KR20110068498A

KR20110068498A - 데이터 보호를 위한 보안모듈의 디버깅 방법

Info

Publication number: KR20110068498A
Application number: KR1020090125480A
Authority: KR
Inventors: 조용성
Original assignee: 한국전자통신연구원
Priority date: 2009-12-16
Filing date: 2009-12-16
Publication date: 2011-06-22

Abstract

본 발명에 따른 보안모듈의 디버깅 방법은, 디버깅 장치로부터 디버깅 인증키를 입력받는 단계, 상기 입력된 디버깅 인증키가 유효한지를 판별하는 단계, 상기 디버깅 인증키가 유효할 때 상기 디버깅 장치에 디버깅을 허가하는 단계, 및 상기 허가된 디버깅 장치에 의해 디버깅이 수행되는 단계를 포함하고, 상기 디버깅 인증키는 상기 디버깅 장치가 인증 절차를 통하여 인증 서버로부터 획득된 것이다. 본 발명에 따른 보안모듈의 디버깅 방법은, 인증 서버를 통하여 인증된 디버깅 장치에 대해서만 보안모듈에 대한 디버깅을 수행함으로써, 디버그 포트를 통한 보안모듈의 불법 복제 및 보안모듈에 저장된 고유 정보, 프로그램 등의 유출 및 위변조를 방지할 수 있다.

인증 서버, 보안모듈, 디버깅, 데이터 보호

Description

데이터 보호를 위한 보안모듈의 디버깅 방법{DEBUGGING METHOD OF SECURE MODULE FOR DATA PROTECTION}

본 발명은 데이터 보호를 위한 보안모듈의 디버깅 방법에 관한 것이다.

본 발명은 방송통신위원회의 IT성장동력기술개발사업의 일환으로 수행한 연구로부터 도출된 것이다[과제관리번호: 2007-S-007-03, 과제명: Downloadable 제한수신 시스템 개발].

IPTV 서비스는 방송, 통신, 및 데이터 서비스를 하나의 서비스 시스템으로 구성하여 제공하는 TPS(Triple Play Service)의 대표 서비스라 할 수 있다. 특히, IPTV 서비스는 기존의 주문형 컨텐츠 서비스뿐만 아니라 실시간 방송 서비스를 인터넷 환경에서 함께 제공할 수 있다는 장점 때문에 다양한 컨텐츠 소비 계층의 욕구를 만족시킬 수 있을 것으로 예상된다.

그러나 컨텐츠 서비스 제공자(Service Provider, SP)가 고품질의 컨텐츠 서비스를 안정적으로 공급하기 위해서는 가입자에게 컨텐츠 사용요금을 부과하고, 그 사용을 제어할 수 있는 시스템이 필요하다. 정당한 사용권한을 가진 사용자만 이 유료 컨텐츠를 이용할 수 있도록, 컨텐츠는 암호화된 상태로 전송하고, 해당 컨텐 츠에 대한 사용권한을 가진 가입자만이 컨텐츠를 복호화한 후 이를 이용하게 하는 기술들이 일반적으로 적용되고 있다.

디지털 위성 방송같은 단방향 컨텐츠 서비스에서는 제한 수신 시스템(Conditional Access System, CAS)을 사용하여 유료 컨텐츠를 보호하고 사용자의 컨텐츠 사용을 제어한다. 또한, 주문형 서비스(Video on Demand, VOD)와 같은 양방향 컨텐츠 서비스에서는 컨텐츠 보호 및 사용 제어를 위하여 권한관리시스템(Digital Right Management, DRM)을 이용한다.

본 발명의 목적은 보안모듈의 디버그 포트를 통하여 보안모듈에 저장된 중요 정보가 유출되는 것을 방지하는 보안모듈의 디버깅 방법을 제공하는데 있다.

본 발명의 실시 예에 따른 보안모듈의 디버깅 방법은, 디버깅 장치로부터 디버깅 인증키를 입력받는 단계, 상기 입력된 디버깅 인증키가 유효한지를 판별하는 단계, 상기 디버깅 인증키가 유효할 때 상기 디버깅 장치에 디버깅을 허가하는 단계, 및 상기 허가된 디버깅 장치에 의해 디버깅이 수행되는 단계를 포함하고, 상기 디버깅 인증키는 상기 디버깅 장치가 인증 절차를 통하여 인증 서버로부터 획득된 것이다.

상술한 바와 같이 본 발명에 따른 보안모듈의 디버깅 방법은, 인증 서버를 통하여 인증된 디버깅 장치에 대해서만 보안모듈에 대한 디버깅을 수행함으로써, 디버그 포트를 통한 보안모듈의 불법 복제 및 보안모듈에 저장된 고유 정보, 프로그램 등의 유출 및 위변조를 방지할 수 있다.

이하, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있도록 본 발명의 실시 예를 첨부된 도면을 참조하여 설명할 것이다.

도 1은 본 발명의 실시 예에 따른 보안모듈 개발 시스템에 대한 블록도이다. 도 1을 참조하면, 보안모듈 개발 시스템(100)은 보안모듈(110), 디버깅/개발 장치(120), 및 인증 서버(130)를 포함한다. 본 발명의 보안모듈 개발 시스템(100)은 보안모듈(110)을 개발하기 위하여 디버깅/개발 장치(120)의 인증을 수행하기 위한 인증 서버(130)를 포함한다.

보안모듈(110)은 합법적인 사용자만 시스템 및 장치를 이용할 수 있도록 하는 장치이다. 본 발명의 보안모듈(110)은 어떤 종류의 제한 수신 시스템(Conditional Access System: CAS)에 적용가능하다. 여기서, 제한 수신 시스템은 방송 프로그램에 암호를 삽입함으로써 시청이 허가된 가입자들만 유료 방송 프로그램을 시청할 수 있도록 권한을 부여한다.

특히, 본 발명의 보안모듈(110)은 양방향 케이블 통신 네트워크를 기반으로 하는 다운로드 가능한 제한 수신 시스템(Downloadable Conditional Access System: DCAS)에 사용될 수 있다.

다운로드 가능한 제한 수신 시스템은 CAS(Conditional Access System) 사업자가 스마트 카드 혹은 PCMCIA 카드에 선정된 CAS 소프트웨어를 설치함으로써 유료 방송 서비스를 제공하는 것이 아니라, 셋톱 박스(Set-Top Box)에 CAS 소프트웨어가 설치될 수 있도록 보안모듈을 탑재한다. 이로써, 양방향 케이블 통신 네트워크를 통해 CAS 소프트웨어를 갖는 보안모듈 프로그램에 결합이 발생되거나, 보안모듈 프로그램의 버전 업데이트시 용이하게 보안모듈 프로그램이 갱신될 수 있다.

다운로드 가능한 제안 수신 시스템의 기술 규격에 따르면, 유선을 통한 제한 수신 시스템의 전송 방식의 안전을 보장하기 위해 셋톱 박스에 특별한 보안 기능을 별도로 담당하는 보안모듈이 장착되어야 한다. 보안모듈은 가입자 및 가입자 보유 장치의 인증 및 방송 헤드 엔드로부터 다운로드 받은 제한 수신 프로그램의 안전한 구동 및 관리를 담당한다. 이를 위해, 보안모듈은 장치 인증 과정에서 장치의 식별을 위한 보안모듈 ID, 보안모듈 공개키 인증서 등의 공유정보와 제한 수신 기능 구동을 위한 프로그램을 내부 메모리에 저장하여 관리한다.

디버깅/개발 장치(120)는 보안모듈(110)의 디버그 포트를 통하여 보안모듈(110)의 개발 및 시험을 수행하며, 보안모듈(110)의 상태 및 내부 메모리를 읽고 쓸 수 있다.

인증 서버(130)는 디버깅/개발 장치(120)를 인증하고, 보안모듈(110)에 대한 정보를 제공하는 인증 서버(130) 사이에서 상호 인증 및 보안 채널을 형성함으로써, 비인가된 디버깅/개발 장치의 보안모듈(110) 접근을 제한한다.

본 발명의 보안모듈 개발 시스템(100)은 디버깅/개발 장치(120)의 접근을 제한하는 인증 서버(130)를 구비함으로써, 보안모듈(110)의 내부 메모리에 저장된 데이터들이 유출 혹은 위변조되는 것을 방지할 수 있다.

도 2는 도 1에 도시된 보안모듈(110)의 데이터 복제 방지를 위한 디버깅/개발 장치(120)의 인증 절차에 대한 실시 예를 보여주는 도면이다. 도 2를 참조하면, 디버깅/개발 장치(120)의 인증 절차는 다음과 같다.

디버깅/개발 장치(120)의 인증 절차는 크게 디버깅/개발 장치(120)의 보안모듈(110)의 내부 상태 및 메모리 접근을 위해서 디버깅 전에 디버깅/개발 장치(120) 의 인증을 확인하고, 디버깅/개발 장치(120)의 디버깅 모드에 따른 보안모듈(110)의 디버깅 인증키를 획득하는 과정(S101~S109) 및 인증 서버(130)로부터 획득한 보안모듈(110)의 디버깅 인증키를 이용하여 보안모듈(110)에 접속하고, 보안모듈(110)이 허가하는 모드에서 디버깅을 수행하는 과정(S110~S113)으로 구분된다.

여기서, 디버깅/개발 장치(120)의 인증 및 보안모듈(110)의 디버깅 인증키 획득 과정(S111~S119)은 디버깅/개발 장치(120)의 ID(Tool_ID) 및 장치 인증서(CertificateTool)을 포함하는 인증을 요청하는 단계(S101), 인증 서버(130)에서 디버깅/개발 장치(120)가 보낸 인증서를 검증하고 서버 랜덤 넘버(RandServer)를 생성하는 단계(S102), 인증 서버(130)의 ID 및 서버 인증서(CertificateServer)를 갖는 디버깅/개발 장치(120)의 인증 요청에 응답하는 단계(S103), 서버 인증서를 검증하고 장치 랜덤넘버(RandTool)를 생성하는 단계(S104), 생성된 장치 랜덤넘버(RandTool)를 인증 서버(130)의 공개키로 암호화 한 값 및 장치 비밀값으로 서명한 값을 연접한 값을 갖는 공유키 생성을 요청하는 단계(S105), 생성된 인증 서버(130)의 랜덤넘버(RandServer)를 장치 공개키로 암호화 한 값과 인정 서버(130)의 비밀키로 서명한 값을 연접한 값을 갖는 공유키 생성을 요청에 응답하는 단계(S106), 디버깅/개발 장치(120) 및 인증 서버(130)에서 공유기를 생성하는 단계(S107)를 포함한다. 이로써, 디버깅/개발 장치(120)에 대한 인증 및 보안모듈(110)의 인증키 전송을 위한 상호인증 및 보안 채널 형성을 위한 암호화 키가 공유된다.

여기서, S102 단계에서 인증 서버(130)가 수신한 디버깅/개발 장치(120)의 ID(Tool_ID)가 인증 서버(130)에 사전에 등록된 ID가 아닐 경우에, 해당 ID 및 인증서를 자격 폐기 목록에 올려 관리하고, 이후 인증 및 보안모듈(110)의 인증키 획득을 위한 모든 과정은 더 이상 진행되지 않는다. 상술 된 상호인증 과정을 통하여 인증 서버(130)에 등록된 유효한 디버깅/개발 장치(120)만 보안모듈(110)에 접근할 수 있는 권한이 부여될 수 있다.

디버깅/개발 장치(120)에 대한 인증 및 공유키 생성이 완료되면, 보안모듈(110)의 ID 및 디버그 모드를, S107 단계에서 생성한 공유키로 암호화한 값을 갖는 보안모듈(110)의 디버깅 인증키 요청 단계(S108) 및 디버깅 모드에 따른 보안모듈(110)의 인증키 값을 갖는 보안모듈(110)의 디버깅 인증키 요청에 응답하는 단계(S109)가 진행된다. S108 단계에서 디버그 모드는 보안모듈(110)의 상태 및 내부 메모리 등에 접근할 수 있는 권한을 세분화시킨 것이다. S108 단계에서 요청한 디버그 모드에 따라 S109 단계에서 각각의 정의된 디버깅 모드를 확인할 수 있도록, 디버깅 모듈별로 서로 다른 인증키가 전송된다. 여기서 보안모듈(110)의 인증키는 보안모듈(110)을 발급 및 등록하는 과정에서 인증 서버(130)에서 디버깅 모드별로 각각 다르게 생성함으로써 발행된 인증 번호일 수 있다.

디버깅/개발 장치(120)에 대한 인증 확인 및 보안모듈(110)의 디버깅 인증키 획득 과정이 완료된 후에, 획득된 디버깅 인증키를 갖는 보안모듈(110)의 디버깅을 요청하는 단계(S110), 보안모듈(110)의 디버깅을 허가하는 단계(S111), 보안모듈(110)의 디버깅을 수행하는 단계(S112), 및 보안모듈(110)의 디버깅을 종료하는 단계(S113)가 진행된다. 이로써, 디버깅 모드에 따른 보안모듈(110)의 디버깅이 완 료된다.

도 3은 도 2에 도시된 보안모듈(110)의 디버깅 모드에 대한 설정에 대한 실시 예를 보여주는 도면이다. 도 2를 참조하면, 디버깅 모드의 설정은 다음과 같다.

제 1 모드는 최상위 보안 레벨로 보안모듈(110)의 디버그 포트를 통한 어떠한 작업도 허용하지 않는 것이다. 제 2 모드는 중앙처리장치(CPU)의 접근 및 비보안 메모리 영역에 대한 접근을 허용한다. 제 3 모드는 보안 메모리 영역에 대한 읽기만 허용한다. 제 4 모드는 개발 단계에서 최하위 보안 레벨로 보안모듈(110) 내의 모든 영역에 대한 읽기 혹은 쓰기 동작을 허용한다.

보안모듈(110, 도 1 참조)의 디버깅 모드는 보안모듈 배포 이전에 정의된다. 각 모드에 대한 접근 권한을 확인할 수 있도록, 인증 서버(130)에서 보안 모듈(110) 등록 후에, 각 모드별 인증키가 부여된다. 보안모듈(110)의 디버그 포트를 통한 디버그 모드는 개발이 완료 된 후에 항상 최상위 레벨의 디버그 모드를 유지해야 한다. 인증된 디버깅/개발 장치(120)를 통한 인증키 확인 후에만 허용된 범위내에서 디버깅이 허가된다.

도 4는 본 발명의 실시 예에 따른 보안모듈(110)의 데이터 보호 방법을 보여주는 흐름도이다. 도 4를 참조하면, 보안모듈(110)의 데이터 보호 방법은 다음과 같다.

보안모듈(110, 도 1 참조)은 인증된 디버깅/개발 장치(120)로부터 보안모듈(110)의 디버깅을 요청받는다(S201). 여기서 디버깅 요청은 디버깅/개발 장치(120)의 디버깅 인증키를 입력받음으로써 확인된다. 보안모듈(110)은 입력된 디 버깅 인증키가 유효한 것이 판별한다(S202). 만약, 입력된 디버깅 인증키가 유효하다면, 보안모듈(110)은 인증키 값에 따른 디버깅을 허가한다(S203). 반면에, 입력된 디버깅 인증키가 유효하지 않다면, 보안모듈(110)은 디버깅 불가 모드로 전환되고, 도 3에 도시된 바와 같이, S203 내지 S206 단계가 진행되지 않는다.

보안모듈(110)이 유효한 디버깅 인증키에 따라 디버깅 모드로 전환되면, 보안모듈(110)은 모든 디버깅 과정을 감시하고(S204), 디버깅 권한을 지키고 있는지를 판별한다(S205). 만약, 설정된 디버깅 모드에서 허가된 영역을 벗어나는 디버깅 작업을 수행할 경우, 디버깅 불가 모드로 전환되고(S207), 보안모듈(110)의 디버깅 포트를 통한 모든 작업은 종료된다. 반면에, 정상적인 디버깅 모드에서 작업이 진행될 경우에는 허가된 영역 내에서 디버깅 작업이 허용된다(S206). 이로써 디버깅 동작이 종료된다.

본 발명은 보안모듈(110)의 디버그 포트를 통한 디버그 과정에서 인증 서버(130)에 등록된 유요한 디버깅/개발 장치(120)들만 이용될 수 있도록 한다. 이로써, 비인가된 장치를 통한 보안모듈(110) 내의 고유 정보 및 보안 프로그램의 불법 유출 및 위변조를 차단한다. 또한, 본 발명은 디버그 포트를 통한 디버그 작업의 권한을 부여함으로써, 보안모듈(110)에 대한 사후 관리, 고장에 따른 수리 및 보안모듈(110)의 재사용이 허용될 수 있다.

한편, 본 발명의 상세한 설명에서는 구체적인 실시 예에 관하여 설명하였으나, 본 발명의 범위에서 벗어나지 않는 한도 내에서 여러 가지로 변형할 수 있다. 그러므로 본 발명의 범위는 상술한 실시 예에 국한되어 정해져서는 안되며 후술하 는 특허 청구범위뿐만 아니라 이 발명의 특허청구범위와 균등한 것들에 의해 정해져야 한다.

도 1은 본 발명의 실시 예에 따른 보안모듈 개발 시스템에 대한 블록도이다.

도 2는 도 1에 도시된 보안모듈의 데이터 복제 방지를 위한 디버깅/개발 장치의 인증 절차에 대한 실시 예를 보여주는 도면이다.

도 3은 도 2에 도시된 보안모듈의 디버깅 모드에 대한 설정에 대한 실시 예를 보여주는 도면이다.

도 4는 본 발명의 실시 예에 따른 보안모듈의 데이터 보호 방법을 보여주는 흐름도이다.

*도면의 주요부분에 대한 부호의 설명*

100: 보안모듈 개발 시스템

110: 보안모듈

120: 디버깅/개발 장치

130: 인증 서버

Claims

보안모듈의 디버깅 방법에 있어서:

디버깅 장치로부터 디버깅 인증키를 입력받는 단계;

상기 입력된 디버깅 인증키가 유효한지를 판별하는 단계;

상기 디버깅 인증키가 유효할 때 상기 디버깅 장치에 디버깅을 허가하는 단계; 및

상기 허가된 디버깅 장치에 의해 디버깅이 수행되는 단계를 포함하고,

상기 디버깅 인증키는 상기 디버깅 장치가 인증 절차를 통하여 인증 서버로부터 획득된 것인 디버깅 방법.