KR101252707B1 - 통신 장치에 대한 비허가 액세스를 검출하고 이러한 비허가 액세스에 대한 정보를 보안적으로 통신하기 위한 방법 및 장치 - Google Patents

통신 장치에 대한 비허가 액세스를 검출하고 이러한 비허가 액세스에 대한 정보를 보안적으로 통신하기 위한 방법 및 장치 Download PDF

Info

Publication number
KR101252707B1
KR101252707B1 KR1020107022459A KR20107022459A KR101252707B1 KR 101252707 B1 KR101252707 B1 KR 101252707B1 KR 1020107022459 A KR1020107022459 A KR 1020107022459A KR 20107022459 A KR20107022459 A KR 20107022459A KR 101252707 B1 KR101252707 B1 KR 101252707B1
Authority
KR
South Korea
Prior art keywords
computing device
key
request
requesting entity
attack
Prior art date
Application number
KR1020107022459A
Other languages
English (en)
Other versions
KR20100124315A (ko
Inventor
마틴 알. 시르렌
리챠드 지. 호프만
Original Assignee
퀄컴 인코포레이티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 퀄컴 인코포레이티드 filed Critical 퀄컴 인코포레이티드
Publication of KR20100124315A publication Critical patent/KR20100124315A/ko
Application granted granted Critical
Publication of KR101252707B1 publication Critical patent/KR101252707B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2115Third party

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Storage Device Security (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

컴퓨팅 장치에 대한 공격들을 검출하기 위한 방법 및 장치가 제시된다. 이러한 공격들은 장치에 의하여 검출되어 거의 투명한(transparent) 방식으로 요청하는 엔티티에 보고될 수 있다. 상이한 클라이언트/서버 및 클라이언트/네트워크 타입 시스템들을 포함하는 여러 예시적인 실시예들이 제시된다.

Description

통신 장치에 대한 비허가 액세스를 검출하고 이러한 비허가 액세스에 대한 정보를 보안적으로 통신하기 위한 방법 및 장치{METHOD AND APPARATUS FOR DETECTING UNAUTHORIZED ACCESS TO A COMPUTING DEVICE AND SECURELY COMMUNICATING INFORMATION ABOUT SUCH UNAUTHORIZED ACCESS}
본 발명은 일반적으로 보안, 구체적으로 컴퓨팅 장치 또는 컴퓨팅 장치의 특정 기능(feature)들에 대한 비허가 액세스를 검출하는 것에 관한 것이다.
컴퓨팅 장치들이 더욱더 복잡(complex)해짐에 따라, 컴퓨팅 장치들은 더 다-기능화(feature-rich) 되고 있다. 셀룰라 전화들과 같은 장치들은 지금 정교한(sophisticated) 프로세서들을 포함하며, 비디오 및 오디오 재생, 전자 뱅킹 및 보안 정보 저장과 같은 작업(task)들을 수행할 수 있다. 하드웨어, 서비스, 콘텐츠 및 소프트웨어 공급자들은 모두 비허가된 액세스(unauthorized access) 또는 탬퍼링(tampering)으로부터 그들의 자산(asset)들을 보호하는데 관심을 가진다. 예컨대, 셀룰라 전화 공급자는 비디오 또는 오디오 콘텐츠와 같은 특정 "프리미엄(premium)" 전화 기능(feature)들에 대한 액세스를 제한하는 것을 원할 수 있다. 이들 회사들에 의하여 대규모 투자가 이루어지고 셀룰라 전화들과 같은 장치들에 저장되는 정보의 양 및 타입이 중요할때, 데이터에 대한 비허가 복제, 배포 또는 액세스를 방지하는 것이 중요하다.
컴퓨팅 장치에 대한 액세스를 획득하는데 사용되는 다수의 공통적인 방법들이 존재하는데, 상기 방법들은 JTAG(Joint Test Action Group) 포트와 같은 부적절하게 디스에이블 또는 비-디스에이블(non-disable)되는 테스트 인터페이스 포트를 사용하는 것; 컴퓨팅 장치의 설계 온도 또는 전압 허용오차(tolerance)들 밖에서 컴퓨팅 장치를 의도적으로(purposefully) 동작시키는 것; 컴퓨팅 장치가 부착(attach)되는 인쇄회로기판에 컴포넌트들을 추가하거나 또는 트레이스(trace)들을 변경시키는 것; 및 다양한 타입들의 소프트웨어 공격(attack)들을 포함한다. 이들 및 다른 타입들의 공격들의 영향들을 검출하여 완화시키기 위한 하드웨어 및 소프트웨어 모두를 제공하는 것이 가능하다. 컴퓨팅 장치가 통신하는 시스템에 의한 상이한 응답을 가능하게 하도록 공격들의 타입들을 구별할 수 있는 것이 유리하다. 또한, 공격이 검출된 사실에 대하여 공격자들에게 경고하지 않고 장치가 공격을 받는다는 주의(notice)를 제공할 수 있는 것이 유리하다.
특정 실시예에서는 컴퓨팅 장치에 대한 공격(attack)들을 검출하는 것을 포함하는 방법이 개시된다. 컴퓨팅 장치는 공격의 타입을 결정하고 검출된 공격의 타입 및 컴퓨팅 장치의 신원(identity)에 기초하여 응답 키를 형성한다. 컴퓨팅 장치는 요청하는 엔티티로부터의 요청을 수락(accept)한다. 컴퓨팅 장치는 응답 키의 적어도 일부분과 요청의 적어도 일부분을 결합함으로써 변환된 키를 형성한다. 컴퓨팅 장치는 요청하는 엔티티에 대한 응답으로 변환된 키를 제공한다.
다른 특정한 실시예에서는 프로그래밍된 하드웨어 키를 저장하기에 적합한 저장 엘리먼트를 포함하는 컴퓨팅 장치가 개시된다. 컴퓨팅 장치는 컴퓨팅 장치에 대한 공격들을 검출하는데 적합한 공격 검출 회로를 더 포함한다. 컴퓨팅 장치는 공격 검출 회로로부터의 입력 및 프로그래밍된 하드웨어 키 중 적어도 일부분에 기초하여 응답 키를 형성하기에 적합한 회로를 더 포함한다. 컴퓨팅 장치는 요청하는 엔티티로부터의 요청을 수신하기에 적합한 인터페이스 회로를 더 포함한다. 컴퓨팅 장치는 응답 키의 적어도 일부분 및 요청의 적어도 일부분에 기초하여 변환된 키를 생성하기에 적합한 회로를 더 포함한다. 컴퓨팅 장치는 요청하는 엔티티에 변환된 키를 제공하기에 적합한 회로를 더 포함한다.
또 다른 특정 실시예에서는 요청하는 엔티티에서 컴퓨팅 장치에 대한 비허가 액세스에 관한 정보를 보안적으로(securely) 수신하기 위한 방법이 개시된다. 본 방법은 요청하는 엔티티에서 요청을 형성하는 단계를 포함한다. 요청하는 엔티티는 컴퓨팅 장치에 요청을 제공한다. 요청하는 엔티티는 요청의 적어도 일부분, 컴퓨팅 장치의 신원 및 검출된 임의의 공격에 기초하여 컴퓨팅 장치로부터 응답을 수신한다. 응답으로부터, 요청하는 엔티티는 컴퓨팅 장치의 신원 및 검출된 임의의 공격을 결정한다.
또 다른 특정 실시예에서는 컴퓨팅 장치에 대한 공격들에 관한 정보를 보안적으로 수신하기에 적합한 요청하는 엔티티가 개시된다. 요청하는 엔티티는 요청을 형성하기에 적합한 요청 형성 회로를 포함한다. 요청하는 엔티티는 컴퓨팅 장치에 요청을 제공하기에 적합한 회로를 더 포함한다. 요청하는 엔티티는 요청의 적어도 일부분, 컴퓨팅 장치의 신원 및 검출된 임의의 공격에 기초하여 컴퓨팅 장치로부터 응답을 수신하기에 적합한 수신기 회로를 더 포함한다. 요청하는 엔티티는 컴퓨팅 장치로부터의 응답과 다수의 예상된 응답들을 비교하고 컴퓨팅 장치의 신원 및 검출된 임의의 공격의 타입을 결정하기에 적합한 비교 회로를 더 포함한다.
또 다른 특정 실시예에서는 컴퓨팅 장치에 대한 공격들에 관한 정보를 보안적으로 수신하기에 적합한 요청하는 엔티티가 개시된다. 요청하는 엔티티는 요청을 형성하기 위한 수단을 포함한다. 요청하는 엔티티는 컴퓨팅 장치에 요청을 제공하기 위한 수단을 더 포함한다. 요청하는 엔티티는 요청의 적어도 일부분, 컴퓨팅 장치의 신원 및 검출된 임의의 공격에 기초하여 컴퓨팅 장치로부터 응답을 수신하기 위한 수단을 더 포함한다. 요청하는 엔티티는 컴퓨팅 장치로부터의 응답과 다수의 예상된 응답들을 비교하고 컴퓨팅 장치의 신원 및 검출된 임의의 공격의 타입을 결정하기 위한 수단을 더 포함한다.
여기에서 제시된 실시예들을 사용하는 시스템은 공격이 검출되었다는 것을 공격자가 알지 못하게 하는 방식으로 공격이 발생하였을 때를 분별(discern)할 수 있기 때문에 보안과 관련된 장점을 가질 수 있다. 부가적으로, 이들 실시예들을 사용하는 장치는, 장치에 의하여 주어지는 요청에 대한 응답에 기초하여 장치의 신원과 관련된 개인 정보를 공격자가 발견하지 못하게 할 수 있다.
여기의 개시(teaching)들의 다른 실시예들이 이하의 상세한 설명으로부터 당업자에게 명백하게 될 것이며 개시들의 다양한 실시예들이 예시적으로 기재 및 기술된다는 것이 이해되어야 한다. 인식되는 바와같이, 여기의 개시들은 개시들의 사상 및 범위로부터 벗어나지 않고 다른 및 상이한 실시예들을 가능하게 할 수 있다. 따라서, 도면들 및 상세한 설명은 제한적이 아니라 예시적으로 것으로 간주된다.
본 발명의 개시들의 다양한 양상들은 첨부 도면들을 참조로하여 예시적으로 기술된다.
도 1은 실시예의 블록도이다.
도 2는 다른 실시예의 블록도이다.
도 3은 실시예의 시스템 설계를 도시한 흐름도이다.
첨부 도면들과 관련하여 이하에서 제시된 상세한 설명은 본 발명의 개시들의 다양한 예시적인 실시예들의 설명으로서 의도되며, 이러한 개시들이 실시될 수 있는 실시예들만을 나타내는 것으로 의도되지 않는다. 상세한 설명은 개시들의 전반적인 이해를 예시적으로 제공하기 위하여 특정 세부사항들을 포함한다. 본 발명의 개시들이 다양한 방식들로 실시될 수 있다는 것이 당업자에게 명백할 것이다. 일부의 예들에서는 본 발명의 개념들을 불명료하게 하지 않도록 하기 위하여 공지된 구조들 및 컴포넌트들이 하이 레벨(high level)로 기술된다.
하나 이상의 예시적인 실시예들에서, 기술된 기능(function)들 및 블록들은 하드웨어, 소프트웨어, 펌웨어, 또는 이들의 조합을 통해 구현될 수 있다. 소프트웨어로 구현되는 경우, 상기 기능들은 컴퓨터-판독가능한 매체 상에 하나 이상의 명령들 또는 코드로서 저장되거나, 또는 이들을 통해 전송될 수 있다. 컴퓨터-판독가능한 매체는 컴퓨터 저장 매체 및 일 장소에서 다른 장소로 컴퓨터 프로그램의 이전을 용이하게 하는 임의의 매체를 포함하는 통신 매체를 포함한다. 저장 매체는 컴퓨터에 의해 액세스될 수 있는 임의의 이용가능한 매체일 수 있다. 예컨대, 이러한 컴퓨터-판독가능한 매체는 RAM,ROM,EEPROM,CD-ROM 또는 다른 광학 디스크 저장 매체, 자기 디스크 저장 매체 또는 다른 자기 저장 장치들, 또는 명령들 또는 데이터 구조들의 형태로 요구되는 프로그램 코드를 운반(carry) 또는 저장하는데 사용될 수 있고 컴퓨터에 의해 액세스될 수 있는 임의의 다른 매체를 포함하지만, 이들로 제한되는 것은 아니다. 또한, 임의의 연결 수단이 컴퓨터-판독가능한 매체로 적절하게 간주될 수 있다. 예컨대, 소프트웨어가 웹사이트, 서버, 또는 다른 원격 소스로부터 동축 케이블, 광섬유 케이블, 연선, 디지털 가입자 라인(DSL), 또는 적외선 라디오, 및 마이크로웨이브와 같은 무선 기술들을 통해 전송되는 경우, 이러한 동축 케이블, 광섬유 케이블, 연선, DSL, 또는 적외선 라디오, 및 마이크로웨이브와 같은 무선 기술들이 이러한 매체의 정의 내에 포함된다. 여기서 사용되는 disk 및 disc은 컴팩트 disc(CD), 레이저 disc , 광 disc, DVD, 플로피 disk, 및 블루-레이 disc를 포함하며, 여기서 disk는 보통 데이터를 자기적으로 재생하지만, disc은 레이저를 통해 광학적으로 데이터를 재생한다. 상기 조합들 역시 컴퓨터-판독가능한 매체의 범위 내에 포함되어야 한다.
도 1은 공격 검출 블록(134)을 통합한 컴퓨팅 장치(100)의 예시적인 실시예를 예시한다.
컴퓨팅 장치(100)는 역방향 링크(126) 및 순방향 링크(128)를 통해 요청하는 엔티티(116)에 연결된다. 역방향 링크(126) 및 순방향 링크(128)는 이더넷, 무선 이더넷 또는 CDMA 또는 GSM과 같은 셀룰라 무선 네트워크 프로토콜을 포함하는(그러나, 이에 제한되지 않음) 다양한 연결수단들일 수 있다. 컴퓨팅 장치(100)는 요청하는 엔티티(116)로부터 순방향 링크(128) 및 인터페이스(140)를 통해 통신들을 수신한다.
요청하는 엔티티(116)는 요청 형성 블록(152)에서 요청을 형성한다. 요청은 요청이 전송되는 장치의 신원(identity)을 포함한다. 명시적(explicit) 식별자 대신에, 요청은 요청을 수신할 수 있는 장치들의 그룹 또는 모든 장치들로 향할 수 있다. 부가적으로, 요청은 요청된 장치들이 보고하도록 하는 스케줄을 셋업(set up)할 수 있거나 또는 특정 구현이 요구될때 임의의 다른 보고 및 스케줄링 메커니즘을 구현할 수 있다.
요청 형성 블록(152)은 전용 회로, 범용 프로세서, 소프트웨어 프로그램 또는 임의의 다른 적절한 처리 메커니즘일 수 있다. 요청은 룩-업 테이블 또는 열 잡음 생성기를 포함하는(그러나, 이에 제한되지 않음) 엔트로피 소스(entropy source)에 의하여 생성되는 비-결정적 값을 포함할 수 있다. 요청하는 엔티티(116)는 순방향 링크(128)를 통해 요청을 제공한다. 원하는 보안 레벨에 따라, 요청은 클리어(clear)하게 전송될 수 있거나 또는 암호화 알고리즘의 사용 또는 마스킹을 포함하는(그러나, 이에 제한되지 않음) 방법들에 의하여 수학적으로 변환될 수 있다.
일 구현에서, 컴퓨팅 장치(100)는 요청하는 엔티티(116)로부터의 비-결정적 값을 포함하는 요청을 순방향 링크(128)를 통해 인터페이스(140)에서 수신한다. 인터페이스(140)는 암호화 엔진(114)에 비-결정적 값을 제공한다. 암호화 엔진(114)은 정보에 대하여 수학적 변환(mathematical transformation)을 수행하기에 적합하여, 제 3 관찰자에게 그 정보를 불명료하게 한다. 암호화 엔진(114)에 의하여 수행되는 수학적 변환은 암호화 해시 함수(MD5, SHA-1 또는 SHA-3와 같은) 또는 암호 알고리즘(cipher algorithm)(트리플-DES 또는 AES 암호들과 같은)일 수 있으나 이에 제한되지 않는다. 암호화 엔진(114)은 전용 하드웨어 블록, 암호화 계산들을 수행할 수 있는 범용 프로세서 또는 컴퓨터-판독가능 매체에 포함된 소프트웨어 프로그램으로서 구현될 수 있다. 암호화 엔진(114)은 비-결정적 값과 키 선택 블록(110)에 의하여 제공되는 응답 키를 결합하고 응답 키 및 비-결정적 값의 결합에 대하여 수학적 변환을 수행함으로써 변환된 키를 생성한다. 변환된 키가 비-결정적 값 및 응답 키에 기초하기 때문에, 변환에서 사용되는 응답 키의 식별자는 변환된 키를 관찰하는 공격자에게 실질적으로 판독불가능(undecipherable)할 것이다. 변환된 키로부터 응답 키를 결정하는 것은 응답 키가 공격자에게 더 판독불가능하게 만드는 계산적으로 알기 힘든 문제이다. 요청 및 응답의 부분으로서 비-결정적 값을 사용하면 동일한 타입의 공격을 보고할때 조차 변환된 키가 항상 동일하지 않게 할 것이다. 다음으로, 컴퓨팅 장치는 역방향 링크(126)를 통해 요청하는 엔티티(116)에 변환된 키를 전송한다.
요청하는 엔티티(116)는 각각의 프로그래밍된 하드웨어 키(102-108) ― 이는 사전에 저장되거나 또는 컴퓨팅 장치(100)로부터 수신될 수 있음 ―에 기초하여 가능한 변환된 키 값들의 리스트를 계산하고 키 테이블(118)에 가능한 변환된 키 값들을 저장한다. 요청하는 엔티티(116)는 요청을 전송하기전에, 또는 요청을 전송하는 것과 동시에 또는 요청하는 엔티티(116)가 컴퓨팅 장치(100)로부터 다시 변환된 키를 수신한후에 가능한 변환된 키 값들의 리스트를 계산할 수 있다. 요청하는 엔티티(116)는 컴퓨팅 장치(100)로부터의 변환된 키를 역방향 링크(126)를 통해 비교 블록(150)에서 수신한다. 비교 블록(150)은 전용 회로, 범용 프로세서 또는 소프트웨어 프로그램일 수 있다. 비교 블록(150)에서, 요청하는 엔티티(116)는 키 테이블(118)에 저장된 가능한 변환된 키 값들과 변환된 키를 비교한다. 따라서, 요청하는 엔티티(116)는 컴퓨팅 장치(100)로부터 수신되는 특정 변환된 키에 의하여 컴퓨팅 장치(100)가 공격받았는지의 여부를 결정할 수 있다. 요청하는 엔티티(116)는 컴퓨팅 장치(100)로부터 수신되는 특정 변환된 키에 기초하여 공격의 타입에 대한 정보를 획득할 수 있다.
공격자(130)가 컴퓨팅 장치(100)에 대하여 공격(attack)(132)을 실행할때, 공격(132)은 공격 검출 블록(134)에 의하여 검출된다. 공격 검출 블록(134)은 검출된 공격의 타입에 기초하여 다수의 해크(hack) 상태 표시자들(120-124) 중 적어도 하나를 설정(set)하고, 디폴트 키(default key)로서 "비 공격(no attack)들 키(102)를 선택하기에 적합할 수 있다. 해크 상태 플래그 블록(112)은 해크 상태 표시자들(120-124)의 상태들에 응답하여 키 선택 블록(110)의 출력을 제어한다. 해크 상태 표시자들(120-124)의 상태들에 기초하여, 해크 상태 플래그 블록(112)은 응답 키로서 다수의 프로그래밍된 하드웨어 키들(102-108) 중 하나를 선택하여 이를 암호화 엔진(114)에 제공하기 위하여 키 선택 블록(110)을 인에이블하는 제어 신호를 생성한다. 이러한 응답 키는 컴퓨팅 장치(100)의 식별자, 공격이 검출되었는지의 여부, 공격이 검출된 경우 검출된 공격의 타입을 포함한다.
컴퓨팅 장치(100)는 다수의 프로그래밍된 하드웨어 키들(102-108)을 포함한다. 이들은 요청하는 엔티티(116)에 의하여 도전(challenge)될때 공격의 타입을 식별하고 컴퓨팅 장치(100)를 인증하기 위하여 사용되는 다수의 공격 키들(104-108) 및 "비-공격들" 키(102)를 포함한다. "비-공격들" 키(102) 및 다수의 "공격" 키들(104-108)은 키 선택 블록(110)에 연결된다. 해크 상태 플래그 회로(112)는 다수의 해크 상태 표시자들(120-124)에 연결되며, 멀티플렉서(110)에 연결되는 출력을 가진다. 공격 검출 블록(134)은 다수의 해크 상태 표시자들(120-124)에 연결된다. 암호화 엔진(114)은 키 선택 블록(110)의 출력 및 인터페이스(140)의 출력에 응답한다. 암호화 엔진(114)은 키 선택 블록(110)의 출력에 기초하여 요청하는 엔티티(116)에 의하여 제공되는 값을 변환시킨다. 값은 필요한 경우에 다른 정보를 포함할 수 있다. 변환된 키는 역방향 링크(126)를 통해 요청하는 엔티티(116)에 전송된다.
"비-공격들" 키(102)는 공격 검출 블록(134)이 컴퓨팅 장치(100)에 대한 임의의 공격들을 검출하지 않았을때 사용된다. 다수의 "공격" 키들(104-108)은 특정 타입들의 검출된 공격들에 대응한다. 다수의 프로그래밍된 하드웨어 키들(102-108)의 각각은 컴퓨팅 장치(100)를 식별하고 컴퓨팅 장치(100)의 공격 상태를 통신할 수 있다. 다수의 하드웨어 키들(102-108)은 제조시의 전자 퓨징(electronic fusing), 제조시에 프로그래밍된 비-휘발성 RAM 또는 컴퓨팅 장치(100)가 요청하는 엔티티(116)에 연결될때 요청하는 엔티티(116)에 의하여 프로그래밍된 비-휘발성 RAM을 포함하는(그러나, 이에 제한되지 않음) 다양한 방식들로 프로그래밍될 수 있다.
해크 상태 표시자들(120-124)의 각각은 "공격" 키들(104-108) 중 하나와 상관된다. 일 실시예에서, 해크 상태 표시자들(120-124)은 정적 RAM 또는 래치들과 같은 휘발성 저장 엘리먼트들을 포함할 수 있다. 다른 실시예에서, 해크 상태 표시자들(120-124)은 영구히 단선되는 하드웨어 퓨즈들과 같은 비-휘발성 저장 엘리먼트들을 포함할 수 있다. 당업자는 휘발성 및 비-휘발성 저장 엘리먼트들을 결합한 실시예들이 가능하며 다른 타입들의 휘발성 및 비-휘발성 저장 엘리먼트들이 또한 사용될 수 있다는 것을 인식할 것이다. 비록 이러한 특정 실시예에서 단지 3개의 공격 키들 및 해크 상태 표시자들이 예시될지라도, 당업자는 임의의 수의 이러한 "공격" 키들 및 표시자들이 존재할 수 있다는 것을 인식할 것이며, 이들은 임의의 타입의 검출가능한 공격 또는 미지의(unknown) 공격에 대응할 수 있다.
특정 해크 상태 표시자들에 대한 휘발성 또는 비-휘발성 저장 엘리먼트들을 사용해야 하는지를 선택할때 고려할 요인(factor)은 특정 종류의 공격의 인지된 심각성(seriousness)이다. 덜 심각한 것으로 인지되는 공격들의 타입들은 휘발성 저장 엘리먼트들을 사용하여 표시될 수 있는 반면에, 더 심각한 것으로 고려되는 공격들의 타입들은 비-휘발성 저장 엘리먼트들을 사용하여 표시될 수 있다. 예시적인 실시예에서, 물리적 패키지에 대한 공격들과 같이 장치의 보안을 목표로 하는 공격들, JTAG 인터페이스와 같은 테스트 인터페이스를 사용하려는 시도들 또는 미리 결정된 임계치보다 높은 인증 실패들의 수는 더 심각한 것으로 고려될 수 있으며 끊긴 하드웨어 퓨즈들에 의하여 표시될 수 있는 반면에, 비디오 또는 오디오 재생과 같은 제한된 기능(feature)들에 대하여 액세스를 획득하는 공격들은 덜 심각한 것으로 고려될 수 있으며 셀 전화가 파워-사이클링(power-cycle)될때 재설정(re-set)하는 정적 RAM 비트들을 설정함으로써 표시될 수 있다. 당업자는 상이한 타입들의 컴퓨팅 장치들에 대하여 공격으로부터의 잠재적인 재정 손실 및 데이터 민감도(sensitivity)를 포함하는(그러나, 이에 제한되지 않음) 상이한 요인들이 관련될 수 있다는 것을 인식할 것이다.
하나의 예시적인 실시예에서, 컴퓨팅 장치(100)는 셀룰라 전화에 통합될 수 있다. 요청하는 엔티티(116)는 셀룰라 전화가 통신하는 셀룰라 네트워크일 수 있다. "공격" 키들은 JTAG 인터페이스를 액세스하는 것을 시도하는 것, 장치의 정상 온도 또는 전압 범위들 밖으로 장치를 이르게 하는 것, 셀룰라 전화의 프로세서상에서 비인가 코드(untrusted code)를 실행하는 것을 시도하는 것, 사용자가 지불하지 않은 기능(feature)들을 액세스하는 것을 시도하는 것, 또는 비허가 네트워크를 통해 전화를 동작시키는 것을 포함하는, 셀룰라 전화 장치들에 대한 공통 공격들을 나타낼 수 있다. 다음으로, 네트워크 공급자는 네트워크에 대한 손상된(compromised) 전화 액세스를 거절하는 것, 사용자가 지불하지 않은 임의의 소프트웨어 또는 기능(feature)들을 디스에이블하는 것, 손상된 전화의 로케이션(location)을 로깅(logging)하는 것, 또는 손상된 전화의 타입에 대한 정보를 로깅하는 것과 같은(그러나, 이에 제한되지 않음) 동작(action)들을 공격의 타입에 기초하여 취할 수 있다.
다른 실시예에서, 컴퓨팅 장치(100)는 차량의 엔진 제어 컴퓨터와 연결될 수 있다. 요청하는 엔티티(116)는 차량 제조업자 또는 제 3자에 의하여 유지될 수 있다. 이러한 경우에, "공격" 키들은 수정된 엔진 관리 소프트웨어, 특정 임계치보다 높은 속도, 차량이 도난된 것으로 보고되었는지의 여부, 또는 필요한 보수 관리 검사들사이의 긴 주행 거리 간격들과 같은 상태들을 나타낼 것이다. 차량 제조업자는 보증 상태들이 위반되었을때를 결정하거나 또는 그들의 서비스 직원들에 차량 사용법에 대한 더 정확한 정보를 제공하기 위하여 상기 정보를 사용할 수 있다.
도 2는 공격 검출 블록(204)을 통합한 컴퓨팅 장치(200)의 다른 실시예를 예시한다. 컴퓨팅 장치(200)는 역방향 링크(212) 및 순방향 링크(214)를 통해 요청하는 엔티티(202)에 연결된다. 역방향 링크(212) 및 순방향 링크(214)는 이더넷, 무선 이더넷 또는 셀룰라 무선 네트워크 프로토콜과 같은(그러나, 이에 제한되지 않음) 다양한 연결수단들일 수 있다. 컴퓨팅 장치(200)는 요청하는 엔티티(202)로부터의 통신들을 순방향 링크(214)를 통해 인터페이스(240)에서 수신한다. 컴퓨팅 장치(200)는 요청하는 엔티티(202)에 의하여 도전될때 컴퓨팅 장치(200)를 인증하기 위하여 사용되는 프로그래밍된 하드웨어 키(200)를 포함한다. 공격 검출 블록(204)은 다수의 해크 상태 표시자들(218-222)에 연결된다. 프로그래밍된 하드웨어 키(206) 및 해크 상태 표시자들(218-222)은 키 생성 블록(208)에 연결된다. 키 생성 블록(208) 및 인터페이스(240)는 암호화 엔진(210)에 연결된다.
공격자(203)가 컴퓨팅 장치(200)에 대하여 공격(232)을 할때, 공격(232)은 공격 검출 블록(204)에 의하여 검출된다. 공격(232)에 응답하여, 공격 검출 블록(204)은 하나 이상의 해크 상태 표시자들(218-222)을 설정(set)한다. 공격 검출 블록(204)은 JTAG 포트 공격들, 전압 또는 온도 공격들, 악의의 소프트웨어 공격들, 비허가 사용, 요주의 정보(sensitive information)를 액세스하려는 시도들, 또는 서비스 거부 공격(denial of service attack)들과 같은(그러나, 이에 제한되지 않음) 공격들을 검출하도록 구성될 수 있다. 해크 상태 표시자들(218-222)은 정적 RAM 또는 래치들과 같은 휘발성 저장 엘리먼트들일 수 있거나, 또는 비-휘발성 RAM 또는 하드웨어 퓨즈들과 같은 비-휘발성 저장 엘리먼트들일 수 있다. 당업자는 휘발성 및 비-휘발성 저장 엘리먼트들을 결합한 실시예들이 또한 사용될 수 있다는 것을 인식할 것이다. 비록 이러한 특정 실시예에서 단지 3개의 해크 상태 표시자들이 예시될지라도, 당업자는 임의의 수의 이러한 "공격" 표시자들이 존재할 수 있으며 이들이 임의의 타입의 검출가능한 공격 또는 미지의 공격에 대응할 수 있다는 것을 인식할 것이다.
키 생성 블록(208)은 프로그래밍된 하드웨어 키(206) 및 해크 상태 표시자들(218, 222)을 응답 키에 결합하며, 응답 키는 컴퓨팅 장치(200)의 신원 및 컴퓨팅 장치(200)에 대한 임의의 공격들에 대한 정보를 요청하는 엔티티(202)에 통신한다. 예컨대, 이는 해크 상태 표시자들(218-222)을 프로그래밍된 하드웨어 키에 추가(append)함으로써 또는 해크 상태 표시자들(218-222)의 상태에 기초하여 인코딩을 생성하고 이 인코딩을 프로그래밍된 하드웨어 키와 결합함으로써 달성될 수 있다. 당업자는 각각에 포함된 모든 정보를 보호하는 해크 상태 표시자들(218-222) 및 프로그래밍된 하드웨어 키(206)를 결합하는 많은 상이한 방법들이 존재하고 여기의 방법들이 단지 예시적으로 제시된다는 것을 인식할 것이다. 키 생성 블록(208)이 응답 키를 생성하기 위하여 프로그래밍된 하드웨어 키(206) 및 해크 상태 표시자들(218-222)을 결합한 후에, 키 생성 블록(208)은 암호화 엔진(210)에 응답 키를 제공한다.
요청하는 엔티티(202)는 요청 형성 블록(252)에서 요청을 형성한다. 요청 형성 블록(252)은 전용 회로, 범용 프로세서 또는 소프트웨어 프로그램일 수 있다. 요청은 룩-업 테이블 또는 열 잡음 생성기를 포함하는(그러나, 이에 제한되지 않음) 엔트로피 소스에 의하여 생성되는 비-결정적 값을 포함할 수 있다. 요청하는 엔티티(202)는 순방향 링크(214)를 통해 요청을 제공한다. 원하는 보안 레벨에 따라, 요청은 클리어하게 전송될 수 있거나, 또는 암호화 알고리즘의 사용 또는 마스킹을 포함하는(그러나, 이에 제한되지 않음) 방법들에 의하여 수학적으로 변환될 수 있다.
컴퓨팅 장치(200)는 요청하는 엔티티(202)로부터의 비-결정적 값을 포함하는 요청을 순방향 링크(214)를 통해 인터페이스(240)에서 수신한다. 인터페이스(240)는 암호화 엔진(210)에 비-결정적 값을 제공한다. 암호화 엔진(210)은 전용 하드웨어 블록, 암호화 계산들을 수행할 수 있는 범용 프로세서, 또는 컴퓨터-판독가능 매체에 포함된 소프트웨어 프로그램일 수 있다. 다음으로, 암호화 엔진(210)은 요청하는 엔티티(202)로부터 컴퓨팅 장치(200)에 의하여 수신되는 비-결정적 값과 응답 키를 결합하고 이러한 결합을 수학적으로 변환함으로써 변환된 키를 생성한다. 암호화 엔진(210)은 암호화 해시 함수 또는 암호 알고리즘들을 포함하는(그러나, 이에 제한되지 않음) 수학적 변환(mathematical transformation)들을 사용할 수 있다. 컴퓨팅 장치(200)는 변환된 키를 역방향 링크(212)를 통해 요청하는 엔티티(202)에 제공한다.
요청하는 엔티티(202)는 변환된 키의 각각의 가능한 값에 기초하여 가능한 값들의 리스트를 계산하고, 키 테이블(216)에 값들을 저장한다. 요청하는 엔티티(202)는 랜덤 값을 전송하기 전에, 랜덤 값을 전송하는 것과 동시에 또는 요청하는 엔티티(202)가 컴퓨팅 장치(200)로부터 다시 변환된 키를 수신한 후에 가능한 값들의 리스트를 계산할 수 있다. 요청하는 엔티티(202)는 컴퓨팅 장치(200)로부터의 변환된 키를 역방향 링크(212)를 통해 비교 블록(250)에서 수신한다. 비교 블록(250)은 전용 회로, 범용 프로세서 또는 소프트웨어 프로그램일 수 있다. 비교 블록(250)에서, 요청하는 엔티티(202)는 키 테이블(216)에 저장된 값들과 변환된 키를 비교한다. 따라서, 요청하는 엔티티(202)는 컴퓨팅 장치(200)가 컴퓨팅 장치(200)로부터 수신되는 특정한 변환된 키로부터 공격받았는지의 여부를 결정할 수 있다. 요청하는 엔티티(202)는 또한 컴퓨팅 장치(200)로부터 수신되는 특정한 변환된 키에 기초하여 공격의 타입에 대한 정보를 획득할 수 있다.
도 3은 컴퓨팅 장치(100)가 요청하는 엔티티(115)로부터의 도전에 응답할 수 있는 방법을 예시한 예시적인 흐름도이다. 블록(302)에서 시작하면, 요청하는 엔티티(116)는 비-결정적 값을 포함하는 요청을 생성한다. 블록(304)에서, 요청하는 엔티티(116)는 컴퓨팅 장치(100)가 응답할 수 있는 암호화 해시 함수의 모든 가능한 값들을 계산하고 키 테이블(118)에 이들 값들을 저장한다. 요청하는 엔티티(116)는 컴퓨팅 장치(100)에 비-결정적 값을 포함하는 요청을 전송하기전에, 컴퓨팅 장치(100)에 비-결정적 값을 포함하는 요청을 전송하는 것과 동시에, 또는 요청하는 엔티티(116)가 컴퓨팅 장치(100)로부터 변환된 키를 다시 수신한후에 이들 값들을 비교할 수 있다.
블록(320)에서, 요청하는 엔티티(116)는 비-결정적 값을 포함하는 요청을 순방향 링크(128)를 통해 컴퓨팅 장치(100)에 전송한다. 블록(322)에서, 컴퓨팅 장치(100)는 비-결정적 값을 포함하는 요청을 인터페이스(140)에서 수신한다. 결정 블록(324)에서, 컴퓨팅 장치(100)는 상기 컴퓨팅 장치(100)가 자신에 대한 임의의 공격들을 검출하였는지의 여부를 평가한다. 만일 공격이 발생하지 않았다면, 블록(326)으로 진행한다. 블록(326)에서, 컴퓨팅 장치(100)는 요청하는 엔티티(116)로부터 수신되는 비-결정적 값과 "비 공격들" 키(102)에 기초하여 암호화 해시 함수의 값을 계산한다. 만일 공격이 발생하였다면, 블록(328)으로 진행한다. 블록(328)에서, 컴퓨팅 장치(100)는 요청하는 엔티티(116)로부터 수신되는 비-결정적 값 및 다수의 "공격" 키들(104-108) 중 하나에 기초하여 암호화 해시 함수의 값을 계산한다. 다음으로, 블록(330)에서, 컴퓨팅 장치(100)는 역방향 링크(126)를 통해 요청하는 엔티티(116)에 암호화 해시 함수의 값을 다시 전송한다. 블록(332)에서, 요청하는 엔티티(116)는 컴퓨팅 장치(100)로부터 암호화 해시 함수의 값을 수신한다.
블록(306)에서, 요청하는 엔티티(116)는 블록(304)에서 요청하는 엔티티(116)에 의하여 계산되는 암호화 해시 함수의 모든 가능한 값들과 컴퓨팅 장치(100)로부터 수신되는 암호화 해시 함수의 값을 비교한다. 블록(304)으로부터의 값들이 블록(332)에서 수신되는 값과 매칭되는지의 여부에 따라, 요청하는 엔티티(116)는 존재하는 경우에 어느 타입의 공격이 발생하였는지를 결정하고, 필요한 경우에 동작을 취할 수 있다. 만일 공격들이 검출되지 않았다면, 블록(310)으로 진행하며 도전 및 응답이 종료된다. 만일 임의의 타입의 공격이 검출되었다면, 블록(312)에서, 요청하는 엔티티(116)는 공격의 타입에 기초하여 동작을 취할 수 있다. 공격에 대한 응답들은 네트워크에 대한 손상된 컴퓨팅 장치 액세스를 거절하는 것, 특정 소프트웨어 또는 기능(feature)들을 디스에이블하는 것, 손상된 컴퓨팅 장치의 위치를 로깅하는 것, 또는 손상된 컴퓨팅 장치의 타입에 대한 정보를 로깅하는 것을 포함할 수 있다. 당업자는 많은 상이한 응답들이 가능하다는 것을 인식할 것이며, 예시적인 실시예와 관련하여 여기에서 논의된 것들은 제한적이 아니라 예시적이다.
본 발명의 개시들이 소비자 컴퓨팅 장치에 대한 비허가 액세스와 관련하여 논의된 반면에, 다양한 구현들이 이하의 청구항들 및 여기의 개시들과 일관되게 당업자에 의하여 사용될 수 있다는 것이 인식될 것이다.

Claims (24)

  1. 컴퓨팅 장치(device)에 대한 공격(attack)들을 검출하고 이러한 공격들에 대한 정보를 보안적으로(securely) 통신하기 위한, 상기 컴퓨팅 장치에 의해 수행되는, 방법으로서,
    a. 공격 검출 블록을 사용함으로써 상기 컴퓨팅 장치에 대한 공격을 검출하는 단계;
    b. 상기 공격 검출 블록을 사용함으로써 공격의 타입(type)을 결정하는 단계;
    c. 검출된 공격의 타입 및 상기 컴퓨팅 장치의 신원(identity)에 기초하여 응답 키를 형성하는 단계;
    d. 요청하는 엔티티(requesting entity)로부터의 요청을 수락(accept)하는 단계;
    e. 변환된 키를 형성하기 위하여 상기 응답 키의 적어도 일부분과 상기 요청의 적어도 일부분을 결합(combine)하는 단계; 및
    f. 상기 요청하는 엔티티에 상기 변환된 키를 제공하는 단계를 포함하는,
    방법.
  2. 제 1항에 있어서,
    상기 응답 키는 다수의 프로그래밍된 하드웨어 키들 중 하나를 선택함으로써 형성(form)되는,
    방법.
  3. 제 1항에 있어서,
    상기 응답 키는 프로그래밍된 하드웨어 키와 임의의 공격들에 대한 정보를 결합함으로써 형성되는,
    방법.
  4. 제 1항에 있어서,
    상기 요청 중 적어도 일부분은 비-결정적(non-deterministic) 값인,
    방법.
  5. 제 1항에 있어서,
    상기 변환된 키를 형성하는 것은 상기 요청의 적어도 일부분과 상기 응답 키의 적어도 일부분의 결합을 수학적으로(mathematically) 변환하는 것을 포함하는,
    방법.
  6. 제 5항에 있어서,
    수학적 변환 방법은 일-방향 해시 함수(one-way hash function)인,
    방법.
  7. 컴퓨팅 장치에 대한 공격들에 관한 정보를 검출하여 보안적으로 보고하도록 구성되는 컴퓨팅 장치로서,
    a. 프로그래밍된 하드웨어 키를 저장하도록 구성되는 저장 엘리먼트;
    b. 상기 컴퓨팅 장치에 대한 공격들을 검출하도록 구성되는 공격 검출 회로;
    c. 상기 공격 검출 회로로부터의 입력 및 상기 프로그래밍된 하드웨어 키에 기초하여 응답 키를 형성하도록 구성되는 키 형성 회로;
    d. 요청하는 엔티티로부터의 요청을 수신하도록 구성되는 인터페이스 회로;
    e. 상기 응답 키의 적어도 일부분 및 상기 인터페이스 회로에서 수신되는 요청의 적어도 일부분으로부터 변환된 키를 생성하도록 구성되는 변환 회로; 및
    f. 상기 요청하는 엔티티에 상기 변환된 키를 제공하도록 구성되는 회로를 포함하는,
    컴퓨팅 장치.
  8. 제 7항에 있어서,
    상기 저장 엘리먼트는 비-휘발성 저장 엘리먼트인,
    컴퓨팅 장치.
  9. 제 7항에 있어서,
    상기 키 형성 회로는 상기 응답 키를 형성하기 위하여 다수의 프로그래밍된 하드웨어 키들 중 하나의 키를 선택하는,
    컴퓨팅 장치.
  10. 제 7항에 있어서,
    상기 키 형성 회로는, 상기 응답 키를 형성하기 위하여 프로그래밍된 하드웨어 키와 임의의 공격들에 대한 정보를 결합하는,
    컴퓨팅 장치.
  11. 제 7항에 있어서,
    상기 요청의 적어도 일부분은 비-결정적 값인,
    컴퓨팅 장치.
  12. 제 7항에 있어서,
    상기 변환 회로는 변환된 키를 형성하기 위하여 상기 요청하는 엔티티로부터의 랜덤 값의 적어도 일부분과 비밀(secret) 하드웨어 키의 적어도 일부분의 결합을 수학적으로 변환하는,
    컴퓨팅 장치.
  13. 제 12항에 있어서,
    수학적 변환 방법은 일-방향 해시 함수인,
    컴퓨팅 장치.
  14. 제 7항에 있어서,
    상기 컴퓨팅 장치는 무선 셀룰라 전화인,
    컴퓨팅 장치.
  15. 컴퓨팅 장치에 대한 공격들에 관한 정보를 검출하여 보안적으로 보고하도록 구성되는 컴퓨팅 장치로서,
    a. 프로그래밍된 하드웨어 키를 저장하도록 구성되는 저장 수단;
    b. 상기 컴퓨팅 장치에 대한 공격들을 검출하도록 구성되는 공격 검출 수단;
    c. 상기 공격 검출 수단으로부터의 입력 및 상기 프로그래밍된 하드웨어 키에 기초하여 응답 키를 형성하도록 구성되는 키 형성 수단;
    d. 요청하는 엔티티로부터의 요청을 수신하도록 구성되는 인터페이스 수단;
    e. 상기 응답 키의 적어도 일부분 및 상기 인터페이스 수단에서 수신되는 요청의 적어도 일부분으로부터 변환된 키를 생성하도록 구성되는 변환 수단; 및
    f. 상기 요청하는 엔티티에 상기 변환된 키를 제공하도록 구성되는 전송 수단을 포함하는,
    컴퓨팅 장치.
  16. 요청하는 엔티티에서 컴퓨팅 장치에 대한 공격들에 관한 정보를 보안적으로 수신하기 위한 방법으로서,
    a. 상기 요청하는 엔티티에서 요청을 형성하는 단계;
    b. 상기 컴퓨팅 장치로 상기 요청을 제공하는 단계;
    c. 상기 요청의 적어도 일부분, 상기 컴퓨팅 장치의 신원 및 검출된 임의의 공격에 기초한 변환된 키를 상기 컴퓨팅 장치로부터 수신하는 단계; 및
    d. 상기 변환된 키와 다수의 가능한 변환된 키들의 비교를 기초로 하여 상기 컴퓨팅 장치의 신원 및 검출된 임의의 공격의 타입을 결정하는 단계를 포함하는,
    방법.
  17. 제 16항에 있어서,
    상기 요청의 적어도 일부분은 비-결정적 방식으로 형성되는,
    방법.
  18. 제 16항에 있어서,
    상기 컴퓨팅 장치가 공격받았다는 것을 상기 요청하는 엔티티가 결정하는 경우에 동작(action)을 취하는 단계를 더 포함하는,
    방법.
  19. 컴퓨팅 장치에 대한 공격들에 관한 정보를 보안적으로 수신하도록 구성되는 요청하는 엔티티로서,
    a. 요청을 형성하도록 구성되는 요청 형성 회로;
    b. 상기 컴퓨팅 장치로 상기 요청을 제공하도록 구성되는 회로;
    c. 상기 요청의 적어도 일부분, 상기 컴퓨팅 장치의 신원 및 검출된 임의의 공격에 기초한 변환된 키를 상기 컴퓨팅 장치로부터 수신하도록 구성되는 수신 회로; 및
    d. 상기 컴퓨팅 장치로부터 수신된 상기 변환된 키와 다수의 가능한 변환된 키들을 비교하고, 상기 변환된 키와 상기 다수의 가능한 변환된 키들의 비교를 기초로 하여 상기 컴퓨팅 장치의 신원 및 검출된 임의의 공격의 타입을 결정하도록 구성되는 비교 회로를 포함하는,
    요청하는 엔티티.
  20. 제 19항에 있어서,
    상기 요청은 비-결정적 방식으로 형성되는,
    요청하는 엔티티.
  21. 제 19항에 있어서,
    상기 요청하는 엔티티는 무선 셀룰라 네트워크인,
    요청하는 엔티티.
  22. 컴퓨팅 장치에 대한 공격들에 관한 정보를 보안적으로 수신하도록 구성되는 요청하는 엔티티로서,
    a. 요청을 형성하기 위한 수단;
    b. 상기 컴퓨팅 장치로 상기 요청을 제공하기 위한 수단;
    c. 상기 요청의 적어도 일부분, 상기 컴퓨팅 장치의 신원 및 검출된 임의의 공격에 기초한 변환된 키를 상기 컴퓨팅 장치로부터 수신하기 위한 수단; 및
    d. 상기 컴퓨팅 장치로부터의 상기 변환된 키와 다수의 가능한 변환된 키들을 비교하고, 상기 변환된 키와 상기 다수의 가능한 변환된 키들의 비교를 기초로 하여 상기 컴퓨팅 장치의 신원 및 검출된 임의의 공격의 타입을 결정하기 위한 수단을 포함하는,
    요청하는 엔티티.
  23. 제 22항에 있어서,
    상기 요청을 형성하기 위한 수단은 컴퓨터-판독가능 매체에 포함되는 소프트웨어 프로그램인,
    요청하는 엔티티.
  24. 제 22항에 있어서,
    상기 요청하는 엔티티는 무선 셀룰라 네트워크인,
    요청하는 엔티티.
KR1020107022459A 2008-03-07 2009-02-27 통신 장치에 대한 비허가 액세스를 검출하고 이러한 비허가 액세스에 대한 정보를 보안적으로 통신하기 위한 방법 및 장치 KR101252707B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US12/044,409 2008-03-07
US12/044,409 US8850568B2 (en) 2008-03-07 2008-03-07 Method and apparatus for detecting unauthorized access to a computing device and securely communicating information about such unauthorized access
PCT/US2009/035374 WO2009114290A2 (en) 2008-03-07 2009-02-27 Method and apparatus for detecting unauthorized access to a computing device and securely communicating information about such unauthorized access

Publications (2)

Publication Number Publication Date
KR20100124315A KR20100124315A (ko) 2010-11-26
KR101252707B1 true KR101252707B1 (ko) 2013-04-09

Family

ID=40941574

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020107022459A KR101252707B1 (ko) 2008-03-07 2009-02-27 통신 장치에 대한 비허가 액세스를 검출하고 이러한 비허가 액세스에 대한 정보를 보안적으로 통신하기 위한 방법 및 장치

Country Status (7)

Country Link
US (1) US8850568B2 (ko)
EP (1) EP2272023A2 (ko)
JP (1) JP5456702B2 (ko)
KR (1) KR101252707B1 (ko)
CN (1) CN101965573B (ko)
TW (1) TW200951758A (ko)
WO (1) WO2009114290A2 (ko)

Families Citing this family (58)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102122333B (zh) * 2011-03-21 2015-01-07 北京书生国际信息技术有限公司 一种登录文档库系统的方法
US8839460B2 (en) * 2008-03-07 2014-09-16 Qualcomm Incorporated Method for securely communicating information about the location of a compromised computing device
US8989705B1 (en) 2009-06-18 2015-03-24 Sprint Communications Company L.P. Secure placement of centralized media controller application in mobile access terminal
TWI451255B (zh) * 2010-06-25 2014-09-01 Via Tech Inc 用以禁能一擴充的jtag操作之積體電路及其禁能方法
US9027102B2 (en) 2012-05-11 2015-05-05 Sprint Communications Company L.P. Web server bypass of backend process on near field communications and secure element chips
US9282898B2 (en) 2012-06-25 2016-03-15 Sprint Communications Company L.P. End-to-end trusted communications infrastructure
US9066230B1 (en) 2012-06-27 2015-06-23 Sprint Communications Company L.P. Trusted policy and charging enforcement function
US8649770B1 (en) 2012-07-02 2014-02-11 Sprint Communications Company, L.P. Extended trusted security zone radio modem
US8667607B2 (en) 2012-07-24 2014-03-04 Sprint Communications Company L.P. Trusted security zone access to peripheral devices
KR102013841B1 (ko) * 2012-08-06 2019-08-23 삼성전자주식회사 데이터의 안전한 저장을 위한 키 관리 방법 및 그 장치
US9183412B2 (en) 2012-08-10 2015-11-10 Sprint Communications Company L.P. Systems and methods for provisioning and using multiple trusted security zones on an electronic device
US8954588B1 (en) 2012-08-25 2015-02-10 Sprint Communications Company L.P. Reservations in real-time brokering of digital content delivery
US9015068B1 (en) 2012-08-25 2015-04-21 Sprint Communications Company L.P. Framework for real-time brokering of digital content delivery
US9215180B1 (en) 2012-08-25 2015-12-15 Sprint Communications Company L.P. File retrieval in real-time brokering of digital content
US9578664B1 (en) 2013-02-07 2017-02-21 Sprint Communications Company L.P. Trusted signaling in 3GPP interfaces in a network function virtualization wireless communication system
US9161227B1 (en) 2013-02-07 2015-10-13 Sprint Communications Company L.P. Trusted signaling in long term evolution (LTE) 4G wireless communication
US9104840B1 (en) 2013-03-05 2015-08-11 Sprint Communications Company L.P. Trusted security zone watermark
US9613208B1 (en) 2013-03-13 2017-04-04 Sprint Communications Company L.P. Trusted security zone enhanced with trusted hardware drivers
US9049013B2 (en) 2013-03-14 2015-06-02 Sprint Communications Company L.P. Trusted security zone containers for the protection and confidentiality of trusted service manager data
US9049186B1 (en) 2013-03-14 2015-06-02 Sprint Communications Company L.P. Trusted security zone re-provisioning and re-use capability for refurbished mobile devices
US9374363B1 (en) 2013-03-15 2016-06-21 Sprint Communications Company L.P. Restricting access of a portable communication device to confidential data or applications via a remote network based on event triggers generated by the portable communication device
US8984592B1 (en) 2013-03-15 2015-03-17 Sprint Communications Company L.P. Enablement of a trusted security zone authentication for remote mobile device management systems and methods
US9191388B1 (en) 2013-03-15 2015-11-17 Sprint Communications Company L.P. Trusted security zone communication addressing on an electronic device
US9021585B1 (en) * 2013-03-15 2015-04-28 Sprint Communications Company L.P. JTAG fuse vulnerability determination and protection using a trusted execution environment
US9324016B1 (en) 2013-04-04 2016-04-26 Sprint Communications Company L.P. Digest of biographical information for an electronic device with static and dynamic portions
US9454723B1 (en) 2013-04-04 2016-09-27 Sprint Communications Company L.P. Radio frequency identity (RFID) chip electrically and communicatively coupled to motherboard of mobile communication device
US9171243B1 (en) 2013-04-04 2015-10-27 Sprint Communications Company L.P. System for managing a digest of biographical information stored in a radio frequency identity chip coupled to a mobile communication device
US9838869B1 (en) 2013-04-10 2017-12-05 Sprint Communications Company L.P. Delivering digital content to a mobile device via a digital rights clearing house
US9443088B1 (en) 2013-04-15 2016-09-13 Sprint Communications Company L.P. Protection for multimedia files pre-downloaded to a mobile device
US9069952B1 (en) 2013-05-20 2015-06-30 Sprint Communications Company L.P. Method for enabling hardware assisted operating system region for safe execution of untrusted code using trusted transitional memory
US9804730B2 (en) * 2013-06-03 2017-10-31 Microsoft Technology Licensing, Llc Automatically changing a display of graphical user interface
US9560519B1 (en) 2013-06-06 2017-01-31 Sprint Communications Company L.P. Mobile communication device profound identity brokering framework
US9183606B1 (en) 2013-07-10 2015-11-10 Sprint Communications Company L.P. Trusted processing location within a graphics processing unit
US9208339B1 (en) 2013-08-12 2015-12-08 Sprint Communications Company L.P. Verifying Applications in Virtual Environments Using a Trusted Security Zone
US9185626B1 (en) 2013-10-29 2015-11-10 Sprint Communications Company L.P. Secure peer-to-peer call forking facilitated by trusted 3rd party voice server provisioning
US9191522B1 (en) 2013-11-08 2015-11-17 Sprint Communications Company L.P. Billing varied service based on tier
US9161325B1 (en) 2013-11-20 2015-10-13 Sprint Communications Company L.P. Subscriber identity module virtualization
US9118655B1 (en) 2014-01-24 2015-08-25 Sprint Communications Company L.P. Trusted display and transmission of digital ticket documentation
US9226145B1 (en) 2014-03-28 2015-12-29 Sprint Communications Company L.P. Verification of mobile device integrity during activation
US9230085B1 (en) 2014-07-29 2016-01-05 Sprint Communications Company L.P. Network based temporary trust extension to a remote or mobile device enabled via specialized cloud services
RU2705019C2 (ru) * 2014-12-22 2019-11-01 Виза Интернэшнл Сервис Ассосиэйшн Способ обнаружения несанкционированного доступа к программному обеспечению и оповещения о нем
US9779232B1 (en) 2015-01-14 2017-10-03 Sprint Communications Company L.P. Trusted code generation and verification to prevent fraud from maleficent external devices that capture data
US9838868B1 (en) 2015-01-26 2017-12-05 Sprint Communications Company L.P. Mated universal serial bus (USB) wireless dongles configured with destination addresses
US20150149362A1 (en) * 2015-02-04 2015-05-28 vitaTrackr, Inc. Encryption and Distribution of Health-related Data
US20150161413A1 (en) * 2015-02-16 2015-06-11 vitaTrackr, Inc. Encryption and distribution of health-related data
US9473945B1 (en) 2015-04-07 2016-10-18 Sprint Communications Company L.P. Infrastructure for secure short message transmission
US9721093B2 (en) * 2015-06-16 2017-08-01 Intel Corporation Enhanced security of power management communications and protection from side channel attacks
US11876889B2 (en) * 2015-09-03 2024-01-16 Fiske Software, Llc NADO cryptography with key generators
US9819679B1 (en) 2015-09-14 2017-11-14 Sprint Communications Company L.P. Hardware assisted provenance proof of named data networking associated to device data, addresses, services, and servers
US10282719B1 (en) 2015-11-12 2019-05-07 Sprint Communications Company L.P. Secure and trusted device-based billing and charging process using privilege for network proxy authentication and audit
US9817992B1 (en) 2015-11-20 2017-11-14 Sprint Communications Company Lp. System and method for secure USIM wireless network access
US10262164B2 (en) 2016-01-15 2019-04-16 Blockchain Asics Llc Cryptographic ASIC including circuitry-encoded transformation function
US10992702B2 (en) 2016-01-27 2021-04-27 Hewlett Packard Enterprise Development Lp Detecting malware on SPDY connections
US10499249B1 (en) 2017-07-11 2019-12-03 Sprint Communications Company L.P. Data link layer trust signaling in communication network
US10404454B1 (en) 2018-04-25 2019-09-03 Blockchain Asics Llc Cryptographic ASIC for derivative key hierarchy
US10542036B1 (en) * 2018-10-02 2020-01-21 Capital One Services, Llc Systems and methods for signaling an attack on contactless cards
US11841943B2 (en) * 2019-09-26 2023-12-12 Arm Limited Tamper detection and response techniques
TWI783309B (zh) * 2020-11-25 2022-11-11 瑞昱半導體股份有限公司 電路設計方法和相關電路

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050015624A1 (en) * 2003-06-09 2005-01-20 Andrew Ginter Event monitoring and management

Family Cites Families (37)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7761910B2 (en) 1994-12-30 2010-07-20 Power Measurement Ltd. System and method for assigning an identity to an intelligent electronic device
JP3165366B2 (ja) 1996-02-08 2001-05-14 株式会社日立製作所 ネットワークセキュリティシステム
US5748084A (en) 1996-11-18 1998-05-05 Isikoff; Jeremy M. Device security system
US6021493A (en) 1997-11-06 2000-02-01 International Business Machines Corporation System and method for detecting when a computer system is removed from a network
US6338140B1 (en) 1998-07-27 2002-01-08 Iridium Llc Method and system for validating subscriber identities in a communications network
CA2299824C (en) 2000-03-01 2012-02-21 Spicer Corporation Network resource control system
WO2001093531A2 (en) 2000-05-31 2001-12-06 Invicta Networks, Inc. Systems and methods for distributed network protection
US20020108058A1 (en) 2001-02-08 2002-08-08 Sony Corporation And Sony Electronics Inc. Anti-theft system for computers and other electronic devices
US20020154777A1 (en) 2001-04-23 2002-10-24 Candelore Brant Lindsey System and method for authenticating the location of content players
AU2002322109A1 (en) * 2001-06-13 2002-12-23 Intruvert Networks, Inc. Method and apparatus for distributed network security
WO2003009620A1 (en) 2001-07-18 2003-01-30 Wizard Mobile Solutions Limited Data security device
GB2377776A (en) 2001-07-18 2003-01-22 Wizard Mobile Solutions Ltd A combination of a portable data storage device and a wireless backup device having an out of range alert
US7853803B2 (en) 2001-09-28 2010-12-14 Verizon Corporate Services Group Inc. System and method for thwarting buffer overflow attacks using encrypted process pointers
US20030084349A1 (en) * 2001-10-12 2003-05-01 Oliver Friedrichs Early warning system for network attacks
US20030084321A1 (en) 2001-10-31 2003-05-01 Tarquini Richard Paul Node and mobile device for a mobile telecommunications network providing intrusion detection
CA2472268A1 (en) * 2001-12-31 2003-07-17 Citadel Security Software Inc. Automated computer vulnerability resolution system
FR2836312B1 (fr) 2002-02-15 2004-11-19 Gemplus Card Int Procede de generation de cles securisees pour un algorithme cryptographique
GB2386802A (en) * 2002-03-18 2003-09-24 Hewlett Packard Co Auditing of secure communication sessions over a communication network
AU2003220582A1 (en) 2002-03-29 2003-10-13 Cisco Technology, Inc. Method and system for reducing the false alarm rate of network intrusion detection systems
US6996251B2 (en) 2002-09-30 2006-02-07 Myport Technologies, Inc. Forensic communication apparatus and method
US7088237B2 (en) 2003-02-14 2006-08-08 Qualcomm Incorporated Enhanced user privacy for mobile station location services
JP2004334330A (ja) 2003-04-30 2004-11-25 Sony Corp 端末機器、提供サーバ、電子情報利用方法、電子情報提供方法、端末機器プログラム、提供サーバプログラム、仲介プログラム、及び記憶媒体
CN1820262A (zh) 2003-06-09 2006-08-16 范拉诺公司 事件监控及管理
US7346922B2 (en) 2003-07-25 2008-03-18 Netclarity, Inc. Proactive network security system to protect against hackers
US20050125689A1 (en) 2003-09-17 2005-06-09 Domonic Snyder Processing device security management and configuration system and user interface
US7651530B2 (en) * 2004-03-22 2010-01-26 Honeywell International Inc. Supervision of high value assets
JP2006048134A (ja) 2004-07-30 2006-02-16 Lac Co Ltd ネットワークセキュリティ監視システム、ネットワークセキュリティ監視方法、及びプログラム
JP4643204B2 (ja) 2004-08-25 2011-03-02 株式会社エヌ・ティ・ティ・ドコモ サーバ装置
GB0503927D0 (en) 2005-02-25 2005-04-06 Nokia Corp Location services in a communication system
JP4739962B2 (ja) 2006-01-16 2011-08-03 日本電信電話株式会社 攻撃検知装置、攻撃検知方法および攻撃検知プログラム
JP2007219685A (ja) 2006-02-15 2007-08-30 Nagoya Institute Of Technology コンテンツ配信装置、コンテンツ配信システム、コンテンツ配信方法およびコンテンツ配信プログラム
US20070223432A1 (en) 2006-03-21 2007-09-27 Badarinath Sharma K Wi-Fi network connection management using location specific information
US8646071B2 (en) 2006-08-07 2014-02-04 Symantec Corporation Method and system for validating site data
US8818344B2 (en) 2006-11-14 2014-08-26 Microsoft Corporation Secured communication via location awareness
US20080318548A1 (en) 2007-06-19 2008-12-25 Jose Bravo Method of and system for strong authentication and defense against man-in-the-middle attacks
US8850057B2 (en) * 2007-09-20 2014-09-30 Intel Corporation Healthcare semantic interoperability platform
US8839460B2 (en) 2008-03-07 2014-09-16 Qualcomm Incorporated Method for securely communicating information about the location of a compromised computing device

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050015624A1 (en) * 2003-06-09 2005-01-20 Andrew Ginter Event monitoring and management

Also Published As

Publication number Publication date
WO2009114290A2 (en) 2009-09-17
JP5456702B2 (ja) 2014-04-02
US8850568B2 (en) 2014-09-30
JP2011517804A (ja) 2011-06-16
KR20100124315A (ko) 2010-11-26
TW200951758A (en) 2009-12-16
CN101965573A (zh) 2011-02-02
WO2009114290A3 (en) 2010-09-16
EP2272023A2 (en) 2011-01-12
US20090228698A1 (en) 2009-09-10
CN101965573B (zh) 2014-09-17

Similar Documents

Publication Publication Date Title
KR101252707B1 (ko) 통신 장치에 대한 비허가 액세스를 검출하고 이러한 비허가 액세스에 대한 정보를 보안적으로 통신하기 위한 방법 및 장치
JP5666735B2 (ja) 危険にさらされたコンピュータデバイスの位置についての情報を安全に通信するための方法
KR101769282B1 (ko) 데이터 보안 서비스
CN112468995B (zh) 一种基于车联网的可搜索加密隐私保护方法及系统
CN107636669B (zh) 不期望网络业务的控制
US8774407B2 (en) System and method for executing encrypted binaries in a cryptographic processor
JP2013131868A (ja) 温度センサ、暗号化装置、暗号化方法、及び個体別情報生成装置
CN101197822A (zh) 防止信息泄漏的系统和基于该系统的防止信息泄漏的方法
US10623384B2 (en) Combined hidden dynamic random-access devices utilizing selectable keys and key locators for communicating randomized data together with sub-channels and coded encryption keys
CN113949591B (zh) 一种基于区块链的数据加密保护方法及系统
CN118013560B (zh) 一种基于区块链技术的网络数据信息安全防护方法
US12028350B2 (en) Apparatus for electronic control of vehicle, apparatus for gateway and vehicle including the same
US20220321576A1 (en) Apparatus for electronic control of vehicle, apparatus for gateway and vehicle including the same
JP6053582B2 (ja) 暗号処理装置、暗号処理方法、暗号処理プログラム、及び認証方法
CN116744298A (zh) 物联网卡设备的身份识别方法、标识系统及相关设备
JP2003283485A (ja) 暗号鍵管理方法及び暗号鍵管理システム
Allard et al. Dependability of Aggregated Objects, a pervasive integrity checking architecture

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160330

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20170330

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20180329

Year of fee payment: 6

LAPS Lapse due to unpaid annual fee