KR20210005871A - 암호화 카드, 전자 디바이스 및 암호화 서비스 방법 - Google Patents

암호화 카드, 전자 디바이스 및 암호화 서비스 방법 Download PDF

Info

Publication number
KR20210005871A
KR20210005871A KR1020207030980A KR20207030980A KR20210005871A KR 20210005871 A KR20210005871 A KR 20210005871A KR 1020207030980 A KR1020207030980 A KR 1020207030980A KR 20207030980 A KR20207030980 A KR 20207030980A KR 20210005871 A KR20210005871 A KR 20210005871A
Authority
KR
South Korea
Prior art keywords
storage area
cryptographic
area
encryption
encryption card
Prior art date
Application number
KR1020207030980A
Other languages
English (en)
Inventor
잉팡 푸
펭 샤오
Original Assignee
알리바바 그룹 홀딩 리미티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 알리바바 그룹 홀딩 리미티드 filed Critical 알리바바 그룹 홀딩 리미티드
Publication of KR20210005871A publication Critical patent/KR20210005871A/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0877Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • H04L9/0631Substitution permutation network [SPN], i.e. cipher composed of a number of stages or rounds each involving linear and nonlinear transformations, e.g. AES algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • H04L9/0897Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/12Details relating to cryptographic hardware or logic circuitry
    • H04L2209/127Trusted platform modules [TPM]

Abstract

암호화 카드, 전자 디바이스 및 암호화 서비스 방법이 개시된다. 암호화 카드는 신뢰 컴퓨팅 모듈과, 전도성 회로를 통해 신뢰 컴퓨팅 모듈에 접속되고 전도성 회로를 통해 신뢰 컴퓨팅 모듈과 통신하는 프로그램가능 로직 디바이스와, 신뢰 컴퓨팅 모듈 및 프로그램가능 로직 디바이스에 접속되고, 암호화 카드의 외부 디바이스에 접속하기 위한 인터페이스를 제공하도록 구성되는 통신 인터페이스를 포함한다. 본 개시는 기존의 기술에서 암호화 카드의 컴퓨팅 능력 및 저장 용량이 불충분하고 정보 데이터의 계산 보안이 효과적으로 보장될 수 없는 기술적 문제를 해결한다.

Description

암호화 카드, 전자 디바이스 및 암호화 서비스 방법
관련 특허 출원에 대한 상호 참조
본 출원은 2018년 4월 28일에 출원된 "암호화 카드, 전자 디바이스 및 암호화 서비스 방법"이라는 제목으로 출원된 중국 특허출원번호 201810404346.6에 대한 우선권을 주장하며, 이는 그 전체가 여기에 참조로 포함된다.
기술 분야
본 개시는 컴퓨터 정보 보안 분야에 관한 것으로, 구체적으로는 암호화 카드, 전자 디바이스 및 암호화 서비스 방법에 관한 것이다.
인터넷의 급속한 발전과 정보화 수준의 지속적인 향상으로 정보 보안 문제가 점점 더 두드러지고 있다. 정보 시스템의 보안을 보장하는 것은 사회 전체의 관심사가 되었다. 정보 데이터의 저장, 처리 및 교환 중에 정보 데이터의 유출이나 가로챔, 도청, 변조 및 위조의 가능성이 존재하므로, 정보 시스템의 전송 또는 저장 과정에서 정보 데이터의 암호화 및 복호화가 필요하다.
기존의 기술에서는, 다양한 유형의 패스워드 보안 애플리케이션 시스템에 적용할 수 있는 고속 암호화 카드 또는 신뢰 칩이 고속 암호작성 동작에 일반적으로 사용되어 애플리케이션 시스템 데이터의 암호화/복호화 요건을 충족시킨다. 그러나, 기존의 암호화 카드 또는 신뢰 칩은, 예컨대, 정보 데이터를 효율적이고 빠르게 암호화 및 복호화하지 못하고, 애플리케이션 시스템 데이터의 컴퓨팅 능력(computing power) 및 저장 용량 요건을 충족하는 데 어려움이 있으며, 플랫폼 및 시스템의 보안과 정보 데이터의 계산 보안을 효과적으로 보장하지 못한다는 특정 문제들을 갖는다.
위의 문제와 관련하여 아직 효과적인 해결책이 제시되지 않았다.
이 개요는 아래의 상세한 설명에서 추가로 설명되는 개념의 선택을 단순화된 형태로 소개하기 위해 제공된다. 이 개요는 청구된 주제의 모든 주요 특징이나 필수 특징을 식별하기 위한 것이 아니며, 청구된 주제의 범위를 결정하는 데 도움을 주는 용도로만 사용되는 것도 아니다. 예를 들어, "기술"이라는 용어는, 위에서의 문맥에 의해 그리고 본 개시 전체에 걸쳐 허용되는 바와 같이, 디바이스(들), 시스템(들), 방법(들) 및/또는 프로세서-판독가능/컴퓨터-판독가능 명령어를 지칭할 수 있다.
본 개시의 실시예는, 적어도 기존의 기술에서 암호화 카드의 컴퓨팅 능력 및 저장 용량이 부족하고 정보 데이터의 계산 보안이 효과적으로 보장될 수 없는 기술적 문제를 해결하기 위해, 암호화 카드, 전자 디바이스 및 암호화 서비스 방법을 제공한다.
본 개시의 실시예에 따르면, 암호화 카드가 제공되는데, 이는 신뢰 컴퓨팅 모듈과, 전도성 회로를 통해 신뢰 컴퓨팅 모듈에 접속되고 전도성 회로를 통해 신뢰 컴퓨팅 모듈과 통신하는 프로그램가능 로직 디바이스와, 신뢰 컴퓨팅 모듈 및 프로그램가능 로직 디바이스에 접속되고, 암호화 카드의 외부 디바이스에 접속하기 위한 인터페이스를 제공하도록 구성되는 통신 인터페이스를 포함한다.
본 개시의 실시예에 따르면, 암호화 카드가 추가로 제공되는데, 이는 인쇄 회로 기판(PCB)에 배치된 신뢰 컴퓨팅 모듈과, PCB에 배치되고 PCB의 와이어를 통해 신뢰 컴퓨팅 모듈에 직접 접속되는 프로그램가능 로직 디바이스와, 신뢰 컴퓨팅 모듈 및 프로그램가능 로직 디바이스에 접속되고, 암호화 카드의 외부 디바이스에 접속하기 위한 인터페이스를 제공하도록 구성되는 통신 인터페이스를 포함한다.
본 개시의 실시예에 따르면, 신뢰 컴퓨팅 모듈 및 프로그램가능 로직 디바이스를 포함하는 암호화 카드가 추가로 제공되는데, 신뢰 컴퓨팅 모듈은 인쇄 회로 기판(PCB)에 배치되고, 신뢰 컴퓨팅 모듈의 저장 영역은 프로그램가능 로직 디바이스에 의해 사용하는 암호작성 동작 펌웨어를 저장하는 데 사용되는 저장 영역을 포함하고, 프로그램가능 로직 디바이스는 PCB에 배치되고 PCB의 와이어를 통해 신뢰 컴퓨팅 모듈에 직접 접속된다.
본 개시의 실시예에 따르면, 전술한 암호화 카드들 중 임의의 것을 포함하는 전자 디바이스가 또한 제공된다.
본 개시의 실시예에 따르면, 암호화 서비스 방법이 또한 제공되는데, 이는 클라이언트의 암호화 요청을 수신하는 단계와, 암호화 요청을 암호화 카드에 입력하는 단계와, 암호화 카드의 출력을 수신하는 단계와, 출력을 클라이언트에 반환하는 단계를 포함한다.
본 개시의 실시예에서, 신뢰 컴퓨팅 모듈을 프로그램가능한 로직 디바이스와 통합하는 방법이 사용된다. 신뢰 컴퓨팅 모듈을 사용함으로써, 프로그램가능 로직 디바이스는 전도성 회로를 통해 신뢰 컴퓨팅 모듈에 접속되고 전도성 회로를 통해 신뢰 컴퓨팅 모듈과 통신한다. 신뢰 컴퓨팅 모듈 및 프로그램가능 로직 디바이스에 접속된 통신 인터페이스는 암호화 카드의 외부 디바이스와 접속하기 위한 인터페이스를 제공하도록 구성되고, 그에 따라 암호화 카드의 컴퓨팅 능력 및 저장 능력을 향상시키고 정보 데이터의 계산 보안을 보장하는 목적을 달성한다. 이와 같이, 컴퓨터 정보를 효과적으로 보호하는 기술적 효과가 달성되어, 기존의 기술에서 암호화 카드의 컴퓨팅 능력 및 저장 용량이 불충분하고 정보 데이터의 계산 보안이 효과적으로 보장될 수 없는 기술적 문제를 해결한다.
본 명세서에서 설명되는 첨부된 도면은 본 개시의 이해를 돕기 위한 것이며, 본 개시의 일부를 형성한다. 본 개시의 예시적인 실시예 및 그에 대한 설명은 본 개시를 설명하기 위해 사용되며, 본 개시에 대한 부적절한 제한으로 해석되지 않는다.
도 1은 본 개시의 실시예에 따른 암호화 카드(100)의 개략적 구조도이다.
도 2는 본 개시의 실시예에 따른 선택적 암호화 카드의 개략적 구조도이다.
도 3은 본 개시의 실시예에 따른 선택적 암호화 카드와 외부 디바이스 사이의 접속 구조의 개략도이다.
도 4는 본 개시의 실시예에 따른 선택적 신뢰 컴퓨팅 모듈의 개략적 구조도이다.
도 5는 본 개시의 실시예에 따른 선택적인 프로그램가능 로직 디바이스의 개략적 구조도이다.
도 6은 본 개시의 실시예에 따른 다른 암호화 카드의 개략적 구조도이다.
도 7은 본 개시의 실시예에 따른 또 다른 암호화 카드의 개략적 구조도이다.
도 8은 본 개시의 실시예에 따른 암호화 서비스 방법을 구현하기 위한 컴퓨터 단말기(또는 모바일 디바이스)의 하드웨어 구조를 도시하는 블록도이다.
도 9는 본 개시의 실시예에 따른 암호화 서비스 방법의 흐름도이다.
도 10은 본 개시의 실시예에 따른 암호화 서비스 장치의 개략적 구조도이다.
당업자가 본 개시의 기술적 해결책을 보다 나은 방식으로 이해할 수 있도록 하기 위해, 본 개시의 실시예의 기술적 해결책은 본 개시의 실시예의 첨부된 도면을 참조하여 이하에서 명확하고 완전하게 설명된다. 명백히, 설명된 실시예는 본 개시의 모든 실시예가 아닌 일부만을 나타낸다. 본 개시의 이러한 실시예에 기초하여, 본 기술 분야의 통상의 기술자에 의해 어떠한 창의적 노력도 없이 획득된 모든 다른 실시예는 본 개시의 보호 범위 내에 속할 것이다.
본 개시의 명세서, 청구 범위 및 도면에서 "제 1", "제 2" 등의 용어는 유사한 객체들을 구별하기 위해 사용되며 반드시 특정 순서 또는 시퀀스를 설명하기 위해 사용되는 것은 아님에 유의해야 한다. 이러한 방식으로 사용되는 데이터는 적절할 경우 언제든 상호 교환될 수 있으므로, 본 명세서에 설명된 본 개시의 실시예는 본 명세서에 예시되거나 설명된 것과 다른 순서로 구현될 수 있다는 것을 이해해야 한다. 또한, 용어 "포함한다(include)", "함유한다(contain)" 및 이들의 모든 변형은 비배타적 포함을 커버하도록 의도된다. 예를 들어, 일련의 동작 또는 유닛을 포함하는 프로세스, 방법, 시스템, 제품 또는 디바이스는, 반드시 명시적으로 나열된 동작 또는 유닛으로 제한되지 않으며, 명시적으로 나열되지 않거나 이러한 프로세스, 방법, 제품 또는 디바이스에 내재된 다른 동작 또는 유닛을 포함할 수 있다.
먼저, 이하의 설명은 본 개시의 실시예를 설명하는 동안 등장하는 일부 명사 또는 용어에 적용될 수 있다.
신뢰 컴퓨팅은 하드웨어 보안 모듈에 의해 지원되는 신뢰 컴퓨팅 플랫폼을 지칭하며, 시스템의 전반적인 보안을 향상시키기 위해 컴퓨팅 및 통신 시스템에서 널리 사용된다.
신뢰 플랫폼 제어 모듈/신뢰 플랫폼 모듈(Trusted Platform Control Module/Trusted Platform Module: TPCM/TPM)은 증거에 대한 무결성 및 진정성(authenticity) 보장을 제공하는 보안 칩을 지칭하며, 보통 컴퓨팅 플랫폼에 물리적으로 바운딩된다.
FPGA(Field-Programmable Gate Array)는 고성능 및 저전력 소비를 갖는 프로그램가능 로직 디바이스를 의미하며, 전통적인 폰 노이만(Von Neumann) 구조가 아니다. 이는 알고리즘 계산을 위한 회로를 직접 생성하고, 알고리즘 및 알고리즘의 지시자에 기초하여 타깃 설계될 수 있으며, 실행 및 계산의 효율성이 매우 높고, 실행 효율성에 중점을 둔 온라인 인식 시스템에 매우 적합하다. ASIC(application-specific integrated circuit) 칩은, 계산 성능 및 효율성이 가장 높지만 개발 주기가 길고 개발 비용이 높기 때문에 빠르게 개발되고 갱신되는 현재의 딥 러닝 알고리즘 분야에 적응시키기 어려운 전용 칩이다.
신뢰 고속 데이터 암호화 카드(trusted high-speed data encryption card: THSDEC)는 신뢰 기능을 갖는 데이터 암호화 카드를 지칭한다.
마스터 키는 사용자 쌍 사이의 장기 공유 비밀 키를 지칭하며, 세션 키 또는 키 암호화 키를 생성하기 위한 시드로 사용되어 이러한 키의 배포 및 보호를 달성한다. 마스터 키의 배포는 일반적으로 오프라인의 안전한 물리적 채널을 통해 완성된다.
펌웨어는 EROM(erasable read-only memory) 또는 전기적으로 소거가능한 프로그램가능 판독 전용 메모리에 기록된 프로그램을 지칭한다. 특정 머신의 동작은 오로지 펌웨어 운영 체제를 통해 표준 디바이스 드라이버에 따라 구현될 수 있다. 예를 들어, 광 드라이브, 레코더 등은 내부 펌웨어를 갖는다.
RTM(Root of Trust for Measurement)은 무결성 측정을 신뢰할 수 있게 수행하는 계산 엔진을 지칭한다.
RTS(Root of Trust for Storage)는, 완성된 측정을 정확하게 기록하고, 무결성 측정을 로그에 저장하고, TPM(Trusted Platform Module)에 위임된 키 및 데이터를 저장하고, 적은 양의 메모리를 관리할 수 있는 요약 값 및 순차적 계산 엔진(summary value and sequential calculation engine)을 지칭하는데, 저장된 키는 복호화 및 서명 동작을 완성하는 데 사용된다.
RTR(Root of Trust for Reporting)은, 정보를 정확하고 바르게 보고하고 RTS(Root of Trust for Storage) 계산 엔진에 신뢰할 수 있게 보고하는 신뢰 엔티티를 지칭한다.
제 1 실시예
정보 데이터 및 정보 시스템의 무결성, 기밀성 및 보안성을 보장하기 위해, 기존의 기술의 암호화/복호화에서는, 다양한 유형의 패스워드 보안 애플리케이션 시스템에 적용될 수 있는 고속 암호화 카드 또는 신뢰 칩이 일반적으로 사용된다.
예를 들어, 관련 기술의 고속 암호화 카드는 전통적인 데이터 암호화 카드에 비해 암호작성 동작 및 데이터 압축 성능을 크게 향상시켰다. 그러나, 재구성될 수 없고, 서비스의 특정 사용자 지정 요건을 충족시키지 못하며, 컴플라이언스 요건을 충족하지 못하며, 플랫폼, 시스템 및 그 자신의 보안을 보장하지 못한다는 단점이 존재한다. 다른 예로, 관련 기술에서 제공된 PCIe 암호 카드는 정보 데이터의 보안을 보호하는 문제를 어느 정도 해결하지만, 이것의 계산 능력, 저장 능력, 및 플랫폼 및 시스템의 보안을 보장하는 능력은 애플리케이션 시스템의 요건을 충족시킬 수 없다. 또 다른 예로, TPM 카드 및 TPCM 카드는 정보 데이터의 민감성의 보호와 플랫폼 및 시스템의 보안을 보장할 수 있지만, 암호작성 컴퓨팅 능력 및 저장 능력은 서비스의 고성능 요건을 충족시킬 수 없다. 또한, 기존의 신뢰 칩 카드의 키는 메모리에 평문(plaintext) 형태로 표시되어 데이터의 계산 보안은 효과적으로 보장될 수 없다.
기존의 암호화 카드 또는 신뢰 칩은 전술한 결함을 갖는다. 또한, 암호화 카드 서비스는 다음과 같은 요건을 갖는다. 예를 들어, 암호화 카드 서비스를 보유하는 디바이스는 플랫폼 및 그 시스템의 보안을 보장해야 하고, 민감성 데이터의 보안을 보장하기 위해 디스크에는 암호화 카드 서비스의 중요한 민감성 데이터(예컨대, 키, 인증서 등)의 어떠한 평문도 저장되지 않아야 하고, 암호화 카드 서비스의 민감성 데이터와 연관된 계산에 대해 계산 보안이 보장되어야 하며, 암호화 카드 서비스의 민감성 데이터와 연관된 계산을 위해 컴퓨팅 능력 및 저장 용량도 보장되어야 한다.
위와 같은 동작 환경 하에서, 본 개시의 실시예는 암호화 카드의 구현을 제공한다. 도 1은 본 개시의 실시예에 따른 암호화 카드의 개략적 구조도이다. 설명을 위해, 여기에 도시된 구조는 적합한 환경의 예일 뿐이며, 본 개시의 용도나 기능의 범위에 어떠한 제한도 부과하지 않는다. 또한, 이러한 암호화 카드는 도 1에 도시된 구성요소 중 어느 하나 또는 이들의 조합에 대한 임의의 의존성 또는 요건을 갖는 것으로 해석되어서는 안된다.
본 개시의 제 1 실시예에 의해 제공되는 시스템 실시예는 예를 들어 컴퓨터 정보 보안 분야에서 인터넷에 광범위하게 적용될 수 있으며, 임의의 민감성 정보 시스템, 예를 들어, 금융, 통신, 전자 상거래 등과 같은 분야의 정보 시스템에 적용될 수 있으나, 이에 제한되지는 않음에 유의해야 한다.
도 1에 도시된 바와 같이, 암호화 카드는 신뢰 컴퓨팅 모듈(102), 프로그램가능 로직 디바이스(104) 및 통신 인터페이스(106)를 포함하는데, 프로그램가능 로직 디바이스(104)는 전도성 회로를 통해 신뢰 컴퓨팅 모듈(102)에 접속되고 전도성 회로를 통해 신뢰 컴퓨팅 모듈(102)과 통신하고, 통신 인터페이스(106)는 신뢰 컴퓨팅 모듈 및 프로그램가능 로직 디바이스에 접속되고 암호화 카드의 외부 디바이스에 접속하기 위한 인터페이스를 제공하도록 구성된다.
본 개시의 실시예의 암호화 카드는 부팅 시점부터 운영 체제 커널의 로딩 시점까지 플랫폼 신뢰 부팅 기능의 구현을 갖는 신뢰 고속 데이터 암호화 카드일 수 있으며, 서비스의 민감성 데이터에 대한 암호화 및 복호화의 계산 보안을 보장할 수 있음에 유의해야 한다. 외부 디바이스와 상호작용하는 과정에서, 각 플랫폼 및 신원(identity)의 보안 및 유효성이 보장될 수 있다.
실시예에서, 신뢰 컴퓨팅 모듈(102)은 신뢰 플랫폼 제어 모듈/신뢰 플랫폼 모듈(trusted platform control module/trusted platform module: TPCM/TPM) 등을 포함할 수 있지만 이에 제한되지 않는다. 신뢰 컴퓨팅 모듈(102)은 신뢰 컴퓨팅 칩, 예를 들어, 보안 칩일 수 있다. 프로그램가능 로직 디바이스(104)는 FPGA 칩일 수 있다. 암호화 카드의 외부 디바이스는 마더 보드의 범용 구성요소일 수 있다. 암호화 카드와 외부 디바이스는 통신 인터페이스(106)를 통해 접속될 수 있다.
실시예에서, 암호화 카드는 하우징을 포함할 수 있다. 신뢰 컴퓨팅 모듈 및 프로그램가능 로직 디바이스는 하우징 내부에 배치된다. 통신 인터페이스의 한쪽 끝은 신뢰 컴퓨팅 모듈 및 프로그램가능 로직 디바이스에 접속되고, 통신 인터페이스의 다른 쪽 끝은 주변 디바이스와의 접속을 가능하게 하기 위해 하우징을 통과한다.
실시예에서, 통신 인터페이스는 GPIO(General Purpose Input Output), SPI(Serial Peripheral Interface), 집적 회로 버스(Inter-Integrated Circuit, I2C), PCIe 인터페이스 중 적어도 하나를 포함한다.
실시예에서, 프로그램가능 로직 디바이스는 프로그램가능 게이트 어레이(FPGA)를 포함하고, 또한 ARM 프로세서 통합형 디스플레이 칩/그래픽 프로세서(CPU-ARM-GPU)를 포함할 수 있지만 이에 제한되지는 않는다.
실시예에서, 신뢰 컴퓨팅 모듈, 프로그램가능 로직 디바이스 및 통신 인터페이스는 인쇄 회로 기판(PCB) 상에 배치되는데, 예를 들어 PCIe 카드의 인쇄 회로 기판(PCB) 상에 통합된다.
본 개시에 의해 제공되는 실시예에서, 전도성 회로는 PCB 상에 배치된 전기 리드(electrical lead)를 포함한다.
실시예에서, 신뢰 컴퓨팅 모듈과 프로그램가능 로직 디바이스는 직렬 통신 인터페이스를 통해 서로 접속될 수 있고(그러나, 이에 제한되지는 않음), 인쇄 회로 기판 카드 내부의 전도성 회로를 통해 직접 통신을 수행하여, 통신을 수행하기 위해 호스트 머신(호스트)의 메모리를 매핑할 필요없이 데이터 상호작용을 구현할 수 있다.
본 개시의 실시예에서, 신뢰 컴퓨팅 모듈 및 프로그램가능 로직 디바이스는 키 관리 및 데이터 상호작용을 용이하게 하기 위해 동일한 키 관리 시스템을 사용할 수 있는데, 이는 관련 기술에서 신뢰 컴퓨팅 모듈의 키 관리 시스템과 프로그램가능 로직 디바이스의 키 관리 시스템이 서로 독립적인 것과 상이함에 유의해야 한다.
도 2는 본 개시의 실시예에 따른 선택적 암호화 카드(200)의 개략적 구조도이다. 도 2에 도시된 바와 같이, 암호화 카드(200)는 신뢰 플랫폼 제어 모듈/신뢰 플랫폼 모듈(즉, 신뢰 컴퓨팅 모듈), 신뢰 플랫폼 제어 모듈/신뢰 플랫폼 모듈에 접속된 더블 데이터 레이트 동기식 동적 랜덤 액세스 메모리(DDR), 신뢰 플랫폼 제어 모듈/신뢰 플랫폼 모듈에 접속된 솔리드 스테이트 메모리(Flash), 프로그램가능 로직 디바이스에 기초한 데이터 암호화 카드(HSEDC), 데이터 암호화 카드에 접속된 더블 데이터 레이트 동기식 동적 랜덤 액세스 메모리, 및 데이터 암호화 카드에 접속된 솔리드 스테이트 메모리를 포함한다.
본 개시의 실시예에서, 암호화 카드는 신뢰 플랫폼 제어 모듈/신뢰 플랫폼 모듈의 아키텍처와 호환가능하며, 상황 및 요건 모두를 준수하는 기술적 효과를 달성할 수 있다는 점에 유의해야 한다.
도 2에 도시된 바와 같이, 신뢰 플랫폼 제어 모듈/신뢰 플랫폼 모듈 및 데이터 암호화 카드는 PCIe 카드에 통합되고, 신뢰 플랫폼 제어 모듈/신뢰 플랫폼 모듈과 데이터 암호화 카드는 직렬 통신 인터페이스(예컨대, 직렬화기/비직렬화기(serializer/de-serializer), Serdes x8(x8은 링크 폭임))를 통해 접속되고, PCIe 카드의 인쇄 회로 기판(PCB) 상에 통합된다. 직렬화기/비직렬화기는 메인스트림의 TDM(time division multiplexing), P2P(point-to-point) 직렬 통신 기술이다.
실시예에서, 도 2에 도시된 바와 같이, 암호화 카드는 프로그램가능 로직 디바이스의 스위칭 칩(PCIe-스위치)을 더 포함한다. 신뢰 플랫폼 제어 모듈/신뢰 플랫폼 모듈 및 데이터 암호화 카드는 스위칭 칩에 개별적으로 접속되고 스위칭 칩은 PCIe 슬롯에 접속된다.
전술한 실시예에서, PCIe 슬롯은 PCI 로컬 버스에 기초한 확장 슬롯으로 사용되며, 플러그인 그래픽 카드, 사운드 카드, 네트워크 카드, USB 2.0 카드, IDE 인터페이스 카드, TV 카드, 비디오 캡처 카드 및 다른 유형의 확장 카드일 수 있지만 이에 제한되지는 않는다.
본 개시의 도 1 및 도 2에 도시된 암호화 카드의 특정 구조는 단지 예시적인 것임에 유의해야 한다. 특정 애플리케이션에서, 본 개시의 암호화 카드는 도 1 및 도 2에 도시된 암호화 카드보다 많거나 적은 구조를 가질 수 있다. 예를 들어, 암호화 카드 내에 구성되는 솔리드 스테이트 메모리, 더블 레이트 동기식 동적 랜덤 액세스 메모리, 직렬화기/비직렬화기 등의 각각의 개수는 도 2에 도시된 것일 수 있지만 이에 제한되지는 않고, 특정 애플리케이션 시나리오에 따라 구성될 수 있다.
도 3은 본 개시의 실시예에 따른 선택적 암호화 카드와 외부 디바이스 간의 접속 구조(300)의 개략도이다. 외부 디바이스는, 도 3에 도시된 바와 같이, 신뢰 소프트웨어 베이스(trusted software base: TSB)/신뢰 소프트웨어 스택(trusted software stack: TSS), 기판 관리 제어기/기본 입력 및 출력 시스템, 전력 제어 복합 프로그램가능 로직 디바이스, 범용 직렬 버스(universal serial bus: USB) 제어기, 이더넷 제어기, 키보드 제어기, 오디오 제어기를 포함할 수 있다. 여전히 도 3에 도시된 바와 같이, 암호화 카드와 외부 디바이스는 통신 인터페이스를 통해 서로 통신할 수 있다.
실시예에서, 암호화 카드와 신뢰 소프트웨어 베이스/신뢰 소프트웨어 스택은, PCIe 인터페이스 또는 직렬 주변 인터페이스(SPI 버스)를 통해(그러나, 이에 제한되지는 않음) 커맨드 및 데이터 상호작용을 수행할 수 있다. 신뢰 소프트웨어 베이스/신뢰 소프트웨어 스택은 외부 디바이스의 애플리케이션(APP) 또는 운영 체제(OS)에서 설정될 수 있다.
실시예에서, 암호화 카드는 또한, 멀티플렉서를 통해 범용 입력 및 출력(GPIO), 직렬 주변 인터페이스(SPI) 및 집적 회로 버스(I2C(Inter-Integrated Circuit))에 대한 멀티플렉싱을 수행할 수 있고, 외부 디바이스의 기판 관리 제어기(Baseboard Management Controller: BMC)/기본 입력 및 출력 시스템(Basic Input Output System: BIOS)의 측정을 구현할 수 있다.
실시예에서, 암호화 카드는 또한, 멀티플렉서를 통해 범용 입력 및 출력(GPIO), 직렬 주변 인터페이스(SPI) 및 집적 회로 버스(I2C)에 대한 멀티플렉싱을 수행할 수 있고, 전술된 바와 같이, 범용 직렬 버스(USB) 제어기, 이더넷 제어기, 키보드 제어기 및 오디오 제어기와의 접속을 달성할 수 있다.
실시예에서, 도 4는 본 개시의 실시예에 따른 선택적 신뢰 컴퓨팅 모듈(400)의 개략적 구조도이다. 도 4에 도시된 바와 같이, 신뢰 컴퓨팅 모듈(400)은 제 1 주 컴퓨팅 영역(402), 제 1 암호작성 컴퓨팅 영역(404) 및 제 1 저장 영역(406)을 포함하는데,
제 1 주 컴퓨팅 영역(402)은 암호작성 동작 프로세스 이외의 동작 프로세스를 수행하도록 구성되고,
제 1 암호작성 컴퓨팅 영역(404)은 제 1 주 컴퓨팅 영역(402)에 접속되고, 적어도 하나의 암호작성 알고리즘의 엔진을 제공받고, 엔진을 사용하여 암호작성 동작 프로세스를 수행하고,
제 1 저장 영역(406)은 제 1 주 컴퓨팅 영역(402) 및 제 1 암호작성 컴퓨팅 영역(404)에 접속되고, 데이터를 저장하도록 구성된다.
실시예에서, 도 4에 도시된 바와 같이, 제 1 주 컴퓨팅 영역(402)은 중앙 처리 장치(CPU) 및 메모리를 포함한다. 제 1 주 컴퓨팅 영역(402)은 암호작성 동작 프로세스 이외의 동작 프로세스를 수행하는 데 사용될 수 있다. 암호작성 동작 프로세스는 암호작성 컴퓨팅 능력 및 저장 용량에 대해 낮은 요건을 갖지만 높은 보안 요건을 갖는다. 제 1 주 컴퓨팅 영역은 더 높은 컴퓨팅 능력 및 저장 용량 요건을 충족시킬 수 있다.
실시예에서, 도 4에 도시된 바와 같이, 제 1 암호작성 컴퓨팅 영역(404)은 예를 들어, 공개 키 암호 엔진(SM2), 해시 알고리즘 엔진(SM3), 대칭 암호 엔진(SM4), 난수 엔진(RSA), 고급 암호화 표준(AES) 등과 같은 암호작성 알고리즘 중 하나 이상의 암호작성 알고리즘의 엔진을 포함한다. 제 1 암호작성 컴퓨팅 영역(404)은 높은 암호작성 컴퓨팅 능력 및 저장 용량 요건을 갖지 않는 암호작성 동작 프로세스를 담당하는 데 사용될 수 있다.
실시예에서, 도 4에 도시된 바와 같이, 제 1 저장 영역(406)은 칩 시스템 펌웨어 저장 영역, 플랫폼 구성 레지스터(platform configuration register: PCR), 마스터 키 저장 영역, RTM 저장 영역, RTS 저장 영역 및 RTR 저장 영역 중 적어도 하나를 포함한다.
마스터 키 저장 영역은 프로그램가능 로직 디바이스를 보호하는 데 사용되는 사용자 키를 저장한다는 점에 유의해야 한다. 도 4에 도시된 바와 같이, RTM, RTS 및 RTR은 동일한 저장 영역에 저장될 수 있다. 대안적으로, RTM 저장 영역, RTS 저장 영역, RTR 루트 저장 영역은 개별적으로 설정되어 RTM, RTS 및 RTR을 저장하는 데 사용될 수 있다.
실시예에서, 전술한 저장 영역들은, 암호작성 알고리즘, 인터페이스, 타이밍, 상태, 캐싱 등을 포함하지만 이에 제한되지 않는 기능을 구현할 수 있는 도 4에 도시된 바와 같은 FPGA 암호작성 동작 관련 펌웨어 저장 영역과 같은, 프로그램가능 로직 디바이스에 의해 사용되는 암호작성 동작 펌웨어를 저장하도록 구성된 저장 영역을 더 포함한다.
실시예에서, 도 5는 본 개시의 실시예에 따른 선택적 프로그램가능 로직 디바이스(500)의 개략적 구조도이다. 도 5에 도시된 바와 같이, 프로그램가능 로직 디바이스(500)는 제 2 주 컴퓨팅 영역(502), 제 2 암호작성 컴퓨팅 영역(504) 및 제 2 저장 영역(506)을 포함하는데,
제 2 주 컴퓨팅 영역(502)은 프로그램가능 로직 디바이스의 소프트 코어 프로세서 및 하드웨어 하드 코어를 포함하고,
제 2 암호작성 컴퓨팅 영역(504)은 제 2 주 컴퓨팅 영역에 접속되고, 적어도 하나의 암호작성 알고리즘의 엔진을 제공받고, 엔진을 사용하여 암호작성 동작 프로세스를 수행하고,
제 2 저장 영역(506)은 제 2 주 컴퓨팅 영역(502) 및 제 2 암호작성 컴퓨팅 영역(504)에 접속되고, 데이터를 저장하는 데 사용된다.
실시예에서, 소프트 코어 프로세서는 NIOS 소프트 코어 프로세서일 수 있으며, 제어기 모듈 기능을 구현하는 데 사용될 수 있다. 하드웨어 하드 코어는 PCIe 하드웨어 하드 코어일 수 있으며, 인터페이스 모듈 기능을 구현하는 데 사용될 수 있는데, 여기서 하드 코어는 프로그램가능 로직 디바이스 내부에 고정된 특수 하드웨어 회로로서 이해될 수 있다.
여전히 도 5에 도시된 바와 같이, 제 2 암호작성 컴퓨팅 영역(504)은 공개 키 암호 엔진(SM2), 해시 알고리즘 엔진(SM3), 대칭 암호 엔진(SM4), 난수 엔진(RSA), 국제 대칭 알고리즘(AES) 등과 같은 암호작성 알고리즘 중 하나 이상의 암호작성 알고리즘의 엔진을 포함한다.
제 2 암호작성 컴퓨팅 영역(404)은 암호작성 컴퓨팅 능력 및 저장 용량에 대한 높은 요건을 갖는 암호작성 동작 프로세스를 수행하는 데 사용될 수 있음에 유의해야 한다.
실시예에서, 도 5에 도시된 바와 같이, 제 2 저장 영역(506)은 시스템 펌웨어 저장 영역, 동적 정책을 사용하여 미리 구성된 사용자 정책 펌웨어 저장 영역, 동작 키 저장 영역 및 사용자 데이터 저장 영역 중 적어도 하나를 포함한다.
위의 실시예에서, 시스템 펌웨어 저장 영역은 정적 저장 영역일 수 있고, 이 저장 영역은 판독만 가능하고 기록은 불가능하다. 사용자 정책 펌웨어 저장 영역은 판독 및 기록이 가능하며, 이 저장 영역은 사용자(들)에 의해 미리 구성한 동적 정책(들)을 포함한다. 동작 키 저장 영역은 암호작성 동작 알고리즘을 통해 프로그램가능 로직 디바이스에 의해 계산된 사용자 키 및 마스터 키 등과 같은 동작과 관련된 데이터를 저장하는 데 사용될 수 있다. 사용자 데이터 저장 영역은 사용자 키 및 마스터 키 이외의 데이터를 저장하는 데 사용될 수 있다.
실시예에서, 제 2 암호작성 컴퓨팅 영역은 사용자 정책 펌웨어 저장 영역의 사용자 정책에 따라 암호작성 동작 프로세스를 수행하기 위해 엔진을 선택하도록 구성된다.
실시예에서, 제 2 암호작성 컴퓨팅 영역은, 신뢰 컴퓨팅 모듈에서 RTM에 따라 로딩될 데이터의 검증을 수행하고 검증이 통과될 때 데이터를 로딩하도록 구성된다.
본 개시의 실시예에서, 제 2 암호작성 컴퓨팅 영역에 의해 수행되는 암호작성 동작 프로세스에서, 실제 애플리케이션의 암호작성 알고리즘 요건(들)은 사용자 펌웨어 동적 저장 영역의 사용자 정책에 따라 설계될 수 있고, 데이터는 인쇄 회로 기판(PCB)에 동적으로 로딩될 수 있다. 데이터가 동적으로 로딩되기 전에, 제 2 암호작성 컴퓨팅 영역은 신뢰 컴퓨팅 모듈에서 RTM에 따라 로딩될 데이터의 무결성 및 유효성에 대한 검증을 수행할 수 있고, 검증이 통과될 때 데이터를 로딩할 수 있다.
본 개시에 의해 제공된 전술한 실시예에 기초하여 신뢰 컴퓨팅 모듈이 사용된다. 프로그램가능 로직 디바이스는 전도성 회로를 통해 신뢰 컴퓨팅 모듈에 접속되고, 전도성 회로를 통해 신뢰 컴퓨팅 모듈과 통신한다. 통신 인터페이스는 신뢰 컴퓨팅 모듈 및 프로그램가능 로직 디바이스에 접속되며, 암호화 카드의 외부 디바이스에 접속하기 위한 인터페이스를 제공하도록 구성된다.
본 개시는 신뢰 컴퓨팅 모듈과 프로그램가능 로직 디바이스를 통합하는 방법을 채택하고 있으며, 프로그램가능 로직 디바이스의 재구성가능 특성을 통해 서비스의 특정 맞춤형 요건을 충족시킬 수 있으며, 전통적 고속 암호화 카드가 플랫폼 및 시스템의 보안을 보장하지 못하고 FPGA 칩과 신뢰 칩을 통합하지 못하는 것을 해결한다는 것을 쉽게 알 수 있다. 프로그램가능 로직 디바이스의 고속 컴퓨팅 능력은 전통적 고속 암호화 카드 및 신뢰 칩의 불충분한 컴퓨팅 능력 및 저장 용량의 기술적 문제를 해결한다.
또한 프로그램가능 로직 디바이스와 신뢰 컴퓨팅 모듈은 인쇄 회로 기판(PCB) 내부의 전도성 회로를 통해 직접 통신하며, 프로그램가능 로직 디바이스의 암호작성 알고리즘의 로딩은 인쇄 회로 기판(PCB) 내에서의 동적 로딩을 통해 수행되므로, 무결성을 효과적으로 검증하고 민감성 데이터의 계산 보안을 보장한다.
본 개시의 전술한 실시예에서 제공된 해결책을 통해, 암호화 카드의 컴퓨팅 능력 및 저장 용량을 향상시키고 정보 데이터의 보안을 보장하는 목적을 달성함으로써, 컴퓨터 정보를 효과적으로 보호하는 기술적 효과를 실현하고, 기존의 기술에서 암호화 카드의 컴퓨팅 능력 및 저장 용량이 불충분하고 정보 데이터의 계산 보안이 효과적으로 보장될 수 없는 기술적 문제를 해결한다.
제 2 실시예
본 개시의 실시예에 따라 암호화 카드의 다른 실시예가 제공된다. 도 6은 본 개시의 실시예에 따른 다른 암호화 카드(600)의 개략적 구조도이다. 설명을 위해, 여기에 도시된 구조는 적합한 환경의 예일 뿐이며, 본 개시의 용도 또는 기능의 범위에 어떠한 제한도 부과하지 않는다. 또한, 암호화 카드는 도 6에 도시된 구성요소 중 어느 하나 또는 이들의 조합에 대한 임의의 의존성 또는 요건을 갖는 것으로 해석되어서는 안된다.
본 개시의 제 2 실시예에 의해 제공되는 시스템 실시예는 예를 들어 컴퓨터 정보 보안 분야에서 인터넷에 광범위하게 적용될 수 있으며, 임의의 민감성 정보 시스템, 예를 들어, 금융, 통신, 전자 상거래 등과 같은 분야의 정보 시스템에 적용될 수 있으나, 이에 제한되지는 않음에 유의해야 한다.
도 6에 도시된 바와 같이, 암호화 카드(600)는 신뢰 컴퓨팅 모듈(602), 프로그램가능 로직 디바이스(604) 및 통신 인터페이스(606)를 포함하는데,
신뢰 컴퓨팅 모듈(602)은 인쇄 회로 기판(PCB)에 배치되고, 프로그램가능 로직 디바이스(604)는 PCB에 배치되고 PCB의 와이어(들)를 통해 신뢰 컴퓨팅 모듈에 직접 접속되며, 통신 인터페이스(606)는 위에서 설명된 신뢰 컴퓨팅 모듈 및 프로그램가능 로직 디바이스에 접속되고, 암호화 카드의 외부 디바이스에 접속하기 위한 인터페이스를 제공하도록 구성된다.
실시예에서, 와이어(들)는 PCB 상에 배치된 전기 와이어(들)이다.
프로그램가능 로직 디바이스와 신뢰 컴퓨팅 모듈은 인쇄 회로 기판 PCB 내부의 와이어를 통해 직접 통신하며, 프로그램가능 로직 디바이스의 암호작성 알고리즘의 로딩은 인쇄 회로 기판(PCB) 내의 동적 로딩을 통해 수행되므로, 무결성을 효과적으로 검증하고 민감성 데이터와 연관된 계산의 보안을 보장한다.
실시예에서, 신뢰 컴퓨팅 모듈과 프로그램가능 로직 디바이스는 직렬 통신 인터페이스를 통해(그러나, 이에 제한되지는 않음) 서로 접속될 수 있고, 또한 인쇄 회로 기판 카드 내부의 전도성 회로를 통해 서로 직접 통신할 수 있으며, 그에 따라 통신을 수행하기 위해 호스트 머신(호스트)의 메모리를 매핑하지 않고 데이터 상호작용을 구현한다.
실시예에서, 신뢰 컴퓨팅 모듈은 신뢰 플랫폼 제어 모듈/신뢰 플랫폼 모듈(TPCM/TPM) 등을 포함할 수 있지만 이에 제한되지 않는다. 신뢰 컴퓨팅 모듈은 신뢰 컴퓨팅 칩, 예를 들어, 보안 칩일 수 있다. 프로그램가능 로직 디바이스는 FPGA 칩일 수 있다. 암호화 카드의 외부 디바이스는 마더 보드의 범용 구성요소일 수 있다. 암호화 카드와 외부 디바이스는 통신 인터페이스를 통해 접속될 수 있다.
실시예에서, 암호화 카드는 하우징을 포함할 수 있다. 신뢰 컴퓨팅 모듈 및 프로그램가능 로직 디바이스는 하우징 내부에 배치된다. 통신 인터페이스의 한쪽 끝은 신뢰 컴퓨팅 모듈 및 프로그램가능 로직 디바이스에 접속되고, 통신 인터페이스의 다른 쪽 끝은 주변 디바이스와의 접속을 가능하게 하기 위해 하우징을 통과한다.
실시예에서, 통신 인터페이스는 GPIO(General Purpose Input Output), SPI(Serial Peripheral Interface), 집적 회로 버스(I2C(Inter-Integrated Circuit)), PCIe 인터페이스 중 적어도 하나를 포함한다.
본 개시에 의해 제공된 전술한 실시예에 기초하여, 신뢰 컴퓨팅 모듈은 인쇄 회로 기판 PCB에 배치된다. 프로그램가능 로직 디바이스는 PCB에 배치되고 PCB의 와이어를 통해 신뢰 컴퓨팅 모듈에 직접 접속된다. 통신 인터페이스는 신뢰 컴퓨팅 모듈 및 프로그램가능 로직 디바이스에 접속되고 암호화 카드의 외부 디바이스에 접속하기 위한 인터페이스를 제공하도록 구성된다.
본 개시는 신뢰 컴퓨팅 모듈과 프로그램가능 로직 디바이스를 통합하는 방법을 채택하고 있으며, 프로그램가능 로직 디바이스의 재구성가능 특성을 통해 서비스의 특정 맞춤형 요건을 충족시킬 수 있으며, 전통적 고속 암호화 카드가 플랫폼 및 시스템의 보안을 보장하지 못하고 FPGA 칩과 신뢰 칩을 통합하지 못하는 것을 해결한다는 것을 쉽게 알 수 있다. 프로그램가능 로직 디바이스의 고속 컴퓨팅 능력은 전통적 고속 암호화 카드 및 신뢰 칩의 불충분한 컴퓨팅 능력 및 저장 용량의 기술적 문제를 해결한다.
본 개시의 전술한 실시예에 의해 제공된 해결책을 통해, 암호화 카드의 컴퓨팅 능력 및 저장 용량을 향상시키고 정보 데이터의 보안을 보장하는 목적을 달성함으로써, 컴퓨터 정보를 효과적으로 보호하는 기술적 효과를 실현하고, 기존의 기술에서 암호화 카드의 컴퓨팅 능력 및 저장 용량이 불충분하고 정보 데이터의 계산 보안이 효과적으로 보장될 수 없는 기술적 문제를 해결한다.
본 실시예의 선택적 또는 예시적 구현은 제 1 실시예의 관련 설명을 참조할 수 있으며, 그 세부사항은 여기에서 반복적으로 설명되지 않는다는 점에 유의해야 한다.
제 3 실시예
본 개시의 실시예에 따라 암호화 카드의 실시예가 제공된다. 도 7은 본 개시의 실시예에 따른 다른 암호화 카드(700)의 개략적 구조도이다. 설명을 위해 여기에 도시된 구조는 적합한 환경의 예일 뿐이며, 본 개시의 용도나 기능의 범위에 어떠한 제한도 부과하지 않는다. 또한, 암호화 카드는 도 7에 도시된 구성요소 중 어느 하나 또는 이들의 조합에 대한 임의의 의존성 또는 요건을 갖는 것으로 해석되어서는 안된다.
본 개시의 제 2 실시예에 의해 제공되는 시스템 실시예는 예를 들어 컴퓨터 정보 보안 분야에서 인터넷에 광범위하게 적용될 수 있으며, 임의의 민감성 정보 시스템, 예를 들어, 금융, 통신, 전자 상거래 등과 같은 분야의 정보 시스템에 적용될 수 있으나, 이에 제한되지는 않음에 유의해야 한다. 도 7에 도시된 바와 같이, 암호화 카드(700)는 신뢰 컴퓨팅 모듈(702) 및 프로그램가능 로직 디바이스(704)를 포함하는데,
신뢰 컴퓨팅 모듈(702)은 인쇄 회로 기판(PCB)에 배치되고, 신뢰 컴퓨팅 모듈의 저장 영역은 프로그램가능 로직 디바이스에 의해 사용되는 암호작성 동작 펌웨어를 저장하는 데 사용되는 저장 영역을 포함하고, 프로그램가능 로직 디바이스(704)는 PCB에 배치되고, PCB의 와이어(들)를 통해 신뢰 컴퓨팅 모듈에 직접 접속된다.
실시예에서, 와이어(들)는 PCB 상에 배치된 전기 와이어(들)이다.
프로그램가능 로직 디바이스와 신뢰 컴퓨팅 모듈은 인쇄 회로 기판(PCB) 내부의 와이어(들)를 통해 직접 통신하며, 프로그램가능 로직 디바이스의 암호작성 알고리즘의 로딩은 인쇄 회로 기판(PCB) 내의 동적 로딩을 통해 수행되므로, 무결성을 효과적으로 검증하고 민감성 데이터와 연관된 계산의 보안을 보장한다.
실시예에서, 신뢰 컴퓨팅 모듈 및 프로그램가능 로직 디바이스는 직렬 통신 인터페이스를 개별적으로 제공받고, 각자의 직렬 통신 인터페이스를 통해 와이어(들)에 직접 접속될 수 있지만 이에 제한되지 않고, 또한, 인쇄 회로 기판 카드의 전도성 회로를 통해 직접 통신을 수행하여, 통신을 수행하기 위해 호스트 머신(호스트)의 메모리로 매핑할 필요없이 데이터 상호작용을 실현할 수 있다.
실시예에서, 신뢰 컴퓨팅 모듈의 저장 영역은 칩 시스템 펌웨어 저장 영역, 플랫폼 구성 레지스터(PCR), 마스터 키 저장 영역, RTM 저장 영역, RTS 저장 영역, RTR 루트 저장 영역 중 적어도 하나를 포함한다.
실시예에서, 전술한 저장 영역은, 암호작성 알고리즘, 인터페이스, 타이밍, 상태, 캐싱 등을 포함하지만 이에 제한되지 않는 기능을 구현할 수 있는 도 4에 도시된 바와 같은 FPGA 암호작성 동작 관련 펌웨어 저장 영역과 같은, 프로그램가능 로직 디바이스에 의해 사용되는 암호작성 동작 펌웨어를 저장하도록 구성된 저장 영역을 더 포함한다.
본 개시에 의해 제공된 전술한 실시예에 기초하여, 신뢰 컴퓨팅 모듈은 인쇄 회로 기판(PCB)에 배치되고, 신뢰 컴퓨팅 모듈의 저장 영역은 프로그램가능 로직 디바이스에 의해 사용되는 암호작성 동작 펌웨어를 저장하기 위한 저장 영역을 포함한다. 프로그램가능 로직 디바이스는 PCB에 배치되고, PCB의 와이어를 통해 신뢰 컴퓨팅 모듈에 직접 접속된다.
본 개시는 신뢰 컴퓨팅 모듈과 프로그램가능 로직 디바이스를 통합하는 방법을 채택하고 있으며, 프로그램가능 로직 디바이스의 재구성가능 특성을 통해 서비스의 특정 맞춤형 요건을 충족시킬 수 있으며, 전통적 고속 암호화 카드가 플랫폼 및 시스템의 보안을 보장하지 못하고 FPGA 칩과 신뢰 칩을 통합하지 못하는 것을 해결한다는 것을 쉽게 알 수 있다. 프로그램가능 로직 디바이스의 고속 컴퓨팅 능력은 전통적 고속 암호화 카드 및 신뢰 칩의 불충분한 컴퓨팅 능력 및 저장 용량의 기술적 문제를 해결한다.
본 개시의 전술한 실시예에 의해 제공된 해결책을 통해, 암호화 카드의 컴퓨팅 능력 및 저장 용량을 향상시키고 정보 데이터의 보안을 보장하는 목적을 달성함으로써, 컴퓨터 정보를 효과적으로 보호하는 기술적 효과를 실현하고, 기존의 기술에서 암호화 카드의 컴퓨팅 능력 및 저장 용량이 불충분하고 정보 데이터의 계산 보안이 효과적으로 보장될 수 없는 기술적 문제를 해결한다.
본 실시예의 선택적 또는 예시적 구현은 제 1 실시예 및 제 2 실시예의 관련 설명을 참조할 수 있으며, 그 세부사항은 여기에서 반복적으로 설명되지 않는다는 점에 유의해야 한다.
제 4 실시예
본 개시의 실시예에 따르면, 전자 디바이스가 또한 제공되는데, 이는 위의 제 1 내지 제 3 실시예 중 어느 하나를 포함한다. 암호화 카드는 신뢰 컴퓨팅 모듈과, 전도성 회로를 통해 신뢰 컴퓨팅 모듈에 접속되고 전도성 회로를 통해 신뢰 컴퓨팅 모듈과 통신하는 프로그램가능 로직 디바이스와, 신뢰 컴퓨팅 모듈 및 프로그램가능 로직 디바이스에 접속되고 암호화 카드의 외부 디바이스에 접속하기 위한 인터페이스를 제공하도록 구성된 통신 인터페이스를 포함한다.
실시예에서, 전자 디바이스는 컴퓨팅 디바이스, 모바일 디바이스(예컨대, 스마트폰, IPAD, 웨어러블 디바이스) 등일 수 있다.
본 실시예의 선택적 또는 예시적 구현은 제 1 내지 제 3 실시예의 관련 설명을 참조할 수 있으며, 그 세부사항은 여기에서 반복적으로 설명되지 않는다는 점에 유의해야 한다.
제 5 실시예
본 개시의 실시예들에 따르면, 암호화 서비스 방법의 실시예가 또한 제공된다. 첨부된 도면의 흐름도에 도시된 동작은 일련의 컴퓨터 실행가능 명령어와 같은 컴퓨터 시스템에서 실행될 수 있음에 유의해야 한다. 더욱이, 논리적인 순서가 흐름도에 도시되어 있지만, 일부 경우에, 도시되거나 설명된 동작은 여기에서 설명된 것과 다른 순서로 수행될 수 있다.
본 개시의 제 5 실시예에 의해 제공되는 방법 실시예는 이동 단말기, 컴퓨터 단말기 등에서 실행될 수 있다. 도 8은 암호화 서비스 방법을 구현하기 위한 컴퓨터 단말기(또는 모바일 디바이스)의 하드웨어 구성을 도시하는 블록도이다. 도 8에 도시된 바와 같이, 컴퓨터 단말기(800)(또는 모바일 디바이스(800))는 하나 이상(도면에서의 도시를 위해 802a, 802b, ..., 802n이 사용됨)의 프로세서(프로세서(802)는 마이크로 프로세서(MCU) 또는 프로그램가능 로직 디바이스(FPGA)와 같은 처리 디바이스를 포함할 수 있지만 이에 제한되지는 않음), 데이터 저장에 사용되는 메모리(804), 통신 기능에 사용되는 전송 모듈(806)을 포함할 수 있다. 또한 디스플레이, 입/출력 인터페이스(I/O 인터페이스), 범용 직렬 버스(USB) 포트(이는 I/O 인터페이스의 포트들 중 하나로서 포함될 수 있음), 네트워크 인터페이스, 전원 공급기 및/또는 카메라가 또한 포함될 수 있다. 당업자는 도 8에 도시된 구조가 단지 예시적인 것이며, 전술된 전자 디바이스의 구조를 제한하지 않는다는 것을 이해할 수 있다. 예를 들어, 컴퓨터 단말기(800)는 도 8에 도시된 것보다 많거나 적은 구성요소를 포함할 수도 있고 또는 도 8에 도시된 것과 다른 구성을 가질 수도 있다.
위의 프로세서(802) 및/또는 다른 데이터 처리 회로 중 하나 이상은 본 명세서에서 "데이터 처리 회로"로 일반적으로 지칭될 수 있다는 점에 유의해야 한다. 데이터 처리 회로는 전체적으로 또는 부분적으로, 소프트웨어, 하드웨어, 펌웨어 또는 이들의 임의의 다른 조합으로 구현될 수 있다. 더욱이, 데이터 처리 회로는 단일의 독립적 결정 모듈일 수 있거나 컴퓨터 단말기(800)(또는 모바일 디바이스)의 다른 구성요소들 중 어느 하나에 전체적으로 또는 부분적으로 통합될 수 있다. 본 개시의 실시예에 관련될 때, 데이터 처리 회로는 프로세서 제어기(예컨대, 인터페이스에 접속된 가변 저항 단말 경로의 선택)의 역할을 한다.
메모리(804)는 본 개시의 실시예에서 암호화 서비스 방법에 대응하는 프로그램 명령어/데이터 저장 디바이스와 같은 애플리케이션 소프트웨어의 소프트웨어 프로그램 및 모듈을 저장하는데 사용될 수 있으며, 프로세서(802)는 메모리(804)에 저장된 소프트웨어 프로그램(들) 및 모듈(들)을 실행함으로써, 다양한 유형의 기능적 애플리케이션 및 데이터 처리를 수행한다(즉, 위의 애플리케이션 프로그램의 암호화 서비스 방법을 구현함). 메모리(804)는 고속 랜덤 액세스 메모리를 포함할 수 있고, 또한, 하나 이상의 자기 저장 디바이스, 플래시 메모리, 또는 다른 비휘발성 솔리드 스테이트 메모리와 같은 비휘발성 메모리를 포함할 수 있다. 일부 예에서, 메모리(804)는 프로세서(802)에 대해 원격으로 위치한 저장 디바이스를 더 포함할 수 있다. 이러한 저장 디바이스는 네트워크를 통해 컴퓨터 단말기(800)에 접속될 수 있다. 이러한 네트워크의 예는, 인터넷, 인트라넷, 근거리 네트워크, 이동 통신 네트워크 및 이들의 조합을 포함하지만 이에 제한되지 않는다.
전송 디바이스(806)는 네트워크를 통해 데이터를 수신하거나 전송하는 데 사용된다. 네트워크의 구체적인 예는 컴퓨터 단말기(800)의 통신 제공자에 의해 제공되는 무선 네트워크를 포함할 수 있다. 예에서, 전송 디바이스(806)는 기지국을 통해 다른 네트워크 디바이스와 접속될 수 있는 네트워크 인터페이스 제어기(network interface controller: NIC)를 포함하며, 그에 의해 인터넷을 사용하여 통신한다. 예에서, 전송 디바이스(806)는 인터넷을 사용하여 무선으로 통신하는 데 사용되는 무선 주파수(RF) 모듈일 수 있다.
디스플레이는, 예를 들어, 사용자로 하여금 컴퓨터 단말기(800)(또는 모바일 디바이스)의 사용자 인터페이스와 상호작용할 수 있게 하는 터치 스크린 액정 디스플레이(LCD)일 수 있다.
위와 같은 동작 환경에서, 본 개시는 도 9에 도시된 바와 같은 암호화 서비스 방법을 제공한다. 도 9는 본 개시의 실시예에 따른 암호화 서비스 방법의 흐름도이다. 도 9에 도시된 바와 같이, 본 개시의 실시예에 의해 제공되는 암호화 서비스 방법은 다음과 같은 방법에 의해 구현될 수 있다.
동작 S902: 클라이언트의 암호화 요청을 수신한다.
동작 S904 : 암호화 요청을 암호화 카드에 입력한다.
실시예에서, 암호화 카드는 전술한 제 2 실시예의 암호화 카드들 중 어느 하나일 수 있다.
동작 S906 : 암호화 카드의 출력을 수신한다.
동작 S908 : 출력을 클라이언트에 반환한다.
상술한 동작 S902 내지 S908에서 실행 엔티티는 통신 인터페이스, 예를 들어, 본 개시의 상술한 제 1 내지 제 4 실시예 중 어느 하나일 수 있다.
실시예에서, 통신 인터페이스는 GPIO(General Purpose Input Output), SPI(Serial Peripheral Interface), 집적 회로 버스(I2C(Inter-Integrated Circuit)), 및 PCIe 인터페이스 중 적어도 하나를 포함한다.
실시예에서, 암호화 카드는 본 개시의 전술한 제 1 내지 제 4 실시예 중 어느 하나일 수 있다. 클라이언트는 외부 디바이스의 클라이언트일 수 있고, 외부 디바이스는 본 개시의 제 1 내지 제 4 실시예 중 어느 하나의 외부 디바이스일 수 있다.
본 개시의 실시예에 의해 제공되는 방법 실시예는 예를 들어 컴퓨터 정보 보안 분야에서 인터넷에 광범위하게 적용될 수 있으며, 임의의 민감성 정보 시스템, 예를 들어, 금융, 통신, 전자 상거래 등과 같은 분야의 정보 시스템에 적용될 수 있으나, 이에 제한되지는 않음에 유의해야 한다.
본 개시의 실시예의 암호화 카드는 부팅 시점부터 운영 체제 커널의 로딩 시점까지 플랫폼 신뢰 부팅 기능의 구현을 갖는 신뢰 고속 데이터 암호화 카드일 수 있으며, 서비스의 민감성 데이터에 대한 암호화 및 복호화의 계산 보안을 보장할 수 있음에 유의해야 한다. 외부 디바이스와 상호작용하는 과정에서, 각 플랫폼 및 신원의 보안 및 유효성이 보장될 수 있다.
실시예에서, 암호화 카드는 하우징을 포함할 수 있다. 신뢰 컴퓨팅 모듈 및 프로그램가능 로직 디바이스는 하우징 내부에 배치된다. 통신 인터페이스의 한쪽 끝은 신뢰 컴퓨팅 모듈 및 프로그램가능 로직 디바이스에 접속되고, 통신 인터페이스의 다른 쪽 끝은 주변 디바이스와의 접속을 가능하게 하기 위해 하우징을 통과한다.
본 개시에 의해 제공된 위의 실시예들에 기초하여, 암호화 요청이 클라이언트에 의해 수신된다. 암호화 요청은 암호화 카드에 입력된다. 암호화 카드의 출력이 수신되고, 출력은 클라이언트로 피드백된다.
본 개시의 전술한 실시예에 의해 제공된 해결책을 통해, 암호화 카드의 컴퓨팅 능력 및 저장 용량을 향상시키고 정보 데이터의 보안을 보장하는 목적을 달성함으로써, 컴퓨터 정보를 효과적으로 보호하는 기술적 효과를 실현하고, 기존의 기술에서 암호화 카드의 컴퓨팅 능력 및 저장 용량이 불충분하고 정보 데이터의 계산 보안이 효과적으로 보장될 수 없는 기술적 문제를 해결한다.
전술한 방법에 대해, 실시예들은 모두 설명을 위해 일련의 동작 조합으로 표현된다는 점에 유의해야 한다. 그러나, 특정 동작들은 본 개시에 따라 다른 순서로 또는 병렬로 수행될 수 있기 때문에, 당업자는 본 개시가 설명된 동작 순서에 의해 제한되지 않음을 이해해야 한다. 또한, 당업자는 본 명세서에 설명된 실시예들이 모두 예시적인 구현이고, 여기에 관련된 동작 및 모듈은 본 개시에 의해 반드시 요구되는 것은 아니라는 것을 이해해야 한다.
상술한 실시예의 설명을 통해, 당업자는 상술한 실시예에 따른 방법이 소프트웨어와 필수 일반 하드웨어 플랫폼을 함께 사용하여 구현될 수 있으며, 외견상 하드웨어에 의해 구현될 수 있음을 명확하게 이해할 수 있다. 그러나, 많은 경우 전자가 더 나은 구현이다. 이러한 이해에 기초하여, 본 개시의 기술적 해결책의 본질 또는 기존의 기술에 기여하는 부분은 소프트웨어 제품의 형태로 구현될 수 있다. 컴퓨터 소프트웨어 제품은 저장 매체(예컨대, ROM/RAM, 자기 디스크, 광 디스크)에 저장되며, 단말 디바이스(휴대폰, 컴퓨터, 서버, 또는 네트워크 디바이스 등이 될 수 있음)로 하여금 본 개시의 다양한 실시예의 전술한 방법을 수행하게 하는 복수의 명령어를 포함한다.
본 실시예의 선택적 또는 예시적 구현은 제 1 내지 제 4 실시예의 관련 설명을 참조할 수 있으며, 그 세부사항은 여기에서 반복적으로 설명되지 않는다는 점에 유의해야 한다.
제 6 실시예
본 개시의 실시예에 따르면, 전술한 암호화 서비스 방법을 구현하기 위한 장치가 또한 제공된다. 도 10은 본 개시의 실시예에 따른 암호화 서비스 장치(1000)의 개략적 구조도이다. 도 10에 도시된 바와 같이, 장치(1000)는 제 1 수신 모듈(1002), 입력 모듈(1004), 제 2 수신 모듈(1006) 및 피드백 모듈(1008)을 포함하는데,
제 1 수신 모듈(1002)은 클라이언트의 암호화 요청을 수신하도록 구성되고, 입력 모듈(1004)은 암호화 요청을 암호화 카드에 입력하도록 구성되고, 제 2 수신 모듈(1006)은 암호화 카드의 출력을 수신하도록 구성되고, 피드백 모듈(1008)은 출력을 클라이언트에 반환하도록 구성된다.
제 1 수신 모듈(1002), 입력 모듈(1004), 제 2 수신 모듈(1006) 및 피드백 모듈(1008)은 제 5 실시예의 동작 S902 내지 S908에 대응하고, 이들 4개의 모듈은 대응하는 동작에 의해 구현되는 동일한 예시 및 애플리케이션 시나리오를 갖지만, 제 5 실시예에 개시된 내용에 제한되지는 않음에 유의해야 한다. 장치의 구성요소로서 작용하는 상술한 모듈들은 제 5 실시예에서 제공되는 컴퓨터 단말기(800)에서 동작될 수 있음에 유의해야 한다.
본 실시예의 예시적인 구현은 제 1 내지 제 5 실시예의 관련 설명을 참조할 수 있으며, 그 세부사항은 여기에서 반복적으로 설명되지 않는다는 점에 유의해야 한다.
제 7 실시예
본 개시의 실시예는 컴퓨터 단말기를 제공할 수 있다. 컴퓨터 단말기는 컴퓨터 단말기 그룹의 임의의 컴퓨터 단말기일 수 있다. 실시예에서, 본 실시예에서, 컴퓨터 단말기는 또한 이동 단말기 등과 같은 단말 디바이스로 대체될 수 있다.
실시예에서, 본 실시예에서, 컴퓨터 단말기는 컴퓨터 네트워크의 복수의 네트워크 디바이스 중 적어도 하나의 네트워크 디바이스에 위치할 수 있다.
본 개시의 제 5 실시예에 의해 제공되는 방법 실시예는 이동 단말기, 컴퓨터 단말기 등에서 실행될 수 있다.
일부 실시예에서, 상술한 도 8에 도시된 컴퓨터 단말기(800)는 하드웨어 구성요소(회로를 포함함), 소프트웨어 구성요소(컴퓨터 판독가능 매체에 저장된 컴퓨터 코드를 포함함), 또는 하드웨어 구성요소와 소프트웨어 구성요소의 조합을 포함할 수 있음에 유의해야 한다. 도 8은 특정 실시예의 예시일 뿐이며, 전술된 컴퓨터 단말기(800)에 존재할 수 있는 구성요소의 유형을 보여주기 위한 것임에 유의해야 한다.
본 실시예에서, 컴퓨터 단말기는, 애플리케이션 프로그램의 암호화 서비스 방법에서, 클라이언트의 암호화 요청을 수신하는 동작과, 암호화 요청을 암호화 카드에 입력하는 동작과, 암호화 카드의 출력을 수신하는 동작과, 출력을 클라이언트에 반환하는 동작의 프로그램 코드를 실행할 수 있다.
실시예에서, 컴퓨터 단말기의 프로세서는, 클라이언트의 암호화 요청을 수신하는 프로그램 코드와, 암호화 요청을 암호화 카드에 입력하는 프로그램 코드와, 암호화 카드의 출력을 수신하는 프로그램 코드와, 출력을 클라이언트에 반환하는 프로그램 코드를 실행할 수 있다.
본 개시의 실시예를 사용하면, 암호화 서비스의 해결책이 제공된다. 클라이언트의 암호화 요청이 수신된다. 암호화 요청은 암호화 카드에 입력된다. 암호화 카드의 출력이 수신된다. 출력은 클라이언트로 피드백되며, 그에 따라, 암호화 카드의 컴퓨팅 능력 및 저장 용량을 향상시키고 정보 데이터의 계산 보안을 보장하는 목적을 달성한다. 따라서, 기존의 기술에서 암호화 카드의 컴퓨팅 능력 및 저장 용량이 불충분하고 정보 데이터의 계산 보안이 효과적으로 보장되지 못하는 기술적 문제가 해결된다.
당업자는, 도 8에 도시된 구조가 예시일 뿐이며, 컴퓨터 단말기는, 스마트폰(예컨대, 안드로이드 모바일폰, iOS 모바일폰 등), 태블릿 컴퓨터, 핸드헬드 컴퓨터 및 모바일 인터넷 디바이스(Mobile Internet Devices: MID), PAD 등과 같은 단말 디바이스일 수도 있음을 이해할 수 있다. 도 8은 상술한 전자 디바이스의 구조를 제한하지 않는다. 예를 들어, 컴퓨터 단말기(800)는 또한 도 8에 도시된 것보다 많거나 적은 구성요소(예컨대, 네트워크 인터페이스, 디스플레이 디바이스 등)를 포함할 수 있고, 또는 도 8에 도시된 것과 다른 구성을 가질 수 있다.
당업자는 전술한 실시예의 동작의 전부 또는 일부가 단말 디바이스의 관련 하드웨어에 지시하는 프로그램에 의해 완성될 수 있고, 프로그램은 컴퓨터 판독가능 저장 매체에 저장될 수 있음을 이해할 수 있다. 저장 매체는 플래시 디스크, ROM(read-only memory), RAM(random access memory), 자기 디스크 또는 광 디스크를 포함할 수 있다.
제 8 실시예
본 개시의 실시예는 또한 저장 매체를 제공한다. 실시예에서, 본 실시예에서, 저장 매체는 제 5 실시예에서 제공된 암호화 서비스 방법에 의해 실행되는 프로그램 코드를 저장하도록 구성될 수 있다.
실시예에서, 본 실시예에서, 저장 매체는 컴퓨터 네트워크의 컴퓨터 단말기 그룹의 임의의 컴퓨터 단말기, 또는 모바일 단말기 그룹의 임의의 모바일 단말기 내에 위치할 수 있다.
실시예에서, 본 실시예에서, 저장 매체는, 클라이언트의 암호화 요청 수신하는 동작과, 암호화 요청을 암호화 카드에 입력하는 동작과, 암호화 카드의 출력을 수신하는 동작과, 출력을 클라이언트에 반환하는 동작을 수행하기 위한 프로그램 코드를 저장하도록 구성된다.
본 개시의 실시예의 일련 번호는 설명을 위해 사용된 것일 뿐, 실시예의 장단점을 나타내지 않는다.
본 개시의 전술한 실시예에서, 다양한 실시예의 강조점은 상이하고, 특정 실시예에서 상세히 설명되지 않은 부분은 다른 실시예의 관련 설명을 참조할 수 있다.
본 개시에 의해 제공되는 다수의 실시예에서, 개시된 기술 내용은 다른 방식으로 구현될 수 있음을 이해해야 한다. 전술된 장치 실시예는 단지 예시적인 것이다. 예를 들어, 유닛의 분할은 논리적 기능의 분할일 뿐이다. 실제 구현에서는 다른 분할 방식이 존재할 수 있다. 예를 들어, 다수의 유닛 또는 구성요소는 다른 시스템에 결합되거나 통합될 수 있고, 또는 일부 기능은 무시되거나 실행되지 않을 수 있다. 또한, 도시되거나 논의된 상호 결합 또는 직접 결합 또는 통신 접속은, 일부 인터페이스, 유닛 또는 모듈을 통한 간접 결합 또는 통신 접속일 수 있으며, 전기적 또는 다른 형태일 수 있다.
개별 구성요소로서 설명된 유닛은 물리적으로 분리될 수도 있고 그렇지 않을 수도 있으며, 유닛으로 표시된 구성요소는 물리적 유닛일 수도 있고 아닐 수도 있는다(즉, 단일 위치에 위치하거나 다수의 네트워크 유닛에 분산될 수 있음). 유닛들의 일부 또는 전부는 본 실시예의 해결책의 목적을 달성하기 위해 실제 필요에 따라 선택될 수 있다.
또한, 본 개시의 각 실시예의 다양한 기능 유닛은 단일 처리 유닛으로 통합될 수 있다. 대안적으로, 각 유닛은 개별적으로 물리적 엔티티로 존재할 수 있다. 대안적으로, 둘 이상의 유닛이 하나의 유닛으로 통합될 수 있다. 이런 통합 유닛은 하드웨어 또는 소프트웨어 기능 유닛의 형태로 구현될 수 있다.
통합 유닛은, 소프트웨어 기능 유닛의 형태로 구현되고 독립형 제품으로 판매되거나 사용되는 경우, 컴퓨터 판독가능 저장 매체에 저장될 수 있다. 이러한 이해에 기초하여, 본 개시의 기술적 해결책의 본질 또는 기존의 기술에 기여하는 부분은 소프트웨어 제품의 형태로 구현될 수 있다. 컴퓨터 소프트웨어 제품은 저장 매체에 저장되며, 컴퓨팅 디바이스(퍼스널 컴퓨터, 서버, 또는 네트워크 디바이스 등이 될 수 있음)로 하여금 본 개시의 다양한 실시예에 설명된 방법의 동작들의 전부 또는 일부를 수행하게 하는 복수의 명령어를 포함한다. 저장 매체는 U 디스크, ROM(read-only memory), RAM(random access memory), 이동식 하드 디스크, 자기 디스크 또는 광 디스크 등을 포함한다.
실시예에서, 전술한 설명에서 설명된 메모리는, 휘발성 메모리, RAM(Random Access Memory) 및/또는 비휘발성 메모리(예를 들어, ROM(Read-Only Memory) 또는 플래시 RAM)와 같은 컴퓨터 저장 매체의 형태를 포함할 수 있다. 메모리는 컴퓨터 저장 매체의 예이다.
컴퓨터 저장 매체는 임의의 방법 또는 기술을 사용하여 정보의 저장을 달성할 수 있는 휘발성 또는 비휘발성 유형의 이동식 또는 비이동식 매체를 포함할 수 있다. 정보는 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈 또는 다른 데이터를 포함할 수 있다. 컴퓨터 저장 매체의 예는 상 변화 메모리(PRAM), SRAM(static random access memory), DRAM(dynamic random access memory), 다른 유형의 RAM(random-access memory), ROM(ead-only memory), EEPROM(electronically erasable programmable read-only memory), 빠른 플래시 메모리 또는 다른 내부 저장 기술, CD-ROM(compact disk read-only memory), DVD(digital versatile disc) 또는 다른 광학 스토리지, 자기 카세트 테이프, 자기 디스크 스토리지 또는 다른 자기 저장 디바이스, 또는 컴퓨팅 디바이스에 의해 액세스될 수 있는 정보를 저장하는 데 사용될 수 있는 임의의 다른 비전송 매체를 포함하지만 이에 제한되지 않는다. 본 명세서에 정의된 바와 같이, 컴퓨터 저장 매체는 변조된 데이터 신호 및 반송파와 같은 일시적 매체를 포함하지 않는다.
상술한 설명은 본 개시의 예시적 구현일 뿐이며, 당업자는 또한 본 개시의 원리로부터 벗어나지 않으면서 다수의 개선 및 연마를 할 수 있다는 점에 유의해야 한다. 이러한 개선 및 연마는 본 개시의 보호 범위 내에 있는 것으로 간주되어야 한다.
본 개시은 다음 항목을 사용하여 추가로 이해될 수 있다.
항목 1: 암호화 카드(encryption card)로서, 신뢰 컴퓨팅 모듈과, 전도성 회로를 통해 신뢰 컴퓨팅 모듈에 접속되고, 전도성 회로를 통해 신뢰 컴퓨팅 모듈과 통신하는 프로그램가능 로직 디바이스와, 신뢰 컴퓨팅 모듈 및 프로그램가능 로직 디바이스에 접속되고, 암호화 카드의 외부 디바이스에 접속하기 위한 인터페이스를 제공하도록 구성되는 통신 인터페이스를 포함하는 암호화 카드.
항목 2: 항목 1에 있어서, 신뢰 컴퓨팅 모듈, 프로그램가능 로직 디바이스 및 통신 인터페이스는 인쇄 회로 기판(printed circuit board: PCB) 상에 배치되고, 전도성 회로는 PCB에 배치된 전기 리드(electrical lead)를 포함하는, 암호화 카드.
항목 3: 항목 1에 있어서, 신뢰 컴퓨팅 모듈과 프로그램가능 로직 디바이스는 직렬 통신 인터페이스를 통해 접속되는, 암호화 카드.
항목 4: 항목 1에 있어서, 통신 인터페이스는, GPIO(General Purpose Input Output), SPI(Serial Peripheral Interface), I2C(Inter-Integrated Circuit), 및 PCIe 인터페이스 중 적어도 하나를 포함하는, 암호화 카드.
항목 5: 항목 1에 있어서, 신뢰 컴퓨팅 모듈은, 암호작성 동작 프로세스(cryptographic operation processes) 이외의 동작 프로세스를 수행하도록 구성되는 제 1 주 컴퓨팅 영역과, 제 1 주 컴퓨팅 영역에 접속되고, 적어도 하나의 암호작성 알고리즘의 엔진을 제공받고, 엔진을 사용하여 암호작성 동작 프로세스를 수행하는 제 1 암호작성 컴퓨팅 영역과, 제 1 주 컴퓨팅 영역 및 제 1 암호작성 컴퓨팅 영역에 접속되고 데이터를 저장하도록 구성되는 제 1 저장 영역을 포함하는, 암호화 카드.
항목 6: 항목 5에 있어서, 제 1 저장 영역은, 칩 시스템 펌웨어 저장 영역, 플랫폼 구성 레지스터, 마스터 키 저장 영역, RTM(Root of Trust for Measurement) 저장 영역, RTS(Root of Trust for Storage) 저장 영역, 및 RTR(Root of Trust for Reporting) 저장 영역 중 적어도 하나를 포함하고, 마스터 키 저장 영역은 프로그램가능 로직 디바이스를 보호하는 데 사용되는 사용자 키를 저장하는, 암호화 카드.
항목 7: 항목 5에 있어서, 저장 영역은 프로그램가능 로직 디바이스에 의해 사용되는 암호작성 동작 펌웨어를 저장하도록 구성된 저장 영역을 더 포함하는, 암호화 카드.
항목 8: 항목 1에 있어서, 프로그램가능 로직 디바이스는, 프로그램가능 로직 디바이스의 소프트 코어 프로세서 및 하드웨어 하드 코어를 포함하는 제 2 주 컴퓨팅 영역과, 제 2 주 컴퓨팅 영역에 접속되며, 적어도 하나의 암호작성 알고리즘의 엔진을 제공받고, 엔진을 사용하여 암호작성 동작 프로세스를 수행하는 제 2 암호작성 컴퓨팅 영역과, 제 2 주 컴퓨팅 영역 및 제 2 암호작성 컴퓨팅 영역에 접속되고 데이터를 저장하는 데 사용되는 제 2 저장 영역을 포함하는, 암호화 카드.
항목 9: 항목 8에 있어서, 제 2 저장 영역은, 시스템 펌웨어 저장 영역, 동적 정책을 사용하여 미리 구성된 사용자 정책 펌웨어 저장 영역(user policy firmware storage area preconfigured with dynamic policies), 동작 키 저장 영역, 및 사용자 데이터 저장 영역 중 적어도 하나를 포함하는, 암호화 카드.
항목 10: 항목 9에 있어서, 제 2 암호작성 컴퓨팅 영역은 사용자 정책 펌웨어 저장 영역의 사용자 정책에 따라 암호작성 동작 프로세스를 수행하기 위해 엔진을 선택하도록 구성되는, 암호화 카드.
항목 11: 항목 10에 있어서, 제 2 암호작성 컴퓨팅 영역은 신뢰 컴퓨팅 모듈의 RTM(Root of Trust for Measurement)에 따라 로딩될 데이터의 검증을 수행하고, 검증이 통과될 때 데이터를 로딩하도록 구성되는, 암호화 카드.
항목 12: 암호화 카드로서, 인쇄 회로 기판(PCB)에 배치된 신뢰 컴퓨팅 모듈과, PCB에 배치되고, PCB의 와이어를 통해 신뢰 컴퓨팅 모듈에 직접 접속되는 프로그램가능 로직 디바이스와, 신뢰 컴퓨팅 모듈 및 프로그램가능 로직 디바이스에 접속되고, 암호화 카드의 외부 디바이스에 접속하기 위한 인터페이스를 제공하도록 구성되는 통신 인터페이스를 포함하는 암호화 카드.
항목 13: 암호화 카드로서, 신뢰 컴퓨팅 모듈 및 프로그램가능 로직 디바이스를 포함하되, 신뢰 컴퓨팅 모듈은 인쇄 회로 기판(PCB)에 배치되고, 신뢰 컴퓨팅 모듈의 저장 영역은 프로그램가능 로직 디바이스에 의해 사용하는 암호작성 동작 펌웨어를 저장하는 데 사용되는 저장 영역을 포함하고, 프로그램가능 로직 디바이스는 PCB에 배치되고 PCB의 와이어를 통해 신뢰 컴퓨팅 모듈에 직접 접속되는, 암호화 카드.
항목 14: 항목 1 내지 항목 13 중 어느 한 항목의 암호화 카드를 포함하는 전자 디바이스.
항목 15: 암호화 서비스 방법으로서, 클라이언트의 암호화 요청을 수신하는 단계와, 암호화 요청을 암호화 카드에 입력하는 단계와, 암호화 카드의 출력을 수신하는 단계와, 출력을 클라이언트에 반환하는 단계를 포함하는 방법.

Claims (20)

  1. 암호화 카드(encryption card)로서,
    신뢰 컴퓨팅 모듈과,
    전도성 회로를 통해 상기 신뢰 컴퓨팅 모듈에 접속되고, 상기 전도성 회로를 통해 상기 신뢰 컴퓨팅 모듈과 통신하는 프로그램가능 로직 디바이스와,
    상기 신뢰 컴퓨팅 모듈 및 상기 프로그램가능 로직 디바이스에 접속되고, 상기 암호화 카드의 외부 디바이스에 접속하기 위한 인터페이스를 제공하도록 구성되는 통신 인터페이스를 포함하는
    암호화 카드.
  2. 제 1 항에 있어서,
    상기 신뢰 컴퓨팅 모듈, 상기 프로그램가능 로직 디바이스 및 상기 통신 인터페이스는 인쇄 회로 기판(printed circuit board: PCB) 상에 배치되고, 상기 전도성 회로는 상기 PCB에 배치된 전기 리드(electrical lead)를 포함하는,
    암호화 카드.
  3. 제 1 항에 있어서,
    상기 신뢰 컴퓨팅 모듈과 상기 프로그램가능 로직 디바이스는 직렬 통신 인터페이스를 통해 접속되는,
    암호화 카드.
  4. 제 1 항에 있어서,
    상기 통신 인터페이스는, GPIO(General Purpose Input Output), SPI(Serial Peripheral Interface), I2C(Inter-Integrated Circuit), 및 PCIe 인터페이스 중 적어도 하나를 포함하는,
    암호화 카드. .
  5. 제 1 항에 있어서,
    상기 신뢰 컴퓨팅 모듈은,
    암호작성 동작 프로세스(cryptographic operation processes) 이외의 동작 프로세스를 수행하도록 구성되는 제 1 주 컴퓨팅 영역과,
    상기 제 1 주 컴퓨팅 영역에 접속되고, 적어도 하나의 암호작성 알고리즘의 엔진을 제공받고, 상기 엔진을 사용하여 암호작성 동작 프로세스를 수행하는 제 1 암호작성 컴퓨팅 영역과,
    상기 제 1 주 컴퓨팅 영역 및 상기 제 1 암호작성 컴퓨팅 영역에 접속되고 데이터를 저장하도록 구성되는 제 1 저장 영역을 포함하는,
    암호화 카드.
  6. 제 5 항에 있어서,
    상기 제 1 저장 영역은, 칩 시스템 펌웨어 저장 영역, 플랫폼 구성 레지스터, 마스터 키 저장 영역, RTM(Root of Trust for Measurement) 저장 영역, RTS(Root of Trust for Storage) 저장 영역, 및 RTR(Root of Trust for Reporting) 저장 영역 중 적어도 하나를 포함하고,
    상기 마스터 키 저장 영역은 상기 프로그램가능 로직 디바이스를 보호하는 데 사용되는 사용자 키를 저장하는,
    암호화 카드.
  7. 제 5 항에 있어서,
    상기 저장 영역은 상기 프로그램가능 로직 디바이스에 의해 사용되는 암호작성 동작 펌웨어를 저장하도록 구성된 저장 영역을 더 포함하는,
    암호화 카드.
  8. 제 1 항에 있어서,
    상기 프로그램가능 로직 디바이스는,
    상기 프로그램가능 로직 디바이스의 소프트 코어 프로세서 및 하드웨어 하드 코어를 포함하는 제 2 주 컴퓨팅 영역과,
    상기 제 2 주 컴퓨팅 영역에 접속되며, 적어도 하나의 암호작성 알고리즘의 엔진을 제공받고, 상기 엔진을 사용하여 암호작성 동작 프로세스를 수행하는 제 2 암호작성 컴퓨팅 영역과,
    상기 제 2 주 컴퓨팅 영역 및 상기 제 2 암호작성 컴퓨팅 영역에 접속되고 데이터를 저장하는 데 사용되는 제 2 저장 영역을 포함하는,
    암호화 카드.
  9. 제 8 항에 있어서,
    상기 제 2 저장 영역은, 시스템 펌웨어 저장 영역, 동적 정책을 사용하여 미리 구성된 사용자 정책 펌웨어 저장 영역(user policy firmware storage area preconfigured with dynamic policies), 동작 키 저장 영역, 및 사용자 데이터 저장 영역 중 적어도 하나를 포함하는,
    암호화 카드.
  10. 제 9 항에 있어서,
    상기 제 2 암호작성 컴퓨팅 영역은 상기 사용자 정책 펌웨어 저장 영역의 사용자 정책에 따라 암호작성 동작 프로세스를 수행하기 위해 상기 엔진을 선택하도록 구성되는,
    암호화 카드.
  11. 제 10 항에 있어서,
    상기 제 2 암호작성 컴퓨팅 영역은 상기 신뢰 컴퓨팅 모듈의 RTM(Root of Trust for Measurement)에 따라 로딩될 데이터의 검증을 수행하고, 상기 검증이 통과될 때 상기 데이터를 로딩하도록 구성되는,
    암호화 카드.
  12. 암호화 카드로서,
    인쇄 회로 기판(PCB)에 배치된 신뢰 컴퓨팅 모듈과,
    상기 PCB에 배치되고, 상기 PCB의 와이어를 통해 상기 신뢰 컴퓨팅 모듈에 직접 접속되는 프로그램가능 로직 디바이스와,
    상기 신뢰 컴퓨팅 모듈 및 상기 프로그램가능 로직 디바이스에 접속되고, 상기 암호화 카드의 외부 디바이스에 접속하기 위한 인터페이스를 제공하도록 구성되는 통신 인터페이스를 포함하는
    암호화 카드.
  13. 제 12 항에 있어서,
    상기 통신 인터페이스는, GPIO(General Purpose Input Output), SPI(Serial Peripheral Interface), I2C(Inter-Integrated Circuit), 및 PCIe 인터페이스 중 적어도 하나를 포함하는,
    암호화 카드. .
  14. 제 12 항에 있어서,
    상기 신뢰 컴퓨팅 모듈은,
    암호작성 동작 프로세스 이외의 동작 프로세스를 수행하도록 구성되는 제 1 주 컴퓨팅 영역과,
    상기 제 1 주 컴퓨팅 영역에 접속되고, 적어도 하나의 암호작성 알고리즘의 엔진을 제공받고, 상기 엔진을 사용하여 암호작성 동작 프로세스를 수행하는 제 1 암호작성 컴퓨팅 영역과,
    상기 제 1 주 컴퓨팅 영역 및 상기 제 1 암호작성 컴퓨팅 영역에 접속되고 데이터를 저장하도록 구성되는 제 1 저장 영역을 포함하는,
    암호화 카드.
  15. 제 14 항에 있어서,
    상기 제 1 저장 영역은, 칩 시스템 펌웨어 저장 영역, 플랫폼 구성 레지스터, 마스터 키 저장 영역, RTM(Root of Trust for Measurement) 저장 영역, RTS(Root of Trust for Storage) 저장 영역, 및 RTR(Root of Trust for Reporting) 저장 영역 중 적어도 하나를 포함하고,
    상기 마스터 키 저장 영역은 상기 프로그램가능 로직 디바이스를 보호하는 데 사용되는 사용자 키를 저장하는,
    암호화 카드.
  16. 제 14 항에 있어서,
    상기 저장 영역은 상기 프로그램가능 로직 디바이스에 의해 사용되는 암호작성 동작 펌웨어를 저장하도록 구성된 저장 영역을 더 포함하는,
    암호화 카드.
  17. 제 12 항에 있어서,
    상기 프로그램가능 로직 디바이스는,
    상기 프로그램가능 로직 디바이스의 소프트 코어 프로세서 및 하드웨어 하드 코어를 포함하는 제 2 주 컴퓨팅 영역과,
    상기 제 2 주 컴퓨팅 영역에 접속되며, 적어도 하나의 암호작성 알고리즘의 엔진을 제공받고, 상기 엔진을 사용하여 암호작성 동작 프로세스를 수행하는 제 2 암호작성 컴퓨팅 영역과,
    상기 제 2 주 컴퓨팅 영역 및 상기 제 2 암호작성 컴퓨팅 영역에 접속되고 데이터를 저장하는 데 사용되는 제 2 저장 영역을 포함하는,
    암호화 카드.
  18. 제 17 항에 있어서,
    상기 제 2 저장 영역은, 시스템 펌웨어 저장 영역, 동적 정책을 사용하여 미리 구성된 사용자 정책 펌웨어 저장 영역, 동작 키 저장 영역, 및 사용자 데이터 저장 영역 중 적어도 하나를 포함하는,
    암호화 카드.
  19. 제 18 항에 있어서,
    상기 제 2 암호작성 컴퓨팅 영역은 상기 사용자 정책 펌웨어 저장 영역의 사용자 정책에 따라 암호작성 동작 프로세스를 수행하기 위해 상기 엔진을 선택하도록 구성되는,
    암호화 카드.
  20. 하나 이상의 컴퓨팅 디바이스에 의해 구현되는 방법으로서,
    클라이언트의 암호화 요청을 수신하는 단계와,
    상기 암호화 요청을 암호화 카드에 입력하는 단계와,
    상기 암호화 카드의 출력을 수신하는 단계와,
    상기 출력을 클라이언트에 반환하는 단계를 포함하는
    방법.
KR1020207030980A 2018-04-28 2019-04-24 암호화 카드, 전자 디바이스 및 암호화 서비스 방법 KR20210005871A (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201810404346.6 2018-04-28
CN201810404346.6A CN110414244B (zh) 2018-04-28 2018-04-28 加密卡、电子设备及加密服务方法
PCT/US2019/028989 WO2019209997A1 (en) 2018-04-28 2019-04-24 Encryption card, electronic device, and encryption service method

Publications (1)

Publication Number Publication Date
KR20210005871A true KR20210005871A (ko) 2021-01-15

Family

ID=68291715

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020207030980A KR20210005871A (ko) 2018-04-28 2019-04-24 암호화 카드, 전자 디바이스 및 암호화 서비스 방법

Country Status (7)

Country Link
US (1) US20190334713A1 (ko)
EP (1) EP3788516A4 (ko)
JP (1) JP2021522595A (ko)
KR (1) KR20210005871A (ko)
CN (1) CN110414244B (ko)
TW (1) TW201945976A (ko)
WO (1) WO2019209997A1 (ko)

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110677250B (zh) 2018-07-02 2022-09-02 阿里巴巴集团控股有限公司 密钥和证书分发方法、身份信息处理方法、设备、介质
CN110795742B (zh) 2018-08-02 2023-05-02 阿里巴巴集团控股有限公司 高速密码运算的度量处理方法、装置、存储介质及处理器
CN110795774B (zh) 2018-08-02 2023-04-11 阿里巴巴集团控股有限公司 基于可信高速加密卡的度量方法、设备和系统
CN110874478B (zh) 2018-08-29 2023-05-02 阿里巴巴集团控股有限公司 密钥处理方法及装置、存储介质和处理器
CN111193591B (zh) * 2019-12-31 2023-06-20 郑州信大先进技术研究院 一种基于cpu+fpga的加解密方法及系统
CN111162902A (zh) * 2019-12-31 2020-05-15 航天信息股份有限公司 一种基于税务证书的云签服务器
CN111241603A (zh) * 2020-01-07 2020-06-05 北京智芯微电子科技有限公司 基于PCIe接口的加密卡架构、加密卡及电子设备
CN111523127B (zh) * 2020-03-26 2022-02-25 郑州信大捷安信息技术股份有限公司 一种用于密码设备的权限认证方法及系统
CN111414625B (zh) * 2020-04-01 2023-09-22 中国人民解放军国防科技大学 支持主动可信能力的计算机可信软件栈实现方法及系统
CN111769863B (zh) * 2020-05-27 2022-02-18 苏州浪潮智能科技有限公司 一种用于tpcm通信的中继方法及中继板卡
CN111737698B (zh) * 2020-05-28 2022-07-19 苏州浪潮智能科技有限公司 一种基于异构计算的安全可信卡及安全可信方法
CN111737701A (zh) * 2020-06-19 2020-10-02 全球能源互联网研究院有限公司 一种服务器可信根系统及其可信启动方法
CN111935707A (zh) * 2020-07-29 2020-11-13 北京三未信安科技发展有限公司 密码装置和密码设备
CN113468615B (zh) * 2021-06-24 2023-08-01 邦彦技术股份有限公司 可信度量方法、可信芯片、逻辑控制器及可信度量系统
CN113486353B (zh) * 2021-06-24 2023-08-01 邦彦技术股份有限公司 可信度量方法、系统、设备及存储介质
CN113420309B (zh) * 2021-07-01 2022-05-17 广东工业大学 基于国密算法的轻量化数据保护系统
CN113315787B (zh) * 2021-07-28 2021-11-23 橙色云互联网设计有限公司 加密保护方法、装置及存储介质

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI314686B (en) * 2005-12-20 2009-09-11 Power Quotient Int Co Ltd Low profile storage device
US8560863B2 (en) * 2006-06-27 2013-10-15 Intel Corporation Systems and techniques for datapath security in a system-on-a-chip device
GB0615015D0 (en) * 2006-07-28 2006-09-06 Hewlett Packard Development Co Secure use of user secrets on a computing platform
US8156322B2 (en) * 2007-11-12 2012-04-10 Micron Technology, Inc. Critical security parameter generation and exchange system and method for smart-card memory modules
CN101504705B (zh) * 2009-03-17 2011-05-11 武汉大学 可信平台模块及其计算机启动控制方法
CN102314563A (zh) * 2010-07-08 2012-01-11 同方股份有限公司 一种计算机硬件体系结构
US8352749B2 (en) * 2010-12-17 2013-01-08 Google Inc. Local trusted services manager for a contactless smart card
US9038179B2 (en) * 2012-08-28 2015-05-19 Lenovo Enterprise Solutions (Singapore) Pte. Ltd. Secure code verification enforcement in a trusted computing device
CN105468978B (zh) * 2015-11-16 2019-11-01 全球能源互联网研究院 一种适用于电力系统通用计算平台的可信计算密码平台
CN106022080B (zh) * 2016-06-30 2018-03-30 北京三未信安科技发展有限公司 一种基于PCIe接口的密码卡及该密码卡的数据加密方法
CN107959656B (zh) * 2016-10-14 2021-08-31 阿里巴巴集团控股有限公司 数据安全保障系统及方法、装置
CN106709358A (zh) * 2016-12-14 2017-05-24 南京南瑞集团公司 一种基于可信计算的移动装置
CN106997438B (zh) * 2017-03-29 2019-11-12 山东英特力数据技术有限公司 一种可信服务器cpu设计方法

Also Published As

Publication number Publication date
TW201945976A (zh) 2019-12-01
US20190334713A1 (en) 2019-10-31
CN110414244A (zh) 2019-11-05
EP3788516A1 (en) 2021-03-10
JP2021522595A (ja) 2021-08-30
CN110414244B (zh) 2023-07-21
EP3788516A4 (en) 2022-01-12
WO2019209997A1 (en) 2019-10-31

Similar Documents

Publication Publication Date Title
KR20210005871A (ko) 암호화 카드, 전자 디바이스 및 암호화 서비스 방법
US20190182052A1 (en) Techniques to secure computation data in a computing environment
US20200104528A1 (en) Data processing method, device and system
US9251384B1 (en) Trusted peripheral device for a host in a shared electronic environment
CN110580420B (zh) 基于集成芯片的数据处理方法、计算机设备、存储介质
US11216594B2 (en) Countermeasures against hardware side-channel attacks on cryptographic operations
CN107077567B (zh) 标识计算设备上的安全边界
US11281781B2 (en) Key processing methods and apparatuses, storage media, and processors
US9893885B1 (en) Updating cryptographic key pair
US11165572B2 (en) Trusted measuring method, apparatus, system, storage medium, and computing device
TW201723949A (zh) 針對遺失的電子裝置停用行動付款
JP2018537793A (ja) ハードウェアインテグリティチェック
US20200074122A1 (en) Cryptographic operation processing method, apparatus, and system, and method for building measurement for trust chain
CN112149144A (zh) 聚合密码引擎
CN110324138A (zh) 数据加密、解密方法及装置
US11770240B2 (en) Electronic device and method for receiving push message stored in blockchain
CN112016090B (zh) 安全计算卡,基于安全计算卡的度量方法及系统
CN110874476B (zh) 数据处理系统、方法、存储介质和处理器
US11886316B2 (en) Platform measurement collection mechanism
Gao et al. The research and design of embed RSA encryption algorithm network encryption card driver
US20230163976A1 (en) Computing device in a trusted computing system and attestation method thereof
CN109325354B (zh) 数据的存储、处理及读取方法、数据存储设备和系统
CN117909980A (zh) 一种启动验证方法及相关装置
CN116975902A (zh) 基于可信执行环境的任务执行方法和装置