KR20210083992A - Method of authenticating entity for lightweight device and apparatuses performing the same - Google Patents
Method of authenticating entity for lightweight device and apparatuses performing the same Download PDFInfo
- Publication number
- KR20210083992A KR20210083992A KR1020190176844A KR20190176844A KR20210083992A KR 20210083992 A KR20210083992 A KR 20210083992A KR 1020190176844 A KR1020190176844 A KR 1020190176844A KR 20190176844 A KR20190176844 A KR 20190176844A KR 20210083992 A KR20210083992 A KR 20210083992A
- Authority
- KR
- South Korea
- Prior art keywords
- electronic device
- authentication server
- response
- entity
- challenge signal
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3242—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
- H04L9/3278—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response using physically unclonable functions [PUF]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/12—Details relating to cryptographic hardware or logic circuitry
- H04L2209/122—Hardware reduction or efficient architectures
Abstract
Description
아래 실시예들은 경량 기기 전용 개체 인증 방법 및 이를 수행하는 장치들에 관한 것이다.The following embodiments relate to a method for authenticating an object dedicated to a lightweight device and apparatuses for performing the same.
최근에는 경량 기기 시장이 확대되고 있다. 예를 들어, 최근에는 스마트 기기 및/또는 센서 등의 단말기인 경량 기기를 통해 수많은 사람과 기기가 연결될 수 있다. 경량 기기는 초소형, 저전력 및 저가라는 특징을 가질 수 있다.Recently, the lightweight device market is expanding. For example, recently, many people and devices may be connected through a smart device and/or a light-weight device that is a terminal such as a sensor. A lightweight device may have the characteristics of being very small, low power and low cost.
하지만, 경량 기기는 많은 연산량을 필요로 하는 종래의 암호화 알고리즘, 메시지 인증 프로토콜, 및/또는 개체 인증 프로토콜 등이 적용되기 어려울 수 있다.However, it may be difficult to apply a conventional encryption algorithm, a message authentication protocol, and/or an entity authentication protocol that requires a large amount of computation to a lightweight device.
최근에는 경량 기기 시작의 확대에 의해 경량 기기 및 데이터에 대한 사용자의 인증, 정보 무결성, 해킹, 사생활 침해 및/또는 신뢰성 검증 등과 같은 보안 문제가 떠오르고 있다. 예를 들어, 최근에는 경량 기기에 적합한 경량의 특징을 가지면서도 신뢰할 수 있는 새로운 보안 플랫폼이 요구된다.In recent years, security issues such as authentication of users for lightweight devices and data, information integrity, hacking, invasion of privacy and/or reliability verification, etc. are emerging due to the expansion of the lightweight device startup. For example, in recent years, there is a demand for a new reliable security platform with lightweight features suitable for lightweight devices.
소프트웨어로 구현되는 종래의 보안 시스템의 신뢰성은 알고리즘의 연산량에 비례한다는 특징이 있을 수 있다. 따라서, 종래의 보안 시스템은 알고리즘 연산에 의존한다는 점에서 취약한 단점이 있다.The reliability of the conventional security system implemented in software may be characterized in that it is proportional to the amount of computation of the algorithm. Therefore, the conventional security system is weak in that it relies on algorithmic operation.
종래의 보안 시스템은 클라이언트와 서버 간에 키 공유 시, 키를 경량 기기 내의 메모리에 저장해야 한다. 종래의 보안 시스템은 경량 기기 내 공유키 저장으로 인해 해킹 위험성을 내포하고 있다는 단점이 있다. 종래의 보안 시스템은 신뢰성을 암호학적으로 분석 및/또는 증명하는 것이 까다롭다는 단점이 있다.In the conventional security system, when a key is shared between a client and a server, the key must be stored in a memory in a lightweight device. The conventional security system has a disadvantage in that it contains a risk of hacking due to storage of a shared key in a lightweight device. The conventional security system has a disadvantage in that it is difficult to cryptographically analyze and/or prove the reliability.
실시예들은 TRNG PUF 및 CRP PUF에 기반한 하드웨어인 보안 칩과 개체 인증 서버를 통해 전자 장치에 대한 개체 인증을 수행하는 기술을 제공할 수 있다.Embodiments may provide a technology for performing object authentication for an electronic device through a security chip, which is hardware based on TRNG PUF and CRP PUF, and an object authentication server.
일 실시예에 따른 개체 인증 방법은 제1 전자 장치가 개체 인증 서버를 인증하는 단계와, 상기 제1 전자 장치가 상기 개체 인증 서버에 대한 인증 성공에 응답하여 상기 제1 전자 장치가 접속할 제2 전자 장치의 ID를 상기 개체 인증 서버로 전송하는 단계와, 상기 제1 전자 장치가 상기 개체 인증 서버의 상기 제2 전자 장치에 대한 인증 결과에 기초하여 상기 제2 전자 장치를 인증하는 단계를 포함한다.An object authentication method according to an embodiment includes: authenticating, by a first electronic device, an object authentication server; and a second electronic device to which the first electronic device accesses in response to successful authentication with respect to the object authentication server by the first electronic device. transmitting the device ID to the entity authentication server; and authenticating, by the first electronic device, the second electronic device based on an authentication result of the entity authentication server for the second electronic device.
상기 개체 인증 서버를 인증하는 단계는 상기 제1 전자 장치에 포함된 제1 PUF(physical unclonable function) 회로를 통해 난수를 생성하는 단계와, 상기 난수를 상기 개체 인증 서버를 인증하기 위한 챌린지 신호로 상기 개체 인증 서버로 전송하는 단계와, 상기 제1 전자 장치에 포함된 제2 PUF 회로에 상기 챌린지 신호를 입력하여 응답 신호를 출력하는 단계와, 상기 개체 인증 서버로부터 상기 챌린지 신호를 이용하여 생성된 암호문을 수신하는 단계와, 상기 응답 신호를 이용하여 상기 암호문을 복호화하는 단계와, 상기 암호문을 복호화한 복호화 값과 상기 챌린지 신호를 비교하여 상기 개체 인증 서버를 인증하는 단계를 포함할 수 있다.The authenticating of the entity authentication server includes generating a random number through a first physical unclonable function (PUF) circuit included in the first electronic device, and using the random number as a challenge signal for authenticating the entity authentication server. Transmitting to an entity authentication server; inputting the challenge signal to a second PUF circuit included in the first electronic device to output a response signal; and ciphertext generated by using the challenge signal from the entity authentication server It may include the steps of receiving, decrypting the ciphertext using the response signal, and authenticating the entity authentication server by comparing the decryption value obtained by decrypting the ciphertext with the challenge signal.
상기 암호문을 복호화한 복호화 값과 상기 챌린지 신호를 비교하여 상기 개체 인증 서버를 인증하는 단계는 상기 복호화 값과 상기 챌린지 신호가 동일한 경우, 상기 개체 인증 서버의 인증을 성공으로 결정하는 단계, 또는 상기 복호화 값과 상기 챌린지 신호가 동일하지 않는 경우, 상기 개체 인증 서버의 인증을 실패로 결정하는 단계를 포함할 수 있다.The step of authenticating the object authentication server by comparing the decryption value obtained by decrypting the ciphertext with the challenge signal is a step of determining that the authentication of the object authentication server is successful when the decryption value and the challenge signal are the same, or the decryption If the value and the challenge signal are not the same, determining that the authentication of the entity authentication server fails.
상기 개체 인증 방법은 상기 제1 전자 장치가 상기 개체 인증 서버 및 상기 제2 전자 장치에 대한 인증 성공에 응답하여 상기 개체 인증 서버를 통해 상기 제2 전자 장치로 접속을 수행하는 단계를 더 포함할 수 있다.The object authentication method may further include the step of performing, by the first electronic device, access to the second electronic device through the object authentication server in response to successful authentication with respect to the object authentication server and the second electronic device. have.
상기 개체 인증 방법은 상기 개체 인증 서버가 상기 챌린지 신호에 응답하여 상기 암호문을 생성하는 단계와, 상기 개체 인증 서버가 상기 암호문을 상기 제1 전자 장치로 전송하는 단계를 더 포함할 수 있다.The entity authentication method may further include generating, by the entity authentication server, the ciphertext in response to the challenge signal, and transmitting, by the entity authentication server, the ciphertext to the first electronic device.
상기 암호문을 생성하는 단계는 상기 챌린지 신호에 응답하여 CRP 리스트(challenge to response pairs list)로부터 상기 챌린지 신호에 대응하는 응답 신호를 추출하는 단계와, 추출된 응답 신호를 이용하여 상기 챌린지 신호를 암호화함으로써, 상기 암호문을 생성하는 단계를 포함할 수 있다.The generating of the cipher text includes extracting a response signal corresponding to the challenge signal from a CRP list (challenge to response pairs list) in response to the challenge signal, and encrypting the challenge signal using the extracted response signal. , generating the ciphertext.
상기 개체 인증 방법은 상기 개체 인증 서버가 상기 제2 전자 장치의 ID에 응답하여 상기 제2 전자 장치를 인증하는 단계와, 상기 개체 인증 서버가 상기 제2 전자 장치에 대한 인증 결과를 상기 제1 전자 장치로 전송하는 단계와, 상기 개체 인증 서버가 상기 제1 전자 장치의 상기 제2 전자 장치에 대한 접속 요청을 상기 제2 전자 장치로 전송하는 단계를 더 포함할 수 있다.The object authentication method includes: authenticating, by the object authentication server, the second electronic device in response to the ID of the second electronic device; The method may further include transmitting to a device, and transmitting, by the entity authentication server, a request for access to the second electronic device of the first electronic device to the second electronic device.
상기 개체 인증 서버가 상기 제2 전자 장치의 ID에 응답하여 상기 제2 전자 장치를 인증하는 단계는 난수를 생성하여 상기 난수를 상기 제2 전자 장치를 인증하기 위한 챌린지 신호로 상기 제2 전자 장치로 전송하는 단계와, 상기 제2 전자 장치에 대응하는 CRP 리스트로부터 상기 챌린지 신호에 대응하는 응답 신호를 추출하는 단계와, 상기 제2 전자 장치로부터 상기 챌린지 신호를 이용하여 생성된 암호문을 수신하는 단계와, 추출된 응답 신호를 이용하여 상기 암호문을 복호화하는 단계와, 상기 암호문을 복호화한 복호화 값과 상기 챌린지 신호를 비교하여 상기 제2 전자 장치를 인증하는 단계를 포함할 수 있다.In the step of authenticating the second electronic device in response to the ID of the second electronic device by the entity authentication server, a random number is generated and the random number is transmitted to the second electronic device as a challenge signal for authenticating the second electronic device. transmitting, extracting a response signal corresponding to the challenge signal from a CRP list corresponding to the second electronic device, and receiving a ciphertext generated using the challenge signal from the second electronic device; , decrypting the ciphertext using the extracted response signal, and authenticating the second electronic device by comparing a decryption value obtained by decrypting the ciphertext with the challenge signal.
일 실시예에 따른 전자 장치는 개체 인증 서버와 통신을 수행하는 송수신기와, 상기 개체 인증 서버를 인증하고, 상기 개체 인증 서버의 상기 전자 장치가 접속할 상이한 전자 장치에 대한 인증 결과에 기초하여 상기 상이한 전자 장치를 인증하는 보안 칩을 포함한다.An electronic device according to an embodiment includes a transceiver communicating with an entity authentication server, authenticating the entity authentication server, and the different electronic devices based on authentication results for different electronic devices to which the electronic device of the entity authentication server will access. It contains a security chip that authenticates the device.
상기 보안 칩은 난수를 생성하고, 상기 난수를 상기 개체 인증 서버를 인증하기 위한 제1 챌린지 신호로 출력하는 제1 PUF 회로와, 상기 제1 챌린지 신호에 응답하여 제1 응답 신호를 출력하는 제2 PUF 회로와, 상기 개체 인증 서버로부터 상기 제1 챌린지 신호를 이용하여 생성된 제1 암호문을 수신하고, 상기 제1 응답 신호를 이용하여 상기 제1 암호문을 복호화하는 복호화기와, 상기 제1 암호문을 복호화한 제1 복호화 값과 상기 제1 챌린지 신호를 비교하여 상기 개체 인증 서버를 인증하고, 상기 개체 인증 서버의 상기 상이한 전자 장치에 대한 인증 성공에 응답하여 상기 상이한 전자 장치를 인증하는 인증기를 포함할 수 있다.The security chip generates a random number, a first PUF circuit that outputs the random number as a first challenge signal for authenticating the entity authentication server, and a second PUF circuit that outputs a first response signal in response to the first challenge signal a PUF circuit, a decrypter that receives a first cipher text generated by using the first challenge signal from the entity authentication server, and decrypts the first cipher text using the first response signal, and decrypts the first cipher text an authenticator for authenticating the entity authentication server by comparing a first decryption value with the first challenge signal, and authenticating the different electronic device in response to successful authentication of the entity authentication server for the different electronic device have.
상기 보안 칩은 상기 제2 PUF 회로가 상기 개체 인증 서버가 상기 전자 장치를 인증하기 위한 제2 챌린지 신호에 응답하여 출력한 제2 응답 신호를 이용하여 상기 제2 챌린지 신호를 암호화함으로써, 제2 암호문을 생성하는 암호화기를 더 포함하고, 상기 제2 암호문은 상기 개체 인증 서버가 상기 전자 장치를 인증하기 위해서 상기 개체 인증 서버로 전송될 수 있다.In the security chip, the second PUF circuit encrypts the second challenge signal using a second response signal output by the entity authentication server in response to a second challenge signal for authenticating the electronic device, whereby a second ciphertext The device may further include an encryptor that generates a ciphertext, wherein the second ciphertext may be transmitted to the object authentication server in order for the object authentication server to authenticate the electronic device.
상기 송수신기는 상기 개체 인증 서버에 대한 인증 성공에 응답하여 상기 상이한 전자 장치의 ID를 상기 개체 인증 서버로 전송할 수 있다.The transceiver may transmit the ID of the different electronic device to the entity authentication server in response to successful authentication with respect to the entity authentication server.
상기 전자 장치는 상기 개체 인증 서버 및 상기 상이한 전자 장치에 대한 인증 성공에 응답하여 상기 개체 인증 서버를 통해 상기 상이한 전자 장치로 접속을 수행할 수 있다.The electronic device may perform access to the different electronic device through the entity authentication server in response to successful authentication of the entity authentication server and the different electronic device.
도 1은 개체 인증 방법을 설명하기 위한 일 예를 나타낸다.
도 2는 난수 생성용 물리적 복제 불가능 함수를 설명하기 위한 일 예를 나타낸다.
도 3은 챌린지-응답 쌍 생성용 물리적 복제 불가능 함수를 설명하기 위한 일 예를 나타낸다.
도 4는 일 실시예에 따른 개체 인증 시스템의 개략적인 블록도를 나타낸다.
도 5는 도 4에 도시된 제1 전자 장치의 개략적인 블록도를 나타낸다.
도 6은 도 4에 도시된 개체 인증 서버의 개략적인 블록도를 나타낸다.
도 7a는 전자 장치들 및 개체 인증 서버 간의 개체 인증 동작을 설명하기 위한 일 예를 나타낸다.
도 7b는 전자 장치들 및 개체 인증 서버 간의 개체 인증 동작을 설명하기 위한 다른 예를 나타낸다.
도 8은 도 4에 도시된 제1 전자 장치가 접속할 제2 전자 장치를 인증하기 위한 개체 인증을 설명하기 위한 순서도를 나타낸다.1 shows an example for explaining an entity authentication method.
2 shows an example for explaining a physically non-replicable function for generating a random number.
3 shows an example for explaining a physically non-replicable function for generating a challenge-response pair.
4 is a schematic block diagram of an entity authentication system according to an embodiment.
FIG. 5 is a schematic block diagram of the first electronic device shown in FIG. 4 .
FIG. 6 is a schematic block diagram of the entity authentication server shown in FIG. 4 .
7A illustrates an example for describing an object authentication operation between electronic devices and an object authentication server.
7B illustrates another example for describing an object authentication operation between electronic devices and an object authentication server.
8 is a flowchart illustrating entity authentication for authenticating a second electronic device to be accessed by the first electronic device illustrated in FIG. 4 .
이하에서, 첨부된 도면을 참조하여 실시예들을 상세하게 설명한다. 그러나, 실시예들에는 다양한 변경이 가해질 수 있어서 특허출원의 권리 범위가 이러한 실시예들에 의해 제한되거나 한정되는 것은 아니다. 실시예들에 대한 모든 변경, 균등물 내지 대체물이 권리 범위에 포함되는 것으로 이해되어야 한다.Hereinafter, embodiments will be described in detail with reference to the accompanying drawings. However, since various changes may be made to the embodiments, the scope of the patent application is not limited or limited by these embodiments. It should be understood that all modifications, equivalents and substitutes for the embodiments are included in the scope of the rights.
실시예에서 사용한 용어는 단지 설명을 목적으로 사용된 것으로, 한정하려는 의도로 해석되어서는 안된다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 명세서에서, "포함하다" 또는 "가지다" 등의 용어는 명세서 상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.Terms used in the examples are used for the purpose of description only, and should not be construed as limiting. The singular expression includes the plural expression unless the context clearly dictates otherwise. In the present specification, terms such as “comprise” or “have” are intended to designate that a feature, number, step, operation, component, part, or combination thereof described in the specification exists, but one or more other features It should be understood that this does not preclude the existence or addition of numbers, steps, operations, components, parts, or combinations thereof.
제1 또는 제2등의 용어를 다양한 구성요소들을 설명하는데 사용될 수 있지만, 구성요소들은 용어들에 의해서 한정되어서는 안 된다. 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만, 예를 들어 실시예의 개념에 따른 권리 범위로부터 이탈되지 않은 채, 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소는 제1 구성요소로도 명명될 수 있다.Terms such as first or second may be used to describe various elements, but the elements should not be limited by the terms. The terms are used only for the purpose of distinguishing one element from another element, for example, without departing from the scope of rights according to the concept of the embodiment, a first element may be named as a second element, and similarly The second component may also be referred to as the first component.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 실시예가 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.Unless defined otherwise, all terms used herein, including technical or scientific terms, have the same meaning as commonly understood by one of ordinary skill in the art to which the embodiment belongs. Terms such as those defined in commonly used dictionaries should be interpreted as having a meaning consistent with the meaning in the context of the related art, and should not be interpreted in an ideal or excessively formal meaning unless explicitly defined in the present application. does not
또한, 첨부 도면을 참조하여 설명함에 있어, 도면 부호에 관계없이 동일한 구성 요소는 동일한 참조부호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다. 실시예를 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 실시예의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다.In addition, in the description with reference to the accompanying drawings, the same components are given the same reference numerals regardless of the reference numerals, and the overlapping description thereof will be omitted. In the description of the embodiment, if it is determined that a detailed description of a related known technology may unnecessarily obscure the gist of the embodiment, the detailed description thereof will be omitted.
도 1은 개체 인증 방법을 설명하기 위한 일 예를 나타낸다.1 shows an example for explaining an entity authentication method.
개체 인증은 한 개체(또는 하나의 전자 기기)가 올바른 키를 가지고 있는 다른 개체(또는 상이한 전자 기기)의 신원을 인증(또는 확인)하는 과정이다. 개체 인증은 개체 인증을 주장하는 개체인 주장자를 인증하여 개체 인증이 수행된 기기들 간에 통신이 수행되게 한다. 이때, 기기들 간의 전체 통신 및 인증은 한 세션 동안 유지된다.Entity authentication is a process in which one entity (or one electronic device) authenticates (or verifies) the identity of another entity (or different electronic device) having the correct key. Entity authentication authenticates an asserter, an entity that asserts entity authentication, and enables communication between devices on which entity authentication has been performed. In this case, the entire communication and authentication between devices is maintained for one session.
기존의 개체 인증 방법은 챌린지-응답(challenge-response) 방식, 비밀번호, 비트 위임(bit commitment) 및 영지식 증명(zero-knowledge proof) 등 다양한 방법을 통해 개체 인증을 수행한다.Existing entity authentication methods perform entity authentication through various methods such as a challenge-response method, password, bit commitment, and zero-knowledge proof.
예를 들어, 도 1에 도시된 바와 같이 기존의 개체 인증 방법은 개체 인증 프로토콜을 통해 제1 기기(alice)와 제2 기기(bob) 간의 개체 인증을 수행한다. 이때, 개체 인증 프로토콜은 의사 난수 생성기, 암호화 알고리즘, 복호화 알고리즘 및 공유 키에 기반한 프로토콜일 수 있다.For example, as shown in FIG. 1 , the existing object authentication method performs object authentication between a first device (alice) and a second device (bob) through an object authentication protocol. In this case, the entity authentication protocol may be a protocol based on a pseudo-random number generator, an encryption algorithm, a decryption algorithm, and a shared key.
구체적으로, 제1 기기(alice)와 제2 기기(bob)는 기존의 개체 인증 방법을 통해 개체 인증을 수행한다. 제1 기기(alice)는 개체 인증을 주장하는 주장자(claimant)이다. 제2 기기(bob)는 개체 인증을 증명하는 증명자(verifier)이다. 제1 기기(alice)와 제2 기기(bob)는 안전한 채널을 통해 사전에 키(
먼저, 제2 기기(bob)는 제1 기기(alice)에 대한 개체 인증을 수행하기 위해 의사 난수 생성기를 이용하여 제1 난수(
이후에, 제1 기기(alice)는 제2 기기(bob)로부터 전송된 제1 난수(
제1 기기(alice)는 암호화 과정을 통해 제1 난수(
마지막으로, 제2 기기(bob)는 제1 기기(alice)로부터 전송된 암호문(E)을 수신하고, 사전 공유 키(
제2 기기(bob)는 복호화 과정을 통해 암호문(E)이 복호화된 제2 난수(
제2 기기(bob)는 제1 난수(
도 2는 난수 생성용 물리적 복제 불가능 함수를 설명하기 위한 일 예를 나타내고, 도 3은 챌린지-응답 쌍 생성용 물리적 복제 불가능 함수를 설명하기 위한 일 예를 나타낸다.FIG. 2 shows an example for explaining a physically non-replicable function for generating a random number, and FIG. 3 shows an example for explaining a physically non-replicable function for generating a challenge-response pair.
물리적 복제 불가능 함수(physical unclonable function; PUF) 시스템은 CMOS(complementary metal-oxide semiconductor) 공정을 기반으로 하는 시스템일 수 있다. CMOS 공정은 고집적 및 저비용의 장점을 가지고 있는 공정일 수 있다.The physically unclonable function (PUF) system may be a system based on a complementary metal-oxide semiconductor (CMOS) process. The CMOS process may be a process having advantages of high integration and low cost.
물리적 복제 불가능 함수(physical unclonable function; PUF) 시스템은 특정한 입력에 의해 고유한 값을 무작위로(Randomly) 빠르게 생성할 수 있다. 특정한 입력은 챌린지(challenge)일 수 있다. 고유한 값은 입력에 대응하는 값으로 ID 또는 응답(response)일 수 있다. CMOS를 이용한 물리적 복제 불가능 칩이 생산되는 경우, 고유한 값은 동일한 구조(또는 동일한 레이아웃)를 갖는 서로 다른 칩이 생산되더라도 공정상의 불일치(Process Mismatch)에 의해 생성될 수 있다.A physical unclonable function (PUF) system can rapidly and randomly generate a unique value based on a specific input. A particular input may be a challenge. The unique value is a value corresponding to an input and may be an ID or a response. When a physically non-replicable chip using CMOS is produced, a unique value may be generated due to a process mismatch even when different chips having the same structure (or the same layout) are produced.
외부의 환경 변화에 상관없이 물리적 복제 불가능 함수가 동일한 입력에 의해 입력에 대응하는 동일한 물리적 값을 가지는 것은 재생산성(Reproducibility) 및/또는 안정성(Stability)이라는 확률적 성질로 나타낼 수 있다. 확률적 성질은 물리적 복제 불가능 함수의 중요한 성능 지표 중에서 하나일 수 있다. 물리적 복제 불가능 함수가 서로 다른 입력에 대해 서로 다른 물리적 값을 가지는 것은 인증식별성(Uniqueness, Randomness 또는 Identifiability)으로 나타낼 수 있다.The fact that the physically non-replicable function has the same physical value corresponding to the input by the same input regardless of changes in the external environment can be expressed as a probabilistic property of reproducibility and/or stability. The probabilistic property may be one of the important performance indicators of the physically non-replicable function. The fact that the physically non-replicable function has different physical values for different inputs can be expressed as uniqueness, randomness, or identity.
도 2를 참조하면, 난수 생성용 물리적 복제 불가능 함수(true random number generator physical unclonable function; TRNG PUF)는 특정 신호(응답 생성 시작 신호)에 의해 무작위한 난수 값을 생성할 수 있다. 무작위한 난수 값은 공정상의 불일치에 의해 결정될 수 있다.Referring to FIG. 2 , a true random number generator physical unclonable function (TRNG PUF) for generating random numbers may generate a random random number value according to a specific signal (response generation start signal). A random random number value may be determined by a process inconsistency.
TRNG PUF는 동일한 구조를 가지는 칩이더라도, 칩 마다 다른 난수 값을 생성할 수 있다. 한 칩에서 생성된 난수 값은 재생성시 전혀 다른 난수 값을 가지게 될 수 있다.The TRNG PUF may generate a different random number value for each chip even if the chips have the same structure. A random number value generated by one chip may have a completely different random number value when it is regenerated.
도 3을 참조하면, 챌린지-응답 쌍 생성용 물리적 복제 불가능 함수(challenge to response pairs physical unclonable function; CRP PUF)는 특정한 챌린지 입력에 대해 고유한 무작위의 응답을 생성할 수 있다. 챌린지-응답 쌍(CRP)은 특정한 챌린지와 챌린지에 대응하는 응답 간의 쌍일 수 있다. 챌린지-응답 쌍 목록(CRP List)은 챌린지-응답 쌍들의 목록일 수 있다.Referring to FIG. 3 , a challenge to response pairs physical unclonable function (CRP PUF) may generate a unique random response to a specific challenge input. A challenge-response pair (CRP) may be a pair between a particular challenge and a response corresponding to the challenge. The challenge-response pair list (CRP List) may be a list of challenge-response pairs.
CRP PUF는 동일한 구조를 가지는 칩이더라도, 칩 마다 서로 다른 챌린지-응답 쌍을 갖는 특징이 있을 수 있다. 다만, CRP PUF는 한 칩 내에서 동일한 챌린지 입력에 대해 동일한 응답이 생성되어야 한다. CRP PUF는 다른 챌린지 입력에 대해 다른 응답이 생성되어야 한다.Even if the CRP PUF is a chip having the same structure, there may be a feature of having a different challenge-response pair for each chip. However, the CRP PUF should generate the same response to the same challenge input within one chip. CRP PUFs must generate different responses for different challenge inputs.
도 4는 일 실시예에 따른 개체 인증 시스템의 개략적인 블록도를 나타낸다.4 is a schematic block diagram of an entity authentication system according to an embodiment.
개체 인증 시스템(10)은 기존의 개체 인증 시스템을 대체하는 경량 기기 전용의 개체 인증 시스템일 수 있다. 개체 인증 시스템(10)는 도 2 및 도 3에서 설명된 물리적 복제 불가능 함수에 기반한 개체 인증 기법을 이용하여 개체 인증을 수행할 수 있다.The
개체 인증 시스템(10)은 제1 전자 장치(100), 개체 인증 서버(300) 및 제2 전자 장치(500)를 포함한다.The
제1 전자 장치(100) 및 제2 전자 장치(500)는 동일한 구조의 경량 기기일 수 있다. 제1 전자 장치(100) 및 제2 전자 장치(500)는 프로세서(또는 마이크로 프로세서), 메모리, 소프트웨어 기반의 CRP 및 난수 생성기가 설치(또는 내장, 탑재)되기 어려운 전자 장치일 수 있다.The first
전자 장치(100 및 500)는 많은 연산량을 필요로 하지 않는 IoT 장치 또는 휴대용 전자 장치 등 다양한 장치일 수 있다. 휴대용 전자 장치는 랩탑(laptop) 컴퓨터, 이동 전화기, 스마트 폰(smart phone), 태블릿(tablet) PC, 모바일 인터넷 디바이스(mobile internet device(MID)), PDA(personal digital assistant), EDA(enterprise digital assistant), 디지털 스틸 카메라(digital still camera), 디지털 비디오 카메라(digital video camera), PMP(portable multimedia player), PND(personal navigation device 또는 portable navigation device), 휴대용 게임 콘솔(handheld game console), e-북(e-book), 스마트 디바이스(smart device)으로 구현될 수 있다. 이때, 스마트 디바이스는 스마트 워치(smart watch) 또는 스마트 밴드(smart band)로 구현될 수 있다.The
제1 전자 장치(100) 및 제2 전자 장치(500)는 안전한 채널을 통해 각 전자 장치에 대응하는 CRP 리스트(challenge to response pairs list, 또는 CRP 테이블(CRP table))를 개체 인증 서버(300)와 공유할 수 있다. 예를 들어, 개체 인증 서버(300)는 제1 전자 장치(100)에 대응하는 제1 CRP 리스트 및 제2 전자 장치(500)에 대응하는 제2 CRP 리스트를 데이터베이스에 저장할 수 있다. 제1 CRP 리스트는 제1 전자 장치(100)가 입력 및 출력할 수 있는 챌린지 신호와 응답 신호 쌍이 정렬된 CRP 리스트이고, 제2 CRP 리스트는 제2 전자 장치(500)가 입력 및 출력할 수 있는 챌린지 신호와 응답 신호 쌍이 정렬된 CRP 리스트일 수 있다.The first
제1 전자 장치(100)와 제2 전자 장치(500)는 서로 간에 접속하여 통신을 수행하기 위해 개체 인증 서버(300)를 통해 서로에 대한 개체 인증을 수행할 수 있다. 예를 들어, 제1 전자 장치(100)는 제2 전자 장치(500)에 접속하여 통신을 수행하기 위해서 개체 인증 서버(300)를 선인증하고, 인증된 개체 인증 서버(300)를 통해 제2 전자 장치(500)를 인증할 수 있다. 제2 전자 장치(500)도 제1 전자 장치(100)에 접속하여 통신을 수행하기 위해서 개체 인증 서버(300)를 선인증하고, 인증된 개체 인증 서버(300)를 통해 제1 전자 장치(100)를 인증할 수 있다.The first
제1 전자 장치(100)와 제2 전자 장치(500)는 TRNG PUF 및 CRP PUF을 포함하는 하드웨어인 보안 칩을 통해 개체 인증을 수행할 수 있다. 제1 전자 장치(100)와 제2 전자 장치(500) 각각에 포함된 보안 칩은 TRNG PUF 및 CRP PUF에 기반한 반도체 칩일 수 있다.The first
전자 장치(100 및 500)는 프로세서(또는 마이크로 프로세서), 메모리, 소프트웨어 기반의 CRP 및 난수 생성기가 없이 개체 인증을 수행할 수 있다. 즉, 전자 장치(100 및 500)는 기존의 소프트웨어 알고리즘에 기반한 연산을 통해 암호학적으로 안전한 난수를 생성하지 않고, 자연 법칙에 의존적인 PUF 기반의 반도체인 하드웨어를 이용하여 개체 인증을 수행할 수 있다.The
전자 장치(100 및 500)를 통한 개체 인증은 공유 키를 내부 메모리에 저장할 필요가 없기에 효율적으로 보안성 및 신뢰성이 향상될 수 있고, 경량 기기에서 활용되기 어려운 많은 연산양을 필요로 하는 기존의 개체 인증 방식을 대체할 수 있다.Because object authentication through the
또한, 보안 칩 및 개체 인증 서버(300)를 통한 개체 인증은 소프트웨어를 통한 알고리즘 연산에 종속적이라는 기존의 개체 인증 방식(또는 기존의 개체 인증 플랫봄, 기존의 보안 플랫폼)의 취약점 문제를 해결할 수 있고, 저가격(Low Cost), 저전력(Low Power), 고효율(High Efficiency)의 인증 시스템으로 소프트웨어를 이용한 보안 시스템이 적용되기 어려움 다양한 분야에서 활용될 수 있다.In addition, object authentication through the security chip and object
상술한 바와 같이, 제1 전자 장치(100) 및 제2 전자 장치(500)는 동일한 개체 인증 동작을 수행하여 개체 인증을 수행할 수 있다. 제1 전자 장치(100) 및 제2 전자 장치(500)의 구조 및 개체 인증 동작이 동일하기에, 설명의 편의를 위해서 이하에서는 제1 전자 장치(100)가 제2 전자 장치(500)에 접속하는 것을 가정하여 설명하도록 한다. 제1 전자 장치(100)에 대한 내용은 모두 제2 전자 장치(500)에 적용되고, 제2 전자 장치(500)에 대한 내용은 모두 제1 전자 장치(100)에 적용될 수 있다.As described above, the first
도 5는 도 4에 도시된 제1 전자 장치의 개략적인 블록도를 나타낸다.FIG. 5 is a schematic block diagram of the first electronic device shown in FIG. 4 .
제1 전자 장치(100)는 송수신기(110) 및 보안 칩(130)을 포함할 수 있다.The first
송수신기(110)는 개체 인증 서버(300)와 통신을 수행할 수 있다. 또한, 송수신기(110)는 개체 인증 서버(300)를 통해 제2 전자 장치(500)와 통신을 수행할 수 있다.The
도 5에 도시된 바와 같이 송수신기(110)가 보안 칩(130)과 구별되게 구현되었지만, 이에 한정하는 것은 아니다. 예를 들어, 송수신기(110)는 보안 칩(130) 내에 구현될 수 있다.As shown in FIG. 5 , the
보안 칩(130)에 의해 수행되는 개체 인증 관련 동작, 예를 들어 제2 전자 장치(500)의 ID 전송 동작, 제2 전자 장치(500)에 대한 인증 결과 수신 동작 및 암호문 전송 동작은 송수신기(110)를 통해 수행될 수 있다. 송수신기(110)는 보안 칩(130)과 연동하여 통신 동작을 수행할 수 있다.The object authentication-related operations performed by the
보안 칩(130)은 제1 전자 장치(100)가 제2 전자 장치(500)에 대한 개체 인증을 수행할 때 및 제2 전자 장치(500)가 제1 전자 장치(100)에 대한 개체 인증을 수행할 때 필요한 개체 인증 관련 동작을 수행할 수 있다.The
보안 칩(130)은 제1 PUF 회로(131), 제2 PUF 회로(133), 복호화기(135), 암호화기(137) 및 인증기(139)를 포함할 수 있다. 보안 칩(130)은 마더보드(motherboard)와 같은 인쇄 회로 기판(printed circuit board(PCB)), 집적 회로(integrated circuit(IC)) 및/또는 SoC(system on chip)으로 구현될 수 있다.The
제1 PUF 회로(131)는 제1 전자 장치(100)의 제2 전자 장치(500)에 대한 개체 인증에 이용될 수 있다. 제1 PUF 회로(131)는 TRNG PUF 기반의 회로일 수 있다. 제1 PUF 회로(131)는 난수를 생성할 수 있다. 제1 PUF 회로(131)는 생성된 난수를 개체 인증 서버(300)를 인증하기 위한 챌린지 신호로 개체 인증 서버(300) 및 제2 PUF 회로(133)에 출력할 수 있다.The
제1 PUF 회로(131)로부터 출력된 챌린지 신호가 개체 인증 서버(300)에 전송될 때, 제1 전자 장치(100)의 ID(또는 식별자)도 챌린지 신호와 함께 개체 인증 서버(300)에 전송될 수 있다. 제1 전자 장치(100)의 ID는 챌린지 신호에 포함되어 전송되거나 독립적으로 전송되거나 챌린지 신호와 함께 패킷화되어 하나의 패킷으로 전송될 수 있다. 패킷은 챌린지 신호 및 제1 전자 장치(100)의 ID를 포함할 수 있다.When the challenge signal output from the
제2 PUF 회로(133)는 제1 전자 장치(100)의 제2 전자 장치(500)에 대한 개체 인증 및 제2 전자 장치(500)의 제1 전자 장치(100)에 대한 개체 인증에 이용될 수 있다. 제2 PUF 회로(133)는 CRP PUF 기반의 회로일 수 있다. 제2 PUF 회로(133)는 입력되는 입력 신호에 응답하여 응답 신호를 출력할 수 있다.The
일 예로, 제2 PUF 회로(133)는 제1 전자 장치(100)의 제2 전자 장치(500)에 대한 개체 인증에 이용되는 응답 신호를 출력할 수 있다. 예를 들어, 제2 PUF 회로(133)는 개체 인증 서버(300)를 인증하기 위한 챌린지 신호에 응답하여 응답 신호를 출력할 수 있다. 제1 PUF 회로(131)가 출력한 챌린지 신호가 입력 신호로 제2 PUF 회로(133)에 입력되어, 제2 PUF 회로(133)는 응답 신호를 출력 신호로 출력할 수 있다.For example, the
다른 예로, 제2 PUF 회로(133)는 제2 전자 장치(500)의 제1 전자 장치(100)에 대한 개체 인증에 이용되는 응답 신호를 출력할 수 있다. 예를 들어, 제2 PUF 회로(133)는 개체 인증 서버(300)가 제1 전자 장치(100)를 인증하기 위해 생성한 챌린지 신호에 응답하여 응답 신호를 생성할 수 있다. 개체 인증 서버(300)가 생성한 챌린지 신호가 입력 신호로 제2 PUF 회로(133)에 입력되어, 제2 PUF 회로(133)는 응답 신호를 출력 신호로 출력할 수 있다.As another example, the
복호화기(135)는 제1 전자 장치(100)의 제2 전자 장치(500)에 대한 개체 인증에 이용될 수 있다. 예를 들어, 복호화기(135)는 개체 인증 서버(300)로부터 제1 PUF 회로(131)가 출력한 챌린지 신호를 이용하여 생성된 암호문을 수신할 수 있다. 암호문은 개체 인증 서버(300)가 생성한 암호문일 수 있다. 복호화기(135)는 제1 PUF 회로(131)가 출력한 챌린지 신호에 대응하는 응답 신호를 이용하여 개체 인증 서버(300)가 생성한 암호문을 복호화할 수 있다.The
암호화기(137)는 제2 전자 장치(500)의 제1 전자 장치(100)에 대한 개체 인증에 이용될 수 있다. 암호화기(137)는 개체 인증 서버(300) 및 제2 전자 장치(500)에 의해 제1 전자 장치(100)가 인증되게 암호문을 생성할 수 있다. 예를 들어, 암호화기(137)는 개체 인증 서버(300)가 생성한 챌린지 신호에 대응하는 응답 신호를 이용하여 개체 인증 서버(300)가 생성한 챌린지 신호를 암호화함으로써, 암호문을 생성할 수 있다. 암호화기(137)는 송수신기(110)를 통해 암호화기(137)가 생성한 암호문을 개체 인증 서버(300)로 전송할 수 있다.The
인증기(139)는 제1 전자 장치(100)의 제2 전자 장치(500)에 대한 개체 인증에 이용될 수 있다. 인증기(139)는 개체 인증 서버(300)가 생성한 암호문을 복호화한 복호화 값과 제1 PUF 회로(131)가 출력한 챌린지 신호를 비교하여 개체 인증 서버(300)를 인증할 수 있다. 복호화 값과 제1 PUF 회로(131)가 출력한 챌린지 신호가 동일한 경우, 인증기(139)는 개체 인증 서버(300)의 인증을 성공으로 결정할 수 있다. 복호화 값과 제1 PUF 회로(131)가 출력한 챌린지 신호가 동일하지 않는 경우, 인증기(139)는 개체 인증 서버(300)의 인증을 실패로 결정할 수 있다.The
인증기(139)는 개체 인증 서버(300)의 제2 전자 장치(500)에 대한 인증 성공에 응답하여 제2 전자 장치(500)를 인증할 수 있다. 개체 인증 서버(300)가 제2 전자 장치(500)를 인증한 경우, 인증기(139)는 제2 전자 장치(500)의 인증을 성공으로 결정할 수 있다. 개체 인증 서버(300)가 제2 전자 장치(500)를 인증하지 않은 경우, 인증기(139)는 제2 전자 장치(500)의 인증을 실패로 결정할 수 있다.The
제1 전자 장치(100)는 인증기(139)가 수행한 개체 인증 서버(300) 및 제2 전자 장치(500)에 대한 인증 성공에 응답하여 개체 인증 서버(300)를 통해 제2 전자 장치(500)로 접속을 수행할 수 있다. 개체 인증 서버(300) 및 제2 전자 장치(500)가 인증된 경우, 제1 전자 장치(100)는 개체 인증 서버(300)를 통해 제2 전자 장치(500)와 접속하여 제2 전자 장치(500)와 통신을 수행할 수 있다. 개체 인증 서버(300) 및 제2 전자 장치(500)가 인증되지 않은 경우, 제1 전자 장치(100)는 개체 인증 서버(300)를 통해 제2 전자 장치(500)와 접속하지 않고, 제2 전자 장치(500)와 통신을 수행하지 않을 수 있다.The first
설명의 편의를 위해 이하에서는 제1 전자 장치(100)가 접속할 제2 전자 장치(500)를 인증하기 위한 개체 인증 동작을 설명하도록 한다. 제2 전자 장치(500)가 접속할 제1 전자 장치(100)를 인증하기 위한 개체 인증 동작은 제1 전자 장치(100)가 접속할 제2 전자 장치(500)를 인증하기 위한 개체 인증 동작과 동일할 수 있다.For convenience of description, an object authentication operation for authenticating the second
도 6은 도 4에 도시된 개체 인증 서버의 개략적인 블록도를 나타낸다.FIG. 6 is a schematic block diagram of the entity authentication server shown in FIG. 4 .
도 6에서는 제1 전자 장치(100)가 접속할 제2 전자 장치(500)를 인증하기 위해 개체 인증 서버(300)에서 수행되는 개체 인증 동작을 설명하도록 한다. 이는 제2 전자 장치(500)가 접속할 제1 전자 장치(100)를 인증하기 위해 개체 인증 서버(300)에서 수행되는 개체 인증 동작과 실질적으로 동일하다.In FIG. 6 , an object authentication operation performed by the
개체 인증 서버(300)는 메모리(310) 및 프로세서(330)를 포함할 수 있다.The
메모리(310)는 프로세서(330)에 의해 실행가능한 인스트럭션들(또는 프로그램)을 저장할 수 있다. 예를 들어, 인스트럭션들은 프로세서(330)의 동작 및/또는 프로세서(330)의 각 구성의 동작을 실행하기 위한 인스트럭션들을 포함할 수 있다.The
프로세서(330)는 메모리(310)에 저장된 데이터를 처리할 수 있다. 프로세서(330)는 메모리(310)에 저장된 컴퓨터로 읽을 수 있는 코드(예를 들어, 소프트웨어) 및 프로세서(330)에 의해 유발된 인스트럭션(instruction)들을 실행할 수 있다.The
프로세서(330)는 목적하는 동작들(desired operations)을 실행시키기 위한 물리적인 구조를 갖는 회로를 가지는 하드웨어로 구현된 데이터 처리 장치일 수 있다. 예를 들어, 목적하는 동작들은 프로그램에 포함된 코드(code) 또는 인스트럭션들(instructions)을 포함할 수 있다.The
예를 들어, 하드웨어로 구현된 데이터 처리 장치는 마이크로프로세서(microprocessor), 중앙 처리 장치(central processing unit), 프로세서 코어(processor core), 멀티-코어 프로세서(multi-core processor), 멀티프로세서(multiprocessor), ASIC(Application-Specific Integrated Circuit), FPGA(Field Programmable Gate Array)를 포함할 수 있다.For example, a data processing device implemented as hardware includes a microprocessor, a central processing unit, a processor core, a multi-core processor, and a multiprocessor. , an Application-Specific Integrated Circuit (ASIC), and a Field Programmable Gate Array (FPGA).
프로세서(330)는 개체 인증 서버(300)의 전반적인 동작을 제어할 수 있다. 예를 들어, 프로세서(330)는 메모리(310)의 동작을 제어할 수 있다.The
프로세서(330)는 제1 전자 장치(100)로부터 전송된 챌린지 신호에 응답하여 암호문을 생성하고, 생성된 암호문을 제1 전자 장치(100)로 전송할 수 있다.The
예를 들어, 프로세서(330)는 제1 전자 장치(100)로부터 전송된 챌린지 신호와 함께 전송된 제1 전자 장치(100)의 ID에 기초하여 제1 CRP 리스트 및 제2 CRP 리스트 중에서 제1 CRP 리스트를 획득(또는 추출)할 수 있다. 프로세서(330)는 제1 전자 장치(100)로부터 전송된 챌린지 신호에 응답하여 제1 CRP 리스트로부터 제1 전자 장치(100)로부터 전송된 챌린지 신호에 대응하는 응답 신호를 추출할 수 있다. 프로세서(330)는 추출된 응답 신호를 이용하여 제1 전자 장치(100)로부터 전송된 챌린지 신호를 암호화함으로써, 암호문을 생성할 수 있다.For example, the
프로세서(330)는 제1 전자 장치(100)로부터 전송된 제2 전자 장치(500)의 ID에 응답하여 제2 전자 장치(500)를 인증할 수 있다.The
예를 들어, 프로세서(330)는 제2 전자 장치(500)의 ID에 응답하여 TRNG PUF에 기반한 난수를 생성할 수 있다. 프로세서(330)는 생성된 난수를 제2 전자 장치(500)를 인증하기 위한 챌린지 신호로 제2 전자 장치(500)로 전송할 수 있다.For example, the
프로세서(330)는 제2 CRP 리스트로부터 프로세서(330)가 생성한 챌린지 신호에 대응하는 응답 신호를 추출할 수 있다.The
프로세서(330)는 프로세서(330)가 생성한 챌린지 신호를 수신한 제2 전자 장치(500)로부터 프로세서(330)가 생성한 챌린지 신호를 이용하여 생성된 암호문을 수신할 수 있다. 이때, 암호문은 제2 전자 장치(500)가 생성한 암호문일 수 있다.The
프로세서(330)는 추출된 응답 신호를 이용하여 제2 전자 장치(500)가 생성한 암호문을 복호화할 수 있다.The
프로세서(330)는 제2 전자 장치(500)가 생성한 암호문을 복호화한 복호화 값과 프로세서(330)가 생성한 챌린지 신호를 비교하여 제2 전자 장치(500)를 인증할 수 있다. 복호화 값과 프로세서(330)가 생성한 챌린지 신호가 동일한 경우, 프로세서(330)는 제2 전자 장치(500)의 인증을 성공으로 결정할 수 있다. 복호화 값과 프로세서(330)가 생성한 챌린지 신호가 동일하지 않은 경우, 프로세서(330)는 제2 전자 장치(500)의 인증을 실패로 결정할 수 있다.The
프로세서(330)는 제2 전자 장치(500)에 대한 인증 결과를 제1 전자 장치(100)로 전송할 수 있다.The
프로세서(330)는 제2 전자 장치(500)에 대한 인증 성공에 응답한 제1 전자 장치(100)의 제2 전자 장치(500)에 대한 접속 요청을 제2 전자 장치(500)로 전송하여 제1 전자 장치(100)와 제2 전자 장치(500)가 접속하게 할 수 있다.The
도 7a는 전자 장치들 및 개체 인증 서버 간의 개체 인증 동작을 설명하기 위한 일 예를 나타내고, 도 7b는 전자 장치들 및 개체 인증 서버 간의 개체 인증 동작을 설명하기 위한 다른 예를 나타낸다.7A illustrates an example for describing an object authentication operation between electronic devices and an object authentication server, and FIG. 7B illustrates another example for describing an object authentication operation between electronic devices and an object authentication server.
도 7a를 참조하면, 개별 전자 장치는 경량 기기로 공유 키를 저장하는 메모리를 포함하지 않지만, TRNG PUF 회로와 CRP PUF 회로가 내장될 수 있다. TRNG PUF는 난수 분포도 및 자기 상관 함수 그래프 등이 인증 식별성(randomness)의 성능 지표일 수 있다. CRP PUF는 해밍 거리와 비트 오류율 등이 인증 식별성과 인증 안정성(stability)의 성능 지표일 수 있다.Referring to FIG. 7A , the individual electronic device is a lightweight device and does not include a memory for storing a shared key, but a TRNG PUF circuit and a CRP PUF circuit may be built-in. In the TRNG PUF, a random number distribution map and an autocorrelation function graph may be performance indicators of authentication randomness. In the CRP PUF, a Hamming distance and a bit error rate may be performance indicators of authentication identification and authentication stability.
전자 장치들이 서로 동일한 구조로 설계된다 할지라도 물리적 복제 불가능 함수의 입출력쌍이 개별 전자 장치마다 다르기에, 임의의 전자 장치는 다른 전자 장치의 비밀 키를 알아내거나 저장할 수 없다.Even if the electronic devices are designed to have the same structure, since the input/output pair of the physically non-replicable function is different for each electronic device, any electronic device cannot find out or store the secret key of another electronic device.
따라서, 개체 인증은 개별 전자 장치에서 직접적으로 수행될 수 없고, 모든 전자 장치들 각각의 PUF 입출력 값을 알고 있고 신뢰할 수 있는 개체 인증 서버(300)를 통해서 수행될 수 있다.Accordingly, object authentication cannot be directly performed by an individual electronic device, but may be performed through a trusted
도 7b를 참조하면, 개체 인증 서버(300)는 제1 전자 장치(100)를 기준으로 제2 전자 장치 내지 제4 전자 장치(500, 700 및 900) 간의 개체 인증을 수행할 수 있다.Referring to FIG. 7B , the
상술한 바와 같이, 개체 인증 서버(300)가 제1 전자 장치(100)를 기준으로 제2 전자 장치 내지 제4 전자 장치(500, 700 및 900) 간의 개체 인증을 수행하지만, 이에 한정하는 것은 아니다. 예를 들어, 개체 인증 서버(300)는 제2 전자 장치 내지 제4 전자 장치(500, 700 및 900) 중에서 어느 하나의 전자 장치를 기준으로 제1 전자 장치 내지 제4 전자 장치(100, 500, 700 및 900) 중에서 어느 하나의 전자 장치를 제외한 나머지 전자 장치들 간의 개체 인증을 수행할 수 있다.As described above, the
즉, 전자 장치들(100, 500, 700 및 900) 간의 개체 인증은 물리적 복제 불가능 함수에 기반한 개체 인증 과정을 통해 수행되어 개체 인증 서버(300) 및 경량 기기에 적용 가능하고, 효과적일 수 있다.That is, entity authentication between the
따라서, 개체 인증의 가장 효율적인 방식은 개체 인증 서버(300)를 통해 전자 장치들(100, 500, 700 및 900) 간의 개체 인증이 수행되는 경우일 수 있다. 개체 인증 서버(300)를 통한 개체 인증은 비밀 키가 경량 기기 내부에 저장되지 않고, 필요할 때마다 물리적 복제 불가능 함수에 기반한 생성 과정을 통해 개체 인증이 수행되기에, 보안 및 하드웨어(hard ware; HW) 관점에서 장점이 있을 수 있다. 개체 인증 서버(300)를 통한 개체 인증은 기존의 개체 인증 방법이 경량 기기에 채용되기 힘든 문제점을 극복하고, 해킹 위험성을 낮아지게 할 수 있다.Accordingly, the most efficient method of object authentication may be a case in which object authentication is performed between the
도 8은 도 4에 도시된 제1 전자 장치가 접속할 제2 전자 장치를 인증하기 위한 개체 인증을 설명하기 위한 순서도를 나타낸다.8 is a flowchart illustrating entity authentication for authenticating a second electronic device to be accessed by the first electronic device illustrated in FIG. 4 .
제1 전자 장치(100)는 안전한 채널을 통해 제1 전자 장치(100)에 대응하는 제1 CRP 리스트를 개체 인증 서버(300)와 공유할 수 있다. 제2 전자 장치(500)는 안전한 채널을 통해 제2 전자 장치(500)에 대응하는 제2 CRP 리스트를 개체 인증 서버(300)와 공유할 수 있다.The first
제1 전자 장치(100)는 제2 전자 장치(500)와 접속하기 위해 개체 인증 서버(300)를 인증할 수 있다.The first
예를 들어, 제1 전자 장치(100)는 제1 전자 장치(100)에 포함된 제1 PUF 회로(131)를 통해 TRNG PUF에 기반한 난수를 생성하여 생성된 난수를 제1 챌린지 신호로 개체 인증 서버(300)에 전송할 수 있다(811). 이때, 제1 전자 장치(100)는 제1 챌린지 신호와 함께 제1 전자 장치(100)의 ID를 개체 인증 서버(300)에 전송할 수 있다.For example, the first
제1 전자 장치(100)는 제1 전자 장치(100)에 포함된 제2 PUF 회로(133)에 제1 챌린지 신호를 입력하여 제2 PUF 회로(133)가 제1 챌린지 신호에 대응하는 제1 응답 신호를 출력하게 할 수 있다.The first
개체 인증 서버(300)는 제1 전자 장치(100)로부터 전송된 제1 챌린지 신호 및 제1 전자 장치(100)의 ID를 수신할 수 있다(831).The
개체 인증 서버(300)는 제1 전자 장치(100)의 ID를 이용하여 저장된 CRP 리스트들 중에서 제1 전자 장치(100)에 대응하는 제1 CRP 리스트를 추출할 수 있다.The
개체 인증 서버(300)는 제1 CRP 리스트로부터 제1 챌린지 신호에 대응하는 응답 신호를 추출할 수 있다.The
개체 인증 서버(300)는 추출된 응답 신호를 이용하여 제1 챌린지 신호를 암호화함으로써, 제1 암호문을 생성할 수 있다. 추출된 응답 신호는 제1 챌린지 신호를 암호화하기 위한 암호화 키일 수 있다. 제1 암호문은 제1 챌린지 신호가 암호화된 암호문일 수 있다.The
개체 인증 서버(300)는 제1 암호문을 제1 전자 장치(100)로 전송할 수 있다(832).The
제1 전자 장치(100)는 개체 인증 서버(300)로부터 전송된 제1 암호문을 수신하고(812), 제1 응답 신호를 이용하여 제1 암호문을 복호화할 수 있다(813). 제1 응답 신호는 제1 암호문을 복호화하기 위한 복호화 키일 수 있다.The first
제1 전자 장치(100)는 제1 암호문이 복호화된 제1 복호화 값과 제1 챌린지 신호를 비교하여 개체 인증 서버(300)를 인증할 수 있다(814). 제1 복호화 값과 제1 챌린지 신호가 동일한 경우, 제1 전자 장치(100)는 개체 인증 서버(300)의 인증을 성공으로 결정할 수 있다(814a). 제1 복호화 값과 제1 챌린지 신호가 동일하지 않은 경우, 제1 전자 장치(100)는 개체 인증 서버(300)의 인증을 실패로 결정할 수 있다(814b).The first
개체 인증 서버(300)가 인증된 경우, 제1 전자 장치(100)는 제2 전자 장치(500)의 ID를 개체 인증 서버(300)로 전송하여 제2 전자 장치(500)에 대한 접속을 요청할 수 있다(815).When the
개체 인증 서버(300)는 제1 전자 장치(100)의 제2 전자 장치(500)에 대한 접속 요청에 응답하여 제2 전자 장치(500)를 인증할 수 있다.The
예를 들어, 개체 인증 서버(300)는 제2 전자 장치(500)의 ID를 수신하고(833), 제2 전자 장치(500)의 ID에 응답하여 TRNG PUF에 기반한 난수를 생성할 수 있다.For example, the
개체 인증 서버(300)는 생성된 난수를 제2 챌린지 신호로 제2 전자 장치(500)에 전송할 수 있다(834).The
개체 인증 서버(300)는 제2 전자 장치(500)의 ID를 이용하여 저장된 CRP 리스트들 중에서 제2 전자 장치(500)에 대응하는 제2 CRP 리스트를 추출할 수 있다.The
개체 인증 서버(300)는 제2 CRP 리스트로부터 제2 챌린지 신호에 대응하는 응답 신호를 추출할 수 있다.The
제2 전자 장치(500)는 개체 인증 서버(300)로부터 전송된 제2 챌린지 신호를 수신할 수 있다(851).The second
제2 전자 장치(500)는 제2 전자 장치(500)에 포함된 제2 PUF 회로에 제2 챌린지 신호를 입력하여 제2 챌린지 신호에 대응하는 제2 응답 신호를 출력할 수 있다. 이때, 제2 전자 장치(500)에 포함된 제2 PUF 회로는 제1 전자 장치(100)에 포함된 제2 PUF 회로(133)와 같이 CRP PUF 기반의 회로일 수 있다.The second
제2 전자 장치(500)는 제2 응답 신호를 이용하여 제2 챌린지 신호를 암호화함으로써, 제2 암호문을 생성할 수 있다. 제2 응답 신호는 제2 챌린지 신호를 암호화하기 위한 암호화 키일 수 있다. 제2 암호문은 제2 챌린지 신호가 암호화된 암호문일 수 있다.The second
제2 전자 장치(500)는 제2 암호문을 개체 인증 서버(300)로 전송할 수 있다(852).The second
개체 인증 서버(300)는 제2 전자 장치(500)로부터 전송된 제2 암호문을 수신하고(835), 제2 응답 신호를 이용하여 제2 암호문을 복호화할 수 있다(836). 제2 응답 신호는 제2 암호문을 복호화하기 위한 복호화 키일 수 있다.The
개체 인증 서버(300)는 제2 암호문이 복호화된 제2 복호화 값과 제2 챌린지 신호를 비교하여 제2 전자 장치(500)를 인증할 수 있다(837). 제2 복호화 값과 제2 챌린지 신호가 동일한 경우, 개체 인증 서버(300)는 제2 전자 장치(500)의 인증을 성공으로 결정할 수 있다(837a). 제2 복호화 값과 제2 챌린지 신호가 동일하지 않은 경우, 개체 인증 서버(300)는 제2 전자 장치(500)의 인증을 실패로 결정할 수 있다(837b).The
제2 전자 장치(500)가 인증된 경우, 개체 인증 서버(300)는 제1 전자 장치(100)의 접속 요청을 제2 전자 장치(500)에 전송하여(838) 제1 전자 장치(100)와 제2 전자 장치(500) 간의 접속을 수행할 수 있다.When the second
예를 들어, 제2 전자 장치(500)는 개체 인증 서버(300)로부터 전송된 제1 전자 장치(100)의 접속 요청에 응답하여 제1 전자 장치(100)의 접속 요청을 허용할 수 있다(853). 이에, 제2 전자 장치(500)는 제1 전자 장치(100)와 제2 전자 장치(500) 간의 개체 인증을 완료하여 제1 전자 장치(100)와 통신을 수행할 수 있다(854).For example, the second
제2 전자 장치(500)가 인증된 경우, 개체 인증 서버(300)는 제2 전자 장치(500)에 대한 인증 결과를 제1 전자 장치(100)에 전송하여(839) 제1 전자 장치(100)가 제2 전자 장치(500)에 접속하게 할 수 있다.When the second
제1 전자 장치(100)는 개체 인증 서버(300)로부터 전송된 제2 전자 장치(500)에 대한 인증 결과를 수신할 수 있다(817).The first
제1 전자 장치(100)는 제2 전자 장치(500)에 대한 인증 성공에 따라 제1 전자 장치(100)와 제2 전자 장치(500) 간의 개체 인증을 완료하여 제2 전자 장치(500)와 자유롭게 접속하여 통신을 수행할 수 있다(817).The first
제1 전자 장치(100), 개체 인증 서버(300) 및 제2 전자 장치(500)는 통신 세션에 만료되면 상술한 개체 인증 과정을 반복하여 개체 인증을 재수행할 수 있다.When the communication session expires, the first
실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.The method according to the embodiment may be implemented in the form of program instructions that can be executed through various computer means and recorded in a computer-readable medium. The computer-readable medium may include program instructions, data files, data structures, etc. alone or in combination. The program instructions recorded on the medium may be specially designed and configured for the embodiment, or may be known and available to those skilled in the art of computer software. Examples of the computer-readable recording medium include magnetic media such as hard disks, floppy disks and magnetic tapes, optical media such as CD-ROMs and DVDs, and magnetic such as floppy disks. - includes magneto-optical media, and hardware devices specially configured to store and execute program instructions, such as ROM, RAM, flash memory, and the like. Examples of program instructions include not only machine language codes such as those generated by a compiler, but also high-level language codes that can be executed by a computer using an interpreter or the like. The hardware devices described above may be configured to operate as one or more software modules to perform the operations of the embodiments, and vice versa.
소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상 장치(virtual equipment), 컴퓨터 저장 매체 또는 장치, 또는 전송되는 신호 파(signal wave)에 영구적으로, 또는 일시적으로 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.The software may comprise a computer program, code, instructions, or a combination of one or more thereof, which configures a processing device to operate as desired or is independently or collectively processed You can command the device. The software and/or data may be any kind of machine, component, physical device, virtual equipment, computer storage medium or device, to be interpreted by or to provide instructions or data to the processing device. , or may be permanently or temporarily embody in a transmitted signal wave. The software may be distributed over networked computer systems, and stored or executed in a distributed manner. Software and data may be stored in one or more computer-readable recording media.
이상과 같이 실시예들이 비록 한정된 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기를 기초로 다양한 기술적 수정 및 변형을 적용할 수 있다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.As described above, although the embodiments have been described with reference to the limited drawings, those skilled in the art may apply various technical modifications and variations based on the above. For example, the described techniques are performed in a different order than the described method, and/or the described components of the system, structure, apparatus, circuit, etc. are combined or combined in a different form than the described method, or other components Or substituted or substituted by equivalents may achieve an appropriate result.
그러므로, 다른 구현들, 다른 실시예들 및 특허청구범위와 균등한 것들도 후술하는 청구범위의 범위에 속한다.Therefore, other implementations, other embodiments, and equivalents to the claims are also within the scope of the following claims.
Claims (13)
상기 제1 전자 장치가 상기 개체 인증 서버에 대한 인증 성공에 응답하여 상기 제1 전자 장치가 접속할 제2 전자 장치의 ID를 상기 개체 인증 서버로 전송하는 단계; 및
상기 제1 전자 장치가 상기 개체 인증 서버의 상기 제2 전자 장치에 대한 인증 결과에 기초하여 상기 제2 전자 장치를 인증하는 단계
를 포함하는 개체 인증 방법.
authenticating, by the first electronic device, an object authentication server;
transmitting, by the first electronic device, an ID of a second electronic device to which the first electronic device will access to the object authentication server in response to successful authentication with respect to the object authentication server; and
authenticating, by the first electronic device, the second electronic device based on an authentication result of the object authentication server for the second electronic device;
An object authentication method that includes .
상기 개체 인증 서버를 인증하는 단계는,
상기 제1 전자 장치에 포함된 제1 PUF(physical unclonable function) 회로를 통해 난수를 생성하는 단계;
상기 난수를 상기 개체 인증 서버를 인증하기 위한 챌린지 신호로 상기 개체 인증 서버로 전송하는 단계;
상기 제1 전자 장치에 포함된 제2 PUF 회로에 상기 챌린지 신호를 입력하여 응답 신호를 출력하는 단계;
상기 개체 인증 서버로부터 상기 챌린지 신호를 이용하여 생성된 암호문을 수신하는 단계;
상기 응답 신호를 이용하여 상기 암호문을 복호화하는 단계; 및
상기 암호문을 복호화한 복호화 값과 상기 챌린지 신호를 비교하여 상기 개체 인증 서버를 인증하는 단계
를 포함하는 개체 인증 방법.
According to claim 1,
The step of authenticating the object authentication server,
generating a random number through a first physical unclonable function (PUF) circuit included in the first electronic device;
transmitting the random number to the entity authentication server as a challenge signal for authenticating the entity authentication server;
outputting a response signal by inputting the challenge signal to a second PUF circuit included in the first electronic device;
receiving an encrypted text generated using the challenge signal from the entity authentication server;
decrypting the cipher text using the response signal; and
comparing the decryption value obtained by decrypting the ciphertext with the challenge signal to authenticate the entity authentication server
An object authentication method that includes .
상기 암호문을 복호화한 복호화 값과 상기 챌린지 신호를 비교하여 상기 개체 인증 서버를 인증하는 단계는,
상기 복호화 값과 상기 챌린지 신호가 동일한 경우, 상기 개체 인증 서버의 인증을 성공으로 결정하는 단계; 또는
상기 복호화 값과 상기 챌린지 신호가 동일하지 않는 경우, 상기 개체 인증 서버의 인증을 실패로 결정하는 단계
를 포함하는 개체 인증 방법.
3. The method of claim 2,
The step of authenticating the entity authentication server by comparing the decryption value obtained by decrypting the ciphertext with the challenge signal,
determining that the authentication of the entity authentication server is successful when the decryption value and the challenge signal are the same; or
determining that the authentication of the entity authentication server fails when the decryption value and the challenge signal are not the same
An object authentication method that includes .
상기 제1 전자 장치가 상기 제2 전자 장치에 대한 인증 성공에 응답하여 상기 개체 인증 서버를 통해 상기 제2 전자 장치로 접속을 수행하는 단계
를 더 포함하는 개체 인증 방법.
According to claim 1,
performing, by the first electronic device, an access to the second electronic device through the entity authentication server in response to a successful authentication with respect to the second electronic device;
An object authentication method further comprising a.
상기 개체 인증 서버가 상기 챌린지 신호에 응답하여 상기 암호문을 생성하는 단계; 및
상기 개체 인증 서버가 상기 암호문을 상기 제1 전자 장치로 전송하는 단계
를 더 포함하는 개체 인증 방법.
3. The method of claim 2,
generating, by the entity authentication server, the encrypted text in response to the challenge signal; and
transmitting, by the entity authentication server, the encrypted text to the first electronic device
An object authentication method further comprising a.
상기 암호문을 생성하는 단계는,
상기 챌린지 신호에 응답하여 CRP 리스트(challenge to response pairs list)로부터 상기 챌린지 신호에 대응하는 응답 신호를 추출하는 단계;
추출된 응답 신호를 이용하여 상기 챌린지 신호를 암호화함으로써, 상기 암호문을 생성하는 단계
를 포함하는 개체 인증 방법.
6. The method of claim 5,
The step of generating the ciphertext is
extracting a response signal corresponding to the challenge signal from a CRP list (challenge to response pairs list) in response to the challenge signal;
generating the cipher text by encrypting the challenge signal using the extracted response signal
An object authentication method that includes .
상기 개체 인증 서버가 상기 제2 전자 장치의 ID에 응답하여 상기 제2 전자 장치를 인증하는 단계;
상기 개체 인증 서버가 상기 제2 전자 장치에 대한 인증 결과를 상기 제1 전자 장치로 전송하는 단계; 및
상기 개체 인증 서버가 상기 제1 전자 장치의 상기 제2 전자 장치에 대한 접속 요청을 상기 제2 전자 장치로 전송하는 단계
를 더 포함하는 개체 인증 방법.
According to claim 1,
authenticating, by the entity authentication server, the second electronic device in response to the ID of the second electronic device;
transmitting, by the entity authentication server, an authentication result for the second electronic device to the first electronic device; and
transmitting, by the entity authentication server, an access request of the first electronic device to the second electronic device to the second electronic device
An object authentication method further comprising a.
상기 개체 인증 서버가 상기 제2 전자 장치의 ID에 응답하여 상기 제2 전자 장치를 인증하는 단계는,
난수를 생성하여 상기 난수를 상기 제2 전자 장치를 인증하기 위한 챌린지 신호로 상기 제2 전자 장치로 전송하는 단계;
상기 제2 전자 장치에 대응하는 CRP 리스트로부터 상기 챌린지 신호에 대응하는 응답 신호를 추출하는 단계;
상기 제2 전자 장치로부터 상기 챌린지 신호를 이용하여 생성된 암호문을 수신하는 단계;
추출된 응답 신호를 이용하여 상기 암호문을 복호화하는 단계; 및
상기 암호문을 복호화한 복호화 값과 상기 챌린지 신호를 비교하여 상기 제2 전자 장치를 인증하는 단계
를 포함하는 개체 인증 방법.
8. The method of claim 7,
The step of authenticating, by the entity authentication server, the second electronic device in response to the ID of the second electronic device,
generating a random number and transmitting the random number to the second electronic device as a challenge signal for authenticating the second electronic device;
extracting a response signal corresponding to the challenge signal from the CRP list corresponding to the second electronic device;
receiving a ciphertext generated using the challenge signal from the second electronic device;
decrypting the ciphertext using the extracted response signal; and
authenticating the second electronic device by comparing a decryption value obtained by decrypting the ciphertext with the challenge signal
An object authentication method that includes .
개체 인증 서버와 통신을 수행하는 송수신기; 및
상기 개체 인증 서버를 인증하고, 상기 개체 인증 서버의 상기 전자 장치가 접속할 상이한 전자 장치에 대한 인증 결과에 기초하여 상기 상이한 전자 장치를 인증하는 보안 칩
을 포함하는 전자 장치.
In an electronic device,
a transceiver for communicating with the entity authentication server; and
A security chip that authenticates the entity authentication server, and authenticates the different electronic device based on an authentication result for a different electronic device to which the electronic device of the entity authentication server will access
An electronic device comprising a.
상기 보안 칩은,
난수를 생성하고, 상기 난수를 상기 개체 인증 서버를 인증하기 위한 제1 챌린지 신호로 출력하는 제1 PUF 회로;
상기 제1 챌린지 신호에 응답하여 제1 응답 신호를 출력하는 제2 PUF 회로;
상기 개체 인증 서버로부터 상기 제1 챌린지 신호를 이용하여 생성된 제1 암호문을 수신하고, 상기 제1 응답 신호를 이용하여 상기 제1 암호문을 복호화하는 복호화기; 및
상기 제1 암호문을 복호화한 제1 복호화 값과 상기 제1 챌린지 신호를 비교하여 상기 개체 인증 서버를 인증하고, 상기 개체 인증 서버의 상기 상이한 전자 장치에 대한 인증 성공에 응답하여 상기 상이한 전자 장치를 인증하는 인증기
를 포함하는 전자 장치.
10. The method of claim 9,
The security chip,
a first PUF circuit that generates a random number and outputs the random number as a first challenge signal for authenticating the entity authentication server;
a second PUF circuit for outputting a first response signal in response to the first challenge signal;
a decrypter for receiving a first ciphertext generated using the first challenge signal from the entity authentication server and decrypting the first ciphertext using the first response signal; and
The entity authentication server is authenticated by comparing the first decryption value obtained by decrypting the first ciphertext with the first challenge signal, and the different electronic device is authenticated in response to the authentication success of the entity authentication server for the different electronic device. authenticator
An electronic device comprising a.
상기 보안 칩은,
상기 제2 PUF 회로가 상기 개체 인증 서버가 상기 전자 장치를 인증하기 위한 제2 챌린지 신호에 응답하여 출력한 제2 응답 신호를 이용하여 상기 제2 챌린지 신호를 암호화함으로써, 제2 암호문을 생성하는 암호화기
를 더 포함하고,
상기 제2 암호문은 상기 개체 인증 서버가 상기 전자 장치를 인증하기 위해서 상기 개체 인증 서버로 전송되는 전자 장치.
11. The method of claim 10,
The security chip,
The second PUF circuit encrypts the second challenge signal using a second response signal output by the entity authentication server in response to a second challenge signal for authenticating the electronic device, thereby generating a second ciphertext. group
further comprising,
The second encrypted text is transmitted to the object authentication server in order for the object authentication server to authenticate the electronic device.
상기 송수신기는,
상기 개체 인증 서버에 대한 인증 성공에 응답하여 상기 상이한 전자 장치의 ID를 상기 개체 인증 서버로 전송하는 전자 장치.
10. The method of claim 9,
The transceiver is
An electronic device that transmits the ID of the different electronic device to the object authentication server in response to successful authentication with respect to the object authentication server.
상기 전자 장치는,
상기 개체 인증 서버 및 상기 상이한 전자 장치에 대한 인증 성공에 응답하여 상기 개체 인증 서버를 통해 상기 상이한 전자 장치로 접속을 수행하는 전자 장치.10. The method of claim 9,
The electronic device is
An electronic device configured to access the different electronic device through the entity authentication server in response to successful authentication of the entity authentication server and the different electronic device.
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020190176844A KR20210083992A (en) | 2019-12-27 | 2019-12-27 | Method of authenticating entity for lightweight device and apparatuses performing the same |
| PCT/KR2020/019033 WO2021133074A2 (en) | 2019-12-27 | 2020-12-23 | Method for entity or message authentication dedicated to lightweight device, and devices for performing same |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020190176844A KR20210083992A (en) | 2019-12-27 | 2019-12-27 | Method of authenticating entity for lightweight device and apparatuses performing the same |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR20210083992A true KR20210083992A (en) | 2021-07-07 |
Family
ID=76862272
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020190176844A KR20210083992A (en) | 2019-12-27 | 2019-12-27 | Method of authenticating entity for lightweight device and apparatuses performing the same |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR20210083992A (en) |
-
2019
- 2019-12-27 KR KR1020190176844A patent/KR20210083992A/en not_active Application Discontinuation
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9467430B2 (en) | Device, method, and system for secure trust anchor provisioning and protection using tamper-resistant hardware | |
| US10187373B1 (en) | Hierarchical, deterministic, one-time login tokens | |
| US8689290B2 (en) | System and method for securing a credential via user and server verification | |
| JP2018201217A (en) | Method of using one device to unlock another device | |
| US10129228B1 (en) | Authenticated communication between devices | |
| CN113691502B (en) | Communication method, device, gateway server, client and storage medium | |
| US10346619B2 (en) | Method and system for providing an update of code on a memory-constrained device | |
| KR101739203B1 (en) | Password-based user authentication method using one-time private key-based digital signature and homomorphic encryption | |
| WO2015054086A1 (en) | Proof of device genuineness | |
| US20210073359A1 (en) | Secure one-time password (otp) authentication | |
| CN114553590B (en) | Data transmission method and related equipment | |
| CN111401901A (en) | Authentication method and device of biological payment device, computer device and storage medium | |
| KR101802588B1 (en) | Mutual authentication method between mutual authentication devices based on session key and token, mutual authentication devices | |
| Narendrakumar et al. | Token security for internet of things | |
| US11582607B2 (en) | Wireless security protocol | |
| Matischek et al. | Application study of hardware-based security for future industrial IoT | |
| US10057054B2 (en) | Method and system for remotely keyed encrypting/decrypting data with prior checking a token | |
| JP6167667B2 (en) | Authentication system, authentication method, authentication program, and authentication apparatus | |
| KR102094606B1 (en) | Apparatus and method for authentication | |
| CN117176353A (en) | Method and device for processing data | |
| KR20210083992A (en) | Method of authenticating entity for lightweight device and apparatuses performing the same | |
| Sadqi et al. | A cryptographic mutual authentication scheme for web applications | |
| KR20210083991A (en) | Method of authenticating message for lightweight device and apparatuses performing the same | |
| CN116015900B (en) | Data self-storage self-verification method, device, equipment and storage medium | |
| US11616789B2 (en) | Communication system, communication method, and computer program product |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| E902 | Notification of reason for refusal | ||
| E601 | Decision to refuse application |