KR100955347B1 - Apparatus and method for information management of terminal - Google Patents

Apparatus and method for information management of terminal Download PDF

Info

Publication number
KR100955347B1
KR100955347B1 KR1020070116430A KR20070116430A KR100955347B1 KR 100955347 B1 KR100955347 B1 KR 100955347B1 KR 1020070116430 A KR1020070116430 A KR 1020070116430A KR 20070116430 A KR20070116430 A KR 20070116430A KR 100955347 B1 KR100955347 B1 KR 100955347B1
Authority
KR
South Korea
Prior art keywords
key
information
terminal
backup
stored
Prior art date
Application number
KR1020070116430A
Other languages
Korean (ko)
Other versions
KR20090050152A (en
Inventor
한진희
전성익
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020070116430A priority Critical patent/KR100955347B1/en
Publication of KR20090050152A publication Critical patent/KR20090050152A/en
Application granted granted Critical
Publication of KR100955347B1 publication Critical patent/KR100955347B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 단말기의 정보 관리 장치 및 그 방법에 관한 것이다.The present invention relates to an information management apparatus of a terminal and a method thereof.

본 발명에서는, 단말기에 저장된 정보를 보안할 수 있는 적어도 하나의 키(Key) 및 데이터를 정보 저장소에 저장한다. 그리고, 사용자의 요청 사항이나, 단말기의 변경, 분실 및 고장 등에 대비하기 위해, 정보 저장소에 저장된 키 및 데이터를 단말기에 탈부착 되는 백업 장치 중 하나인 범용 가입자 식별 모듈(USIM)로 이동 저장시킨다. 이후, 사용자의 요청 사항에 따라, 백업 장치로 이동 저장시킨 키 또는 데이터를 소정의 인증 절차를 거쳐 백업 장치로부터 제공 받는다. 그리고, 제공 받은 키 또는 데이터를 정보 저장소에 저장한다. In the present invention, at least one key and data capable of securing the information stored in the terminal are stored in the information store. In order to prepare for a user's request, change, loss, and failure of the terminal, the key and data stored in the information storage are moved and stored to the universal subscriber identity module (USIM), which is one of the backup devices detachable from the terminal. Thereafter, according to the request of the user, the key or data moved to and stored in the backup device is provided from the backup device through a predetermined authentication procedure. Then, the provided key or data is stored in the information store.

이를 통해, 단말기 사용자 및 관계자에게 보다 안전하고 편리한 정보 관리 서비스를 제공한다. Through this, it provides a safer and more convenient information management service to terminal users and related parties.

신뢰 보안 플랫폼 모듈(TPM), 범용 가입자 식별 모듈(USIM), 키, 정보 보안 Trusted Security Platform Module (TPM), Universal Subscriber Identity Module (USIM), Keys, Information Security

Description

단말기의 정보 관리 장치 및 그 방법{APPARATUS AND METHOD FOR INFORMATION MANAGEMENT OF TERMINAL}Device for managing information of terminal and its method {APPARATUS AND METHOD FOR INFORMATION MANAGEMENT OF TERMINAL}

본 발명은 단말기의 정보 관리 장치 및 그 방법에 관한 것으로서, 보다 상세하게는 범용 가입자 식별 모듈을 이용하여 단말기의 정보를 관리하는 장치 및 그 방법에 관한 것이다. The present invention relates to an information management apparatus of a terminal and a method thereof, and more particularly, to an apparatus and method for managing information of a terminal using a universal subscriber identity module.

본 발명은 정보통신부 및 정보통신연구진흥원의 IT성장동력기술개발사업의 일환으로 수행한 연구로부터 도출된 것이다[과제관리번호: 2006-S-041-02, 과제명: 차세대 모바일 단말기의 보안 및 신뢰 서비스를 위한 공통 보안 핵심 모듈 개발].The present invention is derived from the research conducted as part of the IT growth engine technology development project of the Ministry of Information and Communication and the Ministry of Information and Telecommunication Research and Development. [Task Management Number: 2006-S-041-02, Title: Security and Reliability of Next Generation Mobile Terminals] Develop common security core modules for services.

최근 들어, 컴퓨터 시스템을 포함한 각종 단말기 등에 대한 보안 위협이 급증하면서, 그 해결 방안을 다양한 각도에서 검색 및 개발하고 있다. 이중, 소프트웨어적인 보안 방식이 대다수를 이루는데, 이는 그 특성상 여러 문제점들이 발견되고 있다.In recent years, as security threats to various terminals including computer systems have rapidly increased, solutions for them have been searched and developed from various angles. Among them, the software security method is the majority, which is characterized by a number of problems.

실제로 소프트웨어적인 보안 방식은 예를 들어, 사용자가 자신이 가지고 있던 데이터 저장소를 분실하게 되면, 분실된 저장소에 저장되어 있던 개인적인 데이터는 고스란히 유출된다. 또한, 기존의 보안 방식은 암호화 키가 쉽게 외부에 노출 될 수 있기 때문에, 해킹의 위협시 아무런 보호 기능을 하지 못한다. In fact, software security means that if a user loses his or her data store, for example, personal data stored in the lost store is completely leaked out. In addition, the existing security method does not provide any protection against the threat of hacking because the encryption key can be easily exposed to the outside.

이로 인해, 각종 문제점들을 해결하기 위한 방안으로서 하드웨어를 사용한 보안 방식이 제안되고 있다. 그 중 하나가 바로 TCG(Trusted Computing Group, 이하 'TCG'라 함)의 TPM(Trusted Platform Module : 신뢰할 수 있는 플랫폼 모듈, 이하 'TPM' 또는 '정보 보안 칩' 또는 '신뢰 보안 플랫폼 모듈'이라 함) 칩이다.For this reason, a security method using hardware has been proposed as a solution for solving various problems. One of them is called Trusted Platform Module (TCM) of Trusted Computing Group (TCG) (Trusted Platform Module, `` TPM '' or `` Information Security Chip '' or `` Trusted Security Platform Module ''). ) Chip.

구체적으로, TPM 칩은 CPU 프로세서와는 달리 단순히 키 값이나 패스워드, 디지털 인증서 등을 저장할 수 있는 저장 공간을 제공함과 동시에, 암호화 엔진을 제공한다. 즉, 각각의 TPM 칩은 제조될 때 고유의 키인 EK(Endorsement Key) 및 SRK(Storage Root Key)가 할당되는데, 이 키 값들은 칩 외부로 나가지 못하게 되어 있다.Specifically, unlike the CPU processor, the TPM chip simply provides a storage space for storing key values, passwords, digital certificates, and the like, and provides an encryption engine. That is, each TPM chip is assigned a unique key, EK (Endorsement Key) and SRK (Storage Root Key) when manufactured, and these key values are prevented from going out of the chip.

따라서, TPM 칩은 그 특성상 기존의 소프트웨어적인 보안 방식이 가지는 여러 취약점들을 보안할 수 있어, 근래 들어 사용자 및 관계자들에게 각광받고 있는 추세이다.Therefore, the TPM chip is able to secure various vulnerabilities of the existing software security method due to its characteristics, and is recently being spotlighted by users and related parties.

TCG는 지난 2003년에 결성된 일종의 컨소시엄으로서, 그 동안 컴퓨터, 휴대폰 및 PDA 등에 사용될 보안 규격을 마련해 공개하고 있다. 그 예로, 단말기에 장착된 TPM 칩이 동작하지 않거나, 또는 단말기 분실 및 변경시 요구되는 중요 데이터의 백업, 이동 매커니즘을 위한 기능 및 명령어 등을 정의하고 있다.TCG, a consortium formed in 2003, has developed and published security standards for computers, mobile phones and PDAs. For example, the TPM chip mounted on the terminal does not operate or backups important data required when the terminal is lost or changed, and defines functions and commands for a moving mechanism.

그러나, TCG에서 정의한 규격은 정보 보안에 있어서 플랫폼(Platform)이나 TPM 칩 제조사의 참여를 필수적으로 요구하며, 일부 기능에 대해서는 선택 사항으로 규정하고 있어, 현재 일부 칩 제조업체에서는 그 일부 기능을 처음부터 배제하 고 제공하지 않는 경우도 있다.However, the specifications defined by the TCG require the participation of platform or TPM chip manufacturers in information security, and some functions are optional, and some chip manufacturers currently exclude some functions from the beginning. If you do not provide.

따라서, 각종 단말기에 저장된 개인적인 정보 보안 및 관리에 있어, 사용자 및 관계자들에게 기존 방식보다 향상된 안정성 및 편의성을 제공할 수 있는 방안이 현실적으로 요구되고 있는 실정이다. Therefore, in the security and management of personal information stored in various terminals, there is a demand for a method that can provide users and related parties with improved stability and convenience than conventional methods.

본 발명이 이루고자 하는 기술적 과제는 단말기의 정보 보안을 위해 사용하는 키 및 데이터를 백업 장치로 백업(Back-up)시키며, 백업된 키 및 데이터를 백업 장치로부터 제공 받아 단말기에 저장할 수 있는 장치 및 그 방법을 제공하기 위한 것이다.An object of the present invention is to back-up the key and data used for the information security of the terminal to the backup device (Back-up), the device and the device that can receive the backup key and data from the backup device and stored in the terminal It is to provide a method.

이러한 목적을 달성하기 위한 본 발명의 특징에 따른 단말기의 정보 관리 장치는, 적어도 하나의 키(Key) 및 데이터가 저장되는 정보 저장소; 상기 정보 저장소에 저장된 키 및 데이터 중 적어도 하나를 이용하여 상기 단말기에 저장되는 정보를 보안하는 정보 보안 칩; 및 상기 정보 저장소에 저장된 키 및 데이터 중 적어도 하나를 상기 단말기에 탈부착 되는 백업 장치로 이동 저장시키며, 상기 이동 저장시킨 키 및 데이터 중 적어도 하나를 상기 백업 장치로부터 제공 받아 상기 정보 저장소에 저장하는 정보 관리기를 포함한다.According to an aspect of the present invention, there is provided an information management apparatus of a terminal, including: an information store in which at least one key and data are stored; An information security chip that secures information stored in the terminal using at least one of a key and data stored in the information storage; And store and move at least one of the key and data stored in the information store to a backup device detachable from the terminal, and receive and store at least one of the moved and stored keys and data in the information store. It includes.

또한, 본 발명의 다른 특징에 따른 단말기의 정보 관리 방법은, 단말기에 저장된 정보를 보안하는 적어도 하나의 키(Key) 및 데이터를 정보 저장소에 저장하는 단계; 상기 저장된 키를 상기 단말기에 탈부착 되는 백업 장치로 이동 저장하길 요청하는 메시지인 백업 요청 메시지를 생성한 후, 상기 생성된 백업 요청 메시지를 상기 백업 장치로 전송하는 단계; 상기 전송된 백업 요청 메시지에 따라, 상기 백업 장치로부터 제공되는 적어도 하나의 키 및 권한 검증 데이터를 이용하여 상기 저장된 키를 암호화하는 단계; 및 상기 암호화된 결과 값과 사전 생성한 일회용 키를 상기 백업 장치로 전송하는 단계를 포함한다.Further, an information management method of a terminal according to another aspect of the present invention, the method comprising the steps of: storing at least one key and data for securing the information stored in the terminal in the information storage; Generating a backup request message which is a message requesting to move and store the stored key to a backup device detachable from the terminal, and then transmitting the generated backup request message to the backup device; Encrypting the stored key using at least one key and authority verification data provided from the backup device according to the transmitted backup request message; And transmitting the encrypted result value and the pre-generated disposable key to the backup device.

본 발명에 따르면, 단말기의 정보 보안을 위해 신뢰 보안 플랫폼 모듈에서 사용하는 키 및 데이터를 단말기에 탈부착 되는 백업 장치, USIM으로 백업시키거나, 백업된 키 및 데이터를 USIM으로부터 제공 받아 단말기에 내장된 신뢰 보안 플랫폼 모듈에 저장한다. 이를 통해, 단말기 사용자 및 관계자에게 보다 안전하고 편리한 정보 관리 서비스를 제공할 수 있다. According to the present invention, the key and data used in the trusted security platform module for the information security of the terminal backed up with a backup device detached from the terminal, USIM, or provided with the backed up key and data from the USIM trust built into the terminal Stored in the security platform module. Through this, it is possible to provide a more secure and convenient information management service to the terminal user and the related party.

아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시 예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시 예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings so that those skilled in the art may easily implement the present invention. As those skilled in the art would realize, the described embodiments may be modified in various different ways, all without departing from the spirit or scope of the present invention. In the drawings, parts irrelevant to the description are omitted in order to clearly describe the present invention, and like reference numerals designate like parts throughout the specification.

명세서 전체에서, 어떤 부분이 어떤 구성 요소를 "포함" 한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. 또한, 명세서에 기재된 "…부", "…기", "모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.Throughout the specification, when a part is said to "include" a certain component, it means that it can further include other components, except to exclude other components unless specifically stated otherwise. In addition, the terms “… unit”, “… unit”, “module”, etc. described in the specification mean a unit that processes at least one function or operation, which may be implemented by hardware or software or a combination of hardware and software. have.

또한, 이하 본 발명의 실시 예에서는 보안 칩 중의 하나인 TPM(Trusted Platform Module)에 저장된 정보를 관리하는 것에 대해 설명한다. 하지만, 본 발명이 이에 한정되는 것은 아니며, 경우에 따라서는 단말기 내 다른 메모리 또는 모듈 등에 저장된 정보를 관리하는 것에 대해 적용할 수 있다.In addition, in the following embodiment of the present invention will be described for managing the information stored in the Trusted Platform Module (TPM) which is one of the security chip. However, the present invention is not limited thereto, and in some cases, the present invention may be applied to managing information stored in another memory or module in the terminal.

또한, 이하 본 발명의 실시 예에서는 설명의 편의를 위하여 보안 칩에 저장된 정보를 단말기에 탈부착 되는 백업 장치로 이동 저장시키는 것을 '백업'이라 명명하며, 백업된 정보를 백업 장치로부터 제공 받아 저장시키는 것을 '복구'라 명명한다.In addition, in the following embodiments of the present invention for convenience of description, moving and storing the information stored in the security chip to the backup device detachable from the terminal is called a 'backup', and to store the backup information received from the backup device Named 'recovery'.

먼저, 본 발명의 실시 예에 따른 단말기의 정보 관리 장치에 대해 알아본다.First, an information management apparatus of a terminal according to an embodiment of the present invention will be described.

도 1은 본 발명의 실시 예에 따른 단말기의 정보 관리 장치를 도시한 도면이다.1 is a diagram illustrating an information management apparatus of a terminal according to an exemplary embodiment of the present invention.

도 1에 도시된 바와 같이, 본 발명의 실시 예에 따른 정보 관리 장치(100)는 단말기(200) 내에 포함되며, 정보 저장소(Protected storage, 110), 신뢰 보안 플랫폼 모듈(Trusted Platform Module, 120), 정보 관리기(130) 및 입출력 인터페이스부(140)를 포함한다.As shown in FIG. 1, the information management apparatus 100 according to an exemplary embodiment of the present invention is included in the terminal 200, and includes an information storage (Protected storage) 110 and a trusted platform module (Trusted Platform Module) 120. , An information manager 130 and an input / output interface unit 140.

그리고, 정보 관리기(130)는 백업 요청부(131), 백업 수행부(132), 복구 요청부(133) 및 복구 수행부(134)를 포함한다.The information manager 130 includes a backup request unit 131, a backup execution unit 132, a recovery request unit 133, and a recovery execution unit 134.

또한, 본 발명의 실시 예에 따른 USIM(Universal Subscriber Identity Module : 범용 가입자 식별 모듈, 이하 'USIM'이라 함, 300)은 단말기(200)에 탈부착 되는 백업 장치 중 하나로서, 메모리(310) 및 서비스 지원부(320)를 포함한다.In addition, the Universal Subscriber Identity Module (USIM) according to an embodiment of the present invention (hereinafter referred to as "USIM", 300) is one of the backup devices detachably attached to the terminal 200, the memory 310 and the service The support unit 320 is included.

참고로, 서비스 지원부(320)는 신뢰 보안 플랫폼 모듈(120)과 관련된 키 및 데이터를 백업하거나 복구하는 카드 애플릿(Card Applet)이다.For reference, the service support unit 320 is a card applet for backing up or restoring keys and data related to the trust security platform module 120.

구체적으로, 정보 저장소(110)는 고유 키인 SRK(Storage Root Key, 이하 'SRK'라 함)를 중심으로 계층 구조를 이루는 적어도 하나의 키(Key) 및 데이터(Secret data)가 함께 저장된다. In detail, the information storage 110 stores at least one key and data having a hierarchical structure based on a storage root key (SRK), which is a unique key.

신뢰 보안 플랫폼 모듈(120)은 정보 보호시 사용하는 적어도 하나의 키 및 데이터(예를 들어, 패스워드 및 디지털 인증서 등)를 정보 저장소(110)에 저장 및 관리한다. The trust security platform module 120 stores and manages at least one key and data (eg, a password and a digital certificate) used in the information storage 110 in the information store 110.

정보 관리기(130)는 신뢰 보안 플랫폼 모듈(120)이 정보 저장소(110)에 저장한 키 및 데이터 및 신뢰 보안 플랫폼 모듈(120)에 저장된 키 및 데이터를 USIM(300)으로 백업시키며, 백업된 정보를 USIM(300)으로부터 제공 받아 신뢰 보안 플랫폼 모듈(120) 및 정보 저장소(110)에 저장시킨다.The information manager 130 backs up the keys and data stored in the information storage 110 by the trust security platform module 120 and the keys and data stored in the trust security platform module 120 to the USIM 300, and backs up the information. Is received from the USIM 300 and stored in the trust security platform module 120 and the information store 110.

구체적으로, 정보 관리기(130)의 백업 요청부(131)는 신뢰 보안 플랫폼 모듈(120) 및 정보 저장소(110)에 저장된 적어도 하나의 키를 USIM(300)으로 이동 저장, 즉 백업(Back-up)하길 요청하는 메시지(이하 '백업 요청 메시지'라 함)를 생성한 후, 생성된 백업 요청 메시지를 USIM(300)으로 전송한다. Specifically, the backup request unit 131 of the information manager 130 moves, stores, or backs up at least one key stored in the trust security platform module 120 and the information store 110 to the USIM 300. After generating a message (hereinafter referred to as a backup request message) requesting to transmit, the generated backup request message is transmitted to the USIM (300).

참고로, 본 발명의 실시 예에 따른 정보 관리 장치(100)는 APDU(Application Protocol Data Unit, 이하 'APDU'라 함) 형태로 메시지를 생성하여 USIM(300)으로 전송한다. 그리고, USIM(300) 역시 수신된 메시지에 대한 응답 메시지를 APDU 형태로 생성하여 정보 관리 장치(100)로 전송한다.For reference, the information management apparatus 100 according to an embodiment of the present invention generates a message in the form of an APDU (Application Protocol Data Unit, hereinafter called 'APDU') and transmits the message to the USIM 300. The USIM 300 also generates a response message in response to the received message in the form of APDU and transmits it to the information management apparatus 100.

백업 수행부(132)는 전송한 백업 요청 메시지에 따라, USIM(300)으로부터 제 공되는 데이터(키 및 권한 검증 데이터 등)를 이용하여 백업하고자 하는 키를 소정의 형태로 변환한다. 그리고, 변환된 키 및 자체적으로 생성한 일회용 키(One-time pad)에 대해 비 등가 연산(예를 들어, Exclusive-or operation 등)을 수행한다. The backup performing unit 132 converts a key to be backed up into a predetermined form using data (key and authority verification data, etc.) provided from the USIM 300 according to the transmitted backup request message. Then, a non-equivalent operation (for example, an exclusive-or operation) is performed on the converted key and the one-time pad generated by itself.

이어, 백업 수행부(132)는 수행된 결과 값을 앞서 USIM(300)으로부터 제공 받은 데이터(키)를 통해 암호화한 후, 암호화된 최종적인 결과 값 및 앞서 생성된 일회용 키를 USIM(300)으로 송신한다. Subsequently, the backup execution unit 132 encrypts the resultant result through the data (key) previously provided from the USIM 300, and then encrypts the final result value and the one-time generated key that were previously generated to the USIM 300. Send.

복구 요청부(133)는 USIM(300)으로 백업시킨 적어도 하나의 키를 단말기(200)로 이동 저장, 즉 복구하길 요청하는 메시지(이하 '복구 요청 메시지'라 함)를 생성한 후, 생성된 복구 요청 메시지를 USIM(300)으로 전송한다. The recovery request unit 133 generates a message (hereinafter, referred to as a "recovery request message") for requesting to move, store, or recover the at least one key backed up to the USIM 300 to the terminal 200, and then generate the generated message. The recovery request message is transmitted to the USIM 300.

복구 수행부(134)는 전송한 복구 요청 메시지에 따라, USIM(300)으로부터 제공 받는 데이터를 소정 형태로 변환한 후, 변환된 결과 값 내의 적어도 하나의 키를 신뢰 보안 플랫폼 모듈(120)을 통해 정보 저장소(110) 또는 신뢰 보안 플랫폼 모듈(120) 내에 저장한다. The recovery performing unit 134 converts the data provided from the USIM 300 into a predetermined form according to the transmitted recovery request message, and then converts at least one key in the converted result value through the trust security platform module 120. Store in information repository 110 or trust security platform module 120.

입출력 인터페이스부(140)는 정보 관리 장치(100) 및 USIM(300)간의 데이터 송수신을 지원한다.The input / output interface 140 supports data transmission and reception between the information management apparatus 100 and the USIM 300.

다음, USIM(300)은 단말기(200)로부터 적어도 하나의 키 및 데이터를 백업 받아 메모리(310)에 저장시키며, 메모리(310)에 저장된 키 및 데이터를 사용자의 요청 사항에 따라 단말기(200)로 제공한다.Next, the USIM 300 receives at least one key and data from the terminal 200 and stores the backup data in the memory 310, and stores the keys and data stored in the memory 310 to the terminal 200 according to a user's request. to provide.

구체적으로, USIM(300)의 메모리(310)는 단말기(200)로부터 백업 받은 키 및 데이터 뿐만 아니라, 이동 공용 키(Migration Public Key, 311), 이동 개인 키(Migration Private Key, 312), 권한 검증 데이터(Authorization Data, 313), 유 지 공용 키(Maintenance Public Key, 314) 및 유지 개인 키(Maintenance Private Key, 315) 값이 저장된다. In detail, the memory 310 of the USIM 300 may include not only keys and data backed up from the terminal 200, but also a migration public key 311, a migration private key 312, and authorization verification. Data (Authorization Data, 313), Maintenance Public Key (314) and Maintenance Private Key (315) are stored.

서비스 지원부(320)는 정보 관리기(130)로부터 백업 요청 메시지가 수신되면, 메모리(310)에 저장된 정보 중 이동 공용 키 및 권한 검증 데이터를 APDU 형태로 변환하여 정보 관리기(130)로 제공한다. 그리고, 제공된 정보에 따라 해당 단말기로부터 백업되는 키 및 데이터를 메모리(310)에 저장한다.When the backup request message is received from the information manager 130, the service support unit 320 converts the mobile public key and authority verification data among the information stored in the memory 310 into an APDU form and provides the information to the information manager 130. The key and data backed up from the corresponding terminal are stored in the memory 310 according to the provided information.

또한, 서비스 지원부(320)는 정보 관리기(130)로부터 복구 요청 메시지가 수신되면, 소정의 사용자 인증 절차(예를 들어, 비밀번호 일치 등)를 수행한다.In addition, when the recovery request message is received from the information manager 130, the service support unit 320 performs a predetermined user authentication procedure (eg, password matching).

그리고, 수행된 결과에 따라 메모리(320)에 저장된 데이터를 이동 개인 키(312)로 복호화한 후, 복호화된 결과 값을 정보 관리기(130)로부터 전달된 공용 키(Public key)를 이용하여 암호화한다. 그리고, 암호화된 결과 값 및 일회용 키를 정보 관리 장치(100)로 제공한다. After decrypting the data stored in the memory 320 with the mobile private key 312 according to the result, the decrypted result value is encrypted using the public key delivered from the information manager 130. . In addition, the encrypted result value and the disposable key are provided to the information management apparatus 100.

이처럼, 본 발명의 실시 예에 따른 정보 관리 장치(100)는 신뢰 보안 플랫폼 모듈(120)이 정보 보안을 위해 사용하는 키 및 데이터를 단말기(200)와 탈부착 되는 백업 장치 중 하나인 USIM(300)으로 백업시킨다. 그리고, 백업된 키 및 데이터를 USIM(300)으로부터 제공 받아 단말기(100) 내 해당 공간에 저장시킨다. As such, the information management apparatus 100 according to an exemplary embodiment of the present invention may include a USIM 300 which is one of a backup device detachable from the terminal 200 with a key and data used by the trust security platform module 120 for information security. Back up Then, the backed up key and data are received from the USIM 300 and stored in the corresponding space in the terminal 100.

이를 통해, 본 발명의 실시 예에 따르면, 단말기 사용자 또는 신뢰 보안 플랫폼 모듈(TPM)을 제조하는 업체 및 관계자로 하여금 일반적인 보안 규격(예를 들어, TCG 규격 등)에 기술된 방식 보다 좀 더 편리하면서 안전한 정보 관리를 제공할 수 있다. In this way, according to an embodiment of the present invention, a terminal user or a company that manufactures a trusted security platform module (TPM) may be more convenient than a method described in a general security standard (eg, TCG standard, etc.). Can provide secure information management.

참고로, 본 발명의 실시 예에서는 정보 관리 장치(100)가 신뢰 보안 플랫폼 모듈(120, TPM)을 통해 정보 저장소(110)에 저장된 키 및 데이터만을 백업시키거나, 또는 복구하는 것에 대해 설명한다. 하지만, 앞서 언급한 바와 같이 본 발명이 이에 한정되는 것은 아니며, 경우에 따라서는 단말기 내 다른 메모리 또는 모듈 등에 저장된 각종 정보를 백업시키거나 복구할 수 있다. For reference, an embodiment of the present invention describes that the information management apparatus 100 backs up or recovers only the key and data stored in the information storage 110 through the trust security platform module 120 (TPM). However, as described above, the present invention is not limited thereto, and in some cases, various information stored in another memory or module in the terminal may be backed up or restored.

그러면, 위에 기술된 구조로 이루어지는 정보 관리 장치를 토대로, 본 발명의 실시 예에 따른 정보 관리 방법에 대해 설명한다. Next, an information management method according to an embodiment of the present invention will be described based on the information management device having the above-described structure.

먼저, 본 발명의 실시 예에 따른 정보 관리 방법 중, 정보 저장소(110)에 저장된 키 및 데이터를 USIM(300)으로 백업시키는 과정에 대해 알아본다.First, in the information management method according to an embodiment of the present invention, a process of backing up the key and data stored in the information storage 110 to the USIM 300 will be described.

도 2는 도 1에 도시된 정보 관리 장치의 동작 과정 중, 백업 과정을 순차적으로 도시한 흐름도이다.FIG. 2 is a flowchart sequentially illustrating a backup process of an operation process of the information management apparatus illustrated in FIG. 1.

먼저, 정보 저장소(110)에 저장된 이동 가능한(Migratable) 키를 USIM(300)으로 백업시키는 과정에 대해 알아본다.First, a process of backing up a migratable key stored in the information storage 110 to the USIM 300 will be described.

도 2에 도시되어 있듯이, 단말기 사용자가 정보 저장소(110)에 저장된 키 및 데이터 중 적어도 하나의 키를 백업(S210, S220) 시키고자 하면, 정보 관리 장치(100)의 백업 요청부(131)는 USIM(300)으로 백업 요청 메시지를 전송한다(S230). As shown in FIG. 2, when the terminal user wants to back up at least one of the keys and the data stored in the information storage 110 (S210 and S220), the backup request unit 131 of the information management apparatus 100 may perform the backup. The backup request message is transmitted to the USIM 300 (S230).

그러면, USIM(300)의 서비스 지원부(320)는 수신된 백업 요청 메시지에 따라, 메모리(310)에 저장된 정보 중 이동 공용 키 및 권한 검증 데이터를 APDU 형태로 변환하여 정보 관리기(130)로 제공한다(S231).Then, the service support unit 320 of the USIM 300 converts the mobile public key and authority verification data among the information stored in the memory 310 into an APDU form according to the received backup request message and provides it to the information manager 130. (S231).

이후, 백업 수행부(132)는 USIM(300)으로부터 제공 받은 데이터(키 및 권한 검증 데이터 등)를 이용하여 백업하고자 하는 키를 소정의 형태로 변환한다(S232). 그리고, 변환된 키 및 자체적으로 생성한 일회용 키(One-time pad)에 대해 비 등가 연산(예를 들어, Exclusive-or operation 등)을 수행한다(S233).Thereafter, the backup execution unit 132 converts the key to be backed up into a predetermined form using data (key and authority verification data, etc.) provided from the USIM 300 (S232). Then, a non-equivalent operation (for example, an exclusive-or operation) is performed on the converted key and the one-time pad generated by itself (S233).

이후, 백업 수행부(132)는 수행된 결과 값을 앞서 USIM(300)으로부터 제공 받은 데이터(키)를 통해 암호화(S234)한 후, 암호화된 최종적인 결과 값 및 앞서 생성한 일회용 키를 USIM(300)으로 송신한다(S235).Thereafter, the backup performing unit 132 encrypts the performed result value through the data (key) previously provided from the USIM 300 (S234), and then encrypts the final result value and the one-time generated key that were previously generated by the USIM ( 300) (S235).

그러면, USIM(300)의 서비스 지원부(320)는 수신된 데이터를 메모리(310)에 저장한다(S236).Then, the service support unit 320 of the USIM 300 stores the received data in the memory 310 (S236).

다음, 단말기(200)에 장착된 신뢰 보안 플랫폼 모듈(120)이 동작하지 않거나, 단말기의 분실 또는 변경 상황 등을 대비하기 위해, 정보 저장소(110)에 저장된 데이터를 USIM(300)으로 백업시키는 과정에 대해 알아본다.Next, the process of backing up the data stored in the information storage 110 to the USIM 300 in order to prepare for the loss or change situation of the terminal does not operate or the trust security platform module 120 mounted on the terminal 200. Learn about.

도 2에 도시되어 있듯이, 단말기 사용자가 정보 저장소(110)에 저장된 데이터를 백업(S210, S220) 시키고자 하면, 정보 관리기(130)의 백업 요청부(131)는 USIM(300)으로 백업 요청 메시지를 전송한다(S240).As shown in FIG. 2, when the terminal user wants to back up data stored in the information storage 110 (S210 and S220), the backup request unit 131 of the information manager 130 sends a backup request message to the USIM 300. Transmit (S240).

그러면, USIM(300)의 서비스 지원부(320)는 수신된 백업 요청 메시지에 따라, 메모리(310)에 저장된 유지 공용 키(314)를 읽어 들여 정보 관리기(130)로 제공한다(S241).Then, the service support unit 320 of the USIM 300 reads the maintenance public key 314 stored in the memory 310 and provides it to the information manager 130 according to the received backup request message (S241).

이후, 백업 수행부(132)는 USIM(300)으로부터 제공 받은 유지 공용 키(314)를 소정의 기능(TPM_LoadManuMaintPub)을 통해 신뢰 보안 플랫폼 모듈(120)이 관리하는 정보 저장소(110)에 저장한다(S242). Thereafter, the backup execution unit 132 stores the maintenance public key 314 provided from the USIM 300 in the information storage 110 managed by the trusted security platform module 120 through a predetermined function (TPM_LoadManuMaintPub) ( S242).

이후, 신뢰 보안 플랫폼 모듈(120)은 소정의 기능(TPM_CreateMaintenance- Archive)을 통해 정보 저장소(110)에 저장된 SRK 및 권한 검증 데이터 등을 소정의 형태로 변환하여 안전환 데이터 구조로 만든다(S243). Thereafter, the trust security platform module 120 converts the SRK and the authorization verification data stored in the information store 110 into a predetermined form through a predetermined function (TPM_CreateMaintenance-Archive) to form a safe ring data structure (S243).

그리고, 신뢰 보안 플랫폼 모듈(120)은 난수(Random number) 또는 사용 인가(Usage Authorization) 정보로부터 생성한 문자열(String)을 앞서 만든 안전한 데이터 구조와 함께 비 등가 연산(예를 들어, Exclusive-or operation 등) 시킨다(S244). 이어, 그 결과 값을 앞서 USIM(300)으로부터 제공 받은 유지 공용 키(314)로 암호화한다(S245).In addition, the trust security platform module 120 may perform a non-equivalent operation (eg, an exclusive-or operation) together with a secure data structure previously created with a string generated from a random number or usage authorization information. Etc.) (S244). Subsequently, the result value is encrypted with the maintenance public key 314 previously provided from the USIM 300 (S245).

이후, 백업 수행부(132)는 암호화된 최종 결과 값과, 난수 또는 사용 인가 정보로부터 생성한 문자열을 함께 APDU 형태로 변환하여 USIM(300)으로 전송한다(S246).Subsequently, the backup execution unit 132 converts the encrypted final result value and the string generated from the random number or the usage authorization information into an APDU form and transmits them to the USIM 300 (S246).

그러면, USIM(300)의 서비스 지원부(320)는 수신된 데이터를 메모리(310)에 저장한다(S247).Then, the service support unit 320 of the USIM 300 stores the received data in the memory 310 (S247).

다음, 본 발명의 실시 예에 따른 정보 관리 방법 중, USIM(300)으로부터 키 및 데이터를 제공 받아 단말기(200)에 저장하는 과정에 대해 알아본다.Next, in the information management method according to an embodiment of the present invention, a process of receiving a key and data from the USIM 300 and storing it in the terminal 200 will be described.

도 3은 도 1에 도시된 정보 관리 장치의 동작 과정 중 복구 과정을 순차적으로 도시한 흐름도이다.3 is a flowchart sequentially illustrating a recovery process of an operation process of the information management apparatus illustrated in FIG. 1.

먼저, USIM(300)으로부터 이동 가능한(Migratable) 키를 제공 받아 정보 저장소(110)에 저장하는 과정에 대해 알아본다.First, a process of receiving a migratable key from the USIM 300 and storing it in the information storage 110 will be described.

도 3에 도시되어 있듯이, 단말기 사용자가 USIM(300)으로 백업시킨 적어도 하나의 키를 정보 관리 장치(100)의 정보 저장소(110)로 이동 저장, 즉 복구(S310, S320)하길 요청하면, 복구 요청부(133)는 복구 요청 메시지를 USIM(300)으로 전송한다(S330).As shown in FIG. 3, when the terminal user requests to move and store at least one key backed up to the USIM 300 to the information storage 110 of the information management apparatus 100, that is, to recover (S310 and S320), the recovery is performed. The request unit 133 transmits a recovery request message to the USIM 300 (S330).

이때, 복구 요청 메시지는 이동 가능한 키(Migratable key)를 암호화할 수 있는 공용 키(Public key)를 포함한다.At this time, the recovery request message includes a public key that can encrypt a migratable key.

그러면, USIM(300)의 서비스 지원부(320)는 소정의 사용자 인증 절차(예를 들어, 비밀번호 일치 등)를 수행한다(S331).Then, the service support unit 320 of the USIM (300) performs a predetermined user authentication procedure (for example, password matching, etc.) (S331).

이후, 서비스 지원부(320)는 수행된 인증 철차에 따라 메모리(320)에 저장된 보호 데이터를 이동 개인 키(312)로 복호화(S332)한 후, 복호화된 결과 값을 복구 요청 메시지 내에 포함된 공용 키(Public key)를 이용하여 암호화한다(S333). Thereafter, the service support unit 320 decrypts (S332) the protected data stored in the memory 320 with the mobile private key 312 according to the authentication procedure performed, and then, the public key included in the decrypted result value in the recovery request message. It encrypts using a (Public key) (S333).

그리고, 서비스 지원부(320)는 암호화된 결과 값 및 일회용 키를 정보 관리 장치(100)로 제공한다(S334). In addition, the service support unit 320 provides the encrypted result value and the disposable key to the information management device 100 (S334).

이후, 정보 관리 장치(100)의 복구 수행부(134)는 USIM(300)으로부터 제공 받은 데이터를 소정 형태로 변환한 후, 변환된 결과 값 내의 적어도 하나의 키를 신뢰 보안 플랫폼 모듈(120)을 통해 정보 저장소(110)에 저장한다(S335). Thereafter, the recovery execution unit 134 of the information management apparatus 100 converts the data provided from the USIM 300 into a predetermined form, and then converts the at least one key in the converted result value into the trusted security platform module 120. It is stored in the information store 110 through (S335).

이후, 복구 수행부(130)는 정보 저장소(110)에 해당 키가 성공적으로 저장되었음을 알리는 보고 메시지를 USIM(300)으로 전송(S336)하며, USIM(300)의 서비스 지원부(320)는 수신된 보고 메시지에 따라 메모리(310)에 저장된 이동(Migration) 관련 정보를 삭제한다(S337).Thereafter, the recovery execution unit 130 transmits a report message to the USIM 300 indicating that the key has been successfully stored in the information storage 110 (S336), and the service support unit 320 of the USIM 300 receives the received message. According to the report message, the movement related information stored in the memory 310 is deleted (S337).

다음, 단말기의 분실 또는 변경 상황 등에 대비하기 위해 USIM(300)에 백업 된 신뢰 보안 플랫폼 모듈(120)의 데이터를 정보 저장소(110)에 저장하는 과정에 대해 알아본다.Next, the process of storing the data of the trust security platform module 120 backed up to the USIM 300 in the information storage 110 in order to prepare for a loss or change situation of the terminal.

도 3에 도시되어 있듯이, 단말기 사용자가 USIM(300)으로 백업시킨 데이터를 정보 관리 장치(100)의 정보 저장소(110)로 이동 저장, 즉 복구(S310, S320)하길 요청하면, 복구 요청부(133)는 복구 요청 메시지를 USIM(300)으로 전송한다(S340).As shown in FIG. 3, when the terminal user requests to move and store the data backed up to the USIM 300 to the information storage 110 of the information management apparatus 100, that is, to recover (S310 and S320), a recovery request unit ( 133 transmits a recovery request message to the USIM 300 (S340).

이때, 복구 요청 메시지는 신뢰 보안 플랫폼 모듈(120)의 데이터를 암호화할 수 있는 공용 키(Public key)를 포함한다.In this case, the recovery request message includes a public key that can encrypt data of the trusted security platform module 120.

그러면, USIM(300)의 서비스 지원부(320)는 사용자 인증 절차에 따라 단말기 사용자에게 비밀 번호를 요청한다(S341). 그리고, 그 인증 결과에 따라 메모리(310)에 저장된 보호 데이터를 유지 개인 키(315)로 복호화한다(S342).Then, the service support unit 320 of the USIM 300 requests the password to the terminal user according to the user authentication procedure (S341). In accordance with the authentication result, the protected data stored in the memory 310 is decrypted by the holding private key 315 (S342).

이후, 서비스 지원부(320)는 복호화된 결과 값을 복구 요청 메시지 내에 포함된 공용 키(Public key)를 이용하여 암호화한다(S343). Thereafter, the service support unit 320 encrypts the decrypted result value using the public key included in the recovery request message (S343).

이후, 서비스 지원부(320)는 암호화된 결과 값을, 난수 또는 사용 인가 정보로부터 생성한 문자열과 함께 APDU 형태로 변환시켜 정보 관리 장치(100)로 전송한다(S344).Thereafter, the service support unit 320 converts the encrypted result value into an APDU form together with the string generated from the random number or the usage authorization information and transmits it to the information management apparatus 100 (S344).

그러면, 정보 관리 장치(100)의 복구 수행부(134)는 수신된 메시지로부터 SRK, 권한 검증 데이터 및 신뢰 보안 플랫폼 모듈을 식별할 수 있는 고유 데이터 값(tpmproof)을 추출한 후, 추출된 값을 신뢰 보안 플랫폼 모듈(120)을 통해 정보 저장소(110)에 저장한다(S345). Then, the recovery execution unit 134 of the information management apparatus 100 extracts a unique data value (tpmproof) that can identify the SRK, the authorization verification data, and the trusted security platform module from the received message, and then trusts the extracted value. It is stored in the information store 110 through the security platform module 120 (S345).

참고로, 정보 저장소(110)에 저장된 키 및 데이터의 구조에 대한 표시 예가 첨부된 도 4이다.For reference, a display example of the structure of the key and data stored in the information storage 110 is attached to FIG. 4.

도 4는 본 발명의 실시 예에 따라 정보 저장소에 저장된 키 및 데이터의 구조를 도시한 도면이다.4 is a diagram illustrating a structure of keys and data stored in an information store according to an exemplary embodiment of the present invention.

도 4에 도시되어 있듯이, 정보 저장소(110)에는 신뢰 보안 플랫폼 모듈(120)의 소유자가 소유권 획득(TakeOwnership) 과정을 수행하면 생성되는 고유 키인 SRK(401)가 루트(Root) 역할을 수행하며, SRK(401)를 중심으로 계층 구조를 이루는 서명 키(Signature key, 402), 보호 데이터(Secret data, 403) 및 저장 키(Storage key, 404)가 저장된다. 그리고, 저장 키(404)를 중심으로 적어도 하나의 다른 저장 키(405~400n)가 트리 형태로 저장된 구조를 이룬다. As shown in FIG. 4, in the information store 110, the SRK 401, which is a unique key generated when the owner of the trust security platform module 120 performs the TakeOwnership process, serves as a root. The signature key 402, the protection data 403, and the storage key 404, which form a hierarchical structure around the SRK 401, are stored. At least one other storage key 405 to 400n is formed around the storage key 404 in a tree form.

구체적으로, 하나의 저장 키(404, 일명 부모 키)를 이용하여 적어도 하나의 다른 저장 키(405~408)를 암호화할 수 있으며, 특정 키(405)를 사용하고자 할 경우, 특정 키(405)와 그 키의 부모 키(404)를 모두 신뢰 보안 플랫폼 모듈(120)의 키 슬롯(Slot)으로 로딩한 후, 내부에서 복호화를 수행한다.Specifically, at least one other storage key 405 to 408 may be encrypted using one storage key 404 (also known as a parent key), and if a specific key 405 is to be used, the specific key 405 may be used. After loading both the and the parent key 404 of the key into the key slot (slot) of the trusted security platform module 120, decryption is performed internally.

한편, 본 발명은 단말기(200)의 변경, 분실 및 고장 등에 대비하기 위해, USIM(300)의 메모리(310)에 제조사만이 소유할 수 있는 유지 공용 키 쌍(Maintenance key pair)을 저장시켜 제공한다. On the other hand, the present invention is provided by storing a maintenance common key pair (maintenance key pair) that can be owned only by the manufacturer in the memory 310 of the USIM 300, in order to prepare for the change, loss and failure of the terminal 200, etc. do.

일반적으로, 유지 공용 키 쌍은 오직 제조사만이 소유하고 사용할 수 있는 값으로 명시(TCG 규격)되어 있다. 하지만, 본 발명은 USIM(300) 그 자체가 제조사의 역할을 수행할 수 있도록, USIM(300)에 유지 공용 키 쌍을 저장시켜 제공한다.In general, a maintenance public key pair is specified (TCG specification) with values that only the manufacturer can own and use. However, the present invention provides a storage public key pair stored in the USIM 300 so that the USIM 300 itself can act as a manufacturer.

또한, 유지 공용 키 쌍을 USIM(300)에 저장하기 위해서는 USIM 관리자의 PIN(Personal Identification Number : 개인 식별 번호)을 알아야 한다. 이는, 관리자만이 유지 공용 키 값을 USIM(300)에 저장시키거나, 읽어 올 수 있도록 함으로써, 물리적인 안정성을 제공하는 USIM을 통해 신뢰 보안 플랫폼 모듈(TPM)의 정보를 보다 안전하고 편리하게 관리할 수 있도록 한다.In addition, in order to store the maintenance public key pair in the USIM 300, a personal identification number (PIN) of the USIM manager must be known. This allows only administrators to store or read the maintained public key value in the USIM 300, thereby managing information in the Trusted Security Platform Module (TPM) more securely and conveniently through the USIM, which provides physical stability. Do it.

이처럼, 본 발명의 실시 예에 따른 단말기의 정보 관리 장치는 제조업체나 관계자의 참여를 배제시켜 그로 인한 신뢰성 및 안전성 향상을 이룬다. 그리고, 단말기의 변경, 분실 및 고장 시에 USIM으로부터 정보 보안에 필요한 키 및 데이터를 제공 받아 복구 작업을 수행함으로써, 사용자 및 관계자로 하여금 서비스 만족도 증대를 이룰 수 있다.As such, the information management apparatus of the terminal according to the embodiment of the present invention achieves reliability and safety improvement by excluding participation of a manufacturer or a related party. In addition, when the terminal is changed, lost, or broken down, the USIM receives the key and data necessary for the security of the information, and performs a recovery operation, thereby increasing the service satisfaction of the user and the related person.

이상에서 설명한 본 발명의 실시 예는 장치 및 방법을 통해서만 구현이 되는 것은 아니며, 본 발명의 실시 예의 구성에 대응하는 기능을 실현하는 프로그램 또는 그 프로그램이 기록된 기록 매체를 통해 구현될 수도 있으며, 이러한 구현은 앞서 설명한 실시 예의 기재로부터 본 발명이 속하는 기술 분야의 전문가라면 쉽게 구현할 수 있는 것이다. The embodiments of the present invention described above are not implemented only through the apparatus and the method, but may be implemented through a program for realizing a function corresponding to the configuration of the embodiment of the present invention or a recording medium on which the program is recorded. Implementation can be easily implemented by those skilled in the art from the description of the above-described embodiments.

이상에서 본 발명의 실시 예에 대하여 상세하게 설명하였지만 본 발명의 권리 범위는 이에 한정되는 것은 아니고 다음의 청구 범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.Although the embodiments of the present invention have been described in detail above, the scope of the present invention is not limited thereto, and various modifications and improvements of those skilled in the art using the basic concepts of the present invention defined in the following claims are also provided. It belongs to the scope of rights.

도 1은 본 발명의 실시 예에 따른 단말기의 정보 관리 장치를 도시한 도면이다.1 is a diagram illustrating an information management apparatus of a terminal according to an exemplary embodiment of the present invention.

도 2는 도 1에 도시된 정보 관리 장치의 동작 과정 중, 백업 과정을 순차적으로 도시한 흐름도이다.FIG. 2 is a flowchart sequentially illustrating a backup process of an operation process of the information management apparatus illustrated in FIG. 1.

도 3은 도 1에 도시된 정보 관리 장치의 동작 과정 중, 복구 과정을 순차적으로 도시한 흐름도이다.FIG. 3 is a flowchart sequentially illustrating a recovery process of an operation process of the information management apparatus shown in FIG. 1.

도 4는 본 발명의 실시 예에 따라 정보 저장소에 저장된 키 및 데이터의 구조를 도시한 도면이다.4 is a diagram illustrating a structure of keys and data stored in an information store according to an exemplary embodiment of the present invention.

Claims (8)

단말기에 포함되어 상기 단말기의 정보를 관리하는 장치에 있어서,An apparatus included in a terminal for managing information of the terminal, 적어도 하나의 키(Key) 및 데이터가 저장되는 정보 저장소;An information store in which at least one key and data are stored; 상기 정보 저장소에 저장된 키 및 데이터 중 적어도 하나를 이용하여 상기 단말기에 저장되는 정보를 보안하는 정보 보안 칩; 및An information security chip that secures information stored in the terminal using at least one of a key and data stored in the information storage; And 상기 정보 보안 칩 또는 상기 정보 저장소에 저장된 키 및 데이터 중 적어도 하나를 상기 단말기에 탈부착 되는 백업 장치로 이동 저장시키며, 상기 이동 저장시킨 키 및 데이터 중 적어도 하나를 상기 백업 장치로부터 제공 받아 상기 정보 보안 칩 또는 상기 정보 보안 칩이 관리하는 상기 정보 저장소에 저장하는 정보 관리기Transfer and store at least one of the information security chip or the key and data stored in the information storage to a backup device detachable from the terminal, and receive at least one of the moved and stored keys and data from the backup device. Or an information manager for storing in the information repository managed by the information security chip. 를 포함하는 단말기의 정보 관리 장치.Information management apparatus of the terminal comprising a. 제1 항에 있어서,According to claim 1, 상기 정보 관리기는,The information manager, 상기 정보 저장소에 저장된 키 및 데이터 중 적어도 하나를 상기 백업 장치로 이동 저장하길 요청하는 메시지인 백업 요청 메시지를 생성하며, 상기 생성된 백업 요청 메시지를 상기 백업 장치로 전송하는 백업 요청부; A backup request unit for generating a backup request message which is a message requesting to move at least one of the key and data stored in the information storage to the backup device, and transmitting the generated backup request message to the backup device; 상기 전송된 백업 요청 메시지에 따라, 상기 백업 장치로부터 제공되는 적어도 하나의 키 및 권한 검증 데이터를 이용하여 상기 저장된 키 및 데이터를 암호화하며, 상기 암호화된 결과 값을 상기 백업 장치로 전송하는 백업 수행부;A backup performing unit for encrypting the stored key and data using at least one key and authority verification data provided from the backup device according to the transmitted backup request message, and transmitting the encrypted result value to the backup device ; 상기 백업 장치로 이동 저장시킨 키 및 데이터 중 적어도 하나를 제공 받길 요청하는 메시지인 복구 요청 메시지를 생성하며, 상기 생성된 복구 요청 메시지를 상기 백업 장치로 전송하는 복구 요청부; 및A recovery request unit for generating a recovery request message which is a message for requesting at least one of a key and data moved and stored to the backup device, and transmitting the generated recovery request message to the backup device; And 상기 전송된 복구 요청 메시지에 따라, 상기 백업 장치로부터 제공되는 적어도 하나의 키 및 데이터를 상기 정보 저장소에 저장하는 복구 수행부A recovery performing unit for storing at least one key and data provided from the backup device in the information store according to the transmitted recovery request message 를 포함하는 단말기의 정보 관리 장치. Information management apparatus of the terminal comprising a. 제2 항에 있어서,The method of claim 2, 상기 백업 장치는,The backup device, 상기 이동 저장시킨 키 및 데이터가 저장되는 메모리; 및A memory in which the moved key and data are stored; And 상기 전송된 백업 요청 메시지에 따라, 상기 메모리에 저장된 키 및 데이터 중 적어도 하나를 상기 정보 관리기로 제공하며, 상기 정보 관리기로부터 수신되는 적어도 하나의 키 및 데이터를 상기 메모리에 저장하는 서비스 지원부A service support unit providing at least one of keys and data stored in the memory to the information manager according to the transmitted backup request message, and storing at least one key and data received from the information manager in the memory; 를 포함하는 단말기의 정보 관리 장치. Information management apparatus of the terminal comprising a. 제3 항에 있어서,The method of claim 3, 상기 서비스 지원부는, The service support unit, 상기 전송된 복구 요청 메시지에 따라, 소정의 사용자 인증 절차를 수행하며, 상기 수행된 결과를 토대로 상기 메모리에 저장된 키 및 데이터 중 어느 하나를 상기 정보 관리기로 제공하는 단말기의 정보 관리 장치. And performing a predetermined user authentication procedure according to the transmitted recovery request message, and providing any one of keys and data stored in the memory to the information manager based on the performed result. 제1 항 내지 제4 항 중 어느 한 항에 있어서,The method according to any one of claims 1 to 4, 상기 백업 장치는, 범용 가입자 식별 모듈인 단말기의 정보 관리 장치.The information management device of the terminal, the backup device is a universal subscriber identification module. 단말기에 포함되어 있는 정보 관리 장치를 통해 상기 단말기의 정보를 관리하는 방법에 있어서,In the method for managing the information of the terminal through the information management device included in the terminal, 상기 단말기에 저장된 정보를 보안하는 적어도 하나의 키(Key) 및 데이터를 정보 저장소에 저장하는 단계;Storing at least one key and data for securing the information stored in the terminal in an information store; 상기 저장된 키를 상기 단말기에 탈부착 되는 백업 장치로 이동 저장하길 요청하는 메시지인 백업 요청 메시지를 생성한 후, 상기 생성된 백업 요청 메시지를 상기 백업 장치로 전송하는 단계; Generating a backup request message which is a message requesting to move and store the stored key to a backup device detachable from the terminal, and then transmitting the generated backup request message to the backup device; 상기 전송된 백업 요청 메시지에 따라, 상기 백업 장치로부터 제공되는 적어도 하나의 키 및 권한 검증 데이터를 이용하여 상기 저장된 키를 암호화하는 단계; 및Encrypting the stored key using at least one key and authority verification data provided from the backup device according to the transmitted backup request message; And 상기 암호화된 결과 값과 사전 생성한 일회용 키를 상기 백업 장치로 전송하는 단계 Transmitting the encrypted result value and the pre-generated one-time key to the backup device. 를 포함하는 단말기의 정보 관리 방법.Information management method of the terminal comprising a. 제6 항에 있어서,The method according to claim 6, 상기 저장된 데이터를 상기 백업 장치로 이동 저장하길 요청하는 메시지인 백업 요청 메시지를 생성한 후, 상기 생성된 백업 요청 메시지를 상기 백업 장치로 전송하는 단계; Generating a backup request message which is a message requesting to move and store the stored data to the backup device, and then transmitting the generated backup request message to the backup device; 상기 전송된 백업 요청 메시지에 따라, 상기 백업 장치로부터 제공되는 적어도 하나의 키를 상기 정보 저장소에 저장하는 단계;Storing at least one key provided from the backup device in the information store according to the transmitted backup request message; 상기 저장된 키를 소정의 형태로 변환한 후, 상기 변환된 결과 값 및, 난수 또는 사용 인가 정보로부터 생성된 문자열에 대해 소정의 연산을 수행하는 단계; Converting the stored key into a predetermined form and performing a predetermined operation on the converted result value and a string generated from a random number or usage authorization information; 상기 수행된 결과 값을 상기 백업 장치로부터 제공 받은 키를 이용하여 암호화한 후, 상기 암호화된 결과 값과 상기 생성된 문자열을 상기 백업 장치로 전송하는 단계Encrypting the performed result value using a key provided from the backup device, and then transmitting the encrypted result value and the generated character string to the backup device; 를 더 포함하는 단말기의 정보 관리 방법.Information management method of the terminal further comprising. 제6 항에 있어서,The method according to claim 6, 상기 백업 장치에 저장된 적어도 하나의 키 및 데이터를 제공 받길 요청하는 메시지인 복구 요청 메시지를 생성한 후, 상기 생성된 복구 요청 메시지를 상기 백업 장치로 전송하는 단계; 및Generating a recovery request message, the message requesting to receive at least one key and data stored in the backup device, and then transmitting the generated recovery request message to the backup device; And 상기 전송된 복구 요청 메시지에 따라, 상기 백업 장치로부터 제공되는 키 및 데이터 중 적어도 하나를 상기 정보 저장소에 저장하는 단계Storing at least one of a key and data provided from the backup device in the information store according to the transmitted recovery request message; 를 더 포함하는 단말기의 정보 관리 방법.Information management method of the terminal further comprising.
KR1020070116430A 2007-11-15 2007-11-15 Apparatus and method for information management of terminal KR100955347B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020070116430A KR100955347B1 (en) 2007-11-15 2007-11-15 Apparatus and method for information management of terminal

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070116430A KR100955347B1 (en) 2007-11-15 2007-11-15 Apparatus and method for information management of terminal

Publications (2)

Publication Number Publication Date
KR20090050152A KR20090050152A (en) 2009-05-20
KR100955347B1 true KR100955347B1 (en) 2010-04-29

Family

ID=40858653

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070116430A KR100955347B1 (en) 2007-11-15 2007-11-15 Apparatus and method for information management of terminal

Country Status (1)

Country Link
KR (1) KR100955347B1 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9135449B2 (en) * 2012-07-24 2015-09-15 Electronics And Telecommunications Research Institute Apparatus and method for managing USIM data using mobile trusted module
KR101474744B1 (en) * 2012-07-24 2014-12-30 한국전자통신연구원 Apparatus and method for managing usim data of device by using mobile trusted module

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050042391A (en) * 2003-11-03 2005-05-09 삼성전자주식회사 Portable terminal capable of coping data between subscriber identification module cards and method for coping data using that
KR20060090262A (en) * 2003-11-17 2006-08-10 인텔 코오퍼레이션 Method and system to provide a trusted channel within a computer system for a sim device
JP2007201775A (en) 2006-01-26 2007-08-09 Dainippon Printing Co Ltd Uim card
JP2007220071A (en) 2006-01-18 2007-08-30 Pfu Ltd Information processor, information processing method, and program

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050042391A (en) * 2003-11-03 2005-05-09 삼성전자주식회사 Portable terminal capable of coping data between subscriber identification module cards and method for coping data using that
KR20060090262A (en) * 2003-11-17 2006-08-10 인텔 코오퍼레이션 Method and system to provide a trusted channel within a computer system for a sim device
JP2007220071A (en) 2006-01-18 2007-08-30 Pfu Ltd Information processor, information processing method, and program
JP2007201775A (en) 2006-01-26 2007-08-09 Dainippon Printing Co Ltd Uim card

Also Published As

Publication number Publication date
KR20090050152A (en) 2009-05-20

Similar Documents

Publication Publication Date Title
JP6275653B2 (en) Data protection method and system
US11968206B2 (en) Non-custodial tool for building decentralized computer applications
US7571489B2 (en) One time passcode system
US20200259637A1 (en) Management and distribution of keys in distributed environments
US20110085664A1 (en) Systems and methods for managing multiple keys for file encryption and decryption
JP5006817B2 (en) Authentication information generation system, authentication information generation method, client device, and program
US20160337124A1 (en) Secure backup and recovery system for private sensitive data
US11831753B2 (en) Secure distributed key management system
CN104412273A (en) Method and system for activation
US11394543B2 (en) System and method for secure sensitive data storage and recovery
CN107920052B (en) Encryption method and intelligent device
Gejibo et al. Secure data storage for mobile data collection systems
TWI476629B (en) Data security and security systems and methods
JP2010011109A (en) Authentication unit, authentication terminal, authentication system, authentication method, and program
US10623400B2 (en) Method and device for credential and data protection
JP4794970B2 (en) Secret information protection method and communication apparatus
Mancini et al. Secure mobile data collection systems for low-budget settings
KR100955347B1 (en) Apparatus and method for information management of terminal
CN101355424B (en) Method for safely migrating handhold equipment data
JP7079528B2 (en) Service provision system and service provision method
JP2007060581A (en) Information management system and method
US9135449B2 (en) Apparatus and method for managing USIM data using mobile trusted module
CN113342896B (en) Scientific research data safety protection system based on cloud fusion and working method thereof
CN115801232A (en) Private key protection method, device, equipment and storage medium
KR101327193B1 (en) A user-access trackable security method for removable storage media

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130325

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20160330

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20170327

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20180406

Year of fee payment: 9

LAPS Lapse due to unpaid annual fee