JP2006164273A - 保安ブート装置及び方法 - Google Patents
保安ブート装置及び方法 Download PDFInfo
- Publication number
- JP2006164273A JP2006164273A JP2005344036A JP2005344036A JP2006164273A JP 2006164273 A JP2006164273 A JP 2006164273A JP 2005344036 A JP2005344036 A JP 2005344036A JP 2005344036 A JP2005344036 A JP 2005344036A JP 2006164273 A JP2006164273 A JP 2006164273A
- Authority
- JP
- Japan
- Prior art keywords
- area
- boot
- check value
- operation system
- stored
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/22—Microcontrol or microprogram arrangements
- G06F9/24—Loading of the microprogram
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/575—Secure boot
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/4401—Bootstrapping
- G06F9/4406—Loading of operating system
- G06F9/441—Multiboot arrangements, i.e. selecting an operating system to be loaded
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Stored Programmes (AREA)
- Storage Device Security (AREA)
Abstract
【課題】運用体制によるブート時に無欠性を保証できるようにする。
【解決手段】運用体制を保存する第1領域111と、運用体制に対応する所定のチェック値を持つアルゴリズムのチェック値を保存する第2領域112とを備える運用体制保存部110と、ブート時、運用体制がロードされるメモリ部120と、ロードされた運用体制によるチェック値を、第2領域に保存されたチェック値の算出時に使われたアルゴリズムを通じて算出し、算出されたチェック値を第2領域112に保存されたチェック値と比較して、運用体制の無欠性を判断する制御部130と、を備える。
【選択図】図3
【解決手段】運用体制を保存する第1領域111と、運用体制に対応する所定のチェック値を持つアルゴリズムのチェック値を保存する第2領域112とを備える運用体制保存部110と、ブート時、運用体制がロードされるメモリ部120と、ロードされた運用体制によるチェック値を、第2領域に保存されたチェック値の算出時に使われたアルゴリズムを通じて算出し、算出されたチェック値を第2領域112に保存されたチェック値と比較して、運用体制の無欠性を判断する制御部130と、を備える。
【選択図】図3
Description
本発明は、保安ブート装置及び方法に係り、より詳細には、運用体制によるブート時に無欠性を保証できる保安ブート装置及び方法に関する。
一般的に、家電機器、通信機器、セットトップボックスなどの内蔵型システムでは、データを保存して処理するための記録媒体として、不揮発性保存装置が多く使われている。また、内蔵型システムは、不揮発性保存装置に運用体制を保存し、保存された運用体制によりブートされて動作を行う。このような運用体制は、主に不揮発性保存装置にイメージの形で保存される。
この時、内蔵型システムがブートされる時、不揮発性保存装置に保存された運用体制が変更なしにブートされねばならない。例えば、携帯電話に電源が印加されて、携帯電話が、内蔵された不揮発性保存装置に保存された運用体制によりブートされる時、保存された運用体制の無欠性が保証されねばならない。これは、運用体制の無欠性が保証されずに内蔵型システムがブートされる時、外部の攻撃者により運用体制が変更される場合、内蔵型システムが正常な動作を行えないためである。
したがって、内蔵型システムの運用体制の無欠性を保証して、安全なブートを行わせる多様な方案が提案されている。
この時、内蔵型システムがブートされる時、不揮発性保存装置に保存された運用体制が変更なしにブートされねばならない。例えば、携帯電話に電源が印加されて、携帯電話が、内蔵された不揮発性保存装置に保存された運用体制によりブートされる時、保存された運用体制の無欠性が保証されねばならない。これは、運用体制の無欠性が保証されずに内蔵型システムがブートされる時、外部の攻撃者により運用体制が変更される場合、内蔵型システムが正常な動作を行えないためである。
したがって、内蔵型システムの運用体制の無欠性を保証して、安全なブートを行わせる多様な方案が提案されている。
図1は、従来の技術によって内蔵型システムが安全なブートを行わせる保安ブート装置が図示された図面である。
運用体制及び運用体制に対応する固有のチェック値を持つアルゴリズムのチェック値を保存する運用体制保存部10と、ブート時に運用体制保存部10に保存された運用体制がロードされるメモリ部20と、チェック値の保存時に使われたアルゴリズムを通じてロードされた運用体制によるチェック値を算出し、保存されたチェック値と算出されたチェック値とを比較して、ロードされた運用体制の無欠性を判断する制御部30とを備える。
この時、運用体制保存部10は、保存された運用体制及びチェック値が印加された電源が除去される場合にも維持されるように、不揮発性保存領域で構成される。
運用体制及び運用体制に対応する固有のチェック値を持つアルゴリズムのチェック値を保存する運用体制保存部10と、ブート時に運用体制保存部10に保存された運用体制がロードされるメモリ部20と、チェック値の保存時に使われたアルゴリズムを通じてロードされた運用体制によるチェック値を算出し、保存されたチェック値と算出されたチェック値とを比較して、ロードされた運用体制の無欠性を判断する制御部30とを備える。
この時、運用体制保存部10は、保存された運用体制及びチェック値が印加された電源が除去される場合にも維持されるように、不揮発性保存領域で構成される。
また、運用体制を通じたブートが行われる場合、ブートプロセスについての情報を含むブートコードを保存するブートコード保存部40と、運用体制保存部10に保存される運用体制及びチェック値を暗号化し、暗号化された運用体制及びチェック値を復号化するキーを保存するキー保存部50とをさらに備える。この時、ブートコード保存部40は、再生専用に設定されていて、外部でブートコードを変更できない。この時、チェック値の算出時に使われるアルゴリズムとしては、運用体制が1ビットでも変更される場合に他のチェック値を持つようになり、同じチェック値を持たない条件に合うあらゆるアルゴリズムが使われる。
また、キー保存部50は、一般的に偽変造防止技術であるTRM(Tamper Resistance Module)のような領域を備えて、外部の接近からキー保存部50に保存されたキーを保護する。これは、キー保存部50に保存されたキーが外部に露出される場合、暗号化されて運用体制保存部10に保存された運用体制及びチェック値が変更される恐れがあるためである。また、キー保存部50は、全般的なブートプロセスを制御する制御部30と共に内蔵されるか、または別途に構成される。
図2は、従来の技術による保安ブート方法を示す図面である。
図示したように、まず前述した内蔵型システムに電源が印加されると、制御部30は、ブートコード保存部40に保存されたブートコードを読み取ってブートのプロセスを始める(S10)。
以後、制御部30は、ブートコードによって運用体制保存部10に保存された運用体制をメモリ部20にロードする(S20)。この時、制御部30は、事前指定されたマッピングテーブルによってブートコード保存部40に保存されたブートコード、及び運用体制保存部10からメモリ部20にロードされた運用体制に接近する。
また、制御部30は、キー保存部50に保存されたキーを使用してロードされた運用体制を復号化する(S30)。
制御部30は、運用体制保存部10に保存されたチェック値の算出時に使われたアルゴリズムを使用して復号化された運用体制によるチェック値を算出する(S40)。
制御部30は、算出部20により算出されたチェック値とロードされて復号化されたチェック値とを比較して、運用体制保存部10に保存された運用体制の無欠性を判断する(S50)。
判断結果、算出されたチェック値とロードされたチェック値とが同じ場合、運用体制が変更されていないと判断して、ブートプロセスを正常に進める(S60)。
もし、判断結果、算出されたチェック値とロードされたチェック値とが異なる場合、運用体制が変更されて無欠性が損傷されたと判断して、ブートプロセスを中止する(S70)。
図示したように、まず前述した内蔵型システムに電源が印加されると、制御部30は、ブートコード保存部40に保存されたブートコードを読み取ってブートのプロセスを始める(S10)。
以後、制御部30は、ブートコードによって運用体制保存部10に保存された運用体制をメモリ部20にロードする(S20)。この時、制御部30は、事前指定されたマッピングテーブルによってブートコード保存部40に保存されたブートコード、及び運用体制保存部10からメモリ部20にロードされた運用体制に接近する。
また、制御部30は、キー保存部50に保存されたキーを使用してロードされた運用体制を復号化する(S30)。
制御部30は、運用体制保存部10に保存されたチェック値の算出時に使われたアルゴリズムを使用して復号化された運用体制によるチェック値を算出する(S40)。
制御部30は、算出部20により算出されたチェック値とロードされて復号化されたチェック値とを比較して、運用体制保存部10に保存された運用体制の無欠性を判断する(S50)。
判断結果、算出されたチェック値とロードされたチェック値とが同じ場合、運用体制が変更されていないと判断して、ブートプロセスを正常に進める(S60)。
もし、判断結果、算出されたチェック値とロードされたチェック値とが異なる場合、運用体制が変更されて無欠性が損傷されたと判断して、ブートプロセスを中止する(S70)。
このような保安ブート方法は、運用体制の変更如何を判断するために所定のアルゴリズムを使用する。この時、使われたアルゴリズムが外部に知られる場合、運用体制を変更した後にアルゴリズムまで変更されて無欠性を損傷させうるという問題点がある。また、アルゴリズム保存部40は、外部からの変更を防止するために再生専用と設定されているため、該当アルゴリズムを使用する内蔵型システムが量産された後でアルゴリズムが外部に露出された場合、露出されたアルゴリズムを変更するために高いリコールコストが発生するという問題点がある。
一方、運用体制及びチェック値を暗号化するためにキーを使用するようになると、キーを保存するためのTRMなどを構成するために追加的なコストがかかる。このようなキーも、アルゴリズムと同じく外部に露出された場合、露出されたキーを変更するために高いリコールコストが発生するという問題点がある。
一方、運用体制及びチェック値を暗号化するためにキーを使用するようになると、キーを保存するためのTRMなどを構成するために追加的なコストがかかる。このようなキーも、アルゴリズムと同じく外部に露出された場合、露出されたキーを変更するために高いリコールコストが発生するという問題点がある。
特許文献1は、いろいろなステップのブート動作を、単一のNANDインターフェースを通じて行わせてブート速度を向上させるNANDフラッシュメモリを利用して駆動されるシステム及びその方法に係り、それは、NANDフラッシュメモリを利用して駆動されるシステムのブート時、運用体制の無欠性を保証し難いことがある。
韓国公開特許第2003−0074016号公報
本発明は、運用体制の無欠性を判断するための構成を簡素化し、かつ安全なブートを行わせる保安ブート装置及び方法を提供するところにその目的がある。
本発明の目的は、以上で言及した目的に制限されず、言及されていない他の目的は下の記載から当業者に明確に理解されうる。
本発明の目的は、以上で言及した目的に制限されず、言及されていない他の目的は下の記載から当業者に明確に理解されうる。
前記目的を達成するために、本発明の実施形態による保安ブート装置は、運用体制を保存する第1領域と、運用体制に対応する所定のチェック値を持つアルゴリズムのチェック値を保存する第2領域とを備える運用体制保存部と、ブート時、前記運用体制がロードされるメモリ部と、前記ロードされた運用体制によるチェック値を、前記第2領域に保存されたチェック値の算出時に使われたアルゴリズムを通じて算出し、前記算出されたチェック値を前記第2領域に保存されたチェック値と比較して、前記運用体制の無欠性を判断する制御部と、を備える。
また、前記目的を達成するために、ブート時、第1領域に保存された運用体制をロードするステップと、前記運用体制の保存時、前記運用体制に対応する所定のチェック値を持つアルゴリズムによるチェック値を第2領域から読み取るステップと、前記ロードされた運用体制によるチェック値を、前記第2領域に保存されたチェック値の算出時に使われたアルゴリズムを通じて算出し、前記読み取られたチェック値と前記算出されたチェック値とを比較して、前記運用体制の無欠性を判断するステップと、を含む。
その他の実施例の具体的な事項は詳細な説明及び図面に含まれている。
また、前記目的を達成するために、ブート時、第1領域に保存された運用体制をロードするステップと、前記運用体制の保存時、前記運用体制に対応する所定のチェック値を持つアルゴリズムによるチェック値を第2領域から読み取るステップと、前記ロードされた運用体制によるチェック値を、前記第2領域に保存されたチェック値の算出時に使われたアルゴリズムを通じて算出し、前記読み取られたチェック値と前記算出されたチェック値とを比較して、前記運用体制の無欠性を判断するステップと、を含む。
その他の実施例の具体的な事項は詳細な説明及び図面に含まれている。
本発明の保安ブート装置及び方法によると、次のような効果が一つあるいはそれ以上ある。第1に、運用体制の無欠性を保証するために、運用体制及び運用体制と関連した情報を暗号化するためのキーを保存する領域を使用せずに容易に運用体制の無欠性を保証できる。第2に、運用体制の無欠性を保証するためのアルゴリズム及びアルゴリズムによるチェック値を保存した後、保存された領域を再生専用領域に変更して、アルゴリズム及びチェック値が露出された場合にもアルゴリズム及びチェック値の変更を防止して、大量のリコールが発生することを防止できる。
本発明の利点及び特徴、そしてこれを達成する方法は添付された図面に基づいて詳細に後述されている実施例を参照すれば明確になる。しかし、本発明は以下で開示される実施例に限定されるものではなく、この実施例から外れて多様な形に具現でき、本明細書で説明する実施例は本発明の開示を完全にし、本発明が属する技術分野で当業者に発明の範疇を完全に報せるために提供されるものであり、本発明は請求項及び発明の詳細な説明により定義されるだけである。一方、明細書全体に亙って同一な参照符号は同一な構成要素を示す。
以下、添付された図面を参照して本発明の望ましい実施形態を詳細に説明する。
図3は、本発明の実施形態による保安ブート装置を示す図面である。
図示したように、本発明の実施形態による保安ブート装置100は、運用体制を保存する第1領域111と、運用体制に対応する所定のチェック値を持つアルゴリズムのチェック値を保存する第2領域112とを備える運用体制保存部110と、ブート時第1領域111に保存された運用体制がロードされるメモリ部120と、ロードされた運用体制によるチェック値を第2領域112に保存されたアルゴリズムを通じて算出し、算出されたチェック値を前記第2領域112に保存されたチェック値と比較して、運用体制の無欠性を判断する制御部130と、を備えることができる。
図3は、本発明の実施形態による保安ブート装置を示す図面である。
図示したように、本発明の実施形態による保安ブート装置100は、運用体制を保存する第1領域111と、運用体制に対応する所定のチェック値を持つアルゴリズムのチェック値を保存する第2領域112とを備える運用体制保存部110と、ブート時第1領域111に保存された運用体制がロードされるメモリ部120と、ロードされた運用体制によるチェック値を第2領域112に保存されたアルゴリズムを通じて算出し、算出されたチェック値を前記第2領域112に保存されたチェック値と比較して、運用体制の無欠性を判断する制御部130と、を備えることができる。
この時、アルゴリズムのチェック値は運用体制に対応する値であり、運用体制を通じてブートが行われる場合、運用体制の無欠性を判断するために使われうる。
この時、第1領域112の運用体制は、圧縮または暗号化などのプロセスを経て保存され、保存された運用体制は、メモリ部120にロードされる時に圧縮解除または復号化などのプロセスを経る。
この時、第1領域112の運用体制は、圧縮または暗号化などのプロセスを経て保存され、保存された運用体制は、メモリ部120にロードされる時に圧縮解除または復号化などのプロセスを経る。
また、第2領域112は、本発明の実施形態による保安ブート装置100によりブートされる場合、ブートプロセスについての情報を含むブートコードを保存できる。また、運用体制保存部110は、印加された電源が中止される場合にも第1領域111及び第2領域112に保存された情報が保持されるように、不揮発性保存領域で構成される。本発明の実施形態で、第1領域111と第2領域112とがハードウェア的に統合された不揮発性保存領域で構成される場合を例として説明しているが、それに限定されず、第1領域111と第2領域112とはハードウェア的に別途に構成されることもある。本発明の実施形態による保安ブート装置100は、電源が印加されてブートが行われる場合、第2領域112に保存されたブートコードがロードされ、ロードされたブートコードによってブートを進ませるブートメモリ部140をさらに備えることができる。このようなブートメモリ部140は、ブートコードがロードされれば、ロードされたブートコードが変更されることを防止できるように再生専用領域に変更でき、印加された電源が遮断されるまで再生専用状態を保持する。この時、制御部130は、ブートメモリ部140にロードされたブートコードを通じてブートプロセスを進める。
また、本発明の実施形態で、ブートコードが第2領域112に保存された場合を例として説明しているが、場合によって、第1領域111または別途に構成された再生専用と設定されたメモリに保存されることもある。一方、ブートコードのブートメモリ部140へのロードは、ブートコードに、本発明の実施形態による保安ブート装置100により電源が印加される場合、自動でブートメモリ部140にロードされうる自動実行コードを使用して行われうる。
この時、ブートコードの大きさがブートメモリ部140の大きさを超過して、いずれも保存されない場合には、ブートコードのうちブートメモリ部140の大きさを超過する部分についてはメモリ部120に保存し、超過した部分に対する制御がメモリ部130のブートコード領域に変更されうる。
この時、ブートコードの大きさがブートメモリ部140の大きさを超過して、いずれも保存されない場合には、ブートコードのうちブートメモリ部140の大きさを超過する部分についてはメモリ部120に保存し、超過した部分に対する制御がメモリ部130のブートコード領域に変更されうる。
一方、本発明の実施形態では、ブートメモリ部140が、ハードウェア的に運用体制保存部110と別途に構成される場合を例として説明しているが、これに限定されず、ブートメモリ部140と運用体制保存部110とがハードウェア的に統合されて構成されることもある。
具体的に、フラッシュメモリのような不揮発性保存装置を通じたブート時、ブートハンドラーコード及びブートストラップローダーコードなどをロードするために、レジスタが不揮発性保存装置に内蔵されうる。したがって、運用体制保存部110を通じたブート時には、ブートメモリ部140が運用体制保存部110に内蔵されうる。
具体的に、フラッシュメモリのような不揮発性保存装置を通じたブート時、ブートハンドラーコード及びブートストラップローダーコードなどをロードするために、レジスタが不揮発性保存装置に内蔵されうる。したがって、運用体制保存部110を通じたブート時には、ブートメモリ部140が運用体制保存部110に内蔵されうる。
また、運用体制保存部110を通じたブートが行われる場合には、運用体制保存部110と接続されるホスト機器とのデータ処理のための別途のコントローラが運用体制保存部110に内蔵されうる。一方、運用体制保存部110を通じたブート時、本発明の実施形態による構成要素120、130、140は、運用体制保存部110と接続するホスト機器の構成要素として理解されうる。
また、運用体制保存部110の第2領域112は、場合によって一般的な不揮発性保存領域として設定されることもあり、情報記録時にもう変更されないように設定されることもある。例えば、第2領域112は、1回記録可能なためにOTP(One Time Programmable)領域として称されることができ、運用体制保存部110で第2領域112に該当する書込みロジックに、事前指定された基準値以上の電圧を加えて書込みロジックを切ることによって、それ以上のデータ記録を不可能にすることができる。したがって、第2領域112にチェック値及びブートコードを記録し、事前指定された基準値以上の電圧を加えて、それ以上のデータ記録を不可能にして再生専用領域と設定できる。
このように、第2領域112を再生専用領域に変更することは、本発明の実施形態で使われるチェック値及びブートコードが変更される場合、第1領域111に保存された運用体制の無欠性を完全に保証し難いためである。したがって、第2領域112を1回記録可能な領域と設定して、外部からのチェック値及びブートコードの変更を事前に防止できる。
このように、第2領域112を再生専用領域に変更することは、本発明の実施形態で使われるチェック値及びブートコードが変更される場合、第1領域111に保存された運用体制の無欠性を完全に保証し難いためである。したがって、第2領域112を1回記録可能な領域と設定して、外部からのチェック値及びブートコードの変更を事前に防止できる。
また、第1領域111に保存された運用体制の無欠性を判断するためには、第2領域112に保存されたチェック値と、保存されたチェック値の算出時に使われたアルゴリズム(例えば、One way hashアルゴリズムなど)を通じて算出した保存された運用体制に対するチェック値とを比較して、保存されたアルゴリズムの無欠性を判断する。このようなアルゴリズムは、本発明の実施形態による運用体制保存部110に保存されることもあり、別途に構成されたメモリに保存されることもある。また、本発明の実施形態で使われるアルゴリズムは、運用体制に対応する所定のチェック値を持ち、運用体制によって固有のチェック値を持つ。
この時、第2領域112に保存されたチェック値が変更される場合、保存された運用体制が変更された場合にも保存された運用体制が変更されていないと判断される場合が発生して、本発明の実施形態による保安ブート装置100が非正常的な動作を行う恐れがあるためである。したがって、制御部130は、第2領域112にチェック値及びブートコードを保存した後、第2領域112を再生専用領域と設定する。制御部130は事前指定されたマッピングテーブルを通じてメモリ部120及びブートメモリ部130にアクセスでき、このようなメモリ部120及びブートメモリ部130としては、キャッシュ、ROM、PROM、EPROM、EEPROM、フラッシュ、SRAM及びDRAMのような形態の装置があるが、それに限定されない。
また、制御部130は、本発明の実施形態による保安ブート装置100がブートされる場合、メモリ部120にロードされた運用体制と第2領域112に保存されたチェック値とを通じて、ロードされた運用体制の無欠性を判断できる。
具体的に、制御部130は、ロードされた運用体制によるチェック値を第2領域112に保存されたチェック値と比較して、同じ場合には無欠性が完全で正常なブートプロセスを進める。一方、制御部130は、ロードされた運用体制によって算出されたチェック値と、第2領域112に保存されたチェック値とが異なる場合に無欠性が損傷されたと判断して、ブートプロセスを中止する。
具体的に、制御部130は、ロードされた運用体制によるチェック値を第2領域112に保存されたチェック値と比較して、同じ場合には無欠性が完全で正常なブートプロセスを進める。一方、制御部130は、ロードされた運用体制によって算出されたチェック値と、第2領域112に保存されたチェック値とが異なる場合に無欠性が損傷されたと判断して、ブートプロセスを中止する。
以下、本発明の実施形態による保安ブート装置を利用した無欠性を保証できるブート方法を説明する。
図4は、本発明の実施形態によって運用体制及び運用体制の無欠性を判断できるチェック値及びブートコードを保存する方法を示す図面である。
図示したように、まず運用体制保存部110の第1領域111に所定の運用体制を保存する(S110)。この時、保存される運用体制は圧縮または暗号化のようなプロセスを経て保存されうる。
次いで、保存された運用体制によって固有のチェック値を持つアルゴリズムのチェック値と、ブートプロセスについての情報を含むブートコードとを第2領域112に保存する(S120)。この時、アルゴリズムは運用体制によって対応する固有のチェック値を持ち、運用体制の情報が1ビットでも変更される場合に異なるチェック値を持つようになって、同じチェック値が存在していない条件に合うあらゆるアルゴリズムが使われうる。
また、第2領域112は、1回記録可能領域であるために、チェック値及びブートコードが保存された後に再生専用領域に変更される(S130)。この時、第2領域112を再生専用状態に変更することは、前述したように、第2領域112の書込みロジックを切ることによって行われうる。
図4は、本発明の実施形態によって運用体制及び運用体制の無欠性を判断できるチェック値及びブートコードを保存する方法を示す図面である。
図示したように、まず運用体制保存部110の第1領域111に所定の運用体制を保存する(S110)。この時、保存される運用体制は圧縮または暗号化のようなプロセスを経て保存されうる。
次いで、保存された運用体制によって固有のチェック値を持つアルゴリズムのチェック値と、ブートプロセスについての情報を含むブートコードとを第2領域112に保存する(S120)。この時、アルゴリズムは運用体制によって対応する固有のチェック値を持ち、運用体制の情報が1ビットでも変更される場合に異なるチェック値を持つようになって、同じチェック値が存在していない条件に合うあらゆるアルゴリズムが使われうる。
また、第2領域112は、1回記録可能領域であるために、チェック値及びブートコードが保存された後に再生専用領域に変更される(S130)。この時、第2領域112を再生専用状態に変更することは、前述したように、第2領域112の書込みロジックを切ることによって行われうる。
図5は、前述した図4の方法を通じて保存された運用体制、チェック値及びブートコードを通じてブートを進めるブート方法を示す図面である。
図示したように、まず本発明の実施形態による保安ブート装置100に電源が印加されると、第2領域112に保存されたブートコードがブートメモリ部140にロードされる(S210)。この時、ブートメモリ部140は、ブートコードがロードされると再生専用領域に変更されて、印加された電源が遮断されるまで再生専用状態を保持して、ロードされたブートコードが変更されることを防止する。また、第2領域112に保存されたブートコードは、内蔵された自動実行コードにより電源印加時にブートメモリ部140に自動でロードされうる。
図示したように、まず本発明の実施形態による保安ブート装置100に電源が印加されると、第2領域112に保存されたブートコードがブートメモリ部140にロードされる(S210)。この時、ブートメモリ部140は、ブートコードがロードされると再生専用領域に変更されて、印加された電源が遮断されるまで再生専用状態を保持して、ロードされたブートコードが変更されることを防止する。また、第2領域112に保存されたブートコードは、内蔵された自動実行コードにより電源印加時にブートメモリ部140に自動でロードされうる。
制御部210は、ロードされたブートコードを読み取ってブートプロセスを始める(S220)。
ブートプロセスが始まれば、本発明の実施形態による保安ブート装置100の構成要素110、120、130、140が初期化されて使用可能な状態になり、第1領域111に保存された運用体制がメモリ部120にロードされる(S230)。この時、保存された運用体制が圧縮または暗号化のようなプロセスを経る場合、メモリ部120にロードされる時に圧縮解除または復号化のようなプロセスを経ることができる。
ブートプロセスが始まれば、本発明の実施形態による保安ブート装置100の構成要素110、120、130、140が初期化されて使用可能な状態になり、第1領域111に保存された運用体制がメモリ部120にロードされる(S230)。この時、保存された運用体制が圧縮または暗号化のようなプロセスを経る場合、メモリ部120にロードされる時に圧縮解除または復号化のようなプロセスを経ることができる。
以後、制御部130は、第2領域112に保存されたチェック値の算出時に使われたアルゴリズムを通じてロードされた運用体制によるチェック値を算出する(S240)。
制御部130は、算出されたチェック値を第2領域112に保存されたチェック値と比較して、ロードされた運用体制の無欠性を判断する(S250)。
判断結果、算出されたチェック値と保存されたチェック値とが同じ場合、ロードされた運用体制が変更されなくて無欠性が保証されると判断し、ブートプロセスを進め続ける(S260)。
もし、判断結果、算出されたチェック値と保存されたチェック値とが相異なる場合、ロードされた運用体制が変更されて無欠性が損傷されたと判断し、ブートプロセスを中止する(S270)。
制御部130は、算出されたチェック値を第2領域112に保存されたチェック値と比較して、ロードされた運用体制の無欠性を判断する(S250)。
判断結果、算出されたチェック値と保存されたチェック値とが同じ場合、ロードされた運用体制が変更されなくて無欠性が保証されると判断し、ブートプロセスを進め続ける(S260)。
もし、判断結果、算出されたチェック値と保存されたチェック値とが相異なる場合、ロードされた運用体制が変更されて無欠性が損傷されたと判断し、ブートプロセスを中止する(S270)。
このような保安ブート方法の従来のTRMのような偽変造技術を使用した領域を別途に使用せず、不揮発性保存領域だけでも運用体制の無欠性を保証して、安全なブートが行われうる。
以上、本発明による保安ブート装置及びその方法を例示された図面を参照として説明したが、本発明は本明細書に開示された実施例及び図面によって限定されるものではなく、その発明の技術思想範囲内で当業者により多様に変形可能であることはいうまでもない。
以上、本発明による保安ブート装置及びその方法を例示された図面を参照として説明したが、本発明は本明細書に開示された実施例及び図面によって限定されるものではなく、その発明の技術思想範囲内で当業者により多様に変形可能であることはいうまでもない。
本発明は、保安ブート装置の関連技術分野に好適に用いられる。
110 運用体制保存部
111 第1領域
112 第2領域
120 メモリ部
130 制御部
140 ブートメモリ部
111 第1領域
112 第2領域
120 メモリ部
130 制御部
140 ブートメモリ部
Claims (12)
- 運用体制を保存する第1領域と、運用体制に対応する所定のチェック値を持つアルゴリズムのチェック値を保存する第2領域とを備える運用体制保存部と、
ブート時、前記運用体制がロードされるメモリ部と、
前記ロードされた運用体制によるチェック値を、前記第2領域に保存されたチェック値の算出時に使われたアルゴリズムを通じて算出し、前記算出されたチェック値を前記第2領域に保存されたチェック値と比較して、前記運用体制の無欠性を判断する制御部と、を備える保安ブート装置。 - 前記運用体制保存部は、不揮発性保存領域を備える請求項1に記載の保安ブート装置。
- 前記第2領域は1回記録可能領域で構成され、前記チェック値保存後に再生専用領域に変更される請求項2に記載の保安ブート装置。
- 前記第2領域にはブートプロセス情報を含むブートコードが保存され、前記ブートコードは前記チェック値と共に記録される請求項3に記載の保安ブート装置。
- 前記ブートコードがロードされるブートメモリ部をさらに備える請求項4に記載の保安ブート装置。
- 前記ブートメモリ部は、前記ブートコードがロードされれば、再生専用領域に変更される請求項5に記載の保安ブート装置。
- ブート時、第1領域に保存された運用体制をロードするステップと、
前記運用体制の保存時、前記運用体制に対応する所定のチェック値を持つアルゴリズムによるチェック値を第2領域から読み取るステップと、
前記ロードされた運用体制によるチェック値を、前記第2領域に保存されたチェック値の算出時に使われたアルゴリズムを通じて算出し、前記読み取られたチェック値と前記算出されたチェック値とを比較して、前記運用体制の無欠性を判断するステップと、を含む保安ブート方法。 - 前記第1領域及び第2領域は、不揮発性保存領域で構成される請求項7に記載の保安ブート方法。
- 前記第2領域は1回記録可能領域で構成され、前記チェック値の保存時に再生専用領域に変更される請求項8に記載の保安ブート方法。
- 前記第2領域は、ブートプロセスについての情報を保存するブートコードを保存する請求項9に記載の保安ブート方法。
- 前記ブートコードは、第2領域に前記チェック値の保存時に前記第2領域に共に保存される請求項10に記載の保安ブート方法。
- 前記ブートコードは、ブート時に所定のブートメモリ部にロードされ、前記ブートメモリ部は、前記ブートコードのロード後に再生専用領域に変更される請求項11に記載の保安ブート方法。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR20040103562A KR100654446B1 (ko) | 2004-12-09 | 2004-12-09 | 보안 부팅 장치 및 방법 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2006164273A true JP2006164273A (ja) | 2006-06-22 |
Family
ID=35695685
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005344036A Pending JP2006164273A (ja) | 2004-12-09 | 2005-11-29 | 保安ブート装置及び方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US7681024B2 (ja) |
| EP (1) | EP1669863A3 (ja) |
| JP (1) | JP2006164273A (ja) |
| KR (1) | KR100654446B1 (ja) |
| CN (1) | CN1786916A (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2013084079A (ja) * | 2011-10-07 | 2013-05-09 | Ricoh Co Ltd | 情報処理装置、正当性検証方法、正当性検証プログラム |
Families Citing this family (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9158941B2 (en) * | 2006-03-16 | 2015-10-13 | Arm Limited | Managing access to content in a data processing apparatus |
| US8122258B2 (en) * | 2006-05-22 | 2012-02-21 | Hewlett-Packard Development Company, L.P. | System and method for secure operating system boot |
| KR100842333B1 (ko) * | 2006-12-20 | 2008-07-01 | 삼성전자주식회사 | 스마트 카드 및 스마트 카드의 동작 방법 |
| KR100894251B1 (ko) * | 2006-12-28 | 2009-04-21 | 삼성전자주식회사 | 다중화된 에스피디 롬을 가지는 메모리 모듈 시스템 및 그부팅 방법 |
| US7769993B2 (en) * | 2007-03-09 | 2010-08-03 | Microsoft Corporation | Method for ensuring boot source integrity of a computing system |
| KR101502032B1 (ko) * | 2008-03-06 | 2015-03-12 | 삼성전자주식회사 | 보안 기능을 갖는 프로세서 장치 |
| CN101782858B (zh) * | 2010-02-22 | 2013-04-24 | 建汉科技股份有限公司 | 网络装置的系统引导方法 |
| JP5433498B2 (ja) * | 2010-05-27 | 2014-03-05 | 株式会社東芝 | 暗号処理装置 |
| CN102156828A (zh) * | 2011-01-25 | 2011-08-17 | 北京握奇数据系统有限公司 | 一种智能卡数据存、取过程中的校验方法及智能卡 |
| WO2013012436A1 (en) | 2011-07-18 | 2013-01-24 | Hewlett-Packard Development Company, L.P. | Reset vectors for boot instructions |
| KR101318112B1 (ko) * | 2012-04-13 | 2013-10-16 | 하나시스 주식회사 | 결제 시스템 피공급자에 의한 결제망 임의 전환 방지 결제 단말기 |
| US9779245B2 (en) * | 2013-03-20 | 2017-10-03 | Becrypt Limited | System, method, and device having an encrypted operating system |
| US9167002B2 (en) * | 2013-08-15 | 2015-10-20 | Microsoft Technology Licensing, Llc | Global platform health management |
| KR20150085301A (ko) * | 2014-01-15 | 2015-07-23 | 삼성전자주식회사 | 메모리 시스템의 동작 방법 및 이를 포함하는 메모리 시스템의 초기화 방법 |
| CN103929675B (zh) * | 2014-03-28 | 2018-07-17 | 深圳市九洲电器有限公司 | 一种机顶盒的通信实现方法及机顶盒 |
| CN105354107A (zh) * | 2015-10-22 | 2016-02-24 | 上海斐讯数据通信技术有限公司 | NOR Flash的数据传输方法及系统 |
| KR101616793B1 (ko) * | 2015-12-18 | 2016-04-29 | 국방과학연구소 | 애플리케이션 무결성 검사 방법 |
| CN106897348B (zh) * | 2016-08-19 | 2020-10-27 | 创新先进技术有限公司 | 一种数据存储、数据校验、数据溯源方法和设备 |
| CN108632024B (zh) * | 2017-03-21 | 2022-06-28 | 中兴通讯股份有限公司 | 一种运行引导程序的方法及装置 |
| CN108664280A (zh) * | 2017-03-31 | 2018-10-16 | 深圳市中兴微电子技术有限公司 | 一种嵌入式系统启动方法及装置 |
| KR102474650B1 (ko) * | 2020-11-03 | 2022-12-06 | 유비벨록스(주) | 사용자 인증모듈(usim)이 탑재되는 보안 요소 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH04256113A (ja) * | 1991-02-08 | 1992-09-10 | Toshiba Corp | コンピュータシステムのセキュリティ管理方式 |
| JPH09190354A (ja) * | 1996-01-08 | 1997-07-22 | Nec Corp | ダウンラインロード方式 |
| JPH09325914A (ja) * | 1996-06-06 | 1997-12-16 | Ryosaku Sakuraba | ゲーム遊技機の制御装置 |
| JPH10333902A (ja) * | 1997-05-27 | 1998-12-18 | N Ii C Joho Syst:Kk | 改ざん検知機能付きコンピュータシステム |
| JPH11316686A (ja) * | 1998-01-08 | 1999-11-16 | Lg Electronics Inc | コンピュ―タシステムのbiosデ―タ格納装置及びその駆動方法 |
| JP2000138917A (ja) * | 1998-05-29 | 2000-05-16 | Texas Instr Inc <Ti> | 安全計算システム及び方法 |
| JP2002035384A (ja) * | 1993-05-20 | 2002-02-05 | Le Tekku:Kk | 最終遊技機制御用マイクロコンピュータチップの製造方法 |
| JP2002244753A (ja) * | 2001-02-15 | 2002-08-30 | Ricoh Co Ltd | 光ディスク及びアプリケーションプログラムのインストール方法 |
| JP2003229284A (ja) * | 2002-01-31 | 2003-08-15 | Mitsubishi Electric Corp | 照明システム |
| JP2004013905A (ja) * | 2002-06-07 | 2004-01-15 | Microsoft Corp | セキュアなブートローダにおけるハッシングの使用 |
| JP2004139442A (ja) * | 2002-10-18 | 2004-05-13 | Toyota Motor Corp | 情報端末装置、情報端末装置の動作制御方法、特定情報記憶プログラム、特定情報記憶プログラムを格納する記憶媒体、所定情報変更プログラム、端末動作プログラム、端末動作プログラムを格納する記憶媒体、及びセンタ |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6182187B1 (en) | 1993-04-07 | 2001-01-30 | Compaq Computer Corporation | System ROM including a flash EPROM and a ROM for storing primary boot code replacing a block flash EPROM |
| JP3461234B2 (ja) | 1996-01-22 | 2003-10-27 | 株式会社東芝 | データ保護回路 |
| US5892902A (en) | 1996-09-05 | 1999-04-06 | Clark; Paul C. | Intelligent token protected system with network authentication |
| US6026293A (en) | 1996-09-05 | 2000-02-15 | Ericsson Inc. | System for preventing electronic memory tampering |
| US6405311B1 (en) * | 1998-07-28 | 2002-06-11 | Compaq Computer Corporation | Method for storing board revision |
| US6263431B1 (en) | 1998-12-31 | 2001-07-17 | Intle Corporation | Operating system bootstrap security mechanism |
| AUPQ334299A0 (en) | 1999-10-08 | 1999-11-04 | Centurion Tech Holdings Pty Ltd | Security card |
| US6711675B1 (en) * | 2000-02-11 | 2004-03-23 | Intel Corporation | Protected boot flow |
| US7073064B1 (en) * | 2000-03-31 | 2006-07-04 | Hewlett-Packard Development Company, L.P. | Method and apparatus to provide enhanced computer protection |
| US6625729B1 (en) * | 2000-03-31 | 2003-09-23 | Hewlett-Packard Company, L.P. | Computer system having security features for authenticating different components |
| US20020144104A1 (en) | 2001-04-02 | 2002-10-03 | Springfield Randall Scott | Method and system for providing a trusted flash boot source |
| KR100886537B1 (ko) | 2002-03-15 | 2009-03-02 | 삼성전자주식회사 | 부호분할다중접속 이동통신시스템에서 멀티캐스트멀티미디어 방송 서비스를 위한 데이터 패킷 제어장치 및방법 |
-
2004
- 2004-12-09 KR KR20040103562A patent/KR100654446B1/ko not_active IP Right Cessation
-
2005
- 2005-11-29 JP JP2005344036A patent/JP2006164273A/ja active Pending
- 2005-12-02 US US11/291,891 patent/US7681024B2/en not_active Expired - Fee Related
- 2005-12-03 EP EP20050257457 patent/EP1669863A3/en not_active Withdrawn
- 2005-12-08 CN CNA2005101345077A patent/CN1786916A/zh active Pending
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH04256113A (ja) * | 1991-02-08 | 1992-09-10 | Toshiba Corp | コンピュータシステムのセキュリティ管理方式 |
| JP2002035384A (ja) * | 1993-05-20 | 2002-02-05 | Le Tekku:Kk | 最終遊技機制御用マイクロコンピュータチップの製造方法 |
| JPH09190354A (ja) * | 1996-01-08 | 1997-07-22 | Nec Corp | ダウンラインロード方式 |
| JPH09325914A (ja) * | 1996-06-06 | 1997-12-16 | Ryosaku Sakuraba | ゲーム遊技機の制御装置 |
| JPH10333902A (ja) * | 1997-05-27 | 1998-12-18 | N Ii C Joho Syst:Kk | 改ざん検知機能付きコンピュータシステム |
| JPH11316686A (ja) * | 1998-01-08 | 1999-11-16 | Lg Electronics Inc | コンピュ―タシステムのbiosデ―タ格納装置及びその駆動方法 |
| JP2000138917A (ja) * | 1998-05-29 | 2000-05-16 | Texas Instr Inc <Ti> | 安全計算システム及び方法 |
| JP2002244753A (ja) * | 2001-02-15 | 2002-08-30 | Ricoh Co Ltd | 光ディスク及びアプリケーションプログラムのインストール方法 |
| JP2003229284A (ja) * | 2002-01-31 | 2003-08-15 | Mitsubishi Electric Corp | 照明システム |
| JP2004013905A (ja) * | 2002-06-07 | 2004-01-15 | Microsoft Corp | セキュアなブートローダにおけるハッシングの使用 |
| JP2004139442A (ja) * | 2002-10-18 | 2004-05-13 | Toyota Motor Corp | 情報端末装置、情報端末装置の動作制御方法、特定情報記憶プログラム、特定情報記憶プログラムを格納する記憶媒体、所定情報変更プログラム、端末動作プログラム、端末動作プログラムを格納する記憶媒体、及びセンタ |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2013084079A (ja) * | 2011-10-07 | 2013-05-09 | Ricoh Co Ltd | 情報処理装置、正当性検証方法、正当性検証プログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| EP1669863A2 (en) | 2006-06-14 |
| KR20060064883A (ko) | 2006-06-14 |
| CN1786916A (zh) | 2006-06-14 |
| EP1669863A3 (en) | 2009-01-14 |
| US20060129791A1 (en) | 2006-06-15 |
| KR100654446B1 (ko) | 2006-12-06 |
| US7681024B2 (en) | 2010-03-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2006164273A (ja) | 保安ブート装置及び方法 | |
| JP4157595B2 (ja) | セキュア処理装置、方法、プログラム | |
| US7461268B2 (en) | E-fuses for storing security version data | |
| US7711944B2 (en) | Method and apparatus for securely updating and booting code image | |
| US8996933B2 (en) | Memory management method, controller, and storage system | |
| US7574576B2 (en) | Semiconductor device and method of controlling the same | |
| JP2010509662A (ja) | 外部不揮発性メモリに記憶された情報の暗号化のための方法およびシステム | |
| US20090024784A1 (en) | Method for writing data into storage on chip and system thereof | |
| JP2005227995A (ja) | 情報処理装置、および情報処理方法、並びにコンピュータ・プログラム | |
| CN109445705B (zh) | 固件认证方法及固态硬盘 | |
| JP4256859B2 (ja) | 半導体記憶装置 | |
| JP2009037467A (ja) | 起動制御方法及び起動制御プログラム並びに画像形成装置 | |
| CN110020561B (zh) | 半导体装置和操作半导体装置的方法 | |
| KR20050086782A (ko) | 컨텐츠 처리 칩, 장치 및 방법 | |
| JP2008040585A (ja) | マイクロコンピュータ | |
| JP7170999B2 (ja) | 機密データを保護することが可能な電子機器 | |
| CN114817935A (zh) | 一种芯片安全启动方法 | |
| JP2006053916A (ja) | 外部メモリに貯蔵されたデータの変更の有無をチェックする装置及び方法 | |
| JP2000181802A (ja) | 半導体記憶装置 | |
| JP4031693B2 (ja) | 不揮発性メモリおよびこれを有したデータ記憶装置 | |
| CN112703703B (zh) | 用于存储敏感信息和其它数据的闪存设备 | |
| US10387662B2 (en) | Flash memory device for storing sensitive information and other data | |
| JP2004272832A (ja) | プログラマブル論理回路及び該プログラマブル論理回路を備えるコンピュータシステム並びに論理回路情報の書き込み方法 | |
| JP2009080515A (ja) | セキュアなロードシーケンスを提供する方法および装置 | |
| CN113742784A (zh) | 应用加速验证映像文件方法的系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20071113 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20080213 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20080218 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080305 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080401 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20080701 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20080704 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080801 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20080930 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110307 |