KR20090078551A - 이동 저장 장치에서 호스트 인증 방법, 호스트 인증을 위한정보 제공 방법, 장치, 및 기록매체 - Google Patents

이동 저장 장치에서 호스트 인증 방법, 호스트 인증을 위한정보 제공 방법, 장치, 및 기록매체 Download PDF

Info

Publication number
KR20090078551A
KR20090078551A KR1020080004435A KR20080004435A KR20090078551A KR 20090078551 A KR20090078551 A KR 20090078551A KR 1020080004435 A KR1020080004435 A KR 1020080004435A KR 20080004435 A KR20080004435 A KR 20080004435A KR 20090078551 A KR20090078551 A KR 20090078551A
Authority
KR
South Korea
Prior art keywords
host
storage device
software
mobile storage
authentication
Prior art date
Application number
KR1020080004435A
Other languages
English (en)
Other versions
KR101281678B1 (ko
Inventor
모상덕
서상범
이성민
정복득
황용호
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Priority to KR1020080004435A priority Critical patent/KR101281678B1/ko
Priority to US12/191,392 priority patent/US8464047B2/en
Publication of KR20090078551A publication Critical patent/KR20090078551A/ko
Priority to US13/914,310 priority patent/US9164925B2/en
Application granted granted Critical
Publication of KR101281678B1 publication Critical patent/KR101281678B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1458Protection against unauthorised use of memory or access to memory by checking the subject access rights
    • G06F12/1466Key-lock mechanism

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Stored Programmes (AREA)
  • Storage Device Security (AREA)

Abstract

이동 저장 장치에 연결되는 호스트를 인증하는 방법, 호스트를 인증하기 위한 정보를 제공하는 방법, 장치, 및 기록매체가 개시된다. 본 발명에 따른 이동 저장 장치에서 호스트 인증 방법은 데이터의 전송을 요청하는 호스트 소프트웨어의 무결성을 검사하는 단계; 호스트의 접근 권한을 인증하는 단계; 및 호스트 소프트웨어의 접근 권한을 인증하는 단계를 포함하는 것을 특징으로 한다. 본 발명에 따르면, 사용자 정보의 안전한 보관 및 이동을 가능하게 하는 효과가 있다.

Description

이동 저장 장치에서 호스트 인증 방법, 호스트 인증을 위한 정보 제공 방법, 장치, 및 기록매체{Method and Apparatus for authorizing host in portable storage device and providing information for authorizing host, and computer readable medium thereof}
본 발명은 이동 저장 장치(portable storage device)에 관한 것으로, 더욱 상세하게는 이동 저장 장치에 연결되는 호스트를 인증하는 방법, 호스트를 인증하기 위한 정보를 제공하는 방법, 장치, 및 기록매체에 관한 것이다.
최근, PC(Personal Computer), PDA(Personal Digital Assistants), 무선 단말, DTV(Digital Television) 등의 디지털 정보 기기는 USB(Univeral Serial Bus) 메모리, CF(Compact Flash) 카드, 또는 SD(Secure Digital) 카드 등의 휴대 가능한 이동 저장 장치를 사용한다.
한편, 가상화 기술 기반의 상태 이동 기술이라 함은 VMM(Virtual Machine Monitor) 기반 환경에서 동작하고 있던 가상 머신을 서스펜드(suspend)하고, 서스펜드된 가상 머신을 이동 저장 장치에 저장하여 다른 호스트로 이동시킨 후에 다른 호스트의 VMM 상에 로드시켜 동작을 리줌(resume)하는 기술을 말한다.
도 1은 기존의 이동 저장 장치(110)에 저장된 데이터를 보호하기 위한 기술을 설명하기 위한 도면이다.
도 1을 참조하면, 이동 저장 장치(110)는 사용자에 의해서 PC, PDA, 무선 단말, 및 DTV 등의 디지털 정보 기기(이하, '호스트'라 한다)(100)에 연결된다. 호스트(100)는 데이터를 암호화하여 이동 저장 장치(110)에 저장한다(120). 또한, 호스트(100)는 이동 저장 장치(110)로부터 암호화된 데이터를 판독하고 복호화한다.
그러나, 기존의 이동 저장 장치(110)는 보안 기능이 취약하기 때문에, 이동 저장 장치(110)의 분실이나 도난이 발생하거나 악성 소프트웨어에 감염된 호스트(100)가 이동 저장 장치(110)를 사용하는 경우, 이동 저장 장치(110)에 저장되어 있던 사용자의 중요 정보가 악의적 사용자에게 노출될 수 있다는 문제점이 있다.
또한, 이동 저장 장치(110)가 가상화(Virtualization) 기술을 기반으로 하는 상태 이동(state migration) 기술에 사용되는 경우, 이동 저장 장치(110)에 저장되어 이동되는 가상 머신(Virtual Machine)이 허용되지 않은 호스트(100)에 의해 사용되지 않도록 강제할 수 없다는 문제점이 있다.
본 발명이 해결하고자 하는 과제는 분실, 도난, 또는 악성 소프트웨어에 감염된 호스트로부터 이동 저장 장치에 저장된 사용자 정보를 안전하게 보호하기 위한 이동 저장 장치에서 호스트 인증 방법, 호스트 인증을 위한 정보 제공 방법, 장치, 및 기록매체를 제공하는 것에 있다.
또한, 가상화 기술을 기반으로 하는 상태 이동 기술의 경우에, 상태 이동하는 가상 머신과 사용자 정보가 권한 없는 호스트나 악성 소프트웨어에 의해서 사용되지 않도록 하기 위한 이동 저장 장치에서 호스트 인증 방법, 호스트 인증을 위한 정보 제공 방법, 장치, 및 기록매체를 제공하는 것에 있다.
상술한 기술적 과제를 달성하기 위하여, 본 발명의 일 실시예에 따른 이동 저장 장치에서 호스트 인증 방법은 데이터의 전송을 요청하는 호스트 소프트웨어의 무결성을 검사하는 단계; 상기 호스트의 접근 권한을 인증하는 단계; 및 상기 호스트 소프트웨어의 접근 권한을 인증하는 단계를 포함하는 것을 특징으로 한다.
상기 호스트 소프트웨어의 무결성을 검사하는 단계는, 상기 호스트로부터 상기 호스트 소프트웨어의 무결성에 관한 정보를 수신하는 단계를 포함하고, 상기 호스트는 보안 부팅되는 것이 바람직하다.
상기 호스트의 접근 권한을 인증하는 단계는, 상기 호스트로부터 수신되는 상기 호스트의 식별 키를 기초로 하여 인증하는 단계를 포함하는 것이 바람직하다.
상기 호스트 소프트웨어의 접근 권한을 인증하는 단계는, 상기 호스트로부터 수신되는 상기 호스트 소프트웨어의 식별 키를 기초로 하여 인증하는 단계를 포함하는 것이 바람직하다.
상기 호스트 소프트웨어의 무결성 검사가 실패하거나 또는 상기 호스트의 접근 권한의 인증이 실패하면, 상기 호스트 소프트웨어의 데이터 전송 요청을 거부하는 단계를 더 포함하는 것이 바람직하다.
상기 호스트 소프트웨어의 무결성 검사 및 상기 호스트의 접근 권한의 인증이 모두 성공하면, 상기 이동 저장 장치의 저장 영역 중 미리 결정된 일부 영역에 저장되어 있는 데이터에 대하여 상기 호스트 소프트웨어의 데이터 전송 요청을 허용하는 단계를 더 포함하는 것이 바람직하다.
상기 미리 결정된 일부 영역에 저장되어 있는 데이터는, 상태 이동을 위하여 또 다른 호스트에 의해 서스펜드(suspend)된 가상 머신을 포함하고, 상기 호스트 소프트웨어는 상기 이동 저장 장치로부터 판독되어 상기 호스트에 의해 리줌된 가상 머신을 포함하는 것이 바람직하다.
상기 호스트 소프트웨어의 접근 권한의 인증이 성공하면, 상기 이동 저장 장치의 전체 저장 영역에 저장되어 있는 데이터에 대하여 상기 호스트 소프트웨어의 데이터 전송 요청을 허용하는 단계를 더 포함하는 것이 바람직하다.
상기 저장 영역 중 상기 미리 결정된 일부 영역을 제외한 나머지 영역은 애플리케이션 프로그램 또는 사용자 데이터를 포함하는 것이 바람직하다.
상기 호스트는 퍼스널 컴퓨터, PDA(Personal Digital Assistants), 무선 통 신 단말기, 또는 디지털 텔레비전인 것이 바람직하다.
상기 이동 저장 장치는 USB(Universal Serial Bus) 메모리 카드, CF(Compact Flash) 카드, 또는 SD(Secure Digital) 카드인 것이 바람직하다.
상기 호스트 소프트웨어는 상기 호스트에서 동작하는 가상 머신, 상기 호스트에서 동작하는 애플리케이션 프로그램, 또는 사용자 인터페이스 프로그램인 것이 바람직하다.
또한, 상술한 기술적 과제를 달성하기 위하여, 본 발명의 일 실시예에 따른 이동 저장 장치에서 호스트 인증 장치는, 데이터의 전송을 요청하는 호스트 소프트웨어의 무결성을 검사하는 무결성 검사부; 상기 호스트의 접근 권한을 인증하는 제1 접근 권한 인증부; 상기 호스트 소프트웨어의 접근 권한을 인증하는 제2 접근 권한 인증부; 및 상기 무결성 검사, 상기 제1 접근 권한 인증, 또는 상기 제2 접근 권한 인증의 결과에 기초하여 상기 호스트로의 상기 데이터의 전송을 제어하는 제어부를 포함하는 것을 특징으로 한다.
또한, 상술한 기술적 과제를 달성하기 위하여, 본 발명의 일 실시예에 따른 호스트 인증을 위한 정보 제공 방법은, 상기 호스트를 보안 부팅하는 단계; 상기 보안 부팅의 결과에 따라 생성되는 호스트 소프트웨어의 무결성에 관한 정보, 및 상기 호스트의 식별 키를 상기 이동 저장 장치로 전송하는 단계; 및 상기 호스트 소프트웨어의 무결성 검사 및 상기 호스트의 권한 인증이 성공할 경우, 상기 호스트 소프트웨어의 식별키를 전송하는 단계를 포함하고, 상기 호스트 소프트웨어는 상기 이동 저장 장치에 저장되어 있는 데이터의 전송을 요청하는 소프트웨어인 것 을 특징으로 한다.
또한, 상술한 기술적 과제를 달성하기 위하여, 본 발명의 일 실시예에 따른 호스트 인증을 위한 정보 제공 장치는, 상기 호스트를 보안 부팅하는 부팅부; 상기 보안 부팅의 결과에 기초한 호스트 소프트웨어의 무결성에 관한 정보, 상기 호스트의 식별 키, 및 상기 호스트 소프트웨어의 식별키를 생성하는 제어부; 및 상기 호스트 소프트웨어의 무결성에 관한 정보, 상기 호스트의 식별 키, 및 상기 호스트 소프트웨어의 식별키를 상기 이동 저장 장치로 송신하는 송신부를 포함하고, 상기 호스트 소프트웨어는 상기 이동 저장 장치에 저장되어 있는 데이터의 전송을 요청하는 소프트웨어인 것을 특징으로 한다.
또한, 상술한 기술적 과제를 달성하기 위하여, 본 발명의 일 실시예에 따른 이동 저장 장치에서 호스트 인증 방법 및 호스트 인증을 위한 정보 제공 방법을 실행하기 위한 프로그램은 컴퓨터로 읽을 수 있는 기록 매체에 컴퓨터가 읽을 수 있는 코드로서 구현되는 것을 특징으로 한다.
본 발명에 따르면, 권한없는 사용자가 이동 저장 장치의 저장 영역에 접근하는 것을 차단함으로써, 분실, 도난, 또는 악성 소프트웨어에 감염된 호스트로부터 이동 저장 장치에 저장된 사용자 정보를 안전하게 보호할 수 있는 효과가 있다.
또한, 본 발명에 따르면, 가상화 기술을 기반으로 하는 상태 이동 기술의 경우, 가상 머신 및 사용자 정보를 권한 없는 호스트나 악성 소프트웨어로부터 안전하게 보호할 수 있는 효과가 있다.
이하 첨부한 도면을 참조하여 본 발명의 바람직한 실시예를 상세하게 설명한다.
도 2는 본 발명을 구현하기 위한 호스트(200) 및 이동 저장 장치(210)의 구조를 개략적으로 도시한 도면이다.
도 2를 참조하면, 호스트(200)는 퍼스널 컴퓨터, PDA(Personal Digital Assistants), 무선 통신 단말기, 또는 디지털 텔레비전과 같은 디지털 정보 기기로서, 대개 USB 메모리, CF 카드, 또는 SD 카드와 같은 이동 저장 장치에 연결되어 사용된다.
호스트(200)는 연결된 이동 저장 장치(210)에 저장된 데이터의 전송 요청을 하고 이동 저장 장치(210)로부터 전송된 데이터를 수신하기 위하여, 제어부(202), I/O부(204), 및 메모리(206)를 포함한다. 제어부(202)는 호스트(200)의 전체 동작을 제어하고, I/O부(204)는 데이터의 입출력을 위한 인터페이스이며, 메모리(206)는 호스트(200)의 데이터를 저장한다.
호스트(200)는 보안 모듈(또는, 'Trusted Module'으로도 불림)(208)을 더 포함할 수도 있다. 보안 모듈(208)은 호스트(200)를 보안 부팅(Secure Booting)하기 위한 모듈이다. 보안 부팅이 실행되면, 호스트(200)의 메모리(206)에 저장된 운영체제가 무단 변경 없이 부팅되도록 보장될 수 있다. 예를 들어, 호스트(200)에 전원이 인가되고 호스트(200)가 메모리(206)에 저장된 운영체제에 의해 부팅될 때는, 저장된 운영체제의 무결성이 보장되어야 한다. 만일, 운영체제의 무결성이 보장되 지 않은 채로 호스트(200)가 부팅되면, 악의적인 사용자에 의해 호스트(200)가 정상적인 동작을 수행할 수 없다. 보안 부팅을 수행하기 위한 방법은 본 기술분야에서 이미 다양하게 제시되어 있으므로 이에 대한 구체적인 설명은 생략한다.
결국, 보안 모듈(208)은 제어부(202)에 부담을 주지 않으면서 빠른 속도로 호스트(200)에서 동작하는 프로그램의 무결성 검사를 수행할 수 있도록 한다. 다만, 호스트(200)는 반드시 내부에 보안 모듈(208)을 포함할 필요는 없고, 이동 저장 장치(210)에 내장된 보안 모듈(218)을 이용하여 보안 부팅을 실행할 수도 있다. 이에 대해서는 후술하도록 한다.
한편, 호스트(200)는 VMM(Virtual Machine Monitor)을 이용하여 여러 개의 운영체제(Operating System)가 동시에 동작할 수 있는 가상화 기술을 기반으로 할 수 있다. 따라서, 호스트(200)에서는 하나의 운영체제가 동작할 수도 있고, 여러 운영체제가 VMM 상에서 동시에 동작할 수도 있다.
본 명세서에서, VMM 기반의 환경에서 각각의 운영체제가 동작하는 환경을 도메인이라 하고, 각각의 도메인에는 하나의 가상 머신(Virtual Machine)이 동작할 수 있다. 또한, 가상 머신은 각각의 도메인에서 동작하는 소프트웨어를 말한다. 또한, 호스트 소프트웨어는 호스트에서 동작하는 애플리케이션 프로그램, 가상 머신, 또는 사용자 인터페이스 프로그램 등을 의미하고, 이동 저장 장치의 저장 영역에 저장된 데이터에 대해 접근할 때 인증의 대상이 된다.
이동 저장 장치(210)(또는, 'PSS(Portable Secure Storage)'로도 불림)는 제어부(212), ROM(214), RAM(216), 보안 모듈(218), 및 저장 영역(220)을 포함한다.
제어부(212)는 이동 저장 장치(210)의 전체 동작을 관리하며 제어한다. ARM 프로세서와 같은 저전력 임베디드 보드를 위한 프로세서가 사용될 수 있다.
ROM(214)는 이동 저장 장치(210)의 동작에 필요한 코드를 저장하는 장치로서, 이동 저장 장치(210)의 외부에서는 접근할 수 없다.
RAM(216)은 이동 저장 장치(216)의 동작에 사용되는 메모리로서 이동 저장 장치(210)의 외부에서는 접근할 수가 없다.
보안 모듈(218)(또는, 'Trusted Module')은 호스트(200) 또는 호스트(200)에서 동작하면서 이동 저장 장치(210)에 데이터 전송을 요청하는 호스트 소프트웨어에 대한 무결성 검사나 권한 인증을 실행하기 위한 하드웨어이다. 보안 모듈(218)은 내부에 암호 가속기(cryptographic accelerator)를 내장하고 있어, 제어부(212)에 부담을 주지 않으면서 빠른 속도로 호스트(200) 또는 호스트 소프트웨어의 인증 문제를 처리할 수 있다. 보안 모듈(218)은 TCG(Trust Computing Group)의 TPM (Trusted Platform Module)과 유사한 기능을 수행한다.
저장 영역(220)은 실제 사용자 정보를 저장하기 위한 공간으로 NAND나 NOR 플래쉬 메모리 등이 사용될 수 있다. 저장 영역(220) 중 일부 영역은 호스트 또는 호스트 소프트웨어의 인증에 필요한 정보를 저장하기 위한 공간으로 사용된다.
이동 저장 장치(210)에 저장되어 있는 사용자 정보를 보호하기 위해서 요구되는 것은, 이동 저장 장치(210)를 사용하는 호스트(200)가 이동 저장 장치(210)를 사용하도록 허락된 것이어야 하고 호스트 소프트웨어가 정상적으로 동작하여야 한다는 사실이다. 따라서, 이동 저장 장치(210)는 호스트(200)의 접근이 허용되는지 여부 및 호스트 소프트웨어의 변형 여부를 검사하고, 검사에 실패하는 경우 이동 저장 장치(210)에 저장된 데이터를 판독할 수 없도록 제한한다.
또한, 상태 이동과 같은 환경에서는 가상 머신이 호스트들 사이에서 이동할 수 있다. 따라서, 호스트(200)의 접근 권한이 인증되었다 할지라도 실제로 데이터를 읽어가는 가상 머신과 같은 호스트 소프트웨어의 접근 권한은 인증할 수 없다. 이러한 환경에서는 인증된 호스트(200)가 이동 저장 장치(210)에 연결되어 있다 하더라도 호스트(200)에서 동작하는 가상 머신은 악성 소프트웨어에 의해서 감염되어 있을 수 있다. 가상 머신은 이동 저장 장치(210)에 저장되어 있는 사용자 정보를 악의적으로 사용하거나 파괴할 수 있기 때문에, 사용자를 보호하기 위해서는 가상 머신에 대하여 이동 저장 장치(210)에 대한 접근 권한이 있는지 여부가 인증되어야 한다.
도 3은 본 발명의 일 실시예에 따른 이동 저장 장치에서 호스트 인증 장치를 도시한 블록도이다.
도 3을 참조하면, 이동 저장 장치에서 호스트 인증 장치는 호스트가 이동 저장 장치에 접근할 때, 호스트의 접근 권한을 인증하고, 및 데이터 전송을 요청하는 호스트 소프트웨어의 무결성과 접근 권한을 인증하기 위한 장치이다.
이동 저장 장치에서 호스트 인증 장치는 무결성 검사부(312), 제1 접근 권한 인증부(312), 제2 접근 권한 인증부(316), 및 제어부(300)를 포함한다. 도 3에 도시된 바에 따르면 무결성 검사부(312), 제1 접근 권한 인증부(312), 및 제2 접근 권한 인증부(316)는 보안 모듈(310) 내부에 포함되어 있으나, 반드시 이에 한정되 는 것은 아니며 제어부(300) 내에 포함될 수도 있다.
무결성 검사부(312)는 데이터의 전송을 요청하는 호스트 소프트웨어의 무결성을 검사한다. 호스트 소프트웨어가 동작하는 호스트(도시되지 않음)는 보안 부팅된다. 호스트(도시되지 않음)는 보안 부팅의 결과를 이용하여 호스트 소프트웨어의 무결성에 관한 정보 TIMHOST를 생성한다. 무결성에 관한 정보 TIMHOST는 해쉬함수에 의한 해쉬값과 같은 형태로 생성될 수 있다. 보안 부팅에 대해서는 상술된 바 있으므로, 추가적인 설명은 생략된다. 무결성 검사부(312)는 호스트(도시되지 않음)로부터 호스트 소프트웨어의 무결성에 관한 정보 TIMHOST를 수신하고, 수신된 정보를 이용하여 호스트 소프트웨어의 무결성을 검사한다. 변형된 실시예에서, 호스트에 내장된 보안 모듈이 호스트의 보안 부팅에 사용되면, 무결성 검사부(312)는 호스트 소프트웨어의 무결성에 관한 정보 TIMHOST를 미리 저장하고 있을 수도 있다. 무결성 검사부(312)는 검사 결과를 제어부(300)로 전송할 수 있다.
제1 접근 권한 인증부(314)는 호스트(도시되지 않음)의 접근 권한을 인증한다. 호스트는 이동 저장 장치에 저장된 데이터에 대한 접근 권한을 인증받기 위한 호스트 자신의 식별 키 IKHOST를 생성하여 저장한다. 이동 저장 장치가 호스트에 연결되면, 호스트는 이동 저장 장치의 제1 접근 권한 인증부(314)로 식별 키 IKHOST를 송신한다. 제1 접근 권한 인증부(314)는 호스트로부터 수신되는 호스트의 식별 키 IKHOST를 기초로 하여 호스트의 접근 권한을 인증한다.
제2 접근 권한 인증부(316)는 호스트 소프트웨어의 접근 권한을 인증한다. 호스트(도시되지 않음)는 이동 저장 장치로 데이터 전송을 요청하는 호스트 소프트웨어의 접근 권한을 인증받기 위한 호스트 소프트웨어의 식별 키 IKHOST SOFTWARE를 생성하여 저장한다. 이동 저장 장치가 호스트에 연결되면, 호스트는 이동 저장 장치의 제2 접근 권한 인증부(316)로 호스트 소프트웨어의 식별 키 IKHOST SOFTWARE를 송신한다. 제2 접근 권한 인증부(316)는 호스트로부터 수신되는 호스트 소프트웨어의 식별 키 IKHOST SOFTWARE를 기초로 하여 호스트 소프트웨어의 접근 권한을 인증한다.
제어부(300)는 무결성 검사부(312)의 검사 결과, 제1 접근 권한 인증부(314)의 인증 결과, 또는 제2 접근 권한 인증부(316)의 인증 결과에 기초하여 호스트(도시되지 않음)의 데이터 전송 요청을 허용하거나 또는 거부한다.
예를 들어, 무결성 검사부(312)에서의 호스트 소프트웨어의 무결성 검사가 실패하거나 또는 제1 접근 권한 인증부(314)에서의 호스트의 접근 권한의 인증이 실패하면, 제어부(300)는 호스트 소프트웨어의 데이터 전송 요청을 거부할 수 있다. 이 경우, 제어부(300)는 호스트로 하여금 이동 저장 장치의 보안 모듈(310) 기능만을 사용할 수 있도록 허용한다. 본 명세서에서는, 이와 같은 상태를 레드 상태(Red State)라고 정의한다.
또한, 예를 들어, 호스트 소프트웨어의 무결성 검사 및 호스트의 접근 권한의 인증이 모두 성공하면, 제어부(300)는 이동 저장 장치의 저장 영역(320) 중 미리 결정된 일부 영역에 저장되어 있는 데이터에 대하여 호스트 소프트웨어의 데이 터 전송 요청을 허용할 수 있다. 저장 영역(320) 중 미리 결정된 일부 영역을 제외한 나머지 영역은 애플리케이션 프로그램 또는 사용자 데이터가 배치될 수 있다. 다만, 저장 영역(320) 중 일부 영역 및 나머지 영역에 어떤 데이터를 배치할지에 관해서는 반드시 위의 실시예에 한정되는 것은 아니며 사용자의 필요에 따라서 다양하게 결정될 수 있다. 또한, 일부 영역의 크기를 어느 정도로 할지에 대해서도 사용자의 필요에 따라 다양하게 결정될 수 있다. 본 명세서에서는, 이와 같은 상태를 옐로우 상태(Yellow State)라고 정의한다.
또한, 일부 영역에 저장되어 있는 데이터는 상태 이동을 위하여 또 다른 호스트에 의해 서스펜드(suspend)되어 저장된 가상 머신일 수도 있다. 이 경우, 서스펜드된 가상 머신은 호스트에 로드되어 리줌(resume)될 수 있다. 만일 호스트에 리줌된 가상 머신이 이동 저장 장치의 나머지 영역에 저장되어 있는 데이터의 전송을 요청하면, 제2 접근 권한 인증부(316)는 리줌된 가상 머신의 접근 권한을 인증한다. 이 경우, 리줌된 가상 머신은 이동 저장 장치로 데이터의 전송을 요청하는 또다른 호스트 소프트웨어일 수 있다.
제어부(300)는 리줌된 가상 머신과 같은 호스트 소프트웨어의 접근 권한 인증이 성공하면, 이동 저장 장치의 전체 저장 영역에 저장되어 있는 데이터에 대하여 호스트 소프트웨어의 데이터 전송 요청을 허용할 수 있다. 본 명세서에서는, 이와 같은 상태를 그린 상태(Green State)라고 정의한다.
도 4는 본 발명의 일 실시예에 따른 호스트 인증을 위한 정보 제공 장치를 도시한 블록도이다.
도 4를 참조하면, 호스트 인증을 위한 정보 제공 장치는 호스트에 내장될 수 있는 것으로, 이동 저장 장치가 호스트를 인증하기 위해 필요한 정보를 이동 저장 장치로 송신하기 위한 장치이다. 호스트 인증을 위한 정보 제공 장치는 부팅부(410), 제어부(420), 및 송신부(430)를 포함한다.
부팅부(410)는 호스트를 보안 부팅한다. 부팅부(410)는 호스트에 내장된 보안 모듈(도시되지 않음)을 이용하여 보안 부팅을 실행할 수 있다. 또한, 변형된 실시예에서, 부팅부(410)는 호스트가 아닌 이동 저장 장치에 내장된 보안 모듈을 이용하여 보안 부팅을 실행하는 것도 가능하다. 사용자는 호스트 부팅에 관한 설정을 변경함으로써 이동 저장 장치에 내장된 보안 모듈을 이용하여 보안 부팅하도록 할 수 있다.
제어부(420)는 부팅부(410)의 보안 부팅의 결과에 기초하여 호스트 소프트웨어의 무결성에 관한 정보 TIMHOST를 생성한다. 무결성에 관한 정보 TIMHOST는 해쉬함수에 의한 해쉬값 등의 형태로 생성될 수 있다.
또한, 제어부(420)는 호스트의 식별 키 IKHOST 및 호스트 소프트웨어의 식별키 IKHOST SOFTWARE를 생성한다.
송신부(430)는 제어부(420)에서 생성된 호스트 소프트웨어의 무결성에 관한 정보 TIMHOST, 호스트의 식별 키 IKHOST, 및 호스트 소프트웨어의 식별키 IKHOST SOFTWARE를 이동 저장 장치로 송신한다. 여기서, 호스트 소프트웨어는 이동 저장 장치에 저장되어 있는 데이터의 전송을 요청하는 소프트웨어를 말한다. 또한, 호스트 소프트 웨어는 이동 저장 장치로부터 판독되어 호스트에 의해 리줌되는 가상 머신을 포함할 수 있다.
도 5a는 본 발명의 일 실시예에 따른 이동 저장 장치에서 호스트 인증 방법을 도시한 흐름도이다.
도 5a를 참조하면, 단계 502에서, 이동 저장 장치는 데이터의 전송을 요청하는 호스트 소프트웨어의 무결성을 검사한다. 호스트 소프트웨어의 무결성 검사는 보안 부팅되는 호스트로부터 호스트 소프트웨어의 무결성에 관한 정보 TIMHOST를 수신함으로써 실행될 수 있다.
단계 504에서, 이동 저장 장치는 연결된 호스트의 접근 권한을 인증한다. 호스트의 접근 권한은 도 4를 참조하여 설명된 호스트로부터 수신되는 호스트의 식별 키 IKHOST를 기초로 하여 인증된다.
단계 506에서 호스트 소프트웨어의 무결성 검사가 실패하거나 또는 호스트의 접근 권한의 인증이 실패하면, 단계 508에서 이동 저장 장치는 호스트 소프트웨어의 데이터 전송 요청을 거부하고 보안 모듈 기능만 이용할 수 있도록 제어한다(레드 상태).
단계 506에서, 호스트 소프트웨어의 무결성 검사 및 호스트의 접근 권한의 인증이 모두 성공하면, 단계 510에서 이동 저장 장치는 호스트 소프트웨어의 접근 권한을 인증한다. 호스트 소프트웨어의 접근 권한은 도 4를 참조하여 설명된 호스트로부터 수신되는 호스트 소프트웨어의 식별 키 IKHOST SOFTWARE를 기초로 하여 인증된 다.
변형된 실시예에서, 호스트 소프트웨어의 접근 권한을 인증하기 이전에, 이동 저장 장치는 저장 영역 중 미리 결정된 일부 영역에 저장되어 있는 데이터에 대하여 호스트 소프트웨어의 데이터 전송 요청을 허용할 수도 있다. 또한, 미리 결정된 일부 영역에 저장되어 있는 데이터는 상태 이동을 위하여 또 다른 호스트에 의해 서스펜드된 가상 머신일 수 있고, 이 경우에 호스트 소프트웨어는 이동 저장 장치로부터 판독되어 호스트에 의해 리줌된 가상 머신일 수 있다.
단계 512에서 이동 저장 장치가 호스트 소프트웨어의 접근 권한의 인증을 실패하면, 이동 저장 장치는 저장 영역 중 미리 결정된 일부 영역에 저장되어 있는 데이터에 대하여 호스트 소프트웨어의 데이터 전송 요청을 허용한다(옐로우 상태). 또한, 단계 512에서 이동 저장 장치가 호스트 소프트웨어의 접근 권한의 인증을 성공하면, 단계 516에서 이동 저장 장치는 전체 저장 영역에 저장되어 있는 데이터에 대하여 호스트 소프트웨어의 데이터 전송 요청을 허용할 수 있다(그린 상태).
상술한 바에 따르면, 이동 저장 장치는 호스트에게 레드, 옐로우, 그린 상태와 같은 3가지 상태의 서비스를 제공할 수 있다. 레드 상태에 있는 이동 저장 장치는 호스트로 하여금 이동 저장 장치 내부의 보안 모듈 기능만 사용할 수 있도록 허용하고, 저장 영역에 대한 접근은 허용하지 않는다. 옐로우 상태에 있는 이동 저장장치는 호스트가 보안 모듈 기능을 사용할 수 있도록 허용함과 동시에 저장 영역 중 일부 영역을 사용할 수 있도록 허용한다. 그린 상태에 있는 이동 저장 장치는 호스트가 보안 모듈 기능을 사용할 수 있도록 허용할 뿐만 아니라, 호스트가 전체 저장 영역에 접근할 수 있도록 허용한다.
예를 들어, 호스트에 연결된 직후의 이동 저장 장치는 항상 레드 상태에 있게 되고, 호스트에 대한 무결성 검사 및 접근 권한 인증이 완료되면 옐로우 상태로 전환하며, 호스트 소프트웨어의 접근 권한 인증이 완료되면 그린 상태로 전환할 수 있다.
도 5b는 본 발명의 다른 실시예에 따른 이동 저장 장치에서 호스트 인증 방법을 도시한 흐름도이다.
도 5b를 참조하면, 단계 530에서, PSS(Portable Secure Storage)같은 이동 저장 장치는 호스트에 연결될 때에 레드 상태에 있게 된다.
단계 532에서, 보안 모듈을 내장하지 않은 호스트는 호스트를 재부팅하고, 보안 모듈을 내장한 호스트는 호스트를 재부팅할 필요가 없다. 보안 모듈을 내장하지 않은 호스트의 재부팅 시에, 단계 534에서 이동 저장 장치는 내장된 보안 모듈 TMPSS를 사용하여 호스트 소프트웨어의 무결성에 관한 정보 TIMHOST를 생성하여 저장한다. 또한, 이동 저장 장치는 호스트로부터 호스트의 식별 키 IKHOST를 수신한다.
단계 532에서 호스트가 재부팅되지 않으면, 단계 536에서 이동 저장 장치는 호스트에 내장된 보안 모듈 TMHOST로부터 호스트 소프트웨어의 무결성에 관한 정보 TIMHOST 및 호스트의 식별 키 IKHOST를 수신한다.
단계 538에서, 이동 저장 장치는 호스트 소프트웨어의 무결성에 관한 정보 TIMHOST 및 호스트의 식별 키 IKHOST를 이용하여 이동 저장 장치의 저장 영역에 대한 호스트의 접근 권한을 인증한다. 인증 결과, 접근 권한이 있는 호스트로 판명되면 이동 저장 장치의 상태를 옐로우 상태로 전환하며, 이동 저장 장치의 저장 영역 중 일부 영역에 대한 호스트의 접근을 허용할 수 있다. 인증 결과, 접근 권한이 없는 호스트로 판명되면 이동 저장 장치의 상태는 레드 상태로 유지된다(단계 539).
단계 540에서, 이동 저장 장치는 호스트 소프트웨어로부터 IKHOST SOFTWARE를 제공받고, 단계 542에서 이동 저장 장치는 호스트 소프트웨어가 이동 저장 장치의 저장 영역에 대한 접근 권한이 있는 지를 인증한다.
호스트 소프트웨어의 접근 권한의 인증이 성공하면, 단계 546에서 이동 저장 장치는 그린 상태로 전환된다. 반면에, 호스트 소프트웨어의 접근 권한의 인증이 실패하면, 단계 544에서 이동 저장 장치는 옐로우 상태로 유지된다.
도 6a는 본 발명의 일 실시예에 따른 호스트 인증을 위한 정보 제공 방법을 도시한 흐름도이다.
도 6a를 참조하면, 단계 602에서는, 호스트가 보안 부팅된다.
단계 604에서는, 호스트는 보안 부팅의 결과에 따라 생성되는 호스트 소프트웨어의 무결성에 관한 정보 TIMHOST 및 호스트의 식별 키 IKHOST를 이동 저장 장치로 전송한다. 변형된 실시예에서, 호스트가 보안 모듈을 내장하지 않은 경우에는, 호스트는 호스트의 식별 키 IKHOST만을 이동 저장 장치로 전송할 수도 있다.
단계 606에서, 호스트 소프트웨어의 무결성 검사 및 호스트의 권한 인증이 수행된다. 무결성 검사 및 호스트의 권한 인증이 성공하면, 단계 608에서 호스트는 호스트 소프트웨어의 식별키 IKHOST SOFTWARE를 이동 저장 장치로 전송한다. 이동 저장 장치에 의해 데이터 전송 요청이 허용되면, 호스트는 이동 저장 장치로부터 데이터를 수신할 수 있다.
도 6b는 본 발명의 다른 실시예에 따른 호스트 인증을 위한 정보 제공 방법을 도시한 흐름도이다.
도 6b를 참조하면, 호스트가 리셋되고(단계 620), 호스트에 내장된 보안 모듈 TMHOST를 이용하여 보안 부팅이 수행된다. 보안 부팅은 호스트에 내장된 보안 모듈 TMHOST로 부트로더(bootloader)가 변경되지 않았음을 확인하고, 부트로더로 운영 체제 또는 VMM이 변경되지 않았음을 확인한 후에, 그 소프트웨어가 실행되는 순서로 이루어진다. 보안 부팅이 완료되면 보안 부팅 동안에 계산된 호스트 소프트웨어의 변경 없음을 확인할 수 있는 TIMHOST(Target Integrity Metric)이 TMHOST에 저장된다(단계 622).
다음으로, 호스트 동작 중에 이동 저장 장치가 호스트에 연결되면 TMHOST은 TIMHOST및 IKHOST를 이동 저장 장치에 전송한다(단계 624). 이동 저장 장치는 수신한 정보를 이용하여 인증을 수행한다(단계 626). 여기서, TIMHOST 등의 정보들은 이동 저장 장치의 저장 영역의 일부 영역에 저장되어 있을 수 있고, 이동 저장 장치 내에 있는 보안 모듈 TMPSS는 TIMHOST 등의 정보들을 이용하여 호스트를 인증한다.
인증 결과, 호스트의 인증이 실패하면, 호스트는 단지 이동 저장 장치의 TM 기능만 사용 가능하게 된다(단계 627). 반면에, 호스트의 인증이 성공하면, 이동 저장 장치는 내부 상태를 옐로우 상태로 전환할 수 있다.
다음으로, 호스트는 호스트 소프트웨어의 식별 키 IKHOST SOFTWARE를 이동 저장 장치로 전송한다(단계 628). 이동 저장 장치의 보안 모듈 TMPSS은 IKPrincipal을 이용하여 저장 영역에 대한 접근 권한을 인증한다(단계 630). 인증 결과, 접근 권한의 인증이 성공하면, 이동 저장 장치는 내부 상태를 그린 상태로 전환하고 저장되어 있는 모든 데이터에 대한 접근을 허용한다(단계 634). 반면에, 인증이 실패하면, 이동 저장 장치의 상태는 옐로우 상태로 유지된다.
변형된 실시예로, 호스트가 보안 모듈을 내장하지 않은 경우, 호스트는 사용자에게 보안 재부팅(secure rebooting)을 수행할 것인지를 물어보고, 사용자가 허가하면 이동 저장 장치의 보안 모듈 TMPSS를 호스트의 보안 모듈인 것과 같이 이용하여 보안 부팅을 수행할 수 있다. 보안 부팅을 수행한 결과, TIMHOST는 TMPSS에 저장되고, TMPSS는 IKHOST와 함께 호스트의 접근 권한을 확인하는 데 사용된다.
도 7은 상태 이동 환경에서 이동 저장 장치의 사용 예시를 도시한 흐름도이다.
도 7을 참조하면, PSS와 같은 이동 저장 장치는 호스트의 이동 저장 장치의 저장 영역에 대한 접근 권한을 확인하고(단계 708), 접근 권한이 있을 경우에 이동 저장 장치를 옐로우 상태로 전환한다. 옐로우 상태에서 호스트가 접근할 수 있는 이동 저장 장치의 저장 영역에는 상태 이동을 위하여 서스펜드(suspend)되어 있는 가상 머신이 저장되어 있게 된다. 호스트는 서스펜드되어 있는 가상 머신을 로딩하여 리줌(resume)시킨다(단계 710). 리줌된 가상 머신은 호스트 소프트웨어가 되어 이동 저장 장치에게 접근권한을 인증받는다(단계 714). 가상 머신의 접근 권한이 인증된 경우, 이동 저장 장치는 가상 머신에게 이동 저장 장치의 전체 저장 영역에 대한 접근을 허용한다(단계 718). 나머지 단계들에 대해서는 상술된 것과 유사하게 동작하기 때문에 추가적인 설명은 생략된다.
또한, 본 발명에 따른 이동 저장 장치에서 호스트 인증 방법 및 호스트 인증을 위한 정보 제공 방법을 실행하기 위한 프로그램은 컴퓨터로 읽을 수 있는 기록 매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록 매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 저장 장치를 포함한다. 컴퓨터가 읽을 수 있는 기록 매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광 데이터 저장장치 등이 있다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드로서 저장되고 실행될 수 있다.
이제까지 본 발명에 대하여 그 바람직한 실시예들을 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시 예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.
도 1은 기존의 이동 저장 장치에 저장된 데이터를 보호하기 위한 기술을 설명하기 위한 도면이다.
도 2는 본 발명을 구현하기 위한 호스트(200) 및 이동 저장 장치(210)의 구조를 개략적으로 도시한 도면이다.
도 3은 본 발명의 일 실시예에 따른 이동 저장 장치에서 호스트 인증 장치를 도시한 블록도이다.
도 4는 본 발명의 일 실시예에 따른 호스트 인증을 위한 정보 제공 장치를 도시한 블록도이다.
도 5a는 본 발명의 일 실시예에 따른 이동 저장 장치에서 호스트 인증 방법을 도시한 흐름도이다.
도 5b는 본 발명의 다른 실시예에 따른 이동 저장 장치에서 호스트 인증 방법을 도시한 흐름도이다.
도 6a는 본 발명의 일 실시예에 따른 호스트 인증을 위한 정보 제공 방법을 도시한 흐름도이다.
도 6b는 본 발명의 다른 실시예에 따른 호스트 인증을 위한 정보 제공 방법을 도시한 흐름도이다.
도 7은 상태 이동 환경에서 이동 저장 장치의 사용 예시를 도시한 흐름도이다.

Claims (32)

  1. 이동 저장 장치에서 호스트 인증 방법에 있어서,
    데이터의 전송을 요청하는 호스트 소프트웨어의 무결성을 검사하는 단계;
    상기 호스트의 접근 권한을 인증하는 단계; 및
    상기 호스트 소프트웨어의 접근 권한을 인증하는 단계를 포함하는 것을 특징으로 하는 이동 저장 장치에서 호스트 인증 방법.
  2. 제1항에 있어서, 상기 호스트 소프트웨어의 무결성을 검사하는 단계는,
    상기 호스트로부터 상기 호스트 소프트웨어의 무결성에 관한 정보를 수신하는 단계를 포함하고, 상기 호스트는 보안 부팅되는 것을 특징으로 하는 이동 저장 장치에서 호스트 인증 방법.
  3. 제1항에 있어서, 상기 호스트의 접근 권한을 인증하는 단계는,
    상기 호스트로부터 수신되는 상기 호스트의 식별 키를 기초로 하여 인증하는 단계를 포함하는 것을 특징으로 하는 이동 저장 장치에서 호스트 인증 방법.
  4. 제1항에 있어서, 상기 호스트 소프트웨어의 접근 권한을 인증하는 단계는,
    상기 호스트로부터 수신되는 상기 호스트 소프트웨어의 식별 키를 기초로 하여 인증하는 단계를 포함하는 것을 특징으로 하는 이동 저장 장치에서 호스트 인증 방법.
  5. 제1항에 있어서,
    상기 호스트 소프트웨어의 무결성 검사가 실패하거나 또는 상기 호스트의 접근 권한의 인증이 실패하면, 상기 호스트 소프트웨어의 데이터 전송 요청을 거부하는 단계를 더 포함하는 것을 특징으로 하는 이동 저장 장치에서 호스트 인증 방법.
  6. 제5항에 있어서,
    상기 호스트 소프트웨어의 무결성 검사 및 상기 호스트의 접근 권한의 인증이 모두 성공하면, 상기 이동 저장 장치의 저장 영역 중 미리 결정된 일부 영역에 저장되어 있는 데이터에 대하여 상기 호스트 소프트웨어의 데이터 전송 요청을 허용하는 단계를 더 포함하는 것을 특징으로 하는 이동 저장 장치에서 호스트 인증 방법.
  7. 제6항에 있어서,
    상기 미리 결정된 일부 영역에 저장되어 있는 데이터는, 상태 이동을 위하여 또 다른 호스트에 의해 서스펜드(suspend)된 가상 머신을 포함하고,
    상기 호스트 소프트웨어는 상기 이동 저장 장치로부터 판독되어 상기 호스트에 의해 리줌된 가상 머신을 포함하는 것을 특징으로 하는 것을 특징으로 하는 이동 저장 장치에서 호스트 인증 방법.
  8. 제6항에 있어서,
    상기 호스트 소프트웨어의 접근 권한의 인증이 성공하면, 상기 이동 저장 장치의 전체 저장 영역에 저장되어 있는 데이터에 대하여 상기 호스트 소프트웨어의 데이터 전송 요청을 허용하는 단계를 더 포함하는 것을 특징으로 하는 이동 저장 장치에서 호스트 인증 방법.
  9. 제7항에 있어서,
    상기 저장 영역 중 상기 미리 결정된 일부 영역을 제외한 나머지 영역은 애플리케이션 프로그램 또는 사용자 데이터를 포함하는 것을 특징으로 하는 이동 저장 장치에서 호스트 인증 방법.
  10. 제1항에 있어서,
    상기 호스트는 퍼스널 컴퓨터, PDA(Personal Digital Assistants), 무선 통신 단말기, 또는 디지털 텔레비전인 것을 특징으로 하는 이동 저장 장치에서 호스트 인증 방법.
  11. 제1항에 있어서,
    상기 이동 저장 장치는 USB(Universal Serial Bus) 메모리 카드, CF(Compact Flash) 카드, 또는 SD(Secure Digital) 카드인 것을 특징으로 하는 이동 저장 장치 에서 호스트 인증 방법.
  12. 제1항에 있어서,
    상기 호스트 소프트웨어는 상기 호스트에서 동작하는 가상 머신, 상기 호스트에서 동작하는 애플리케이션 프로그램, 또는 사용자 인터페이스 프로그램인 것을 특징으로 하는 이동 저장 장치에서 호스트 인증 방법.
  13. 이동 저장 장치에서 호스트 인증 장치에 있어서,
    데이터의 전송을 요청하는 호스트 소프트웨어의 무결성을 검사하는 무결성 검사부;
    상기 호스트의 접근 권한을 인증하는 제1 접근 권한 인증부;
    상기 호스트 소프트웨어의 접근 권한을 인증하는 제2 접근 권한 인증부; 및
    상기 무결성 검사, 상기 제1 접근 권한 인증, 또는 상기 제2 접근 권한 인증의 결과에 기초하여 상기 호스트로의 상기 데이터의 전송을 제어하는 제어부를 포함하는 것을 특징으로 하는 이동 저장 장치에서 호스트 인증 장치.
  14. 제13항에 있어서,
    상기 호스트는 보안 부팅되고,
    상기 무결성 검사부는 상기 호스트로부터 상기 호스트 소프트웨어의 무결성에 관한 정보를 수신하는 것을 특징으로 하는 이동 저장 장치에서 호스트 인증 장 치.
  15. 제13항에 있어서, 상기 제1 접근 권한 인증부는,
    상기 호스트로부터 수신되는 상기 호스트의 식별 키를 기초로 하여 상기 호스트의 접근 권한을 인증하는 것을 특징으로 하는 이동 저장 장치에서 호스트 인증 장치.
  16. 제13항에 있어서, 상기 제2 접근 권한 인증부는,
    상기 호스트로부터 수신되는 상기 호스트 소프트웨어의 식별 키를 기초로 하여 상기 호스트 소프트웨어의 접근 권한을 인증하는 것을 특징으로 하는 이동 저장 장치에서 호스트 인증 장치.
  17. 제13항에 있어서, 상기 제어부는,
    상기 호스트 소프트웨어의 무결성 검사가 실패하거나 또는 상기 호스트의 접근 권한의 인증이 실패하면, 상기 호스트 소프트웨어의 데이터 전송 요청을 거부하는 것을 특징으로 하는 이동 저장 장치에서 호스트 인증 장치.
  18. 제17항에 있어서, 상기 제어부는,
    상기 호스트 소프트웨어의 무결성 검사 및 상기 호스트의 접근 권한의 인증이 모두 성공하면, 상기 이동 저장 장치의 저장 영역 중 미리 결정된 일부 영역에 저장되어 있는 데이터에 대하여 상기 호스트 소프트웨어의 데이터 전송 요청을 허용하는 것을 특징으로 하는 이동 저장 장치에서 호스트 인증 장치.
  19. 제18항에 있어서,
    상기 미리 결정된 일부 영역에 저장되어 있는 데이터는, 상태 이동을 위하여 또 다른 호스트에 의해 서스펜드(suspend)된 가상 머신을 포함하고,
    상기 호스트 소프트웨어는 상기 이동 저장 장치로부터 판독되어 상기 호스트에 의해 리줌된 가상 머신을 포함하는 것을 특징으로 하는 것을 특징으로 하는 이동 저장 장치에서 호스트 인증 장치.
  20. 제18항에 있어서, 상기 제어부는,
    상기 호스트 소프트웨어의 접근 권한의 인증이 성공하면, 상기 이동 저장 장치의 전체 저장 영역에 저장되어 있는 데이터에 대하여 상기 호스트 소프트웨어의 데이터 전송 요청을 허용하는 것을 특징으로 하는 이동 저장 장치에서 호스트 인증 장치.
  21. 제19항에 있어서,
    상기 저장 영역 중 상기 미리 결정된 일부 영역을 제외한 나머지 영역은 애플리케이션 프로그램 또는 사용자 데이터를 포함하는 것을 특징으로 하는 이동 저장 장치에서 호스트 인증 장치.
  22. 제13항에 있어서,
    상기 호스트는 퍼스널 컴퓨터, PDA(Personal Digital Assistants), 무선 통신 단말기, 또는 디지털 텔레비전인 것을 특징으로 하는 이동 저장 장치에서 호스트 인증 장치.
  23. 제13항에 있어서,
    상기 이동 저장 장치는 USB(Universal Serial Bus) 메모리 카드, CF(Compact Flash) 카드, 또는 SD(Secure Digital) 카드인 것을 특징으로 하는 이동 저장 장치에서 호스트 인증 장치.
  24. 제13항에 있어서,
    상기 호스트 소프트웨어는 상기 호스트에서 동작하는 가상 머신, 상기 호스트에서 동작하는 애플리케이션 프로그램, 또는 사용자 인터페이스 프로그램인 것을 특징으로 하는 이동 저장 장치에서 호스트 인증 장치.
  25. 호스트 인증을 위한 정보 제공 방법에 있어서,
    상기 호스트를 보안 부팅하는 단계;
    상기 보안 부팅의 결과에 따라 생성되는 호스트 소프트웨어의 무결성에 관한 정보, 및 상기 호스트의 식별 키를 상기 이동 저장 장치로 전송하는 단계; 및
    상기 호스트 소프트웨어의 무결성 검사 및 상기 호스트의 권한 인증이 성공할 경우, 상기 호스트 소프트웨어의 식별키를 전송하는 단계를 포함하고,
    상기 호스트 소프트웨어는 상기 이동 저장 장치에 저장되어 있는 데이터의 전송을 요청하는 소프트웨어인 것을 특징으로 하는 호스트 인증을 위한 정보 제공 방법.
  26. 제25항에 있어서,
    상기 호스트 소프트웨어는 상기 이동 저장 장치로부터 판독되어 상기 호스트에 의해 리줌되는 가상 머신을 포함하는 것을 특징으로 하는 호스트 인증을 위한 정보 제공 방법.
  27. 제25항에 있어서, 상기 보안 부팅하는 단계는,
    상기 호스트에 내장되거나 또는 상기 이동 저장 장치에 내장된 보안 모듈을 이용하여 실행되는 것을 특징으로 하는 호스트 인증을 위한 정보 제공 방법.
  28. 호스트 인증을 위한 정보 제공 장치에 있어서,
    상기 호스트를 보안 부팅하는 부팅부;
    상기 보안 부팅의 결과에 기초한 호스트 소프트웨어의 무결성에 관한 정보, 상기 호스트의 식별 키, 및 상기 호스트 소프트웨어의 식별키를 생성하는 제어부; 및
    상기 호스트 소프트웨어의 무결성에 관한 정보, 상기 호스트의 식별 키, 및 상기 호스트 소프트웨어의 식별키를 상기 이동 저장 장치로 송신하는 송신부를 포함하고,
    상기 호스트 소프트웨어는 상기 이동 저장 장치에 저장되어 있는 데이터의 전송을 요청하는 소프트웨어인 것을 특징으로 하는 호스트 인증을 위한 정보 제공 장치.
  29. 제28항에 있어서,
    상기 호스트 소프트웨어는 상기 이동 저장 장치로부터 판독되어 상기 호스트에 의해 리줌되는 가상 머신을 포함하는 것을 특징으로 하는 호스트 인증을 위한 정보 제공 장치.
  30. 제28항에 있어서, 상기 부팅부는,
    상기 호스트에 내장되거나 또는 상기 이동 저장 장치에 내장된 보안 모듈을 이용하여 상기 보안 부팅을 실행하는 것을 특징으로 하는 호스트 인증을 위한 정보 제공 장치.
  31. 데이터의 전송을 요청하는 호스트 소프트웨어의 무결성을 검사하는 단계;
    호스트의 접근 권한을 인증하는 단계; 및
    상기 호스트 소프트웨어의 접근 권한을 인증하는 단계를 포함하는 이동 저장 장치에서 호스트 인증 방법을 실행하기 위한 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록매체.
  32. 호스트를 보안 부팅하는 단계;
    상기 보안 부팅의 결과에 따라 생성되는 호스트 소프트웨어의 무결성에 관한 정보, 및 상기 호스트의 식별 키를 이동 저장 장치로 전송하는 단계; 및
    상기 호스트 소프트웨어의 무결성 검사 및 상기 호스트의 권한 인증이 성공할 경우, 상기 호스트 소프트웨어의 식별키를 전송하는 단계를 포함하고,
    상기 호스트 소프트웨어는 상기 이동 저장 장치에 저장되어 있는 데이터의 전송을 요청하는 소프트웨어인 것을 특징으로 하는 호스트 인증을 위한 정보 제공 방법을 실행하기 위한 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록매체.
KR1020080004435A 2008-01-15 2008-01-15 이동 저장 장치에서 호스트 인증 방법, 호스트 인증을 위한정보 제공 방법, 장치, 및 기록매체 KR101281678B1 (ko)

Priority Applications (3)

Application Number Priority Date Filing Date Title
KR1020080004435A KR101281678B1 (ko) 2008-01-15 2008-01-15 이동 저장 장치에서 호스트 인증 방법, 호스트 인증을 위한정보 제공 방법, 장치, 및 기록매체
US12/191,392 US8464047B2 (en) 2008-01-15 2008-08-14 Method and apparatus for authorizing host to access portable storage device
US13/914,310 US9164925B2 (en) 2008-01-15 2013-06-10 Method and apparatus for authorizing host to access portable storage device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080004435A KR101281678B1 (ko) 2008-01-15 2008-01-15 이동 저장 장치에서 호스트 인증 방법, 호스트 인증을 위한정보 제공 방법, 장치, 및 기록매체

Publications (2)

Publication Number Publication Date
KR20090078551A true KR20090078551A (ko) 2009-07-20
KR101281678B1 KR101281678B1 (ko) 2013-07-03

Family

ID=40851879

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080004435A KR101281678B1 (ko) 2008-01-15 2008-01-15 이동 저장 장치에서 호스트 인증 방법, 호스트 인증을 위한정보 제공 방법, 장치, 및 기록매체

Country Status (2)

Country Link
US (1) US8464047B2 (ko)
KR (1) KR101281678B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100945476B1 (ko) * 2009-09-10 2010-03-05 주식회사 파수닷컴 가상화 기술을 이용한 디지털 저작권 관리 장치 및 방법
KR101428979B1 (ko) * 2009-08-21 2014-08-13 에스케이플래닛 주식회사 휴대형 저장장치, 그를 이용한 응용프로그램 제공 시스템 및 방법
KR101508439B1 (ko) * 2013-10-28 2015-04-08 포항공과대학교 산학협력단 데이터 기밀성 보장 방법, 이를 이용하는 데이터 공유 방법 및 시스템

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9164925B2 (en) * 2008-01-15 2015-10-20 Samsung Electronics Co., Ltd. Method and apparatus for authorizing host to access portable storage device
US8499345B2 (en) * 2008-10-01 2013-07-30 Lenovo (Singapore) Pte. Ltd. Blocking computer system ports on per user basis
JP5521479B2 (ja) * 2009-10-14 2014-06-11 富士通株式会社 プログラム、データ記憶装置及びデータ記憶システム
US20110173377A1 (en) * 2010-01-13 2011-07-14 Bonica Richard T Secure portable data storage device
KR20110083889A (ko) * 2010-01-15 2011-07-21 삼성전자주식회사 데이터 저장장치에서 원격 제어에 따라 데이터를 처리하는 방법 및 그 장치
US8924733B2 (en) 2010-06-14 2014-12-30 International Business Machines Corporation Enabling access to removable hard disk drives
US9183415B2 (en) * 2011-12-01 2015-11-10 Microsoft Technology Licensing, Llc Regulating access using information regarding a host machine of a portable storage drive
CH706927A1 (de) * 2012-09-10 2014-03-14 Selectron Systems Ag Steckteil zur Bildung einer Steckverbindung.
US20140101426A1 (en) * 2012-10-04 2014-04-10 Msi Security, Ltd. Portable, secure enterprise platforms
CN106295318A (zh) * 2015-06-05 2017-01-04 北京壹人壹本信息科技有限公司 一种系统启动引导方法和装置
JP2017004133A (ja) * 2015-06-08 2017-01-05 株式会社リコー サービス提供システム、情報処理システム、情報処理装置、サービス提供方法、及びプログラム
US20170068822A1 (en) * 2015-09-03 2017-03-09 Bit Sphere Inc. Method for binding a software application's functionality to specific storage media
US20230261875A1 (en) * 2020-05-19 2023-08-17 Mitsubishi Electric Corporation Apparatus, network apparatus, and command execution method

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003317070A (ja) * 2002-04-23 2003-11-07 Ntt Docomo Inc Icカード、携帯端末、及びアクセス制御方法
US8745409B2 (en) * 2002-12-18 2014-06-03 Sandisk Il Ltd. System and method for securing portable data
JP2005079912A (ja) 2003-08-29 2005-03-24 Matsushita Electric Ind Co Ltd セキュアデータ管理装置
JP2008512738A (ja) * 2004-09-06 2008-04-24 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ データを交換するための携帯型記憶装置及び方法
KR100711722B1 (ko) * 2005-10-04 2007-04-25 엘지전자 주식회사 이동통신 단말기의 소프트웨어 인증 장치 및 그 방법
KR100727994B1 (ko) 2005-10-06 2007-06-14 삼성전자주식회사 깜박거림 현상 감소를 위한 동영상 프레임의 코딩 방법 및장치
US7743422B2 (en) * 2006-08-21 2010-06-22 International Business Machines Corporation System and method for validating a computer platform when booting from an external device

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101428979B1 (ko) * 2009-08-21 2014-08-13 에스케이플래닛 주식회사 휴대형 저장장치, 그를 이용한 응용프로그램 제공 시스템 및 방법
KR100945476B1 (ko) * 2009-09-10 2010-03-05 주식회사 파수닷컴 가상화 기술을 이용한 디지털 저작권 관리 장치 및 방법
WO2011031093A3 (ko) * 2009-09-10 2011-06-03 주식회사 파수닷컴 가상화 기술을 이용한 디지털 저작권 관리 장치 및 방법
US8955150B2 (en) 2009-09-10 2015-02-10 Fasoo.Com Co. Ltd. Apparatus and method for managing digital rights using virtualization technique
KR101508439B1 (ko) * 2013-10-28 2015-04-08 포항공과대학교 산학협력단 데이터 기밀성 보장 방법, 이를 이용하는 데이터 공유 방법 및 시스템

Also Published As

Publication number Publication date
KR101281678B1 (ko) 2013-07-03
US8464047B2 (en) 2013-06-11
US20090183256A1 (en) 2009-07-16

Similar Documents

Publication Publication Date Title
KR101281678B1 (ko) 이동 저장 장치에서 호스트 인증 방법, 호스트 인증을 위한정보 제공 방법, 장치, 및 기록매체
US8522018B2 (en) Method and system for implementing a mobile trusted platform module
CN107533609B (zh) 用于对系统中的多个可信执行环境进行控制的系统、设备和方法
US9164925B2 (en) Method and apparatus for authorizing host to access portable storage device
US10516533B2 (en) Password triggered trusted encryption key deletion
US8782801B2 (en) Securing stored content for trusted hosts and safe computing environments
US8201239B2 (en) Extensible pre-boot authentication
US8909940B2 (en) Extensible pre-boot authentication
US9698988B2 (en) Management control method, apparatus, and system for virtual machine
KR102244645B1 (ko) 인증된 변수의 관리
US7222062B2 (en) Method and system to support a trusted set of operational environments using emulated trusted hardware
KR102217941B1 (ko) 타깃이 되는 컴퓨팅 디바이스 상에서 수행될 동작을 인가하는 방법
EP3047375B1 (en) Virtual machine manager facilitated selective code integrity enforcement
KR101176646B1 (ko) 상태 검증을 사용하는 보호된 오퍼레이팅 시스템 부팅을 위한 시스템 및 방법
US8726364B2 (en) Authentication and access protection of computer boot modules in run-time environments
EP2973171B1 (en) Context based switching to a secure operating system environment
JP5346608B2 (ja) 情報処理装置およびファイル検証システム
US20110093693A1 (en) Binding a cryptographic module to a platform
US9015454B2 (en) Binding data to computers using cryptographic co-processor and machine-specific and platform-specific keys
US8856918B1 (en) Host validation mechanism for preserving integrity of portable storage data
JP2017521754A (ja) 前提認識セキュリティおよびポリシー統合
Mannan et al. Unicorn: Two-factor attestation for data security
EP2891105A1 (en) Method and system for platform and user application security on a device
CN116049825A (zh) 管理基板管理控制器的存储器中的秘密的存储
CN115470477A (zh) 智能终端及其处理器系统、可信执行方法

Legal Events

Date Code Title Description
A201 Request for examination
AMND Amendment
E601 Decision to refuse application
AMND Amendment
J201 Request for trial against refusal decision
B701 Decision to grant
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160530

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20170529

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20180530

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20190530

Year of fee payment: 7