KR20140067940A - 불활성 모듈을 포함하는 전자 어셈블리 - Google Patents

불활성 모듈을 포함하는 전자 어셈블리 Download PDF

Info

Publication number
KR20140067940A
KR20140067940A KR1020130145048A KR20130145048A KR20140067940A KR 20140067940 A KR20140067940 A KR 20140067940A KR 1020130145048 A KR1020130145048 A KR 1020130145048A KR 20130145048 A KR20130145048 A KR 20130145048A KR 20140067940 A KR20140067940 A KR 20140067940A
Authority
KR
South Korea
Prior art keywords
operating system
electronic device
security
rich
trusted
Prior art date
Application number
KR1020130145048A
Other languages
English (en)
Other versions
KR102244465B1 (ko
Inventor
니콜라스 부스케
야닉 시에라
Original Assignee
오베르뛰르 테크놀로지스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 오베르뛰르 테크놀로지스 filed Critical 오베르뛰르 테크놀로지스
Publication of KR20140067940A publication Critical patent/KR20140067940A/ko
Application granted granted Critical
Publication of KR102244465B1 publication Critical patent/KR102244465B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/74Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information operating in dual or compartmented mode, i.e. at least one secure mode
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/28Error detection; Error correction; Monitoring by checking the correct order of processing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/629Protecting access to data via a platform, e.g. using keys or access control rules to features or functions of an application
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/48Program initiating; Program switching, e.g. by interrupt
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/082Access security using revocation of authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Quality & Reliability (AREA)
  • Bioethics (AREA)
  • Virology (AREA)
  • Mathematical Physics (AREA)
  • Storage Device Security (AREA)
  • Telephone Function (AREA)

Abstract

전자 디바이스(1)를 위한 전자 어셈블리(10)에 있어서, 리치-OS 운영체제(100)의 보안 이상을 검출하는 검출 모듈(210) 및 상기 검출에 응답하여 전자 디바이스(1)의 적어도 하나의 보안 기능을 불활성시키는 불활성 모듈(220)을 포함하고, 상기 불활성은 그럼에도 불구하고 페일-소프트 모드 내에서 상기 전자 디바이스(1)의 사용을 허용하고, 상기 두 개의 모듈들의 구현은 신뢰된 운영체제에 의존하고, 상기 전자 어셈블리의 메모리(500) 내에 기억된 상기 신뢰된 운영체제(200) 및 상기 리치-OS 운영체제(100)는 상기 전자 어셈블리(10) 상에서 실행되는 것을 특징으로 하는, 전자 어셈블리(10)가 제공된다.

Description

불활성 모듈을 포함하는 전자 어셈블리{ELECTRONIC ASSEMBLY COMPRISING A DISABLING MODULE}
본 발명은 몇몇의 실행 환경들 중 적어도 하나는 신뢰된 실행 환경이고 또 다른 실행 환경은 리치-OS(Rich-OS) 실행 환경인 예컨대, 단말들 또는 스마트카드들과 같은 전자 디바이스를 보안하는 분야에 속한다.
신뢰된 실행 환경은 보안(또는, 보호)(secured) 프로세서 및 보안 재기입 비휘발성 메모리에 의해 구현된다. 보안 프로세서는 신뢰된 실행 환경의 작업 전용 프로세서이거나 다른 기능들을 가질 수 있다. 신뢰된 실행 환경은 신뢰된 운영체제에 기반한다. 따라서 신뢰된 운영체제에 의존하는 어플리케이션들은 단말의 사용자가 제어를 갖지 않는 신뢰된 또는 보증된(certified) 소스들(sources)로부터 기인한다.
유사하게, 리치-OS 실행 환경은 인터넷과 같은 다양한 원천(origin)들의 어플리케이션들의 실행을 허용하는 리치 운영체제에 기반한다.
이러한 두 개의 운영체제들은 예컨대, 단말의 동일한 칩셋 상에서 실행될 수 있다.
또한, 신뢰된 운영체제는 전자 디바이스 상에서 실행되는 코드의 무결성을 검증함으로써 전자 디바이스가 신뢰된 상태에서 시동하는지를 검증하는 보안 시동 메커니즘을 가진다. 신뢰된 운영체제는 어떠한 다른 운영체제가 시동하기 전에 미리 시동된다.
리치-OS 운영체제가 손상되면, 단말 데이터의 보안은 더 이상 보장되지 않는다. 이러한 문제를 해결하기 위해, 리치-OS 운영체제를 완전히 불활성화 하는 것이 알려져 있다.
그러나 이러한 방법은, 사용자들이 더 이상 자신들의 단말을 사용할 수 없기 때문에, 비상 시에 있어서 명백하게 바람직하지 않고(비상 번호로의 통화 불가능), 사용자들을 위한 편리한 솔루션이 아니다.
또한, 전자 디바이스들은 탈착 가능한 보안 요소인 가입자 식별 모듈(Subscriber Identity Module; SIM) 카드(범용 집적 회로 카드(Universal Integrated Circuit Card; UICC)) 또는 내장된 보안 요소(embedded Secure Element; eSE)와 같은 보안 요소들을 포함하는 것으로 알려져 있다.
문서 US 2002/0186845는 무선을 통해 차단(blocking) 메시지를 전송함으로써 단말의 보안 요소로의 접근을 불능화하지만, 그럼에도 불구하고 그 다음으로 페일-소프트(fail-soft) 모드에서 기능하는 단말의 몇몇의 기능들의 사용은 허용하는 위한 시스템을 제안한다.
그러나, 문서 US 2002/0186845에 의해 개시된 솔루션은, 보안 이상(anomaly)을 시그널링(signaling)하는 작업이 단말의 사용자에 좌우되고 단말의 보안은 사용자에 의해 요청되는 때에만 수행된다. 따라서, 단말이 사용자에 대해 투명한(transparent) 보안 이상에 직면할 때, 단말의 보안은 수행되지 않는다. 또한, 전술된 문서 내의 제안된 솔루션은 무선 신호를 수신할 수 있는 요구 사항(need)을 필요로 한다. 따라서 사용자가 불충분한 네트워크 연결로 단말을 사용하는 경우(예컨대, 네트워크 홀(network hole) 또는 결함 있는 네트워크) 또는 네트워크 연결이 없는 경우(예컨대, 항공기 모드), 단말의 보안이 수행될 수 없다.
결과적으로, 전자 디바이스들을 보안하는 기존의 방법들을 개선할 필요가 있다.
본 발명은 주로 전술된 결점들을 해결하기 위한 것에서 출발한다.
전술된 결점들을 해결하기 위해, 본 발명은 전자 디바이스를 위한 전자 어셈블리에 있어서, 전자 어셈블리의 메모리 내에 기억된 신뢰된 운영체제 및 리치-OS 운영체제(100)는 전자 어셈블리 상에서 실행되고, 전자 어셈블리는, 리치-OS(Rich-OS) 운영체제의 보안 이상(anomaly)을 검출하는 모듈 및 검출된 이상에 응답하여 단말의 적어도 하나의 보안 기능(function)을 불활성(disable)시키는 모듈을 포함하고, 상기 두 개의 모듈들의 구현은 신뢰된 운영체제에 의존하고, 상기 불활성은 그럼에도 불구하고 페일-소프트(fail-soft) 모드 내에서 상기 전자 디바이스(1)의 사용을 허용한다.
본 발명은 또한 신뢰된 운영체제 및 리치-OS 운영체제가 실행되는 전자 디바이스를 보안하는 방법과 관련된다. 상기 방법의 구현은 신뢰된 운영체제에 의존하고 상기 방법은 리치-OS 운영체제의 이상을 검출하는 단계 및 상기 검출 단계에 응답하여 전자 디바이스의 적어도 하나의 보안 기능을 불활성시키는 단계를 포함한다. 불활성 단계는 그럼에도 불구하고 페일-소프트 모드 내에서 전자 디바이스의 사용을 허용한다.
본 발명은 또한 전술된 것과 같은 전자 어셈블리를 포함하는 단말과 관련된다. 이러한 단말은 휴대 전화기이거나 터치패드 또는 랩톱 컴퓨터일 수 있다. 변형으로서, 단말은 예컨대, 차량 내의 온-보드(on-board) 컴퓨터와 같은, 머신-투-머신(machine-to-machine) 형식의 구조들 내에서 널리 사용되는, 자립형(self-standing) 또는 내장된 지능화 시스템(intelligent system)일 수 있다.
변형으로서, 단말은 스마트카드일 수 있다.
본 발명은 첫째로, 본 발명은 보안 이상이 감지될 때, 단말의 보안을 제공하고, 둘째로, 디바이스의 보안은 그럼에도 불구하고 사용자가 그 다음으로 페일-소프트(fail-soft) 모드에서 기능하는 디바이스의 몇몇의 기능들을 사용하는 것을 허용하기 때문에, 따라서 디바이스의 사용자가 보안 방식으로 단말을 사용하도록 할 수 있다. 본 방법의 구현은 신뢰된 운영체제에 의존하기 때문에, 사용자는 전술된 디바이스를 완전한 보안성으로 신뢰성 있게 사용할 수 있다. 종래 기술(US 2002/018684)에서 제안된 솔루션에서, 디바이스의 보안은, 신뢰된 운영체제 및 신뢰된 운영체제의 어플리케이션들에게 디바이스의 보안을 맡기는 본 발명과는 반대로, 디바이스에 의해 직면될 수 있는 어떤 보안 이상들에 대한 사용자 감시(alertness)에 기반한다.
본 발명의 특별한 일 실시예에서, 보안 기능은 전자 디바이스에 의해 실행되는 보안 요소의 어플리케이션, 또는 예컨대, 암호화(cryptographic) 키들과 같은 보안 요소의 중요 데이터(sensitive data)에 접근하는 접근 기능이고, 상기 중요 데이터 는 전자 디바이스에 의해 접근 가능하다.
따라서 디바이스의 보안이 획득되고, 따라서 비-보안(non-secure) 기능들은 여전히 가용한 상태로 남는다.
예컨대, 모바일 전화기의 경우, 사용자는 보안 기능들, 예컨대, 결제 기능들이 불활성되더라도, 예컨대, 단말을 사용하여 통화할 수 있다.
본 발명의 특정한 일 실시예에서, 보안 이상은 리치-OS 운영체제의 손상(corruption)이다.
리치-OS 운영체제의 손상은 자동적으로 및/또는 체계적으로(systematically) 무결성 검증 모듈에 의해 검출될 수 있다.
리치-OS 운영체제의 손상은 유해한 현상으로 종종 전자 디바이스의 사용자에게 보이지 않고(invisible), 이러한 실시예에서 본 발명은 이러한 불편함의 감소를 취하기 위해 필수적인 보안 단계들이 실행되는 것을 허용한다.
본 발명의 또 다른 실시예에서, 검출 모듈은 보안 커맨드(securing command)를 포함하는 메시지를 수신할 수 있다.
이러한 실시예는 원격으로 개시될 수 있는 장점을 갖는다. 보안이 원격으로 개시되는 것은 예컨대, 도난 또는 유실된 전자 디바이스를 보안함에 있어서 특별한 장점이 된다.
본 발명의 특별한 실시예에서, 불활성 모듈은 어플리케이션 불활성 커맨드를 어플리케이션으로 전송하는 것이 가능하고, 어플리케이션의 불활성의 확인(acknowledgement)을 대기하는 것이 가능하다. 신뢰된 운영체제는 상기 확인이 네거티브(negative)일 때 전자 디바이스의 보안을 보장하는 필수적인 단계들을 맡는다(take).
따라서, 불활성의 실패의 경우, 신뢰된 운영체제는 그럼에도 불구하고 전자 디바이스의 보안을 보장하는 필수적인 단계들을 맡을 수 있다.
본 발명의 특별한 실시예에서, 검출 모듈은 전자 디바이스의 보안의 검증(verification)에 응답하여 활성화되고, 검출 모듈은 신뢰된 운영체제의 개시(initiative) 상에서나, 전자 디바이스의 시동(start-up) 상에서나, 또는 규칙적인 간격들(regular intervals)에서나 또는 전자 디바이스의 사용자의 개시 상에서 트리거된다.
이러한 실시예의 한 가지 장점은, 검증이 신뢰된 운영체제의 개시 상에서 수행될 때, 전자 디바이스의 보안이 사용자의 관점에서 자동적으로 수행된다는 것이다.
이러한 실시예의 더 나아간 장점은 전자 디바이스의 사용자가, 전자 디바이스의 보안을 의심(doubting)할 때, 또한 검증을 개시할 수 있다는 것이다. 이러한 장점은 사용자의 전자 디바이스가 유실 또는 도난 되었을 때, 또는 사용자가 의심스러운(dubious) 어플리케이션을 다운로드하는 것과 같이 자신의 단말을 취약하게(vulnerable) 만드는 동작들을 수행할 때, 특히 이익이 있다.
본 발명의 특별한 일 실시예에서, 전술된 방법의 단계들은 컴퓨터 프로그램의 인스트럭션들에 의해 결정된다.
따라서 본 발명은 또한 전술된 것과 같은 방법의 단계들의 구현을 위한 인스트럭션들을 포함하고 프로세서에 의해 실행 가능하게 되는 컴퓨터 프로그램과 관련된다.
상기 프로그램은 예컨대, 소스 코드 또는 목적 코드의 형식과 같은, 여하한 프로그래밍 언어를 사용할 수 있다. 프로그램은 컴파일 및/또는 해석되거나 프로세서에 의해 해석될 수 있는 여하한 형식일 수 있다.
본 발명의 특별한 일 실시예에서, 상기 컴퓨터 프로그램은 신뢰된 운영체제이다.
본 발명의 또 다른 실시예에서, 상기 컴퓨터 프로그램은 신뢰된 운영체제 상의 패치이다. 상기 패치의 장점은 현존하는 어플리케이션 프로그래밍 인터페이스(Application Programming Interface; API) 서브스트레이트(substrate)들을 풍부하게 하고 신뢰된 운영체제의 네이티브(native) 어플리케이션이 배치될 때 신뢰된 운영체제의 네이티브 어플리케이션이 몇몇의 서비스들을 제안할 수 없을 때 또는 네이티브 어플리케이션이 배치될 수 없을 때 신뢰된 운영체제의 네이티브 어플리케이션의 대안을 형성하는 것이다. 상기 패치는 따라서 최초로 신뢰된 운영체제에 의해 제안되지 않은 추가적인 기능성들을 제안한다.
본 발명은 또한 컴퓨터에 의해 판독 가능하고 전술된 것과 같은 컴퓨터 프로그램의 인스트럭션들을 포함하는 데이터 매체와 관련된다.
상기 데이터 매체는 프로그램을 저장할 수 있는 내장된 또는 탈착 가능한 여하한 개체(entity) 또는 디바이스일 수 있다. 예컨대, 매체는 읽기 전용 메모리(Read Only Memory; ROM), 콤팩트 디스크 ROM(Compact Disc-Read Only Memory; CD-ROM) 또는 마이크로-전자 회로의 ROM과 같은 저장 매체, 또는 예컨대, 하드 디스크와 같은 자기 기록 수단, 또는 플래시 메모리 또는 랜덤 액세스 메모리(Random Access Memory; RAM) 타입의 메모리일 수 있다.
또한, 데이터 매체는, 무선 또는 다른 수단을 통해, 전기 또는 광학 케이블을 통해 전달될 수 있는 전기 또는 광학 신호와 같은 전송 가능한 매체일 수 있다. 본 발명의 프로그램은 특히 온-라인 저장 공간으로 다운로드되거나 인터넷 플랫폼 상에서 다운로드될 수 있다.
대체적으로, 저장(storage) 매체는 컴퓨터 프로그램이 내장된 집적회로일 수 있고, 집적회로는 고려된 방법의 실행을 위해 개작 되거나(adapted) 고려된 방법의 실행에 있어서 사용될 수 있다.
본 발명의 다른 특징들 및 이점들은, 본 발명의 특징 및 이점을 어떤 점에서도 제한하지 않는 실시예를 나타내는 첨부된 하기의 도면들을 참조하여 후술될 설명으로부터 명백해질 것이다.
도 1은 본 발명의 일 실시예에 따른 전자 디바이스를 도식적으로 나타낸다.
도 2는 본 발명의 특별한 일 실시예에 따른 방법을 도식적으로 나타낸다.
도 3은 도 2에 도시된 본 발명의 실시예에 따른 방법의 사용의 시나리오(scenario)를 나타낸다.
도 4는 본 발명의 또 다른 실시예에 따른 방법을 나타내는 흐름도이다.
도 1는 본 발명의 일 실시예에 따른 전자 디바이스(1)를 나타낸다. 도 1a의 예시에서, 전자 디바이스는 예컨대, 터치패드, 랩톱 컴퓨터 또는 모바일 전화기와 같은 단말일 수 있다.
변형으로서 차량 내의 온-보드(on-board)된 컴퓨터와 같은 머신-투-머신 형식의 디바이스, 또는 은행 카드 또는 전자 식별 문서와 같은 스마트카드일 수 있다.
도 1의 예시에서, 단말은 본 발명에 따른 전자 어셈블리(10) 및 보안 요소(20)를 포함한다.
이러한 예시에서, 전자 어셈블리(10) 자신은 프로세서(300) 및 메모리(500)를 포함하고, 특히, 메모리(500) 내에는 두 개의 운영체제들, 즉, 참조번호 100으로 참조되는 리치-OS 운영체제 및 참조번호 200으로 참조되는 신뢰된 운영체제의 코드가 저장된다.
이러한 두 개의 운영체제들은 단말(1)의 시동(start-up) 상에서, 공동으로(jointly) 시동된다(started up). 당업자들에게 알려진 것처럼, 신뢰된 운영체제(200)의 보안 실행 환경은 보안 시동 메커니즘(시큐어 부트(secure boot))을 포함하고, 보안 시동 메커니즘(시큐어 부트(secure boot))에 의해 신뢰된 운영체제(200)가 인증되고 그 다음으로 신뢰된 운영체제(200)가 초기화되고(즉, 신뢰된 운영체제(200)가 개시(launched)됨), 리치-OS 운영체제(100)가 시동된다.
더 구체적으로, 시큐어 부트는 단말의 시동의 완료를 이끄는(leading) 단계들의 연속이고, 각 단계는 다음 단계를 유효하게 한다. 예컨대, i+1 번째 단계는 i 번째 단계가 다음 단계로의 이행을 유효하게 하는 경우에만 트리거된다.
그러나, 대기(stand-by)와는 반대로, 운영체제들의 각각의 활성(active) 동작은 배타적이다. 말하자면, 하나의 운영체제가 활성일 때, 나머지 운영체제는 비활성(inactive) 모드에 있다.
이러한 예시에서, 신뢰된 운영체제(200)는 보안 이상을 검출하는 참조번호 210으로 참조되는 검출 모듈 및 불활성 모듈(220)을 포함한다. 신뢰된 운영체제가 모듈(210)에 의해 보안 이상을 검출할 때, 불활성 모듈(220)은 차례로(in turn) 동작하도록 설정된다.
또한, 보안 요소는 판독기에 의해 단말에 연결된 예컨대, SIM 카드와 같은, 스마트카드 또는 연결 패드(connection pad)들이 단말로 연결된, 예컨대, eSE와 같은, 집적 회로일 수 있다.
일반적으로, 보안 요소는 표준 ISO/CEI 15408, ISO 7816 및/또는 표준 FIPS 140에 따른 보안 기준을 만족하고, 데이터 및 근거리 무선 통신(Near Field Communication; NFC)을 통한 비접촉식 결제(contactless payment) 전용 어플리케이션과 같은 민감한 어플리케이션(sensitive application)들을 저장한다.
이러한 예시에서, 보안 요소(20)는 단말이 특히, 모바일 네트워크를 통해 통신하는 것을 허용하는 SIM 카드이다. 신뢰된 운영체제(200)는 직접, 즉 리치-OS 운영체제를 동원하지 않고, SIM 카드(20) 내에 저장된 어플리케이션들에게 접근할 수 있다.
이러한 SIM 카드(20)는 어플리케이션들을 관리하는 역할을 하는 구성요소(카드 매니저)(CM)를 포함한다. 이러한 카드 매니저(CM)는 SIM 카드(20)의 어플리케이션일 수 있다. 특히, 카드 매니저(CM)는 표준 ISO 7816에 따른 어플리케이션 프로토콜 데이터 단위(Application Protocol Data Unit; APDU) 형식의 프레임들의 라우팅을 보장한다.
따라서, 보안 이상이 검출될 때 및 불활성 모듈(220)에 의해 신뢰된 운영체제가 예컨대, 결제 전용 어플리케이션들과 같은, 특정한 형식의 모든 어플리케이션들을 불활성시키는 불활성 인스트럭션을 전송할 때, 카드 매니저(CM)는 관련된 상이한 어플리케이션들, 즉, 이러한 특정한(precise) 예시에서는 결제 전용 어플리케이션들로 불활성 인스트럭션을 라우트한다.
이러한 예시에서는, 단지 SIM 카드(20)의 보안 기능들의 불활성만 설명되었다. 그러나, 본 발명은 또한 몇몇의 보안 요소들을 포함하는 단말의 보안과 관련되고, 각 보안 요소는 불활성 될 수 있는 보안 기능들을 포함한다. 이러한 구성에서, 이러한 보안 요소들 및 보안 요소들의 어플리케이션들의 리스트는 신뢰된 운영체제(200)에 의해 제어되는 비휘발성 메모리(non-volatile memory) 내에 기억된다.
도 2는 본 발명의 특별한 일 실시예에 따른 방법의 주요 단계들을 나타낸다. 상기 방법의 구현은 도 1을 참조하여 전술된 것처럼 단말(1) 내의 신뢰된 운영체제(200)에 의존한다.
단계(E5)에서, 신뢰된 운영체제의 특별한 어플리케이션은 리치-OS 운영체제의 무결성을 검증한다.
이러한 예시에서, 상기 방법은 전술된 것과 같은 단말(1)의 보안 시동 상의, 신뢰된 운영체제(200)의 개시 상에서 구현된다.
변형으로서, 상기 방법은 클럭에 의해 규칙적으로(regular basis) 신뢰된 운영체제(200)의 개시 상에서 또는 단말(1)의 사용자의 개시 상에서, 또는 폴링(polling) 커맨드의 수신 상에서 구현될 수 있다.
당업자들에게 알려진 방식에 있어서, 운영체제의 무결성의 검증은 운영체제(예컨대, 코어(core), 네이티브 라이브러리들(native libraries), 실행 환경 및 어플리케이션들)의 각 레벨 내의 옥텟들의 특정한 시리즈(series)의 지문(fingerprint)의 온-더-플라이(on-the-fly) 계산을 필요로 하고, 그 다음으로 예컨대, 숙련된 기술자들에게 잘 알려진 보안 해시 알고리즘-1(Secure Hash Algorithm-1; SHA-1)을 적용함으로써 상기 지문을 참조 지문과 비교한다.
단계(E10)에서, 리치-OS 운영체제의 무결성을 검증하는 역할을 하는 특별한 어플리케이션은 리치-OS 운영체제가 손상되었는지를 확인한다(ascertain).
실제로 상기 손상이 확인될 때, 보안 이상과 관련된 정보는 신뢰된 운영체제(200)에 의해 제어되는 비휘발성 메모리 내에 기억되고, 따라서, 이러한 정보의 독출이 가능한 신뢰된 운영체제(200)의 특별한 어플리케이션은 단말의 적어도 하나의 보안 기능을 불활성시키는 불활성 단계(E11)를 동작하도록 설정된다.
단말이 몇몇의 보안 요소들을 포함하고 보안 요소들의 리스트가 신뢰된 운영체제(200)에 의해 제어되는 비휘발성 메모리 내에 저장되는 특별한 경우에 있어서, 신뢰된 운영체제(200)의 특별한 어플리케이션은 보안 요소들의 리스트를 독출하고 리스트 내의 각 보안 요소의 불활성되는 각 어플리케이션에 대한 불활성 단계(E11)를 개시한다.
도 2로 돌아와서, 불활성 단계(E11)는, 이러한 예시에서, SIM 카드(20)의 민감한 어플리케이션으로 직접 불활성 인스트럭션을 전송하는 단계(E20) 및 고려된 어플리케이션에 의해 주어지는 확인(ACK)을 대기하는 대기 단계(E30)를 포함한다.
통신들(인스트럭션 및 확인의 전송 및 수신)은 예컨대, 표준 ISO 7816에 따른 APDU 프로토콜을 사용하여 수행된다.
도 3은 도 2를 참조하여 전술된 실시예에 따른 방법을 통합하는 사용의 시나리오를 도식적으로 나타낸다.
이러한 시나리오에서, 사용자는 단말(1)의 전원을 켠다. 단계(E5)에서, 신뢰된 운영체제의 특별한 어플리케이션은 리치-OS 운영체제의 무결성을 검증한다.
신뢰된 운영체제는 리치-OS 운영체제가 손상되었는지를 확인하고(단계(E10)) SIM 카드의 결제 어플리케이션들의 불활성을 개시하고(단계(E11)) SIM 카드(20) 상에 존재하는 암호화 키들에게 접근한다. SIM 카드(20) 상의 결제 어플리케이션들, 예컨대, 전자 커머스(commerce) 또는 구매 어플리케이션을 사용하는 리치-OS 운영체제의 어플리케이션들은, 그 다음으로 단말(1)의 사용자에 의해 접근 가능한 상태로 유지되지만 SIM 카드의 어플리케이션들 또는 암호화 키들을 사용하는 결제 액션(action)들은 더 이상 불가능하다.
이러한 예시에서, 리치-OS 운영체제의 이러한 어플리케이션들은 SIM 카드(20)에 대한 직접적인 접근을 갖는다. 사용자는 나중에 모바일 네트워크를 통한 통화를 위해 단말(1)을 사용한다. 이러한 통화는 오로지 SIM 카드(20) 상에 저장된 보안 결제 어플리케이션들만 차단되기 때문에 수행될 수 있다. 한편으로는, 사용자는 더 이상 구매 및 전자 커머스 어플리케이션들을 완전하게 사용할 수 없다. 단말의 이러한 부분적인 사용은 페일-소프트 모드로 일컬어진다(termed).
도 4는 본 발명의 또 다른 실시예에 따른 방법의 주요 단계들을 나타내고, 상기 방법은 또한 도 1을 참조하여 전술된 것과 같은 단말(1) 내의 신뢰된 운영체제(200)에 의해 구현될 수 있다.
또한, 이러한 예시에서, SIM 카드는 3개의 어플리케이션들(APP0, APP1 및 APP2)을 포함하고, 마지막 2개는 결제 어플리케이션들이다.
단계(E10)에서, 신뢰된 운영체제(200)는 SIM 카드(20) 상에 저장된 결제 어플리케이션들을 불활성시키는 커맨드를 포함하는 메시지를 수신한다.
단계(E200)에서, 신뢰된 운영체제(200)는 카드 매니저(CM)로 결제 어플리케이션들을 불활성시키는 인스트럭션을 전송하고, 카드 매니저(CM)는 결제 어플리케이션이 아닌 어플리케이션(APP0)을 선택하지 않고, 어플리케이션(APP1) 및 어플리케이션(APP2)을 선택한다. 선택된 양자 모두는 결제 전용 어플리케이션들이다.
실제로, 불활성 인스트럭션은 APDU 프레임의 형식이고 카드 매니저(CM)는 표준 ISO 7816에 따른 어플리케이션들의 고유한 어플리케이션 식별자(Application IDendifier; AID)에 따라 어플리케이션들을 선택한다.
카드 매니저는 따라서 선택된 어플리케이션들, 즉, 어플리케이션(APP1) 및 어플리케이션(APP2)에 대한 불활성 인스트럭션을 포함하는 APDU 프레임을 전송한다.
어플리케이션(APP1)은 연속적으로 불활성을 수행하고 포지티브(positive) 확인(ACK+)을 전송하고, 반면에 어플리케이션(APP2)의 불활성은 실패하고, 따라서 네거티브 확인(ACK-)이 전송된다.
이러한 예시에서, 카드 매니저(CM)는 수신한 확인들을 요약(summarise)하고 또한 APDU 프레임의 형식으로 신뢰된 운영체제로 글로벌(global) 확인(acknowledgement)(ACK(+,-))을 전송하고, 따라서 확인 대기 단계(E300)는 종료된다.
이러한 예시에서, 전술된 것처럼, 리치-OS 운영체제의 어플리케이션들은 신뢰된 운영체제를 필수적으로 동원하지 않고 SIM 카드(20)에 대한 접근을 가진다.
변형으로서, 신뢰된 운영체제는 리치-OS 운영체제 및 보안 요소, 즉, SIM 카드(20) 간의 체계적인 중개자(systematic intermediary) 일 수 있다.
SIM 카드(20) 상의 보안 기능들의 불활성 단계들은 그 다음으로 신뢰된 운영체제 내의 통신을 제어하는 요소(보안 요소 접근 제어기)를 통합하는 것을 필요로 할 수 있다. 이러한 제어기는 필터로서 동작하고 사전 정의된 보안 정책을 적용한다. 보안 이상이 감지되면, 이러한 보안 정책은 예컨대, 리치-OS 운영체제로부터 기인하는 신뢰된 운영체제를 통해 보안 기능들에 대한 접근을 요청하는 요청들을 차단할 수 있다.

Claims (15)

  1. 전자 디바이스(1)를 위한 전자 어셈블리(10)에 있어서,
    리치-OS(Rich-OS) 운영체제(100)의 보안 이상(anomaly)을 검출하는 검출 모듈(210); 및
    상기 검출에 응답하여 상기 리치-OS 운영체제의 어플리케이션들에 의해 사용되는 상기 전자 디바이스(1)의 적어도 하나의 보안 기능(function)을 불활성(disable)시키는 불활성 모듈(220)
    을 포함하고,
    상기 불활성은 그럼에도 불구하고 페일-소프트(fail-soft) 모드 내에서 상기 전자 디바이스(1)의 사용을 허용하고, 상기 두 개의 모듈들의 구현은 신뢰된 운영체제에 의존하고, 상기 전자 어셈블리의 메모리(500) 내에 기억된 상기 신뢰된 운영체제(200) 및 상기 리치-OS 운영체제(100)는 상기 전자 어셈블리(10) 상에서 실행되는 것을 특징으로 하는, 전자 어셈블리(10).
  2. 제1항에 있어서,
    상기 보안 이상은 상기 리치-OS 운영체제(100)의 손상(corruption)인 것을 특징으로 하는, 전자 어셈블리(10).
  3. 제1항 및 제2항 중 어느 한 항에 있어서,
    상기 검출 모듈(210)은 보안 커맨드(securing command)를 포함하는 메시지를 수신할 수 있는 것을 특징으로 하는, 전자 어셈블리(10).
  4. 제1항 내지 제3항 중 어느 한 항에 있어서,
    상기 적어도 하나의 보안 기능은 상기 전자 디바이스(1)에 의해 실행되는 보안 요소(20)의 어플리케이션(App, App1, App2); 또는
    예컨대, 암호화(cryptographic) 키들과 같은 보안 요소(20)의 적어도 하나의 중요 데이터(sensitive data) 항목에 접근을 제공하는 기능이고,
    상기 중요 데이터 항목은 상기 전자 디바이스(1)에 의해 접근 가능한 것을 특징으로 하는, 전자 어셈블리(10).
  5. 제4항에 있어서,
    상기 불활성 모듈은
    상기 어플리케이션(App)의 불활성 인스트럭션을 상기 어플리케이션(App)으로 전송하는 것과 상기 어플리케이션(App)의 불활성의 확인(acknowledgement)을 대기하는 것이 가능하고,
    상기 신뢰된 운영체제는 상기 확인이 네거티브(negative)일 때 상기 전자 디바이스의 보안을 보장하는 필수적인 단계들을 맡는(taking) 것을 특징으로 하는, 전자 어셈블리(10).
  6. 제1항 내지 제5항 중 어느 한 항에 있어서,
    상기 검출 모듈(210)은 상기 전자 디바이스(1)의 보안의 검증(verification)(E5)에 응답하여 활성화되고, 상기 검출 모듈(210)은 상기 신뢰된 운영체제(200)의 개시(initiative) 상에서나, 상기 전자 디바이스(1)의 시동(start-up) 상에서나, 또는 규칙적인 간격들(regular intervals)에서나; 또는 상기 전자 디바이스(1)의 사용자의 개시 상에서 트리거되는 것을 특징으로 하는, 전자 어셈블리(10).
  7. 제1항에 있어서,
    상기 검출 모듈은 운영체제의 각 레벨 내의 옥텟들의 특정한 시리즈(series)의 지문(fingerprint)의 온-더-플라이(on-the-fly) 계산을 수행하고 그 다음으로 상기 지문을 참조 지문과 비교하는, 전자 어셈블리(10).
  8. 제1항 내지 제7항 중 어느 한 항의 전자 어셈블리(10)를 포함하는, 단말(1).
  9. 제8항에 있어서,
    상기 단말(1)은 모바일 이동통신 단말인 것을 특징으로 하는, 단말(1).
  10. 전자 디바이스(1)를 보안하는 방법에 있어서,
    리치-OS(Rich-OS) 운영체제(100)의 보안 이상(anomaly)을 검출하는 검출 단계(E10); 및
    상기 검출 단계에 응답하여 상기 전자 디바이스(1)의 적어도 하나의 보안 기능(function)을 불활성(disable)시키는 불활성 단계(E11)
    를 포함하고,
    상기 불활성 단계는 그럼에도 불구하고 페일-소프트(fail-soft) 모드 내에서 상기 전자 디바이스(1)의 사용을 허용하고, 상기 방법의 구현은 신뢰된 운영체제(200)에 의존하고, 상기 신뢰된 운영체제(200) 및 상기 리치-OS 운영체제(100)는 상기 전자 디바이스 상에서 실행되는 것을 특징으로 하는, 전자 디바이스(1)를 보안하는 방법.
  11. 제10항의 방법을 구현하는 인스트럭션들을 포함하고 프로세서(300)에 의해 실행 가능하게 되는, 컴퓨터 프로그램(PG).
  12. 제11항에 있어서,
    상기 컴퓨터 프로그램(PG)은 상기 신뢰된 운영체제를 형성하는 것을 특징으로 하는, 컴퓨터 프로그램(PG).
  13. 제11항에 있어서,
    상기 컴퓨터 프로그램(PG)은 상기 신뢰된 운영체제 상의 패치를 형성하는 것을 특징으로 하는, 컴퓨터 프로그램(PG).
  14. 제11항에 있어서,
    상기 컴퓨터 프로그램(PG)은 상기 신뢰된 운영체제에 구현에 있어서 의존(implementation-dependent)하는 어플리케이션을 형성하는 것을 특징으로 하는, 컴퓨터 프로그램(PG).
  15. 제10항의 방법의 구현을 위한 인스트럭션들을 포함하는 컴퓨터 프로그램이 기록된 컴퓨터에 의해 판독 가능한, 기록 매체(500).
KR1020130145048A 2012-11-27 2013-11-27 불활성 모듈을 포함하는 전자 어셈블리 KR102244465B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR1261301 2012-11-27
FR1261301A FR2998689B1 (fr) 2012-11-27 2012-11-27 Ensemble electronique comprenant un module de desactivation

Publications (2)

Publication Number Publication Date
KR20140067940A true KR20140067940A (ko) 2014-06-05
KR102244465B1 KR102244465B1 (ko) 2021-04-26

Family

ID=48224860

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130145048A KR102244465B1 (ko) 2012-11-27 2013-11-27 불활성 모듈을 포함하는 전자 어셈블리

Country Status (5)

Country Link
US (2) US20140150104A1 (ko)
EP (1) EP2735969B1 (ko)
JP (1) JP6388765B2 (ko)
KR (1) KR102244465B1 (ko)
FR (1) FR2998689B1 (ko)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2998689B1 (fr) 2012-11-27 2014-12-26 Oberthur Technologies Ensemble electronique comprenant un module de desactivation
FR3022055B1 (fr) * 2014-06-06 2016-07-01 Oberthur Technologies Appareil electronique comprenant une entite electronique securisee et procede mis en oeuvre dans un tel appareil electronique
JP6305284B2 (ja) * 2014-09-10 2018-04-04 株式会社東芝 携帯可能電子装置
CN104320295B (zh) * 2014-10-08 2018-05-29 清华大学 Can报文异常检测方法及系统
KR20160066728A (ko) 2014-12-03 2016-06-13 삼성전자주식회사 생체 정보를 저장하는 nfc 패키지 및 전자 기기
US10846696B2 (en) * 2015-08-24 2020-11-24 Samsung Electronics Co., Ltd. Apparatus and method for trusted execution environment based secure payment transactions
CN105528554B (zh) 2015-11-30 2019-04-05 华为技术有限公司 用户界面切换方法和终端
JP6505893B2 (ja) * 2018-03-05 2019-04-24 株式会社東芝 携帯可能電子装置

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050186954A1 (en) * 2004-02-20 2005-08-25 Tom Kenney Systems and methods that provide user and/or network personal data disabling commands for mobile devices
US20120137364A1 (en) * 2008-10-07 2012-05-31 Mocana Corporation Remote attestation of a mobile device

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0758470B2 (ja) * 1988-06-30 1995-06-21 日本電気株式会社 仮想計算機の割込み制御方式
AUPQ334299A0 (en) * 1999-10-08 1999-11-04 Centurion Tech Holdings Pty Ltd Security card
US20020186845A1 (en) 2001-06-11 2002-12-12 Santanu Dutta Method and apparatus for remotely disabling and enabling access to secure transaction functions of a mobile terminal
US7502928B2 (en) * 2004-11-12 2009-03-10 Sony Computer Entertainment Inc. Methods and apparatus for secure data processing and transmission
US8045958B2 (en) * 2005-11-21 2011-10-25 Research In Motion Limited System and method for application program operation on a wireless device
US20090307770A1 (en) * 2006-08-17 2009-12-10 Peter William Harris Apparatus and method for performing integrity checks on sofware
US8209550B2 (en) * 2007-04-20 2012-06-26 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for protecting SIMLock information in an electronic device
JP2009169841A (ja) * 2008-01-18 2009-07-30 Panasonic Corp 情報処理装置および携帯電話装置
US8555089B2 (en) * 2009-01-08 2013-10-08 Panasonic Corporation Program execution apparatus, control method, control program, and integrated circuit
US20110035808A1 (en) * 2009-08-05 2011-02-10 The Penn State Research Foundation Rootkit-resistant storage disks
JP2011060225A (ja) * 2009-09-14 2011-03-24 Toshiba Corp オペレーティングシステム起動方法
FR2998689B1 (fr) 2012-11-27 2014-12-26 Oberthur Technologies Ensemble electronique comprenant un module de desactivation

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050186954A1 (en) * 2004-02-20 2005-08-25 Tom Kenney Systems and methods that provide user and/or network personal data disabling commands for mobile devices
US20120137364A1 (en) * 2008-10-07 2012-05-31 Mocana Corporation Remote attestation of a mobile device

Also Published As

Publication number Publication date
FR2998689B1 (fr) 2014-12-26
US20160162687A1 (en) 2016-06-09
US9817972B2 (en) 2017-11-14
FR2998689A1 (fr) 2014-05-30
EP2735969B1 (fr) 2019-09-04
KR102244465B1 (ko) 2021-04-26
JP2014112369A (ja) 2014-06-19
US20140150104A1 (en) 2014-05-29
JP6388765B2 (ja) 2018-09-12
EP2735969A1 (fr) 2014-05-28

Similar Documents

Publication Publication Date Title
KR102244465B1 (ko) 불활성 모듈을 포함하는 전자 어셈블리
US10440575B2 (en) Protection of a security element coupled to an NFC circuit
JP6321023B2 (ja) 内部不揮発性メモリを有しないデバイスにおいてアンチロールバック保護を与えるための方法
US11743721B2 (en) Protection of a communication channel between a security module and an NFC circuit
US11963004B2 (en) Detection of a rerouting of a communication channel of a telecommunication device connected to an NFC circuit
US9736693B2 (en) Systems and methods for monitoring an operating system of a mobile wireless communication device for unauthorized modifications
EP2895982B1 (en) Hardware-enforced access protection
US10091652B2 (en) Relay device
ES2524967T3 (es) Dispositivo y procedimiento de comunicación de corto alcance sin contacto
WO2014206172A1 (zh) 移动设备中的非可信环境与可信环境之间的切换
KR102099739B1 (ko) 보안 엘리먼트를 관리하는 방법
KR101686631B1 (ko) 스마트 보안 데이터 저장 장치
US20210176629A1 (en) Access control for near field communication functions
KR20140117164A (ko) 분실 처리 시스템 및 그 방법, 그리고 이에 적용되는 장치
CN101742714A (zh) 移动电话及其保密方法

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant