KR102305858B1 - 키 정보 프로비저닝 방법 및 이를 이용한 장치 - Google Patents

키 정보 프로비저닝 방법 및 이를 이용한 장치 Download PDF

Info

Publication number
KR102305858B1
KR102305858B1 KR1020170124455A KR20170124455A KR102305858B1 KR 102305858 B1 KR102305858 B1 KR 102305858B1 KR 1020170124455 A KR1020170124455 A KR 1020170124455A KR 20170124455 A KR20170124455 A KR 20170124455A KR 102305858 B1 KR102305858 B1 KR 102305858B1
Authority
KR
South Korea
Prior art keywords
key information
information
algorithm
key
encryption
Prior art date
Application number
KR1020170124455A
Other languages
English (en)
Other versions
KR20190035356A (ko
Inventor
윤효진
최규영
문덕재
조지훈
Original Assignee
삼성에스디에스 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성에스디에스 주식회사 filed Critical 삼성에스디에스 주식회사
Priority to KR1020170124455A priority Critical patent/KR102305858B1/ko
Priority to US16/118,102 priority patent/US11101994B2/en
Priority to PCT/KR2018/010704 priority patent/WO2019066319A1/en
Priority to CN201811096960.7A priority patent/CN109560925B/zh
Publication of KR20190035356A publication Critical patent/KR20190035356A/ko
Application granted granted Critical
Publication of KR102305858B1 publication Critical patent/KR102305858B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/088Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)
  • Stored Programmes (AREA)

Abstract

키 정보 프로비저닝 방법 및 이를 이용한 장치가 개시된다. 본 발명의 일 실시예에 따른 키 정보 프로비저닝 방법은, 키 정보 생성 알고리즘을 이용하여 시드 정보로부터 암복호화를 위한 키 정보를 생성하는 단계 및 상기 키 정보가 생성된 경우, 상기 키 정보 생성 알고리즘을 삭제하는 단계를 포함한다.

Description

키 정보 프로비저닝 방법 및 이를 이용한 장치{METHOD FOR PROVISIONING KEY INFORMATION AND APPARATUS USING THE SAME}
본 발명의 실시예들은 키 정보를 프로비저닝 하기 위한 기술과 관련된다.
개별 장치를 인증하기 위해서는 각 장치에 고유한 정보, 즉, 인증을 위한 키(key) 정보가 프로비저닝(provisioning)되어야 한다.
이를 위해, 종래에는 공장에서의 생산 단계에서 서로 다른 키 정보를 각 장치에 개별적으로 프로비저닝하거나, 서로 다른 키가 내재된 고가의 하드웨어를 각 장치에 탑재하는 방식이 이용되고 있으나, 이러한 방식의 경우 장치의 생산 비용이 증가하며, 생산 효율성 역시 저하된다는 문제점이 있다.
또한, IoT(Internet of Things) 환경에서 기하급수적으로 늘어나는 저사양 IoT 장치들의 경우, 공장 단에서 일일이 키 프로비저닝 작업을 해 줄 수 없는 상황이다. 즉, 저사양 IoT 장치의 경우, 공장에서 모든 장치에 동일한 소프트웨어를 탑재할 수밖에 없고, 결국 개별 장치를 인증할 수 있는 방법이 없는 실정이다.
한국공개특허 제10-2013-0026352호 (2013.03.13. 공고)
본 발명의 실시예들은 키 정보 프로비저닝 방법 및 이를 이용한 장치를 제공하기 위한 것이다.
본 발명의 일 실시예에 따른 키 정보 프로비저닝 방법은, 하나 이상의 프로세서들, 메모리 및 하나 이상의 프로그램들을 포함하는 장치에서 수행되며, 키 정보 생성 알고리즘을 이용하여 시드 정보로부터 암복호화를 위한 키 정보를 생성하는 단계 및 상기 키 정보가 생성된 경우, 상기 키 정보 생성 알고리즘을 삭제하는 단계를 포함한다.
상기 키 정보 생성 알고리즘은, 상기 키 정보를 이용하여 암복호화를 수행하는 암호화 알고리즘과 함께 상기 장치의 생산 과정에서 상기 장치에 사전 탑재(pre-install)될 수 있다.
상기 생성하는 단계는, 상기 사전 탑재 이후, 상기 암호화 알고리즘의 테스트 실행 과정에서 수행될 수 있다.
상기 삭제하는 단계는, 상기 키 정보 생성 알고리즘을 삭제하기 위한 삭제 알고리즘을 이용하여 상기 키 정보 생성 알고리즘을 삭제하고, 상기 키 정보 생성 알고리즘은, 상기 암호화 알고리즘 및 상기 삭제 알고리즘과 함께 상기 장치의 생산 과정에서 상기 장치에 사전 탑재될 수 있다.
상기 시드 정보는, 상기 장치의 고유 정보를 포함할 수 있다.
상기 고유 정보는, 상기 장치의 시리얼 넘버, 하드웨어 정보 및 MAC(Media Access Control) 주소 중 적어도 하나를 포함할 수 있다.
상기 키 정보 프로비저닝 방법은, 상기 삭제하는 단계 이후에, 상기 고유 정보를 서버로 제공하는 단계를 더 포함할 수 있다.
상기 시드 정보는, 서버에 의해 상기 장치에 사전 할당된 정보를 포함할 수 있다.
본 발명의 일 실시예에 따른 장치는, 하나 이상의 프로세서들, 메모리 및 하나 이상의 프로그램들을 포함하며, 상기 하나 이상의 프로그램들은 상기 메모리에 저장되고, 상기 하나 이상의 프로세서들에 의해 실행되도록 구성되며, 상기 하나 이상의 프로그램들은, 키 정보 생성 알고리즘을 이용하여 시드 정보로부터 암복호화를 위한 키 정보를 생성하는 단계 및 상기 키 정보가 생성된 경우, 상기 키 정보 생성 알고리즘을 삭제하는 단계를 실행하기 위한 명령어들을 포함한다.
상기 키 정보 생성 알고리즘은, 상기 키 정보를 이용하여 암복호화를 수행하는 암호화 알고리즘과 함께 상기 장치의 생산 과정에서 상기 장치에 사전 탑재(pre-install)될 수 있다.
상기 생성하는 단계는, 상기 사전 탑재 이후, 상기 암호화 알고리즘의 테스트 실행 과정에서 수행될 수 있다.
상기 삭제하는 단계는, 상기 키 정보 생성 알고리즘을 삭제하기 위한 삭제 알고리즘을 이용하여 상기 키 정보 생성 알고리즘을 삭제하고, 상기 키 정보 생성 알고리즘은, 상기 암호화 알고리즘 및 상기 삭제 알고리즘과 함께 상기 장치의 생산 과정에서 상기 장치에 사전 탑재될 수 있다.
상기 시드 정보는, 상기 장치의 고유 정보를 포함할 수 있다.
상기 고유 정보는, 상기 장치의 시리얼 넘버, 하드웨어 정보 및 MAC(Media Access Control) 주소 중 적어도 하나를 포함할 수 있다.
상기 하나 이상의 프로그램들은, 상기 삭제하는 단계 이후에, 상기 고유 정보를 서버로 제공하는 단계를 수행하기 위한 명령어를 더 포함할 수 있다.
상기 시드 정보는, 서버에 의해 상기 장치에 사전 할당된 정보를 포함할 수 있다.
본 발명의 실시예들에 따르면, 즉, 공장에서 생산되는 개별 장치에 동일한 소프트웨어를 탑재한 후, 개별 장치마다 상이한 키 정보를 생성할 수 있도록 함으로써, 생산되는 장치마다 개별적으로 키 정보를 프로비저닝할 필요가 없게 되며, 이에 따라 생산 비용과 생산 효율을 향상시킬 수 있다.
나아가, 키 정보 생성 이후, 키 정보 생성을 위해 탑재되었던 알고리즘이 삭제되도록 함으로써, 키 정보 생성을 위해 이용된 시드 정보와 키 정보 사이의 연결고리를 원천적으로 제거하게 되며, 이에 따라 시드 정보가 공개되더라도 안전성과 보안성을 확보할 수 있게 된다.
도 1은 예시적인 실시예들에서 사용되기에 적합한 컴퓨팅 장치를 포함하는 컴퓨팅 환경(10)을 예시하여 설명하기 위한 블록도
도 2는 본 발명의 일 실시예에 따른 키 정보 프로비저닝 방법의 순서도
이하, 도면을 참조하여 본 발명의 구체적인 실시형태를 설명하기로 한다. 이하의 상세한 설명은 본 명세서에서 기술된 방법, 장치 및/또는 시스템에 대한 포괄적인 이해를 돕기 위해 제공된다. 그러나 이는 예시에 불과하며 본 발명은 이에 제한되지 않는다.
본 발명의 실시예들을 설명함에 있어서, 본 발명과 관련된 공지기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략하기로 한다. 그리고, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다. 상세한 설명에서 사용되는 용어는 단지 본 발명의 실시예들을 기술하기 위한 것이며, 결코 제한적이어서는 안 된다. 명확하게 달리 사용되지 않는 한, 단수 형태의 표현은 복수 형태의 의미를 포함한다. 본 설명에서, "포함" 또는 "구비"와 같은 표현은 어떤 특성들, 숫자들, 단계들, 동작들, 요소들, 이들의 일부 또는 조합을 가리키기 위한 것이며, 기술된 것 이외에 하나 또는 그 이상의 다른 특성, 숫자, 단계, 동작, 요소, 이들의 일부 또는 조합의 존재 또는 가능성을 배제하도록 해석되어서는 안 된다.
도 1은 예시적인 실시예들에서 사용되기에 적합한 컴퓨팅 장치를 포함하는 컴퓨팅 환경(10)을 예시하여 설명하기 위한 블록도이다. 도시된 실시예에서, 각 컴포넌트들은 이하에 기술된 것 이외에 상이한 기능 및 능력을 가질 수 있고, 이하에 기술되지 것 이외에도 추가적인 컴포넌트를 포함할 수 있다.
도시된 컴퓨팅 환경(10)은 컴퓨팅 장치(12)를 포함한다. 일 실시예에서, 컴퓨팅 장치(12)는 예를 들어, 스마트 폰, 패블릿, 태블릿 PC, 랩톱 PC, 웨어러블 디바이스, 도어락 등을 포함할 수 있다. 그러나, 컴퓨팅 장치(12)는 상술한 예 외에도 정보 처리 기능 및 통신 기능을 구비한 다양한 형태의 장치들을 포함할 수 있다.
한편, 컴퓨팅 장치(12)는 적어도 하나의 프로세서(14), 컴퓨터 판독 가능 저장 매체(16) 및 통신 버스(18)를 포함한다. 프로세서(14)는 예를 들어, 컴퓨터 판독 가능 저장 매체(16)에 저장된 하나 이상의 프로그램들을 실행할 수 있다. 상기 하나 이상의 프로그램들은 하나 이상의 컴퓨터 실행 가능 명령어를 포함할 수 있으며, 상기 컴퓨터 실행 가능 명령어는 프로세서(14)에 의해 실행되는 경우 컴퓨팅 장치(12)로 하여금 예시적인 실시예에 따른 동작들을 수행하도록 구성될 수 있다.
컴퓨터 판독 가능 저장 매체(16)는 컴퓨터 실행 가능 명령어 내지 프로그램 코드, 프로그램 데이터 및/또는 다른 적합한 형태의 정보를 저장하도록 구성된다. 컴퓨터 판독 가능 저장 매체(16)에 저장된 프로그램(20)은 프로세서(14)에 의해 실행 가능한 명령어의 집합을 포함한다. 일 실시예에서, 컴퓨터 판독 가능 저장 매체(16)는 메모리(랜덤 액세스 메모리와 같은 휘발성 메모리, 비휘발성 메모리, 또는 이들의 적절한 조합), 하나 이상의 자기 디스크 저장 디바이스들, 광학 디스크 저장 디바이스들, 플래시 메모리 디바이스들, 그 밖에 컴퓨팅 장치(12)에 의해 액세스되고 원하는 정보를 저장할 수 있는 다른 형태의 저장 매체, 또는 이들의 적합한 조합일 수 있다.
통신 버스(18)는 프로세서(14), 컴퓨터 판독 가능 저장 매체(16)를 포함하여 컴퓨팅 장치(12)의 다른 다양한 컴포넌트들을 상호 연결한다.
컴퓨팅 장치(12)는 또한 하나 이상의 입출력 장치(24)를 위한 인터페이스를 제공하는 하나 이상의 입출력 인터페이스(22) 및 하나 이상의 네트워크 통신 인터페이스(26)를 포함할 수 있다. 입출력 인터페이스(22) 및 네트워크 통신 인터페이스(26)는 통신 버스(18)에 연결된다. 입출력 장치(24)는 입출력 인터페이스(22)를 통해 컴퓨팅 장치(12)의 다른 컴포넌트들에 연결될 수 있다. 예시적인 입출력 장치(24)는 포인팅 장치(마우스 또는 트랙패드 등), 키보드, 터치 입력 장치(터치패드 또는 터치스크린 등), 음성 또는 소리 입력 장치, 다양한 종류의 센서 장치 및/또는 촬영 장치와 같은 입력 장치, 및/또는 디스플레이 장치, 프린터, 스피커 및/또는 네트워크 카드와 같은 출력 장치를 포함할 수 있다. 예시적인 입출력 장치(24)는 컴퓨팅 장치(12)를 구성하는 일 컴포넌트로서 컴퓨팅 장치(12)의 내부에 포함될 수도 있고, 컴퓨팅 장치(12)와는 구별되는 별개의 장치로 컴퓨팅 장치(12)와 연결될 수도 있다.
컴퓨팅 장치(12)는 키 정보 생성 알고리즘을 이용하여 시드 정보로부터 암복호화를 위한 키 정보를 생성한다.
이때, 본 발명의 일 실시예에 따르면, 키 정보 생성 알고리즘은 키 정보 생성 알고리즘에 의해 생성된 키 정보를 이용하여 암복호화를 수행하는 암호화 알고리즘과 함께 컴퓨팅 장치(12)의 제조 과정에서 컴퓨팅 장치(120)에 사전 탑재(pre-install)될 수 있다. 예를 들어, 키 정보 생성 알고리즘 및 암호화 알고리즘은 컴퓨팅 장치(120)의 공장 출하 전에 소프트웨어 이미지의 형태로 컴퓨팅 장치(120) 내에 탑재될 수 있다.
또한, 본 발명의 일 실시예에 따르면, 키 정보는 키 생성 알고리즘이 컴퓨팅 장치(12)에 탑재된 이후, 함께 탑재된 암호화 알고리즘의 테스트 실행 과정에서 생성될 수 있다. 예를 들어, 키 정보는 컴퓨팅 장치(12)에 탑재된 암호화 알고리즘이 테스트를 위해 최초 실행될 때 키 생성 알고리즘에 의해 생성될 수 있다.
한편, 본 발명의 일 실시예에 따르면, 키 정보 생성 알고리즘은 예를 들어, 시드 정보로부터 난수를 생성하거나, 시드 정보에 해시 함수(hash function)를 적용하여 키 정보를 생성할 수 있다. 그러나, 키 정보 생성 방식은 반드시 상술한 예에 한정되는 것은 아니며, 입력 값에 따라 상이하고 입력 값으로부터 예측하기 어려운 출력 값을 생성할 수 있는 암호학적으로 안전한 다양한 함수들이 키 정보 생성을 위해 이용될 수 있다.
한편, 본 발명의 일 실시예에 따르면, 시드 정보는 컴퓨팅 장치(12)의 고유 정보를 포함할 수 있으며, 실시예에 따라 컴퓨팅 장치(12)의 고유 정보 외에도 랜덤 넘버를 더 포함할 수 있다. 이때, 컴퓨팅 장치(12)의 고유 정보는 예를 들어, 컴퓨팅 장치(12)의 시리얼 넘버, 하드웨어 정보(예를 들어, 컴퓨팅 장치(12)에 탑재된 칩의 고유 아이디) 및 MAC(Media Access Control) 주소 중 적어도 하나를 포함할 수 있다. 그러나, 시드 정보로서 이용 가능한 고유 정보는 반드시 상술한 예에 한정되는 것은 아니며, 키 정보 생성 알고리즘에 의해 소프트웨어적으로 접근 가능하며 컴퓨팅 장치(12)별로 상이한 값을 가지는 다양한 정보들을 포함할 수 있다.
한편, 본 발명의 일 실시예에 따르면, 시드 정보는 서버(미도시)에 의해 컴퓨팅 장치(12)에 사전 할당된 정보를 포함할 수 있다. 이때, 서버는 컴퓨팅 장치(12)에 대한 인증을 수행하거나, 컴퓨팅 장치(12)와 암호화된 통신을 수행하기 위한 서버를 의미할 수 있다. 예를 들어, 서버는 각 컴퓨팅 장치(12) 별로 고유 번호를 생성할 수 있으며, 서버에 의해 생성된 고유 번호는 각 컴퓨팅 장치(12)의 생산 과정에서 각 컴퓨팅 장치(12)로 제공됨으로써 각 컴퓨팅 장치(12)에 할당될 수 있다. 한편, 서버에 의해 사전 할당되는 정보는 반드시 고유 번호일 필요는 없으며, 서버에 의해 생성되며 각 컴퓨팅 장치(12) 별로 중복되지 않는 정보이면 충분하다.
한편, 본 발명의 일 실시예에 따르면, 키 정보는 예를 들어, 암복호화를 위한 암호키일 수 있다. 구체적으로, 키 정보 생성 알고리즘과 함께 탑재되는 암호화 알고리즘은 예를 들어, AES(Advanced Encryption Standard) 알고리즘, DES(Data Encryption Standard), 3DES 등과 같은 대칭키 암호화 알고리즘(symmetric cryptographic algorithm)일 수 있으며, 키 정보 생성 알고리즘은 해당 대칭키 암호화 알고리즘에서 이용되는 암호키일 수 있다.
본 발명의 다른 실시예에 따르면, 키 정보는 예를 들어, 암복호화를 위한 키 테이블일 수 있다. 구체적으로, 키 정보 생성 알고리즘과 함께 탑재되는 암호화 알고리즘은 예를 들어, 화이트박스(white box) 암호화 알고리즘일 수 있으며, 키 정보 생성 알고리즘에 의해 생성되는 키 정보는 해당 화이트박스 암호화 알고리즘에 적용되는 키 테이블일 수 있다.
한편, 컴퓨팅 장치(12)는 키 생성 알고리즘에 의해 키 정보가 생성된 이후 키 정보 생성 알고리즘을 삭제한다.
본 발명의 일 실시에에 따르면, 키 생성 알고리즘의 삭제는 키 생성 알고리즘 및 암호화 알고리즘과 함께 사전 탑재된 삭제 알고리즘을 이용하여 수행될 수 있다. 이때, 삭제 알고리즘은 예를 들어, 키 정보 생성 알고리즘 및 암호화 알고리즘과 함께 컴퓨팅 장치(120)의 공장 출하 전에 소프트웨어 이미지의 형태로 컴퓨팅 장치(120) 내에 탑재될 수 있다.
한편, 상술한 바와 같이 키 정보 생성 이후 키 생성 알고리즘이 삭제되므로 시드 정보와 키 정보 사이에 어떠한 연관 관계도 남지 않게 된다.
한편, 본 발명의 일 실시예에 따르면, 컴퓨팅 장치(12)는 생성된 키 정보와 탑재된 암호화 알고리즘을 이용하여, 서버와 장치 인증을 수행하거나 암호화된 데이터를 송수신할 수 있다. 이를 위해, 서버는 컴퓨팅 장치(12)에 사전 탑재된 키 정보 생성 알고리즘 및 암호화 알고리즘과 동일한 알고리즘을 구비할 수 있다. 또한, 서버는 컴퓨팅 장치(12)에서 키 정보 생성을 위해 이용된 시드 정보를 컴퓨팅 장치(12)와 공유할 수 있다.
예를 들어, 컴퓨팅 장치(12)에서 키 정보 생성을 위해 이용된 시드 정보가 컴퓨팅 장치(12)의 고유 정보인 경우, 컴퓨팅 장치(12)는 시드 정보로 이용된 컴퓨팅 장치(12)의 고유 정보를 서버로 전송할 수 있다. 이 경우, 서버는 키 정보 생성 알고리즘을 이용하여 수신된 고유 정보로부터 컴퓨팅 장치(12)와 동일한 키 정보를 생성할 수 있으며, 생성된 키 정보 및 암호화 알고리즘을 이용하여 컴퓨팅 장치(12)와 장치 인증을 수행하거나 암호화된 데이터를 송수신할 수 있다.
다른 예로, 컴퓨팅 장치(12)에서 키 정보 생성을 위해 이용된 시드 정보가 서버에 의해 컴퓨팅 장치(12) 할당된 정보인 경우, 서버는 키 정보 생성 알고리즘을 이용하여 컴퓨팅 장치(12)에 할당된 정보로부터 컴퓨팅 장치(12)와 동일한 키 정보를 생성할 수 있으며, 생성된 키 정보 및 암호화 알고리즘을 이용하여 컴퓨팅 장치(12)와 장치 인증을 수행하거나 암호화된 데이터를 송수신할 수 있다.
도 2는 본 발명의 일 실시예에 따른 키 정보 프로비저닝 방법의 흐름도이다.
도 2에 도시된 방법은 예를 들어, 도 2에 도시된 컴퓨팅 장치(12)에 의해 수행될 수 있다.
도 2를 참조하면, 우선, 컴퓨팅 장치(12)는 키 정보 생성 알고리즘을 이용하여 시드 정보로부터 암복호화를 위한 키 정보를 생성한다(110).
여기서, 키 정보 생성 알고리즘은 예를 들어, 암호화 알고리즘과 함께 컴퓨팅 장치(12)의 제조 과정에서 컴퓨팅 장치(12)에 사전 탑재될 수 있으며, 키 정보는 암호화 알고리즘의 테스트 실행 과정에서 생성될 수 있다.
또한, 암호화 알고리즘은 예를 들어, 대칭키 암호화 알고리즘일 수 있으며, 키 정보는 해당 대칭키 암호화 알고리즘에서 이용되는 암호키일 수 있다.
다른 예로, 암호화 알고리즘은 예를 들어, 화이트박스 암호화 알고리즘일 수 있으며, 키 정보는 해당 화이트박스 암호화 알고리즘에 적용되는 키 테이블일 수 있다.
한편, 본 발명의 일 실시예에 따르면, 시드 정보는 컴퓨팅 장치(12)의 고유 정보를 포함할 수 있으며, 실시예에 따라 컴퓨팅 장치(12)의 고유 정보 외에도 랜덤 넘버를 더 포함할 수 있다. 이때, 컴퓨팅 장치(12)의 고유 정보는 예를 들어, 컴퓨팅 장치(12)의 시리얼 넘버, 하드웨어 정보(예를 들어, 컴퓨팅 장치(12)에 탑재된 칩의 고유 아이디) 및 MAC(Media Access Control) 주소 중 적어도 하나를 포함할 수 있다.
또한, 본 발명의 일 실시예에 따르면, 시드 정보는 서버에 의해 컴퓨팅 장치(12)에 사전 할당된 정보를 포함할 수 있다.
한편, 키 정보 생성 알고리즘에 의해 키 정보가 생성된 이후, 컴퓨팅 장치(12)는 키 정보 생성 알고리즘을 삭제한다(120).
이때, 본 발명의 일 실시에에 따르면, 키 정보 생성 알고리즘의 삭제는 키 생성 알고리즘 및 암호화 알고리즘과 함께 사전 탑재된 삭제 알고리즘을 이용하여 수행될 수 있다.
한편, 본 발명의 일 실시예에 따르면, 키 정보가 컴퓨팅 장치(12)의 고유 정보를 이용하여 생성된 경우, 컴퓨팅 장치(12)는 키 생성 알고리즘의 삭제 이후, 키 정보 생성을 위해 이용된 고유 정보를 서버로 제공할 수 있다.
한편, 도 2에 도시된 흐름도에서는 키 정보 프로비저닝 과정을 복수 개의 단계로 나누어 기재하였으나, 적어도 일부의 단계들은 순서를 바꾸어 수행되거나, 다른 단계와 결합되어 함께 수행되거나, 생략되거나, 세부 단계들로 나뉘어 수행되거나, 또는 도시되지 않은 하나 이상의 단계가 부가되어 수행될 수 있다.
이상에서 본 발명의 대표적인 실시예들을 상세하게 설명하였으나, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 상술한 실시예에 대하여 본 발명의 범주에서 벗어나지 않는 한도 내에서 다양한 변형이 가능함을 이해할 것이다. 그러므로 본 발명의 권리범위는 설명된 실시예에 국한되어 정해져서는 안 되며, 후술하는 특허청구범위뿐만 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.
10: 컴퓨팅 환경
12: 컴퓨팅 장치
14: 프로세서
16: 컴퓨터 판독 가능 저장 매체
18: 통신 버스
20: 프로그램
22: 입출력 인터페이스
24: 입출력 장치
26: 네트워크 통신 인터페이스

Claims (16)

  1. 하나 이상의 프로세서들, 메모리 및 하나 이상의 프로그램들을 포함하는 장치에서 수행되는 키 정보 생성 방법으로서,
    키 정보 생성 알고리즘을 이용하여 시드 정보로부터 암복호화를 위한 키 정보를 생성하는 단계; 및
    상기 키 정보가 생성된 경우, 상기 키 정보 생성 알고리즘을 삭제하는 단계를 포함하고,
    상기 키 정보 생성 알고리즘은, 상기 키 정보를 이용하여 암복호화를 수행하는 암호화 알고리즘과 함께 상기 장치의 생산 과정에서 상기 장치에 사전 탑재(pre-install)되고,
    상기 생성하는 단계는, 상기 사전 탑재 이후, 상기 암호화 알고리즘의 테스트 실행 과정에서 수행되며,
    상기 시드 정보는, 상기 장치의 고유 정보 또는 서버에 의해 상기 장치에 사전 할당된 정보이고,
    상기 키 정보는, 암호키 또는 키 테이블인 키 정보 프로비저닝 방법.
  2. 삭제
  3. 삭제
  4. 청구항 1에 있어서,
    상기 삭제하는 단계는, 상기 키 정보 생성 알고리즘을 삭제하기 위한 삭제 알고리즘을 이용하여 상기 키 정보 생성 알고리즘을 삭제하고,
    상기 키 정보 생성 알고리즘은, 상기 암호화 알고리즘 및 상기 삭제 알고리즘과 함께 상기 장치의 생산 과정에서 상기 장치에 사전 탑재되는, 키 정보 프로비저닝 방법.
  5. 삭제
  6. 청구항 1에 있어서,
    상기 고유 정보는, 상기 장치의 시리얼 넘버, 하드웨어 정보 및 MAC(Media Access Control) 주소 중 적어도 하나를 포함하는, 키 정보 프로비저닝 방법.
  7. 청구항 1에 있어서,
    상기 삭제하는 단계 이후에, 상기 고유 정보를 상기 서버로 제공하는 단계를 더 포함하는, 키 정보 프로비저닝 방법.
  8. 삭제
  9. 하나 이상의 프로세서들, 메모리 및 하나 이상의 프로그램들을 포함하는 장치에 있어서,
    상기 하나 이상의 프로그램들은 상기 메모리에 저장되고, 상기 하나 이상의 프로세서들에 의해 실행되도록 구성되며,
    상기 하나 이상의 프로그램들은,
    키 정보 생성 알고리즘을 이용하여 시드 정보로부터 암복호화를 위한 키 정보를 생성하는 단계; 및
    상기 키 정보가 생성된 경우, 상기 키 정보 생성 알고리즘을 삭제하는 단계를 실행하기 위한 명령어들을 포함하고,
    상기 키 정보 생성 알고리즘은, 상기 키 정보를 이용하여 암복호화를 수행하는 암호화 알고리즘과 함께 상기 장치의 생산 과정에서 상기 장치에 사전 탑재(pre-install)되고,
    상기 생성하는 단계는, 상기 사전 탑재 이후, 상기 암호화 알고리즘의 테스트 실행 과정에서 수행되며,
    상기 시드 정보는, 상기 장치의 고유 정보 또는 서버에 의해 상기 장치에 사전 할당된 정보이고,
    상기 키 정보는, 암호키 또는 키 테이블인 장치.
  10. 삭제
  11. 삭제
  12. 청구항 9에 있어서,
    상기 삭제하는 단계는, 상기 키 정보 생성 알고리즘을 삭제하기 위한 삭제 알고리즘을 이용하여 상기 키 정보 생성 알고리즘을 삭제하고,
    상기 키 정보 생성 알고리즘은, 상기 암호화 알고리즘 및 상기 삭제 알고리즘과 함께 상기 장치의 생산 과정에서 상기 장치에 사전 탑재되는, 장치.
  13. 삭제
  14. 청구항 9에 있어서,
    상기 고유 정보는, 상기 장치의 시리얼 넘버, 하드웨어 정보 및 MAC(Media Access Control) 주소 중 적어도 하나를 포함하는, 장치.
  15. 청구항 9에 있어서,
    상기 하나 이상의 프로그램들은,
    상기 삭제하는 단계 이후에, 상기 고유 정보를 상기 서버로 제공하는 단계를 수행하기 위한 명령어를 더 포함하는, 장치

  16. 삭제
KR1020170124455A 2017-09-26 2017-09-26 키 정보 프로비저닝 방법 및 이를 이용한 장치 KR102305858B1 (ko)

Priority Applications (4)

Application Number Priority Date Filing Date Title
KR1020170124455A KR102305858B1 (ko) 2017-09-26 2017-09-26 키 정보 프로비저닝 방법 및 이를 이용한 장치
US16/118,102 US11101994B2 (en) 2017-09-26 2018-08-30 Method of provisioning key information and apparatus using the method
PCT/KR2018/010704 WO2019066319A1 (en) 2017-09-26 2018-09-12 METHOD FOR PROVIDING KEY INFORMATION AND APPARATUS USING THE METHOD
CN201811096960.7A CN109560925B (zh) 2017-09-26 2018-09-20 密钥信息供应方法及利用密钥信息供应方法的装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170124455A KR102305858B1 (ko) 2017-09-26 2017-09-26 키 정보 프로비저닝 방법 및 이를 이용한 장치

Publications (2)

Publication Number Publication Date
KR20190035356A KR20190035356A (ko) 2019-04-03
KR102305858B1 true KR102305858B1 (ko) 2021-09-27

Family

ID=65809159

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170124455A KR102305858B1 (ko) 2017-09-26 2017-09-26 키 정보 프로비저닝 방법 및 이를 이용한 장치

Country Status (4)

Country Link
US (1) US11101994B2 (ko)
KR (1) KR102305858B1 (ko)
CN (1) CN109560925B (ko)
WO (1) WO2019066319A1 (ko)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10769873B1 (en) 2019-06-28 2020-09-08 Alibaba Group Holding Limited Secure smart unlocking
CN111130763B (zh) * 2019-11-20 2021-06-22 复旦大学 一种基于集成加密技术的密钥备份与恢复方法

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120137137A1 (en) * 2010-11-30 2012-05-31 Brickell Ernest F Method and apparatus for key provisioning of hardware devices

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3864401B2 (ja) * 1997-04-23 2006-12-27 ソニー株式会社 認証システム、電子機器、認証方法、および記録媒体
US6307940B1 (en) * 1997-06-25 2001-10-23 Canon Kabushiki Kaisha Communication network for encrypting/deciphering communication text while updating encryption key, a communication terminal thereof, and a communication method thereof
CA2329590C (en) * 2000-12-27 2012-06-26 Certicom Corp. Method of public key generation
FR2820577B1 (fr) * 2001-02-08 2003-06-13 St Microelectronics Sa Procede securise de calcul cryptographique a cle secrete et composant mettant en oeuvre un tel procede
JP3773431B2 (ja) * 2001-09-20 2006-05-10 松下電器産業株式会社 鍵実装システムおよびこれを実現するためのlsi、並びに鍵実装方法
US7475254B2 (en) 2003-06-19 2009-01-06 International Business Machines Corporation Method for authenticating software using protected master key
US7688976B2 (en) * 2005-07-14 2010-03-30 Tara Chand Singhal Random wave envelope derived random numbers and their use in generating transient keys in communication security application part I
US8464073B2 (en) * 2006-09-13 2013-06-11 Stec, Inc. Method and system for secure data storage
US8321682B1 (en) * 2008-01-24 2012-11-27 Jpmorgan Chase Bank, N.A. System and method for generating and managing administrator passwords
US8194858B2 (en) * 2009-02-19 2012-06-05 Physical Optics Corporation Chaotic cipher system and method for secure communication
US8499157B1 (en) * 2010-09-29 2013-07-30 Emc Corporation Device-based password management
US9628875B1 (en) 2011-06-14 2017-04-18 Amazon Technologies, Inc. Provisioning a device to be an authentication device
KR101792885B1 (ko) 2011-09-05 2017-11-02 주식회사 케이티 eUICC의 키정보 관리방법 및 그를 이용한 eUICC, MNO시스템, 프로비저닝 방법 및 MNO 변경 방법
US8953790B2 (en) * 2011-11-21 2015-02-10 Broadcom Corporation Secure generation of a device root key in the field
US9742563B2 (en) 2012-09-28 2017-08-22 Intel Corporation Secure provisioning of secret keys during integrated circuit manufacturing
KR20150040576A (ko) * 2013-10-07 2015-04-15 한국전자통신연구원 오픈 환경에서의 데이터 보호 방법 및 장치
KR101914453B1 (ko) 2015-10-29 2018-11-02 삼성에스디에스 주식회사 암호화 장치 및 방법
CN106657142A (zh) * 2017-01-19 2017-05-10 深圳市金立通信设备有限公司 一种数据的传输方法及终端和系统

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120137137A1 (en) * 2010-11-30 2012-05-31 Brickell Ernest F Method and apparatus for key provisioning of hardware devices

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
권세훈, 정보통신정책연구원, 몬덱스카드 사업의 현황과 전망, 그리고 시사점(1997.) 1부.*
암호 플랫폼(Encryption Platform)의 시작, D’Amo(2016.) 1부.*

Also Published As

Publication number Publication date
US11101994B2 (en) 2021-08-24
WO2019066319A1 (en) 2019-04-04
CN109560925A (zh) 2019-04-02
CN109560925B (zh) 2023-03-24
KR20190035356A (ko) 2019-04-03
US20190097795A1 (en) 2019-03-28

Similar Documents

Publication Publication Date Title
US10708051B2 (en) Controlled access to data in a sandboxed environment
KR20140099325A (ko) 글로벌 플랫폼 규격을 사용하는 발행자 보안 도메인에 대한 키 관리 시스템 및 방법
US20190068568A1 (en) Distributed profile and key management
US11005847B2 (en) Method, apparatus and computer program product for executing an application in clouds
US11099818B2 (en) Application programming interface (API) creator and deployment tool
US10162950B2 (en) Methods and apparatus for using credentials to access computing resources
US10771462B2 (en) User terminal using cloud service, integrated security management server for user terminal, and integrated security management method for user terminal
US20150227755A1 (en) Encryption and decryption methods of a mobile storage on a file-by-file basis
KR102305858B1 (ko) 키 정보 프로비저닝 방법 및 이를 이용한 장치
US11443023B2 (en) Distributed profile and key management
US11366893B1 (en) Systems and methods for secure processing of data streams having differing security level classifications
CN111400743B (zh) 基于区块链网络的事务处理方法、装置、电子设备和介质
US20230179404A1 (en) Hybrid cloud-based security service method and apparatus for security of confidential data
AU2013237707B2 (en) Prevention of forgery of web requests to a server
US9537842B2 (en) Secondary communications channel facilitating document security
US9984247B2 (en) Password theft protection for controlling access to computer software
CN111104666B (zh) 用于访问服务的方法、设备和计算机可读介质
CN113886014A (zh) 中间件加载动态密钥方法、装置、设备及存储介质
KR20180126853A (ko) 메타정보 및 엔터프라이즈 프레임웍을 이용한 암호화 sql문 자동 생성 시스템 및 방법
US20150281343A1 (en) Information processing device, information processing system, and processing method
CN109933994B (zh) 数据分级存储方法和装置以及计算设备
KR20220021543A (ko) 비밀번호 및 행동 패턴을 이용한 멀티 팩터 인증 시스템 및 방법
US11354441B2 (en) Securing data across execution contexts
US11271738B1 (en) Secure, reliable, and decentralized communication in cloud platform
EP3261013A1 (en) Secure scripting for cryptographic functions customization

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application
AMND Amendment
E902 Notification of reason for refusal
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant