KR20080049879A - Method for remote authentication using pcr in tpm - Google Patents

Method for remote authentication using pcr in tpm Download PDF

Info

Publication number
KR20080049879A
KR20080049879A KR1020060120344A KR20060120344A KR20080049879A KR 20080049879 A KR20080049879 A KR 20080049879A KR 1020060120344 A KR1020060120344 A KR 1020060120344A KR 20060120344 A KR20060120344 A KR 20060120344A KR 20080049879 A KR20080049879 A KR 20080049879A
Authority
KR
South Korea
Prior art keywords
authentication
data
pcr
secret data
remote
Prior art date
Application number
KR1020060120344A
Other languages
Korean (ko)
Inventor
최수길
전성익
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020060120344A priority Critical patent/KR20080049879A/en
Publication of KR20080049879A publication Critical patent/KR20080049879A/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/305Authentication, i.e. establishing the identity or authorisation of security principals by remotely controlling device operation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

A method for protecting authentication data in a remote authentication process is provided to store and update secret data safely without an additional function by storing secret data at a PCR(Platform Configuration Register) in a TPM(Trusted Platform Module) and updating data by using a PCR updating function, and minimize deterioration of performance in time required for authentication by using hash operation in an authentication protocol and achieving authentication with one message transmission. A method for protecting authentication data in a remote authentication process includes the steps of registering an ID and authentication data at a remote computing platform to access, sharing secret data, registering secret data at a PCR of a TPM of a computing platform of a user, updating the PCR by using the authentication data when remote authentication is executed, transmitting the updated PCR values and the ID to the remote computing platform, updating secret data by using authentication data corresponding to the ID when authentication is requested, examining whether the updated secret data coincides with the transmitted PCR values, judging a success of authentication if the updated secret data coincides with the transmitted PCR. If authentication is failed, data stored at the PCR is invalidated and secret data is newly shared.

Description

TPM의 PCR을 이용한 원격 인증 방법{METHOD FOR REMOTE AUTHENTICATION USING PCR IN TPM}Remote authentication method using PC of PCM {METHOD FOR REMOTE AUTHENTICATION USING PCR IN TPM}

도 1은 TPM의 PCR을 이용한 원격 인증 방법을 나타낸다.Figure 1 shows a remote authentication method using the PCR of the TPM.

본 발명은 원격지 컴퓨팅 플랫폼에게 안전하지 않은 네트워크를 통하여 자신을 인증하고자 할 때 전달하는 인증 데이터를 보호하는 방법에 관한 것이다. 통상적인 원격 인증 방법인 ID와 인증 데이터 전송을 사용하면, 네트워크 상에서 인증 데이터가 유출될 위험이 높다. 이를 방지하기 위한 종래의 기술은 인증 데이터를 보호할 수 있지만, 하다. 그리고,기 때문에 성능이 낮은 컴퓨팅 플랫폼일 경우에 처리 시간이 오래 걸릴 수 있다.The present invention relates to a method of protecting authentication data that is transmitted to a remote computing platform when attempting to authenticate itself over an insecure network. Using ID and authentication data transmission, which is a common remote authentication method, there is a high risk of leakage of authentication data on the network. Conventional techniques for preventing this can protect authentication data, but do. And, because of the low performance computing platform may take a long time.

본 발명이 이루고자 하는 기술적 과제는, 원격 인증 과정에서 인증 데이터를 보호 하고자 할 때, 통상적인 원격 인증 방법과 비교하여 인증에 걸리는 시간 측면의 성능 저하가 최소화되도록 하고, 새로운 인증 방법을 적용하기 위해서 컴퓨팅 플랫폼에서 사용 가능한 기능을 최대로 활용하고자 하는 것이다.The technical problem to be achieved by the present invention is to reduce the performance degradation in terms of time required for authentication compared to the conventional remote authentication method, and to apply a new authentication method when protecting the authentication data in the remote authentication process We want to make the most of the features available on the platform.

상기와 같은 기술적 목적을 달성하기 위하여, 본 발명은 원격 인증 과정에서 인증 데이터를 보호하는 방법으로 사용되어,In order to achieve the above technical object, the present invention is used as a method of protecting the authentication data in the remote authentication process,

접근하고자 하는 원격지 컴퓨팅 플랫폼에 ID와 인증 데이터를 등록하고, 비밀 데이터를 공유하는 단계,비밀 데이터를 자신의 컴퓨팅 플랫폼에 있는 TPM의 PCR에 기록하는 단계,Registering ID and authentication data with the remote computing platform to be accessed, sharing the secret data, recording the secret data in the PCR of the TPM on its computing platform,

원격 인증을 하고자 할 때, 인증 데이터를 이용하여 비밀 데이터가 기록된 PCR을 갱신하는 단계,When remote authentication is performed, updating the PCR in which the secret data is recorded using the authentication data,

갱신된 PCR 값과 ID를 원격지 컴퓨팅 플랫폼에게 전달하는 단계,Delivering the updated PCR values and IDs to the remote computing platform,

인증 요청을 받았을 때 ID에 해당하는 인증 데이터를 이용하여 비밀 데이터를 갱신한 후, 갱신된 비밀 데이터가 전달 받은 PCR 값과 일치하는지 검사하여 일치하면 인증이 성공하는 단계.,When the authentication request is received, the secret data is updated using the authentication data corresponding to the ID, and then the authentication is successful if the updated secret data matches with the received PCR value.

인증에 실패한 경우 PCR에 저장된 데이터를 무효화하고, 새로이 비밀 데이터를 공유하는 단계를 포함하는 것을 특징으로 하는 원격 인증 방법에 관한 것이다. 본 발명에 대한 설명을 하기에 앞서, 통상적인 원격 인증 방법과, 그 과정에서 인증 데이터가 유출될 수 있는 경우에 대한 설명을 한다.If the authentication fails, the present invention relates to a remote authentication method comprising invalidating data stored in a PCR and sharing new secret data. Prior to describing the present invention, a description will be given of a typical remote authentication method and a case where authentication data may be leaked in the process.

통상적인 원격 인증 방법은, ID와 인증 데이터를 원격지 컴퓨팅 플랫폼에 등록을 하고, 원격 인증을 하고자 할 때, 네트워크를 통해서 ID와 인증 데이터를 전송하면 원격지 컴퓨팅 플랫폼은 ID에 해당하는 인증 데이터를 찾아서 전달 받은 인증 데이터와 일치하는지 검사하는 과정을 포함한다. 하지만, ID와 인증 데이터가 안전하지 않은 네트워크를 통해서 전달 될 경우에 네트워크에 불법적으로 접근할 수 있는 공격자가 ID와 인증 데이터를 알아낼 수 있고, 이를 이용해 위장 인증을 할 수 있게 된다.Conventional remote authentication method registers the ID and authentication data on the remote computing platform, and when the remote authentication platform is to transmit the ID and authentication data over the network, the remote computing platform finds and transmits the authentication data corresponding to the ID. Checking whether it matches the received authentication data. However, if the ID and authentication data is transmitted through an insecure network, an attacker who can access the network illegally can find out the ID and authentication data and use it to perform fake authentication.

[도 1]은 TPM의 PCR을 이용한 원격 인증 방법을 나타낸다. 인증 요청자는 통상적인 원격 인증 방법에서와 같이 ID와 인증 데이터를 원격지 컴퓨팅 플랫폼에 등록한다. 그리고, 비밀 데이터를 공유하게 되는데, 이 공유 방법은 안전한 것으로 알려진 여러 키 합의 프로토콜 중에 선택하여 사용하면 된다. 단 비밀 데이터의 크기가 TPM의 PCR 크기와 다를 경우에는 TPM의 PCR 크기와 동일한 크기의 Hash값을 만드는 Hash 알고리즘을 사용하여 비밀 데이터를 Hash하고 그 Hash값을 비밀 데이터로 한다. 비밀 데이터는 사람이 기억할 수 있는 형태가 아니기 때문에 컴퓨팅 플랫폼 상에 저장을 해야 하는데, 저장된 비밀 데이터가 노출되면 위장 인증 공격의 위험이 높아지기 때문에 안전하게 저장해야 한다. 이를 위해서, TPM내의 PCR들 중 하나의 PCR에 비밀 데이터를 저장한다. TPM은 tamper proof 칩이기 때문에 권한이 없는 사람이 PCR 값을 알 수 없고, 그래서 비밀 데이터를 안전하게 저장할 수 있다. 이 단 계까지가 초기화 과정이다.1 shows a remote authentication method using PCR of the TPM. The authentication requester registers the ID and authentication data with the remote computing platform as in a conventional remote authentication method. Secret data is then shared, which can be selected from among several key agreement protocols known to be secure. However, if the size of the secret data is different from the PCR size of the TPM, the secret data is hashed using a hash algorithm that creates a hash value of the same size as the PCR size of the TPM, and the hash value is used as the secret data. Secret data must be stored on a computing platform because it is not in a form that can be remembered by humans, and if the stored secret data is exposed, the risk of spoofing authentication attacks increases. To this end, secret data is stored in one of the PCRs in the TPM. Because the TPM is a tamper proof chip, an unauthorized person can't know the PCR value, so it can safely store secret data. This step is the initialization process.

원격지 컴퓨팅 플랫폼에 인증을 하고자 할 때, 인증 요청 컴퓨팅 플랫폼은 인증 데이터와 현재 PCR값을 함께 Hash하여 그 결과값을 새로운 PCR 값으로 만든다. 이 과정은 PCR Extend 명령에 인증 데이터를 인수로 사용하여 처리할 수 있다. 이렇게 갱신된 PCR값과 ID를 원격지 컴퓨팅 플랫폼에게 전송하면, 등록된 ID와 인증 데이터 목록에서 ID에 해당하는 인증 데이터와 비밀 데이터를 검색한다. ID에 해당하는 상기 데이터가 있을 경우에, 비밀 데이터와 인증 데이터를 함께 Hash하여 그 결과값이 전달받은 PCR 값과 일치하는지 검사한다. 일치한다면 인증이 성공하게 되고, 원격지 컴퓨팅 플랫폼은 비밀 데이터를 전달 받은 PCR 값으로 바꾼다. 인증이 실패할 경우에는, 인증 요청 컴퓨팅 플랫폼과 원격지 컴퓨팅 플랫폼은 비밀 데이터 공유 과정을 다시 실시하여, 새로운 비밀 데이터를 공유한다.When authenticating to a remote computing platform, the authentication request computing platform hashes the authentication data and the current PCR value together and makes the result the new PCR value. This process can be handled using the authentication data as an argument to the PCR Extend command. When the updated PCR value and ID are transmitted to the remote computing platform, the authentication data and secret data corresponding to the ID are retrieved from the registered ID and authentication data list. If there is the data corresponding to the ID, the secret data and the authentication data are hashed together and the result value is checked to match the received PCR value. If there is a match, authentication succeeds, and the remote computing platform replaces the secret data with the passed PCR value. If authentication fails, the authentication request computing platform and the remote computing platform perform a secret data sharing process again to share new secret data.

이상 설명한 바와 같이, 본 발명은 하나의 컴퓨팅 플랫폼이 하여 원격지 컴퓨팅 플랫폼에게자신을 도록 한다인증 요청 컴퓨팅 플랫폼은 비밀 데이터를 TPM 내의 PCR에 저장하고, 데이터 갱신을 PCR 갱신 기능을 사용하여 처리하기 때문에 비밀 데이터의 저장과 갱신을 안전하게 하기 위하여 별도의 기능을 필요로 하지 않는 장점이 있다. 그리고, 인증 프로토콜에서 Hash 연산만을 사용하고, 한 번의 메시지 전송으로 인증이 이루어지기 때문에 인증에 걸리는 시간 측면의 성능 저하를 최소화한다..As described above, the present invention allows one computing platform to send itself to a remote computing platform. The authentication request computing platform stores the secret data in a PCR in the TPM, and processes the data update using a PCR update function. There is an advantage that does not need a separate function to secure the storage and update of data. In addition, since the authentication protocol uses only a hash operation and authentication is performed by one message transmission, the performance degradation in terms of time required for authentication is minimized.

Claims (5)

원격 인증 과정에서 인증 데이터를 보호하는 방법에 있어서,In the method of protecting the authentication data during the remote authentication process, 접근하고자 하는 원격지 컴퓨팅 플랫폼에 ID와 인증 데이터를 등록하고, 비밀 데이터를 공유하는 단계,비밀 데이터를 자신의 컴퓨팅 플랫폼에 있는 TPM의 PCR에 기록하는 단계,Registering ID and authentication data with the remote computing platform to be accessed, sharing the secret data, recording the secret data in the PCR of the TPM on its computing platform, 원격 인증을 하고자 할 때, 인증 데이터를 이용하여 PCR을 갱신하는 단계,When the remote authentication is to be performed, updating the PCR using the authentication data, 갱신된 PCR 값과 ID를 원격지 컴퓨팅 플랫폼에게 전달하는 단계,Delivering the updated PCR values and IDs to the remote computing platform, 인증 요청을 받았을 때 ID에 해당하는 인증 데이터를 이용하여 비밀 데이터를 갱신한 후, 갱신된 비밀 데이터가 전달 받은 PCR 값과 일치하는지 검사하여 일치하면 인증이 성공하는 단계.,When the authentication request is received, the secret data is updated using the authentication data corresponding to the ID, and then the authentication is successful if the updated secret data matches with the received PCR value. 인증에 실패한 경우 PCR에 저장된 데이터를 무효화하고, 새로이 비밀 데이터를 공유하는 단계를 포함하는 것을 특징으로 하는 원격 인증 방법.If the authentication fails, invalidating the data stored in the PCR, and remotely characterized in that it comprises the step of sharing the new secret data. 제 1항에 있어서, 공유한 비밀 데이터의 크기가 인증 요청 컴퓨팅 플랫폼에 있는 TPM의 PCR 크기와 다를 경우에는 TPM의 PCR 크기와 동일한 크기의 Hash값을 만드는 Hash 알고리즘을 사용하여 비밀 데이터를 Hash하고 그 Hash값을 비밀 데이터로 하는 원격 인증 방법The method of claim 1, wherein when the size of the shared secret data is different from the PCR size of the TPM in the authentication request computing platform, the secret data is hashed using a hash algorithm that generates a hash value having the same size as the PCR size of the TPM. Remote Authentication Method Using Hash Value as Secret Data 제 1항에 있어서, 인증 데이터를 이용하여 PCR을 갱신하는 방법으로써 TPM의 PCR을 갱신(extend or update)하는 명령에 인증 데이터를 인자로 넘겨줌으로써, 현재 PCR 값의 bit string과 인증 데이터의 bit string을 합쳐서(concatenation) Hash하고 그 결과를 PCR의 값으로 하는 원격 인증 방법The bit string of the current PCR value and the bit string of the authentication data by passing the authentication data as a parameter to a command for extending or updating the PCR of the TPM as a method of updating the PCR using the authentication data. Remote authentication method that hashes concatenation and sets the result as PCR value 제 1항에 있어서, 원격지 컴퓨팅 플랫폼이 인증 요청을 받았을 때 ID에 해당하는 인증 데이터를 이용하여 비밀 데이터를 갱신하는 방법으로써, 현재 비밀 데이터의 bit string과 ID에 해당하는 인증 데이터의 bit string을 합쳐서(concatenation) Hash하고 그 결과를 새로운 비밀 데이터의 값으로 하는 원격 인증 방법The method of claim 1, wherein when the remote computing platform receives an authentication request, the secret data is updated using authentication data corresponding to an ID. The bit string of the current secret data and the bit string of the authentication data corresponding to the ID are added together. (concatenation) remote authentication method that hashes and makes the result the value of the new secret data 제 1항에 있어서, 인증에 실패한 경우 PCR에 저장된 데이터를 무효화하는 방법으로써, TPM의 PCR을 갱신(extend or update)하는 명령에 임의의 데이터를 인자로 넘겨줌으로써 PCR 값을 임의의 값으로 설정하는 원격 인증 방법The method of claim 1, wherein when the authentication fails, the PCR value is set to an arbitrary value by passing arbitrary data as an argument to a command for extending or updating the PCR of the TPM. Remote authentication method
KR1020060120344A 2006-12-01 2006-12-01 Method for remote authentication using pcr in tpm KR20080049879A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020060120344A KR20080049879A (en) 2006-12-01 2006-12-01 Method for remote authentication using pcr in tpm

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020060120344A KR20080049879A (en) 2006-12-01 2006-12-01 Method for remote authentication using pcr in tpm

Publications (1)

Publication Number Publication Date
KR20080049879A true KR20080049879A (en) 2008-06-05

Family

ID=39805413

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060120344A KR20080049879A (en) 2006-12-01 2006-12-01 Method for remote authentication using pcr in tpm

Country Status (1)

Country Link
KR (1) KR20080049879A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100932275B1 (en) * 2007-12-18 2009-12-16 한국전자통신연구원 Restriction Method of Subscriber Identity Module Using TPM and Mobile Terminal for the Same

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100932275B1 (en) * 2007-12-18 2009-12-16 한국전자통신연구원 Restriction Method of Subscriber Identity Module Using TPM and Mobile Terminal for the Same

Similar Documents

Publication Publication Date Title
US11218299B2 (en) Software encryption
EP2887576B1 (en) Software key updating method and device
US9317708B2 (en) Hardware trust anchors in SP-enabled processors
US11601268B2 (en) Device attestation including attestation-key modification following boot event
US11245535B2 (en) Hash-chain based sender identification scheme
US20080077592A1 (en) method and apparatus for device authentication
EP1741045A2 (en) Dynamic executable
US20160204933A1 (en) Personal information management system, method and service
CN116362747A (en) Block chain digital signature system
CN110401640B (en) Trusted connection method based on trusted computing dual-system architecture
US20090064273A1 (en) Methods and systems for secure data entry and maintenance
CN113239363A (en) Firmware updating method, device, equipment, readable storage medium and memory system
US11861182B2 (en) Integrated circuit device with an authentication module
CN116418538A (en) Single-packet authorization state detection method, terminal equipment and storage medium
KR20190036779A (en) Method and system for secure firmware update
US20100242112A1 (en) System and method for protecting network resources from denial of service attacks
CN112417422B (en) Security chip upgrading method and computer readable storage medium
KR101040543B1 (en) Detection system and detecting method for the cryptographic data in SSH
CN112182669A (en) System and method for storing data records to be protected
KR20080049879A (en) Method for remote authentication using pcr in tpm
KR20150089696A (en) Integrity Verification System and the method based on Access Control and Priority Level
CN111651740B (en) Trusted platform sharing system for distributed intelligent embedded system
KR100880512B1 (en) An entrance terminal with a built-in sam
US11108744B2 (en) Network encryption methods for realizing encryption of local area networks at the bottom layer driver of network cards of embedded devices
JP2008252353A (en) Remote monitor system and center device

Legal Events

Date Code Title Description
WITN Withdrawal due to no request for examination