KR20090019402A - 보안 기능을 구비한 휴대용 저장장치 및 이를 이용한컴퓨팅 방법 - Google Patents

보안 기능을 구비한 휴대용 저장장치 및 이를 이용한컴퓨팅 방법 Download PDF

Info

Publication number
KR20090019402A
KR20090019402A KR1020070083798A KR20070083798A KR20090019402A KR 20090019402 A KR20090019402 A KR 20090019402A KR 1020070083798 A KR1020070083798 A KR 1020070083798A KR 20070083798 A KR20070083798 A KR 20070083798A KR 20090019402 A KR20090019402 A KR 20090019402A
Authority
KR
South Korea
Prior art keywords
data
storage device
portable storage
application
key
Prior art date
Application number
KR1020070083798A
Other languages
English (en)
Other versions
KR100921680B1 (ko
Inventor
최병철
임재덕
김정녀
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020070083798A priority Critical patent/KR100921680B1/ko
Publication of KR20090019402A publication Critical patent/KR20090019402A/ko
Application granted granted Critical
Publication of KR100921680B1 publication Critical patent/KR100921680B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • G06F21/79Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in semiconductor storage media, e.g. directly-addressable memories
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0602Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
    • G06F3/062Securing storage systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/72Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Human Computer Interaction (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 외부 장치와의 데이터 교환을 수행하며 동작하는 휴대용 저장장치에 관한 것으로서, 컴퓨팅 환경 설정, 응용프로그램의 무결성 관리, 데이터의 무단 복제 방지 및 사용자 인증을 수행하는 보안수단과, 응용프로그램의 설정정보를 포함하는 작업환경설정정보 및 암호화키를 저장하는 보안용 저장수단과, 상기 외부 컴퓨터에서 구동할 OS, 응용프로그램 또는 작업 데이터를 저장하는 데이터 저장수단과, 응용프로그램 구동 및 데이터 처리의 전반적 사항을 수행하는 코어 프로세서를 포함하는 것을 특징으로 하는 휴대용 저장장치를 제공한다.
본 발명에 따르면, 데이터 인증을 통하여 응용프로그램의 무결성 관리, 응용프그램 및 데이터의 실행 및 복제 과정을 관리할 수 있으며, 사용자가 임의의 다른 컴퓨터를 사용자 고유의 작업환경하에서 안전하게 사용할 수 있다.
신뢰 플랫폼 모듈, 인증, 키, USB, 휴대용 저장장치

Description

보안 기능을 구비한 휴대용 저장장치 및 이를 이용한 컴퓨팅 방법{MOBILE STORAGE BASED ON TRUSTED PLATFORM MODULE AND THE COMPUTING METHOD BY USING THERE OF}
본 발명은 휴대용 저장장치 및 이를 이용한 컴퓨팅 방법에 관한 것으로서, 더욱 구체적으로는 데이터의 인증을 통하여 데이터의 저장이나 실행 또는 복제를 관리할 수 있고, 응용프로그램 설정 정보 등을 추가로 저장/관리하여 임의의 외부 컴퓨터를 사용자의 개인의 작업 환경하에서 안전하게 사용할 수 있도록 하는 휴대용 저장장치 및 이를 이용한 컴퓨팅 방법에 관한 것이다.
본 발명은 정보통신부 및 정보통신연구진흥원의 IT 신성장동력 핵심기술 개발 사업의 일환으로 수행한 연구로부터 도출된 것이다[과제관리번호: 2007-S-016-01, 과제명:저비용 대규모 글로벌 인터넷 서비스 솔루션 개발].
인터넷, 와이브로(wireless broadband, Wibro), 디지털 멀티미디어 방송(digital multimedia broadcasting, DMB), 공중 무선 랜 서비스(public wireless LAN service, WLAN), 무선 사설망(wireless personal area network, WPAN) 등의 다양한 통신 서비스 채널의 보급에 따라서 컨텐츠의 유통이 보다 용이하게 구현될 수 있 다.
예컨대 응용 소프트웨어, 방송 컨텐츠, 전자 문서, 이미지, 오디오 및 비디오 데이터 등의 다양한 컨텐츠가 통신 서비스 채널을 통하여 유통되며, 이러한 컨텐츠의 전송이나 저장을 위하여 휴대용 저장장치가 사용된다.
현재 컨텐츠의 전송이나 저장을 위해서 사용되는 휴대용 저장장치는 예컨대 SD 카드(secure digital card, SD card), 멀티미디어 카드(MultiMedia card, MMC) 및 USB 메모리(universal serial bus memory, USB memory) 등이 존재한다.
그러나 이러한 종래의 휴대용 저장장치는 수동적인 디바이스로서, 다양한 응용 파일에 적합한 환경 설정이 불가능하다. 예컨대 인가되지 않은 데이터의 복제나 데이터의 기록을 방지하는 것이 어렵다. 또한 인증 키를 사용하여 데이터의 복제나 기록을 제어하는 경우에도 이러한 인증 키를 관리하기 어렵다.
따라서 종래의 휴대용 저장장치는 비록 사용의 편리성을 가지지만, 데이터 저장이나 복제의 신뢰성 및 안정성 측면에서는 바람직하지 못하다.
한편, 휴대용 저장장치 형태의 속칭 핑거 컴퓨터가 근래 들어 선보이고 있는데, 통상의 핑거 컴퓨터는 플래시 메모리와 운영체제, 각종 소프트웨어가 탑재되어 있고, 외부의 PC나 노트북의 USB 포트에 연결하고 전원을 켜면 내장된 운영체제와 프로그램을 이용해 자신만의 PC로 변신시켜 사용하는 것이 가능하다. 어떤 PC든 핑거 컴퓨터를 연결하는 순간 자신의 PC로 바로 활용할 수 있는 셈이다.
그런데, 이러한 핑거 컴퓨터는 자신에게 내장된 운영체제 및 응용프로그램을 외부 컴퓨터의 컴퓨팅 자원을 활용하여 구동하는 방식을 취하고 있으므로, 이용 가능 한 응용프로그램의 종류나 데이터 관리에 한계가 있다. 즉, 통상의 핑거 컴퓨터는 외부 컴퓨터를 활용하되 외부 컴퓨터의 입출력 장치 및 연산장치의 일부 기능만을 제한적으로 사용하는 정도에 머무를 뿐, 외부 컴퓨터가 제공할 수 있는 기능을 충분히 활용하지 못하는 문제점이 있다.
본 발명의 목적은 데이터의 인증을 통하여 데이터의 저장이나 실행 또는 복제를 관리할 수 있는 휴대용 저장장치를 제공하는 데 있다.
본 발명의 다른 목적은 휴대용 저장장치를 이용하여 사용자가 자신의 고유한 작업환경 하에서 임의의 외부 컴퓨터를 안전하고 높은 활용도로 사용할 수 있는 방법을 제공하는 데 있다.
상기 기술적 과제를 달성하기 위하여, 본 발명은 컴퓨팅 환경 설정, 응용프로그램의 무결성 관리, 데이터의 무단 복제 방지 및 사용자 인증을 수행하는 보안수단과, 응용프로그램의 설정정보를 포함하는 작업환경설정정보 및 암호화키를 저장하는 보안용 저장수단과, 상기 외부 컴퓨터에서 구동할 OS, 응용프로그램 또는 작업 데이터를 저장하는 데이터 저장수단과, 응용프로그램 구동 및 데이터 처리의 전반적 사항을 수행하는 코어 프로세서를 포함하는 것을 특징으로 하는 휴대용 저장장치를 제공한다.
위 보안수단은 OS 및 응용프로그램의 무결성 이미지를 해쉬값으로 저장하고, 이를 이용하여 OS 및 응용프로그램의 무결성 관리를 수행하며, 또는 공개키 암호화 기반의 키쌍을 생성하며, 이를 이용하여 상기 응용프로그램 및 상기 작업 데이터의 무단 복제를 방지한다.
본 발명에 따른 휴대용 저장장치는 전원 공급을 위한 충전 가능 전기발생수단 과, USB, IEEE 1394, 블루투스, 적외선을 포함하는 유무선 통신 방식 중 적어도 하나를 지원하는 통신 인터페이스 수단을 더 포함할 수 있다.
코어 프로세서는 상기 데이터 저장수단에 저장된 OS, 응용프로그램 또는 작업 데이터를 임의의 외부 컴퓨터로 전달하여 접속된 컴퓨터에 무관하게 동일한 작업 환경하에서 컴퓨터를 이용할 수 있도록 하거나, 또는 상기 보안용 저장수단에 저장된 작업환경설정정보를 외부 컴퓨터로 전달하여 동일한 작업환경하에서 상기 외부 컴퓨터에 저장된 응용프로그램을 이용할 수 있도록 하는 것을 특징으로 한다.
본 발명의 다른 면에 따라, 사용자가 이용하는 OS 및 응용프로그램의 설정정보를 포함하는 작업환경정보를 수집하여 저장하는 단계와, 상기 수집된 작업환경정보를 임의의 외부 컴퓨터에 전달하는 단계와, 상기 외부 컴퓨터의 중앙 처리 장치와 통신하며 상기 작업환경정보에 기초하여 상기 외부 컴퓨터의 작업 환경을 설정하는 단계와, 상기 설정된 작업 환경하의 작업을 통해 작성된 작업 데이터에 복제 방지 암호화키를 삽입하는 단계를 포함하는 것을 특징으로 하는 휴대용 저장장치를 이용한 컴퓨팅 방법이 제공된다.
암호화키를 삽입하는 단계는 상기 휴대용 저장장치내 루트키(SRK; Storage Root Key)의 자식 키쌍을 생성하는 단계와 상기 키쌍 중 하나를 상기 휴대용 저장장치에 저장하고, 다른 하나를 상기 작업 데이터에 삽입하는 단계를 포함하여 수행될 수 있다.
본 발명에 따르면 데이터의 인증을 통하여 데이터의 저장이나 실행을 안전하 게 수행하고 무단 복제를 방지할 수 있다.
또한, 사용자 고유의 작업 환경하에서 임의의 외부 컴퓨터를 안전하게 그리고 완전히 활용할 수 있다.
이하, 본 발명의 바람직한 실시예를 첨부한 도면을 참조로 보다 구체적으로 설명한다.
도 1은 본 발명에 따른 휴대용 저장장치의 기능 블록도이다.
도시된 바와 같이, 본 발명에 따른 신뢰 플랫폼 모듈 기반 휴대용 저장장치는 통신 인터페이스부(110)와, 신뢰 플랫폼 모듈(130)과, 데이터 인증부(150)를 포함하며, 데이터 저장부(170)를 추가로 포함할 수 있다.
통신 인터페이스부(110)는 외부 장치와의 통신 인터페이스를 제공한다. 외부 장치는 본 발명에 따른 신뢰 플랫폼 모듈 기반 휴대용 저장장치와 연결되어 데이터의 교환이 수행되는 컴퓨터 또는 PDA 또는 이동통신 단말기 등의 처리 장치이다.
통신 인터페이스부(110)는 예컨대 USB 규격에 따른 통신 인터페이스를 제공한다. 또는 IEEE 1394 등의 통신 인터페이스를 제공하는 것도 가능하다.
신뢰 플랫폼 모듈(130)은 인증 기능을 구비한다. 신뢰 플랫폼 모듈(130)은 데이터의 복제 방지 또는 데이터의 무결성 확인 또는 데이터의 저장이나 사용자의 실행 환경 설정 등을 위해서 인증을 제공한다.
예컨대 신뢰 플랫폼 모듈(130)은 공개키암호(예컨대, RSA, ECC 등) 기반의 키쌍(key pair)을 생성한다. 이러한 RSA 키쌍은 데이터의 인증 기능, 즉 서명이 삽입되 는 데이터를 생성하거나 또는 데이터의 암호화 또는 복호화를 수행하는 데 사용될 수 있다.
데이터 인증부(150)는 신뢰 플랫폼 모듈(130)의 인증 기능을 기초로 통신 인터페이스부(110)를 통하여 교환되는 데이터의 인증을 수행한다.
이하 이러한 데이터의 인증에 대해서 좀 더 상세히 설명한다.
데이터는 예컨대 본 발명에 따른 신뢰 플랫폼 모듈 기반 휴대용 저장장치에 대한 운영 체제 또는 본 발명에 따른 신뢰 플랫폼 모듈 기반 휴대용 저장장치 상에서 실행되는 응용프로그램일 수 있다.
또는 운영 체제 또는 응용프로그램이 아니라 멀티미디어 파일이나 사용자의 실행 환경을 나타내는 데이터 파일일 수도 있다.
이러한 데이터에 대해서 신뢰 플랫폼 모듈(130)의 인증 기능을 기초로 인증 데이터가 삽입된다.
즉 외부 장치로부터 데이터를 수신할 때, 본 발명에 따른 신뢰 플랫폼 모듈 기반 휴대용 저장장치의 신뢰 플랫폼 모듈(130)의 인증 기능을 기초로 인증 데이터가 삽입된 채로 수신될 수 있다.
이 경우 데이터 인증부(150)는 외부 장치로부터 수신한 데이터 중에서 인증 데이터를 추출하며, 이를 신뢰 플랫폼 모듈(130)의 인증 기능을 통하여 생성되는 인증 정보와 비교하여 데이터의 인증을 수행한다.
또는 외부 장치에게로 데이터를 전송할 때, 본 발명에 따른 신뢰 플랫폼 모듈 기반 휴대용 저장장치의 신뢰 플랫폼 모듈(130)의 인증 기능을 기초로 인증 데이터가 삽입된 데이터를 전송할 수 있다.
이 경우 외부 장치에서는 마찬가지로 인증 데이터를 통하여 데이터의 무결성 관리 또는 복제 방지를 수행할 수 있다.
신뢰 플랫폼 모듈(130)은 한편 데이터의 해쉬값을 인증 정보로서 저장할 수 있다.
이 경우 데이터 인증부(150)는 데이터에 포함된 인증 데이터와, 신뢰 플랫폼 모듈(130)에 저장된 데이터의 해쉬값을 비교하여 데이터의 인증을 수행한다.
한편 외부 장치로부터 수신한 데이터를 저장하기 위하여 본 발명에 따른 신뢰 플랫폼 모듈 기반 휴대용 저장장치는 데이터 저장부(170)를 더 포함하는 것이 바람직하다.
데이터 저장부(170)는 예컨대 운영 체제 또는 멀티미디어 파일이나 사용자의 실행 환경을 나타내는 데이터 파일이며, 인증 데이터가 포함된 데이터를 저장한다.
이 경우 바람직하게는 데이터 인증부(150)에서 데이터의 인증이 수행된 이후에 데이터 저장부(170)에 데이터가 저장된다.
즉 데이터의 불법 복제 방지, 무결성 확인 등을 위하여 데이터 인증부(150)의 제어에 의해서 데이터가 저장될 수 있다.
한편 데이터 저장부(170)에 저장된 데이터가 실행되는 경우, 예컨대 응용프로그램이 실행되거나 또는 멀티미디어 파일 등이 재생되거나 또는 복제되거나 또는 외부로 전송하는 등의 경우 데이터 인증부(150)가 신뢰 플랫폼 모듈(130)에 저장된 데이터의 해쉬값을 판독하여 데이터에 대한 인증을 수행하는 것이 바람직하다.
도 1에서 설명의 편의와 이해의 증진을 위하여 데이터 인증부(150)를 신뢰 플랫폼 모듈(130)과 분리된 것으로 도시하였으나, 도 1에 도시된 데이터 인증부(150)와 신뢰 플랫폼 모듈(130)이 하나의 칩 또는 모듈로 구성될 수 있음은 물론이다.
도 2는 본 발명에 따른 휴대용 저장장치의 예시적인 구성을 나타내는 도면이다.
도시된 바와 같이, USB 인터페이스(210)와, 코어 프로세서(220)와, RAM(230)과, TPM(240)과, 플래쉬 메모리(250)와, 배터리(260)를 포함한다.
USB 인터페이스(210)는 도 1에 도시된 통신 인터페이스부(110)에 대응하며, 설명의 편의상 USB 인터페이스로 칭하였으나 이에 한정되지 않고, 기타 외부 컴퓨터와의 접속이 가능한 IEEE 1394, 적외선, 블루투스 인터페이스를 포함하는 유무선 인터페이스를 의미한다.
코어 프로세서(220)는 데이터 인증을 포함하는 휴대용 저장장치의 전반적 동작을 제어하며 외부 컴퓨터와의 협업을 통해 사용자가 자신의 고유한 작업환경하에서 외부 컴퓨터를 충분히 활용할 수 있도록 한다. 이와 관련한 구체 내용에 대해서는 후술한다.
RAM(230)은 동작 중에 이용되는 OS, 응용프로그램, 드라이버 또는 데이터가 일시적으로 저장된다.
TPM(240)은 보안 모듈로서, 컴퓨팅 환경 설정, 응용프로그램의 무결성 관리, 데이터의 무단 복제 방지 및 사용자 인증에 요구되는 각종 보안 데이터의 생성을 수행하며, 칩 형태로 구현될 수 있다. 또한 TPM(240) 내부에는 PCR(Performance Configuration Register)을 구비한다.
PCR은 OS, 응용프로그램 또는 데이터의 무결성 이미지가 해쉬값으로 저장되어 있다. 따라서 이러한 PCR을 이용하여 OS, 응용프로그램이나 데이터의 무결성 관리 및 인증이 수행될 수 있다.
플래쉬 메모리(250)는 비휘발성 메모리로서, 응용프로그램이나 OS, 드라이버가 플래쉬 메모리(250)에 저장되며, 실행시 RAM(230)에 로딩되어 코어 프로세서(220)에서 실행될 수 있다.
또한, 전자문서, 인증서, 콘텐츠 데이터, 게임 데이터 등의 사용자 작업 데이터가 플래쉬 메모리(250)에 저장되어, 사용자의 작업에 이용된다.
특히, 플래쉬 메모리(250)는 응용프로그램의 환경 설정 정보와, 기타 컴퓨팅 환경에 대한 설정 정보를 저장하는데, 환경 설정 정보는 휴대용 저장장치에 내장된 응용프로그램의 것 이외의 기타 범용 응용프로그램의 환경 설정 정보를 저장한다.
예컨대, 휴대용 저장장치 내에는 MS 오피스 프로그램이 설치되어 있지 않으나, 플래쉬 메모리(250)에 MS 오피스 프로그램에 관한 사용자 고유의 환경 설정 정보가 저장되어 있으면, MS 오피스 프로그램이 설치된 외부 컴퓨터에 접속하여 MS 오피스 프로그램을 구동할 때, 플래쉬 메모리(250)에 저장된 환경 설정 정보를 이용하여 사용자가 항상 자신의 컴퓨터에서 작업하듯이 임의의 외부 컴퓨터를 이용할 수 있다.
이때, TPM(240)은 응용프로그램 및 데이터의 무결성 관리및 보안을 수행하며, 코어 프로세서(220)가 플래쉬 메모리(250), TPM(240)의 동작을 조율하고 외부 컴퓨터와 통신하며 전술한 작업이 원활이 수행되도록 조율한다.
배터리(260)는 본 발명에 따른 신뢰 플랫폼 모듈 기반 휴대용 저장장치의 각 구성에 전원을 공급한다. 만약 휴대용 저장장치가 컴퓨터가 USB 방식의 인터페이스를 채택했다면, 외부 컴퓨터 등으로부터 전원을 공급받을 수 있으므로, 이러한 경우 배터리는 생략될 수 있다.
도 3은 본 발명에 따른 휴대용 저장장치의 소프트웨어 계층도이다.
도시되듯이 맨 하위 계층(layer)으로서는 하드웨어 계층(310)이 존재한다. 하드웨어 계층(310)은 예컨대 USB 인테페이스와 TPM 칩을 포함하는 부분이다. TPM 칩 내부에는 PCR을 포함하며, 운영 체제 또는 응용프로그램의 무결성 이미지가 해쉬값으로 저장되어 있다.
디바이스 계층(320)은 USB 인터페이스와 TPM 칩에 대한 디바이스 드라이버(USB & TPM Device Driver)와 라이브러리(USB & TPM LIB)를 포함하는 계층이다. 이러한 디바이스 계층(320)을 통하여 응용 계층(340) 또는 TSS 계층(330)이 하드웨어 계층(310)을 제어할 수 있다.
TSS(TPM Software Stack) 계층(330)은 TPM의 각종 기능에 대한 스택이다. 예컨대 응용프로그램의 실행 환경 설정과 관리(APP SW Config. Management), 응용프로그램의 무결성 관리(APP SW Integrity Management), 응용프로그램 등의 데이터의 복제 방지(Copy Protection API) 및 이러한 기능들을 위한 키 관리(Key Management) 기능을 포함한다.
응용 계층(340)은 각종 응용프로그램 및 GUI로 구성된다. 여기에서의 응용 또는 애플리케이션은 휴대용 저장장치 내부에서 실행되어 동작하는 프로그램을 말한다.
도 4는 본 발명에 따른 휴대용 저장장치를 이용한 데이터의 다운로드 및 인증을 예시적으로 나타내는 도면이다.
도시되듯이 본 발명에 따른 신뢰 플랫폼 모듈 기반 휴대용 저장장치(100)는 개인용 웹 서버(400)를 통하여 데이터 저장장치(500)에 데이터의 다운로드를 요청한다.
이 경우 데이터 저장장치(500)는 미리 인증 데이터가 삽입된 데이터, 즉 서명된 데이터를 저장하며, 이를 개인용 웹 서버(400)를 통하여 신뢰 플랫폼 모듈 기반 휴대용 저장장치(100)에 전송한다.
개인용 웹 서버(400)는 신뢰 플랫폼 모듈 기반 휴대용 저장장치(100)에 대응되어 구성되는 웹 서버로서 데이터 저장장치(500)에 대한 데이터 다운로드 인터페이스를 제공하는 구성이다.
신뢰 플랫폼 모듈 기반 휴대용 저장장치(100)는 데이터 저장장치(500)로부터 서명된 데이터를 수신하여 저장하며, 내부의 인증 기능을 이용하여 데이터를 사용할 수 있다.
예컨대 응용프로그램의 경우 내부의 인증 기능, 즉 K_pr, K_pu 등으로 표시되는 키값을 통하여 서명을 확인한 이후에 사용이 가능하도록 구성될 수 있다.
이 경우 인증은 예컨대 전술한 해쉬값을 기초로 수행될 수 있으며, 또한 서명된 데이터는 예컨대 키를 이용하여 서명이 수행된 데이터일 수 있다.
도 5는 본 발명에 따른 신뢰 플랫폼 모듈에서 사용하는 키 계층 구조를 예시적으로 나타내는 도면이다.
도시되듯이 TPM 키 계층 구조는 최상단의 EK(Endorsement Key)와 중간 단의 AIK(Attestation Identity Key), SRK(Storage Root Key)와, 최하단의 DAA(Direct Anonymous Attestation) 또는 차일드 키쌍(K_pu, K_pr)을 포함한다.
차일드 키쌍(K_pu, K_pr)은 SRK의 차일드(Child)이며, 본 발명에 따른 신뢰 플랫폼 모듈 기반 휴대용 저장장치에서 실제 데이터의 인증을 위해서 사용하는 키들이다. 차일드 키쌍은 다수 개 포함될 수 있다.
비록 본 발명의 구성이 구체적으로 설명되었지만 이는 단지 본 발명을 예시적으로 설명한 것에 불과한 것으로, 본 발명이 속하는 기술분야에서 통상의 지식을 가지는 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위 내에서 다양한 변형이 가능할 것이다.
따라서 본 명세서에 개시된 실시예들은 본 발명을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 사상과 범위가 한정되는 것은 아니다. 본 발명의 범위는 아래의 청구범위에 의해 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
도 1은 본 발명에 따른 휴대용 저장장치의 기능 블록도.
도 2는 본 발명에 따른 휴대용 저장장치의 구성도.
도 3은 본 발명에 따른 휴대용 저장장치의 소프트웨어 계층도.
도 4는 본 발명에 따른 휴대용 저장장치를 이용한 데이터의 다운로드 및 인증 과정을 예시적으로 나타내는 도면.
도 5는 본 발명에 따른 휴대용 저장장치에서 사용하는 키 계층 구조를 예시적으로 나타내는 도면.
<도면의 주요부분에 대한 부호의 설명>
100: 휴대용 저장장치
110: 통신 인터페이스부 130: 신뢰 플랫폼 모듈
150: 데이터 인증부 170: 데이터 저장부
210: USB 인터페이스 220: 코어 프로세서
230: RAM 240: TPM
250: 플래쉬 메모리 260: 배터리
310: 하드웨어 계층 320: 디바이스 계층
330: 하드웨어 계층 340: 응용 계층
400: 개인용 웹 서버 500: 데이터 저장장치

Claims (11)

  1. 컴퓨팅 환경 설정, 응용프로그램의 무결성 관리, 데이터의 무단 복제 방지 및 사용자 인증을 수행하는 보안수단과,
    응용프로그램의 설정정보를 포함하는 작업환경설정정보 및 암호화키를 저장하는 보안용 저장수단과,
    상기 외부 컴퓨터에서 구동할 OS, 응용프로그램 또는 작업 데이터를 저장하는 데이터 저장수단과,
    응용프로그램 구동 및 데이터 처리의 전반적 사항을 수행하는 코어 프로세서
    를 포함하는 것을 특징으로 하는 휴대용 저장장치.
  2. 제1항에 있어서, 상기 보안수단은,
    OS 및 응용프로그램의 무결성 이미지를 해쉬값으로 저장하고, 이를 이용하여 OS 및 응용프로그램의 무결성 관리를 수행하는 것을 특징으로 하는 휴대용 저장장치.
  3. 제1항에 있어서, 상기 보안수단은,
    공개키 암호화 기반의 키쌍을 생성하며, 이를 이용하여 상기 응용프로그램 및 상기 작업 데이터의 무단 복제를 방지하는 것을 특징으로 하는 휴대용 저장장치.
  4. 제1항에 있어서,
    전원 공급을 위한 충전 가능 전기발생수단을 더 포함하는 것을 특징으로 하는 휴대용 저장장치.
  5. 제1항에 있어서,
    USB, IEEE 1394, 블루투스, 적외선을 포함하는 유무선 통신 방식 중 적어도 하나를 지원하는 통신 인터페이스 수단을 더 포함하는 것을 특징으로 하는 휴대용 저장장치.
  6. 제5항에 있어서, 상기 코어 프로세서는,
    상기 데이터 저장수단에 저장된 OS, 응용프로그램 또는 작업 데이터를 임의의 외부 컴퓨터로 전달하여 접속된 컴퓨터에 무관하게 동일한 작업 환경하에서 컴퓨터를 이용할 수 있도록 하는 것을 특징으로 하는 휴대용 저장장치.
  7. 제5항에 있어서, 상기 코어 프로세서는,
    상기 보안용 저장수단에 저장된 작업환경설정정보를 외부 컴퓨터로 전달하여, 동일한 작업환경하에서 상기 외부 컴퓨터에 저장된 응용프로그램을 이용할 수 있도록 하는 것을 특징으로 하는 휴대용 저장장치.
  8. 제1항에 있어서, 상기 데이터 저장수단은,
    자체 구동을 위한 각종 디바이스 드라이버 및 라이브러리를 더 저장하는 것을 특징으로 하는 휴대용 저장장치.
  9. 사용자가 이용하는 OS 및 응용프로그램의 설정정보를 포함하는 작업환경정보를 수집하여 저장하는 단계와,
    상기 수집된 작업환경정보를 임의의 외부 컴퓨터에 전달하는 단계와,
    상기 외부 컴퓨터의 중앙 처리 장치와 통신하며 상기 작업환경정보에 기초하여 상기 외부 컴퓨터의 작업 환경을 설정하는 단계와,
    상기 설정된 작업 환경하의 작업을 통해 작성된 작업 데이터에 복제 방지 암호화키를 삽입하는 단계
    를 포함하는 것을 특징으로 하는 휴대용 저장장치를 이용한 컴퓨팅 방법.
  10. 제9항에 있어서, 상기 암호화키를 삽입하는 단계는,
    상기 휴대용 저장장치내 루트키(SRK; Storage Root Key)의 자식 키쌍을 생성하는 단계와,
    상기 키쌍 중 하나를 상기 휴대용 저장장치에 저장하고, 다른 하나를 상기 작업 데이터에 삽입하는 단계
    를 포함하는 것을 특징으로 하는 휴대용 저장장치를 이용한 컴퓨팅 방법.
  11. 제9항에 있어서,
    상기 휴대용 저장장치내 루트키(SRK; Storage Root Key)의 자식 키쌍을 생성하는 단계와,
    원격지 웹서버 또는 데이터베이스로 상기 키쌍 중 하나를 전달하며 데이터를 요청하는 단계와,
    상기 요청된 데이터를 수신하는 단계와,
    상기 수신된 데이터를 상기 키쌍 중 다른 하나를 이용하여 데이터 인증을 수행하는 단계와,
    상기 인증이 성공하면 상기 수신된 데이터를 저장하고, 상기 인증이 실패하면 상기 수신된 데이터를 무시하고 제거하는 단계
    를 포함하는 원격지 데이터 다운로드 단계를 더 포함하는 것을 특징으로 하는 휴대용 저장장치를 이용한 컴퓨팅 방법.
KR1020070083798A 2007-08-21 2007-08-21 보안 기능을 구비한 휴대용 저장장치 및 이를 이용한컴퓨팅 방법 KR100921680B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020070083798A KR100921680B1 (ko) 2007-08-21 2007-08-21 보안 기능을 구비한 휴대용 저장장치 및 이를 이용한컴퓨팅 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070083798A KR100921680B1 (ko) 2007-08-21 2007-08-21 보안 기능을 구비한 휴대용 저장장치 및 이를 이용한컴퓨팅 방법

Publications (2)

Publication Number Publication Date
KR20090019402A true KR20090019402A (ko) 2009-02-25
KR100921680B1 KR100921680B1 (ko) 2009-10-15

Family

ID=40687218

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070083798A KR100921680B1 (ko) 2007-08-21 2007-08-21 보안 기능을 구비한 휴대용 저장장치 및 이를 이용한컴퓨팅 방법

Country Status (1)

Country Link
KR (1) KR100921680B1 (ko)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010127008A2 (en) * 2009-04-29 2010-11-04 Lstar Technologies Llc Securing backing storage data passed through a network
US8352679B2 (en) 2009-04-29 2013-01-08 Empire Technology Development Llc Selectively securing data and/or erasing secure data caches responsive to security compromising conditions
KR101318668B1 (ko) * 2013-05-21 2013-10-16 (주)세이퍼존 정보 보안 기능을 갖는 휴대용 저장장치
US8799671B2 (en) 2009-05-06 2014-08-05 Empire Technology Development Llc Techniques for detecting encrypted data
KR20140111630A (ko) * 2014-07-04 2014-09-19 주식회사 비즈모델라인 아이씨칩과 서버 사이의 종단 간 데이터 교환 방법
US8924743B2 (en) 2009-05-06 2014-12-30 Empire Technology Development Llc Securing data caches through encryption
WO2022055901A1 (en) * 2020-09-08 2022-03-17 Micron Technology, Inc. Leveraging a trusted party third-party hsm and database to securely share a key

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20020086444A (ko) * 2002-10-26 2002-11-18 주식회사 드림시큐리티 저장 및 연산 기능을 가지는 복합형 유에스비 드라이브
KR20040085793A (ko) * 2003-04-01 2004-10-08 이상은 응용프로그램 내장형 스마트 이동저장장치
KR100654675B1 (ko) * 2004-12-04 2006-12-08 소프트온넷(주) 호스트 컴퓨터상에서 응용프로그램 수행을 위한 휴대용디지털 저장장치 시스템 및 방법
KR20070058390A (ko) * 2007-03-23 2007-06-08 김용구 클라이언트 컴퓨터의 가상화와 서버 연동을 이용한 작업연속성과 일관성을 유지하는 시스템 및 그 방법

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010127008A2 (en) * 2009-04-29 2010-11-04 Lstar Technologies Llc Securing backing storage data passed through a network
WO2010127008A3 (en) * 2009-04-29 2011-03-10 Lstar Technologies Llc Securing backing storage data passed through a network
US8352679B2 (en) 2009-04-29 2013-01-08 Empire Technology Development Llc Selectively securing data and/or erasing secure data caches responsive to security compromising conditions
US8726043B2 (en) 2009-04-29 2014-05-13 Empire Technology Development Llc Securing backing storage data passed through a network
US9178694B2 (en) 2009-04-29 2015-11-03 Empire Technology Development Llc Securing backing storage data passed through a network
US8799671B2 (en) 2009-05-06 2014-08-05 Empire Technology Development Llc Techniques for detecting encrypted data
US8924743B2 (en) 2009-05-06 2014-12-30 Empire Technology Development Llc Securing data caches through encryption
KR101318668B1 (ko) * 2013-05-21 2013-10-16 (주)세이퍼존 정보 보안 기능을 갖는 휴대용 저장장치
KR20140111630A (ko) * 2014-07-04 2014-09-19 주식회사 비즈모델라인 아이씨칩과 서버 사이의 종단 간 데이터 교환 방법
WO2022055901A1 (en) * 2020-09-08 2022-03-17 Micron Technology, Inc. Leveraging a trusted party third-party hsm and database to securely share a key
US11444771B2 (en) 2020-09-08 2022-09-13 Micron Technology, Inc. Leveraging a trusted party third-party HSM and database to securely share a key

Also Published As

Publication number Publication date
KR100921680B1 (ko) 2009-10-15

Similar Documents

Publication Publication Date Title
US8171295B2 (en) Information processing apparatus, a server apparatus, a method of an information processing apparatus, a method of a server apparatus, and an apparatus executable process
US8165300B2 (en) System and method for generalized authentication
KR100921680B1 (ko) 보안 기능을 구비한 휴대용 저장장치 및 이를 이용한컴퓨팅 방법
CN102859963B (zh) 从非本地存储器安全地引导和配置子系统
US8560820B2 (en) Single security model in booting a computing device
Garriss et al. Trustworthy and personalized computing on public kiosks
US20210216616A1 (en) Memory controller and storage device including the same
US20080082813A1 (en) Portable usb device that boots a computer as a server with security measure
US20090259855A1 (en) Code Image Personalization For A Computing Device
US8060735B2 (en) Portable device and method for externally generalized starting up of a computer system
US20060174110A1 (en) Symmetric key optimizations
US7840795B2 (en) Method and apparatus for limiting access to sensitive data
TWI420339B (zh) 軟體授權系統及方法
US20050138389A1 (en) System and method for making password token portable in trusted platform module (TPM)
JP2005173197A (ja) 暗号復号処理システム及び暗号復号処理装置
CN102177678B (zh) 可信和机密的远程tpm初始化
US20080092217A1 (en) Environment migration system, terminal apparatus, information processing apparatus, management server, and portable storage medium
KR20130050959A (ko) 패스워드 리커버리 비밀을 저장하기 위한 시스템 및 방법
TWI424321B (zh) 雲端儲存系統及方法
US20070204171A1 (en) Data processing device and data processing method
WO2006099785A1 (fr) Puce de sécurité
CN109804598B (zh) 信息处理的方法、系统及计算机可读介质
US8341389B2 (en) Device, systems, and method for securely starting up a computer installation
KR20170140630A (ko) 애플리케이션 무결성 인증 방법 및 인증 서버
US7600134B2 (en) Theft deterrence using trusted platform module authorization

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20120919

Year of fee payment: 18