KR20080054792A - 하드웨어 보안 모듈 다중화 장치 및 그 방법 - Google Patents
하드웨어 보안 모듈 다중화 장치 및 그 방법 Download PDFInfo
- Publication number
- KR20080054792A KR20080054792A KR1020060127362A KR20060127362A KR20080054792A KR 20080054792 A KR20080054792 A KR 20080054792A KR 1020060127362 A KR1020060127362 A KR 1020060127362A KR 20060127362 A KR20060127362 A KR 20060127362A KR 20080054792 A KR20080054792 A KR 20080054792A
- Authority
- KR
- South Korea
- Prior art keywords
- hsm
- master
- slave
- security module
- hardware security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0407—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
- H04L63/0414—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden during transmission, i.e. party's identity is protected against eavesdropping, e.g. by using temporary identifiers, but is known to the other party or parties involved in the communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/065—Network architectures or network communication protocols for network security for supporting key management in a packet data network for group communications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/065—Encryption by serially and continuously modifying data stream elements, e.g. stream cipher systems, RC4, SEAL or A5/3
- H04L9/0656—Pseudorandom key sequence combined element-for-element with data sequence, e.g. one-time-pad [OTP] or Vernam's cipher
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Bioethics (AREA)
- Automation & Control Theory (AREA)
- Hardware Redundancy (AREA)
Abstract
Description
Claims (15)
- 하드웨어 보안 모듈(HSM) 다중화 장치에 있어서,기 설정된 우선순위에 따라 마스터로 지정되어, 자신의 공개키/비밀키 쌍을 이용해 송/수신 세션키를 생성하여 적어도 하나의 슬레이브 HSM과 보안채널을 각각 형성하고, 신규 생성 및/또는 변경 정보를 각각의 보안채널을 통해 상기 적어도 하나의 HSM에 복제하기 위한 마스터 HSM; 및기 설정된 우선순위에 따라 슬레이브로 지정되어, 자신의 공개키/비밀키 쌍을 이용해 송/수신 세션키를 생성하여 상기 마스터 HSM과 상기 보안채널을 각각 형성하고, 각각의 보안채널을 통해 전송되는 신규 생성 및/또는 변경 정보를 저장(복제)하고 있는 상기 적어도 하나의 슬레이브 HSM을 포함하는 하드웨어 보안 모듈 다중화 장치.
- 제 1 항에 있어서,상기 마스터 HSM의 장애 발생시,상기 기 설정된 우선순위에 따라, 상기 적어도 하나의 슬레이브 HSM 중 차순위 HSM이 마스터로 자동 절체되는 것을 특징으로 하는 하드웨어 보안 모듈 다중화 장치.
- 제 1 항에 있어서,상기 각 HSM은,상기 복제 과정에서 오류 발생시, 복제하고자 하는 신규 생성 및/또는 변경 정보를 삭제하고 원상 복구시키는 것을 특징으로 하는 하드웨어 보안 모듈 다중화 장치.
- 제 1 항 내지 제 3 항 중 어느 한 항에 있어서,상기 각 HSM은,서로 다른 마스터 우선순위를 가지며, 전원 인가시 자신의 마스터 우선순위를 네트워크상으로 브로드캐스트하여, 자신보다 우선순위가 높은 HSM으로부터 메시지가 수신되지 않는다면 자신을 마스터로 지정하는 것을 특징으로 하는 하드웨어 보안 모듈 다중화 장치.
- 제 4 항에 있어서,상기 각 HSM은,호스트로부터의 연결을 처리하기 위한 접속 관리자가 존재하고, 내부에 관리되고 있는 가상 슬롯을 통해 실제 키 생성, 암/복호화를 처리하는 토큰으로 접속되 는 것을 특징으로 하는 하드웨어 보안 모듈 다중화 장치.
- 하드웨어 보안 모듈(HSM) 다중화 방법에 있어서,상기 HSM의 다중화시, 마스터 우선순위를 선정하는 단계;각 HSM 간에 자신의 우선순위를 브로드캐스팅하여, 마스터 HSM을 결정하는 마스터 HSM 결정 단계;마스터 HSM과 적어도 하나의 슬레이브 HSM 간에, 공개키/비밀키 쌍을 이용해 송/수신 세션키를 생성하여 보안채널을 각각 형성하는 초기 설정 단계; 및상기 형성된 각각의 보안채널을 통해, 상기 마스터 HSM이 신규 생성 및/또는 변경 정보를 모든 슬레이브 HSM에 복제하는 운용 단계를 포함하는 하드웨어 보안 모듈 다중화 방법.
- 제 1 항에 있어서,상기 마스터 HSM의 장애 발생시, 상기 HSM 결정 단계를 통해 상기 적어도 하나의 슬레이브 HSM 중 차순위 HSM이 마스터로 결정되는 단계를 더 포함하는 하드웨어 보안 모듈 다중화 방법.
- 제 6 항에 있어서,상기 운용 단계에서,상기 신규 생성 및/또는 변경 정보의 복제 오류 발생시, 복제하고자 하는 신규 생성 및/또는 변경 정보를 삭제하고 원상 복구시키는 단계를 더 포함하는 하드웨어 보안 모듈 다중화 방법.
- 제 6 항 내지 제 8 항 중 어느 한 항에 있어서,상기 초기 설정 단계에서,상기 마스터 HSM과 상기 적어도 하나의 슬레이브 HSM 간에 데이터 전송은 난수로 암호화되어 처리하는 것을 특징으로 하는 하드웨어 보안 모듈 다중화 방법.
- 제 9 항에 있어서,상기 초기 설정 단계는,상기 마스터 HSM이 자신의 공개키와 비밀키 쌍(PUm, PRm)을 생성하는 단계;상기 마스터 HSM이 자신의 공개키(PUm)를 적어도 하나의 슬레이브 HSM으로 전송하는 단계;상기 적어도 하나의 슬레이브 HSM이 자신의 공개키와 비밀키 쌍(PUn, PRn)을 생성하고, 제1 난수(Randn)를 생성하여 이를 상기 마스터 HSM의 공개키(PUm)로 암호화하여(EPU_m(Randn)), 자신의 공개키(PUn)와 함께 응답 메시지를 통해 상기 마스터 HSM으로 전달하는 단계;상기 마스터 HSM이 상기 EPU _m(Randn)을 자신의 비밀키(PRm)로 복호화하여 상기 제1 난수(Randn)를 상기 적어도 하나의 슬레이브 HSM에 대한 송신 세션키, 제2 난수(Randm)를 수신 세션키로 설정하는 단계;상기 마스터 HSM이 상기 제2 난수(Randm)를 상기 적어도 하나의 슬레이브 HSM의 공개키(PUn)로 암호화하여(EPU _n(Randm)) 응답 메시지로서 상기 적어도 하나의 슬레이브 HSM으로 전달하는 단계; 및상기 적어도 하나의 슬레이브 HSM이 상기 EPU _n(Randm)를 자신의 비밀키(PRn)로 복호화하여 상기 제2 난수(Randm)를 상기 마스터 HSM에 대한 수신 세션키, 상기 제1 난수(Randn)를 송신 세션키로 설정하는 단계를 포함하는 하드웨어 보안 모듈 다중화 방법.
- 제 10 항에 있어서,상기 운용 단계는,호스트에서 상기 마스터 HSM으로 커넥션이 설정되는 단계;상기 마스터 HSM이 상기 신규 생성 및/또는 변경 정보를 감지하는 단계;상기 마스터 HSM이 상기 형성된 각각의 보안채널을 통해 상기 적어도 하나의 슬레이브 HSM으로 복제를 시도하는 단계를 포함하는 하드웨어 보안 모듈 다중화 방법.
- 제 10 항에 있어서,상기 운용 단계는,호스트에서 상기 적어도 하나의 슬레이브 HSM 중 일 슬레이브 HSM으로 커넥션이 설정되는 단계;상기 일 슬레이브 HSM이 상기 신규 생성 및/또는 변경 정보를 감지하는 단계;상기 일 슬레이브 HSM이 상기 신규 생성 및/또는 변경 정보를 해당 보안채널을 통해 상기 마스터 HSM으로 전달하는 단계; 및상기 마스터 HSM이 상기 형성된 각각의 보안채널을 통해 상기 적어도 하나의 슬레이브 HSM 중 타 슬레이브 HSM으로 복제를 시도하는 단계를 포함하는 하드웨어 보안 모듈 다중화 방법.
- 프로세서를 구비한 하드웨어 보안 모듈(HSM) 다중화 장치에,상기 HSM의 다중화시, 마스터 우선순위를 선정하는 기능;각 HSM 간에 자신의 우선순위를 브로드캐스팅하여, 마스터 HSM을 결정하는 마스터 HSM 결정 기능;마스터 HSM과 적어도 하나의 슬레이브 HSM 간에, 공개키/비밀키 쌍을 이용해 송/수신 세션키를 생성하여 보안채널을 각각 형성하는 초기 설정 기능; 및상기 형성된 각각의 보안채널을 통해, 상기 마스터 HSM이 신규 생성 및/또는 변경 정보를 모든 슬레이브 HSM에 복제하는 운용 기능을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
- 제 13 항에 있어서,상기 마스터 HSM의 장애 발생시, 상기 HSM 결정 기능을 통해 상기 적어도 하나의 슬레이브 HSM 중 차순위 HSM이 마스터로 결정되는 기능을 더 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
- 제 13 항에 있어서,상기 운용 기능에서,상기 신규 생성 및/또는 변경 정보의 복제 오류 발생시, 복제하고자 하는 신 규 생성 및/또는 변경 정보를 삭제하고 원상 복구시키는 기능을 더 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020060127362A KR101287669B1 (ko) | 2006-12-13 | 2006-12-13 | 하드웨어 보안 모듈 다중화 장치 및 그 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020060127362A KR101287669B1 (ko) | 2006-12-13 | 2006-12-13 | 하드웨어 보안 모듈 다중화 장치 및 그 방법 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20080054792A true KR20080054792A (ko) | 2008-06-19 |
| KR101287669B1 KR101287669B1 (ko) | 2013-07-24 |
Family
ID=39801691
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020060127362A Active KR101287669B1 (ko) | 2006-12-13 | 2006-12-13 | 하드웨어 보안 모듈 다중화 장치 및 그 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR101287669B1 (ko) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010008223A3 (ko) * | 2008-07-16 | 2010-05-27 | 삼성전자 주식회사 | 사용자 인터페이스에서 보안 서비스를 제공하는 장치 및 방법 |
| EP2675105A1 (en) | 2012-06-12 | 2013-12-18 | Electronics and Telecommunications Research Institute | Apparatus and method for providing security service |
| KR20210056049A (ko) * | 2019-11-08 | 2021-05-18 | 한국과학기술원 | Kms 및 hsm를 함께 이용하는 보안 시스템 및 그 동작 방법 |
| US12192353B2 (en) | 2022-11-30 | 2025-01-07 | Motorola Solutions, Inc. | Multi-node expandable cryptographic processing system |
| CN119402193A (zh) * | 2024-12-30 | 2025-02-07 | 苏州元脑智能科技有限公司 | 密钥保存机制的切换方法、集群系统、装置、介质及产品 |
| KR102817519B1 (ko) * | 2025-02-17 | 2025-06-10 | (주)라닉스 | 차량 내부에 탑재되는, 복수의 HSM(Hardware Security Module)장치를 이용한 단말시스템 |
| KR102825122B1 (ko) * | 2024-11-11 | 2025-06-25 | 주식회사 보스반도체 | 다중 하드웨어 보안 모듈을 구비한 집적 회로 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101449422B1 (ko) | 2014-03-06 | 2014-10-13 | 삼덕전기 주식회사 | 스카다시스템에서 플랜트 자동복구 및 보안 시스템 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1626579A1 (en) * | 2004-08-11 | 2006-02-15 | Thomson Licensing | Device pairing |
-
2006
- 2006-12-13 KR KR1020060127362A patent/KR101287669B1/ko active Active
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010008223A3 (ko) * | 2008-07-16 | 2010-05-27 | 삼성전자 주식회사 | 사용자 인터페이스에서 보안 서비스를 제공하는 장치 및 방법 |
| US8930688B2 (en) | 2008-07-16 | 2015-01-06 | Samsung Electronics Co., Ltd. | Apparatus and method for providing security service of user interface |
| EP2675105A1 (en) | 2012-06-12 | 2013-12-18 | Electronics and Telecommunications Research Institute | Apparatus and method for providing security service |
| US8855309B2 (en) | 2012-06-12 | 2014-10-07 | Electronics And Telecommunications Research Institute | Apparatus and method for providing security service |
| KR20210056049A (ko) * | 2019-11-08 | 2021-05-18 | 한국과학기술원 | Kms 및 hsm를 함께 이용하는 보안 시스템 및 그 동작 방법 |
| US11411719B2 (en) | 2019-11-08 | 2022-08-09 | Korea Advanced Institute Of Science And Technology | Security system and method thereof using both KMS and HSM |
| US12192353B2 (en) | 2022-11-30 | 2025-01-07 | Motorola Solutions, Inc. | Multi-node expandable cryptographic processing system |
| KR102825122B1 (ko) * | 2024-11-11 | 2025-06-25 | 주식회사 보스반도체 | 다중 하드웨어 보안 모듈을 구비한 집적 회로 |
| CN119402193A (zh) * | 2024-12-30 | 2025-02-07 | 苏州元脑智能科技有限公司 | 密钥保存机制的切换方法、集群系统、装置、介质及产品 |
| KR102817519B1 (ko) * | 2025-02-17 | 2025-06-10 | (주)라닉스 | 차량 내부에 탑재되는, 복수의 HSM(Hardware Security Module)장치를 이용한 단말시스템 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR101287669B1 (ko) | 2013-07-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11831753B2 (en) | Secure distributed key management system | |
| US9098318B2 (en) | Computational asset identification without predetermined identifiers | |
| CA2752752C (en) | System and method for securely communicating with electronic meters | |
| WO2010013092A1 (en) | Systems and method for providing trusted system functionalities in a cluster based system | |
| CN101005357A (zh) | 一种更新认证密钥的方法和系统 | |
| JP7617047B2 (ja) | ハードウェアセキュリティモジュールを備えたメッセージ伝送システム | |
| CN107959569B (zh) | 一种基于对称密钥池的密钥补充方法和密钥补充装置、密钥补充系统 | |
| CN109981255A (zh) | 密钥池的更新方法和系统 | |
| CN106685645A (zh) | 一种用于安全芯片业务密钥的密钥备份与恢复方法及系统 | |
| CN110362984B (zh) | 多设备运行业务系统的方法及装置 | |
| CN115499228B (zh) | 一种密钥保护方法、装置、设备、存储介质 | |
| US9749314B1 (en) | Recovery mechanism for fault-tolerant split-server passcode verification of one-time authentication tokens | |
| CN112003690B (zh) | 密码服务系统、方法及装置 | |
| KR101287669B1 (ko) | 하드웨어 보안 모듈 다중화 장치 및 그 방법 | |
| AU2006236071A1 (en) | Incorporating shared randomness into distributed cryptography | |
| CN110519223B (zh) | 基于非对称密钥对的抗量子计算数据隔离方法和系统 | |
| CN118984459A (zh) | 一种基于移动终端的租户密钥备份与恢复的系统及方法 | |
| CN118331787A (zh) | 数据的备份方法、系统和电子设备及存储介质 | |
| Smid | Integrating the Data Encryption Standard into computer networks | |
| JP5118499B2 (ja) | データ比較装置 | |
| WO2020232200A1 (en) | Method for managing data reflecting a transaction | |
| CN119814297B (zh) | 数据处理方法、服务侧、客户端、存储介质及计算机程序产品 | |
| CN109951319B (zh) | 备份加密机管理员锁的方法和加密机设备 | |
| CN119814441B (zh) | 数据处理方法、硬件安全模块、客户端、存储介质及计算机程序产品 | |
| CN115297125B (zh) | 业务数据处理方法、装置、计算机设备及可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PA0109 | Patent application |
Patent event code: PA01091R01D Comment text: Patent Application Patent event date: 20061213 |
|
| PG1501 | Laying open of application | ||
| A201 | Request for examination | ||
| PA0201 | Request for examination |
Patent event code: PA02012R01D Patent event date: 20111207 Comment text: Request for Examination of Application Patent event code: PA02011R01I Patent event date: 20061213 Comment text: Patent Application |
|
| E902 | Notification of reason for refusal | ||
| PE0902 | Notice of grounds for rejection |
Comment text: Notification of reason for refusal Patent event date: 20130227 Patent event code: PE09021S01D |
|
| E701 | Decision to grant or registration of patent right | ||
| PE0701 | Decision of registration |
Patent event code: PE07011S01D Comment text: Decision to Grant Registration Patent event date: 20130627 |
|
| GRNT | Written decision to grant | ||
| PR0701 | Registration of establishment |
Comment text: Registration of Establishment Patent event date: 20130712 Patent event code: PR07011E01D |
|
| PR1002 | Payment of registration fee |
Payment date: 20130712 End annual number: 3 Start annual number: 1 |
|
| PG1601 | Publication of registration | ||
| FPAY | Annual fee payment |
Payment date: 20160809 Year of fee payment: 4 |
|
| PR1001 | Payment of annual fee |
Payment date: 20160809 Start annual number: 4 End annual number: 4 |
|
| FPAY | Annual fee payment |
Payment date: 20170703 Year of fee payment: 5 |
|
| PR1001 | Payment of annual fee |
Payment date: 20170703 Start annual number: 5 End annual number: 5 |
|
| FPAY | Annual fee payment |
Payment date: 20180702 Year of fee payment: 6 |
|
| PR1001 | Payment of annual fee |
Payment date: 20180702 Start annual number: 6 End annual number: 6 |
|
| PR1001 | Payment of annual fee |
Payment date: 20200701 Start annual number: 8 End annual number: 8 |
|
| PR1001 | Payment of annual fee |
Payment date: 20210701 Start annual number: 9 End annual number: 9 |
|
| PR1001 | Payment of annual fee |
Payment date: 20230628 Start annual number: 11 End annual number: 11 |
|
| PR1001 | Payment of annual fee |
Payment date: 20240625 Start annual number: 12 End annual number: 12 |