KR101697274B1 - 하드웨어 보안 모듈, 하드웨어 보안 시스템, 및 하드웨어 보안 모듈의 동작 방법 - Google Patents

하드웨어 보안 모듈, 하드웨어 보안 시스템, 및 하드웨어 보안 모듈의 동작 방법 Download PDF

Info

Publication number
KR101697274B1
KR101697274B1 KR1020160105415A KR20160105415A KR101697274B1 KR 101697274 B1 KR101697274 B1 KR 101697274B1 KR 1020160105415 A KR1020160105415 A KR 1020160105415A KR 20160105415 A KR20160105415 A KR 20160105415A KR 101697274 B1 KR101697274 B1 KR 101697274B1
Authority
KR
South Korea
Prior art keywords
connection
external connection
security module
hardware security
connection device
Prior art date
Application number
KR1020160105415A
Other languages
English (en)
Other versions
KR20160102942A (ko
Inventor
남정봉
이승기
Original Assignee
코나아이 (주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 코나아이 (주) filed Critical 코나아이 (주)
Priority to KR1020160105415A priority Critical patent/KR101697274B1/ko
Publication of KR20160102942A publication Critical patent/KR20160102942A/ko
Application granted granted Critical
Publication of KR101697274B1 publication Critical patent/KR101697274B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

하드웨어 보안 모듈은 접속 포트, 제어 회로, 모니터링 회로 및 스위칭 회로를 포함한다. 접속 포트는 피연결 장치와 연결되는 연결부 및 외부 연결 장치와 연결되고, 제어회로는 외부 연결 장치가 접속 포트에 물리적으로 연결되는 것에 응답하여 외부 연결 장치의 클래스(class)에 기초하여 인증이 필요한지 여부를 결정하고, 인증이 필요한 경우에는 암호키에 기초하여 인증을 수행하며 제어 신호를 생성한다. 모니터링 회로는 외부 연결 장치와 접속 포트에의 연결 상태를 모니터링하여 제어 회로로 제공하며, 스위칭 회로는 제어 신호에 응답하여 스위칭 동작을 수행한다. 하드웨어 보안 모듈은 피연결 장치 및 외부 연결 장치와 물리적으로 분리 가능하며, 피연결 장치의 접속 포트 및 상기 외부 연결 장치의 접속 포트를 통한 물리적 연결을 통하여 피연결 장치 및 외부 연결 장치의 연결을 제어한다.

Description

하드웨어 보안 모듈, 하드웨어 보안 시스템, 및 하드웨어 보안 모듈의 동작 방법 {HARDWARE SECURE MODULE, HARDWARE SECURE SYSTEM, AND METHOD FOR OPERATING HARDWARE SECURE MODULE}
본 발명의 개념에 따른 실시 예는 하드웨어 보안 모듈, 하드웨어 보안 시스템 및 하드웨어 보안 모듈의 동작 방법에 관한 것으로, 특히 장치 클래스(class)에 기초하여 외부 연결 장치의 인증 수행 여부를 결정할 수 있는 하드웨어 보안 모듈, 하드웨어 보안 시스템 및 하드웨어 보안 모듈의 동작 방법에 관한 것이다.
USB(Universal Serial Bus) 메모리 장치와 같은 외부 저장 매체의 사용이 보편화되면서, 데이터의 소지 및 이동이 간편해지고 있다. 이에 따라, 기업의 기밀 자료나 고객의 개인 정보와 같은 보안이 요구되는 데이터의 유출 위험이 증대되고 있다.
기업은 이러한 데이터 유출을 방지하기 위하여 보안 소프트웨어를 주로 사용하고 있다. 하지만, 보안성에 있어서 보안 소프트웨어는 소프트웨어 특성상 극복하기 어려운 한계를 가진다.
본 발명이 이루고자하는 기술적인 과제는 장치 클래스(class)에 기초하여 외부 연결 장치의 인증 수행 여부를 결정할 수 있는 하드웨어 보안 모듈, 하드웨어 보안 시스템, 및 하드웨어 보안 모듈의 동작 방법을 제공하는 것이다.
본 발명의 실시 예에 따른 하드웨어 보안 모듈은 접속 포트, 제어회로, 모니터링 회로, 및 스위칭 회로를 포함한다. 상기 접속 포트는 피연결 장치와 연결되는 연결부 및 외부 연결 장치와 연결되고, 상기 제어 회로는 상기 외부 연결 장치가 상기 접속 포트에 물리적으로 연결되는 것에 응답하여 상기 외부 연결 장치의 클래스(class)에 기초하여 인증이 필요한지 여부를 결정하고, 인증이 필요한 경우에는 암호키에 기초하여 인증을 수행하며 제어 신호를 생성한다. 상기 모니터링 회로는 상기 외부 연결 장치와 상기 접속 포트에의 연결 상태를 모니터링하여 상기 제어 회로로 제공하며, 상기 스위칭 회로는 상기 제어 신호에 응답하여 스위칭 동작을 수행한다. 상기 하드웨어 보안 모듈은 상기 피연결 장치 및 상기 외부 연결 장치와 물리적으로 분리 가능하며, 상기 피연결 장치의 접속 포트 및 상기 외부 연결 장치의 접속 포트를 통한 물리적 연결을 통하여 상기 피연결 장치 및 상기 외부 연결 장치의 연결을 제어한다.
실시 예에 따라, 상기 하드웨어 보안 모듈은 제1 및 제2 연결 라인들을 더 포함할 수 있다. 상기 제1 연결 라인은 상기 제어 신호에 응답하여 상기 접속 포트와 연결된 외부 연결 장치와 제어 회로를 선택적으로 연결하고, 상기 제2 연결 라인은 상기 제어 신호에 응답하여 상기 연결부와 상기 접속 포트와 연결된 외부 연결 장치를 선택적으로 연결한다. 예를 들어, 상기 제1 연결 라인 및 상기 제2 연결 라인은 상기 제어 신호에 응답하여 상보적으로(complementary) 연결될 수 있다.
실시 예에 따라, 상기 제어 회로는 상기 제1 연결 라인이 연결된 상태로 상기 외부 연결 장치의 장치 클래스 정보를 수신하도록 상기 스위칭 회로를 제어할 수 있다.
실시 예에 따라, 상기 하드웨어 보안 모듈 및 상기 외부 연결 장치는, USB(Universal Serial Bus) 규격에 따른 장치일 수 있다.
실시 예에 따라, 상기 제어 회로는, 상기 외부 연결 장치의 상기 장치 클래스를 이용하여 상기 하드웨어 보안 모듈이 USB 허브(hub)와 스마트카드(smart card)를 인식하였을 경우, 상기 외부 연결 장치에 대해서 인증을 수행하도록 결정할 수 있다.
실시 예에 따라, 상기 제어 회로는, 상기 외부 연결 장치의 상기 장치 클래스를 이용하여 상기 하드웨어 보안 모듈이 HID(Human Interface Device)가 인식하였을 경우, 상기 외부 연결 장치에 대해서 인증을 수행하지 않고 상기 피연결 장치에 대한 연결을 허용할 수 있다.
실시 예에 따라, 상기 제어 회로는, 상기 외부 연결 장치의 상기 장치 클래스를 이용하여 상기 하드웨어 보안 모듈이 대용량 저장장치만 인식한 경우, 상기 외부 연결 장치에 대해서 인증을 수행하지 않고 상기 피연결 장치에 대한 연결을 차단할 수 있다.
본 발명의 실시 예에 따른 하드웨어 보안 시스템은 하드웨어 보안 모듈 및 마스터 키를 포함한다. 상기 하드웨어 보안 모듈은 피연결 장치 및 외부 연결 장치와 물리적으로 분리 가능하며, 상기 피연결 장치의 접속 포트와 연결되는 연결부 및 상기 외부 연결 장치의 접속 포트와 연결되는 접속 포트를 구비하여 상기 피연결 장치 및 상기 외부 연결 장치의 물리적 연결을 통하여 상기 피연결 장치 및 상기 외부 연결 장치의 연결을 제어한다. 상기 마스터 키는 상기 외부 연결 장치의 접속 포트와 상기 하드웨어 보안 모듈의 접속 포트 사이에 물리적으로 연결되며 내부에 비밀번호를 내장하여, 수신된 비밀번호와 상기 내장된 비밀번호의 일치 여부를 상기 하드웨어 보안 모듈에 전송한다. 상기 하드웨어 보안 모듈은, 상기 외부 연결 장치가 물리적으로 연결되는 것을 모니터링하여 상기 외부 연결 장치가 연결되면, 상기 외부 연결 장치의 클래스에 기초하여 인증이 필요한지 여부를 판단하여 인증 필요 여부 및 인증 결과에 따라 상기 피연결 장치와의 연결을 제어하되, 상기 마스터 키로부터 수신된 비밀번호의 일치 여부에 따라 상기 외부 연결 장치의 상기 장치 클래스와 무관하게 상기 연결을 제어한다.
실시 예에 따라, 상기 하드웨어 보안 모듈은, 상기 외부 연결 장치가 상기 접속 포트에 물리적으로 연결되는 것에 응답하여 상기 외부 연결 장치의 클래스(class)에 기초하여 인증이 필요한지 여부를 결정하고, 인증이 필요한 경우에는 암호키에 기초하여 인증을 수행하며 제어 신호를 생성하는 제어 회로, 상기 외부 연결 장치와 상기 접속 포트에의 연결 상태를 모니터링하여 상기 제어 회로로 제공하는 모니터링 회로, 상기 제어 신호에 응답하여 스위칭 동작을 수행하는 스위칭 회로, 상기 제어 신호에 응답하여 상기 접속 포트와 연결된 외부 연결 장치와 제어 회로를 선택적으로 연결하는 제1 연결 라인, 및 상기 제어 신호에 응답하여 상기 연결부와 상기 접속 포트와 연결된 외부 연결 장치를 선택적으로 연결하는 제2 연결 라인을 포함할 수 있다.
본 발명의 실시 예에 따른 하드웨어 보안 모듈의 동작 방법은, 하드웨어 보안 모듈이 외부 연결 장치 및 피연결 장치와 물리적으로 연결되면, 상기 하드웨어 보안 모듈이 상기 외부 연결 장치의 장치 클래스(class)에 기초하여 상기 외부 연결 장치의 인증이 필요한지 여부를 결정하는 단계, 인증이 필요하지 않은 경우 상기 하드웨어 보안 모듈은 상기 장치 클래스에 기초하여 상기 외부 연결 장치의 피연결 장치에 대한 연결을 제어하고, 인증이 필요한 경우 상기 하드웨어 보안 모듈이 상기 외부 연결 장치의 인증을 수행하는 단계, 및 수행된 인증 결과에 따라, 상기 하드웨어 보안 모듈이 상기 외부 연결 장치의 상기 피연결 장치에 대한 연결을 제어하는 단계를 포함한다. 여기서, 상기 하드웨어 보안 모듈은 상기 피연결 장치 및 외부 연결 장치와 물리적으로 분리 가능하며, 상기 피연결 장치의 접속 포트 및 상기 외부 연결 장치의 접속 포트를 통한 물리적 연결을 통하여 상기 피연결 장치 및 상기 외부 연결 장치의 연결을 제어한다.
실시 예에 따라, 상기 하드웨어 보안 모듈의 동작 방법은, 상기 하드웨어 보안 모듈과 상기 외부 연결 장치 사이에 물리적으로 연결되는 마스터 키를 통하여 비밀번호를 수신하는 단계, 상기 수신된 비밀번호와 상기 마스터 키에 내장된 비밀번호의 일치 여부를 상기 하드웨어 보안 모듈에 전송하는 단계, 및 상기 하드웨어 보안 모듈은 상기 외부 연결 장치의 상기 장치 클래스와 무관하게 상기 마스터 키로부터 수신된 비밀번호의 일치 여부에 따라 하드웨어 보안 모듈의 연결을 제어하는 단계를 더 포함할 수 있다.
실시 예에 따라, 상기 하드웨어 보안 모듈은 상기 피연결 장치의 접속 포트(port)에 연결되어 상기 외부 연결 장치의 연결을 제어할 수 있다.
실시 예에 따라, 상기 인증 수행 여부를 결정하는 단계는 상기 외부 연결 장치가 상기 하드웨어 보안 모듈에 연결됨에 따라 수행될 수 있다.
실시 예에 따라, 상기 하드웨어 보안 모듈 및 상기 외부 연결 장치는 USB(Universal Serial Bus) 규격에 따른 장치일 수 있다.
실시 예에 따라, 상기 인증 수행 여부를 결정하는 단계는 상기 외부 연결 장치의 상기 장치 클래스를 이용하여 USB 허브(hub)와 스마트카드(smart card)가 인식된 경우에 상기 외부 연결 장치에 대해서 인증을 수행하도록 결정할 수 있다.
실시 예에 따라, 상기 하드웨어 보안 모듈의 동작 방법은 상기 외부 연결 장치의 상기 장치 클래스를 이용하여 HID(Human Interface Device)가 인식된 경우, 상기 외부 연결 장치에 대해서 인증을 수행하지 않고 상기 피연결 장치에 대한 연결을 허용할 수 있다.
실시 예에 따라, 상기 하드웨어 보안 모듈의 동작 방법은 상기 외부 연결 장치의 상기 장치 클래스를 이용하여 대용량 저장장치만 인식된 경우, 상기 외부 연결 장치에 대해서 인증을 수행하지 않고 상기 피연결 장치에 대한 연결을 차단할 수 있다.
본 발명의 실시 예에 따른 하드웨어 보안 모듈, 하드웨어 보안 시스템, 및 하드웨어 보안 모듈의 동작 방법은 장치 클래스(class)에 기초하여 외부 연결 장치의 인증 수행 여부를 결정함으로써, 인증 대상 장치에 대해서만 효과적으로 인증 단계를 수행하여 연결을 제어할 수 있는 효과가 있다.
본 발명의 상세한 설명에서 인용되는 도면을 보다 충분히 이해하기 위하여 각 도면의 상세한 설명이 제공된다.
도 1은 본 발명의 일 실시 예에 따른 하드웨어 보안 시스템의 개념도이다.
도 2는 도 1에 도시된 하드웨어 보안 모듈의 일 실시 예에 따른 블락도이다.
도 3은 본 발명의 실시 예에 따른 하드웨어 보안 모듈의 동작 방법의 플로우차트이다.
도 4는 장치 클래스(class)의 일 실시 예를 나타낸 도면이다.
도 5는 본 발명의 다른 실시 예에 따른 하드웨어 보안 시스템의 개념도이다.
본 명세서에 개시되어 있는 본 발명의 개념에 따른 실시 예들에 대해서 특정한 구조적 또는 기능적 설명은 단지 본 발명의 개념에 따른 실시 예들을 설명하기 위한 목적으로 예시된 것으로서, 본 발명의 개념에 따른 실시 예들은 다양한 형태들로 실시될 수 있으며 본 명세서에 설명된 실시 예들에 한정되지 않는다.
본 발명의 개념에 따른 실시 예들은 다양한 변경들을 가할 수 있고 여러 가지 형태들을 가질 수 있으므로 실시 예들을 도면에 예시하고 본 명세서에서 상세하게 설명하고자 한다. 그러나, 이는 본 발명의 개념에 따른 실시 예들을 특정한 개시 형태들에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물, 또는 대체물을 포함한다.
제1 또는 제2 등의 용어는 다양한 구성 요소들을 설명하는데 사용될 수 있지만, 상기 구성 요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성 요소를 다른 구성 요소로부터 구별하는 목적으로만, 예컨대 본 발명의 개념에 따른 권리 범위로부터 벗어나지 않은 채, 제1구성 요소는 제2구성 요소로 명명될 수 있고 유사하게 제2구성 요소는 제1구성 요소로도 명명될 수 있다.
어떤 구성 요소가 다른 구성 요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성 요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성 요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성 요소가 다른 구성 요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는 중간에 다른 구성 요소가 존재하지 않는 것으로 이해되어야 할 것이다. 구성 요소들 간의 관계를 설명하는 다른 표현들, 즉 "~사이에"와 "바로 ~사이에" 또는 "~에 이웃하는"과 "~에 직접 이웃하는" 등도 마찬가지로 해석되어야 한다.
본 명세서에서 사용한 용어는 단지 특정한 실시 예를 설명하기 위해 사용된 것으로서, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 명세서에서, "포함하다" 또는 "가지다" 등의 용어는 본 명세서에 기재된 특징, 숫자, 단계, 동작, 구성 요소, 부분품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성 요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 나타낸다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 갖는 것으로 해석되어야 하며, 본 명세서에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
도 1은 본 발명의 일 실시 예에 따른 하드웨어 보안 시스템의 개념도이다.
도 1을 참조하면, 하드웨어 보안 시스템(10)은 피연결 장치(100), 하드웨어 보안 모듈(200), 및 외부 연결 장치(300-1 내지 300-3)를 포함할 수 있다.
피연결 장치(100)는 PC(Personal Computer), 태블릿(tablet) PC 등의 외부 연결 장치를 연결할 수 있는 기기를 폭넓게 의미할 수 있으며, 피연결 장치(100)의 형태에 의해서 본 발명의 기술적 범위가 제한 해석 되어서는 안 된다.
하드웨어 보안 모듈(200)은 외부 연결 장치(300-1 내지 300-3)가 피연결 장치(100)에 연결되는 것을 제어할 수 있다.
하드웨어 보안 모듈(200)의 연결부(202)는 피연결 장치(100)의 접속 포트(102)에 물리적으로 연결될 수 있다.
실시 예에 따라, 하드웨어 보안 모듈(200)의 연결부(202)는 피연결 장치(100)의 접속 포트(102)와 물리적 또는 화학적 방법을 통하여 분리되지 않도록 연결될 수 있다.
외부 연결 장치(300-1 내지 300-3)는 피연결 장치(100)에 연결시키고자 하는 장치를 폭 넓게 의미할 수 있다. 도 1에서는 설명의 편의를 위하여 세 가지 형태의 외부 연결 장치(300-1 내지 300-3) 만을 도시하고 있으나, 이에 의해 본 발명의 기술적 범위가 제한 해석 되어서는 안 된다.
외부 연결 장치(300-1 내지 300-3)는 하드웨어 보안 모듈(200)의 접속 포트(204)에 물리적으로 연결될 수 있다.
외부 연결 장치(300-1 내지 300-3)는 하드웨어 보안 모듈(200)의 연결 제어 동작에 따라, 하드웨어 보안 모듈(200)을 통하여 피연결 장치(100)와 연결될 수 있다.
제1외부 연결 장치(300-1)는 휴면 인터페이스 장치(Human Interface Device(HID))의 일 예로써 키보드로 구현될 수 있다.
제2외부 연결 장치(300-2)는 스마트 카드를 포함하지 않는 단순한 메모리 장치로 구현될 수 있다.
제3외부 연결 장치(300-3)는 허브(hub; 302), 메모리(memory; 304), 및 스마트카드(smart card; 306)를 포함하는 메모리 장치로 구현될 수 있다. 이 경우, 스마트카드(306)는 보안 인증을 위한 암호키 등을 저장할 수 있다.
하드웨어 보안 모듈(200)은 외부 연결 장치(300-1 내지 300-3)의 종류에 따라, 서로 다른 방식으로 연결 제어를 할 수 있다.
하드웨어 보안 모듈(200)의 구조 및 동작에 대해서는 도 2 내지 도 4를 참조하여 상세히 설명된다.
도 2는 도 1에 도시된 하드웨어 보안 모듈의 일 실시 예에 따른 블락도이다. 도 3은 본 발명의 실시 예에 따른 하드웨어 보안 모듈의 동작 방법의 플로우차트이다. 도 4는 장치 클래스(class)의 일 실시 예를 나타낸 도면이다.
도 1 내지 도 4를 참조하면, 하드웨어 보안 모듈(200)은 연결부(202), 접속 포트(204), 스위칭 회로(switching circuit; 210), 제어 회로(control circuit; 220), 모니터링 회로(monitoring circuit; 230), 및 연결 라인들(L1 및 L2)을 포함할 수 있다.
연결 부(202)는 피연결 장치(100)의 접속 포트(102)와 연결되며, 접속 포트(204)는 외부 연결 장치(300-1 내지 300-3)를 연결시킬 수 있다.
스위칭 회로(210)는 제어 회로(220)의 제어에 따라 제1연결 라인(L1)과 제2연결 라인(L2) 사이에서 스위치를 스위칭할 수 있다.
제어 회로(220)는 외부 연결 장치(300-1 내지 300-3)의 장치 클래스(class)에 기초하여 스위칭 회로(210)를 제어할 수 있다.
본 명세서에서 '장치 클래스'는 장치의 종류를 나타내는 정보를 폭 넓게 의미할 수 있다.
실시 예에 따라, 제어 회로(220)는 외부 연결 장치(300-1 내지 300-3)의 인터페이스 클래스 ID, 서브 클래스 ID, 제조사(vendor) ID, 제품(product) ID 중에서 적어도 어느 하나를 이용하여 스위칭 회로(210)를 제어할 수 있다.
모니터링 회로(230)는 외부 연결 장치(300-1 내지 300-3)의 연결 상태를 모니터링할 수 있으며, 모니터링 결과를 제어 회로(220)로 전송할 수 있다.
이 경우, 제어 회로(220)는 모니터링 회로(230)의 모니터링 결과에 따라 스위칭 회로(210)를 제어할 수 있다.
좀 더 구체적으로, 도 2와 도 3을 참조하면, 하드웨어 보안 모듈(200)의 제어 회로(220)는 외부 연결 장치(300-1 내지 300-3)의 장치 클래스에 기초하여 외부 연결 장치(300-1 내지 300-3)의 인증 수행이 필요한지 여부, 즉 인증 수행 여부를 결정할 수 있다(S10).
실시 예에 따라, 최초에 스위칭 회로(210)의 스위치는 제1연결 라인(L1)과 연결되며, 제어 회로(220)는 외부 연결 장치(300-1 내지 300-3)로부터 제1연결 라인(L1)을 통하여 외부 연결 장치(300-1 내지 300-3)의 장치 클래스 정보가 담긴 데이터를 수신할 수 있다.
실시 예에 따라, 제어 회로(220)는 외부 연결 장치(300-1 내지 300-3)가 하드웨어 보안 모듈(200)의 접속 포트(204)에 연결됨에 따라 인증 수행 여부를 결정할 수 있다.
실시 예에 따라, 외부 연결 장치(300-1 내지 300-3)는 USB(Universal Serial Bus) 규격에 따른 장치일 수 있다. 이 경우, 장치 클래스는 도 4와 같이 분류될 수 있다.
실시 예에 따라, 제어 회로(220)는 장치 클래스 정보로 '09h'와 '0Bh'가 함께 인식되는 경우, 즉 USB 허브(hub)와 스마트카드(smart card)가 함께 인식된 경우를 인증 수행이 필요한 경우로 판단할 수 있다.
예컨대, 도 1과 도 4를 참조하면, 제1외부 연결 장치(300-1)의 장치 클래스는 '03h' 즉, 휴먼 인터페이스 장치(HID)로 인식되므로 인증 수행이 필요하지 않은 경우로 판단할 수 있다.
또한, 제2외부 연결 장치(300-2)의 장치 클래스는 '08h' 즉, 대용량 저장소로 인식되므로 인증 수행이 필요하지 않은 경우로 판단할 수 있다.
하지만, 제3외부 연결 장치(300-3)의 장치 클래스는 '09h'와 '0Bh'가 함께 인식되므로 인증 수행이 필요한 경우로 판단할 수 있다. 즉, 제3외부 연결 장치(300-3)는 보안 인증을 수행할 수 있고, 보안 인증의 대상이 되는 메모리 장치에 해당할 수 있다.
본 명세서에서는 장치 클래스 정보를 통하여 USB 허브와 스마트카드가 함께 인식된 경우를 인증 수행이 필요한 경우로 판단하는 예를 설명하고 있으나, 본 발명의 기술적 범위가 이에 한정되는 것은 아니다. 예컨대, 장치 클래스로 'EFh' , 'FEh', 또는 'FFh'가 인식된 경우를 인증 수행이 필요한 경우로 판단할 수도 있다.
실시 예에 따라, 외부 연결 장치의 인터페이스 클래스 ID, 서브 클래스 ID, 제조사(vendor) ID, 제품(product) ID 중에서 적어도 어느 하나를 이용하여 인증 수행이 필요한지 여부를 판단할 수 있다.
S10 단계에서의 제어 회로(220)의 판단 결과에 따라, 인증 수행이 필요한 경우, 제어 회로(220)는 외부 연결 장치(예컨대, 300-3)에 대한 인증을 수행할 수 있다(S12).
실시 예에 따라, 제어 회로(220)는 외부 연결 장치(예컨대, 300-3)와 인증을 수행할 수 있다. 이 경우, 인증은 하드웨어 보안 모듈(200)의 암호키와 외부 연결 장치(예컨대, 300-3)의 스마트카드(306)에 저장된 암호키를 이용하여 수행될 수 있다.
실시 예에 따라, 하드웨어 보안 모듈(200)은 암호키를 저장하기 위한 별도의 메모리를 더 포함할 수도 있다.
제어 회로(220)는 S12 단계에서의 인증 수행 결과, 외부 연결 장치(예컨대, 300-3)가 정상적으로 인증되었는지 여부를 판단할 수 있다(S14).
제어 회로(220)는 외부 연결 장치(예컨대, 300-3)가 정상적으로 인증되지 않은 경우 외부 연결 장치(예컨대, 300-3)의 연결을 차단하고(S20), 외부 연결 장치(예컨대, 300-3)가 정상적으로 인증된 경우 외부 연결 장치(예컨대, 300-3)의 연결을 허용할 수 있다(S16).
실시 예에 따라, 제어 회로(220)는 외부 연결 장치(예컨대, 300-3)가 정상적으로 인증되지 않은 경우, 연결을 차단할 수도 있다.
제어 회로(220)는 외부 연결 장치(예컨대, 300-3)의 연결을 허용하도록 스위칭 회로(210)를 제어하기 위한 제어 신호를 스위칭 회로(210)로 전송할 수 있다. 이 경우, 스위칭 회로(210)는 제어 회로(220)로부터 전송된 제어 신호에 따라 외부 연결 장치(예컨대, 300-3)를 제2연결 라인(L2)을 통하여 피연결 장치(100)로 연결시킬 수 있다.
S10 단계에서의 제어 회로(220)의 판단 결과에 따라 인증 수행이 필요 없는 경우, 제어 회로(220)는 외부 연결 장치(예컨대, 300-1, 300-2)의 장치 클래스에 기초하여 외부 연결 장치(예컨대, 300-1, 300-2)가 연결 허용 대상 장치인지 여부를 판단할 수 있다(S18).
실시 예에 따라, 제어 회로(220)는 장치 클래스 정보로 '09h'와 '0Bh' 중에서 어느 하나라도 인식되지 않는 경우를 인증 수행이 필요 없는 경우로 판단할 수 있다.
실시 예에 따라, 제어 회로(220)는 장치 클래스 정보로 '03h'가 인식되는 경우, 즉 휴먼 인터페이스 장치(HID)가 인식되는 장치를 연결 허용 대상 장치로 판단할 수 있다.
S18 단계에서의 제어 회로(220)의 판단 결과에 따라, 외부 연결 장치(예컨대, 300-1)가 연결 허용 대상 장치인 경우, 제어 회로(220)는 외부 연결 장치(예컨대, 300-1)의 연결을 허용하도록 스위칭 회로(210)를 제어하기 위한 제어 신호를 스위칭 회로(210)로 전송할 수 있다. 이 경우, 스위칭 회로(210)는 제어 회로(220)로부터 전송된 제어 신호에 따라 외부 연결 장치(예컨대, 300-1)를 제2연결 라인(L2)을 통하여 피연결 장치(100)로 연결시킬 수 있다.
S18 단계에서의 제어 회로(220)의 판단 결과에 따라, 외부 연결 장치(예컨대, 300-2)가 연결 허용 대상 장치가 아닌 경우, 제어 회로(220)는 외부 연결 장치(예컨대, 300-2)의 연결을 차단하도록 스위칭 회로(210)를 제어하기 위한 제어 신호를 스위칭 회로(210)로 전송할 수 있다. 이 경우, 스위칭 회로(210)는 제어 회로(220)로부터 전송된 제어 신호에 따라 외부 연결 장치(예컨대, 300-2)를 제1연결 라인(L1)으로 연결을 유지할 수 있다.
모니터링 회로(230)는 외부 연결 장치(예컨대, 300-1 또는 300-3)의 연결 유지 상태를 모니터링하고, 모니터링 결과를 제어 회로(220)로 전송할 수 있다(S22). 예컨대, 모니터링 회로(230)는 외부 연결 장치(예컨대, 300-1 또는 300-3)의 신호 라인(미도시) 또는 전원 라인(미도시)의 연결 유지 상태의 변화를 모니터링할 수 있다.
외부 연결 장치(예컨대, 300-1 또는 300-3)의 연결이 유지되지 않는 경우, 제어 회로(220)는 연결을 차단할 수 있다(S20). 이 경우, 스위칭 회로(210)는 제어 회로(220)의 제어에 따라 스위치를 제1연결 라인(L1)으로 스위칭할 수 있다.
외부 연결 장치(예컨대, 300-1 또는 300-3)의 연결이 유지되는 경우, 제어 회로(220)는 연결 상태를 유지할 수 있다(S16). 이 경우, 스위칭 회로(210)는 제어 회로(220)의 제어에 따라 스위치가 제2연결 라인(L2)으로 연결되도록 유지시킬 수 있다.
도 5는 본 발명의 다른 실시 예에 따른 하드웨어 보안 시스템의 개념도이다.
도 1과 도 5를 참조하면, 본 발명의 다른 실시 예에 따른 하드웨어 보안 시스템(10')은 마스터 키(master key; 250)를 더 포함하는 점을 제외하면 도 1의 하드웨어 보안 시스템(10)과 실질적으로 동일하다.
마스터 키(250)는 하드웨어 보안 모듈(200)과 외부 연결 장치(300-1 내지 300-3) 사이에 연결될 수 있다. 즉, 마스터 키(250)의 연결부(252)는 하드웨어 보안 모듈(200)의 접속 포트(204)에 연결되고, 마스터 키(254)의 접속 포트(204)에 외부 연결 장치(300-1 내지 300-3)가 연결될 수 있다.
사용자는 하드웨어 보안 모듈(200)에 마스터 키(250)를 연결시킨 뒤, 마스터 키(250)의 외부 인터페이스를 통하여 비밀 번호를 입력할 수 있다. 입력된 비밀 번호가 마스터 키(250)의 내부에 내장된 비밀 번호와 일치하는 경우, 마스터 키(250)에 연결되는 모든 종류의 외부 연결 장치(300-1 내지 300-3)는 피연결 장치(100)로 연결될 수 있다.
즉, 마스터 키(250)를 통하여 입력된 비밀 번호가 마스터 키(250)의 내부에 내장된 비밀 번호와 일치하는 경우, 장치 클래스와 무관하게 하드웨어 보안 모듈(200)의 스위칭 회로(210)는 제어 회로(220)의 제어에 따라 스위치를 제2연결 라인(L2)으로 스위칭할 수 있다.
본 발명은 도면에 도시된 일 실시 예를 참고로 설명되었으나 이는 예시적인 것에 불과하며, 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시 예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호 범위는 첨부된 등록청구범위의 기술적 사상에 의해 정해져야 할 것이다.
10, 10' : 하드웨어 보안 시스템
100 : 피연결 장치
200 : 하드웨어 보안 모듈
250 : 마스터 키
300-1 ~ 300-3 : 외부 연결 장치

Claims (12)

  1. 피연결 장치와 연결되는 연결부 및 외부 연결 장치와 연결되는 접속 포트;
    상기 외부 연결 장치가 상기 접속 포트에 물리적으로 연결되는 것에 응답하여 상기 외부 연결 장치의 클래스(class)에 기초하여 인증이 필요한지 여부를 결정하고, 인증이 필요한 경우에는 암호키에 기초하여 인증을 수행하며 제어 신호를 생성하는 제어 회로;
    상기 외부 연결 장치와 상기 접속 포트에의 연결 상태를 모니터링하여 상기 제어 회로로 제공하는 모니터링 회로; 및
    상기 제어 신호에 응답하여 스위칭 동작을 수행하는 스위칭 회로를 포함하며,
    상기 피연결 장치 및 상기 외부 연결 장치와 물리적으로 분리 가능하며, 상기 피연결 장치의 접속 포트 및 상기 외부 연결 장치의 접속 포트를 통한 물리적 연결을 통하여 상기 피연결 장치 및 상기 외부 연결 장치의 연결을 제어하는 하드웨어 보안 모듈.
  2. 제 1항에 있어서,
    상기 제어 신호에 응답하여 상기 접속 포트와 연결된 외부 연결 장치와 제어 회로를 선택적으로 연결하는 제1 연결 라인; 및
    상기 제어 신호에 응답하여 상기 연결부와 상기 접속 포트와 연결된 외부 연결 장치를 선택적으로 연결하는 제2 연결 라인을 더 포함하는 하드웨어 보안 모듈.
  3. 제 2항에 있어서,
    상기 제1 연결 라인 및 상기 제2 연결 라인은 상기 제어 신호에 응답하여 상보적으로(complementary) 연결되는 하드웨어 보안 모듈.
  4. 제 2항에 있어서,
    상기 제어 회로는 상기 제1 연결 라인이 연결된 상태로 상기 외부 연결 장치의 장치 클래스 정보를 수신하도록 상기 스위칭 회로를 제어하는 하드웨어 보안 모듈.
  5. 제 2항에 있어서,
    상기 하드웨어 보안 모듈 및 상기 외부 연결 장치는,
    USB(Universal Serial Bus) 규격에 따른 장치인 하드웨어 보안 모듈.
  6. 제 2항에 있어서,
    상기 제어 회로는,
    상기 외부 연결 장치의 장치 클래스를 이용하여 상기 하드웨어 보안 모듈이 USB 허브(hub)와 스마트카드(smart card)를 인식하였을 경우, 상기 외부 연결 장치에 대해서 인증을 수행하도록 결정하는 하드웨어 보안 모듈.
  7. 제 2항에 있어서,
    상기 제어 회로는,
    상기 외부 연결 장치의 장치 클래스를 이용하여 상기 하드웨어 보안 모듈이 HID(Human Interface Device)가 인식하였을 경우, 상기 외부 연결 장치에 대해서 인증을 수행하지 않고 상기 피연결 장치에 대한 연결을 허용하는 하드웨어 보안 모듈.
  8. 제 2항에 있어서,
    상기 제어 회로는,
    상기 외부 연결 장치의 장치 클래스를 이용하여 상기 하드웨어 보안 모듈이 대용량 저장장치만 인식한 경우, 상기 외부 연결 장치에 대해서 인증을 수행하지 않고 상기 피연결 장치에 대한 연결을 차단하는 하드웨어 보안 모듈.
  9. 피연결 장치 및 외부 연결 장치와 물리적으로 분리 가능하며, 상기 피연결 장치의 접속 포트와 연결되는 연결부 및 상기 외부 연결 장치의 접속 포트와 연결되는 접속 포트를 구비하여 상기 피연결 장치 및 상기 외부 연결 장치의 물리적 연결을 통하여 상기 피연결 장치 및 상기 외부 연결 장치의 연결을 제어하는 하드웨어 보안 모듈; 및
    상기 외부 연결 장치의 접속 포트와 상기 하드웨어 보안 모듈의 접속 포트 사이에 물리적으로 연결되며 내부에 비밀번호를 내장하여, 수신된 비밀번호와 상기 내장된 비밀번호의 일치 여부를 상기 하드웨어 보안 모듈에 전송하는 마스터 키를 포함하며,
    상기 하드웨어 보안 모듈은, 상기 외부 연결 장치가 물리적으로 연결되는 것을 모니터링하여 상기 외부 연결 장치가 연결되면, 상기 외부 연결 장치의 클래스에 기초하여 인증이 필요한지 여부를 판단하여 인증 필요 여부 및 인증 결과에 따라 상기 피연결 장치와의 연결을 제어하되,
    상기 마스터 키로부터 수신된 비밀번호의 일치 여부에 따라 상기 외부 연결 장치의 장치 클래스와 무관하게 상기 연결을 제어하는 하드웨어 보안 시스템.
  10. 제 9항에 있어서,
    상기 하드웨어 보안 모듈은,
    상기 외부 연결 장치가 상기 접속 포트에 물리적으로 연결되는 것에 응답하여 상기 외부 연결 장치의 클래스(class)에 기초하여 인증이 필요한지 여부를 결정하고, 인증이 필요한 경우에는 암호키에 기초하여 인증을 수행하며 제어 신호를 생성하는 제어 회로;
    상기 외부 연결 장치와 상기 접속 포트에의 연결 상태를 모니터링하여 상기 제어 회로로 제공하는 모니터링 회로;
    상기 제어 신호에 응답하여 스위칭 동작을 수행하는 스위칭 회로;
    상기 제어 신호에 응답하여 상기 접속 포트와 연결된 외부 연결 장치와 제어 회로를 선택적으로 연결하는 제1 연결 라인; 및
    상기 제어 신호에 응답하여 상기 연결부와 상기 접속 포트와 연결된 외부 연결 장치를 선택적으로 연결하는 제2 연결 라인을 포함하는 것을 특징으로 하는 하드웨어 보안 시스템.
  11. 하드웨어 보안 모듈이 외부 연결 장치 및 피연결 장치와 물리적으로 연결되면, 상기 하드웨어 보안 모듈이 상기 외부 연결 장치의 장치 클래스(class)에 기초하여 상기 외부 연결 장치의 인증이 필요한지 여부를 결정하는 단계;
    인증이 필요하지 않은 경우 상기 하드웨어 보안 모듈은 상기 장치 클래스에 기초하여 상기 외부 연결 장치의 피연결 장치에 대한 연결을 제어하고, 인증이 필요한 경우 상기 하드웨어 보안 모듈이 상기 외부 연결 장치의 인증을 수행하는 단계; 및
    수행된 인증 결과에 따라, 상기 하드웨어 보안 모듈이 상기 외부 연결 장치의 상기 피연결 장치에 대한 연결을 제어하는 단계를 포함하며
    상기 하드웨어 보안 모듈은 상기 피연결 장치 및 외부 연결 장치와 물리적으로 분리 가능하며, 상기 피연결 장치의 접속 포트 및 상기 외부 연결 장치의 접속 포트를 통한 물리적 연결을 통하여 상기 피연결 장치 및 상기 외부 연결 장치의 연결을 제어하는 하드웨어 보안 모듈의 동작 방법.
  12. 제 11항에 있어서,
    상기 하드웨어 보안 모듈의 동작 방법은,
    상기 하드웨어 보안 모듈과 상기 외부 연결 장치 사이에 물리적으로 연결되는 마스터 키를 통하여 비밀번호를 수신하는 단계;
    상기 수신된 비밀번호와 상기 마스터 키에 내장된 비밀번호의 일치 여부를 상기 하드웨어 보안 모듈에 전송하는 단계; 및
    상기 하드웨어 보안 모듈은 상기 외부 연결 장치의 상기 장치 클래스와 무관하게 상기 마스터 키로부터 수신된 비밀번호의 일치 여부에 따라 하드웨어 보안 모듈의 연결을 제어하는 단계를 더 포함하는 것을 특징으로 하는 하드웨어 보안 모듈의 동작 방법.
KR1020160105415A 2016-08-19 2016-08-19 하드웨어 보안 모듈, 하드웨어 보안 시스템, 및 하드웨어 보안 모듈의 동작 방법 KR101697274B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160105415A KR101697274B1 (ko) 2016-08-19 2016-08-19 하드웨어 보안 모듈, 하드웨어 보안 시스템, 및 하드웨어 보안 모듈의 동작 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160105415A KR101697274B1 (ko) 2016-08-19 2016-08-19 하드웨어 보안 모듈, 하드웨어 보안 시스템, 및 하드웨어 보안 모듈의 동작 방법

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
KR1020140193118A Division KR20160080612A (ko) 2014-12-30 2014-12-30 하드웨어 보안 모듈의 동작 방법

Publications (2)

Publication Number Publication Date
KR20160102942A KR20160102942A (ko) 2016-08-31
KR101697274B1 true KR101697274B1 (ko) 2017-02-01

Family

ID=56877446

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160105415A KR101697274B1 (ko) 2016-08-19 2016-08-19 하드웨어 보안 모듈, 하드웨어 보안 시스템, 및 하드웨어 보안 모듈의 동작 방법

Country Status (1)

Country Link
KR (1) KR101697274B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11347671B2 (en) 2020-07-16 2022-05-31 Kyndryl, Inc. Protecting a system from attack via a device attached to a USB port

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018212370A1 (ko) * 2017-05-17 2018-11-22 (주)아이테오솔루션즈 Usb장치의 접속을 선택적으로 허용하는 usb포트 보안장치 및 이를 이용한 바이오스 접근 제한 방법

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7295119B2 (en) * 2003-01-22 2007-11-13 Wireless Valley Communications, Inc. System and method for indicating the presence or physical location of persons or devices in a site specific representation of a physical environment
KR100884271B1 (ko) * 2007-06-25 2009-02-18 이상묵 무선단말기를 이용한 원격 스토리지 서비스 시스템 및서비스 방법
US8583781B2 (en) * 2009-01-28 2013-11-12 Headwater Partners I Llc Simplified service network architecture
IN2013DE00589A (ko) * 2013-02-28 2015-06-26 Samsung India Electronics Pvt Ltd

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11347671B2 (en) 2020-07-16 2022-05-31 Kyndryl, Inc. Protecting a system from attack via a device attached to a USB port

Also Published As

Publication number Publication date
KR20160102942A (ko) 2016-08-31

Similar Documents

Publication Publication Date Title
US20210192090A1 (en) Secure data storage device with security function implemented in a data security bridge
US10893042B2 (en) Wi-Fi enabled credential enrollment reader and credential management system for access control
CN103220145B (zh) 电子签名令牌响应操作请求的方法、系统及电子签名令牌
JP5107915B2 (ja) 複数の電子デバイス及び1つの保全モジュールを備えるシステム
US8700908B2 (en) System and method for managing secure information within a hybrid portable computing device
KR20090094240A (ko) 외부 저장 기기의 인증 방법, 장치 및 시스템
KR101385929B1 (ko) 멀티 커넥터 지문인식 인증 저장장치
CN104969180A (zh) 与来自主机中央处理单元和操作系统的干扰和控制隔离的用户授权和存在检测
US20180107844A1 (en) Disabling counterfeit cartridges
US20110016310A1 (en) Secure serial interface with trusted platform module
KR101697274B1 (ko) 하드웨어 보안 모듈, 하드웨어 보안 시스템, 및 하드웨어 보안 모듈의 동작 방법
CN101322134B (zh) 可升级的安全模块
CN103824014A (zh) 一种局域网内的usb端口设备的隔离认证及监控方法
KR102192330B1 (ko) 보안단말기를 이용한 저장장치의 데이터 보안 관리 시스템 및 방법
WO2020055419A1 (en) Secure connection
CN115525876A (zh) 用于智能面板的控制方法及装置、智能面板
JP2020529722A (ja) ドライバへの補助負荷の接続又は切断を検出するための方法及び装置
KR101883724B1 (ko) Usb 보안 데이터 분산 저장 장치
KR20160080612A (ko) 하드웨어 보안 모듈의 동작 방법
KR101923349B1 (ko) 사물 인터넷 시스템을 위한 게이트웨이 장치
JP6138224B1 (ja) インターフェースのセキュリティ・システム、周辺機器の接続方法、電子機器、およびコンピュータ・プログラム
US20220182247A1 (en) Secure medium intrusion prevention
CN110581832A (zh) 接口数据传输方法及其电子设备
US20190311110A1 (en) Method, first device and system for authenticating to a second device
KR101410488B1 (ko) 외장 메모리용 보안 젠더 및 이를 이용한 외장 메모리 관리 방법

Legal Events

Date Code Title Description
A107 Divisional application of patent
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant