KR101601769B1 - System in Small-Scale Internet of Things and Security communication method therefor - Google Patents

System in Small-Scale Internet of Things and Security communication method therefor Download PDF

Info

Publication number
KR101601769B1
KR101601769B1 KR1020140150478A KR20140150478A KR101601769B1 KR 101601769 B1 KR101601769 B1 KR 101601769B1 KR 1020140150478 A KR1020140150478 A KR 1020140150478A KR 20140150478 A KR20140150478 A KR 20140150478A KR 101601769 B1 KR101601769 B1 KR 101601769B1
Authority
KR
South Korea
Prior art keywords
communication path
devices
communication
path information
information
Prior art date
Application number
KR1020140150478A
Other languages
Korean (ko)
Inventor
장주욱
이정엽
Original Assignee
서강대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 서강대학교산학협력단 filed Critical 서강대학교산학협력단
Priority to KR1020140150478A priority Critical patent/KR101601769B1/en
Application granted granted Critical
Publication of KR101601769B1 publication Critical patent/KR101601769B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

A small scale Internet of things system of the present invention comprises: devices; a gateway or a sharer for allocating device IDs to two or more devices, generating communication path information by combining the device IDs, encrypting the generated communication path information, generating communication path registration information by matching each of the device IDs with the encrypted communication path information, storing the generated communication path registration information and transmitting the encrypted communication path information to corresponding devices in the event that a registration request for communication is generated from the two or more devices of the devices, and reading the communication path registration information including the encrypted communication path information in a communication request message, extracting communication path registration information including the remaining device IDs except a device ID of a device for transmitting the communication request message of the communication path registration information, and transmitting a communication admission message to devices corresponding to the device IDs included in the extracted communication path registration information and a device for requesting communication in the event that the communication request message including the device ID and the encrypted communication path information is received from any device. Here, the devices receive the encrypted communication path information and store the received encrypted communication path information, and the devices for receiving the communication admission message communicate with one another.

Description

소규모의 사물 인터넷 시스템 및 그를 위한 보안통신방법{System in Small-Scale Internet of Things and Security communication method therefor}[0001] The present invention relates to a small-scale object Internet system and a secure communication method therefor,

본 발명은 소규모의 사물 인터넷 기술에 관한 것으로, 더욱 상세하게는 소규모의 사물 인터넷을 형성하는 다수의 디바이스 사이의 통신경로에 대한 보안을 유지하는 소규모의 사물 인터넷 시스템 및 그를 위한 보안통신방법에 관한 것이다.
BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a small-scale object Internet technology, and more particularly, to a small-scale object-internet system and a secure communication method therefor that maintain security for a communication path between a plurality of devices forming a small- .

사물 인터넷(Internet of Things, IoT)은 인터넷을 기반으로 모든 사물을 연결하여 사람과 사물, 사물과 사물 간의 정보를 상호 소통하는 지능형 기술 및 서비스를 말한다. 이러한 사물 인터넷은 1999년 매사추세츠공과대학(MIT)의 오토아이디센터(Auto-ID Center) 소장 케빈 애시턴(Kevin Ashton)이 향후 RFID(전자태그)와 기타 센서를 일상생활에 사용하는 사물에 탑재한 사물인터넷이 구축될 것이라고 전망하면서 처음 사용한 것으로 알려져 있으며, 이후 시장분석 자료 등에 사용되면서 대중화되었다.Internet of Things (IoT) is an intelligent technology and service that connects all objects based on the Internet and communicates information between people, things, things and things. The Internet was created in 1999 by Kevin Ashton, director of the Auto-ID Center at the Massachusetts Institute of Technology (MIT), to use RFID (electronic tags) and other sensors in objects used in everyday life It is known to have been used for the first time with the expectation that the Internet will be built.

상기 사물 인터넷은 기존의 유선통신을 기반으로 한 인터넷이나 모바일 인터넷보다 진화된 단계로 인터넷에 연결된 기기가 사람의 개입없이 상호간에 알아서 정보를 주고 받아 처리한다. 이와같이 사물이 인간에 의존하지 않고 통신을 주고받는 점에서 유비쿼터스나 M2M(Machine to Machine: 사물지능통신)과 비슷하기도 하지만, 통신장비와 사람과의 통신을 주목적으로 하는 M2M의 개념을 인터넷으로 확장하여 사물은 물론이고 현실과 가상세계의 모든 정보와 상호작용하는 개념으로 진화한 것이라 할 수 있다. The Internet is an advanced stage of the wired communication based on the Internet or mobile Internet, and devices connected to the Internet exchange information without any human intervention. In this way, it is similar to ubiquitous and M2M (Machine to Machine) in that things do not depend on humans, but M2M (M2M), which is mainly used for communication between communication equipment and people, It evolved into a concept that interacts with all the information of reality and virtual world as well as objects.

이를 구현하기 위한 기술 요소로는 유형의 사물과 주위 환경으로부터 정보를 얻는 '센싱 기술', 사물이 인터넷에 연결되도록 지원하는 '유무선 통신 및 네트워크 인프라 기술', 각종 서비스 분야와 형태에 적합하게 정보를 가공하고 처리하거나 각종 기술을 융합하는 '서비스 인터페이스 기술' 등이 있으며, 대량의 데이터 등 사물 인터넷 구성 요소에 대한 해킹이나 정보 유출을 방지하기 위한 '보안 기술'도 필수적이다.
Techniques for implementing this include 'sensing technology' for obtaining information from objects of the type and environment, 'wired and wireless communication and network infrastructure technology' for supporting objects to be connected to the Internet, information suitable for various service fields and forms And 'service interface technology' that fuses various technologies. In addition, 'security technology' to prevent hacking and information leakage of Internet components of information such as a large amount of data is also essential.

이러한 사물 인터넷으로는 키를 가지고 접근하면 자동차 문의 잠금 장치가 자동으로 해제되고 키를 꽂지 않아도 시동을 걸 수 있는 '스마트 키', 전기·가스 또는 상하수도를 포함한 에너지를 효율적으로 관리하는 '스마트 그리드' 등이 있다.
These objects include 'Smart Key' that can automatically start the vehicle door lock when the key is accessed, 'Smart Grid' that efficiently manages energy including electricity, gas or waterworks, .

상기한 바와 같은 사물 인터넷을 이용하면 댁내 설비 네트워크 등과 같은 소규모의 네트워크를 형성할 수 있다. 상기 댁내 설비 네트워크를 형성하는 설비에는 도어락이나 금고 비밀번호, 움직임 센서, 온도센서 등이 포함될 수 있다. By using the object Internet as described above, it is possible to form a small-scale network such as a domestic facility network. The facility for forming the home facility network may include a door lock, a safe password, a motion sensor, a temperature sensor, and the like.

상기한 댁내 설비 네트워크는 어느 한 설비의 출력값을 다른 설비가 제공받아 특정 동작을 이행하는 등의 방식으로 고객에게 차별화된 서비스를 제공하고 있다. 예를들면, 움직임 센서 등을 통해 외부인이 있는 것으로 파악되면, 경보를 울리는 것 등이 될 수 있다. The domestic facility network provides a differentiated service to a customer in such a manner that an output value of one facility is supplied to another facility and a specific operation is performed. For example, if it is detected that there is an outside person through a motion sensor or the like, an alarm may be sounded.

그런데 상기한 댁내 설비 네트워크는 설비 각각이 인터넷에 연결되기 때문에 보안에 취약한 위험이 존재한다. 예를들면, 외부인 침입여부를 판별하기 경보를 울리기 위한 센서들의 출력값들을 도리어 해당 댁내에 사람이 있는지 여부를 판별하는데에 사용할 수도 있기 때문이다. However, there is a risk that the facility network is vulnerable to security because each facility is connected to the Internet. For example, it is possible to use the output values of the sensors for sounding an alarm for discriminating whether or not an outside person is intruding, to discriminate whether or not there is a person in the house.

이에 종래에는 소규모의 사물 인터넷 시스템에서 디바이스들 사이에 송수신되는 데이터는 물론이고, 어느 디바이스와 어느 디바이스가 통신하는지에 대한 통신경로에 대한 보안도 강화시킬 수 있는 기술의 개발이 절실하게 요망되었다.
Conventionally, it has been urgently required to develop a technology capable of enhancing the security of a communication path of which device communicates with which device, as well as data transmitted and received between devices in a small-scale object Internet system.

한국특허공개 제1020050116140호Korean Patent Publication No. 1020050116140 한국특허공개 제10-2008-0001574호Korean Patent Laid-Open No. 10-2008-0001574 한국특허공개 제10-2009-0044437호Korean Patent Laid-Open No. 10-2009-0044437 한국특허공개 제10-2010-0073827호Korean Patent Publication No. 10-2010-0073827

본 발명은 소규모의 사물 인터넷을 구성하는 디바이스들 사이의 통신경로에 대한 보안을 강화시키는 소규모의 사물 인터넷 시스템 및 그를 위한 보안통신방법을 제공하는 것을 그 목적으로 한다.
The object of the present invention is to provide a small-scale object Internet system and a secure communication method therefor that enhance security for communication paths between devices constituting a small-scale object Internet.

상기한 목적을 달성하기 위한 본 발명에 따르는 소규모의 사물 인터넷 시스템은, 디바이스들; 상기 디바이스들 중 둘 이상의 디바이스로부터 통신을 위한 등록요청이 발생되면, 그 둘 이상의 디바이스에 디바이스 ID를 부여함과 아울러, 그 둘 이상의 디바이스에 대한 디바이스 ID을 조합하여 통신경로정보를 생성하여 암호화하고, 상기 둘 이상의 디바이스에 대한 디바이스 ID 각각과 암호화된 통신경로정보를 매칭하여 통신경로 등록정보를 생성하여 저장함과 아울러 상기 암호화된 통신경로정보를 해당 디바이스들로 전송하며, 어느 한 디바이스로부터 디바이스 ID와 암호화된 통신경로정보를 포함하는 통신요청메시지가 수신되면, 그 통신요청메시지에 포함되어 있는 암호화된 통신경로정보를 포함하는 통신경로등록정보들을 독출하고, 상기 통신경로등록정보들 중 상기 통신요청메시지를 송신한 디바이스의 디바이스 ID를 제외한 나머지 디바이스 ID들을 포함하는 통신경로등록정보들을 추출하고, 그 추출된 통신경로등록정보들에 포함된 디바이스 ID들의 디바이스들과 통신요청한 디바이스로 통신승인 메시지를 전송하는 게이트웨이 또는 공유기;를 구비하며, 상기 디바이스들은 암호화된 통신경로정보를 제공받아 저장하며, 상기 통신승인메시지를 수신받은 디바이스들은 서로 통신함을 특징으로 한다.
According to an aspect of the present invention, there is provided a small-scale object Internet system including: devices; When a registration request for communication is generated from two or more of the devices, a device ID is assigned to the two or more devices, and communication path information is generated by combining device IDs of the two or more devices, The communication path information is generated and stored by matching the device IDs of the two or more devices with the encrypted communication path information, and the encrypted communication path information is transmitted to the corresponding devices, When the communication request message including the communication path information is received, reads the communication path registration information including the encrypted communication path information included in the communication request message, and transmits the communication request message Except for the device ID of the transmitted device And a gateway or router for extracting communication path registration information including the extracted communication path registration information and transmitting a communication acknowledgment message to devices having device IDs included in the extracted communication path registration information and a communication requesting device, The encrypted communication path information is received and stored, and the devices receiving the communication acknowledgment message communicate with each other.

상기한 본 발명은 소규모의 사물 인터넷을 구성하는 디바이스들 사이의 통신경로에 대한 보안을 강화시킬 수 있는 효과를 야기한다.
The present invention can enhance the security of communication paths between devices constituting a small-scale object Internet.

도 1은 본 발명의 바람직한 실시예에 따른 소규모의 사물 인터넷 시스템의 구성도.
도 2 및 도 3은 도 1의 각부에 대한 상세 구성도.
도 4 및 도 5는 본 발명의 바람직한 실시예에 따른 소규모 사물 인터넷 시스템의 보안통신방법의 흐름도.
도 6은 본 발명의 바람직한 실시예에 따른 통신경로정보를 예시한 도면. 1 is a block diagram of a small-scale object Internet system according to a preferred embodiment of the present invention.
FIG. 2 and FIG. 3 are detailed diagrams of the respective parts of FIG. 1;
FIG. 4 and FIG. 5 are flowcharts of a secure communication method of a small-scale object Internet system according to a preferred embodiment of the present invention.
6 is a diagram illustrating communication path information according to a preferred embodiment of the present invention.

본 발명은 소규모의 사물 인터넷을 구성하는 디바이스들 사이의 통신 경로에 대한 보안을 강화시킬 수 있다.
The present invention can enhance the security of the communication path between devices constituting a small-scale object Internet.

<사물 인터넷 시스템의 구성><Configuration of Internet System of Things>

이러한 본 발명의 바람직한 실시예에 따른 사물 인터넷 시스템의 구성을 도 1을 참조하여 상세히 설명한다. The configuration of the object Internet system according to the preferred embodiment of the present invention will be described in detail with reference to FIG.

상기 사물 인터넷 시스템은 기본적인 IoT 네트워크 구성을 나타내는 것으로 게이트웨이 또는 공유기(100)와 제1 내지 제N디바이스(2001~200N)로 구성된다.The object Internet system represents a basic IoT network configuration and is composed of a gateway or router 100 and first to Nth devices 2001 to 200N.

상기 게이트웨이 또는 공유기(100)는 도메인을 형성하며, 상기 제1 내지 제N디바이스(2001~200N)에 대해 NAT(Network Address translation)를 통해 IP를 부여함과 아울러 IP 주소 번역 테이블(IP Address translation table)을 통해 인터넷에 접속시킨다. 상기 제1 내지 제N디바이스(2001~200N)는 게이트웨이 또는 공유기(100)를 통해 무선으로 인터넷에 접속되며, NAT를 통해 IP를 할당받는다. 따라서 외부에서는 상기 사물 인터넷 도메인에 있는 디바이스들의 IP 주소를 알 수 없고, 게이트웨이 또는 공유기(100)가 구비하는 IP 주소 번역 테이블을 알 수 없기 때문에 접속할 수도 없다. 또한 상기 게이트웨이 또는 공유기(100)는 모든 통신경로에 대한 통신경로정보를 수집하고, 이 통신경로정보를 해쉬함수를 통해 암호화하며, 암호화된 통신경로정보와 통신주체가 되는 디바이스 ID를 매칭시켜 통신경로 등록정보를 생성하고, 이를 저장한다. 여기서, 상기 통신경로정보는, 통신주체가 되는 디바이스들의 디바이스 ID들을 XOR 연산하여 생성된다. 또한 제1 내지 제N디바이스(2001~200N) 각각은 내부에 경량의 웹서버를 가지며, 이를 통한 웹 페이지를 통해 디바이스의 여러 가지 기능들을 제어할 수 있게 한다. 또한 제1 내지 제N디바이스(2001~200N) 각각은 게이트웨이 또는 공유기(100)를 통해 외부 인터넷망과 연결되어 있으므로 외부 웹 페이지에서 정보수집을 할 수 있고 이를 통해 온톨로지를 구현할 수 있다. 여기서, 상기 온톨로지는 국제표준화기구(ISO)의 기술을 따르나, 이는 설계자 또는 사용자의 편이에 따라 변경될 수 있음은 물론이며 본 발명에 의해 당업자에게 자명하다.
The gateway or router 100 forms a domain and provides an IP address through NAT (Network Address Translation) to the first to Nth devices 2001 to 200N, ) To the Internet. The first to Nth devices 2001 to 200N are connected to the Internet wirelessly through a gateway or router 100, and are allocated IPs through a NAT. Therefore, it is impossible to know the IP address of the devices in the Internet domain of the outside and can not connect because the IP address translation table of the gateway or the router 100 is unknown. The gateway or router 100 collects communication path information for all communication paths, encrypts the communication path information through a hash function, matches the encrypted communication path information with a device ID as a communication subject, Creates registration information and stores it. Here, the communication path information is generated by XORing device IDs of devices as communication subjects. In addition, each of the first to Nth devices 2001 to 200N has a lightweight web server in the inside, and allows various functions of the device to be controlled through the web page through the web server. Also, since each of the first to Nth devices 2001 to 200N is connected to an external Internet network through a gateway or router 100, information can be collected from an external web page, thereby implementing ontology. Here, the ontology follows the description of the International Organization for Standardization (ISO), which can be changed by the designer or the user, and is obvious to those skilled in the art by the present invention.

도 2는 본 발명의 바람직한 실시예에 따르는 게이트웨이 또는 공유기의 구성도이다.2 is a configuration diagram of a gateway or a router according to a preferred embodiment of the present invention.

상기 게이트웨이 또는 공유기(100)는 디바이스 관리부(300), 연산부(308), 메모리부(314)로 구성된다. 상기 디바이스 관리부(300)는 제1 내지 제N디바이스(2001~200N) 각각과 인터넷 사이를 연결하는 인터넷 연결부(302), 도메인 내에 어떤 디바이스들이 있는지 정보를 관리하는 디바이스 등록부(304), 그리고 각 디바이스들의 IP 할당 및 디바이스 ID를 할당해주는 IP 할당부 및 디바이스 ID 할당부(306)로 구성된다. 그리고 연산부(308)는 해싱함수부(310)와 XOR 연산부(312)로 구성된다. 상기 XOR 연산부(312)는 IP 할당부 및 디바이스 ID 할당부(306)에 의해 생성된 디바이스 ID를 수집하여 통신 주체가 되는 디바이스들의 디바이스 ID들에 대한 XOR 연산을 실행하여 통신경로정보를 생성한다. 그리고 해싱함수부(310)는 상기 통신경로정보를 해싱연산한다. 그리고 메모리부(314)는 디바이스 ID 저장부(316)와 XOR 연산결과 저장부(318)와 해싱결과 저장부(320)와 통신경로 등록정보 저장부(322)로 구성된다. 상기 디바이스 ID 저장부(316)는 IP 할당부 및 디바이스 ID 할당부(306)에서 생성한 디바이스 ID들을 저장하고, 상기 XOR 연산결과 저장부(318)는 상기 XOR 연산부(312)의 출력정보들인 통신경로정보를 임시 저장한다. 상기 해싱결과 저장부(320)는 상기 통신경로정보를 해싱하여 암호화한 암호화된 통신경로정보를 임시 저장한다. 그리고 상기 통신경로 등록정보 저장부(322)는 상기 암호화된 통신경로정보와 그 통신경로의 통신주체가 되는 디바이스들의 디바이스 ID들을 매칭시킨 통신경로 등록정보를 저장한다. The gateway or router 100 includes a device management unit 300, an operation unit 308, and a memory unit 314. The device management unit 300 includes an Internet connection unit 302 for connecting each of the first to Nth devices 2001 to 200N with the Internet, a device registration unit 304 for managing information on which devices are present in the domain, And an IP allocation unit and a device ID assignment unit 306 for assigning IP IDs and device IDs. The operation unit 308 includes a hashing function unit 310 and an XOR operation unit 312. The XOR operation unit 312 collects the device IDs generated by the IP allocation unit and the device ID assigning unit 306, and performs XOR operations on the device IDs of the devices that are the communication subjects, thereby generating communication path information. The hashing function unit 310 performs hashing operation on the communication path information. The memory unit 314 includes a device ID storage unit 316, an XOR operation result storage unit 318, a hashing result storage unit 320, and a communication path registration information storage unit 322. The device ID storage unit 316 stores the device IDs generated by the IP allocation unit and the device ID allocation unit 306. The XOR operation result storage unit 318 stores the device IDs generated by the XOR operation unit 312, Temporarily store path information. The hashing result storage unit 320 temporarily stores encrypted communication path information encrypted by hashing the communication path information. The communication path registration information storage unit 322 stores communication path registration information that matches the encrypted communication path information with device IDs of devices that are the communication subject of the communication path.

본 발명에 따르는 해싱을 위한 해시함수로는 SHA256, SHA384, RMD256 등이 채용될 수 있으나, 이는 설계자 또는 사용자의 편이에 따라 변경될 수 있음은 물론이며 본 발명에 의해 당업자에게 자명하다.
SHA256, SHA384, RMD256, etc. may be employed as the hash function for hashing according to the present invention. However, it is obvious to those skilled in the art that the hash function can be changed according to the designer or user.

본 발명에 따르는 디바이스들(2001~200N)의 구성 및 동작은 고유기능을 제외하고는 동일하므로, 상기 디바이스들(2001~200N) 중 어느 한 디바이스의 구성 및 동작만을 도 3을 참조하여 설명한다. Since the configuration and operation of the devices 2001 to 200N according to the present invention are the same except for their inherent functions, only the configuration and operation of any one of the devices 2001 to 200N will be described with reference to FIG.

상기 디바이스는 인터넷 연결부(400)와 웹서버 생성부(402)와 메모리부(404)와 디바이스 기능부(406)로 구성된다. 상기 인터넷 연결부(400)는 게이트웨이 또는 공유기(100)와 연결되어 상기 게이트웨이 또는 공유기(100)를 통해 인터넷 또는 다른 디바이스와의 통신을 수행한다. 여기서, 상기 통신을 위한 프로토콜은 HTTP, Mqtt, CoAP 등이 채용될 수 있고, 통신방식으로는 WiFi, Zigbee, X10, BT 등이 채용될 수 있으나, 이는 설계자 또는 사용자의 편이에 따라 변경될 수 있음은 물론이며 본 발명에 의해 당업자에게 자명하다. 상기 웹서버 생성부(402)는 웹 서버를 생성하여 인터넷을 통해 접속한 사용자에게 디바이스 제어를 위한 정보를 제공한다. 상기 메모리부(404)는 소량으로 웹 서버 생성에 필요한 코드, 해시값 등을 저장하며, 저장소 형태는 보조기억매체, 캐시 형태 등 다양한 종류의 저장형태가 될 수 있다. 상기 디바이스 기능부(406)는 상기 메모리부(404)에 저장된 코드를 실행함과 아울러, 이에 따른 기능을 수행하다. 또한 상기 디바이스 기능부(406)는 상기 코드 실행 뿐 아니라 디바이스 자체 기능을 수행한다.
The device includes an Internet connection unit 400, a web server generation unit 402, a memory unit 404, and a device function unit 406. The Internet connection unit 400 is connected to the gateway or the router 100 and performs communication with the Internet or another device through the gateway or the router 100. [ Here, the protocol for the communication may be HTTP, Mqtt, CoAP or the like, and WiFi, Zigbee, X10, BT, or the like may be employed as the communication method, but this may be changed according to the designer or the user. And is obvious to those skilled in the art by the present invention. The web server generation unit 402 generates a web server and provides information for device control to a user connected via the Internet. The memory unit 404 stores a code, a hash value, and the like necessary for generating a web server in a small amount, and the storage type can be various storage types such as an auxiliary storage medium and a cache type. The device function unit 406 executes the code stored in the memory unit 404 and performs a function corresponding thereto. In addition, the device function unit 406 performs not only the code execution but also the device self-function.

<디바이스 및 통신경로정보 등록방법><Device and communication path information registration method>

상기한 소규모 사물 인터넷 시스템에 적용 가능한 디바이스 및 통신경로정보 등록방법을 도 4의 흐름도를 참조하여 설명한다. 본 발명의 바람직한 실시예에 따른 게이트웨이 또는 공유기(100)는 소규모 사물 인터넷 시스템에 접근하는 모든 디바이스에 대해 디바이스 및 통신경로정보를 등록하나, 이하 설명의 편이상 제1 및 제2디바이스가 자신의 정보 및 통신경로를 등록하는 과정만을 설명한다. A device and communication path information registration method applicable to the above-described small scale object Internet system will be described with reference to the flowchart of FIG. A gateway or router 100 according to a preferred embodiment of the present invention registers device and communication path information for all devices accessing a small-scale Internet system, Only the process of registering the communication route will be described.

상기 게이트웨이 또는 공유기(100)는 제1 및 제2디바이스(2001,2002)로부터 디바이스 및 통신경로 등록이 요청되면(500단계), 상기 제1 및 제2디바이스(2001,2002)에 대해 디바이스 ID와 IP 주소를 부여함과 아울러 상기 디바이스 ID와 IP 주소를 해당 디바이스로 제공하여 안내한다(502단계).When the device and communication path registration is requested from the first and second devices 2001 and 2002 in step 500, the gateway or router 100 transmits the device ID and the device ID to the first and second devices 2001 and 2002, IP address, and provides the device ID and the IP address to the corresponding device for guidance (step 502).

이후 상기 게이트웨이 또는 공유기(100)는 제1 및 제2디바이스(2001,2002)의 디바이스 ID를 XOR 연산하고, 그 연산 결과를 해싱하여 암호화된 통신경로정보를 생성한다. 또한 상기 게이트웨이 또는 공유기(100)는 암호화된 통신경로정보와 제1 및 제2디바이스의 디바이스 ID들을 각각 매칭시켜 통신경로 등록정보를 생성하여 저장함과 아울러, 제1 및 제2디바이스로 상기 암호화된 통신경로정보를 반환한다(504,506,508단계). Then, the gateway or router 100 XORs the device IDs of the first and second devices 2001 and 2002, and generates the encrypted communication path information by hashing the computation result. The gateway or router 100 generates and stores communication path registration information by matching the encrypted communication path information and the device IDs of the first and second devices, respectively, and transmits the encrypted communication path information to the first and second devices And returns path information (steps 504, 506, and 508).

이와같이 통신경로정보는 암호화되어 임의의 공격자가 디바이스를 공격하더라도 통신경로정보를 해독할 수 없게 하여, 해당 디바이스의 특정값이 다른 디바이스로 전달되어 미리 정해둔 특정 기능을 수행하게 하는지 등을 확인할 수 없게 한다. 예를들어, 제1센서의 센싱값이 소정 한계치를 벗어나는 경우에 도어를 자동으로 개방하도록 사물 인터넷 시스템을 구성하였을 때에, 악의의 공격자가 상기 도어에 접근하여 통신경로정보를 획득하더라도 그 통신경로정보가 자체가 암호화됨에 따라 상기 도어가 제1센서의 센싱값을 토대로 동작하는 것임을 확인할 수 없게 한다. Thus, the communication path information is encrypted so that even if an arbitrary attacker attacks the device, the communication path information can not be deciphered, so that it is impossible to confirm whether a specific value of the device is transferred to another device to perform a predetermined function do. For example, when the object Internet system is configured to automatically open the door when the sensing value of the first sensor is out of a predetermined limit, even if the malicious attacker approaches the door to obtain the communication route information, Can not be confirmed that the door is operated based on the sensing value of the first sensor.

이러한 보안 강화 효과는 사물 인터넷 시스템에 구비되는 디바이스의 개수가 늘어날수록 향상된다. 즉 디바이스의 개수가 5개인 경우에는 통신경로를 예측할 확률은 1/5P2이고, 디바이스의 개수가 30개인 경우에는 1/30P2가 된다.
This security enhancement effect is improved as the number of devices provided in the object Internet system increases. That is, the number of devices 5, the individual is a probability estimate the communication path is 1/5, P 2, when the number of the device 30, the individual is a 1/30 P 2.

<디바이스간 통신과정><Communication process between devices>

상기한 바와 같이 디바이스 및 통신경로정보 등록이 완료된 후에, 디바이스간 통신과정을 설명한다. After the device and communication path information registration is completed as described above, a communication process between devices will be described.

어느 한 디바이스는 미리 설정된 기능의 수행을 위한 통신 요구가 발생되면, 통신요청 메시지를 생성하여 게이트웨이 또는 공유기(100)로 제공한다(600단계). 상기 통신요청 메시지는 자신의 디바이스 ID와 암호화된 통신경로정보를 포함한다. 예를들어, 도 6을 참조하면, 제1디바이스(2001)는 디바이스 ID(0001)와 암호화된 통신경로정보(1d533ec2e7d744e1ac9a2e874a5f269093234df3)로 구성되는 통신요청 메시지를 생성하여 게이트웨이 또는 공유기(100)로 제공할 수 있다. When a communication request for performing a predetermined function is generated, a device generates a communication request message and provides it to the gateway or the router 100 (operation 600). The communication request message includes its own device ID and encrypted communication path information. For example, referring to FIG. 6, the first device 2001 can generate a communication request message composed of a device ID (0001) and encrypted communication path information (1d533ec2e7d744e1ac9a2e874a5f269093234df3) and provide it to the gateway or the router 100 have.

상기 통신요청 메시지를 수신한 게이트웨이 또는 공유기(100)는, 상기 통신요청 메시지에 포함된 암호화된 통신경로정보를 추출하고(602단계), 통신경로 테이블에서 상기 암호화된 통신경로정보를 포함하며 디바이스 ID가 상이한 통신경로 등록정보를 추출하고, 그 통신경로 등록정보에 포함된 디바이스 ID에 대응되는 디바이스로 통신요청 메시지를 전송한다(604단계). 상기 통신요청 메시지에는 자신의 ID와 암호화된 통신경로정보가 포함된다. 예를들어, 도 6을 참조하면, 게이트웨이 또는 공유기(100)는 통신경로 테이블에서 디바이스 ID(0001)는 상이한 상태에서 암호화된 통신경로정보(1d533ec2e7d744e1ac9a2e874a5f269093234df3)는 동일한 통신경로 등록정보를 추출하며, 이는 디바이스 ID는 0010이고 암호화된 통신경로정보는 1d533ec2e7d744e1ac9a2e874a5f269093234df3인 통신경로 등록정보가 될 수 있다. Upon receiving the communication request message, the gateway or router 100 extracts the encrypted communication path information included in the communication request message (step 602), and includes the encrypted communication path information in the communication path table, And transmits a communication request message to the device corresponding to the device ID included in the communication path registration information (Step 604). The communication request message includes its own ID and encrypted communication path information. For example, referring to FIG. 6, the gateway or router 100 extracts the same communication path registration information in encrypted communication path information (1d533ec2e7d744e1ac9a2e874a5f269093234df3) in a state where the device ID (0001) is different in the communication path table, The ID is 0010 and the encrypted communication path information is 1d533ec2e7d744e1ac9a2e874a5f269093234df3.

상기 통신요청 메시지를 수신한 디바이스(이하, 편이상 제2디바이스라 칭함)는, 상기 통신요청 메시지에 포함된 암호화된 통신경로정보를 추출하고, 그 암호화된 통신경로정보와 미리 저장된 암호화된 통신경로정보가 동일한지 여부를 토대로 유효한 통신요청인지를 인증한다(606단계). The device receiving the communication request message extracts the encrypted communication path information included in the communication request message and transmits the encrypted communication path information and the encrypted communication path information previously stored (Step 606). In step 606, it is determined whether the communication request is valid.

상기 통신요청이 유효하면, 상기 제2디바이스는 응답메시지를 생성하여 게이트웨이 또는 공유기(100)로 제공한다(608단계). 여기서, 상기 응답메시지에는 디바이스 ID와 암호화된 통신경로 정보가 포함되며, 도 6을 참조하면, 디바이스 ID는 0010이고 암호화된 통신경로정보는 1d533ec2e7d744e1ac9a2e874a5f269093234df3이 될 수 있다. If the communication request is valid, the second device generates a response message and provides the response message to the gateway or router (step 608). Here, the response message includes the device ID and the encrypted communication path information. Referring to FIG. 6, the device ID is 0010 and the encrypted communication path information is 1d533ec2e7d744e1ac9a2e874a5f269093234df3.

상기 게이트웨이 또는 공유기(100)는 제1디바이스로부터의 통신요청 메시지에 포함된 통신경로메시지와 제2통신요청 메시지에 포함된 응답메시지에 포함된 응답메시지에 포함된 암호화된 통신경로정보가 용일한지 여부를 토대로 통신경로가 유효한지를 판단하고(612단계), 상기 통신경로가 유효하면 상기 제1 및 제2디바이스로 통신승인 메시지를 전송한다(614단계). The gateway or router 100 determines whether the communication path information contained in the communication request message from the first device and the encrypted communication path information included in the response message included in the response message included in the second communication request message are available (Step 612). If the communication path is valid, the communication admission message is transmitted to the first and second devices (step 614).

상기 통신승인 메시지를 수신받은 제1 및 제2디바이스는 통신을 실행한다(616단계).
The first and second devices that have received the communication acknowledgment message perform communication (step 616).

100 : 게이트웨이 또는 공유기
2001~200N : 제1 내지 제N 디바이스100: gateway or router
2001 to 200N: First to Nth devices

Claims (8)

소규모의 사물 인터넷 시스템에 있어서,
디바이스들;
상기 디바이스들 중 둘 이상의 디바이스로부터 통신을 위한 등록요청이 발생되면, 그 둘 이상의 디바이스에 디바이스 ID를 부여함과 아울러, 그 둘 이상의 디바이스에 대한 디바이스 ID을 조합하여 통신경로정보를 생성하여 암호화하고, 상기 둘 이상의 디바이스에 대한 디바이스 ID 각각과 암호화된 통신경로정보를 매칭하여 통신경로등록정보를 생성하여 저장함과 아울러 상기 암호화된 통신경로정보를 해당 디바이스들로 전송하며,
어느 한 디바이스로부터 디바이스 ID와 암호화된 통신경로정보를 포함하는 통신요청메시지가 수신되면, 그 통신요청메시지에 포함되어 있는 암호화된 통신경로정보를 포함하는 통신경로등록정보들을 독출하고, 상기 통신경로등록정보들 중 상기 통신요청메시지를 송신한 디바이스의 디바이스 ID를 제외한 나머지 디바이스 ID들의 디바이스들로 상기 암호화된 통신경로정보가 포함된 통신요청 메시지를 송신하고, 그 통신요청 메시지에 응답하여 디바이스들로부터 인증성공 메시지가 수신되면, 그 디바이스들로 통신승인 메시지를 전송하는 게이트웨이 또는 공유기;를 구비하며,
상기 디바이스들은 암호화된 통신경로정보를 제공받아 저장하며,
상기 통신승인 메시지를 수신받은 디바이스들은 서로 통신하며,
상기 디바이스들은 통신요청 메시지가 수신되면, 그 통신요청 메시지에 포함된 암호화된 통신경로정보와 자신이 저장하고 있는 통신경로정보를 비교하여 유효한 통신요청인지를 인증함을 특징으로 하는 소규모의 사물 인터넷 시스템. In a small-scale object Internet system,
Devices;
When a registration request for communication is generated from two or more of the devices, a device ID is assigned to the two or more devices, and communication path information is generated by combining device IDs of the two or more devices, Generates communication path registration information by matching the device IDs of the two or more devices with the encrypted communication path information, and transmits the encrypted communication path information to the corresponding devices,
When receiving a communication request message including a device ID and encrypted communication path information from a device, reads communication path registration information including encrypted communication path information included in the communication request message, Transmits a communication request message including the encrypted communication path information to the devices having device IDs other than the device ID of the device that has transmitted the communication request message among the information, And a gateway or router for transmitting a communication acknowledgment message to the devices when the success message is received,
The devices receive and store encrypted communication path information,
The devices receiving the communication grant message communicate with each other,
Wherein the devices authenticate whether the communication request message is a valid communication request by comparing the encrypted communication path information included in the communication request message with the communication path information stored in the communication path information, . 제1항에 있어서,
상기 게이트웨이 또는 공유기는, 상기 디바이스들과 외부 네트워크 사이를 인터페이스하며, 상기 디바이스들에 대해 IP 주소를 부여함을 특징으로 하는 소규모의 사물 인터넷 시스템. The method according to claim 1,
Wherein said gateway or router interfaces between said devices and an external network and provides an IP address to said devices. 제1항에 있어서,
상기 통신경로정보는 디바이스 ID들을 XOR하여 생성되며,
상기 통신경로정보의 암호화는 해싱으로 이루짐을 특징으로 하는 소규모의 사물 인터넷 시스템. The method according to claim 1,
The communication path information is generated by XORing device IDs,
And the encryption of the communication path information is performed by hashing. 삭제delete 소규모의 사물 인터넷 시스템의 통신방법에 있어서,
게이트웨이 또는 공유기가, 디바이스들 중 둘 이상의 디바이스로부터 통신을 위한 등록요청이 발생되면, 그 둘 이상의 디바이스에 디바이스 ID를 부여함과 아울러, 그 둘 이상의 디바이스에 대한 디바이스 ID을 조합하여 통신경로정보를 생성하여 암호화하고, 상기 둘 이상의 디바이스에 대한 디바이스 ID 각각과 암호화된 통신경로정보를 매칭하여 통신경로등록정보를 생성하여 저장함과 아울러 상기 암호화된 통신경로정보를 해당 디바이스들로 전송하는 제1단계;
상기 디바이스들이 상기 암호화된 통신경로정보를 제공받아 저장하는 제2단계;
상기 게이트웨이 또는 공유기가, 어느 한 디바이스로부터 디바이스 ID와 암호화된 통신경로정보를 포함하는 통신요청메시지가 수신되면, 그 통신요청메시지에 포함되어 있는 암호화된 통신경로정보를 포함하는 통신경로등록정보들을 독출하고, 상기 통신경로등록정보들 중 상기 통신요청메시지를 송신한 디바이스의 디바이스 ID를 제외한 나머지 디바이스 ID들의 디바이스들로 상기 암호화된 통신경로정보가 포함된 통신요청 메시지를 송신하는 제3단계;
상기 디바이스들이, 상기 게이트웨이 또는 공유기로부터의 통신요청 메시지가 수신되면, 그 통신요청 메시지에 포함된 암호화된 통신경로정보와 자신이 저장하고 있는 통신경로정보를 비교하여 유효한 통신요청인지 인증하고 그에 따라 인증성공 메시지를 상기 게이트웨이 또는 공유기로 제공하는 제4단계;
상기 게이트웨이 또는 공유기가, 상기 디바이스들이 통신요청 메시지에 응답하여 인증성공 메시지가 제공하면, 그 디바이스들로 통신승인 메시지를 전송하는 제5단계를 구비하며,
상기 통신승인 메시지를 수신받은 디바이스들은 서로 통신함을 특징으로 하는 소규모의 사물 인터넷 시스템의 통신방법. In a communication method of a small-scale object Internet system,
When a gateway or router receives a registration request for communication from two or more devices among the devices, the device ID is assigned to the two or more devices, and the communication path information is generated by combining the device IDs of the two or more devices A first step of generating and storing communication path registration information by matching the device IDs of the two or more devices with the encrypted communication path information and transmitting the encrypted communication path information to the corresponding devices;
A second step of the devices receiving and storing the encrypted communication path information;
When the gateway or the router receives a communication request message including the device ID and the encrypted communication path information from a device, the gateway or the router reads the communication path registration information including the encrypted communication path information included in the communication request message A third step of transmitting a communication request message including the encrypted communication path information to devices having device IDs other than the device ID of the device that has transmitted the communication request message among the communication path registration information;
When the devices receive the communication request message from the gateway or the router, the devices compare the encrypted communication path information included in the communication request message with the communication path information stored in the communication path information to authenticate a valid communication request, A fourth step of providing a success message to the gateway or the router;
And a fifth step of the gateway or the router transmitting a communication grant message to the devices if the devices provide an authentication success message in response to the communication request message,
And the devices receiving the communication grant message communicate with each other. 제5항에 있어서,
상기 게이트웨이 또는 공유기가, 상기 디바이스들과 외부 네트워크 사이를 인터페이스하며, 상기 디바이스들에 대해 IP 주소를 부여하는 단계를 더 구비함을 특징으로 하는 소규모의 사물 인터넷 시스템의 통신방법. 6. The method of claim 5,
Further comprising the step of the gateway or the router interfacing between the devices and the external network and assigning an IP address to the devices. 제5항에 있어서,
상기 통신경로정보는 디바이스 ID들을 XOR하여 생성되며,
상기 통신경로정보의 암호화는 해싱으로 이루어짐을 특징으로 하는 소규모의 사물 인터넷 시스템의 통신방법. 6. The method of claim 5,
The communication path information is generated by XORing device IDs,
And the encryption of the communication path information is performed by hashing. 삭제delete
KR1020140150478A 2014-10-31 2014-10-31 System in Small-Scale Internet of Things and Security communication method therefor KR101601769B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020140150478A KR101601769B1 (en) 2014-10-31 2014-10-31 System in Small-Scale Internet of Things and Security communication method therefor

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140150478A KR101601769B1 (en) 2014-10-31 2014-10-31 System in Small-Scale Internet of Things and Security communication method therefor

Publications (1)

Publication Number Publication Date
KR101601769B1 true KR101601769B1 (en) 2016-03-10

Family

ID=55539222

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140150478A KR101601769B1 (en) 2014-10-31 2014-10-31 System in Small-Scale Internet of Things and Security communication method therefor

Country Status (1)

Country Link
KR (1) KR101601769B1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101800737B1 (en) * 2016-06-27 2017-11-23 경북대학교 산학협력단 Control method of smart device for self-identification, recording medium for performing the method
KR20190053336A (en) * 2017-11-10 2019-05-20 서울과학기술대학교 산학협력단 Device authentication method and system in the Internet of Things Network
CN114221826A (en) * 2022-02-24 2022-03-22 湖南工商大学 Distributed encryption system for Internet of things

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050116140A (en) 2003-03-10 2005-12-09 소니 가부시끼 가이샤 Access control processing method
KR20080001574A (en) 2006-06-29 2008-01-03 한국전자통신연구원 Device authenticaton method and apparatus in multi-domain home networks
KR20090044437A (en) 2007-10-31 2009-05-07 성균관대학교산학협력단 Method and system for controlling access for mobile agents in home network environments
KR20100073827A (en) 2008-12-23 2010-07-01 주식회사 케이티 Method of network interworking between iptv settopbox and healthcare gateway in the dynamic ip environment
KR20130129538A (en) * 2012-05-21 2013-11-29 알서포트 주식회사 Method for connecting a remote network and system for connecting a remote network

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050116140A (en) 2003-03-10 2005-12-09 소니 가부시끼 가이샤 Access control processing method
KR20080001574A (en) 2006-06-29 2008-01-03 한국전자통신연구원 Device authenticaton method and apparatus in multi-domain home networks
KR20090044437A (en) 2007-10-31 2009-05-07 성균관대학교산학협력단 Method and system for controlling access for mobile agents in home network environments
KR20100073827A (en) 2008-12-23 2010-07-01 주식회사 케이티 Method of network interworking between iptv settopbox and healthcare gateway in the dynamic ip environment
KR20130129538A (en) * 2012-05-21 2013-11-29 알서포트 주식회사 Method for connecting a remote network and system for connecting a remote network

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
박지예 외 2인, 한국통신학회논문지 ‘13-09 Vol.38B No. 09, "사물 인터넷 환경에서 경량화 장치 간 상호 인증 및 세션키 합의 기술" (2013.09. 공개) *

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101800737B1 (en) * 2016-06-27 2017-11-23 경북대학교 산학협력단 Control method of smart device for self-identification, recording medium for performing the method
KR20190053336A (en) * 2017-11-10 2019-05-20 서울과학기술대학교 산학협력단 Device authentication method and system in the Internet of Things Network
KR102034554B1 (en) * 2017-11-10 2019-10-21 서울과학기술대학교 산학협력단 Device authentication method and system in the Internet of Things Network
CN114221826A (en) * 2022-02-24 2022-03-22 湖南工商大学 Distributed encryption system for Internet of things
CN114221826B (en) * 2022-02-24 2022-04-29 湖南工商大学 Distributed encryption system for Internet of things

Similar Documents

Publication Publication Date Title
Hou et al. A survey on internet of things security from data perspectives
Al‐Turjman et al. An overview of security and privacy in smart cities' IoT communications
Razouk et al. A new security middleware architecture based on fog computing and cloud to support IoT constrained devices
US10298557B2 (en) Method of sharing key between devices using physical access restriction
Kolias et al. Learning Internet-of-Things security" hands-on"
Medaglia et al. An overview of privacy and security issues in the internet of things
Khoa et al. Designing efficient smart home management with IoT smart lighting: a case study
US20160277933A1 (en) Secure Data Communication system between IoT smart devices and a Network gateway under Internet of Thing environment
US9596097B2 (en) Apparatus and method for transferring network access information of smart household appliances
CN106537864B (en) A kind of method and device accessing resource
CN109495442A (en) Utilize the method and apparatus of tree construction verifying integrality
CN105684483A (en) Registry apparatus, agent device, application providing apparatus and corresponding methods
Pramanik et al. An overview of IoT privacy and security in smart cities
KR20180119201A (en) Electronic device for authentication system
CN106797318A (en) The method of the certification of equipment for having connected, hardware and digital certificate
KR101601769B1 (en) System in Small-Scale Internet of Things and Security communication method therefor
Mehmood et al. A comprehensive literature review of data encryption techniques in cloud computing and IoT environment
Bhattacharjya et al. Secure IoT structural design for smart homes
Jerald et al. Secure IoT architecture for integrated smart services environment
Kumar et al. Privacy and security concerns in edge computing-based smart cities
Wang et al. Session-based security enhancement of RFID systems for emerging open-loop applications
George et al. Claimsware: A claims-based middleware for securing iot services
KR101880708B1 (en) DATA TRANSFER SYSTEM OF DEVICE IN IoT HAVING IMPROVED SECURITY
JP5548952B2 (en) Wireless device and communication method
Choi et al. A design of key agreement scheme between lightweight devices in IoT environment

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20190107

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20200304

Year of fee payment: 5