KR20220155867A - Uwb 보안 레인징을 수행하기 위한 방법 및 장치 - Google Patents

Uwb 보안 레인징을 수행하기 위한 방법 및 장치 Download PDF

Info

Publication number
KR20220155867A
KR20220155867A KR1020210063701A KR20210063701A KR20220155867A KR 20220155867 A KR20220155867 A KR 20220155867A KR 1020210063701 A KR1020210063701 A KR 1020210063701A KR 20210063701 A KR20210063701 A KR 20210063701A KR 20220155867 A KR20220155867 A KR 20220155867A
Authority
KR
South Korea
Prior art keywords
uwb
encrypted
key
rds
ranging
Prior art date
Application number
KR1020210063701A
Other languages
English (en)
Inventor
조성규
한세희
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Priority to KR1020210063701A priority Critical patent/KR20220155867A/ko
Priority to US17/746,316 priority patent/US20220369103A1/en
Priority to PCT/KR2022/007062 priority patent/WO2022245109A1/en
Publication of KR20220155867A publication Critical patent/KR20220155867A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04BTRANSMISSION
    • H04B1/00Details of transmission systems, not covered by a single one of groups H04B3/00 - H04B13/00; Details of transmission systems not characterised by the medium used for transmission
    • H04B1/69Spread spectrum techniques
    • H04B1/7163Spread spectrum techniques using impulse radio
    • H04B1/71632Signal aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/045Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0877Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/088Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • H04L9/0897Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/35Protecting application or service provisioning, e.g. securing SIM application provisioning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04BTRANSMISSION
    • H04B2201/00Indexing scheme relating to details of transmission systems not covered by a single group of H04B3/00 - H04B13/00
    • H04B2201/69Orthogonal indexing scheme relating to spread spectrum techniques in general
    • H04B2201/7163Orthogonal indexing scheme relating to impulse radio
    • H04B2201/71634Applied to ranging
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/062Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying encryption of the keys

Abstract

본 개시는 UWB 보안 레인징을 위한 방법을 개시한다. 본 개시의 보안 레인징을 수행하는 UWB 장치의 방법은 UWB 장치의 UWB 서브시스템으로부터 UWB 장치의 보안 어플리케이션의 공개 키에 의해 암호화된 대칭 키를 포함하는 제1 암호화 데이터를 획득하고, 제1 암호화 데이터를 보안 어플리케이션으로 전달하는 단계, 및 보안 어플리케이션으로부터 대칭 키에 의해 암호화된 레인징 데이터 세트(RDS)를 포함하는 제2 암호화 데이터를 획득하고, 제2 암호화 데이터를 상기 UWB 서브시스템으로 전달하는 단계를 포함할 수 있다. 이때, RDS는 UWB 레인징 세션을 보안하기 위해 사용되는 레인징 세션 키를 포함하며, 보안 어플리케이션은 TEE 영역 내에 포함될 수 있다.

Description

UWB 보안 레인징을 수행하기 위한 방법 및 장치 {METHOD AND APPARATUS FOR PERFORMING UWB (ULTRA WIDE BAND) SECURE RANGING}
본 개시는 UWB 통신에 관한 것으로, 보다 상세하게는 UWB 보안 레인징을 수행하기 위한 방법 및 장치에 관한 것이다.
인터넷은 인간이 정보를 생성하고 소비하는 인간 중심의 연결 망에서, 사물 등 분산된 구성 요소들 간에 정보를 주고 받아 처리하는 IoT (Internet of Things, 사물 인터넷) 망으로 진화하고 있다. 클라우드 서버 등과의 연결을 통한 빅데이터 (Big data) 처리 기술 등이 IoT 기술에 결합된 IoE(Internet of Everything) 기술도 대두되고 있다. IoT를 구현하기 위해서는, 센싱 기술, 유무선 통신 및 네트워크 인프라, 서비스 인터페이스 기술, 및 보안 기술과 같은 기술 요소 들이 요구된다. 최근에는 사물간의 연결을 위한 센서 네트워크(sensor network), 사물 통신 (Machine to Machine, M2M), MTC(Machine Type Communication) 등의 기술이 연구되고 있다.
IoT 환경에서는 연결된 사물들에서 생성된 데이터를 수집, 분석하여 인간의 삶에 새로운 가치를 창출하는 지능형 IT(Internet Technology) 서비스가 제공될 수 있다. IoT는, 기존의 IT(information technology) 기술과 다양한 산업 간의 융합 및 복합을 통하여, 스마트홈, 스마트 빌딩, 스마트 시티, 스마트 카 혹은 커넥티드 카, 스마트 그리드, 헬스 케어, 스마트 가전, 첨단의료서비스 등의 분야에 응용될 수 있다.
무선 통신 시스템의 발전에 따라 다양한 서비스를 제공할 수 있게 됨으로써, 이러한 서비스들을 효과적으로 제공하기 위한 방안이 요구되고 있다. 예를 들어, UWB(Ultra Wide Band)를 이용하여 전자 디바이스들 간의 거리를 측정하는 레인징(ranging) 기술이 사용될 수 있다. UWB는, 무선 반송파를 사용하지 않고 기저 대역에서 수 GHz이상의 매우 넓은 주파수 대역을 사용하는 무선 통신 기술이다.
본 개시는 UWB 보안 레인징을 위해 사용되는 레인징 파라미터를 암호화하기 위해 사용되는 키를 UWB 서브시스템과 보안 컴포넌트 사이에 공유하는 방법을 제공한다. 또한, 본 개시는 공유된 키에 의해 암호화된 RDS를 보안 컴포넌트로부터 UWB 서브시스템으로 전달하기 위한 방법을 제공한다.
본 개시의 다양한 실시예에 따른, 보안 레인징을 수행하는 UWB 장치의 방법은 상기 UWB 장치의 UWB 서브시스템으로부터 상기 UWB 장치의 보안 어플리케이션의 공개 키에 의해 암호화된 대칭 키를 포함하는 제1 암호화 데이터를 획득하고, 상기 제1 암호화 데이터를 상기 보안 어플리케이션으로 전달하는 단계; 및 상기 보안 어플리케이션으로부터 상기 대칭 키에 의해 암호화된 레인징 데이터 세트(RDS)를 포함하는 제2 암호화 데이터를 획득하고, 상기 제2 암호화 데이터를 상기 UWB 서브시스템으로 전달하는 단계를 포함하며, 상기 대칭 키는 상기 UWB 서브 시스템에 의해 생성되어 암호화되며, 상기 RDS는 UWB 레인징 세션을 보안하기 위해 사용되는 레인징 세션 키를 포함하며, 상기 보안 어플리케이션은 TEE(Trusted Execution Environment) 영역 내에 포함될 수 있다.
본 개시의 다양한 실시예에 따른, 보안 레인징을 수행하는 UWB 장치는 메모리; 트랜시버; 및 상기 메모리 및 상기 트랜시버에 연결된 컨트롤러를 포함하며, 상기 컨트롤러는: 상기 UWB 장치의 UWB 서브시스템으로부터 상기 UWB 장치의 보안 어플리케이션의 공개 키에 의해 암호화된 대칭 키를 포함하는 제1 암호화 데이터를 획득하고, 상기 제1 암호화 데이터를 상기 보안 어플리케이션으로 전달하고, 상기 보안 어플리케이션으로부터 상기 대칭 키에 의해 암호화된 레인징 데이터 세트(RDS)를 포함하는 제2 암호화 데이터를 획득하고, 상기 제2 암호화 데이터를 상기 UWB 서브시스템으로 전달하도록 구성되며, 상기 대칭 키는 상기 UWB 서브 시스템에 의해 생성되어 암호화되며, 상기 RDS는 UWB 레인징 세션을 보안하기 위해 사용되는 레인징 세션 키를 포함하며, 상기 보안 어플리케이션은 TEE(Trusted Execution Environment) 영역 내에 포함될 수 있다.
본 개시의 실시예에 따른 레인징 파라미터를 암호화하기 위해 사용되는 키를 공유하는 방법에 따라 암호화의 효율성 및 보안성을 높일 수 있다. 또한, 본 개시의 실시예에 따른 공유된 키에 의해 암호화된 RDS를 전달하는 방법에 따라 효율적이며 높은 보안성을 갖는 보안 레인징을 수행할 수 있다.
도 1은 UWB 기반 서비스를 지원하는 전자 장치의 예시적인 아키텍쳐을 나타낸다.
도 2는 UWB 기반 서비스를 지원하는 전자 장치를 포함하는 통신 시스템의 예시적인 구성을 나타낸다.
도 3은 UWB 기반 서비스를 지원하는 전자 장치에 포함된 프레임워크의 예시적인 구성을 나타낸다.
도 4는 SE를 포함하는 UWB 장치가 다른 UWB 장치와 secure ranging을 수행하는 예시적인 동작을 나타낸다.
도 5는 SE를 포함하는 UWB 장치의 UWBS가 보안 레인징을 위해 레인징 데이터 세트를 획득하는 방법을 나타낸다.
도 6은 본 개시의 일 실시예에 따른, TEE를 포함하는 UWB 장치의 예시적인 구성을 나타낸다.
도 7은 본 개시의 일 실시예에 따른 UWB 장치에서 보안 레인징을 위해 UWBS와 프레임워크 사이에 수행되는 절차를 나타낸다.
도 8은 본 개시의 일 실시예에 따른 UWB 장치에서 보안 레인징을 위해 프레임워크와 TEE 사이에 수행되는 절차를 나타낸다.
도 9는 본 개시의 일 실시예에 따른, UWB 장치의 등록 절차를 나타낸다.
도 10은 본 개시의 일 실시예에 따른, UWB 장치가 암호화된 대칭 키를 전달하는 절차를 나타낸다.
도 11은 본 개시시의 일 실시예에 따른 UWB 장치가 암호화된 RDS를 전달하는 절차를 나타낸다.
도 12는 본 개시의 일 실시예에 따른 UWB 장치의 방법을 나타내는 흐름도이다.
도 13은 본 개시의 일 실시예에 따른 전자 장치의 구조를 도시한 도면이다.
이하, 본 개시의 실시 예를 첨부된 도면을 참조하여 상세하게 설명한다.
실시 예를 설명함에 있어서 본 개시가 속하는 기술 분야에 익히 알려져 있고 본 개시와 직접적으로 관련이 없는 기술 내용에 대해서는 설명을 생략한다. 이는 불필요한 설명을 생략함으로써 본 개시의 요지를 흐리지 않고 더욱 명확히 전달하기 위함이다.
마찬가지 이유로 첨부된 도면에 있어서 일부 구성요소는 과장되거나 생략되거나 개략적으로 도시되었다. 또한, 각 구성요소의 크기는 실제 크기를 전적으로 반영하는 것이 아니다. 각 도면에서 동일한 또는 대응하는 구성요소에는 동일한 참조 번호를 부여하였다.
본 개시의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시 예들을 참조하면 명확해질 것이다. 그러나 본 개시는 이하에서 개시되는 실시 예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 개시의 실시 예들은 본 개시가 완전하도록 하고, 본 개시가 속하는 기술분야에서 통상의 지식을 가진 자에게 개시의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 개시는 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.
이때, 처리 흐름도 도면들의 각 블록과 흐름도 도면들의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수 있음을 이해할 수 있을 것이다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 흐름도 블록(들)에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 흐름도 블록(들)에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능할 수 있다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 흐름도 블록(들)에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능할 수 있다.
또한, 각 블록은 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실행 예들에서는 블록들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능할 수 있다.
이때, 본 실시 예에서 사용되는 '~부'라는 용어는 소프트웨어 또는 FPGA(Field Programmable Gate Array) 또는 ASIC(Application Specific Integrated Circuit)과 같은 하드웨어 구성요소를 의미하며, '~부'는 어떤 역할들을 수행한다. 그렇지만 '~부'는 소프트웨어 또는 하드웨어에 한정되는 의미는 아니다. '~부'는 어드레싱할 수 있는 저장 매체에 있도록 구성될 수도 있고 하나 또는 그 이상의 프로세서들을 재생시키도록 구성될 수도 있다. 따라서, 일부 실시 예에 따르면 '~부'는 소프트웨어 구성요소들, 객체지향 소프트웨어 구성요소들, 클래스 구성요소들 및 태스크 구성요소들과 같은 구성요소들과, 프로세스들, 함수들, 속성들, 프로시저들, 서브루틴들, 프로그램 코드의 세그먼트들, 드라이버들, 펌웨어, 마이크로코드, 회로, 데이터, 데이터베이스, 데이터 구조들, 테이블들, 어레이들, 및 변수들을 포함한다. 구성요소들과 '~부'들 안에서 제공되는 기능은 더 작은 수의 구성요소들 및 '~부'들로 결합되거나 추가적인 구성요소들과 '~부'들로 더 분리될 수 있다. 뿐만 아니라, 구성요소들 및 '~부'들은 디바이스 또는 보안 멀티미디어카드 내의 하나 또는 그 이상의 CPU들을 재생시키도록 구현될 수도 있다. 또한 일부 실시 예에 따르면, '~부'는 하나 이상의 프로세서를 포함할 수 있다.
본 명세서에서 사용하는 용어 '단말' 또는 '기기'는 이동국(MS), 사용자 장비(UE; User Equipment), 사용자 터미널(UT; User Terminal), 무선 터미널, 액세스 터미널(AT), 터미널, 가입자 유닛(Subscriber Unit), 가입자 스테이션(SS; Subscriber Station), 무선 기기(wireless device), 무선 통신 디바이스, 무선 송수신 유닛(WTRU; Wireless Transmit/Receive Unit), 이동 노드, 모바일 또는 다른 용어들로서 지칭될 수 있다. 단말의 다양한 실시 예들은 셀룰러 전화기, 무선 통신 기능을 가지는 스마트 폰, 무선 통신 기능을 가지는 개인 휴대용 단말기(PDA), 무선 모뎀, 무선 통신 기능을 가지는 휴대용 컴퓨터, 무선 통신 기능을 가지는 디지털 카메라와 같은 촬영장치, 무선 통신 기능을 가지는 게이밍 장치, 무선 통신 기능을 가지는 음악저장 및 재생 가전제품, 무선 인터넷 접속 및 브라우징이 가능한 인터넷 가전제품뿐만 아니라 그러한 기능들의 조합들을 통합하고 있는 휴대형 유닛 또는 단말기들을 포함할 수 있다. 또한, 단말은 M2M(Machine to Machine) 단말, MTC(Machine Type Communication) 단말/디바이스를 포함할 수 있으나, 이에 한정되는 것은 아니다. 본 명세서에서 상기 단말은 전자 장치 또는 단순히 장치라 지칭할 수도 있다.
이하 첨부된 도면을 참조하여 본 개시의 동작 원리를 상세히 설명한다. 하기에서 본 개시를 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 개시의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 개시에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
이하 본 개시의 실시 예를 첨부한 도면과 함께 상세히 설명한다. 이하에서는 UWB를 이용하는 통신 시스템을 일례로서 본 개시의 실시예를 설명하지만, 유사한 기술적 배경 또는 특성을 갖는 여타의 통신 시스템에도 본 개시의 실시예가 적용될 수 있다. 예를 들어, 블루투스 또는 지그비를 이용하는 통신 시스템 등이 이에 포함될 수 있을 것이다. 따라서, 본 개시의 실시예는 숙련된 기술적 지식을 가진 자의 판단으로써 본 개시의 범위를 크게 벗어나지 아니하는 범위에서 일부 변형을 통해 다른 통신시스템에도 적용될 수 있다.
또한, 본 개시를 설명함에 있어서 관련된 기능 혹은 구성에 대한 구체적인 설명이 본 개시의 요지를 불필요하게 흐릴 수 있다고 판단된 경우 그 상세한 설명은 생략한다. 그리고 후술되는 용어들은 본 개시에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
일반적으로 무선 센서 네트워크 기술은 인식 거리에 따라 크게 무선랜(Wireless Local Area Network; WLAN) 기술과 무선 사설망(Wireless Personal Area Network; WPAN) 기술로 구분된다. 이 때 무선랜은 IEEE 802.11에 기반한 기술로서, 반경 100m 내외에서 기간망(backbone network)에 접속할 수 있는 기술이다. 그리고 무선 사설망은 IEEE 802.15에 기반한 기술로서, 블루투스(Bluetooth), 지그비(ZigBee), 초광대역 통신(ultra wide band; UWB) 등이 있다. 이러한 무선 네트워크 기술이 구현되는 무선 네트워크는 복수의 전자 장치들로 이루어질 수 있다.
UWB는 기저 대역 상태에서 수 GHz 이상의 넓은 주파수 대역, 낮은 스펙트럼 밀도 및 짧은 펄스 폭(1~4 nsec)을 이용하는 단거리 고속 무선 통신 기술을 의미할 수 있다. UWB는 UWB 통신이 적용되는 대역 자체를 의미할 수도 있다. UWB는 장치들 간의 안전하고 정확한(secure and accurate) 레인징을 가능하게 한다.
UWB 기반 서비스의 동작은 UWB 기반의 서비스를 개시하기 위한 서비스 개시 단계(Service Initiation Step), 보안을 위한 키를 제공하기 위한 키 프로비저닝 단계(Key provisioning Step), 장치를 발견하기 위한 디스커버리 단계(Discovery Step), 보안 채널 생성과 파라미터 교환을 포함하는 연결 단계(Connection Step) 및/또는 장치들 간의 거리/방향(각도)를 측정하기 위한 UWB 레인징 단계(UWB Ranging Step)를 포함할 수 있다. 한편, 실시예에 따라, 일부 단계는 생략되거나, 추가 단계가 더 추가될 수 있다.
이하의 설명에서 사용되는 특정 용어들은 본 개시의 이해를 돕기 위해서 제공된 것이며, 이러한 특정 용어의 사용은 본 개시의 기술적 사상을 벗어나지 않는 범위에서 다른 형태로 변경될 수 있다.
"Application Dedicated File (ADF)"는 예를 들면, 어플리케이션이나 SE (Secure Element) (예컨대, eSE (embeded SE)) 에서 사용하는 보안 데이터(예컨대, credential, cryptographic key)나, 어플리케이션 특정 데이터(application specific data)를 호스팅(hosting)할 수 있는 데이터 구조일 수 있다.
"Application Protocol Data Unit(APDU)"는 Secure Element(SE)(예컨대, embedded SE)와 통신하는 경우에 사용되는 명령(command) 및 응답(response)일 수 있다.
"application specific data"는 예를 들면, 장소(예컨대, applet, device 등)와 관계없이 특정 서비스와 어플리케이션이 사용하는 데이터일 수 있다.
"Controller"는 Ranging Control Messages (RCM) (또는, 제어 메시지)를 정의 및 제어하는 Ranging Device일 수 있다. 본 개시에서, Ranging Device는 예컨대, IEEE Std 802.15.4/4z 표준에 정의된 RDEV(Ranging Device) 또는 ERDEV(Enhanced Ranging Device)일 수 있다.
"Controllee"는 Controller로부터 수신된 RCM (또는, 제어 메시지)내의 레인징 파라미터를 이용하는 Ranging Device일 수 있다.
"Dynamic STS(Scrambled Timestamp Sequence)"는 "Static STS"와 달리, STS가 레인징 세션 동안 반복되지 않는 동작 모드일 수 있다. 일 실시에서, 이 STS는 Ranging device 에서 관리되고, STS를 생성하는 Ranging Session Key는 Secure Component에 의해 관리될 수 있다.
"Applet"는 Secure Component 상에서 실행되는 APDU 인터페이스를 구현하고, AID(Application (Applet) ID)에 의해 식별되는 Applet일 수 있다. 이 Applet은 secure ranging을 위해 필요한 데이터를 호스팅할 수 있다. 일 실시예에서, Applet은 예컨대, FIRA CONSORTIUM COMMON SERVICE & MANAGEMENT LAYER(CSML) 스펙에 정의된 FiRa Applet일 수 있다.
"Ranging Device"는 미리 정의된 profiles(예컨대, UWB-enabled door lock)을 사용하는 다른 Ranging Device와 통신할 수 있는 Ranging Device이거나, 또는, 다른 Ranging Device와 레인징 세션을 수행하기 위해 미리 정의된 UWB 레인징 서비스를 지원할 수 있는 Ranging Device일 수 있다. 본 개시에서, Ranging Device는 UWB Device 또는 UWB Ranging Device로 지칭될 수 있다. 일 실시예에서, Ranging Device은 예컨대, FIRA CONSORTIUM CSML 스펙에 정의된 FiRa Device일 수 있다.
"UWB-enabled Application"는 UWB 세션을 위한, OOB Connector, Secure Service 및/또는 UWB 서비스를 구성하기 위한 Framework API를 이용하는 어플리케이션일 수 있다. 본 개시에서, "UWB-enabled Application"는 어플리케이션 또는 UWB 어플리케이션으로 약칭될 수 있다. 일 실시예에서, UWB-enabled Application은 예컨대, FIRA CONSORTIUM CSML 스펙에 정의된 FiRa-enabled Application일 수 있다.
"Framework"는 OOB Connector, Secure Service 및/또는 UWB 서비스를 포함하는 논리적 소프트웨어 컴포넌트(logical software components)의 집합(collection)일 수 있다. 일 실시예에서, Framework는 예컨대, FIRA CONSORTIUM CSML 스펙에 정의된 FiRa Framework일 수 있다.
"OOB Connector"는 Ranging Device 간의 OOB(out-of-band) 통신(예컨대, BLE 통신)을 설정하기 위한 소프트웨어 컴포넌트일 수 있다. 일 실시예에서, OOB Connector는 예컨대, FIRA CONSORTIUM CSML 스펙에 정의된 FiRa OOB Connector일 수 있다.
"Profile"은 UWB 및 OOB 구성 파라미터(configuration parameter)의 미리 정의된 세트일 수 있다. 일 실시예에서, Profile은 예컨대, FIRA CONSORTIUM CSML 스펙에 정의된 FiRa Profile일 수 있다.
"Profile Manager"는 Ranging Device에서 이용가능한 프로필을 구현할 수 있다. 일 실시예에서, Profile Manager는 예컨대, FIRA CONSORTIUM CSML 스펙에 정의된 FiRa Profile Manager일 수 있다.
"Smart Ranging Device"는 하나 이상의 UWB-enabled Application을 호스팅할 수 있고, Framework를 구현할 수 있는 Ranging Device이거나, 또는 제조사에 의해 제공되는 특정 service application를 구현하는 Ranging device일 수 있다(예컨대, physical access reader). Smart Ranging Device는 다른 Ranging Device 또는 Smart Ranging Device와의 레인징 세션을 수행하기 위해 UWB 레인징 기반 서비스를 지원하기 위하여, 다중 UWB-enabled Application을 인스톨할 수 있는 Ranging Device일 수 있다. 일 실시예에서, Smart Ranging Device는 예컨대, FIRA CONSORTIUM CSML 스펙에 정의된 FiRa Smart Device일 수 있다.
"Global Dedicated File(GDF)"는 USB 세션을 설정하기 위해 필요한 데이터를 포함하는 application specific data의 root level일 수 있다.
"Framework API"는 Framework와 통신하기 위해 UWB-enabled Application에 의해 사용되는 API일 수 있다.
"Initiator"는 레인징 교환(ranging exchange)을 개시하는 Ranging Device일 수 있다.
"Object Identifier (OID)"는 application data structure 내의 ADF의 식별자이거나, 또는 service provider(SP)를 식별하는 unique ID일 수 있다.
"Out-Of-Band (OOB)"는 하위(underlying) 무선 기술로서 UWB를 사용하지 않는 데이터 통신일 수 있다.
"Responder"는 레인징 교환에서 Initiator에 응답하는 Ranging Device일 수 있다.
"STS"는 레인징 측정 타임스탬프(ranging measurement timestamps)의 무결성 및 정확도(integrity and accuracy)를 증가시키기 위한 암호화된 시퀀스(ciphered sequence)일 수 있다. 일 실시예에서, STS는 레인징 세션 키로부터 생성될 수 있다.
"Secure Channel"는 overhearing 및 tampering을 방지하는 데이터 채널일 수 있다.
"Secure Component"은 예컨대, dynamic STS가 사용되는 경우에, UWBS에 RDS를 제공하기 위한 목적으로 UWBS와 인터페이싱하는 컴포넌트일 수 있다. 또한, 이는 UWB-enabled Application data를 호스팅할 수 있다.
"Secure Element(SE)"는 Ranging Device 내 Secure Component로서 사용될 수 있는 tamper-resistant secure hardware component일 수 있다.
"Secure Service"는 Secure Element 또는 TEE(Trusted Execution Environment)와 같은 시스템의 Secure Component와 인터페이싱하기 위한 컴포넌트일 수 있다.
"Static STS"는 STS가 세션 동안 반복되는 동작 모드로서, Secure Component에 의해 관리될 필요가 없다.
"SUS Applet"은 UWBS와 SE와 같은 Secure Component 간의 Secure Channel을 위해 end point로서 동작하는 Secure Component 상의 Applet일 수 있다.
"UWB Service"는 UWBS에 대한 접속(access)을 제공하는 component일 수 있다.
"UWB Session"은 Controller 및 Controllee(s)가 UWB 레인징을 시작할 수 있는 경우에 설정될 수 있는 세션일 수 있다.
"UWB Session ID"는 UWB Session을 식별하는 ID(예컨대, 정수)일 수 있다.
"UWB Session Key"는 UWB Session을 보호하기 위해 사용되는 키일 수 있다. 일 실시예에서, UWB Session Key 는 STS를 생성하기 위해 사용될 수 있다. 본 개시에서, UWB Session Key는 UWB Ranging Session Key(URSK)일 수 있고, 세션 키로 약칭될 수 있다.
"UWB Subsystem(UWBS)"는 UWB PHY 및 MAC 스펙을 구현하는 하드웨어 컴포넌트일 수 있다. UWBS는 Framework에 대한 인터페이스 및 RDS를 검색하기 위한 Secure Component에 대한 인터페이스를 가질 수 있다. 일 실시예에서, UWB PHY 및 MAC 스펙은 예컨대, IEEE 802.15.4/4z를 참조하는 FiRa CONSORTIUM의 PHY 및 MAC 스펙일 수 있다.
그리고, 본 개시를 설명함에 있어서, 관련된 공지기능 또는 구성에 대한 구체적인 설명이 본 개시의 요지를 불필요하게 흐릴 수 있다고 판단된 경우, 그 상세한 설명은 생략한다.
이하 첨부된 도면을 참고하여 본 개시의 다양한 실시예들을 설명한다.
도 1은 UWB 기반 서비스를 지원하는 전자 장치의 예시적인 아키텍쳐을 나타낸다.
도 1의 전자 장치(UWB 장치)(100)는 UWB 레인징(예컨대, UWB secure ranging)을 지원하는 전자 장치, 예컨대, Smart Ranging Device 일 수 있다.
도 1을 참조하면, 전자 장치(100)는 UWB-enabled Application Layer(110), Common Service & Management Layer(120), 및/또는 UWB MAC Layer와 UWB Physical Layer를 포함하는 UWB 서브시스템(UWBS)(130)를 포함할 수 있다. 실시예에 따라서는, 일부 레이어가 전자 장치(100)에 포함되지 않거나, 추가적인 레이어(예컨대, 보안 레이어)가 더 포함될 수 있다.
UWB-enabled Application Layer(110)는 예컨대, UWB 세션을 위한 OOB Connector, Secure Sevice 및 UWB 서비스를 구성하기 위하여, Framework API를 이용하는 어플리케이션(예컨대, FiRa-enabled Application)의 레이어일 수 있다.
Common Service & Management Layer(120)는 예컨대, UWB secure ranging을 구현하기 위해 필요한 공통(common) 컴포넌트 및 절차를 정의할 수 있다.
UWB 서브시스템(UWBS)(130)은 UWB MAC Layer와 UWB Physical Layer를 포함하는 컴포넌트일 수 있다. UWBS는 다른 UWB 장치의 UWBS와 레인징(예컨대, 보안 레인징)을 위한 UWB 기반 통신을 수행할 수 있다. UWBS는 IEEE 802.15.4/4z 스펙을 참조하는 FiRa PHY 및 MAC 스펙에 기초할 수 있다.
도 2는 UWB 기반 서비스를 지원하는 전자 장치를 포함하는 통신 시스템의 예시적인 구성을 나타낸다.
도 2를 참조하면, 통신 시스템(200)은 제1 전자 장치(210) 및 제2 전자 장치(220)를 포함한다. 일 실시예에서, 제1 전자 장치(제1 UWB 장치)(210)는 예컨대, Smart Ranging Device일 수 있고, 제2 전자 장치(제2 UWB 장치)(220)는 예컨대, Ranging Device일 수 있다. 제1 전자 장치 및 제2 전자 장치 모두는 UWB 레인징(예컨대, UWB secure ranging)을 지원할 수 있다.
제1 전자 장치는 예컨대, 사용자(예, 모바일 폰)에 의해 인스톨될 수 있는, 하나 이상의 UWB-enabled Application을 호스팅(host)할 수 있다. 이는 Framework API에 기초할 수 있다. 제2 전자 장치는 Framework API를 제공하지 않고, 예컨대, 제조자에 의해서만 제공되는 특정 UWB-enabled Application를 구현하기 위해 proprietary interface를 이용할 수 있다.
한편, 도시된 것과 달리, 실시예에 따라서는, 제1 전자 장치 및 제2 전자 장치 모두가 Smart Ranging Device이거나, 제1 전자 장치 및 제2 전자 장치 모두가 Ranging Device일 수도 있다.
제1 전자 장치 및 제2 전자 장치는 UWB-enabled Application Layer, Framework, OOB Connector, Secure Component 및/또는 UWBS를 포함할 수 있다. Framework API, Framework, OOB Connector 및/또는 Secure Component는 Framework에 포함될 수 있으며, 실시예에 따라서는 일부 컴포넌트가 생략될 수 있다. 각 구성에 대한 설명은 상술한 내용을 참조한다.
제1 전자 장치 및 제2 전자 장치는 OOB Connector(예컨대, BLE 커넥터)를 통해 OOB 연결(채널)을 생성할 수 있고, UWBS를 통해 UWB 연결(채널)을 생성하여, 서로 통신할 수 있다.
도 3은 UWB 기반 서비스를 지원하는 전자 장치에 포함된 프레임워크의 예시적인 구성을 나타낸다.
도 3의 프레임워크(300)는 예컨대, FIRA CONSORTIUM CSML 표준에 정의된 FiRa Framework일 수 있다.
프레임워크(300)는 논리적 소프트웨어 컴포넌트(logical software component)의 집합일 수 있다. UWB-enabled Application는 프레임워크(300)에 의해 제공되는 프레임워크 API를 통해 프레임워크(300)와 인터페이싱할 수 있다.
도 3을 참조하면, 프레임워크(300)는 Profile Manger(310), OOB Connector(320), Secure Service(330) 및/또는 UWB Service(340)를 포함할 수 있다. 다만, 실시예에 따라 일부 컴포넌트가 생략되거나, 추가적인 컴포넌트를 더 포함할 수 있다.
Profile Manger 컴포넌트(310)는 Ranging Device 상에서 이용가능한 Profile(s)을 관리할 수 있다. Profile은 Ranging Device 사이에 성공적인 UWB 세션을 설정(establish)하기 위해 요구되는 UWB 및 OOB 구성 파라미터들의 집합일 수 있다. 또한, Profile Manger는 UWB-enabled Application로부터의 UWB 및 OOB 구성 파라미터를 추상화할 수 있다.
OOB Connector 컴포넌트(320)는 Ranging Device 사이의 OOB 연결을 설정하기 위한 컴포넌트일 수 있다. OOB Connector 컴포넌트(320)는 OOB 커넥터와 인터페이싱하는 역할을 수행할 수 있다. OOB Connector는 UWB 기반 서비스를 제공하기 위한 Discovery Phase 및 Connection Phase를 다룰 수 있다.
Secure Service 컴포넌트(330)는 Secure Element (SE), eSE 또는 Trusted Execution Environment (TEE)와 같은 보안 컴포넌트와 인터페이싱하는 역할을 수행할 수 있다. 보안 컴포넌트는 UWBS에 UWB 레인징 데이터를 전달하기 위해 UWBS와 인터페이싱하는 컴포넌트일 수 있다.
SE는 tamper resistant 특성을 기반으로 한 안전한 보안 모듈이지만, 다양한 엔티티 간의 계약 관계가 성립되지 않으면, 어플리케이션을 설치 및 구동하는데 제약이 따른다.
eSE는 전자 장치에 고정하여 사용하는 고정식 SE를 의미한다. eSE는 통상적으로 단말 제조사의 요청에 의해 제조사 전용으로 제조되며, 운영체제 및/또는 프레임워크를 포함하여 제조될 수 있다. eSE는 원격으로 애플릿 형태의 서비스 제어 모듈을 다운받아 설치하고, 예컨대, 전자지갑, 티켓팅, 전자여권, 디지털키 등과 같은 다양한 보안 서비스 용도로 사용될 수 있다.
TEE는 예를 들면, 특정 칩셋(예컨대, ARM 기반)에서 지원하는 코드를 기반으로 가상의 분리된 환경을 만드는 S/W 중심의 보안 환경일 수 있다. TEE는 tamper resistant 특성을 가지지 않지만, 사용가능한 메모리가 크고 속도가 빠르며, SE에 비해 비용이 저렴하다는 이점을 갖는다. 또한, 모바일 제조사가 허용한 범위 내에서 다양한 서비스 프로바이더가 바로 사용 가능하므로, SE에 비해 엔티티 간 복잡도가 낮다는 이점을 갖는다.
UWB Service 컴포넌트(340)는 UWBS에 대한 액세스를 제공하는 컴포넌트일 수 있다.
도 4는 SE를 포함하는 UWB 장치가 다른 UWB 장치와 secure ranging을 수행하는 예시적인 동작을 나타낸다.
도 4의 실시예에서, 제1 UWB 장치(410)는 보안 컴포넌트로서 Secure Element(예컨대, eSE)를 포함하는 UWB 장치(예컨대, FiRa Smart Device) 일 수 있다. 또한, 제2 UWB 장치(420)는 제1 UWB 장치와 보안 레인징을 수행하는 UWB 장치(예컨대, FiRa Device)일 수 있다. 서비스 프로바이더(430)는 UWB-enabled Application을 제공하고, secure ranging을 위한 키를 프로비저닝하는 역할을 수행하는 엔티티일 수 있다.
상술한 것처럼, SE는 tamper resistant 특성을 기반으로 한 안전한 보안 모듈이고, eSE는 전자 장치에 고정하여 사용하는 고정식 SE를 의미한다.
도 4를 참조하면, 제1 전자 장치(410)는 UWB-enabled Application, Framework, OOB 컴포넌트, Secure element(SE) 및/또는 UWBS를 포함할 수 있다. 제2 전자 장치(420)는 Application, OOB 컴포넌트 및/또는 UWBS를 포함할 수 있다. UWB-enabled Application, Framework 및 OOB 컴포넌트에 대한 설명은 도 1 내지 3에서 상술한 설명을 참조한다.
SE(예컨대, eSE)는 Applet(Service Appplet) 및/또는 SUS(Secure UWB Service) Applet을 포함할 수 있다. Applet은 Ranging Data Set(RDS)를 안전하게 생성하기 위해 요구되는 적어도 하나의 Application Dedicated File (ADF)를 포함할 수 있다. 예를 들면, 도시된 것처럼, Applet은 각 서비스 프로바이더(SP)에 의해 제공된 각 ADF(ADF(SP1) 및 ADF(SP2))를 포함할 수 있다. ADF는 키 프로비저닝 단계에서, 서비스 프로바이더에 의해 제공될 수 있다. 또한, Applet은 RDS를 SUS Applet을 통해 UWBS로 전달할 수 있다. 일 실시예에서, RDS는 UWB 세션에 대한 세션 ID 및/또는 UWB Session Key를 포함할 수 있다.
UWBS는 UWB 하드웨어를 관리한다. UWBS는 다른 Ranging Device의 UWBS와 UWB 세션을 수행할 수 있다. UWBS는 Framework에 의해 관리되며, SE로부터 secure ranging을 위해 필요한 RDS를 수신할 수 있다.
도 4를 참조하면, 동작 1에서, 제1 UWB 장치와 제2 UWB 장치는 OOB 컴포넌트를 통해 service discovery 절차를 수행할 수 있다. service discovery 절차는 Secure Channel(SC) 협상 동작을 포함할 수 있다. 이를 통해, SC를 설정하기 위한 파라미터들이 서로 교환될 수 있다.
동작 2에서, 제1 UWB 장치와 제2 UWB 장치는 장치 간에 안전하게 데이터를 공유하기 위해, Framework를 통해, 장치 간 Secure Channel(예컨대, SC#1, SC#2)을 설정할 수 있다. Secure Channel은 OOB channel(연결)을 통해 오픈(open)될 수 있다. 이 Secure Channel을 통해, UWB 세션 키 및/또는 세션 ID를 포함하는 RDS 데이터가 제1 UWB 장치와 제2 UWB 장치 사이에서 교환될 수 있다. 일 실시예에서, RDS 데이터는 Applet에 의해 생성될 수 있다.
일 실시예에서, RDS는 UWB 레인징 세션을 보안하기 위해 사용되는 키를 나타내는 레인징 세션 키(UWB 레인징 세션 키) 및/또는 RDS(또는, RDS와 연관된 세션)을 식별하는 세션 ID를 포함할 수 있다. 이때, 레인징 세션 키 및 세션 ID는 개시자(initiator) 및 응답자(responder)에서 동일하여야 한다. 또한, RDS는 적어도 하나의 레인징 파라미터(예컨대, AoA (Angle of Arrival), 근접 거리(Proximity Distance)), UWB 보안 채널을 통한 최종 인증을 수행할 applet의 AID, 클라이언트 특정 데이터 및/또는 멀티캐스트 응답자-특정 키(Multicast responder-specific key)를 옵셔널하게 더 포함할 수 있다.
동작 3에서, UWB 세션 키 및 세션 ID를 포함하는 RDS 데이터가 Applet와 SUS Applet 사이에 교환될 수 있다. 예를 들면, Applet의 UWB Ranging Session Key(URSK)가 SUS Applet와의 통신을 통해, SUS Applet로 전달될 수 있다. 또한, SUS Applet으로 전달된 RDS 데이터는 보안 레인징을 위해 UWBS로 전달될 수 있다. 이를 위해, Applet와 SUS Applet 간의 보안 채널 및 SUS Applet와 UWBS 간의 보안 채널이 먼저 설정될 있다. UWBS는 설정된 Secure Channel을 통해, SUS Applet로부터 해당 RDS를 획득할 수 있다.
동작 4에서, 제1 UWB 장치와 제2 UWB 장치는 secure ranging 절차를 수행할 수 있다. 획득된 UWB 세션 키가 secure ranging을 위해 UWBS에 의해 사용될 수 있다. 예를 들면, UWB 세션 키는 보안 레인징을 위해 사용되는 STS를 생성하기 위해 사용될 수 있다.
도 5는 SE를 포함하는 UWB 장치의 UWBS가 보안 레인징을 위해 레인징 데이터 세트를 획득하는 방법을 나타낸다.
도 5의 실시예의 UWB 장치는 도 4의 제1 UWB 장치일 수 있다.
도 5를 참조하면, UWB 장치는 프레임워크, 보안 컴포넌트 및 UWBS를 포함할 수 있다. 도 5의 실시예의 보안 컴포넌트는 Applet(Service Applet) 및 SUS Applet을 포함하는 eSE일 수 있다.
동작 1에서, Applet은 UWB 세션 키 및 세션 ID를 포함하는 RDS를 생성하여, SUS Applet으로 전달할 수 있다. 동작 2에서, SUS Applet은 RDS 수신에 대한 응답을 Applet으로 전달할 수 있다.
동작 3에서, eSE는 RDS가 SUS Appplet으로 전달되었음을 알리는 notification을 프레임워크로 전달할 수 있다. 일 실시예에서, 이 notification은 RDS를 식별하기 위한 세션 ID를 포함할 수 있다. 동작 4에서, 프레임워크는 레인징을 시작하라는 명령(예컨대, UCI command : Start Ranging)을 필요한 파라미터와 함께 UWBS로 전달할 수 있다. 일 실시예에서, 이 명령은 세션 ID를 포함할 수 있다. 이를 통해, UWBS는 세션 ID와 연관된 세션(레인징 세션)에 대한 레인징(보안 레인징)을 수행하기 위한 절차를 개시할 수 있다.
보안 레인징을 수행하기 위해, UWBS는 SUS Appplet으로부터 RDS를 획득하여야 한다. 이를 위해, UWBS는 RDS를 획득하기 위한 절차를 개시할 수 있다. 예를 들면, UWBS는 RDS를 획득하기 위해, eSE(SUS Applet)과 예컨대, 동작 5 내지 8를 포함하는 절차를 개시할 수 있다. 이러한 동작 5 내지 8에 대하여 구체적으로 설명하면 다음과 같다.
동작 5에서, UWBS는 SUS Applet의 AID를 포함하는 SELECT 명령을 SUS Applet으로 전송할 수 있고, SUS Applet은 SELECT 명령에 대응하는 SELECT Response를 UWBS로 전송할 수 있다. 이를 통해, RDS를 검색할 SUS Applet이 선택될 수 있다.
동작 6에서, UWBS는 보안 채널을 설정하기 위한 인증(상호 인증)을 개시하기 위한 INITIALIZE UPDATE 명령을 SUS Applet으로 전송할 수 있고, SUS Applet은 INITIALIZE UPDATE 명령에 대응하는 INITIALIZE UPDATE Response를 UWBS로 전송할 수 있다. 또한, 동작 7에서, UWBS는 인증을 위한 EXTERNAL AUTHENTICATE 명령을 SUS Applet으로 전송할 수 있고, SUS Applet은 EXTERNAL AUTHENTICATE 명령에 대응하는 EXTERNAL AUTHENTICATE Response를 UWBS로 전송할 수 있다. 이러한 동작 6 내지 7을 통해, UWBS와 SUS Applet 간에 보안 채널이 설정될 수 있다. 예를 들면, 보안 채널이 USBS와 SUS Applet 간에 설정될 수 있다. 이러한 보안 채널을 설정하기 위해, UWBS는 eSE 내의 SUS Applet과 동일한 대칭 키를 저장하고 있어야 한다.
동작 7에서, UWBS는 RDS를 획득하기 위한 GET 명령을 SUS Applet으로 전송할 수 있고, SUS Applet은 GET 명령에 대응하는 Response를 UWBS로 전송할 수 있다. 일 실시예에서, 이 GET 명령은 RDS를 식별하기 위한 세션 ID를 포함할 수 있고, 이 Response는 세션 ID에 대응하는 RDS 데이터(예컨대, 레인징 세션 키)를 포함할 수 있다. 이를 통해, UWBS가 RDS 데이터를 획득할 수 있다.
동작 9에서, UWBS는 UWBS가 RDS 데이터를 획득하였음을 알려주는 notification을 프레임워크로 전달할 수 있다.
동작 10에서, UWBS는 획득된 RDS 데이터를 이용하여 다른 UWB 장치의 UWBS와의 보안 레인징을 수행할 수 있다. 예를 들면, UWBS는 RDS의 레인징 세션 키를 이용하여 생성된 STS를 이용하여, 다른 UWB 장치의 UWBS와 보안 레인징을 수행할 수 있다.
한편, 도 5의 실시예의 방식의 경우, UWBS가 RDS를 획득하기 위해, SE(SUS Applet)에 암호/메시지 인증 연산을 수행하여야 하는 다수의 명령을 전달하여야 하기 때문에, 성능 상에 문제가 생길 수 있다. 또한, 보안 레인징을 위해 사용되는, 세션 ID와 같은 파라미터가 암호화되지 않은 채 SE의 외부(예컨대, 프레임워크)로 노출되어야 하기 때문에, 보안 상의 문제가 발생될 수도 있다. 또한, RDS 전달을 위한 보안 채널을 설정하기 위해, SE에 비해 낮은 보안 특성을 갖는 UWBS가 SE와 동일한 대칭 키를 저장하고 있어야 하기 때문에, 보안 키 유출 등의 우려가 발생하고, 나아가, SE와 UWBS 제조사가 상이한 경우, 상이한 제조사 간의 동일한 보안 키를 공유하여야 하는 문제가 발생될 수 있다. 이하에서는, 이러한 문제를 해소할 수 있는 실시예들에 대하여 각 도면을 참조하여 설명한다.
도 6은 본 개시의 일 실시예에 따른, TEE를 포함하는 UWB 장치의 예시적인 구성을 나타낸다.
도 6을 참조하면, UWB 장치(600)는 프레임워크, 보안 컴포넌트 및 UWBS를 포함한다. UWB 장치는 적어도 하나의 UWB-enabled Application 및 OOB 커넥터를 더 포함할 수 있다. 도 6의 프레임워크, UWBS, UWB-enabled Application 및 OOB 커넥터는 예컨대, 도 1 내지 3에서 상술한 프레임워크, UWBS, UWB-enabled Application 및 OOB 커넥터일 수 있다.
도 6의 실시예의 보안 컴포넌트는 적어도 하나의 TA(Trusted application) 및 Secure OS(Trusted OS)를 포함하는 TEE일 수 있다. 도 6의 UWB 장치의 영역은 도시된 것처럼, TEE(TEE 영역)(610) 및 REE(Rich Operating System Execution Environment)(REE 영역)(620)으로 구분될 수 있다.
TEE는 코드를 실행하는 환경으로서, 높은 수준의 신뢰도(trust)를 가질 수 있다. TEE에서 신뢰도는 범용 소프트웨어 환경과 비교할 때, TEE 영역(공간)에 저장된 아이템들에 대한 유효성(validity), 격리도(isolation) 및 접근 제어(access control)에서 더 높은 레벨의 신뢰를 가짐을 의미할 수 있다. 따라서, TEE 영역 내에서 실행되는 TA 및 Secure OS는 더 높은 신뢰도를 가질 수 있다. 일 실시예에서, TEE(또는, TA)는 미리 정의된 인터페이스(예컨대, TEE Client API)를 통해 다른 컴포넌트와 통신할 수 있다. 예를 들면, TEE Client API는 RDS를 UWBS로 전달하기 위해 프레임워크에 의해 사용될 수 있다. 또한, 프레임워크는 미리 정의된 인터페이스(예컨대, UCI(UWB COMMAND INTERFACE))를 통해 UWBS와 통신할 수 있다.
TA는 TEE의 어플리케이션으로서, REE에서의 어플리케이션의 불확실한 특성과 구별되기 위해 TA 로 지칭된다. 본 개시에서, TA는 RDS를 생성/저장/전달하는 역할을 수행할 수 있고, 프레임워크(또는, 프레임워크와 통신하는 UWBS)에 대한 컨택 포인트로서의 역할을 수행할 수 있다. 본 개시에서, TA는 TA를 위해 정의된 ID(예컨대, UUID)에 의해 식별될 수 있다. 본 개시에서, TA는 FiRa TA로 지칭될 수도 있다.
Secure OS는 TEE에 의해 호스팅되는 OS로서, 장치의 나머지(REE)에 의해 호스팅되는 Rich OS(예컨대, 안드로이드)와 구별되는 Trusted OS일 수 있다.
UWBS는 TEE 영역의 외부에 위치한다.
도 6의 실시예에서, UWB 장치는 보안(security), 효율성(efficiency) 및 관리 능력(manageabilty)을 높이기 위한 방식으로 구현될 수 있다. 각각에 대하여는 이하에서 설명한다.
(1) 보안 관련
도 6의 실시예의 경우, 보안을 위해, UWB 장치에서 사용되는 키(예컨대, 대칭 키)가 미리 정해진 유효 기간 동안만 사용될 수 있도록 구성될 수 있다. 예를 들면, RDS를 암호화하기 위해 사용되는 대칭 키가 expiration date 을 가질 수 있다. 이를 통해, 보안을 위한 중요 키를 오랜 기간 저장하지 않아 보안성을 높일 수 있다. 본 개시에서, RDS를 암호화하기 위해 사용되는 대칭 키는 RDS 암호화 키, RDS 암호화 대칭 키, RDS 보안 키, RDS 키 등으로 지칭될 수 있다.
일 실시예에서, RDS는 UWB 레인징 세션을 보안하기 위해 사용되는 키를 나타내는 레인징 세션 키(UWB 레인징 세션 키) 및/또는 RDS(또는, RDS와 연관된 세션)을 식별하는 세션 ID를 포함할 수 있다. 이때, 레인징 세션 키 및 세션 ID는 UWB 레인징의 개시자(initiator) 및 응답자(responder) 사에서 동일하여야 한다. RDS는 적어도 하나의 레인징 파라미터(예컨대, AoA (Angle of Arrival), 근접 거리(Proximity Distance)), 클라이언트 특정 데이터 및/또는 멀티캐스트 응답자-특정 키(Multicast responder-specific key)를 옵셔널하게 더 포함할 수 있다. 이에 대하여는 도 7 내지 11을 참조하여 이하에서 설명한다.
(2) 효율성 관련
도 6의 실시예의 UWB 장치의 경우, 효율성을 위해, 공개 키 연산은 빠르고 개인 키 연산은 느린 RSA 알고리즘의 특성을 반영하여, UWBS와 TEE 간의 역할이 구분될 수 있다. 예를 들면, UWBS가 공개키 연산 동작(암호화)을 수행하고, TEE가 개인키 연산 동작(복호화)를 수행하도록 구성될 수 있다. 이 경우, UWBS는 TA에 저장된 RDS를 암호화 하기 위해 사용되는 대칭 키(비밀 키/개인 키)를 생성하는 역할을 수행할 수 있다. 또한, UWBS는 TA의 공개 키를 이용하여 생성된 대칭 키를 암호화하여, 프레임워크를 통해 TA로 전달하는 역할을 수행할 수 있다. 그리고, TA는 UWBS로부터 전달된 대칭 키를 추출(복호화)하는 역할을 수행할 수 있다. 또한, TA는 추출된 대칭 키를 이용하여 RDS를 암호화하여, 프레임워크를 통해 UWBS로 전달하는 역할을 수행할 수 있다.
위와 같은 방식의 RSA 알고리즘의 특성을 반영한, UWBS와 TA 간의 역할 설정을 통해 더 효율적이고 빠르게 UWBS가 TA로부터 RDS를 획득할 수 있게 된다. 그러나, 실시예가 반드시 이에 한정되는 것은 아니다.
실시예에 따라서는, 예를 들면, 비록 상술한 방식에 비해 효율성(암호화/복호화 처리 속도)이 낮아 질 수는 있으나, TA가 공개키 연산 동작(암호화)을 수행하고, UWBS가 개인키 연산 동작(복호화)를 수행하도록 구성하는 것도 가능할 수 있다. 이 경우, TA는 자신에 저장된 RDS를 암호화 하기 위해 사용되는 대칭 키(비밀 키/개인 키)를 생성하는 역할을 수행할 수 있다. 또한, TA는 자신(또는, UWBS)의 공개 키를 이용하여 생성된 대칭 키를 암호화하여, 프레임워크를 통해 UWBS로 전달하는 역할을 수행할 수 있다. 또한, TA는 생성된 대칭 키를 이용하여 RDS를 암호화하여, 프레임워크를 통해 UWBS로 전달하는 역할을 수행할 수 있다. 그리고, UWBS는 TA로부터 전달된 대칭 키를 추출(복호화)하는 역할을 수행할 수 있다. 또한, UWBS는 TA로부터 전달된 암호화된 RDS를 추출된 대칭 키를 이용하여 복호화하는 역할을 수행할 수 있다.
또한, UWBS와 TEE 간에 직접적으로 다수의 명령이 오고 가는 것이 아니라, 프레임워크를 통해 도 5의 실시예에 비해 적은 수의 명령이 오고 갈 수 있도록 프레임워크와 UWBS와 TEE 간의 동작이 구성될 수 있다. 이에 대하여는 도 7 내지 11을 참조하여 이하에서 설명한다.
(3) 관리 능력 관련
도 6의 실시예의 UWB 장치의 경우, 관리 능력을 위해, TA의 공개 키를 포함하는 TA 인증서가 UWBS에 저장되도록 구성될 수 있다. 이를 통해, 보안 컴포넌트와 UWBS 간의 RDS의 전달을 위한 보안 채널을 생성하기 위해 사용되는 대칭 키가 서로 다른 제조사(벤더)들 간에 공유될 필요가 없다. 이에 대하여는 도 9를 참조하여 이하에서 설명한다.
도 7은 본 개시의 일 실시예에 따른 UWB 장치에서 보안 레인징을 위해 UWBS와 프레임워크 사이에 수행되는 절차를 나타낸다.
도 7의 실시예에서, UWB 장치는 도 6의 TEE를 포함하는 UWB 장치일 수 있다. 도 7의 실시예에서, 프레임워크와 UWBS는 예컨대, UCI 인터페이스(예컨대, UCI command/response/notification)를 이용하여 통신할 수 있다.
일 실시예에서, 프레임워크와 UWBS 간의 절차가 수행되기 이전에, TEE의 TA는 개인 키 및 공개 키를 생성하고, 제조사(예컨대, mobile OEM)의 서명을 받은 인증서(certificate)의 형태로 저장할 수 있다. 인증서는 TA의 공개 키 및/또는 개인키를 포함할 수 있다.
동작 1에서, 프레임워크는 예컨대, TA 인증서를 인스톨하라는 명령(예컨대, UCI command: Install Certificate)을 UWBS로 전송할 수 있다. 이 명령은 TA 인증서의 데이터를 포함할 수 있다. 동작 2에서, UWBS는 수신된 TA 인증서를 기 저장된 root 인증서로 검증할 수 있다. 이를 통해, 검증된 TA 인증서가 UWBS에 저장될 수 있다. 동작 1 및 2의 일 예에 대하여는 도 9를 참조하여 이하에서 설명한다.
동작 3에서, UWBS는 RDS를 암호화하기 위해 사용되는 대칭 키를 생성하고, 생성된 대칭 키를 TA의 인증서 내의 공개 키로 암호화할 수 있다. 일 실시예에서, UWBS는 대칭 키와 연관된 부가 데이터(정보)를 대칭 키와 함께 생성할 수 있다. 일 실시예에서, 부가 데이터는 대칭 키와 함께, TA의 공개 키로 암호화될 수 있다. 이를 통해, 암호화된 키 데이터(Encrypted key blob)이 생성될 수 있다.
일 실시예에서, 부가 데이터는 대칭 키의 타임스탬프 정보(예컨대, 대칭 키의 생성 시간을 나타내는 타임스탬프), 대칭 키의 유효 시간에 대한 정보(예컨대, 만료 시간에 대한 정보), 대칭 키의 권한에 대한 정보(예컨대, TA의 식별정보(UUID)), 대칭 키의 무결성(integrity)을 위한 정보(예컨대, IV), 또는 대칭 키의 freshness를 확인하기 위한 랜덤 넘버 정보(예컨대, 랜덤 값) 중 적어도 하나를 포함할 수 있다.
여기서, 대칭 키의 타임스탬프 정보 및/또는 유효 시간에 대한 정보는 대칭 키가 유효한지 또는 만료되었는지를 확인하기 위해 사용될 수 있다. 이러한 타임스탬프 정보를 통해 대칭 키가 미리 정해진 유효 기간 동안만 유효하게 사용될 수 있어 보안성을 높일 수 있다.
대칭 키의 권한에 대한 정보는 대칭 키에 대한 권한을 줄 TA를 식별하기 위해 사용될 수 있다. 이를 통해, 권한이 부여된 TA만이 대칭 키를 사용할 수 있어, 보안성을 높일 수 있다.
대칭 키의 무결성을 위한 정보는 기밀성 외에 대칭 키의 무결성 보호를 위해 사용될 수 있다. 이를 통해 보안성이 높아질 수 있다.
대칭 키의 랜덤 넘버 정보는 대칭 키가 TA로 잘 전달되었는지를 확인하기 위해 사용될 수 있다.
동작 4에서, UWBS는 암호화된 키 데이터를 프레임워크로 전송할 수 있다. 암호화된 키 데이터는 암호화된 대칭 키 및/또는 암호화된 부가 데이터를 포함할 수 있다. 일 실시예에서, 도시된 것처럼, UWBS는 암호화된 키 데이터를 notification (예컨대, UCI notification: Encrypted key blob)을 통해 전송할 수 있다. 예를 들면, 미리 정해진 이벤트가 발생되는 경우(예컨대, 암호화 이벤트 또는 대칭 키 생성 이벤트가 발생되는 경우), UWBS는 암호화된 키 데이터를 포함하는 notification을 생성하여 전송할 수 있다. 다른 실시예에서, UWBS는 암호화된 키 데이터를 프레임워크의 요청(명령)(예컨대, UCI Command: GET_ENCRYPTED_KEY_CMD)에 대한 응답(예컨대, UCI Response: GET_ENCRYPTED_KEY_RSP)으로 전송할 수 있다. 프레임워크는 암호화된 키 데이터를 TA로 전달할 수 있다. 동작 3 및 4의 일 예에 대하여는 도 10을 참조하여 이하에서 설명한다.
상술한 각 동작은 각 구성에서 수행되는 특정 동작을 예시한 것으로, 동작의 순서가 기재된 순서로만 제한되는 것은 아니다. 예를 들면, 기재된 순서와 다른 순서로 각 동작이 수행될 수도 있다.
도 8은 본 개시의 일 실시예에 따른 UWB 장치에서 보안 레인징을 위해 프레임워크와 TEE 사이에 수행되는 절차를 나타낸다.
도 8의 실시예에서, UWB 장치는 도 6의 TEE를 포함하는 UWB 장치일 수 있다. 도 8의 실시예의 절차는 예컨대, 도 7의 실시예의 절차 이후에 수행되는 절차일 수 있다. 도 8의 실시예에서, TEE에 의해 수행되는 동작은 TEE의 TA에 의해 수행되는 절차로 이해될 수 있다.
도 8의 실시예에서, 프레임워크와 UWBS는 예컨대, UCI 인터페이스를 이용하여 통신할 수 있다. 또한, 프레임워크와 TEE는 예컨대, TEE Client API를 이용하여 통신할 수 있다.
동작 5에서, TA는 암호화된 키 데이터를 복호화(decrypt)할 수 있다. 일 실시예에서, TA는 자신의 개인 키를 이용하여 암호화된 키 데이터를 복호화할 수 있다. 상술한 것처럼, 암호화된 키 데이터는 암호화된 대칭 키 및/또는 암호화된 부가 데이터를 포함할 수 있다. 이 복호화를 통해, TEE는 대칭 키 및 부가 데이터를 획득할 수 있다. 이를 통해, 보안 레인징을 위한 RDS를 암호화하기 위한 대칭 키가 UWBS 및 TA 사이에 공유될 수 있다. 또한, 대칭 키의 유효성, 권한 등을 확인할 수 있는 부가 데이터가 TA에 의해 사용될 수 있다.
동작 6에서, TEE는 대칭 키에 의해 RDS를 암호화할 수 있다. TEE는 암호화된 RDS를 프레임워크로 전달할 수 있다.
동작 7에서, 프레임워크는 암호화된 RDS를 UWBS로 전송할 수 있다. 일 실시예에서, 프레임워크는 암호화된 RDS를 UWBS로 전송하기 위해, UCI 인터페이스를 사용할 수 있다.
동작 8에서, UWBS는 암호화된 RDS를 복호화할 수 있다. 일 실시예에서, UWBS는 미리 공유된 대칭 키를 이용하여 암호화된 RDS를 복호화할 수 있다. 이 복호화를 통해, UWBS는 RDS를 정상적으로 획득할 수 있다.
동작 9에서, UWBS는 RDS를 이용하여 보안 레인징을 수행할 수 있다. 예를 들면, UWBS는 RDS의 레인징 세션 키를 이용하여 생성된 STS를 이용하여, 다른 UWB 장치의 UWBS와 보안 레인징을 수행할 수 있다. 상술한 동작 5 내지 9의 일 예는 도 10 및 11을 참조하여 이하에서 설명한다.
상술한 각 동작은 각 구성에서 수행되는 특정 동작을 예시한 것으로, 동작의 순서가 기재된 순서로만 제한되는 것은 아니다. 예를 들면, 기재된 순서와 다른 순서로 각 동작이 수행될 수도 있다.
도 9는 본 개시의 일 실시예에 따른, UWB 장치의 등록 절차를 나타낸다.
도 9의 실시예의 UWB 장치는 도 6의 TEE를 포함하는 UWB 장치일 수 있다. 도시된 것처럼, UWB 장치는 TA(TEE), 프레임워크 및 UWBS를 포함할 수 있다.
도 9의 실시예의 등록 절차는, UWB 장치의 구성들이 필요한 데이터(정보)를 사전에 등록하는 절차일 수 있다. 예를 들면, 등록 절차는 TA의 공개 키 및/또는 개인 키를 포함하는 TA 인증서를 UWBS에 등록하기 위한 절차일 수 있다.
일 실시예에서, UWB 장치는 제조사 서버와 등록 절차를 수행할 수 있다. 본 개시에서, 제조사 서버는 UWB 장치 또는 UWB 장치를 포함하는 전자 장치(예컨대, 모바일 장치)의 제조사가 운영하는 서버(예컨대, Mobile OEM backend server)일 수 있다.
동작 9010에서, 제조사 서버는 제조사의 인증서(예컨대, Mobile OEM's certificate)를 인스톨하라는 명령(메시지)를 UWBS로 전달할 수 있다. 본 개시에서, 제조사의 인증서는 root 인증서로 지칭될 수 있다. 이를 통해, UWBS는 제조사의 root 인증서를 저장할 수 있다. 이러한 root 인증서는 제조사에 의해 서명된 TA의 인증서를 검증하기 위해 사용될 수 있다.
동작 9020에서, TA는 TA의 개인 키(Pri) 및 공개 키(Pub)를 생성할 수 있다.
동작 9030에서, TA는 TA의 공개 키를 포함하는 인증서에 대한 서명 요청(Certificate Signing Request)을 제조사 서버로 전송할 수 있다. 인증서 서명 요청은 TA가 제조사에 의해 서명된 TA 인증서를 획득하기 위해 사용될 수 있다. 이러한 인증서 서명 요청에 기초하여, 제조사 서버는 제조사의 키로 서명된 TA 인증서를 생성할 수 있다.
동작 9040에서, 제조사 서버는 제조사의 개인 키(예컨대, Mobile OEM's private key)에 의해 서명된 TA 인증서를 TA로 전송할 수 있다.
동작 9050에서, 프레임워크는 TA로 TA 인증서를 요청할 수 있다.
동작 9060에서, TA는 요청에 기초하여 TA 인증서(서명된 TA 인증서)를 프레임워크로 전송할 수 있다.
동작 9070에서, 프레임 워크는 수신된 TA 인증서를 UWBS로 전송할 수 있다.
동작 9080에서, UWBS는 미리 저장된 제조사의 인증서(root 인증서)에 기초하여 TA 인증서를 검증할 수 있다.
동작 9090에서, UWBS는 TA 인증서에 대한 검증 결과(예컨대, OK/NOK)를 프레임워크로 전송할 수 있다.
이러한 등록 절차를 통해, UWBS는 TA의 공개 키를 포함하는 TA 인증서를 획득할 수 있다. 이러한 TA 인증서의 공개 키는 UWBS에 의해 생성된 대칭 키를 암호화하기 위해 사용될 수 있다. 이는 도 10을 참조하여 이하에서 설명한다.
상술한 각 동작은 각 구성에서 수행되는 특정 동작을 예시한 것으로, 동작의 순서가 기재된 순서로만 제한되는 것은 아니다. 예를 들면, 기재된 순서와 다른 순서로 각 동작이 수행될 수도 있다.
도 10은 본 개시의 일 실시예에 따른, UWB 장치가 암호화된 대칭 키를 전달하는 절차를 나타낸다.
도 10의 실시예의 UWB 장치는 도 6의 TEE를 포함하는 UWB 장치일 수 있다. 도시된 것처럼, UWB 장치는 TA(TEE), 프레임워크 및 UWBS를 포함할 수 있다.
도 10의 실시예의 암호화된 대칭 키 전달(공유) 절차는 UWBS에 의해 생성된 대칭 키를 암호화하여, 프레임워크를 통해 TA로 전달하는 절차일 수 있다.
상술한 것처럼, 이 대칭 키는 TA가 RDS를 암호화하기 위해 사용될 수 있다.
동작 1010에서, 프레임워크는 UWBS로부터 암호화된 대칭 키를 획득하기 위한 GET 명령(예컨대, UCI Command: GET_ENCRYPTED_KEY_CMD)을 UWBS로 전송할 수 있다. 일 실시예에서, 이 GET 명령은 TA를 식별하기 위한 ID 정보(예컨대, TA의 UUID)를 입력으로 포함할 수 있다. 본 개시에서, UWBS로부터 암호화된 대칭 키를 획득하기 위한 GET 명령은 암호화 키 획득 명령으로 지칭될 수 있다.
동작 1020에서, UWBS는 대칭 키를 생성할 수 있다. 일 실시예에서, UWBS는 대칭 키와 함께, 대칭 키와 연관된 부가 데이터(정보)를 더 생성할 수 있다. 일 실시예에, 부가 데이터는 대칭 키의 타임스탬프 정보(예컨대, 생성 시간을 나타내는 타임스탬프), 대칭 키의 유효 기간에 대한 정보(예컨대, 만료 시간에 대한 정보), 대칭 키의 권한에 대한 정보(예컨대, TA의 식별정보(UUID)), 대칭 키의 무결성(integrity)을 위한 정보(예컨대, iv, aad(additional authenticated data)), 또는 대칭 키의 freshness를 확인하기 위한 랜덤 넘버 정보 중 적어도 하나를 포함할 수 있다. 각 정보(데이터)의 용도는 도 6에서 상술한 내용을 참조한다.
동작 1030에서, UWBS는 대칭 키 및/또는 부가 데이터를 TA 인증서 내의 TA의 공개 키로 암호화할 수 있다. 이를 통해, 암호화된 키 데이터(Encrypted Blob)이 생성될 수 있다. 이는 제1 암호화 데이터로 지칭될 수 있다.
동작 1040에서, UWBS는 GET 명령에 대응하는 응답(예컨대, 예컨대, UCI Response: GET_ENCRYPTED_KEY_RSP)를 프레임워크로 전달할 수 있다. 일 실시예에서, 이 응답은 암호화된 키 데이터를 포함할 수 있다. 암호화된 키 데이터는 암호화된 대칭 키 및/또는 암호화된 부가 데이터를 포함할 수 있다.
동작 1050에서, 프레임워크는 TA 상에서 암호화된 키를 설정하기 위한 SET 명령(예컨대, TEE Client API: SET_ENCRYTION_KEY)를 TA로 전송할 수 있다. 일 실시예에서, 이 SET 명령은 TA의 ID 정보(예컨대, TA의 UUID) 및/또는 암호화된 키 데이터를 입력으로 포함할 수 있다. 일 실시예에서, 프레임워크는 TA의 ID 정보에 의해 식별되는 TA로 SET 명령을 전송할 수 있다. 본 개시에서, TA 상에서 암호화된 키를 설정하기 위한 SET 명령은 암호화 키 설정 명령으로 지칭될 수 있다.
동작 1060에서, TA는 암호화된 키 데이터를 복호화할 수 있다. 일 실시예에서, TA는 암호화된 키 데이터를 TA의 개인 키를 이용하여 복호화할 수 있다. 이를 통해, TA는 대칭 키 및/또는 부가 데이터를 획득할 수 있다.
동작 1070에서, TA는 SET 명령에 대응하는 응답(예컨대, TEE Client API: Response)을 프레임워크로 전송할 수 있다. 일 실시예에서, 이 응답은 랜덤 넘버를 포함할 수 있다. 일 실시예에서, 이 랜덤 넘버는 부가 데이터에 포함된 랜덤 넘버 정보의 랜덤 값일 수 있다.
동작 1080에서, 프레임워크는 암호화된 키(또는, 암호화된 키 데이터)에 대한 수신 확인(ACK)을 요청하기 위한 ACK 명령(예컨대, UCI Command: ACK_ENCRYPTED_KEY_CMD)를 UWBS로 전송할 수 있다. 일 실시예에서, 이 ACK 명령은 SET 명령에 대응하는 응답에 포함된 랜덤 넘버를 포함할 수 있다. 본 개시에서, 암호화된 키에 대한 수신 확인(ACK)을 요청하기 위한 ACK 명령은 암호화 키 확인 명령, 암호화 키 수신 확인 명령으로 지징될 수 있다.
동작 1090에서, UWBS는 ACK 명령에 대응하는 응답(예컨대, UCI Response: ACK_ENCRYPTED_KEY_RSP)을 포함할 수 있다. 일 실시예에서, 이 응답은 수신된 랜덤 값이 생성된 랜덤 값과 동일함을 나타내는 값(OK) 또는 수신된 랜덤 값이 생성된 랜덤 값과 상이함을 나타내는 값(NOK)를 프레임워크로 전송할 수 있다. 이를 통해, 프레임워크는 UWBS에 의해 생성된 대칭 키가 TA에 정상적으로 수신되었는지를 확인할 수 있다.
이러한 암호화된 대칭 키 전달 절차를 통해, UWBS에 의해 생성된 대칭 키가 TA로 전달될 수 있다. 이를 통해, UWBS와 TA가 RDS의 암호화/복호화를 위해 사용되는 동일한 대칭 키를 공유할 수 있다. 이 경우, TA는 이 대칭 키를 이용하여 RDS를 암호화하여 UWBS로 전달할 수 있고, UWBS는 이 대칭 키를 이용하여 암호화된 RDS를 복호화할 수 있다. 이에 대하여는 도 11을 참조하여 이하에서 설명한다.
상술한 각 동작은 각 구성에서 수행되는 특정 동작을 예시한 것으로, 동작의 순서가 기재된 순서로만 제한되는 것은 아니다. 예를 들면, 기재된 순서와 다른 순서로 각 동작이 수행될 수도 있다.
도 11은 본 개시시의 일 실시예에 따른 UWB 장치가 암호화된 RDS를 전달하는 절차를 나타낸다.
도 11의 실시예의 UWB 장치는 도 6의 TEE를 포함하는 UWB 장치일 수 있다. 도시된 것처럼, UWB 장치는 TA(TEE), 프레임워크 및 UWBS를 포함할 수 있다.
도 11의 실시예의 암호화된 RDS 전달 절차는 TA에 의해 생성된 암호화된 RDS를 프레임워크를 통해 UWBS로 전달하는 절차일 수 있다. 상술한 것처럼, 이 RDS는 보안 레인징을 위해 사용될 수 있다.
동작 1110에서, 프레임워크는 TA로부터 암호화된 RDS를 획득하기 위한 GET 명령(예컨대, TEE Client API: GET_ENCRYPTED_RDS)을 TA로 전송할 수 있다. 일 실시예에서, GET 명령은 TA의 ID 정보(예컨대, TA의 UUID)를 입력으로 포함할 수 있다. 본 개시에서, TA로부터 암호화된 RDS를 획득하기 위한 GET 명령은 암호화 RDS 획득 명령으로 지칭될 수 있다.
동작 1120에서, TA는 RDS를 생성할 수 있다. 일 실시예에서, RDS는 UWB 레인징 키 및/또는 세션 ID를 포함할 수 있다. 또한, TA는 미리 공유된 대칭 키가 유효한지를 확인할 수 있다. 예를 들면, TA는 부가 데이터(예컨대, 대칭 키의 expiration date)에 기초하여 대칭 키가 유효한지를 확인할 수 있다. 만일 대칭 키가 유효한 경우(OK), TA는 RDS 및/또는 UWBS의 ID 정보를 대칭 키를 이용하여 암호화할 수 있다.
동작 1130에서, TA는 GET 명령에 대응하는 응답(TEE Client API: Response)를 프레임워크로 전달할 수 있다. 일 실시예에서, 이 응답은 암호화된 데이터(Encrypted blob)를 포함할 수 있다. 일 실시예에서, 암호화된 데이터는 암호화된 RDS 및/또는 암호화된 UWBS ID 정보를 포함할 수 있다. 이는 제2 암호화 데이터로 지칭될 수 있다.
동작 1140에서, 프레임워크는 UWBS 상에서 암호화된 RDS를 설정하기 위한 SET 명령(예컨대, UCI Command: SET_ENCRYPTED_RDS_CMD)를 포함할 수 있다. 일 실시예에서, SET 명령은 암호화된 데이터를 입력으로 포함할 수 있다. 본 개시에서, UWBS 상에서 암호화된 RDS를 설정하기 위한 SET 명령은 암호화 RDS 설정 명령으로 지칭될 수 있다.
동작 1150에서, UWBS는 암호화된 데이터를 복호화할 수 있다. 일 실시예에서, UWBS는 미리 공유된 대칭 키를 이용하여 암호화된 데이터를 복호화할 수 있다. 이를 통해, UWBS는 RDS 를 획득할 수 있다.
동작 1160에서, UWBS는 SET 명령에 대응하는 응답(예컨대, UCI Response: SET_ENCRYPTED_RDS_RSP)를 프레임워크로 전송할 수 있다. 일 실시예에서, 이 응답은 RDS가 정상적으로 수신되었음을 나타내는 값(OK) 또는 RDS가 정상적으로 수신되지 않았음을 나타내는 값(NOK)을 포함할 수 있다. 이를 통해, 프레임워크는 TA에 의해 전달된 RDS가 UWBS에 잘 수신되었는지를 확인할 수 있다.
동작 1170에서, UWBS는 RDS를 이용하여 다른 UWB 장치의 UWBS와 보안 레인징을 수행할 수 있다. 예를 들면, UWBS는 RDS의 레인징 세션 키를 이용하여 생성된 STS를 이용하여, 다른 UWB 장치의 UWBS와 보안 레인징을 수행할 수 있다.
상술한 각 동작은 각 구성에서 수행되는 특정 동작을 예시한 것으로, 동작의 순서가 기재된 순서로만 제한되는 것은 아니다.
상술한 도 6 내지 11의 실시예에서는, UWB 장치가 보안 컴포넌트로서, TEE를 포함하고, UWB 장치의 UWBS가 RDS 암호화 키를 생성/암호화하고, UWB 장치의 TEE가 RDS 암호화 키를 복호화하는 역할을 수행하는 것을 예로 들어 설명하였다. 해당 실시예가 다른 실시예들에 비해 효율적이고 높은 보안성을 갖는 바람직한 실시예에 해당하지만, 실시예가 반드시 이에 한정되는 것은 아니다.
예를 들면, UWB 장치가 보안 컴포넌트로서, SE(eSE)를 포함하는 경우에도 상술한 실시예가 적용될 수도 있다. 이 경우, 상술한 실시예의 TEE의 TA의 역할은 예컨대, eSE의 SUS Applet에 의해 수행될 수 있다. 다른 예를 들면, UWB 장치의 TEE가 RDS 암호화 키를 생성/암호화하고, UWB 장치의 UWBS가 RDS 암호화 키를 복호화하는 역할을 수행하는 경우에도 상술한 실시예가 적용될 수도 있다.
도 12는 본 개시의 일 실시예에 따른 UWB 장치의 방법을 나타내는 흐름도이다.
도 12의 실시예에서, UWB 장치는 도 6의 UWB 장치일 수 있다. UWB 장치는 프레임워크, 보안 컴포넌트 및 UWBS를 포함한다. 보안 컴포넌트는 TA를 포함하는 TEE일 수 있다. 도 12의 실시예의 방법은 UWB 장치의 프레임워크(또는, 컨트롤러)에 의해 수행될 수 있다.
도 12를 참조하면, UWB 장치는 UWB 서브시스템으로부터 보안 어플리케이션(TA)의 공개 키에 의해 암호화된 대칭 키를 포함하는 제1 암호화 데이터를 획득하고, 제1 암호화 데이터를 보안 어플리케이션으로 전달할 수 있다(1210). 단계 1210은 예컨대, 도 7 및 10에 예시된 절차/동작에 따라 수행될 수 있다.
일 실시예에서, 단계 1210은 보안 어플리케이션의 식별 정보를 포함하는, 암호화 키 획득 명령을 UWB 서브시스템으로 전송하는 단계, 제1 암호화 데이터를 포함하는, 암호화 키 획득 명령에 대응하는 응답을 UWB 서브시스템으로부터 수신하는 단계, 및 제1 암호화 데이터 및 보안 어플리케이션의 식별 정보를 포함하는, 암호화 키 설정 명령을 보안 어플리케이션으로 전송하는 단계를 포함할 수 있다. 일 실시예에서, 단계 1210은 제1 암호화 데이터로부터 획득된 대칭 키와 연관된 부가 데이터에 포함된 랜덤 넘버 정보를 포함하는, 암호화 키 설정 명령에 대응하는 응답을 보안 어플리케이션으로부터 수신하는 단계, 랜덤 넘버 정보를 포함하는, 암호화 키 확인(ACK) 명령을 상기 UWB 서브시스템으로 전송하는 단계 및 랜덤 넘버 정보에 기초한 값을 포함하는, 암호화 키 확인 명령에 대응하는 응답을 상기 UWB 서브시스템으로부터 수신하는 단계를 포함할 수 있다.
UWB 장치는 보안 어플리케이션으로부터 대칭 키에 의해 암호화된 레인징 데이터 세트(RDS)를 포함하는 제2 암호화 데이터를 획득하고, 제2 암호화 데이터를 상기 UWB 서브시스템으로 전달할 수 있다(1220). 단계 1220은 예컨대, 도 8 및 11에 예시된 절차/동작에 따라 수행될 수 있다.
일 실시예에서, 단계 1220은 보안 어플리케이션의 식별 정보를 포함하는, 암호화 RDS 획득 명령을 보안 어플리케이션으로 전송하는 단계, 제2 암호화 데이터를 포함하는, 암호화 RDS 획득 명령에 대응하는 응답을 상기 보안 어플리케이션으로부터 수신하는 단계, 제2 암호화 데이터를 포함하는, 암호화 RDS 설정 명령을 UWB 서브시스템으로 전송하는 단계, 및 UWB 서브시스템으로부터 암호화 RDS 설정 명령에 대응하는 응답을 수신하는 단계를 포함할 수 있다. 일 실시예에서, 제2 암호화 데이터는 상기 대칭 키에 의해 암호화된 UWB 서브시스템의 식별 정보를 더 포함할 수 있다.
일 실시예에서, 대칭 키는 UWB 서브 시스템에 의해 생성되어 암호화되며, RDS는 UWB 레인징 세션을 보안하기 위해 사용되는 레인징 세션 키를 포함하며, 보안 어플리케이션은 TEE(Trusted Execution Environment) 영역 내에 포함될 수 있다.
일 실시예에서, 제1 암호화 데이터는, 보안 어플리케이션의 공개 키에 의해 암호화된 부가 데이터를 더 포함하고, 부가 데이터는 상기 대칭 키의 유효 기간을 나타내기 위한 정보, 상기 대칭 키의 권한에 대한 정보, 상기 대칭 키의 무결성 보호를 위한 정보 또는 상기 대칭 키와 연관된 랜덤 넘버 정보 중 적어도 하나를 포함할 수 있다.
도 13은 본 개시의 일 실시예에 따른 전자 장치의 구조를 도시한 도면이다.
도 13의 실시예에서, 전자 장치는 도 6의 UWB 장치에 해당하거나, 도 6의 UWB 장치를 포함하는 전자 장치일 수 있다.
도 13을 참고하면, 전자 장치는 송수신부 (1310), 제어부 (1320), 저장부 (1330)을 포함할 수 있다. 본 개시에서 제어부는, 회로 또는 어플리케이션 특정 통합 회로 또는 적어도 하나의 프로세서라고 정의될 수 있다.
송수신부 (1310)는 다른 네트워크 엔티티와 신호를 송수신할 수 있다. 송수신부(1310)는 예컨대, UWB 통신을 이용하여 UWB 레인징을 위한 데이터를 송수신할 수 있다.
제어부 (1320)은 본 개시에서 제안하는 실시예에 따른 전자 장치의 전반적인 동작을 제어할 수 있다. 예를 들어, 제어부 (1320)는 상기에서 기술한 순서도에 따른 동작을 수행하도록 각 블록 간 신호 흐름을 제어할 수 있다. 구체적으로, 제어부(1320)는, 예컨대, 도 1 내지 12을 참조하여 설명한 전자 장치의 동작을 제어할 수 있다.
저장부(1330)는 상기 송수신부 (1310)를 통해 송수신되는 정보 및 제어부 (1320)을 통해 생성되는 정보 중 적어도 하나를 저장할 수 있다. 예를 들어, 저장부 (1330)는 예컨대, 도 1 내지 12를 참조하여 설명한 보안 레인징을 위해 필요한 정보 및 데이터를 저장할 수 있다.
상술한 본 개시의 구체적인 실시 예들에서, 본 개시에 포함되는 구성 요소는 제시된 구체적인 실시 예에 따라 단수 또는 복수로 표현되었다. 그러나, 단수 또는 복수의 표현은 설명의 편의를 위해 제시한 상황에 적합하게 선택된 것으로서, 본 개시가 단수 또는 복수의 구성 요소에 제한되는 것은 아니며, 복수로 표현된 구성 요소라 하더라도 단수로 구성되거나, 단수로 표현된 구성 요소라 하더라도 복수로 구성될 수 있다.
한편 본 개시의 상세한 설명에서는 구체적인 실시 예에 관해 설명하였으나, 본 개시의 범위에서 벗어나지 않는 한도 내에서 여러 가지 변형이 가능함은 물론이다. 그러므로 본 개시의 범위는 설명된 실시 예에 국한되어 정해져서는 아니 되며 후술하는 특허청구의 범위뿐만 아니라 이 특허청구의 범위와 균등한 것들에 의해 정해져야 한다.

Claims (12)

  1. 보안 레인징을 수행하는 UWB 장치의 방법에 있어서,
    상기 UWB 장치의 UWB 서브시스템으로부터 상기 UWB 장치의 보안 어플리케이션의 공개 키에 의해 암호화된 대칭 키를 포함하는 제1 암호화 데이터를 획득하고, 상기 제1 암호화 데이터를 상기 보안 어플리케이션으로 전달하는 단계; 및
    상기 보안 어플리케이션으로부터 상기 대칭 키에 의해 암호화된 레인징 데이터 세트(RDS)를 포함하는 제2 암호화 데이터를 획득하고, 상기 제2 암호화 데이터를 상기 UWB 서브시스템으로 전달하는 단계를 포함하며,
    상기 대칭 키는 상기 UWB 서브 시스템에 의해 생성되어 암호화되며, 상기 RDS는 UWB 레인징 세션을 보안하기 위해 사용되는 레인징 세션 키를 포함하며, 상기 보안 어플리케이션은 TEE(Trusted Execution Environment) 영역 내에 포함되는, 방법.
  2. 제1항에 있어서,
    상기 제1 암호화 데이터는, 상기 보안 어플리케이션의 공개 키에 의해 암호화된 부가 데이터를 더 포함하고,
    상기 부가 데이터는 상기 대칭 키의 유효 기간을 나타내기 위한 정보, 상기 대칭 키의 권한에 대한 정보, 상기 대칭 키의 무결성 보호를 위한 정보 또는 상기 대칭 키와 연관된 랜덤 넘버 정보 중 적어도 하나를 포함하는, 방법.
  3. 제1항에 있어서,
    상기 UWB 서브시스템으로부터 상기 제1 암호화 데이터를 획득하고, 상기 제1 암호화 데이터를 상기 보안 어플리케이션으로 전달하는 단계는:
    상기 보안 어플리케이션의 식별 정보를 포함하는, 암호화 키 획득 명령을 상기 UWB 서브시스템으로 전송하는 단계;
    상기 제1 암호화 데이터를 포함하는, 상기 암호화 키 획득 명령에 대응하는 응답을 상기 UWB 서브시스템으로부터 수신하는 단계; 및
    상기 제1 암호화 데이터 및 상기 보안 어플리케이션의 식별 정보를 포함하는, 암호화 키 설정 명령을 상기 보안 어플리케이션으로 전송하는 단계를 포함하는, 방법.
  4. 제3항에 있어서,
    상기 UWB 서브시스템으로부터 상기 제1 암호화 데이터를 획득하고, 상기 제1 암호화 데이터를 상기 보안 어플리케이션으로 전달하는 단계는:
    상기 제1 암호화 데이터로부터 획득된 상기 대칭 키와 연관된 부가 데이터에 포함된 랜덤 넘버 정보를 포함하는, 상기 암호화 키 설정 명령에 대응하는 응답을 상기 보안 어플리케이션으로부터 수신하는 단계;
    상기 랜덤 넘버 정보를 포함하는, 암호화 키 확인(ACK) 명령을 상기 UWB 서브시스템으로 전송하는 단계; 및
    상기 랜덤 넘버 정보에 기초한 값을 포함하는, 상기 암호화 키 확인 명령에 대응하는 응답을 상기 UWB 서브시스템으로부터 수신하는 단계를 포함하는, 방법.
  5. 제1항에 있어서,
    상기 보안 어플리케이션으로부터 상기 제2 암호화 데이터를 획득하고, 상기 제2 암호화 데이터를 상기 UWB 서브시스템으로 전달하는 단계는:
    상기 보안 어플리케이션의 식별 정보를 포함하는, 암호화 RDS 획득 명령을 상기 보안 어플리케이션으로 전송하는 단계;
    상기 제2 암호화 데이터를 포함하는, 상기 암호화 RDS 획득 명령에 대응하는 응답을 상기 보안 어플리케이션으로부터 수신하는 단계;
    상기 제2 암호화 데이터를 포함하는, 암호화 RDS 설정 명령을 상기 UWB 서브시스템으로 전송하는 단계; 및
    상기 UWB 서브시스템으로부터 상기 암호화 RDS 설정 명령에 대응하는 응답을 수신하는 단계를 포함하며,
    상기 제2 암호화 데이터는 상기 대칭 키에 의해 암호화된 UWB 서브시스템의 식별 정보를 더 포함하는, 방법.
  6. 제1항에 있어서,
    상기 UWB 서브시스템은 상기 TEE 영역 외부에 존재하는, 방법.
  7. 보안 레인징을 수행하는 UWB 장치에 있어서,
    메모리;
    트랜시버; 및
    상기 메모리 및 상기 트랜시버에 연결된 컨트롤러를 포함하며, 상기 컨트롤러는:
    상기 UWB 장치의 UWB 서브시스템으로부터 상기 UWB 장치의 보안 어플리케이션의 공개 키에 의해 암호화된 대칭 키를 포함하는 제1 암호화 데이터를 획득하고, 상기 제1 암호화 데이터를 상기 보안 어플리케이션으로 전달하고,
    상기 보안 어플리케이션으로부터 상기 대칭 키에 의해 암호화된 레인징 데이터 세트(RDS)를 포함하는 제2 암호화 데이터를 획득하고, 상기 제2 암호화 데이터를 상기 UWB 서브시스템으로 전달하도록 구성되며,
    상기 대칭 키는 상기 UWB 서브 시스템에 의해 생성되어 암호화되며, 상기 RDS는 UWB 레인징 세션을 보안하기 위해 사용되는 레인징 세션 키를 포함하며, 상기 보안 어플리케이션은 TEE(Trusted Execution Environment) 영역 내에 포함되는, UWB 장치.
  8. 제7항에 있어서,
    상기 제1 암호화 데이터는, 상기 보안 어플리케이션의 공개 키에 의해 암호화된 부가 데이터를 더 포함하고,
    상기 부가 데이터는 상기 대칭 키의 유효 기간을 나타내기 위한 정보, 상기 대칭 키의 권한에 대한 정보, 상기 대칭 키의 무결성 보호를 위한 정보 또는 상기 대칭 키와 연관된 랜덤 넘버 정보 중 적어도 하나를 포함하는, UWB 장치.
  9. 제7항에 있어서,
    상기 컨트롤러는:
    상기 보안 어플리케이션의 식별 정보를 포함하는, 암호화 키 획득 명령을 상기 UWB 서브시스템으로 전송하고,
    상기 제1 암호화 데이터를 포함하는, 상기 암호화 키 획득 명령에 대응하는 응답을 상기 UWB 서브시스템으로부터 수신하고,
    상기 제1 암호화 데이터 및 상기 보안 어플리케이션의 식별 정보를 포함하는, 암호화 키 설정 명령을 상기 보안 어플리케이션으로 전송하도록 더 구성되는, UWB 장치.
  10. 제8항에 있어서,
    상기 컨트롤러는:
    상기 제1 암호화 데이터로부터 획득된 상기 대칭 키와 연관된 부가 데이터에 포함된 랜덤 넘버 정보를 포함하는, 상기 암호화 키 설정 명령에 대응하는 응답을 상기 보안 어플리케이션으로부터 수신하고,
    상기 랜덤 넘버 정보를 포함하는, 암호화 키 확인(ACK) 명령을 상기 UWB 서브시스템으로 전송하고,
    상기 랜덤 넘버 정보에 기초한 값을 포함하는, 상기 암호화 키 확인 명령에 대응하는 응답을 상기 UWB 서브시스템으로부터 수신하도록 더 구성되는, UWB 장치.
  11. 제7항에 있어서,
    상기 컨트롤러는:
    상기 보안 어플리케이션의 식별 정보를 포함하는, 암호화 RDS 획득 명령을 상기 보안 어플리케이션으로 전송하고,
    상기 제2 암호화 데이터를 포함하는, 상기 암호화 RDS 획득 명령에 대응하는 응답을 상기 보안 어플리케이션으로부터 수신하고,
    상기 제2 암호화 데이터를 포함하는, 암호화 RDS 설정 명령을 상기 UWB 서브시스템으로 전송하고,
    상기 UWB 서브시스템으로부터 상기 암호화 RDS 설정 명령에 대응하는 응답을 수신하도록 더 구성되며,
    상기 제2 암호화 데이터는 상기 대칭 키에 의해 암호화된 UWB 서브시스템의 식별 정보를 더 포함하는, UWB 장치.
  12. 제11항에 있어서,
    상기 UWB 서브시스템은 상기 TEE 영역 외부에 존재하는, UWB 장치.
KR1020210063701A 2021-05-17 2021-05-17 Uwb 보안 레인징을 수행하기 위한 방법 및 장치 KR20220155867A (ko)

Priority Applications (3)

Application Number Priority Date Filing Date Title
KR1020210063701A KR20220155867A (ko) 2021-05-17 2021-05-17 Uwb 보안 레인징을 수행하기 위한 방법 및 장치
US17/746,316 US20220369103A1 (en) 2021-05-17 2022-05-17 Method and apparatus for performing uwb secure ranging
PCT/KR2022/007062 WO2022245109A1 (en) 2021-05-17 2022-05-17 Method and device for performing uwb secure ranging

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210063701A KR20220155867A (ko) 2021-05-17 2021-05-17 Uwb 보안 레인징을 수행하기 위한 방법 및 장치

Publications (1)

Publication Number Publication Date
KR20220155867A true KR20220155867A (ko) 2022-11-24

Family

ID=83998959

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210063701A KR20220155867A (ko) 2021-05-17 2021-05-17 Uwb 보안 레인징을 수행하기 위한 방법 및 장치

Country Status (3)

Country Link
US (1) US20220369103A1 (ko)
KR (1) KR20220155867A (ko)
WO (1) WO2022245109A1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11776382B1 (en) 2022-12-23 2023-10-03 The Adt Security Corporation Premises security system using ultra-wideband (UWB) functionality to initiate at least one action

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017181132A2 (en) * 2016-04-14 2017-10-19 Apple Inc. Methods and architectures for secure ranging
US11405185B2 (en) * 2017-09-28 2022-08-02 Apple Inc. Methods and architectures for secure ranging
WO2020069311A1 (en) * 2018-09-28 2020-04-02 Apple Inc. Ranging between mobile devices
WO2021040205A1 (ko) * 2019-08-23 2021-03-04 삼성전자 주식회사 전자 디바이스 및 전자 디바이스가 타겟 디바이스에게 제어 명령을 전달하는 방법

Also Published As

Publication number Publication date
WO2022245109A1 (en) 2022-11-24
US20220369103A1 (en) 2022-11-17

Similar Documents

Publication Publication Date Title
US10958451B2 (en) Authentication apparatus and method
US10567428B2 (en) Secure wireless ranging
US20220191700A1 (en) Communication method and communication device
KR20130111165A (ko) 블루투스 저 에너지 프라이버시
KR101762013B1 (ko) Two factor 통신 채널을 활용한 사물기기의 등록 및 비밀키 설정 방법
KR20160078475A (ko) 키 구성 방법, 시스템, 및 장치
CN114762290B (zh) 对数字密钥进行管理的方法和电子装置
KR101297648B1 (ko) 서버와 디바이스간 인증방법
US20230344626A1 (en) Network connection management method and apparatus, readable medium, program product, and electronic device
CN104010297B (zh) 无线终端配置方法及装置和无线终端
WO2019019853A1 (zh) 处理数据的方法、终端设备和网络设备
EP4152791A1 (en) Electronic device and method for electronic device to provide ranging-based service
KR20170012161A (ko) IoT 디바이스의 통신 클라이언트의 동작 방법 및 상기 통신 클라이언트를 포함하는 IoT 디바이스
US20220369103A1 (en) Method and apparatus for performing uwb secure ranging
KR101172876B1 (ko) 사용자 단말기와 서버 간의 상호 인증 방법 및 시스템
US11108749B2 (en) Secure device coupling
CN102487505B (zh) 一种传感器节点的接入认证方法、装置及系统
KR101785382B1 (ko) 클라이언트 인증 방법, 클라이언트의 동작 방법, 서버, 및 통신 소프트웨어
Janesko Bluetooth low energy security analysis framework
EP4274285A1 (en) Method and device for secure ranging based on ultra-wideband communication
KR20220104652A (ko) Uwb 기반 보안 레인징을 위한 방법 및 장치
KR20220144150A (ko) Uwb를 이용한 결제 방법 및 장치
CN116724578A (zh) 用于基于超宽带通信的安全测距的方法和设备
Ficco et al. A bluetooth infrastructure for automatic services access in ubiquitous and nomadic computing environments
Boja et al. Secure Bluetooth services in an m-learning environment