, 상기 프로세서가, 상기 메모리 상에 상기 스토리지를 가상화 하기 위한 블록 계층을 설정하고, 상기 설정된 블록 계층에 파일을 블록 단위로 저장하고, 상기 블록 단위로 저장된, 상기 파일의 적어도 일부를, 상기 블록 단위로, 선택적으로 암호화하고, 상기 파일의 나머지를 암호화하지 않고, 암호화된 블록 또는 상기 암호화되지 않은 블록 중 적어도 하나를 상기 스토리지에 저장하도록 하는 인스트럭션들을 저장할 수 있다.

본 발명의 다양한 실시예에서, 전자 장치는, 비휘발성 스토리지; 휘발성 메모리; 및 상기 스토리지 및 상기 메모리와 전기적으로 연결된 프로세서를 포함하고, 상기 스토리지는, 실행 시에, 상기 프로세서가, 상기 메모리 상에 상기 스토리지를 블록 장치로 가상화하고, 상기 스토리지에 저장된 파일에 대한 입력 또는 출력 요청에 따라 상기 입력 또는 출력 요청에 태깅된, 암호화 여부에 대한 정보를 나타내는 암호화 태그를 기초로, 상기 입력 또는 출력 요청에 대응하는 파일의 블록을 선택적으로 암호화 또는 복호화하는 인스트럭션들을 저장할 수 있다.

본 발명의 다양한 실시예에서, 전자 장치는, 비휘발성 스토리지; 휘발성 메모리; 및 상기 스토리지 및 상기 메모리와 전기적으로 연결된 프로세서를 포함하고, 상기 스토리지는, 실행 시에, 상기 프로세서가, 상기 메모리 상에 상기 스토리지를 블록 장치로 가상화하고, 상기 가상화된 스토리지에 저장된 파일에 대응하는 적어도 하나의 블록을 선택적으로 암호화하고, 파일 시스템 유틸리티 구동에 따른 입력 또는 출력에 대해서는 암호화하지 않는 인스트럭션들을 저장할 수 있다.

본 발명의 다양한 실시예에서, 전자 장치의 동작 방법은, 메모리 상에 스토리지를 블록 장치로 가상화 하기 위한 블록 계층을 설정하는 동작; 상기 설정된 블록 계층에 파일을 블록 단위로 저장하는 동작; 상기 블록 단위로 저장된, 상기 파일을, 적어도 하나의 상기 블록 단위로, 선택적으로 암호화하는 동작; 및 암호화된 블록 및 암호화되지 않은 블록 중 적어도 하나를 상기 스토리지에 저장하는 동작을 포함할 수 있다.

본 발명의 다양한 실시예에 따라, 블록을 선택적으로 암호화할 수 있는 전자 장치 및 그 동작 방법을 제공될 수 있다. 이에 따라, 본 발명의 다양한 실시예에 의한 전자 장치는 디스크 장치에 저장되는 복수의 블록 중 암호화 대상 블록을 판단하고, 암호화가 필요한 데이터에 대응하는 블록의 데이터만을 암호화할 수 있다. 또한, 본 발명은 오류 해결을 위한 데이터에 대응하는 블록은 암호화하지 않아서, 오류 발생 시, 오류를 용이하게 수정할 수 있다. 또한, 본 발명은 암호화가 필요한 데이터에 대응하는 블록은 암호화할 수 있어서, 높은 보안 수준을 제공할 수 있다.

도 1은 본 발명의 다양한 실시예에 따른 전자 장치 및 네트워크의 블록도를 도시한다.

도 2는 다양한 실시예에 따른 전자 장치의 블록도이다.

도 3은 다양한 실시예에 따른 프로그램 모듈의 블록도이다.

도 4는 본 발명의 다양한 실시예에 따른 프로그램 모듈의 구성을 나타내는 블록도이다.

도 5는 본 발명의 다양한 실시예에 따른 전자 장치의 구성을 나타내는 블록도이다.

도 6은 본 발명의 다양한 실시예에 따른 블록 암호화 동작에 대한 흐름도이다.

도 7은 본 발명의 다양한 실시예에 따른 블록 암호화 동작을 나타내는 개념도이다.

도 8은 본 발명의 다양한 실시예에 따른 파일 입출력 요청에 따른 블록 암호화 여부 정보 설정 동작에 대한 흐름도이다.

도 9는 본 발명의 다양한 실시예에 따른 블록의 종류에 따른 블록 암호화 동작에 대한 예시도이다.

도 10은 본 발명의 다양한 실시예에 따른 블록 암호화 동작에 대한 흐름도이다.

도 11은 본 발명의 다양한 실시예에 따른 블록 암호화 동작에 대한 예시도이다.

도 12는 본 발명의 다양한 실시예에 따른 파일 시스템 유틸리티에 따른 암호화 동작에 대한 흐름도이다.

도 13은 본 발명의 다양한 실시예에 따른 파일 시스템 유틸리티에 대응하는 암호화 동작에 대한 예시도이다.

도 14는 본 발명의 다양한 실시예에 따른 암호화 모듈의 블록도이다.

이하, 본 문서의 다양한 실시예가 첨부된 도면을 참조하여 기재된다. 그러나, 이는 본 문서에 기재된 기술을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 문서의 실시예의 다양한 변경(modifications), 균등물(equivalents), 및/또는 대체물(alternatives)을 포함하는 것으로 이해되어야 한다. 도면의 설명과 관련하여, 유사한 구성요소에 대해서는 유사한 참조 부호가 사용될 수 있다.

본 문서에서, "가진다," "가질 수 있다," "포함한다," 또는 "포함할 수 있다" 등의 표현은 해당 특징(예: 수치, 기능, 동작, 또는 부품 등의 구성요소)의 존재를 가리키며, 추가적인 특징의 존재를 배제하지 않는다.

본 문서에서, "A 또는 B," "A 또는/및 B 중 적어도 하나," 또는 "A 또는/및 B 중 하나 또는 그 이상"등의 표현은 함께 나열된 항목들의 모든 가능한 조합을 포함할 수 있다. 예를 들면, "A 또는 B," "A 및 B 중 적어도 하나," 또는 "A 또는 B 중 적어도 하나"는, (1) 적어도 하나의 A를 포함, (2) 적어도 하나의 B를 포함, 또는 (3) 적어도 하나의 A 및 적어도 하나의 B 모두를 포함하는 경우를 모두 지칭할 수 있다.

본 문서에서 사용된 "제 1," "제 2," "첫째," 또는 "둘째,"등의 표현들은 다양한 구성요소들을, 순서 및/또는 중요도에 상관없이 수식할 수 있고, 한 구성요소를 다른 구성요소와 구분하기 위해 사용될 뿐 해당 구성요소들을 한정하지 않는다. 예를 들면, 제 1 사용자 기기와 제 2 사용자 기기는, 순서 또는 중요도와 무관하게, 서로 다른 사용자 기기를 나타낼 수 있다. 예를 들면, 본 문서에 기재된 권리 범위를 벗어나지 않으면서 제 1 구성요소는 제 2 구성요소로 명명될 수 있고, 유사하게 제 2 구성요소도 제 1 구성요소로 바꾸어 명명될 수 있다.

어떤 구성요소(예: 제 1 구성요소)가 다른 구성요소(예: 제 2 구성요소)에 "(기능적으로 또는 통신적으로) 연결되어((operatively or communicatively) coupled with/to)" 있다거나 "접속되어(connected to)" 있다고 언급된 때에는, 상기 어떤 구성요소가 상기 다른 구성요소에 직접적으로 연결되거나, 다른 구성요소(예: 제 3 구성요소)를 통하여 연결될 수 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소(예: 제 1 구성요소)가 다른 구성요소(예: 제 2 구성요소)에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 상기 어떤 구성요소와 상기 다른 구성요소 사이에 다른 구성요소(예: 제 3 구성요소)가 존재하지 않는 것으로 이해될 수 있다.

본 문서에서 사용된 표현 "~하도록 구성된(또는 설정된)(configured to)"은 상황에 따라, 예를 들면, "~에 적합한(suitable for)," "~하는 능력을 가지는(having the capacity to)," "~하도록 설계된(designed to)," "~하도록 변경된(adapted to)," "~하도록 만들어진(made to)," 또는 "~를 할 수 있는(capable of)"과 바꾸어 사용될 수 있다. 용어 "~하도록 구성된(또는 설정된)"은 하드웨어적으로 "특별히 설계된(specifically designed to)" 것만을 반드시 의미하지 않을 수 있다. 대신, 어떤 상황에서는, "~하도록 구성된 장치"라는 표현은, 그 장치가 다른 장치 또는 부품들과 함께 "~할 수 있는" 것을 의미할 수 있다. 예를 들면, 문구 "A, B, 및 C를 수행하도록 구성된(또는 설정된) 프로세서"는 해당 동작을 수행하기 위한 전용 프로세서(예: 임베디드 프로세서), 또는 메모리 장치에 저장된 하나 이상의 소프트웨어 프로그램들을 실행함으로써, 해당 동작들을 수행할 수 있는 범용 프로세서(generic-purpose processor)(예: CPU 또는 application processor)를 의미할 수 있다.

본 문서에서 사용된 용어들은 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 다른 실시예의 범위를 한정하려는 의도가 아닐 수 있다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함할 수 있다. 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 용어들은 본 문서에 기재된 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가질 수 있다. 본 문서에 사용된 용어들 중 일반적인 사전에 정의된 용어들은, 관련 기술의 문맥상 가지는 의미와 동일 또는 유사한 의미로 해석될 수 있으며, 본 문서에서 명백하게 정의되지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다. 경우에 따라서, 본 문서에서 정의된 용어일지라도 본 문서의 실시예들을 배제하도록 해석될 수 없다.

본 문서의 다양한 실시예들에 따른 전자 장치는, 예를 들면, 스마트폰(smartphone), 태블릿 PC(tablet personal computer), 이동 전화기(mobile phone), 영상 전화기, 전자책 리더기(e-book reader), 데스크탑 PC(desktop personal computer), 랩탑 PC(laptop personal computer), 넷북 컴퓨터(netbook computer), 워크스테이션(workstation), 서버, PDA(personal digital assistant), PMP(portable multimedia player), MP3 플레이어, 모바일 의료기기, 카메라(camera), 또는 웨어러블 장치(wearable device) 중 적어도 하나를 포함할 수 있다. 다양한 실시예에 따르면, 웨어러블 장치는 액세서리형(예: 시계, 반지, 팔찌, 발찌, 목걸이, 안경, 콘택트 렌즈, 또는 머리 착용형 장치(head-mounted-device(HMD), 직물 또는 의류 일체형(예: 전자 의복), 신체 부착형(예: 스킨 패드(skin pad) 또는 문신), 또는 생체 이식형(예: implantable circuit) 중 적어도 하나를 포함할 수 있다.

어떤 실시예들에서, 전자 장치는 가전 제품(home appliance)일 수 있다. 가전 제품은, 예를 들면, 텔레비전, DVD(digital video disk) 플레이어, 오디오, 냉장고, 에어컨, 청소기, 오븐, 전자레인지, 세탁기, 공기 청정기, 셋톱 박스(set-top box), 홈 오토매이션 컨트롤 패널(home automation control panel), 보안 컨트롤 패널(security control panel), TV 박스(예: 삼성 HomeSync^TM, 애플TV^TM, 또는 구글 TV^TM), 게임 콘솔(예: Xbox^TM, PlayStation^TM), 전자 사전, 전자 키, 캠코더(camcorder), 또는 전자 액자 중 적어도 하나를 포함할 수 있다.

다른 실시예에서, 전자 장치는, 각종 의료기기(예: 각종 휴대용 의료측정기기(혈당 측정기, 심박 측정기, 혈압 측정기, 또는 체온 측정기 등), MRA(magnetic resonance angiography), MRI(magnetic resonance imaging), CT(computed tomography), 촬영기, 또는 초음파기 등), 네비게이션(navigation) 장치, 위성 항법 시스템(GNSS(global navigation satellite system)), EDR(event data recorder), FDR(flight data recorder), 자동차 인포테인먼트(infotainment) 장치, 선박용 전자 장비(예: 선박용 항법 장치, 자이로 콤파스 등), 항공 전자기기(avionics), 보안 기기, 차량용 헤드 유닛(head unit), 산업용 또는 가정용 로봇, 금융 기관의 ATM(automatic teller's machine), 상점의 POS(point of sales), 또는 사물 인터넷 장치(internet of things)(예: 전구, 각종 센서, 전기 또는 가스 미터기, 스프링클러 장치, 화재경보기, 온도조절기(thermostat), 가로등, 토스터(toaster), 운동기구, 온수탱크, 히터, 보일러 등) 중 적어도 하나를 포함할 수 있다.

어떤 실시예에 따르면, 전자 장치는 가구(furniture) 또는 건물/구조물의 일부, 전자 보드(electronic board), 전자 사인 수신 장치(electronic signature receiving device), 프로젝터(projector), 또는 각종 계측 기기(예: 수도, 전기, 가스, 또는 전파 계측 기기 등) 중 적어도 하나를 포함할 수 있다. 다양한 실시예에서, 전자 장치는 전술한 다양한 장치들 중 하나 또는 그 이상의 조합일 수 있다. 어떤 실시예에 따른 전자 장치는 플렉서블 전자 장치일 수 있다. 또한, 본 문서의 실시예에 따른 전자 장치는 전술한 기기들에 한정되지 않으며, 기술 발전에 따른 새로운 전자 장치를 포함할 수 있다.

이하, 첨부 도면을 참조하여, 다양한 실시예에 따른 전자 장치가 설명된다. 본 문서에서, 사용자라는 용어는 전자 장치를 사용하는 사람 또는 전자 장치를 사용하는 장치(예: 인공지능 전자 장치)를 지칭할 수 있다.

도 1을 참조하여, 다양한 실시예에서의, 네트워크 환경(100) 내의 전자 장치(101)가 기재된다. 전자 장치(101)는 버스(110), 프로세서(120), 메모리(130), 입출력 인터페이스(150), 디스플레이(160), 및 통신 모듈(170)을 포함할 수 있다. 어떤 실시예에서는, 전자 장치(101)는, 구성요소들 중 적어도 하나를 생략하거나 다른 구성요소를 추가적으로 구비할 수 있다.

버스(110)는, 예를 들면, 구성요소들(110-170)을 서로 연결하고, 구성요소들 간의 통신(예: 제어 메시지 및/또는 데이터)을 전달하는 회로를 포함할 수 있다.

프로세서(120)는, 중앙처리장치(central processing unit(CPU)), 어플리케이션 프로세서(application processor(AP)), 또는 커뮤니케이션 프로세서(communication processor(CP)) 중 하나 또는 그 이상을 포함할 수 있다. 프로세서(120)는, 예를 들면, 전자 장치(101)의 적어도 하나의 다른 구성요소들의 제어 및/또는 통신에 관한 연산이나 데이터 처리를 실행할 수 있다.

메모리(130)는, 휘발성 및/또는 비휘발성 메모리를 포함할 수 있다. 메모리(130)는, 예를 들면, 전자 장치(101)의 적어도 하나의 다른 구성요소에 관계된 명령 또는 데이터를 저장할 수 있다. 한 실시예에 따르면, 메모리(130)는 소프트웨어 및/또는 프로그램(140)을 저장할 수 있다. 프로그램(140)은, 예를 들면, 커널(141), 미들웨어(143), 어플리케이션 프로그래밍 인터페이스(application programming interface(API))(145), 및/또는 어플리케이션 프로그램(또는 "어플리케이션")(147) 등을 포함할 수 있다. 커널(141), 미들웨어(143), 또는 API(145)의 적어도 일부는, 운영 시스템(operating system(OS))으로 지칭될 수 있다.

커널(141)은, 예를 들면, 다른 프로그램들(예: 미들웨어(143), API(145), 또는 어플리케이션 프로그램(147))에 구현된 동작 또는 기능을 실행하는 데 사용되는 시스템 리소스들(예: 버스(110), 프로세서(120), 또는 메모리(130) 등)을 제어 또는 관리할 수 있다. 또한, 커널(141)은 미들웨어(143), API(145), 또는 어플리케이션 프로그램(147)에서 전자 장치(101)의 개별 구성요소에 접근함으로써, 시스템 리소스들을 제어 또는 관리할 수 있는 인터페이스를 제공할 수 있다.

미들웨어(143)는, 예를 들면, API(145) 또는 어플리케이션 프로그램(147)이 커널(141)과 통신하여 데이터를 주고받을 수 있도록 중개 역할을 수행할 수 있다.

또한, 미들웨어(143)는 어플리케이션 프로그램(147)으로부터 수신된 하나 이상의 작업 요청들을 우선 순위에 따라 처리할 수 있다. 예를 들면, 미들웨어(143)는 어플리케이션 프로그램(147) 중 적어도 하나에 전자 장치(101)의 시스템 리소스(예: 버스(110), 프로세서(120), 또는 메모리(130) 등)를 사용할 수 있는 우선 순위를 부여할 수 있다. 예컨대, 미들웨어(143)는 적어도 하나에 부여된 우선 순위에 따라 하나 이상의 작업 요청들을 처리함으로써, 하나 이상의 작업 요청들에 대한 스케쥴링 또는 로드 밸런싱 등을 수행할 수 있다.

API(145)는, 예를 들면, 어플리케이션(147)이 커널(141) 또는 미들웨어(143)에서 제공되는 기능을 제어하기 위한 인터페이스로, 예를 들면, 파일 제어, 창 제어, 영상 처리, 또는 문자 제어 등을 위한 적어도 하나의 인터페이스 또는 함수(예: 명령어)를 포함할 수 있다.

입출력 인터페이스(150)는, 예를 들면, 사용자 또는 다른 외부 기기로부터 입력된 명령 또는 데이터를 전자 장치(101)의 다른 구성요소(들)에 전달할 수 있는 인터페이스의 역할을 할 수 있다. 또한, 입출력 인터페이스(150)는 전자 장치(101)의 다른 구성요소(들)로부터 수신된 명령 또는 데이터를 사용자 또는 다른 외부 기기로 출력할 수 있다.

디스플레이(160)는, 예를 들면, 액정 디스플레이(liquid crystal display(LCD)), 발광 다이오드(light-emitting diode(LED)) 디스플레이, 유기 발광 다이오드(organic light-emitting diode(OLED)) 디스플레이, 또는 마이크로 전자기계 시스템(microelectromechanical systems(MEMS)) 디스플레이, 또는 전자종이(electronic paper) 디스플레이를 포함할 수 있다. 디스플레이(160)는, 예를 들면, 사용자에게 각종 콘텐츠(예: 텍스트, 이미지, 비디오, 아이콘, 또는 심볼 등)을 표시할 수 있다. 디스플레이(160)는, 터치 스크린을 포함할 수 있으며, 예를 들면, 전자 펜 또는 사용자의 신체의 일부를 이용한 터치, 제스쳐, 근접, 또는 호버링 입력을 수신할 수 있다.

통신 모듈(170)은, 예를 들면, 전자 장치(101)와 외부 장치(예: 제 1 외부 전자 장치(102), 제 2 외부 전자 장치(104), 또는 서버(106)) 간의 통신을 설정할 수 있다. 예를 들면, 통신 모듈(170)은 무선 통신 또는 유선 통신을 통해서 네트워크(462)에 연결되어 외부 장치(예: 제 2 외부 전자 장치(104) 또는 서버(106))와 통신할 수 있다.

무선 통신은, 예를 들면, 셀룰러 통신 프로토콜로서, 예를 들면, LTE(long-term evolution), LTE-A(LTE Advance), CDMA(code division multiple access), WCDMA(wideband CDMA), UMTS(universal mobile telecommunications system), WiBro(Wireless Broadband), 또는 GSM(Global System for Mobile Communications) 등 중 적어도 하나를 사용할 수 있다. 또한, 무선 통신은, 예를 들면, 근거리 통신(164)을 포함할 수 있다. 근거리 통신(164)은, 예를 들면, WiFi(wireless fidelity), 블루투스(Bluetooth), NFC(near field communication), 또는 GNSS(global navigation satellite system) 등 중 적어도 하나를 포함할 수 있다. GNSS는 사용 지역 또는 대역폭 등에 따라, 예를 들면, GPS(Global Positioning System), Glonass(Global Navigation Satellite System), Beidou Navigation Satellite System(이하 "Beidou") 또는 Galileo, the European global satellite-based navigation system 중 적어도 하나를 포함할 수 있다. 이하, 본 문서에서는, "GPS"는 "GNSS"와 혼용되어 사용(interchangeably used)될 수 있다. 유선 통신은, 예를 들면, USB(universal serial bus), HDMI(high definition multimedia interface), RS-232(recommended standard232), 또는 POTS(plain old telephone service) 등 중 적어도 하나를 포함할 수 있다. 네트워크(462)는 통신 네트워크(telecommunications network), 예를 들면, 컴퓨터 네트워크(computer network)(예: LAN 또는 WAN), 인터넷, 또는 전화 망(telephone network) 중 적어도 하나를 포함할 수 있다.

제 1 및 제 2 외부 전자 장치(102, 104) 각각은 전자 장치(101)와 동일한 또는 다른 종류의 장치일 수 있다. 한 실시예에 따르면, 서버(106)는 하나 또는 그 이상의 서버들의 그룹을 포함할 수 있다. 다양한 실시예에 따르면, 전자 장치(101)에서 실행되는 동작들의 전부 또는 일부는 다른 하나 또는 복수의 전자 장치(예: 전자 장치(102,104), 또는 서버(106)에서 실행될 수 있다. 한 실시예에 따르면, 전자 장치(101)가 어떤 기능이나 서비스를 자동으로 또는 요청에 의하여 수행해야 할 경우에, 전자 장치(101)는 기능 또는 서비스를 자체적으로 실행시키는 대신에 또는 추가적으로, 그와 연관된 적어도 일부 기능을 다른 장치(예: 전자 장치(102, 104), 또는 서버(106))에게 요청할 수 있다. 다른 전자 장치(예: 전자 장치(102, 104), 또는 서버(106))는 요청된 기능 또는 추가 기능을 실행하고, 그 결과를 전자 장치(101)로 전달할 수 있다. 전자 장치(101)는 수신된 결과를 그대로 또는 추가적으로 처리하여 요청된 기능이나 서비스를 제공할 수 있다. 이를 위하여, 예를 들면, 클라우드 컴퓨팅, 분산 컴퓨팅, 또는 클라이언트-서버 컴퓨팅 기술이 이용될 수 있다.

도 2는 다양한 실시예에 따른 전자 장치(201)의 블록도이다. 전자 장치(201)는, 예를 들면, 도 1에 도시된 전자 장치(101)의 전체 또는 일부를 포함할 수 있다. 전자 장치(201)는 하나 이상의 프로세서(예: AP(application processor))(210), 통신 모듈(220), (가입자 식별 모듈(224), 메모리(230), 센서 모듈(240), 입력 장치(250), 디스플레이(260), 인터페이스(270), 오디오 모듈(280), 카메라 모듈(291), 전력 관리 모듈(295), 배터리(296), 인디케이터(297), 및 모터(298) 를 포함할 수 있다.

프로세서(210)는, 예를 들면, 운영 체제 또는 응용 프로그램을 구동하여 프로세서(210)에 연결된 다수의 하드웨어 또는 소프트웨어 구성요소들을 제어할 수 있고, 각종 데이터 처리 및 연산을 수행할 수 있다. 프로세서(210)는, 예를 들면, SoC(system on chip) 로 구현될 수 있다. 한 실시예에 따르면, 프로세서(210)는 GPU(graphic processing unit) 및/또는 이미지 신호 프로세서(image signal processor)를 더 포함할 수 있다. 프로세서(210)는 도 2에 도시된 구성요소들 중 적어도 일부(예: 셀룰러 모듈(221))를 포함할 수도 있다. 프로세서(210)는 다른 구성요소들(예: 비휘발성 메모리) 중 적어도 하나로부터 수신된 명령 또는 데이터를 휘발성 메모리에 로드(load)하여 처리하고, 다양한 데이터를 비휘발성 메모리에 저장(store)할 수 있다.

통신 모듈(220)은, 도 1의 통신 인터페이스(170)와 동일 또는 유사한 구성을 가질 수 있다. 통신 모듈(220)은, 예를 들면, 셀룰러 모듈(221), WiFi 모듈(223), 블루투스 모듈(225), GNSS 모듈(227)(예: GPS 모듈, Glonass 모듈, Beidou 모듈, 또는 Galileo 모듈), NFC 모듈(228) 및 RF(radio frequency) 모듈(229)를 포함할 수 있다.

셀룰러 모듈(221)은, 예를 들면, 통신망을 통해서 음성 통화, 영상 통화, 문자 서비스, 또는 인터넷 서비스 등을 제공할 수 있다. 한 실시예에 따르면, 셀룰러 모듈(221)은 가입자 식별 모듈(예: SIM 카드)(224)을 이용하여 통신 네트워크 내에서 전자 장치(201)의 구별 및 인증을 수행할 수 있다. 한 실시예에 따르면, 셀룰러 모듈(221)은 프로세서(210)가 제공할 수 있는 기능 중 적어도 일부 기능을 수행할 수 있다. 한 실시예에 따르면, 셀룰러 모듈(221)은 커뮤니케이션 프로세서(CP: communication processor)를 포함할 수 있다.

WiFi 모듈(223), 블루투스 모듈(225), GNSS 모듈(227) 또는 NFC 모듈(228) 각각은, 예를 들면, 해당하는 모듈을 통해서 송수신되는 데이터를 처리하기 위한 프로세서를 포함할 수 있다. 어떤 실시예에 따르면, 셀룰러 모듈(221), WiFi 모듈(223), 블루투스 모듈(225), GNSS 모듈(227) 또는 NFC 모듈(228) 중 적어도 일부(예: 두 개 이상)는 하나의 integrated chip(IC) 또는 IC 패키지 내에 포함될 수 있다.

RF 모듈(229)은, 예를 들면, 통신 신호(예: RF 신호)를 송수신할 수 있다. RF 모듈(229)은, 예를 들면, 트랜시버(transceiver), PAM(power amp module), 주파수 필터(frequency filter), LNA(low noise amplifier), 또는 안테나 등을 포함할 수 있다. 다른 실시예에 따르면, 셀룰러 모듈(221), WiFi 모듈(223), 블루투스 모듈(225), GNSS 모듈(227) 또는 NFC 모듈(228) 중 적어도 하나는 별개의 RF 모듈을 통하여 RF 신호를 송수신할 수 있다.

가입자 식별 모듈(224)은, 예를 들면, 가입자 식별 모듈을 포함하는 카드 및/또는 내장 SIM(embedded SIM)을 포함할 수 있으며, 고유한 식별 정보(예: ICCID(integrated circuit card identifier)) 또는 가입자 정보(예: IMSI(international mobile subscriber identity))를 포함할 수 있다.

메모리(230)(예: 메모리(130))는, 예를 들면, 내장 메모리(232) 또는 외장 메모리(234)를 포함할 수 있다. 내장 메모리(232)는, 예를 들면, 휘발성 메모리(예: DRAM(dynamic RAM), SRAM(static RAM), 또는 SDRAM(synchronous dynamic RAM) 등), 비휘발성 메모리(non-volatile Memory)(예: OTPROM(one time programmable ROM), PROM(programmable ROM), EPROM(erasable and programmable ROM), EEPROM(electrically erasable and programmable ROM), mask ROM, flash ROM, 플래시 메모리(예: NAND flash 또는 NOR flash 등), 하드 드라이브, 또는 솔리드 스테이트 드라이브(solid state drive(SSD)) 중 적어도 하나를 포함할 수 있다.

외장 메모리(234)는 플래시 드라이브(flash drive), 예를 들면, CF(compact flash), SD(secure digital), Micro-SD(micro secure digital), Mini-SD(mini secure digital), xD(extreme digital), MMC(multi-media card) 또는 메모리 스틱(memory stick) 등을 더 포함할 수 있다. 외장 메모리(234)는 다양한 인터페이스를 통하여 전자 장치(201)와 기능적으로 및/또는 물리적으로 연결될 수 있다.

센서 모듈(240)은, 예를 들면, 물리량을 계측하거나 전자 장치(201)의 작동 상태를 감지하여, 계측 또는 감지된 정보를 전기 신호로 변환할 수 있다. 센서 모듈(240)은, 예를 들면, 제스처 센서(240A), 자이로 센서(240B), 기압 센서(240C), 마그네틱 센서(240D), 가속도 센서(240E), 그립 센서(240F), 근접 센서(240G), 컬러(color) 센서(240H)(예: RGB(red, green, blue) 센서), 생체 센서(240I), 온/습도 센서(240J), 조도 센서(240K), 또는 UV(ultra violet) 센서(240M) 중의 적어도 하나를 포함할 수 있다. 추가적으로 또는 대체적으로(additionally or alternatively), 센서 모듈(240)은, 예를 들면, 후각 센서(E-nose sensor), EMG 센서(electromyography sensor), EEG 센서(electroencephalogram sensor), ECG 센서(electrocardiogram sensor), IR(infrared) 센서, 홍채 센서 및/또는 지문 센서를 포함할 수 있다. 센서 모듈(240)은 그 안에 속한 적어도 하나 이상의 센서들을 제어하기 위한 제어 회로를 더 포함할 수 있다. 어떤 실시예에서는, 전자 장치(201)는 프로세서(210)의 일부로서 또는 별도로, 센서 모듈(240)을 제어하도록 구성된 프로세서를 더 포함하여, 프로세서(210)가 슬립(sleep) 상태에 있는 동안, 센서 모듈(240)을 제어할 수 있다.

입력 장치(250)는, 예를 들면, 터치 패널(touch panel)(252),(디지털) 펜 센서(pen sensor)(254), 키(key)(256), 또는 초음파(ultrasonic) 입력 장치(258)를 포함할 수 있다. 터치 패널(252)은, 예를 들면, 정전식, 감압식, 적외선 방식, 또는 초음파 방식 중 적어도 하나의 방식을 사용할 수 있다. 또한, 터치 패널(252)은 제어 회로를 더 포함할 수도 있다. 터치 패널(252)은 택타일 레이어(tactile layer)를 더 포함하여, 사용자에게 촉각 반응을 제공할 수 있다.

(디지털) 펜 센서(254)는, 예를 들면, 터치 패널의 일부이거나, 별도의 인식용 쉬트(sheet)를 포함할 수 있다. 키(256)는, 예를 들면, 물리적인 버튼, 광학식 키, 또는 키패드를 포함할 수 있다. 초음파 입력 장치(258)는 마이크(예: 마이크(288))를 통해, 입력 도구에서 발생된 초음파를 감지하여, 상기 감지된 초음파에 대응하는 데이터를 확인할 수 있다.

디스플레이(260)(예: 디스플레이(160))는 패널(262), 홀로그램 장치(264), 또는 프로젝터(266)를 포함할 수 있다. 패널(262)은, 도 1의 디스플레이(160)와 동일 또는 유사한 구성을 포함할 수 있다. 패널(262)은, 예를 들면, 유연하게(flexible), 투명하게(transparent), 또는 착용할 수 있게(wearable) 구현될 수 있다. 패널(262)은 터치 패널(252)과 하나의 모듈로 구성될 수도 있다. 홀로그램 장치(264)는 빛의 간섭을 이용하여 입체 영상을 허공에 보여줄 수 있다. 프로젝터(266)는 스크린에 빛을 투사하여 영상을 표시할 수 있다. 스크린은, 예를 들면, 전자 장치(201)의 내부 또는 외부에 위치할 수 있다. 한 실시예에 따르면, 디스플레이(260)는 패널(262), 홀로그램 장치(264), 또는 프로젝터(266)를 제어하기 위한 제어 회로를 더 포함할 수 있다.

인터페이스(270)는, 예를 들면, HDMI(high-definition multimedia interface)(272), USB(universal serial bus)(274), 광 인터페이스(optical interface)(276), 또는 D-sub(D-subminiature)(278)를 포함할 수 있다. 인터페이스(270)는, 예를 들면, 도 1에 도시된 통신 인터페이스(170)에 포함될 수 있다. 추가적으로 또는 대체적으로(additionally and alternatively), 인터페이스(270)는, 예를 들면, MHL(mobile high-definition link) 인터페이스, SD(secure digital) 카드/MMC(multi-media card) 인터페이스, 또는 IrDA(infrared data association) 규격 인터페이스를 포함할 수 있다.

오디오 모듈(280)은, 예를 들면, 소리(sound)와 전기 신호를 쌍방향으로 변환시킬 수 있다. 오디오 모듈(280)의 적어도 일부 구성요소는, 예를 들면, 도 1 에 도시된 입출력 인터페이스(150)에 포함될 수 있다. 오디오 모듈(280)은, 예를 들면, 스피커(282), 리시버(284), 이어폰(286), 또는 마이크(288) 등을 통해 입력 또는 출력되는 소리 정보를 처리할 수 있다.

카메라 모듈(291)은, 예를 들면, 정지 영상 및 동영상을 촬영할 수 있는 장치로서, 한 실시예에 따르면, 하나 이상의 이미지 센서(예: 전면 센서 또는 후면 센서), 렌즈, ISP(image signal processor), 또는 플래시(flash)(예: LED 또는 xenon lamp 등)를 포함할 수 있다.

전력 관리 모듈(295)은, 예를 들면, 전자 장치(201)의 전력을 관리할 수 있다. 한 실시예에 따르면, 전력 관리 모듈(295)은 PMIC(power management integrated circuit), 충전 IC(charger integrated circuit), 또는 배터리 또는 연료 게이지(battery or fuel gauge)를 포함할 수 있다. PMIC는, 유선 및/또는 무선 충전 방식을 가질 수 있다. 무선 충전 방식은, 예를 들면, 자기공명 방식, 자기유도 방식 또는 전자기파 방식 등을 포함하며, 무선 충전을 위한 부가적인 회로, 예를 들면, 코일 루프, 공진 회로, 또는 정류기 등을 더 포함할 수 있다. 배터리 게이지는, 예를 들면, 배터리(296)의 잔량, 충전 중 전압, 전류, 또는 온도를 측정할 수 있다. 배터리(296)는, 예를 들면, 충전식 전지(rechargeable battery) 및/또는 태양 전지(solar battery)를 포함할 수 있다.

인디케이터(297)는 전자 장치(201) 또는 그 일부(예: 프로세서(210))의 특정 상태, 예를 들면, 부팅 상태, 메시지 상태 또는 충전 상태 등을 표시할 수 있다. 모터(298)는 전기적 신호를 기계적 진동으로 변환할 수 있고, 진동(vibration), 또는 햅틱(haptic) 효과 등을 발생시킬 수 있다. 도시되지는 않았으나, 전자 장치(201)는 모바일 TV 지원을 위한 처리 장치(예: GPU)를 포함할 수 있다. 모바일 TV 지원을 위한 처리 장치는, 예를 들면, DMB(digital multimedia broadcasting), DVB(digital video broadcasting), 또는 미디어플로(mediaFloTM) 등의 규격에 따른 미디어 데이터를 처리할 수 있다.

도 3은 다양한 실시예에 따른 프로그램 모듈의 블록도이다. 한 실시예에 따르면, 프로그램 모듈(310)(예: 프로그램(140))은 전자 장치(예: 전자 장치(101))에 관련된 자원을 제어하는 운영 체제(operating system(OS)) 및/또는 운영 체제 상에서 구동되는 다양한 어플리케이션(예: 어플리케이션 프로그램(147))을 포함할 수 있다. 운영 체제는, 예를 들면, 안드로이드(android), iOS, 윈도우즈(windows), 심비안(symbian), 타이젠(tizen), 또는 바다(bada) 등이 될 수 있다.

프로그램 모듈(310)은 커널(320), 미들웨어(330), 어플리케이션 프로그래밍 인터페이스(application programming interface (API))(360), 및/또는 어플리케이션(370)을 포함할 수 있다. 프로그램 모듈(310)의 적어도 일부는 전자 장치 상에 프리로드(preload) 되거나, 외부 전자 장치(예: 전자 장치(102, 104), 서버(106) 등)로부터 다운로드(download) 가능하다.

커널(320)(예: 커널(141))은, 예를 들면, 시스템 리소스 매니저(321) 및/또는 디바이스 드라이버(323)를 포함할 수 있다. 시스템 리소스 매니저(321)는 시스템 리소스의 제어, 할당, 또는 회수 등을 수행할 수 있다. 한 실시예에 따르면, 시스템 리소스 매니저(321)는 프로세스 관리부, 메모리 관리부, 또는 파일 시스템 관리부 등을 포함할 수 있다. 디바이스 드라이버(323)는, 예를 들면, 디스플레이 드라이버, 카메라 드라이버, 블루투스 드라이버, 공유 메모리 드라이버, USB 드라이버, 키패드 드라이버, WiFi 드라이버, 오디오 드라이버, 또는 IPC(inter-process communication) 드라이버를 포함할 수 있다.

미들웨어(330)는, 예를 들면, 어플리케이션(370)이 공통적으로 필요로 하는 기능을 제공하거나, 어플리케이션(370)이 전자 장치 내부의 제한된 시스템 자원을 효율적으로 사용할 수 있도록 API(360)를 통해 다양한 기능들을 어플리케이션(370)으로 제공할 수 있다. 한 실시예에 따르면, 미들웨어(330)(예: 미들웨어(143))는 런타임 라이브러리(335), 어플리케이션 매니저(application manager)(341), 윈도우 매니저(window manager)(342), 멀티미디어 매니저(multimedia manager)(343), 리소스 매니저(resource manager)(344), 파워 매니저(power manager)(345), 데이터베이스 매니저(database manager)(346), 패키지 매니저(package manager)(347), 연결 매니저(connectivity manager)(348), 통지 매니저(notification manager)(349), 위치 매니저(location manager)(350), 그래픽 매니저(graphic manager)(351), 또는 보안 매니저(security manager)(352) 중 적어도 하나를 포함할 수 있다.

런타임 라이브러리(335)는, 예를 들면, 어플리케이션(370)이 실행되는 동안에 프로그래밍 언어를 통해 새로운 기능을 추가하기 위해 컴파일러가 사용하는 라이브러리 모듈을 포함할 수 있다. 런타임 라이브러리(335)는 입출력 관리, 메모리 관리, 또는 산술 함수에 대한 기능 등을 수행할 수 있다.

어플리케이션 매니저(341)는, 예를 들면, 어플리케이션(370) 중 적어도 하나의 어플리케이션의 생명 주기(life cycle)를 관리할 수 있다. 윈도우 매니저(342)는 화면에서 사용하는 GUI 자원을 관리할 수 있다. 멀티미디어 매니저(343)는 다양한 미디어 파일들의 재생에 필요한 포맷을 파악하고, 해당 포맷에 맞는 코덱(codec)을 이용하여 미디어 파일의 인코딩(encoding) 또는 디코딩(decoding)을 수행할 수 있다. 리소스 매니저(344)는 어플리케이션(370) 중 적어도 어느 하나의 어플리케이션의 소스 코드, 메모리 또는 저장 공간 등의 자원을 관리할 수 있다.

파워 매니저(345)는, 예를 들면, 바이오스(BIOS: basic input/output system) 등과 함께 동작하여 배터리(battery) 또는 전원을 관리하고, 전자 장치의 동작에 필요한 전력 정보 등을 제공할 수 있다. 데이터베이스 매니저(346)는 어플리케이션(370) 중 적어도 하나의 어플리케이션에서 사용할 데이터베이스를 생성, 검색, 또는 변경할 수 있다. 패키지 매니저(347)는 패키지 파일의 형태로 배포되는 어플리케이션의 설치 또는 업데이트를 관리할 수 있다.

연결 매니저(348)는, 예를 들면, WiFi 또는 블루투스 등의 무선 연결을 관리할 수 있다. 통지 매니저(349)는 도착 메시지, 약속, 근접성 알림 등의 사건(event)을 사용자에게 방해되지 않는 방식으로 표시 또는 통지할 수 있다. 위치 매니저(350)는 전자 장치의 위치 정보를 관리할 수 있다. 그래픽 매니저(351)는 사용자에게 제공될 그래픽 효과 또는 이와 관련된 사용자 인터페이스를 관리할 수 있다. 보안 매니저(352)는 시스템 보안 또는 사용자 인증 등에 필요한 제반 보안 기능을 제공할 수 있다. 한 실시예에 따르면, 전자 장치(예: 전자 장치(101))가 전화 기능을 포함한 경우, 미들웨어(330)는 전자 장치의 음성 또는 영상 통화 기능을 관리하기 위한 통화 매니저(telephony manager)를 더 포함할 수 있다.

미들웨어(330)는 전술한 구성요소들의 다양한 기능의 조합을 형성하는 미들웨어 모듈을 포함할 수 있다. 미들웨어(330)는 차별화된 기능을 제공하기 위해 운영 체제의 종류 별로 특화된 모듈을 제공할 수 있다. 또한, 미들웨어(330)는 동적으로 기존의 구성요소를 일부 삭제하거나 새로운 구성요소들을 추가할 수 있다.

API(360)(예: API(145))는, 예를 들면, API 프로그래밍 함수들의 집합으로, 운영 체제에 따라 다른 구성으로 제공될 수 있다. 예를 들면, 안드로이드 또는 iOS의 경우, 플랫폼 별로 하나의 API 셋을 제공할 수 있으며, 타이젠(tizen)의 경우, 플랫폼 별로 두 개 이상의 API 셋을 제공할 수 있다.

어플리케이션(370)(예: 어플리케이션 프로그램(147))은, 예를 들면, 홈(371), 다이얼러(372), SMS/MMS(373), IM(instant message)(374), 브라우저(375), 카메라(376), 알람(377), 컨택트(378), 음성 다이얼(379), 이메일(380), 달력(381), 미디어 플레이어(382), 앨범(383), 또는 시계(384), 건강 관리(health care)(예: 운동량 또는 혈당 등을 측정), 또는 환경 정보 제공(예: 기압, 습도, 또는 온도 정보 등을 제공) 등의 기능을 수행할 수 있는 하나 이상의 어플리케이션을 포함할 수 있다.

한 실시예에 따르면, 어플리케이션(370)은 전자 장치(예: 전자 장치(101))와 외부 전자 장치(예: 전자 장치(102, 104)) 사이의 정보 교환을 지원하는 어플리케이션(이하, 설명의 편의 상, "정보 교환 어플리케이션")을 포함할 수 있다. 정보 교환 어플리케이션은, 예를 들면, 외부 전자 장치에 특정 정보를 전달하기 위한 알림 전달(notification relay) 어플리케이션, 또는 외부 전자 장치를 관리하기 위한 장치 관리(device management) 어플리케이션을 포함할 수 있다.

예를 들면, 알림 전달 어플리케이션은 전자 장치의 다른 어플리케이션(예: SMS/MMS 어플리케이션, 이메일 어플리케이션, 건강 관리 어플리케이션, 또는 환경 정보 어플리케이션 등)에서 발생된 알림 정보를 외부 전자 장치(예: 전자 장치(102, 104))로 전달하는 기능을 포함할 수 있다. 또한, 알림 전달 어플리케이션은, 예를 들면, 외부 전자 장치로부터 알림 정보를 수신하여 사용자에게 제공할 수 있다.

장치 관리 어플리케이션은, 예를 들면, 전자 장치와 통신하는 외부 전자 장치(예: 전자 장치(102, 104))의 적어도 하나의 기능(예: 외부 전자 장치 자체(또는, 일부 구성 부품)의 턴-온/턴-오프 또는 디스플레이의 밝기(또는, 해상도) 조절), 외부 전자 장치에서 동작하는 어플리케이션 또는 외부 전자 장치에서 제공되는 서비스(예: 통화 서비스 또는 메시지 서비스 등)를 관리(예: 설치, 삭제, 또는 업데이트)할 수 있다.

한 실시예에 따르면, 어플리케이션(370)은 외부 전자 장치(예: 전자 장치(102, 104))의 속성(에 따라 지정된 어플리케이션(예: 모바일 의료 기기의 건강 관리 어플리케이션 등)을 포함할 수 있다. 한 실시예에 따르면, 어플리케이션(370)은 외부 전자 장치(예: 서버(106) 또는 전자 장치(102, 104))로부터 수신된 어플리케이션을 포함할 수 있다. 한 실시예에 따르면, 어플리케이션(370)은 프리로드 어플리케이션(preloaded application) 또는 서버로부터 다운로드 가능한 제3자 어플리케이션(third party application)을 포함할 수 있다. 도시된 실시예에 따른 프로그램 모듈(310)의 구성요소들의 명칭은 운영 체제의 종류에 따라서 달라질 수 있다.

다양한 실시예에 따르면, 프로그램 모듈(310)의 적어도 일부는 소프트웨어, 펌웨어, 하드웨어, 또는 이들 중 적어도 둘 이상의 조합으로 구현될 수 있다. 프로그램 모듈(310)의 적어도 일부는, 예를 들면, 프로세서(예: 프로세서(210))에 의해 구현(implement)(예: 실행)될 수 있다. 프로그램 모듈(310)의 적어도 일부는 하나 이상의 기능을 수행하기 위한, 예를 들면, 모듈, 프로그램, 루틴, 명령어 세트(sets of instructions) 또는 프로세스 등을 포함할 수 있다.

도 4를 참조하면, 프로그램 모듈(400)은 개념적으로 가상 메모리(virtual memory) 상에서 사용자 주소 공간(user address space)에서 동작하는 응용 프로그램(420)과 커널 주소 공간(kernel address space)에서 동작하는 운영 체제(430)로 구분될 수 있다.

응용 프로그램(420)은 사용자 주소 공간에서 동작하는 프로그램들, 즉 사용자 프로세스들을 의미할 수 있다.

응용 프로그램(420)은 복수의 프로세스를 포함할 수 있다. 예를 들면, 응용 프로그램(420)은 제1 프로세스(421), 제2 프로세스(422) 및 제n 프로세스(429)를 포함할 수 있다. 각 프로세스(421,422,429)는 자신의 독립된 주소공간을 가질 수 있다. 응용 프로그램(420)은 자신의 주소 공간에 메모리 공간(버퍼)를 생성하여 커널의 파일시스템으로부터 임의의 파일을 리드(read)해 오거나 파일시스템에 파일을 라이트(write) 할 수 있다. 응용 프로그램(420)은 도 3의 어플리케이션(370), API(360) 및 미들웨어(330)에 대응될 수 있다.

운영 체제(430)는 도 3의 커널(320)에 대응될 수 있다. 본 발명의 다양한 실시예에 의하면, 운영 체제(430)는 시스템 콜 인터페이스(440), 가상 파일 시스템(450), 파일 시스템(480), 블록 계층(490)을 포함할 수 있다.

또한, 운영 체제(430)는 상술한 가상 파일 시스템(450), 파일 시스템(480) 이외의 다른 파일 시스템을 더 포함할 수도 있다.

시스템 콜 인터페이스(440)는 유저 영역의 응용 프로그램(420)이 커널 영역의 운영 체제(430) 기능을 사용할 수 있도록 해주는 인터페이스로, 적어도 하나의 프로세스가 커널의 리소스 및/또는 하드웨어에 접근할 수 있는 기능을 제공할 수 있다.

가상 파일 시스템(450, virtual file system)은 파일 시스템 인터페이스를 응용 프로그램(420)에 제공할 수 있다. 예를 들면, 가상 파일 시스템(450)은 응용 프로그램이 어떤 종류의 파일 시스템에라도 동일한 방법으로 접근하도록 할 수 있다. 가상 파일 시스템(450)은 실제 파일 시스템 위의 추상 계층을 의미할 수 있다.

파일 시스템(480)은 블록 계층(490)을 통해 스토리지(540)에 파일의 데이터를 저장하고 데이터를 입출력(I/0)할 수 있다. 파일 시스템(480)은 파일의 데이터를 '블록' 혹은 '클러스터'라고 불리는 일정한 크기 단위로 구성하여 관리할 수 있고, 해당 일정한 크기 단위(혹은 일정한 크기의 정수 배)로 블록 계층(940)에 데이터를 입출력할 수 있다. 파일 시스템(480)에서 관리하는 파일 데이터는 파일 시스템에서 생성한 메타 데이터와 응용 프로그램이 입출력하는 유저 데이터로 구성될 수 있는데, 본 발명의 나머지 부분에서 파일 시스템에서 관리하는 블록 단위의 데이터를 '데이터 블록', 그 중 파일의 메타 데이터에 대응하는 데이터 블록을 '메타 데이터 블록'그리고 유저 데이터에 대응하는 데이터 블록을 '일반 데이터 블록'으로 표현할 수 있다. 또한, 파일 시스템(480)은 파일 시스템 자체적으로 다양한 종류의 파일을 구분할 수 있다. 예를 들어, 파일 시스템(480)은 정규 파일(regular file), 디렉토리 (directory), 링크 파일(link file) 등 다양한 유형의 파일을 구분하고, 이를 스토리지에 저장할 수 있다.

본 발명에서 파일 시스템(480)의 종류를 특정한 파일 시스템으로 한정하지는 않는다. 예를 들어, 윈도우 운영체제의 FAT 파일시스템이나 리눅스의 Ext 파일시스템 등 다양한 운영체제의 다양한 파일시스템이 본원 발명에 사용될 수 있다. 본 발명의 나머지 부분에서 파일 시스템에서 관리하는 데이터 크기 단위 및 그 종류를 '블록'(예:메타 데이터 블록 및 일반 데이터 블록)이라는 용어로 설명하지만, 파일 시스템 종류에 따라 다른 용어(예:'클러스터')가 사용될 수 있다.

또한, 파일 시스템(480)은 복수의 파일 시스템을 포함할 수 있다. 예를 들면, 파일 시스템(480)은 복수의 파일 시스템이 마운트된 스태커블 파일 시스템들을 포함할 수도 있다.

블록 계층(490)은 적어도 하나의 스토리지(540)를 포함한, 적어도 일부 메모리 영역을 '블록 장치' 계층으로써 가상화한 것이다. 블록 계층(490)은 스토리지(540)와 데이터 입출력(I/O, input/output) 동작 시, 일정 크기 단위(예: 블록) 혹은 그의 정수 배(예: 블록의 배열) 크기로 스토리지(540)에 데이터를 입출력 할 수 있다.

상기 일정 크기에 대한 단위 명칭은 파일시스템 혹은 스토리지의 종류에 따라 '블록'외에 '클러스터' 혹은 '섹터'와 같은 다른 용어가 사용될 수 있다. 본 발명의 나머지 부분에서는 '블록'(예: 블록 단위, 블록 장치, 블록 암호화 장치) 이라는 용어를 대표로 사용하고 있으나 특정 용어로 한정하고자 함은 아니다.

블록 계층(490)에는 블록 암호화 모듈이 더 포함될 수 있다. 본 발명의 다양한 실시예에 따르면, 블록 계층(490)은 블록 암호화 모듈(790)을 활성화(로딩 혹은 마운트)하여 상위 혹은 하위 계층에서 입출력 되는 블록의 데이터를 암호화/복호화 되도록 할 수 있다. 본 발명의 다양한 실시예에 따르면 블록 계층(490) 내에서 (소프트웨어 혹은 전용 하드웨어를 통해) 데이터의 암호화/복호화가 수행될 수도 있고, 혹은 블록 계층(490)에서는 데이터의 암호화/복호화가 수행되도록 세팅하는 역할이 수행될 수도 있다. 또한, 블록 계층(490) 외에서 (예컨대, DMA 시점에 혹은 스토리지 내부에서) 데이터의 암호화/복호화가 수행될 수도 있다.

본 발명의 나머지 부분에서 '블록 장치'는 '블록 계층'에 의해 가상화된 장치를 의미할 수 있다. 즉, 파일 시스템은 '블록 장치'에 블록 단위로 파일의 데이터들을 입출력할 수 있다. 본 발명의 나머지 부분에서 '블록 암호화 장치'는 '블록 암호화 모듈(790)이 활성화된 블록 계층'에 의해 가상화된 장치를 의미할 수 있다. 즉, 파일 시스템은 '블록 암호화 장치'에 블록 단위로 파일의 데이터들을 입출력할 수 있다.

블록 계층(490)은 적어도 하나의 디바이스와의 인터페이스를 제공하는 블록 디바이스 드라이버를 포함할 수 있다. 예를 들면, 블록 계층(490)은 후술할 스토리지(540)와의 인터페이스를 제공하는 블록 디바이스 드라이버를 포함할 수 있다.

본 발명의 다양한 실시예에서, 블록 계층(490)이 스토리지(540)에 블록 단위(혹은 그 정수 배)의 I/O 동작 시, 메모리 영역 간 물리적인 데이터 복사는 후술할 DMA 모듈(530)에 의해 수행될 수 있다.

본 발명의 나머지 부분에서 '블록'은 데이터의 특정 크기 단위 및 해당 크기 단위의 데이터 저장 공간을 의미할 수 있을 뿐만 아니라, 해당 데이터 저장 공간에 저장된 데이터를 의미할 수 있다. 즉 '블록'을 암호화 한다는 뜻은 해당'블록'에 저장된 데이터를 암호화 한다는 것을 의미한다.

도 5를 참조하면, 전자 장치(500)는, 예를 들면, 프로세서(510), 메모리(520), DMA 모듈(530) 및 스토리지(540)을 포함할 수 있다. 프로세서(510), 메모리(520), DMA 모듈(530) 및 스토리지(540)는 시스템 버스(550)로 연결될 수 있다.

프로세서(510)는 상술한 프로세서(120, 210)일 수도 있고, 상술한 프로세서(120, 210)의 일부일 수도 있다. 프로세서(591)는 도 4에서 기술한 프로그램 모듈(400)의 코드(code)를 실행(execute)하여, 코드에 대응하는 명령을 수행할 수 있다. 프로세서(510)는 DMA 모듈(530)이 메모리(520)와 스토리지(540) 사이에서 데이터를 복사하도록, DMA 모듈(530)에 명령을 내릴 수 있다.

메모리(520)는 도 4에서 설명한 프로그램 모듈(400)의 코드 및 데이터를 저장할 수 있다. 메모리(520)는 도 1 및 도 2에서 기술된 휘발성 메모리에 대응될 수 있다. 한 실시예에 따르면, 메모리(520)는 프로세스 (420) 및 파일 시스템(480) 및 블록 계층(490)의 데이터를 저장하기 위한 복수의 버퍼를 포함할 수 있다.

DMA(direct memory access) 모듈(530)은 메모리 영역 간에, 또는 메모리(520)와 I/O 디바이스 간에 데이터를 전송하는 모듈이다. 예를 들면, DMA 모듈(530)은 메모리(520)와 스토리지(540)에 채널을 설정하여, 프로세서(510)를 우회하여 데이터를 복사할 수 있다. 그리고 DMA 모듈(530)은 상술한 다이렉트 메모리 액세스(direct memory access) 동작 시, 데이터를 암호화 또는 복호화할 수 있다. 이에 대해서는 후술하기로 한다. DMA 모듈(530)은 어플리케이션 프로세서(AP) 상의 스토리지 컨트롤러 내부에 위치할 수 있으나 특정한 위치로 한정되지는 않는다.

스토리지(540)는 데이터 저장 장치로서, 도 1 및 도2에 기술된 비휘발성 메모리(non-volatile memory) 및 기록 매체에 대응될 수 있다. 예를 들면, 스토리지(540)는 플래시 메모리인 UFS(universal flash storage) 또는 eMMC(embedded multi-media card), SD 카드, UHS 카드, UFS 카드일수 있다.

발명의 다양한 실시예에 따르면, 스토리지(540)에 저장되는 파일 시스템의 파일에 대한 전체 블록 중 일부 블록의 데이터는 암호화되어 저장될 수 있고, 다른 일부 블록의 데이터는 암호화되지 않고 저장될 수 있다.

시스템 버스(550)는 프로세서(510), 메모리(520), DMA 모듈(530), 스토리지(540) 각각이 다른 구성과 데이터와 명령을 주고 받는 통로일 수 있다.

전자 장치(101)는 파일 시스템의 파일 트리 스캔을 통해, 파일의 종류, 파일의 접근 권한, 파일의 사용자, 파일이 속하는 그룹 중 적어도 하나를 기초로, 파일에 대응하는 데이터 블록의 적어도 일부를 선택적으로 암호화할 수 있다.

예를 들면, 전자 장치(101)는 파일 시스템의 파일 트리 스캔을 통해 파일 시스템에 포함된 전체 파일의 종류(file type)를 확인하고, 특정 파일 종류(예:정규 파일)에 대응하는 데이터 블록은 암호화 하도록 판단할 수 있다. 이에 대해 이하 상세히 설명한다.

동작 610에서, 전자 장치(101)는, 예를 들면 프로세서(510)는, 블록 장치를 암호화하기 위해, 블록 계층(490)에 블록 암호화 모듈(790)을 로딩(loading)할 수 있다. 이에 따라, 기존 블록 장치와 구분되는 블록 암호화 장치가 소프트웨어 상에 가상화 될 수 있다.

여기서 블록 암호화 모듈(790)은 적어도 하나의 블록을 암호화 또는 복호화하거나 혹은 암호화/복호화 되도록 설정할 수 있다.

실시 예에서, 전자 장치(101)는, 사용자 비밀번호(password) 혹은 사용자 키(key)를 블록 암호화 모듈(790)에 블록 암/복호화를 위한 암호 키로서 설정할 수 있다.

동작 630에서, 전자 장치(101)는, 예를 들면 암호화 전환 모듈(750)은, 스토리지(540)에 저장된 적어도 하나의 파일에 대한 파일 트리를 스캔할 수 있다. 예를 들면, 암호화 전환 모듈(750)은 스토리지(540)에 저장된, 적어도 하나의 파일 시스템에 대한 파일 트리를 스캔(scan)할 수 있고, 파일 트리 스캔을 통해 적어도 하나의 파일에 대한 정보를 확인할 수 있다. 여기서 암호화 전환 모듈(750)은 파일 트리를 스캔할 수 있고, 블록 암호화 모듈(790)의 암호화 동작을 전환하도록 제어할 수 있다.

전자 장치(101)는 공지된 다양한 알고리즘 및 유틸리티 툴(utility tool)을 이용하여, 스토리지(540)에 저장된 적어도 하나의 파일에 대한 파일 트리를 스캔할 수 있다. 한 실시예로 암호화 전환 모듈(750)은 스토리지(540)에 저장된 파일 시스템의 최상위 루트 디렉토리(혹은, 루트 파일)부터 하위 파일 및 하위 디렉토리를 스캐닝할 수 있다. 이에 따라, 암호화 전환 모듈(750)은 파일 트리 스캔을 통해, 파일 시스템에 포함된 적어도 일부 파일 각각의 추가 정보(예:파일 종류, 파일 소유자, 파일 권한, 파일 그룹)를 확인할 수 있다.. 동작 650에서, 전자 장치(101)는, 예를 들면 암호화 전환 모듈(750)은 스캔 결과를 기초로, 암호화 대상 파일을 판단하거나 혹은 암호화 대상 데이터 블록을 판단할 수 있다.

한 실시 예에 따르면 전자 장치(101)는, 예를 들면 암호화 전환 모듈(750)은, 파일 트리를 스캔하여 파일 시스템에 포함된 복수의 파일 타입(file type) 중 정규 파일(regular file)을 구분하고, 정규 파일에 속하는 데이터 블록을 암호화 대상으로 판단할 수 있다. 실시 예에 따르면, 암호화 전환 모듈(750)은 정규 파일의 데이터 블록 중에서 메타 데이터 블록을 제외한 일반 데이터 블록만을 암호화 대상으로 판단할 수 있다.

다양한 실시 예에 따르면 전자 장치(101)는, 예를 들면 암호화 전환 모듈(750)은, 파일 트리를 스캔하여 파일 시스템에 포함된 복수의 파일 중 디렉토리 파일을 구분하고, 디렉토리 파일에 속하는 데이터 블록을 암호화 대상이 아닌 것으로 판단할 수 있다.

다양한 실시 예에 따르면 전자 장치(101)는, 예를 들면 암호화 전환 모듈(750)은, 파일 트리를 스캔하여 파일 시스템에 포함된 복수의 파일 중 특정 소유자 혹은 특정 그룹 혹은 특정 권한을 속성으로 가진 파일에 속하는 데이터 블록을 암호화 대상으로 판단하거나 암호화 대상이 아닌 것으로 판단할 수 있다. 한 실시 예에 따르면, 암호화 전환 모듈(750)은 시스템 권한 혹은 루트 권한을 가진 소유자를 속성으로 가진 파일은 암호화 대상이 아닌 것으로 판단할 수 있다.

다양한 실시 예에 따르면 전자 장치(101)는, 예를 들면 암호화 전환 모듈(750)은, 파일 트리를 스캔하여 파일 시스템에 포함된 복수의 파일 중 특정 위치(디렉토리)의 하위에 있는 파일에 속하는 데이터 블록을 암호화 대상으로 판단하거나 암호화 대상이 아닌 것으로 판단할 수 있다. 한 실시 예에 따르면, 암호화 전환 모듈(750)은 응용 프로그램 실행코드 파일 혹은 라이브러리 파일들이 저장된 위치(디렉토리) 하위에 있는 파일은 암호화 대상이 아닌 것으로 판단할 수 있다.

동작 630 및 동작 650을 편의상 구분된 동작 또는 구분된 단계로 설명하였으나, 파일 스캔이 진행되는 과정 중에 암호화 대상인 데이터 블록을 판단할 수 있다.

실시 예에 따르면, 전자 장치(101)는, 동작 630 및 동작 650 과정에서 암호화 대상으로 판단되는 데이터 블록에 대한 정보를 데이터 블록 비트맵(data block bitmap)과 같은 정보 자료 구조에 저장할 수 있다. 예를 들어, 데이터 블록 비트맵은 스토리지(540)의 적어도 일부 영역을 포함한 블록들이 암호화 대상인지 아닌지 그 여부를 체크한 비트맵일 수 있다. 예를 들어, 전자 장치(101)는 1024개의 블록의 메모리 공간을 가진 스토리지를 위해, 128Byte(1024bit)의 비트맵으로 각 블록에 대한 암호화 대상 여부를 각 비트에 체크(또는 클리어)하여 기록할 수 있다.

전자 장치(101)는 동작 630 및 동작 650 과정에서, 상기 데이터 블록 비트맵에서 암호화 대상 블록의 비트를 체크(또는 클리어)할 수 있고, 동작 670에서 체크된 비트맵 정보 자료 구조를 참조하여 스토리지(540) 상의 암호화 판단된 데이터 블록들에 대해 일괄 암호화 수행할 수 있다.

동작 670에서, 전자 장치(101)는, 예를 들면 블록 암호화 모듈(790)은 암호화 대상으로 판단된 블록을 암호화 할 수 있다.

*한 실시예로, 암호화 전환 모듈(750)은 상술한, 암호화 대상으로 판단된 데이터 블록의 원본 데이터를 기존의 블록 장치로부터 읽고(read) 이를 다시 블록 암호화 장치로 쓰기(write)하여 데이터를 암호화 할 수 있다. 이 때, 발명의 다양한 실시예에 의하면, 상술한 데이터 블록 비트맵 자료 구조를 사용할 수 있다.

도 7은 본 발명의 다양한 실시예에 따른 블록 암호화 동작을 나타내는 개념도이다. 도 7을 참조하면, 전자 장치(101)는, 예를 들면, 암호화 전환 모듈(750), 블록 암호화 모듈(790) 및 스토리지(540)를 포함할 수 있다.

전자 장치(101)는 사용자의 선택에 따라, 혹은 전자 장치(101)의 설정에 따라 (예: 사용자 최초 부팅 시), 전자 장치(101)에 대응하는 블록 장치를 암호화할 수 있다. 이에 따라 전자 장치(101)에 대응하는 블록 장치는 블록 암호화 장치로 전환될 수 있다. 전자 장치(101)에 대응하는 블록 장치를 블록 암호화 장치로 최초 전환하는 경우에는 상술한 바와 같이, 파일 트리 스캔 과정 및 스캔 결과를 기초로 암호화 대상 여부를 판단하는 판단 동작이 필요하다.

도 7을 참조하면, 암호화 전환 모듈(750)은 블록 장치를 블록 암호화 장치로 전환할 수 있다.

본 발명의 실시예에 따르면, 암호화 전환 모듈(750)은 스토리지(540)에 저장된 적어도 하나의 파일(혹은, 파일 시스템)에 대한 파일 트리를 스캔할 수 있고, 스캔 결과를 기초로 적어도 하나의 파일에 대응하는 적어도 하나의 블록 각각의 암호화 여부를 판단할 수 있다. 따라서, 암호화 전환 모듈(750)은 블록 장치를 블록 암호화 장치로 전환 시, 파일의 데이터 블록들을 선택적으로 암호화 할 수 있다.

암호화 전환 모듈(750)은 블록 장치를 암호화 하는 경우, 블록 장치에 대응하는 스토리지(540)에 저장된 원본 데이터를 읽고(read), 읽은 원본 데이터를 암호화할 수 있다.

구체적으로, 암호화 전환 모듈(750)은 블록 계층(780)으로부터 원본 데이터를 읽고(read), 후술할 블록 암호화 모듈(790)에 쓸(write) 수 있다. 그리고 블록 암호화 모듈(790)은 원본 데이터를 암호화하여, 스토리지(540)에 쓸 수 있다. 블록 암호화 모듈(790)은 적어도 하나의 파일에 대응하는 적어도 하나의 블록을 암호화 할 수 있다. 또한, 블록 암호화 모듈(790)은 암호화된 블록을 복호화 할 수 있다. 예를 들면, 블록 암호화 모듈(790)은 연속된 복수의 블록에 대한 I/O 시, 연속된 복수의 블록을 암호화 또는 복호화 할 수 있다.

블록 암호화 모듈(790)은 블록 계층(780)에 로딩될 수 있다. 블록 암호화 모듈(790)은 블록 계층(780)을 블록 암호화 장치로 가상화할 수 있다. 이에 따라 파일 시스템(480)은 블록 암호화 모듈(790)를 통해 암호화된 블록을 스토리지(540)에 저장할 수 있다.

한편, 전자 장치(101)는 상술한 파일 트리 스캔 과정 중에 정규 파일이 스캔되면, 스캔된 정규 파일에 대응하는 블록 또는 클러스터를 블록 암호화 모듈(790)에 쓸 수 있고, 파일 트리 스캔 과정 중에 스캔된 정규 파일에 대응하는 블록 또는 클러스터를 확인한 후, 스캔 종료 후에 일괄적으로 블록 암호화 모듈(790)에 쓸 수도 있다. 그래서 블록 암호화 모듈(790)은 파일 트리 스캔 과정 중에 스캔된 정규 파일에 대응하는 블록을 암호화 할 수 있고, 스캔 종료 후에 정규 파일에 대응하는 블록을 일괄적으로 암호화할 수도 있다.

또한, 블록 암호화 모듈(790)은 스토리지(540)의 적어도 일부 영역을 블록 암호화 장치로 가상화 할 수 있다. 본 발명의 한 실시예에 따르면, 전자 장치(101)는 스토리지(540) 상 사용자 데이터가 저장되는 데이터 파티션(740)을 블록 암호화 장치로 가상화 할 수 있다.

블록 계층(780)은 파일 시스템에서 구성된 파일 데이터들을 스토리지(540)에 인터페이싱하는 계층을 의미할 수 있다. 이에 따라 블록 계층(780)에서는 데이터가 블록 단위로 입력 또는 출력될 수 있다. 스토리지(540)는 블록 암호화 동작에 대상이 되는 저장 장치일 수 있다.

스토리지(540)의 일부 영역 또는 전체 영역은 블록 장치(block device)로 매핑될 수 있다. 그리고 프로그램 모듈(400)은 파일 시스템을 매핑된 블록 장치에 마운트(mount) 할 수 있다. 이에 따라 프로그램 모듈(400)은 스토리지(540)에 저장된 파일에 접속할 수 있다.

본 발명의 다양한 실시예에서, 전자 장치는, 비휘발성 스토리지, 휘발성 메모리 및 상기 스토리지 및 상기 메모리와 전기적으로 연결된 프로세서를 포함하고, 상기 스토리지는, 실행 시에, 상기 프로세서가, 상기 메모리 상에 상기 스토리지를 블록 장치로 가상화 하기 위한 블록 계층을 설정하고, 상기 설정된 블록 계층에 파일을 블록 단위로 저장하고, 상기 블록 단위로 저장된, 상기 파일을, 상기 블록 단위로, 선택적으로 암호화하고, 암호화된 블록 및 암호화되지 않은 블록 중 적어도 하나를 상기 스토리지에 저장하도록 하는 인스트럭션들을 저장할 수 있다.

본 발명의 다양한 실시예에서, 전자 장치의 동작 방법은, 메모리 상에 스토리지를 블록 장치로 가상화 하기 위한 블록 계층을 설정하는 동작, 상기 설정된 블록 계층에 파일을 블록 단위로 저장하는 동작, 상기 블록 단위로 저장된, 상기 파일을, 적어도 하나의 상기 블록 단위로, 선택적으로 암호화하는 동작 및 암호화된 블록 및 암호화되지 않은 블록 중 적어도 하나를 상기 스토리지에 저장하는 동작을 포함할 수 있다.

본 발명의 다양한 실시예에서, 컴퓨터로 읽을 수 있는 저장매체는, 메모리 상에 스토리지를 블록 장치로 가상화 하기 위한 블록 계층을 설정하는 동작, 상기 설정된 블록 계층에 파일을 블록 단위로 저장하는 동작, 상기 블록 단위로 저장된, 상기 파일을, 적어도 하나의 상기 블록 단위로, 선택적으로 암호화하는 동작 및 암호화된 블록 및 암호화되지 않은 블록 중 적어도 하나를 상기 스토리지에 저장하는 동작을 실행시키기 위한 명령어를 저장할 수 있다.

한편, 본 발명의 다양한 실시예에 따른 전자 장치(101)는 블록에 대한 블록 정보를 기초로, 블록의 암호화를 선택적으로 수행할 수 있다. 이하, 이에 대해 자세히 설명한다.

도 8을 참조하면, 동작 810에서, 파일 시스템(480)은 응용 프로그램(910)으로부터 파일 입출력(I/O) 요청을 수신할 수 있다.

동작 830에서, 파일 시스템(480)은 파일 입출력 요청에 대응하는 파일을 구성하는 블록 종류에 따라 암복호화 여부를 판단할 수 있다. 여기서 파일 입출력 요청에 대응하는 파일을 구성하는 블록은 복수의 블록일 수도 있다. 여기서 파일 입출력 요청에 대응하는 파일을 구성하는 블록 종류는 파일 시스템의 블록 종류를 의미할 수도 있다.

본 발명의 다양한 실시 예에 따르면, 파일 시스템(480)은 파일을 구성하는 데이터 블록 중 메타 데이터 블록은 암복호화 대상이 아닌 것으로 판단할 수 있다. 혹은, 파일 시스템(480)은 파일을 구성하는 데이터 블록 중 일반 데이터 블록을 암복호화 대상으로 판단할 수 있다.

본 발명의 다양한 실시 예에 따르면, 파일 시스템(480)은 내부적으로 분류하는 파일 유형에 따라 특정 유형에 속하는 파일의 데이터 블록을 암복호화 대상으로 판단하거나 암복호화 대상이 아닌 것으로 판단할 수 있다. 예를 들어, 파일 시스템(480)은 정규 파일을 구성하는 데이터 블록은 암복호화 대상으로 판단하고, 디렉토리 파일을 구성하는 데이터 블록은 암복호화 대상이 아닌 것으로 판단할 수 있다.

본 발명의 다양한 실시 예에 따르면, 파일 시스템(480)은 특정 소유자 혹은 특정 그룹 혹은 특정 권한을 속성으로 가진 파일에 속하는 데이터 블록을 암복호화 대상으로 판단하거나 암복호화 대상이 아닌 것으로 판단할 수 있다. 예를 들어, 암호화 전환 모듈(750)은 시스템 권한 혹은 루트 권한을 가진 소유자를 속성으로 가진 파일은 암복호화 대상이 아닌 것으로 판단할 수 있다.

본 발명의 다양한 실시 예에 따르면, 파일 시스템(480)은 특정 위치(디렉토리)의 하위에 있는 파일에 속하는 데이터 블록을 암복호화 대상으로 판단하거나 암복호화 대상이 아닌 것으로 판단할 수 있다. 한 실시 예에 따르면, 암호화 전환 모듈(750)은 응용 프로그램 실행 파일 혹은 라이브러리 파일들이 저장되는 디렉토리에 포함된 파일들를 암호화 대상이 아닌 것으로 판단할 수 있다. 동작 850에서, 파일 시스템(480)은 블록 계층(780)에 블록 입출력(I/O) 요청 시, 동작 830에서 판단된 암복호화 여부에 대한 암복호화 정보를 블록 암호화 모듈(790)에 전달할 수 있다. 여기서 암복호화 정보는 블록 정보에 포함되어 전달될 수도 있고, 혹은 블록 입출력 인터페이스에 포함되어(예컨대, 인자 parameter에 포함되어) 전달될 수 있다.

이에 따라 블록 암호화 모듈(790)은 블록 I/O 시, 암복호화 정보를 기초로, 해당 블록을 암호화 또는 복호화 할 수 있다.

이하, 도 9를 참조하여 자세히 설명한다.

도 9를 참조하면, 응용 프로그램(910)은 파일 시스템(480)에 파일 입력 또는 출력을 요청할 수 있다. 파일 시스템(480)은 응용 프로그램(910)의 파일 I/O 요청에 따라 적어도 하나의 파일을 입력 또는 출력 처리할 수 있다. 여기서 파일 I/O 요청에 대응하는 파일은 적어도 하나의 블록을 포함할 수 있다. 예를 들면, 파일 I/O 요청에 대응하는 파일은 파일 시스템(480) 내에서 적어도 하나의 메타 데이터 블록 및 적어도 하나의 일반 데이터 블록을 포함할 수 있다. 다른 예로, 파일 I/O 요청에 대응하는 파일은 적어도 하나의 메타 데이터 블록을 포함할 수도 있다. 그리고 파일 시스템(480)은 상술한 다양한 파일 시스템 중 임의의 파일 시스템일 수 있다. 여기서 블록은 파일에 대한 메타 데이터를 포함하는 메타 데이터 블록(991, 993)과, 메타 데이터가 아닌 일반 데이터를 포함하는 일반 데이터 블록(992, 994)으로 구분될 수 있다. 메타 데이터 블록(991, 993)은 파일 시스템을 관리하는 데이터인 메타 데이터가 포함된 블록일 수 있다. 예를 들면, 메타 데이터 블록(991, 993)에는 슈퍼 블록(super block), 그룹 블록 디스크립터(group block descriptor), 아이노드(inode, index node) 혹은 파일 할당 테이블(FAT), 간접 블록(indirection block), 데이터 비트맵 블록(data bitmap block), 아이노드 비트맵 블록(inode bitmap block) 등이 포함될 수 있다. 일반 데이터 블록(992, 994)은 상술한 메타 데이터가 아닌 일반 데이터를 포함하는 블록일 수 있다. 블록 계층(780)의 블록 암호화 모듈(790)은 메타 데이터 블록(991, 993)을 암호화하지 않는 바이패스(bypass)로 동작하고, 일반 데이터 블록(992, 994)을 암호화 또는 복호화 할 수 있다. 예를 들면, 블록 암호화 모듈(790)은 파일 시스템(480)에서 전달받은 암복호화 정보를 기초로, 파일 입출력 요청에 대응하는 파일에 대한 적어도 하나의 블록 중 메타 데이터 블록은 암호화하지 않고, 메타 데이터 블록이 아닌 일반 데이터 블록은 암호화 할 수 있다. 일 실시예에 따르면, 블록 암호화 모듈(790)은 일반 데이터 블록(992, 994)에 대응하는 암호화된 블록을 스토리지(540)의 데이터 파티션(740)에 쓸 수 있다. 그리고 블록 암호화 모듈(790)은 메타 데이터 블록(991, 993)에 대응하는 바이패스한 블록을 스토리지(540)의 데이터 파티션(740)에 쓸 수 있다. 이에 따라, 전자 장치(101)는 메타 데이터 블록(991, 993)에 대응하는 데이터는 암호화하지 않는 바이패스하여 데이터 파티션(740)에 저장할 수 있고, 일반 데이터 블록(992, 994)에 대응하는 데이터는 암호화하여 데이터 파티션(740)에 저장할 수 있다. 본 발명의 다양한 실시예들에서, 도 8에서 전술된 파일시스템의 다양한 암복호화 여부 판단 정책에 따라 (파일 시스템에서 전달받은 암복호화 정보를 기초로), 블록 암호화 모듈(790)은 블록을 선택적으로 암복호화 할 수 있다.

또 다른 예로, 전자 장치(101)는 확인된 블록에 암호화 대상임을 나타내는 암호화 태그가 태깅된 경우에는 확인된 블록을 암호화할 수 있고, 확인된 블록에 암호화 대상이 아님을 나타내는 비암호화 태그가 태깅된 경우에는 확인된 블록을 암호화하지 않을 수 있다. 이에 대해 도 10 및 도 11을 참조하여 설명한다.

도 10을 참조하면, 동작 1010에서, 전자 장치(101)는 데이터 블록의 암호화를 수행하는 블록 암호화 모듈(790)의 암호화 동작 수행을 위해, 블록 암호화 모듈(790)을 블록 계층(780)에 로딩(loading)할 수 있다.

동작 1030에서, 전자 장치(101)는, 예를 들면 블록 암호화 모듈(790)은 상위 계층(예:파일 시스템)에서 입출력 요청받은 블록의 태그 정보를 확인할 수 있다. 예를 들면, 블록 암호화 모듈(790)은 응용 프로그램(910)의 파일 입출력 요청에 따라, 파일시스템에서 발생한 블록 입출력 파일 I/O 요청에 대응하는 파일의 적어도 하나의 블록의 태그 정보를 확인할 수 있다. 여기서 태그 정보는 암복호화 여부에 대한 정보를 포함하는 태그 정보일 수 있다.

일 실시예에 따르면, 태그 정보는 상위 계층에서 입출력 요청 시에 함께 전달받을 수 있다.

다른 실시예에 따르면, 태그 정보는 스토리지 혹은 기타 메모리의 일부 영역에 저장된 정보일 수 있다. 예를 들어, 블록들의 태그 정보는 블록 비트맵 자료 구조와 같은 형태로 기 저장되어 있고, 파일 시스템 혹은 블록 암호화 장치는 이를 읽어(read) 원하는 블록의 태그 정보를 확인할 수 있다.

동작 1050에서, 전자 장치(101)는, 예를 들면 블록 암호화 모듈(790)은 확인된 태그 정보를 기초로, 적어도 하나의 블록을 암호화할 수 있다. 예를 들면, 블록 암호화 모듈(790)은 확인된 태그가 암호화 대상임을 나타내는 암호화 태그이면, 암호화 태그에 대응하는 블록을 암호화할 수 있다. 그리고 블록 암호화 모듈(790)은 확인된 태그가 비암호화 대상임을 나타내는 비암호화 태그이면, 비암호화 태그에 대응하는 블록은 암호화하지 않을 수 있다.

도 11은 본 발명의 다양한 실시예에 따른 태그 정보에 따른 블록 암호화 동작에 대한 예시도이다.

도 11을 참조하면, 파일 시스템(480)은 암호화가 필요한 제1 데이터 블록(1191) 및 암호화가 필요하지 않은 제2 데이터 블록(1192)을 포함할 수 있다. 파일 시스템(480)은 암호화가 필요한 제1 데이터 블록(1191)에 암호화 태그를 태깅할 수 있고, 암호화가 필요하지 않은 제2 데이터 블록(1192)에 비암호화 태그를 태깅할 수 있다. 이에 따라, 파일 시스템(480)은 파일 입출력 처리 시에, 암호화가 필요한 제1 데이터 블록(1191)에 대해서는 암호화 태그를 태깅하여 블록 장치 암호화 모듈(790)에 입출력 요청할 수 있고, 암호화가 필요하지 않은 제2 데이터 블록에 대해서는 비암호화 태그를 태깅하여 블록 장치 암호화 모듈(790)에 입출력 요청할 수 있다. 일 실시예로, 파일 시스템(480)은 적어도 하나의 블록에 대해 블록 암호화 모듈(790)에 입출력 요청 시, 암호화 여부에 대한 정보를 블록 구조체인 bio(block i/o) 구조체에 추가하여 블록 암호화 모듈(790)에 전달할 수 있다. 블록 암호화 모듈(790)은 암호화 태그가 태깅된 제1 데이터 블록(1191)은 암호화 또는 복호화할 수 있고, 암호화 태그가 태깅된 제1 데이터 블록(1191)을 암호화하여 데이터 파티션(740)에 저장할 수 있다. 블록 암호화 모듈(790)은 비암호화 태그가 태깅된 제2 데이터 블록(1192)은 암호화하지 않도록 암호화 바이패스할 수 있고, 비암호화 태그가 태깅된 제2 데이터 블록(1192)을 암호화 바이패스하여, 데이터 파티션(740)에 저장할 수 있다. 한편, 상술한 암호화 태그에 대한 설명은 설명을 위한 예시로, 본 발명의 다양한 실시예에 따른 전자 장치(101)는 다양한 방식을 통해 블록의 암호화 여부를 나타내는 태그를 블록 계층에 전달할 수 있다. 그리고 암호화가 필요한 블록 또는 암호화가 필요하지 않은 블록 중 어느 하나에 해당하는 블록에만 암호화 여부를 나타내는 태그를 태깅할 수도 있다.

본 발명의 다양한 실시예에서, 전자 장치는, 비휘발성 스토리지, 휘발성 메모리 및 상기 스토리지 및 상기 메모리와 전기적으로 연결된 프로세서를 포함하고, 상기 스토리지는, 실행 시에, 상기 프로세서가, 상기 메모리 상에 상기 스토리지를 블록 장치로 가상화하고, 상기 스토리지에 저장된 파일에 대한 입력 또는 출력 요청에 따라 상기 입력 또는 출력 요청에 태깅된, 암호화 여부에 대한 정보를 나타내는 암호화 태그를 기초로, 상기 입력 또는 출력 요청에 대응하는 파일의 블록을 선택적으로 암호화 또는 복호화하는 인스트럭션을 저장할 수 있다.

본 발명의 다양한 실시예에서, 전자 장치의 동작 방법은, 메모리 상에 스토리지를 블록 장치로 가상화하는 동작 및 상기 스토리지에 저장된 파일에 대한 입력 또는 출력 요청에 따라 상기 입력 또는 출력 요청에 태깅된, 암호화 여부에 대한 정보를 나타내는 암호화 태그를 기초로, 상기 입력 또는 출력 요청에 대응하는 파일의 블록을 선택적으로 암호화 또는 복호화하는 동작을 포함할 수 있다.

본 발명의 다양한 실시예에서, 컴퓨터로 읽을 수 있는 저장매체는, 메모리 상에 스토리지를 블록 장치로 가상화하는 동작 및 상기 스토리지에 저장된 파일에 대한 입력 또는 출력 요청에 따라 상기 입력 또는 출력 요청에 태깅된, 암호화 여부에 대한 정보를 나타내는 암호화 태그를 기초로, 상기 입력 또는 출력 요청에 대응하는 파일의 블록을 선택적으로 암호화 또는 복호화하는 동작을 실행시키기 위한 명령어를 저장할 수 있다.

본 발명의 다양한 실시예에 따른 전자 장치(101)는 파일 시스템 유틸리티 구동 시, 블록에 대한 암호화 또는 복호화를 선택적으로 수행할 수도 있다.

도 12를 참조하면, 동작 1210에서, 전자 장치(101)는 블록 암호화 모듈(790)을 오픈(open)할 수 있다.

전자 장치(101)는 파일 시스템 유틸리티 구동에 따라 블록 암호화 모듈(790)을 오픈할 수 있고, 파일 시스템 유틸리티 구동에 따라 구동된 파일 시스템 유틸리티에 독점적으로 블록 암호화 모듈(790)을 오픈할 수도 있다. 여기서 파일 시스템 유틸리티는 사용자 주소 공간(User Address Space)에 상주하는 프로그램으로, 커널에서 동작하는 블록 계층(780), 예를 들면 블록 암호화 모듈(790)에, 스토리지(540)에 대한 입력 또는 출력을 요청할 수 있다. 예를 들면, 파일 시스템 유틸리티 구동에 따른 입력 또는 출력은 IOCTL(I/O control) 또는 시스템 콜(system call)로 구현될 수 있다. 그리고 파일 시스템 유틸리티 구동에 대응하는 동작은 예컨대, 파일 시스템 오류 검사, 파일 시스템 복구, 포맷 툴, 리사이즈 툴 중 적어도 하나에 대응하는 동작을 포함할 수 있다.

동작 1230에서, 전자 장치(101)는 블록 암호화 모듈(790)이 암호화 동작을 수행하지 않도록, 암호화 동작 바이패스 온(bypass on)으로 설정할 수 있다. 이에 따라 블록 암호화 모듈(790)은 블록에 대한 암호화 동작을 수행하지 않을 수 있다.

동작 1250에서, 전자 장치(101)는 파일 시스템 유틸리티 프로그램(1410)에 대응하는 동작을 수행할 수 있다. 본 발명의 다양한 실시예에 따르면, 전자 장치(101)는 블록 암호화 모듈(790)이 암호화 동작을 수행하지 않는, 바이패스 상태에서 파일 시스템 유틸리티 프로그램(1410)에 대응하는 동작을 수행할 수 있다. 이에 따라, 본 발명의 다양한 실시예에 따르면, 파일 시스템 유틸리티 프로그램(1410)이 블록 암호화 장치를 통해 입출력하는 데이터는 블록 암호화 모듈(790)에서 암복호화를 수행하지 않을 수 있다. 본 발명의 다양한 실시예에서, 전자 장치(101)는 파일 시스템 유틸리티 프로그램(1410)에 대응하는 동작 시, 매핑된 블록 장치를 파일 시스템 유틸리티 프로그램(1410)에 독점적으로 오픈할 수 있어서, 파일 시스템의 동작에 따른 충돌을 방지할 수 있다.

동작 1270에서, 전자 장치(101)는 파일 시스템 유틸리티 프로그램(1410)에 대응하는 동작 수행 후, 암호화 동작 바이패스 오프로 설정할 수 있다. 이에 따라 블록 암호화 모듈(790)은 데이터에 대한 암호화 동작을 수행할 수 있다.

동작 1290에서, 전자 장치(101)는 오픈된 블록 암호화 모듈(790)을 클로즈할 수 있다.

도 13을 참조하면, 파일 시스템 유틸리티 프로그램(1310)은 스토리지(540)에 대한 입력 또는 출력을 요청할 수 있다. 파일 시스템 유틸리티 프로그램(1310)은 파일 시스템을 통하지 않고 블록 계층에 직접 접근하여 데이터를 입출력 요청할 수 있다. 파일 시스템 유틸리티 프로그램(1310)은 일반적인 경우, 파일 시스템이 생성하여 저장한 데이터 중 메타 데이터 블록 데이터를 입출력 요청할 수 있다. 본 발명의 다양한 실시예에 따르면 파일 시스템 유틸리티 프로그램(1310)은 암복호 바이패스 인터페이스(1330)를 통해 블록 암호화 모듈(790)이 암호화 동작을 수행하지 않도록 제어할 수 있다.

암복호 바이패스 인터페이스(1330)는 파일 시스템 유틸리티 프로그램(1310)의 요청에 대응하여, 블록 암호화 모듈(790)이 암호화 동작을 수행하지 않도록 제어할 수 있다. 예를 들면, 암복호 바이패스 인터페이스(1330)는 파일 시스템 유틸리티 프로그램(1310)의 요청에 대응하여, 블록 암호화 모듈(790)이 암호화 동작을 수행하지 않는, 바이패스 모드로 동작하도록 제어할 수 있다. 여기서 암복호 바이패스 인터페이스(1330)는 사용자 주소 공간과 커널 사이를 중계하는 인터페이스를 포함할 수 있다. 예컨대, 시스템 콜 또는 IOCTL과 같은 형태의 구현을 포함할 수 있다.

블록 암호화 모듈(790)은 I/O 바이패스 모듈(1330)의 제어에 따라, 블록을 암호화하지 않는 바이패스 모드로 동작할 수 있다. 본 발명의 다양한 실시예에 따르면,블록 암호화 모듈(790)은 파일 시스템 유틸리티 프로그램(1310)에 대응하는 데이터 입출력을 암호화 또는 복호화 하지 않고, 암호화 바이패스하여 스토리지(540)의 적어도 일부 영역(예:데이터 파티션(740))에 저장된 데이터를 읽거나 쓸 수 있다.

본 발명의 다양한 실시예에서, 전자 장치는, 비휘발성 스토리지, 휘발성 메모리 및 상기 스토리지 및 상기 메모리와 전기적으로 연결된 프로세서를 포함하고, 상기 스토리지는, 실행 시에, 상기 프로세서가, 상기 메모리 상에 상기 스토리지를 블록 장치로 가상화하고, 상기 가상화된 스토리지에 저장된 파일에 대응하는 적어도 하나의 블록을 선택적으로 암호화하고, 파일 시스템 유틸리티 구동에 따른 입력 또는 출력에 대해서는 암호화하지 않는 인스트럭션들을 저장할 수 있다.

본 발명의 다양한 실시예에서, 전자 장치의 동작 방법은, 메모리 상에 스토리지를 블록 장치로 가상화하는 동작 및 상기 가상화된 스토리지에 저장된 파일에 대응하는 적어도 하나의 블록을 선택적으로 암호화하고, 파일 시스템 유틸리티 구동에 따른 입력 또는 출력에 대해서는 암호화하지 않는 동작을 포함할 수 있다.

본 발명의 다양한 실시예에서, 컴퓨터로 읽을 수 있는 저장매체는, 메모리 상에 스토리지를 블록 장치로 가상화하는 동작 및 상기 가상화된 스토리지에 저장된 파일에 대응하는 적어도 하나의 블록을 선택적으로 암호화하고, 파일 시스템 유틸리티 구동에 따른 입력 또는 출력에 대해서는 암호화하지 않는 동작을 실행시키기 위한 명령어를 저장할 수 있다.

본 발명의 다양한 실시예에서, 전자 장치는 비휘발성 스토리지, 휘발성 메모리 및 상기 스토리지 및 상기 메모리와 전기적으로 연결된 프로세서를 포함하고, 상기 스토리지는, 실행 시에, 상기 프로세서가, 상기 메모리 상에 상기 스토리지를 가상화 하기 위한 블록 계층을 설정하고, 상기 블록 계층에 파일을 적어도 하나의 블록으로 상기 메모리에 저장하고, 상기 적어도 하나의 블록에 대하여 선택적으로 암호화하고, 및 상기 선택적으로 암호화된 블록을 포함한 상기 파일을 상기 스토리지에 저장하도록 하는 인스트럭션들을 저장할 수 있다.

본 발명의 다양한 실시예에서, 전자 장치에서 판독 가능한 기록 매체는 상기 전자 장치와 기능적으로 연결된 메모리 상에 상기 전자 장치와 기능적으로 연결된 스토리지를 가상화 하기 위한 블록 계층을 설정하는 동작, 상기 블록 계층에 파일을 적어도 하나의 블록으로 상기 메모리에 저장하는 동작, 상기 적어도 하나의 블록을 선택적으로 암호화하는 동작 및 상기 선택적으로 암호화된 블록을 포함한 상기 파일을 상기 스토리지에 저장하는 동작을 실행시키기 위한 프로그램을 저장할 수 있다.

전자 장치(101)는 파일의 속성을 기초로, 파일에 대응하는 블록의 암호화 여부를 판단하고, 판단 결과를 기초로 해당 파일에 대응하는 블록을 암호화하거나 암호화하지 않을 수 있다. 본 발명의 다양한 실시예에서, 전자 장치(101)는 파일에 대한 파일 경로, 파일 이름 중 적어도 하나를 기초로 암호화 동작 여부를 판단하고, 판단 결과를 기초로 해당 파일에 대응하는 블록을 암호화하거나 암호화하지 않을 수 있다.

일 실시예에서, 전자 장치(101)는 최초 부팅 시 또는 사용자의 요청에 따라, 파일 경로, 파일 이름 중 적어도 하나를 기초로 파일에 대응하는 블록을 암호화하거나 암호화하지 않을 수 있다. 예를 들면, 파일 시스템(490)은 IOCTL(I/O control) 또는 시스템 콜(system call)을 통해, 암호화하지 않을 파일에 대응하는 파일 경로, 파일 이름 중 적어도 하나에 대한 정보를 수신할 수 있다. 그리고 파일 시스템(490)은 수신된 파일 경로, 파일 이름 중 적어도 하나를 기초로, 적어도 하나의 파일에 대응하는 적어도 하나의 블록을 암호화할 수도 있고, 암호화하지 않을 수도 있다. 여기서 파일 이름은 런타임에 실행되는 바이너리를 의미할 수 있다.

한 실시예로, 파일 시스템(490)은 복수의 파일 중 특정 경로에 대응하는 파일 또는 특정 이름에 대응하는 파일은 암호화하지 않을 수 있고, 나머지 파일은 암호화할 수 있다. 한 실시예에서, 상기 파일 경로 혹은 파일 이름은 전자 장치(101)에 설치되거나 다운로드된 프로그램 실행 파일 경로 혹은 그 이름일 수 있다.

이에 따라 본 발명의 다양한 실시예에 따른 전자 장치(101)는 복수의 파일을 포함하는 스토리지(540)를 암호화할 때, 암호화가 필요하지 않은 파일에 대응하는 블록은 암호화하지 않을 수 있다. 그래서 본 발명의 다양한 실시예에 따른 전자 장치(101)는 스토리지 암호화 동작을 효율적으로 수행할 수 있고, 전자 장치(101)의 응용 프로그램 실행 속도를 향상시킬 수 있다.

본 발명의 다양한 실시예에 따른 전자 장치(101)는 암호화 모듈(1400)을 포함할 수 있고, 암호화 모듈(1400)은 블록을 암호화 또는 복호화할 수 있다. 암호화 모듈(1400)은 소프트웨어, 하드웨어, 펌웨어, 또는 그 조합으로 구성 될 수 있다.

도 14를 참조하면, 암호화 모듈(1400)은 암호화 코어(1410), DMA 모듈(1430)을 포함할 수 있다.

암호화 코어(1410)는 데이터 암호화 또는 복호화와 관련된 전반적인 동작을 수행할 수 있다. 예를 들면, 암호화 코어(1410)는 적어도 하나의 블록을 암호화 또는 복호화 할 수 있다.

DMA(direct memory access) 모듈(1430)은 메모리(520)와 스토리지(540) 간에 데이터를 전송한다. 도 5의 DMA 모듈(530)에 대응될 수 있다.

한 실시예에 따르면, 암호화 모듈(1400)은 DMA(direct memory access)모듈(1430)을 이용한 데이터 전송 중에 데이터 암호화 또는 복호화 동작을 수행할 수 있다. 일 실시예로, 암호화 모듈(1400)은 삼성 전자의 FMP(flash memory protector) 하드웨어를 포함할 수 있다. 한 실시예에 따르면, 암호화 모듈(1400)은 DMA 전송이 요청된 블록에 암호화/복호화 수행을 요청하는 플래그(flag)가 셋업된 경우, 셋업된 플래그를 기초로 DMA 전송 중에, DMA 전송이 요청된 블록의 암호화 또는 복호화 동작을 수행할 수 있다.

한 실시예에 따르면, 암호화 모듈(1400)은 어플리케이션 프로세서에 포함될 수 있다. 예를 들면, 암호화 모듈(1400)은 프로세서(예: 프로세서(120, 210))에 포함될 수 있다. 또한, 암호화 모듈(1400)은 적어도 하나의 프로세서 및 펌웨어를 저장하는 메모리를 포함할 수도 있다. 한 실시예에 따르면, 암호화 모듈(1400)은 프로세서의 일부 또는 전부, 및 펌웨어를 저장하는 메모리에 의해 구현될 수 있다. 그리고 암호화 모듈(1400)은 암호화 회로를 의미할 수도 있다.

전자 장치(101)는 상술한 블록 암호화 모듈(790)을 통한 블록의 선택적 암호화 동작을, 암호화 모듈(1400)을 통해 수행할 수도 있다. 그래서 전자 장치(101)는 DMA 전송 중에 DMA 전송이 요청된 블록의 암호화 또는 복호화 동작을 수행할 수 있다. 예를 들면, 상술한 바와 같이 전자 장치(101)는 다양한 파일 종류 중 정규 파일에 대한 데이터 블록을 암호화 모듈(1400)을 통해 암호화할 수 있다. 예를 들면, 상술한 바와 같이 전자 장치(101)는 메타 데이터 블록이 아닌 일반 데이터 블록만을 암호화 모듈(1400)을 통해 암호화할 수 있다. 예를 들면, 전자 장치(101)는 파일 트리 스캔을 통해, 스캔된 파일의 종류, 스캔된 파일에 대응하는 접근 권한, 스캔된 파일이 속하는 그룹 중 적어도 하나를 기초로, 스캔된 파일에 대응하는 블록을 암호화 모듈(1400)을 통해 선택적으로 암호화할 수 있다. 전자 장치(101)는 암호화 태그가 태깅된 블록을 암호화 모듈(1400)을 통해 암호화할 수 있고, 비암호화 태그가 태깅된 블록은 암호화 모듈(1400)이 암호화하지 않도록 바이패스 동작할 수 있다. 또한, 전자 장치(101)는 파일 시스템 유틸리티 구동 시, 암호화 모듈(1400)이 파일 시스템 유틸리티에 대응하는 입력 또는 출력에 대한 암호화 동작을 수행하지 않도록 할 수 있다.

전자 장치(101)는 어플리케이션(예: 설정 어플리케이션)을 통해 암호화 실행 메뉴를 제공할 수 있다. 전자 장치(101)는 사용자 입력에 반응하여 전자 장치(101)에서 저장하고 있는 파일(또는 데이터)을 암호화할 수 있다. 한 실시예에 따르면, 전자 장치(101)는 전자 장치(101)에서 저장하고 있는 파일 전체를 암호화하는 방식에 대응하는 메뉴 또는 파일 전체 중 일부 파일을 선택적으로 암호화하는 방식에 대응하는 메뉴를 디스플레이(160)를 통해 제공할 수 있다. 그리고 전자 장치(101)는 제공된 메뉴를 통해, 파일 전체를 암호화하는 방식 또는 파일 전체 중 일부 파일을 선택적으로 암호화하는 방식에 대한 사용자 입력을 획득할 수 있고, 획득된 사용자 입력에 따라 상술한 암호화 동작을 수행할 수 있다.

상술한 전자 장치(101)에 대한 설명은 특정 운영 체제에 한정되지 않으며, 다양한 운영 체제에 적용될 수 있다. 이에 따라 상술한 설명에서 사용된 하나의 운영 체제에 대한 특정 용어는 다른 운영 체제에 대응하는 다른 용어를 의미할 수 있다.

상술한 전자 장치(101)에 대한 설명은 특정 파일 시스템 체제에 한정되지 않으며, 다양한 파일 시스템 체제에 적용될 수 있다. 이에 따라 상술한 설명에서 사용된 하나의 파일 시스템 체제에 대한 특정 용어는 다른 파일 시스템 체제에 대응하는 다른 용어를 의미할 수 있다.

상술한 전자 장치의 전술한 구성요소들 각각은 하나 또는 그 이상의 부품(component)으로 구성될 수 있으며, 해당 구성 요소의 명칭은 전자 장치의 종류에 따라서 달라질 수 있다. 다양한 실시예에서, 전자 장치는 전술한 구성요소 중 적어도 하나를 포함하여 구성될 수 있으며, 일부 구성요소가 생략되거나 또는 추가적인 다른 구성요소를 더 포함할 수 있다. 또한, 다양한 실시예에 따른 전자 장치의 구성 요소들 중 일부가 결합되어 하나의 개체(entity)로 구성됨으로써, 결합되기 이전의 해당 구성 요소들의 기능을 동일하게 수행할 수 있다.

본 문서에서 사용된 용어 "모듈"은, 예를 들면, 하드웨어, 소프트웨어 또는 펌웨어(firmware) 중 하나 또는 둘 이상의 조합을 포함하는 단위(unit)를 의미할 수 있다. "모듈"은, 예를 들면, 유닛(unit), 로직(logic), 논리 블록(logical block), 부품(component), 또는 회로(circuit) 등의 용어와 바꾸어 사용(interchangeably use)될 수 있다. "모듈"은, 일체로 구성된 부품의 최소 단위 또는 그 일부가 될 수 있다. "모듈"은 하나 또는 그 이상의 기능을 수행하는 최소 단위 또는 그 일부가 될 수도 있다. "모듈"은 기계적으로 또는 전자적으로 구현될 수 있다. 예를 들면,"모듈"은, 알려졌거나 앞으로 개발될, 어떤 동작들을 수행하는 ASIC(application-specific integrated circuit) 칩, FPGAs(field-programmable gate arrays) 또는 프로그램 가능 논리 장치(programmable-logic device) 중 적어도 하나를 포함할 수 있다.

다양한 실시예에 따른 장치(예: 모듈들 또는 그 기능들) 또는 방법(예: 동작들)의 적어도 일부는, 예컨대, 프로그램 모듈의 형태로 컴퓨터로 읽을 수 있는 저장매체(computer-readable storage media)에 저장된 명령어로 구현될 수 있다. 명령어는, 프로세서(예: 프로세서(120))에 의해 실행될 경우, 하나 이상의 프로세서가 명령어에 해당하는 기능을 수행할 수 있다. 컴퓨터로 읽을 수 있는 저장매체는, 예를 들면, 상기 메모리(130)가 될 수 있다.

상기 컴퓨터로 판독 가능한 기록 매체는, 하드디스크, 플로피디스크, 마그네틱 매체(magnetic media)(예: 자기테이프), 광기록 매체(optical media)(예: CD-ROM(compact disc read only memory), DVD(digital versatile disc), 자기-광 매체(magneto-optical media)(예: 플롭티컬 디스크(floptical disk)), 하드웨어 장치(예: ROM(read only memory), RAM(random access memory), 또는 플래시 메모리 등) 등을 포함할 수 있다. 또한, 프로그램 명령에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함할 수 있다. 상술한 하드웨어 장치는 다양한 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지다.

다양한 실시예에 따른 모듈 또는 프로그램 모듈은 전술한 구성요소들 중 적어도 하나 이상을 포함하거나, 일부가 생략되거나, 또는 추가적인 다른 구성요소를 더 포함할 수 있다. 다양한 실시예에 따른 모듈, 프로그램 모듈 또는 다른 구성요소에 의해 수행되는 동작들은 순차적, 병렬적, 반복적 또는 휴리스틱(heuristic)한 방법으로 실행될 수 있다. 또한, 일부 동작은 다른 순서로 실행되거나, 생략되거나, 또는 다른 동작이 추가될 수 있다.

그리고 본 문서에 개시된 실시예는 개시된, 기술 내용의 설명 및 이해를 위해 제시된 것이며, 본 개시의 범위를 한정하는 것은 아니다. 따라서, 본 개시의 범위는, 본 개시의 기술적 사상에 근거한 모든 변경 또는 다양한 다른 실시예를 포함하는 것으로 해석되어야 한다.

Claims

전자 장치에 있어서,

비휘발성 스토리지;

휘발성 메모리; 및

상기 스토리지 및 상기 메모리와 전기적으로 연결된 프로세서를 포함하고,

상기 스토리지는, 실행 시에, 상기 프로세서가,

상기 메모리 상에 상기 스토리지를 가상화 하기 위한 블록 계층을 설정하고,

상기 설정된 블록 계층에, 파일을 블록 단위로 저장하고,

상기 블록 단위로 저장된, 상기 파일의 적어도 일부를, 적어도 하나의 상기 블록 단위로, 선택적으로 암호화하고, 상기 파일의 나머지를 암호화하지 않고,

상기 암호화된 블록 또는 상기 암호화되지 않은 블록 중 적어도 하나를 상기 스토리지에 저장하도록 하는 인스트럭션들을 저장하는

전자 장치.
제1항에 있어서,

상기 스토리지는, 실행 시에, 상기 프로세서가,

상기 블록의 종류, 상기 블록에 대응하는 상기 파일의 종류, 상기 블록에 대응하는 상기 파일의 접근 권한, 상기 블록에 대응하는 상기 파일이 속하는 그룹, 상기 블록에 대응하는 상기 파일의 소유자, 상기 블록에 대응하는 상기 파일의 경로 중 적어도 하나를 기초로, 상기 파일에 대응하는 블록을 선택적으로 암호화하는 인스트럭션들을 저장하는

전자 장치.
제1항에 있어서,

상기 스토리지는, 실행 시에, 상기 프로세서가,

상기 스토리지에 저장된 적어도 하나의 파일에 대한 파일 트리를 스캔하고,

상기 스캔 결과를 기초로, 상기 적어도 하나의 파일에 대응하는 블록을 선택적으로 암호화하는 인스트럭션들을 저장하는

전자 장치.
제3항에 있어서,

상기 스토리지는, 실행 시에, 상기 프로세서가,

상기 스캔 결과를 기초로, 정규 파일에 대응하는 블록은 암호화하고, 상기 정규 파일이 아닌 비-정규 파일에 대응하는 블록은 암호화하지 않는 인스트럭션들을 저장하는

전자 장치.
제4항에 있어서,

상기 스토리지는, 실행 시에, 상기 프로세서가,

상기 정규 파일이 스캔될 때마다, 상기 스캔된 정규 파일에 대응하는 블록을 암호화하는 인스트럭션들을 저장하는

전자 장치.
제4항에 있어서,

상기 스토리지는, 실행 시에, 상기 프로세서가,

상기 스캔 종료 후, 상기 정규 파일에 대응하는 블록을 암호화하는 인스트럭션들을 저장하는

전자 장치.
제3항에 있어서,

상기 스토리지는, 실행 시에, 상기 프로세서가,

상기 스토리지에 대한 암호화 전환 입력 시, 상기 스토리지에 저장된 적어도 하나의 파일에 대한 파일 트리를 스캔하는 인스트럭션들을 저장하는

전자 장치.
제2항에 있어서,

상기 스토리지는, 실행 시에, 상기 프로세서가,

상기 파일이 메타 데이터이면, 상기 메타 데이터에 대응하는 블록은 암호화하지 않는 인스트럭션들을 저장하는

전자 장치.
제1항 또는 제2항에 있어서,

상기 스토리지는, 실행 시에, 상기 프로세서가,

상기 메모리 상에 상기 스토리지를 블록 장치로 가상화하고,

상기 메모리 상에 마운트된 파일 시스템은 상기 블록 장치에 입력 또는 출력 요청할 데이터의 암복호화 여부를 판단하고, 상기 블록 장치에 입출력 데이터의 암복호화 여부에 대한 정보를 전달하고,

상기 블록 장치는 상기 암복호화 여부에 대한 정보를 기초로, 상기 데이터에 대응하는 블록을 선택적으로 암호화 또는 복호화하는 인스트럭션들을 저장하는

전자 장치.
제9항에 있어서,

상기 스토리지는, 실행 시에, 상기 프로세서가,

상기 데이터를 구성하는 블록의 종류에 따라 암호화 또는 복호화 여부를 판단하는 인스트럭션들을 저장하는 전자 장치.
제10항에 있어서,

상기 스토리지는, 실행 시에, 상기 프로세서가,

상기 입력 또는 출력 요청에 대응하는 데이터를 구성하는 블록의 종류가 메타 데이터 블록에 해당하면, 상기 입력 또는 출력 요청에 대응하는 데이터의 블록을 암호화하지 않는 인스트럭션들을 저장하는

전자 장치.
제10항에 있어서,

상기 스토리지는, 실행 시에, 상기 프로세서가,

상기 판단된 암호화 또는 복호화 여부를 기초로, 상기 암복호화 여부에 대한 정보를 나타내는 암복호화 정보를 상기 입력 또는 출력 요청에 포함하는 인스트럭션들을 저장하는

전자 장치.
전자 장치에 있어서,

비휘발성 스토리지;

휘발성 메모리; 및

상기 스토리지 및 상기 메모리와 전기적으로 연결된 프로세서를 포함하고,

상기 스토리지는, 실행 시에, 상기 프로세서가,

상기 메모리 상에 상기 스토리지를 블록 장치로 가상화하고,

상기 가상화된 스토리지에 저장된 파일에 대응하는 적어도 하나의 블록을 선택적으로 암호화하고,

파일 시스템 유틸리티 구동에 따른 입력 또는 출력에 대해서는 암호화하지 않는 인스트럭션들을 저장하는

전자 장치.
제13항에 있어서,

상기 스토리지는, 실행 시에, 상기 프로세서가,

상기 파일 시스템 유틸리티 구동에 따른 입력 또는 출력에 대응하는 블록은 암호화 동작을 바이패스하도록 제어하는 인스트럭션들을 저장하는

전자 장치.
비휘발성 스토리지 및 휘발성 메모리를 포함하는 전자 장치의 동작 방법에 있어서,

상기 메모리 상에 상기 스토리지를 블록 장치로 가상화 하기 위한 블록 계층을 설정하는 동작;

상기 설정된 블록 계층에 파일을 블록 단위로 저장하는 동작;

상기 블록 단위로 저장된, 상기 파일을, 적어도 하나의 상기 블록 단위로, 선택적으로 암호화하는 동작; 및

암호화된 블록 및 암호화되지 않은 블록 중 적어도 하나를 상기 스토리지에 저장하는 동작을 포함하는

동작 방법.
제15항에 있어서,

상기 파일을, 적어도 하나의 상기 블록 단위로, 선택적으로 암호화하는 동작은,

상기 블록의 종류, 상기 블록에 대응하는 상기 파일의 종류, 상기 블록에 대응하는 상기 파일의 접근 권한, 상기 블록에 대응하는 상기 파일이 속하는 그룹 중 적어도 하나를 기초로, 상기 블록을 선택적으로 암호화하는 동작을 포함하는

동작 방법.
제15항에 있어서,

상기 스토리지에 저장된 적어도 하나의 파일에 대한 파일 트리를 스캔하는 동작을 더 포함하고,

상기 파일을, 적어도 하나의 상기 블록 단위로, 선택적으로 암호화하는 동작은,

상기 스캔 결과를 기초로, 상기 적어도 하나의 파일에 대응하는 블록을 선택적으로 암호화하는 동작을 포함하는

동작 방법.
제17항에 있어서,

상기 스캔 결과를 기초로, 상기 적어도 하나의 파일에 대응하는 블록을 선택적으로 암호화하는 동작은,

상기 스캔 결과를 기초로, 정규 파일에 대응하는 블록을 암호화하는 동작과,

상기 스캔 결과를 기초로, 상기 정규 파일이 아닌 비-정규 파일에 대응하는 블록은 암호화하지 않는 동작을 포함하는

동작 방법.
제18항에 있어서,

상기 정규 파일에 대응하는 블록을 암호화하는 동작은,

상기 파일 트리 스캔 동작 중에 정규 파일이 스캔될 때마다, 또는 파일 트리 스캔 동작이 종료된 후, 상기 스캔된 정규 파일에 대응하는 블록을 암호화하는 동작을 포함하는

동작 방법.
제15항에 있어서,

상기 파일을, 적어도 하나의 상기 블록 단위로, 선택적으로 암호화하는 동작은,

상기 블록 장치에 입력 또는 출력 발생 시, 입력 또는 출력에 대응하는 데이터의 암복호화 정보를 상기 블록 장치에 전달하는

동작 방법.
제16항에 있어서,

상기 파일을, 적어도 하나의 상기 블록 단위로, 선택적으로 암호화하는 동작은,

상기 블록의 종류가 메타 데이터 블록에 해당하면, 상기 메타 데이터 블록에 대응하는 데이터는 암호화하지 않는 동작을 포함하는

동작 방법.
전자 장치에서 판독 가능한 기록 매체에 있어서,

상기 전자 장치와 기능적으로 연결된 메모리 상에 상기 전자 장치와 기능적으로 연결된 스토리지를 가상화 하기 위한 블록 계층을 설정하는 동작;

상기 블록 계층에 파일을 적어도 하나의 블록으로 상기 메모리에 저장하는 동작;

상기 적어도 하나의 블록을 선택적으로 암호화하는 동작; 및

상기 선택적으로 암호화된 블록을 포함한 상기 파일을 상기 스토리지에 저장하는 동작을 실행시키기 위한 프로그램을 저장하는 기록 매체.