WO2022034979A1 - 가상화 운영체제 환경에서 이용되는 보안 통신 제어 시스템 및 방법 - Google Patents
가상화 운영체제 환경에서 이용되는 보안 통신 제어 시스템 및 방법 Download PDFInfo
- Publication number
- WO2022034979A1 WO2022034979A1 PCT/KR2020/017020 KR2020017020W WO2022034979A1 WO 2022034979 A1 WO2022034979 A1 WO 2022034979A1 KR 2020017020 W KR2020017020 W KR 2020017020W WO 2022034979 A1 WO2022034979 A1 WO 2022034979A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- guest
- host
- operating system
- key
- shared key
- Prior art date
Links
- 238000004891 communication Methods 0.000 title claims abstract description 69
- 238000000034 method Methods 0.000 title claims description 70
- 238000012545 processing Methods 0.000 description 14
- 238000010586 diagram Methods 0.000 description 10
- 230000005540 biological transmission Effects 0.000 description 3
- 238000012546 transfer Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/629—Protecting access to data via a platform, e.g. using keys or access control rules to features or functions of an application
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
Definitions
- the guest shared key generation unit 412 may remove the guest secret key generated for the corresponding thread when a certain thread is stopped or execution is completed, and accordingly, the guest shared key generation unit 412 412 may remove the generated guest shared key by using the removed guest secret key.
- the guest data controller 417 may remove the session key generated for the corresponding thread.
- the host data control unit 217 may generate a session key from the guest shared key received from the guest operating system 400 , and the host data control unit 217 encrypts data using the session key to generate a cipher text.
- the session key may be generated using Diffie-Hellman's key exchange technique.
- the host data control unit 217 may generate a session key from the guest shared key, and the host data control unit 217 uses the session key to generate the guest operating system 400 .
- the ciphertext received from 400 may be decrypted to extract the returned data.
- the guest shared key may be understood as being transmitted when a thread is transmitted, and the session key may be understood as being generated when data is encrypted according to the thread transmitted from the guest operating system 400 .
- FIG. 4 is a block diagram illustrating a process in which a thread is created in the guest application controller of FIG. 2 and transferred to the host operating system.
- the guest communication unit 411 may transmit the generated thread and the guest shared key to the host operating system 200 .
- the host application controller 216 when receiving the thread and the guest shared key from the guest operating system 400 , the host application controller 216 requests the host application 260 for data according to the thread, and transmits the data from the host application 260 . can receive
- the host application controller 216 when receiving a thread and a guest shared key from the guest operating system 400 , the host application controller 216 requests the host application 260 for data according to the thread, data can be transmitted.
- the host data control unit 217 may generate a session key from the guest shared key received from the guest operating system 400 , and the host data control unit 217 encrypts data using the session key to generate a cipher text.
- the guest application controller 416 transmits the extracted data to the guest application 460 to process the data. may be transmitted to 460 , and the guest application controller 416 may receive data returned by processing data in the guest application 460 .
- the guest data control unit 417 may generate a cipher text by encrypting the returned data using the session key generated from the host shared key, and the guest communication unit 411 transmits the encrypted cipher text to the host operating system 200 . can be forwarded to
- FIG. 6 is a flowchart of a secure communication control method according to an embodiment of the present invention.
- the step 620 of transmitting to the host operating system may be a step in which the guest communication unit 411 transmits the thread and the guest shared key to the host operating system 200 .
- the step 630 of generating the host shared key may be a step of generating the host shared key so that the host shared key generator 212 corresponds to the guest shared key.
- the host application controller 216 requests the host application 260 for data according to the thread, receives data from the host application 260, and the host data controller 217 allows the guest sharing It may be a step of generating a session key from the key, and encrypting data using the session key to generate a cipher text.
- Decrypting the encrypted text 660 may be a step in which the guest data controller 417 decrypts the encrypted text transmitted from the host operating system 200 using a session key to extract data.
- step 670 of receiving the returned data the guest application controller 416 transmits the data to the guest application 460 , and the guest application controller 416 processes the data in the guest application 460 and returns it. It may be a step of receiving the data to be transmitted.
- the step 690 of transmitting the encrypted text for the returned data to the host operating system may be a step in which the guest communication unit 411 transmits the encrypted text to the host operating system 200 .
- the secure communication control method may further include the step of receiving, by the host communication unit 211 , the encrypted text encrypted in the guest operating system 400 from the guest operating system 400 .
- the secure communication control method is performed by the host
- the data control unit 217 receives the encrypted text from the guest operating system 400 , it generates a session key from the guest shared key, and the host data control unit 217 uses the session key to receive the encrypted text from the guest operating system 400 . It may further include the step of extracting the returned data by decoding.
- FIG. 8 is a detailed flowchart illustrating a method in which a guest operating system stops a thread according to the step of transmitting to the host operating system of FIG. 6 .
- the guest data control unit 417 may determine whether a ciphertext in which data according to a thread is encrypted is transmitted from the host operating system 200 within a preset time interval ( S621 ).
- the secure communication control method may further include the step of removing, by the guest data control unit 417, a session key generated for a corresponding thread when a certain thread is stopped or execution is completed.
Abstract
Description
Claims (15)
- 게스트 운영체제에 마련되어, 호스트 운영체제에 설치된 호스트 어플리케이션에 임의의 데이터를 요청하는 스레드를 생성하는 게스트 제어부;상기 스레드에서 이용되도록 게스트 공유키를 생성하는 게스트 공유키 생성부;상기 스레드와 상기 게스트 공유키를 상기 호스트 운영체제에 전달하는 게스트 통신부;상기 게스트 공유키에 대응되도록 호스트 공유키를 생성하는 호스트 공유키 생성부;상기 스레드에 따른 데이터를 상기 호스트 어플리케이션에 요청하여, 상기 호스트 어플리케이션으로부터 상기 데이터를 전달받고, 상기 게스트 공유키로부터 세션키를 생성하며, 상기 세션키를 이용하여 상기 데이터를 암호화하여 암호문을 생성하는 호스트 제어부; 및상기 암호문과 상기 호스트 공유키를 상기 게스트 운영체제에 전달하는 호스트 통신부를 포함하는, 보안 통신 제어 시스템.
- 제1항에 있어서, 상기 게스트 공유키 생성부는,상기 스레드가 생성되는 경우, 상기 스레드에서 이용되도록 임의의 게스트 비밀키를 설정하고, 사전에 마련되는 공개키와 상기 게스트 비밀키를 이용하여 상기 게스트 공유키를 생성하는, 보안 통신 제어 시스템.
- 제2항에 있어서,상기 호스트 공유키를 상기 게스트 비밀키로 제곱하고, 상기 제곱 연산에 의해 산출되는 값으로부터 사전에 마련되는 제 2 공개키를 이용한 모듈러 연산을 수행하여 상기 세션키를 생성하는 게스트 제어부를 더 포함하는, 보안 통신 제어 시스템.
- 제1항에 있어서, 상기 호스트 공유키 생성부는,상기 스레드가 상기 호스트 운영체제에 전달되는 경우, 상기 스레드에서 이용되도록 임의의 호스트 비밀키를 설정하고, 사전에 마련되는 공개키와 상기 호스트 비밀키를 이용하여 상기 호스트 공유키를 생성하는, 보안 통신 제어 시스템.
- 제4항에 있어서, 상기 호스트 제어부는,상기 게스트 공유키를 상기 호스트 비밀키로 제곱하고, 상기 제곱 연산에 의해 산출되는 값으로부터 사전에 마련되는 제 2 공개키를 이용한 모듈러 연산을 수행하여 상기 세션키를 생성하는, 보안 통신 제어 시스템.
- 제1항에 있어서, 상기 호스트 통신부는,상기 게스트 운영체제에 연결되도록 마련되는 VirtIO를 통해, 상기 암호문과 상기 호스트 공유키를 상기 게스트 운영체제에 전달하는, 보안 통신 제어 시스템.
- 제1항에 있어서, 상기 게스트 제어부는,상기 호스트 운영체제로부터 암호문과 상기 호스트 공유키를 전달받는 경우, 상기 호스트 공유키로부터 세션키를 생성하고, 상기 세션키를 이용하여 상기 암호문을 복호화하여 상기 데이터를 추출하는 게스트 데이터 제어부를 포함하는, 보안 통신 제어 시스템.
- 제1항에 있어서, 상기 게스트 제어부는,상기 호스트 운영체제로부터 전달받은 암호문을 복호화하여 상기 데이터가 추출된 경우, 상기 데이터를 상기 게스트 어플리케이션에 전달하고, 상기 게스트 어플리케이션에서 상기 데이터에 대한 처리를 수행하여 반환되는 데이터를 전달받는 게스트 어플리케이션 제어부를 포함하는, 보안 통신 제어 시스템.
- 제8항에 있어서, 상기 게스트 제어부는,상기 호스트 공유키로부터 세션키를 생성하고, 상기 세션키를 이용하여 상기 반환된 데이터를 암호화하여 암호문을 생성하는, 보안 통신 제어 시스템.
- 제9항에 있어서, 상기 호스트 제어부는,상기 게스트 운영체제로부터 암호문을 전달받는 경우, 상기 게스트 공유키로부터 생성되는 세션키를 이용하여 상기 게스트 운영체제로부터 전달받은 암호문을 복호화하여 상기 반환된 데이터를 추출하는, 보안 통신 제어 시스템.
- 가상화 운영체제 환경에서 이용되는 보안 통신 제어 시스템을 이용하는 보안 통신 제어 방법에 있어서,게스트 운영체제에서, 호스트 운영체제에 설치된 호스트 어플리케이션에 임의의 데이터를 요청하는 스레드를 생성하는 단계;상기 스레드에서 이용되도록 게스트 공유키를 생성하는 단계;상기 스레드와 상기 게스트 공유키를 상기 호스트 운영체제에 전달하는 단계;상기 게스트 공유키에 대응되도록 호스트 공유키를 생성하는 단계;상기 스레드에 따른 데이터를 상기 호스트 어플리케이션에 요청하여, 상기 호스트 어플리케이션으로부터 상기 데이터를 전달받고, 상기 게스트 공유키로부터 세션키를 생성하며, 상기 세션키를 이용하여 상기 데이터를 암호화하여 암호문을 생성하는 단계; 및상기 암호문과 상기 호스트 공유키를 상기 게스트 운영체제에 전달하는 단계를 포함하는, 보안 통신 제어 방법.
- 제11항에 있어서, 상기 게스트 공유키를 생성하는 단계는,상기 스레드가 생성되는 경우, 상기 스레드에서 이용되도록 임의의 게스트 비밀키를 설정하고, 사전에 마련되는 공개키와 상기 게스트 비밀키를 이용하여 상기 게스트 공유키를 생성하는, 보안 통신 제어 방법.
- 제12항에 있어서,상기 호스트 공유키를 상기 게스트 비밀키로 제곱하고, 상기 제곱 연산에 의해 산출되는 값으로부터 사전에 마련되는 제 2 공개키를 이용한 모듈러 연산을 수행하여 상기 세션키를 생성하는 단계를 더 포함하는, 보안 통신 제어 방법.
- 제11항에 있어서, 상기 호스트 공유키를 생성하는 단계는,상기 스레드가 상기 호스트 운영체제에 전달되는 경우, 상기 스레드에서 이용되도록 임의의 호스트 비밀키를 설정하고, 사전에 마련되는 공개키와 상기 호스트 비밀키를 이용하여 상기 호스트 공유키를 생성하는, 보안 통신 제어 방법.
- 제14항에 있어서, 상기 암호문을 생성하는 단계는,상기 게스트 공유키를 상기 호스트 비밀키로 제곱하고, 상기 제곱 연산에 의해 산출되는 값으로부터 사전에 마련되는 제 2 공개키를 이용한 모듈러 연산을 수행하여 상기 세션키를 생성하는, 보안 통신 제어 방법.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US18/020,414 US20240037281A1 (en) | 2020-08-11 | 2020-11-27 | Secure communication control system and method used in virtualized operating system environment |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR10-2020-0100730 | 2020-08-11 | ||
KR1020200100730A KR102392626B1 (ko) | 2020-08-11 | 2020-08-11 | 가상화 운영체제 환경에서 이용되는 보안 통신 제어 시스템 및 방법 |
Publications (1)
Publication Number | Publication Date |
---|---|
WO2022034979A1 true WO2022034979A1 (ko) | 2022-02-17 |
Family
ID=80247050
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
PCT/KR2020/017020 WO2022034979A1 (ko) | 2020-08-11 | 2020-11-27 | 가상화 운영체제 환경에서 이용되는 보안 통신 제어 시스템 및 방법 |
Country Status (3)
Country | Link |
---|---|
US (1) | US20240037281A1 (ko) |
KR (1) | KR102392626B1 (ko) |
WO (1) | WO2022034979A1 (ko) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20070061892A (ko) * | 2007-04-23 | 2007-06-14 | 가부시끼가이샤 싱크 플러스 | 데이터 통신 방법 |
JP2012178010A (ja) * | 2011-02-25 | 2012-09-13 | Ntt Data Corp | 情報処理システム、及び情報処理方法 |
US20170339152A1 (en) * | 2016-05-20 | 2017-11-23 | Lenovo Enterprise Solutions (Singapore) Pte. Ltd. | Computing device configuration change management via guest keys |
US20180018472A1 (en) * | 2006-06-01 | 2018-01-18 | Intellectual Ventures Ii Llc | Data access control systems and methods |
US20190392117A1 (en) * | 2018-06-20 | 2019-12-26 | Microsoft Technology Licensing, Llc | Secure sharing of license data in computing systems |
-
2020
- 2020-08-11 KR KR1020200100730A patent/KR102392626B1/ko active IP Right Grant
- 2020-11-27 WO PCT/KR2020/017020 patent/WO2022034979A1/ko active Application Filing
- 2020-11-27 US US18/020,414 patent/US20240037281A1/en active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20180018472A1 (en) * | 2006-06-01 | 2018-01-18 | Intellectual Ventures Ii Llc | Data access control systems and methods |
KR20070061892A (ko) * | 2007-04-23 | 2007-06-14 | 가부시끼가이샤 싱크 플러스 | 데이터 통신 방법 |
JP2012178010A (ja) * | 2011-02-25 | 2012-09-13 | Ntt Data Corp | 情報処理システム、及び情報処理方法 |
US20170339152A1 (en) * | 2016-05-20 | 2017-11-23 | Lenovo Enterprise Solutions (Singapore) Pte. Ltd. | Computing device configuration change management via guest keys |
US20190392117A1 (en) * | 2018-06-20 | 2019-12-26 | Microsoft Technology Licensing, Llc | Secure sharing of license data in computing systems |
Also Published As
Publication number | Publication date |
---|---|
KR102392626B9 (ko) | 2023-07-05 |
KR20220020138A (ko) | 2022-02-18 |
KR102392626B1 (ko) | 2022-04-29 |
US20240037281A1 (en) | 2024-02-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
WO2021060854A1 (ko) | 네트워크 접속 제어 시스템 및 그 방법 | |
WO2011153714A1 (zh) | 支持多imsi的方法、装置和系统 | |
WO2020125251A1 (zh) | 基于联邦学习的模型参数训练方法、装置、设备及介质 | |
WO2018082142A1 (zh) | 一种录屏方法以及装置 | |
WO2018076841A1 (zh) | 数据分享方法、装置、存储介质及服务器 | |
WO2015102220A1 (ko) | 보안저장장치를 구비하는 저장 시스템 및 그 관리 방법 | |
WO2016190476A1 (ko) | 클라우드 서비스를 위한 암호화 키 관리 방법 및 그 장치 | |
WO2013162296A1 (ko) | 패스코드 운영 시스템과 패스코드 장치 및 슈퍼 패스코드 생성 방법 | |
WO2021118125A1 (ko) | 안드로이드 어플리케이션에 의해 실행 가능한 보안 컨테이너 구축 장치, 방법 및 그 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록매체 | |
WO2018147497A1 (ko) | 완전 동형 암호 방법에 의한 동적 데이터의 처리 방법 | |
WO2020224246A1 (zh) | 基于区块链的数据管理方法、装置、设备和存储介质 | |
WO2020164280A1 (zh) | 数据传输加密方法、装置及存储介质、服务器 | |
WO2018072261A1 (zh) | 信息加密方法及装置、信息解密方法及装置及终端 | |
WO2018076844A1 (zh) | 数据备份的方法、装置、存储介质及电子设备 | |
WO2012149717A1 (zh) | 基于tcm或tpm的license动态管理方法、装置及系统 | |
WO2018076890A1 (zh) | 数据备份的方法、装置、存储介质、服务器及系统 | |
WO2020186775A1 (zh) | 业务数据提供方法、装置、设备及计算机可读存储介质 | |
WO2018076863A1 (zh) | 数据存储的方法、装置、存储介质、服务器及系统 | |
WO2020022700A1 (ko) | 디지털 키를 처리 및 인증하는 보안 요소 및 그 동작 방법 | |
WO2021027134A1 (zh) | 数据存储方法、装置、设备和计算机存储介质 | |
WO2015180434A1 (zh) | 一种数据库集群管理数据的方法、节点及系统 | |
WO2021125502A1 (ko) | 컨테이너 기반의 클라우드 서비스 제공 시스템 및 그 방법 | |
WO2017111483A1 (ko) | 생체 정보 기반 인증 장치, 이와 연동하는 제어 서버 및 어플리케이션 서버, 그리고 이들의 동작 방법 | |
WO2022034979A1 (ko) | 가상화 운영체제 환경에서 이용되는 보안 통신 제어 시스템 및 방법 | |
WO2020122368A1 (ko) | 보안단말기를 이용한 저장장치의 데이터 보안 관리 시스템 및 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 20949608 Country of ref document: EP Kind code of ref document: A1 |
|
WWE | Wipo information: entry into national phase |
Ref document number: 18020414 Country of ref document: US |
|
NENP | Non-entry into the national phase |
Ref country code: DE |
|
32PN | Ep: public notification in the ep bulletin as address of the adressee cannot be established |
Free format text: NOTING OF LOSS OF RIGHTS PURSUANT TO RULE 112(1) EPC (EPO FORM 1205A DATED 19/06/2023) |
|
122 | Ep: pct application non-entry in european phase |
Ref document number: 20949608 Country of ref document: EP Kind code of ref document: A1 |