KR20200098162A - 기기장치의보안데이터의안전한구현방안 - Google Patents

기기장치의보안데이터의안전한구현방안 Download PDF

Info

Publication number
KR20200098162A
KR20200098162A KR1020190015935A KR20190015935A KR20200098162A KR 20200098162 A KR20200098162 A KR 20200098162A KR 1020190015935 A KR1020190015935 A KR 1020190015935A KR 20190015935 A KR20190015935 A KR 20190015935A KR 20200098162 A KR20200098162 A KR 20200098162A
Authority
KR
South Korea
Prior art keywords
data
electronic circuit
security data
specific security
during
Prior art date
Application number
KR1020190015935A
Other languages
English (en)
Inventor
조수천
Original Assignee
에스에스앤씨(주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 에스에스앤씨(주) filed Critical 에스에스앤씨(주)
Priority to KR1020190015935A priority Critical patent/KR20200098162A/ko
Publication of KR20200098162A publication Critical patent/KR20200098162A/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/72Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • G06F21/46Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mathematical Physics (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은, 장치(100)에서 실시하기 위해 구성되는 탬퍼 저항 전자 회로(10)에 관 것이다. 전자 회로(10)는, 장치(100)의 동작 중에 장치 특정 보안 데이터를 안전하게 실시하고 이용하며, 기본적으로, 회부 회로 인터페이스를 통해 접근할 수
없는 템퍼 저항 기억된 비밀 번호(C)를 지닌다. 전자 회로(10)에는, 또한 적어도 부분적으로 기억된 비밀 번호에 응답하여,장치(100)의 사용 중에 상기 전자 회로(10) 내에 내부적으로 규정되는 장치 특정 보안 데이터의 인스턴스를 작성하도록,암호 처리를 행하기 위한 기능성(13)이 제공된다. 전자 회로(10)는 또한 내부적으로 규정된 장치 특정 보안 데이터에 응답하여 하나 이상의 보안 관련 연산 또는 알고리즘(14)을 실행하기 위해 구성된다. 이런 식으로, 보안을 위한 장치 특정 보안 데이터의 안전한 실시 및 이용은 효율적으로 달성될 수 있다. 기억된 비밀 번호(C)가 전자 회로의 외부에서 결코 입수할 수 없고, 장치 특정 보안 데이터가 장치의 사용 또는 조작 중에 회로 내에 내부적으로 규정되어 있으므로, 보안은 위태롭게 되지 않는다.

Description

기기장치의보안데이터의안전한구현방안 {Secure implementation of security data of device devices}
탬퍼 저항 전자 회로, 암호 엔진, 개인 키, 공개 키
이동 전화, 개인용 컴퓨터, 카메라, 오디오 장치, 서버, 기지국 및 방화벽 등의 다양한 여러 장치 내의 장치 특정 보안 데이터를 실시 및 이용하기 위한 일반적인 필요성이 존재한다. 장치 특정 보안 데이터는, 불안정한 네트워크, 디지털 콘텐트의
콘텐트-마킹(content-marking) 등을 통한 통신에 관련하여 보안 문제(issues)의 관리를 포함하고, 여러 목적을 위해 사용될 수 있다.
본 발명에 숨겨진 원리의 이해를 용이하게 하기 위해서는, 대량의 장치의 제조 공정을 생각하는데 도움이 될 수 있다. 특히, 예컨대, 어떠한 제 3 파티(특히 제 3 파티 칩 제조자)의 트러스트(trust)를 제한하고, 탬퍼-저항(tamper-resistantly)
보호 및 장치마다 고유 암호 키 및/또는 다른 보안 데이터를 포함하는 장치를 저 비용으로 제조할 필요가 있는 장치 제조자를 고려하는데 유용할 수 있다.
예컨대, 네트워크 통신에서, 데이터 보안은 종종 어떤 종류의 보안 데이터, 예컨대, 암호 키에 기초로 하며, 이는 데이터비밀성, 데이터 무결성(integrity), 인증, 인가, 부인 방지(non-repudiation) 및/또는 다른 보안 서비스를 확립하기 위해 사용된다. 인터넷, 패킷 데이터 통신 네트워크 및 다른 통신 네트워크의 급속한 발전에 의해, 네트워크 내의 노드 및/또는 장치 간에 교환되는 보호 메시지와 같은 적당한 데이터 보안을 제공할 수 있는 것이 점점 더 중요하게 되었다. 단순화를 위
해, 이와 같은 통신에 참여하는 어떠한 엔티티는 네트워크 장치로서 지칭되며, 예들은 이동 전화, 개인용 컴퓨터, 보안 게이트웨이, 방화벽, 무선 기지국 등을 포함한다.
본 발명은 종래 기술의 장치의 이들 및 다른 결점을 극복하는 것이다.
본 발명의 목적은 이동 전화, 개인용 컴퓨터, 카메라, 오디오 장치, 서버, 기지국 및 방화벽 등의 장치 내의 장치 특정 보안 데이터를 실시 및 이용하기 위한 것이다.
본 발명의 목적은 보안 데이터 능력을 가진 장치를 안전하고 저렴하게 제조하는 방법을 제공할 뿐만 아니라 보안 데이터의 관리 방법도 제공하기 위한 것이다. 특히, 탬퍼 저항 보호 및 장치 특정 보안 데이터를 가진 장치를 제공하는 것이 바람
직하다. 또한, 광대한 보안 관리의 필요없이, 보안 데이터가 장치의 전체 제조 공정 중에 인가되지 않은 파티로부터 확실히 보호되도록 하는 것이 중요하다.
본 발명의 다른 목적은 네트워크 장치와 외부 통신 파트너 간의 네트워크 통신에 관하여 데이터 보안을 유지하는 개선된 방법을 제공하기 위한 것이다. 본 발명의 또 다른 목적은 콘텐트 작성 장치에 의해 작성된 디지털 콘텐트를 마크하는 개선된 방법을 제공하기 위한 것이다.
보안을 위한 장치 특정 보안 데이터의 안전한 실시 및 이용은 효율적으로 달성될 수 있다. 기억된 비밀 번호(C)가 전자 회로의 외부에서 결코 입수할 수 없고, 장치 특정 보안 데이터가 장치의 사용 또는 조작 중에 회로 내에 내부적으로 규정되어 있으므로, 보안은 위태롭게 되지 않는다.
대표도 참조
본 발명에 따른 기본적 사상은, 장치에서 실시하기 위해 구성되고, 장치의 조작 중에 장치 특정 보안 데이터를 안전하게 실시하고 이용하는 탬퍼 저항 전자 회로를 제공하기 위한 것이다. 탬퍼 저항 전자 회로에는, 기본적으로 외부 회로 인터페
이스를 통해 접근할 수 없는 탬퍼 저항 기억 비밀 번호가 제공된다. 전자회로에는, 또한 적어도 부분적으로 기억된 비밀 번호에 응답하거나 기초로 하여, 장치의 사용 중에 상기 전자 회로 내에 내부적으로 규정되는 장치 특정 보안 데이터의 인스턴스(instance)를 작성하도록, 암호 처리를 행하기 위한 기능성이 제공된다. 전자 회로는 또한 내부적으로 규정된 장치 특정 보안 데이터에 응답하여 하나 이상의 보안 관련 연산 또는 알고리즘을 실행하기 위해 구성된다.이런 식으로, 보안을 위한 장치 특정 보안 데이터의 안전한 실시 및 이용은 효율적으로 달성될 수 있다. 기억된 비밀 번호가 전자 회로의 외부에서 결코 입수할 수 없고, 장치 특정 보안 데이터가 장치의 사용 또는 조작 중에 회로 내에 내부적으로 규정되어 있으므로, 보안은 위태롭게 되지 않는다. 이것은, 장치 특정 보안 데이터가 외부 회로의 프로그래밍 인터페이스로부터 입수할 수 없게 유지되고, 이 회로 내에서 장치의 사용 및 조작 중에 보안 관련 연산을 실행하는데만 이용될 수 있다는 것을 의미한다. 특정 예로서, 장치 특정 보안 데이터는 보안 관련 연산과 관련하여 이용되어, 기억된 비밀 번호 또는 장치 특정 보안 데이터 자체를 누설하지 않고, 암호화된 입력 정보를 평문(clear text) 출력 정보로 변환할 수 있다. 보안 관련 연산은, 암호화된 정보의 암호 해독과 같은 간단한 연산 또는 더욱 복잡한 복합 연산일 수 있다.
전자 회로는, 바람직하게는 캡슐화된 회로를 통한 집적 회로(IC), 스마트 카드 또는 어떠한 다른 탬퍼 저항 전자 회로일 수 있다.
본 발명에 따른 탬퍼 저항 전자 회로는 일반적으로 다양한 장치 내에 적용 가능하고, 여러 보안 관련 목적을 위해 이용될 있는 내부적으로 규정된 장치 특정 보안 데이터를 작성한다. 전자 회로는, 예컨대, 네트워크 장치 내에 배치되어, 이 네트워크 장치 내에서 연산 중에 전자 회로에 의해 취급되는 장치 특정 보안 데이터는, 네트워크 통신 시에, 데이터 비밀성, 데이터 무결성, 인증, 인가 및 부인 방지를 포함하는 데이터 보안연산에 이용될 수 있다. 인터넷 및 셀룰러 통신 네트워크를 포함하는 불안정한 네트워크를 통한 통신을 안전하게 하는 특정 예가 수반된다.
다른 응용 시나리오에서, 전자 회로는 디지털 콘텐트를 작성하는 장치 내에 배치되어, 이 콘텐트 작성 장치 내에서 연산중에 전자 회로에 의해 취급되는 장치 특정 보안 데이터는, 예컨대, 디지털 콘텐트 내에 매입된(embedded) 장치 특정 지
문을 생성시킴으로써 작성된 디지털 콘텐트를 마크하기 위해 이용될 수 있다.
특히, 회로 제조 시에, 랜덤 비밀 번호는, IC와 같은 전자 회로 내에 안전하게 기억되는 것이 바람직하다. 이것은, 회로 제조자가 이 비밀 번호를 알지 못하는 식으로 실시될 수 있다. 이 비밀 데이터는, 추측 공격 또는 사전 계산 공격을 회피하기
위해, 통상적으로 많은 번호 세트에 속하는 어떤 임의의 또는 랜덤하게 작성된 번호일 수 있다. 더욱이, 이 전자 회로에는,(적어도 부분적) 입력으로서 비밀 번호를 가진 전자 회로 내에서 실행하기 위해 실시되는 보안 또는 암호 알고리즘이 제공
되는 것이 바람직하다. 전자 회로가 장치 제조자에 의해 장치 내에서 연산하기 위해 설치되면, 암호 보안 알고리즘과 함께 기억된 비밀 번호는, 전자 회로를 실시하는 특정 장치에 특별한 보안 데이터의 인스턴스를 작성하기 위해 이용될 수 있다.
따라서, 전자 회로 내에서 실시되는 기억된 비밀 번호 및 암호 알고리즘은, 안전하게 규정된 장치 특정 보안 데이터, 예컨대, 암호화 및 암호 해독 키, 바인드(bind) 키, 대칭 키, 개인 및 관련 공개 키 및/또는, 여러 보안 연산에 이용될 수 있는 다
른 장치 특정 보안 데이터를 작성한다. 특히, 명백한 이점으로, 장치 특정 보안 데이터를 작성하여, 회로(IC) 제조자에 의해 전자 회로 내에 원래 기억되어 있는
어떠한 비밀 랜덤 데이터에 기초한 완전 보안 기능을 제공할 수 있다.
더욱이, 전자 회로는, 이 회로를 배치할 수 있는 다양한 장치에 대한 장치 특정 보안 데이터를 작성하고 관리한다. 게다가,비밀 데이터가 회로 내에 안전하게 기억되므로, 장치의 제조 시에나, 회로(IC) 제조자와 장치 제조자 간에 회로를 분배할
시에 어떠한 광대한 보안 관리의 필요성이 없다. 전자 회로 상에서 실시되는 암호화 처리는, 암호화 함수 또는 알고리즘에 기초하여, 비밀 번호를 알지 못한 채, 알고리즘의 결과를 추론하고, 및/또는 이 결과로부터 비밀 번호를 추론하는 것이 계산적으로 실행할 수 없도록 설계되는 것이 바람직하다.
도면참조

Claims (12)

  1. 장치에서 실시하기 위한 탬퍼 저항 전자 회로로서,
    외부 회로 인터페이스를 통해 접근할 수 없는 비밀 번호를 탬퍼 저항 기억하는 수단,적어도 부분적으로 상기 기억된 비밀 번호에 응답하여, 상기 장치의 사용 중에 상기 전자 회로 내에 내부적으로 규정되는 장치 특정 보안 데이터의 인스턴스를 작성하도록 암호 처리를 행하는 수단 및, 상기 내부적으로 규정된 장치 특정 보안 데이터에 응답하여 보안 관련 연산을 실행하는 수단을 포함하는 것을 특징으로하는 탬퍼 저항 전자 회로.
  2. 상기 장치는 네트워크 장치이고, 상기 연산은, 네트워크 통신 시에, 데이터 비밀성, 데이터 무결성, 인증, 인가 및 부인 방지 중 하나 이상에 관계되는 것을 특징으로 하는 탬퍼 저항 전자 회로.
  3. 상기 장치는 디지털 콘텐트를 작성하기 위해 구성되고, 상기 보안 관련 연산은 상기 장치 특정 보안 데이터에 기초로 하여 상기 디지털 콘텐트를 마크하기 위해 구성되는 것을 특징으로 하는 탬퍼 저항 전자 회로.
  4. 상기 연산은 상기 디지털 콘텐트 내에 매입된 장치 특정 지문을 작성하기 위해 구성되는 것을 특징으로 하는 탬퍼 저항 전자 회로.
  5. 암호 처리를 실행하는 상기 수단은, 미리 정해진 트리거 데이터 형식의 부가적인 입력 데이터가 상기 장치의 사용 중에 외부 회로 인터페이스를 통해 인가되는 경우에 상기 장치 특정 보안 데이터를 작성하기 위해 구성되는데, 상기 트리거 데
    이터는 상기 장치의 구성 중에 규정되는 것을 특징으로 하는 탬퍼 저항 전자 회로.
  6. 상기 트리거 데이터는 상기 장치의 제조 중에 구성 단계에서 규정되는 것을 특징으로 하는 탬퍼 저항 전자 회로.
  7. 상기 트리거 데이터는 상기 장치의 구성 중에 제공된 구성적인 장치 특정 보안 데이터에 기초하여 규정되며, 상기 전자 회로는, 상기 기억된 비밀 번호 및 상기 구성적인 장치 특정 보안 데이터에 기초하여, 상기 장치의 구성 중에 상기 구성적인 장치 특정 보안 데이터의 암호 표현으로서 상기 트리거 데이터를 작성하는 수단,
    상기 구성 중에 외부 회로 인터페이스를 통해 상기 암호 표현을 출력하는 수단 및,
    상기 부가적인 입력이 상기 암호 표현에 대응할 경우에, 상기 장치의 사용 중에 상기 장치 특정 보안 데이터를 내부적으로 재작성하는 수단을 더 포함하는 것을 특징으로 하는 탬퍼 저항 전자 회로.
  8. 상기 구성적 장치 특정 보안 데이터는 외부 회로 인터페이스를 통해 제공되는 것을 특징으로 하는 탬퍼 저항 전자 회로.
  9. 상기 장치의 구성 중에, 적어도 부분적으로 상기 기억된 비밀 번호에 기초로 하여 상기 구성적 장치 특정 보안 데이터를 내부적으로 작성하는 수단을 더 포함하는 것을 특징으로 하는 탬퍼 저항 전자 회로.
  10. 상기 구성적 장치 특정 보안 데이터를 내부적으로 작성하는 상기 수단은 적어도 부분적으로 상기 비밀 번호에 기초로 하여 개인 키를 작성하는 수단을 포함하고, 상기 트리거 데이터는 상기 장치의 구성 중에 상기 개인 키의 암호 표현으로서 작
    성되는 것을 특징으로 하는 탬퍼 저항 전자 회로.
  11. 상기 장치의 구성 중에, 미리 정해진 장치 접근 코드가 상기 전자 회로 내에 입력될 경우에 외부 회로 인터페이스를 통해 입수 가능한 상기 장치 특정 보안 데이터를 작성하는 수단을 더 포함하는 것을 특징으로 하는 탬퍼 저항 전자 회로.
  12. 미리 정해진 장치 접근 코드가 상기 전자 회로 내에 입력되지 않으면, 상기 기억된 비밀 번호 및 상기 장치 특정 보안 데이터 중 하나 이상으로의 내부 접근을 디스에이블하는 수단을 더 포함하는 것을 특징으로 하는 탬퍼 저항 전자 회로.
KR1020190015935A 2019-02-12 2019-02-12 기기장치의보안데이터의안전한구현방안 KR20200098162A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190015935A KR20200098162A (ko) 2019-02-12 2019-02-12 기기장치의보안데이터의안전한구현방안

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190015935A KR20200098162A (ko) 2019-02-12 2019-02-12 기기장치의보안데이터의안전한구현방안

Publications (1)

Publication Number Publication Date
KR20200098162A true KR20200098162A (ko) 2020-08-20

Family

ID=72242851

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190015935A KR20200098162A (ko) 2019-02-12 2019-02-12 기기장치의보안데이터의안전한구현방안

Country Status (1)

Country Link
KR (1) KR20200098162A (ko)

Similar Documents

Publication Publication Date Title
KR102519990B1 (ko) 인증 장치 및 방법
US9609024B2 (en) Method and system for policy based authentication
DK1556992T3 (en) Safety performance and use of device-specific safety data
US11432150B2 (en) Method and apparatus for authenticating network access of terminal
KR100961087B1 (ko) 콘텍스트 한정된 공유 비밀
CN107004083B (zh) 设备密钥保护
CN106301774A (zh) 安全芯片、其加密秘钥生成方法和加密方法
US8904195B1 (en) Methods and systems for secure communications between client applications and secure elements in mobile devices
MX2007014237A (es) Implementacion de almacenamiento seguro con integridad protegida.
EP1362274A2 (en) Method and apparatus for controlling access to functions with different securitylevels
KR102676616B1 (ko) 생체인식 지불 디바이스를 인증하기 위한 방법 및 장치, 컴퓨터 디바이스, 및 저장 매체
CN112152802B (zh) 数据加密方法、电子设备及计算机存储介质
KR20070059891A (ko) 어플리케이션 인증 보안 시스템 및 그 인증 보안 방법
CN114936380A (zh) 基于变色龙哈希的区块链隐私数据共享方法及系统
KR20200098162A (ko) 기기장치의보안데이터의안전한구현방안
CN107862209B (zh) 一种文件加解密方法、移动终端和具有存储功能的装置
Ziegler et al. Do you think your passwords are secure?
Bicakci et al. Open-TEE is no longer virtual: Towards software-only trusted execution environments using white-box cryptography
CN110999205A (zh) 用于简档证书私有密钥或其他数据的封装的装置和方法
Holgado et al. Context-based Encryption Applied to Data Leakage Prevention Solutions
CN110263553B (zh) 基于公钥验证的数据库访问控制方法、装置及电子设备
CN117792624A (zh) 一种针对数据加密的方法、系统、设备及介质
TW202312707A (zh) 數據的備援載體及包含該數據的備援載體的備援系統
CN117375850A (zh) 一种密码集成应用方法、系统及介质
CN117240464A (zh) 一种基于SRAMPUF的eSIM数据保护方法