KR100921680B1 - Mobile storage based on trusted platform module and the computing method by using there of - Google Patents
Mobile storage based on trusted platform module and the computing method by using there of Download PDFInfo
- Publication number
- KR100921680B1 KR100921680B1 KR1020070083798A KR20070083798A KR100921680B1 KR 100921680 B1 KR100921680 B1 KR 100921680B1 KR 1020070083798 A KR1020070083798 A KR 1020070083798A KR 20070083798 A KR20070083798 A KR 20070083798A KR 100921680 B1 KR100921680 B1 KR 100921680B1
- Authority
- KR
- South Korea
- Prior art keywords
- data
- storage device
- portable storage
- application
- key
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
- G06F21/79—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in semiconductor storage media, e.g. directly-addressable memories
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0602—Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
- G06F3/062—Securing storage systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/72—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Human Computer Interaction (AREA)
- Mathematical Physics (AREA)
- Storage Device Security (AREA)
Abstract
본 발명은 외부 장치와의 데이터 교환을 수행하며 동작하는 휴대용 저장장치에 관한 것으로서, 컴퓨팅 환경 설정, 응용프로그램의 무결성 관리, 데이터의 무단 복제 방지 및 사용자 인증을 수행하는 보안수단과, 응용프로그램의 설정정보를 포함하는 작업환경설정정보 및 암호화키를 저장하는 보안용 저장수단과, 외부 컴퓨터에서 구동할 OS, 응용프로그램 또는 작업 데이터를 저장하는 데이터 저장수단과, 응용프로그램 구동 및 데이터 처리의 전반적 사항을 수행하는 코어 프로세서를 포함하는 것을 특징으로 하는 휴대용 저장장치를 제공한다.BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a portable storage device that operates while exchanging data with external devices. Security storage means for storing work environment setting information and encryption key including information, data storage means for storing OS, application program or work data to be run on an external computer, and general matters of application program operation and data processing. It provides a portable storage device comprising a core processor to perform.
본 발명에 따르면, 데이터 인증을 통하여 응용프로그램의 무결성 관리, 응용프그램 및 데이터의 실행 및 복제 과정을 관리할 수 있으며, 사용자가 임의의 다른 컴퓨터를 사용자 고유의 작업환경하에서 안전하게 사용할 수 있다.According to the present invention, it is possible to manage the integrity management of the application, the execution and replication of the application and data through the data authentication, the user can safely use any other computer in the user's own working environment.
신뢰 플랫폼 모듈, 인증, 키, USB, 휴대용 저장장치 Trusted Platform Module, Authentication, Key, USB, Portable Storage
Description
본 발명은 휴대용 저장장치 및 이를 이용한 컴퓨팅 방법에 관한 것으로서, 더욱 구체적으로는 데이터의 인증을 통하여 데이터의 저장이나 실행 또는 복제를 관리할 수 있고, 응용프로그램 설정 정보 등을 추가로 저장/관리하여 임의의 외부 컴퓨터를 사용자의 개인의 작업 환경하에서 안전하게 사용할 수 있도록 하는 휴대용 저장장치 및 이를 이용한 컴퓨팅 방법에 관한 것이다.The present invention relates to a portable storage device and a computing method using the same, and more particularly, to manage the storage, execution, or duplication of data through authentication of data, and to further store / manage application setting information and the like. The present invention relates to a portable storage device and a computing method using the same, so that an external computer can be safely used in a user's personal working environment.
본 발명은 정보통신부 및 정보통신연구진흥원의 IT 신성장동력 핵심기술 개발 사업의 일환으로 수행한 연구로부터 도출된 것이다[과제관리번호: 2007-S-016-01, 과제명:저비용 대규모 글로벌 인터넷 서비스 솔루션 개발].The present invention is derived from the research conducted as part of the core technology development project of IT new growth engine of Ministry of Information and Communication and the Ministry of Information and Communication Research and Development. Development].
인터넷, 와이브로(wireless broadband, Wibro), 디지털 멀티미디어 방송(digital multimedia broadcasting, DMB), 공중 무선 랜 서비스(public wireless LAN service, WLAN), 무선 사설망(wireless personal area network, WPAN) 등의 다양한 통신 서비스 채널의 보급에 따라서 컨텐츠의 유통이 보다 용이하게 구현될 수 있 다.Various communication service channels such as internet, wireless broadband (Wibro), digital multimedia broadcasting (DMB), public wireless LAN service (WLAN), wireless personal area network (WPAN) According to the distribution of the content distribution can be more easily implemented.
예컨대 응용 소프트웨어, 방송 컨텐츠, 전자 문서, 이미지, 오디오 및 비디오 데이터 등의 다양한 컨텐츠가 통신 서비스 채널을 통하여 유통되며, 이러한 컨텐츠의 전송이나 저장을 위하여 휴대용 저장장치가 사용된다.For example, various contents such as application software, broadcast contents, electronic documents, images, audio and video data are distributed through communication service channels, and portable storage devices are used for transmission or storage of such contents.
현재 컨텐츠의 전송이나 저장을 위해서 사용되는 휴대용 저장장치는 예컨대 SD 카드(secure digital card, SD card), 멀티미디어 카드(MultiMedia card, MMC) 및 USB 메모리(universal serial bus memory, USB memory) 등이 존재한다.Currently, portable storage devices used for the transmission or storage of contents include, for example, a secure digital card (SD card), a multimedia card (MultiMedia card, MMC), and a universal serial bus memory (USB memory). .
그러나 이러한 종래의 휴대용 저장장치는 수동적인 디바이스로서, 다양한 응용 파일에 적합한 환경 설정이 불가능하다. 예컨대 인가되지 않은 데이터의 복제나 데이터의 기록을 방지하는 것이 어렵다. 또한 인증 키를 사용하여 데이터의 복제나 기록을 제어하는 경우에도 이러한 인증 키를 관리하기 어렵다.However, these conventional portable storage devices are passive devices and cannot be configured for various application files. For example, it is difficult to prevent duplication of unauthorized data or recording of data. It is also difficult to manage such authentication keys even when the authentication keys are used to control the copying or recording of data.
따라서 종래의 휴대용 저장장치는 비록 사용의 편리성을 가지지만, 데이터 저장이나 복제의 신뢰성 및 안정성 측면에서는 바람직하지 못하다.Therefore, conventional portable storage devices, although having convenience of use, are not preferable in terms of reliability and stability of data storage or replication.
한편, 휴대용 저장장치 형태의 속칭 핑거 컴퓨터가 근래 들어 선보이고 있는데, 통상의 핑거 컴퓨터는 플래시 메모리와 운영체제, 각종 소프트웨어가 탑재되어 있고, 외부의 PC나 노트북의 USB 포트에 연결하고 전원을 켜면 내장된 운영체제와 프로그램을 이용해 자신만의 PC로 변신시켜 사용하는 것이 가능하다. 어떤 PC든 핑거 컴퓨터를 연결하는 순간 자신의 PC로 바로 활용할 수 있는 셈이다. On the other hand, the generic name finger computer in the form of a portable storage device has recently been introduced, a typical finger computer is equipped with a flash memory, an operating system, and various software, and when connected to an external PC or laptop USB port and turned on, the built-in operating system You can transform your PC into your own PC using the program. Any PC can be used as its own PC the moment it connects a finger computer.
그런데, 이러한 핑거 컴퓨터는 자신에게 내장된 운영체제 및 응용프로그램을 외부 컴퓨터의 컴퓨팅 자원을 활용하여 구동하는 방식을 취하고 있으므로, 이용 가능 한 응용프로그램의 종류나 데이터 관리에 한계가 있다. 즉, 통상의 핑거 컴퓨터는 외부 컴퓨터를 활용하되 외부 컴퓨터의 입출력 장치 및 연산장치의 일부 기능만을 제한적으로 사용하는 정도에 머무를 뿐, 외부 컴퓨터가 제공할 수 있는 기능을 충분히 활용하지 못하는 문제점이 있다.However, such a finger computer has a method of operating the operating system and applications built therein by utilizing the computing resources of an external computer, and thus there is a limit in the types of available application programs and data management. That is, the conventional finger computer utilizes an external computer, but has only a limited use of only some functions of the input / output device and the computing device of the external computer, and does not fully utilize the functions that the external computer can provide.
본 발명의 목적은 데이터의 인증을 통하여 데이터의 저장이나 실행 또는 복제를 관리할 수 있는 휴대용 저장장치를 제공하는 데 있다.It is an object of the present invention to provide a portable storage device capable of managing the storage, execution or duplication of data through authentication of the data.
본 발명의 다른 목적은 휴대용 저장장치를 이용하여 사용자가 자신의 고유한 작업환경 하에서 임의의 외부 컴퓨터를 안전하고 높은 활용도로 사용할 수 있는 방법을 제공하는 데 있다.Another object of the present invention is to provide a method by which a user can use any external computer safely and with high utilization under his own working environment by using a portable storage device.
상기 기술적 과제를 달성하기 위하여, 본 발명은 컴퓨팅 환경 설정, 응용프로그램의 무결성 관리, 데이터의 무단 복제 방지 및 사용자 인증을 수행하는 보안수단과, 응용프로그램의 설정정보를 포함하는 작업환경설정정보 및 암호화키를 저장하는 보안용 저장수단과, 외부 컴퓨터에서 구동할 OS, 응용프로그램 또는 작업 데이터를 저장하는 데이터 저장수단과, 응용프로그램 구동 및 데이터 처리의 전반적 사항을 수행하는 코어 프로세서를 포함하는 것을 특징으로 하는 휴대용 저장장치를 제공한다. In order to achieve the above technical problem, the present invention provides a security environment for performing the computing environment setting, integrity management of the application, prevention of unauthorized copying of data and user authentication, and configuration information and encryption of the work environment including the setting information of the application. Security storage means for storing a key, data storage means for storing an OS, an application program or work data to be run on an external computer, and a core processor for performing overall operations of application program and data processing. It provides a portable storage device.
위 보안수단은 OS 및 응용프로그램의 무결성 이미지를 해쉬값으로 저장하고, 이를 이용하여 OS 및 응용프로그램의 무결성 관리를 수행하며, 또는 공개키 암호화 기반의 키쌍을 생성하며, 이를 이용하여 상기 응용프로그램 및 상기 작업 데이터의 무단 복제를 방지한다.The security means stores the integrity image of the OS and the application as a hash value, performs the management of the integrity of the OS and the application using this, or generates a key pair based on public key encryption, using the application and Prevent unauthorized copying of the working data.
본 발명에 따른 휴대용 저장장치는 전원 공급을 위한 충전 가능 전기발생수단 과, USB, IEEE 1394, 블루투스, 적외선을 포함하는 유무선 통신 방식 중 적어도 하나를 지원하는 통신 인터페이스 수단을 더 포함할 수 있다.The portable storage device according to the present invention may further include a rechargeable electricity generating means for supplying power, and a communication interface means for supporting at least one of wired and wireless communication schemes including USB, IEEE 1394, Bluetooth, and infrared rays.
코어 프로세서는 상기 데이터 저장수단에 저장된 OS, 응용프로그램 또는 작업 데이터를 임의의 외부 컴퓨터로 전달하여 접속된 컴퓨터에 무관하게 동일한 작업 환경하에서 컴퓨터를 이용할 수 있도록 하거나, 또는 상기 보안용 저장수단에 저장된 작업환경설정정보를 외부 컴퓨터로 전달하여 동일한 작업환경하에서 상기 외부 컴퓨터에 저장된 응용프로그램을 이용할 수 있도록 하는 것을 특징으로 한다.The core processor transfers the OS, application programs or job data stored in the data storage means to any external computer so that the computer can be used in the same work environment regardless of the connected computer, or the job stored in the security storage means. The configuration information may be transmitted to an external computer so that an application program stored in the external computer may be used in the same working environment.
본 발명의 다른 면에 따라, 사용자가 이용하는 OS 및 응용프로그램의 설정정보를 포함하는 작업환경정보를 수집하여 저장하는 단계와, 상기 수집된 작업환경정보를 임의의 외부 컴퓨터에 전달하는 단계와, 상기 외부 컴퓨터의 중앙 처리 장치와 통신하며 상기 작업환경정보에 기초하여 상기 외부 컴퓨터의 작업 환경을 설정하는 단계와, 상기 설정된 작업 환경하의 작업을 통해 작성된 작업 데이터에 복제 방지 암호화키를 삽입하는 단계를 포함하는 것을 특징으로 하는 휴대용 저장장치를 이용한 컴퓨팅 방법이 제공된다.According to another aspect of the invention, the step of collecting and storing the work environment information including the setting information of the OS and application programs used by the user, the step of delivering the collected work environment information to any external computer, and Establishing a work environment of the external computer based on the work environment information and communicating with a central processing unit of an external computer, and inserting a copy protection encryption key into the work data created through the work under the set work environment. A computing method using a portable storage device is provided.
암호화키를 삽입하는 단계는 상기 휴대용 저장장치내 루트키(SRK; Storage Root Key)의 자식 키쌍을 생성하는 단계와 상기 키쌍 중 하나를 상기 휴대용 저장장치에 저장하고, 다른 하나를 상기 작업 데이터에 삽입하는 단계를 포함하여 수행될 수 있다.The step of inserting an encryption key may include generating a child key pair of a storage root key (SRK) in the portable storage device, storing one of the key pairs in the portable storage device, and inserting another into the job data. It can be performed including the step.
본 발명에 따르면 데이터의 인증을 통하여 데이터의 저장이나 실행을 안전하 게 수행하고 무단 복제를 방지할 수 있다.According to the present invention, the data can be safely stored or executed through authentication, and unauthorized copying can be prevented.
또한, 사용자 고유의 작업 환경하에서 임의의 외부 컴퓨터를 안전하게 그리고 완전히 활용할 수 있다.In addition, any external computer can be safely and fully utilized in the user's own working environment.
이하, 본 발명의 바람직한 실시예를 첨부한 도면을 참조로 보다 구체적으로 설명한다. Hereinafter, with reference to the accompanying drawings, preferred embodiments of the present invention will be described in more detail.
도 1은 본 발명에 따른 휴대용 저장장치의 기능 블록도이다.1 is a functional block diagram of a portable storage device according to the present invention.
도시된 바와 같이, 본 발명에 따른 신뢰 플랫폼 모듈 기반 휴대용 저장장치는 통신 인터페이스부(110)와, 신뢰 플랫폼 모듈(130)과, 데이터 인증부(150)를 포함하며, 데이터 저장부(170)를 추가로 포함할 수 있다.As shown, the trust platform module-based portable storage device according to the present invention includes a
통신 인터페이스부(110)는 외부 장치와의 통신 인터페이스를 제공한다. 외부 장치는 본 발명에 따른 신뢰 플랫폼 모듈 기반 휴대용 저장장치와 연결되어 데이터의 교환이 수행되는 컴퓨터 또는 PDA 또는 이동통신 단말기 등의 처리 장치이다.The
통신 인터페이스부(110)는 예컨대 USB 규격에 따른 통신 인터페이스를 제공한다. 또는 IEEE 1394 등의 통신 인터페이스를 제공하는 것도 가능하다.The
신뢰 플랫폼 모듈(130)은 인증 기능을 구비한다. 신뢰 플랫폼 모듈(130)은 데이터의 복제 방지 또는 데이터의 무결성 확인 또는 데이터의 저장이나 사용자의 실행 환경 설정 등을 위해서 인증을 제공한다.
예컨대 신뢰 플랫폼 모듈(130)은 공개키암호(예컨대, RSA, ECC 등) 기반의 키쌍(key pair)을 생성한다. 이러한 RSA 키쌍은 데이터의 인증 기능, 즉 서명이 삽입되 는 데이터를 생성하거나 또는 데이터의 암호화 또는 복호화를 수행하는 데 사용될 수 있다.For example,
데이터 인증부(150)는 신뢰 플랫폼 모듈(130)의 인증 기능을 기초로 통신 인터페이스부(110)를 통하여 교환되는 데이터의 인증을 수행한다.The
이하 이러한 데이터의 인증에 대해서 좀 더 상세히 설명한다.Hereinafter, authentication of such data will be described in more detail.
데이터는 예컨대 본 발명에 따른 신뢰 플랫폼 모듈 기반 휴대용 저장장치에 대한 운영 체제 또는 본 발명에 따른 신뢰 플랫폼 모듈 기반 휴대용 저장장치 상에서 실행되는 응용프로그램일 수 있다.The data can be for example an operating system for a trust platform module based portable storage device according to the invention or an application running on the trust platform module based portable storage device according to the invention.
또는 운영 체제 또는 응용프로그램이 아니라 멀티미디어 파일이나 사용자의 실행 환경을 나타내는 데이터 파일일 수도 있다.Alternatively, the multimedia file may be a multimedia file or a data file representing a user's execution environment instead of an operating system or an application program.
이러한 데이터에 대해서 신뢰 플랫폼 모듈(130)의 인증 기능을 기초로 인증 데이터가 삽입된다.Authentication data is inserted into such data based on the authentication function of the
즉 외부 장치로부터 데이터를 수신할 때, 본 발명에 따른 신뢰 플랫폼 모듈 기반 휴대용 저장장치의 신뢰 플랫폼 모듈(130)의 인증 기능을 기초로 인증 데이터가 삽입된 채로 수신될 수 있다.That is, when receiving data from an external device, the authentication data may be received with the authentication data inserted based on the authentication function of the
이 경우 데이터 인증부(150)는 외부 장치로부터 수신한 데이터 중에서 인증 데이터를 추출하며, 이를 신뢰 플랫폼 모듈(130)의 인증 기능을 통하여 생성되는 인증 정보와 비교하여 데이터의 인증을 수행한다.In this case, the
또는 외부 장치에게로 데이터를 전송할 때, 본 발명에 따른 신뢰 플랫폼 모듈 기반 휴대용 저장장치의 신뢰 플랫폼 모듈(130)의 인증 기능을 기초로 인증 데이터가 삽입된 데이터를 전송할 수 있다.Alternatively, when transmitting data to an external device, the data into which authentication data is inserted may be transmitted based on the authentication function of the
이 경우 외부 장치에서는 마찬가지로 인증 데이터를 통하여 데이터의 무결성 관리 또는 복제 방지를 수행할 수 있다.In this case, the external device may similarly manage data integrity or copy protection through the authentication data.
신뢰 플랫폼 모듈(130)은 한편 데이터의 해쉬값을 인증 정보로서 저장할 수 있다.
이 경우 데이터 인증부(150)는 데이터에 포함된 인증 데이터와, 신뢰 플랫폼 모듈(130)에 저장된 데이터의 해쉬값을 비교하여 데이터의 인증을 수행한다.In this case, the
한편 외부 장치로부터 수신한 데이터를 저장하기 위하여 본 발명에 따른 신뢰 플랫폼 모듈 기반 휴대용 저장장치는 데이터 저장부(170)를 더 포함하는 것이 바람직하다. Meanwhile, in order to store data received from an external device, the trusted platform module-based portable storage device according to the present invention may further include a
데이터 저장부(170)는 예컨대 운영 체제 또는 멀티미디어 파일이나 사용자의 실행 환경을 나타내는 데이터 파일이며, 인증 데이터가 포함된 데이터를 저장한다.The
이 경우 바람직하게는 데이터 인증부(150)에서 데이터의 인증이 수행된 이후에 데이터 저장부(170)에 데이터가 저장된다.In this case, the data is preferably stored in the
즉 데이터의 불법 복제 방지, 무결성 확인 등을 위하여 데이터 인증부(150)의 제어에 의해서 데이터가 저장될 수 있다.That is, the data may be stored under the control of the
한편 데이터 저장부(170)에 저장된 데이터가 실행되는 경우, 예컨대 응용프로그램이 실행되거나 또는 멀티미디어 파일 등이 재생되거나 또는 복제되거나 또는 외부로 전송하는 등의 경우 데이터 인증부(150)가 신뢰 플랫폼 모듈(130)에 저장된 데이터의 해쉬값을 판독하여 데이터에 대한 인증을 수행하는 것이 바람직하다.Meanwhile, when data stored in the
도 1에서 설명의 편의와 이해의 증진을 위하여 데이터 인증부(150)를 신뢰 플랫폼 모듈(130)과 분리된 것으로 도시하였으나, 도 1에 도시된 데이터 인증부(150)와 신뢰 플랫폼 모듈(130)이 하나의 칩 또는 모듈로 구성될 수 있음은 물론이다.In FIG. 1, the
도 2는 본 발명에 따른 휴대용 저장장치의 예시적인 구성을 나타내는 도면이다.2 is a diagram showing an exemplary configuration of a portable storage device according to the present invention.
도시된 바와 같이, USB 인터페이스(210)와, 코어 프로세서(220)와, RAM(230)과, TPM(240)과, 플래쉬 메모리(250)와, 배터리(260)를 포함한다.As shown, a
USB 인터페이스(210)는 도 1에 도시된 통신 인터페이스부(110)에 대응하며, 설명의 편의상 USB 인터페이스로 칭하였으나 이에 한정되지 않고, 기타 외부 컴퓨터와의 접속이 가능한 IEEE 1394, 적외선, 블루투스 인터페이스를 포함하는 유무선 인터페이스를 의미한다. The
코어 프로세서(220)는 데이터 인증을 포함하는 휴대용 저장장치의 전반적 동작을 제어하며 외부 컴퓨터와의 협업을 통해 사용자가 자신의 고유한 작업환경하에서 외부 컴퓨터를 충분히 활용할 수 있도록 한다. 이와 관련한 구체 내용에 대해서는 후술한다.The
RAM(230)은 동작 중에 이용되는 OS, 응용프로그램, 드라이버 또는 데이터가 일시적으로 저장된다. The
TPM(240)은 보안 모듈로서, 컴퓨팅 환경 설정, 응용프로그램의 무결성 관리, 데이터의 무단 복제 방지 및 사용자 인증에 요구되는 각종 보안 데이터의 생성을 수행하며, 칩 형태로 구현될 수 있다. 또한 TPM(240) 내부에는 PCR(Performance Configuration Register)을 구비한다.The
PCR은 OS, 응용프로그램 또는 데이터의 무결성 이미지가 해쉬값으로 저장되어 있다. 따라서 이러한 PCR을 이용하여 OS, 응용프로그램이나 데이터의 무결성 관리 및 인증이 수행될 수 있다.In PCR, an integrity image of an OS, an application, or data is stored as a hash value. Therefore, the integrity management and authentication of the OS, application programs or data can be performed using such PCR.
플래쉬 메모리(250)는 비휘발성 메모리로서, 응용프로그램이나 OS, 드라이버가 플래쉬 메모리(250)에 저장되며, 실행시 RAM(230)에 로딩되어 코어 프로세서(220)에서 실행될 수 있다.The
또한, 전자문서, 인증서, 콘텐츠 데이터, 게임 데이터 등의 사용자 작업 데이터가 플래쉬 메모리(250)에 저장되어, 사용자의 작업에 이용된다.In addition, user work data such as electronic documents, certificates, content data, game data, and the like are stored in the
특히, 플래쉬 메모리(250)는 응용프로그램의 환경 설정 정보와, 기타 컴퓨팅 환경에 대한 설정 정보를 저장하는데, 환경 설정 정보는 휴대용 저장장치에 내장된 응용프로그램의 것 이외의 기타 범용 응용프로그램의 환경 설정 정보를 저장한다.In particular, the
예컨대, 휴대용 저장장치 내에는 MS 오피스 프로그램이 설치되어 있지 않으나, 플래쉬 메모리(250)에 MS 오피스 프로그램에 관한 사용자 고유의 환경 설정 정보가 저장되어 있으면, MS 오피스 프로그램이 설치된 외부 컴퓨터에 접속하여 MS 오피스 프로그램을 구동할 때, 플래쉬 메모리(250)에 저장된 환경 설정 정보를 이용하여 사용자가 항상 자신의 컴퓨터에서 작업하듯이 임의의 외부 컴퓨터를 이용할 수 있다.For example, if the MS Office program is not installed in the portable storage device, but user-specific configuration information regarding the MS Office program is stored in the
이때, TPM(240)은 응용프로그램 및 데이터의 무결성 관리및 보안을 수행하며, 코어 프로세서(220)가 플래쉬 메모리(250), TPM(240)의 동작을 조율하고 외부 컴퓨터와 통신하며 전술한 작업이 원활이 수행되도록 조율한다.In this case, the
배터리(260)는 본 발명에 따른 신뢰 플랫폼 모듈 기반 휴대용 저장장치의 각 구성에 전원을 공급한다. 만약 휴대용 저장장치가 컴퓨터가 USB 방식의 인터페이스를 채택했다면, 외부 컴퓨터 등으로부터 전원을 공급받을 수 있으므로, 이러한 경우 배터리는 생략될 수 있다.The
도 3은 본 발명에 따른 휴대용 저장장치의 소프트웨어 계층도이다.3 is a software hierarchy diagram of a portable storage device according to the present invention.
도시되듯이 맨 하위 계층(layer)으로서는 하드웨어 계층(310)이 존재한다. 하드웨어 계층(310)은 예컨대 USB 인테페이스와 TPM 칩을 포함하는 부분이다. TPM 칩 내부에는 PCR을 포함하며, 운영 체제 또는 응용프로그램의 무결성 이미지가 해쉬값으로 저장되어 있다.As shown, there is a
디바이스 계층(320)은 USB 인터페이스와 TPM 칩에 대한 디바이스 드라이버(USB & TPM Device Driver)와 라이브러리(USB & TPM LIB)를 포함하는 계층이다. 이러한 디바이스 계층(320)을 통하여 응용 계층(340) 또는 TSS 계층(330)이 하드웨어 계층(310)을 제어할 수 있다.The
TSS(TPM Software Stack) 계층(330)은 TPM의 각종 기능에 대한 스택이다. 예컨대 응용프로그램의 실행 환경 설정과 관리(APP SW Config. Management), 응용프로그램의 무결성 관리(APP SW Integrity Management), 응용프로그램 등의 데이터의 복제 방지(Copy Protection API) 및 이러한 기능들을 위한 키 관리(Key Management) 기능을 포함한다.The TSS Software Stack (TSS)
응용 계층(340)은 각종 응용프로그램 및 GUI로 구성된다. 여기에서의 응용 또는 애플리케이션은 휴대용 저장장치 내부에서 실행되어 동작하는 프로그램을 말한다.The
도 4는 본 발명에 따른 휴대용 저장장치를 이용한 데이터의 다운로드 및 인증을 예시적으로 나타내는 도면이다.4 is a diagram illustrating download and authentication of data using a portable storage device according to the present invention.
도시되듯이 본 발명에 따른 신뢰 플랫폼 모듈 기반 휴대용 저장장치(100)는 개인용 웹 서버(400)를 통하여 데이터 저장장치(500)에 데이터의 다운로드를 요청한다.As shown, the trust platform module-based
이 경우 데이터 저장장치(500)는 미리 인증 데이터가 삽입된 데이터, 즉 서명된 데이터를 저장하며, 이를 개인용 웹 서버(400)를 통하여 신뢰 플랫폼 모듈 기반 휴대용 저장장치(100)에 전송한다. In this case, the
개인용 웹 서버(400)는 신뢰 플랫폼 모듈 기반 휴대용 저장장치(100)에 대응되어 구성되는 웹 서버로서 데이터 저장장치(500)에 대한 데이터 다운로드 인터페이스를 제공하는 구성이다.The
신뢰 플랫폼 모듈 기반 휴대용 저장장치(100)는 데이터 저장장치(500)로부터 서명된 데이터를 수신하여 저장하며, 내부의 인증 기능을 이용하여 데이터를 사용할 수 있다.The trust platform module-based
예컨대 응용프로그램의 경우 내부의 인증 기능, 즉 K_pr, K_pu 등으로 표시되는 키값을 통하여 서명을 확인한 이후에 사용이 가능하도록 구성될 수 있다.For example, an application program may be configured to be used after verifying a signature through a key value represented by an internal authentication function, that is, K_pr or K_pu.
이 경우 인증은 예컨대 전술한 해쉬값을 기초로 수행될 수 있으며, 또한 서명된 데이터는 예컨대 키를 이용하여 서명이 수행된 데이터일 수 있다.In this case, the authentication may be performed based on the hash value described above, for example, and the signed data may be data signed using a key, for example.
도 5는 본 발명에 따른 신뢰 플랫폼 모듈에서 사용하는 키 계층 구조를 예시적으로 나타내는 도면이다.5 is a diagram illustrating a key hierarchy used in the trust platform module according to the present invention.
도시되듯이 TPM 키 계층 구조는 최상단의 EK(Endorsement Key)와 중간 단의 AIK(Attestation Identity Key), SRK(Storage Root Key)와, 최하단의 DAA(Direct Anonymous Attestation) 또는 차일드 키쌍(K_pu, K_pr)을 포함한다.As shown, the TPM key hierarchy consists of the top-end endorsement key (EK), the middle-side attachment identity key (AIK), storage root key (SRK), and the bottom-most direct anonymous attestation (DAA) or child key pair (K_pu, K_pr). It includes.
차일드 키쌍(K_pu, K_pr)은 SRK의 차일드(Child)이며, 본 발명에 따른 신뢰 플랫폼 모듈 기반 휴대용 저장장치에서 실제 데이터의 인증을 위해서 사용하는 키들이다. 차일드 키쌍은 다수 개 포함될 수 있다.The child key pairs K_pu and K_pr are children of the SRK and are keys used for authenticating actual data in the trusted platform module-based portable storage device according to the present invention. Multiple child key pairs may be included.
비록 본 발명의 구성이 구체적으로 설명되었지만 이는 단지 본 발명을 예시적으로 설명한 것에 불과한 것으로, 본 발명이 속하는 기술분야에서 통상의 지식을 가지는 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위 내에서 다양한 변형이 가능할 것이다.Although the configuration of the present invention has been described in detail, these are merely illustrative of the present invention, and various modifications may be made by those skilled in the art without departing from the essential characteristics of the present invention. This will be possible.
따라서 본 명세서에 개시된 실시예들은 본 발명을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 사상과 범위가 한정되는 것은 아니다. 본 발명의 범위는 아래의 청구범위에 의해 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다. Therefore, the embodiments disclosed herein are not intended to limit the present invention but to describe the present invention, and the spirit and scope of the present invention are not limited by these embodiments. It is intended that the scope of the invention be interpreted by the following claims, and that all descriptions within the scope equivalent thereto will be construed as being included in the scope of the present invention.
도 1은 본 발명에 따른 휴대용 저장장치의 기능 블록도.1 is a functional block diagram of a portable storage device according to the present invention.
도 2는 본 발명에 따른 휴대용 저장장치의 구성도.2 is a block diagram of a portable storage device according to the present invention.
도 3은 본 발명에 따른 휴대용 저장장치의 소프트웨어 계층도.3 is a software hierarchy diagram of a portable storage device in accordance with the present invention.
도 4는 본 발명에 따른 휴대용 저장장치를 이용한 데이터의 다운로드 및 인증 과정을 예시적으로 나타내는 도면.4 is a diagram illustrating a process of downloading and authenticating data using a portable storage device according to the present invention.
도 5는 본 발명에 따른 휴대용 저장장치에서 사용하는 키 계층 구조를 예시적으로 나타내는 도면.5 illustrates a key hierarchy used in a portable storage device according to the present invention.
<도면의 주요부분에 대한 부호의 설명><Description of the symbols for the main parts of the drawings>
100: 휴대용 저장장치100: portable storage
110: 통신 인터페이스부 130: 신뢰 플랫폼 모듈110: communication interface unit 130: trusted platform module
150: 데이터 인증부 170: 데이터 저장부150: data authentication unit 170: data storage unit
210: USB 인터페이스 220: 코어 프로세서210: USB interface 220: core processor
230: RAM 240: TPM230: RAM 240: TPM
250: 플래쉬 메모리 260: 배터리250: flash memory 260: battery
310: 하드웨어 계층 320: 디바이스 계층310: hardware layer 320: device layer
330: 하드웨어 계층 340: 응용 계층330: hardware layer 340: application layer
400: 개인용 웹 서버 500: 데이터 저장장치400: personal web server 500: data storage device
Claims (11)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020070083798A KR100921680B1 (en) | 2007-08-21 | 2007-08-21 | Mobile storage based on trusted platform module and the computing method by using there of |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020070083798A KR100921680B1 (en) | 2007-08-21 | 2007-08-21 | Mobile storage based on trusted platform module and the computing method by using there of |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20090019402A KR20090019402A (en) | 2009-02-25 |
KR100921680B1 true KR100921680B1 (en) | 2009-10-15 |
Family
ID=40687218
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020070083798A KR100921680B1 (en) | 2007-08-21 | 2007-08-21 | Mobile storage based on trusted platform module and the computing method by using there of |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100921680B1 (en) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8352679B2 (en) | 2009-04-29 | 2013-01-08 | Empire Technology Development Llc | Selectively securing data and/or erasing secure data caches responsive to security compromising conditions |
US8726043B2 (en) | 2009-04-29 | 2014-05-13 | Empire Technology Development Llc | Securing backing storage data passed through a network |
US8799671B2 (en) | 2009-05-06 | 2014-08-05 | Empire Technology Development Llc | Techniques for detecting encrypted data |
US8924743B2 (en) | 2009-05-06 | 2014-12-30 | Empire Technology Development Llc | Securing data caches through encryption |
KR101318668B1 (en) * | 2013-05-21 | 2013-10-16 | (주)세이퍼존 | Portable memory card having information security function |
KR101713320B1 (en) * | 2014-07-04 | 2017-03-10 | 주식회사 비즈모델라인 | Method for End-To-End Exchanging Data between IC Chip and Server |
US11444771B2 (en) | 2020-09-08 | 2022-09-13 | Micron Technology, Inc. | Leveraging a trusted party third-party HSM and database to securely share a key |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20020086444A (en) * | 2002-10-26 | 2002-11-18 | 주식회사 드림시큐리티 | Combination type usb drive having storage and operation function |
KR20040085793A (en) * | 2003-04-01 | 2004-10-08 | 이상은 | Smart mobile storage device with embedded application programs |
KR20060062587A (en) * | 2004-12-04 | 2006-06-12 | 소프트온넷(주) | A portable data storage system and method to run application programs on a host computer system |
KR20070058390A (en) * | 2007-03-23 | 2007-06-08 | 김용구 | System and method for maintaining work coherency and continuity by client computer virtualiztion and server syncronization |
-
2007
- 2007-08-21 KR KR1020070083798A patent/KR100921680B1/en active IP Right Grant
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20020086444A (en) * | 2002-10-26 | 2002-11-18 | 주식회사 드림시큐리티 | Combination type usb drive having storage and operation function |
KR20040085793A (en) * | 2003-04-01 | 2004-10-08 | 이상은 | Smart mobile storage device with embedded application programs |
KR20060062587A (en) * | 2004-12-04 | 2006-06-12 | 소프트온넷(주) | A portable data storage system and method to run application programs on a host computer system |
KR20070058390A (en) * | 2007-03-23 | 2007-06-08 | 김용구 | System and method for maintaining work coherency and continuity by client computer virtualiztion and server syncronization |
Also Published As
Publication number | Publication date |
---|---|
KR20090019402A (en) | 2009-02-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR100921680B1 (en) | Mobile storage based on trusted platform module and the computing method by using there of | |
US8165300B2 (en) | System and method for generalized authentication | |
US8560820B2 (en) | Single security model in booting a computing device | |
US8839359B2 (en) | Data processing device and data processing method | |
US9582656B2 (en) | Systems for validating hardware devices | |
US20210216616A1 (en) | Memory controller and storage device including the same | |
US8060735B2 (en) | Portable device and method for externally generalized starting up of a computer system | |
US20090259855A1 (en) | Code Image Personalization For A Computing Device | |
US20080082813A1 (en) | Portable usb device that boots a computer as a server with security measure | |
JP2005173197A (en) | Encryption /decryption processing system and encryption/decryption processing apparatus | |
TWI420339B (en) | Software authorization system and method | |
US20050138389A1 (en) | System and method for making password token portable in trusted platform module (TPM) | |
KR20130050959A (en) | System and method for storing a password recovery secret | |
CN102859963A (en) | Booting and configuring a subsystem securely from non-local storage | |
US20080092217A1 (en) | Environment migration system, terminal apparatus, information processing apparatus, management server, and portable storage medium | |
US20080091934A1 (en) | Method and apparatus for limiting access to sensitive data | |
TWI424321B (en) | Cloud storage system and method | |
TW200837602A (en) | Cryptographic key containers on a USB token | |
US8738924B2 (en) | Electronic system and digital right management methods thereof | |
CN109804598B (en) | Method, system and computer readable medium for information processing | |
US8341389B2 (en) | Device, systems, and method for securely starting up a computer installation | |
Butler et al. | Kells: a protection framework for portable data | |
US7600134B2 (en) | Theft deterrence using trusted platform module authorization | |
JP2004362516A (en) | Usb encryption device and program | |
KR101115358B1 (en) | The smart working computer including the monitor and the broadcasting system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20120919 Year of fee payment: 18 |