KR20080033267A - System and method for remote device registration - Google Patents
System and method for remote device registration Download PDFInfo
- Publication number
- KR20080033267A KR20080033267A KR1020087001086A KR20087001086A KR20080033267A KR 20080033267 A KR20080033267 A KR 20080033267A KR 1020087001086 A KR1020087001086 A KR 1020087001086A KR 20087001086 A KR20087001086 A KR 20087001086A KR 20080033267 A KR20080033267 A KR 20080033267A
- Authority
- KR
- South Korea
- Prior art keywords
- data
- key
- server
- regulator
- producer
- Prior art date
Links
Images
Classifications
-
- H04L9/28—
Abstract
Description
본 발명은 중요 데이터를 갖는 기기 생산에 관한 것이고, 더욱 상세하게는 기기 내부에 중요 데이터 주입의 원격 콘트롤 및 모니터링에 관한 것이다.The present invention relates to the production of devices with critical data, and more particularly to the remote control and monitoring of critical data injection inside the device.
암호 안전 통신 시스템에 포함되는 기기는 생산시 주입된 독특하고 불변의 몇가지 정보를 통상적으로 갖는다. 이러한 정보는 기기에서 본질적으로 유일한 속성을 암호화하는 암호 키, 분배 안전 또는 그 밖의 다른 데이터가 될 수 있다. 상기 정보는 일반적으로 "키(key)"로 불리우며, 정보의 주입은 "키잉(keying)" 또는 "키 주입(key injection)"으로 언급된다.Devices included in cryptographic secure communication systems typically have some unique and unaltered information injected during production. This information can be cryptographic keys, distributed security or other data that encrypts the inherently unique attributes on the device. The information is generally referred to as "key" and the injection of information is referred to as "keying" or "key injection."
키 주입의 목적은 기기가 분배된 후에, 기기가 미래의 일정 시점에 안전한 통신 시스템의 인증 참여자로 받아들여짐을 확신시키는 것이다. 그러나, 기기의 생산자는 기기가 합법적으로 생산되길 원할 것이고, 기기에 주입되는 키를 보호하기를 원한다. 키 인증은 안전 시스템 및 그 콘텐츠로의 접근을 조절하는데 사용되기 때문에, 생산자는 통상적으로 미래 수익을 보호하기 위해 키 보호를 목표로 삼을 것이다. 주입된 키는 또한 기기의 소비자 또는 사용자가 기기를 등록하는데 요구되는 지루한 과정을 피할 수 있도록 하는데 있어 중요하다.The purpose of key injection is to assure that after the device is distributed, the device will be accepted as an authentication participant in a secure communication system at some point in the future. However, the manufacturer of the device will want the device to be produced legally and want to protect the keys that are injected into the device. Since key authentication is used to regulate access to the security system and its contents, producers will typically aim for key protection to protect future revenue. The injected key is also important in enabling the consumer or user of the device to avoid the tedious process required to register the device.
기기는 키가 신뢰되는 암호화 인증에 바탕을 둔 시스템에 대한 접근을 조절하게 된다. 이러한 신뢰는 생산 과정 바깥의 신뢰 데이터를 재생산하는 것이 어렵다는 사실에 바탕을 둔다. 위성 텔레비젼, 라디오 및 일련의 시스템에 접근하는 시스템은 지속적으로 방송 정보를 제공하고, 콘텐츠와 이 콘텐츠에 제공하기 위한 수익으로의 접근을 조절하기를 원한다. 이러한 시스템은 생산 과정 및 주문자 상표에 의한 제품 생산(OEM)에 의존하고, 특히, 기기에 대한 신뢰의 근원을 제공하는 키 주입에 의존하며, 또한, 전체적인 안전 통신 시스템에 의존한다.The device will control access to the system based on cryptographic authentication in which the key is trusted. This trust is based on the fact that it is difficult to reproduce trust data outside the production process. Systems that access satellite television, radio, and a series of systems constantly want to provide broadcast information and control access to the content and revenues to provide to that content. Such systems rely on the production process and product production (OEM) under the orderer's brand, in particular on key injection, which provides a source of trust for the device, and also on the overall safety communication system.
기기에 주입되는 키는 주로 표준 형식이되 운영체로부터 구입되고, 예를 들어, HDCP{High Definition Content Protection} 키는 여러 개체중 PC본 체부터 모니터까지 케이블로 전송되는 데이터를 보호하는데 사용된다. 운영체는 또한, 기기 생산자에게 분배된 키가 보호되고 분실되지 않는 것을 확신시키는데 흥미를 갖는다. 이는 생산자에게 책임을 부가하게 되고, 따라서, 주입키 보호에 대한 중요성을 증가시킨다. 몇가지 케이스에 있어서, 생산자는 키를 분실하거나 복사하는 것에 의해 처벌될 수 있는바, 키 취급시 태만하다는 평판을 받는다면 운영체는 키 분배를 제한하거나 신중하게 된다. 이러한 관계의 유지는 종종 생산자에게 중요하고, 특히, 키가 다른 기기 및/또는 하부 기기와 양립할만한 기기에 필요한 표준형식일때 더욱 중요하다. 이러한 경우, 특별한 키를 사용함없이는, 상기 기기가 의도적으로 작동되지는 않을 것이다.Keys injected into the device are usually in standard form and are purchased from the operating system. For example, HDCP (High Definition Content Protection) keys are used to protect the data transmitted by the cable from the PC to the monitor. The operating system is also interested in assuring that keys distributed to device manufacturers are protected and not lost. This adds responsibility to the producer, thus increasing the importance of injection key protection. In some cases, producers can be penalized by losing or copying a key, and the operating system will restrict or be cautious if it is reputed to be negligent in handling the key. Maintaining this relationship is often important to the producer, especially when the key is a standard format required for equipment compatible with other devices and / or sub-devices. In such a case, the device will not operate intentionally without using a special key.
복잡하고 어려운 기기가 증가하는 현대 비지니스 세계에서, 독립적인 파트가 생산되고, 하나의 제작자에 의해 키가 되며, 후에 다른 제작자에 의해 조립되는 것이 일반적이다. 이러한 상황에서 기기 생산자 또는 통신 시스템의 소유자가 기기 제작자와 동일하지 않을때, 확실하고 안전한 추론이 존재한다. 따라서, 기기 생산자가 생산자 기기 보전에 책임이 있는 시스템을 제작하는데 필요한 완전성을 확보하는 것이 주요한 문제가 될 수 있다.In the modern business world of increasing complexity and difficulty, it is common for independent parts to be produced, keyed by one manufacturer, and then assembled by another. In this situation, when the device producer or the owner of the communication system is not the same as the device manufacturer, there is certain and safe reasoning. Therefore, it may be a major problem for the device producer to ensure the completeness necessary to build a system responsible for the integrity of the producer device.
제작 과정의 보전을 고려할때, 특별한 관심은 기기를 제작하는데 사용되는 안전한 정보의 기밀성과 관련되고, 제작자가 올바르게 동일성을 설명하고, 생산자에게 제작된 다수의 유니트를 설명하는 것과 관련된다. 이상적으로, 기기 생산자는 제작자가 시장 또는 기기에 "회색" 또는 "검정"(암거래)을 창조 및 분배하지 못한다는 확신을 얻기 위해 노력해야 한다. 예를 들어, 수개의 암호화된 물품을 생산자에게 돌려보낸 제작자는 여전히 남아 있는 키를 구비하게 되고, 여분의 키를 갖는 기기를 제작 및 판매하게 된다. 생산자는 제작자가 판매로부터 이익을 취하기 때문에, 그 수익을 분실하게 된다. 키의 분실 또는 복제와 같은 행위는 또한, 암호화 과정이 외부에서 이루어질때 발생하고, 이를 감지하고 조절하는 것은 어렵다. 다른 케이스에서, 키는 사용자가 일정 서비스에 돈을 지불하지 않고 조절 시스템에 대한 접근을 얻을 수 있도록 하기 위해 인터넷상에서 발생될 수 있다.When considering the preservation of the manufacturing process, particular attention is concerned with the confidentiality of the secure information used to manufacture the device, the manufacturer correctly describing the identity and describing the multiple units produced to the producer. Ideally, the device producer should strive to gain confidence that the manufacturer will not create and distribute "gray" or "black" (black) on the market or device. For example, a producer who has returned several encrypted items to a producer will have the remaining key, and will produce and sell the device with the extra key. The producer loses the revenue because the producer profits from the sale. Actions such as the loss or duplication of keys also occur when the encryption process takes place externally, and it is difficult to detect and control them. In another case, a key can be generated on the Internet to allow a user to gain access to a regulatory system without paying for certain services.
통상적으로, 제작장에 정보 주입 스테이지를 보호하는데 관심이 있는 생산자는 제작자가 생산자 기기 및 시스템 보안에 중요성을 부여하는 방식으로 운영하는 것을 절대적으로 신뢰할 수 밖에 없다. 보호 메카니즘은 일반적으로 경험이 없는 바, 키 정보가 전형적으로 암호화되어 제작자에게 전송되는데 있어서, 도착시 모든 키 정보가 즉시 해독되고, 제작자는 수많은 정보와 타협함에 있어 신뢰받지 못한다.Typically, producers who are interested in protecting the information injection stage at the shop floor have absolutely confidence that the manufacturer operates in a way that attaches importance to producer device and system security. Protection mechanisms are generally inexperienced, where key information is typically encrypted and sent to the producer, all key information is immediately decrypted upon arrival, and the producer is not trusted in compromising a lot of information.
키 정보에 접근을 제한하는 하나의 방법은 온라인 클라이언트-서버 메커니즘을 사용하는 것이다. 이러한 메커니즘으로, 제작자의 편의를 위한 클라이언트는 네트워크와 연결되고, 기기에 정보 암호화 요청을 수행하고, 생산자의 컨트롤 아래 원거리의 키 제공 서버와 연결된다.One way to restrict access to key information is to use an online client-server mechanism. With this mechanism, the client, for convenience of the producer, is connected to the network, performs an information encryption request to the device, and is connected to a remote key providing server under the producer's control.
제작 시스템을 구축하는데 수많은 문제점들이 있는데, 이 시스템은 겨우 시간에 맞춘 기초와 같은 키 정보를 제공하는 오프 사이트, 원거리 네크워크 서버에 의존한다. 주요 문제는 오프 사이트 서버가 공중 분할 패킷 스위치 네트워크 사용시, 최소 서비스 수준을 보장할 수 없고, 라인 제작에 소요되는 시간에 응답할 수 없다. 생산 라인에서 문제점을 차단하기 위해 잠재적이고 일정 시간안에 처리할 수 있는 일의 양에 관한 서비스 수준이 적절해야 한다. 현재 주어진 제작 현실에서, 생산 라인은 생산자와 원거리 관할로 존재하고, 이를 보호하는 네트워크 시설은 상당히 비싸다.There are a number of problems in building a production system that rely on off-site, remote network servers that provide key information such as a barely timely basis. The main problem is that the off-site server cannot guarantee the minimum service level when using an air split packet switch network, and cannot respond to the time required for line production. In order to prevent problems in the production line, the level of service should be appropriate with respect to the amount of work that can be done in a potential and timely manner. Given the current production reality, production lines exist as producers and remote jurisdictions, and the network facilities that protect them are quite expensive.
제작 시설은 통상적으로 데이터 재료를 제외한 모든 필수 재료을 준비하지 않고는 생산을 시작할 수 없다. 이와는 달리, 생산 라인 지연에 대한 위험은 상당히 높다. 제작자에 의해 사용되는 키 시스템은 본질적으로 서비스 능력을 보호할 수 있고, 적절한 응답을 제공할 수 있어야 한다. 이는 생산 작동의 시작전에 모든 데이터 자원 및 키 정보의 로컬 가능성을 요구한다.The manufacturing facility typically cannot start production without preparing all the necessary materials except the data material. In contrast, the risk for production line delay is quite high. The key system used by the producer must inherently protect the service capability and be able to provide appropriate responses. This requires the local possibility of all data resources and key information before the start of the production run.
모든 데이터 자원은 로컬하게 생산라인에 연결 가능하고, 컴퓨터 시스템에 존재하며, 생산자의 직접적인 콘트롤 아래 있는 미디어와 연결되되, 생산자는 어떠한 안전 키 정보의 기밀성을 어떻게 확보할지를 고려해야 한다.All data resources can be locally connected to the production line, residing in computer systems, and connected to media under the direct control of the producer, but the producer must consider how to ensure the confidentiality of any security key information.
생산 작동을 시작하여 완성하기 위해, 충분한 데이터는 로컬하게 제작자에 의해 이용될 수 있어야 한다. 생산자가 인가받지 않고 계약상으로 이의할만한 제작자의 행동을 발견하는 경우, 생산자는 악한 제작자가 계약 종료후에 암거래 시장 상품을 생산하는 것을 어떻게 차단할지 고려해야 한다.In order to start and complete the production run, sufficient data must be available locally by the producer. If a producer finds an unauthorized producer's behavior unauthorized, the producer should consider how to prevent the evil producer from producing black market products after the contract is terminated.
복제와 관련된 다른 문제는 대량 생산으로부터 시작하고, 복제 과정의 명확한 방식은 실리콘 칩 생산자에게 더욱 특별한 관심의 대상이다. 대량 생산은 집적 회로(IC)의 생산자가 하나 이상의 제조 회사에 대한 집적 회로 디자인에 대한 제조를 외주 제작할때 발생한다. 외주 제작 또는 모든 제작단계의 목적은 제작 과정에서 특별한 스테이지를 수행하기 위한 최적의 비용을 제안할 수 있는 타업체를 선택하여 생산 단가를 낮추는 것이다. 예를 들어, 무설비업체(fabless) 디자인 하우스(생산자)는 디자인된 칩을 만들기 위한 편의를 해외에서 창출하기를 원할 것이다. 이러한 해외 제작 편의는 전자 요소를 상대적으로 저비용으로 생산할 수 있을때 선택된다.Other issues related to cloning begin with mass production, and the clear way of cloning is of particular interest to silicon chip producers. Mass production occurs when the producer of an integrated circuit (IC) outsources the manufacture of integrated circuit designs to one or more manufacturing companies. The purpose of outsourcing or any stage of production is to lower the cost of production by selecting a third party that can suggest the optimal cost to perform a particular stage in the production process. For example, a fabricless design house (producer) would want to create convenience overseas to make a designed chip. This overseas production convenience is selected when electronic components can be produced at relatively low cost.
그러나, 외주 제작은 일반적으로 특정 계약자가 제품을 대량생산하게 되는 위험을 증가시키고, 암거래 시장을 공급하기 위한 제작 계약이 이루어지고 있다. 예를 들어, 계약 제작자가 불량한 신뢰로 행동하여 생산자에 의해 제공된 디자인으로부터 집적회로를 생산한다면, 대량생산이 발생하는 것을 생산자에게 알리지 못하 고, 여분의 제품은 "위조" 또는 "복제" 제품으로서 암거래 시장에 판매될 것이다. 이는 다른 제작자들이 그들의 소비자 즉, 생산자 및 디자이너를 위한 제품 수요 및 수익의 비용으로 별도의 수익을 구현할 수 있도록 해준다.However, outsourcing generally increases the risk of a specific contractor mass producing a product, and a production contract is being made to supply a black market. For example, if a contract manufacturer acts with poor trust to produce integrated circuits from a design provided by a producer, the producer may not be informed that mass production occurs, and the extra product is black forged as a "counterfeiting" or "cloning" product. Will be sold to the market. This allows other producers to implement separate revenue at the cost of product demand and revenue for their consumers, namely producers and designers.
상기의 내용은 시나리오에서 생산자가 생산 초기에 기술적 샘플을 받지 않고 제품을 핸들링하기 때문에 발생한다. 따라서, 제작 과정의 각 단계에서 디자인 후에 일어나는 단계에서는, 제품과 인력을 훔칠 기회가 존재한다. 그러한 경우, 양호한 신뢰 계약 제작자에 의해 고용된 사람은 도둑이 될 수 있다. "산출 감소"가 발생하고, 이때, 피고용인은 제작 라인에서 바로 제품을 훔치게 된다. 이는 낮은 수익으로 인한 생산자 및 계약 제작자뿐만 아니라, 미래 비지니스 수행을 위한 생산자와 제작자 사이 관계에서도 해롭게 작용할 수 있다.The above occurs because in the scenario the producer handles the product at the beginning of production without receiving a technical sample. Thus, at each stage of the manufacturing process, after the design, there is an opportunity to steal products and personnel. In such a case, the person hired by a good trust contract maker can be a thief. "Reduced output" occurs, at which time the employee steals the product directly from the production line. This can be detrimental not only to producers and contract producers due to low profits, but also to relationships between producers and producers for future business operations.
결국, 본 발명의 목적은 상기에서 살펴본 문제점을 제거하거나 미연에 방지하는 것이다.After all, it is an object of the present invention to obviate or eliminate the problems discussed above.
본 발명은 생산자자 생산 과정의 최소한 일부 영역을 위해 분리 개체를 사용하기를 원하도록 하고, 원거리보부터 기기의 생산에 대해 모니터링 및 보호하도록 하는 시스템 및 방법을 제공한다.The present invention provides systems and methods that allow producers to use separate entities for at least some areas of the production process and to monitor and protect the production of devices from telescopes.
본 발명은 또한, 과다 생산 및 물품 부족으로 인한 암거래 시장을 방지하기 위해 분리된 개체 사이에 제품에 민감 데이터의 부가를 분리하는 수단을 제공한다.The present invention also provides a means of separating the addition of sensitive data to a product between separate individuals to prevent black market due to overproduction and shortage of goods.
본 발명은 조절기가 전송 데이터에서 상기 민감 데이터를 준비하고 암호화 방식으로 보호하는 단계; 상기 조절기는 서버에 데이터 전송을 송신하고, 상기 서버는 암호화 작동을 수행하기 위해 안전 모듈을 구비하는 단계; 상기 안전 모듈은 데이터 전송으로부터 상기 민감 데이터를 추출하는 단계; 상기 서버는 상기 기기 내부로의 주입을 위해 장비에 상기 민감 데이터를 제공하는 단계; 를 포함하여 구성하되, 상기 조절기는 서버로부터 원거리에 위치하는 것을 특징으로 하는 원격 기기 등록 방법을 제공한다.The present invention provides a method comprising the steps of: an adjuster preparing and sensitively protecting the sensitive data in transmission data; The controller sending a data transmission to a server, the server including a security module to perform an encryption operation; The safety module extracting the sensitive data from a data transmission; The server providing the sensitive data to equipment for injection into the device; It is configured to include, the controller provides a remote device registration method, characterized in that located at a distance from the server.
본 발명은 암호화 작동을 수행하는 첫번째 안전 모듈을 구비하는 조절기와; 상기 조절기로부터 원거리에 위치하되, 전단 및 후단 채널에 의해 연결되는 서버와; 상기 전단 채널은 상기 서버의 두번째 안전 모듈에 데이터 전송을 제공하는 상기 조절기에 의해 사용되며, 상기 데이터 전송은 암호화 방식으로 상기 민감 데이터를 보호하고, 상기 두번째 안전 모듈은 상기 전송으로부터 상기 데이터를 추출하되, 상기 전송으로부터 추출된 상기 데이터의 주입에 사용되는 장비로 작도하고, 상기 두번째 안전 모듈로부터 상기 데이터를 획득하는 에이전트; 를 포함하여 구성되는 것을 특징으로 하는 원격 기기 등록 시스템을 제공한다.The present invention provides a controller comprising a first safety module for performing an encryption operation; A server located remotely from the regulator, the server being connected by front and rear channels; The front end channel is used by the controller to provide data transmission to a second secure module of the server, the data transmission protects the sensitive data in an encrypted manner, and the second secure module extracts the data from the transmission. An agent drawing with the equipment used for the injection of said data extracted from said transmission and obtaining said data from said second safety module; It provides a remote device registration system, characterized in that configured to include.
본 발명은 각 스테이지에서 각 암호화 키에 부가되는 민감 데이터의 영역 및 메모리에 저장된 기기 및 암호화 키 안에서의 데이터 흐름을 중단하고 변형하는 암호화 변형, 상기 암호화 변형의 성공적인 구동을 위해 요청되는 암호화 키의 작동을 포함하여 구성되는 복수의 스테이지에서 기기안에 민감 데이터의 삽입을 조절하는 모듈에 있어서, 상기 기기는 상기 암호화 변형의 성공적인 작동을 수행케 하는 것을 특징으로 하는 기기안에 민감 데이터의 삽입을 조절하는 모듈을 제공한다.The present invention provides an encryption variant for interrupting and modifying the data flow in a device and an encryption key stored in memory and an area of sensitive data added to each encryption key at each stage, and operation of the encryption key requested for successful operation of the encryption variant. A module for controlling the insertion of sensitive data in a device at a plurality of stages comprising: the device for controlling insertion of sensitive data in a device, characterized in that for performing a successful operation of the encryption variant. to provide.
본 발명은 상기 기기안에 모듈을 포함하고, 상기 모듈이 상기 기기안에 데이터 흐름을 중단하고 변형하기 위해 암호화 변형을 구비; 상기 기기 생산시 복수의 각 스테이지에서 상기 모듈 메모리에 저장된 암호화 키에 상기 민감 데이터의 영역을 부가시키고, 상기 암호화 키 작동이 상기 암호화 변형의 성공적인 작동을 위해 요구; 를 포함하여 구성되는 기기 내부에 민감 데이터 삽입을 조절하는 방법에 있어서, 상기 기기는 상기 암호화 변형의 성공적인 작동을 가능케 하는 것을 특징으로 하는 기기 내부에 민감 데이터 삽입을 조절하는 방법을 제공한다.The present invention includes a module in the device, the module having an encryption variant for interrupting and modifying data flow in the device; Adding an area of sensitive data to an encryption key stored in the module memory at each of a plurality of stages in production of the device, wherein the encryption key operation is required for successful operation of the encryption variant; A method for adjusting the insertion of sensitive data in a device comprising: the device provides a method for adjusting the insertion of sensitive data in a device, characterized in that for enabling the successful operation of the encryption transformation.
발명의 실시예는 첨부된 도면에 관련된 일예에 의해 설명될 수 있을 것이다.Embodiments of the invention may be described by way of example related to the accompanying drawings.
도 1은 원격 기기 등록 시스템의 블록 다이어그램;1 is a block diagram of a remote device registration system;
도 2는 도 1에서 설명한 그래픽 유저 인터페이스를 나타낸 도면;2 illustrates the graphical user interface described in FIG. 1;
도 3은 분배 이미지를 나타낸 도면;3 shows a distribution image;
도 4는 키 주입 및 리포팅 절차를 설명하는 흐름도;4 is a flow chart illustrating a key injection and reporting procedure;
도 5는 준비 절차를 설명하는 흐름도;5 is a flowchart illustrating a preparation procedure;
도 6은 신용 지시 절차를 를 설명하는 흐름도;6 is a flow chart illustrating a credit indication procedure;
도 7은 복수의 제품을 지지하는 다른 실시예의 매핑도;7 is a mapping diagram of another embodiment for supporting a plurality of products;
도 8은 필터링된 로그 리포트의 일 실시예를 나타낸 도면;8 illustrates one embodiment of a filtered log report;
도 9는 원격 기기 등록 시스템의 다른 실시예를 설명한 블록 다이어그램;9 is a block diagram illustrating another embodiment of a remote device registration system;
도 10은 생산 과정에서 복수 스테이지를 사용하는 키 주입 구현 블록 다이어 그램;10 is a key injection implementation block diagram using multiple stages in the production process;
도 11은 도 10의 실시예를 사용하는 키 주입 스테이지를 분리하기 위한 마스크 등록 모듈을 나타낸 도면,11 illustrates a mask registration module for separating a key injection stage using the embodiment of FIG. 10;
도 12는 도 10의 실시예에서 도시된 스테이지 개시도,12 is a stage start view shown in the embodiment of FIG. 10;
도 13은 도 10의 실시예를 사용한 기기를 생산하는 단계를 나타낸 흐름도,13 is a flow chart showing the steps of producing a device using the embodiment of FIG.
도 14는 도 11에서 도시된 마스크로부터 생산된 제품의 실시예 블록 다이어그램.FIG. 14 is an embodiment block diagram of an article produced from the mask shown in FIG.
도 1에서 도시한 바와 같이, 원격 기기(22) 등록 또는 신뢰 키 주입 시스템(10)은 일반적으로 수식에 의해 나타낸다. 기기(22)의 생산자(12)는 분리된 본체 서비스를 이용하고, 외주 제작자(14)의 경우, 유일하고 불변한 정보를 기기(22)에 주입하게 된다. 정보는 암호 키, 분배 비밀 또는 기기(22)에 실제로 필요한 각종 데이터가 될 수도 있고, 이는 이하에서 "키(key)"로 칭하기로 한다. 기기(22)에 키를 주입하는 단계는 이하 "키잉(keying)" 또는 "키 주입"으로 칭한다.As shown in FIG. 1, the
생산자(12)는 조절기(16)를 이용하되, 이는 제작자(14)의 설비와 원거리에 있는 컴퓨터 시스템(10)이다. 조절기(16)는 하드웨어 안전 모듈(이하 "HSM(11)"이라 칭함)을 포함한다. HSM(11)은 암호, 해독 및 서명과 같은 암호화 안전 작동을 수행하기 위해 조절기(16)에 의해 사용되는 보호 기기(22)이다. HSM(11)은 손을 타기 어렵(물리적으로 접근이 어려움)거나, 손상에 민감하다(손상시 데이터 삭제). 조절기(16)는 제작자(14)에 의한 키 분배 및 사용을 모니터링할 뿐만 아니라 제작자(14)에게 키 및 다른 정보를 패키징 및 전달할 책임이 있다. 생산자(12)는 통상 운영체(예를 들어, HDCP 키의 생산자(12))와 같은 외부자원으로부터 수많은 키(미도시)를 얻게 된다. 키는 특정 제작자(14)에게 분배될때까지 데이터 저장 기기(22)안에 저장된다. 조절기(16) 및 그 작동은 그래픽 유저 인터페이스(이하 "GUI(13)"라 칭함)에 의해 모니터, 수정 및 컨트롤될 수 있다. GUI(13)는 통상 퍼스널 컴퓨터(미도시)에 의해 사용되고 표시되는 소프트웨어 어플리케이션이다.The
조절기(16)는 파이프라인(23)을 통해 제작자(14)에게 존재하는 서버(18)와 연결된다. 파이프라인(23)은 컨트롤 채널(26) 및 분배 채널(25)에 해당하는 2개의 전단 통신 채널과 후단 채널(24)을 포함한다. 컨트롤 채널(26)은 제작자(14)가 신용 명령을 전달하여 사용한 수개의 키를 처리하는 조절기(16)에 의해 사용된다. 분배 채널(25)은 제작자(14)에게 보호 블록키를 분배하는 조절기(16)에 의해 사용된다. 후단 채널(24)은 조절기(16)가 보고 및 감사 목적의 키 사용을 알 수 있도록 하는 시스템(10)에 의해 사용된다. 각 채널은 임의적인 통신 채널이고, 신뢰 또는 안전이 요구되진 않는다. 각 채널에 대한 신뢰 및 안전은 기술적 메커니즘 및 과정을 혼합 사용하는데 사용된다. 예를 들어, 모듈에 전단 채널(26)을 통해 전송된 메시지가 부도덕으로 인해 해독되지 못하는 경우, 사용자는 시스템(10) 조절기(16) 작동자에게 전화를 하여 다시 메시지를 전송할 수 있도록 한다.The
제작자(14)는 하나 이상의 서버(18)를 사용하는데, 이 서버(18)는 제작자(14) 설비에 로컬로 연결되고, 제작자(14)의 활동은 조절기(16)에 의해 전송된 메시지를 통해 모니터 및 측정된다. 서버(18)는 또한 후단 채널(24)을 통해 조절기(16)에 회신하게 된다. 서버(18)는 조절기(16)에 의해 사용되는 HSM(11)과 유사한 HSM(28)을 포함한다. HSM(28)은 제작자(14)가 얼마나 많은 키를 사용하는지 판단하는 보호 크레딧 풀(credit pool)을 저장한다. 키의 사용은 서버(18)에 의해 보고된 데이터를 모니터링하고, 크레딧 풀에 의해 가감됨으로써, 조절기(16)에 의해 측정된다. 크레딧 풀은 서버(18)가 조절기(16)로부터 더 많은 키를 요청하고 획득하기 전에, HSM(28)에 의해 해독될 수 있는 키를 나타내는 추상 개념이다. 조절기(16)는 분배 채널(25)을 통해 서버(18)에 키를 분배하고, 서버(18)는 키를 로컬 데이터 저장기(15)에 이하 설명하는 바와 같이 저장하게 된다.The
제작자(14)는 기기(22)에 암호 키를 주입하는데 사용되는 하나 이상의 장비(20)를 사용한다. 통상 키 주입은 제작 과정의 테스트 상태에서 발생하고, 따라서, 장비(20)는 종종 조립 라인의 테스트 머신이 된다. 장비(20)는 통상 이용 측면에서 키 주입을 관리하는데 사용된 장비(20)로 이동되는 소프트웨어 또는 툴킷(toolkit)에 해당하는 키 에이전트(21)를 포함한다. 키 에이전트(21)는 필요시 키를 요청하여 획득하기 위한 서버(18)와 소통된다. 통상, 서버(18)는 생산 공정의 시간을 방해하지 않기 위해 키 에이전트(21)에 충분한 키를 제공한다. 그러나, 서버(18)는 키 주입이 크레딧 풀을 통해 측정된 만큼 조절기(16)에 의해 제공될때까지 키 사용을 제한하기 위해 불필한 개수의 키를 제공하지 않을 것이다.The
통상, 생산을 방해하지 않기 위해 새로운 키가 특정 장비(20)에 의해 필요로 할때, 키 에이전트(21)는 이를 지시하는 기준 레벨을 갖게 될 것이다. 조절기(16) 는 서버(18)와 지속적인 통신을 하는 것은 아니기 때문에, 충분한 키 주입 재료가 서버(18)를 통해 장비(20)에 공급되는 것을 확보하기 위해 조절기(16)가 그 파라미터를 조절하되, 조절기(16)가 서버(18)로부터 키 사용 보고를 얻기 전에 너무 많은 키 데이터가 서버(18)에 의해 유출되지 않도록 한다.Typically, when a new key is needed by a particular piece of
키 에이전트(21)는 장비(20) 작동자가 스스로 키를 요청할 수 있도록 장비(20)에서 작동하는 어플리케이션 프로그램 인터페이스(이하 "API"라 칭함)를 포함하고, 이는 수동 또는 자동 방식으로 이루어진다. 키 에이전트(21)는 서버(18)와 장비(20) 사이에서 이동하는 데이터에 대한 보호 수준을 제공하는데 사용되고, 서버(18)와 장비(20) 사이에서 단순화된 안전 소켓 레이어(이하 "SSL"이라 칭함) 연결로 생각될 수 있다. 이는 자원을 공급하고, 키 에이전트(21)가 또한 서버(18)와의 사이에서 SSL 연결을 사용하는 것으로 인식될 수 있다. 키 에이전트(21)는 키가 사용될때 이를 기록하고 목적을 서버(18)에 회신하는 역할을 제공한다.The
조절기(16)는 제작자(14)에 의해 키 주입을 모니터링 및 측정하는 명령 센터이다. 원거리에서 키 주입을 조절하기 위해, GUI(13)는 조절기(16)의 컨트롤 아래 있는 제작자(14), 서버(18) 및 장비(20)를 모니터하는 작동자에 의해 사용된다. GUI(13)의 일 실시예는 도 2에서 도시된다. GUI(13)는 서버창(200), 컨트롤러창(204) 및 장비창(202)에 의해 분할된다. 서버창(200)은 조절기(16)에 의해 컨트롤되는 제작자(14) 및 서버(18) 리스트를 포함한다. 특정 조절기(16)는 컨트롤러창(204)에 의해 나타낸다. 작동자는 특정 제작자(도 2에서 나타낸 제작자 A)를 선택할 수 있고, 제작자(14)와 연계된 장비(20)는 장비창(202)에 의해 디스플레이된 다.The
도 2에서 나타낸 일시예에 있어서, 제작자 A에 대한 서버(18)는 서버(18) 1, 서버(18) 2 및 서버(18) 3과 관련된 정보를 제공하는 창과 타협한다. 각 서버(18)는 연결된 확실한 데이터를 구비한다. 예를 들어, 도 2에서 도시한 바와 같이, 각 서버(18)는 저장 가능한 공간, 신용 및 키타입 1, 2에 이용되는 수개의 키를 나타낸 전진 바를 포함한다. 각 테스터창은 전단계 리포트가 처리된 날짜, 보고된 신용, 재충전량 및 누락된 로그 기록 데이터등의 로그 정보를 디스플레이한다. 서버(18)창은 조절기(16)로부터 서버(18)를 원격으로 설정 및 취소시키는 옵션(214, 216)을 작동자에게 제공한다.In the example shown in FIG. 2,
조절기(16)는 원격으로 서버(18)를 형성할 수 있다. 이는 조절기(16)가 더하기, 빼기와 같은 키타입을 변화시키고, 다른 형성 옵션을 형성시킬 수 있도록 한다. 바람직하게는 컨트롤 채널(26)을 따라 서버(18) HSM(28)에 형성 메시지를 전송하여 달성된다. HSM(28)은 형성 메시지를 평가하되, 이에 의해 수개의 형성 메시지는 HSM(28)의 작동을 변경하고, 다른 형성 메시지는 서버(18)로 전송된다. 형성 메시지는 HSM(28)을 거쳐 서버(18)에 전송되고, 이러한 방법을 사용하여, 서버(18)가 조절기(16)로부터 기원되는 형성 명령을 달성하도록 하는 것을 도울 수 있다. The
조절기(16)는 키 에이전트(21)를 통한 서버(18) 레벨 또는 장비(20) 레벨에서 원격으로 시스템을 형성할 수 있다. 조절기(16)는 또한 서버(18) 폴(poll)을 강요할 수 있고, 규칙적인 폴링을 위해 기간을 조정할 수 있다. 통상, 서버(18)는 고정된 기간으로 폴링되고, 조절기(16)는 필요한 기간동안 정보를 얻기 위해 강요 폴 을 사용할 수 있다. 예를 들어, 하루 동안 조절기(16)는 관리자에 보고할 데이터를 필요로 하고, 따라서, 그러한 데이터를 얻기 위해 모든 서버(18)의 폴을 강요할 수 있다. GUI(13)는 중요 생산 작동시 해독 또는 분배 실패와 같은 극한 환경에서 조절기(16)가 자동으로 관리자와 접하도록 하는 조절기(16) 이메일 옵션을 포함한다. The
서버(18)에 분배되고 장비(20)에 의해 기기(22)로 주입되는 각 키는 일정 사건에서 로그 기록을 발생시킨다. GUI(13)는 로그 기록을 서치, 분류, 편집 및 분석하는데 사용될 수 있고, 도 8에서 도시한 바와 같이, 표준 리포트(400)를 나타내는데 사용될 수 있다. 이러한 실시예에 있어서, 주요한 2개의 로그 기록이 발생 존재한다. 서버 로그(402)에 대한 키는 키가 생산자에 의해 서버(18)에 공급될때 발생하고, 에이전트 로그(404)에 대한 키는 키가 키 에이전트(21)에 양도되는 시점에서 HSM(28)에 의해 발생하되, 키 주입 로그(406)는 키 주입시 키 에이전트(21)에 의해 발생할 것이다. 각 로그 기록은 ID 타입, 타임 인지, 제작자, 장비(20) 등을 포함하는 확인 정보를 포함한다. 도 8에서 도시한 리포트에서, 리포트(400)는 시컨스 ID=001를 갖는 키와 관련하여 서버 로그(402)에 대한 키, 에이전트 로그(404)에 대한 키 및 주입 로그(406)에 대한 키를 설명한다. 이러한 기록들은 시퀀스 ID 넘버를 구비한 키의 라이프 주기를 추정한다. 리포트(400)는 복수의 기록을 포함하고, 적정한 장소에서 기본적 필터링이 이루어진다. 예를 들어, 제작자 A에서 테스터 2에 의해 5월 3일 주입된 모든 키를 나타내는 리포트(400)가 필터링에 의해 편집될 수 있되, 이는 시간 및 위치 영역에서 이루어진다.Each key distributed to the
도 3에서 도시한 바와 같이, 생산자(16)는 바람직하게는 암호화를 사용하여, 서버(18)로 전송되는 분배 이미지(40)를 사용한 안전 데이터 전송에서 대량의 키를 패키지한다. 분배 이미지(40)는 생산자(16)가 한번의 전송에서 복수의 서버(18)를 위해 정해지는 복수의 제품에 대한 키를 포함할 수 있도록 한다. 각 서버(18)는 일정 개수의 키를 해독 및 획득할 수 있고, 인증이 HSM(28)에 의해 수신된 후에는 조절기(16)로부터 컨트롤 채널(26)을 경유한다. 분배 이미지(40)는 데이터 기록의 집합이고, 각 기록은 타입(58), ID(60), 사이즈(54) 및 데이터(56) 영역을 포함한다. 이때, 상기 데이터(56)영역은 사이즈(54)에 의해 확인되는 임의적 사이즈(54)의 키 데이터(50)를 함유한다. 타입(58) 및 ID(60) 영역은 키 데이터를 확인하는 HSM(28)에 의해 사용되고, 일정 키를 필터링하는데 사용되며, HSM(28)의 형성에 의존하되, 사전에 컨트롤 채널(26)을 경유하여 지시된다. 키는 실제로 어떠한 목적을 갖는지 알 수 없도록 캡슐에 의해 둘러 쌓인다. 이는 각각의 새로운 키 타입(58)에 대한 재디자인을 요구함없이 유연해지고 확장될 수 있도록 한다. 래퍼(wrapper)는 추상적인 이미지에 로깅(logging) 또는 다양한 과제와 같이 더 진보된 특징을 지지하는 요소를 포함한다.As shown in FIG. 3, the
이미지(40)는 이미지 키(42)에 의해 암호화된다. 이미지 키(42)는 이미지를 해독하고 키를 획득하는 서버(18)에 의해 사용된다. 이미지 키(42)는 그 자체가 각 서버(18)에 의해 해독되고, 서버(18) 헤더(48)에 저장된다. 서버(18) 헤더(48)의 집합(44)은 메인 헤더(48)안에 저장된다. 이미지를 해독하고 키를 얻기 위해, 헤더(48)는 서버(18)에 의해 선택되고, 이미지 키(42)를 획득한 HSM(28)에 의해 해독된다. 이미지 키(42)는 이미지를 해독하기 위해 사용된다.
앞서 설명한 바와 같이, 분배 이미지(40)는 복수의 제품을 지지하는데 사용될 수 있다. 도 7에서는 제품 타입 및 데이터 블록에 대한 매핑이 도시된다. 예를 들어, 생산자(16)가 감마 사용 키 1(필터 태그 1 구비), 베타 사용 키 2(필터 태그 2 구비) 및 형성 블록(필터 태그 2 구비)을 포함한 알파 사용 키 1, 키 2에 해당하는 3개의 제품을 갖는다. 이미지는 다량의 키타입 1 및 키타입 2를 포함하고, 감마 및 베타 제품은 알파 제품보다 더 복잡하다. 생산자(16)는 각 블록의 오십(50)과 같은 데이터를 구비한 싱글 이미지를 패키지할 수 있고, 이에 의해 일정 테스터(예를 들어, 테스터 1)는 제작을 허가하게 되며, 따라서, 50개의 알파 제품을 생산하기 위해 50개의 필터 태그 1 및 태그 2를 얻을 수 있게 된다. 다른 테스터(테스터 2)는 동시에 이미지로부터 50개의 필터 태그 1을 제작 및 획득하여 50개의 베타 제품을 생산하고, 감마 제품을 생산하기 위해 50개의 필터 태그 2를 구비한다. 이미지는 모든 키 주입 데이터를 포함하고, 가능한 복수의 키 타입을 함유하며, 싱글 타입의 제품을 생산한다. 테스터는 서버(18)에 제품 타입(58) 또는 제품 모델을 확인시키되, 이는 프로그래밍된다. 상기 모델 정보는 암호화된 이미지를 갖는 HSM(28)으로 전송되되, HSM(28)이 이미지 및 키 데이터(50)를 해독할때, 필터링될 수 있고, 확인된 제품 모델을 프로그램화할 필요가 있는 키 데이터(50)는 HSM(28)에 의해 테스터로 양도된다. 그러므로, 생산자(16)는 싱글 이미지를 갖는 복수의 제품을 지지할 수 있고, 이때, 제작자가 제작 의도대로 제품을 제작할 수 있는 단계를 확보할 수 있도록 한다.As described above, the dispense
이미지는 복수의 제품을 지지할 수 있기 때문에, 로그 기록은 테스터에서 수 행되는 실제 키 주입을 추정하는데 사용되고, 이는 이하에서 상세히 살펴보기로 한다. 로그 기록을 추정함으로써, 생산자(16)는 제작자가 제품 알파(생산하는데 비용 지불) 대신에 제품 감마를 되돌려 보내는지 여부를 감지할 수 있고, 이에 의해, 암거래 시장에서 제품 베타를 판매할 수 있게 된다. 이러한 불일치는 고의적인 것이 아닐 수도 있으며, 여러 가지 방법에 의해 합리적으로 확인될 수 있다.Since the image can support multiple products, log recording is used to estimate the actual key injection performed at the tester, which will be discussed in detail below. By estimating the log record, the
분배로부터 분배 채널(25)을 거쳐 HSM(28)까지 키의 통상적인 라이프 싸이클은 후단 채널(24)을 통해 조절기(16)로 보고되되, 도 4에서 도시한 바와 같다. 도 4에서 하이라이트된 블록은 안전 모듈에 의해 수행되는 단계 즉, 각 HSM(11, 28)을 나타낸다. 조절기(16)는 우선 외주 공급자로부터 대량의 표준 키를 얻게 된다. 조절기(16)는 키를 HSM(11)으로 보내고, HSM(11)은 키 블록, 즉 측정된 일정 키타입을 포함하는 각 블록을 암호화한다. 키는 하나 이상의 키 타입이 구비된 블록에 암호화된다. 조절기(16)는 키 블록이 분배되는 것을 지시하는 명령을 받을때까지 저장기(15)에 대량의 암호화 키를 저장한다.A typical life cycle of a key from distribution to
생산자(16)가 키 블록을 분배할때, 우선 암호화된 블록을 포함하게 되고, HSM(11)에 이 블록을 전송하게 된다. HSM(11)은 블록을 해독하고, 이미지 키(42)로 전송되는 키 블록을 재암호화한다. 이미지 키(42)는 각 헤더(48)의 생산을 위해 그 자체로 암호화된다. 이러한 헤더(48)는 메인 헤더(46) 그룹(44)에 저장된다. 여기서, HSM(11)은 분배때문에 재암호화된 키를 위해 서버 로그(402)에 키를 발생시킨다. 로그(402)는 후반 분석을 위해 생산자(12)에 로컬하게 저장된다. 키의 재암호화 블록은 분배 채널(25)을 거쳐 서버(18)에 분배된다.When the
서버(18)는 이미지(40) 내에 포함된 암호화 키 블록을 HSM(28)에 전송하고, 이후, HSM(28)은 이미지를 해독한다. HSM(28)은 우선, 그룹(44)으로부터 특정 헤더(48)를 선택하고, 이미지 키(42)를 해독한다. 이미지 키(42)는 이미지로부터 키를 얻기 위해 해독된다. 이때, 이미지(40)가 확인되는데, 예를 들어, 안전 해시 알고리즘, MAC 또는 디지털 서명을 사용하고, 이는 필터링된다. HSM(28)은 또한, 저장된 이미지에서 얻어진 각 키를 재암호화한다. 서버(18)는 이후, 장비(20)의 사용으로 재암호화된 키를 로컬하게 저장한다. 이미지에 대한 신뢰성은 조절기(16)와 서버(18) 사이에서 분할된 유일한 대칭 분배 키 ks1 및 ks2에 기초한다. 이 사이에 분할 메시지는 확실한 것으로 인정되고, 성공적인 통합 체크는 예를 들어, sha-2 이해 비교후에 수행된다.The
조절기(16)가 장비(20)로부터 일정 수의 키(N 키)를 위해 요청을 받는 경우 HSM(28)에게는 해독을 위한 N 키가 주어진다. 에이전트 로그 기록(404)에 대한 키는 HSM(28)에의해 해독되는 N 키 각각을 위해 발생하고, 키는 주입을 위한 장비(20)로 전송된다. 이때, 상기 키는 "클리어(in the clear)" 상태이고, 주입할 준비가 되어 있다.When the
장비(20)는 N 키 각각을 주입하고, 키 에이전트(21)는 주입되는 각 키의 키 주입 로그 기록(404)을 발생시킨다. HSM(28)은 계속적으로 에이전트 로그 기록(406) 및 키 주입 로그 기록(404)에 대한 키를 획득하고, 바람직하게는 이러한 기록을 후단 채널(24)을 통해 조절기(16)로 복귀하는 마스터 로그 리포트 R에 연결 시킨다.
각 로그(402)는 2개의 파일에 연관되고, 파일이 생산된 날짜를 확인한다. 리포트 R은 암호화 키 k1으로 HSM(28)에 의해 암호화되고, 후단 채널(24)을 통해 전송되는 서버(18)상 구동 어플리케이션으로 복귀한다. 조절기(16)는 리포트 R을 해독하고, 각각의 로그(예를 들어, 402, 404, 406)를 확인한다. 각 로그는 단조롭고 동일한 숫자에 의해 태그가 붙는다. 모든 기록 ID가 유효하고 함께 인접한 세트가 아니라면, 조절기(16)의 작동자는 연속적으로 누락된 로그를 어디서 추적할지 알게 될 것이다.Each
상기에서 설명한 바와 같이, 조절기(16)는 키 분배시 N키에 대한 서버(18) 로그 기록(402)에 다수의 키를 사전에 저장해 왔다. 따라서, 조절기(16)는 향후 어느 시점에 원조 분배된 키가 해독되어 정당한 서버(18)에 의해 올바른 기기에 주입되는 것을 지시하는 각 키에 대한 라이프 싸이클을 완성하는 리포트 R을 수신하기를 기대한다. 조절기(16)는 제공되는 만큼 로그 리포트를 평가할 수 있다. 조절기(16)는 어떠한 작동이 제작 과정에서 방해(예를 들어, 정지 분배)되거나 더 많은 키를 제공하는지 결정할 수 있다. 조절기(16)는 키 블록을 분배하기 전에 더 많은 정보를 요구한다. 이러한 방식으로 조절기(16)는 제작자(14)가 양호한 신뢰로 작동시켜 지속적으로 정확한 로그(402) 리포트를 생산하는 경우 분배를 측정하고 더 많은 키를 제공할 수 있다.As described above, the
로그 기록(도 8에서 도시한)은 생산자(16)가 ID 넘버순으로 불연속을 차단하 게 할 것이다. 예를 들어, 다수의 키가 분배되되, 에이전트에 키를 보고하지 못하거나 주입 로그에 키를 보고하지 못하는 경우, 제작자(14)는 그 키를 분실할 수 있다. 이는 암거래 시장의 활동를 초래할 수 있다. 다른 시나리오로서, 리포트 R은 에이전트 로그(404)에 키를 포함하고, 특정 키에 대한 키 주입 로그(406)를 포함하지 않는다. 이는 문제점이 제작자(14) 자체보다는 키를 요청하는 특정 장비(20)에서 기원하는 것을 가리킨다. 그러므로, 제작자(14)는 감사 목적을 위해 로그 리포트 R을 사용하고, 생산자(12)와의 관계를 유지하기 위해 내부적으로 악의적인 행동을 확인한다. 각 키의 라이프 싸이클은 키가 작동되는 중요 단계에 리포트 기록을 요구한다. 따라서, 생산자(12)는 중요한 정보를 구비하여 문제점이 어디서 발생하는지 확인하고, 그러한 문제를 수정 또는 제거하기 위한 노력을 하게 된다. 로그 기록은 키에 대한 연속적인 넘버뿐만 아니라 키 타입과 관련된 정보를 포함한다. 이러한 방식으로, 생산자(16)는 알파 제품이 위임되되, 아직 감마 및 베타 제품이 생산되는지 여부를 결정할 수 있다.The log record (shown in Figure 8) will allow the
로그 리포트는 제작자(14)에 의해 악의적이거나 비윤리적인 행동을 방지하고, 바람지하지 않은 행위에 대한 증거를 제공하는 제작자(14) 및 툴의 수준을 평가하기 위한 수단을 공급하는 정보를 제공한다. 바람직하지 않은 행위를 감지하는데 실체적인 증거의 사용은 생산자(12)가 의심보다 더 많은 것을 구비한 제작자(14)에 직면하도록 하고, 이 경우 불법행위는 테스터 레벨(회사가 아닌 피고용인)에서 발생하되, 실체적 증거 사용은 생산자(12)와 제작자(14)의 중요한 관계를 구조하게 된다.The log report provides information that prevents malicious or unethical behavior by the
분배에 더불어, 조절기(16)는 크레딧 풀(30)을 조절하는 컨트롤 채널(26)을 사용하고 키 주입 단계를 처리한다. 크레딧 지시 과정은 도 6에서 도시한 바와 같다. HSM(28)은 분배 이미지(40) 및 달성 키를 해독할때 크레딧 풀(30)로부터 신용을 소비해야 한다. 시간을 지남에 따라, 크레딧 풀(30)은 감소하여 조절기(16)에 의해 보내진 신용 지시 파일을 채울 필요가 있다.In addition to the dispenser, the
조절기(16)는 컨트롤 채널(26)을 통해 서버(18)에 컨트롤 메시지 C를 전송한다. 이 메시지에 포함된 바람직한 요구 파일중 하나는 신용 지시 파일이다. 파일은 신용 지시로 HSM(28)에 의해 해독된 특정 서버(18)의 데이터 세트로 암호화될 수 있다. 신용 지시는 예를 들어, HSM(28) 또는/및 서버(18)의 시리얼 넘버, 서버(18)의 ID, 시퀀스 넘버, 새로운 신용량 및 형성 데이터를 포함하되, 조절기(16)에 의해 서명된다.The
컨트롤 메시지 C를 수신하는 즉시, HSM(28)은 컨트롤 메시지 C로부터 신용 지시 데이터를 해독하고, 서명을 확인한다. HSM(28)은 또한, 그 자체의 시리얼 넘버 및 상징 ID를 확인한다. 이후, 시퀀스 넘버의 확인이 수행된다. 시퀀스 넘버는 HSM(28)에서 내부적으로 저장된 시퀀스보다 더 커야 한다. 한번 확인시, HSM(28)은 내부 시퀀스 넘버를 업데이트하고, 신용 지시 가치에 대한 크레딧 풀(30)의 가치를 세팅하게 된다.Upon receipt of control message C,
HSM(28)은 이후, 내부 형성을 업데이트할 컨트롤 메시지 C의 형성 메시지를 처리할 것인바, 이는 조절기(16)가 서버(18)에 형성 데이터를 밀어 내도록 하기 위함이고, 이때, HSM(28)은 GUI(13)와 관계된 상기의 설명과 같이, 룰을 필터링하고, 정보 및 신용룰을 키 주입하기 위한 업데이트를 하게 된다. 형성 데이터는 HSM(28), 서버(18)에서 작동되는 어플리케이션 또는 키 에이전트(21)에서 제안될 수 있다. HSM(28)은 메시지를 처리하는 정의된 타입의 형성 메시지를 찾는다. 형성 메시지는 개인 또는 공익으로 상징될 수 있고, 또한 그 접근은 HSM(28)에 의해 조절된다.
신용 리포트 Cr은 컨트롤 메시지 C에서 신용 지시를 처리하는 서버의 응답이다. 신용 리포트 Cr은 HSM(28)의 시리얼 넘버 및 상징 ID, 현재 시퀀스값, 현재 크레딧 풀(30)값, 재충전 날짜 및 신용 지시 과정에서 에러가 미발생시 제로로 세팅되는 에러 코드를 포함한다.The credit report Cr is the response from the server that handles the credit indication in control message C. The credit report Cr includes a serial number and symbol ID of the
신용 리포트 Cr은 바람직하게는 서명 키 k2를 사용하는 HSM(28)에 의해 서명된다. 리포트 Cr은 이후, 조절기(16)의 공용 암호화 키 k3를 사용하는 조절기(16)를 위해 암호화된다. 리포트 Cr은 조절기(16)로 전송되어 로그 리포트 R에 의해 저장되는바, 이는 상기에서 서술된 감사 목적에서 나타난다.The credit report Cr is preferably signed by the
키를 분배하기에 앞서 생산자(12) 및 제작자(14)는 HSM 및 서버(18)를 시작하는 준비 과정을 겪게 된다. 준비 과정은 도 5에서 도시한 바와 같다. HSM(28)은 준비 요청 메시지 P를 생산하여 조절기(16)에 전송한다. 이 메시지 P는 서버(18)에 의해 사용되는 HSM(28)의 시리얼 넘버를 포함한다. HSM(28)은 2개의 암호 키 커플인 k1, k2(예를 들어, RSA 키 커플, 바람직하게는, ECC(elliptic curve cryptography) 사용)를 발생시키되, 상기 키 커플은 암호 메시지를 수신하는 키(k1) 와 외부 메시에 서명하는 키(k2)로 이루어진다. 바람직하게는, 제작자(14)는 키 커플 k1 및 k2의 변화 기간동안 물리적인 조절 환경에서 암호로 부트스트랩된다.Prior to distributing the keys, the
조절기(16)가 서버(18)로부터 준비 요청을 수신할때, 메시지를 체크하고 제작자(14)에게 "ID"를 부여하는 HSM(11)에게 요청한다. 2개의 키, 바람직하게는 대칭키 kS1 및 kS2(AES(Advanced Encryption Standard) 키)가 발생한다. 이러한 키는 분배 채널(25)상의 분배 이미지(40) 및 후단 채널(24)상의 로그 리포트 R을 보호하는 조절기(16) 및 서버(18)에 의해 사용된다.When the
HSM(11)은 이후 준비 응답 메시지 P'를 발생시키되, 예를 들어, 이 메시지는 할당된 상징 ID, HSM의 암호화 공중 키, 서명 키 k3 및 k4, 분배 및 후단 대칭 채널 ks1 및 ks2, 초기 형성 데이터 및 확인을 위한 해쉬 이해(hash digest)를 포함한다. 준비 요청 메시지 P와 유사하게, 준비 요청 메시지 P'는 물리적으로 조성된 환경(예를 들어, HSM 보호 사용)에서 핸들링된다.The
준비 요청 메시지 P'는 서버(18)로 전송되며, 서버(18)는 준비 요청을 받고 초기 작동을 수행한다. 준비 응답의 구조는 조절기(16)와 서버(18) 사이의 전단 및 후단 채널(24) 통신에 대한 대칭 키를 포함하는 분리구조를 포함한다. 이러한 키들은 각 HSM(28)(각 서버(18))에 대하여 뚜렷해지고, 그룹 HSM(28)에서는 분할되지 않는다. 준비 과정이 완성되는 경우 분배 이미지(40) 및 컨트롤 메시지 C의 변화가 시작된다.The preparation request message P 'is sent to the
다른 실시예에 있어서, 도 9에서 도시한 바와 같이, 시스템(10)은 키 주입 단계를 보호하기 위한 제작자(14)에 의해 수행되는 해결책이 갱신된다. 도 9에서 도시한 실시예에 있어서, 구성요소는 추가로 "a"가 주어진다. 예를 들어, 제작자(14)는 일련의 "BCA"를 "ABC"로 전환하기 위해 변환기(74)를 포함한 장비(20a)를 구비하되, 이때, 기기(22)는 주입된 키로서 ABC를 수용하도록 연결된다. 이러한 방식에서 키 "BCA"가 누락되는 경우 변환이 발생하지 않기 때문에 기기(22a)는 작동하지 않는다. 키를 보호하는 이러한 시도는 설치하기 용이함에도 불구하고, 자연스럽고, 보호의 적정 수준을 제공하지 않는다. 이러한 보호를 수용함으로써, 시스템(10)은 이미 설치된 해결책을 원상태로 복귀시킴없이 장비를 갱신한다. 따라서, 시스템(10) 설치에 대한 제작자(14)의 부가적 비용은 차단될 수 있다. 갱신은 완성된 재설계가 보증될때까지 시행되되, 이때, 도 1에서 나타낸 배열이 사용될 수 있다.In another embodiment, as shown in FIG. 9, the
해결책을 수용하기 위해 시스템(10)은 서버(18)에서 서명된 목적물(72) 세트를 저장하되, 이 목적물(72)은 특정 장비(20a)와 연계된 실행 파일(70)의 집합이고, 키 주입에 앞서 키를 풀어주는 HSM(28a)에 수반되는 해결책을 수행한다. 이러한 방법에서 키는 알려진 장비(20a)없이 해결책을 수용하기 위해 변경된다. 도 9에서 도시한 바와 같이, 조절기(16)는 해결책을 제공한 장비에 의해 사용되는 실행 파일(70)의 접근을 필요로 한다. 이후, 조절기(16)는 실행파일(70)을 조절 HSM(11a)에 전달한다. 조절 HSM(11a)은 실행파일(70)에 서명하고 서명된 실행파일(70)을 다른 서버 HSM(28a)에 전달하며, 서버 HSM(28a)은 서명 실행파일(70)을 서명 목적물(72)에 저장한다. 작동시, 장비가 새로운 일군의 키를 요청할때, 서버(18)는 실행파일(70)의 서명에 대해 실행파일(70)을 확인하되, 실행파일(70)은 서버(18) HSM(28)에 저장된다. 서버(18a)가 실행파일(72)을 확인시 취합된 실행 파일 키를 전송할 것이다.To accommodate the solution,
예를 들어, 장비(20a)는 키 ABC가 제품 알파에 주입되도록 하기 위해 기기(22a)안의 변환기(76)에 들어오는 키 BCA를 요청한다. 서버 HSM(28a)은 키 ABC를 수정하기 위해, 제품 알파가 서명 실행파일(70) A를 구비하는지 결정한다. 서명 실행파일 A는 확인되되, 취합된 키 BCA를 초래하는 키 ABC에 적용된다. 취합된 키 BCA는 장비(20a)로 전송되고, 변환기(76)는 키 ABC를 주입하기 위해 키 BCA를 수정한다. 장비(20a)는 키 BCA(이미 수신된)는 ABC 보호 형식에서 서버(18a)에 의해 분류된다. 서버(18a)에 의해 저장된 키는 CAB와 같은 형식으로 형성되되, 이 키는 주입을 위해 ABC로 변환되는 취합 BCA를 읽기위해 수정된다. 이러한 케이스는 키 CAB가 표준형식이고, CAB가 키로서 받아들여 지지 않는 해결책을 제시할때 수정되어야 한다. 따라서, 서명 목적물(72)은 장비(20a)에 의해 설치된 해결책을 수용하기 위해 요구되는 프로그램을 포함하고, 상기에서 제공된 예는 설명을 하기 위한 것이다.For example,
서명 목적물(72)은 주입에 앞서 키를 수정하기 위해 악의적인 코드가 서버(18a)에 적재되지 못하도록 하고, 이는 서명된 실행물이 통상 키에 적용하기에 앞서 장치에 배출된 키에 확인되기 때문이다. 시스템은 해결책을 수용하는 동안 안전 레벨을 증가시킬 수 있다.The
따라서, 서버(18)에서 분리된 원거리 시스템 조절기(16)를 사용하여, 생산자(12)는 제작자(14)의 활동을 모니터할 수 있고, HSM(28)을 통한 신용을 관리한다. 생산자(12)는 기기(22)에 대한 키 정보 주입을 관리하되, 이는 제작자(14)가 올바르게 동일성 및 생산자(12)를 위해 제작된 다수의 유니트를 보고하도록 하기 위함이다. 이는 제작자(14)가 암거래 상품 및 기기(22)를 만들어 분배하지 못한다는 것을 생산자(12)에게 확신시킬 수 있다.Thus, using the
상기 과정 및 시스템(10)에서, 생산자(12)는 제작자(14)에 대한 생산을 모니터할 수 있다. 컨트롤 메시지 C의 신용 지시를 사용하는 생산자(12)는 제작자(14) 사용을 위해 가능한 신용을 가감함으로써, 기기(22) 생산을 관리할 수 있다.In the process and
시스템(10)은 도 1에서 도시한 바와 같이, 하나의 제작자(14)에 한정되지 않고, 각 제작자(14)는 하나의 장비(20) 세트에 한정되지 않는다. 시스템(10)은 또한, 싱글 조절기(16)의 사용에 한정되지 않는다. HSM(28)은 크레딧 풀(30)의 키 가치 및 신뢰도를 보호하기 위해 가장 신뢰성 있는 하드웨어이다. 더욱이, 분배 이미지(40)에 포함된 키 주입 정보가 반드시 키 주입 정보로 되는 것은 아니고, 신뢰와 인증을 요구하는 데이터 요소가 될 수 있다. 키 주입 데이터에 대한 요청은 기기(22) 활동의 형상을 강화하기를 원하는 시스템의 통상적인 모습이다.The
택일적인 배열로, 첨부한 도 10 내지 도 14를 참조하여 살펴보면, 과다 생산은 실리콘 사이 또는 기기(22) 제작 과정의 분리를 구현함으로써 금지된다. 생산자(12)는 복수 계약자에 대한 제작에 있어서 다양한 단계를 실시할 것이다. 일반적으로, 실리콘 칩 또는 다른 기기(22)에 있어서, 직무의 분리는 보조 계약자에 의해 제작 단계의 분리를 가져오게 되고, 이는 마지막 상품이 "터치" 되어 완전히 기능성을 띠게 하기 위함이다. 암거래 시장(110)이 실패의 정점 또는 제작 연결체에서의 싱글 불량 신뢰 계약자에 의해 공급되기 때문에, 계약자는 둘 이상의 보조 계약자가 생산자(12)와 공모하도록 연속적인 암시를 제공하되, 이는 정상 기능을 하는 보조 요소 및 기기(22)를 구비한 암거래 시장(110)을 구비하기 위함이다. 최종 상품 및 그 보조 요소는 기능성의 모든 제작 스테이지를 완성시켜야 한다. 일반적으로, 생산자(12)에 대한 공격 위험은 복수의 보조 계약자가 도둑질을 하기 위해 공모하는 것이 요구될때 절대적으로 감소한다.In an alternative arrangement, with reference to the accompanying Figures 10-14, overproduction is prohibited by implementing separation between the silicon or the process of making the
실리콘 웨이퍼의 생산에 있어서, 수개의 스테이지가 발생하되, 이는 종종 다수의 제3자 제작자 사이에서 분할된다. 칩을 다자인하는 생산자(12)는 하나 또는 복수의 데이터 파일에 대한 디자인을 만들되, 이는 "네트(net) 리스트"로 불리우기도 한다. 이 네트 리스트는 제3자가 실리콘 웨이퍼를 생산하기 위한 마스크(90)를 어떻게 만들지를 지시하는 컴퓨터 코드 형식의 언어로 살명되되, 이 리스트로부터 IC가 패키지되고 분배된다.In the production of silicon wafers, several stages occur, which are often split between multiple third party manufacturers. The
예를 들어, 설명적인 제작 과정에서, 마스크(90)는 생산자(12)에 의해 마스크(90)로부터 실리콘 웨이퍼를 제작하는 실리콘 조립자에게 전송된다. 웨이퍼는 웨이퍼 테스트 시설로 전송되되, 이 시설은 각각의 칩이 웨이퍼상에서 직접 테스트되어 전기적으로 마킹되고, 절단시 통과하는 각 칩은 패키징 시설로 이송된다. 패키징 시설은 칩 패키지에 실리콘을 결속 및 패키지하고, 다시 최종 패키지된 칩을 테스트한다. 최종 칩은 칩이 인쇄 회로 기판에 실장되는 OEM으로 전송되되, 이 기판 은 최종 기기(22) 제품의 한 부분이고, 이 제품은 분배 채널(80)을 통해 소비자에게 판매된다.For example, in an illustrative manufacturing process, the
상기에서 설명한 제작과정은 기기(22)내 실리콘 칩의 디자인과 집적 사이에서 발생하는 복수의 스테이지로 이루어지되, 즉, 조립, 테스트, 패키징 및 설치를 포함한다. 이러한 모든 스테이지는 택일적으로 싱글 시설에 발생하고, 임의적으로 N개의 스테이지가 될때까지 더 많은 스테이지가 발생한다. 각 스테이지에서, 과잉 생산 및 산출 감소가 발생할 기회가 존재한다.The manufacturing process described above consists of a plurality of stages that occur between the design and integration of the silicon chip in the
도 10에서 도시한 바와 같이, 생산자(12)는 마스크(90)를 디자인한다. 마스크(90)는 IC와 같은 등록 기기(22)를 생산하는데 사용된다. 기기(22)는 디자인에 포함된 민감 또는 불변의 정보 형식을 포함하되, 바람직하게는 민감한 정보없이는 작동할 수 없다. 생산자(12)는 기기(22)의 종합 제작에서 특정 스테이지를 수행하는 둘 이상의 제3자 제작 실체와 계약한다. 도 10은 처음(100) 및 두번째 제작 단계(102)부터 임의의 N번째 제작 단계(104)까지 나타낸다.As shown in FIG. 10, the
생산자(12)는 생산 분배 채널(80)을 통해 마스크(90)를 분배한다. 마스크(90)는 처음 제작 스테이지(100)로 전송되되, 이 스테이지에서 실리콘 웨이퍼의 생산과 같은 제작의 일부가 실시된다. 처음 스테이지(100)가 완성되면 부분적으로 완료된 제품은 두번째 제작 스테이지(102)로 전송되고, 이 스테이지는 웨이퍼 테스트와 같은 제작 일부 제작 단계를 완성시킨다. 이러한 과정은 임의의 N번째 스테이지까지 반복하되, 이후, 완전한 기능적 등록 기기(22)를 분배체(106)에 이송시킨다.The
불완전한 제품 또는 보조 요소가 제작 스테이지(100-104)중 하나에서 암거래 시장(110)으로 분기되는 것을 막기 위해, "책임의 분리"가 적용된다. 책임의 분리는 각 제작 스테이지에서 제작 및 데이터 프로그래밍의 분할이고, 모든 책임은 의도적인 오더안에서 계약자에 의해 수행되어야 하는데. 이는 정상적인 기기를 생산하는데 필요하다. 이러한 예에서, 암호 데이터의 주입과 같은 민감 과제가 복수의 스테이지안에 주입되되, 각 스테이지는 명확한 제작 스테이지에서 분명한 제작에 의해 실시된다. 민감 과제를 분리하기 위해, 생산자(12)는 등록 모듈(92)을 마스크(90)내에 정의된 디자인에 통합시킨다. 모듈(92)은 마스크(90)가 기기(22)를 생산하는데 부합되고 수학적 변형(128)이 중요 신호를 가로채며 데이터가 실리콘 칩으로 흘러갈때 사용되되, 이는 수학적 변형(128)이 작동할 수 없고 디바이스가 비정상일때 사용된다. 수학적 변형(128)은 배타-OR(XOR) 작동의 광범위한 사용을 촉진시키는 암호화 변형(128)이고, 원인적인 측면에서는 그러나, 이러한 것이 요구되지는 않는다. 구동에 대한 수학적 변형(128)을 위해, 중요 데이터의 증가하는 주입 및 부가를 통해 등록되되, 이 데이터는 암호화 키 주입 데이터의 일부분이고 제작 과정의 각 스테이지에 존재한다. 이러한 방식으로, 처음 단계(100)에서 생산된 웨이퍼의 경우 과다 생산되어 도 10에서 도시한 바와 같이, 암거래 시장(110)으로 공급되고, 이 상품(112)은 비정상적이되, 이는 정상 작동시 요구되는 모든 암호화 데이터가 수신되지 않기 때문이다.In order to prevent incomplete products or auxiliary elements from branching to the
바람직하게는 도 10의 일예에서 도시한 바와 같이, 도 1 내지 도 9에서 설명한 키 주입 시스템(10)은 각 제작 단계에서 키 주입 스테이지에 대한 보고를 분배, 관리 및 청구하는데 사용된다. 이 경우, 모든 실체가 암거래 제품을 분배하기 위해 공모되더라도, 생산자(12)는 키 주입 데이터의 분배를 금지하는 것이 필요하다면 불완전한 로그 리포트에 기인한 행위를 감지할 수 있을 것이다. 택일적으로, 시스템(10)은 수개의 스테이지에 사용되고, 모든 스테이에 사용될 필요는 없다. 예를 들어, 두번째 스테이지(102)는 또 다른 스테이지보다는 시스템(10)을 사용한다. 그러나, 각 제작 단계는 몇가지 형식의 테스트 과정을 포함하기 때문에, 테스팅을 시스템에 통합시키는 것이 효율적이다. 이러한 시나리오에 있어서, 생산자(12)는 적어도 두번째 스테이지에 데이터를 기대한다. 모듈(92)은 시스템(10) 이용없이 사용되고, 키 주입 단계 한 부분의 각 스테이지에 의존한다. 어떠한 상태에서도, 책임을 나눔으로써, 어떠한 실체도 스스로 필요한 정보를 구비할 수 없게 되어, 성공적으로 제품 또는 보조 요소로 암거래를 공급히게 된다.Preferably, as shown in the example of FIG. 10, the
마스크(90)는 도 11에서 더 상세히 도시된다. 상기에서 언급한 바와 같이, 등록 모듈(92)은 마스크(90) 디자인으로 통합되고, 마스크(90)는 이후, 기타 코드의 지시 또는 라인을 설치하기 위해 프로그램화되되, 부분적으로 소비자 코드의 일측(120)과 타측(122) 사이의 경로(124)(바람직하게는 기기(22) 작동시 중요시되는 것) 안에서 모듈(92)로 정의된 콘텐츠를 삽입할 것이다. 경로(124)를 따라 모듈(92)에 들어가는 데이터는 암호화 변형(128)에 적용되고, 경로(126)에 따른 소비자 코드 타측(122)의 출력이다. 경로(126)에 현존하는 출력은 암호 변형(128)이 성공적으로 데이터 입력에 적용되는 경우 사용가치가 있다. 암호 변형(128)은 그 작동 수행을 위해 메모리(130), 프로세서(132) 및 암호키(134)와 함께 작동한다. 메 모리(130), 프로세서(132) 및 암호키(134)는 각 제작 스테이지에 현존한 키 주입 시스템을 사용하면서 형성된다. 메모리(130)는 또한, 다른 암호화 키(131)를 포함하되, 일반적으로, 각 스테이지에 축적되는 키 주입 재료로 이루어지고, 도 10에서 도시한 키 주입 시스템(10)을 주입을 통과하게 된다. 바람직하게는 키(134)는 재료가 키(134)가 확실해지도록 조립한 메모리(130) 안에 축적되는 것을 확보하기 위해 주입 타임에 사용된다. 키(134)는 공용 키이고, 필요 또는 불필요할 수 있다. 예를 들어, 모듈(92)은 특정 생산자(12)와 관련되거나, 관련되지 않은 공격 클래스에 의한 잠재적 위험에서도, 키 없이 작동할 수 있다.
일반적으로, 모듈(92)에 의해 사용된 민감 데이터는 각 부위로 분할되고, 이러한 각 부위는 제작 과정의 각 스테이지에서 키(131)에 부가된다. 예를 들어, 하나의 테크닉은 제작 과정의 각 스테이지에 메시지 회복에 대한 디지털 서명을 주입하게 된다. 키(134)는 디지털 서명을 확인하는데 사용되되, 이때, 확인된 디지털 서명은 키 유도 계획에 사용될 수 있는 메시지를 생산하고, 메모리(130)내의 데이터를 사용하여 암호 키(131)를 구현하게 된다. 다른 예로서, 키 쉐도잉 테크닉을 이용하되, 여기서, 수개의 암호 키(131)는 다양한 제작 스테이지에서 메모리(130)에 부가된다. 최종 제작 스테이지다 완성될때, 메모리(130)는 충분한 데이터를 포함하고, 이는 키 쉐도우 테크닉이 암호 키(131)를 재조립하는데 사용될 수 있도록 하기 위함이다.In general, the sensitive data used by
첫번째 제작 스테이지(100)의 예는 도 12에서 도시한 바와 같다. 상기에서 살펴본 바와 같이, 생산자(12)는 키 데이터를 분배하고 키 발생시 발생된 리포트를 모니터링하는 시스템(10)을 사용한다. 실리콘 칩에 대한 키 주입은 웨이퍼 테스트 또는 이후 패키징 테스트에서 발생한다. 이러한 실시예에서, 스테이지(100)는 테스팅 장비(20)와 함께 작동하는 서버(18) 및 키 에이전트(21)를 포함한다. 스테이지(100)는 또한, 실리콘 웨이퍼를 생산하는 생산 장비(139)를 포함한다. 생산 장비(139)는 부분적으로 제작된 디바이스1(140)를 생산하는 채널을 통해 분배된 마스크(90)를 사용한다. 이 실시예에서, 아래첨자 1은 기기(22)에 적용되는 민감 데이터의 첫번째 영역을 나타내는데 사용되고, 여기서, 민감 데이터의 첫번째 영역은 장비(20)의 키 에이전트(21) 사용을 통해 주입된다. 이 점에서, 디바이스1(140)은 완전히 조작 가능한 것은 아니고, 이는 변형체(128)가 작동 수행을 위해 필요한 모든 정보를 구비하지 않는데 원인이 있다. 디바이스1(140)은 두번째 제작 스테이지(102)로 분배되는데 이용될 수 있다.An example of the
도 13은 두개의 명확한 제작 스테이지(N=2)를 포함하는 예시적인 제작 과정을 나타낸다. 스텝1(500)에서, 생산자(12)는 스테이지의 개수를 결정하고, 이에 따라, 주입될 키 데이터의 영역 개수(예를 들어 N=2)가 결정된다. 스텝2(502)에서, 생산자(12)는 채널(24, 25, 26)을 통해 각 제작 스테이지를 링크하는 키 주입 시스템(10)을 실시한다. 도 1과 관련하여 언급한 바와 같이, 생산자(12)는 복수의 서버(18)와 통신하는 싱글 조절기를 사용한다. 이 실시예에서, 생산자(12)는 2개의 서버(18)로부터 로그 기록을 분배, 모니터 및 수신한다.13 shows an exemplary production process that includes two specific production stages (N = 2). In
스텝3(504)에서, 생산자(12)는 마스크(90) 안에서 정의된 디자인을 등록 모듈(92)과 함께 통합한다. 마스크(90)는 이후, 스텝 4(506)에서 제작 과정의 스테이 지1을 실시하는 첫번째 제작(100)에게 분배되고, 스테이지1은 스텝5(508)에서 실시된다. 예를 들어, 첫번째 제작자는 웨이퍼 및 마스크(90)에 따른 칩을 생산할 것이다. 웨이퍼 테스트하는 동안 제작자는 부분적인 키 재료를 메모리(130)에 프로그래밍할 것이다. 민감 데이터의 이러하 부위는 스텝6(510)에서 주입되고, 서버(18)는 외곽 메커니즘을 사용하는 스텝7(512)에서 생산자(12)에게 보고한다. 택일적으로, 스테이지1은 민감 데이터의 주입을 취급하지 않고, 이러한 작동은 스테이지 2에서 독립적으로 실시된다.In step 3 504, the
키 주입 데이터의 첫번째 영역이 칩 또는 기기(22)로 프로그램화되는 경우 제품은 작동하기에 충분하지 않은 부분적인 키 주입 정보를 포함한다. 도 13은 디바이스1(140)에 의해 나타나고, 아래 첨자1은 상기에서 언급된 첫번째 영역을 나타낸다. 부분적으로 생산되고 프로그래밍되는 디바이스1(140)은 스텝9(516)에서의 실행을 위해 스텝8(514)의 스테이지2에서 분배된다. 제작자(102)는 스텝10(518)에서 키 데이터를 두번째 영역에 주입한다. 예를 들어, 스테이지 10(518)에서, 두번째 제작자(102)는 부가적인 키 정보를 프로그래밍하거나, 스텝6(510)에서 메모리(130)에 저장된 부분적인 키 데이터 및 스텝10(518)에서 사용된 시스템으로부터의 새로운 키 데이터를 사용하는 암호 키 정보를 인출한다. 이러한 인출 단계는 잡동사니 또는 가능한 더 복잡한 키 쉐도잉 테크닉에 기초를 둔다. 바람직하게는, 스텝11(520)에서, 두번째 제작자(102)는 생산자(12)에게 회신하여, 두번째 키 영역이 성공적으로 주입될 수 있도록 한다. 생산자(12)는 키 데이터가 성공적으로 주입되도록 지시하는 2개의 로그 기록을 구비하고, 이 기록을 모니터하는 정보를 사용할 수 있다.If the first area of the key injection data is programmed into the chip or
키 데이터의 두번째 영역이 주입되는 경우, 기기(22)가 완전하게 생산되어 등록(테스트 및 패키지된 IC)되며, 도 13에서 디바이스1(140)2에 의해 표현되되, 여기서, 아래첨자12는 키 데이터 완성된 세트, 즉 데이터 영역 1, 2를 나타낸다. 이후, 디바이스1(140)2는 스텝12(522)에서 채널 분배를 지속하고, 이때, 구동 제품이 소비자에게 스텝13(524)에서 전송된다.When the second area of key data is injected, the
또한, 도 13에서 도시한 바와 같이, 예를 들어, 처음 제작자(100) 또는 피고용인이 스텝14(526)에서 암거래 제품 분배를 시도하는 경우(선택적으로 스텝15(528)의 분배 채널을 통해), 비정상 제품이 스텝16(530)에서 소비자에게 제공되되, 이는 단지 디바이스1(140)이 키 데이터의 첫번째 영역을 포함하고, 이에 따라, 변형(128)이 그 작동을 수행할 수 없기 때문이다. 그러므로, 테스트 및 패키징에도 불구하고, 암거래 스테이지2에서 수행되되, 부가적인 키 데이터는 제공되지 않고 제품(530)이 완전하게 등록되지 않더라도 제작된다. 바람직하게는, 모듈(92)은 비간섭 수단의 작동을 위해 실시된다.Further, as shown in FIG. 13, for example, when the
도 14에서 도시한 바와 같이, 종료된 소비자 제품(22a)의 실시예에 있어서, 모듈(92a) 통합이 나타나고, 여기서, 모듈(92a)은 도 11에서 도시된 모듈(92)의 물리적 레이아웃의 논리적 표시이다. 도 14에서, 명확성을 위해 도면부호에 "a"가 부가된다. 모듈(92) 실행을 사용하는 제품(22a)은 암호화 변형(128a)을 적용시킬 수 있고, 강화 블록(150)의 일부가 되면서, 코드(120a, 122a) 사이에 제품 중요 데이 터 경로를 구비한다. 이 경로는 소비자의 로직(122a)이 적절히 기능할 수 있도록 변형(128a)을 통해 디코딩된다. 이러한 실시예에 있어서, 프로세서(132)의 과제인 증명(132a)이 실시된다. 증명(132a)은 원타임 프로그래머블(OTP) 메모리(130a) 및 독립영역(134a)을 사용하고, 이는 도 11의 키(134) 실시에 해당한다. 키(134a) 및 메모리(130a)는 도 13의 외부 과정을 사용하는 민감 데이터로 주입된다. 제품(22a)은 단지 모듈(92)에 의해 제공되는 로직을 수행 통합한 것으로 평가되고, 도 14에서 도시한 실시예는 설명하는데 그 목적이 있다.As shown in FIG. 14, in the embodiment of the
상기에서 특정 실시예에 관하여 서술되었더라도, 동일 분야의 당업자에 의해 다양하게 변형되어 사용될 수 있다. Although described above with respect to specific embodiments, various modifications can be used by those skilled in the art.
Claims (38)
Applications Claiming Priority (9)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US69015505P | 2005-06-14 | 2005-06-14 | |
US60/690,155 | 2005-06-14 | ||
CA2,510,366 | 2005-06-21 | ||
CA2510366A CA2510366C (en) | 2005-06-14 | 2005-06-21 | System and method for remote device registration |
US77726206P | 2006-02-28 | 2006-02-28 | |
CA2,538,087 | 2006-02-28 | ||
US60/777,262 | 2006-02-28 | ||
CA2538087A CA2538087C (en) | 2005-06-14 | 2006-02-28 | System and method for remote device registration |
PCT/CA2006/000944 WO2006133545A1 (en) | 2005-06-14 | 2006-06-12 | System and method for remote device registration |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020137011231A Division KR101390574B1 (en) | 2005-06-14 | 2006-06-12 | System and method for remote device registration |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20080033267A true KR20080033267A (en) | 2008-04-16 |
KR101336529B1 KR101336529B1 (en) | 2013-12-03 |
Family
ID=39573419
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020087001086A KR101336529B1 (en) | 2005-06-14 | 2006-06-12 | System and method for remote device registration |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101336529B1 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20190034324A (en) * | 2016-09-23 | 2019-04-01 | 애플 인크. | Secure communication of network traffic |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3120593B1 (en) * | 2014-03-19 | 2018-12-12 | Bluefin Payment Systems, LLC | Systems and methods for creating fingerprints of encryption devices |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6925562B2 (en) | 1999-12-17 | 2005-08-02 | International Business Machines Corporation | Scheme for blocking the use of lost or stolen network-connectable computer systems |
-
2006
- 2006-06-12 KR KR1020087001086A patent/KR101336529B1/en active IP Right Grant
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20190034324A (en) * | 2016-09-23 | 2019-04-01 | 애플 인크. | Secure communication of network traffic |
US11595366B2 (en) | 2016-09-23 | 2023-02-28 | Apple Inc. | Secure communication of network traffic |
Also Published As
Publication number | Publication date |
---|---|
KR101336529B1 (en) | 2013-12-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101390574B1 (en) | System and method for remote device registration | |
JP5260324B2 (en) | Product registration system and method | |
EP2562956B1 (en) | System and method for controlling features on a device | |
CN101571900B (en) | Software copyright protection method, device and system | |
CN104541474A (en) | Secure feature and key management in integrated circuits | |
US20040255143A1 (en) | Data integrity | |
CA2611818C (en) | System and method for remote device registration | |
KR20080033267A (en) | System and method for remote device registration | |
JP4989806B2 (en) | System and method for remote device registration | |
CN102013977B (en) | System and method for remote device registration | |
CN101227466B (en) | Content providing apparatus and method, content using apparatus and method, content revoking apparatus and method | |
JP2012113323A (en) | System and method for remote device registration |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E90F | Notification of reason for final refusal | ||
A107 | Divisional application of patent | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20161108 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20171110 Year of fee payment: 5 |