- 본 이전기술은 IoT 서비스 과정에서 운용되는 서비스 서버 및 IoT GW 내 자원(파일 등)에 대한 접근을 제어하기 위한 기기 접근 권한관리 기술임
- 기존 운영체제는 사용자가 루트 권한을 가질 경우 시스템 내의 모든 객체를 접근할 수 있는 막강한 권한을 가짐에 따라 내재된 보안 기능이 무력화될 수 있어, 버퍼오버플로우 등의 운영체제의 취약점을 통한 루트 권한 획득에는 무방비 상태임
- 본 기술은 루트가 가지는 막강한 권한을 분리할 수 있는 최소 권한 분리 기능을 제공하여 루트 권한을 가지더라도 별도의 접근 권한을 가지지 않을 경우 자원에 접근이 제한되어 해킹에 의한 루트 권한 획득 공격에 대응할 수 있음
- 본 기술은 시스템 운영체제 수준에서 발생하는 자원 접근과정에 있어 접근권한이 주어진 주체에 대해서만 접근을 허가하는 기능을 제공하며, 보다 구체적으로는 객체에 주어진 보안등급 및 범주를 기반으로 객체에 접근하는 주체의 속성을 확인하여 접근을 허용하는 강제적 접근제어(MAC, Mandatory Access Control) 기능을 제공함
- 본 이전기술은 시스템 내의 자원에 대한 접근을 시스템 구성 시점에서 강제적으로 설정하여, 시스템 내의 악성 코드나 권한 상승 공격에 대해 자원을 보호할 수 있는 접근권한 기능을 제공할 수 있으며, IoT 서버나 IoT GW 등을 포함한 다양한 시스템에 본 이전기술을 적용하여 시스템 운영체제의 보안성을 높일 수 있음
다양한 서버 등의 시스템에 적용 가능한 운영체제 수준의 시스템 자원 접근권한 기능 제공하여 외부 해킹으로부터 시스템 자원을 보호할 수 있는 기능을 운영체제 수준에서 제공할 수 있도록 함
- 본 기술은 운영체제 수준에서 다양한 자원접근권한 기능을 통해 시스템 내의 최소 권한 분리 환경을 제공할 수 있으므로, 루트 권한을 획득한 해커 등의 악성 코드에 의한 불법 자원 접근을 방지할 수 있어, 시스템 자원을 보호할 수 있음
- 자원 접근에 대한 최소 권한 분리 환경은 강제적 접근제어 구조인 MAC(Mandatory Access Control) 기능을 통해 시스템 내의 보호 자원에 대한 보호 등급과 범주를 강제적으로 지정하도록 하여, 임의로 루트 권한을 획득한 경우에도 정당한 접근 등급과 범주를 획득하지 못할 경우 자원 접근을 통제하는 기능을 제공함.
- 본 기술의 핵심 모듈은 C 기반으로 구현되어 소스 코드 수준에서 컴파일이 가능한 운영체제로의 이식이 용이하며, 다만 운영체제마다 고유하게 가지는 자원 접근에 대한 구조, 자원(예, 파일 등) 관리 구조, 시스템 호출 구조는 적용하려는 운영체제에 맞게 수정이 필요함
- 운영체제 수준의 자원접근권한을 위한 기기 권한관리 기술
* MAC(강제적 접근제어) 기반 자원 접근제어 기능
- MAC 정책 DB 관리
- Bell-LaPadula(BLP) 보안 모델 기반의 Simple Security & Modified *-Property 룰 적용
- 주체(사용자, 프로세스)와 객체(파일 , 폴더)의 보안 등급 및 범주 기반의 접근권한(RWX) 수행
- 접근제어시스템 설계문서 중 강제적 접근제어(MAC) 부분
- 접근제어시스템 블록별 설계문서 중 강제적 접근제어(MAC) 부분
- 접근제어시스템 시험문서 중 강제적 접근제어(MAC) 부분
- 접근제어시스템 소스 코드 프로그램 중 강제적 접근제어(MAC) 부분
- 인증정보 보호를 위한 인증서버
- IoT 서비스 제공 서버 내의 중요 데이터 유출 방지를 위한 IoT 클라우드 서버
- 네트워크 운용 정보 위변조 보호를 위한 IoT 보안GW 및 네트워크 서버
- 본 기술은 해킹에 의한 루트 권한 획득을 시도하는 악성 코드의 불법적인 자원 접근을 운영체제 수준에서 차단할 수 있어 중요 정보 유출 등의 피해를 방지할 수 있음