KR101744388B1 - 인증 장치 및 방법 - Google Patents

인증 장치 및 방법 Download PDF

Info

Publication number
KR101744388B1
KR101744388B1 KR1020150050163A KR20150050163A KR101744388B1 KR 101744388 B1 KR101744388 B1 KR 101744388B1 KR 1020150050163 A KR1020150050163 A KR 1020150050163A KR 20150050163 A KR20150050163 A KR 20150050163A KR 101744388 B1 KR101744388 B1 KR 101744388B1
Authority
KR
South Korea
Prior art keywords
chip
die
hardware
secure
data
Prior art date
Application number
KR1020150050163A
Other languages
English (en)
Other versions
KR20150117226A (ko
Inventor
김동규
최병덕
지광현
Original Assignee
(주) 아이씨티케이
한양대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주) 아이씨티케이, 한양대학교 산학협력단 filed Critical (주) 아이씨티케이
Priority to JP2017505026A priority Critical patent/JP2017514421A/ja
Priority to PCT/KR2015/003577 priority patent/WO2015156622A2/ko
Priority to US15/302,932 priority patent/US10958451B2/en
Publication of KR20150117226A publication Critical patent/KR20150117226A/ko
Application granted granted Critical
Publication of KR101744388B1 publication Critical patent/KR101744388B1/ko
Priority to US17/185,856 priority patent/US11876917B2/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3278Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response using physically unclonable functions [PUF]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/02Addressing or allocation; Relocation
    • G06F12/0223User address space allocation, e.g. contiguous or non contiguous base addressing
    • G06F12/023Free address space management
    • G06F12/0238Memory management in non-volatile memory, e.g. resistive RAM or ferroelectric memory
    • G06F12/0246Memory management in non-volatile memory, e.g. resistive RAM or ferroelectric memory in block erasable memory, e.g. flash memory
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1408Protection against unauthorised use of memory or access to memory by using cryptography
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K19/00Record carriers for use with machines and with at least a part designed to carry digital markings
    • G06K19/06Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
    • G06K19/067Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components
    • G06K19/07Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips
    • G06K19/077Constructional details, e.g. mounting of circuits in the carrier
    • GPHYSICS
    • G09EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
    • G09CCIPHERING OR DECIPHERING APPARATUS FOR CRYPTOGRAPHIC OR OTHER PURPOSES INVOLVING THE NEED FOR SECRECY
    • G09C1/00Apparatus or methods whereby a given sequence of signs, e.g. an intelligible text, is transformed into an unintelligible sequence of signs by transposing the signs or groups of signs or by replacing them by others according to a predetermined system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2212/00Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
    • G06F2212/10Providing a specific technical effect
    • G06F2212/1052Security improvement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/40Security arrangements using identity modules
    • H04W12/45Security arrangements using identity modules using multiple identity modules
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Telephone Function (AREA)
  • Storage Device Security (AREA)

Abstract

기기와 연결되는 인터페이스 엘리먼트와 보안 다이-칩이 하나의 패키지 내에 구현된다. 상기 보안 다이-칩은 보안 인증 기능을 구비하지 못하는 상기 인터페이스 엘리먼트에 보안 인증 기능을 제공할 수 있다. 예시적으로, 상기 보안 다이-칩은 개인 키를 제공하는 PUF 및 상기 개인 키를 이용하여 암호화 및 복호화를 수행하는 하드웨어 와이어된 보안 모듈을 포함할 수 있다.

Description

인증 장치 및 방법{APPARATUS AND METHOD FOR AUTHENTICATING}
인증 장치 및 방법에 연관되며, 보다 특정하게는 기기(device), 기기에 저장된 데이터, 및/또는 기기가 송수신하는 데이터를 인증하는 장치 및 방법에 연관된다.
스마트폰이나 태블릿과 같은 종래의 통신 기기뿐만 아니라 각종 센서, 가전제품, 자동차 등 다양한 사물이 네트워크에 연결되는 IoT (Internet of Things) 환경이 확산될 것으로 예상된다. 이러한 IoT 환경에서 보안 및 인증은 가장 중요한 기술로 인식되고 있다.
이러한 보안 및 인증은 기기(things or devices)의 인증, 기기에 저장된 데이터 보안, 및/또는 기기가 송수신하는 정보의 보호를 포함하는 것으로 이해된다. 그런데, 보안은 성능과 편의성을 저해하는 요소이기도 하므로, 이미 보급된 많은 기기들에는 보안 기능이 부재하거나, 약한(vulnerable) 경우가 많다.
한편, PUF (Physically Unclonable Function)는 예측 불가능한 (unpredictable) 디지털 값을 제공할 수 있다. 개개의 PUF들은 정확한 제조 공정이 주어지고, 동일한 공정에서 제조되더라도, 상기 개개의 PUF들이 제공하는 디지털 값은 다르다. PUF는 복제가 불가능한 POWF (Physical One-Way Function practically impossible to be duplicated)로 지칭될 수도 있다.
이러한 PUF의 복제 불가능한 특성은 보안 및/또는 인증을 위한 기기의 식별자(identifier)를 생성하는 데에 이용될 수 있다. 이를테면, 디바이스를 다른 디바이스와 구별하기 위한 유니크 키(unique key to distinguish devices from one another)를 제공하기 위해 PUF가 이용될 수 있다.
한국 등록특허 10-1139630호(이하 '630 특허)에서 PUF를 구현하는 방법이 제시된 바 있다. '630 특허에서는 반도체의 공정 편차(process variation)를 이용하여 반도체의 전도성 레이어들 사이의 인터-레이어 콘택(inter-layer contact) 또는 비아(via)의 생성 여부가 확률적으로 결정되도록 한 방법이 제시되었다.
실시예들에 따르면, 인증 기능을 갖추지 않은 기기(device)에서 하드웨어-기반(hardware-based) 인증이 가능하도록 구현한 장치 및 방법이 제공된다. 이러한 장치 및 방법에 의해 기기의 인증, 기기에 저장된 데이터의 보호, 및/또는 기기가 송수신하는 데이터 통신의 보안이 높은 수준으로 구현된다.
일측에 따르면, 기기와 인터페이스 하는 인터페이스 엘리먼트; 및 상기 인터페이스 엘리먼트와 함께 패키지 되며, 상기 패키지 내에서 상기 인터페이스 엘리먼트에 하드웨어-기반 인증을 제공하는 보안 다이-칩을 포함하는 인증 장치가 제공된다. 일실시예에 따르면 상기 보안 다이-칩은, 개인 키를 제공하는 PUF (Physically Unclonable Function); 및 상기 개인 키를 이용하여 암호화 및 복호화를 수행하는 하드웨어 와이어된 보안 모듈을 포함한다.
일실시예에 따르면 상기 인증 장치는 상기 보안 다이-칩이 상기 기기와 인터페이스 하도록 컨트롤 하는 컨트롤 칩을 더 포함한다. 예시적으로, 그러나 한정되지 않게, 상기 컨트롤 칩은 스마트카드 다이-칩을 포함한다.
한편, 상기 인터페이스 엘리먼트는 SD (Secure Digital)일 수 있다. 이 경우, 상기 보안 다이-칩은 상기 SD에 저장되는 데이터를 암호화할 수 있다. 다른 예에서, 상기 인터페이스 엘리먼트는 SIM (Subscriber Identity Module)일 수 있다. 이 경우, 상기 보안 다이-칩은 상기 기기와 네트워크 연결되는 서버에 대해 상기 기기에 대한 인증을 수행할 수 있다.
다른 일측에 따르면, 저장 장치에 있어서, 플래시 메모리; 상기 플래시 메모리로부터의 데이터 독출 및 상기 플래시 메모리에 대한 데이터 프로그램을 컨트롤하는 컨트롤러; 및 상기 컨트롤러가 상기 플래시 메모리에 기록하는 제1 데이터를 암호화 하여 암호화된 제2 데이터를 생성하는 하드웨어-기반 보안 다이-칩을 포함하고, 상기 컨트롤러는 상기 제2 데이터를 상기 플래시 메모리에 저장하는 저장 장치가 제공된다. 일실시예에 따르면 상기 보안 다이-칩은, 인증 키를 제공하는 PUF (Physically Unclonable Function); 및 상기 인증 키를 이용하여 상기 제1 데이터를 암호화하는 하드웨어 와이어된 보안 모듈을 포함한다. 예시적으로, 그러나 한정되지 않게, 이 인증 키는 대칭 키 암호화 알고리즘에서 사용되는 키 값일 수 있다.
일실시예에 따르면 상기 저장 장치는 상기 보안 다이-칩이 상기 컨트롤러 및 상기 저장장치 외부의 기기와 인터페이스하도록 컨트롤하는 스마트카드 다이-칩을 더 포함할 수 있다.
한편, 상기 제1 데이터에 대한 인증된 액세스 요청이 수신되는 경우, 상기 보안 다이-칩은 상기 인증 키를 이용하여 상기 제2 데이터를 다시 상기 제1 데이터로 복호화 할 수 있다.
일실시예에 따르면 상기 저장 장치는 SD 카드 및 마이크로 SD 카드 중 어느 하나일 수 있다. 이 경우, 상기 저장 장치는 상기 SD 카드 또는 상기 마이크로 SD 카드 규격에 따른 패키지 내에 상기 하드웨어-기반 보안 다이-칩을 포함할 수 있다.
또 다른 일측에 따르면, 저장 장치의 동작 방법에 있어서, 상기 저장 장치에 저장될 제1 데이터가 수신되는 경우, 상기 저장 장치 내에 패키징된 보안 다이-칩의 하드웨어 와이어된 보안 모듈이, 상기 보안 다이-칩 내의 PUF (Physically Unclonable Function)가 제공하는 개인 키를 이용하여 상기 제1 데이터를 암호화하여 제2 데이터를 생성하는 단계; 및 상기 저장 장치의 컨트롤러가 상기 저장 장치의 플래시 메모리에 상기 제2 데이터를 프로그램하는 단계를 포함하는 저장 장치의 동작 방법이 제공된다.
또 다른 일측에 따르면, 기기에 연결되는 인터페이스 엘리먼트를 이용한 기기 인증 방법에 있어서, 상기 인터페이스 엘리먼트와 함께 패키징 되는 보안 다이-칩에 포함되는 하드웨어 와이어된 보안 모듈이 상기 보안 다이-칩 내의 PUF (Physically Unclonable Function)가 제공하는 개인 키를 이용하여 전자 서명을 생성하는 단계; 및 상기 기기와 연결 되는 외부 디바이스에 의해 상기 전자 서명이 검증되도록, 상기 인터페이스 엘리먼트 및 상기 기기를 통해 상기 외부 디바이스에 상기 전자 서명을 전송하는 단계를 포함하는 기기 인증 방법이 제공된다. 예시적으로, 그러나 한정되지 않게 상기 인터페이스 엘리먼트는 SD (Secure Digital), SIM (Subscriber Identity Module), RFID, BlueTooth, NFC, 및 USB 중 적어도 하나를 포함한다.
또 다른 일측에 따르면, 기기에 연결되는 인터페이스 엘리먼트를 이용한 보안 통신 방법에 있어서, 외부 기기로부터 공개 키로 암호화되어 상기 인터페이스 엘리먼트를 통해 수신되는 암호화된 세션 키를 수신하는 단계; 상기 인터페이스 엘리먼트와 함께 패키징 되는 보안 다이-칩에 포함되는 하드웨어 와이어된 보안 모듈이 상기 보안 다이-칩 내의 PUF (Physically Unclonable Function)가 제공하는 개인 키를 이용하여 상기 암호화된 세션 키를 복호화 하여 상기 세션 키를 획득하는 단계; 상기 하드웨어 와이어된 상기 보안 모듈이 메시지를 상기 세션 키로 암호화 하여 암호화된 메시지를 생성하는 단계; 및 상기 인터페이스 엘리먼트를 통해 상기 암호화된 메시지를 전송하는 단계를 포함하는 보안 통신 방법이 제공된다. 일실시예에 따르면 상기 인터페이스 엘리먼트는 SD (Secure Digital), SIM (Subscriber Identity Module), 블루투스, USB (Universal Serial Bus), NFC (Near Field Communication) 중 적어도 하나를 포함한다.
도 1은 일실시예에 따른 인증 장치의 블록도를 도시한다.
도 2는 일실시예에 따른 SD 카드를 도시한다.
도 3은 실시예들에 따라 기기와 인터페이스 하는 인증 장치들을 도시한다.
도 4는 실시예들에 따른 인증 장치와 기기의 인터페이스를 설명하기 위한 개념도이다.
도 5는 일실시예에 따른 저장 장치 동작 방법을 도시하는 흐름도이다.
도 6은 일실시예에 따른 기기 인증 방법을 도시하는 흐름도이다.
도 7과 도 8은 일실시예에 따른 보안 통신 방법을 도시하는 흐름도이다.
도 9, 도 10 및 도 11은 실시예들에 따른 서비스들을 도시한다.
이하에서, 실시예들을 첨부된 도면을 참조하여 상세하게 설명한다. 그러나, 권리범위는 이러한 실시예들에 의해 제한되거나 한정되는 것은 아니다. 각 도면에 제시된 동일한 참조 부호는 동일한 부재를 나타낸다.
아래 설명에서 사용되는 용어는, 연관되는 기술 분야에서 일반적이고 보편적인 것으로 선택되었으나, 기술의 발달 및/또는 변화, 관례, 기술자의 선호 등에 따라 다른 용어가 있을 수 있다. 따라서, 아래 설명에서 사용되는 용어는 기술적 사상을 한정하는 것으로 이해되어서는 안 되며, 실시예들을 설명하기 위한 예시적 용어로 이해되어야 한다.
또한 특정한 경우는 출원인이 임의로 선정한 용어도 있으며, 이 경우 해당되는 설명 부분에서 상세한 그 의미를 기재할 것이다. 따라서 아래 설명에서 사용되는 용어는 단순한 용어의 명칭이 아닌 그 용어가 가지는 의미와 명세서 전반에 걸친 내용을 토대로 이해되어야 한다.
도 1은 일실시예에 따른 인증 장치의 블록도를 도시한다. 인증 장치(100)는 기기(device)와 인터페이스 하는 인터페이스 엘리먼트(110)을 포함한다. 상기 기기는 이를테면, 스마트폰, 태블릿, 통상적인 컴퓨팅 단말, 사물인터넷(IoT) 단말, 이동수단(vehicle) 등 유선 및/또는 무선 네트워크를 통해 외부와 연결되는 임의의 장치일 수 있다.
예시적으로, 그러나 한정되지 않게 상기 인터페이스 엘리먼트는, SD, micro-SD, SIM, USIM, nano-SIM, NFC, USB, BlurtoothTM 등 중 어느 하나에 대응할 수 있다. 이러한 예에 따른 인터페이스 엘리먼트(110)의 규격이 정해겨 있을 수 있다. 이를테면, 외형적 크기(dimension), 단자들의 기능 등 다양한 규격이 표준 또는 산업 표준으로 정해져 있고, 외부와 통신하는 주파수 대역이나 프로토콜도 정해져 있을 수 있다. 인증 장치(100)는 이렇게 정해진 규격에 변경을 가하지 않는 범위에서, 따라서 인터페이스 엘리먼트(110)의 일반적인 동작을 모두 허용하는 범위에서, 인터페이스 엘리먼트(110) 외부 하우징 내에서 하나의 기판으로 함께 패키징 될 수 있다. 따라서, 인증 장치(100)는 외형상으로는 통상의 SD 카드, SIM 칩, NFC 모듈, USB 스틱 등으로 보일 수 있으며, 기능상으로도 일반적인 SD 카드, SIM 칩 등의 기능은 그대로 수행될 수 있다.
앞서 설명한 바와 같이, 인터페이스 엘리먼트(110) 및/또는 상기 기기들은 보안/인증 기능을 구비하지 않았거나, 구비하였더라도 보안 공격에 취약한 경우가 많다. 실시예들에 따르면, 이렇게 신뢰할 수 있는 보안/인증 수단을 구비하지 않은 기기 및/또는 인터페이스 엘리먼트에 보안 다이-칩(130)이 하드웨어-기반 보안 인증을 제공한다. 보안/인증은 기기의 인증, 기기에 저장된 데이터의 보호, 및/또는 기기가 송수신하는 데이터 통신의 보안 등을 포함하는 것이다. 그리고 명세서 전반에서, "하드웨어-기반"이라는 용어는 보안 인증에 사용되는 키 값이 물리적인 PUF에 의해 홀드되고, 암호화/복호화 알고리즘의 수행이 소프트웨어 어플리케이션이 아니라 진성 하드웨어 로직(truly hardware logic)인 회로에 의해 수행되는 것으로 이해될 수 있다. 하드웨어 로직에 의해서만 물리적으로 암복호화 알고리즘이 동작하기 때문에, 전용 하드웨어(dedicated HW) 또는 하드웨어 와이어드(hardware-wired) 로직이라고도 할 수 있다.
일실시예에 따르면 보안 다이-칩(130)은 인증 장치(110)에만 유니크한 개인 키(private key)를 제공하는 PUF(131)와 상기 개인 키를 이용하여 암호화 및 복호화를 수행하는 하드웨어 와이어된 (하드웨어-기반의) 보안 모듈(132)을 포함한다.
PUF(131)를 구현하는 실시예에는 여러 가지가 있다. 예시적으로 반도체 제조 공정의 공정 편차(process variation)를 이용하여 구현할 수 있다. 일실시예에 따르면, PUF(131)는 전도성 레이어들 사이에 배치되는 비아(via)들 또는 인터-레이어 컨택(inter-layer contact)들에 의해 구현될 수 있으며, '630 특허의 명세서를 통해 자세한 내용이 제시된 바 있으며, 참고로서 이 명세서에 인용된다.
한편, 일실시예에 따르면, PUF(131)는 보안 다이-칩(130), 이를테면 하드웨어 보안 모듈(132)를 구현하기 위한 반도체 일부 내에서 구현될 수 있다. 따라서, 외부에서 관찰하는 경우에는 PUF(131)의 정확한 위치를 식별할 수 없도록 할 수 있다. 비아나 인터-레이어 컨택은 반도체 회로에 무수히 많기 때문에 어떤 부분이 PUF(131)로 이용되는 부분인지 파악하는 것은 어렵고, 이러한 점은 보안 측면에 유리하다.
나아가, 일실시예에 따르면 개인 키를 제공하는 PUF(131)는 하나가 아니라 복수 개 구비될 수도 있다. 실제 사용되는 PUF는 이들 중 하나일 수 있으며, 보안 모듈(130)의 와이어링과 동작을 완전히 이해하더라도 어느 PUF가 제공하는 개인 키가 실제로 암호화 복호화에 이용되는 지까지 파악하는 것은 더욱 어렵다. 따라서 이 실시예에 따르면 더욱 높은 수준의 하드웨어-기반 보안이 구현될 수 있다.
한편, 일실시예에 따르면 인증 장치(100)는 보안 다이-칩(130)이 외부 기기 및/또는 인터페이스 엘리먼트(110)과 인터페이스 하도록 컨트롤 하는 컨트롤 칩을 더 포함할 수 있다. 예시적으로, 그러나 한정되지 않게, 이러한 칩은 도 1에 도시되는 스마트 카드 다이-칩(120)일 수 있다. 스마트 카드 다이-칩(120)은 하드웨어 칩이기는 하지만, 스마트 카드 내에 저장될 수 있는 소프트웨어 자체가 유출되는 우려, 스마트 카드 펌웨어 업데이트 등의 과정에서 내부 프로그램이 악성 코드에 의해 오염될 수 있는 위험성, 버스 프로빙(bus probing) 등 물리적 공격에 대한 우려 때문에, 그 자체가 보안 인증을 수행하기에 취약점이 있다. 스마트 카드 내부에는 CPU, ROM, RAM 등의 IP (information provider)가 포함되어 있으며 이러한 IP들은 디패키징 후 역공학으로 레이아웃을 분석하는 물리적 공격, 버스 프로빙, 메모리 스캔 공격 등에 약하기 때문이다. 따라서, 상기 실시예에서 스마트 카드 다이-칩(120)은 보안 다이-칩(130)과 외부 기기, 또는 보안 다이-칩(130)과 인터페이스 엘리먼트(110) 사이의 인터페이스를 컨트롤 한다. 인증 장치(100)의 각 구성의 동작 및 다양한 보안 응용은 더 자세하게 후술한다.
도 2는 일실시예에 따른 SD 카드를 도시한다. 저장 장치로 알려져 있는 SD 카드(200)는 SD 카드 컨트롤러(230) 및 플래시 메모리(240)을 포함할 수 있다. SD 카드(200)의 규격, 외형, 단자 기능, 컨트롤러(230)와 플래시 메모리(240)에 있어서는 통상의 SD 카드 표준에 의한 것과 동일할 수 있다. 이 실시예에 따르면, 보안 다이-칩(210) 및 스마트 카드 다이-칩(220)이 SD 카드(200) 내에 함께 패키징되어, 하드웨어-기반 보안 인증이 가능하다. 보안 다이-칩(210) 내에는 개인 키를 제공하는 PUF와 상기 개인 키를 이용하여 암호화 및 복호화를 수행하는 하드웨어 와이어된 (하드웨어-기반의) 보안 모듈이 포함될 수 있다.
구체적으로 설명하면, 보안 다이-칩(210) 및 스마트 카드 다이-칩(220)이 SD 카드(200) 내에 함께 패키징 됨으로써, 플래시 메모리(240)에 저장되어야 하는 중요한 데이터를 암호화 하여 안전하게 저장할 수 있고(저장되는 데이터 보호), SD 카드(200)가 삽입되는 기기나 SD 카드(200) 자체를 식별/인증할 수 있으며(기기 인증), 및/또는 SD 카드(200)에 저장된 데이터나 SD 카드(200)가 삽입된 기기가 보유하고 있는 데이터를 안전하게 신뢰할 수 있는 기관으로 보내는 통신 보안을 할 수 있다(보안 통신). 저장되는 데이터 보호 과정은 도 5를 참조하여 상세히 설명하며, 기기 인증 과정은 도 6을 참고하여, 그리고 보안 통신 과정은 도 7과 도 8을 참조하여 상세히 설명할 것이다.
도 3은 실시예들에 따라 기기와 인터페이스 하는 인증 장치들을 도시한다. 도 2를 참조하여 먼저 설명한 SD 카드(320)뿐만 아니라, 기기(300)에 삽입되는 USIM 카드(310) 형태로도 인증 장치가 구현될 수 있다. 이렇게 기기에 구비되는 인터페이스, 이를테면 카드 슬롯을 통해 기기에 착탈 가능한 인증 장치는, 이러한 하드웨어-기반 보안 인증 기능을 갖지 않고 제조된 기기에도 하드웨어-기반 보안 인증을 사후적으로 제공할 수 있는 점에서 상업적 가치가 크다. 종래에 이미 보급된 스마트폰이나 태블릿, 나아가 범용 컴퓨터, USB 단자가 있는 자동차 등에도 적용 가능성이 있기 때문이다.
차후에 기기(300) 제조 시부터, 인증 장치를 임베드 시키고자 하는 시도가 있을 수도 있을 것이며, 이 경우 임베드되는 보안 엘리먼트(SE)(330)에 인증 장치가 구현될 수도 있다.
도 4는 실시예들에 따른 인증 장치와 기기의 인터페이스를 설명하기 위한 개념도이다. 스마트 카드가 포함된 신용 카드(401), USB 스틱(402), SD 카드(403), SIM 칩(404) 등 다양한 형태 내에 하드웨어-기반 인증 장치가 구현되어 있다. 상술한 바와 같이 실시예들에 따른 보안 인증 구현이 통상적인 접촉식 또는 비접촉식 신용 카드, USB, SD 카드, SIM 칩의 기능을 배제시키거나 방해하지 않는다. 하나로 패키징 됨으로써, 이러한 신용카드, USB, SD 카드, SIM 칩에 하드웨어 보안 인증을 더 제공하는 것이며, 따라서 데이터 보호, 기기 인증, 보안 통신 등이 가능해 진다.
스마트 카드 다이-칩(410)은 PUF 기반 보안 다이-칩(420)을 지원한다. 예를 들어, 칩 외부로의 인터페이스를 제공할 수 있다. 인터페이스에는 소형 칩에 탑재될 수 있는 USB, SDIO와 같은 접촉 인터페이스나, NFC와 같은 밀착형 통신 인터페이스, Bluetooth 같은 근거리 통신 인터페이스 등이 가능하다. 또한 스마트 카드 다이-칩(410)은 연결 프로그램이나 PUF 기반 보안 다이-칩(420)이 보안 기능을 제공할 수 있도록 하는 다양한 형태의 응용 프로그램을 지원할 수도 있다.
PUF 기반 보안 다이-칩(420)은 암호화, 복호화 등 인증 기능을 수행하며, 신뢰된 저장 공간 등에 대한 보안(데이터 보안) 기능, 기기 인증, 및 통신 보안 기능을 제공할 수 있다. 앞서 설명한 바와 같이, PUF 기반 보안 다이-칩(420)에는 개인 키를 제공하는 PUF 및 하드웨어 와이어된 보안 모듈이 하나의 칩으로 패키징 되어 있을 수 있다.
PUF는 복제 불가능한 하드웨어 핑거 프린트로도 이해될 수 있다. 물리적 공격에 의해 그 값을 알아내는 것이 거의 불가능하다. 또한, 상기한 바와 같이 보안 다이-칩 내에서 PUF가 아닌 다른 일반적인 셀과 섞여서 물리적으로 무작위하게 배치되기 때문에, PUF 셀들을 모두 찾아내는 것은 매우 어렵다. 또한, PUF 값은 동작 중에만 값이 판독되므로, 유효한 동작이 유지되도록 하면서도 디패키징 등 물리적 공격을 수행하는 것은 매우 어려운 일이다. 나아가, PUF가 제공하는 바이너리 값들을 읽어냈더라도, 이를 유효한 순서로 그 값을 배열하는 것 또한 조합의 수가 매우 많기 때문에 이를 유효하게 사용하는 것은 더더욱 어렵다.
이렇게 PUF를 다른 값을 암호화하는데 사용되는 근원 키 (또는 시드 키)로 사용함으로써, 높은 수준의 보안 인증이 가능해지면서도, PUF 자체는 물리적 공격에도 안전하다(안전한 키 관리). 또한 기기인증에 사용되는 공개키 쌍의 개인키를 PUF로 구현할 경우 이 값은 키 값이 기기 밖으로 노출되지 않으므로 보안 칩이 탑재되는 모바일 기기의 형태나 종류, 통신 방식과 상관없이 안전한 기기 인증 및 부인 방지를 보장한다(안전한 기기 인증).
아울러 HW 기반 보안 모듈은 순수하게 HW로만 제작되며, 부채널 공격 대응 기법이 적용되어 설계 및 제작된다. 하드웨어로 구현되어 있기 때문에 소프트웨어적인 공격, 이를테면 악성 코드에 의한 공격이 유효하지 않으며, FIB(Focused Ion Beam)등의 장비로 하드웨어 회로 자체를 수정하는 것이 가능하더라도, 원래의 동작을 보장하면서 유효한 공격 결과가 나오기는 어렵다. 따라서 보안 칩의 무결성이 보장된다.
도 5는 일실시예에 따른 저장 장치 동작 방법을 도시하는 흐름도이다. 도시된 실시예는 데이터 보안에 연관된다. 기기로부터 (또는 외부로부터) 데이터(501)가 스마트 카드 다이-칩으로 수신되면, 이것이 보안 다이-칩으로 전달된다(502). 그러면, 단계(510)에서 보안 다이-칩은 이 데이터를 PUF 값을 이용하여 암호화고, 단계(520)에서 플래시 메모리 등 매체에 이 암호화된 데이터를 저장한다(단계 520). 이 단계에서 저장되는 데이터는 이미 암호화 되어 있는 것이기 때문에, 반드시 PUF 기반 칩의 비휘발성 메모리와 같은 격리된 공간에 저장되지 않고, 액세스가 자유로운 플래시 메모리에 저장되어도 되고, 또한 기기 외부에 보관되어도 된다. 이 경우, 이러한 저장 장치는 데이터를 암호화 시켜서 전달하는 수단이 될 수도 있다.
인증된 외부 서버나 장치로부터 암호화된 데이터(503)의 액세스 요청이 수신되는 경우, 이는 암호화된 상태로 전달(504)될 수 있다. 상기 외부 서버나 장치가 단계(510)의 암호화 과정에 이용된 PUF 기반 개인 키에 대응하는 공개 키를 가지고 있다면 이 암호화된 데이터는 복호화 될 수 있을 것이다.
도 6은 일실시예에 따른 기기 인증 방법을 도시하는 흐름도이다. 인증 장치(600)에 포함되는 보안 다이-칩이 스마트 카드 다이-칩의 지원으로 기기 인증을 수행하고 있다. 단계(610)에서 보안 다이-칩에 포함되는 하드웨어 와이어된 보안 모듈이 상기 보안 다이-칩 내의 PUF가 제공하는 개인 키를 이용하여 전자 서명을 생성한다.
그러면 이 전자 서명(601)이 스마트 카드 다이-칩을 거쳐 외부 인터페이스, 이를테면 블루투스, USB, NFC, SD 카드 인터페이스 등 다양한 방법에 의해 기기로 전송된다. 위 인터페이스들은 비교적 근거리 통신이나 접촉식 통신에 대응하므로, 서비스 제공을 위해 네트워크 또는 인터넷에 연결되기 위해 기기, 이를테면 스마트폰의 통신 기능을 이용하는 것이다. 기기는 제공 받은 전자 서명(602)를, 와이파이나 4G 같은 브로드 밴드 네트워크를 이용하여 서버나 다른 기기로 전송한다(603). 이러한 전자 서명은 단계(620)에서 상기 개인 키에 대응하는 공개 키로 검증될 수 있으며, 이러한 과정을 통해 기기 인증이 가능하다.
기기 인증을 이용한 응용 서비스는 굉장히 다양하다. 예를 들어, 전자 결제에서 미리 등록된 사용자의 단말기를 확인하는 데에 활용될 수 있다. 기본적인 단말기 인증뿐만 아니라, 전자 상거래의 활성화를 위한 간편 결제, 자동 결제 등에도 활용될 수 있다. 나아가, 스마트 뱅킹에서 자금 이체를 하는 경우에 공인 인증서를 대체한 전자 서명에 활용 가능하다. 이 응용이 유용한 것은, 소프트웨어 기반의 종래 공인 인증서를 완전한 하드웨어-기반(truly hardware-based) 공인 인증서로 대체 및/또는 보완할 수 있다는 데에 있다. 공인 인증서는 ID와 패스워드로 대변되는 지식 기반 인증을 소유 기반 인증으로 보완한다는 의미를 가지고 있었는데, 이 공인 인증서가 전자 파일 형태로 저장되는 것이다 보니 공인 인증서의 부정한 유출의 문제도 있었다. 그런데, 이 실시예에 따라 완전한 하드웨어-기반 전자 서명이 가능하다면, 굉장히 신뢰 수준이 높은 기기 인증이 가능하다. 또한 금융사 입장에서는 PUF 자체의 복제 불가능성과 유일성에 따라, 전자 서명되어 완료된 트랜잭션에 대해 사용자가 부인을 하는 것을 방지할 수 있는 기대 효과도 있다.
도 7과 도 8은 일실시예에 따른 보안 통신 방법을 도시하는 흐름도이다. 인증 장치에 포함되는 보안 다이-칩이 스마트 카드 다이-칩의 지원으로 보안 통신을 수행하고 있다. 도 7은 보안 통신을 위한 세션 키의 수신 과정을, 도 8은 이 세션 키를 이용한 데이터의 보안 전송을 제시한다. 도 7을 참고하면, 단계(710)에서 인증 장치(700)와 보안 통신할 서버 또는 다른 기기가 상기 인증 장치(700)가 가지고 있는 개인 키에 상응하는 공개 키로 통신에 사용될 세션 키를 암호화 한다. 그리고 이렇게 암호화된 세션 키(701)가 와이드 밴드를 통해 기기에 전송되고, 기기는 이를 인증 장치(700)에 전달한다(702). 이 전달 시에 인증 장치(700)에 포함되는 스마트 카드 다이-칩이 가지는 인터페이스, 이를테면 블루투스, SD 카드 슬롯, NFC, USB 등이 이용될 수 있다. 스마트 카드 다이-칩이 암호화된 세션 키(703)을 보안 다이-칩에 전달하면, 단계(720)에서 PUF가 제공하는 개인 키를 통해 이 세션 키의 복호화가 수행된다. 이로써 인증 장치(700)은 보안 통신에 이용되는 세션 키를 획득한다.
도 8을 참고하면, 기기가 보안 통신을 통해 전송하고자 하는 메시지(801)이 인터페이스들을 이용하여 스마트 카드 다이-칩에 전달되고, 다시 보안 다이-칩에 전달된다(802). 그러면, 단계(810)에서 인증 장치(800)의 보안 다이-칩은 위에서 획득된 세션 키를 이용하여 메시지(802)의 암호화를 수행한다. 암호화된 메시지(803)는 스마트 카드 다이-칩에 전달되고, 이는 다시 인터페이스를 통해 기기에 전달된다(804). 기기는 다시 와이드 밴드 통신을 통해 서버 또는 다른 기기에 이 암호화된 메시지(805)를 전달하고, 단계(820)에서 세션 키를 이용한 메시지의 복호화가 수행된다. 예를 들었던 바와 같이 스마트 카드 다이-칩이 기기와 연결되는 인터페이스에는, 제한적이지 않고 예시적으로, SD, SIM, 블루투스, USB, NFC 등이 있다. 도시된 실시예는 중요한 장점을 제공한다. 바로 개방된 통신구간의 보호이다. 이미 언급한 바와 같이, IoT, M2M 환경에서는 기기 간에 주고 받는 메시지를 부정한 주체가 청취하는 위협이 존재하는데 이러한 실시예에 의해 해당 위협이 방지된다. 또한, IoT 기기, 특히 소형 센서 등의 기기는 탈취나 분실의 우려도 있으므로, 그에 따른 물리적 공격, 이를테면 부채널 공격이 있을 수도 있는데, PUF 및 하드웨어 보안 모듈을 포함하는 보안 다이-칩은 이러한 위협에도 강인하다. 따라서, IoT의 활성화에 있어서 이러한 하드웨어 보안이 중요한 역할을 할 수 있을 것이다.
도 9, 도 10 및 도 11은 실시예들에 따른 서비스들을 도시한다. 먼저 도 9는 상술한 바와 같이, 종래의 인터페이스 엘리먼트들(910)이 각자 자신의 인터페이스(마이크로-SD카드 슬롯 921, USIM 슬롯 922, USB 포트 923, NFC 통신 인터페이스 924)를 이용해 기기(920)에 연결되는 것을 볼 수 있다. 상술한 실시예, 이를테면 도 1이나 도 2를 참조하여 설명한 구현에 따라, 이러한 통상의 인터페이스 엘리먼트들(910) 내에 PUF 기반 보안 다이-칩을 임베드 한다. 그리고 스마트 카드 다이-칩과 같은 지원 칩으로 이를 인터페이스 엘리먼트(910)와 연동 시킴으로써, 하드웨어-기반의 보안 인증 수단이 없던 기기(920) 및 인터페이스 엘리먼트들(910)이 하드웨어-기반 보안 인증 수단을 갖게 된다. 다시 말해, 종래의 마이크로-SD 카드(901), USIM 칩(902), USB 저장매체(903), NFC 기능이 있는 카드(904)가 휴대가능하고 및/또는 기기에 탈부착 가능한 하드웨어-기반 보안 엘리먼트(SE: Secure Element)가 되는 것이다. 이러한 응용을 보면 기기(920)에 임베드 되지 않고 사용자가 휴대하면서, 보안 인증이 필요할 때에만 선택적으로 해당 SE를 기기에 인터페이스 시킴으로써, 데이터 보호, 기기 인증 및 서버(930)와의 보안 통신 등을 수행할 수 있다. 이를 더 응용하면, 자동차(Vehicle)이나 다른 접속 분야에도 적용 가능하다.
도 10은 자동차 스마트 키(1000)에 상기 실시예들에 따른 스마트 카드 다이-칩(1010)과 PUF 기반 보안 다이-칩(1020)을 하나의 칩으로 패키징 한 것을 도시한다. 스마트 카드 다이-칩(1010)이 가지고 있는 인터페이스 및/또는 Bluetooth, UHF RFID 등 스마트 키 자체의 인터페이스(1030)을 통해 자동차(1040)와 연결이 이루어 진다. 그러면, 스마트 키(1000) 및/또는 이 스마트 키와 연결된 자동차(1040)의 기기 인증이 가능하고, 이에 따라 선별적인 서비스 제공이 가능하다. 예를 들어, 자동차 회사에서 제공하는 원격 문열림, 시동 제어 등 자동차 관리 유료 서비스(1051)을 제공하는 데에 기기를 인증하는 것이 가능하고, 자동차와 자동차, 자동차와 인프라 등 V2X 통신을 이용한 자율 주행/ 스마트 주행에서 기기를 인증하는 응용(1052)도 가능하다. 나아가, 스마트 하이웨이 서비스에 연결되어(1053), 스마트 톨링이나 맞춤 정보 제공을 위한 기기 인증도 가능할 것이다.
도 11은 와이파이 AP의 인증을 위해 실시예들이 이용되는 응용을 제시한다. 최근 스마트폰과 같은 모바일 단말에 위협이 되는 보안 공격 중 하나가, 정상적인 WiFi AP (Access Point)인 것으로 가장하여, 단말이 이에 연결되면 보안 공격을 하는 사례가 소개되고 있다. 이 경우, WiFi AP(1121)에 상기 실시예에 따른 하드웨어 기반 SE(1120)이 탑재되어 기기 인증을 할 수 있으면, 부정한 보안 공격을 방지할 수 있다. 또한, 단말(1111)쪽에 상기 실시예에 따른 하드웨어 기반 SE(1110)가 연결 됨으로써 기기 인증, 보안 통신 및 데이터 보호 등 상술한 서비스가 가능하다. 개인용 가정용 응용뿐만 아니라, 사무 행정용, 군사용, 산업용에 이르기까지 이러한 패러다임에 의한 기기-기기 연결은 M2M 또는 IoT에서 이슈로 제기되는 보안 위협을 해결하는 값싸고 신뢰성 높은 해결책이 될 것이다.
이상에서, 실시예들이 비록 한정된 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.
그러므로, 다른 구현들, 다른 실시예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.

Claims (18)

  1. 기기와 인터페이스 하는 인터페이스 엘리먼트; 및
    상기 인터페이스 엘리먼트와 함께 패키지 되며, 상기 패키지 내에서 상기 인터페이스 엘리먼트에 하드웨어 와이어된 로직에 의해서만 물리적 암복호화 알고리즘 및 프로토콜 처리를 수행하여 하드웨어-기반 인증을 제공하는 보안 다이-칩
    을 포함하고,
    상기 보안 다이-칩은,
    개인 키를 홀드하는 하나 이상의 PUF (Physically Unclonable Function); 및
    하드웨어 와이어된 로직으로서 상기 하나 이상의 PUF 중 적어도 일부에 의해 제공되는 상기 개인 키를 이용하여 상기 물리적 암복호화 알고리즘 및 프로토콜 처리를 수행하는 하드웨어 와이어된 보안 모듈
    을 포함하는 인증 장치.
  2. 삭제
  3. 제1항에 있어서,
    상기 보안 다이-칩이 상기 기기와 인터페이스 하도록 컨트롤 하는 컨트롤 칩
    을 더 포함하는 인증 장치.
  4. 제3항에 있어서,
    상기 컨트롤 칩은 스마트카드 다이-칩을 포함하는 인증 장치.
  5. 제1항에 있어서,
    상기 인터페이스 엘리먼트는 SD (Secure Digital)인 인증 장치.
  6. 제5항에 있어서,
    상기 보안 다이-칩은 상기 SD에 저장되는 데이터를 암호화 하는 인증 장치.
  7. 제1항에 있어서,
    상기 인터페이스 엘리먼트는 SIM (Subscriber Identity Module)인 인증 장치.
  8. 제7항에 있어서,
    상기 보안 다이-칩은 상기 기기와 네트워크 연결되는 서버에 대해 상기 기기에 대한 인증을 수행하는 인증 장치.
  9. 저장 장치에 있어서,
    플래시 메모리;
    상기 플래시 메모리로부터의 데이터 독출 및 상기 플래시 메모리에 대한 데이터 프로그램을 컨트롤하는 컨트롤러; 및
    상기 컨트롤러가 상기 플래시 메모리에 기록하는 제1 데이터를 암호화 하여 암호화된 제2 데이터를 생성하는 하드웨어-기반 보안 다이-칩
    을 포함하고,
    상기 컨트롤러는 상기 제2 데이터를 상기 플래시 메모리에 저장하고,
    상기 보안 다이-칩은,
    인증 키를 홀드하는 하나 이상의 PUF (Physically Unclonable Function); 및
    하드웨어 와이어된 로직에 의해서만 물리적 암복호화 알고리즘 및 프로토콜 처리를 수행하여, 상기 하나 이상의 PUF 중 적어도 일부에 의해 제공되는 상기 인증 키를 이용하여 상기 제1 데이터를 암호화하는 하드웨어 와이어된 보안 모듈을 포함하는 저장 장치.
  10. 삭제
  11. 제9항에 있어서,
    상기 보안 다이-칩이 상기 컨트롤러 및 상기 저장 장치 외부의 기기 중 적어도 하나와 인터페이스하도록 컨트롤하는 스마트카드 다이-칩
    을 더 포함하는 저장 장치.
  12. 제9항에 있어서,
    상기 제1 데이터에 대한 인증된 액세스 요청이 수신되는 경우, 상기 보안 다이-칩은 상기 인증 키를 이용하여 상기 제2 데이터를 상기 제1 데이터로 복호화 하는 저장 장치.
  13. 제9항에 있어서,
    상기 저장 장치는 SD 카드 및 마이크로 SD 카드 중 어느 하나이고,
    상기 저장 장치는 상기 SD 카드 또는 상기 마이크로 SD 카드 규격에 따른 패키지 내에 상기 하드웨어-기반 보안 다이-칩을 포함하는 저장 장치.
  14. 저장 장치의 동작 방법에 있어서,
    상기 저장 장치에 저장될 제1 데이터가 수신되는 경우, 상기 저장 장치 내에 패키징된 보안 다이-칩의 하드웨어 와이어된 로직에 의해서만 물리적 암복호화 알고리즘 및 프로토콜 처리를 수행하여 하드웨어-기반 인증을 제공하는 보안 모듈이, 상기 보안 다이-칩 내에서 개인 키를 홀드하는 하나 이상의 PUF (Physically Unclonable Function) 중 적어도 일부에 의해 제공되는 개인 키를 이용하여 상기 제1 데이터를 암호화하여 제2 데이터를 생성하는 단계; 및
    상기 저장 장치의 컨트롤러가 상기 저장 장치의 플래시 메모리에 상기 제2 데이터를 프로그램하는 단계
    를 포함하는 저장 장치의 동작 방법.
  15. 기기에 연결되는 인터페이스 엘리먼트를 이용한 기기 인증 방법에 있어서,
    상기 인터페이스 엘리먼트와 함께 패키징 되는 보안 다이-칩에 포함되는 하드웨어 와이어된 로직에 의해서만 물리적 암복호화 알고리즘 및 프로토콜 처리를 수행하여 하드웨어-기반 인증을 제공하는 보안 모듈이 상기 보안 다이-칩 내에서 개인 키를 홀드하는 하나 이상의 PUF (Physically Unclonable Function) 중 적어도 일부에 의해 제공되는 개인 키를 이용하여 전자 서명을 생성하는 단계; 및
    상기 기기와 연결 되는 외부 디바이스에 의해 상기 전자 서명이 검증되도록, 상기 인터페이스 엘리먼트 및 상기 기기를 통해 상기 외부 디바이스에 상기 전자 서명을 전송하는 단계
    를 포함하는 기기 인증 방법.
  16. 제15항에 있어서,
    상기 인터페이스 엘리먼트는 SD (Secure Digital) 및 SIM (Subscriber Identity Module) 중 적어도 하나를 포함하는 기기 인증 방법.
  17. 기기에 연결되는 인터페이스 엘리먼트를 이용한 보안 통신 방법에 있어서,
    외부 기기로부터 공개 키로 암호화되어 상기 인터페이스 엘리먼트를 통해 수신되는 암호화된 세션 키를 수신하는 단계;
    상기 인터페이스 엘리먼트와 함께 패키징 되는 보안 다이-칩에 포함되는 하드웨어 와이어된 로직에 의해서만 물리적 암복호화 알고리즘 및 프로토콜 처리를 수행하여 하드웨어-기반 인증을 제공하는 보안 모듈이 상기 보안 다이-칩 내에서 개인 키를 홀드하는 하나 이상의 PUF (Physically Unclonable Function) 중 적어도 일부에 의해 제공되는 개인 키를 이용하여 상기 암호화된 세션 키를 복호화 하여 상기 세션 키를 획득하는 단계; 및
    상기 하드웨어 와이어된 상기 보안 모듈이 메시지를 상기 세션 키로 암호화 하여 암호화된 메시지를 생성하는 단계; 및
    상기 인터페이스 엘리먼트를 통해 상기 암호화된 메시지를 전송하는 단계
    를 포함하는 보안 통신 방법.
  18. 제17항에 있어서,
    상기 인터페이스 엘리먼트는 SD (Secure Digital), SIM (Subscriber Identity Module), 블루투스, USB (Universal Serial Bus), NFC (Near Field Communication) 중 적어도 하나를 포함하는 보안 통신 방법.
KR1020150050163A 2014-04-09 2015-04-09 인증 장치 및 방법 KR101744388B1 (ko)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2017505026A JP2017514421A (ja) 2014-04-09 2015-04-09 認証装置及び方法
PCT/KR2015/003577 WO2015156622A2 (ko) 2014-04-09 2015-04-09 인증 장치 및 방법
US15/302,932 US10958451B2 (en) 2014-04-09 2015-04-09 Authentication apparatus and method
US17/185,856 US11876917B2 (en) 2014-04-09 2021-02-25 Authentication apparatus and method

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20140042362 2014-04-09
KR1020140042362 2014-04-09

Related Child Applications (1)

Application Number Title Priority Date Filing Date
KR1020170055428A Division KR20170052549A (ko) 2014-04-09 2017-04-28 인증 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20150117226A KR20150117226A (ko) 2015-10-19
KR101744388B1 true KR101744388B1 (ko) 2017-06-09

Family

ID=54399525

Family Applications (4)

Application Number Title Priority Date Filing Date
KR1020150050163A KR101744388B1 (ko) 2014-04-09 2015-04-09 인증 장치 및 방법
KR1020170055428A KR20170052549A (ko) 2014-04-09 2017-04-28 인증 장치 및 방법
KR1020200159166A KR102340616B1 (ko) 2014-04-09 2020-11-24 인증 장치 및 방법
KR1020210178408A KR102519990B1 (ko) 2014-04-09 2021-12-14 인증 장치 및 방법

Family Applications After (3)

Application Number Title Priority Date Filing Date
KR1020170055428A KR20170052549A (ko) 2014-04-09 2017-04-28 인증 장치 및 방법
KR1020200159166A KR102340616B1 (ko) 2014-04-09 2020-11-24 인증 장치 및 방법
KR1020210178408A KR102519990B1 (ko) 2014-04-09 2021-12-14 인증 장치 및 방법

Country Status (6)

Country Link
US (2) US10958451B2 (ko)
EP (2) EP3920058A1 (ko)
JP (1) JP2017514421A (ko)
KR (4) KR101744388B1 (ko)
CN (1) CN106575324A (ko)
TW (1) TWI730941B (ko)

Families Citing this family (34)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102517810B1 (ko) 2016-08-17 2023-04-05 엘지디스플레이 주식회사 표시장치
DE112016007093T5 (de) * 2016-08-22 2019-05-09 Ford Global Technologies, Llc Fahrzeugzugriffsautorisierung
CN106385320B (zh) * 2016-11-01 2023-04-07 南京邮电大学 基于puf和数字签名的rfid防伪装置和验伪方法
US11362845B2 (en) * 2016-11-30 2022-06-14 Taiwan Semiconductor Manufacturing Co., Ltd. Secure communication between server device and clients utilizing strong physical unclonable functions
US10148653B2 (en) * 2016-12-14 2018-12-04 The Boeing Company Authenticating an aircraft data exchange using detected differences of onboard electronics
DK3340213T3 (da) * 2016-12-21 2020-06-08 Merck Patent Gmbh Puf-baseret kompositsikkerhedsmærkning til bekæmpelse af vareforfalskning
US11229023B2 (en) 2017-04-21 2022-01-18 Netgear, Inc. Secure communication in network access points
CN108958650B (zh) * 2017-05-22 2021-06-15 旺宏电子股份有限公司 电子系统及其操作方法
US10534554B2 (en) * 2017-10-13 2020-01-14 Silicon Storage Technology, Inc. Anti-hacking mechanisms for flash memory device
US11063772B2 (en) * 2017-11-24 2021-07-13 Ememory Technology Inc. Multi-cell per bit nonvolatile memory unit
CN108092776B (zh) * 2017-12-04 2020-11-10 南京南瑞信息通信科技有限公司 一种基于身份认证服务器和身份认证令牌的系统
EP3503412A1 (en) * 2017-12-22 2019-06-26 Nagravision S.A. A secure software-defined radio chip
JP2019121884A (ja) 2017-12-28 2019-07-22 三菱重工業株式会社 集積回路、制御装置、情報配信方法及び情報配信システム
KR102089085B1 (ko) * 2018-02-21 2020-03-16 주식회사 에이피씨테크 산업 제어 시스템을 위한 암호화 모듈 및 통신 모듈을 포함하는 보안 통신 장치
KR102135710B1 (ko) * 2018-05-16 2020-07-20 주식회사 시옷 하드웨어 보안 모듈
CN109040067B (zh) * 2018-08-02 2020-12-11 广东工业大学 一种基于物理不可克隆技术puf的用户认证设备及认证方法
KR102410193B1 (ko) * 2018-11-28 2022-06-20 한국전자통신연구원 비밀 정보 생성 장치 및 방법
US10970712B2 (en) * 2019-03-21 2021-04-06 Capital One Services, Llc Delegated administration of permissions using a contactless card
US11361660B2 (en) * 2019-03-25 2022-06-14 Micron Technology, Inc. Verifying identity of an emergency vehicle during operation
US11218330B2 (en) 2019-03-25 2022-01-04 Micron Technology, Inc. Generating an identity for a computing device using a physical unclonable function
US11233650B2 (en) 2019-03-25 2022-01-25 Micron Technology, Inc. Verifying identity of a vehicle entering a trust zone
US11323275B2 (en) 2019-03-25 2022-05-03 Micron Technology, Inc. Verification of identity using a secret key
CN110324151B (zh) * 2019-06-25 2021-12-31 北京智涵芯宇科技有限公司 基于puf和零知识证明的安全芯片及应用方法、系统及介质
US11206146B2 (en) 2019-08-01 2021-12-21 University Of Kentucky Research Foundation Architecture for generating physically unclonable function response
TWI743715B (zh) * 2020-03-24 2021-10-21 瑞昱半導體股份有限公司 用來針對非揮發性記憶體進行資訊保護的方法及設備
CN111783166A (zh) * 2020-07-06 2020-10-16 深圳市安信达存储技术有限公司 一种加密型eMCP芯片结构及数据处理方法
US11373169B2 (en) * 2020-11-03 2022-06-28 Capital One Services, Llc Web-based activation of contactless cards
CN112631967B (zh) * 2020-12-18 2023-12-26 北京中电华大电子设计有限责任公司 一种大容量tf-sim卡及其通信方法
KR20220094906A (ko) * 2020-12-29 2022-07-06 주식회사 엘지유플러스 스마트카드와 puf 칩을 포함한 전자 장치 및 이의 동작 방법
CN112597099A (zh) * 2021-01-15 2021-04-02 西安超越申泰信息科技有限公司 基于SoC芯片的SD安全模块及设计方法
US20220385485A1 (en) * 2021-06-01 2022-12-01 Micron Technology, Inc. Identity theft protection with no password access
US11924638B2 (en) * 2021-06-01 2024-03-05 Micron Technology, Inc. Cellular network authentication using a memory security token
US11791290B2 (en) 2021-06-29 2023-10-17 International Business Machines Corporation Physical unclonable function for secure integrated hardware systems
KR102540451B1 (ko) * 2022-02-24 2023-06-08 유비벨록스(주) 사물인터넷 디바이스 보안부팅 시스템 및 이를 이용한 사물인터넷 디바이스 보안부팅 방법

Family Cites Families (35)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FI981902A (fi) 1998-09-04 2000-03-05 Sonera Oyj Turvamoduuli, turvajärjestelmä ja matkaviestin
WO2000041240A1 (de) 1998-12-30 2000-07-13 Infineon Technologies Ag Vertikal integrierte schaltungsanordnung
US7036730B2 (en) * 2000-11-03 2006-05-02 Amerasia International Technology, Inc. Electronic voting apparatus, system and method
US7840803B2 (en) * 2002-04-16 2010-11-23 Massachusetts Institute Of Technology Authentication of integrated circuits
JP2004054128A (ja) 2002-07-23 2004-02-19 Sony Corp 暗号化装置
KR20040055843A (ko) * 2002-12-23 2004-06-30 주식회사 비즈모델라인 공인된 개인 인증 정보를 이용한 결제 시스템 및 결제 방법
JP4005596B2 (ja) * 2004-12-20 2007-11-07 日本電信電話株式会社 認証装置および認証方法
WO2006115213A1 (ja) 2005-04-21 2006-11-02 Matsushita Electric Industrial Co., Ltd. 回路更新システム
US7934049B2 (en) * 2005-09-14 2011-04-26 Sandisk Corporation Methods used in a secure yet flexible system architecture for secure devices with flash mass storage memory
US8560863B2 (en) * 2006-06-27 2013-10-15 Intel Corporation Systems and techniques for datapath security in a system-on-a-chip device
WO2008152547A1 (en) * 2007-06-12 2008-12-18 Nxp B.V. Secure storage
KR100964845B1 (ko) 2007-11-29 2010-06-24 주식회사 시큐트론 공정편차에 기반한 보안 시스템 및 방법
JP5423088B2 (ja) * 2009-03-25 2014-02-19 ソニー株式会社 集積回路、暗号通信装置、暗号通信システム、情報処理方法、及び暗号通信方法
CN101605298B (zh) * 2009-06-30 2012-07-04 中兴通讯股份有限公司 中国移动多媒体广播业务播放方法及其播放装置
KR101102913B1 (ko) * 2010-03-19 2012-01-10 (주)데이타비전 지문인증 기능과 무선보안 기능을 가진 유에스비 저장장치
KR101107790B1 (ko) * 2010-05-19 2012-01-20 에스케이씨앤씨 주식회사 스마트 카드를 탑재한 마이크로 sd 장치
US8555355B2 (en) * 2010-12-07 2013-10-08 Verizon Patent And Licensing Inc. Mobile pin pad
KR101139630B1 (ko) 2010-12-09 2012-05-30 한양대학교 산학협력단 식별키 생성 장치 및 방법
KR101211572B1 (ko) 2011-04-29 2012-12-12 주식회사 금영 스마트카드를 이용한 노래 반주 장치 인증 시스템 및 노래 반주 장치 인증 방법
JP2013031151A (ja) 2011-06-20 2013-02-07 Renesas Electronics Corp 暗号通信システムおよび暗号通信方法
US8762723B2 (en) * 2011-07-07 2014-06-24 Verayo, Inc. Cryptographic security using fuzzy credentials for device and server communications
ES2615750T3 (es) * 2011-08-16 2017-06-08 Ictk Co., Ltd. Dispositivo y método para autenticación de seguridad entre dispositivos basados en PUF en comunicación máquina a máquina
KR101425711B1 (ko) * 2011-10-13 2014-08-04 (주) 아이씨티케이 스마트 모바일 환경에서의 정보 보안 시스템
US8924712B2 (en) * 2011-11-14 2014-12-30 Ca, Inc. Using QR codes for authenticating users to ATMs and other secure machines for cardless transactions
US8700916B2 (en) * 2011-12-02 2014-04-15 Cisco Technology, Inc. Utilizing physically unclonable functions to derive device specific keying material for protection of information
JP5710460B2 (ja) * 2011-12-16 2015-04-30 株式会社東芝 暗号化鍵生成装置およびプログラム
US20130305325A1 (en) * 2012-05-11 2013-11-14 Paul Headley Methods for Thwarting Man-In-The-Middle Authentication Hacking
KR101332517B1 (ko) * 2012-08-21 2013-11-22 한양대학교 산학협력단 인증 정보 처리 장치 및 방법
WO2014138626A1 (en) * 2013-03-08 2014-09-12 Robert Bosch Gmbh Systems and methods for maintaining integrity and secrecy in untrusted computing platforms
US20140270177A1 (en) * 2013-03-15 2014-09-18 Ernie Brickell Hardening inter-device secure communication using physically unclonable functions
KR20140126787A (ko) * 2013-04-22 2014-11-03 (주) 아이씨티케이 PUF 기반 하드웨어 OTP 제공 장치 및 이를 이용한 2-Factor 인증 방법
KR101882289B1 (ko) 2013-10-28 2018-07-30 주식회사 아이씨티케이 홀딩스 인증 정보 처리 장치 및 방법
JP6587188B2 (ja) * 2015-06-18 2019-10-09 パナソニックIpマネジメント株式会社 乱数処理装置、集積回路カード、および乱数処理方法
JP6617924B2 (ja) * 2015-06-18 2019-12-11 パナソニックIpマネジメント株式会社 耐タンパ性を有する不揮発性メモリ装置および集積回路カード、不揮発性メモリ装置の認証方法、個体識別情報生成方法
US10056905B1 (en) * 2017-07-28 2018-08-21 Bae Systems Information And Electronic Systems Integration Inc. Nanomaterial-based physically unclonable function device

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
A. Menezes 외 2명, Handbook of Applied Cryptography, Chapter.12, CRC Press (1996.)*

Also Published As

Publication number Publication date
KR102519990B1 (ko) 2023-04-12
US20170134176A1 (en) 2017-05-11
EP3920058A1 (en) 2021-12-08
KR102340616B1 (ko) 2021-12-21
KR20200138108A (ko) 2020-12-09
CN106575324A (zh) 2017-04-19
EP3131032B1 (en) 2021-09-22
KR20210156255A (ko) 2021-12-24
EP3131032A4 (en) 2018-05-16
JP2017514421A (ja) 2017-06-01
TWI730941B (zh) 2021-06-21
KR20170052549A (ko) 2017-05-12
US10958451B2 (en) 2021-03-23
EP3131032A2 (en) 2017-02-15
TW201606557A (zh) 2016-02-16
KR20150117226A (ko) 2015-10-19
US11876917B2 (en) 2024-01-16
US20210184872A1 (en) 2021-06-17

Similar Documents

Publication Publication Date Title
KR102519990B1 (ko) 인증 장치 및 방법
ES2970201T3 (es) Sistema de identificación personal con tarjeta sin contacto
US9300665B2 (en) Credential authentication methods and systems
KR20190028787A (ko) 그래픽 코드 정보를 제공 및 획득하기 위한 방법 및 디바이스, 그리고 단말
CN105450406A (zh) 数据处理的方法和装置
US20170230365A1 (en) Method and system for securing electronic data exchange between an industrial programmable device and a portable programmable device
EP3695561B1 (en) Secure provisioning of data to client device
JP2018500823A (ja) 装置鍵保護
CN111512608A (zh) 基于可信执行环境的认证协议
JP2015515168A (ja) 通信端末および関連システムのユーザーの識別情報を確認するための方法
KR20140098872A (ko) 모바일 nfc단말기 웹 서비스를 위한 바이오인식과 tsm 기반의 보안 시스템 및 방법
KR20140039400A (ko) 밴사 서버와의 키교환을 이용한 스마트폰 카드결제 시스템 및 그 방법
CN114762290A (zh) 对数字密钥进行管理的方法和电子装置
Park et al. Secure profile provisioning architecture for embedded UICC
WO2015156622A2 (ko) 인증 장치 및 방법
KR101829423B1 (ko) 암복호화 장치 및 이를 이용한 암복호화 방법
WO2016030832A1 (en) Method and system for mobile data and communication security
KR20130126127A (ko) 알에프 기반 근거리 통신을 이용한 사용자 인증 보안 처리 방법
KR101834515B1 (ko) 입력부를 포함하는 암복호화 장치
KR102149315B1 (ko) 금융사의 유심기반 전자서명 처리 방법
KR20140007626A (ko) 모바일 계좌조회 보안처리를 위한 무선단말장치와 그의 모바일 계좌조회 보안처리 방법
KR20140007627A (ko) 아이씨 칩

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
AMND Amendment
X701 Decision to grant (after re-examination)
FPAY Annual fee payment

Payment date: 20200228

Year of fee payment: 4