KR100955347B1 - Apparatus and method for information management of terminal - Google Patents
Apparatus and method for information management of terminal Download PDFInfo
- Publication number
- KR100955347B1 KR100955347B1 KR1020070116430A KR20070116430A KR100955347B1 KR 100955347 B1 KR100955347 B1 KR 100955347B1 KR 1020070116430 A KR1020070116430 A KR 1020070116430A KR 20070116430 A KR20070116430 A KR 20070116430A KR 100955347 B1 KR100955347 B1 KR 100955347B1
- Authority
- KR
- South Korea
- Prior art keywords
- key
- information
- terminal
- backup
- stored
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
본 발명은 단말기의 정보 관리 장치 및 그 방법에 관한 것이다.The present invention relates to an information management apparatus of a terminal and a method thereof.
본 발명에서는, 단말기에 저장된 정보를 보안할 수 있는 적어도 하나의 키(Key) 및 데이터를 정보 저장소에 저장한다. 그리고, 사용자의 요청 사항이나, 단말기의 변경, 분실 및 고장 등에 대비하기 위해, 정보 저장소에 저장된 키 및 데이터를 단말기에 탈부착 되는 백업 장치 중 하나인 범용 가입자 식별 모듈(USIM)로 이동 저장시킨다. 이후, 사용자의 요청 사항에 따라, 백업 장치로 이동 저장시킨 키 또는 데이터를 소정의 인증 절차를 거쳐 백업 장치로부터 제공 받는다. 그리고, 제공 받은 키 또는 데이터를 정보 저장소에 저장한다. In the present invention, at least one key and data capable of securing the information stored in the terminal are stored in the information store. In order to prepare for a user's request, change, loss, and failure of the terminal, the key and data stored in the information storage are moved and stored to the universal subscriber identity module (USIM), which is one of the backup devices detachable from the terminal. Thereafter, according to the request of the user, the key or data moved to and stored in the backup device is provided from the backup device through a predetermined authentication procedure. Then, the provided key or data is stored in the information store.
이를 통해, 단말기 사용자 및 관계자에게 보다 안전하고 편리한 정보 관리 서비스를 제공한다. Through this, it provides a safer and more convenient information management service to terminal users and related parties.
신뢰 보안 플랫폼 모듈(TPM), 범용 가입자 식별 모듈(USIM), 키, 정보 보안 Trusted Security Platform Module (TPM), Universal Subscriber Identity Module (USIM), Keys, Information Security
Description
본 발명은 단말기의 정보 관리 장치 및 그 방법에 관한 것으로서, 보다 상세하게는 범용 가입자 식별 모듈을 이용하여 단말기의 정보를 관리하는 장치 및 그 방법에 관한 것이다. The present invention relates to an information management apparatus of a terminal and a method thereof, and more particularly, to an apparatus and method for managing information of a terminal using a universal subscriber identity module.
본 발명은 정보통신부 및 정보통신연구진흥원의 IT성장동력기술개발사업의 일환으로 수행한 연구로부터 도출된 것이다[과제관리번호: 2006-S-041-02, 과제명: 차세대 모바일 단말기의 보안 및 신뢰 서비스를 위한 공통 보안 핵심 모듈 개발].The present invention is derived from the research conducted as part of the IT growth engine technology development project of the Ministry of Information and Communication and the Ministry of Information and Telecommunication Research and Development. [Task Management Number: 2006-S-041-02, Title: Security and Reliability of Next Generation Mobile Terminals] Develop common security core modules for services.
최근 들어, 컴퓨터 시스템을 포함한 각종 단말기 등에 대한 보안 위협이 급증하면서, 그 해결 방안을 다양한 각도에서 검색 및 개발하고 있다. 이중, 소프트웨어적인 보안 방식이 대다수를 이루는데, 이는 그 특성상 여러 문제점들이 발견되고 있다.In recent years, as security threats to various terminals including computer systems have rapidly increased, solutions for them have been searched and developed from various angles. Among them, the software security method is the majority, which is characterized by a number of problems.
실제로 소프트웨어적인 보안 방식은 예를 들어, 사용자가 자신이 가지고 있던 데이터 저장소를 분실하게 되면, 분실된 저장소에 저장되어 있던 개인적인 데이터는 고스란히 유출된다. 또한, 기존의 보안 방식은 암호화 키가 쉽게 외부에 노출 될 수 있기 때문에, 해킹의 위협시 아무런 보호 기능을 하지 못한다. In fact, software security means that if a user loses his or her data store, for example, personal data stored in the lost store is completely leaked out. In addition, the existing security method does not provide any protection against the threat of hacking because the encryption key can be easily exposed to the outside.
이로 인해, 각종 문제점들을 해결하기 위한 방안으로서 하드웨어를 사용한 보안 방식이 제안되고 있다. 그 중 하나가 바로 TCG(Trusted Computing Group, 이하 'TCG'라 함)의 TPM(Trusted Platform Module : 신뢰할 수 있는 플랫폼 모듈, 이하 'TPM' 또는 '정보 보안 칩' 또는 '신뢰 보안 플랫폼 모듈'이라 함) 칩이다.For this reason, a security method using hardware has been proposed as a solution for solving various problems. One of them is called Trusted Platform Module (TCM) of Trusted Computing Group (TCG) (Trusted Platform Module, `` TPM '' or `` Information Security Chip '' or `` Trusted Security Platform Module ''). ) Chip.
구체적으로, TPM 칩은 CPU 프로세서와는 달리 단순히 키 값이나 패스워드, 디지털 인증서 등을 저장할 수 있는 저장 공간을 제공함과 동시에, 암호화 엔진을 제공한다. 즉, 각각의 TPM 칩은 제조될 때 고유의 키인 EK(Endorsement Key) 및 SRK(Storage Root Key)가 할당되는데, 이 키 값들은 칩 외부로 나가지 못하게 되어 있다.Specifically, unlike the CPU processor, the TPM chip simply provides a storage space for storing key values, passwords, digital certificates, and the like, and provides an encryption engine. That is, each TPM chip is assigned a unique key, EK (Endorsement Key) and SRK (Storage Root Key) when manufactured, and these key values are prevented from going out of the chip.
따라서, TPM 칩은 그 특성상 기존의 소프트웨어적인 보안 방식이 가지는 여러 취약점들을 보안할 수 있어, 근래 들어 사용자 및 관계자들에게 각광받고 있는 추세이다.Therefore, the TPM chip is able to secure various vulnerabilities of the existing software security method due to its characteristics, and is recently being spotlighted by users and related parties.
TCG는 지난 2003년에 결성된 일종의 컨소시엄으로서, 그 동안 컴퓨터, 휴대폰 및 PDA 등에 사용될 보안 규격을 마련해 공개하고 있다. 그 예로, 단말기에 장착된 TPM 칩이 동작하지 않거나, 또는 단말기 분실 및 변경시 요구되는 중요 데이터의 백업, 이동 매커니즘을 위한 기능 및 명령어 등을 정의하고 있다.TCG, a consortium formed in 2003, has developed and published security standards for computers, mobile phones and PDAs. For example, the TPM chip mounted on the terminal does not operate or backups important data required when the terminal is lost or changed, and defines functions and commands for a moving mechanism.
그러나, TCG에서 정의한 규격은 정보 보안에 있어서 플랫폼(Platform)이나 TPM 칩 제조사의 참여를 필수적으로 요구하며, 일부 기능에 대해서는 선택 사항으로 규정하고 있어, 현재 일부 칩 제조업체에서는 그 일부 기능을 처음부터 배제하 고 제공하지 않는 경우도 있다.However, the specifications defined by the TCG require the participation of platform or TPM chip manufacturers in information security, and some functions are optional, and some chip manufacturers currently exclude some functions from the beginning. If you do not provide.
따라서, 각종 단말기에 저장된 개인적인 정보 보안 및 관리에 있어, 사용자 및 관계자들에게 기존 방식보다 향상된 안정성 및 편의성을 제공할 수 있는 방안이 현실적으로 요구되고 있는 실정이다. Therefore, in the security and management of personal information stored in various terminals, there is a demand for a method that can provide users and related parties with improved stability and convenience than conventional methods.
본 발명이 이루고자 하는 기술적 과제는 단말기의 정보 보안을 위해 사용하는 키 및 데이터를 백업 장치로 백업(Back-up)시키며, 백업된 키 및 데이터를 백업 장치로부터 제공 받아 단말기에 저장할 수 있는 장치 및 그 방법을 제공하기 위한 것이다.An object of the present invention is to back-up the key and data used for the information security of the terminal to the backup device (Back-up), the device and the device that can receive the backup key and data from the backup device and stored in the terminal It is to provide a method.
이러한 목적을 달성하기 위한 본 발명의 특징에 따른 단말기의 정보 관리 장치는, 적어도 하나의 키(Key) 및 데이터가 저장되는 정보 저장소; 상기 정보 저장소에 저장된 키 및 데이터 중 적어도 하나를 이용하여 상기 단말기에 저장되는 정보를 보안하는 정보 보안 칩; 및 상기 정보 저장소에 저장된 키 및 데이터 중 적어도 하나를 상기 단말기에 탈부착 되는 백업 장치로 이동 저장시키며, 상기 이동 저장시킨 키 및 데이터 중 적어도 하나를 상기 백업 장치로부터 제공 받아 상기 정보 저장소에 저장하는 정보 관리기를 포함한다.According to an aspect of the present invention, there is provided an information management apparatus of a terminal, including: an information store in which at least one key and data are stored; An information security chip that secures information stored in the terminal using at least one of a key and data stored in the information storage; And store and move at least one of the key and data stored in the information store to a backup device detachable from the terminal, and receive and store at least one of the moved and stored keys and data in the information store. It includes.
또한, 본 발명의 다른 특징에 따른 단말기의 정보 관리 방법은, 단말기에 저장된 정보를 보안하는 적어도 하나의 키(Key) 및 데이터를 정보 저장소에 저장하는 단계; 상기 저장된 키를 상기 단말기에 탈부착 되는 백업 장치로 이동 저장하길 요청하는 메시지인 백업 요청 메시지를 생성한 후, 상기 생성된 백업 요청 메시지를 상기 백업 장치로 전송하는 단계; 상기 전송된 백업 요청 메시지에 따라, 상기 백업 장치로부터 제공되는 적어도 하나의 키 및 권한 검증 데이터를 이용하여 상기 저장된 키를 암호화하는 단계; 및 상기 암호화된 결과 값과 사전 생성한 일회용 키를 상기 백업 장치로 전송하는 단계를 포함한다.Further, an information management method of a terminal according to another aspect of the present invention, the method comprising the steps of: storing at least one key and data for securing the information stored in the terminal in the information storage; Generating a backup request message which is a message requesting to move and store the stored key to a backup device detachable from the terminal, and then transmitting the generated backup request message to the backup device; Encrypting the stored key using at least one key and authority verification data provided from the backup device according to the transmitted backup request message; And transmitting the encrypted result value and the pre-generated disposable key to the backup device.
본 발명에 따르면, 단말기의 정보 보안을 위해 신뢰 보안 플랫폼 모듈에서 사용하는 키 및 데이터를 단말기에 탈부착 되는 백업 장치, USIM으로 백업시키거나, 백업된 키 및 데이터를 USIM으로부터 제공 받아 단말기에 내장된 신뢰 보안 플랫폼 모듈에 저장한다. 이를 통해, 단말기 사용자 및 관계자에게 보다 안전하고 편리한 정보 관리 서비스를 제공할 수 있다. According to the present invention, the key and data used in the trusted security platform module for the information security of the terminal backed up with a backup device detached from the terminal, USIM, or provided with the backed up key and data from the USIM trust built into the terminal Stored in the security platform module. Through this, it is possible to provide a more secure and convenient information management service to the terminal user and the related party.
아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시 예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시 예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings so that those skilled in the art may easily implement the present invention. As those skilled in the art would realize, the described embodiments may be modified in various different ways, all without departing from the spirit or scope of the present invention. In the drawings, parts irrelevant to the description are omitted in order to clearly describe the present invention, and like reference numerals designate like parts throughout the specification.
명세서 전체에서, 어떤 부분이 어떤 구성 요소를 "포함" 한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. 또한, 명세서에 기재된 "…부", "…기", "모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.Throughout the specification, when a part is said to "include" a certain component, it means that it can further include other components, except to exclude other components unless specifically stated otherwise. In addition, the terms “… unit”, “… unit”, “module”, etc. described in the specification mean a unit that processes at least one function or operation, which may be implemented by hardware or software or a combination of hardware and software. have.
또한, 이하 본 발명의 실시 예에서는 보안 칩 중의 하나인 TPM(Trusted Platform Module)에 저장된 정보를 관리하는 것에 대해 설명한다. 하지만, 본 발명이 이에 한정되는 것은 아니며, 경우에 따라서는 단말기 내 다른 메모리 또는 모듈 등에 저장된 정보를 관리하는 것에 대해 적용할 수 있다.In addition, in the following embodiment of the present invention will be described for managing the information stored in the Trusted Platform Module (TPM) which is one of the security chip. However, the present invention is not limited thereto, and in some cases, the present invention may be applied to managing information stored in another memory or module in the terminal.
또한, 이하 본 발명의 실시 예에서는 설명의 편의를 위하여 보안 칩에 저장된 정보를 단말기에 탈부착 되는 백업 장치로 이동 저장시키는 것을 '백업'이라 명명하며, 백업된 정보를 백업 장치로부터 제공 받아 저장시키는 것을 '복구'라 명명한다.In addition, in the following embodiments of the present invention for convenience of description, moving and storing the information stored in the security chip to the backup device detachable from the terminal is called a 'backup', and to store the backup information received from the backup device Named 'recovery'.
먼저, 본 발명의 실시 예에 따른 단말기의 정보 관리 장치에 대해 알아본다.First, an information management apparatus of a terminal according to an embodiment of the present invention will be described.
도 1은 본 발명의 실시 예에 따른 단말기의 정보 관리 장치를 도시한 도면이다.1 is a diagram illustrating an information management apparatus of a terminal according to an exemplary embodiment of the present invention.
도 1에 도시된 바와 같이, 본 발명의 실시 예에 따른 정보 관리 장치(100)는 단말기(200) 내에 포함되며, 정보 저장소(Protected storage, 110), 신뢰 보안 플랫폼 모듈(Trusted Platform Module, 120), 정보 관리기(130) 및 입출력 인터페이스부(140)를 포함한다.As shown in FIG. 1, the
그리고, 정보 관리기(130)는 백업 요청부(131), 백업 수행부(132), 복구 요청부(133) 및 복구 수행부(134)를 포함한다.The
또한, 본 발명의 실시 예에 따른 USIM(Universal Subscriber Identity Module : 범용 가입자 식별 모듈, 이하 'USIM'이라 함, 300)은 단말기(200)에 탈부착 되는 백업 장치 중 하나로서, 메모리(310) 및 서비스 지원부(320)를 포함한다.In addition, the Universal Subscriber Identity Module (USIM) according to an embodiment of the present invention (hereinafter referred to as "USIM", 300) is one of the backup devices detachably attached to the
참고로, 서비스 지원부(320)는 신뢰 보안 플랫폼 모듈(120)과 관련된 키 및 데이터를 백업하거나 복구하는 카드 애플릿(Card Applet)이다.For reference, the
구체적으로, 정보 저장소(110)는 고유 키인 SRK(Storage Root Key, 이하 'SRK'라 함)를 중심으로 계층 구조를 이루는 적어도 하나의 키(Key) 및 데이터(Secret data)가 함께 저장된다. In detail, the
신뢰 보안 플랫폼 모듈(120)은 정보 보호시 사용하는 적어도 하나의 키 및 데이터(예를 들어, 패스워드 및 디지털 인증서 등)를 정보 저장소(110)에 저장 및 관리한다. The trust
정보 관리기(130)는 신뢰 보안 플랫폼 모듈(120)이 정보 저장소(110)에 저장한 키 및 데이터 및 신뢰 보안 플랫폼 모듈(120)에 저장된 키 및 데이터를 USIM(300)으로 백업시키며, 백업된 정보를 USIM(300)으로부터 제공 받아 신뢰 보안 플랫폼 모듈(120) 및 정보 저장소(110)에 저장시킨다.The
구체적으로, 정보 관리기(130)의 백업 요청부(131)는 신뢰 보안 플랫폼 모듈(120) 및 정보 저장소(110)에 저장된 적어도 하나의 키를 USIM(300)으로 이동 저장, 즉 백업(Back-up)하길 요청하는 메시지(이하 '백업 요청 메시지'라 함)를 생성한 후, 생성된 백업 요청 메시지를 USIM(300)으로 전송한다. Specifically, the
참고로, 본 발명의 실시 예에 따른 정보 관리 장치(100)는 APDU(Application Protocol Data Unit, 이하 'APDU'라 함) 형태로 메시지를 생성하여 USIM(300)으로 전송한다. 그리고, USIM(300) 역시 수신된 메시지에 대한 응답 메시지를 APDU 형태로 생성하여 정보 관리 장치(100)로 전송한다.For reference, the
백업 수행부(132)는 전송한 백업 요청 메시지에 따라, USIM(300)으로부터 제 공되는 데이터(키 및 권한 검증 데이터 등)를 이용하여 백업하고자 하는 키를 소정의 형태로 변환한다. 그리고, 변환된 키 및 자체적으로 생성한 일회용 키(One-time pad)에 대해 비 등가 연산(예를 들어, Exclusive-or operation 등)을 수행한다. The
이어, 백업 수행부(132)는 수행된 결과 값을 앞서 USIM(300)으로부터 제공 받은 데이터(키)를 통해 암호화한 후, 암호화된 최종적인 결과 값 및 앞서 생성된 일회용 키를 USIM(300)으로 송신한다. Subsequently, the
복구 요청부(133)는 USIM(300)으로 백업시킨 적어도 하나의 키를 단말기(200)로 이동 저장, 즉 복구하길 요청하는 메시지(이하 '복구 요청 메시지'라 함)를 생성한 후, 생성된 복구 요청 메시지를 USIM(300)으로 전송한다. The
복구 수행부(134)는 전송한 복구 요청 메시지에 따라, USIM(300)으로부터 제공 받는 데이터를 소정 형태로 변환한 후, 변환된 결과 값 내의 적어도 하나의 키를 신뢰 보안 플랫폼 모듈(120)을 통해 정보 저장소(110) 또는 신뢰 보안 플랫폼 모듈(120) 내에 저장한다. The
입출력 인터페이스부(140)는 정보 관리 장치(100) 및 USIM(300)간의 데이터 송수신을 지원한다.The input /
다음, USIM(300)은 단말기(200)로부터 적어도 하나의 키 및 데이터를 백업 받아 메모리(310)에 저장시키며, 메모리(310)에 저장된 키 및 데이터를 사용자의 요청 사항에 따라 단말기(200)로 제공한다.Next, the USIM 300 receives at least one key and data from the
구체적으로, USIM(300)의 메모리(310)는 단말기(200)로부터 백업 받은 키 및 데이터 뿐만 아니라, 이동 공용 키(Migration Public Key, 311), 이동 개인 키(Migration Private Key, 312), 권한 검증 데이터(Authorization Data, 313), 유 지 공용 키(Maintenance Public Key, 314) 및 유지 개인 키(Maintenance Private Key, 315) 값이 저장된다. In detail, the
서비스 지원부(320)는 정보 관리기(130)로부터 백업 요청 메시지가 수신되면, 메모리(310)에 저장된 정보 중 이동 공용 키 및 권한 검증 데이터를 APDU 형태로 변환하여 정보 관리기(130)로 제공한다. 그리고, 제공된 정보에 따라 해당 단말기로부터 백업되는 키 및 데이터를 메모리(310)에 저장한다.When the backup request message is received from the
또한, 서비스 지원부(320)는 정보 관리기(130)로부터 복구 요청 메시지가 수신되면, 소정의 사용자 인증 절차(예를 들어, 비밀번호 일치 등)를 수행한다.In addition, when the recovery request message is received from the
그리고, 수행된 결과에 따라 메모리(320)에 저장된 데이터를 이동 개인 키(312)로 복호화한 후, 복호화된 결과 값을 정보 관리기(130)로부터 전달된 공용 키(Public key)를 이용하여 암호화한다. 그리고, 암호화된 결과 값 및 일회용 키를 정보 관리 장치(100)로 제공한다. After decrypting the data stored in the
이처럼, 본 발명의 실시 예에 따른 정보 관리 장치(100)는 신뢰 보안 플랫폼 모듈(120)이 정보 보안을 위해 사용하는 키 및 데이터를 단말기(200)와 탈부착 되는 백업 장치 중 하나인 USIM(300)으로 백업시킨다. 그리고, 백업된 키 및 데이터를 USIM(300)으로부터 제공 받아 단말기(100) 내 해당 공간에 저장시킨다. As such, the
이를 통해, 본 발명의 실시 예에 따르면, 단말기 사용자 또는 신뢰 보안 플랫폼 모듈(TPM)을 제조하는 업체 및 관계자로 하여금 일반적인 보안 규격(예를 들어, TCG 규격 등)에 기술된 방식 보다 좀 더 편리하면서 안전한 정보 관리를 제공할 수 있다. In this way, according to an embodiment of the present invention, a terminal user or a company that manufactures a trusted security platform module (TPM) may be more convenient than a method described in a general security standard (eg, TCG standard, etc.). Can provide secure information management.
참고로, 본 발명의 실시 예에서는 정보 관리 장치(100)가 신뢰 보안 플랫폼 모듈(120, TPM)을 통해 정보 저장소(110)에 저장된 키 및 데이터만을 백업시키거나, 또는 복구하는 것에 대해 설명한다. 하지만, 앞서 언급한 바와 같이 본 발명이 이에 한정되는 것은 아니며, 경우에 따라서는 단말기 내 다른 메모리 또는 모듈 등에 저장된 각종 정보를 백업시키거나 복구할 수 있다. For reference, an embodiment of the present invention describes that the
그러면, 위에 기술된 구조로 이루어지는 정보 관리 장치를 토대로, 본 발명의 실시 예에 따른 정보 관리 방법에 대해 설명한다. Next, an information management method according to an embodiment of the present invention will be described based on the information management device having the above-described structure.
먼저, 본 발명의 실시 예에 따른 정보 관리 방법 중, 정보 저장소(110)에 저장된 키 및 데이터를 USIM(300)으로 백업시키는 과정에 대해 알아본다.First, in the information management method according to an embodiment of the present invention, a process of backing up the key and data stored in the
도 2는 도 1에 도시된 정보 관리 장치의 동작 과정 중, 백업 과정을 순차적으로 도시한 흐름도이다.FIG. 2 is a flowchart sequentially illustrating a backup process of an operation process of the information management apparatus illustrated in FIG. 1.
먼저, 정보 저장소(110)에 저장된 이동 가능한(Migratable) 키를 USIM(300)으로 백업시키는 과정에 대해 알아본다.First, a process of backing up a migratable key stored in the
도 2에 도시되어 있듯이, 단말기 사용자가 정보 저장소(110)에 저장된 키 및 데이터 중 적어도 하나의 키를 백업(S210, S220) 시키고자 하면, 정보 관리 장치(100)의 백업 요청부(131)는 USIM(300)으로 백업 요청 메시지를 전송한다(S230). As shown in FIG. 2, when the terminal user wants to back up at least one of the keys and the data stored in the information storage 110 (S210 and S220), the
그러면, USIM(300)의 서비스 지원부(320)는 수신된 백업 요청 메시지에 따라, 메모리(310)에 저장된 정보 중 이동 공용 키 및 권한 검증 데이터를 APDU 형태로 변환하여 정보 관리기(130)로 제공한다(S231).Then, the
이후, 백업 수행부(132)는 USIM(300)으로부터 제공 받은 데이터(키 및 권한 검증 데이터 등)를 이용하여 백업하고자 하는 키를 소정의 형태로 변환한다(S232). 그리고, 변환된 키 및 자체적으로 생성한 일회용 키(One-time pad)에 대해 비 등가 연산(예를 들어, Exclusive-or operation 등)을 수행한다(S233).Thereafter, the
이후, 백업 수행부(132)는 수행된 결과 값을 앞서 USIM(300)으로부터 제공 받은 데이터(키)를 통해 암호화(S234)한 후, 암호화된 최종적인 결과 값 및 앞서 생성한 일회용 키를 USIM(300)으로 송신한다(S235).Thereafter, the
그러면, USIM(300)의 서비스 지원부(320)는 수신된 데이터를 메모리(310)에 저장한다(S236).Then, the
다음, 단말기(200)에 장착된 신뢰 보안 플랫폼 모듈(120)이 동작하지 않거나, 단말기의 분실 또는 변경 상황 등을 대비하기 위해, 정보 저장소(110)에 저장된 데이터를 USIM(300)으로 백업시키는 과정에 대해 알아본다.Next, the process of backing up the data stored in the
도 2에 도시되어 있듯이, 단말기 사용자가 정보 저장소(110)에 저장된 데이터를 백업(S210, S220) 시키고자 하면, 정보 관리기(130)의 백업 요청부(131)는 USIM(300)으로 백업 요청 메시지를 전송한다(S240).As shown in FIG. 2, when the terminal user wants to back up data stored in the information storage 110 (S210 and S220), the
그러면, USIM(300)의 서비스 지원부(320)는 수신된 백업 요청 메시지에 따라, 메모리(310)에 저장된 유지 공용 키(314)를 읽어 들여 정보 관리기(130)로 제공한다(S241).Then, the
이후, 백업 수행부(132)는 USIM(300)으로부터 제공 받은 유지 공용 키(314)를 소정의 기능(TPM_LoadManuMaintPub)을 통해 신뢰 보안 플랫폼 모듈(120)이 관리하는 정보 저장소(110)에 저장한다(S242). Thereafter, the
이후, 신뢰 보안 플랫폼 모듈(120)은 소정의 기능(TPM_CreateMaintenance- Archive)을 통해 정보 저장소(110)에 저장된 SRK 및 권한 검증 데이터 등을 소정의 형태로 변환하여 안전환 데이터 구조로 만든다(S243). Thereafter, the trust
그리고, 신뢰 보안 플랫폼 모듈(120)은 난수(Random number) 또는 사용 인가(Usage Authorization) 정보로부터 생성한 문자열(String)을 앞서 만든 안전한 데이터 구조와 함께 비 등가 연산(예를 들어, Exclusive-or operation 등) 시킨다(S244). 이어, 그 결과 값을 앞서 USIM(300)으로부터 제공 받은 유지 공용 키(314)로 암호화한다(S245).In addition, the trust
이후, 백업 수행부(132)는 암호화된 최종 결과 값과, 난수 또는 사용 인가 정보로부터 생성한 문자열을 함께 APDU 형태로 변환하여 USIM(300)으로 전송한다(S246).Subsequently, the
그러면, USIM(300)의 서비스 지원부(320)는 수신된 데이터를 메모리(310)에 저장한다(S247).Then, the
다음, 본 발명의 실시 예에 따른 정보 관리 방법 중, USIM(300)으로부터 키 및 데이터를 제공 받아 단말기(200)에 저장하는 과정에 대해 알아본다.Next, in the information management method according to an embodiment of the present invention, a process of receiving a key and data from the
도 3은 도 1에 도시된 정보 관리 장치의 동작 과정 중 복구 과정을 순차적으로 도시한 흐름도이다.3 is a flowchart sequentially illustrating a recovery process of an operation process of the information management apparatus illustrated in FIG. 1.
먼저, USIM(300)으로부터 이동 가능한(Migratable) 키를 제공 받아 정보 저장소(110)에 저장하는 과정에 대해 알아본다.First, a process of receiving a migratable key from the
도 3에 도시되어 있듯이, 단말기 사용자가 USIM(300)으로 백업시킨 적어도 하나의 키를 정보 관리 장치(100)의 정보 저장소(110)로 이동 저장, 즉 복구(S310, S320)하길 요청하면, 복구 요청부(133)는 복구 요청 메시지를 USIM(300)으로 전송한다(S330).As shown in FIG. 3, when the terminal user requests to move and store at least one key backed up to the
이때, 복구 요청 메시지는 이동 가능한 키(Migratable key)를 암호화할 수 있는 공용 키(Public key)를 포함한다.At this time, the recovery request message includes a public key that can encrypt a migratable key.
그러면, USIM(300)의 서비스 지원부(320)는 소정의 사용자 인증 절차(예를 들어, 비밀번호 일치 등)를 수행한다(S331).Then, the
이후, 서비스 지원부(320)는 수행된 인증 철차에 따라 메모리(320)에 저장된 보호 데이터를 이동 개인 키(312)로 복호화(S332)한 후, 복호화된 결과 값을 복구 요청 메시지 내에 포함된 공용 키(Public key)를 이용하여 암호화한다(S333). Thereafter, the
그리고, 서비스 지원부(320)는 암호화된 결과 값 및 일회용 키를 정보 관리 장치(100)로 제공한다(S334). In addition, the
이후, 정보 관리 장치(100)의 복구 수행부(134)는 USIM(300)으로부터 제공 받은 데이터를 소정 형태로 변환한 후, 변환된 결과 값 내의 적어도 하나의 키를 신뢰 보안 플랫폼 모듈(120)을 통해 정보 저장소(110)에 저장한다(S335). Thereafter, the
이후, 복구 수행부(130)는 정보 저장소(110)에 해당 키가 성공적으로 저장되었음을 알리는 보고 메시지를 USIM(300)으로 전송(S336)하며, USIM(300)의 서비스 지원부(320)는 수신된 보고 메시지에 따라 메모리(310)에 저장된 이동(Migration) 관련 정보를 삭제한다(S337).Thereafter, the
다음, 단말기의 분실 또는 변경 상황 등에 대비하기 위해 USIM(300)에 백업 된 신뢰 보안 플랫폼 모듈(120)의 데이터를 정보 저장소(110)에 저장하는 과정에 대해 알아본다.Next, the process of storing the data of the trust
도 3에 도시되어 있듯이, 단말기 사용자가 USIM(300)으로 백업시킨 데이터를 정보 관리 장치(100)의 정보 저장소(110)로 이동 저장, 즉 복구(S310, S320)하길 요청하면, 복구 요청부(133)는 복구 요청 메시지를 USIM(300)으로 전송한다(S340).As shown in FIG. 3, when the terminal user requests to move and store the data backed up to the
이때, 복구 요청 메시지는 신뢰 보안 플랫폼 모듈(120)의 데이터를 암호화할 수 있는 공용 키(Public key)를 포함한다.In this case, the recovery request message includes a public key that can encrypt data of the trusted
그러면, USIM(300)의 서비스 지원부(320)는 사용자 인증 절차에 따라 단말기 사용자에게 비밀 번호를 요청한다(S341). 그리고, 그 인증 결과에 따라 메모리(310)에 저장된 보호 데이터를 유지 개인 키(315)로 복호화한다(S342).Then, the
이후, 서비스 지원부(320)는 복호화된 결과 값을 복구 요청 메시지 내에 포함된 공용 키(Public key)를 이용하여 암호화한다(S343). Thereafter, the
이후, 서비스 지원부(320)는 암호화된 결과 값을, 난수 또는 사용 인가 정보로부터 생성한 문자열과 함께 APDU 형태로 변환시켜 정보 관리 장치(100)로 전송한다(S344).Thereafter, the
그러면, 정보 관리 장치(100)의 복구 수행부(134)는 수신된 메시지로부터 SRK, 권한 검증 데이터 및 신뢰 보안 플랫폼 모듈을 식별할 수 있는 고유 데이터 값(tpmproof)을 추출한 후, 추출된 값을 신뢰 보안 플랫폼 모듈(120)을 통해 정보 저장소(110)에 저장한다(S345). Then, the
참고로, 정보 저장소(110)에 저장된 키 및 데이터의 구조에 대한 표시 예가 첨부된 도 4이다.For reference, a display example of the structure of the key and data stored in the
도 4는 본 발명의 실시 예에 따라 정보 저장소에 저장된 키 및 데이터의 구조를 도시한 도면이다.4 is a diagram illustrating a structure of keys and data stored in an information store according to an exemplary embodiment of the present invention.
도 4에 도시되어 있듯이, 정보 저장소(110)에는 신뢰 보안 플랫폼 모듈(120)의 소유자가 소유권 획득(TakeOwnership) 과정을 수행하면 생성되는 고유 키인 SRK(401)가 루트(Root) 역할을 수행하며, SRK(401)를 중심으로 계층 구조를 이루는 서명 키(Signature key, 402), 보호 데이터(Secret data, 403) 및 저장 키(Storage key, 404)가 저장된다. 그리고, 저장 키(404)를 중심으로 적어도 하나의 다른 저장 키(405~400n)가 트리 형태로 저장된 구조를 이룬다. As shown in FIG. 4, in the
구체적으로, 하나의 저장 키(404, 일명 부모 키)를 이용하여 적어도 하나의 다른 저장 키(405~408)를 암호화할 수 있으며, 특정 키(405)를 사용하고자 할 경우, 특정 키(405)와 그 키의 부모 키(404)를 모두 신뢰 보안 플랫폼 모듈(120)의 키 슬롯(Slot)으로 로딩한 후, 내부에서 복호화를 수행한다.Specifically, at least one
한편, 본 발명은 단말기(200)의 변경, 분실 및 고장 등에 대비하기 위해, USIM(300)의 메모리(310)에 제조사만이 소유할 수 있는 유지 공용 키 쌍(Maintenance key pair)을 저장시켜 제공한다. On the other hand, the present invention is provided by storing a maintenance common key pair (maintenance key pair) that can be owned only by the manufacturer in the
일반적으로, 유지 공용 키 쌍은 오직 제조사만이 소유하고 사용할 수 있는 값으로 명시(TCG 규격)되어 있다. 하지만, 본 발명은 USIM(300) 그 자체가 제조사의 역할을 수행할 수 있도록, USIM(300)에 유지 공용 키 쌍을 저장시켜 제공한다.In general, a maintenance public key pair is specified (TCG specification) with values that only the manufacturer can own and use. However, the present invention provides a storage public key pair stored in the
또한, 유지 공용 키 쌍을 USIM(300)에 저장하기 위해서는 USIM 관리자의 PIN(Personal Identification Number : 개인 식별 번호)을 알아야 한다. 이는, 관리자만이 유지 공용 키 값을 USIM(300)에 저장시키거나, 읽어 올 수 있도록 함으로써, 물리적인 안정성을 제공하는 USIM을 통해 신뢰 보안 플랫폼 모듈(TPM)의 정보를 보다 안전하고 편리하게 관리할 수 있도록 한다.In addition, in order to store the maintenance public key pair in the
이처럼, 본 발명의 실시 예에 따른 단말기의 정보 관리 장치는 제조업체나 관계자의 참여를 배제시켜 그로 인한 신뢰성 및 안전성 향상을 이룬다. 그리고, 단말기의 변경, 분실 및 고장 시에 USIM으로부터 정보 보안에 필요한 키 및 데이터를 제공 받아 복구 작업을 수행함으로써, 사용자 및 관계자로 하여금 서비스 만족도 증대를 이룰 수 있다.As such, the information management apparatus of the terminal according to the embodiment of the present invention achieves reliability and safety improvement by excluding participation of a manufacturer or a related party. In addition, when the terminal is changed, lost, or broken down, the USIM receives the key and data necessary for the security of the information, and performs a recovery operation, thereby increasing the service satisfaction of the user and the related person.
이상에서 설명한 본 발명의 실시 예는 장치 및 방법을 통해서만 구현이 되는 것은 아니며, 본 발명의 실시 예의 구성에 대응하는 기능을 실현하는 프로그램 또는 그 프로그램이 기록된 기록 매체를 통해 구현될 수도 있으며, 이러한 구현은 앞서 설명한 실시 예의 기재로부터 본 발명이 속하는 기술 분야의 전문가라면 쉽게 구현할 수 있는 것이다. The embodiments of the present invention described above are not implemented only through the apparatus and the method, but may be implemented through a program for realizing a function corresponding to the configuration of the embodiment of the present invention or a recording medium on which the program is recorded. Implementation can be easily implemented by those skilled in the art from the description of the above-described embodiments.
이상에서 본 발명의 실시 예에 대하여 상세하게 설명하였지만 본 발명의 권리 범위는 이에 한정되는 것은 아니고 다음의 청구 범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.Although the embodiments of the present invention have been described in detail above, the scope of the present invention is not limited thereto, and various modifications and improvements of those skilled in the art using the basic concepts of the present invention defined in the following claims are also provided. It belongs to the scope of rights.
도 1은 본 발명의 실시 예에 따른 단말기의 정보 관리 장치를 도시한 도면이다.1 is a diagram illustrating an information management apparatus of a terminal according to an exemplary embodiment of the present invention.
도 2는 도 1에 도시된 정보 관리 장치의 동작 과정 중, 백업 과정을 순차적으로 도시한 흐름도이다.FIG. 2 is a flowchart sequentially illustrating a backup process of an operation process of the information management apparatus illustrated in FIG. 1.
도 3은 도 1에 도시된 정보 관리 장치의 동작 과정 중, 복구 과정을 순차적으로 도시한 흐름도이다.FIG. 3 is a flowchart sequentially illustrating a recovery process of an operation process of the information management apparatus shown in FIG. 1.
도 4는 본 발명의 실시 예에 따라 정보 저장소에 저장된 키 및 데이터의 구조를 도시한 도면이다.4 is a diagram illustrating a structure of keys and data stored in an information store according to an exemplary embodiment of the present invention.
Claims (8)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020070116430A KR100955347B1 (en) | 2007-11-15 | 2007-11-15 | Apparatus and method for information management of terminal |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020070116430A KR100955347B1 (en) | 2007-11-15 | 2007-11-15 | Apparatus and method for information management of terminal |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20090050152A KR20090050152A (en) | 2009-05-20 |
KR100955347B1 true KR100955347B1 (en) | 2010-04-29 |
Family
ID=40858653
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020070116430A KR100955347B1 (en) | 2007-11-15 | 2007-11-15 | Apparatus and method for information management of terminal |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100955347B1 (en) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9135449B2 (en) * | 2012-07-24 | 2015-09-15 | Electronics And Telecommunications Research Institute | Apparatus and method for managing USIM data using mobile trusted module |
KR101474744B1 (en) * | 2012-07-24 | 2014-12-30 | 한국전자통신연구원 | Apparatus and method for managing usim data of device by using mobile trusted module |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20050042391A (en) * | 2003-11-03 | 2005-05-09 | 삼성전자주식회사 | Portable terminal capable of coping data between subscriber identification module cards and method for coping data using that |
KR20060090262A (en) * | 2003-11-17 | 2006-08-10 | 인텔 코오퍼레이션 | Method and system to provide a trusted channel within a computer system for a sim device |
JP2007201775A (en) | 2006-01-26 | 2007-08-09 | Dainippon Printing Co Ltd | Uim card |
JP2007220071A (en) | 2006-01-18 | 2007-08-30 | Pfu Ltd | Information processor, information processing method, and program |
-
2007
- 2007-11-15 KR KR1020070116430A patent/KR100955347B1/en not_active IP Right Cessation
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20050042391A (en) * | 2003-11-03 | 2005-05-09 | 삼성전자주식회사 | Portable terminal capable of coping data between subscriber identification module cards and method for coping data using that |
KR20060090262A (en) * | 2003-11-17 | 2006-08-10 | 인텔 코오퍼레이션 | Method and system to provide a trusted channel within a computer system for a sim device |
JP2007220071A (en) | 2006-01-18 | 2007-08-30 | Pfu Ltd | Information processor, information processing method, and program |
JP2007201775A (en) | 2006-01-26 | 2007-08-09 | Dainippon Printing Co Ltd | Uim card |
Also Published As
Publication number | Publication date |
---|---|
KR20090050152A (en) | 2009-05-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6275653B2 (en) | Data protection method and system | |
US11968206B2 (en) | Non-custodial tool for building decentralized computer applications | |
US7571489B2 (en) | One time passcode system | |
US20200259637A1 (en) | Management and distribution of keys in distributed environments | |
US20110085664A1 (en) | Systems and methods for managing multiple keys for file encryption and decryption | |
JP5006817B2 (en) | Authentication information generation system, authentication information generation method, client device, and program | |
US20160337124A1 (en) | Secure backup and recovery system for private sensitive data | |
US11831753B2 (en) | Secure distributed key management system | |
CN104412273A (en) | Method and system for activation | |
US11394543B2 (en) | System and method for secure sensitive data storage and recovery | |
CN107920052B (en) | Encryption method and intelligent device | |
Gejibo et al. | Secure data storage for mobile data collection systems | |
TWI476629B (en) | Data security and security systems and methods | |
JP2010011109A (en) | Authentication unit, authentication terminal, authentication system, authentication method, and program | |
US10623400B2 (en) | Method and device for credential and data protection | |
JP4794970B2 (en) | Secret information protection method and communication apparatus | |
Mancini et al. | Secure mobile data collection systems for low-budget settings | |
KR100955347B1 (en) | Apparatus and method for information management of terminal | |
CN101355424B (en) | Method for safely migrating handhold equipment data | |
JP7079528B2 (en) | Service provision system and service provision method | |
JP2007060581A (en) | Information management system and method | |
US9135449B2 (en) | Apparatus and method for managing USIM data using mobile trusted module | |
CN113342896B (en) | Scientific research data safety protection system based on cloud fusion and working method thereof | |
CN115801232A (en) | Private key protection method, device, equipment and storage medium | |
KR101327193B1 (en) | A user-access trackable security method for removable storage media |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20130325 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20160330 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20170327 Year of fee payment: 8 |
|
FPAY | Annual fee payment |
Payment date: 20180406 Year of fee payment: 9 |
|
LAPS | Lapse due to unpaid annual fee |