KR101281928B1 - Apparatus and method for mutual authentication in downloadable conditional access system - Google Patents

Apparatus and method for mutual authentication in downloadable conditional access system Download PDF

Info

Publication number
KR101281928B1
KR101281928B1 KR1020090121881A KR20090121881A KR101281928B1 KR 101281928 B1 KR101281928 B1 KR 101281928B1 KR 1020090121881 A KR1020090121881 A KR 1020090121881A KR 20090121881 A KR20090121881 A KR 20090121881A KR 101281928 B1 KR101281928 B1 KR 101281928B1
Authority
KR
South Korea
Prior art keywords
key
authentication
security module
information
encryption key
Prior art date
Application number
KR1020090121881A
Other languages
Korean (ko)
Other versions
KR20100102032A (en
Inventor
권은정
구한승
김순철
김희정
정영호
권오형
이수인
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority to KR20090020127 priority Critical
Priority to KR1020090020127 priority
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority claimed from US12/719,928 external-priority patent/US20100235626A1/en
Publication of KR20100102032A publication Critical patent/KR20100102032A/en
Application granted granted Critical
Publication of KR101281928B1 publication Critical patent/KR101281928B1/en

Links

Images

Abstract

본 발명의 다운로더블 제한 수신 시스템에서의 상호 인증 장치는 인증 프록시(AP: Authentication Proxy)를 이용하여 보안 알림(SecurityAnnounce) 정보를 인증하여 보안 모듈(SM: Secure Micro)로 전송하는 알림 프로토콜(Announce Protocol) 처리부, 상기 인증 기관 및 상기 보안 모듈 간의 상기 보안 알림 정보에 대한 키 요구(KeyRequest) 정보 및 키 응답(KeyResponse) 정보를 중계하는 키 프로토콜(Keying Protocol) 처리부, 상기 보안 모듈을 이용하여 상기 키 응답 정보를 복호화 하는 복호화부, 상기 키 응답 정보에 대한 제1 암호화 키와 상기 인증 프록시에서 생성한 제2 암호화 키와 동일한지 여부를 판단하는 인증 프로토콜(Authentication Protocol) 처리부 및 상기 보안 모듈이 보안 모듈 클라이언트 이미지(SM Client Image) 정보를 다운로드하도록 허여하는 다운로드 제공 정보(DownloadInfo)를 상 Mutual authentication device according to the double conditional access system to the down of the present invention is an authentication proxy (AP: Authentication Proxy) to authenticate the security alert (SecurityAnnounce) information by using the security module: the notification to be transmitted to (SM Secure Micro) protocol (Announce protocol) processing, the certificate authority and the key using the security module between the security alerts key request (KeyRequest) information and a key response (KeyResponse) key protocol (Keying protocol) for relaying the information processor, the security module for the first encryption key and the authentication protocol (authentication protocol) for determining a first whether or not the same as the second encryption key generated by the authentication proxy processing unit and the security module, the security module for a decoding unit for decoding the response information, the key response information client image (SM client image) provide information on the download (DownloadInfo) granting to download information 인증 프록시로부터 상기 보안 모듈로 전송하는 다운로드 프로토콜(Download Protocol) 처리부를 포함한다. From the authentication proxy and a download protocol (Download Protocol) processor for transmitting to the security module.
Figure R1020090121881
CAS, DCAS, 제한 수신 시스템, 인증, 보안 CAS, DCAS, conditional access system, authentication and security

Description

다운로더블 제한 수신 시스템에서의 상호 인증 장치 및 방법{APPARATUS AND METHOD FOR MUTUAL AUTHENTICATION IN DOWNLOADABLE CONDITIONAL ACCESS SYSTEM} Mutual authentication device in a conditional access system to the double-down and methods {APPARATUS AND METHOD FOR MUTUAL AUTHENTICATION IN DOWNLOADABLE CONDITIONAL ACCESS SYSTEM}

본 발명의 실시예들은 다운로더블 제한 수신 시스템에서의 상호 인증 장치 및 방법에 관한 것이다. Embodiments of the invention relate to the mutual authentication apparatus and method in a conditional access system to double down.

본 발명은 지식경제부 및 정보통신연구진흥원의 IT성장동력기술개발지원사업의 일환으로 수행한 연구로부터 도출된 것이다[과제관리번호: 2007-S-007-03, 과제명: Downloadable 제한 수신 시스템 개발]. The present invention has been derived from a research undertaken as a part of the Ministry of Knowledge Economy and Telecommunications Research Institute IT growth technology development support program of project management No.: 2007-S-007-03, Project Title: Development Downloadable Conditional Access System; .

제한수신시스템은 방송 프로그램에 암호를 삽입하여 시청이 허가된 가입자들만 유료방송을 시청할 수 있는 권한을 부여해주는 시스템으로, 유료 방송 서비스를 제공하기 위해서는 CA(Conditional Access) 응용의 구현 형태에 따라 대부분 스마트 카드 또는 PCMCIA 카드 형태의 케이블카드를 이용하고 있다. Conditional access system by inserting the password in the program in the system that authorizes you to watch pay-TV only the viewer is allowed subscribers paid to provide broadcast services mostly depending on the implementation of the CA (Conditional Access) application smart It is using the card or PCMCIA card form of a cable card.

최근 들어서는 양방향 통신 네트워크를 기반으로 다운로더블 제한수신 시스템(DCAS: Downloadable Conditional Access System) 기술 개발이 이슈가 되고 있는 바, 다운로더블 제한 수신 시스템이란, 셋탑박스에 CAS S/W가 설치될 수 있는 보안모듈을 탑재하여 양방향 통신 네트워크를 통해 CAS S/W의 결함 발생이나 CAS S/W의 버전 업데이트 등과 같은 상황에서 용이하게 CAS S/W를 갱신할 수 있도록 하는 기술이다. Recently, a double conditional access system to download based on the two-way communication network (DCAS: Downloadable Conditional Access System) technology development issues are bar down to be a double-conditional access system is, CAS S / W in the set-top box installation equipped with a security module through an interactive communication network is a technology that allows you to easily update the CAS S / W in a situation such as CAS S / W for defects or CAS S / W version of the update.

다운로더블 제한 수신 시스템은 인증되지 않은 상태의 가입자의 셋탑박스로 CAS S/W를 전송할 경우 가입자는 불법적으로 유료방송 서비스의 시청이 가능하거나 예측하지 못한 상황을 발생시킬 수 있기 때문에 인증 서버와 셋탑박스에 탑재될 보안모듈간의 상호인증이 수행되어야 한다. If you down a double conditional access system will send the CAS S / W to the set-top box of unauthenticated subscribers subscribers because it can illegally generate viewing this could not be possible or predictable conditions of pay-TV service authentication servers and set-top mutual authentication between the security module to be mounted on the box should be done.

또한, 셋탑박스에 탑재될 보안모듈이 헤드엔드에 위치한 인증 프록시를 인증하지 않을 경우 인증 프록시를 가장한 제 3의 서버로부터 다양한 공격을 받을 수가 있다. In addition, various attacks can be an authentication proxy from one of the third-party server if a security module to be mounted on a set-top box does not validate the authentication proxy located at the head end.

따라서, 전술한 바와 같은 다운로드 가능한 제한수신 시스템에서 보안상의 문제점을 해결하기 위한 효과적인 상호인증 방법이 요구되고 있다. Therefore, there is a need for an efficient mutual authentication method for solving the problems of security in a downloadable conditional access system as described above.

본 발명의 일실시예는 인증 프록시와 보안 모듈 간의 상호 인증 프로토콜을 제공하는 것을 목적으로 한다. One embodiment of the invention seeks to provide a mutual authentication protocol between the proxy authentication and security modules.

또한, 본 발명의 일실시예는 하드웨어 기반의 실체 인증이 불필요해 뿐만 아니라, 이에 따른 운용비용의 절감, 결함이 발생 시 빠른 시스템 갱신이 가능한 상호 인증 장치를 제공하는 것을 목적으로 한다. Further, one embodiment of the invention has an object to provide a mutual authentication device capable of fast update system when not only unnecessary for the hardware-based entity authentication, whereby the reduction, the defect of the operation costs due.

또한, 본 발명의 일실시예는 다운로더블 제한 수신 시스템에서 소프트웨어를 전송하기 위한 과정에서 발생하는 트래픽 데이터 암호화/복호화, 메시지 인증, 장치 인증 등과 같은 다양한 보안의 세부기능들을 수행할 수 있는 효과적인 인증 프로토콜을 제공하는 것을 목적으로 한다. Further, one embodiment of the present invention is double the conditional access system, the traffic data encryption / decryption occurring in the process for transmitting the software from a download, message authentication, effective authentication that may perform the various security detailed features such as device authentication, to provide a protocol for the purpose.

본 발명의 일실시예에 따른 다운로더블 제한 수신 시스템에서의 상호 인증 장치는 인증 프록시(AP: Authentication Proxy)를 이용하여 보안 알림(SecurityAnnounce) 정보를 인증하여 보안 모듈(SM: Secure Micro)로 전송하는 알림 프로토콜(Announce Protocol) 처리부, 상기 인증 기관 및 상기 보안 모듈 간의 상기 보안 알림 정보에 대한 키 요구(KeyRequest) 정보 및 키 응답(KeyResponse) 정보를 중계하는 키 프로토콜(Keying Protocol) 처리부, 상기 보안 모듈을 이용하여 상기 키 응답 정보를 복호화 하는 복호화부, 상기 키 응답 정보에 대한 제1 암호화 키와 상기 인증 프록시에서 생성한 제2 암호화 키와 동일한 지 여부를 판단하는 인증 프로토콜(Authentication Protocol) 처리부 및 상기 보안 모듈이 보안 모듈 클라이언트 이미지(SM Client Image) 정보를 다운로드하도록 허여하는 다운로드 제공 정 Mutual authentication device according to the double conditional access system to download according to one embodiment of the present invention is an authentication proxy sent to:: (Secure Micro SM) and to authenticate the security alert (SecurityAnnounce) information by using the (AP Authentication Proxy) security module, Advertising protocol (Announce protocol) processing, the certification authority and the secure the security between modules notification key request (KeyRequest) information on the information and key response (KeyResponse) key protocols to relay information (Keying protocol) processing, the security module the first encryption key and the authentication protocol (authentication protocol) for determining a first whether or not the same as the second encryption key generated by the authentication proxy processing and the for the in the decoding unit, the key response information for decrypting the key response information using Download providing information to the security module is granted to download the client image security module (SM client image) information (DownloadInfo)를 상기 인증 프록시로부터 상기 보안 모듈로 전송하는 다운로드 프로토콜(Download Protocol) 처리부를 포함한다. Wherein the (DownloadInfo) and from the authentication proxy protocols, including download (Download Protocol) processor for transmitting to the security module.

또한, 본 발명의 일실시예에 따른 다운로더블 제한 수신 시스템에서의 상호 인증 방법은 인증 프록시(AP: Authentication Proxy)를 이용하여 보안 알림(SecurityAnnounce) 정보를 인증하여 보안 모듈(SM: Secure Micro)로 전송하는 단계, 상기 인증 기관 및 상기 보안 모듈 간의 상기 보안 알림 정보에 대한 키 요구(KeyRequest) 정보 및 키 응답(KeyResponse) 정보를 중계하는 단계, 상기 보안 모듈을 이용하여 상기 키 응답 정보를 복호화 하는 단계, 상기 키 응답 정보에 대한 제1 암호화 키와 상기 인증 프록시에서 생성한 제2 암호화 키와 동일한지 여부를 판단하는 단계 및 상기 보안 모듈이 보안 모듈 클라이언트 이미지(SM Client Image) 정보를 다운로드하도록 허여하는 다운로드 제공 정보(DownloadInfo)를 상기 인증 프록시로부터 상기 보안 모듈로 전송하는 단계를 포함한다. In addition, the mutual authentication method in a double conditional access system to download in accordance with one embodiment of the present invention is an authentication proxy (AP: Authentication Proxy) to authenticate the security alert (SecurityAnnounce) information security modules used (SM: Secure Micro) transmitting, the step of relaying the key request (KeyRequest) information and a key response (KeyResponse) information for the security alert information between the certificate authority and the security module, by the security module for decrypting the key response information issued this step, the key response information comprising the steps of: determining whether the first cryptographic key and the same and the second encryption key generated in the authentication proxy, and the security module on to download the security module client image (SM client image) information wherein the download service information (DownloadInfo) to be from the authentication proxy comprising: transmitting to the security module.

본 발명의 일실시예에 따르면 인증 프록시와 보안 모듈 간의 상호 인증 프로토콜을 제공할 수 있다. According to one embodiment of the present invention can provide a mutual authentication protocol between the proxy authentication and security modules.

또한, 본 발명의 일실시예에 따르면 하드웨어 기반의 실체 인증이 불필요해 뿐만 아니라, 이에 따른 운용비용의 절감, 결함이 발생 시 빠른 시스템 갱신이 가능한 상호 인증 장치를 제공할 수 있다. Further, it is possible, according to one embodiment of the invention not only by the hardware-based entity authentication required, to provide mutual authentication device capable of fast update system during this reduction in the running cost, a fault is generated in accordance with.

또한, 본 발명의 일실시예에 따르면 다운로더블 제한 수신 시스템에서 소프트웨어를 전송하기 위한 과정에서 발생하는 트래픽 데이터 암호화/복호화, 메시지 인증, 장치 인증 등과 같은 다양한 보안의 세부기능들을 수행할 수 있는 효과적인 인증 프로토콜을 제공할 수 있다. In addition, effective to perform the detailed functions of the various security such as this, according to one embodiment of the invention down to a double conditional access traffic data generated in the process for transmitting the software from the system encryption / decryption, message authentication, device authentication, It can provide authentication protocol.

이하 첨부 도면들 및 첨부 도면들에 기재된 내용들을 참조하여 본 발명의 실시예를 상세하게 설명하지만, 본 발명이 실시예에 의해 제한되거나 한정되는 것은 아니다. Reference to the information described in the figures accompanying the drawings and the accompanying description in detail the embodiments of the invention but is not the invention is not restricted or limited by the following examples.

한편, 본 발명을 설명함에 있어서, 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는, 그 상세한 설명을 생략할 것이다. On the other hand, in the following description, the case where a detailed description of known functions and configurations that are determined to unnecessarily obscure the subject matter of the present invention, a detailed description thereof will be omitted. 그리고, 본 명세서에서 사용되는 용어(terminology)들은 본 발명의 실시예를 적절히 표현하기 위해 사용된 용어들로서, 이는 사용자, 운용자의 의도 또는 본 발명이 속하는 분야의 관례 등에 따라 달라질 수 있다. And, the terms (terminology) that are used herein as a term used to adequately represent the embodiment of the present invention, and can be changed according to users, operator's intention or custom of the field to which the invention pertains. 따라서, 본 용어들에 대한 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다. Therefore, the definitions of the terms should be made according to throughout the present specification.

도 1은 본 발명의 일실시예에 따른 다운로더블 제한 수신 시스템의 구성을 도시한 블록도이다. 1 is a block diagram showing the configuration of a double conditional access system to download in accordance with one embodiment of the present invention.

본 발명의 일실시예에 따른 다운로더블 제한 수신 시스템은 전술한 바와 같이 보안 모듈(SM: Secure Micro)(100)과 인증 프록시(AP: Authentication Proxy)(200) 간의 상호 인증 방법을 제공한다. Receiving double limited to down according to one embodiment of the invention the system as described above, the security module and provides mutual authentication between:: (Authentication Proxy AP) (200) (SM Secure Micro) (100) and an authentication proxy.

본 발명의 일실시예에 따른 상호 인증 장치는, DCAS 호스트 보안 모듈(100), 헤드엔드의 인증 프록시(200) 및 인증 프록시(200)와 연결된 인증 기관(TA: Truxted Authority)(300)를 포함한다. Mutual authentication apparatus according to an embodiment of the present invention, DCAS host security module 100, the head end of the authentication, the proxy 200 and the authentication certificate authority connected to the proxy 200 (TA: Truxted Authority) contains a 300 do.

본 발명의 일실시예에 따른 인증 프록시(200)와 보안 모듈(100)은 도 1에 도시된 바와 같이, 케이블 네트워크를 통해 양방향 통신이 가능하다. Authentication Proxy 200 and the security module 100 according to one embodiment of the present invention is a two-way communication via the cable network, as shown in FIG.

본 발명의 일실시예에 따른 인증 프록시(200)와 보안 모듈(100)은 인증에 필요한 정보를 관리하기 위해 케이블 사업자가 아닌 제 3의 인증 기관(300)을 활용하며, 인증 기관(300)은 인증 프록시(200)을 통하여 인증에 필요한 각종 중요한 정보를 제공한다. Authentication proxy 200 and the secure module 100 utilizes the certificate authority 300, the third non-cable operator to manage the information for verification, authentication engine 300 according to one embodiment of the present invention through the authentication proxy (200) to provide a variety of important information needed for authentication.

본 발명의 일실시예에 따른 인증 프록시(200)는 인증 기관(300)으로부터 전송 받은 인증에 필요한 정보를 보안 모듈(100)로 전송하기 위하여 CMTS를 경유하며, 인증 과정에서 발생하는 모든 키 정보는 키 관리 서버에서 관리되고, 인증이 정상적으로 완료된 후에는 제한 수신 시스템(CAS: Conditional Access System) 소프트웨어가 다운로드 서버 및 CMTS를 거쳐 보안 모듈(100)로 전송된다. Authentication proxy (200) in accordance with one embodiment of the present invention is via the CMTS to transmit the required information received from the certificate authority 300, the authentication to the security module (100), all key information generated in the authentication process, managed by the key management server, after the authentication is completed normally, the conditional access system: is transmitted to (CAS Conditional Access system) a security module software via the download server and the CMTS (100).

본 발명의 일실시예에 따른 보안 모듈(100)은 제한 수신 시스템(CAS: Conditional Access System) 소프트웨어를 다운로드 함으로써, 스크램블되어 전송되는 방송 신호에 대한 시청 허가를 획득하여 가입자에게 TV와 같은 CPE(Customer Premises Equipment)를 통해 유료방송 서비스를 제공할 수 있다. According to one embodiment of the invention the security module 100 includes a Conditional Access System (CAS: Conditional Access System) and downloading the software, is scrambled by obtaining viewing permission for the broadcast signal transmitted as a subscriber and TV CPE (Customer through the Premises Equipment) it can provide pay-TV services.

본 발명의 일실시예에 따른 보안 모듈(100), 인증 프록시(200) 및 인증 기관(300) 간에 송수신 되는 메시지에 대한 규약 및 절차에 관한 통신 메커니즘을 DCAS 프로토콜 이라고 정의하고, DCAS 프로토콜을 통하여 보안 모듈(100), 인증 프록시(200), 인증 기관(300) 사이에 송수신되는 메시지에 대한 보안 및 이들간의 인증 기능을 수행하게 된다. A communication mechanism on the rules and procedures for messages that are communicated between the security module 100, the authentication proxy 200 and certificate authority 300 according to one embodiment of the present invention and defined as DCAS protocol, security throughout the DCAS protocol module 100, authentication proxy (200), and performs authentication between the security features and combinations of the message transmitted and received between the certificate authority (300).

도 2는 본 발명의 일실시예에 따른 케이블 네트워크 상의 통신 메커니즘 계층도를 도시한 도면이다. 2 is a diagram showing a communication mechanism layer on the cable network in accordance with one embodiment of the present invention.

이때, 본 발명의 일실시예에 따르면 DCAS 프로토콜이 동작하는 계층은 도 2에 도시된 바와 같이 케이블 네트워크를 통한 DOCSIS계층, IP계층, TCP/UDP계층과는 독립적으로 동작되도록 제어된다. At this time, the layer of the DCAS protocol operation according to one embodiment of the present invention is controlled so that the operation is independent of the DOCSIS-layer, IP layer, TCP / UDP layer through a cable network, as shown in FIG.

본 발명의 일실시예에 따른 DCAS 프로토콜의 주요기능 중 하나는 제한 수신 시스템 소프트웨어를 보안 모듈(100)로 안전하게 전송하기 위하여 사전에 인증 프록시(200)와 보안 모듈(100) 간의 상호 인증을 수행 과정이 포함되어야 한다. One of the key features of the DCAS protocol according to an embodiment of the present invention includes performing a mutual authentication between the authentication proxy 200 and the security module 100 in advance in order to secure transfer of the conditional access system software to the security module 100, the process this should be included.

따라서, 본 발명의 일실시예에 따른 다운로더블 제한 수신 시스템에서의 보안 모듈(100)과 인증 프록시(200) 간의 상호 인증 방법을 도 3 및 도 4를 참조하여 상세히 설명하도록 한다. Therefore, reference to the present invention an exemplary security module 100 and the mutual authentication method 3 and 4 between the Authentication Proxy 200 in the double-down conditional access system in accordance with examples of the will be described in detail.

도 3은 본 발명의 일실시예에 따른 다운로더블 제한 수신 시스템에서의 상호 인증 장치의 구성을 도시한 블록도이고, 도 4는 본 발명의 일실시예에 따른 다운로더블 제한 수신 시스템에서의 상호 인증 방법을 도시한 흐름도이다. 3 is at double the conditional access system in a block diagram illustrating the configuration of the mutual authentication device according to the double conditional access system to download in accordance with one embodiment of the present invention, a down-4 according to one embodiment of the present invention a flow chart illustrating a mutual authentication method.

이때, 본 발명의 일실시예에 따른 보안 모듈(100), 인증 프록시(200) 및 인증 기관(300)는 네트워크 프로토콜 동작 전에 다음과 같은 정보를 보유하고 있음을 가정하여 설명하기로 한다. In this case, the security module 100, the authentication proxy 200 and certificate authority 300 according to one embodiment of the present invention will be described on the assumption that I have the following information before the network protocol operates.

한편, 본 발명의 다른 실시예에 따르면, 인증 기관(300)을 헤드엔드 내로 이동시킬 경우 LKS(Local Key Server)가 인증 기관(300)의 기능을 대체할 수도 있다. On the other hand, according to another embodiment of the invention, when moving the certification authority (300) into the head-end it may be replaced with the function of the certification authority 300 (Local Key Server) LKS.

본 발명의 일실시예에 따른 보안 모듈(100)은 인증 기관 인증서(TA X.509 인증서), 보안 모듈 인증서(SM 인증서), Ki 값 및 3 * OP(Operation Variant Algorithm Configuration Field) 등의 값을 보유하고 있음을 가정한다. Values ​​such as this according to one embodiment of the invention, the security module 100 includes a certificate authority certificate (TA X.509 certificate), a security module certificate (certificate SM), and the Ki value 3 * OP (Operation Algorithm Configuration Variant Field) assume that you have.

또한, 본 발명의 일실시예에 따른 인증 프록시(200)는 인증 기관 인증서(TA X.509 인증서) 및 인증 프록시(AP X.509 인증서) 등의 값을 보유하고 있음을 가정한다. In addition, authentication proxy (200) in accordance with one embodiment of the present invention it is assumed that holds the value of the certificate authority certificate (TA X.509 certificate) and an authentication proxy (AP X.509 certificate).

또한, 본 발명의 일실시예에 따른 인증 기관은 인증 기관 인증서(TA X.509 인증서), 인증 프록시 인증서(AP X.509 인증서), 보안 모듈 인증서(SM 인증서), 3 * OP, Ki 값 및 키 페어링 식별자 정보(Key Paring ID) 등의 값을 보유하고 있음을 가정한다. In addition, the certificate authority, according to an embodiment of the present invention is a certification authority certificate (TA X.509 certificate), a certificate authentication proxy (AP X.509 certificate), a security module certificate (SM certificate), 3 * OP, Ki values, and it is assumed that the pictures of value such as a key pair identifier (key ID Paring).

상기와 같은 가정 하에 본 발명의 일실시예에 따른 상호 인증 장치는 알림 프로토콜(Announce Protocol) 처리부(310), 키 프로토콜(Keying Protocol) 처리부(320), 인증 프로토콜(Authentication Protocol) 처리부(340) 및 다운로드 프로토콜(Download Protocol) 처리부(350)로 구성된다. Mutual authentication apparatus according to an embodiment of the present invention on the assumption as described above, and notification protocols (Announce Protocol) processing unit 310, a key protocol (Keying Protocol) processing unit 320, the authentication protocol (Authentication Protocol) processor 340 It consists of a download protocol (Download protocol) processing unit 350.

본 발명의 일실시예에 따른 알림 프로토콜 처리부(310)는 인증 프록시(200)를 이용하여 보안 알림(SecurityAnnounce) 정보를 보안 모듈(100)로 전송하도록 제어한다(401). Notification in accordance with one embodiment of the present invention, the protocol processing unit 310 controls to transmit the security alert (SecurityAnnounce) information by using the authentication proxy (200) to the security module 100 (401).

이때, 본 발명의 일실시예에 따른 알림 프로토콜 처리부(310)는, 인증 프록 시(200)를 이용하여 상기 보안 알림 정보를 HMAC(Hashed Message Authentication Code) 방식으로 인증하여 멀티캐스트(multicast) 방식으로 보안 모듈(100)로 전송한다. At this time, the notification protocol processing unit 310 in accordance with one embodiment of the present invention, by using the authentication proxy 200 to authenticate the security alerts to HMAC (Hashed Message Authentication Code) system as a multicast (multicast) method and it transmits it to the security module 100.

한편, 본 발명의 일실시예에 따른 보안 모듈(100)은 공용키(CHK: Common Hash Key)를 이용하여 상기 HMAC 메시지 인증을 수행한다. On the other hand, the security module 100 according to one embodiment of the present invention is a public key: performs the message authentication HMAC using (CHK Common Key Hash). 이에, 본 발명의 일실시예에 따른 보안 모듈(100)은 인증 프록시(200)로부터 수신된 상기 보안 알림 정보에 대한 인증을 수행하기 위하여 다음과 같은 키 프로토콜 과정을 수행한다. Thus, an exemplary security module 100 according to the embodiment of the present invention performs the following key protocol process, such in order to perform authentication with respect to the security alert information received from the authentication proxy (200).

이때, 본 발명의 일실시예에 따른 보안 모듈(100)은 인증 프록시(200)가 보유한 공용키와 동일한 공용키를 보유하지 않은 경우, 인증 프록시 지역(AP Zone)을 이동한 경우 또는 공용키를 보유하고 있지 않은 버진 스테이트(Virgin State)인 경우 인증 프록시(200)로부터 상기 보안 알림 정보에 포함된 공용키를 수신한다. At this time, the security module 100 if it is not held to the same public key and a public key, the authentication proxy (200) have, when the mobile authentication proxy area (AP Zone) or a public key in accordance with one embodiment of the present invention If you do not own virgin state (State Virgin) and from the authentication proxy 200 receives the public key contained in the security alerts.

본 발명의 일실시예에 따른 키 프로토콜 처리부(320)는 인증 프록시(200)를 이용하여 보안 모듈(100)로부터 상기 보안 알림 정보에 대한 키 요구(KeyRequest) 정보를 수신하여 인증 기관(300)으로 전송하고, 상기 전송한 키 요구 정보에 대한 키 응답(KeyResponse) 정보를 인증 기관(300)으로부터 수신하여 보안 모듈(100)로 전송한다(402~405). A key protocol processing unit 320 authenticates the proxy 200, the security module the security alerts receives a key request (KeyRequest) information for information the certificate authority 300 from 100 using a in accordance with one embodiment of the present invention transmits and receives the key response (KeyResponse) information for the transmission request information from a key certification authority (300) sent to the security module 100 (402-405).

본 발명의 일실시예에 따른 키 프로토콜 처리부(320)는, 보안 모듈(100)을 이용하여 보안 모듈(100)의 개인키로 전자 서명된 상기 키 요구 정보를 인증 프록시(200)로 전송하도록 제어한다(402). Key Protocol processing unit 320 according to an embodiment of the present invention, by using a security module 100, and controls to transmit the digital signature of the key required information with the private key of the security module 100 as an authentication proxy (200) 402.

본 발명의 일실시예에 다른 키 프로토콜 처리부(320)는 인증 프록시(200)를 이용하여 상기 키 요구 정보에 대한 RSA 전자 서명 검증하고, 상기 키 요구 정보로부터 추출한 키 페어링 식별자(Key Paring ID) 및 인증 프록시 식별자(AP ID)를 기반으로 재생성된 상기 키 요구 정보를 인증 기관(300)으로 전송한다(403). Other key protocol processing unit 320 in one embodiment of the present invention is verified RSA digital signature for the key request information by using the authentication proxy 200 and key pair identifier is extracted from the key request information (Key Paring ID) and and it transmits the proxy based on the authentication identifier (AP ID), the key re-request information to the certification authority (300) (403).

본 발명의 일실시예에 따른 키 프로토콜 처리부(320)는, 인증 기관(300)을 이용하여 상기 키 페어링 식별자를 통하여 보안 모듈 인증서(SM 인증서)를 조회하여 보안 모듈(100)을 인증하고, 보안 모듈(100)의 인증 결과를 상기 키 응답 정보에 정의하여 인증 프록시(200)로 전송한다(404). Key Protocol processing unit 320 according to an embodiment of the present invention, using the certificate authority 300 via the key pair identifier and verify the security module 100 to query the security module certificate (SM certificate), a security by defining the authentication result of the module 100 with the key response information and transmits it to the authentication proxy 200 404.

이때, 본 발명의 일실시예에 따른 인증 기관(300)은 보안 모듈(100)이 버진 스테이트(Virgin State)인 경우 티피 페어링(TP_Paring) 기능을 수행하거나, 보안 모듈(100)이 버진 스테이트가 아닌 경우 초기 페어링(Paring) 값과 비교확인 기능을 수행한다. At this time, the certificate authority 300 in accordance with one embodiment of the present invention, a security module 100, in this case the virgin state (Virgin State) performing typhimurium pair (TP_Paring) functionality, security module 100 is not a virgin state when the comparison check function performs the initial pairing (Paring) value.

본 발명의 일실시예에 따른 키 프로토콜 처리부(320)는, 인증 프록시(200)를 이용하여 인증 프록시 인증서(AP 인증서)를 상기 키 응답 정보에 정의하여 보안 모듈(100)로 전송한다(405). A key protocol processing unit 320 in accordance with one embodiment of the present invention, by using the authentication proxy (200) to define the key response information to the authentication proxy certificate (AP certificate) transmitted to the security module 100 (405) .

이때, 본 발명의 일실시에에 따른 인증 프록시(200)는 상기 키 응답 정보의 Auth_Rst의 값이 참이면, 해쉬 키(Hash Key) 생성 절차에 따라 공용키(CHK) 및 개인키(IHK: Individual Hash Key))를 생성하여 상기 인증 프록시 인증서와 함께 키 응답 정보 에 추가하여, 인증 프록시(200)의 개인키로 전자 서명하고 일부 인자에 대해서는 보안 모듈(100)의 공개키로 암호화 하여 보안 모듈로 상기 키 응답 정보를 전송한다. The authentication proxy 200 according to one embodiment of the present invention, if the value of Auth_Rst of the key response information true, hash key (Hash Key) according to the procedure of creating a public key (CHK) and private key (IHK: Individual to generate a Hash key)) added a key response information with the authentication proxy certificate, a digital signature with the private key of the authentication proxy (200), encrypted with the public key of the security module (100) for some factor the key to the security module and transmits the response information.

본 발명의 일실시예에 따른 복호화부(330)는 보안 모듈(100)을 이용하여 상기 키 응답 정보를 복호화 한다(406). Decoding unit 330 according to one embodiment of the invention decodes the key response information using a security module 100 (406).

이때, 본 발명의 일실시예에 따른 복호화부(330)는 보안 모듈(100)을 이용하여 상기 인증 프록시 인증서를 기반으로 상기 키 응답 정보에 포함된 정보 중 어느 하나 이상을 복호화한다. At this time, the decoding unit 330 according to an embodiment of the present invention decodes at least one of the information contained in the key response information based on the authentication proxy certificate using the security module 100.

예를 들어, 본 발명의 일실시예에 따른 복호화부(330)는 업데이트부 및 인증부 등으로 구성될 수 있는 바, 도 5를 참조하여 복호화 및 인증 과정을 설명하면 다음과 같다. For example, the decoding unit 330 according to an embodiment of the present invention with reference to the bar, Figure 5, which may be composed of a update unit, and the authentication section describes the decryption and authentication process as follows.

도 5는 본 발명의 일실시예에 따른 복호화 및 인증 과정을 도시한 흐름도이다. Figure 5 is a flow chart of a decryption and authentication process according to an embodiment of the present invention.

본 발명의 일실시예에 따른 보안 모듈(100)은 상기 보안 알림 정보를 수신하여 이를 분석하고(510), 버진 스테이트인지 여부를 판단한다(520). According to one embodiment of the invention the security module 100 determines whether the notification received security information to analyze and 510, the virgin state (520).

이때, 본 발명의 일실시예에 따른 업데이트부는 보안 모듈(100)을 이용하여 버진 스테이트(Virgin State)인 경우 또는 인증 프록시 지역(AP Zone)을 이동한 경우, 최신 공용키(CHK: Common Hash Key)를 추출하여 공용키를 업데이트시킨다(530). At this time, when using the update component security module 100 according to one embodiment of the present invention to move the virgin state when the (Virgin State) or Authentication Proxy area (AP Zone), the latest public key (CHK: Common Hash Key ) the extracts to thereby update the public key (530).

또한, 본 발명의 일실시예에 따른 보안 모듈(100)은 상기 보안 알림 정보에 포함된 인증 프록시 식별자(AP_ID)가 보안 모듈(100) 내부에 보유한 인증 프록시 식별자와 동일한지 여부를 판단하고(540), 동일한 식별자를 보유하지 않은 경우 단계(530)을 수행한다. Further, according to one embodiment of the invention the security module 100 authenticates the proxy ID (AP_ID) included in the security notification information and determines whether or not the same as the authentication proxy identifier held in the internal security module 100 (540 ), and it performs a case that does not have the same identifier, step 530.

그러나, 본 발명의 일실시예에 따른 인증부는 보안 모듈(100)을 이용하여 버진 스테이트가 아닌 경우 또는 인증 프록시 지역을 이동하지 않은 경우 보안 모듈(100)에 보유된 공용키(CHK)를 통해 HMAC 메시지 인증을 수행한다(550). However, when using the certification unit security module 100 according to one embodiment of the present invention are not moving or if the authentication proxy local non-virgin state over a public key (CHK) held in the security module 100 HMAC It performs a message authentication (550).

또한, 본 발명의 일실시예에 따른 보안 모듈(100)은 상기 보안 알림 정보 인증을 성공하였는지 여부를 판단하고(560), 성공하지 못 한 경우 상기 단계(530)을 수행한다. In addition, the security module 100 according to one embodiment of the present invention, it is determined whether or not the success of the authentication, if a security alert information not successful 560, and performs the step 530.

그러나, 본 발명의 일실시예에 따른 보안 모듈(100)은 상기 보안 알림 정보 인증을 성공한 경우 상기 키 요구 정보를 인증 프록시(200)로 전송하고 상기 키 응답 정보로부터 공용키, 개인키 및 암호화 키 등을 추출한다(570). However, the security module 100 is a security alert when a successful information authentication transmitting the key request information to an authentication proxy (200) and a public key from the key response information, private key, and the encryption key in accordance with one embodiment of the present invention extracts such as 570.

본 발명의 일실시예에 따른 인증 프로토콜 처리부(340)는 보안 모듈(100)로부터 상기 키 응답 정보에 대한 제1 암호화 키를 포함하는 클라이언트 서명(ClientSignOn) 정보를 인증 프록시(200)로 전송하고, 인증 프록시(200)를 이용하여 상기 제1 암호화 키가 인증 프록시(200)에서 생성한 제2 암호화 키와 동일한지 여부를 판단하여 동일한 경우, 상기 클라이언트 서명 정보에 대한 클라이언트 서명 확인(ClientSignOnConfirm) 정보를 보안 모듈(100)로 전송하도록 제어한다(407~409). Authentication protocol processing unit 340 according to an embodiment of the present invention transmits a client signature (ClientSignOn) information including the first encryption key to the key response information from the security module 100 as an authentication proxy (200), using the authentication proxy 200, the first case the same encryption key to determine whether or not the same as the second encryption key generated in the authentication proxy (200), the verification client signature (ClientSignOnConfirm) information about the client-signed information and it controls to transmit to the security module 100 (407-409).

이때, 본 발명의 일실시예에 따른 상기 제1 암호화 키는 상기 보안 모듈을 통하여 상기 키 응답 정보를 기반으로 생성된 제1 메시지 암호화 키(Message Encryption Key) 및 제1 보안 모듈 클라이언트 이미지 암호화 키(SM Client Image Encryption Key)를 포함하고, 상기 제2 암호화 키는 상기 인증 프록시를 통하여 생 성된 제2 메시지 암호화 키(Message Encryption Key) 및 제2 보안 모듈 클라이언트 이미지 암호화 키(SM Client Image Encryption Key)를 포함한다. At this time, one of the first encryption key according to the embodiment may include the security module via a generated based on the key response information, the first message encryption key (Message Encryption Key) and a first security module of the present invention client image encryption key ( SM client image encryption key), the second encryption key is generated second message encryption key (message encryption key) and a second security module client image encryption key (SM client image encryption key) via the authentication proxy contains a It includes.

예를 들어, 본 발명의 일실시예에 따른 보안 모듈(100)는 상기 키 응답 정보에 정의된 값을 이용하여 상기 제1 메시지 암호화 키 및 상기 제1 보안 모듈 클라이언트 이미지 암호화 키를 생성한다. For example, the security module 100 according to one embodiment of the present invention generates the first message encryption key and the first security module client image encryption key using a value defined in the key response information.

본 발명의 일실시예에 따른 보안 모듈(100)은 상기 제1 메시지 암호화 키 및 제1 보안 모듈 클라이언트 이미지 암호화 키가 인증 프록시(200)에서도 생성될 수 있도록 상기 클라이언트 서명 정보를 생성한다. Security module 100 in accordance with one embodiment of the present invention generates the signature client information to the first message encryption key and the first security module client image encryption key may be generated in an authentication proxy (200).

이때, 본 발명의 일실시예에 따른 보안 모듈(100)은 상기 제1 메시지 암호화 키와 상기 제1 보안 모듈 클라이언트 이미지 암호화 키 값에 대한 해쉬(Hash) 값도 상기 클라이언트 서명 정보에 추가하며, 상기 키 응답 정보에 정의된 개인키를 이용하여 HMAC을 적용한 후 인증 프록시(200)로 전송한다(407). In this case, the security module 100 according to one embodiment of the present invention is also a hash (Hash) value for the first message encryption key to the first secure module, the client image encryption key values ​​added to the client signature information, the after applying the HMAC using the private key defined in the key response information and transmits it to the authentication proxy (200) (407).

본 발명의 일실시예에 따른 인증 프록시(200)는 상기 클라이언트 서명 정보를 수신하여 인증 프록시(200)의 개인키를 이용하여 HMAC 메시지 인증을 수행한다. Authentication proxy (200) in accordance with one embodiment of the present invention performs the HMAC message authentication, using the private key of the authentication proxy (200) receiving the client signature information.

본 발명의 일실시예에 따른 인증 프록시(200)는 상기 클라이언트 서명 정보에 해쉬(Hash)된 상기 제1 메시지 암호화 키 및 상기 제1 보안 모듈 클라이언트 이미지 암호화 키 값이 인증 프록시(200)가 생성한 제2 메시지 암호화 키 및 제2 보안 모듈 클라이언트 이미지 암호화 키 값과 동일한지 비교하여 다음과 같은 과정을 수행한다. Authentication proxy (200) in accordance with one embodiment of the present invention, the hashed (Hash) to the client signature information first message encryption key and the first security module client image encryption key values ​​generated by the authentication proxy (200) a second message to the encryption key and the second comparison are the same as the security module client image encryption key value, and performs the following process.

예를 들어, 본 발명의 일실시예에 따른 인증 프록시(200)는 제1 메시지 암호화 키 및 상기 제1 보안 모듈 클라이언트 이미지 암호화 키가 상기 제2 메시지 암호화 키 및 상기 제2 보안 모듈 클라이언트 이미지 암호화 키가 상이한 경우, 불일치 여부를 알리는 불일치 정보를 보안 모듈(100)로 전송한다. For example, authentication proxy (200) in accordance with one embodiment of the present invention comprises a first message encryption key and the first security module client image encryption key is the second message encryption key and the second security module client image encryption key If a different, and transmits the disparity information indicating whether or not the inconsistency to the security module 100.

또한, 본 발명의 일실시예에 따른 인증 프록시(200)는 제1 메시지 암호화 키 및 상기 제1 보안 모듈 클라이언트 이미지 암호화 키가 상기 제2 메시지 암호화 키 및 상기 제2 보안 모듈 클라이언트 이미지 암호화 키가 동일한 경우 클라이언트 서명 확인 정보를 상기 보안 모듈(100)로 전송한다(409). In addition, authentication proxy (200) in accordance with one embodiment of the present invention comprises a first message encryption key and the first security module client image encryption key is the second message encryption key and the second security module client image encryption key, the same when the client sends a verification signature information to the security module 100 (409).

이때, 상기 클라이언트 서명 확인 정보는 상기 암호화 키 및 IV 값을 입력으로 하는 AES(Advanced Encryption Standard) 알고리즘을 이용하여 암호화 하여 전송된다. In this case, the confirmation information is transmitted to the client signature encrypted using a (Advanced Encryption Standard) algorithm for the AES encryption key and an IV value as input.

본 발명의 일실시예에 따른 다운로드 프로토콜 처리부(350)는 보안 모듈(100)이 보안 모듈 클라이언트 이미지(SM Client Image) 정보를 다운로드하도록 허여하는 다운로드 제공 정보(DownloadInfo)를 인증 프록시(200)로부터 보안 모듈(100)로 전송하도록 제어한다(410). Download protocol processing unit 350 according to an embodiment of the present invention is secure from security module 100, a security module client image (SM Client Image) download service information authenticate (DownloadInfo) Proxy 200, which issued to download information and controls to transmit to the module 100 (410).

이때, 상기 다운로드 제공 정보는 개인키를 이용하여 HMAC 메시지 인증을 수행하고 상기 암호화 키 및 IV 입력의 AES 알고리즘을 이용하여 메시지를 암호화 한 후 보안 모듈(100)로 전송된다. In this case, the download information is provided using the private key are performed the HMAC message authentication and transmitted to the security module 100 then encrypts the message by using the AES algorithm, the encryption key and an IV input.

본 발명의 일실시예에 따른 보안 모듈(100)은 상기 다운로드 제공 정보를 수신하여 메시지 인증 및 복호화 과정을 정상적으로 수행하고, 보안 모듈 클라이언트 이미지 정보가 저장된 서버로부터 상기 보안 모듈 클라이언트 이미지 정보를 다운로드 한다. Security module 100 in accordance with one embodiment of the present invention is received, perform the message authentication and decryption normally the download service information, and downloads the security module, the client image information from the server to the security module the client image information stored.

이때, 상기 보안 모듈 클라이언트 이미지 정보는 상기 암호화 키 및 IV를 이용하여 AES 로 암호화 되어 있으므로, 보안 모듈(100)은 이를 복호화 하기 위하여 상기 암호화 키 및 IV를 이용하여 상기 보안 모듈 클라이언트 이미지 정보를 복호화 하여 이를 수행할 수 있게 된다. At this time, the security module client image information, it is encrypted with the AES using the encryption key and the IV, security module 100 decrypts the security module client image information using the encryption key and the IV to decrypt it and it is possible to do.

또한, 본 발명의 일실시예에 따른 다운로드 프로토콜 처리부(350)는 상기 다운로드 제공 정보에 대한 다운로드 확인(DownloadConfirm) 정보를 보안 모듈(100)로부터 인증 프록시(200)로 전송하도록 제어한다(411). Further, the download protocol processing unit 350 controls to transmit the download confirmation (DownloadConfirm) about the download service information to the authentication proxy (200) from the security module 100, 411 in accordance with one embodiment of the present invention.

또한, 본 발명의 일실시예에 따른 보안 모듈은 상기 다운로드 제공 정보에 구매 리포트 요구 정보(PurchaseReport_REQ)가 정의된 경우, 개인키를 이용하여 구매 리포트 정보(PurchaseReportMessage)에 HMAC을 적용하고 상기 암호화 키로 암호화하여 인증 프록시(200)로 전송한다(412). The security module according to one embodiment of the present invention, the encryption key and the encryption applied to the HMAC to the private key purchase report information (PurchaseReportMessage) using a case where a purchase report request information (PurchaseReport_REQ) defined in the service the download information and it transmits to authentication proxy (200) (412).

본 발명의 일실시예에 따른 상호 인증 장치의 보안 모듈(100)과 인증 프록시(200) 간의 DCAS 인증 프로토콜을 수행에서 메시지 인증에 필요한 해쉬 키(Hash Key)인 공용키(CHK)와 개인키(IHK) 생성 절차는 다음과 같다. The public key (CHK) and the private key, the mutual authentication unit according to an embodiment of the invention, the security module 100 and the authentication proxy hash key required for message authentication in performing a DCAS authentication protocol between the (200), (Hash Key) ( IHK) generation procedure is as follows.

본 발명의 일실시예에 따른 개인키와 공용키는 아래와 같이 SHA(Secure Hash Algorithm)1 해쉬 함수를 이용해 생성될 수 있다. The private key and public key according to an embodiment of the present invention may be produced using the (Secure Hash Algorithm) 1 SHA hash function, as shown below. 이때, 난수 RANDIHK와 RANDCHK는 하드웨어 기반 또는 소프트웨어 기반 중 하나로 생성 될 수 있다. In this case, the random number and RANDIHK RANDCHK can be generated either hardware-based or software-based.

예를 들어, 본 발명의 일실시예에 따른 개인키와 공용키는 하드웨어로 생성 하는 경우 FIPS 140-2 section 4.7.1방식으로, 소프트웨어로 생성하는 경우 FIPS 186-2 appendix 3.3 방식으로 구현될 수 있다. For example, a private key and public key according to an embodiment of the present invention can be generated by hardware if the FIPS 140-2 section 4.7.1 method, implemented in a FIPS 186-2 appendix 3.3 scheme when generating a software have. 이때, 상기 개인키와 공용키는 소프트웨어로 구현될 경우 난수 생성기의 시드(seed) 값은 유일한 유닛(unit-unique)에 대한 비밀(secret) 값이어야 한다. In this case, the private key and public key of the random number generator seed (seed) values ​​When implemented in software should be secret (secret) value for the sole unit (unit-unique).

또한, 본 발명의 일실시예에 따른 보안 모듈(100)과 인증 프록시(200) 간의 DCAS 인증 프로토콜을 수행에서 메시지 암호화 및 상기 보안 모듈 클라이언트 이미지 정보 암호화에 필요한 상기 각 제1, 2 메시지 암호화 키 및 상기 각 제1, 2 보안 모듈 클라이언트 이미지 암호화 키 생성 절차는 다음과 같다. In addition, the need to DCAS encrypt the authentication protocol carried out message and the security module client image information encryption between security module 100 and an authentication proxy (200) in accordance with one embodiment of the invention each of the first and second message encryption key, and each of the first and second secure client module image encryption key generation procedure is as follows.

이때, 상기 메시지 암호화 키는 DCAS 네트워크 프로토콜에서 보안 모듈(100)과 인증 프록시(200) 간에 전송되는 메시지를 암호화 하는데 사용되는 대칭키이다. In this case, the message encryption key is a symmetric key used for encrypting messages sent between the security module 100 and an authentication proxy (200) in the DCAS network protocol. 또한, 상기 보안 모듈 클라이언트 이미지 암호화 키는 상기 보안 모듈 클라이언트 이미지 정보를 암호화 하기 위하여 사용되는 대칭키이다. Also, the client security module image encryption key is a symmetric key used to encrypt the security module client image information.

도 6은 본 발명의 일실시예에 따른 메시지 암호화 키 및 보안 모듈 이미지 암호화 키 생성 방법을 도시한 흐름도이다. Figure 6 is a flow chart of a message encryption key and a security module, the image encryption key generation method according to an embodiment of the present invention.

예를 들어, 상기 메시지 암호화 키 및 상기 보안 모듈 클라이언트 암호화 키는 128 bits 길이를 가지며, 도 6에 도시된 바와 같이 마스터 키(MK)를 Pseudo Random Number Generator (PRNG)의 입력으로 취해 생성할 수 있다. For example, the message encryption key and the security module, the client encryption key has a 128 bits in length, can be generated taking the master key (MK) to the input of the Pseudo Random Number Generator (PRNG) as shown in Figure 6 .

본 발명의 일실시예에 따르면 도 6에 도시된 SHA1의 입력 값들 중 n*Kc에서 n이 3이라는 것은 인증 프록시로부터 수신한 RAND_TA 내 3개의 RAND 값들로 생성된 3개의 Kc의 연속으로 붙여진 값을 의미한다. The one embodiment values, according also not called in n * Kc of the SHA1 input values ​​shown in 6 n 3 attached to the three Kc continuously generated by three RAND values ​​within a RAND_TA received from the authentication proxy of the present invention it means.

본 발명의 일실시예에 따르면 핑(PRNG)은 FIPS 186-2 내에 규정된 알고리즘 1(Algorithm 1)의 변형을 사용하며, RFC4186 의 Appendix B에 기술된 알고리즘을 따를 수 있다. According to one embodiment of the invention ping (PRNG) used is a variation of the algorithm 1 (Algorithm 1) defined in FIPS 186-2, and may be in accordance with the algorithm described in Appendix B of the RFC4186.

본 발명에 따른 실시예들은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. An embodiment according to the present invention are implemented as a program instruction form that can be executed by various computer means may be recorded in computer-readable media. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. The media may also include, alone or in combination with the program instructions, data files, data structures, and the like. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. The media and program instructions may be ones, or they may be of well-known and available to those skilled in the art computer software specifically designed and constructed for the purposes of the present invention. 컴퓨터 판독 가능 기록 매체의 예에는 하드디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(Floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. Examples of the computer readable recording medium such as an optical recording medium (optical media), flop tikeol disk (Floptical disk) such as a magnetic medium (magnetic media), CD-ROM, DVD, such as hard disks, floppy disks, and magnetic tape - hardware devices that are specially configured to store the program instructions, such as an optical medium (magneto-optical media), and read-only memory (ROM), random access memory (RAM), flash memory and perform. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. Examples of program instructions include both machine code, such as produced by a compiler, using an interpreter for a high-level language code that can be executed by a computer. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다. The described hardware devices may be configured to act as one or more software modules in order to perform the operations of the present invention, or vice versa.

이상과 같이 본 발명에서는 구체적인 구성 요소 등과 같은 특정 사항들과 한정된 실시예 및 도면에 의해 설명되었으나 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상적인 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다. In the present invention, as described above been described by the specific details and exemplary embodiments and drawings, such as specific configuration elements, which only be provided to assist the overall understanding of the invention, the invention is not limited to the embodiment of the , those of ordinary skill in the art to which the invention pertains that various modifications, additions and substitutions are possible from this disclosure. 따라서, 본 발명의 사상은 설명된 실시예에 국한되어 정해져서는 아니되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등하거나 등가적 변형이 있는 모든 것들은 본 발명 사상의 범주에 속한다고 할 것이다. Thus, the idea of ​​the invention is limited to the described embodiments jeonghaejyeoseo will not be, all to be described later claims as well as the appended claims and equivalents, or if the equivalent strain ones will to fall within the scope of the inventive idea .

도 1은 본 발명의 일실시예에 따른 다운로더블 제한 수신 시스템의 구성을 도시한 블록도이다. 1 is a block diagram showing the configuration of a double conditional access system to download in accordance with one embodiment of the present invention.

도 2는 본 발명의 일실시예에 따른 케이블 네트워크 상의 통신 메커니즘 계층도를 도시한 도면이다. 2 is a diagram showing a communication mechanism layer on the cable network in accordance with one embodiment of the present invention.

도 3은 본 발명의 일실시예에 따른 다운로더블 제한 수신 시스템에서의 상호 인증 장치의 구성을 도시한 블록도이다. 3 is a block diagram showing the configuration of the mutual authentication unit of the conditional access system in a double-down in accordance with an embodiment of the present invention.

도 4는 본 발명의 일실시예에 따른 다운로더블 제한 수신 시스템에서의 상호 인증 방법을 도시한 흐름도이다. Figure 4 is a flow chart illustrating a mutual authentication method in a conditional access system to the double-down according to one embodiment of the present invention.

도 5는 본 발명의 일실시예에 따른 복호화 및 인증 과정을 도시한 흐름도이다. Figure 5 is a flow chart of a decryption and authentication process according to an embodiment of the present invention.

도 6은 본 발명의 일실시예에 따른 메시지 암호화 키 및 보안 모듈 이미지 암호화 키 생성 방법을 도시한 흐름도이다. Figure 6 is a flow chart of a message encryption key and a security module, the image encryption key generation method according to an embodiment of the present invention.

Claims (20)

  1. 인증 프록시(AP: Authentication Proxy)가 보안 알림(SecurityAnnounce) 정보를 인증하여 보안 모듈(SM: Secure Micro)로 전송하도록 제어하는 알림 프로토콜(Announce Protocol) 처리부; Authentication Proxy (AP: Authentication Proxy) is to authenticate the security alert (SecurityAnnounce) Information security module: to send a notification to the control (SM Micro Secure) protocol (Announce Protocol) processing unit;
    인증 기관 및 상기 보안 모듈 간의 상기 보안 알림 정보에 대한 키 요구(KeyRequest) 정보 및 키 응답(KeyResponse) 정보를 중계하는 키 프로토콜(Keying Protocol) 처리부; A certificate authority and key protocol (Keying Protocol) processing unit for relaying the request key (KeyRequest) information and a key response (KeyResponse) information for the security alert information between the security module;
    상기 보안 모듈이 상기 키 응답 정보를 복호화하도록 제어하는 복호화부; The security module the decoder for controlling to decode the key response information;
    상기 키 응답 정보에 대한 제1 암호화 키와 상기 인증 프록시에서 생성한 제2 암호화 키와 동일한지 여부를 판단하는 인증 프로토콜(Authentication Protocol) 처리부; The first encryption key and the authentication protocol (Authentication Protocol) processing unit for determining whether or not a claim equal to the second encryption key generated by the authentication proxy for the key response information; And
    상기 보안 모듈이 보안 모듈 클라이언트 이미지(SM Client Image) 정보를 다운로드하도록 허여하는 다운로드 제공 정보(DownloadInfo)를, 상기 인증 프록시로부터 상기 보안 모듈로 전송하도록 제어하는 다운로드 프로토콜(Download Protocol) 처리부 The security module is a security module client image (SM Client Image) download protocol (Download Protocol) processing unit for controlling to transmit to the security module the download service information (DownloadInfo), which issued to download the information, from the authentication proxy
    를 포함하고, And including,
    상기 복호화부는, The decoding unit,
    상기 보안 모듈이 버진 스테이트(Virgin State)인 경우 또는 인증 프록시 지역(AP Zone)을 이동한 경우, 최신 공용키(CHK: Common Hash Key)를 추출하여 공용키를 업데이트시키도록 제어하는 업데이트부; If the security module is to move the virgin state if (Virgin State) or the local authentication proxy (AP Zone), the latest public key: Updates section extracts (CHK Common Hash Key) are controlled so as to update the public key; And
    상기 보안 모듈이 버진 스테이트가 아닌 경우 또는 인증 프록시 지역을 이동하지 않은 경우, 상기 보안 모듈에 보유된 공용키(CHK)를 통해 HMAC 메시지 인증을 수행하도록 제어하는 인증부 If the security module is not moving or if the local authentication proxy non-virgin state, an authentication unit for controlling to perform a message authentication HMAC over a public key (CHK) held in the security module
    를 포함하는 다운로더블 제한 수신 시스템에서의 상호 인증 장치. Mutual authentication device in the conditional access system to double-down that includes.
  2. 제1항에 있어서, According to claim 1,
    상기 키 프로토콜 처리부는, The key protocol processing unit,
    상기 보안 모듈이 상기 인증 프록시로부터 상기 보안 알림 정보에 포함된 공용키(CHK: Common Hash Key)를 수신하도록 제어하는 다운로더블 제한 수신 시스템에서의 상호 인증 장치. The security module is the public key, included in the security alert information from the authentication proxy (CHK: Common Hash Key) mutual authentication device according to the double conditional access system to a down control to receive.
  3. 제1항에 있어서, According to claim 1,
    상기 키 프로토콜 처리부는, The key protocol processing unit,
    상기 보안 모듈이 상기 보안 모듈의 개인키로 전자 서명된 상기 키 요구 정보를 상기 인증 프록시로 전송하도록 제어하고, 상기 인증 프록시가 상기 키 요구 정보로부터 추출한 키 페어링 식별자(Key Paring ID) 및 인증 프록시 식별자(AP ID)를 기반으로 재생성된 상기 키 요구 정보를 상기 인증 기관으로 전송하도록 제어하는 다운로더블 제한 수신 시스템에서의 상호 인증 장치. The security module is the secret private key of the module control to transmit the key request information, the electronic signature to the authentication proxy, the authentication proxy key pair identifier is extracted from the key request information (Key Paring ID) and authentication proxy identifier ( mutual authentication device according to the double conditional access system to said key request information is re-created based on the AP ID) to down to control to transmit to the certification authority.
  4. 제3항에 있어서, 4. The method of claim 3,
    상기 키 프로토콜 처리부는, The key protocol processing unit,
    상기 인증 기관이 상기 키 페어링 식별자를 통하여 보안 모듈 인증서를 조회하여 상기 보안 모듈을 인증하도록 제어하고, 상기 인증 기관이 상기 보안 모듈의 인증 결과를 상기 키 응답 정보에 정의하여 상기 인증 프록시로 전송하도록 제어하는 다운로더블 제한 수신 시스템에서의 상호 인증 장치. The certificate authority is to query the security module certificate via the key pair identifier and control to authenticate the security module, the control is the certificate authority to send an authentication result of the security module to the authentication proxy by defining the key response information mutual authentication device in the conditional access system to double down to.
  5. 제4항에 있어서, 5. The method of claim 4,
    상기 키 프로토콜 처리부는, The key protocol processing unit,
    상기 인증 프록시가 인증 프록시 인증서를 상기 키 응답 정보에 정의하여 상기 보안 모듈로 전송하도록 제어하는 다운로더블 제한 수신 시스템에서의 상호 인증 장치. The authentication proxy is mutual authentication device according to the double conditional access system to a down control to transmit to the security module by defining a proxy certificate authentication response to the key information.
  6. 제5항에 있어서, 6. The method of claim 5,
    상기 복호화부는, The decoding unit,
    상기 보안 모듈이 상기 인증 프록시 인증서를 기반으로 상기 키 응답 정보에 포함된 정보 중 어느 하나 이상을 복호화하도록 제어하는 다운로더블 제한 수신 시스템에서의 상호 인증 장치. The security module, mutual authentication device according to the double down conditional access system in which control to decode any one or more of the information contained in the key response information based on the authentication proxy certificate.
  7. 삭제 delete
  8. 제1항에 있어서, According to claim 1,
    상기 제1 암호화 키는 상기 보안 모듈을 통하여 상기 키 응답 정보를 기반으로 생성된 제1 메시지 암호화 키(Message Encryption Key) 및 제1 보안 모듈 클라이언트 이미지 암호화 키(SM Client Image Encryption Key)를 포함하고, The first encryption key comprises a first message encryption key (Message Encryption Key) and a first security module client image encryption key (SM Client Image Encryption Key) created based on the key response information via the security module,
    상기 제2 암호화 키는 상기 인증 프록시를 통하여 생성된 제2 메시지 암호화 키(Message Encryption Key) 및 제2 보안 모듈 클라이언트 이미지 암호화 키(SM Client Image Encryption Key)를 포함하는 다운로더블 제한 수신 시스템에서의 상호 인증 장치. The second encryption key is in a double conditional access system to download a second message encryption key (Message Encryption Key) and a second security module client image encryption key (SM Client Image Encryption Key) created by the authentication proxy mutual authentication device.
  9. 제8항에 있어서, The method of claim 8,
    상기 각 제1, 2 메시지 암호화 키는 상기 보안 모듈과 상기 인증 프록시 간에 전송되는 메시지를 암호화 하는데 사용되는 대칭키이며, Each of the first and second message encryption key is a symmetric key used to encrypt messages transmitted between the security module and the authentication proxy,
    상기 각 제1, 2 보안 모듈 클라이언트 이미지 암호화 키는 상기 보안 모듈 클라이언트 이미지 정보를 암호화 하기 위하여 사용되는 대칭키인 다운로더블 제한 수신 시스템에서의 상호 인증 장치. Each of the first and second secure client module image encryption key, the mutual authentication unit in double the conditional access system to the symmetric key is down is used to encrypt the security module client image information.
  10. 제9항에 있어서, 10. The method of claim 9,
    상기 각 제1, 2 메시지 암호화 키 및 상기 각 제1, 2 보안 모듈 클라이언트 이미지 암호화 키는 마스터 키(MK)에 Pseudo Random Number Generator(PRNG)을 입력하여 생성되는 다운로더블 제한 수신 시스템에서의 상호 인증 장치. The cross in the respective first and second message encryption key and each of the first and second security module client image received encryption key is double limited to down is produced by inputting a Pseudo Random Number Generator (PRNG) in the master key (MK) systems certified devices.
  11. 제1항에 있어서, According to claim 1,
    상기 인증 프로토콜 처리부는, The authentication protocol processing unit,
    상기 제1 암호화 키가 상기 인증 프록시에서 생성한 제2 암호화 키와 동일하지 않은 경우, 상기 인증 프록시가 상기 보안 모듈로 상기 제1 암호화 키와 상기 제2 암호화 키의 불일치 여부를 알리는 불일치 정보를 전송하도록 제어하는 다운로더블 제한 수신 시스템에서의 상호 인증 장치. The first, if the encryption key is not equal to the second encryption key generated in the authentication proxy, the authentication proxy to the security module to inform the mismatch if the first encryption key and the second encryption key, transmitting the disagreement information to mutual authentication device according to the double conditional access system for controlling a down.
  12. 알림 프로토콜 처리부, 키 프로토콜 처리부, 복호화부, 인증 프로토콜 처리부, 다운로드 프로토콜 처리부를 포함하는 상호 인증 장치를 이용하여 상호 인증을 수행하는 방법에 있어서, A method for performing mutual authentication with the mutual authentication apparatus including a notification protocol processing, protocol processing key, the decryption unit, an authentication protocol processing, download protocol processing unit,
    상기 키 프로토콜 처리부가 인증 프록시(AP: Authentication Proxy)가 보안 알림(SecurityAnnounce) 정보를 인증하도록 제어하고, 상기 인증된 보안 알림 정보를 상기 인증 프록시로부터 보안 모듈(SM: Secure Micro)로 전송하도록 제어하는 단계; The key protocol processing unit authentication proxy: control (AP Authentication Proxy) to authenticate the security alert (SecurityAnnounce) information, and the security module information of the authentication security notification from the authentication proxy: controlling to transmit to (SM Secure Micro) step;
    상기 키 프로토콜 처리부가 인증 기관 및 상기 보안 모듈 간의 상기 보안 알림 정보에 대한 키 요구(KeyRequest) 정보 및 키 응답(KeyResponse) 정보를 중계하는 단계; And relay the key protocol processing unit certificate authority and key request (KeyRequest) information and a key response (KeyResponse) information for the security alert information between the security module;
    상기 복호화부가 상기 보안 모듈이 상기 키 응답 정보를 복호화 하도록 제어하는 단계; The step of controlling the decoding portion to the security module to decode the key response information;
    상기 복호화부가 상기 보안 모듈이 버진 스테이트(Virgin State)인 경우 또는 인증 프록시 지역(AP Zone)을 이동한 경우, 최신 공용키(CHK: Common Hash Key)를 추출하여 공용키를 업데이트시키도록 제어하는 단계; Controlling so as to extract a: (Common Hash Key CHK) to update the public key the decoding part said security module if you move a virgin state, or authentication proxy Regional (AP Zone) if (Virgin State), the latest public key .;
    상기 복호화부가 상기 보안 모듈이 버진 스테이트가 아닌 경우 또는 인증 프록시 지역을 이동하지 않은 경우 상기 보안 모듈에 보유된 공용키(CHK)를 통해 HMAC 메시지 인증을 수행하도록 제어하는 단계 The step of controlling the decoding so as to add the security module performs a message authentication HMAC over a public key (CHK) held in the security module if it is not moving, or if the local authentication proxy non-virgin state
    상기 인증 프로토콜 처리부가 상기 키 응답 정보에 대한 제1 암호화 키와 상기 인증 프록시에서 생성한 제2 암호화 키와 동일한지 여부를 판단하는 단계; Determining a first encryption key and whether or not the same as the second encryption key generated in the authentication proxy for the authentication protocol processing unit the key response information; And
    상기 다운로드 프로토콜 처리부가 상기 보안 모듈이 보안 모듈 클라이언트 이미지(SM Client Image) 정보를 다운로드하도록 허여하는 다운로드 제공 정보(DownloadInfo)를 상기 인증 프록시로부터 상기 보안 모듈로 전송하도록 제어하는 단계 The download protocol processing unit comprising: the security module is controlled to transmit the download service information (DownloadInfo), which issued to download the client security module image (SM Client Image) authentication information from the proxy to the security module
    를 포함하는 다운로더블 제한 수신 시스템에서의 상호 인증 방법. Mutual authentication method in a conditional access system to double-down that includes.
  13. 제12항에 있어서, 13. The method of claim 12,
    상기 키 프로토콜 처리부가 상기 보안 모듈이 상기 인증 프록시로부터 상기 보안 알림 정보에 포함된 공용키(CHK: Common Hash Key)를 수신하도록 제어하는 단계 Controlling to receive: (Common Key Hash CHK) the key protocol processing unit to the security module public key contained in the security alert information from the authentication proxy
    를 더 포함하는 다운로더블 제한 수신 시스템에서의 상호 인증 방법. Mutual authentication method in the conditional access system further comprises a double down with that.
  14. 제12항에 있어서, 13. The method of claim 12,
    상기 키 프로토콜 처리부가 상기 보안 모듈이 상기 보안 모듈의 개인키로 전자 서명된 상기 키 요구 정보를 상기 인증 프록시로 전송하도록 제어하는 단계; The method comprising adding the key to the security module control protocol processing to transmit the digital signature with the private key of the key information required for the security module to the authentication proxy; And
    상기 키 프로토콜 처리부가 상기 인증 프록시가 상기 키 요구 정보로부터 추출한 키 페어링 식별자(Key Paring ID) 및 인증 프록시 식별자(AP ID)를 기반으로 재생성된 상기 키 요구 정보를 상기 인증 기관으로 전송하도록 제어하는 단계 Controlling to transmit to the key, the protocol processing unit The authentication proxy is the key request information, key pair identifier (Key Paring ID) and authentication proxy identifier wherein the said key request information is re-created based on the (AP ID) certificate authority extracted from
    를 더 포함하는 다운로더블 제한 수신 시스템에서의 상호 인증 방법. Mutual authentication method in the conditional access system further comprises a double down with that.
  15. 제14항에 있어서, 15. The method of claim 14,
    상기 키 프로토콜 처리부가 상기 인증 기관이 상기 키 페어링 식별자를 통하여 보안 모듈 인증서를 조회하여 상기 보안 모듈을 인증하도록 제어하는 단계; Wherein said key control protocol processing section such that the certification authority authenticating the security module to query the security module certificate via the key pair identifier; And
    상기 키 프로토콜 처리부가 상기 보안 모듈의 인증 결과를 상기 키 응답 정보에 정의하여 상기 인증 프록시로 전송하는 단계 Adding the key to define the protocol processing authentication result of the security module to the key response information and transmitting to the authentication proxy
    를 더 포함하는 다운로더블 제한 수신 시스템에서의 상호 인증 방법. Mutual authentication method in the conditional access system further comprises a double down with that.
  16. 제15항에 있어서, 16. The method of claim 15,
    상기 키 프로토콜 처리부가 상기 인증 프록시가 인증 프록시 인증서를 상기 키 응답 정보에 정의하여 상기 보안 모듈로 전송하도록 제어하는 단계 Controlling said key protocol processing unit the authentication proxy to forward to the security module by defining a proxy certificate to the authentication key response information
    를 더 포함하는 다운로더블 제한 수신 시스템에서의 상호 인증 방법. Mutual authentication method in the conditional access system further comprises a double down with that.
  17. 제16항에 있어서, 17. The method of claim 16,
    상기 복호화부가 상기 보안 모듈이 상기 인증 프록시 인증서를 기반으로 상기 키 응답 정보에 포함된 정보 중 어느 하나 이상을 복호화하도록 제어하는 단계 The additional step of decoding the security module to decrypt the control of any one or more of the information contained in the key response information based on the authentication proxy certificate
    를 더 포함하는 다운로더블 제한 수신 시스템에서의 상호 인증 방법. Mutual authentication method in the conditional access system further comprises a double down with that.
  18. 삭제 delete
  19. 제12항에 있어서, 13. The method of claim 12,
    상기 제1 암호화 키는 상기 보안 모듈을 통하여 상기 키 응답 정보를 기반으로 생성된 제1 메시지 암호화 키(Message Encryption Key) 및 제1 보안 모듈 클라이언트 이미지 암호화 키(SM Client Image Encryption Key)를 포함하고, The first encryption key comprises a first message encryption key (Message Encryption Key) and a first security module client image encryption key (SM Client Image Encryption Key) created based on the key response information via the security module,
    상기 제2 암호화 키는 상기 인증 프록시를 통하여 생성된 제2 메시지 암호화 키(Message Encryption Key) 및 제2 보안 모듈 클라이언트 이미지 암호화 키(SM Client Image Encryption Key)를 포함하는 다운로더블 제한 수신 시스템에서의 상호 인증 방법. The second encryption key is in a double conditional access system to download a second message encryption key (Message Encryption Key) and a second security module client image encryption key (SM Client Image Encryption Key) created by the authentication proxy mutual authentication method.
  20. 제12항에 있어서, 13. The method of claim 12,
    상기 제1 암호화 키가 상기 인증 프록시에서 생성한 제2 암호화 키와 동일하지 않은 경우, 상기 인증 프로토콜 처리부가 상기 인증 프록시가 상기 보안 모듈로 상기 제1 암호화 키와 상기 제2 암호화 키의 불일치 여부를 알리는 불일치 정보를 전송하도록 제어하는 단계 The first, if the encryption key is not equal to the second encryption key generated in the authentication proxy, the first encryption key and the second discrepancy if the encryption key wherein the authentication protocol processing unit the authentication proxy to the security module and controlling to transmit the information indicating disagreement
    를 더 포함하는 다운로더블 제한 수신 시스템에서의 상호 인증 방법. Mutual authentication method in the conditional access system further comprises a double down with that.
KR1020090121881A 2009-03-10 2009-12-09 Apparatus and method for mutual authentication in downloadable conditional access system KR101281928B1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR20090020127 2009-03-10
KR1020090020127 2009-03-10

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US12/719,928 US20100235626A1 (en) 2009-03-10 2010-03-09 Apparatus and method for mutual authentication in downloadable conditional access system

Publications (2)

Publication Number Publication Date
KR20100102032A KR20100102032A (en) 2010-09-20
KR101281928B1 true KR101281928B1 (en) 2013-07-03

Family

ID=43007328

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090121881A KR101281928B1 (en) 2009-03-10 2009-12-09 Apparatus and method for mutual authentication in downloadable conditional access system

Country Status (1)

Country Link
KR (1) KR101281928B1 (en)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080098212A1 (en) 2006-10-20 2008-04-24 Helms William L Downloadable security and protection methods and apparatus
US20080177998A1 (en) 2007-01-24 2008-07-24 Shrikant Apsangi Apparatus and methods for provisioning in a download-enabled system

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080098212A1 (en) 2006-10-20 2008-04-24 Helms William L Downloadable security and protection methods and apparatus
US20080177998A1 (en) 2007-01-24 2008-07-24 Shrikant Apsangi Apparatus and methods for provisioning in a download-enabled system

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Jeong et al., "A novel protocol for downloadable CAS," IEEE Transactions on Consumer Electronics, Vol. 54, No. 3, P 1236-1243. *

Also Published As

Publication number Publication date
KR20100102032A (en) 2010-09-20

Similar Documents

Publication Publication Date Title
JP4617763B2 (en) Device authentication system, device authentication server, a terminal device, device authentication methods, and device authentication program
EP1696602B1 (en) Cryptographic communication system and method
KR100843072B1 (en) Wireless network system and communication method using wireless network system
CN101189827B (en) Method for inclusive authentication and management of service provider, terminal and user identity module, and system and terminal device using the method
KR100924106B1 (en) Method of secure transmission of digital data from a source to a receiver
RU2345497C2 (en) Method of local networking and control thereof
EP1825678B1 (en) System and method for secure conditional access download and reconfiguration
JP6170208B2 (en) How to build a hardware root of trust in an open computing platform, to provide protected content processing and system
CN101277185B (en) Authentication method, system based on wireless identification as well as wireless identification, server
EP1473869A1 (en) Universal secure messaging for cryptographic modules
US20040022391A1 (en) Digital content security system and method
US8555361B2 (en) Dynamic cryptographic subscriber-device identity binding for subscriber mobility
KR101366243B1 (en) Method for transmitting data through authenticating and apparatus therefor
US20030081774A1 (en) Method and apparatus for dynamic generation of symmetric encryption keys and exchange of dynamic symmetric key infrastructure
KR100980831B1 (en) Method and apparatus for deterrence of secure communication using One Time Password
US8761401B2 (en) System and method for secure key distribution to manufactured products
CN1643924A (en) Smart card mating protocol
JP2014527379A (en) System and method for encoding an exchange using a set of shared ephemeral key data
WO2007092588A2 (en) Secure digital content management using mutating identifiers
KR20060081337A (en) Encryption and decryption method using a secret key
JP2002203068A (en) Content distribution system, copyright protection system and content reception terminal
US8949595B2 (en) Mutual authentication apparatus and method in downloadable conditional access system
US7879111B2 (en) System and method for RFID transfer of MAC, keys
US20110235806A1 (en) Key distribution system
KR101434569B1 (en) Apparatus and method for providing security service in home network

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170529

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20180529

Year of fee payment: 6