KR102057577B1 - Method and apparatus for network address registration through key management - Google Patents
Method and apparatus for network address registration through key management Download PDFInfo
- Publication number
- KR102057577B1 KR102057577B1 KR1020180087110A KR20180087110A KR102057577B1 KR 102057577 B1 KR102057577 B1 KR 102057577B1 KR 1020180087110 A KR1020180087110 A KR 1020180087110A KR 20180087110 A KR20180087110 A KR 20180087110A KR 102057577 B1 KR102057577 B1 KR 102057577B1
- Authority
- KR
- South Korea
- Prior art keywords
- communication node
- address
- gateway
- address registration
- registration request
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5046—Resolving address allocation conflicts; Testing of addresses
-
- H04L61/2046—
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H04L61/2053—
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5053—Lease time; Renewal aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0618—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
- H04L9/0631—Substitution permutation network [SPN], i.e. cipher composed of a number of stages or rounds each involving linear and nonlinear transformations, e.g. AES algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
Abstract
Description
본 발명은 네트워크 주소등록 방법에 관한 것으로, 더욱 상세하게는 네트워크의 보안성 향상 및 효율적인 네트워크를 구축하기 위한 키 관리를 통한 네트워크 주소등록 방법에 관한 것이다.The present invention relates to a network address registration method, and more particularly, to a network address registration method through key management for improving network security and building an efficient network.
사물 인터넷 서비스는 보다 편리하고 안전한 사회를 구축하기 위해 주목 받고 있으며, 최근 다양한 분야에서 활발히 연구하고 있다. 무선 통신 기술은 사물 인터넷 서비스를 가능하게 하는 주요 기반 기술로써, 무선 통신 네트워크에서 보안 문제는 안전한 통신 네트워크를 구축하기 위해 매우 중요한 요소이다.Internet of Things (IoT) services are attracting attention to establish a more convenient and safe society, and are actively researching in various fields recently. Wireless communication technology is a major foundation technology that enables Internet of Things (IoT) services, and a security problem in a wireless communication network is a very important factor for building a secure communication network.
통신 노드가 네트워크에 가입(join)이 허가된(authorized) 장치인지 여부를 확인하기 위하여 키(key)를 이용한 인증방법이 사용될 수 있다.An authentication method using a key may be used to confirm whether the communication node is an authorized device to join the network.
키 관리를 통한 인증방법으로는 공개 키(public key) 방식과 대칭 키(symmetric key) 방식이 있는데, 공개 키 방식은 키 길이가 길고 암복화 속도가 느리며 복잡한 수학적 연산을 이용하기 때문에 경제성이 떨어질 수 있다. 따라서 이를 저전력 무선 네트워크 등에서 사용하기는 어려울 수 있다.Authentication methods through key management include public key method and symmetric key method. Public key method can be economically inferior because of long key length, slow decryption speed, and complicated mathematical operation. have. Therefore, it may be difficult to use it in a low power wireless network.
따라서 대칭 키를 통한 인증방법이 고려될 수 있다. 대칭 키를 통한 인증방법은 암복화 속도가 빠르고 경제성이 우수할 수 있으나 관리해야 할 키의 수가 많아 홉(hop)의 개수가 많아질 경우 많은 메모리 용량을 요구할 수 있고, 키의 분배가 어려운 문제점이 있을 수 있다.Therefore, an authentication method through a symmetric key may be considered. The authentication method through symmetric keys can be faster and more economical in encryption, but if the number of hops is large due to the large number of keys to be managed, a large memory capacity can be required, and the distribution of keys is difficult. There may be.
상기와 같은 문제점을 해결하기 위한 본 발명의 목적은, 다중 홉(multi-hop) 기반의 통신 네트워크에서 보안성을 효율적으로 향상시키는 키 관리 기술을 제공하는 데 있다.An object of the present invention for solving the above problems is to provide a key management technique that efficiently improves security in a multi-hop based communication network.
상기 목적을 달성하기 위한 본 발명의 일 실시예에 따른 게이트웨이 및 복수의 통신 노드를 포함하는 WPAN(wireless personal area network) 기반의 통신 네트워크에서 제1 통신 노드의 동작 방법으로서, 상기 제1 통신 노드를 통하여 상기 게이트웨이와 연결된 상기 제2 통신 노드로부터 주소등록요청 메시지를 수신하는 단계, 상기 주소등록요청 메시지를 상기 게이트웨이로 전송하는 단계, 상기 게이트웨이로부터 주소등록결과 및 상기 제2 통신 노드와 상기 제1 통신 노드간의 링크 키(link key)가 포함된 제1 응답 메시지를 수신하는 단계, 상기 제1 응답 메시지에 기초하여 생성된 제2 응답 메시지를 상기 제2 통신 노드에게 전송하는 단계를 포함하고, 상기 제1 통신 노드 및 상기 제2 통신 노드는 각각 상기 게이트웨이로부터 미리 분배된 제1 대칭 키(symmetric key) 및 제2 대칭 키를 가지고, 상기 링크 키는 상기 제2 대칭 키를 기초로 생성되는 대칭 키이고, 상기 주소등록요청 메시지는 등록하려는 주소 및, 상기 제2 대칭 키 및 상기 등록하려는 주소를 기초로 생성된 제1 인증자를 포함할 수 있다.A method of operating a first communication node in a wireless personal area network (WPAN) -based communication network including a gateway and a plurality of communication nodes according to an embodiment of the present invention for achieving the above object, the first communication node Receiving an address registration request message from the second communication node connected to the gateway through; transmitting the address registration request message to the gateway; an address registration result from the gateway and the first communication with the second communication node; Receiving a first response message including a link key between nodes, and transmitting a second response message generated based on the first response message to the second communication node. The first communication node and the second communication node are each a first symmetric key previously distributed from the gateway and Having a 2 symmetric key, the link key is a symmetric key generated based on the second symmetric key, and the address registration request message is generated based on the address to be registered and the second symmetric key and the address to be registered. It may include a first authenticator.
여기서, 상기 주소등록요청 메시지 및 상기 제1 응답 메시지는 상기 제1 대칭 키를 이용하여 IEEE(institute of electrical and electronics engineers) 802.15.4 홉 바이 홉(hop-by-hop) 보안을 통해 보호되는 메시지일 수 있다.Here, the address registration request message and the first response message are messages protected through an Institute of Electrical and Electronic Engineers (IEEE) 802.15.4 hop-by-hop security using the first symmetric key. Can be.
여기서, 상기 제2 통신 노드의 IP주소가 네트워크에 등록되면, 상기 제2 통신 노드와 상기 제1 통신 노드간의 메시지는 상기 링크 키를 이용하여 IEEE 802.15.4 홉 바이 홉 보안을 통해 보호될 수 있다.Here, when the IP address of the second communication node is registered in the network, the message between the second communication node and the first communication node can be protected through the IEEE 802.15.4 hop-by-hop security using the link key. .
여기서, 상기 주소등록요청 메시지는, 상기 제2 통신 노드의 식별자, 상기 제2 통신 노드의 주소등록요청이 몇 번째인지를 지시하는 카운터, 상기 제2 통신 노드의 주소 유효기간을 지시하는 라이프타임(lifetime) 및 게이트웨이 인증정보를 포함할 수 있다.The address registration request message may include an identifier of the second communication node, a counter indicating the number of address registration requests of the second communication node, and a life time indicating the address valid period of the second communication node. lifetime) and gateway authentication information.
여기서, 상기 제1 인증자는, 상기 제2 통신 노드의 식별자, 상기 등록하려는 주소, 상기 카운터, 상기 라이프타임, 상기 게이트웨이 인증정보 및 상기 제2 대칭 키를 기초로 한 해시(hash) 값일 수 있다.Here, the first authenticator may be a hash value based on an identifier of the second communication node, the address to be registered, the counter, the life time, the gateway authentication information, and the second symmetric key.
여기서, 상기 링크 키는 상기 제2 대칭 키, 상기 카운터 및 상기 게이트웨이 인증정보에 기초하여 생성될 수 있다.The link key may be generated based on the second symmetric key, the counter, and the gateway authentication information.
여기서, 상기 제1 응답 메시지에 포함된 상기 링크 키는 상기 제1 대칭 키를 이용하여 암호화된 것이고, 상기 제1 응답 메시지는, 제2 인증자를 더 포함하고, 상기 제2 인증자는, 상기 제1 인증자, 상기 주소등록결과 및 상기 링크 키를 기초로 한 해시 값일 수 있다.Here, the link key included in the first response message is encrypted using the first symmetric key, and the first response message further includes a second authenticator, and the second authenticator is the first authenticator. It may be a hash value based on the authenticator, the address registration result, and the link key.
여기서, 상기 제2 응답 메시지는, 제2 인증자를 더 포함하고, 상기 제2 인증자는, 상기 제1 인증자, 상기 주소등록결과 및 상기 링크 키를 기초로 한 해시 값일 수 있다.Here, the second response message may further include a second authenticator, and the second authenticator may be a hash value based on the first authenticator, the address registration result, and the link key.
상기 목적을 달성하기 위한 본 발명의 다른 실시예에 따른 게이트웨이 및 복수의 통신 노드를 포함하는 WPAN(wireless personal area network) 기반의 통신 시스템에서 제1 통신 노드를 통하여 상기 게이트웨이와 연결되는 제2 통신 노드의 동작 방법으로서, 게이트웨이 인증정보 메시지를 수신하는 단계, 상기 게이트웨이 인증정보 메시지에 기초하여 주소를 결정하는 단계, 상기 주소 및, 상기 주소 및 제2 대칭 키를 기초로 생성된 제1 인증자를 포함한 주소등록요청 메시지를 상기 제1 통신 노드에 전송하는 단계, 상기 제1 통신 노드로부터 상기 게이트웨이의 응답 메시지를 수신하는 단계, 상기 제1 대칭 키를 기초로 상기 제1 통신 노드 및 상기 제2 통신 노드간의 링크 키를 결정하는 단계 및 상기 링크 키를 이용하여 상기 응답 메시지를 검증하는 단계를 포함하고, 상기 제1 대칭 키 및 상기 제2 대칭 키는 상기 게이트웨이로부터 미리 분배될 수 있다.A second communication node connected to the gateway through a first communication node in a wireless personal area network (WPAN) -based communication system including a gateway and a plurality of communication nodes according to another embodiment of the present invention for achieving the above object. A method of operation, comprising: receiving a gateway authentication information message, determining an address based on the gateway authentication information message, an address including the address and a first authenticator generated based on the address and the second symmetric key Sending a registration request message to the first communication node, receiving a response message of the gateway from the first communication node, between the first communication node and the second communication node based on the first symmetric key Determining a link key and verifying the response message using the link key. It said first symmetric key and the second symmetric key may be distributed in advance from the gateway.
여기서, 상기 제2 통신 노드의 IP주소가 네트워크에 등록되면, 상기 제2 통신 노드와 상기 제1 통신 노드간의 메시지는 상기 링크 키를 이용하여 IEEE(institute of electrical and electronics engineers) 802.15.4 홉 바이 홉 보안을 통해 보호될 수 있다.Here, when the IP address of the second communication node is registered in the network, a message between the second communication node and the first communication node is transmitted to the Institute of electrical and electronics engineers (IEEE) 802.15.4 hop by using the link key. Can be protected through hop security.
여기서, 상기 주소등록요청 메시지는, 상기 제2 통신 노드의 식별자, 상기 제2 통신 노드의 주소등록요청이 몇 번째인지를 지시하는 카운터, 상기 제2 통신 노드의 주소 유효기간을 지시하는 라이프타임(lifetime) 및 게이트웨이 인증정보를 포함할 수 있다.The address registration request message may include an identifier of the second communication node, a counter indicating the number of address registration requests of the second communication node, and a life time indicating the address valid period of the second communication node. lifetime) and gateway authentication information.
여기서, 상기 제1 인증자는, 상기 제2 통신 노드의 식별자, 상기 주소, 상기 카운터, 상기 라이프타임, 상기 게이트웨이 인증정보 및 상기 제2 대칭 키를 기초로 한 해시(hash) 값일 수 있다.Here, the first authenticator may be a hash value based on the identifier of the second communication node, the address, the counter, the life time, the gateway authentication information, and the second symmetric key.
여기서, 상기 응답 메시지는, 주소등록결과 및 제2 인증자를 포함하고, 상기 제2 인증자는, 상기 제1 인증자, 상기 주소등록결과 및 상기 링크 키를 기초로 한 해시 값일 수 있다.Here, the response message may include an address registration result and a second authenticator, and the second authenticator may be a hash value based on the first authenticator, the address registration result, and the link key.
상기 목적을 달성하기 위한 본 발명의 다른 실시예에 따른 게이트웨이 및 복수의 통신 노드를 포함하는 WPAN(wireless personal area network) 기반의 통신 시스템에서 상기 게이트웨이의 동작 방법으로서, 제2 통신 노드는 제1 통신 노드를 통하여 상기 게이트웨이와 연결되고, 제1 인증자가 포함된 상기 제2 통신 노드의 주소등록요청 메시지를 수신하는 단계, 상기 주소등록요청 메시지의 유효성을 판단하는 단계, 주소중복 여부를 결정하는 단계, 상기 제1 통신 노드와 상기 제2 통신 노드간의 링크 키를 결정하는 단계, 주소등록결과 및 상기 링크 키를 기초로 생성된 제2 인증자를 포함한 응답 메시지를 상기 제1 통신 노드를 통하여 상기 제2 통신 노드로 전송하는 단계를 포함하고, 상기 제1 통신 노드 및 상기 제2 통신 노드는 각각 상기 게이트웨이로부터 미리 분배된 제1 대칭 키(symmetric key) 및 제2 대칭 키를 가지고, 상기 링크 키는 상기 제2 대칭 키를 기초로 생성될 수 있다.A method of operating the gateway in a wireless personal area network (WPAN) -based communication system including a gateway and a plurality of communication nodes according to another embodiment of the present invention for achieving the above object, the second communication node is a first communication Receiving an address registration request message of the second communication node connected to the gateway through a node and including a first authenticator, determining validity of the address registration request message, determining whether address duplication; Determining a link key between the first communication node and the second communication node, sending a response message including an address registration result and a second authenticator generated based on the link key through the first communication node; And transmitting to the node, wherein the first communication node and the second communication node are each previously separated from the gateway. Having a first symmetric key and a second symmetric key multiplied, the link key may be generated based on the second symmetric key.
여기서, 상기 주소등록요청 메시지 및 상기 응답 메시지는 상기 제1 대칭 키를 이용하여 IEEE(institute of electrical and electronics engineers) 802.15.4 홉 바이 홉(hop-by-hop) 보안을 통해 보호되는 메시지일 수 있다.Here, the address registration request message and the response message may be messages protected by an Institute of Electrical and Electronic Engineers (IEEE) 802.15.4 hop-by-hop security using the first symmetric key. have.
여기서, 상기 주소등록요청 메시지는, 상기 제2 통신 노드의 식별자, 상기 제2 통신 노드의 주소등록요청이 몇 번째인지를 지시하는 카운터, 상기 제2 통신 노드의 주소 유효기간을 지시하는 라이프타임(lifetime) 및 게이트웨이 인증정보를 포함할 수 있다.The address registration request message may include an identifier of the second communication node, a counter indicating the number of address registration requests of the second communication node, and a life time indicating the address valid period of the second communication node. lifetime) and gateway authentication information.
여기서, 상기 제1 인증자는, 상기 제2 통신 노드의 식별자, 상기 등록하려는 주소, 상기 카운터, 상기 라이프타임, 상기 게이트웨이 인증정보 및 상기 제2 대칭 키를 기초로 한 해시(hash) 값일 수 있다.Here, the first authenticator may be a hash value based on an identifier of the second communication node, the address to be registered, the counter, the life time, the gateway authentication information, and the second symmetric key.
여기서, 상기 주소등록요청 메시지의 유효성을 판단하는 단계는, 미리 결정된 테이블을 기초로 수행되고, 상기 테이블은, 네트워크 등록이 허가된 통신 노드의 식별자 별로 대칭 키 및 주소가 매핑되어 있고, 상기 테이블 상의 상기 제1 통신 노드의 식별자에 해당하는 대칭 키와 상기 테이블 상의 상기 제1 통신 노드의 식별자, 상기 주소등록요청 메시지에 포함된 상기 등록하려는 주소, 상기 주소등록요청 메시지에 포함된 상기 라이프타임, 상기 주소등록요청 메시지에 포함된 상기 카운터 및 상기 게이트웨이에 저장된 게이트웨이 인증정보를 기초로 해시 값을 계산하는 단계 및 상기 계산된 해시 값이 상기 주소등록요청 메시지에 포함된 상기 제1 인증자와 동일한지 확인하는 단계를 포함하고, 상기 주소등록 승인 여부를 결정하는 단계는, 상기 테이블 상의 상기 제1 통신 노드의 식별자에 해당하는 주소가 상기 주소등록요청 메시지에 포함된 상기 주소와 동일하거나, 상기 테이블에 상기 제1 통신 노드의 식별자에 해당하는 주소가 존재하지 않으면 상기 주소등록을 승인하는 단계를 포함할 수 있다.The determining of the validity of the address registration request message may be performed based on a predetermined table, in which the symmetric key and address are mapped for each identifier of a communication node permitted to register a network. A symmetric key corresponding to the identifier of the first communication node, an identifier of the first communication node on the table, the address to be registered included in the address registration request message, the life time included in the address registration request message, and Calculating a hash value based on the counter included in the address registration request message and the gateway authentication information stored in the gateway; and checking whether the calculated hash value is the same as the first authenticator included in the address registration request message. And determining whether to approve the address registration comprises: If the address corresponding to the identifier of the first communication node on the table is the same as the address included in the address registration request message or the address corresponding to the identifier of the first communication node does not exist in the table, the address registration is performed. It may include the step of approving.
여기서, 상기 응답 메시지는, 상기 링크 키가 상기 제1 대칭 키를 이용하여 암호화된 값을 더 포함하고, 상기 응답 메시지에 포함된 상기 제2 인증자는, 상기 제1 인증자, 상기 주소등록결과 및 상기 링크 키를 기초로 한 해시 값일 수 있다.Here, the response message further includes a value in which the link key is encrypted using the first symmetric key, and the second authenticator included in the response message includes the first authenticator, the address registration result, and It may be a hash value based on the link key.
여기서, 상기 링크 키는 상기 제2 대칭 키, 상기 카운터 및 상기 게이트웨이 인증정보에 기초하여 생성되고, 상기 제2 대칭 키 및 상기 게이트웨이 인증정보는 상기 게이트웨이에 저장된 값이고, 상기 카운터는 상기 주소등록요청 메시지에 포함된 값일 수 있다.Here, the link key is generated based on the second symmetric key, the counter and the gateway authentication information, the second symmetric key and the gateway authentication information is a value stored in the gateway, and the counter is the address registration request. It may be a value included in the message.
본 발명에 의하면, 통신 노드는 초기에 게이트웨이로부터 분배된 대칭 키를 기반으로 네트워크에 주소등록을 위한 인증 절차를 수행할 수 있다. 인증 절차는 게이트웨이에서 수행될 수 있고, 허가된 통신 노드들은 모두 게이트웨이로부터 각각 한 쌍의 대칭 키를 분배 받을 수 있다.According to the present invention, a communication node may perform an authentication procedure for address registration in a network based on a symmetric key initially distributed from a gateway. The authentication procedure may be performed at the gateway, and all authorized communication nodes may each receive a pair of symmetric keys from the gateway.
게이트웨이와 단일 홉 떨어진 통신 노드는 분배된 대칭 키를 통하여 인증 절차를 수행할 수 있다. 게이트웨이와 멀티 홉 떨어진 통신 노드는, 게이트웨이와 통신 노드 사이에서 라우터 역할을 수행하는 다른 통신 노드를 통하여 인증 절차를 수행할 수 있다. 여기서, 주소등록을 위한 인증 절차를 수행하려는 통신 노드와 게이트웨이와 통신 노드 사이에 존재하는 라우터 역할을 수행하는 다른 통신 노드는 게이트웨이로부터 분배된 각자의 대칭 키를 기반으로 새로운 링크 키를 생성하여 서로 간의 통신의 보안성을 유지할 수 있다. 따라서 통신 시스템의 성능이 향상될 수 있다.A communication node that is single hop away from the gateway may perform the authentication procedure through the distributed symmetric key. A communication node that is multi-hop away from the gateway may perform an authentication procedure through another communication node serving as a router between the gateway and the communication node. Here, the communication node to perform the authentication procedure for address registration and the other communication node serving as a router existing between the gateway and the communication node generate a new link key based on their symmetric keys distributed from the gateway. The security of communication can be maintained. Therefore, the performance of the communication system can be improved.
도 1은 통신 시스템의 제1 실시예를 도시한 개념도이다.
도 2는 게이트웨이와 통신 노드 간의 키 분배를 도시한 개념도이다.
도 3은 통신 시스템을 구성하는 통신 노드의 제1 실시예를 도시한 블록도이다.
도 4는 통신 노드의 주소등록 절차를 도시한 순서도이다.
도 5는 게이트웨이에서 수행되는 주소등록 절차를 도시한 흐름도이다.
도 6은 K3의 인증자의 유효성을 검사하는 절차를 도시한 흐름도이다.
도 7은 주소중복을 검사하는 절차를 도시한 흐름도이다.1 is a conceptual diagram illustrating a first embodiment of a communication system.
2 is a conceptual diagram illustrating key distribution between a gateway and a communication node.
3 is a block diagram showing a first embodiment of a communication node constituting a communication system.
4 is a flowchart illustrating an address registration procedure of a communication node.
5 is a flowchart illustrating an address registration procedure performed at a gateway.
6 is a flowchart illustrating a procedure for checking validity of an authenticator of K3.
7 is a flowchart illustrating a procedure for checking address duplication.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.As the present invention allows for various changes and numerous embodiments, particular embodiments will be illustrated in the drawings and described in detail in the written description. However, this is not intended to limit the present invention to specific embodiments, it should be understood to include all modifications, equivalents, and substitutes included in the spirit and scope of the present invention.
제1, 제2 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.Terms such as first and second may be used to describe various components, but the components should not be limited by the terms. The terms are used only for the purpose of distinguishing one component from another. For example, without departing from the scope of the present invention, the first component may be referred to as the second component, and similarly, the second component may also be referred to as the first component. The term and / or includes a combination of a plurality of related items or any item of a plurality of related items.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.When a component is said to be "connected" or "connected" to another component, it may be directly connected to or connected to that other component, but it may be understood that another component may be present in the middle. Should be. On the other hand, when a component is said to be "directly connected" or "directly connected" to another component, it should be understood that there is no other component in between.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.The terminology used herein is for the purpose of describing particular example embodiments only and is not intended to be limiting of the present invention. Singular expressions include plural expressions unless the context clearly indicates otherwise. In this application, the terms "comprise" or "have" are intended to indicate that there is a feature, number, step, operation, component, part, or combination thereof described in the specification, and one or more other features. It is to be understood that the present disclosure does not exclude the possibility of the presence or the addition of numbers, steps, operations, components, components, or a combination thereof.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가진 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.Unless defined otherwise, all terms used herein, including technical or scientific terms, have the same meaning as commonly understood by one of ordinary skill in the art. Terms such as those defined in the commonly used dictionaries should be construed as having meanings consistent with the meanings in the context of the related art and shall not be construed in ideal or excessively formal meanings unless expressly defined in this application. Do not.
이하, 첨부한 도면들을 참조하여, 본 발명의 바람직한 실시예를 보다 상세하게 설명하고자 한다. 본 발명을 설명함에 있어 전체적인 이해를 용이하게 하기 위하여 도면상의 동일한 구성요소에 대해서는 동일한 참조부호를 사용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다.Hereinafter, with reference to the accompanying drawings, it will be described in detail a preferred embodiment of the present invention. In the following description of the present invention, the same reference numerals are used for the same elements in the drawings and redundant descriptions of the same elements will be omitted.
도 1은 통신 시스템의 제1 실시예를 도시한 개념도이다.1 is a conceptual diagram illustrating a first embodiment of a communication system.
도 1을 참조하면, 통신 시스템은 게이트웨이(100) 및 복수의 통신 노드들(110, 120, 130)을 포함할 수 있다. 여기서, 통신 시스템은 "통신 네트워크"로 지칭될 수 있다. 복수의 통신 노드들 각각은 적어도 하나의 통신 프로토콜을 지원할 수 있다.Referring to FIG. 1, a communication system may include a
게이트웨이(100) 및 통신 노드들(110, 120, 130)은 IEEE 802.15.4를 지원할 수 있다. 또한 게이트웨이(100) 및 통신 노드들(110, 120, 130)은 IEEE 802.15.4 기반의 6LoWPAN(IPv6 over low-power wireless personal area network)을 지원할 수 있다. 게이트웨이(100)은 6LoWPAN의 6LBR(6LoWPAN border router)로 동작할 수 있고, 통신 노드들(110, 120, 130)은 6LN(6LoWPAN node)으로 동작할 수 있다. 6LN은 6LoWPAN host 또는 6LR(6LoWPAN router)로 동작할 수 있다.
보안 메커니즘을 위하여 통신 노드(110, 120, 130)와 게이트웨이(100) 간에 한 쌍의 대칭 키(symmetric key)가 설치될 수 있다. 통신 노드(110, 120, 130)와 게이트웨이(100) 간에 설치되는 한 쌍의 대칭 키를 디바이스 키(device key)라 한다.A pair of symmetric keys may be installed between the
도 2는 게이트웨이와 통신 노드 간의 키 분배를 도시한 개념도이다.2 is a conceptual diagram illustrating key distribution between a gateway and a communication node.
도 2를 참조하면, 게이트웨이(100)와 통신 노드#1(110) 간에 한 쌍의 디바이스 키(K1)가 설치될 수 있다. 게이트웨이(100)와 통신 노드#2(120) 간에 한 쌍의 디바이스 키(K2)가 설치될 수 있다. 게이트웨이(100)와 통신 노드#3(130) 간에 한 쌍의 디바이스 키(K3)가 설치될 수 있다. LoWPAN(low-power wireless personal area network)에 액세스가 인가된 통신 노드들(예를 들어, 통신 노드#1(110), 통신 노드#2(120), 통신 노드#3(130))만이 게이트웨이(100)와 한 쌍의 디바이스 키를 공유할 수 있다.Referring to FIG. 2, a pair of device keys K1 may be installed between the
디바이스 키(K1, K2, K3)는 통신 노드(110, 120, 130)가 LoWPAN에 액세스 하도록 인가되었는지를 검증하는데 이용될 수 있다. 서로 다른 두 통신 노드간에는 대칭 키가 미리 공유되지 않을 수 있다.Device keys K1, K2, K3 may be used to verify that
다시 도 1을 참조하면, 게이트웨이(100)의 커버리지 내에 통신 노드#1(110)이 속할 수 있다. 통신 노드#1(110)와 게이트웨이(100)는 대칭 키인 디바이스 키(K1)를 공유할 수 있다. 통신 노드#1(110)과 게이트웨이(100)는 서로 직접 메시지를 주고 받을 수 있다. 통신 노드#1(110)과 게이트웨이(100) 간의 메시지는 디바이스 키(K1)를 이용하여 IEEE 802.15.4 홉 바이 홉(hop-by-hop) 보안을 통해 보호될 수 있다.Referring back to FIG. 1, the
통신 노드#1(110)의 커버리지 내에 통신 노드#2(120)가 속할 수 있다. 통신 노드#1(110)과 통신 노드#2(120)는 대칭 키인 링크 키(K12)를 공유할 수 있다. 링크 키(K12)는 통신 노드#2(120)의 6LoWPAN-ND(IPv6 over low-power wireless personal area network-neighbor discovery) 주소 등록 중에 게이트웨이(100)에 의해 생성되고 분배될 수 있다. 통신 노드#2(120)는 게이트웨이(100)의 커버리지 내에 속하지 않기 때문에 게이트웨이(100)와 직접 메시지를 주고 받을 수는 없지만, 통신 노드#2(120)는 통신 노드#1(110)을 통해 게이트웨이(100)와 메시지를 주고 받을 수 있다. 여기서 통신 노드#1(110)은 라우터로 동작할 수 있다. 통신 노드#2(120)와 통신 노드#1(110) 간의 메시지는 링크 키(K12)를 이용하여 IEEE 802.15.4 홉 바이 홉 보안을 통해 보호될 수 있다.Communication node # 2 120 may belong within coverage of
통신 노드#2(120)의 커버리지 내에 통신 노드#3(130)이 속할 수 있다. 통신 노드#2(120)와 통신 노드#3(130)은 대칭 키인 링크 키(K23)를 공유할 수 있다. 링크 키(K23)는 통신 노드#3(130)의 6LoWPAN-ND 주소 등록 중에 게이트웨이(100)에 의해 생성되고 분배될 수 있다. 통신 노드#3(130)은 게이트웨이(100)의 커버리지 내에 속하지 않기 때문에 게이트웨이(100)와 직접 메시지를 주고 받을 수는 없지만, 통신 노드#3(130)은 통신 노드#2(120) 및 통신 노드#1(110)을 통해 게이트웨이(100)와 메시지를 주고 받을 수 있다. 여기서 통신 노드#2(120) 및 통신 노드#1(110)은 라우터로 동작할 수 있다. 통신 노드#3(130)과 통신 노드#2(120) 간의 메시지는 링크 키(K23)를 이용하여 IEEE 802.15.4 홉 바이 홉 보안을 통해 보호될 수 있다.Communication node # 3 130 may belong within coverage of communication node # 2 120. Communication node # 2 120 and communication node # 3 130 may share a link key K23 that is a symmetric key. Link key K23 may be generated and distributed by
한편, 통신 시스템을 구성하는 통신 노드(예를 들어, 게이트웨이(100), 통신 노드(110, 120, 130))는 다음과 같이 구성될 수 있다.Meanwhile, communication nodes (for example, the
도 3은 통신 시스템을 구성하는 통신 노드의 제1 실시예를 도시한 블록도이다.3 is a block diagram showing a first embodiment of a communication node constituting a communication system.
도 3을 참조하면, 통신 노드(200)는 적어도 하나의 프로세서(210), 메모리(220) 및 네트워크와 연결되어 통신을 수행하는 송수신 장치(230)를 포함할 수 있다. 또한, 통신 노드(200)는 입력 인터페이스 장치(240), 출력 인터페이스 장치(250), 저장 장치(260) 등을 더 포함할 수 있다. 통신 노드(200)에 포함된 각각의 구성 요소들은 버스(bus)(270)에 의해 연결되어 서로 통신을 수행할 수 있다.Referring to FIG. 3, the
프로세서(210)는 메모리(220) 및 저장 장치(260) 중에서 적어도 하나에 저장된 프로그램 명령(program command)을 실행할 수 있다. 프로세서(210)는 중앙 처리 장치(central processing unit, CPU), 그래픽 처리 장치(graphics processing unit, GPU), 또는 본 발명의 실시예들에 따른 방법들이 수행되는 전용의 프로세서를 의미할 수 있다. 메모리(220) 및 저장 장치(260) 각각은 휘발성 저장 매체 및 비휘발성 저장 매체 중에서 적어도 하나로 구성될 수 있다. 예를 들어, 메모리(220)는 읽기 전용 메모리(read only memory, ROM) 및 랜덤 액세스 메모리(random access memory, RAM) 중에서 적어도 하나로 구성될 수 있다.The
다음으로, 키 관리를 통한 네트워크 주소등록 방법에 대한 기술들이 설명될 것이다. 여기서, 통신 노드들 중에서 통신 노드#1에서 수행되는 방법(예를 들어, 신호의 전송 또는 수신)이 설명되는 경우에도 이에 대응하는 통신 노드#2는 통신 노드#1에서 수행되는 방법과 상응하는 방법(예를 들어, 신호의 수신 또는 전송)을 수행할 수 있다. 즉, 통신 노드의 동작이 설명된 경우에 이에 대응하는 게이트웨이는 단말의 동작과 상응하는 동작을 수행할 수 있다. 반대로, 게이트웨이의 동작이 설명된 경우에 이에 대응하는 통신 노드는 게이트웨이의 동작과 상응하는 동작을 수행할 수 있다.Next, techniques for network address registration method through key management will be described. Here, even when the method (for example, the transmission or reception of a signal) is performed among the communication nodes is described, the corresponding communication node # 2 corresponds to the method performed in the
도 4는 통신 노드의 주소등록 절차를 도시한 순서도이다.4 is a flowchart illustrating an address registration procedure of a communication node.
도 4를 참조하면, 통신 시스템은 도 1에 도시된 통신 시스템과 동일 또는 유사할 수 있다. 도 4의 통신 노드들(통신 노드#1(110), 통신 노드#2(120), 통신 노드#3(130))은 도 1의 통신 노드들(통신 노드#1(110), 통신 노드#2(120), 통신 노드#3(130))일 수 있고, 도 4의 게이트웨이(100)는 도 1의 게이트웨이(100)일 수 있다. 통신 노드#3(130)은 LoWPAN에 가입(join)되지 않은 상태일 수 있고, 통신 노드#2(120) 및 통신 노드#1(110)은 이미 LoWPAN에 가입되어 있을 수 있다.Referring to FIG. 4, the communication system may be the same as or similar to the communication system shown in FIG. 1. The communication nodes (communication node # 1 (110), communication node # 2 (120), communication node # 3 (130)) of FIG. 2 120, communication node # 3 130, and the
통신 노드#3(130)은 LoWPAN에 가입하기 위하여 정보 요청 메시지를 인접한 통신 노드(즉, 통신 노드#2)로 전송할 수 있다(S400). 정보 요청 메시지는 인접한 모든 통신 노드들에게 멀티캐스트 방식으로 전송될 수 있다.The communication node # 3 130 may transmit an information request message to an adjacent communication node (ie, communication node # 2) in order to join the LoWPAN (S400). The information request message may be transmitted in a multicast manner to all adjacent communication nodes.
통신 노드#2(120)는 정보 요청 메시지를 수신할 수 있고, 통신 노드#2(120)는 통신 노드#3(130)에게 정보 응답 메시지를 전송할 수 있다(S401). 정보 응답 메시지에는 게이트웨이 정보가 포함될 수 있다. 게이트웨이 정보는 통신 노드#2(120)가 LoWPAN에 가입할 때 획득한 정보일 수 있다. 통신 노드#3(130)은 정보 응답 메시지를 수신할 수 있고, 정보 응답 메시지에 포함된 게이트웨이 정보를 획득할 수 있다.The communication node # 2 120 may receive an information request message, and the communication node # 2 120 may transmit an information response message to the communication node # 3 130 (S401). The information response message may include gateway information. The gateway information may be information obtained when the communication node # 2 120 joins LoWPAN. The communication node # 3 130 may receive an information response message and may obtain gateway information included in the information response message.
통신 노드#3(130)은 수신한 게이트웨이 정보의 프리픽스(prefix)를 기반으로 글로벌 유니캐스트 주소를 구성하고, 카운터를 1만큼 증가시킬 수 있다. 첫 번째 주소 등록인 경우 카운터는 1로 설정될 수 있다.The communication node # 3 130 may configure a global unicast address based on the prefix of the received gateway information, and increment the counter by one. In the case of the first address registration, the counter may be set to one.
통신 노드#3(130)은 주소등록요청 메시지를 통신 노드#2(120) 및 통신 노드#1(110)를 통해 게이트웨이(100)로 전송할 수 있다. 여기서 통신 노드#2(120) 및 통신 노드#1(110)은 라우터로 동작할 수 있다.The communication node # 3 130 may transmit an address registration request message to the
주소등록요청 메시지는 통신 노드#3(130)의 식별자, 게이트웨이 정보의 프리픽스를 기반으로 구성한 글로벌 유니캐스트 주소, 라이프타임(life time), 카운터 및 디바이스 키(K3)를 이용한 인증자가 포함될 수 있다. 라이프타임은 통신 노드의 주소가 네트워크 상에서 유효하게 되는 기간을 나타낼 수 있다. 게이트웨이(100)에서 네트워크에 액세스가 인가된 통신 노드들의 식별자, 주소 및 라이프타임 등을 관리할 수 있다. 게이트웨이(100)에 통신 노드의 주소가 등록되면, 해당 주소에 대한 라이프타임이 설정될 수 있고, 해당 라이프타임은 등록된 순간부터 시간의 흐름에 따라 줄어들 수 있다. 라이프타임이 0이되면, 해당 주소는 해지되어 다른 통신 노드가 해당 주소를 사용할 수 있다. 따라서, 네트워크에 주소가 등록된 통신 노드들은 지속적으로 게이트웨이(100)에 주소를 재등록할 수 있다. 게이트웨이(100)에서 관리되는 라이프타임과 달리, 통신 노드는 일정한 라이프타임 값을 가진다. 통신 노드의 라이프타임은 주소 재등록 절차에서 라이프타임을 갱신하는데 사용될 수 있다. 예를 들어, 통신 노드#3(130)에서의 라이프타임 값이 100으로 설정되어 있고, 통신 노드#3(130)의 주소#3가 게이트웨이(100)에 등록되어 있는 경우, 주소#3 등록 시점에 게이트웨이(100)에서 통신 노드#3(130)의 주소#3에 대한 라이프타임#3은 100일 수 있다. 등록 후부터 통신 노드#3(130)의 라이프타임#3은 흐른 시간만큼 줄어들 수 있다. 시간이 30만큼 경과한 경우, 라이프타임#3은 70일 수 있다. 이 때, 통신 노드#3(130)의 주소#3 재등록 절차가 수행되면 라이프타임#3은 다시 100으로 갱신될 수 있다.The address registration request message may include an authenticator using an identifier of the communication node # 3 130, a global unicast address configured based on a prefix of gateway information, a life time, a counter, and a device key K3. The lifetime may represent the period during which the address of the communication node becomes valid on the network. The
인증자는 통신 노드#3(130)의 식별자, 글로벌 유니캐스트 주소, 라이프타임, 카운터, 게이트웨이 정보 및 디바이스 키(K3)를 기초로 한 해시(hash) 값을 의미할 수 있다.The authenticator may refer to a hash value based on the identifier of the communication node # 3 130, the global unicast address, the lifetime, the counter, the gateway information, and the device key K3.
통신 노드#3(130)은 주소등록요청 메시지를 통신 노드#2(120)로 전송할 수 있다(S410). 통신 노드#2(120)는 주소등록요청 메시지를 수신할 수 있다. 통신 노드#2(120)는 주소등록요청 메시지를 통신 노드#1(110)로 전송할 수 있다(S411). 여기서, 통신 노드#2(120)에서 통신 노드#1(110)로 전송되는 주소등록요청 메시지는 링크 키(K12)를 이용하여 IEEE 802.15.4 홉 바이 홉 보안을 통해 보호될 수 있다.The communication node # 3 130 may transmit an address registration request message to the communication node # 2 120 (S410). Communication node # 2 120 may receive an address registration request message. The communication node # 2 120 may transmit an address registration request message to the
통신 노드#1(110)은 주소등록요청 메시지를 수신할 수 있다. 통신 노드#1(110)은 주소등록요청 메시지를 게이트웨이(100)로 전송할 수 있다(S412). 여기서, 통신 노드#1(110)에서 게이트웨이(100)로 전송되는 주소등록요청 메시지는 디바이스 키(K1)를 이용하여 IEEE 802.15.4 홉 바이 홉 보안을 통해 보호될 수 있다.The
게이트웨이(100)는 주소등록요청 메시지를 수신할 수 있다. 게이트웨이(100)는 수신된 주소등록요청 메시지를 기초로 주소등록 절차를 수행할 수 있다(S420). 이하에서 게이트웨이(100)에서 수행되는 주소등록 절차가 설명된다.The
도 5는 게이트웨이(100)에서 수행되는 주소등록 절차를 도시한 흐름도이다.5 is a flowchart illustrating an address registration procedure performed in the
도 5를 참조하면, 게이트웨이(100)는 통신 노드#1(110)로부터 통신 노드#3(130)의 주소등록요청 메시지를 수신할 수 있고, 수신된 주소등록요청 메시지에 포함된 통신 노드#3(130)의 식별자를 확인할 수 있다. 게이트웨이(100)는 미리 저장된 DAD(duplicate address detection) 테이블에 통신 노드#3(130)의 식별자가 존재하는지 확인할 수 있다(S500). DAD 테이블에 통신 노드#3(130)의 식별자가 존재하지 않는 경우, 게이트웨이(100)는 주소등록요청 메시지를 삭제하고, 주소등록 절차를 종료할 수 있다(S501).Referring to FIG. 5, the
표 1은 게이트웨이(100)에 저장된 DAD 테이블일 수 있다. 표 1의 DAD 테이블은 아직 통신 노드#3(130)의 주소등록이 완료되지 않은 상태의 DAD 테이블일 수 있다. DAD 테이블의 노드 식별자에는 LoWPAN에 액세스가 인가된 통신 노드들의 식별자(예를 들어, 통신 노드#1(110)의 식별자, 통신 노드#2(120)의 식별자, 통신 노드#3(130)의 식별자)가 포함될 수 있다. 주소에는 각 인가된 통신 노드들의 글로벌 유니캐스트 주소가 포함될 수 있다. 다만, 인가된 통신 노드의 주소등록이 완료되지 않은 경우, 주소가 존재하지 않을 수 있다. 라이프타임에는 인가된 통신 노드의 라이프타임 정보가 포함될 수 있다. 카운터에는 인가된 통신 노드의 카운터가 포함될 수 있다. 통신 노드의 주소등록이 이루어진 적이 없는 경우에는, 카운터는 0으로 설정될 수 있다. 첫 번째 주소등록이 수행된 경우, 카운터는 1로 설정될 수 있다. 예를 들어, 통신 노드#3(130)이 처음으로 게이트웨이(100)에 주소등록을 요청하는 경우, 이전에 통신 노드#3(130)의 주소등록이 이루어진 적이 없기 때문에, 통신 노드#3(130)의 식별자에 해당하는 카운터는 0일 수 있다.Table 1 may be a DAD table stored in the
DAD 테이블에 통신 노드#3(130)의 식별자가 존재하는 경우, 게이트웨이(100)는 주소등록요청 메시지에 포함된 디바이스 키(K3)의 인증자가 유효한지 확인할 수 있다(S502). 디바이스 키(K3)의 인증자가 유효한지 확인하는 절차는 다음과 같다.If the identifier of the communication node # 3 130 exists in the DAD table, the
도 6은 도 5에서 K3의 인증자의 유효성을 검사하는 절차를 도시한 흐름도이다.FIG. 6 is a flowchart illustrating a procedure of checking validity of an authenticator of K3 in FIG. 5.
도 6을 참조하면, 게이트웨이(100)는 DAD 테이블에 저장된 통신 노드#3(130)에 해당하는 카운터#3 및 K3을 선택할 수 있다(S600).Referring to FIG. 6, the
게이트웨이(100)는 통신 노드#1(110)로부터 수신한 통신 노드#3(130)의 주소등록요청 메시지에 포함된 카운터#3의 값과 DAD 테이블에 저장된 카운터#3의 값을 비교할 수 있다(S601). 저장된 카운터#3의 값이 수신된 주소등록요청 메시지의 카운터#3의 값보다 크거나 같을 경우, 게이트웨이(100)는 주소등록요청 메시지를 삭제하고 주소등록 절차를 종료할 수 있다(S503).The
수신된 주소등록요청 메시지의 카운터#3의 값이 DAD 테이블에 저장된 카운터#3의 값보다 큰 경우, 게이트웨이(100)는 DAD 테이블 상에 저장된 정보를 기반으로 K3의 인증자를 생성할 수 있다(S602).If the value of the counter # 3 of the received address registration request message is larger than the value of the counter # 3 stored in the DAD table, the
DAD 테이블 상에 저장된 정보를 기반으로 생성되는 K3의 인증자는, 기본적으로 수신된 주소등록요청 메시지에 포함된 정보를 이용하여 생성될 수 있다. 즉 인증자 생성에 필요한 통신 노드#3(130)의 글로벌 유니캐스트 주소, 라이프타임, 카운터는 수신된 주소등록요청 메시지에 포함된 정보를 그대로 사용할 수 있다. 통신 노드#3(130)의 식별자는 DAD 테이블 상의 정보를 사용할 수 있고 또는, 수신된 주소등록요청 메시지에 포함된 식별자를 사용할 수 있다. 다만, 게이트웨이 정보 및 디바이스 키(K3)는 DAD 테이블에 저장된 값을 사용할 수 있다. 즉, 인증자의 유효성을 판단하는 절차는 게이트웨이 정보에 대한 유효성을 판단하는 절차일 수 있다.The authenticator of K3 generated based on the information stored on the DAD table may be generated using information included in the received address registration request message. That is, the global unicast address, life time, and counter of the communication node # 3 130 required for generating the authenticator may use information included in the received address registration request message as it is. The identifier of communication node # 3 130 may use the information on the DAD table, or may use the identifier included in the received address registration request message. However, the gateway information and the device key K3 may use a value stored in the DAD table. That is, the procedure for determining validity of the authenticator may be a procedure for determining validity of the gateway information.
게이트웨이(100)는 DAD 테이블 상에 저장된 정보를 기반으로 생성된 K3의 인증자가 수신된 주소등록요청 메시지에 포함된 K3의 인증자와 동일한지 비교할 수 있다(S603). 인증자가 서로 다른 경우, 게이트웨이(100)는 주소등록요청 메시지를 삭제하고 주소등록 절차를 종료할 수 있다(S605). 인증자가 서로 동일한 경우, 게이트웨이(100)는 주소중복검사 절차를 수행할 수 있다(S504).The
다시 도 5를 참조하면, 게이트웨이(100)는 수신된 주소등록요청 메시지에 포함된 K3의 인증자가 유효하지 않은 것으로 판단되면 주소등록요청 메시지를 삭제하고 주소등록 절차를 종료할 수 있다(S503).Referring back to FIG. 5, if it is determined that the authenticator of K3 included in the received address registration request message is not valid, the
K3의 인증자가 유효한 것으로 판단되면, 게이트웨이(100)는 주소중복검사를 수행할 수 있다(S504). 다음으로, K3의 인증자가 유효한 것으로 판단된 경우 수행되는 주소중복검사 절차가 설명된다.If it is determined that the authenticator of K3 is valid, the
도 7은 주소중복을 검사하는 절차를 도시한 흐름도이다.7 is a flowchart illustrating a procedure for checking address duplication.
도 7을 참조하면, 게이트웨이(100)는 DAD 테이블에 저장된 통신 노드#3(130)의 식별자에 해당하는 주소#3을 선택할 수 있다(S700). 게이트웨이(100)는 DAD 테이블에 저장된 주소#3의 값이 존재하지 않거나 수신된 주소등록요청 메시지의 주소#3과 동일한지 판단할 수 있다(S701). DAD 테이블에 저장된 주소#3의 값이 존재하지 않거나 수신된 주소등록요청 메시지에 포함된 주소#3과 동일한 경우, 게이트웨이(100)는 DAD 테이블의 통신 노드#3(130)에 해당하는 정보들(즉, 주소#3, 라이프타임#3, 카운터#3)을 수신된 주소등록요청 메시지에 포함된 값으로 갱신할 수 있다(S506). DAD 테이블에 저장된 주소#3의 값이 존재하지 않는 경우는 통신 노드#3(130)이 네트워크에 처음으로 주소를 등록하는 경우로 볼 수 있고, DAD 테이블에 저장된 주소#3의 값이 존재하는 경우는 통신 노드#3(130)이 주소를 재등록하는 경우로 볼 수 있다.Referring to FIG. 7, the
저장된 주소#3값이 수신된 주소등록요청 메시지의 주소#3값이 아닌 다른 어떤 값을 갖는 경우, 게이트웨이(100)는 이미 해당 주소를 다른 통신 노드가 사용하고 있는 것으로 판단할 수 있다. 따라서, 게이트웨이(100)는 중복으로 인하여 주소등록이 실패한 것으로 판단할 수 있다(S505).If the stored address # 3 has a value other than the address # 3 value of the received address registration request message, the
다시 도 5를 참조하면, 게이트웨이(100)는 주소가 중복되지 않은 경우 DAD 테이블을 갱신할 수 있고(S506), 주소등록요청에 대한 결과를 "성공"으로 설정할 수 있다. 게이트웨이(100)는 주소가 중복된 것으로 판단된 경우, 주소등록요청에 대한 결과를 "중복"으로 설정할 수 있다. 주소등록요청에 대한 결과 정보(예를들어, 성공 또는 중복)는 주소등록응답 메시지에 포함될 수 있다.Referring back to FIG. 5, when the addresses do not overlap, the
게이트웨이(100)는 이후 통신 노드#2(120)와 통신 노드#3(130) 간의 링크 키(K23) 및 링크 키(K23)의 인증자를 생성하고, 생성한 링크 키(K23)를 디바이스 키(K2)로 암호화할 수 있다(S507). 링크 키(K23)는 디바이스 키(K3), 카운터#3, 통신 노드#3(130)의 정보, 통신 노드#2(120)의 정보 및 게이트웨이(100)의 정보를 기초로 생성될 수 있다. 링크 키(K23)는 상기 정보들을 이용한 의사 난수 함수(pseudo random function)을 통해 생성될 수도 있다. 링크 키(K23)는 통신 노드#3(130)의 디바이스 키(K3)에서 파생되므로, 통신 노드#3(130)에서도 생성될 수 있다.The
게이트웨이(100)는 링크 키(K23)에 기초하여, 링크 키(K23)의 인증자를 생성할 수 있다. 링크 키(K23)의 인증자는 디바이스 키(K3)의 인증자, 주소등록요청 결과(즉, 성공 또는 중복) 및 링크 키(K23)를 기초로 한 해시 값을 의미할 수 있다. 또한, 게이트웨이(100)는 링크 키(K23)를 디바이스 키(K2)를 이용하여 암호화할 수 있다.The
다시 도 4를 참조하면, 게이트웨이(100)는 주소등록 절차를 통하여 생성한 주소등록요청 결과, 링크 키(K23)의 인증자 및 디바이스 키(K2)를 이용하여 암호화된 링크 키(K23) 값(이하, K2_K23)을 포함한 주소등록응답 메시지를 통신 노드#1(110) 및 통신 노드#2(120)을 통하여 통신 노드#3(130)에게 전송할 수 있다. 여기서, 통신 노드#2(120) 및 통신 노드#1(110)은 라우터로 동작할 수 있다.Referring back to FIG. 4, the
게이트웨이(100)는 주소등록응답 메시지를 통신 노드#1(110)에게 전송할 수 있다(S430). 게이트웨이(100)에서 통신 노드#1(110)로 전송되는 주소등록응답 메시지는 디바이스 키(K1)를 이용하여 IEEE 802.15.4 홉 바이 홉 보안을 통해 보호될 수 있다. 통신 노드#1(110)은 게이트웨이(100)로부터 주소등록응답 메시지를 수신할 수 있다.The
통신 노드#1(110)은 주소등록응답 메시지를 통신 노드#2(120)로 전송할 수 있다(S431). 통신 노드#1(110)에서 통신 노드#2(120)로 전송되는 주소등록응답 메시지는 링크 키(K12)를 이용하여 IEEE 802.15.4 홉 바이 홉 보안을 통해 보호될 수 있다. 통신 노드#2(120)는 통신 노드#1(110)로부터 주소등록응답 메시지를 수신할 수 있다.The
통신 노드#2(120)는 주소등록응답 메시지에 포함된 암호화된 링크 키(K2_K23)을 복호하여 링크 키(K23)를 획득할 수 있다. 통신 노드#2(120)이 획득한 링크 키(K23)는 통신 노드#3(130)의 주소 등록이 완료된 이후 통신 노드#3(130)과 통신 노드#2(120) 간의 메시지 송/수신의 IEEE 802.15.4 홉 바이 홉 보안을 위해 사용될 수 있다.The communication node # 2 120 may obtain the link key K23 by decrypting the encrypted link key K2_K23 included in the address registration response message. The link key K23 obtained by the communication node # 2 120 is used to transmit / receive a message between the communication node # 3 130 and the communication node # 2 120 after the address registration of the communication node # 3 130 is completed. It can be used for IEEE 802.15.4 hop by hop security.
통신 노드#2(120)는 주소등록응답 메시지를 통신 노드#3(130)으로 전송할 수 있다(S432). 여기서, 통신 노드#2(120)가 통신 노드#3(130)으로 전송하는 주소등록응답 메시지는 암호화된 링크 키(K2_K23)이 포함되지 않을 수 있다. 통신 노드#3(130)은 주소등록응답 메시지를 통신 노드#2(120)로부터 수신할 수 있다.The communication node # 2 120 may transmit an address registration response message to the communication node # 3 130 (S432). Here, the address registration response message transmitted from the communication node # 2 120 to the communication node # 3 130 may not include an encrypted link key K2_K23. The communication node # 3 130 may receive an address registration response message from the communication node # 2 120.
통신 노드#3(130)은 주소등록응답 메시지에 의존하지 않아도 링크 키(K23)을 생성할 수 있다. 통신 노드#3(130)은 주소등록응답 메시지에 포함된 주소등록요청 결과, 링크 키(K23) 및 디바이스 키(K3)의 인증자를 이용하여 링크 키(K23)의 인증자를 생성할 수 있고, 수신된 주소등록응답 메시지에 포함된 링크 키(K23)의 인증자와 동일한지 비교할 수 있다. 즉, 수신된 주소등록응답 메시지에 포함된 링크 키(K23)의 인증자의 유효성을 검사할 수 있다. 수신된 주소등록응답 메시지에 포함된 링크 키(K23)의 인증자가 유효하면, 통신 노드#3(130)은 주소등록요청의 결과를 받아들일 수 있다. 주소등록요청의 결과는 성공 또는 중복일 수 있다.The communication node # 3 130 may generate the link key K23 without relying on the address registration response message. The communication node # 3 130 may generate an authenticator of the link key K23 using the authenticator of the link key K23 and the device key K3 as a result of the address registration request included in the address registration response message. It may be compared with the authenticator of the link key K23 included in the registered address registration response message. That is, the validity of the authenticator of the link key K23 included in the received address registration response message may be checked. If the authenticator of the link key K23 included in the received address registration response message is valid, the communication node # 3 130 can accept the result of the address registration request. The result of the address registration request may be successful or duplicate.
게이트웨이(100)가 통신 노드#3(130)의 IP주소를 등록하게 되면, 이후에 통신 노드#3(130)과 통신 노드#2(120)과의 메시지 송/수신은 링크 키(K23)를 이용하여 IEEE 802.15.4 홉 바이 홉 보안을 통해 보호될 수 있다.When the
본 발명에 따른 방법들은 다양한 컴퓨터 수단을 통해 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 컴퓨터 판독 가능 매체에 기록되는 프로그램 명령은 본 발명을 위해 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다.The methods according to the invention can be implemented in the form of program instructions that can be executed by various computer means and recorded on a computer readable medium. Computer-readable media may include, alone or in combination with the program instructions, data files, data structures, and the like. The program instructions recorded on the computer readable medium may be those specially designed and constructed for the present invention, or may be known and available to those skilled in computer software.
컴퓨터 판독 가능 매체의 예에는 롬(rom), 램(ram), 플래시 메모리(flash memory) 등과 같이 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러(compiler)에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터(interpreter) 등을 사용해서 컴퓨터에 의해 실행될 수 있는 고급 언어 코드를 포함한다. 상술한 하드웨어 장치는 본 발명의 동작을 수행하기 위해 적어도 하나의 소프트웨어 모듈로 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.Examples of computer readable media include hardware devices that are specifically configured to store and execute program instructions, such as ROM, RAM, flash memory, and the like. Examples of program instructions include machine language code, such as produced by a compiler, as well as high-level language code that can be executed by a computer using an interpreter or the like. The hardware device described above may be configured to operate with at least one software module to perform the operations of the present invention, and vice versa.
이상 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.Although described with reference to the above embodiments, those skilled in the art will understand that the present invention can be variously modified and changed without departing from the spirit and scope of the invention described in the claims below. Could be.
Claims (20)
상기 제1 통신 노드를 통하여 상기 게이트웨이와 연결된 제2 통신 노드로부터 주소등록요청 메시지를 수신하는 단계;
상기 주소등록요청 메시지를 상기 게이트웨이로 전송하는 단계;
상기 게이트웨이로부터 주소등록결과 및 상기 제2 통신 노드와 상기 제1 통신 노드간의 링크 키(link key)가 포함된 제1 응답 메시지를 수신하는 단계; 및
상기 제1 응답 메시지에 기초하여 생성된 제2 응답 메시지를 상기 제2 통신 노드에게 전송하는 단계를 포함하고,
상기 제1 통신 노드 및 상기 제2 통신 노드는 각각 상기 게이트웨이로부터 미리 분배된 제1 대칭 키(symmetric key) 및 제2 대칭 키를 가지고, 상기 링크 키는 상기 제2 대칭 키를 기초로 생성되는 대칭 키이고,
상기 주소등록요청 메시지는 등록하려는 주소, 상기 제2 대칭 키 및 상기 등록하려는 주소를 기초로 생성된 제1 인증자, 상기 제2 통신 노드의 식별자, 및 상기 제2 통신 노드의 주소등록요청이 몇 번째인지를 지시하는 카운터를 포함하는, 제1 통신 노드의 동작 방법.A method of operating a first communication node in a wireless personal area network (WPAN) based communication network comprising a gateway and a plurality of communication nodes,
Receiving an address registration request message from a second communication node connected to the gateway through the first communication node;
Transmitting the address registration request message to the gateway;
Receiving a first response message including an address registration result and a link key between the second communication node and the first communication node from the gateway; And
Sending a second response message generated based on the first response message to the second communication node,
The first communication node and the second communication node each have a first symmetric key and a second symmetric key previously distributed from the gateway, and the link key is a symmetric generated based on the second symmetric key. Key,
The address registration request message includes a first authenticator generated based on the address to be registered, the second symmetric key and the address to be registered, an identifier of the second communication node, and an address registration request of the second communication node. And a counter indicating whether or not it is the second.
상기 주소등록요청 메시지 및 상기 제1 응답 메시지는 상기 제1 대칭 키를 이용하여 IEEE(institute of electrical and electronics engineers) 802.15.4 홉 바이 홉(hop-by-hop) 보안을 통해 보호되는 메시지인, 제1 통신 노드의 동작 방법.The method according to claim 1,
The address registration request message and the first response message are messages protected by an Institute of Electrical and Electronic Engineers (IEEE) 802.15.4 hop-by-hop security using the first symmetric key. Method of operation of the first communication node.
상기 제2 통신 노드의 IP주소가 네트워크에 등록되면, 상기 제2 통신 노드와 상기 제1 통신 노드간의 메시지는 상기 링크 키를 이용하여 IEEE 802.15.4 홉 바이 홉 보안을 통해 보호되는, 제1 통신 노드의 동작 방법.The method according to claim 1,
When the IP address of the second communication node is registered in the network, a message between the second communication node and the first communication node is protected via IEEE 802.15.4 hop by hop security using the link key. How Nodes Work
상기 주소등록요청 메시지는, 상기 제2 통신 노드의 주소 유효기간을 지시하는 라이프타임(lifetime) 및 게이트웨이 인증정보를 더 포함하는, 제1 통신 노드의 동작 방법.The method according to claim 1,
The address registration request message further includes a lifetime and gateway authentication information indicating an address validity period of the second communication node.
상기 제1 인증자는, 상기 제2 통신 노드의 식별자, 상기 등록하려는 주소, 상기 카운터, 상기 라이프타임, 상기 게이트웨이 인증정보 및 상기 제2 대칭 키를 기초로 한 해시(hash) 값인, 제1 통신 노드의 동작 방법.The method according to claim 4,
Wherein the first authenticator is a hash value based on an identifier of the second communication node, the address to be registered, the counter, the lifetime, the gateway authentication information, and the second symmetric key. Method of operation.
상기 링크 키는 상기 제2 대칭 키, 상기 카운터 및 상기 게이트웨이 인증정보에 기초하여 생성되는, 제1 통신 노드의 동작 방법.The method according to claim 4,
And the link key is generated based on the second symmetric key, the counter and the gateway authentication information.
상기 제1 응답 메시지에 포함된 상기 링크 키는 상기 제1 대칭 키를 이용하여 암호화된 것이고,
상기 제1 응답 메시지는, 제2 인증자를 더 포함하고,
상기 제2 인증자는, 상기 제1 인증자, 상기 주소등록결과 및 상기 링크 키를 기초로 한 해시 값인, 제1 통신 노드의 동작 방법.The method according to claim 1,
The link key included in the first response message is encrypted using the first symmetric key,
The first response message further includes a second authenticator,
And the second authenticator is a hash value based on the first authenticator, the address registration result, and the link key.
상기 제2 응답 메시지는, 제2 인증자를 더 포함하고,
상기 제2 인증자는, 상기 제1 인증자, 상기 주소등록결과 및 상기 링크 키를 기초로 한 해시 값인, 제1 통신 노드의 동작 방법.The method according to claim 1,
The second response message further includes a second authenticator,
And the second authenticator is a hash value based on the first authenticator, the address registration result, and the link key.
게이트웨이 인증정보 메시지를 수신하는 단계;
상기 게이트웨이 인증정보 메시지에 기초하여 주소를 결정하는 단계;
상기 주소 및 제2 대칭 키를 기초로 생성된 제1 인증자를 포함한 주소등록요청 메시지를 상기 제1 통신 노드에 전송하는 단계;
상기 제1 통신 노드로부터 상기 게이트웨이의 응답 메시지를 수신하는 단계;
제1 대칭 키를 기초로 상기 제1 통신 노드 및 상기 제2 통신 노드간의 링크 키를 결정하는 단계; 및
상기 링크 키를 이용하여 상기 응답 메시지를 검증하는 단계를 포함하고, 상기 제1 대칭 키 및 상기 제2 대칭 키는 상기 게이트웨이로부터 미리 분배된 것을 특징으로 하고,
상기 주소등록요청 메시지는, 상기 제2 통신 노드의 식별자 및 상기 제2 통신 노드의 주소등록요청이 몇 번째인지를 지시하는 카운터를 더 포함하는, 제2 통신 노드의 동작 방법.A method of operating a second communication node connected to the gateway through a first communication node in a wireless personal area network (WPAN) -based communication system including a gateway and a plurality of communication nodes,
Receiving a gateway authentication information message;
Determining an address based on the gateway authentication information message;
Sending an address registration request message including a first authenticator generated based on the address and a second symmetric key to the first communication node;
Receiving a response message of the gateway from the first communication node;
Determining a link key between the first communication node and the second communication node based on a first symmetric key; And
Verifying the response message using the link key, wherein the first symmetric key and the second symmetric key are previously distributed from the gateway,
The address registration request message further includes a counter indicating the number of the identifier of the second communication node and the address registration request of the second communication node.
상기 제2 통신 노드의 IP주소가 네트워크에 등록되면, 상기 제2 통신 노드와 상기 제1 통신 노드간의 메시지는 상기 링크 키를 이용하여 IEEE(institute of electrical and electronics engineers) 802.15.4 홉 바이 홉 보안을 통해 보호되는, 제2 통신 노드의 동작 방법.The method according to claim 9,
When the IP address of the second communication node is registered in the network, a message between the second communication node and the first communication node is transferred to the Institute of Electrical and Electronics Engineers (IEEE) 802.15.4 hop-by-hop security using the link key. Protected by the second communication node.
상기 주소등록요청 메시지는, 상기 제2 통신 노드의 주소 유효기간을 지시하는 라이프타임(lifetime) 및 게이트웨이 인증정보를 더 포함하는, 제2 통신 노드의 동작 방법.The method according to claim 9,
The address registration request message further includes a lifetime and gateway authentication information indicating an address validity period of the second communication node.
상기 제1 인증자는, 상기 제2 통신 노드의 식별자, 상기 주소, 상기 카운터, 상기 라이프타임, 상기 게이트웨이 인증정보 및 상기 제2 대칭 키를 기초로 한 해시(hash) 값인, 제2 통신 노드의 동작 방법.The method according to claim 11,
Wherein the first authenticator is a hash value based on an identifier of the second communication node, the address, the counter, the lifetime, the gateway authentication information, and the second symmetric key. Way.
상기 응답 메시지는, 주소등록결과 및 제2 인증자를 포함하고,
상기 제2 인증자는, 상기 제1 인증자, 상기 주소등록결과 및 상기 링크 키를 기초로 한 해시 값인, 제2 통신 노드의 동작 방법.The method according to claim 9,
The response message includes an address registration result and a second authenticator,
And the second authenticator is a hash value based on the first authenticator, the address registration result, and the link key.
제2 통신 노드는 제1 통신 노드를 통하여 상기 게이트웨이와 연결되고,
제1 인증자가 포함된 상기 제2 통신 노드의 주소등록요청 메시지를 수신하는 단계;
상기 주소등록요청 메시지의 유효성을 판단하는 단계;
주소중복 여부를 결정하는 단계;
상기 제1 통신 노드와 상기 제2 통신 노드간의 링크 키를 결정하는 단계; 및
주소등록결과 및 상기 링크 키를 기초로 생성된 제2 인증자를 포함한 응답 메시지를 상기 제1 통신 노드를 통하여 상기 제2 통신 노드로 전송하는 단계를 포함하고,
상기 제1 통신 노드 및 상기 제2 통신 노드는 각각 상기 게이트웨이로부터 미리 분배된 제1 대칭 키(symmetric key) 및 제2 대칭 키를 가지고, 상기 링크 키는 상기 제2 대칭 키를 기초로 생성되며,
상기 주소등록요청 메시지는, 상기 제2 통신 노드의 식별자 및 상기 제2 통신 노드의 주소등록요청이 몇 번째인지를 지시하는 카운터를 포함하는, 게이트웨이의 동작 방법.A method of operating the gateway in a wireless personal area network (WPAN) -based communication system including a gateway and a plurality of communication nodes,
A second communication node is connected with the gateway via a first communication node,
Receiving an address registration request message of the second communication node including a first authenticator;
Determining the validity of the address registration request message;
Determining whether address duplication;
Determining a link key between the first communication node and the second communication node; And
Transmitting a response message including a second authenticator generated based on an address registration result and the link key to the second communication node through the first communication node,
The first communication node and the second communication node each have a first symmetric key and a second symmetric key previously distributed from the gateway, the link key being generated based on the second symmetric key,
And the address registration request message includes a counter indicating a number of an identifier of the second communication node and an address registration request of the second communication node.
상기 주소등록요청 메시지 및 상기 응답 메시지는 상기 제1 대칭 키를 이용하여 IEEE(institute of electrical and electronics engineers) 802.15.4 홉 바이 홉(hop-by-hop) 보안을 통해 보호되는 메시지인, 게이트웨이의 동작 방법.The method according to claim 14,
The address registration request message and the response message are messages of a gateway protected by an Institute of Electrical and Electronic Engineers (IEEE) 802.15.4 hop-by-hop security using the first symmetric key. How it works.
상기 주소등록요청 메시지는, 상기 제2 통신 노드의 주소 유효기간을 지시하는 라이프타임(lifetime) 및 게이트웨이 인증정보를 더 포함하는, 게이트웨이의 동작 방법.The method according to claim 14,
The address registration request message further includes a lifetime and gateway authentication information indicating an address validity period of the second communication node.
상기 제1 인증자는, 상기 제2 통신 노드의 식별자, 등록하려는 주소, 상기 카운터, 상기 라이프타임, 상기 게이트웨이 인증정보 및 상기 제2 대칭 키를 기초로 한 해시(hash) 값인, 게이트웨이의 동작 방법.The method according to claim 16,
And the first authenticator is a hash value based on an identifier of the second communication node, an address to be registered, the counter, the lifetime, the gateway authentication information, and the second symmetric key.
상기 주소등록요청 메시지의 유효성을 판단하는 단계는,
미리 결정된 테이블을 기초로 수행되고,
상기 테이블은, 네트워크 등록이 허가된 통신 노드의 식별자 별로 대칭 키 및 주소가 매핑되어 있고,
상기 테이블 상의 상기 제1 통신 노드의 식별자에 해당하는 대칭 키와 상기 테이블 상의 상기 제1 통신 노드의 식별자, 상기 주소등록요청 메시지에 포함된 상기 등록하려는 주소, 상기 주소등록요청 메시지에 포함된 상기 라이프타임, 상기 주소등록요청 메시지에 포함된 상기 카운터 및 상기 게이트웨이에 저장된 게이트웨이 인증정보를 기초로 해시 값을 계산하는 단계; 및
상기 계산된 해시 값이 상기 주소등록요청 메시지에 포함된 상기 제1 인증자와 동일한지 확인하는 단계를 포함하고,
상기 주소중복 여부를 결정하는 단계는,
상기 테이블 상의 상기 제1 통신 노드의 식별자에 해당하는 주소가 상기 주소등록요청 메시지에 포함된 상기 주소와 동일하거나, 상기 테이블에 상기 제1 통신 노드의 식별자에 해당하는 주소가 존재하지 않으면 상기 주소등록을 승인하는 단계를 포함하는, 게이트웨이의 동작 방법.The method according to claim 17,
Determining the validity of the address registration request message,
Is performed based on a predetermined table,
In the table, symmetric keys and addresses are mapped to identifiers of communication nodes permitted to register a network.
A symmetric key corresponding to the identifier of the first communication node on the table, an identifier of the first communication node on the table, the address to be registered included in the address registration request message, the life included in the address registration request message Calculating a hash value based on a time, the counter included in the address registration request message, and gateway authentication information stored in the gateway; And
Confirming whether the calculated hash value is the same as the first authenticator included in the address registration request message;
The determining of the address duplication,
The address registration if the address corresponding to the identifier of the first communication node in the table is the same as the address included in the address registration request message or the address corresponding to the identifier of the first communication node does not exist in the table. Approving a step, the operation method of the gateway.
상기 응답 메시지는, 상기 링크 키가 상기 제1 대칭 키를 이용하여 암호화된 값을 더 포함하고,
상기 응답 메시지에 포함된 상기 제2 인증자는, 상기 제1 인증자, 상기 주소등록결과 및 상기 링크 키를 기초로 한 해시 값인, 게이트웨이의 동작 방법.The method according to claim 14,
The response message further includes a value in which the link key is encrypted using the first symmetric key,
And the second authenticator included in the response message is a hash value based on the first authenticator, the address registration result, and the link key.
상기 링크 키는 상기 제2 대칭 키, 상기 카운터 및 상기 게이트웨이 인증정보에 기초하여 생성되고,
상기 제2 대칭 키 및 상기 게이트웨이 인증정보는 상기 게이트웨이에 저장된 값이고, 상기 카운터는 상기 주소등록요청 메시지에 포함된 값인, 게이트웨이의 동작 방법.The method according to claim 16,
The link key is generated based on the second symmetric key, the counter and the gateway authentication information,
The second symmetric key and the gateway authentication information are values stored in the gateway, and the counter is a value included in the address registration request message.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020180087110A KR102057577B1 (en) | 2018-07-26 | 2018-07-26 | Method and apparatus for network address registration through key management |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020180087110A KR102057577B1 (en) | 2018-07-26 | 2018-07-26 | Method and apparatus for network address registration through key management |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR102057577B1 true KR102057577B1 (en) | 2020-01-22 |
Family
ID=69368414
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020180087110A KR102057577B1 (en) | 2018-07-26 | 2018-07-26 | Method and apparatus for network address registration through key management |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR102057577B1 (en) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20120097498A (en) * | 2009-10-14 | 2012-09-04 | 코닌클리케 필립스 일렉트로닉스 엔.브이. | A method for operating a node in a wireless sensor network |
| KR20150112361A (en) * | 2014-03-27 | 2015-10-07 | 한국전자통신연구원 | Method for setting sensor node and setting security in sensor network, and sensor network system including the same |
-
2018
- 2018-07-26 KR KR1020180087110A patent/KR102057577B1/en active IP Right Grant
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20120097498A (en) * | 2009-10-14 | 2012-09-04 | 코닌클리케 필립스 일렉트로닉스 엔.브이. | A method for operating a node in a wireless sensor network |
| KR20150112361A (en) * | 2014-03-27 | 2015-10-07 | 한국전자통신연구원 | Method for setting sensor node and setting security in sensor network, and sensor network system including the same |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Kim et al. | A dual key-based activation scheme for secure LoRaWAN | |
| Dutertre et al. | Lightweight key management in wireless sensor networks by leveraging initial trust | |
| US7694335B1 (en) | Server preventing attacks by generating a challenge having a computational request and a secure cookie for processing by a client | |
| US6993651B2 (en) | Security protocol | |
| US8098823B2 (en) | Multi-key cryptographically generated address | |
| US20050198506A1 (en) | Dynamic key generation and exchange for mobile devices | |
| KR101985179B1 (en) | Blockchain based id as a service | |
| WO2020082160A1 (en) | Methods and systems for secure data communication | |
| GB2357229A (en) | Security protocol with messages formatted according to a self describing markup language | |
| JP2023500259A (en) | Communication protocol using blockchain transactions | |
| Lavanya et al. | Lightweight key agreement protocol for IoT based on IKEv2 | |
| WO2011142353A1 (en) | Communication device and communication method | |
| JP2016514913A (en) | Method and apparatus for establishing a session key | |
| KR20210066640A (en) | System and method for processing secret sharing authentication | |
| KR20160021031A (en) | System and method for performing key resolution over a content centric network | |
| Rathore et al. | Simple, secure, efficient, lightweight and token based protocol for mutual authentication in wireless sensor networks | |
| KR20210061801A (en) | Method and system for mqtt-sn security management for security of mqtt-sn protocol | |
| Büttner et al. | Real-world evaluation of an anonymous authenticated key agreement protocol for vehicular ad-hoc networks | |
| Lai et al. | SPGS: a secure and privacy‐preserving group setup framework for platoon‐based vehicular cyber‐physical systems | |
| CN110832806A (en) | ID-based data plane security for identity-oriented networks | |
| JP2019161580A (en) | Data transmission device, data transmission/reception system, data reception device, data transmission method, and program | |
| JP2023500258A (en) | Request and response protocol using blockchain transactions | |
| KR102057577B1 (en) | Method and apparatus for network address registration through key management | |
| JP2007019755A (en) | Distributed authentication access control system | |
| KR102467558B1 (en) | Data communication method and apparatus based on data encryption applying did |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant |