KR102562470B1 - 암호화 자료의 안전한 사용을 위한 방법 - Google Patents

암호화 자료의 안전한 사용을 위한 방법 Download PDF

Info

Publication number
KR102562470B1
KR102562470B1 KR1020227040589A KR20227040589A KR102562470B1 KR 102562470 B1 KR102562470 B1 KR 102562470B1 KR 1020227040589 A KR1020227040589 A KR 1020227040589A KR 20227040589 A KR20227040589 A KR 20227040589A KR 102562470 B1 KR102562470 B1 KR 102562470B1
Authority
KR
South Korea
Prior art keywords
system component
cryptographic
cryptographic material
check
production
Prior art date
Application number
KR1020227040589A
Other languages
English (en)
Other versions
KR20220161492A (ko
Inventor
빌도르 프리에젠
빅토르 파블로비치
Original Assignee
메르세데스-벤츠 그룹 아게
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 메르세데스-벤츠 그룹 아게 filed Critical 메르세데스-벤츠 그룹 아게
Publication of KR20220161492A publication Critical patent/KR20220161492A/ko
Application granted granted Critical
Publication of KR102562470B1 publication Critical patent/KR102562470B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/088Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • H04L9/0897Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 암호화 자료(KM)가 설치된 네트워크 시스템의 여러 시스템 구성 요소(SK)에서 암호화 자료(KM)를 안전하게 사용하기 위한 방법에 관한 것으로 이때 각 시스템 구성 요소(SK)의 수명 주기에는 적어도 하나의 개발 단계와 하나의 생산 단계가 포함된다. 본 발명에 따른 방법은 전체 암호화 자료(KM)가 개발 자료인지 아니면 생산 자료인지 적어도 간접적으로 확실하게 표시(M)되며, 각 시스템 구성 요소(KM)은 시스템 구성 요소(SK)가 어떤 단계에 있고 무단 조작을 방지하는 어떤 보호 조치가 되어 있는지 표시하는 이진 상태 플래그(FLAG)를 포함하고, 각 시스템 구성 요소(SK)가 확인 기능(4)을 통해 어떤 단계에 있는지 확인하며, 이에 따라 각 시스템 구성 요소(SK)가 검사(6)를 수행하고 이러한 검사의 범위에서 현재 단계와 암호화 자료(KM)의 표시(M)가 비교되며 이때 단계와 표시(M) 간에 일치하지 않으면 보안 조치가 개시되는 것을 특징으로 한다.

Description

암호화 자료의 안전한 사용을 위한 방법
본 발명은 청구항 제1항의 전제부에 자세히 정의된 방식에 따라 네트워크 시스템의 여러 시스템 구성 요소에서 암호화 자료를 안전하게 사용하는 방법에 관한 것이다.
암호화 자료의 안전한 사용을 위한 방법은 기본적으로 암호화 자료가 설치되어 있는 네트워크 시스템의 시스템 구성 요소를 개발하는 단계에서 이러한 시스템 구성 요소의 이후 생산 단계에서와 다른 암호화 자료를 사용해야 한다는 사실을 다룬다. 이것은 특히 이른바 차량용 CarIT 보안 영역과 관련이 있지만 이에 국한되지는 않는다.
최신 자동차뿐만 아니라 다른 시스템에서도 네트워킹이 증가하는 것이 특징이다. 차량은 WorldWideWeb과 같이 일반적으로 액세스 가능한 시스템에 연결될 뿐만 아니라 종종 백엔드 서버라고도 하는 제조사 자체 애플리케이션과 제조사 자체 서버와 같이 차량 제조사나 OEM에서 운영하는 전용 시스템과 서버에도 연결된다. 이러한 시스템과 서버는 제조사에서 자체 차량군 전용으로 개발, 판매 및 운영된다. 이 모든 것을 자동차 생태계(vehicle ecosystem)라고도 한다.
실제로 이러한 자동차 생태계 내의 개별 시스템 구성 요소 간의 다양한 통신 관계로 인해 모두 메커니즘, 프로토콜 등과 같은 적절한 암호화 방법으로 보호되어야 하는 다수의 새로운 인터페이스와 애플리케이션이 생성된다. 원칙적으로 선행기술에서 공지되어 있는 이러한 암호화 방식은 비대칭 키 쌍, 대칭 키, 인증서, 난수 등과 같은 다양한 암호화 자료를 필요로 한다. 이 모든 암호화 자료들은 서로 조정되어 자동차 생태계에서 시가동 전에 모든 관련 시스템 구성 요소에 설치되어 사용되어야 한다. 이른바 프로비저닝이라고 하는 암호화 자료의 배포는 예컨대 제조 공정의 범위에서 이루어진다. 시스템 구성 요소는 특히 차량에 내장된 컨트롤 유닛을 포함하지만, 차량에 설치된 애플리케이션, 스마트폰에서 사용 가능한 OEM 애플리케이션 등과 같은 다른 구성 요소도 포함한다.
보호된 통신에 접근을 안정적으로 방지하기 위해서는 개발 단계에서 사용되는 암호화 자료와 생산 단계에서 사용되는 암호화 자료, 즉 개발을 마친 제품을 실제 사용하는 단계에서 사용되는 암호화 자료를 서로 구분하는 것이 절대적으로 필요하다. 개발 단계의 암호화 자료는 아래에서 테스트 암호화 자료라고도 한다. 개발 단계에서는 이러한 테스트 암호화 자료만 사용할 수 있다. 생산 암호화 자료, 특히 기밀 생산 암호화 자료는 시스템 구성 요소의 전체 수명 주기 동안 무단 액세스로부터 보호되어야 한다. 이상적으로는 이러한 보호가 해당 개발 부서와 생산 시설에서 특별한 보호 조치 프로세스 준수와 특별한 보호 메커니즘으로 보장되어야 한다. 그러나 개발 단계에서는 네트워크 시스템의 다양한 구성 요소가 이 개발 단계에서 대부분 실현되지 않거나 아직 실현되지 않았거나 구현되지 않았기 때문에 일반적으로 충분히 보장되지 않는다.
예컨대, 필요한 암호화 자료의 안전한 생성이 아직 완전히 실현되거나 테스트되지 않았을 수 있다. 생성 서버, 이른바 암호화 자료 서버에서 시스템 제조사(예: 공급업체)로 암호화 자료의 안전한 전송은 아직 보장되지 않을 수 있다. 시스템 구성 요소에 암호화 자료의 안전한 설치는 아직 실현되지 않았거나 아직 최종적으로 실현되지 않았다. 예컨대 대상 시스템이 아직 하드웨어 보안 모듈(Hardware Security Module, HSM)을 설치하지 않았기 때문에 나중에 장착되겠지만 이 시스템 구성 요소에 있는 암호화 자료의 안전한 저장이 아직 실현되지 않았을 수 있다. 예컨대 테스트와 디버깅에 필요한 개발 인터페이스가 있기 때문에 시스템에서 암호화 자료의 안전한 사용이 아직 실현되지 않았을 수 있다. 이러한 개발 인터페이스는 전체 시스템에 대한 읽기와 쓰기 액세스 권한이 있어서 특히 개발 단계에서 설치된 암호화 자료에 대한 액세스도 허용한다. 그러나 이들은 개발 중에 반드시 있어야 하며 일반적으로 개발 프로세스에 관련된 모든 사람 및/또는 회사에서 대부분 공개적으로 액세스할 수 있다.
즉, 테스트 암호화 자료가 조작되거나 읽히지 않을 것을 보장할 수 없게 된다. 그러나 이때 이 테스트 암호화 자료의 구조와 형태는 나중에 사용되는 생산 암호화 자료와 동일하다. 그래서 나중에 작동, 즉 각 시스템 구성 요소의 생산 단계에서 사용하기에 적합하다. 따라서 상대적으로 보안이 취약하여 손상될 가능성이 높은 테스트 암호화 자료가 생산 시스템에서 오용되지 않는 것이 특히 중요하다. 생산 암호화 자료가 개발 단계에서 시스템 구성 요소에 배치될 경우 더욱 심각하다. 실제로 매우 안전한 것으로 분류되는 이 자료를 전체 또는 일부 조작하거나 읽을 수도 있다. 이러한 자료는 더 이상 기밀이 아니며 사용할 수 없다. 오류가 눈에 띄지 않고 의도적으로 은폐되면 나중에 생산 단계로 전환하는 시스템 구성 요소가 보호 기능을 잃게 된다.
실제로 안전 규정 및 지침은 단계에서 시스템 구성 요소를 사용하는 사람들에 의해 실현되도록 되어 있다. 따라서 오류, 실수 및 의도적인 조작을 배제할 수 없다. 따라서 기본적으로 테스트 암호화 자료가 이미 생산 단계로 전환된 시스템 구성 요소에 남아 있거나 생산 암호화 자료가 아직 개발 단계에 있는 시스템 구성 요소에서 사용될 위험이 항상 있다. 개발 단계에서 의도적으로 또는 실수로 사용된 모든 암호화 자료는 아직 열려 있는 많은 인터페이스 등으로 인해 손상될 가능성이 매우 높다. 이러한 위험으로 인해 결국 보안 위험이 커진다. 이는 기존 절차의 심각한 단점이다.
또한 다른 선행 기술과 관련하여 이제 EP 0 735 722 B1을 참조할 수 있다. 이 문서에서는 암호화 키, 즉 암호화 자료를 생성, 배포 및 관리하기 위한 키 관리 시스템을 설명하고 있다. 네트워크 시스템의 이러한 시스템 파트너 간에 키의 안전한 교환을 보장하기 위해 중앙 컴퓨터나 서버를 통해 적절하게 관리되는 여러 개의 개별 처리 요소와 도메인이 관련되어 있다.
본 발명의 목적은 이제 개발 단계 및 생산 단계에서 시스템 구성 요소의 암호화 자료를 처리하기 위한 개선된 방법을 제시하는 데 있으며, 이는 특히 보안과 관련하여 위에서 언급한 단점을 효과적으로 해결한다.
본 발명에 따르면, 이러한 목적은 청구항 제1항의 특징을 갖는 방법에 의해 달성되며, 여기에서는 특히 청구항 제1항의 특징부에서 달성된다. 방법의 바람직한 실시예와 실시 양태는 종속항에 나온다.
본 발명에 따른 방법은 컨트롤 유닛, 애플리케이션 등과 같은 여러 시스템 구성 요소에서 암호화 자료의 안전한 사용을 위한 것이다. 이들은 네트워크 시스템의 일부이며 여기에는 암호화 자료가 설치되어 있다. 이때 시스템 구성 요소에는 적어도 개발 단계와 생산 단계를 포함하는 수명 주기가 있다. 개발 단계의 암호화 자료가 생산 단계에서 사용되거나 그 반대의 경우를 인적 오류의 위험 없이 안정적으로 방지하기 위해 본 발명에 따른 방법은 이제 여러 단계를 제시한다. 여기에는 모든 암호화 자료가 개발 자료나 생산 자료로 적어도 간접적으로 안전하게 표시되는 것이 포함된다. 직접 표시할 수 없는 키와 같은 개별 요소는 할당된 인증서를 통해 간접적으로 표시할 수 있다. 이는 예컨대 암호로 보호될 수 있다. 예컨대 TEST 및 PROD로 표시한 해당 표시는 암호화 자료가 테스트 암호화 자료인지 아니면 생산 암호화 자료인지 나타낸다. 이 표시는 보호에 적합한 암호화 조치를 사용하여 언제든지 읽고 검증할 수 있다.
그래서 암호로 보호된 표시만으로는 생산 단계에 있는 실제 시스템 구성 요소에서 테스트 자료를 사용하는 것을 방지하거나 반대로 개발 단계에서 생산 암호화 자료를 사용하는 것을 방지하기에 충분하지 않다. 더욱이 암호로 보호된 표시는 테스트 암호화 자료를 생산 암호화 자료와 명확하게 구분하는 데 사용할 수 있다. 하지만 생산 단계에 들어간 시스템 구성 요소에 이 자료가 실제로 있다고 보장할 수는 없다. 이를 달성하기 위해서는 시스템 구성 요소가 개발 단계에 있는지 생산 단계에 있는지 여부를 조작 방지하여 자동으로 인식할 수 있어야 한다.
이를 위해, 본 발명에 따른 방법은 개발 단계 또는 생산 단계를 나타내는 이진 상태 플래그를 사용한다. 이 이진 상태 플래그는 시스템 구성 요소에서 구현되며 무단 조작으로부터 보호된다. 이 두 가지 조치를 통해 이제 각 시스템 구성 요소가 자체적으로 어떤 암호화 자료가 로드되었는지 또는 어떤 암호화 자료가 로드될 구성 요소에 배포되는지 명확하게 인식할 수 있다. 또한 시스템 구성 요소는 상태 플래그를 기반으로 자체 상태를 정할 수 있어서 개발 단계인지 생산 단계인지 알 수 있다.
그러면 시스템 구성 요소는 본 발명에 따른 방법에서 현재 단계, 즉 개발 단계 또는 생산 단계와 암호화 자료의 표시를 비교하는 검사를 실행한다. 일치가 없는 경우, 즉 현재 단계에 잘못된 암호화 자료가 설치되었거나 설치를 위해 배포하는 경우 적절한 보안 조치가 개시되어 해당 단계에서 보안과 관련하여 "잘못된" 암호화 자료의 위험한 사용을 방지할 수 있다. 이때 보안 조치는 안전하지 않은 상태를 해결하거나 적어도 표시할 수 있는 범위에서 다양한 방식으로 설계될 수 있다. 보안 조치에 관한 세부 사항은 나중에 다룬다.
본 발명에 따른 방법에는 매우 중요한 장점이 있다. 한편으로는 개발 단계에서 시스템 구성 요소가 의도적으로 또는 실수로 충분히 보호되지 않은 생산 암호화 자료로 작동되지 않도록 한다는 것이다. 다른 한 편으로 이 방법은 의도적으로 또는 실수로 잠재적으로 안전하지 않은 테스트 암호화 자료로 생산 단계의 시스템 구성 요소가 작동되지 않도록 한다는 것이다. 즉, 이렇게 해서 시스템 구성 요소 자체가 적절한 암호화 자료로 안전한 작동을 보장할 수 있다. 이로써 제조 공정에서 의도적인 조작이나 우발적인 오류로 각 시스템 구성 요소의 안전한 작동을 저해할 수 없게 된다.
이때 본 발명의 바람직한 실시예에 따르면, 상태 플래그와 암호화 자료의 표시는 모두 암호화 조치를 통해 보호될 수 있다. 예컨대 키에 할당된 인증서에 표시를 설정하고 그에 맞게 개인 키로 서명할 수 있다. 그러면 해당 공개 키를 사용하여 언제든지 해당 표시를 조회하고 검증할 수 있다. 이러한 디지털 서명 대신에, 예컨대 대칭 메시지 인증 코드(MAC)와 같이 표시된 암호화 자료의 무결성을 보장하는 데 적합한 다른 암호화 방법도 물론 사용할 수 있다.
본 발명에 따른 방법의 매우 바람직한 다른 실시 양태에 따르면, 특히 상태 플래그에 있어 대안적 또는 추가적으로 상태 플래그를 조작 방지 방식으로 설계하는 다른 방법이 있다. 이러한 방법은 기본적으로 하드웨어 기반이며 예컨대 WORM 메모리에 기록하여 상태 플래그를 보호한다. 이러한 WORM(Wright Once Read Many) 메모리는 예컨대 처음에 값을 개발 플래그인 0에서 생산 플래그에 해당하는 1로 설정하면서 상태 관련해서 1회만 변경할 수 있다. 이것은 비교적 안전하지만 생산 단계로 한 번 전환된 시스템 구성 요소를 다시 전환할 수 없으므로 첫 번째 전환 이후 오류를 제거해야 할 경우 개발 비용이 증가할 수 있다는 단점이 있을 수 있다. 대안으로 상태 플래그는 조작에 대해 상당히 보호되지만 필요한 경우 제조사나 OEM에서 다시 변경할 수 있기 때문에 이른바 Hardware Security Module인 하드웨어 보안 모듈에 저장될 수도 있다.
예컨대 WORM 및 HSM이 없거나 시스템의 하드웨어가 예컨대 스마트폰 앱의 경우와 같이 OEM의 책임이 아니기 때문에 기술적인 이유로 이러한 하드웨어 기반 보호가 불가능한 경우, 이미 언급했듯이 암호화 조치를 사용하여 위에서 설명한 소프트웨어 지원 보호를 고려해야 할 수도 있다. 원칙적으로 WORM 메모리나 HSM이 있는 경우 하드웨어 솔루션과 결합할 수도 있지만 실제로는 대부분 불필요해 보인다.
본 발명에 따른 방법의 두 가지 조치, 즉 암호화 자료의 표시와 상태 플래그의 구현을 통해, 이제 시스템 구성 요소는 배치된 암호화 자료가 설정된 작동 단계에 맞게 표시되었는지를 확실하게 인식할 수 있다. 바람직하게는 암호화 자료를 사용하기 전에 이것이 보장되어야 한다. 이를 위해 여러 다른 시점에 직접 일치 검사를 할 수 있다. 본 발명에 따른 방법의 특히 바람직한 실시 양태에 따르면, 두 가지 일반적인 방법이 가능하다. 하나는 암호화 자료를 사용하기 전에 그때그때 일치 검사를 하는 것, 즉, 해당 자료가 예컨대 특정 키나 특정 인증서를 직접 사용하기 전에 개별 검사를 하는 것이다. 대안적으로 그리고 바람직하게는 일치 검사가 전체 암호화 자료에 대해 한 번 이루어지는 방법이다.
이때 본 발명에 따른 방법의 매우 바람직한 실시예에 따르면, 전체 암호화 자료에 대한 이러한 일치 검사는 이 암호화 자료가 배포될 때, 즉 그것이 시스템 구성 요소에 설치될 때 직접 수행되는 것으로 제시된다. 이러한 암호화 자료의 이른바 프로비저닝에서 일치 검사는 이 시점까지 암호화 자료가 시스템 구성 요소 내 어디에도 저장되거나 사용되지 않았기 때문에 매우 안전한다. 그러나 이것은 실제로 일치 검사를 실행하려면 실행 중이어야 하는 부팅된 시스템 구성 요소가 필요하기 때문에 항상 가능한 것은 아니다. 실시예에 따라 이러한 목적으로 시스템 구성 요소를 부팅할 필요 없이 메모리에서 직접 프로비저닝 및 배포를 할 수도 있다. 예컨대, 시스템 구성 요소를 부팅할 때 이미 암호화 자료가 있어야 하는 경우 이를 수행할 수 있다. 이러한 경우 가능한 한 빨리 일치 검사를 해야 하는데, 즉 특히 암호화 자료가 배포된 후 시스템 구성 요소를 처음 시작할 때나 시작하는 동안 일치 검사를 해야 한다. 예컨대 시스템 업데이트 등의 범위에서 암호화 자료가 후속적으로 제공되는 경우 특히 동일하게 적용되는데, 시스템 업데이트의 범위에서 예컨대 확장된 암호화 자료를 재 배포한 후 처음 부팅하는 경우에도 동일하게 적용된다.
상태 플래그는 이미 언급했듯이 시스템 구성 요소가 어떤 단계에 있는지 나타내는 조작 방지 표시기이다. 이는 예컨대 해당 권한이 있는 인스턴스에서 장치 제조 시 적절한 시점에 설정할 수 있다. 그러나 실제로 상태 플래그가 "생산” 상태로 설정되어 있다고 해서 시스템 구성 요소에 설치된 암호화 자료가 실제로 충분히 보호된다는 보장은 없다. 예컨대, 개발 및 디버깅 인터페이스는 예컨대 의도적으로 또는 실수로 스위치 끄기나 제거를 잊어버린 경우에 여전히 존재할 수 있다. 따라서, 본 발명에 따른 방법의 특히 바람직한 실시예는 확인 기능 결과, 시스템 구성 요소가 생산 단계에 있는 것으로 나타나는 경우, 즉 상태 플래그가 그에 따라 "생산” 상태로 설정되어 있는 경우 시스템 구성 요소가 생산 단계에 대한 타당성 검사를 수행하는 것을 제안한다. 이를 위해 생산 단계에 대한 모든 요구 사항이 실제로 충족되며 생산 암호화 자료의 보호가 보장되는지 확인하기 위해 생산 단계에 지정된 조건을 확인한다. 타당성 검사에서 검사되는 일반적으로 지정된 조건은 예컨대 생산 단계에서 더 이상 사용되지 않도록 지정된 개발 및 디버깅 인터페이스의 미리 정의된 목록과 관련될 수 있다. 즉, 검사에서는 이러한 인터페이스가 그에 맞게 꺼져 있는지 또는 제거되었는지 확인한다.
이렇게 해서 생산 단계의 타당성 검사는 생산 모드의 조건을 준수하도록 보장한다. 이러한 타당성 검사는 개발 단계에서 아무런 역할을 하지 않기 때문에 여기에서는 검사가 이루어지지 않거나 생산 단계에서 개별 인터페이스가 아직 비활성화되지 않은 경우와 같이 적절한 보안 조치가 개시되지 않게 된다.
이때 일치 검사와 유사하게 타당성 검사는 여러 시점에서 수행할 수 있다. 이는 바람직하게는 각각의 시스템 구성 요소에 암호화 자료가 설치되기 전에 실행된다. 이렇게 하면 처음부터 배포 및 프로비저닝이 이루어지지 않고 생산 단계에 지정된 암호화 자료가 잠재적으로 안전하지 않은 시스템 구성 요소에 설치되지 않도록 보장할 수 있다. 그러나 위에서 이미 언급했듯이 타당성 검사를 수행하려면 시스템 구성 요소를 부팅해야 하기 때문에 타당성 검사가 항상 가능한 것은 아니다. 위에서 설명한 대로 프로비저닝이 메모리에서 직접 이루어지는 경우, 위에서 설명한 대로 암호화 자료의 배포 후 또는 재 배포 후 처음으로 시스템 구성 요소를 부팅하기 전에도 타당성 검사를 수행할 수 있다. 이때 최대한 빨리, 바람직하게는 일치 검사 전에 수행하는 것이 중요하다.
일치 검사 또는 타당성 검사에 실패하면 시스템 구성 요소가 적절한 보안 조치를 취한다. 본 발명에 따른 방법의 매우 바람직한 실시예에 따르면, 이러한 보안 조치는 발생한 "문제"에 대해 네트워크 시스템 및/또는 다른 시스템 구성 요소의 운영자에게 알리기 위해 적어도 하나 이상의 경고 메시지를 포함한다. 예컨대 일치 검사에서 테스트 암호화 자료가 생산 단계에서 사용되는 것으로 확인되면 시스템 구성 요소는 잠재적으로 안전하지 않은 상태에 있는 것이다. 시스템 구성 요소에서 생성된 경고 외에도 사용을 제한하거나 완전히 차단하는 것과 같은 다른 적절한 조치가 가능하다.
예컨대, 개발 단계의 일치 검사나 생산 단계의 타당성 검사에서 오류가 발견되면 시스템 구성 요소는 설치된 암호화 자료가 더 이상 안전하지 않다고 가정해야 한다. 잠재적으로 공개된 비밀 암호화 자료는 그 비밀을 다시 복구할 수 없기 때문에 다시 안전하게 만드는 것은 불가능하다. 예컨대 보안 조치로서 다음과 같이 대응할 수 있다. 우선 암호화 자료의 아직 (완전히) 이루어지지 않은 배포, 즉 프로비저닝이 방지되거나 적어도 중단될 수 있다. 또한 잠재적으로 손상된 암호화 자료는 예컨대 시스템 구성 요소에서 안전하게 삭제되어 사용을 못하게 될 수 있다. 암호화 자료가 이미 업로드되었고 시스템 구성 요소가 처음 부팅될 때 검사 중 하나가 실패하면 경고가 출력될 수 있으며, 예컨대 로그 파일에 기록 및/또는 전송될 수 있다. 표시 장치가 있는 경우 즉시 표시할 수도 있다. 시스템 구성 요소의 생산에서 예컨대 음향 표시와 같은 것도 생각할 수 있다. 이 음향 표시를 통해 잠재적으로 설치된 생산 암호화 자료가 더 이상 안전하지 않으며 적절히 폐기되어야 한다는 사실을 알린다. 시스템 구성 요소가 중앙 서버(예: 암호화 자료 서버)에 연결된 경우 경고에는 이 중앙 서버의 알림도 포함될 수 있다.
이때 실제로 자동차 생태계의 다른 참여 시스템 구성 요소에 설치된 암호화 자료를 일반적으로 시스템 구성 요소의 암호화 자료의 잠재적인 손상에도 불구하고 비용이나 기술적인 이유로 사용할 수밖에 없는 경우가 있을 수 있다. 예컨대 다른 참여 시스템 구성 요소의 암호화 자료를 더 이상 교환할 수 없는 경우가 이에 해당한다. 이러한 경우 시스템 구성 요소의 실행을 중지하면 생산 암호화 자료가 실제로 손상될 가능성을 최소화하는 데 도움이 될 수 있다. 그러면 설치된 생산 암호화 자료는 이미 위에서 약술한 대로 관련된 시스템 구성 요소에서 즉시 안전하게 삭제된다.
이미 언급했듯이 이 방법은 다양한 유형의 네트워크 시스템에서 다양한 시스템 구성 요소에 사용할 수 있다. 네트워크로 연결된 시스템이 자동차 생태계인 경우 많은 파트너가 관련된 복잡한 개발과 관련하여 해당 요구 사항은 실제로 안전 지침을 준수하기 매우 어렵게 만들기 때문에 이 방법을 사용하는 것이 특히 효율적이다. 잠재적인 보안 틈새의 위험은 본 발명에 따른 방법의 구현과 해당 시스템 구성 요소를 통한 자가 검사를 통해 극적으로 최소화될 수 있다.
다른 바람직한 실시예는 도면을 참조하여 아래에서 더 상세히 설명되는 예시적인 실시예에서도 나온다.
유일한 첨부 도면인 도 1은 본 발명에 따른 방법의 가능한 예시적인 실시예의 개략도를 도시한다.
본 발명에 따른 방법은 유일한 첨부 도면에서 가능한 실시예로 도시된다. 이 방법은 테스트 모드에서 시스템 구성 요소(SK)가 의도적으로 또는 실수로 잘못된 암호화 자료(KM)로 작동되지 않도록 보장한다. 이때 목표는 자동차 생태계의 일부가 될 시스템 구성 요소(SK)의 개발 단계와 생산 단계 모두에서 암호화 자료(KM)의 안전한 사용을 보장하는 것이다. 시스템 구성 요소(SK)로는 예컨대 차량, 개별 컨트롤 유닛, 외부 장치, OEM의 애플리케이션, OEM의 백엔드 서버 등이 해당될 수 있다. 이러한 모든 시스템 구성 요소(SK)에는 암호화 자료(KM)이 설치되어 있으며 적어도 두 단계, 즉 개발 단계와 생산 단계로 구성된 수명 주기가 있다.
제1 단계(1)에서는 전체 암호화 자료(KM)가 암호화 자료 서버(KMS)에서 생성되고 제2 단계에서는 이에 맞게 표시되며 암호화 자료 서버(KMS)의 개인 키(PrivKey)로 서명된다. 해당 표시(M)은 암호화 자료(KM)가 테스트 암호화 자료인지 아니면 생산 암호화 자료인지 나타낸다. 이 표시는 암호화 자료 서버(KMS)의 공개 키(PubKeyKMS)를 사용하여 언제든지 확인할 수 있다.
그림에서는 암호화 방법을 통한 표시의 보호가 도시된다. 구체적으로, 이러한 조작 방지 구문 표시는 예컨대 X.509 인증서에서 개발 단계의 경우 문자열 TEST를 추가하거나 생산 단계의 경우 PROD를 추가하면서 X.509 주제 필드의 하위 필드 중 하나에 추가하여 이루어질 수 있을 것이다. 또는 TEST 및 PROD와 같은 해당 내용이 포함된 특수 확장명을 이러한 목적으로 해당 인증서에 지정하고 사용할 수도 있다. 인증서 자체의 표시(M)를 통해 관련 개인 키(PrivKey)도 비직접적으로, 즉 간접적으로 표시된다. 예컨대 대칭 암호화 자료와 같이 인증서와 관련이 없는 암호화 자료(KM)은 인증서를 기반으로 다시 TEST 및 PROD라는 표시(M)으로 연결될 수도 있으며, 이때 이 연결은 다음에서 이중선으로 표시된다. 그런 다음 여기에서는 예컨대 암호화 자료 서버(KMS)인 중앙 서버에서 결과에 서명이 이루어진다. 인증서 및 서명(SIGN)의 정확성은 발급자의 공개 키(PubKeyKMS)를 사용하여 언제든지 확인할 수 있으며, 이를 통해 해당 암호화 자료(KM)의 표시(M)을 확실하게 확인할 수 있다. 예컨대, 이러한 검사는 서명된 암호화 자료(KM)가 설치된 시스템 구성 요소(SK)의 런타임 동안 언제라도 안전하게 수행될 수 있다.
제3 단계는 이제 해당 특징(M)과 연결된 이 암호화 자료(KM)의 배포이다. 암호화 자료(KM)은 그에 맞게 서명되어 프로비저닝 중에 시스템 구성 요소(SK)에 들어가 메모리에 저장된다. 이를 위해 하드웨어 보안 모듈(HSM)이 사용되는데, 여기에는 그림에서 "FLAG"로 표시되는 상태 플래그도 저장된다. 여기에서 상태 플래그(FLAG)는 HSM을 통해 그리고 HSM에 저장을 통해 조작으로부터 보호된다. 서두에서 이미 언급했듯이 WORM 메모리 및/또는 암호화 방법과 같은 대체 방법도 생각할 수 있다.
제4 단계에서, 시스템 구성 요소(SK)가 어느 단계에 있는지, 즉 생산 단계에 있는지 아니면 개발 단계에 있는지 확인할 수 있는 확인 기능이 수행된다.
이를 위해 FLAG가 평가된다. 이 확인 기능 이후에 시스템 구성 요소(SK)가 생산 단계에 있는 것으로 확인되면 제5 단계에서 타당성 검사가 수행된다. 이 타당성 검사의 일환으로 시스템 구성 요소에서는 시스템 구성 요소(SK)에 원치 않거나 허가되지 않은 액세스가 이루어질 수 없도록 개발용으로 구현된 모든 지정된 인터페이스가 차단 및/또는 제거되었는지 확인한다. 이 타당성 검사도 긍정적으로 완료되면 제6 단계에서 일치 검사가 수행된다. 확인 기능 결과, 시스템 구성 요소(SK)가 생산 단계가 아니라 개발 단계에 있는 것으로 나오는 경우 제5 단계를 건너뛴다.
일치 검사의 일환으로 암호화 자료(KM)의 표시(M)이 확인 기능을 통해 인식된 단계와 일치하는지 확인된다. 즉, 시스템 구성 요소(SK)가 개발 단계에 있는 경우 암호화 자료(KM)의 표시(M)는 "TEST"여야 한다. 생산 단계에 있는 경우 "PROD"여야 한다. 이 경우 해당 단계에 맞는 암호화 자료가 시스템 구성 요소(SK)에 존재한다. 이어서 절차가 계속 진행되고 시스템 구성 요소는 네트워크로 연결된 자동차 생태계 내에서 의도된 작동을 시작할 수 있다.
제5 단계의 타당성 검사에서 이것이 수행되면, 즉 시스템 구성 요소(SK)가 생산 단계에 있고 개별 인터페이스가 제거되거나 닫히지 않은 것으로 확인되면 일치 검사가 이루어지기 전에 곧바로 보안 조치가 개시될 수 있다. 타당성 검사가 긍정적으로 완료되면, 즉 전환된 생산 단계에 대한 시스템 구성 요소(SK)의 모든 조건이 충족되면 위에서 이미 언급한 것처럼 일치 검사도 여기에서 이루어진다. 일치 검사 결과에서도 오류가 있는 것으로 나타날 수 있다. 그래서 예컨대 잠재적으로 손상된 테스트 암호화 자료가 생산 단계에서 사용될 수 있거나 또는 개발 단계에서 사용되어서는 안 될 생산 암호화 자료가 개발 단계에서 사용될 수 있으며, 이로 인해 암호화 자료가 손상될 수 있고 한 번 공개된 암호 자료(KM)의 기밀은 복원될 수 없게 된다. 일치 검사가 이루어지지 않은 이 두 가지 경우에도 보안 조치가 개시되며, 이 보안 조치는 기본적으로 타당성 검사에 사용된 것과 다를 필요가 없다.
일치 검사와 타당성 검사 모두 가능한 한 프로비저닝에서 바로 이루어져야 한다. 이 단계에서 타당성 검사 또는 일치 검사가 정상이 아니라고 확인되면 적절한 보안 조치를 개시할 수 있는데, 예컨대 경고 메시지를 출력하거나 네트워크에 배포하고 저장할 수 있으며, 바람직하게는 프로비저닝 과정이 중단된다. 암호화 자료(KM)이 이미 설치된 경우 안전하게 삭제된다. 예컨대 프로비저닝이 이루어지지 않아 시스템 구성 요소(SK)가 아직 부팅되지 않았기 때문에 프로비저닝 중 일치 검사와 타당성 검사를 수행하지 못하는 경우 그래도 최대한 빨리 타당성 검사와 일치 검사가 이루어져야 한다. 이러한 경우, 이는 예컨대 시스템 구성 요소가 부팅될 때, 즉 바람직하게는 첫 번째 부팅 프로세스 중에 이루어질 수 있다. 여기에서도 타당성 검사 및/또는 일치 검사가 정상이 아닌 경우에는 적절한 보안 조치가 개시될 수 있고, 이 경우 추가로 시스템 구성 요소(SK)가 정지되거나 또는 적어도 시스템 구성 요소(SK)의 매우 제한된 작동만 추가로 제공될 수 있다.

Claims (11)

  1. 암호화 자료(KM)가 설치된 네트워크 시스템의 여러 시스템 구성 요소(SK)에서 암호화 자료(KM)를 안전하게 사용하기 위한 방법으로서, 이때 각 시스템 구성 요소(SK)의 수명 주기는 적어도 하나의 개발 단계와 하나의 생산 단계를 포함하며,
    전체 암호화 자료(KM)가 개발 자료인지 아니면 생산 자료인지 적어도 간접적으로 확실하게 표시(M)되며,
    각 시스템 구성 요소(SK)는 시스템 구성 요소(SK)가 어떤 단계에 있고 무단 조작을 방지하는 어떤 보호 조치가 되어 있는지 표시하는 이진 상태 플래그(FLAG)를 포함하고,
    각 시스템 구성 요소(SK)가 확인 기능(4)을 통해 어떤 단계에 있는지 확인하며, 이에 따라 각 시스템 구성 요소(SK)가 검사(6)를 수행하고 이러한 검사의 범위에서 현재 단계와 암호화 자료(KM)의 표시(M)가 비교되며 이때 단계와 표시(M) 간에 일치하지 않으면 보안 조치가 개시되고,
    암호화 자료(KM)를 사용하기 전에 매번 개별적으로 또는 바람직하게는 시스템 구성 요소(SK)의 전체 암호화 자료(KM)에 대해 1회 일치 검사가 이루어지는 것을 특징으로 하는 방법.
  2. 제1항에 있어서, 암호화 자료(KM)의 표시(M) 및/또는 상태 플래그(FLAG)가 암호화 조치를 통해 보호되는 것을 특징으로 하는 방법.
  3. 제1항 또는 제2항에 있어서, 상태 플래그(FLAG)가 한 번만 쓸 수 있는 메모리 또는 하드웨어 보안 모듈(HSM)에서 구현을 통해 보호되는 것을 특징으로 하는 방법.
  4. 삭제
  5. 제1항 또는 제2항에 있어서, 시스템 구성 요소(SK)가 암호화 자료(KM) 배포 후 처음 부팅될 때 또는 바람직하게는 시스템 구성 요소(SK)에서 각 시스템 구성 요소(SK)의 암호화 자료(KM) 배포 시 일치 검사가 이루어지는 것을 특징으로 하는 방법.
  6. 제1항 또는 제2항에 있어서, 시스템 구성 요소(SK)에서 확인 기능 결과, 시스템 구성 요소(SK)가 생산 단계에 있음을 나타내는 경우 타당성 검사를 수행하고, 이를 위해 생산 단계에 지정된 조건을 검사하며, 이때 지정된 조건 중 하나 이상이 충족되지 않으면 보안 조치가 개시되는 것을 특징으로 하는 방법.
  7. 제6항에 있어서, 첫 일치 검사 전과 암호화 자료(KM) 배포 후, 또는 바람직하게는 암호화 자료(KM) 배포 전에 해당 시스템 구성 요소(SK)에서 해당 시스템 구성 요소에 대해 타당성 검사가 이루어지는 것을 특징으로 하는 방법.
  8. 제1항 또는 제2항에 있어서, 보안 조치에 하나 이상의 경고 메시지가 포함되는 것을 특징으로 하는 방법.
  9. 제1항 또는 제2항에 있어서, 보안 조치에 암호화 자료(KM) 배포의 중단 또는 바람직하게는 방지가 포함되며, 이때 시스템 구성 요소(SK)에 이미 설치되었을 수 있는 부적합한 암호화 자료(KM)는 안전하게 삭제되는 것을 특징으로 하는 방법.
  10. 제1항 또는 제2항에 있어서, 보안 조치에 시스템 구성 요소(SK)의 실행 중지가 포함되는 것을 특징으로 하는 방법.
  11. 제1항 또는 제2항에 있어서, 네트워크 시스템으로서 자동차 생태계가 사용되는 것을 특징으로 하는 방법.
KR1020227040589A 2020-05-22 2021-05-07 암호화 자료의 안전한 사용을 위한 방법 KR102562470B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE102020003072.6A DE102020003072B3 (de) 2020-05-22 2020-05-22 Verfahren zur sicheren Nutzung von kryptografischem Material
DE102020003072.6 2020-05-22
PCT/EP2021/062157 WO2021233696A1 (de) 2020-05-22 2021-05-07 Verfahren zur sicheren nutzung von kryptografischem material

Publications (2)

Publication Number Publication Date
KR20220161492A KR20220161492A (ko) 2022-12-06
KR102562470B1 true KR102562470B1 (ko) 2023-08-01

Family

ID=75888045

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020227040589A KR102562470B1 (ko) 2020-05-22 2021-05-07 암호화 자료의 안전한 사용을 위한 방법

Country Status (6)

Country Link
US (1) US11764957B2 (ko)
JP (1) JP7329702B2 (ko)
KR (1) KR102562470B1 (ko)
CN (1) CN115668197A (ko)
DE (1) DE102020003072B3 (ko)
WO (1) WO2021233696A1 (ko)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102021006638A1 (de) 2021-08-31 2023-03-02 Mercedes-Benz Group AG Verfahren zur Implementierung und Nutzung von kryptografischem Material in wenigstens einer Systemkomponente eines informationstechnischen Systems
DE102021004427B4 (de) 2021-08-31 2024-05-29 Mercedes-Benz Group AG Verfahren zur lmplementierung und Nutzung von kryptografischem Material in wenigstens einer Systemkomponente eines informationstechnischen Systems
DE102021006637A1 (de) 2021-08-31 2023-03-02 Mercedes-Benz Group AG Verfahren zur Implementierung und Nutzung von kryptografischem Material in wenigstens einer Systemkomponente eines informationstechnischen Systems

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017008728A1 (zh) 2015-07-16 2017-01-19 福建联迪商用设备有限公司 一种划分终端开发模式和产品模式的方法及系统

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5812666A (en) 1995-03-31 1998-09-22 Pitney Bowes Inc. Cryptographic key management and validation system
US7412053B1 (en) * 2002-10-10 2008-08-12 Silicon Image, Inc. Cryptographic device with stored key data and method for using stored key data to perform an authentication exchange or self test
US8892868B1 (en) * 2008-09-30 2014-11-18 Amazon Technologies, Inc. Hardening tokenization security and key rotation
US8776205B2 (en) 2010-10-29 2014-07-08 GM Global Technology Operations LLC Secure connection systems and methods for vehicles
EP2697931B1 (en) * 2011-04-15 2017-12-13 Quintessencelabs Pty Ltd Qkd key management system
US9589151B2 (en) * 2013-12-23 2017-03-07 Intel Corporation Techniques and architecture for anonymizing user data
AU2016294131B2 (en) * 2015-04-24 2020-02-27 7Tunnels, Inc. Random Cipher Pad cryptography
CN105117665B (zh) * 2015-07-16 2017-10-31 福建联迪商用设备有限公司 一种终端产品模式与开发模式安全切换的方法及系统
CN107086908B (zh) * 2016-02-15 2021-07-06 阿里巴巴集团控股有限公司 一种量子密钥分发方法及装置
DE102016210788B4 (de) * 2016-02-18 2023-06-07 Volkswagen Aktiengesellschaft Komponente zur Verarbeitung eines schützenswerten Datums und Verfahren zur Umsetzung einer Sicherheitsfunktion zum Schutz eines schützenswerten Datums in einer solchen Komponente
JP6743536B2 (ja) 2016-07-12 2020-08-19 株式会社リコー 情報処理システム、情報処理装置、情報処理方法、及びプログラム
US10162958B2 (en) * 2016-03-15 2018-12-25 Ricoh Company, Ltd. Information processing system, information processing method, and non-transitory computer program product
US12021831B2 (en) * 2016-06-10 2024-06-25 Sophos Limited Network security
WO2018031895A1 (en) * 2016-08-12 2018-02-15 7Tunnels, Inc. Devices and methods for enabling portable secure communication using random cipher pad cryptography
US11082211B2 (en) * 2016-08-12 2021-08-03 7Tunnels, Inc. Systems and methods for secure communication using random cipher pad cryptography
AU2019209173A1 (en) * 2018-01-16 2020-08-27 7Tunnels, Inc. Cryptographic systems and methods for modification of pools of truly random numbers
EP3599567A1 (de) * 2018-07-25 2020-01-29 Siemens Aktiengesellschaft Vorrichtung und verfahren für eine integritätsüberprüfung einer oder mehrerer gerätekomponenten

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017008728A1 (zh) 2015-07-16 2017-01-19 福建联迪商用设备有限公司 一种划分终端开发模式和产品模式的方法及系统

Also Published As

Publication number Publication date
US11764957B2 (en) 2023-09-19
JP2023518127A (ja) 2023-04-27
WO2021233696A1 (de) 2021-11-25
CN115668197A (zh) 2023-01-31
JP7329702B2 (ja) 2023-08-18
US20230198753A1 (en) 2023-06-22
KR20220161492A (ko) 2022-12-06
DE102020003072B3 (de) 2021-07-15

Similar Documents

Publication Publication Date Title
KR102562470B1 (ko) 암호화 자료의 안전한 사용을 위한 방법
JP6802318B2 (ja) モバイル通信装置およびその動作方法
US9419802B2 (en) Secure message filtering to vehicle electronic control units with secure provisioning of message filtering rules
CN103729597B (zh) 系统启动校验方法、系统启动校验装置和终端
EP3462353B1 (en) Network interface device and method
JP5038487B2 (ja) 電子デバイスにおいてSIMlock情報を保護する方法及び装置
CN109313690A (zh) 自包含的加密引导策略验证
JP5939655B2 (ja) 安全な修理データパッケージ
US11475107B2 (en) Hardware security
CN111199058B (zh) 用于确保数据的完整性和机密性的系统和方法
US9767264B2 (en) Apparatus, method for controlling apparatus, and program
CN105122214A (zh) 对非易失性存储器中损坏的系统数据的修复
ES2351259T3 (es) Dispositivo de protección para una unidad programable de proceso de datos.
US20170161523A1 (en) Functional device and control apparatus
CN111147259B (zh) 鉴权方法和设备
CN112613011B (zh) U盘系统认证方法、装置、电子设备及存储介质
US11443075B2 (en) Secure storage system
Schneider et al. Cyber Security in the Automotive Domain–An Overview
US20220400004A1 (en) Generating keys
CN110023940A (zh) 适合于在受保护的和/或开放的运行状态下运行的设备单元以及所属的方法
KR20100026775A (ko) 디버깅 포트를 구비하는 임베디드 시스템 및 그 구동 방법
WO2007085987A1 (en) Method for keeping track of upgrade safety, electronic device with upgradable firmware, server and data carrier
JP6740702B2 (ja) 情報処理装置及びプログラム
CN117331327A (zh) 用于电子控制单元的安全控制
CN114154164A (zh) 一种fpga安全启动的方法、装置、设备及可读介质

Legal Events

Date Code Title Description
A302 Request for accelerated examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant