KR20150032970A - 보안 기능을 제공하는 저장 매체 및 그 보안 방법 - Google Patents

보안 기능을 제공하는 저장 매체 및 그 보안 방법 Download PDF

Info

Publication number
KR20150032970A
KR20150032970A KR20130112350A KR20130112350A KR20150032970A KR 20150032970 A KR20150032970 A KR 20150032970A KR 20130112350 A KR20130112350 A KR 20130112350A KR 20130112350 A KR20130112350 A KR 20130112350A KR 20150032970 A KR20150032970 A KR 20150032970A
Authority
KR
South Korea
Prior art keywords
security
memory
command
access
information
Prior art date
Application number
KR20130112350A
Other languages
English (en)
Inventor
강보경
김지수
이재범
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Priority to KR20130112350A priority Critical patent/KR20150032970A/ko
Priority to US14/494,106 priority patent/US20150089247A1/en
Publication of KR20150032970A publication Critical patent/KR20150032970A/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1408Protection against unauthorised use of memory or access to memory by using cryptography
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/305Authentication, i.e. establishing the identity or authorisation of security principals by remotely controlling device operation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2212/00Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
    • G06F2212/21Employing a record carrier using a specific recording technology
    • G06F2212/214Solid state disk

Abstract

본 발명의 실시 예는 보안 메모리 장치를 이용한 보안 방법 및 그 장치에 대한 것으로, 단말에 대한 보안 서비스 명령 및 상기 명령을 인증할 수 있는 검증 정보를 포함하는 보안 코드를 서버로부터 수신하는 단계, 상기 수신한 검증 정보를 상기 단말의 메모리에 설정된 검증 정보에 대응하는지 판단하는 단계, 상기 수신한 검증 정보가 상기 설정된 검증 정보에 대응하면, 상기 메모리에서 상기 수신한 상기 단말에 대한 보안 서비스 명령에 대응하는 보안 동작을 수행하는 단계를 포함하는 것을 특징으로 하는 보안 방법 및 단말을 제공한다.

Description

보안 기능을 제공하는 저장 매체 및 그 보안 방법{Storage unit for offering security function and method thereof}
본 발명은 보안 기능을 제공하는 저장 매체 및 그 보안 방법에 대한 것으로, 보안 기능을 제공하는 메모리 및 메모리를 포함하는 장치와 이를 이용한 보안 방법에 관한 것이다.
전자 장치에 대한 기술 발전으로 인하여 최근 단말은 다양한 기능을 포함하게 되었다. 이러한 단말의 기능을 지원하기 위하여 단말은 메모리에 저장되어 있는 정보를 이용한다. 단말이 다양한 기능을 서비스하면서 단말의 기능을 지원하는 메모리에 대한 보안의 중요성 또한 커지고 있는 실정이다.
즉, 단말은 단순히 통화 기능을 제공하는 전화기에서 사진이나 동영상의 촬영, 음악이나 동영상 파일의 재생, 게임, 방송 수신, 전자 결재 등 복잡한 기능을 갖춘 멀티 미디어 기기 형태로 구현되고 있다. 이러한 추세에 따라 단말이 다양한 멀티 미디어 기능을 제공하고 사용자의 주요 개인 정보를 저장하고 있기 때문에 보안에 대한 중요성이 높아지고 있다.
이러한 단말에 대한 보안 중요성에 따라 단말을 사용하는 경우 해커의 공격으로부터 단말에 저장된 데이터를 보호하고, 서로 다른 어플리케이션 사이에서 데이터를 효율적으로 관리하기 위한 방법이 연구되고 있다.
또한, 최근 고성능/고가의 단말 보급으로 단말의 분실이 급증하고 있는 환경에서 단말의 분실을 막기 위한 방법 및 단말 분실 시 단말에 저장되어 있는 개인 정보를 효과적으로 보호하기 위한 보안 방법이 연구되고 있다.
하지만 현재까지 메모리는 컨트롤러의 명령에 따라 저장된 데이터를 읽고 쓰는 명령만을 수행할 뿐, 보안 영역에 대한 접근 제어와 킬(kill)/언락(unlock)/락(lock) 등의 서비스를 제공하지는 않았다.
본 발명이 이루고자 하는 기술적 과제는 보안 기능을 포함하는 메모리 및 메모리를 포함하는 장치를 제공하는 것이다. 또한 보안 기능을 제공하는 메모리 및 메모리를 포함하는 장치를 이용한 보안 방법을 제공하는 것이다.
본 발명에서는 메모리 영역을 자신만이 접근 가능한 영역(Trust Storage)로 사용할 수 있는 장치 및 방법을 제공한다. 또한, 단말의 도난 시 메모리 수준에서 메모리 및 메모리를 포함하는 장치를 사용할 수 없도록 그 기능을 불능화시켜 보안 기능을 강화하는 방법을 제공한다.
본 발명의 실시 예는 단말에 대한 보안 서비스 명령 및 상기 명령을 인증할 수 있는 검증 정보를 포함하는 보안 코드를 서버로부터 수신하는 단계, 상기 수신한 검증 정보를 상기 단말의 내장 메모리에 설정된 검증 정보에 대응하는지 판단하는 단계, 상기 수신한 검증 정보가 상기 설정된 검증 정보에 대응하면, 상기 내장 메모리에서 상기 수신한 상기 단말에 대한 보안 서비스 명령에 대응하는 보안 동작을 수행하는 단계를 포함하는 것을 특징으로 하는 보안 방법을 제공한다.
또한, 실시 예는 자체 보안 기능을 제공하는 내장 메모리, 상기 단말에 대한 보안 서비스 명령 및 상기 명령을 인증할 수 있는 검증 정보를 포함하는 보안 코드를 수신하는 송수신부 및 상기 수신한 보안 코드를 상기 내장 메모리로 전달하는 단말 제어부를 포함하고, 상기 내장 메모리는 상기 수신한 검증 정보를 상기 단말의 내장 메모리에 설정된 검증 정보에 대응하는지 판단하고, 검증 정보가 대응하는 것으로 판단되면, 상기 내장 메모리에서 상기 수신한 단말에 대한 보안 서비스 명령에 대응하는 보안 동작을 수행하도록 제어하는 메모리 컨트롤러를 포함하는 것을 특징으로 하는 단말을 제공한다.
또한, 실시 예는 보안 영역 접근을 요청하는 제1 명령을 수신하는 단계, 상기 수신한 제1 명령이 기 설정된 보안 영역 접근 허용 정보에 대응하면, 보안 영역에 대한 접근을 허용하는 단계, 접근이 허용된 보안 영역에 읽기 명령 또는 쓰기 명령에 대응하는 메모리를 할당하는 단계, 보안 영역 접근을 차단하는 제2 명령을 수신하는 단계 및 상기 수신한 제2 명령에 대응하여, 접근을 허용한 보안 영역에 대한 접근을 차단하는 단계를 포함하는 것을 특징으로 하는 보안 영역 제공 방법을 제공한다.
또한, 실시 예는 암호화 키 및 데이터를 저장하는 비휘발성 메모리 및 보안 영역 접근을 요청하는 제1 명령을 수신하고, 상기 수신한 제1 명령이 기 설정된 보안 영역 접근 허용 정보에 대응하면, 보안 영역에 대한 접근을 허용하며, 접근이 허용된 보안 영역에 읽기 명령 또는 쓰기 명령에 대응하는 메모리를 할당하고, 보안 영역 접근을 차단하는 제2 명령을 수신하며, 상기 수신한 제2 명령에 대응하여, 접근을 허용한 보안 영역에 대한 접근을 차단하도록 제어하는 메모리 컨트롤러를 포함하는 것을 특징으로 하는 보안 메모리 장치를 제공한다.
본 발명의 실시 예에 의하면 자체 보안 기능을 갖는 메모리 및 그 메모리를 갖는 단말을 제공할 수 있다. 또한, 메모리와 단말의 효율적인 보안 방법을 제공할 수 있다.
본 발명의 실시 예는 메모리 특정 영역을 AP, 응용프로그램, Kernal 등에서 자신만이 접근 가능한 영역(Trust)으로 사용할 수 있는 방법을 제공한다. 실시 예에 따라 OS 레벨에서의 암호화가 아닌 메모리 자체에서 암호화를 수행할 경우 암호화 효율을 높일 수 있다.
또한, 본 발명의 실시 예는 메모리 자체에서 특정 명령을 수행하여 단말의 기능을 수행할 수 없도록 메모리 수준에서 기능을 불능화 시키는 방법을 제공한다.
도 1은 일반적인 운영체제(OS)/커널(Kernal) 레벨의 접근 제어 개념을 설명하는 도면이다.
도 2는 본 발명의 일 실시 예인 보안 메모리 장치를 설명하는 블록도이다.
도 3은 본 발명의 일 실시 예인 보안 메모리 장치와 호스트 장치의 관계를 설명하는 블록도이다.
도 4는 본 발명의 일 실시 예인 데이터 암호화/복호화 방법을 설명하는 흐름도이다.
도 5는 본 발명의 일 실시 예인 명령에 의한 메모리 영역 분리를 설명하는 개념도이다.
도 6은 본 발명의 일 실시 예인 명령에 의한 메모리 영역 분리를 설명하는 흐름도이다.
도 7은 본 발명의 일 실시 예인 어플리케이션 별로 보안 영역을 분리하여 관리하는 방법을 설명하는 개념도이다.
도 8은 본 발명의 일 실시 예인 어플리케이션 별로 보안 영역을 분리하여 관리하는 동작을 설명하는 흐름도이다.
도 9는 본 발명의 일 실시 예인 단말 도난 시 메모리 제공 서비스의 동작을 설명하는 흐름도이다.
도 10은 본 발명의 일 실시 예인 호스트 장치를 설명하는 블록도이다.
도 11은 본 발명의 일 실시 예인 보안 메모리 장치의 보안 동작을 설명하는 흐름도이다.
도 12는 본 발명의 일 실시 예인 단말 도난 시 보안 서비스 제공 시스템을 설명하는 도면이다.
아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시 예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시 예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.
하기에서 설명하는 다양한 실시 예들은 각 실시 예 별로 동작할 수 있을 뿐만 아니라, 다른 실시 예들을 결합하여 동작하는 것도 가능함에 유의해야 한다.
도 1은 일반적인 운영체제(OS)/커널(kernal) 레벨의 접근 제어 개념을 설명하는 도면이다.
도 1을 참조하면, 어플리케이션 영역(application, 110), 커널 영역(kernel, 130) 및 리소스 영역(resource, 150)을 도시하고 있다. 어플리케이션 영역(110)에서는 복수의 어플리케이션(application a, application b)에 대한 처리가 이루어 질 수 있다. 커널 영역(130)은 어플리케이션 영역(110)과 리소스 영역(150) 사이에 위치하여, 각 프로그램을 실행하기 위한 여러 가지 기능을 제공할 수 있다. 커널 영역(130)은 한정된 시스템의 자원을 효율적으로 관리하여 프로그램의 실행을 원활하게 할 수 있다. 이를 위하여 커널 영역(130)은 소프트웨어 자원과 하드웨어 자원을 스케쥴링하여 프로그램이 원활하게 수행될 수 있도록 제어할 수 있다.
한편, 이러한 경우 어플리케이션 영역(110)은 각 어플리케이션에 대한 서명 정보 또는 인증 정보를 포함하고 있을 수 있다. 이를 통하여 각 어플리케이션에 대한 데이터에 대한 보안 기능을 수행할 수 있다. 어플리케이션 영역(110)에서 서명 또는 인증을 통해 보안화된 각 어플리케이션에 대응하는 데이터는 커널 영역(130)의 스케쥴링에 따라 저장될 수 있다. 이 경우 데이터를 저장하는 메모리 영역에서는 별도의 암호화 동작을 수행하지 않는다. 하지만 어플리케이션 영역에서의 서명이나 인증을 통한 보안 방법은 보안 상의 취약점이 발견되었다. 따라서 사용자 정보 보호를 위하여 메모리 영역 자체에서 보안 기능을 수행하는 방법이 요구되고 있다.
도 2는 본 발명의 일 실시 예인 보안 보안 메모리 장치를 설명하는 블록도이다.
도 2를 참조하면, 보안 보안 메모리 장치(200)은 메모리 컨트롤러(210) 및 비휘발성 메모리(NVM, Non-volatile memory, 230)를 포함할 수 있다. 보안 보안 메모리 장치(200)는 비휘발성 메모리(230)를 포함하는 장치로 미디어 컨텐츠, 전자 장치를 구동하기 위한 프로그램 정보 등을 저장할 수 있는 저장 매체이다. 메모리 컨트롤러(210) 및 비활성 메모리(230)는 하나의 반도체 장치로 집적될 수 있다.
메모리 컨트롤러(210)는 외부로부터 수신한 명령에 따라 비휘발성 메모리(230)를 관리하여 데이터 인(in)/아웃(out)을 관리할 수 있다. 보안 보안 메모리 장치(200)가 호스트 장치에 장착되는 경우, 메모리 컨트롤러(210)는 호스트 장치와 비휘발성 메모리(230)를 연결할 수 있다. 즉, 비휘발성 메모리(230)와 호스트 장치 사이에 인터페이스를 제공할 수 있다. 메모리 컨트롤러(210)는 호스트 장치로부터 요청에 응답하여, 비휘발성 메모리(230)로의 접근을 할 수 있다. 메모리 컨트롤러(210)는 비휘발성 메모리(230)를 제어하기 위한 펌웨어(firmware)를 구동하도록 구성된다.
비휘발성 메모리(230)는 전원이 끊겨도 저장된 정보가 지워지지 않는 기억 장치를 의미하다. 예를 들어 NAND-FLASH 메모리, NOR-FLASH 메모리, 상변화 메모리 (PRAM: Phase change Random Access Memory), 고체 자기 메모리(MRAM: Magnetic Random Access Memory), 저항 메모리(RRAM, Resistive Random Access Memory)를 저장 수단으로 사용 한 칩 또는 패키지 일 수 있다. 또한, 상기 패키지 방식과 관련하여, 메모리 소자(100)는 PoP(Package on Package), Ball grid arrays(BGAs), Chip scale packages(CSPs), Plastic Leaded Chip Carrier(PLCC), Plastic Dual In Line Package(PDIP), Die in Waffle Pack, Die in Wafer Form, Chip On Board(COB), Ceramic Dual In Line Package(CERDIP), Plastic Metric Quad Flat Pack(MQFP), Thin Quad Flatpack(TQFP), Small Outline(SOIC), Shrink Small Outline Package(SSOP), Thin Small Outline(TSOP), Thin Quad Flatpack(TQFP), System In Package(SIP), Multi Chip Package(MCP), Wafer-level Fabricated Package(WFP), Wafer-Level Processed Stack Package(WSP) 등과 같은 방식으로 패키지화되어 실장될 수 있다.
비휘발성 메모리(230)는 보안 보안 메모리 장치(200)에서 데이터가 저장되는 영역으로 상기 메모리 컨트롤러(210)의 제어를 받아 데이터를 저장, 삭제, 입력 및 출력하는 동작을 수행할 수 있다. 비휘발성 메모리(230)는 메모리에서 암호화를 수행하기 위한 암호화 키를 저장하고 있을 수 있다.
본 발명의 실시 예에 의하면, 상기 메모리 컨트롤러(210)는 상기 수신한 검증 정보를 상기 단말의 내장 메모리에 설정된 검증 정보에 대응하는지 판단하고, 검증 정보가 대응하는 것으로 판단되면, 상기 내장 메모리에서 상기 수신한 단말에 대한 보안 서비스 명령에 대응하는 보안 동작을 수행하도록 제어할 수 있다.
또한, 메모리 컨트롤러(210)는 상기 내장 메모리에 설정된 검증 정보 및 상기 내장 메모리에 저장되어 있는 암호화 키를 이용하여 데이터를 암호화하여 저장하도록 제어할 수 있다. 또한 메모리 컨트롤러(210)는 상기 암호화 키를 삭제하여, 상기 암호화하여 저장한 데이터에 대한 접근을 차단하도록 제어할 수 있다.
또한, 메모리 컨트롤러(210)는 상기 내장 메모리에 설정된 펌웨어의 설정을 변경할 수 있다. 예를 들어 설정된 펌웨어를 삭제하거나, 펌웨어에 에러 비트를 생성할 수 있다.
또한 메모리 컨트롤러(210)는 보안 영역 접근을 요청하는 제1 명령을 수신하고, 상기 수신한 제1 명령이 기 설정된 보안 영역 접근 허용 정보에 대응하면, 보안 영역에 대한 접근을 허용하며, 접근이 허용된 보안 영역에 읽기 명령 또는 쓰기 명령에 대응하는 메모리를 할당하고, 보안 영역 접근을 차단하는 제2 명령을 수신하며, 상기 수신한 제2 명령에 대응하여, 접근을 허용한 보안 영역에 대한 접근을 차단하도록 제어할 수 있다. 또한, 상기 제1 명령 수신 이후 기 설정된 주기 동안 제2 명령이 수신되지 않으면, 접근을 허용한 보안 영역에 대한 접근을 차단하도록 제어할 수 있다.
또한, 메모리 컨트롤러(210)는 각 보안 어플리케이션에 대응하는 보안 정보를 수신하고, 상기 각 보안 어플리케이션에 대응하는 보안 영역에 메모리를 할당하도록 제어할 수 있다.
또한, 메모리 컨트롤러(210)는 상기 보안 정보에 포함되어 있는 범용 고유 식별자(UUID) 정보를 이용하여 각 어플리케이션을 구분하고, 상기 보안 정보에 포함되어 있는 패드 넘버를 이용하여 상기 각 어플리케이션에 대응하는 보안 영역을 할당하도록 제어할 수 있다. 또한 메모리 컨트롤러(210)는 범용 고유 식별자(UUID) 정보와 상기 메모리 장치에 저장되어 있는 암호화 키를 이용하여 암호화 및 복호화하도록 제어할 수 있다.
도 3은 본 발명의 일 실시 예인 보안 메모리 장치와 호스트 장치의 관계를 설명하는 블록도이다.
도 3을 참조하면, 호스트 장치(300)에 설치되어 있는 일반 영역(311)과 보안 영역(313)의 어플리케이션 관련 정보가 보안 메모리 장치(330)에서 보안화되어 관리되는 관계가 설명되어 있다.
호스트 장치(300)는 보안 메모리 장치를 이용하는 단말로 스마트 폰(smart phone), 태플릿 PC(tablet PC), TV(television), 셋톱 박스(Set top box), 컴퓨터 등을 포함할 수 있다. 다양한 기능을 호스트 장치(300)는 복수의 어플리케이션을 이용할 수 있다. 또한, 각 어플리케이션은 어플리케이션의 특징에 따라 요구되는 보안 등급이 상이할 수 있다.
일반 영역(311)은 호스트 장치에서 일반적인 OS가 설치된 영역이다. 보안 영역(313)은 호스트 장치에서 보안 OS가 설치된 영역으로 상기 일반 영역(311)과 구분될 수 있다. 보안 OS는 기업용 또는 보안이 중요한 어플리케이션(TA : Trust Application)을 포함한다. 예를 들어, TA는 DRM(Digital Rights Management), 금융, ID 카드 등과 관련한 높은 보안 등급을 요구하는 어플리케이션일 수 있다.
보안 메모리 장치(330)는 메모리 컨트롤러(331) 및 비휘발성 메모리(333)를 포함할 수 있다. 비휘발성 메모리(333)는 암호화 된 일반 데이터 영역(335) 및 암호화 된 보안 데이터 영역(337)을 포함할 수 있다. 암호화 된 일반 데이터 영역(335)과 암호화 된 보안 데이터 영역(337)은 하드웨어적으로 분리되어 있을 수 있으며, 논리적으로 분리되어 있을 수도 있다. 비휘발성 메모리(333)는 메모리 레벨에서 암호화를 위한 암호화 키를 저장하고 있다. 암호화 키는 일반 영역(311)의 어플리케이션을 암호화하기 위한 암호화 키와, 보안 영역(313)의 어플리케이션을 암호화하기 위한 암호화 키를 별도로 구비할 수 있다.
메모리 컨트롤러(331)는 호스트 장치(300)로부터 보안 메모리 장치(330)에 대한 요청이 있는 경우 이를 수신하고 처리할 수 있다. 일반 영역(311)의 어플리케이션에 대한 응답인 경우, 메모리 컨트롤러(331)는 보안 메모리 장치(330)에서 저장하고 있는 암호화 키를 이용하여 데이터를 암호화하고, 이를 암호화 된 일반 데이터 영역(335)에 저장할 수 있다. 상기 암호화 키는 일반 영역(311)의 어플리케이션을 암호화하기 위한 암호화 키 일 수 있다. 암호화 된 일반 데이터 영역(335)에 저장되어 있는 데이터에 대한 요청이 있는 경우, 메모리 컨트롤러(331)는 암호화 당시 사용한 암호화 키를 이용하여 데이터를 복호화하고 저장된 데이터를 이용할 수 있다.
보안 영역(313)의 어플리케이션에 대한 응답인 경우, 메모리 컨트롤러(331)는 보안 메모리 장치(330)에서 저장하고 있는 암호화 키를 이용하여 데이터를 암호화하고, 이를 암호화 된 보안 데이터 영역(337)에 저장할 수 있다. 상기 암호화 키는 보안 영역(313)의 어플리케이션을 암호화하기 위한 암호화 키 일 수 있다.
보안 영역(313)의 어플리케이션에 대한 데이터 이용 시 보안 정보 입력 모듈(315)을 필요로 할 수 있다. 보안 정보 입력 모듈(315)을 이용하여 보안 정보를 입력할 수 있다. 상기 보안 정보는 암호화 된 보안 데이터 영역에 접근하기 위한 보안 정보 일 수 있다. 보안 정보는 보안 영역(313)의 어플리케이션에 대하여 동일할 수 있고, 보안 영역(313)의 각 어플리케이션 별로 상이할 수도 있다. 보안 정보는 아이디/패스워드 정보, 인증서 정보 등을 포함할 수 있다. 메모리 컨트롤러(331)는 상기 보안 정보와 보안 메모리 장치(330)에 저장되어 있는 암호화 키를 함께 적용하여 데이터를 암호화할 수 있다. 상기 암호화 키는 보안 메모리 장치의 각 슬롯에 대응하는 암호화 정보 일 수 있다.
암호화 된 보안 데이터 영역(337)에 저장되어 있는 데이터에 대한 요청이 있는 경우, 메모리 컨트롤러(331)는 암호화 당시 사용한 암호화 키를 이용하여 데이터를 복호화하고, 저장된 데이터를 이용할 수 있다.
도 4는 본 발명의 일 실시 예인 데이터 암호화/복호화 방법을 설명하는 흐름도이다.
도 4를 참조하면, S401 단계에서 데이터 암호화/복호화를 위한 보안 메모리 장치의 접근 요청이 입력될 수 있다. S403 단계에서 보안 메모리 장치의 암호화 된 보안데이터 영역에 접근하기 위한 보안 정보를 입력할 수 있다. 상기 보안 정보는 아이디/패스워드 정보 또는 인증 정보 일 수 있다. S405 단계에서 상기 보안 정보에 대응하는 검증 값이 생성되어 보안 메모리 장치로 전달될 수 있다. 상기 검증 값은 일방향 함수를 통한 검증 값 일 수 있다. 일 예로 검증 값은 해시(hash) 함수에 의하여 생성된 해시 값 일 수 있다. 즉, 암호화 된 보안데이터 영역에 접근하기 위하여, 보안 정보로서 입력하는 아이디/패스워드는 해시 등의 일방향 함수를 통한 검증 값의 형태로 보안 메모리 장치로 전달될 수 있다.
S407 단계에서 검증 값을 수신한 보안 메모리 장치는 해당 검증 값에 대한 정보가 설정되어 있는지 판단할 수 있다. 설정 여부의 판단은 해당 검증 값에 대응하는 슬롯 넘버가 설정되어 있는지 여부를 통하여 결정될 수 있다. S407 단계에서 검증 값에 대한 정보가 설정되어 있으면, S409 단계에서 보안 메모리 장치는 수신한 검증 값에 대응하는 슬롯 넘버를 확인한다. S407 단계에서 검증 값에 대한 정보가 설정되어 있지 않으면, S411 단계로 진행하여 검증 값에 대응하는 슬롯 넘버를 설정할 수 있다. S409 단계를 통하여 슬롯 넘버를 확인하거나, S411 단계를 통하여 슬롯 넘버를 설정하면, S413 단계로 진행하여 슬롯 넘버에 대응하는 암호화 키로 데이터의 암호화 또는 복호화를 수행한다.
도 5는 본 발명의 일 실시 예인 명령에 의한 메모리 영역 분리를 설명하는 개념도이다.
도 5를 참조하면, 호스트 장치(500) 내에 포함되어 있는 어플리케이션(510, 520, 530)과 보안 메모리 장치(540)의 논리적 관계가 설명되어 있다. 호스트 장치(500)은 복수의 어플리케이션을 이용하여 다양한 기능을 수행할 수 있다. 일반 어플리케이션(normal applicatiopn, 510)은 서명 정보를 포함하지 않는 어플리케이션으로 보안 어플리케이션에 비하여 낮은 등급의 보안 수준을 요구하는 어플리케이션일 수 있다. 일반 어플리케이션(510)은 보안 메모리 장치(540)의 사용자 영역(user area, 541)에 저장될 수 있다. 보안 메모리 장치를 읽는 명령 또는 쓰는 명령을 통하여 보안 메모리 장치(540)의 사용자 영역(541)에 데이터를 읽거나 쓸 수 있다. 일반 어플리케이션(510)은 보안 영역(543)에 저장될 수 없다.
보안 어플리케이션(trusted application, 520, 530)은 일반 어플리케이션(510)과 대비하여 높은 등급의 보안 수준을 요구하는 어플리케이션 일 수 있다. 보안 어플리케이션(520, 530)은 금융, 인증, 아이디 카드 등과 관련된 어플리케이션 일 수 있다. 보안 어플리케이션(520, 530)은 크리덴셜(credential, 521, 531)을 포함할 수 있다. 크리덴션(521, 531)은 각 어플리케이션의 보안 키, 접근 가능한 보안 영역(PAD)의 주소, 서명 정보 등의 보안 정보를 포함할 수 있다.
보안 어플리케이션(520, 530)은 보안 메모리 장치(540)의 보안 영역(543)으로 접근을 위하여 명령을 추가로 제공할 수 있다. 상기 보안 영역으로 접근을 위한 위한 명령으로 접근 요청 시 전송하는 제1 명령과 접근을 끝내는 명령인 제2 명령을 포함할 수 있다. 일 예로 상기 제1 명령은 오픈 세션 커맨드(open session command)라 명명하고, 상기 제2 명령은 크로즈 세션 커맨드(close session command)라 명명할 수 있다. 보안 어플리케이션(520, 530)은 상기 제1 명령, 제2 명령, 읽기 명령, 쓰기 명령을 전송할 수 있다. 상기 명령은 호스트 장치의 컨트롤러에 의하여 보안 메모리 장치로 전달될 수 있다. 보안 어플리케이션(520, 530)은 제1 명령, 읽기 명령 또는 쓰기 명령, 제2 명령을 순차적으로 제시할 수 있다. 보안 메모리 장치(540)은 해당 시퀀스(sequence)를 이용하여 보안 어플리케이션에 보안 영역(543)을 할당할 수 있다. 보안 어플리케이션(520, 530)은 보안 메모리 장치(540)의 보안 영역(543)에 접근하여 보안 어플리케이션에 대한 데이터를 읽거나 쓰기 위하여 제1 명령을 전송할 수 있다. 제1 명령을 전송하지 않으면 상기 보안 영역(543)에 접근하여 데이터를 읽거나 쓸 수 없다. 보안 메모리 장치(540)에서 제1 명령을 수신하면 보안 어플리케이션의 보안 영역(543)에 대한 접근을 허용할 수 있다. 보안 영역(543)에 대한 접근이 허용되면 보안 어플리케이션으로부터 수신하는 읽기 명령 또는 쓰기 명령에 따라 메모리를 할당할 수 있다. 읽기 또는 쓰기 명령이 종료되면 보안 어플리케이션은 제2 명령을 전송할 수 있다. 보안 메모리 장치(540)는 제2 명령을 수신하면 보안 영역(543)에 대한 접근을 차단할 수 있다. 한편, 제1 명령을 수신한 이후 제2 명령이 기 설정된 시간 이상 입력되지 않는 경우, 보안 영역의 접근을 제한하고 자체로 세션(session)을 종료할 수 있다.
도 6은 본 발명의 일 실시 예인 명령에 의한 메모리 영역 분리를 설명하는 흐름도이다.
S601 단계에서 보안 어플리케이션에 대한 동작 요청을 입력 받을 수 있다. S603 단계에서 보안 어플리케이션은 제1 명령을 전송할 수 있고, 보안 메모리 장치는 제1 명령을 수신할 수 있다. 제1 명령을 수신한 보안 메모리 장치는 S605 단계에서 해당 보안 어플리케이션에 대하여 보안 영역의 접근을 허용할 수 있다. S607 단계에서 보안 메모리 장치는 읽기 명령 또는 쓰기 명령을 수신할 수 있다. 읽기 명령 또는 쓰기 명령을 수신하면 보안 메모리 장치는 보안 어플리케이션에 보안 영역을 할당할 수 있다. 일반 어플리케이션은 제1 명령을 전송하지 않기 때문에 보안 영역에 접근할 수 없다. 경우에 따라 상기 607 단계 및 609 단계는 반복적으로 일어날 수 있다. 즉, 읽기 명령 또는 쓰기 명령을 계속 수신하면, 명령 수신에 대응하여 보안 메모리 장치는 보안 영역을 할당할 수 있다. 607 단계 및 609 단계를 반복하는 중 보안 메모리 장치는 S611 단계에서 제2 명령을 수신할 수 있다. 제2 명령을 수신하면 S613 단계에서 보안 메모리 장치는 보안 어플리케이션에 허용하였던 보안 영역에 대한 접근을 차단할 수 있다. 한편, S613 단계에서 제2 명령을 수신하지 않는다고 하더라도, 제1 명령 수신 이후 기 설정된 시간 이상 제2 명령이 입력되지 않으면, 보안 영역에 대한 접근을 차단할 수 있다. 또한 설정에 따라 S607 단계에서의 읽기 명령 또는 쓰기 명령이 기 설정된 시간 이상 수신되지 않는 경우, S605 단계에서 접근을 허용하였던 보안 영역에 대한 접근을 차단할 수 있다.
상기와 같이 제1 명령, 읽기 명령 또는 쓰기 명령, 제2 명령의 시퀀스에 따라 보안 영역의 접근 및 차단을 관리하고, 제1 명령 또는 제2 명령을 전송하지 않는 일반 어플리케이션에 대해서는 보안 영역에 대한 접근을 허용하지 않을 수 있다. 실시 예에서는 상기와 같이 기 설정된 명령을 통하여 일반 어플리케이션과 보안 어플리케이션에 대한 보안 메모리 장치의 영역을 사용자 영역과 보안 영역으로 나누어 접근하도록 제어할 수 있다.
도 7은 본 발명의 일 실시 예인 어플리케이션 별로 보안 영역을 분리하여 관리하는 방법을 설명하는 개념도이다.
도 7을 참조하면, 호스트 장치(700)에는 복수의 보안 어플리케이션(710 및 720)이 존재할 수 있다. 도 7의 실시 예에 의하면 각각의 보안 어플리케이션에 대하여 보안 메모리 장치의 영역을 분리하여 할당하고, 암호화하여 관리할 수 있다.
각각의 보안 어플리케이션(710, 720)은 범용 고유 식별자(UUID : Universally Unique Identifier), 패드 넘버(PAD number) 및 서명 정보를 포함하는 보안정보(credential)를 포함할 수 있다. 보안 어플리케이션(710)은 보안 메모리 장치(730)의 보안 영역에 접근하기 위하여 접근 명령을 전송할 수 있다. 상기 명령 커맨드는 도 5 및 도 6에서 설명한 바와 유사할 수 있다. 보안 어플리케이션(710)은 제1 명령을 통하여 보안 영역 접근 요청을 할 수 있다. 보안 어플리케이션(710)은 제1 명령과 함께 상기 보안정보(credential)를 전송할 수 있다.
메모리 장치는 보안 어플리케이션(710)으로부터 제1 명령을 수신하면, 보안 어플리케이션(710)의 보안정보(credential)를 검증할 수 있다. 보안정보(credential)의 검증 결과 적법한 접근으로 검증되는 경우 보안 메모리 장치(730)는 메모리 컨트롤러(731)를 이용하여 해당 보안 어플리케이션의 인덱스 정보(예를 들어 패드 넘버)에 대응하는 보안 영역에 접근을 허가 할 수 있다. 보안 메모리 장치(730)는 인덱스 정보에 대응하는 패드 블록(PAD Block)을 할당하여 관련 데이터를 쓰거나 읽도록 제어할 수 있다.
예를 들어, 도 7에서 보안 어플리케이션(710)에 할당된 패드 블록(PAD Block)은 733 블록이다. 따라서 보안 어플리케이션(710)의 접근이 적법한 접근으로 검증되는 경우 733 블록에 관련 데이터를 쓰거나 읽을 수 있다.
각 보안 어플리케이션은 보안정보에 대응하지 않는 다른 패드 블록에는 접근할 수 없다. 다른 보안 어플리케이션(720)의 경우 할당된 패드 블록(PAD Block)의 넘버가 734 블록이므로 역시 734 블록 이외의 블록에 접근하여 데이터를 읽거나 쓸 수 없다. 상기와 같은 방법으로 각 보안 어플리케이션 별로 보안 메모리 장치(730)의 패드 블록을 별도로 관리함으로써 각 어플리케이션 별로 보안 수준을 더욱 강화할 수 있다.
보안 메모리 장치(730)는 저장되어 있는 암호화 키를 이용하여 각 패드를 암호화/복호화하며 관리할 수 있다. 상기 암호화 키는 보안 메모리 장치(730)는 각 보안 영역에 할당된 암호화 키를 테이블로 관리할 수 있다. 테이블은 암호화 키를 관리하는 일 실시 예일뿐 이에 대하여 한정하지는 않는다. 보안 메모리 장치(730)는 제1 명령 수신에 따라 접근이 허용된 패드 블록의 범용 고유 식별자(UUID) 값과 보안 메모리 장치(730)에 저장되어 있는 암호화 키를 이용하여 암호화/복호화를 수행할 수 있다. 해당 보안영역(패드 블록)에 저장되는 데이터는 할당된 암호화 키를 이용하여서만 암호화/복호화를 수행할 수 있다.
보안 메모리 장치(730)는 각 어플리케이션에 허용한 보안 영역 접근에 대하여, 각 보안 어플리케이션이 전송하는 제2 명령을 수신하면 접근을 차단할 수 있다.
도 8은 본 발명의 일 실시 예인 어플리케이션 별로 보안 영역을 분리하여 관리하는 동작을 설명하는 흐름도이다.
도 8을 참조하면, 보안 어플리케이션(810)은 보안 메모리 장치(820)의 보안 영역에 접근하기 위하여 제1 명령을 전송할 수 있다(S801 단계). 보안 어플리케이션(810)은 제1 명령과 함께 각 어플리케이션에 대응하는 고유 식별자(UUID : Universally Unique Identifier), 패드 넘버(PAD number) 및 서명 정보를 포함하는 보안 정보를 전송할 수 있다.
S803 단계에서, 보안 메모리 장치(820)는 제1 명령에 따라 상기 보안 정보를 검증할 수 있다. 보안 어플리케이션(810)으로의 접근이 적법한 것으로 판단되면, S805 단계에서 해당 보안 어플리케이션(810)에 대응하는 보안 영역을 할당할 수 있다. 상기 할당되는 보안 영역은 보안 어플리케이션(810)에 대응하는 패드 블록(PAD Block)일 수 있다.
S807 단계에서 보안 메모리 장치(820)는 패드 블록에 대응하는 암호화 키를 할당하여 암호화 테이블을 관리할 수 있다. 보안 메모리 장치(820)는 각 패드 블록의 고유 식별자 정보(UUID) 값과 암호화 키를 관리할 수 있다. 메모리 장치(820)는 할당된 암호화 키를 이용하여, 각 패드 블록에 대하여 데이터를 읽거나 쓰는 경우 암호화 및 복호화를 수행할 수 있다.
보안 영역에 대하여 접근이 허락되면, S809 단계에서 보안 어플리케이션은 쓰기 명령 또는 읽기 명령은 전송할 수 있다. 상기 쓰기 명령 또는 읽기 명령을 수신한 보안 메모리 장치(820)는 S811 단계에서, 각 패드 블록에 대응하는 암호화 키를 이용하여 해당 데이터를 암호화하여 저장하거나 복호화 하여 출력할 수 있다. 상기 S809 단계 및 S811 단계는 세트로 동작할 수 있다. 보안 메모리 장치(820)는 쓰기 명령 또는 읽기 명령을 수신하면 대응하는 암호화 또는 복호화 동작을 수행할 수 있다.
S813 단계에서 보안 어플리케이션(810)은 제2 명령을 전송할 수 있다. 보안 메모리 장치(820)는 제2 명령을 수신하면 S815 단계에서 보안 어플리케이션(810)에 접근을 허용했던 보안 영역에 대한 접근을 차단할 수 있다.
또한 설정에 S801 단계에서 제1 명령 수신 이후 기 설정된 시간 이상 제2 명령이 수신되지 않거나, S809 단계에서의 읽기 명령 또는 쓰기 명령이 수신된 후 기 설정된 시간 이상 제2 명령 또는 새로운 읽기 명령 또는 쓰기 명령이 수신되지 않는 경우, 보안 어플리케이션(810)에 접근을 허용하였던 보안 영역에 대한 접근을 차단할 수 있다.
도 9는 본 발명의 일 실시 예인 단말 도난시 메모리 제공 서비스를 설명하는 흐름도이다.
도 9를 참조하면, 보안 메모리 장치(920)를 포함하는 호스트 장치는 서버(910)와 통신하며 보안 메모리가 제공하는 보안 서비스 동작을 수행할 수 있다. 도 9의 실시 예는 보안 메모리가 제공하는 보안 서비스 동작을 통하여, 사용자가 호스트 장치를 분실하거나 도난을 당한 경우, 메모리의 데이터를 삭제하거나 도난 단말의 기능을 불능화 시키는 방법을 제공하는 것을 특징으로 한다.
이러한 기능은 킬 서비스로 명명될 수 있다. 킬 서비스를 OS 단에서 어플리케이션을 통하여 수행하는 경우 킬 서비스를 제공하는 어플리케이션이 호스트 장치에서 제거되면 킬 서비스를 이용할 수 없다. 따라서 메모리 장치 자체에서 신호를 수신하고, 신호에 따라 킬 서비스를 제공하는 것이 더욱 안전하고 효율적일 수 있다.
먼저 S901 단계와 S903 단계에서 서버와 호스트 장치에 식별 정보가 등록되어 있어야 한다. S901 단계와 S903 단계 사이에서의 순서는 제한하지 않는다. 상기 식별 정보는 사용자와 상기 호스트 장치를 구별하기 위한 고유 정보이다. 일 실시 예로 사용자가 설정하는 아이디와 패스워드를 식별 정보로 이용할 수 있다. 사용자가 설정하는 아이디와 패스워드는 해시 등의 일방향 함수를 통한 검증 값의 형태로 보안 메모리 장치에 저장될 수 있다. 저장된 검증 값 형태의 정보는 이후 서버로부터 보안 서비스 요청 시 보안 서비스 명령과 명령의 인증에 인용될 수 있다.
S905 단계에서 서버에 보안 서비스 요청이 입력될 수 있다. 사용자는 식별 정보를 입력하여 식별된 호스트 장치에 대하여 보안 서비스를 요청할 수 있다. 보안 서비스의 내용은 다양할 수 있다. 예를 들어, 보안 메모리 장치의 펌웨어 삭제, 펌웨어에 에러비트 생성, 데이터 삭제, 슬롯 넘버 삭제, 읽기 및 쓰기 금지, 읽기 및 쓰기 금지 해제 등의 보안 서비스 내용을 포함할 수 있다.
예를 들어 다음과 같은 보안 서비스 명령을 이용할 수 있다. 하기 명령은 실시 예일 뿐 명령의 종류는 이에 한정하지 않는다.
Kill(firmware, Hash(ID,PW)) : Firmware를 삭제, Firmware에 에러비트 생성.
Kill(data, Hash(ID,PW)) : 모든 데이터 삭제, 키 대응 테이블에서 Hash(ID,PW)에 대응되는 슬롯 넘버 삭제.
Lock(all, Hash(ID,PW) : 읽기/쓰기 금지.
Lock(보안영역주소, Hash(ID,PW) : 특정 보안 영역 읽기/쓰기 금지.
Unlock(all, Hash(ID,PW)) : 읽기/쓰기 금지 해제.
한편, 보안 메모리 장치는 상기와 같은 보안 코드 수신 시 메모리 컨트롤러에 의하여 보안 메모리 장치에서 수행되어야 할 동작이 미리 설정되어 있을 수 있다. 이러한 경우 보안 어플리케이션 또는 보안 OS의 동작에 의존하지 않고, 수신 보안 코드에 대응하여 보안 메모리 자체적으로 보안 동작을 수행할 수 있다.
S907 단계에서 서버는 식별된 호스트 장치가 네트워크에 연결되어 있는지 판단할 수 있다. 호스트 장치가 네트워크에 연결되어 있는 것으로 판단되면, S909 단계에서 보안 코드를 전송할 수 있다. 상기 보안 코드에는 보안 서비스에 대한 명령과 보안 메모리 장치(920)가 본 명령을 인증할 수 있는 검증 값을 함께 보낼 수 있다. 검증 값은 일방향 함수 값일 수 있다. 즉, 서버는 입력하는 아이디/패스워드에 대응하여 생성되는 해시 값 등의 검증 정보를 보안 메모리 장치로 전달할 수 있다.
S911 단계에서 보안 메모리 장치(920)는 S909 단계에서 수신한 보안 코드의 검증 값을 비교하여, 수신한 검증 값이 보안 메모리 장치(920)에 저장되어 있는 검증 값에 대응하는지 판단할 수 있다. 검증 값이 대응하는 것으로 판단하면, 보안 코드를 통해 수신한 보안 서비스 명령에 따라 보안 동작을 수행할 수 있다. 즉, 보안 메모리 장치의 펌웨어 삭제, 펌웨어에 에러비트 생성, 데이터 삭제, 슬롯 넘버 삭제, 읽기 및 쓰기 금지, 읽기 및 쓰기 금지 해제 등의 보안 서비스 동작을 수행할 수 있다. 상기 보안 메모리 장치(920)에는 상기 보안 메모리 장치에 설정된 검증 값 및 상기 보안 메모리 장치의 슬롯에 대응하는 암호화 키를 이용하여 암호화된 데이터를 저장할 수 있다. 보안 서비스 명령에 따라 상기 상기 보안 메모리 장치(920)에 저장되어 있는 암호화 키를 삭제할 수 있다. 서비스 동작으로 암호화 키를 삭제하여 보안 메모리 장치(920)의 비휘발성 메모리에 대한 접근을 차단할 수 있다. 또한 검증 값과 암호화 키를 대응시키는 대응 정보를 초기화 하거나 삭제할 수 있다. 대응 정보는 키 저장 주소 또는 키 대응 테이블의 슬롯 넘버 등 일 수 있다.
암호화 키를 삭제하거나, 암호화 키를 대응시키는 대응 정보를 초기화 또는 삭제하면, 암호화된 정보에 보안 메모리 장치(920)에 데이터를 읽기 위한 복호화나 쓰기 위한 암호화를 할 수 없기 때문에 메모리 장치(920)를 이용할 수 없다.
S913 단계에서 보안 메모리 장치(920)는 S909 단계에서 수신한 보안 코드에 대한 동작 수행 응답을 서버(910)로 전송할 수 있다.
만약 S907 단계에서 호스트 장치가 네트워크에 연결되지 않은 것으로 판단되면, 서버(910)는 호스트 장치가 네트워크와 연결되기를 기다릴 수 있다. 호스트 장치의 네트워크 연결 대기 중 S915 단계에서와 같이 호스트 장치의 네트워크 연결을 인식할 수 있다. 서버(910)는 호스트 장치로부터 네트워크 연결에 대한 신호를 수신할 수 있고, 호스트 장치의 네트워크 등록을 담당하는 서버로부터 호스트 장치의 네트워크 연결 정보를 수신할 수도 있다.
호스트 장치가 네트워크에 연결된 것으로 판단되면, S917 단계에서 서버는 보안 코드를 전송할 수 있다. 상기 보안 코드에는 보안 서비스에 대한 명령과 보안 메모리 장치(920)가 본 명령을 인증할 수 있는 검증 값을 함께 보낼 수 있다. 검증 값은 일방향 함수 값일 수 있다.
S919 단계에서 보안 메모리 장치(920)는 S917 단계에서 수신한 보안 코드의 검증 값을 비교하여, 수신한 검증 값이 보안 메모리 장치(920)에 저장되어 있는 검증 값에 대응하는지 판단할 수 있다. 검증 값이 대응하는 것으로 판단하면, 보안 코드를 통해 수신한 보안 서비스 명령에 따라 보안 동작을 수행할 수 있다. 즉, 보안 메모리 장치의 펌웨어 삭제, 펌웨어에 에러비트 생성, 데이터 삭제, 슬롯 넘버 삭제, 읽기 및 쓰기 금지, 읽기 및 쓰기 금지 해제 등의 보안 서비스 동작을 수행할 수 있다.
S921 단계에서 보안 메모리 장치(920)는 S917 단계에서 수신한 보안 코드에 대한 동작 수행 응답을 서버(910)로 전송할 수 있다.
도 10은 본 발명의 일 실시 예인 호스트 장치를 설명하는 블록도이다.
호스트 장치(1000)은 송수신부(1010), 제어부(1030) 및 보안 메모리 장치(1050)를 포함할 수 있다.
송수신부(1010)는 제어부(1030)의 제어에 따라, 호스트 장치의 외부 장치와 데이터 통신을 수행할 수 있다. 송수신부(1010)는 외부 네트워크와 통신 네트워크를 형성할 수 있고, 서버로부터 보안 코드를 수신할 수 있다.
제어부(1030)는 호스트 장치의 전반적인 동작을 제어할 수 있다. 본 발명의 실시 예에서 일반 어플리케이션 또는 보안 어플리케이션은 보안 메모리 장치(1050)에 메시지를 전송할 수 있다. 제어부(1030)는 상기 일반 어플리케이션 또는 보안 어플리케이션이 전송하고자 하는 메시지를 보안 메모리 장치(1050)에 전송하도록 제어할 수 있다. 제어부(1030)는 보안 메모리 장치(1050)에 데이터 읽기/쓰기 명령을 전송할 수 있다. 또한 보안 메모리 장치(1050)로부터 데이터를 수신할 수 있다.
또한, 제어부(1030)는 서버로부터 수신한 보안 코드를 보안 메모리 장치로 전달할 수 있다.
보안 메모리 장치(1050)는 메모리 컨트롤러(1051) 및 비휘발성 메모리(NVM, Non-volatile memory, 1053)를 포함할 수 있다.
메모리 컨트롤러(1051)는 외부로부터 수신한 명령에 따라 비휘발성 메모리(1053)를 관리하여 데이터 인(in)/아웃(out)을 관리할 수 있다. 보안 보안 메모리 장치(1050)가 호스트 장치에 장착되는 경우, 메모리 컨트롤러(1051)는 호스트 장치와 비휘발성 메모리(1053)를 연결할 수 있다. 즉, 비휘발성 메모리(1053)와 호스트 장치 사이에 인터페이스를 제공할 수 있다. 메모리 컨트롤러(1051)는 호스트 장치로부터 요청에 응답하여, 비휘발성 메모리(1053)로의 접근을 할 수 있다. 메모리 컨트롤러(1051)는 비휘발성 메모리(1053)를 제어하기 위한 펌웨어(firmware)를 구동하도록 구성된다.
비휘발성 메모리(1053)는 보안 보안 메모리 장치(1050)에서 데이터가 저장되는 영역으로 상기 메모리 컨트롤러(1051)의 제어를 받아 데이터를 저장, 삭제, 입력 및 출력하는 동작을 수행할 수 있다. 비휘발성 메모리(1053)는 메모리에서 암호화를 수행하기 위한 암호화 키를 저장하고 있을 수 있다. 또한, 서버로부터 수신하는 보안 코드에 따라 메모리 컨트롤러(1051)에 의하여 보안 메모리 장치(1050)에서 수행되어야 할 동작이 미리 설정되어 있을 수 있다.
메모리 컨트롤러(1051)는 상기 수신한 검증 정보를 상기 단말의 내장 메모리에 설정된 검증 정보에 대응하는지 판단하고, 검증 정보가 대응하는 것으로 판단되면, 상기 내장 메모리에서 상기 수신한 단말에 대한 보안 서비스 명령에 대응하는 보안 동작을 수행하도록 제어할 수 있다.
또한, 메모리 컨트롤러(1051)는 상기 내장 메모리에 설정된 검증 정보 및 상기 내장 메모리에 저장되어 있는 암호화 키를 이용하여 데이터를 암호화하여 저장하도록 제어할 수 있다. 또한 메모리 컨트롤러(1051)는 상기 암호화 키를 삭제하여, 상기 암호화하여 저장한 데이터에 대한 접근을 차단하도록 제어할 수 있다.
또한, 메모리 컨트롤러(1051)는 상기 내장 메모리에 설정된 펌웨어의 설정을 변경할 수 있다. 예를 들어 설정된 펌웨어를 삭제하거나, 펌웨어에 에러 비트를 생성할 수 있다.
또한 메모리 컨트롤러(1051)는 보안 영역 접근을 요청하는 제1 명령을 수신하고, 상기 수신한 제1 명령이 기 설정된 보안 영역 접근 허용 정보에 대응하면, 보안 영역에 대한 접근을 허용하며, 접근이 허용된 보안 영역에 읽기 명령 또는 쓰기 명령에 대응하는 메모리를 할당하고, 보안 영역 접근을 차단하는 제2 명령을 수신하며, 상기 수신한 제2 명령에 대응하여, 접근을 허용한 보안 영역에 대한 접근을 차단하도록 제어할 수 있다. 또한, 상기 제1 명령 수신 이후 기 설정된 주기 동안 제2 명령이 수신되지 않으면, 접근을 허용한 보안 영역에 대한 접근을 차단하도록 제어할 수 있다.
또한, 메모리 컨트롤러(1051)는 각 보안 어플리케이션에 대응하는 보안 정보를 수신하고, 상기 각 보안 어플리케이션에 대응하는 보안 영역에 메모리를 할당하도록 제어할 수 있다.
또한, 메모리 컨트롤러(1051)는 상기 보안 정보에 포함되어 있는 범용 고유 식별자(UUID) 정보를 이용하여 각 어플리케이션을 구분하고, 상기 보안 정보에 포함되어 있는 패드 넘버를 이용하여 상기 각 어플리케이션에 대응하는 보안 영역을 할당하도록 제어할 수 있다. 또한 메모리 컨트롤러(1051)는 범용 고유 식별자(UUID) 정보와 상기 메모리 장치에 저장되어 있는 암호화 키를 이용하여 암호화 및 복호화하도록 제어할 수 있다.
도 11은 본 발명의 일 실시 예인 보안 메모리 장치의 보안 동작을 설명하는 흐름도이다.
도 11을 참조하면, 먼저 S1101 단계에서 보안 메모리 장치는 식별 정보를 설정할 수 있다. 상기 식별 정보는 사용자와 상기 호스트 장치를 구별하기 위한 고유 정보이다. 일 실시 예로 사용자가 설정하는 아이디와 패스워드를 식별 정보로 이용할 수 있다.
S1103 단계에서 보안 메모리 장치는 보안 코드를 수신할 수 있다. 상기 보안 코드는 단말에 대한 보안 서비스 명령 및 단말 검증 정보를 포함할 수 있다.
상기 보안 서비스의 내용은 다양할 수 있다. 예를 들어, 보안 메모리 장치의 펌웨어 삭제, 펌웨어에 에러비트 생성, 데이터 삭제, 슬롯 넘버 삭제, 읽기 및 쓰기 금지, 읽기 및 쓰기 금지 해제 등의 보안 서비스 내용을 포함할 수 있다.
상기 검증 정보는 보안 메모리 장치가 상기 보안 서비스 명령을 인증할 수 있는 검증 정보일 수 있다. 검증 정보는 일방향 함수 값일 수 있다.
S1105 보안 메모리 장치는 상기 수신한 보안 코드가 상기 보안 메모리 장치에 저장하고 있는 검증 정보에 대응하는지 판단할 수 있다.
S1107 단계에서 검증 정보가 대응하는 것으로 판단되면, 상기 보안 서비스 명령에 대응하는 보안 동작을 수행할 수 있다. 보안 메모리 장치는 상기와 같은 보안 코드 수신 시 메모리 컨트롤러에 의하여 보안 메모리 장치에서 수행되어야 할 동작이 미리 설정되어 있을 수 있다. 이러한 경우 보안 어플리케이션 또는 보안 OS의 동작에 의존하지 않고, 수신 보안 코드에 대응하여 보안 메모리 자체적으로 보안 동작을 수행할 수 있다.
보안 동작은 보안 메모리 장치의 펌웨어 삭제, 펌웨어에 에러비트 생성, 데이터 삭제, 슬롯 넘버 삭제, 읽기 및 쓰기 금지, 읽기 및 쓰기 금지 해제 등의 보안 서비스 동작을 수행할 수 있다.
상기 보안 메모리 장치에는 상기 보안 메모리 장치에 설정된 검증 정보 및 상기 보안 메모리 장치의 슬롯에 대응하는 암호화 정보를 이용하여 암호화된 데이터를 저장할 수 있다. 보안 서비스 명령에 따라 상기 보안 메모리 장치에 저장되어 있는 암호화 키를 삭제할 수 있다. 서비스 동작으로 암호화 키를 삭제하여 보안 메모리 장치(920)의 비휘발성 메모리에 대한 접근을 차단할 수 있다. 암호화 키를 삭제하면, 암호화된 정보에 보안 메모리 장치에 데이터를 읽기 위한 복호화나 쓰기 위한 암호화를 할 수 없기 때문에 메모리 장치를 이용할 수 없다.
도 12는 본 발명의 일 실시 예인 단말 도난 시 보안 서비스 제공 시스템을 설명하는 도면이다.
사용자(1210)는 아이디와 패스워드를 단말(1230)과 서버(1220)에 설정할 수 있다. 사용자(1210)에 의하여 설정되는 아이디와 패스워드에 대응하여, 일방향 함수 인 해시(hash) 정보가 단말(1230) 및 서버(1220)에 저장될 수 있다. 사용자는 도난 등의 사유가 발생하여 단말에 대한 보안 서비스가 필요하다고 판단하는 경우 서버(웹 계정)로 보안 서비스를 요청할 수 있다.
서버(1220)는 상기 보안 서비스 요청에 대응하여 킬(kill)/락(lock) 등의 서비스 명령과, 단말(1230)의 보안 메모리 장치(1233)가 상기 서비스 명령을 인증할 수 있는 검증 정보인 해시 정보를 전송할 수 있다.
보안 메모리 장치(1233)는 사용자의 입력 아이디와 패스워드에 대응하여 생성된 해시 정보와 서버로부터 서비스 명령과 함께 전송되는 해시 정보를 비교할 수 있다. 두 해시 정보가 일치 또는 대응하는 경우 보안 메모리 장치(1233)는 서버로부터 수신한 보안 서비스 명령을 수행할 수 있다.
이상에서 본 발명의 실시 예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.

Claims (20)

  1. 메모리에 의한 단말의 보안 방법에 있어서,
    상기 단말에 대한 보안 서비스 명령 및 상기 명령을 인증할 수 있는 검증 정보를 포함하는 보안 코드를 서버로부터 수신하는 단계;
    상기 수신한 검증 정보를 상기 메모리에 설정된 검증 정보에 대응하는지 판단하는 단계;
    상기 수신한 검증 정보가 상기 설정된 검증 정보에 대응하면, 상기 메모리에서 상기 수신한 상기 단말에 대한 보안 서비스 명령에 대응하는 보안 동작을 수행하는 단계를 포함하는 것을 특징으로 하는 보안 방법.
  2. 제1항에 있어서, 상기 메모리는,
    상기 단말에 포함된 내장 메모리이며, 상기 수신한 보안 코드에 대응하는 보안 동작을 미리 설정하고 있는 것을 특징으로 하는 보안 방법.
  3. 제1항에 있어서,
    상기 내장 메모리에 설정된 검증 정보 및 상기 메모리에 저장되어 있는 암호화 키를 이용하여 데이터를 암호화하여 저장하는 단계를 더 포함하는 것을 특징으로 하는 보안 방법.
  4. 제3항에 있어서, 상기 보안 동작을 수행하는 단계는,
    상기 검증 정보와 암호화 키를 대응시키는 대응 정보를 초기화하거나 삭제하여,
    상기 암호화하여 저장한 데이터에 대한 접근을 차단하는 단계를 포함하는 것을 특징으로 하는 보안 방법.
  5. 제1항에 있어서, 보안 동작을 수행하는 단계는,
    상기 메모리에 설정된 펌웨어에 에러 비트를 생성하는 단계를 포함하는 것을 특징으로 하는 보안 방법.
  6. 보안 서비스를 지원하는 메모리를 이용하는 단말에 있어서,
    자체 보안 기능을 제공하는 메모리;
    상기 단말에 대한 보안 서비스 명령 및 상기 명령을 인증할 수 있는 검증 정보를 포함하는 보안 코드를 수신하는 송수신부; 및
    상기 수신한 보안 코드를 상기 메모리로 전달하는 단말 제어부를 포함하고,
    상기 메모리는 상기 수신한 검증 정보를 상기 단말의 메모리에 설정된 검증 정보에 대응하는지 판단하고, 검증 정보가 대응하는 것으로 판단되면, 상기 메모리에서 상기 수신한 단말에 대한 보안 서비스 명령에 대응하는 보안 동작을 수행하도록 제어하는 메모리 컨트롤러를 포함하는 것을 특징으로 하는 단말.
  7. 제6항에 있어서, 상기 메모리는,
    상기 단말에 포함된 내장 메모리이며, 상기 수신한 보안 코드에 대응하는 미리 설정하고 있는 것을 특징으로 하는 단말.
  8. 제6항에 있어서, 상기 메모리 컨트롤러는,
    상기 메모리에 설정된 검증 정보 및 상기 메모리에 저장되어 있는 암호화 키를 이용하여 데이터를 암호화하여 저장하도록 제어하는 것을 특징으로 하는 단말.
  9. 제8항에 있어서, 상기 메모리 컨트롤러는,
    상기 검증 정보와 암호화 키를 대응시키는 대응 정보를 초기화하거나 삭제하여, 상기 암호화하여 저장한 데이터에 대한 접근을 차단하도록 제어하는 것을 특징으로 하는 단말.
  10. 제1항에 있어서, 상기 메모리 컨트롤러는
    상기 메모리에 설정된 펌웨어에 에러 비트를 생성하도록 제어하는 것을 특징으로 하는 단말.
  11. 메모리 장치의 보안 영역 제공 방법에 있어서,
    보안 영역 접근을 요청하는 제1 명령을 수신하는 단계;
    상기 수신한 제1 명령이 기 설정된 보안 영역 접근 허용 정보에 대응하면, 보안 영역에 대한 접근을 허용하는 단계;
    접근이 허용된 보안 영역에 읽기 명령 또는 쓰기 명령에 대응하는 메모리를 할당하는 단계;
    보안 영역 접근을 차단하는 제2 명령을 수신하는 단계; 및
    상기 수신한 제2 명령에 대응하여, 접근을 허용한 보안 영역에 대한 접근을 차단하는 단계를 포함하는 것을 특징으로 하는 보안 영역 제공 방법.
  12. 제11항에 있어서, 상기 보안 영역에 대한 접근을 차단하는 단계는,
    상기 제1 명령 수신 이후 기 설정된 주기 동안 제2 명령이 수신되지 않으면, 접근을 허용한 보안 영역에 대한 접근을 차단하는 것을 특징으로 하는 보안 영역 제공 방법.
  13. 제11항에 있어서,
    상기 제1 명령을 수신하는 단계는 각 보안 어플리케이션에 대응하는 보안 정보를 수신하는 단계를 포함하고,
    상기 메모리를 할당하는 단계는 상기 각 보안 어플리케이션에 대응하는 보안 영역에 메모리를 할당하는 단계를 포함하는 것을 특징으로 하는 보안 영역 제공 방법.
  14. 제13항에 있어서, 상기 보안 어플리케이션에 대응하는 보안 영역에 메모리를 할당하는 단계는,
    상기 보안 정보에 포함되어 있는 범용 고유 식별자(UUID) 정보를 이용하여 각 어플리케이션을 구분하는 단계, 그리고
    상기 보안 정보에 포함되어 있는 패드 넘버를 이용하여 상기 각 어플리케이션에 대응하는 보안 영역을 할당하는 단계를 포함하는 것을 특징으로 하는 보안 영역 제공 방법.
  15. 제14항에 있어서, 상기 어플리케이션에 대응하는 보안 영역에 메모리를 할당하는 단계는,
    상기 범용 고유 식별자(UUID) 정보와 상기 메모리 장치에 저장되어 있는 암호화 키를 이용하여 암호화 및 복호화하는 단계를 포함하는 것을 특징으로 하는 보안 영역 제공 방법.
  16. 암호화 키 및 데이터를 저장하는 비휘발성 메모리; 및
    보안 영역 접근을 요청하는 제1 명령을 수신하고, 상기 수신한 제1 명령이 기 설정된 보안 영역 접근 허용 정보에 대응하면, 보안 영역에 대한 접근을 허용하며, 접근이 허용된 보안 영역에 읽기 명령 또는 쓰기 명령에 대응하는 메모리를 할당하고, 보안 영역 접근을 차단하는 제2 명령을 수신하며, 상기 수신한 제2 명령에 대응하여, 접근을 허용한 보안 영역에 대한 접근을 차단하도록 제어하는 메모리 컨트롤러를 포함하는 것을 특징으로 하는 보안 메모리 장치.
  17. 제16항에 있어서, 상기 메모리 컨트롤러는,
    상기 제1 명령 수신 이후 기 설정된 주기 동안 제2 명령이 수신되지 않으면, 접근을 허용한 보안 영역에 대한 접근을 차단하도록 제어하는 것을 특징으로 하는 보안 메모리 장치.
  18. 제16항에 있어서, 상기 메모리 컨트롤러는,
    각 보안 어플리케이션에 대응하는 보안 정보를 수신하고, 상기 각 보안 어플리케이션에 대응하는 보안 영역에 메모리를 할당하도록 제어하는 것을 특징으로 하는 보안 메모리 장치.
  19. 제18항에 있어서, 상기 메모리 컨트롤러는,
    상기 보안 정보에 포함되어 있는 범용 고유 식별자(UUID) 정보를 이용하여 각 어플리케이션을 구분하고, 상기 보안 정보에 포함되어 있는 패드 넘버를 이용하여 상기 각 어플리케이션에 대응하는 보안 영역을 할당하도록 제어하는 것을 특징으로 하는 보안 메모리 장치.
  20. 제19항에 있어서, 상기 메모리 컨트롤러는,
    상기 범용 고유 식별자(UUID) 정보와 상기 메모리 장치에 저장되어 있는 암호화 키를 이용하여 암호화 및 복호화하도록 제어하는 것을 특징으로하는 보안 메모리 장치.
KR20130112350A 2013-09-23 2013-09-23 보안 기능을 제공하는 저장 매체 및 그 보안 방법 KR20150032970A (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR20130112350A KR20150032970A (ko) 2013-09-23 2013-09-23 보안 기능을 제공하는 저장 매체 및 그 보안 방법
US14/494,106 US20150089247A1 (en) 2013-09-23 2014-09-23 Storage medium having security function and security method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR20130112350A KR20150032970A (ko) 2013-09-23 2013-09-23 보안 기능을 제공하는 저장 매체 및 그 보안 방법

Publications (1)

Publication Number Publication Date
KR20150032970A true KR20150032970A (ko) 2015-04-01

Family

ID=52692107

Family Applications (1)

Application Number Title Priority Date Filing Date
KR20130112350A KR20150032970A (ko) 2013-09-23 2013-09-23 보안 기능을 제공하는 저장 매체 및 그 보안 방법

Country Status (2)

Country Link
US (1) US20150089247A1 (ko)
KR (1) KR20150032970A (ko)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105528306B (zh) * 2014-09-28 2019-01-25 宇龙计算机通信科技(深圳)有限公司 一种双系统终端的数据读写方法及双系统终端
US10257189B2 (en) * 2016-05-24 2019-04-09 Microsoft Technology Licensing, Llc Using hardware based secure isolated region to prevent piracy and cheating on electronic devices
US11126565B2 (en) * 2016-06-27 2021-09-21 Hewlett Packard Enterprise Development Lp Encrypted memory access using page table attributes
CN107784235A (zh) * 2016-08-30 2018-03-09 深圳市中兴微电子技术有限公司 一种存储器数据保护方法和集成电路芯片
US10620855B2 (en) 2016-09-06 2020-04-14 Samsung Electronics Co., Ltd. System and method for authenticating critical operations on solid-state drives
US10984136B2 (en) * 2017-04-21 2021-04-20 Micron Technology, Inc. Secure memory device with unique identifier for authentication
CN109743441B (zh) * 2018-12-13 2021-09-07 北京小米移动软件有限公司 读写权限设置方法及装置
US11205003B2 (en) 2020-03-27 2021-12-21 Intel Corporation Platform security mechanism
US11841961B2 (en) 2020-07-02 2023-12-12 International Business Machines Corporation Management of computing secrets

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080214300A1 (en) * 2000-12-07 2008-09-04 Igt Methods for electronic data security and program authentication
US7146477B1 (en) * 2003-04-18 2006-12-05 Advanced Micro Devices, Inc. Mechanism for selectively blocking peripheral device accesses to system memory
JP2006186470A (ja) * 2004-12-27 2006-07-13 Toshiba Corp 無線通信機器、プログラム、及び無線通信方法
JP4992219B2 (ja) * 2005-10-06 2012-08-08 セイコーエプソン株式会社 送信情報照合装置および送信情報照合方法、並びに、管理対象デバイス
US8738924B2 (en) * 2007-06-13 2014-05-27 Via Technologies, Inc. Electronic system and digital right management methods thereof
US9002344B2 (en) * 2007-12-05 2015-04-07 Microsoft Technology Licensing, Llc Phone content service
GB2460275B (en) * 2008-05-23 2012-12-19 Exacttrak Ltd A Communications and Security Device
US8572455B2 (en) * 2009-08-24 2013-10-29 International Business Machines Corporation Systems and methods to respond to error detection
US8578124B2 (en) * 2009-12-18 2013-11-05 Symantec Corporation Storage systems and methods with pre-reserve allocation
US20110202269A1 (en) * 2010-02-15 2011-08-18 Avaya Inc. Mobile gaming, hospitality and communications appliance
JP2012079176A (ja) * 2010-10-04 2012-04-19 Fujitsu Ltd 情報処理システムおよび起動制御方法
US8745716B2 (en) * 2010-11-17 2014-06-03 Sequent Software Inc. System and method for providing secure data communication functionality to a variety of applications on a portable communication device
US9015481B2 (en) * 2011-02-22 2015-04-21 Honeywell International Inc. Methods and systems for access security for dataloading
TWI443517B (zh) * 2011-09-26 2014-07-01 Phison Electronics Corp 記憶體儲存裝置及其記憶體控制器與密碼驗證方法
US20140133656A1 (en) * 2012-02-22 2014-05-15 Qualcomm Incorporated Preserving Security by Synchronizing a Nonce or Counter Between Systems
US20130217333A1 (en) * 2012-02-22 2013-08-22 Qualcomm Incorporated Determining rewards based on proximity of devices using short-range wireless broadcasts
US8738083B2 (en) * 2012-05-07 2014-05-27 Skymedi Corporation Operating method, apparatus, and memory module integrated with wireless communication component
US8959331B2 (en) * 2012-11-19 2015-02-17 At&T Intellectual Property I, Lp Systems for provisioning universal integrated circuit cards
US8935746B2 (en) * 2013-04-22 2015-01-13 Oracle International Corporation System with a trusted execution environment component executed on a secure element
US9247427B2 (en) * 2013-07-29 2016-01-26 Verizon Patent And Licensing Inc. Multi-factor caller identification
US9172580B1 (en) * 2013-08-08 2015-10-27 Sprint Communications Company L.P. Selecting transceiver for wireless network based on security keys

Also Published As

Publication number Publication date
US20150089247A1 (en) 2015-03-26

Similar Documents

Publication Publication Date Title
KR20150032970A (ko) 보안 기능을 제공하는 저장 매체 및 그 보안 방법
EP2368190B1 (en) Managing access to an address range in a storage device
US8966580B2 (en) System and method for copying protected data from one secured storage device to another via a third party
AU2005223193B2 (en) Digital rights management structure, portable storage device, and contents management method using the portable storage device
US9100187B2 (en) Authenticator
US8181266B2 (en) Method for moving a rights object between devices and a method and device for using a content object based on the moving method and device
KR101657613B1 (ko) 보안 저장 장치에 저장된 디지털 컨텐츠의 백업
US20050216739A1 (en) Portable storage device and method of managing files in the portable storage device
JP5180203B2 (ja) メモリ装置から供給される情報を制御するシステムおよび方法
US20090276474A1 (en) Method for copying protected data from one secured storage device to another via a third party
JP6622275B2 (ja) アクセス制御機能を有するモバイルデータ記憶デバイス
AU2005225950B2 (en) Portable storage device and method of managing files in the portable storage device
JP2009543211A (ja) 汎用管理構造を使用するコンテンツ管理システムおよび方法
JP5178716B2 (ja) 証明書取消リストを使用するコンテンツ管理システムおよび方法
KR101152388B1 (ko) 휴대용 저장장치와 디바이스에서 다수의 어플리케이션을수행하는 방법 및 장치
JP2009543208A (ja) 証明書連鎖を使用するコンテンツ管理システムおよび方法
JP4972165B2 (ja) アイデンティティオブジェクトを使用する制御システムおよび方法
US20170242802A1 (en) Method for setting encrypted storage area, apparatus for setting encrypted storage area, and terminal
KR20200063948A (ko) 데이터 암호화 키를 암호화된 상태로 공유하는 스토리지 장치 및 스토리지 장치의 동작 방법
KR20170100235A (ko) 공인 인증서 보안 시스템 및 그 방법

Legal Events

Date Code Title Description
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid