仮想化環境での安全なシステム保護装置および方法
【課題】仮想化環境で悪性コード(malware)など悪意的な接近からシステム資源を保護してシステム障害を解決して安全な保安サービスを保障することができる。
【解決手段】本発明の一実施形態による仮想化環境での安全なシステム保護装置は、少なくとも一つのデバイスドライバを含むドメインを多数個具備するドメイン部、デバイスのハードウェアを構成するシステム資源部、およびDMA(Direct Memory Access)ドライバおよび仮想化環境で前記システム資源部に対して前記ドメイン部の接近動作を制御する接近制御モジュールを具備する制御部を含む。
【解決手段】本発明の一実施形態による仮想化環境での安全なシステム保護装置は、少なくとも一つのデバイスドライバを含むドメインを多数個具備するドメイン部、デバイスのハードウェアを構成するシステム資源部、およびDMA(Direct Memory Access)ドライバおよび仮想化環境で前記システム資源部に対して前記ドメイン部の接近動作を制御する接近制御モジュールを具備する制御部を含む。
【発明の詳細な説明】
【技術分野】
【0001】
本発明はシステム保護装置および方法に関するものであってより詳細には仮想化環境で悪意的な接近からシステム資源を保護し、安全な保安サービスを保障するための仮想化環境での安全なシステム保護装置および方法に関するものである。
【背景技術】
【0002】
一般的にPC、PDA、無線端末機、DTVなどの装置は安全性と多様な応用およびサービスの実現のために仮想化(Virtualization)技術を使用することができる。このような仮想化技術において安全な環境を提供するためには保安ブート(Secure Boot)、保安ソフトウェア(Secure SW)、接近コントロール(Access Control)などの機能を必要とする。
【0003】
図1は従来の仮想化システム装置の構成を図示したブロック図である。
図1に図示したように、従来の仮想化システム装置はVMM(Virtual Machine Monitor)10を利用する仮想化環境で、多数個のドメイン(21、22、...)を具備するドメイン部20と、ロム(ROM)、中央処理処置(CPU)、メモリ、バッテリー、入出力デバイス(I/O DEVICE)などを具備するシステム資源部30などを含む。
【0004】
前記ドメイン部20の各ドメイン(21、22、...)は少なくとも一つのデバイスドライバ(21a、22a、...)を具備し、多数のドメイン(21、22、...)のうち少なくとも一つのドメイン21はDMAドライバ21bを含む。このような従来の仮想化システム装置はドメイン部20でDMAに対する処理を遂行し、ドメインの間のチャネルを形成するに何らかの制限がない。また、各ドメイン(21、22、...)がシステム資源部30に対して接近時単純な接近制御がドメイン部20またはVMM10のうち何れかの一つで遂行される。
【0005】
しかし、前記のような従来の仮想化システム装置はDMA処理がドメイン部20で遂行され、VMM10でシステム資源部30に対するドメイン部20の悪意的な接近を防止するための接近制御が遂行されないためにシステム保安上問題がある。
【0006】
より詳細には、DMAがドメイン21で遂行されて物理的なメモリに対する接近制御が提供されていないため、不安定なドメインやバグがあるデバイスドライバがドメインに存在する場合にVMMまたは他のドメインの物理的なドメインに接近し、機密データを持ってきたり、ダミー(dummy)データを重複記載(overwrite)してシステム障害をもたらす問題がある。
【0007】
また、特定ドメインがシステムメモリを過度に使用すると、システム障害がもたらされてシステム有用性(availability)を阻害する問題がある。
【0008】
また、二つのドメインの間に形成されるイベントチャネルの数は限定されているが、もし悪意の特定ドメインが使用可能なイベントチャネルをすべて使用すると、残りドメインの間ではイベントチャネルを形成できなくなるため、システム障害がもたらされる。
【特許文献1】韓国公開特許第2007−0108723号公報
【発明の開示】
【発明が解決しようとする課題】
【0009】
本発明は前記のような点を解決するために案出されたものであって、仮想化環境で悪性コード(malware)など悪義的な接近からシステム資源を保護してシステム障害を解決し、安全な保安サービスを保障できる仮想化環境で安全なシステム保護装置および方法に関するものである。
【0010】
本発明の目的は以上で言及した目的に制限されず、言及されていないまた他の目的は次の記載から当業者に明確に理解されるであろう。
【課題を解決するための手段】
【0011】
前記目的を達成するために、本発明の一実施形態による仮想化環境での安全なシステム保護装置は、少なくとも一つのデバイスドライバを含むドメインを多数個具備するドメイン部、デバイスのハードウェアを構成するシステム資源部、およびDMA(Direct Memory Access)ドライバおよび仮想化環境で前記システム資源部に対して前記ドメイン部の接近動作を制御する接近制御モジュールを具備する制御部を含む。
【0012】
前記他の目的を達成するために、本発明の一実施形態による仮想化環境での安全なシステム保護方法は、システム資源部に対する各ドメインのデバイスドライバのI/OスペースおよびIRQ(インターラプトリクエスト)ナンバー割り当てを要請する段階、前記デバイスドライバを実行する前記ドメインが所定の接近制御政策(policy)によって前記システム資源部に対する接近権限が許容されるのかを判断する段階、および前記接近制御政策によって前記システム資源部に対して前記ドメインの接近権限が許容されれば前記ドメインのデバイスドライバに前記要請したI/OスペースおよびIRQナンバーを割り当てて、そうではなければ前記要請したI/OスペースおよびIRQナンバーを割り当てない段階を含む。
【0013】
前記他の目的を達成するために、本発明の他の実施形態による仮想化環境で安全なシステム保護方法は、ドメインの特定デバイスドライバがDMAをとおし、システム資源部のメモリに接近を要請する段階、前記特定デバイスドライバを実行するドメインが所定の接近制御政策によって、接近権限が許容される前記メモリに接近を試みるかを判断する段階、および前記接近制御政策によって前記ドメインが前記メモリに接近を試みれば前記要請したメモリに対して前記ドメインの特定デバイスドライバの接近を許容して、そうではなければ前記要請したメモリに対して前記ドメインの特定デバイスドライバの接近を許容しない段階を含む。
【0014】
前記他の目的を達成するために、本発明のまた他の実施形態による仮想化環境で安全なシステム保護方法は、多数個のドメインのうち少なくとも一つのドメインでシステム資源の割り当てを要請する段階、前記ドメインで要請したシステム資源の割当量が所定の接近制御政策によって設定された基準値を超過していないかを判断する段階、および前記接近制御政策によって、前記ドメインが要請したシステム資源の割当量が前記設定された基準値以下であれば前記ドメインに前記要請したシステム資源の割り当てを許容し、そうではなければ、前記ドメインに前記要請したシステム資源の割り当てを許容しない段階を含む。
その他実施形態の具体的な事項は詳細な説明および図に含まれている。
【発明の効果】
【0015】
前記したような本発明の仮想化環境で安全なシステム保護装置および方法によれば、仮想化環境で悪性コード(malware)など悪義的なの接近からシステム資源を保護し、システム障害を解決して安全な保安サービスを保障することができる。
【0016】
本発明の効果は以上で言及した効果に制限されず、言及されていないまた他の効果は請求範囲の記載から当業者に明確に理解できるであろう。
【発明を実施するための最良の形態】
【0017】
本発明の利点および特徴、そしてそれらを達成する方法は添付される図面と共に詳細に後述されている実施形態を参照すれば明確になるであろう。しかし本発明は以下で開示される実施形態に限定されるものではなく互いに異なる多様な形態で具現されることができ、単に本実施形態は本発明の開示を完全にし、本発明が属する技術分野で通常の知識を有する者に発明の範疇を完全に知らせるために提供されるものであり、本発明は請求項の範囲によってのみ定義される。明細書全体にかけて同一参照符号は同一構成要素を指称する。
【0018】
以下、添付された図面を参照して本発明の好ましい実施形態による仮想化環境で安全なシステム保護装置および方法を詳細に説明する。参考として本発明を説明するにおいて関連した公知機能あるいは構成に対する具体的な説明が本発明の要旨が不明確になり得ると判断される場合、その詳細な説明を省略する。
【0019】
図2は本発明の一実施形態による仮想化環境で安全なシステム保護装置の構成を図示したブロック図である。
【0020】
図2に図示したように、本発明の一実施形態による仮想化(Virtualization)環境で安全なシステム保護装置はドメイン部100、システム資源部200および制御部300などを含む。
【0021】
前記ドメイン部100は少なくとも一つのデバイスドライバ(111、121、...)を含む多数のドメイン(110、120、...)を具備する。例えば、ドメイン部100は安全性が保障される少なくとも一つの保安ドメイン110と、安全性が多少脆弱な多数の一般ドメイン(120、...)を含む。
【0022】
本発明においてドメイン(Domain)はそれぞれのオペレーティングシステム(OS)によって該当デバイスドライバを実行できる環境を意味する。
【0023】
前記システム資源部200は装置のハードウェアを構成する。システム資源部200はロム(ROM)210、中央処理処置(CPU)220、バッテリー230、メモリ240、ドメイン間のイベントチャネル250、入出力デバイス(I/O device)260などを含む。
【0024】
前記ロム210はユーザまたはシステムによって不法的に変更されることがない保存領域である。
前記メモリ240はデータ情報が保存されるストレージであって、非揮発性メモリ、例えばフラッシュメモリが適用される。
【0025】
前記メモリ240はシステムメモリおよび後述するDMAに関する物理的なメモリ(phisical memory)などを含む。
【0026】
前記メモリ240は多様なデータ情報を種類および保安に応じて区分し、保存できるように複数個の保存領域に分割され、前記保存領域のうち所定の保存領域に重要なデータ情報が暗号化されて保存されるのが好ましい。
【0027】
前記制御部300はVMM(Virtual Machine Monitor)を利用して、仮想化環境、例えば無線インターネット環境でドメイン部100がシステム資源部200に接近可能なように動作を制御する。
【0028】
前記制御部300はDMA(Direct Memory Access)ドライバ310および仮想化環境でシステム資源部200に対してドメイン部100の接近動作を制御する接近制御モジュール320などを具備する。
【0029】
前記DMAドライバ310はDMA Operationを遂行するモジュールである。
前記接近制御モジュール320は各ドメイン(110、120、...)のデバイスドライバ(111、121、...)がDMAドライバ310によってシステム資源部200に接近する動作を制御する。特に、接近制御モジュール320は各ドメイン(110、120、...)のうち安全性に脆弱な一般ドメイン(120、...)に設置される悪意的なデバイスドライバ(121)がDMAドライバ310に関連する入出力スペース(I/O space)およびIRQに対する接近を制限する。より詳細には、接近制御モジュール320はドメイン(110、120、...)の特定デバイスドライバが所定の接近制御政策(policy)によってDMAをとおし、システム資源部200に接近を試みれば、DMAドライバ310に関連する入出力スペース(I/O space)に対する接近を許容し、そうではなければ、DMAドライバ310に関連する入出力スペース(I/O space)およびIRQに対する接近を遮断する。
【0030】
前記接近制御モジュール320は各ドメイン(110、120、...)別にシステム資源部200に対する接近権限を別に設定し、システム資源部200に対する接近権限によって各ドメイン(110、120、...)のデバイスドライバ(111、121、...)に要請したI/OスペースおよびIRQナンバーの割り当てを制御する。より詳細には接近制御モジュール320は所定の接近制御政策によってシステム資源部200に対するデバイスドライバ(111、121、...)の接近が許容されれば、デバイスドライバ(111、121、...)に要請したI/OスペースおよびIRQナンバーを割り当てて、接近が許容されなければ、要請したI/OスペースおよびIRQナンバーを割り当てない。
【0031】
前記接近制御モジュール320はシステム資源部200に対して各ドメイン(110、120、...)の過度な使用接近を制限する。より詳細には、接近制御モジュール320は各ドメイン(110、120、...)のデバイスドライバ(111、121、...)がシステム資源部200のメモリ240を許容基準値以上に使用する場合、所定の接近制御政策によってメモリ240に対する該当ドメインの接近を遮断する。また、接近制御モジュール320は各ドメイン(110、120、...)間のイベントチャネル形成時、所定の接近制御政策によって各ドメイン(110、120、...)が許容基準値以上のイベントチャネルを形成できないように遮断する。
【0032】
以下、図3ないし5を参照し、本発明の一実施形態による仮想化環境で安全なシステム保護方法を具体的に説明する。
【0033】
図3は本発明の仮想化環境で安全なシステム保護方法によってデバイスドライバのI/Oスペース割り当て過程を説明するためのフローチャートである。
【0034】
図3に図示したように、本発明は制御部300の接近制御モジュール320から各ドメイン(110、120、...)別にシステム資源部200に対する接近権限を異に設定し、システム資源部200に対する接近権限に応じ各ドメイン(110、120、...)のデバイスドライバ(111、121、...)に要請したI/OスペースおよびIRQナンバーの割り当てを制御する。
【0035】
より詳細には、システム資源部200に対する各ドメイン(110、120、...)のデバイスドライバ(111、121、...)のI/Oスペース割り当てを要請する(S101)。次に、デバイスドライバ(111、121、...)を実行するドメイン(110、120、...)が制御部300の接近制御モジュール320に応じ決定される所定の接近制御政策によってシステム資源部200に対する接近権限が許容されるのかを判断する(S102)。次に、接近制御政策によってシステム資源部200に対してドメイン(110、120、...)の接近権限が許容されれば、ドメイン(110、120、...)のデバイスドライバ(111、121、...)に要請したI/OスペースおよびIRQナンバーを割り当てる(S103)。しかし、接近制御政策によってシステム資源部に対してドメインの接近権限が許容されなければ要請したI/OスペースおよびIRQナンバーを割り当てない。
【0036】
図4は本発明の仮想化環境で安全なシステム保護方法によってデバイスドライバがDMAをとおし、システムメモリに接近時接近制御過程を説明するためのフローチャートである。
図4に図示したように、本発明は制御部300の接近制御モジュール320で各ドメイン(110、120、...)のデバイスドライバ(111、121、...)がDMAドライバ310をとおし、システム資源部200に接近する動作を制御する。
【0037】
より詳細には、ドメイン(110、120、...)の特定デバイスドライバがDMAをとおし、システム資源部200のメモリ240に接近を要請する(S201)。次に、特定のデバイスドライバを実行するドメインが所定の接近制御政策によって接近権限が許容されるメモリ240に接近を試みるのかを判断する(S202)。次に、接近制御政策によってドメイン(110、120、...)がメモリ240に接近を試みれば、要請したメモリ240に対してドメイン(110、120、...)の特定デバイスドライバの接近を許容する(S203)。しかし、接近制御政策によってドメイン(110、120、...)がメモリ240に接近を試みなければ、要請したメモリ240に対してドメイン(110、120、...)の特定デバイスドライバの接近を遮断する。
【0038】
図5は本発明の仮想化環境で安全なシステム保護方法によってシステム資源に対するドメインの接近制御過程を説明するためのフローチャートである。
図5に図示したように、本発明は制御部の接近制御モジュールでシステム資源部に対して各ドメインの過度な使用接近を制限する。
【0039】
より詳細には、多数個のドメイン(110、120、...)のうち少なくとも一つのドメインでシステム資源の割り当てを要請する(S301)。次に、ドメインで要請したシステム資源の割当量が所定の接近制御政策によって設定された基準値を超過しないかを判断する(S302)。次に、接近制御政策によって、ドメインが要請したシステム資源の割当量が設定された基準値以下であれば、ドメインに要請したシステム資源の割り当てを許容する(S303)。しかし、接近制御政策によってドメインが要請したシステム資源の割当量が設定された基準値以上であれば、ドメインに要請したシステム資源の割り当てを許容しない。例えば、接近制御モジュール320は各ドメイン(110、120、...)のデバイスドライバ(111、121、...)がシステム資源部200のメモリ240を許容基準値以上に使用する場合、メモリ240に対して該当ドメインの接近を遮断する。また、接近制御モジュール320は各ドメイン(110、120、...)間のイベントチャネル形成時、各ドメイン(110、120、...)が許容基準値以上のイベントチャネルを形成できないように遮断する。
【0040】
以上添付された図面を参照して本発明の実施形態を説明したが、本発明が属する技術分野で通常の知識を有する者は本発明がその技術的思想や必須の特徴を変更せず、他の具体的な形態で実施され得ることを理解できるであろう。したがって以上で記述した実施形態はすべての面で例示的なものであり、限定的ではないものとして理解しなければならない。本発明の範囲は前記詳細な説明よりは後述する特許請求範囲によって示され、特許請求範囲の意味および範囲そしてその均等概念から導出されるすべての変更または変形された形態が本発明の範囲に含まれるものとして解釈されなければならない。
【図面の簡単な説明】
【0041】
【図1】従来の仮想化システム装置の構成を図示したブロック図である。
【図2】本発明の一実施形態による仮想化環境での安全なシステム保護装置の構成を図示したブロック図である。
【図3】本発明の仮想化環境での安全なシステム保護方法によって、デバイスドライバのI/OスペースおよびIRQナンバーの割り当て過程を説明するためのフローチャート。
【図4】本発明の仮想化環境での安全なシステム保護方法によってデバイスドライバがDMAをとおし、システムメモリに接近時接近制御過程を説明するためのフローチャートである。
【図5】本発明の仮想化環境での安全なシステム保護方法によってシステム資源に対するドメインの接近制御過程を説明するためのフローチャートである。
【符号の説明】
【0042】
100 ドメイン部
110、120、... ドメイン
111、121、... デバイスドライバ
200 システム資源部
300 制御部
310 DMAドライバ
320 接近制御モジュール
【技術分野】
【0001】
本発明はシステム保護装置および方法に関するものであってより詳細には仮想化環境で悪意的な接近からシステム資源を保護し、安全な保安サービスを保障するための仮想化環境での安全なシステム保護装置および方法に関するものである。
【背景技術】
【0002】
一般的にPC、PDA、無線端末機、DTVなどの装置は安全性と多様な応用およびサービスの実現のために仮想化(Virtualization)技術を使用することができる。このような仮想化技術において安全な環境を提供するためには保安ブート(Secure Boot)、保安ソフトウェア(Secure SW)、接近コントロール(Access Control)などの機能を必要とする。
【0003】
図1は従来の仮想化システム装置の構成を図示したブロック図である。
図1に図示したように、従来の仮想化システム装置はVMM(Virtual Machine Monitor)10を利用する仮想化環境で、多数個のドメイン(21、22、...)を具備するドメイン部20と、ロム(ROM)、中央処理処置(CPU)、メモリ、バッテリー、入出力デバイス(I/O DEVICE)などを具備するシステム資源部30などを含む。
【0004】
前記ドメイン部20の各ドメイン(21、22、...)は少なくとも一つのデバイスドライバ(21a、22a、...)を具備し、多数のドメイン(21、22、...)のうち少なくとも一つのドメイン21はDMAドライバ21bを含む。このような従来の仮想化システム装置はドメイン部20でDMAに対する処理を遂行し、ドメインの間のチャネルを形成するに何らかの制限がない。また、各ドメイン(21、22、...)がシステム資源部30に対して接近時単純な接近制御がドメイン部20またはVMM10のうち何れかの一つで遂行される。
【0005】
しかし、前記のような従来の仮想化システム装置はDMA処理がドメイン部20で遂行され、VMM10でシステム資源部30に対するドメイン部20の悪意的な接近を防止するための接近制御が遂行されないためにシステム保安上問題がある。
【0006】
より詳細には、DMAがドメイン21で遂行されて物理的なメモリに対する接近制御が提供されていないため、不安定なドメインやバグがあるデバイスドライバがドメインに存在する場合にVMMまたは他のドメインの物理的なドメインに接近し、機密データを持ってきたり、ダミー(dummy)データを重複記載(overwrite)してシステム障害をもたらす問題がある。
【0007】
また、特定ドメインがシステムメモリを過度に使用すると、システム障害がもたらされてシステム有用性(availability)を阻害する問題がある。
【0008】
また、二つのドメインの間に形成されるイベントチャネルの数は限定されているが、もし悪意の特定ドメインが使用可能なイベントチャネルをすべて使用すると、残りドメインの間ではイベントチャネルを形成できなくなるため、システム障害がもたらされる。
【特許文献1】韓国公開特許第2007−0108723号公報
【発明の開示】
【発明が解決しようとする課題】
【0009】
本発明は前記のような点を解決するために案出されたものであって、仮想化環境で悪性コード(malware)など悪義的な接近からシステム資源を保護してシステム障害を解決し、安全な保安サービスを保障できる仮想化環境で安全なシステム保護装置および方法に関するものである。
【0010】
本発明の目的は以上で言及した目的に制限されず、言及されていないまた他の目的は次の記載から当業者に明確に理解されるであろう。
【課題を解決するための手段】
【0011】
前記目的を達成するために、本発明の一実施形態による仮想化環境での安全なシステム保護装置は、少なくとも一つのデバイスドライバを含むドメインを多数個具備するドメイン部、デバイスのハードウェアを構成するシステム資源部、およびDMA(Direct Memory Access)ドライバおよび仮想化環境で前記システム資源部に対して前記ドメイン部の接近動作を制御する接近制御モジュールを具備する制御部を含む。
【0012】
前記他の目的を達成するために、本発明の一実施形態による仮想化環境での安全なシステム保護方法は、システム資源部に対する各ドメインのデバイスドライバのI/OスペースおよびIRQ(インターラプトリクエスト)ナンバー割り当てを要請する段階、前記デバイスドライバを実行する前記ドメインが所定の接近制御政策(policy)によって前記システム資源部に対する接近権限が許容されるのかを判断する段階、および前記接近制御政策によって前記システム資源部に対して前記ドメインの接近権限が許容されれば前記ドメインのデバイスドライバに前記要請したI/OスペースおよびIRQナンバーを割り当てて、そうではなければ前記要請したI/OスペースおよびIRQナンバーを割り当てない段階を含む。
【0013】
前記他の目的を達成するために、本発明の他の実施形態による仮想化環境で安全なシステム保護方法は、ドメインの特定デバイスドライバがDMAをとおし、システム資源部のメモリに接近を要請する段階、前記特定デバイスドライバを実行するドメインが所定の接近制御政策によって、接近権限が許容される前記メモリに接近を試みるかを判断する段階、および前記接近制御政策によって前記ドメインが前記メモリに接近を試みれば前記要請したメモリに対して前記ドメインの特定デバイスドライバの接近を許容して、そうではなければ前記要請したメモリに対して前記ドメインの特定デバイスドライバの接近を許容しない段階を含む。
【0014】
前記他の目的を達成するために、本発明のまた他の実施形態による仮想化環境で安全なシステム保護方法は、多数個のドメインのうち少なくとも一つのドメインでシステム資源の割り当てを要請する段階、前記ドメインで要請したシステム資源の割当量が所定の接近制御政策によって設定された基準値を超過していないかを判断する段階、および前記接近制御政策によって、前記ドメインが要請したシステム資源の割当量が前記設定された基準値以下であれば前記ドメインに前記要請したシステム資源の割り当てを許容し、そうではなければ、前記ドメインに前記要請したシステム資源の割り当てを許容しない段階を含む。
その他実施形態の具体的な事項は詳細な説明および図に含まれている。
【発明の効果】
【0015】
前記したような本発明の仮想化環境で安全なシステム保護装置および方法によれば、仮想化環境で悪性コード(malware)など悪義的なの接近からシステム資源を保護し、システム障害を解決して安全な保安サービスを保障することができる。
【0016】
本発明の効果は以上で言及した効果に制限されず、言及されていないまた他の効果は請求範囲の記載から当業者に明確に理解できるであろう。
【発明を実施するための最良の形態】
【0017】
本発明の利点および特徴、そしてそれらを達成する方法は添付される図面と共に詳細に後述されている実施形態を参照すれば明確になるであろう。しかし本発明は以下で開示される実施形態に限定されるものではなく互いに異なる多様な形態で具現されることができ、単に本実施形態は本発明の開示を完全にし、本発明が属する技術分野で通常の知識を有する者に発明の範疇を完全に知らせるために提供されるものであり、本発明は請求項の範囲によってのみ定義される。明細書全体にかけて同一参照符号は同一構成要素を指称する。
【0018】
以下、添付された図面を参照して本発明の好ましい実施形態による仮想化環境で安全なシステム保護装置および方法を詳細に説明する。参考として本発明を説明するにおいて関連した公知機能あるいは構成に対する具体的な説明が本発明の要旨が不明確になり得ると判断される場合、その詳細な説明を省略する。
【0019】
図2は本発明の一実施形態による仮想化環境で安全なシステム保護装置の構成を図示したブロック図である。
【0020】
図2に図示したように、本発明の一実施形態による仮想化(Virtualization)環境で安全なシステム保護装置はドメイン部100、システム資源部200および制御部300などを含む。
【0021】
前記ドメイン部100は少なくとも一つのデバイスドライバ(111、121、...)を含む多数のドメイン(110、120、...)を具備する。例えば、ドメイン部100は安全性が保障される少なくとも一つの保安ドメイン110と、安全性が多少脆弱な多数の一般ドメイン(120、...)を含む。
【0022】
本発明においてドメイン(Domain)はそれぞれのオペレーティングシステム(OS)によって該当デバイスドライバを実行できる環境を意味する。
【0023】
前記システム資源部200は装置のハードウェアを構成する。システム資源部200はロム(ROM)210、中央処理処置(CPU)220、バッテリー230、メモリ240、ドメイン間のイベントチャネル250、入出力デバイス(I/O device)260などを含む。
【0024】
前記ロム210はユーザまたはシステムによって不法的に変更されることがない保存領域である。
前記メモリ240はデータ情報が保存されるストレージであって、非揮発性メモリ、例えばフラッシュメモリが適用される。
【0025】
前記メモリ240はシステムメモリおよび後述するDMAに関する物理的なメモリ(phisical memory)などを含む。
【0026】
前記メモリ240は多様なデータ情報を種類および保安に応じて区分し、保存できるように複数個の保存領域に分割され、前記保存領域のうち所定の保存領域に重要なデータ情報が暗号化されて保存されるのが好ましい。
【0027】
前記制御部300はVMM(Virtual Machine Monitor)を利用して、仮想化環境、例えば無線インターネット環境でドメイン部100がシステム資源部200に接近可能なように動作を制御する。
【0028】
前記制御部300はDMA(Direct Memory Access)ドライバ310および仮想化環境でシステム資源部200に対してドメイン部100の接近動作を制御する接近制御モジュール320などを具備する。
【0029】
前記DMAドライバ310はDMA Operationを遂行するモジュールである。
前記接近制御モジュール320は各ドメイン(110、120、...)のデバイスドライバ(111、121、...)がDMAドライバ310によってシステム資源部200に接近する動作を制御する。特に、接近制御モジュール320は各ドメイン(110、120、...)のうち安全性に脆弱な一般ドメイン(120、...)に設置される悪意的なデバイスドライバ(121)がDMAドライバ310に関連する入出力スペース(I/O space)およびIRQに対する接近を制限する。より詳細には、接近制御モジュール320はドメイン(110、120、...)の特定デバイスドライバが所定の接近制御政策(policy)によってDMAをとおし、システム資源部200に接近を試みれば、DMAドライバ310に関連する入出力スペース(I/O space)に対する接近を許容し、そうではなければ、DMAドライバ310に関連する入出力スペース(I/O space)およびIRQに対する接近を遮断する。
【0030】
前記接近制御モジュール320は各ドメイン(110、120、...)別にシステム資源部200に対する接近権限を別に設定し、システム資源部200に対する接近権限によって各ドメイン(110、120、...)のデバイスドライバ(111、121、...)に要請したI/OスペースおよびIRQナンバーの割り当てを制御する。より詳細には接近制御モジュール320は所定の接近制御政策によってシステム資源部200に対するデバイスドライバ(111、121、...)の接近が許容されれば、デバイスドライバ(111、121、...)に要請したI/OスペースおよびIRQナンバーを割り当てて、接近が許容されなければ、要請したI/OスペースおよびIRQナンバーを割り当てない。
【0031】
前記接近制御モジュール320はシステム資源部200に対して各ドメイン(110、120、...)の過度な使用接近を制限する。より詳細には、接近制御モジュール320は各ドメイン(110、120、...)のデバイスドライバ(111、121、...)がシステム資源部200のメモリ240を許容基準値以上に使用する場合、所定の接近制御政策によってメモリ240に対する該当ドメインの接近を遮断する。また、接近制御モジュール320は各ドメイン(110、120、...)間のイベントチャネル形成時、所定の接近制御政策によって各ドメイン(110、120、...)が許容基準値以上のイベントチャネルを形成できないように遮断する。
【0032】
以下、図3ないし5を参照し、本発明の一実施形態による仮想化環境で安全なシステム保護方法を具体的に説明する。
【0033】
図3は本発明の仮想化環境で安全なシステム保護方法によってデバイスドライバのI/Oスペース割り当て過程を説明するためのフローチャートである。
【0034】
図3に図示したように、本発明は制御部300の接近制御モジュール320から各ドメイン(110、120、...)別にシステム資源部200に対する接近権限を異に設定し、システム資源部200に対する接近権限に応じ各ドメイン(110、120、...)のデバイスドライバ(111、121、...)に要請したI/OスペースおよびIRQナンバーの割り当てを制御する。
【0035】
より詳細には、システム資源部200に対する各ドメイン(110、120、...)のデバイスドライバ(111、121、...)のI/Oスペース割り当てを要請する(S101)。次に、デバイスドライバ(111、121、...)を実行するドメイン(110、120、...)が制御部300の接近制御モジュール320に応じ決定される所定の接近制御政策によってシステム資源部200に対する接近権限が許容されるのかを判断する(S102)。次に、接近制御政策によってシステム資源部200に対してドメイン(110、120、...)の接近権限が許容されれば、ドメイン(110、120、...)のデバイスドライバ(111、121、...)に要請したI/OスペースおよびIRQナンバーを割り当てる(S103)。しかし、接近制御政策によってシステム資源部に対してドメインの接近権限が許容されなければ要請したI/OスペースおよびIRQナンバーを割り当てない。
【0036】
図4は本発明の仮想化環境で安全なシステム保護方法によってデバイスドライバがDMAをとおし、システムメモリに接近時接近制御過程を説明するためのフローチャートである。
図4に図示したように、本発明は制御部300の接近制御モジュール320で各ドメイン(110、120、...)のデバイスドライバ(111、121、...)がDMAドライバ310をとおし、システム資源部200に接近する動作を制御する。
【0037】
より詳細には、ドメイン(110、120、...)の特定デバイスドライバがDMAをとおし、システム資源部200のメモリ240に接近を要請する(S201)。次に、特定のデバイスドライバを実行するドメインが所定の接近制御政策によって接近権限が許容されるメモリ240に接近を試みるのかを判断する(S202)。次に、接近制御政策によってドメイン(110、120、...)がメモリ240に接近を試みれば、要請したメモリ240に対してドメイン(110、120、...)の特定デバイスドライバの接近を許容する(S203)。しかし、接近制御政策によってドメイン(110、120、...)がメモリ240に接近を試みなければ、要請したメモリ240に対してドメイン(110、120、...)の特定デバイスドライバの接近を遮断する。
【0038】
図5は本発明の仮想化環境で安全なシステム保護方法によってシステム資源に対するドメインの接近制御過程を説明するためのフローチャートである。
図5に図示したように、本発明は制御部の接近制御モジュールでシステム資源部に対して各ドメインの過度な使用接近を制限する。
【0039】
より詳細には、多数個のドメイン(110、120、...)のうち少なくとも一つのドメインでシステム資源の割り当てを要請する(S301)。次に、ドメインで要請したシステム資源の割当量が所定の接近制御政策によって設定された基準値を超過しないかを判断する(S302)。次に、接近制御政策によって、ドメインが要請したシステム資源の割当量が設定された基準値以下であれば、ドメインに要請したシステム資源の割り当てを許容する(S303)。しかし、接近制御政策によってドメインが要請したシステム資源の割当量が設定された基準値以上であれば、ドメインに要請したシステム資源の割り当てを許容しない。例えば、接近制御モジュール320は各ドメイン(110、120、...)のデバイスドライバ(111、121、...)がシステム資源部200のメモリ240を許容基準値以上に使用する場合、メモリ240に対して該当ドメインの接近を遮断する。また、接近制御モジュール320は各ドメイン(110、120、...)間のイベントチャネル形成時、各ドメイン(110、120、...)が許容基準値以上のイベントチャネルを形成できないように遮断する。
【0040】
以上添付された図面を参照して本発明の実施形態を説明したが、本発明が属する技術分野で通常の知識を有する者は本発明がその技術的思想や必須の特徴を変更せず、他の具体的な形態で実施され得ることを理解できるであろう。したがって以上で記述した実施形態はすべての面で例示的なものであり、限定的ではないものとして理解しなければならない。本発明の範囲は前記詳細な説明よりは後述する特許請求範囲によって示され、特許請求範囲の意味および範囲そしてその均等概念から導出されるすべての変更または変形された形態が本発明の範囲に含まれるものとして解釈されなければならない。
【図面の簡単な説明】
【0041】
【図1】従来の仮想化システム装置の構成を図示したブロック図である。
【図2】本発明の一実施形態による仮想化環境での安全なシステム保護装置の構成を図示したブロック図である。
【図3】本発明の仮想化環境での安全なシステム保護方法によって、デバイスドライバのI/OスペースおよびIRQナンバーの割り当て過程を説明するためのフローチャート。
【図4】本発明の仮想化環境での安全なシステム保護方法によってデバイスドライバがDMAをとおし、システムメモリに接近時接近制御過程を説明するためのフローチャートである。
【図5】本発明の仮想化環境での安全なシステム保護方法によってシステム資源に対するドメインの接近制御過程を説明するためのフローチャートである。
【符号の説明】
【0042】
100 ドメイン部
110、120、... ドメイン
111、121、... デバイスドライバ
200 システム資源部
300 制御部
310 DMAドライバ
320 接近制御モジュール
【特許請求の範囲】
【請求項1】
少なくとも一つのデバイスドライバを含むドメインを多数個具備するドメイン部と、
デバイスのハードウェアを構成するシステム資源部、および
DMA(Direct Memory Access)ドライバ、および仮想化環境で前記システム資源部に対する前記ドメイン部の接近動作を制御する接近制御モジュールを具備する制御部を含む仮想化環境での安全なシステム保護装置。
【請求項2】
前記ドメイン部は安全性が保障されるドメインを少なくとも一つ含む、請求項1に記載の仮想化環境での安全なシステム保護装置。
【請求項3】
前記システム資源部はシステムメモリ、前記DMAに関する物理的なメモリ、前記ドメイン間のイベントチャネルのうち少なくとも一つを含む、請求項1に記載の仮想化環境での安全なシステム保護装置。
【請求項4】
前記制御部はVMM(Virtual Machine Monitor)を利用して制御する請求項1に記載の仮想化環境での安全なシステム保護装置。
【請求項5】
前記接近制御モジュールは前記各ドメインのデバイスドライバが前記DMAドライバをとおし、前記システム資源部に接近する動作を制御する、請求項1に記載の仮想化環境での安全なシステム保護装置。
【請求項6】
前記接近制御モジュールは前記各ドメインのうち安全性に脆弱なドメインに設置される悪意のデバイスドライバが前記DMAドライバに関連する入出力スペース(I/O space)およびIRQ(インターラプト)に対する接近を制限する請求項5に記載の仮想化環境での安全なシステム保護装置。
【請求項7】
前記接近制御モジュールは前記各ドメイン別に前記システム資源部に対する接近権限を異に設定する請求項1に記載の仮想化環境での安全なシステム保護装置。
【請求項8】
前記接近制御モジュールは前記システム資源部に対する接近権限によって前記ドメインのデバイスドライバに要請したI/OスペースおよびIRQナンバーの割り当てを制御する、請求項7に記載の仮想化環境での安全なシステム保護装置。
【請求項9】
前記接近制御モジュールは前記システム資源部に対する前記デバイスドライバの接近が許容されれば、前記デバイスドライバに要請したI/OスペースおよびIRQナンバーを割り当てて、接近が許容されなければ、要請したI/OスペースおよびIRQナンバーを割り当てない、請求項8に記載の仮想化環境での安全なシステム保護装置。
【請求項10】
前記接近制御モジュールは前記システム資源部に対して前記各ドメインの過度な使用接近を制限する、請求項1に記載の仮想化環境での安全なシステム保護装置。
【請求項11】
前記接近制御モジュールは前記各ドメインのデバイスドライバが前記システム資源部のメモリを許容基準値以上に使用する場合、前記メモリに対して該当ドメインの接近を遮断する、請求項10に記載の仮想化環境での安全なシステム保護装置。
【請求項12】
前記接近制御モジュールは前記各ドメイン間のイベントチャネル形成時、前記各ドメインが許容基準値以上のイベントチャネルを形成できないように遮断する、請求項10に記載の仮想化環境での安全なシステム保護装置。
【請求項13】
システム資源部に対する各ドメインのデバイスドライバのI/OスペースおよびIRQナンバーの割り当てを要請する段階と、
前記デバイスドライバを実行する前記ドメインが所定の接近制御政策(policy)によって前記システム資源部に対する接近権限が許容されるのかを判断する段階、および
前記接近制御政策によって前記システム資源部に対して前記ドメインの接近権限が許容されれば前記ドメインのデバイスドライバに前記要請したI/OスペースおよびIRQナンバーを割り当てて、そうではなければ前記要請したI/OスペースおよびIRQナンバーを割り当てない段階を含む仮想化環境での安全なシステム保護方法。
【請求項14】
ドメインの特定デバイスドライバがDMAをとおし、システム資源部のメモリに接近を要請する段階と、
前記特定デバイスドライバを実行するドメインが所定の接近制御政策によって、接近権限が許容される前記メモリに接近を試みるのかを判断する段階、および
前記接近制御政策によって前記ドメインが前記メモリに接近を試みれば前記要請したメモリに対して前記ドメインの特定デバイスドライバの接近を許容し、そうではなければ前記要請したメモリに対して前記ドメインの特定デバイスドライバの接近を許容しない段階を含む仮想化環境での安全なシステム保護方法。
【請求項15】
多数個のドメインのうち少なくとも一つのドメインでシステム資源の割り当てを要請する段階と、
前記ドメインで要請したシステム資源の割当量が所定の接近制御政策によって設定された基準値を超過しないかを判断する段階、および
前記接近制御政策によって前記ドメインが要請したシステム資源の割当量が前記設定された基準値以下であれば前記ドメインに前記要請したシステム資源の割り当てを許して、そうではなければ前記ドメインに前記要請したシステム資源の割り当てを許容しない段階を含む仮想化環境での安全なシステム保護方法。
【請求項16】
前記システム資源の割当量はシステム資源部でメモリ使用量を含む、請求項15に記載の仮想化環境での安全なシステム保護方法。
【請求項17】
前記システム資源の割当量はシステム資源部でドメイン間のイベントチャネル形成個数を含む、請求項15に記載の仮想化環境での安全なシステム保護方法。
【請求項18】
前記所定の接近制御政策はVMMに具備される接近制御モジュールによって決定される、請求項13ないし15のうち何れか一項に記載の、仮想化環境での安全なシステム保護方法。
【請求項1】
少なくとも一つのデバイスドライバを含むドメインを多数個具備するドメイン部と、
デバイスのハードウェアを構成するシステム資源部、および
DMA(Direct Memory Access)ドライバ、および仮想化環境で前記システム資源部に対する前記ドメイン部の接近動作を制御する接近制御モジュールを具備する制御部を含む仮想化環境での安全なシステム保護装置。
【請求項2】
前記ドメイン部は安全性が保障されるドメインを少なくとも一つ含む、請求項1に記載の仮想化環境での安全なシステム保護装置。
【請求項3】
前記システム資源部はシステムメモリ、前記DMAに関する物理的なメモリ、前記ドメイン間のイベントチャネルのうち少なくとも一つを含む、請求項1に記載の仮想化環境での安全なシステム保護装置。
【請求項4】
前記制御部はVMM(Virtual Machine Monitor)を利用して制御する請求項1に記載の仮想化環境での安全なシステム保護装置。
【請求項5】
前記接近制御モジュールは前記各ドメインのデバイスドライバが前記DMAドライバをとおし、前記システム資源部に接近する動作を制御する、請求項1に記載の仮想化環境での安全なシステム保護装置。
【請求項6】
前記接近制御モジュールは前記各ドメインのうち安全性に脆弱なドメインに設置される悪意のデバイスドライバが前記DMAドライバに関連する入出力スペース(I/O space)およびIRQ(インターラプト)に対する接近を制限する請求項5に記載の仮想化環境での安全なシステム保護装置。
【請求項7】
前記接近制御モジュールは前記各ドメイン別に前記システム資源部に対する接近権限を異に設定する請求項1に記載の仮想化環境での安全なシステム保護装置。
【請求項8】
前記接近制御モジュールは前記システム資源部に対する接近権限によって前記ドメインのデバイスドライバに要請したI/OスペースおよびIRQナンバーの割り当てを制御する、請求項7に記載の仮想化環境での安全なシステム保護装置。
【請求項9】
前記接近制御モジュールは前記システム資源部に対する前記デバイスドライバの接近が許容されれば、前記デバイスドライバに要請したI/OスペースおよびIRQナンバーを割り当てて、接近が許容されなければ、要請したI/OスペースおよびIRQナンバーを割り当てない、請求項8に記載の仮想化環境での安全なシステム保護装置。
【請求項10】
前記接近制御モジュールは前記システム資源部に対して前記各ドメインの過度な使用接近を制限する、請求項1に記載の仮想化環境での安全なシステム保護装置。
【請求項11】
前記接近制御モジュールは前記各ドメインのデバイスドライバが前記システム資源部のメモリを許容基準値以上に使用する場合、前記メモリに対して該当ドメインの接近を遮断する、請求項10に記載の仮想化環境での安全なシステム保護装置。
【請求項12】
前記接近制御モジュールは前記各ドメイン間のイベントチャネル形成時、前記各ドメインが許容基準値以上のイベントチャネルを形成できないように遮断する、請求項10に記載の仮想化環境での安全なシステム保護装置。
【請求項13】
システム資源部に対する各ドメインのデバイスドライバのI/OスペースおよびIRQナンバーの割り当てを要請する段階と、
前記デバイスドライバを実行する前記ドメインが所定の接近制御政策(policy)によって前記システム資源部に対する接近権限が許容されるのかを判断する段階、および
前記接近制御政策によって前記システム資源部に対して前記ドメインの接近権限が許容されれば前記ドメインのデバイスドライバに前記要請したI/OスペースおよびIRQナンバーを割り当てて、そうではなければ前記要請したI/OスペースおよびIRQナンバーを割り当てない段階を含む仮想化環境での安全なシステム保護方法。
【請求項14】
ドメインの特定デバイスドライバがDMAをとおし、システム資源部のメモリに接近を要請する段階と、
前記特定デバイスドライバを実行するドメインが所定の接近制御政策によって、接近権限が許容される前記メモリに接近を試みるのかを判断する段階、および
前記接近制御政策によって前記ドメインが前記メモリに接近を試みれば前記要請したメモリに対して前記ドメインの特定デバイスドライバの接近を許容し、そうではなければ前記要請したメモリに対して前記ドメインの特定デバイスドライバの接近を許容しない段階を含む仮想化環境での安全なシステム保護方法。
【請求項15】
多数個のドメインのうち少なくとも一つのドメインでシステム資源の割り当てを要請する段階と、
前記ドメインで要請したシステム資源の割当量が所定の接近制御政策によって設定された基準値を超過しないかを判断する段階、および
前記接近制御政策によって前記ドメインが要請したシステム資源の割当量が前記設定された基準値以下であれば前記ドメインに前記要請したシステム資源の割り当てを許して、そうではなければ前記ドメインに前記要請したシステム資源の割り当てを許容しない段階を含む仮想化環境での安全なシステム保護方法。
【請求項16】
前記システム資源の割当量はシステム資源部でメモリ使用量を含む、請求項15に記載の仮想化環境での安全なシステム保護方法。
【請求項17】
前記システム資源の割当量はシステム資源部でドメイン間のイベントチャネル形成個数を含む、請求項15に記載の仮想化環境での安全なシステム保護方法。
【請求項18】
前記所定の接近制御政策はVMMに具備される接近制御モジュールによって決定される、請求項13ないし15のうち何れか一項に記載の、仮想化環境での安全なシステム保護方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図2】
【図3】
【図4】
【図5】
【公開番号】特開2008−269589(P2008−269589A)
【公開日】平成20年11月6日(2008.11.6)
【国際特許分類】
【出願番号】特願2008−74946(P2008−74946)
【出願日】平成20年3月24日(2008.3.24)
【出願人】(390019839)三星電子株式会社 (8,520)
【氏名又は名称原語表記】SAMSUNG ELECTRONICS CO.,LTD.
【住所又は居所原語表記】416,Maetan−dong,Yeongtong−gu,Suwon−si,Gyeonggi−do 442−742(KR)
【Fターム(参考)】
【公開日】平成20年11月6日(2008.11.6)
【国際特許分類】
【出願日】平成20年3月24日(2008.3.24)
【出願人】(390019839)三星電子株式会社 (8,520)
【氏名又は名称原語表記】SAMSUNG ELECTRONICS CO.,LTD.
【住所又は居所原語表記】416,Maetan−dong,Yeongtong−gu,Suwon−si,Gyeonggi−do 442−742(KR)
【Fターム(参考)】
[ Back to top ]