KR101859606B1 - 키 관리 장치 - Google Patents
키 관리 장치 Download PDFInfo
- Publication number
- KR101859606B1 KR101859606B1 KR1020160066939A KR20160066939A KR101859606B1 KR 101859606 B1 KR101859606 B1 KR 101859606B1 KR 1020160066939 A KR1020160066939 A KR 1020160066939A KR 20160066939 A KR20160066939 A KR 20160066939A KR 101859606 B1 KR101859606 B1 KR 101859606B1
- Authority
- KR
- South Korea
- Prior art keywords
- key
- unit
- encryption key
- security
- encryption
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/12—Transmitting and receiving encryption devices synchronised or initially set up in a particular manner
Abstract
본 발명은, 데이터의 암호화를 수행하는 암호 키를 관리하는 키 관리 장치에 관한 것으로, 통신망에 연결되어 인증서버와 통신하는 통신부; 데이터를 암호화하는 암호키를 생성하는 암호키 생성부; 상기 암호키 생성부에서 생성된 암호키를 암호화하는 암호화부 상기 암호키 생성부로부터 생성된 암호키에 대한 시도(Challenge) 값을 생성하고, 생성된 시도 값을 통해 고유한 마스터키를 생성하는 제1 보안부; 상기 제1 보안부로부터 생성된 마스터키를 통해, 고유한 키 암호키(Key Encryption Key)를 생성하고, 상기 암호화부를 통해 암호화된 암호키가 저장되는 복수의 제2 보안부; 및 상기 통신부, 암호키 생성부, 암호화부, 제1 보안부 및 제2 보안부를 제어하는 제어부;를 포함할 수 있다.
본 발명에 의하면, 제1 및 제2 보안부가 PUF회로를 포함하며, 제1 보안부가 고유한 마스터키를 생성하고, 어느 하나의 제2 보안부가 마스터키를 통해 고유한 키 암호키(Key Encryption Key)를 생성하므로, 암호화된 암호키가 추출된다 하더라도, 마스터키 및 키 암호화키를 생성하는 제1 보안부 및 제2 보안부의 물리적인 복제가 불가능하여, 암호화된 암호키로부터 원 암호키를 추출할 수 없기 때문에, 암호키 관리에 따른 보안성을 증대시킬 수 있고, PUF 특성을 가지는 제1 보안부와 제2 보안부를 통해, 마스터키 또는 키 암호키를 실시간으로 일정하게 생성할 수 있으며, 고유한 키 암호키를 생성한 제2 보안부에 해당 키 암호키로 암호화된 암호키를 저장시킴에 따라, 암호키의 암호화, 저장 및 관리에 편의를 제공하고, 제어부가 복수의 제2 보안부에 대한 임의의 시도 값과 고유한 응답 값에 대한 순서쌍 정보와 복수의 제2 보안부의 NAND Flash Memory에 저장된 암호화된 암호키의 식별정보 및 저장영역에 대한 어드레스 정보를 인증서버에 제공함으로써, 인증서버가 암호화된 암호키 저장하기 위한 저장영역으로의 접근 인증과정이 간소화되어, 높은 보안성을 제공함과 동시에 암호화된 암호키의 저장으로 소요되는 시간을 최소화할 수 있는 효과가 있다.
본 발명에 의하면, 제1 및 제2 보안부가 PUF회로를 포함하며, 제1 보안부가 고유한 마스터키를 생성하고, 어느 하나의 제2 보안부가 마스터키를 통해 고유한 키 암호키(Key Encryption Key)를 생성하므로, 암호화된 암호키가 추출된다 하더라도, 마스터키 및 키 암호화키를 생성하는 제1 보안부 및 제2 보안부의 물리적인 복제가 불가능하여, 암호화된 암호키로부터 원 암호키를 추출할 수 없기 때문에, 암호키 관리에 따른 보안성을 증대시킬 수 있고, PUF 특성을 가지는 제1 보안부와 제2 보안부를 통해, 마스터키 또는 키 암호키를 실시간으로 일정하게 생성할 수 있으며, 고유한 키 암호키를 생성한 제2 보안부에 해당 키 암호키로 암호화된 암호키를 저장시킴에 따라, 암호키의 암호화, 저장 및 관리에 편의를 제공하고, 제어부가 복수의 제2 보안부에 대한 임의의 시도 값과 고유한 응답 값에 대한 순서쌍 정보와 복수의 제2 보안부의 NAND Flash Memory에 저장된 암호화된 암호키의 식별정보 및 저장영역에 대한 어드레스 정보를 인증서버에 제공함으로써, 인증서버가 암호화된 암호키 저장하기 위한 저장영역으로의 접근 인증과정이 간소화되어, 높은 보안성을 제공함과 동시에 암호화된 암호키의 저장으로 소요되는 시간을 최소화할 수 있는 효과가 있다.
Description
본 발명은 데이터의 암호화를 수행하는 암호 키를 관리하는 키 관리 장치에 관한 것이다.
정보의 암호화는 통신기술의 발달과 함께 현대 사회의 전반에 걸쳐 도입되고 있으며, 정보의 암호화 방식에 대한 기술 또한 활발하게 개발되고 있다.
이러한, 정보의 암호화는 특정된 대상이 아닌 타인에게 임의로 공개되길 꺼려하는 모든 정보에 적용될 수 있으며, 약속된 특정 대상만이 해당 정보에 접근할 수 있도록, 해당 대상에게 권한을 부여하고 권한을 확인하여, 정보에 접근이 가능하도록, 상호 약속된 규약에 의해 정보의 암호화 및 복호화에 암호키(Encryption Key)가 사용되어진다.
따라서, 암호키(Encryption Key)는 데이터의 암호화 및 복호화에 필수적으로 요구되기 때문에, 암호키가 외부로 유출될 경우, 데이터의 기밀성 또한 잃게 되어, 데이터의 암호화 및 복호화가 무의미해지는 결과를 초래하기 때문에, 암호키는 암호키를 암호화하는 키 암호키(Key Encryption Key)를 통해 암호화되고, 정보의 암호화 또는 복호화가 요구될 때에만 통신망을 통해 연결되는 하드웨어에 저장 관리됨으로써, 외부로의 유출에 의한 암호키의 직접적인 노출을 방지할 수 있게 된다.
이러한, 암호키 관리 기술의 일환으로, 대한민국 공개특허공보 제2010-0110642호(출원일 : 2009.04.03., 공개일 : 2010.10.13., 이하, 종래기술이라 함.)에서는 자체 CPU와 메모리를 이용하여 암호키 생성, 키 관리, 암호화 등 보안 연산을 보안토큰 장치내에서 해결함으로써 암호키의 유출 가능성을 낮추는 암호키 관리 기술이 개시된 바 있다.
하지만, 종래기술은, 하드웨어의 복제 및 메모리덤프(Memory dump) 등의 방법으로 암호화된 암호키가 추출, 복제될 수 있는 문제점이 여전히 존재한다.
본 발명은 상술한 문제점을 해결하기 위한 것으로, 하드웨어의 복제를 통한 암호키의 복제가 불가능한 키 관리 장치를 제공하는 데, 그 목적이 있다.
이러한 목적을 달성하기 위한 키 관리 장치는, 통신망에 연결되어 인증서버와 통신하는 통신부; 데이터를 암호화하는 암호키를 생성하는 암호키 생성부; 상기 암호키 생성부에서 생성된 암호키를 암호화하는 암호화부; 상기 암호키 생성부로부터 생성된 암호키에 대한 시도(Challenge) 값을 생성하고, 생성된 시도 값을 통해 고유한 마스터키를 생성하는 제1 보안부; 상기 제1 보안부로부터 생성된 마스터키를 통해, 고유한 키 암호키(Key Encryption Key)를 생성하고, 상기 암호화부를 통해 암호화된 암호키가 저장되는 복수의 제2 보안부; 및 상기 통신부, 암호키 생성부, 암호화부, 제1 보안부 및 제2 보안부를 제어하는 제어부;를 포함하며, 상기 제어부는 상기 복수의 제2 보안부 중, 적어도 하나의 제2 보안부를 선택하여 상기 제1 보안부로부터 생성된 마스터키를 시도 값으로 하여, 선택된 제2 보안부를 통해 키 암호키를 생성하고, 상기 암호화부를 통해 해당 키 암호키로 상기 암호키 생성부로부터 생성된 암호키를 암호화하여, 키 암호키로 암호화된 암호키를 해당 키 암호키를 생성한 제2 보안부에 저장시킬 수 있다.
이때, 상기 통신부는 상기 인증서버와 직접 통신하거나, 상기 인증서버와 통신망을 통해 연결된 사용자단말을 경유하여 상기 인증서버와 통신할 수 있다.
여기서, 상기 제1 보안부 및 제2 보안부는, 입력된 시도 값에 대해 고유한 응답(Response) 값을 출력하는 PUF(Physical Unclonable Function) 회로에 NAND Flash Memory(EEPROM)가 쌍을 이루며 연결된 단일의 칩(Chip) 형태로 마련될 수 있다.
그리고, 상기 제1 보안부 및 복수의 제2 보안부는 PUF 회로에 NAND Flash Memory가 쌍을 이루며 연결된 칩이 복수개가 집적되고 각 칩을 제어하는 컨트롤러IC가 포함된 보드형태로 마련될 수 있다.
또한, 상기 제어부는 상기 복수의 제2 보안부의 NAND Flash Memory에 저장된 암호화된 암호키의 식별정보와 암호키의 저장영역에 대한 어드레스 정보를 상기 통신부를 통해 상기 인증서버에 제공할 수 있다.
아울러, 상기 제어부는 상기 복수의 제2 보안부에 대한 임의의 시도 값과 임의의 시도 값으로부터 생성된 고유한 응답 값에 대한 순서쌍 정보를 매핑테이블 형태로 가공하여, 상기 통신부를 통해 인증서버에 제공할 수 있다.
이상에서 설명한 바와 같이 본 발명에 의하면, 다음과 같은 효과가 있다.
첫째, 제1 보안부 및 제2 보안부가 물리적으로 복제 불가능하고, 입력된 시도 값에 대해 고유한 응답 값을 출력하는 PUF회로를 포함한 형태로 마련되며, 제1 보안부가 암호키 생성부에서 생성된 암호키에 대해, 임의의 시도 값으로부터 생성한 고유한 응답 값으로 마스터키를 생성하고, 어느 하나의 제2 보안부를 통해 마스터키를 시도 값으로 하여 고유한 응답 값으로 키 암호키(Key Encryption Key)를 생성하므로, 해당 제2 보안부에 저장된 암호화된 암호키가 추출된다 하더라도, 마스터키 및 키 암호화키를 생성하는 제1 보안부 및 제2 보안부의 복제가 불가능하여, 추출된 암호화된 암호키로부터 원 암호키를 추출할 수 없기 때문에, 암호키 관리에 따른 보안성을 증대시킬 수 있다.
둘째, 제1 보안부와 제2 보안부를 통해, PUF회로의 특성을 이용하여 마스터키 또는 키 암호키를 실시간으로 일정하게 생성할 수 있으며, 고유한 키 암호키를 생성한 제2 보안부에 해당 키 암호키로 암호화된 암호키를 저장시킴에 따라, 암호키의 암호화, 저장 및 관리에 편의를 제공한다.
셋째, 제어부가 복수의 제2 보안부에 대한 임의의 시도 값과 임의의 시도 값으로부터 생성된 고유한 응답 값에 대한 순서쌍 정보와 복수의 제2 보안부의 NAND Flash Memory에 저장된 암호화된 암호키의 식별정보와 암호키의 저장영역에 대한 어드레스 정보를 인증서버에 제공함으로써, 암호화된 암호키 저장을 위한 제2 보안부의 NAND Flash Memory 접근 인증을 위한 인증서버의 인증과정이 간소화되어, 높은 보안성을 제공함과 동시에 암호키의 생성, 암호화 및 암호화된 암호키의 저장으로 소요되는 시간을 최소화할 수 있다.
도1은 본 발명의 일실시예에 따른 키 관리 장치를 개략적으로 도시한 것이다.
본 발명의 바람직한 실시예에 대하여 첨부된 도면을 참조하여 더 구체적으로 설명하되, 이미 주지되어진 기술적 부분에 대해서는 설명의 간결함을 위해 생략하거나 압축하기로 한다.
본 발명의 키 관리 장치(100)를 설명함에 앞서, 본 발명의 키 관리 장치(100)는 인증서버(200)와 통신망을 통해 연결된 사용자단말(미도시)과 통신하여, 암호키를 생성 관리하는 보안토큰 및 키 관리 서버의 형태로 마련될 수 있으며, 이하에서는 키 관리 장치(100)를 키 관리 서버의 형태로 설명하도록 한다.
도1은 본 발명의 일실시예에 따른 키 관리 장치를 개략적으로 도시한 것이다.
본 발명의 일실시예에 따른 키 관리 장치(100)는 통신부(100), 암호키 생성부(120), 암호화부(130), 제1 보안부(140), 제2 보안부(150) 및 제어부(160)를 포함할 수 있다.
통신부(110)는 통신망에 연결되어 인증서버(200)와 통신할 수 있다.
여기서 통신부(110)는 유/무선 통신망을 통해 인증서버(200)와 직접적으로 통신할 수 있으나, 본 발명의 키 관리 장치(100)가 인증서버(200)와 통신망을 통해 연결된 사용자단말(미도시)과 통신하는 보안토큰의 형태로 마련될 경우, 직렬통신(Serial Communication), RFID(Radio Frequency Identification), NFC(Near Field Communication)의 통신방식으로 사용자단말(미도시)을 경유하여 인증서버(200)와 통신 가능한 다양한 형태로 마련될 수도 있다.
암호키 생성부(120)는 암호화 대상인 데이터를 암호화하는 암호키를 생성할 수 있다.
암호화부(130)는 암호키 생성부(120)에서 생성된 암호키를 암호화할 수 있다.
이때, 암호화부(130)는 후술할 제1 보안부(140) 및 제2 보안부(150)를 통해 생성되는 키 암호키(Key Encryption Key)를 통해 암호키 생성부(120)에서 생성한 암호키를 암호화할 수 있다.
제1 보안부(140)는 암호키 생성부(120)로부터 생성된 암호키에 대한 시도(Challenge) 값을 생성하고, 생성된 시도 값을 통해 고유한 마스터키를 생성할 수 있다.
여기서, 제1 보안부(140)는 입력된 시도 값에 대해 고유한 응답 값을 출력하는 PUF(Physical Unclonable Function) 회로에 NAND Flash Memory(EEPROM)가 쌍을 이루며 연결된 단일의 칩(Chip) 형태로 마련될 수 있어, 암호키 생성부(120)에서 암호키를 생성할 때에, 해당 암호키의 생성과 동시에 임의의 시도 값을 생성하고, 생성된 시도 값을 PUF 회로에 통과시켜, 고유한 응답(Response) 값을 생성하게 되며, 이때, 생성된 고유한 응답 값은 암호키 생성부(120)에서 생성된 암호키의 암호화 과정에 요구되는 마스터키가 된다.
제2 보안부(150)는 제1 보안부(140)로부터 생성된 마스터키를 통해, 고유한 키 암호키를 생성하고, 암호화부(130)를 통해 암호화된 암호키가 저장될 수 있다.
이때, 제2 보안부(150)는 제1 보안부(140)와 마찬가지로, PUF(Physical Unclonable Function) 회로에 NAND Flash Memory가 쌍을 이루며 연결된 복수의 칩 형태로 마련될 수 있다.
따라서, 제2 보안부(150)는 제1 보안부(140)로부터 생성된 마스터키를 시도 값으로 하여 응답 값을 생성하는 칩에 따라 서로 다른 응답 값을 생성해낼 수 있게 된다.
그리고, 단일의 제1 보안부(140) 및 복수의 제2 보안부(150)는 상술한 복수의 칩이 집적되고 각 칩을 제어하는 컨트롤러IC(미도시)가 포함된 보드형태로 마련될 수 있다.
즉, 암호키 생성부(120)를 통해 암호키가 생성될 경우, 제1 보안부(140)는 해당 암호키와 대응되는 임의의 시도 값을 생성하고, 임의의 시도 값으로부터 고유한 마스터키를 생성하게 되며, 복수의 제2 보안부(150) 중 어느 하나의 제2 보안부(150)는 제1 보안부(140)에서 생성된 마스터키를 시도 값으로 하여, 고유한 응답 값인 키 암호키를 생성하게 된다.
이때, 제1 보안부(140) 및 제2 보안부(150)로부터 생성된 키 암호키는 암호키 생성부(120)에서 생성된 암호키와 일대일 대응되는 고유한 값을 가질 수 있다.
제어부(160)는 통신부(100), 암호키 생성부(120), 암호화부(130), 제1 보안부(140) 및 제2 보안부(150)를 제어할 수 있다.
여기서, 제어부(160)는 복수의 제2 보안부(150) 중, 적어도 하나의 제2 보안부(150)를 선택하여, 제1 보안부(140)로부터 생성된 마스터키를 시도 값으로 하여, 선택된 제2 보안부(150)를 통해 키 암호키를 생성하고, 암호화부(130)를 통해 해당 키 암호키로 암호키 생성부(120)로부터 생성된 암호키를 암호화하여, 키 암호키로 암호화된 암호키를 해당 키 암호키를 생성한 제2 보안부(150)에 저장시킬 수 있다.
즉, 제어부(160)는 암호키 생성부(120)를 통해 암호키가 생성될 경우, 제1 보안부(140)를 제어하여, 해당 암호키와 대응되는 임의의 시도 값을 생성하고, 임의의 시도 값으로부터 고유한 마스터키를 생성하게 되며, 복수의 제2 보안부(150) 중, 어느 하나의 제2 보안부(150)를 통해 제1 보안부(140)에서 생성된 마스터키를 시도 값으로 하여, 고유한 응답 값인 키 암호키를 생성한다.
이후, 제어부(160)는 암호화부(130)를 제어하여, 암호키 생성부(120)로부터 생성된 암호키를 키 암호키로 암호화하게 되며, 키 암호키로 암호화된 암호키를 해당 키 암호키를 생성한 제2 보안부(150)의 NAND Flash Memory에 저장하게 된다.
또한, 제어부(160)는 각 제2 보안부(150)에 대한 임의의 시도 값과 임의의 시도 값으로부터 생성된 고유한 응답 값에 대한 순서쌍 정보를 매핑테이블 형태로 가공하여, 통신부(110)를 통해 인증서버(200)에 제공할 수 있다.
이때, 제어부(160)로부터 제공된 인증서버(200)에 제공된 매핑테이블은 인증서버(200)를 통한 암호키의 저장 인증 시에 사용되어지며, 제어부(160)가 암호화된 암호키가 저장될 제2 보안부(150)의 식별정보를 인증서버(200)에 송신하게 되면, 인증서버(200)는 제어부(160)를 통해 제공된 매핑테이블에서 해당 제2 보안부(150)의 시도 값 중 어느 하나의 시도 값을 키 관리 장치(100)에 전송하게 된다.
이후, 제어부(160)는 인증서버(200)로부터 전송된 시도 값을 암호화될 암호키가 저장될 제2 보안부(150)에 입력하고, 입력된 시도 값으로부터 생성된 응답 값을 인증서버(200)에 송신하게 되며, 인증서버(200)는 키 관리 장치(100)로부터 수신한 응답 값과, 매핑테이블에 저장된 시도 값과 응답 값에 대한 순서쌍 정보로부터 키 관리 장치(100)에 전송한 시도 값에 대응되는 응답 값과의 일치여부를 확인하여, 암호키의 저장을 인증하게 된다.
그리고, 제어부(160)는 제2 보안부(150)에 저장된 암호화된 암호키의 식별정보와 제2 보안부(150)의 NAND Flash Memory의 저장영역에서 암호키가 저장된 어드레스 정보를, 통신부(110)를 통해 인증서버(200)에 제공할 수 있다.
결국, 본 발명은, 제1 보안부 및 제2 보안부가 물리적으로 복제 불가능하고, 입력된 시도 값에 대해 고유한 응답 값을 출력하는 PUF회로를 포함한 형태로 마련되며, 제1 보안부가 암호키 생성부에서 생성된 암호키에 대해, 임의의 시도 값으로부터 생성한 고유한 응답 값으로 마스터키를 생성하고, 어느 하나의 제2 보안부를 통해 마스터키를 시도 값으로 하여 고유한 응답 값으로 키 암호키(Key Encryption Key)를 생성하므로, 해당 제2 보안부에 저장된 암호화된 암호키가 추출된다 하더라도, 마스터키 및 키 암호화키를 생성하는 제1 보안부 및 제2 보안부의 복제가 불가능하여, 추출된 암호화된 암호키로부터 원 암호키를 추출할 수 없기 때문에, 암호키 관리에 따른 보안성을 증대시킬 수 있고, 제1 보안부와 제2 보안부를 통해, PUF회로의 특성을 이용하여 마스터키 또는 키 암호키를 실시간으로 일정하게 생성할 수 있으며, 고유한 키 암호키를 생성한 제2 보안부에 해당 키 암호키로 암호화된 암호키를 저장시킴에 따라, 암호키의 암호화, 저장 및 관리에 편의를 제공하고, 제어부가 복수의 제2 보안부에 대한 임의의 시도 값과 임의의 시도 값으로부터 생성된 고유한 응답 값에 대한 순서쌍 정보와 복수의 제2 보안부의 NAND Flash Memory에 저장된 암호화된 암호키의 식별정보와 암호키의 저장영역에 대한 어드레스 정보를 인증서버에 제공함으로써, 암호화된 암호키 저장을 위한 제2 보안부의 NAND Flash Memory 접근 인증을 위한 인증서버의 인증과정이 간소화되어, 높은 보안성을 제공함과 동시에 암호키의 생성, 암호화 및 암호화된 암호키의 저장으로 소요되는 시간을 최소화할 수 있는 키 관리 장치를 제공한다.
위에서 설명한 바와 같이 본 발명에 대한 구체적인 설명은 첨부된 도면을 참조한 실시예에 의해서 이루어졌지만, 상술한 실시예는 본 발명의 바람직한 예를 들어 설명하였을 뿐이기 때문에, 본 발명이 상기의 실시예에만 국한되는 것으로 이해되어져서는 아니 되며, 본 발명의 권리범위는 후술하는 청구범위 및 그 등가개념으로 이해되어져야 할 것이다.
100 : 키 관리 장치
110 : 통신부
120 : 암호키 생성부
130 : 암호화부
140 : 제1 보안부
150 : 제2 보안부
160 : 제어부
C : 컨트롤러IC
200 : 인증서버
110 : 통신부
120 : 암호키 생성부
130 : 암호화부
140 : 제1 보안부
150 : 제2 보안부
160 : 제어부
C : 컨트롤러IC
200 : 인증서버
Claims (6)
- 키 관리 장치로서,
통신망에 연결되어 인증서버와 통신하는 통신부;
데이터를 암호화하는 암호키를 생성하는 암호키 생성부;
상기 암호키 생성부에서 생성된 암호키를 암호화하는 암호화부;
상기 암호키 생성부로부터 생성된 암호키에 대한 시도(Challenge) 값을 생성하고, 생성된 시도 값을 통해 고유한 마스터키를 생성하는 제1 보안부;
상기 제1 보안부로부터 생성된 마스터키를 통해, 고유한 키 암호키(Key Encryption Key)를 생성하고, 상기 암호화부를 통해 암호화된 암호키가 저장되는 복수의 제2 보안부; 및
상기 통신부, 암호키 생성부, 암호화부, 제1 보안부 및 제2 보안부를 제어하는 제어부;를 포함하며,
상기 제어부는 상기 복수의 제2 보안부 중, 적어도 하나의 제2 보안부를 선택하여 상기 제1 보안부로부터 생성된 마스터키를 시도 값으로 하여, 선택된 제2 보안부를 통해 키 암호키를 생성하고, 상기 암호화부를 통해 해당 키 암호키로 상기 암호키 생성부로부터 생성된 암호키를 암호화하여, 키 암호키로 암호화된 암호키를 해당 키 암호키를 생성한 제2 보안부에 저장하고,
상기 제1 보안부 및 제2 보안부는, 입력된 시도 값에 대해 고유한 응답(Response) 값을 출력하는 PUF(Physical Unclonable Function) 회로에 NAND Flash Memory가 쌍을 이루며 연결된 단일의 칩(Chip) 형태로 마련되는 것을 특징으로 하는
키 관리 장치.
- 제1항에 있어서,
상기 통신부는 상기 인증서버와 직접 통신하거나, 상기 인증서버와 통신망을 통해 연결된 사용자단말을 경유하여 상기 인증서버와 통신하는 것을 특징으로 하는
키 관리 장치.
- 삭제
- 제1항에 있어서,
상기 제1 보안부 및 복수의 제2 보안부는 PUF 회로에 NAND Flash Memory가 쌍을 이루며 연결된 칩이 복수개가 집적되고 각 칩을 제어하는 컨트롤러IC가 포함된 보드형태로 마련되는 것을 특징으로 하는
키 관리 장치.
- 제4항에 있어서,
상기 제어부는 상기 복수의 제2 보안부의 NAND Flash Memory에 저장된 암호화된 암호키의 식별정보와 암호키의 저장영역에 대한 어드레스 정보를 상기 통신부를 통해 상기 인증서버에 제공하는 것을 특징으로 하는
키 관리 장치.
- 제2항에 있어서,
상기 제어부는 상기 복수의 제2 보안부에 대한 임의의 시도 값과 임의의 시도 값으로부터 생성된 고유한 응답 값에 대한 순서쌍 정보를 매핑테이블 형태로 가공하여, 상기 통신부를 통해 인증서버에 제공하는 것을 특징으로 하는
키 관리 장치.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020160066939A KR101859606B1 (ko) | 2016-05-31 | 2016-05-31 | 키 관리 장치 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020160066939A KR101859606B1 (ko) | 2016-05-31 | 2016-05-31 | 키 관리 장치 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20170135266A KR20170135266A (ko) | 2017-12-08 |
KR101859606B1 true KR101859606B1 (ko) | 2018-05-21 |
Family
ID=60919928
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020160066939A KR101859606B1 (ko) | 2016-05-31 | 2016-05-31 | 키 관리 장치 |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101859606B1 (ko) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20210001443A (ko) | 2019-06-28 | 2021-01-06 | 한국전자통신연구원 | 사용자 장치, 물리적 복제방지 기능 기반 인증 서버 및 그것의 동작 방법 |
US11675504B2 (en) | 2020-08-12 | 2023-06-13 | Samsung Electronics Co., Ltd. | Memory controller, memory system including the same, and method of operating the same |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114097588B (zh) * | 2021-10-29 | 2023-10-31 | 瀚云科技有限公司 | 一种灌溉装置的组网方法及装置 |
KR102589543B1 (ko) * | 2023-02-08 | 2023-10-16 | 주식회사 인크립팅 | 하드웨어보안모듈을 이용하여 사용자인증을 수행하는 암호키 관리시스템 |
-
2016
- 2016-05-31 KR KR1020160066939A patent/KR101859606B1/ko active IP Right Grant
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20210001443A (ko) | 2019-06-28 | 2021-01-06 | 한국전자통신연구원 | 사용자 장치, 물리적 복제방지 기능 기반 인증 서버 및 그것의 동작 방법 |
US11675504B2 (en) | 2020-08-12 | 2023-06-13 | Samsung Electronics Co., Ltd. | Memory controller, memory system including the same, and method of operating the same |
Also Published As
Publication number | Publication date |
---|---|
KR20170135266A (ko) | 2017-12-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10110380B2 (en) | Secure dynamic on chip key programming | |
US20170126414A1 (en) | Database-less authentication with physically unclonable functions | |
CN107004083B (zh) | 设备密钥保护 | |
US11533169B2 (en) | Method for role-based data transmission using physically unclonable function (PUF)-based keys | |
JP4624732B2 (ja) | アクセス方法 | |
KR101776172B1 (ko) | 사물 인터넷 장치 | |
US20150242614A1 (en) | Provisioning of security credentials | |
KR101859606B1 (ko) | 키 관리 장치 | |
CN109361669A (zh) | 通信设备的身份认证方法、装置和设备 | |
KR20080020621A (ko) | 무결성 보호된 보안 저장의 실행 | |
JP2007027896A (ja) | 通信カード、機密情報処理システム、機密情報転送方法およびプログラム | |
CN101268650A (zh) | 在微控制器中用于数据安全性处理的方法和装置 | |
US11329835B2 (en) | Apparatus and method for authenticating IoT device based on PUF using white-box cryptography | |
KR20200027526A (ko) | 전자 디바이스의 인가를 검증하기 위한 방법 및 디바이스 | |
JP7087172B2 (ja) | Pqaロック解除 | |
CN111401901B (zh) | 生物支付设备的认证方法、装置、计算机设备和存储介质 | |
JPH11306088A (ja) | Icカードおよびicカードシステム | |
KR102574846B1 (ko) | 전자 엔티티 내에서 데이터를 수신하기 위한 방법 및 관련된 전자 엔티티 | |
KR102364649B1 (ko) | Puf 기반 사물인터넷 디바이스 인증 장치 및 방법 | |
CN107925574B (zh) | 秘密数据的安全编程 | |
JP2008287488A (ja) | データ分散保存装置 | |
US9497022B2 (en) | Method and system for improved fault tolerance in distributed customization controls using non-volatile memory | |
CN115865448A (zh) | 一种数据自加密装置和方法 | |
JP3963938B2 (ja) | アクセス方法、メモリデバイス、および情報機器 | |
JPH10134157A (ja) | 計算機カードを利用した暗号認証処理方法および装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |