KR20000011286A

KR20000011286A - 비밀정보분석도용방지방법및전자장치

Info

Publication number: KR20000011286A
Application number: KR1019990021497A
Authority: KR
Inventors: 샤알알베르트; 쉐르쩌헬무트; 쉴링미카엘
Original assignee: 포만 제프리 엘; 인터내셔널 비지네스 머신즈 코포레이션
Priority date: 1998-07-17
Filing date: 1999-06-10
Publication date: 2000-02-25
Also published as: EP0973134A1; TW528959B; EP0973134B1; DE19831884C2; DE19831884A1; CN1245311A; CN1141649C; JP2000047945A; DE69909379D1; US6711685B1; DE69909379T2

Abstract

본 발명은 비밀 정보의 도용을 방지하는 시스템 및 방법에 관한 것이다. 비밀 정보, 특히 코드의 각 부분에는 카운터가 할당된다. 이 카운터는 비밀 정보의 사용 회수를 계수한다. 여기에서, 카운터는 초기값으로 설정된다. 비밀 데이터 요소를 사용할 때마다 카운터의 상태는 소정의 값만큼 증가한다.

카운터의 상태가 소정의 최대값으로 되면, 비밀 데이터 요소의 사용은 차단되게 된다. 그러나, 카운터의 상태가 최대값으로 되기 전에 소정의 이벤트가 발생하여, 카운터의 상태를 자동으로 초기값으로 다시 설정하면, 비밀 정보의 차단을 해제할 수 있다. 이벤트로서 정의할 수 있는 것으로는 기술적 조건, 경제적 조건 또는 편성 조건이 있다. 본 발명의 현저한 이점은, 각 코드마다 자신에게 할당된 카운터를 가질 수 있다는 점이다. 이러한 방법으로, 할당된 각 코드의 기능과 관련하여 각 코드마다 그 사용 회수를 설정할 수 있다. 칩 카드는 폭 넓게 다양화된 용도에 맞게 코드 수를 내장할 수 있기 때문에, 도용당한 용도에 대해서만 한정적으로 카드 사용이 차단된다. 따라서, 칩 카드의 사용이 통째로 차단되는 것은 아니다. 이러한 이벤트는 광범위한 보안 요건과 사용자의 요구 조건을 개개의 적용 분야에 맞게 간단히 설정할 수 있다.

Description

비밀 정보 분석 도용 방지 방법 및 전자 장치{SYSTEM AND PROCEDURE FOR PROTECTION AGAINST THE ANALYTICAL ESPIONAGE OF SECRET INFORMATION}

본 발명은 전자 장치, 특히 칩 카드 상에 내장된 비밀 정보를 몰래 빼내는 것을 방지하기 위한 시스템 및 방법에 관한 것이다.

칩 카드 상에는 비밀 코드가 저장된다. 이러한 비밀 코드는 보안 관련 기능과 데이터로의 접근을 방지하는 데에 사용한다. 이 경우, 암호화되지 않은 데이터는 비밀 코드를 사용하여 암호화된 데이터로 변환한다.

암호화와 암호 해독을 위해서는, 하나 또는 두 개의 코드가 필요하다. 스파이가 예를 들어 암호화 알고리즘의 비밀 코드를 찾아내면, 암호화된 것과 보호 조치가 되어 있는 데이터를 해독할 수 있으므로 그 보호 데이터의 내용을 찾아내어 필요에 따라 데이터의 내용을 변경할 수 있다.

칩 카드에 내장된 코드를 찾아내는 데에는 많은 방법이 있다. 그러한 방법 중의 하나는 이러한 용도에 맞게 특별히 개발된 모니터링 기법을 사용하여 코드를 찾아내는 것이다. 이 방법에서는, 모니터링된 정보로부터 코드를 찾아낼 수 있기 위해서 가능한 한 많은 암호화 연산이 행해진다. 이렇게 하는 데에는, 예를 들어, 칩 카드에 공급되는 전류를 측정하여 비밀 데이터를 분석한다. 그러나, 이러한 전류 측정에는 잡음이 중첩된다. 이 때문에, 중첩된 잡음을 제거할 수 있도록 코드를 계속해서 반복 사용할 필요가 있다. 이러한 유형의 모니터링 방법에 대한 안전 대책으로서는 기본적으로 감시로부터 보호되어야 하는 코드가 사용된다.

이를 위해서, 현재의 기술에 바탕을 둔 방법들에 대해서 설명한다.

장애 카운터를 사용하는 보호 방법

칩 카드는 장애 카운터를 내장한다. 이 장애 카운터는, 칩 카드가 코드가 잘못 사용되었다고 설정하면, 다시 말해, 틀린 코드를 사용한 오입력을 인증하면 계수하기 시작한다. 장애 카운터가 일정한 한계값에 도달하면, 코드나 칩 카드는 더 이상 사용할 수 없게 된다.

이러한 방법의 한 단점으로서는 단지 코드의 오사용만을 계수한다는 점이다. 즉, 오사용 이외는 계수하지 않는다. 그러므로, 이 방법은 현재의 모니터링 기법을 오사용과는 무관한 방법으로 사용함으로써 코드를 찾아내는 침범 행위를 막을 수는 없다. 이 때문에, 이러한 방법은 특히 인가된 사용자가 비밀 정보를 몰래 빼내는 데에는 대책이 난감하다.

독일 특허 제 DE 19506921 호에는, 특히 칩 카드와 같은 이동식 데이터 기억 매체에 적합하도록 이러한 방법이 개시되어 있다. 이 이동식 데이터 기억 매체는 데이터 입출력 장치와 통신한다. 데이터 입출력 장치에 입력되는 비밀 데이터는 칩 카드에 저장된 비밀 데이터와 비교된다. 비교한 결과, 오사용이 감지되면, 카운터는 증가한다. 오사용 시도가 일정 회수 이상으로 행해지면, 더 이상의 사용은 자동으로 차단되게 된다.

사용 회수 카운터를 사용하는 보호 방법

이 보호 메카니즘에서는, 사용 회수 카운터를 사용하여 코드의 사용 회수를 제한한다. 이 방법에서는 유효한 코드 사용도 계수한다. 이 방법의 한 단점으로서는 설정되어 있는 사용 허가 회수가 너무 적으면 인가된 사용에 대해서도 칩 카드는 차단될 수 있고, 설정되어 있는 사용 허가 회수가 너무 많으면 분석법을 통해서 칩 카드 및/또는 비밀 코드를 알아낼 수 있다는 점이다.

일본 특허 제 10069435 호에는, 카드가 작동된 후 실행되는 동작을 카운터를 사용하여 계수하여, 최대값을 초과하면 카드를 차단하는 메카니즘이 개시되어 있다.

그러므로, 본 발명의 과제는 전술한 방법의 문제점을 해결하여 비밀 정보의 무단 탐지 행위로부터 보호하는 방법 및 시스템을 제안하는 것이다.

이러한 본 발명의 과제는 특허 청구항 1과 청구항 14에 명기한 특징에 의해서 해결된다. 본 발명의 바람직한 설계 형태는 종속항들에 의해서 나타나 있다.

본 발명의 이점으로서는, 규정된 이벤트가 입력되면 카운터를 그의 시작점으로 자동으로 재설정하게 함으로써, 이 재설정 권한이 있는 부서에서 재설정을 별도로 할 필요가 없다는 점이다. 각 코드는 모두 고유로 할당된 카운터를 가질 수 있기 때문에, 각 코드의 기능과 관련하여 각 코드마다 사용 회수가 다르게 설정될 수 있다. 칩 카드는 광범위하게 다양화된 용도에 대응하는 수만큼의 코드를 내장할 수 있기 때문에, 문제가 되는 용도에 대해서만 칩 카드 사용은 차단된다.

이와 같이 하면 칩 카드의 사용이 통째로 차단되지는 않는다. 이벤트를 사용하면 상이한 보안 요건과 사용자의 요구 조건을 개개의 용도 범위에 맞게 간단히 설계할 수 있다.

도 1은 본 발명의 상태도,

도 2는 본 발명에 따라 이벤트와 코드간의 가능한 조합을 나타낸 표.

도면의 주요 부분에 대한 부호의 설명

a, b, c, d, e : 이벤트 S1, S2, S3, Sn: 코드(비밀 정보)

본 발명의 바람직한 설계 형태를 첨부한 도면을 참조하면서 상세히 설명한다.

도 1은, 보호 데이터 요소나 비밀 정보, 특히, 코드의 사용 회수를 계수하는 카운터를 내장한 본 발명을 설명하기 위한 상태도이다.

카운터의 시작 위치(A)는 소정의 초기값(A)을 갖는다. 이 초기값은 소정의 이벤트(a)가 발생할 때마다, 예컨대, 코드를 사용할 때마다 일정한 값만큼 증가한다(카운터의 상태 B). 이벤트(b)가 입력되어 카운터의 값이 사전 결정된 최대값을 초과하면(카운터의 종료 상태 C), 해당 코드로의 접근은 차단된다. 이로 인해, 해당 코드에 의한 보호 기능은 더 이상 실행되지 않는다. 각 코드마다 카운터를 소정의 초기값을 갖는 초기 상태(A)로 재설정하는 소정의 이벤트(c)가 존재한다.

이벤트(e)는 발생하였지만, 종료 상태(C)에는 아직 도달하지 않았으면, 카운터는 자동으로 초기 상태로 재설정된다. 이외에도 가능한 설계 변형예로서, 접근이 차단된 후, 이벤트(d)는 카운터를 초기값으로 재설정하고 코드로의 접근을 허용하는 것을 들 수 있다. 이 이벤트는 코드의 사용 회수와는 별개로 선택할 수 있다. 이러한 방법으로, 이 이벤트는 예컨대 별도의 코드를 사용하는 성공적인 인증이 될 수 있다.

그러므로, 이 이벤트는 카드 자체 내부에서 검사하고 저장할 수 있는 임의로 지정가능한 조건에 의해 기동될 수 있다.

또한, 하나의 이벤트는 논리곱(AND), 논리합(OR) 또는 논리 부정(NOT) 연산 형태로 존재하는 몇 개의 부분 이벤트로 구성될 수도 있다. 이러한 방법으로, 특별한 칩 카드에 관한 특정 보안 요건과 사용자의 요구 조건을 이행할 수 있도록, 각 코드마다 하나의 이벤트 또는 소정 개수의 이벤트를 정의할 수 있다. 동일한 이벤트가 상이한 효과를 갖는 몇 개의 코드에 할당될 수도 있다. 도 2를 참조하면, 본 발명의 실현가능한 예를 알 수 있다.

도 2의 표는, 본 발명에 적합한 설계예 중 한 예를 나타낸다. 이벤트 E1, E2, E3, E4, En과 코드 S1, S2, S3, Sn을 사용하여, 이들 이벤트와 코드간에 가능한 가장 일반적인 조합 또는 이들에 할당된 카운터를 나타내고 설명한다. 이벤트 E1, E2, E3, E4, En은 통상의 방법에 따라 코드 S1, S2, S3, Sn에 할당된다. 여기서, 이벤트는 코드의 사용 회수를 나타내는 것과 같이 명확하게 정의할 수 있는 조건이라 할 수 있다. 그러나, 이러한 이벤트는 기술적이거나 이와 다른 선택 조건이면 아무것이나 될 수 있다. 여하튼, 이벤트가 입력되면, 카운터의 상태는 변화한다. 이러한 카운터의 상태 변화에 의해서, 코드는 차단될 수 있다.

예를 들어, 이벤트 E1의 입력시 코드 S1, S3에 해당하는 카운터가 각각 소정의 값만큼 증가하도록, 이벤트 E1은 이들 코드에 할당한다. 이벤트 E2의 입력시 각 코드 S1, S3에 할당된 카운터가 초기값으로 다시 설정되도록, 이벤트 E2는 이들 코드에 할당한다. 이벤트 E3와 E4는 예를 들어 논리합 연산으로 코드 S2에 할당하며, 이들 이벤트가 모두 발생하면 코드 S2에 할당된 카운터는 일정한 값만큼 증가하게 된다.

또한, 이벤트 E3는 각각 코드 S3, Sn에 할당되는데, 이벤트 E3의 입력시 코드 S3에 할당된 카운터가 초기값으로 다시 설정되고, 코드 Sn에 할당된 카운터가 일정한 값만큼 증가하도록 된다.

이벤트 E4가 발생하면, 코드 Sn에 할당된 카운터가 마지막 이벤트 En이 발생하더라도 초기값으로 재설정되도록, 이벤트 E4는 코드 Sn에 할당한다.

마지막으로, 이벤트En은 코드 S3, Sn 모두에 할당되는데, 이벤트 En의 발생시 코드 S2에 할당된 카운터가 초기값으로 재설정된다.

본 발명에 적합한 특정 응용 분야로서는 환자용 칩 카드, 칩 카드 스톡(stock) 또는 접근 제어 칩 카드가 있다. 특히, 이러한 카드는 카드를 사용하여 인가된 사용자이지만 부정하게 비밀 정보를 알아내고자 하는 사용자로부터도 보호되어야 한다.

전자 스톡 카드의 경우, 분석 모니터링 방법으로 코드를 설정할 수 있도록, 인가된 사용자가 소액, 예를 들어, 1 페니씩 빼감으로써 코드 사용을 빈번하게 초기화할 위험이 있다.

이러한 위험은 돈을 빼갈 때마다 카운터의 상태를 일정한 값만큼 증가시키고, 카운터의 상태가 최대값으로 될 때, 이전에 카운터를 초기값으로 재설정하는 이벤트가 발생하지 않는다면, 카드를 차단함으로써 극복할 수 있다. 이러한 이벤트는, 예를 들어, 카드 등록자의 인출 기록과 은행이 계산한 통계값을 비교하는 전자 스톡을 장착한 은행에서 사용하는 일종의 검정법일 수 있다.

또 다른 적용 분야로서는 빌딩의 출입 제어 장치가 있다. 이 경우에도, 접근 칩 카드를 사용하여 접근 감지기를 빈번하게 통과함으로써, 분석법을 통해 코드를 해독할 수 있는 위험이 있다. 이 경우에서도, 소정의 최대값을 갖는 카운터는 특정한 제어 기능을 제공한다. 이러한 카운터는 예를 들어 출입문을 보안 감시하는 등의 공인된 부서가 재설정할 수 있다. 카운터의 재설정은 경험을 통해 얻은 일정한 평균값에 대해 카드 등록자의 거동에 상응하는 이벤트와 결합될 수 있다.

본 발명은 특히 칩 카드에 적용할 수 있다. 또한, 본 발명은 비밀 정보나 비밀 기능을 내장한 어떠한 전자 장치에도 사용할 수 있다. 특히 주목할 것으로는, 보안 장치를 내장한 자동차 키와 도어 키, 또는 보안 장치를 내장한 시계를 들 수 있다.

각 비밀 코드에 고유의 카운터를 할당함으로써, 각 코드마다 사용 회수가 다르게 설정할 수 있고, 칩 카드는 광범위하게 다양화된 용도에 대응하는 수만큼의 코드를 내장할 수 있기 때문에, 문제가 되는 용도에 대해서만 칩 카드 사용을 차단할 수 있다.

Claims

비밀 정보의 분석 도용을 방지하는 방법에 있어서,

① 상기 비밀 정보(S1∼Sn)에 카운터를 할당하여 상기 비밀 정보의 사용 회수를 확증하는 단계와,

② 상기 카운터를 초기값(A)으로 설정하는 단계와,

③ 상기 카운터의 초기값(A)을 상기 비밀 정보(S1∼Sn)를 사용(a)할 때다 소정의 값만큼 증가시키는 단계와,

④ 소정의 이벤트(E2, E3, E4, En)가 발생할 때, 상기 카운터의 값(B)을 상기 초기값(A)으로 재설정하는 단계와,

⑤ 상기 카운터의 값이 상기 소정의 최대값(C)으로 되면, 상기 비밀 정보의 사용(b)을 차단하는 단계를 포함하는 것을 특징으로 하는 비밀 정보 분석 도용 방지 방법.
제 1 항에 있어서,

⑥ 소정의 이벤트(d)가 제시되면 상기 비밀 정보의 사용 차단을 해제하고, 상기 카운터의 값을 상기 초기값(A)으로 재설정하는 단계를 더 포함하는 것을 특징으로 하는 비밀 정보 분석 도용 방지 방법.
제 1 항 또는 제 2 항에 있어서,

상기 ④ 단계에서의 상기 초기값은 갱신된 초기값인 것을 특징으로 하는 비밀 정보 분석 도용 방지 방법.
제 1 항 내지 제 3 항에 있어서,

상기 ④ 단계에서 상기 소정의 이벤트가 발생하거나 상기 ⑤ 단계에서 상기 소정의 최대값에 도달할 때까지, 상기 ③ 단계를 반복하여 행하는 것을 특징으로 하는 비밀 정보 분석 도용 방지 방법.
제 1 항 내지 제 4 항에 있어서,

몇 개의 비밀 정보가 하나의 카운터에 할당되는 것을 특징으로 하는 비밀 정보 분석 도용 방지 방법.
제 1 항 내지 제 5 항에 있어서,

이벤트(E1∼En)는 긍정/부정 판단에 따라 접근할 수 있는 기술적 조건, 경제적 조건 또는 편성 조건 중 어느 것도 될 수 있는 것을 특징으로 하는 비밀 정보 분석 도용 방지 방법.
제 1 항 내지 제 6 항에 있어서,

이벤트는, 논리곱 기능이나 논리합 기능을 통해 서로 결합된 하나 이상의 부분 이벤트들로 구성되는 것을 특징으로 하는 비밀 정보 분석 도용 방지 방법.
제 1 항 내지 제 7 항에 있어서,

동일한 이벤트가 상이한 카운터에 할당되는 것을 특징으로 하는 비밀 정보 분석 도용 방지 방법.
제 8 항에 있어서,

상이한 카운터에서 동일한 이벤트가 발생하면, 상기 카운터의 값이 증가하는 것을 특징으로 하는 비밀 정보 분석 도용 방지 방법.
제 8 항에 있어서,

이벤트가 발생하면, 하나의 카운터에서의 상기 카운터 값은 증가하고, 다른 카운터에서의 상기 카운터 값은 상기 초기값으로 재설정되는 것을 특징으로 하는 비밀 정보 분석 도용 방지 방법.
제 1 항 내지 제 10 항에 있어서,

상기 비밀 정보는 데이터 암호화용 코드인 것을 특징으로 하는 비밀 정보 분석 도용 방지 방법.
제 1 항 내지 제 11 항에 있어서,

상기 비밀 정보는 상기 칩 카드 상에서 보안 관련 작동을 실행하는 비밀 기능인 것을 특징으로 하는 비밀 정보 분석 도용 방지 방법.
제 1 항 내지 제 12 항에 있어서,

상기 코드는 칩 카드에 저장되는 것을 특징으로 하는 비밀 정보 분석 도용 방지 방법.
제 1 항 내지 제 11 항에 따른 방법을 내장하여, 비밀 정보를 저장하고 처리하는 전자 장치.
제 14 항에 있어서,

상기 전자 장치는 칩 카드 또는 보안 모듈인 것을 특징으로 하는 전자 장치.
제 1 항 내지 제 11 항에 따른 방법을 실행하는 프로그램을 내장한 데이터 기억 매체.