KR102206553B1 - Communication terminal, communication system, and managing method for secure data of the same - Google Patents

Communication terminal, communication system, and managing method for secure data of the same Download PDF

Info

Publication number
KR102206553B1
KR102206553B1 KR1020190069237A KR20190069237A KR102206553B1 KR 102206553 B1 KR102206553 B1 KR 102206553B1 KR 1020190069237 A KR1020190069237 A KR 1020190069237A KR 20190069237 A KR20190069237 A KR 20190069237A KR 102206553 B1 KR102206553 B1 KR 102206553B1
Authority
KR
South Korea
Prior art keywords
communication terminal
key block
data
key
collected data
Prior art date
Application number
KR1020190069237A
Other languages
Korean (ko)
Other versions
KR20200142243A (en
Inventor
고정길
부은성
Original Assignee
아주대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 아주대학교산학협력단 filed Critical 아주대학교산학협력단
Priority to KR1020190069237A priority Critical patent/KR102206553B1/en
Publication of KR20200142243A publication Critical patent/KR20200142243A/en
Application granted granted Critical
Publication of KR102206553B1 publication Critical patent/KR102206553B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/24Key scheduling, i.e. generating round keys or sub-keys for block encryption
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명의 실시 예에 따른 통신 단말의 보안 데이터 관리 방법은 통신 단말이, 수집 데이터를 암호화 통신 프로토콜에 따라 암호화하는 단계, 상기 통신 단말이, 상기 암호화 통신 프로토콜에 따라 암호화된 수집 데이터를 메모리에 저장하는 단계 및 상기 통신 단말이, 수신된 데이터 요청에 따라, 저장된 상기 수집 데이터를 상기 암호화 통신 프로토콜에 따라 암호화된 상태로 상기 통신 단말의 외부로 전송하는 단계를 포함한다.In the method of managing security data of a communication terminal according to an embodiment of the present invention, the communication terminal encrypts collected data according to an encryption communication protocol, and the communication terminal stores the collected data encrypted according to the encryption communication protocol in a memory. And transmitting, by the communication terminal, the stored collected data to the outside of the communication terminal in an encrypted state according to the encryption communication protocol according to the received data request.

Description

통신 단말, 통신 시스템, 및 이의 보안 데이터 관리 방법{COMMUNICATION TERMINAL, COMMUNICATION SYSTEM, AND MANAGING METHOD FOR SECURE DATA OF THE SAME}Communication terminal, communication system, and security data management method thereof {COMMUNICATION TERMINAL, COMMUNICATION SYSTEM, AND MANAGING METHOD FOR SECURE DATA OF THE SAME}

본 발명은 통신 단말, 통신 시스템, 및 이의 보안 데이터 관리 방법에 관한 것으로, 보다 상세하게는 암호화 통신 프로토콜에 따라 수집 데이터를 암호화하여 저장하고, 저장된 수집 데이터를 상기 암호화 통신 프로토콜에 따라 암호화된 상태로 외부로 전송할 수 있는 통신 단말, 통신 시스템, 및 이의 보안 데이터 관리 방법에 관한 것이다.The present invention relates to a communication terminal, a communication system, and a security data management method thereof, and more particularly, to encrypt and store collected data according to an encryption communication protocol, and store the stored collected data in an encrypted state according to the encryption communication protocol. It relates to a communication terminal that can be transmitted to the outside, a communication system, and a security data management method thereof.

사물 인터넷 환경에서는 대부분의 기기들이 제한된 메모리 용량과 제한된 배터리를 가지고 있다. In the IoT environment, most devices have limited memory capacity and limited battery.

사물 인터넷 환경은 이러한 제약 조건을 가지고 있기 때문에, 기존의 범용 컴퓨터에서 사용되는 보안 프로토콜을 그대로 적용할 수 없으며, 사물 인터넷 환경에 맞는 경량화 보안 프로토콜에 대한 요구가 대두되고 있다.Since the IoT environment has such constraints, the security protocol used in the existing general-purpose computer cannot be applied as it is, and a demand for a lightweight security protocol suitable for the IoT environment is emerging.

본 발명이 이루고자 하는 기술적 사상에 따른 통신 단말, 통신 시스템, 및 이의 보안 데이터 관리 방법이 이루고자 하는 기술적 과제는 암호화 통신 프로토콜에 따라 수집 데이터를 암호화하여 저장하고, 저장된 수집 데이터를 상기 암호화 통신 프로토콜에 따라 암호화된 상태로 외부로 전송할 수 있는 통신 단말, 통신 시스템, 및 이의 보안 데이터 관리 방법을 제공하는 것이다.The technical problem to be achieved by a communication terminal, a communication system, and a security data management method thereof according to the technical idea of the present invention is to encrypt and store collected data according to an encryption communication protocol, and store the stored collected data according to the encryption communication protocol. It is to provide a communication terminal that can be transmitted to the outside in an encrypted state, a communication system, and a security data management method thereof.

본 발명의 실시 예에 따른 통신 단말의 보안 데이터 관리 방법은 통신 단말이, 수집 데이터를 암호화 통신 프로토콜에 따라 암호화하는 단계, 상기 통신 단말이, 상기 암호화 통신 프로토콜에 따라 암호화된 수집 데이터를 메모리에 저장하는 단계 및 상기 통신 단말이, 수신된 데이터 요청에 따라, 저장된 상기 수집 데이터를 상기 암호화 통신 프로토콜에 따라 암호화된 상태로 상기 통신 단말의 외부로 전송하는 단계를 포함할 수 있다.In the method of managing security data of a communication terminal according to an embodiment of the present invention, the communication terminal encrypts collected data according to an encryption communication protocol, and the communication terminal stores the collected data encrypted according to the encryption communication protocol in a memory. And transmitting, by the communication terminal, the stored collected data to the outside of the communication terminal in an encrypted state according to the encryption communication protocol according to the received data request.

예시적인 실시 예에 따르면, 상기 암호화 통신 프로토콜은, TLS(Transport Layer Security) 프로토콜 또는 DTLS(Datagram TLS) 프로토콜을 따를 수 있다.According to an exemplary embodiment, the encryption communication protocol may follow a Transport Layer Security (TLS) protocol or a Datagram TLS (DTLS) protocol.

예시적인 실시 예에 따르면, 상기 통신 단말의 보안 데이터 관리 방법은, 상기 통신 단말이, 상기 통신 단말 내의 가상의 피어(peer)를 생성하는 단계 및 상기 통신 단말이, 상기 통신 단말 내에 생성된 가상의 피어와의 핸드셰이킹(handshaking)을 통하여 제1키 블록(key block)을 생성하는 단계를 포함할 수 있다.According to an exemplary embodiment, the method for managing security data of the communication terminal includes the steps of, by the communication terminal, creating a virtual peer in the communication terminal, and the communication terminal, It may include generating a first key block through handshaking with a peer.

예시적인 실시 예에 따르면, 상기 제1키 블록을 생성하는 단계는, 상기 통신 단말이, 상기 핸드셰이킹 과정에서 상기 통신 단말과 상기 가상의 피어와 공유되는 사전 공유 암호키에 기초하여 랜덤 값을 이용하지 않고 상기 제1키 블록을 생성할 수 있다.According to an exemplary embodiment, in the generating of the first key block, the communication terminal calculates a random value based on a pre-shared encryption key shared with the communication terminal and the virtual peer during the handshaking process. The first key block can be generated without using it.

예시적인 실시 예에 따르면, 상기 제1키 블록은, 제1서버 암호화(encryption) 키, 제1서버 맥(Message Authentication Code(MAC)) 키, 제1클라이언트 암호화 키, 및 제1클라이언트 맥 키를 포함할 수 있다.According to an exemplary embodiment, the first key block includes a first server encryption key, a first server MAC (Message Authentication Code (MAC)) key, a first client encryption key, and a first client MAC key. Can include.

예시적인 실시 예에 따르면, 상기 수집 데이터를 암호화 통신 프로토콜에 따라 암호화하는 단계는, 상기 통신 단말이, 상기 수집 데이터와 상기 제1키 블록에 포함된 상기 제1서버 맥 키를 이용하여, 맥 값을 계산하는 단계 및 상기 통신 단말이, 계산된 상기 맥 값을 상기 제1키 블록에 포함된 상기 제1서버 암호화 키를 이용하여 암호화하는 단계를 포함할 수 있다.According to an exemplary embodiment, the step of encrypting the collected data according to an encryption communication protocol may include, by the communication terminal, the MAC value using the collected data and the first server MAC key included in the first key block. And encrypting, by the communication terminal, the calculated MAC value using the first server encryption key included in the first key block.

예시적인 실시 예에 따르면, 상기 암호화 통신 프로토콜에 따라 암호화된 수집 데이터를 메모리에 저장하는 단계는, 상기 맥 값을 암호화하여 생성된 암호문(ciphertext)만을 상기 메모리에 저장할 수 있다.According to an exemplary embodiment, in the storing of the collected data encrypted according to the encryption communication protocol in a memory, only a ciphertext generated by encrypting the MAC value may be stored in the memory.

예시적인 실시 예에 따르면, 상기 암호화 통신 프로토콜에 따라 암호화된 수집 데이터를 메모리에 저장하는 단계는, 상기 수집 데이터 중에서 첫번째 수집 데이터에 대해서만 헤더(header) 데이터를 상기 암호문과 함께 상기 메모리에 저장할 수 있다.According to an exemplary embodiment, the storing of the collected data encrypted according to the encryption communication protocol in the memory may include storing header data in the memory together with the cipher text only for the first collected data among the collected data. .

예시적인 실시 예에 따르면, 상기 저장된 상기 수집 데이터를 상기 암호화 통신 프로토콜에 따라 암호화된 상태로 상기 통신 단말의 외부로 전송하는 단계는, 타 통신 단말의 핸드셰이킹 요청에 따라, 상기 통신 단말이 상기 타 통신 단말과 핸드셰이킹을 수행하는 단계, 상기 통신 단말이 상기 타 통신 단말로부터 상기 수집 데이터에 대한 상기 데이터 요청을 수신하는 단계, 상기 통신 단말이, 수신된 데이터 요청에 따라, 저장된 상기 수집 데이터를 상기 암호화 통신 프로토콜에 따라 암호화된 상태로 처리하는 단계 및 상기 통신 단말이, 처리된 상기 수집 데이터를 상기 암호화 통신 프로토콜에 따라 암호화된 상태로 상기 타 통신 단말로 전송하는 단계를 포함할 수 있다.According to an exemplary embodiment, the transmitting of the stored collected data to the outside of the communication terminal in an encrypted state according to the encryption communication protocol, in response to a handshaking request from another communication terminal, the communication terminal Performing handshaking with another communication terminal, the communication terminal receiving the data request for the collected data from the other communication terminal, the communication terminal, the stored data according to the received data request Processing the data in an encrypted state according to the encrypted communication protocol, and transmitting, by the communication terminal, the processed collected data to the other communication terminal in an encrypted state according to the encrypted communication protocol.

예시적인 실시 예에 따르면, 상기 통신 단말이 상기 타 통신 단말과 핸드셰이킹을 수행하는 단계는, 핸드셰이킹 과정을 통하여 제2키 블록을 생성하는 단계를 포함할 수 있다.According to an exemplary embodiment, the step of performing handshaking by the communication terminal with the other communication terminal may include generating a second key block through a handshaking process.

예시적인 실시 예에 따르면, 상기 제2키 블록은, 랜덤 값을 이용하여 생성된 제1중간 키 블록의 일부와 랜덤 값을 이용하지 않고 생성된 제2중간 키 블록의 일부를 조합하여 생성될 수 있다.According to an exemplary embodiment, the second key block may be generated by combining a part of a first intermediate key block generated using a random value and a part of a second intermediate key block generated without using a random value. have.

예시적인 실시 예에 따르면, 상기 제1중간 키 블록의 일부는, 제2클라이언트 맥 키와 제2클라이언트 암호화 키를 포함하고, 상기 제2중간 키 블록의 일부는, 제2서버 맥 키와 제2서버 암호화 키를 포함할 수 있다.According to an exemplary embodiment, a part of the first intermediate key block includes a second client MAC key and a second client encryption key, and a part of the second intermediate key block includes a second server MAC key and a second May contain server encryption keys.

예시적인 실시 예에 따르면, 상기 암호화된 상태로 상기 타 통신 단말로 전송된 수집 데이터는, 상기 제2서버 맥 키와 상기 제2서버 암호화 키를 이용하여, 상기 타 통신 단말에서 복호화될 수 있다.According to an exemplary embodiment, the collected data transmitted to the other communication terminal in the encrypted state may be decrypted in the other communication terminal using the second server MAC key and the second server encryption key.

본 발명의 실시 예에 따른 통신 단말은 수집 데이터를 암호화 통신 프로토콜에 따라 암호화하는 암복호화기, 상기 암호화 통신 프로토콜에 따라 암호화된 수집 데이터를 저장하는 메모리 및 수신된 데이터 요청에 따라, 저장된 상기 수집 데이터를 상기 암호화 통신 프로토콜에 따라 암호화된 상태로 상기 통신 단말의 외부로 전송하는 송수신기를 포함할 수 있다.The communication terminal according to an embodiment of the present invention includes an encryption/decryptor for encrypting collected data according to an encryption communication protocol, a memory storing collected data encrypted according to the encryption communication protocol, and the collected data stored according to a received data request. It may include a transceiver for transmitting to the outside of the communication terminal in an encrypted state according to the encryption communication protocol.

본 발명의 실시 예에 따른 통신 시스템은 수집 데이터를 암호화 통신 프로토콜에 따라 암호화하여 저장하는 제1통신 단말 및 상기 제1통신 단말로 상기 수집 데이터에 대하여 데이터를 요청하고, 상기 요청에 따라 상기 암호화 통신 프로토콜에 따라 암호화된 상태로 전송된 상기 수집 데이터를 수신하여, 수신된 수집 데이터를 복호화하는 제2통신 단말을 포함할 수 있다.A communication system according to an embodiment of the present invention requests data for the collected data to a first communication terminal and the first communication terminal that encrypts and stores collected data according to an encryption communication protocol, and the encrypted communication according to the request. It may include a second communication terminal that receives the collected data transmitted in an encrypted state according to a protocol and decrypts the received collected data.

본 발명의 실시 예에 따른 방법과 장치는 암호화 통신 프로토콜에 따라 수집 데이터를 암호화하여 저장하고, 저장된 수집 데이터를 상기 암호화 통신 프로토콜에 따라 암호화된 상태로 외부로 전송함에 따라 불필요한 복호화 암호화 과정을 생략할 수 있으며, 이에 따라 지연 속도와 에너지 소모량을 줄이면서도 보안성을 유지할 수 있는 효과가 있다.The method and apparatus according to an embodiment of the present invention encrypts and stores collected data according to an encryption communication protocol, and transmits the stored collected data to the outside in an encrypted state according to the encryption communication protocol, thereby eliminating unnecessary decryption and encryption processes. Accordingly, there is an effect of maintaining security while reducing delay speed and energy consumption.

본 발명의 상세한 설명에서 인용되는 도면을 보다 충분히 이해하기 위하여 각 도면의 간단한 설명이 제공된다.
도 1은 본 발명의 일 실시 예에 따른 통신 시스템의 블록도이다.
도 2는 도 1에 도시된 제1통신 단말의 일 실시 예에 따른 블록도이다.
도 3은 본 발명의 일 실시 예에 따른 통신 단말의 보안 데이터 관리 방법의 플로우차트이다.
도 4는 도 3의 보안 데이터 관리 방법에 따라 수집 데이터를 암호화하는 과정을 나타낸 도면이다.
도 5는 도 3의 보안 데이터 관리 방법에 따라 키 블록을 생성하는 과정을 나타낸 도면이다.
도 6은 비교대상 보안 데이터 관리 방법과 본 발명의 실시 예에 따른 보안 데이터 관리 방법의 소비 에너지를 비교한 그래프이다.
도 7은 비교대상 보안 데이터 관리 방법과 본 발명의 실시 예에 따른 보안 데이터 관리 방법의 지연 속도(latency)를 비교한 그래프이다.Brief description of each drawing is provided in order to more fully understand the drawings cited in the detailed description of the present invention.
1 is a block diagram of a communication system according to an embodiment of the present invention.
FIG. 2 is a block diagram of the first communication terminal shown in FIG. 1 according to an embodiment.
3 is a flowchart of a security data management method of a communication terminal according to an embodiment of the present invention.
4 is a diagram illustrating a process of encrypting collected data according to the security data management method of FIG. 3.
5 is a diagram illustrating a process of generating a key block according to the security data management method of FIG. 3.
6 is a graph comparing energy consumption of a security data management method to be compared with a security data management method according to an embodiment of the present invention.
7 is a graph comparing a comparison target security data management method and a latency of a security data management method according to an embodiment of the present invention.

본 발명의 기술적 사상에 따른 예시적인 실시예들은 당해 기술 분야에서 통상의 지식을 가진 자에게 본 발명의 기술적 사상을 더욱 완전하게 설명하기 위하여 제공되는 것으로, 아래의 실시예들은 여러 가지 다른 형태로 변형될 수 있으며, 본 발명의 기술적 사상의 범위가 아래의 실시예들로 한정되는 것은 아니다. 오히려, 이들 실시예들은 본 개시를 더욱 충실하고 완전하게 하며 당업자에게 본 발명의 기술적 사상을 완전하게 전달하기 위하여 제공되는 것이다.Exemplary embodiments according to the technical idea of the present invention are provided to more completely explain the technical idea of the present invention to those of ordinary skill in the art, and the following embodiments are modified in various other forms. It may be, and the scope of the technical idea of the present invention is not limited to the following embodiments. Rather, these embodiments are provided to make the present disclosure more faithful and complete, and to completely convey the technical idea of the present invention to those skilled in the art.

본 명세서에서 제1, 제2 등의 용어가 다양한 부재, 영역, 층들, 부위 및/또는 구성 요소들을 설명하기 위하여 사용되지만, 이들 부재, 부품, 영역, 층들, 부위 및/또는 구성 요소들은 이들 용어에 의해 한정되어서는 안 됨은 자명하다. 이들 용어는 특정 순서나 상하, 또는 우열을 의미하지 않으며, 하나의 부재, 영역, 부위, 또는 구성 요소를 다른 부재, 영역, 부위 또는 구성 요소와 구별하기 위하여만 사용된다. 따라서, 이하 상술할 제1 부재, 영역, 부위 또는 구성 요소는 본 발명의 기술적 사상의 가르침으로부터 벗어나지 않고서도 제2 부재, 영역, 부위 또는 구성 요소를 지칭할 수 있다. 예를 들면, 본 발명의 권리 범위로부터 이탈되지 않은 채 제1 구성 요소는 제2 구성 요소로 명명될 수 있고, 유사하게 제2 구성 요소도 제1 구성 요소로 명명될 수 있다.In the present specification, terms such as first and second are used to describe various members, regions, layers, regions and/or components, but these members, components, regions, layers, regions and/or components refer to these terms. It is obvious that it should not be limited by. These terms do not imply a specific order, top or bottom, or superiority, and are used only to distinguish one member, region, region, or component from another member, region, region, or component. Accordingly, the first member, region, region, or component to be described below may refer to the second member, region, region, or component without departing from the teachings of the inventive concept. For example, without departing from the scope of the present invention, a first component may be referred to as a second component, and similarly, a second component may be referred to as a first component.

달리 정의되지 않는 한, 여기에 사용되는 모든 용어들은 기술 용어와 과학 용어를 포함하여 본 발명의 개념이 속하는 기술 분야에서 통상의 지식을 가진 자가 공통적으로 이해하고 있는 바와 동일한 의미를 지닌다. 또한, 통상적으로 사용되는, 사전에 정의된 바와 같은 용어들은 관련되는 기술의 맥락에서 이들이 의미하는 바와 일관되는 의미를 갖는 것으로 해석되어야 하며, 여기에 명시적으로 정의하지 않는 한 과도하게 형식적인 의미로 해석되어서는 아니 될 것이다.Unless otherwise defined, all terms used herein, including technical terms and scientific terms, have the same meaning as commonly understood by one of ordinary skill in the art to which the concept of the present invention belongs. In addition, commonly used terms as defined in the dictionary should be construed as having a meaning consistent with what they mean in the context of the technology to which they are related, and in an excessively formal sense unless explicitly defined herein. It should not be interpreted.

여기에서 사용된 '및/또는' 용어는 언급된 부재들의 각각 및 하나 이상의 모든 조합을 포함한다.The term'and/or' as used herein includes each and every combination of one or more of the recited elements.

이하에서는 첨부한 도면들을 참조하여 본 발명의 기술적 사상에 의한 실시예들에 대해 상세히 설명한다.Hereinafter, exemplary embodiments according to the inventive concept will be described in detail with reference to the accompanying drawings.

도 1은 본 발명의 일 실시 예에 따른 통신 시스템의 블록도이다.1 is a block diagram of a communication system according to an embodiment of the present invention.

도 1을 참조하면, 본 발명의 실시 예에 따른 통신 시스템(10)은 제1통신 단말(100-1), 제2통신 단말(100-2), 및 제3통신 단말(100-3)을 포함할 수 있다.1, the communication system 10 according to the embodiment of the present invention includes a first communication terminal 100-1, a second communication terminal 100-2, and a third communication terminal 100-3. Can include.

실시 예에 따라, 통신 시스템(10)은 사물인터넷 통신 환경에서 동작하는 통신 단말들(100-1 ~ 100-3)을 포함할 수 있으며, 이 경우 통신 단말들(100-1 ~ 100-3)은 사물인터넷 통신의 통신 규격에 따라 통신할 수 있다.According to an embodiment, the communication system 10 may include communication terminals 100-1 to 100-3 operating in an IoT communication environment, in which case the communication terminals 100-1 to 100-3 Can communicate according to the communication standard of IoT communication.

통신 시스템(10)에 포함된 제1통신 단말(100-1), 제2통신 단말(100-2), 및 제3통신 단말(100-3)은 서로 동일한 통신 프로토콜 또는 암호화 통신 프로토콜을 이용하여 통신할 수 있다. 실시 예에 따라, 상기 암호화 통신 프로토콜은 TLS(Transport Layer Security) 프로토콜 또는 DTLS(Datagram TLS) 프로토콜일 수 있으며, 이에 한정되지 않는다.The first communication terminal 100-1, the second communication terminal 100-2, and the third communication terminal 100-3 included in the communication system 10 use the same communication protocol or encryption communication protocol. Can communicate. According to an embodiment, the encryption communication protocol may be a Transport Layer Security (TLS) protocol or a Datagram TLS (DTLS) protocol, but is not limited thereto.

제1통신 단말(100-1), 제2통신 단말(100-2), 및 제3통신 단말(100-3) 각각은 무선통신이 가능한 통신 단말이며, 그 형태는 다양한 변형이 가능하다.Each of the first communication terminal 100-1, the second communication terminal 100-2, and the third communication terminal 100-3 is a communication terminal capable of wireless communication, and various modifications are possible.

제1통신 단말(100-1)은 데이터 수집이 가능한 장치로 구현될 수 있다. 실시 예에 따라, 제1통신 단말(100-1)은 제1통신 단말(100-1)에 구비된 데이터 수집기(예컨대, 센서, 측정 장치 등)을 이용하여 수집 데이터를 획득할 수 있다. 다른 실시 예에 따라, 제1통신 단말(100-1)은 데이터 수집기(예컨대, 센서, 측정 장치 등)과 연결되어, 데이터 수집 유닛으로부터 수집된 수집 데이터를 수신할 수도 있다.The first communication terminal 100-1 may be implemented as a device capable of collecting data. According to an embodiment, the first communication terminal 100-1 may acquire collected data using a data collector (eg, a sensor, a measuring device, etc.) provided in the first communication terminal 100-1. According to another embodiment, the first communication terminal 100-1 may be connected to a data collector (eg, a sensor, a measuring device, etc.) to receive the collected data collected from the data collection unit.

제2통신 단말(100-2)과 제3통신 단말(100-3)은 제1통신 단말(100-1)에 의해 수집된 수집 데이터를 요청할 수 있다.The second communication terminal 100-2 and the third communication terminal 100-3 may request collection data collected by the first communication terminal 100-1.

도 1에서는 설명의 편의를 위하여 3개의 통신 단말들(100-1 ~ 100-3) 간에 수집 데이터를 요청, 전송하는 경우를 도시하지만, 통신 시스템(10)에는 다수의 통신 단말들(100-1 ~ 100-3)이 포함될 수 있다.1 shows a case of requesting and transmitting collected data between three communication terminals 100-1 to 100-3 for convenience of description, but the communication system 10 includes a plurality of communication terminals 100-1. ~ 100-3) may be included.

도 2는 도 1에 도시된 제1통신 단말의 일 실시 예에 따른 블록도이다.FIG. 2 is a block diagram of the first communication terminal shown in FIG. 1 according to an embodiment.

도 1과 도 2를 참조하면, 제1통신 단말(100)은 데이터 수집기(110), 암복호화기(120), 데이터 처리기(130), 메모리(140), 및 송수신기(150)를 포함할 수 있다.1 and 2, the first communication terminal 100 may include a data collector 110, an encryption/decryptor 120, a data processor 130, a memory 140, and a transceiver 150. have.

데이터 수집기(110)는 직접 수집 데이터를 수집하거나, 데이터를 수집할 수 있는 타 장치와 연결되어 수집 데이터를 수신할 수 있다.The data collector 110 may directly collect collected data or may be connected to another device capable of collecting data to receive the collected data.

실시 예에 따라, 데이터 수집기(110)는 센서 또는 측정 장치 등 다양한 형태로 구현될 수 있으며, 센싱 데이터를 수집하거나 측정 데이터를 수집할 수 있다.Depending on the embodiment, the data collector 110 may be implemented in various forms, such as a sensor or a measurement device, and may collect sensing data or collect measurement data.

암복호화기(120)는 데이터 수집기(110)에 의해 수집된 수집 데이터를 암호화하거나, 송수신기(150)를 통하여 수신된 데이터를 복호화할 수 있다.The encryption/decryptor 120 may encrypt the collected data collected by the data collector 110 or may decrypt the data received through the transceiver 150.

실시 예에 따라, 암복호화기(120)는 제1통신 단말(100)의 통신에 사용되는 암호화 통신 프로토콜과 동일한 프로토콜을 이용하여 수집 데이터를 암호화하거나, 송수신기(150)를 통하여 수신된 데이터를 복호화할 수 있다.Depending on the embodiment, the encryption/decryptor 120 encrypts the collected data using the same protocol as the encryption communication protocol used for communication of the first communication terminal 100, or decrypts the data received through the transceiver 150 can do.

데이터 처리기(130)는 암복호화기(120)에 의해 암호화된 수집 데이터를 암호화된 상태로 처리할 수 있다.The data processor 130 may process the collected data encrypted by the encryption/decryptor 120 in an encrypted state.

실시 예에 따라, 데이터 처리기(130)는 암복호화기(120)에 의해 암호화된 수집 데이터에서 암호문(ciphertext) 부분만을 추출할 수 있다.According to an embodiment, the data processor 130 may extract only a ciphertext portion from the collected data encrypted by the encryption/decryptor 120.

실시 예에 따라, 데이터 처리기(130)는 암호문 부분만이 추출되어 메모리(140)에 저장된 것을 리드(read)하여, 리드된 암호문에 헤더(header)를 추가하여 복구하는 처리를 수행할 수 있다. 이 경우, 저장된 데이터의 위치(또는 오프셋), 헤더 크기, 및 데이터(페이로드 또는 암호문)의 크기 중 적어도 어느 하나를 이용하여 시퀀스 번호(sequence number)가 계산될 수 있다. 예컨대, 시퀀스 번호는 "시퀀스 번호=(저장된 데이터의 위치-헤더 크기)/데이터의 크기"의 수식에 따라 계산될 수 있다.According to an embodiment, the data processor 130 may perform a process of recovering by adding a header to the read encrypted text by reading only a portion of the encrypted text and reading what is stored in the memory 140. In this case, a sequence number may be calculated using at least one of a location (or offset) of stored data, a header size, and a size of data (payload or ciphertext). For example, the sequence number may be calculated according to an equation of "sequence number = (location of stored data-header size)/size of data".

메모리(140)는 암복호화기(120)에 의해 암호화된 수집 데이터를 저장할 수 있다.The memory 140 may store collected data encrypted by the encryption/decryptor 120.

실시 예에 따라, 메모리(140)는 암호화된 수집 데이터 자체를 저장할 수도 있고, 암호화된 수집 데이터에서 암호문 부분만을 추출한 상태로 저장할 수도 있다. According to an embodiment, the memory 140 may store the encrypted collection data itself, or store only the encrypted text portion extracted from the encrypted collection data.

송수신기(150)는 수집 데이터를 타 통신 단말과 송수신할 수 있다. The transceiver 150 may transmit and receive collected data to and from other communication terminals.

실시 예에 따라, 송수신기(150)는 암호화 통신 프로토콜에 따라 암호화되어 메모리(140)에 저장되었다가, 데이터 요청에 따라 리드된 수집 데이터를 상기 암호화 통신 프로토콜에 따라 암호화된 상태로 제1통신 단말(100)의 외부로 전송할 수 있다.According to an embodiment, the transceiver 150 is encrypted according to an encryption communication protocol and stored in the memory 140, and then reads the collected data according to the data request in a state encrypted according to the encryption communication protocol. 100) can be transmitted outside.

다른 실시 예에 따라, 송수신기(150)는 암호화 통신 프로토콜에 따라 암호화되어 메모리(140)에 저장되었다가, 데이터 요청에 따라 리드된 수집 데이터를 데이터 처리기(130)에 의해 처리한 뒤에, 상기 암호화 통신 프로토콜에 따라 암호화된 상태로 제1통신 단말(100)의 외부로 전송할 수 있다.According to another embodiment, the transceiver 150 is encrypted according to an encryption communication protocol and stored in the memory 140, and then processed by the data processor 130 to the collected data read according to the data request, and the encrypted communication It can be transmitted to the outside of the first communication terminal 100 in an encrypted state according to the protocol.

도 3은 본 발명의 일 실시 예에 따른 통신 단말의 보안 데이터 관리 방법의 플로우차트이다. 도 4는 도 3의 보안 데이터 관리 방법에 따라 수집 데이터를 암호화하는 과정을 나타낸 도면이다. 도 5는 도 3의 보안 데이터 관리 방법에 따라 키 블록을 생성하는 과정을 나타낸 도면이다.3 is a flowchart of a security data management method of a communication terminal according to an embodiment of the present invention. 4 is a diagram illustrating a process of encrypting collected data according to the security data management method of FIG. 3. 5 is a diagram illustrating a process of generating a key block according to the security data management method of FIG. 3.

도 1 내지 도 3을 참조하면, 제1통신 단말(100-1)은 제1키 블록 생성을 위하여 제1통신 단말(100-1) 내에 가상의 피어(virtual peer)를 생성할 수 있다(S301).1 to 3, the first communication terminal 100-1 may create a virtual peer in the first communication terminal 100-1 to generate the first key block (S301). ).

실시 예에 따라, 가상의 피어는 제1통신 단말(100-1)에 디폴트(default)로 저장된 정보 또는 랜덤으로 생성된 정보를 이용하여 가상의 피어를 생성할 수 있다.According to an embodiment, the virtual peer may create a virtual peer using information stored as default or randomly generated information in the first communication terminal 100-1.

제1통신 단말(100-1)은 S301 단계에서 생성된 가상의 피어를 이용하여 제1키 블록을 생성할 수 있다(S302).The first communication terminal 100-1 may generate a first key block by using the virtual peer created in step S301 (S302).

실시 예에 따라, 제1통신 단말(100-1)과 가상의 피어는 상호간에 핸드셰이킹(handshaking) 과정을 수행할 수 있으며, 제1통신 단말(100-1)은 핸드셰이킹을 통하여 제1키 블록을 생성할 수 있다. 이 때, 제1통신 단말(100-1)은 제1통신 단말(100-1)에 의해 생성된 랜덤 값과 가상의 피어에 의해 생성되는 랜덤 값을 이용하지 않고, 제1통신 단말(100-1)과 가상의 피어 간에 공유되는 사전 공유 암호키(Pre-Shared Key(PSK))에 기초하여 제1키 블록을 생성할 수 있다.Depending on the embodiment, the first communication terminal 100-1 and the virtual peer may perform a handshaking process with each other, and the first communication terminal 100-1 may perform a handshaking process. One key block can be created. In this case, the first communication terminal 100-1 does not use the random value generated by the first communication terminal 100-1 and the random value generated by the virtual peer, but the first communication terminal 100- A first key block may be generated based on a pre-shared key (PSK) shared between 1) and a virtual peer.

실시 예에 따라, 제1키 블록은, 제1통신 단말(100-1)에 상응하는 제1서버 암호화(encryption) 키와 제1서버 맥(Message Authentication Code(MAC)) 키, 가상의 피어에 상응하는 제1클라이언트 암호화 키와 제1클라이언트 맥 키를 포함할 수 있다.According to an embodiment, the first key block includes a first server encryption key corresponding to the first communication terminal 100-1, a first server MAC (Message Authentication Code (MAC)) key, and a virtual peer. It may include a corresponding first client encryption key and a first client MAC key.

제1통신 단말(100-1)은 S302 단계에서 생성된 제1키 블록을 이용하여 수집 데이터를 암호화 통신 프로토콜에 따라 암호화할 수 있다(S303).The first communication terminal 100-1 may encrypt the collected data according to an encryption communication protocol using the first key block generated in step S302 (S303).

실시 예에 따라, S303 단계에서 사용되는 암호화 통신 프로토콜은 TLS(Transport Layer Security) 프로토콜 또는 DTLS(Datagram TLS) 프로토콜을 따를 수 있으며, 이에 한정되지 않는다.According to an embodiment, the encryption communication protocol used in step S303 may follow a Transport Layer Security (TLS) protocol or a Datagram TLS (DTLS) protocol, but is not limited thereto.

도 4를 함께 참조하면, 제1통신 단말(100-1)은 수집 데이터(CD1)와 제1키 블록에 포함된 제1서버 맥 키를 이용하여 맥 값(MAC)을 계산(MAC calculation)할 수 있고, 이에 따라 제1통신 단말(100-1)은 1차적으로 암호화된 수집 데이터(CD2)를 생성할 수 있다.Referring to FIG. 4 together, the first communication terminal 100-1 may calculate a MAC value (MAC) using the collected data CD1 and the first server MAC key included in the first key block. Accordingly, the first communication terminal 100-1 may generate the collected data CD2 that is primarily encrypted.

제1통신 단말(100-1)은 1차적으로 암호화된 수집 데이터(CD2)를 제1키 블록에 포함된 제1서버 암호화 키를 이용하여 암호화(Encryption)할 수 있고, 이에 따라 제1통신 단말(100-1)은 2차적으로 암호화된 수집 데이터(CD3)를 생성할 수 있다. 실시 예에 따라, 2차적으로 암호화된 수집 데이터(CD3)는 헤더(Record header)와 암호문(Ciphertext)을 포함할 수 있다.The first communication terminal 100-1 may encrypt the collected data CD2, which is firstly encrypted, using the first server encryption key included in the first key block, and accordingly, the first communication terminal (100-1) may generate the secondly encrypted collection data CD3. According to an embodiment, the secondly encrypted collection data CD3 may include a header (Record header) and a ciphertext (Ciphertext).

실시 예에 따라, S301 단계 및 S303 단계는 제1통신 단말(100-1)의 암복호화기(120)에 의해 수행될 수 있다.According to an embodiment, steps S301 and S303 may be performed by the encryption/decryptor 120 of the first communication terminal 100-1.

도 3으로 돌아와서, 제1통신 단말(100-1)은 S303 단계에서 암호화된 수집 데이터를 처리하여 메모리(140)에 저장할 수 있다(S304).Returning to FIG. 3, the first communication terminal 100-1 may process the collected data encrypted in step S303 and store it in the memory 140 (S304).

도 4를 함께 참조하면, 제1통신 단말(100-1) 의 데이터 처리기(130)는 2차적으로 암호화된 수집 데이터(CD3)에서 암호문(ciphertext) 부분만을 추출할 수 있다. 이 경우 메모리(140)는 수집 데이터에서 추출된 암호문만을 저장할 수 있다. Referring also to FIG. 4, the data processor 130 of the first communication terminal 100-1 may extract only a ciphertext portion from the secondly encrypted collection data CD3. In this case, the memory 140 may store only the cipher text extracted from the collected data.

실시 예에 따라, 메모리(140)는 수집 데이터 중에서 첫번째 수집 데이터에 대해서만 헤더(header) 데이터를 함께 저장할 수 있다.According to an embodiment, the memory 140 may also store header data for only the first collected data among the collected data.

도 3으로 돌아와서, 제1통신 단말(100-1)은 제2통신 단말(100-2)과 핸드셰이킹 과정을 통하여 제2키 블록을 생성할 수 있다(S305).Returning to FIG. 3, the first communication terminal 100-1 may generate a second key block through a handshaking process with the second communication terminal 100-2 (S305 ).

실시 예에 따라, 제1통신 단말(100-1)은 제2키 블록의 일부는 랜덤 값을 이용하여 생성하고, 제2키 블록의 나머지 일부는 랜덤 값을 이용하지 않고 생성할 수 있다.According to an embodiment, the first communication terminal 100-1 may generate a part of the second key block using a random value, and generate the remaining part of the second key block without using a random value.

도 5를 함께 참조하면, 제1통신 단말(100-1)은 제1통신 단말(100-1)과 제2통신 단말(100-2)의 핸드셰이킹 과정에서 생성된 마스터 시크릿(master secret)과 랜덤 값(예컨대, 제1통신 단말(100-1)에 의해 생성된 랜던 값 및 제2통신 단말(100-2)에 의해 생성된 랜덤 값)을 이용하여 제1중간 키 블록(MKB1)을 생성하고, 랜덤 값을 이용하지 않고 마스터 시크릿에 기초하여 제2중간 키 블록(MKB2)을 생성할 수 있다.5, the first communication terminal 100-1 is a master secret generated during the handshaking process of the first communication terminal 100-1 and the second communication terminal 100-2. And a random value (e.g., a random value generated by the first communication terminal 100-1 and a random value generated by the second communication terminal 100-2) to determine the first intermediate key block (MKB1). And generates a second intermediate key block MKB2 based on the master secret without using a random value.

실시 예에 따라, 마스터 시크릿(master secret)은 제1통신 단말(100-1)과 제2통신 단말(100-2) 간에 사전 공유된 사전 공유 키에 기초하여 생성될 수 있다.Depending on the embodiment, a master secret may be generated based on a pre-shared key shared between the first communication terminal 100-1 and the second communication terminal 100-2.

제1통신 단말(100-1)은 제1중간 키 블록(MKB1)의 일부(예컨대, 클라이언트 맥 키(Client MAC)과 클라이언트 암호화 키(Client Encryption)와 제2중간 키 블록(MKB2)의 일부(예컨대, 서버 맥 키(Server MAC))와 서버 암호화 키(Server Encryption))를 조합하여 제2키 블록(KB2)을 생성할 수 있다.The first communication terminal 100-1 is a part of the first intermediate key block MKB1 (eg, a client MAC key, a client encryption key, and a part of the second intermediate key block MKB2) ( For example, a second key block (KB2) may be generated by combining a server MAC key (Server MAC) and a server encryption key (Server Encryption)).

실시 예에 따라, 서버 맥 키(Server MAC))와 서버 암호화 키(Server Encryption)는 데이터를 요청 받은 제1통신 단말(100-1)에 상응하여 생성되고, 클라이언트 맥 키(Client MAC)와 클라이언트 암호화 키(Client Encryption)는 데이터를 요청하는 제2통신 단말(100-2)에 상응하여 생성될 수 있다.According to an embodiment, a server MAC key (Server MAC) and a server encryption key (Server Encryption) are generated corresponding to the first communication terminal 100-1 that has received the data request, and the client MAC key and the client The encryption key (Client Encryption) may be generated corresponding to the second communication terminal 100-2 requesting data.

실시 예에 따라, 제1통신 단말(100-1)의 주변에 통신 가능한 통신 단말(예컨대, 제2통신 단말(100-2) 또는 제3통신 단말(100-3))이 존재하여 가상의 피어 생성 없이 제2키 블록을 바로 생성할 수 있는 경우, S301 내지 S303 단계는 생략될 수 있다. 이 때, 제1통신 단말(100-1)은 S305 단계에서 생성된 제2키 블록을 이용하여 수집 데이터를 암호화 통신 프로토콜에 따라 암호화하고, 암호화된 데이터를 저장 및 처리할 수 있다. 이 때, 제1통신 단말(100-1)이 제2키 블록을 이용하여 수집 데이터를 암호화 통신 프로토콜에 따라 암호화하고, 암호화된 데이터를 저장 및 처리하는 과정은 S303 단계 및 S304 단계와 실질적으로 동일하게 수행될 수 있다.According to an embodiment, a communication terminal capable of communicating (eg, a second communication terminal 100-2 or a third communication terminal 100-3) exists in the vicinity of the first communication terminal 100-1, and thus a virtual peer If the second key block can be directly generated without generation, steps S301 to S303 may be omitted. In this case, the first communication terminal 100-1 may encrypt the collected data according to an encryption communication protocol using the second key block generated in step S305, and store and process the encrypted data. At this time, the first communication terminal 100-1 encrypts the collected data according to the encryption communication protocol using the second key block, and the process of storing and processing the encrypted data is substantially the same as steps S303 and S304. Can be done.

도 3으로 돌아와서, 제2통신 단말(100-2)은 제1통신 단말(100-1)로 수집 데이터를 요청할 수 있다(S306).Returning to FIG. 3, the second communication terminal 100-2 may request collection data from the first communication terminal 100-1 (S306 ).

제1통신 단말(100-1)은 제2통신 단말(100-2)로부터 전송된 수집 데이터에 대한 데이터 요청을 수신하고, 수신된 데이터 요청에 따라 요청된 수집 데이터를 암호화된 상태에서 처리할 수 있다(S307).The first communication terminal 100-1 may receive a data request for the collected data transmitted from the second communication terminal 100-2, and process the requested collected data in an encrypted state according to the received data request. Yes (S307).

실시 예에 따라, S307 단계는 제1통신 단말(100-1)의 데이터 처리기(130)에 의해서 수행될 수 있다.According to an embodiment, step S307 may be performed by the data processor 130 of the first communication terminal 100-1.

제1통신 단말(100-1)은 S307 단계에서 처리된 데이터를 암호화 통신 프로토콜에 따라 암호화된 상태로 제2통신 단말(100-2)로 전송할 수 있다(S308).The first communication terminal 100-1 may transmit the data processed in step S307 to the second communication terminal 100-2 in an encrypted state according to the encryption communication protocol (S308).

제2통신 단말(100-2)은 S305 단계에서 생성된 제2키 블록을 이용하여 암호화된 상태의 수집 데이터를 복호화할 수 있다(S309).The second communication terminal 100-2 may decrypt the collected data in an encrypted state by using the second key block generated in step S305 (S309).

실시 예에 따라, 제2통신 단말(100-2)은 제2키 블록에 포함된 서버 맥 키(Server MAC)와 서버 암호화 키(Server Encryption)를 이용하여, 암호화된 상태의 수집 데이터를 복호화할 수 있다. 이 때, 수집 데이터는 랜덤 값을 이용하지 않고 생성된 서버 맥 키(Server MAC)와 서버 암호화 키(Server Encryption)에 의해 암호화되어 있기 때문에, 제2키 블록에 포함된 서버 맥 키(Server MAC)와 서버 암호화 키(Server Encryption)을 이용하여 복호화될 수 있다.According to an embodiment, the second communication terminal 100-2 may decrypt the collected data in an encrypted state by using a server MAC key and a server encryption key included in the second key block. I can. At this time, since the collected data is encrypted by the server MAC key (Server MAC) and server encryption key (Server Encryption) generated without using a random value, the server MAC key included in the second key block And server encryption key (Server Encryption).

실시 예에 따라, 제3통신 단말(100-3)이 제1통신 단말(100-1)로 수집 데이터를 요청하는 경우에도, S305 단계와 마찬가지 방식으로 제1통신 단말(100-1)과 제3통신 단말(100-3) 간의 혠드셰이킹 과정을 통하여 제3키 블록을 생성할 수 있다. 이 때, 수집 데이터는 랜덤 값을 이용하지 않고 생성된 서버 맥 키(Server MAC)와 서버 암호화 키(Server Encryption)에 의해 암호화되어 있기 때문에, 제3키 블록에 포함된 서버 맥 키(Server MAC)와 서버 암호화 키(Server Encryption)을 이용하여 복호화될 수 있다.According to an embodiment, even when the third communication terminal 100-3 requests the collected data from the first communication terminal 100-1, the first communication terminal 100-1 and the first communication terminal 100-1 3 A third key block may be generated through a hudshaking process between the communication terminals 100-3. At this time, since the collected data is encrypted by the Server MAC key and Server Encryption key generated without using a random value, the Server MAC key included in the third key block And server encryption key (Server Encryption).

도 6은 비교대상 보안 데이터 관리 방법과 본 발명의 실시 예에 따른 보안 데이터 관리 방법의 소비 에너지를 비교한 그래프이다. 도 7은 비교대상 보안 데이터 관리 방법과 본 발명의 실시 예에 따른 보안 데이터 관리 방법의 지연 속도(latency)를 비교한 그래프이다.6 is a graph comparing energy consumption of a security data management method to be compared with a security data management method according to an embodiment of the present invention. 7 is a graph comparing a comparison target security data management method and a latency of a security data management method according to an embodiment of the present invention.

도 6과 도 7을 참조하면, 비교대상 보안 데이터 관리 방법(Original)에서는 수집 데이터의 저장과정에서 사용되는 암호화 프로토콜과 수집 데이터의 통신과정에서 사용되는 암호화 프로토콜이 서로 다른 경우를 전제로 하며, 본 발명의 실시 예에 따른 보안 데이터 관리 방법(New method)에서는 수집 데이터의 저장과정과 통신과정에서 사용되는 암호화 프로토콜이 하나의 암호화 통신 프로토콜로 통일된 경우로서 서로 비교된다.6 and 7, the comparison target security data management method (Original) assumes that the encryption protocol used in the storage process of collected data and the encryption protocol used in the communication process of the collected data are different from each other. In the security data management method (New method) according to an embodiment of the present invention, a case in which an encryption protocol used in a storage process of collected data and a communication process is unified as one encryption communication protocol is compared with each other.

도 6을 참조하면 비교대상 보안 데이터 관리 방법(Original)보다 본 발명의 실시 예에 따른 보안 데이터 관리 방법(New)에서 소비 전력이 현저히 줄어드는 것을 확인할 수 있다. 또한, 페이로드 크기가 커질수록 비교대상 보안 데이터 관리 방법(Original)과 본 발명의 실시 예에 따른 보안 데이터 관리 방법(New) 간의 소비 전력 차이가 커짐을 확인할 수 있다.Referring to FIG. 6, it can be seen that power consumption is significantly reduced in the security data management method (New) according to an embodiment of the present invention than in the comparison target security data management method (Original). In addition, it can be seen that as the payload size increases, the difference in power consumption between the comparison target security data management method (Original) and the security data management method (New) according to an embodiment of the present invention increases.

도 7을 참조하면 비교대상 보안 데이터 관리 방법(Original)보다 본 발명의 실시 예에 따른 보안 데이터 관리 방법(New)에서 지연 속도(latency)이 현저히 줄어드는 것을 확인할 수 있다. 또한, 페이로드 크기가 커질수록 비교대상 보안 데이터 관리 방법(Original)과 본 발명의 실시 예에 따른 보안 데이터 관리 방법(New) 간의 지연 속도 차이가 커짐을 확인할 수 있다.Referring to FIG. 7, it can be seen that the latency is significantly reduced in the security data management method (New) according to an embodiment of the present invention rather than the security data management method (Original) to be compared. In addition, it can be seen that as the payload size increases, the difference in the delay speed between the comparison target security data management method (Original) and the security data management method (New) according to an embodiment of the present invention increases.

이상, 본 발명을 바람직한 실시 예를 들어 상세하게 설명하였으나, 본 발명은 상기 실시 예에 한정되지 않고, 본 발명의 기술적 사상 및 범위 내에서 당 분야에서 통상의 지식을 가진 자에 의하여 여러가지 변형 및 변경이 가능하다.Above, although the present invention has been described in detail with reference to a preferred embodiment, the present invention is not limited to the above embodiment, and various modifications and changes by those of ordinary skill in the art within the spirit and scope of the present invention This is possible.

10: 통신 시스템
100-1 ~ 100-3 : 통신 단말
110 : 데이터 수집기
120 : 암복호화기
130 : 데이터 처리기
140 : 메모리
150 : 송수신기10: communication system
100-1 ~ 100-3: communication terminal
110: data collector
120: encryption/decryptor
130: data handler
140: memory
150: transceiver

Claims (15)

통신 단말이, 암호화 통신 프로토콜에 따라 상기 통신 단말 내의 가상의 피어(peer)와의 핸드셰이킹(handshaking)을 통하여, 랜덤 값을 이용하지 않고 제1키 블록(key block)을 생성하는 단계;
상기 통신 단말이, 수집 데이터를 상기 제1키 블록을 이용하여 암호화하는 단계;
상기 통신 단말이, 상기 암호화된 수집 데이터를 메모리에 저장하는 단계; 및
상기 통신 단말이, 수신된 데이터 요청에 따라, 저장된 상기 수집 데이터를 상기 제1키 블록에 따라 암호화된 상태로 상기 통신 단말의 외부로 전송하는 단계를 포함하고,
상기 전송하는 단계는,
상기 통신 단말이, 상기 암호화 통신 프로토콜에 따라 타 통신 단말과의 핸드셰이킹을 통하여 제2키 블록을 생성하는 단계를 포함하고,
상기 제2키 블록의 일부는 랜덤 값을 이용하여 생성되고, 나머지 일부는 랜덤 값을 이용하지 않고 생성되는, 통신 단말의 보안 데이터 관리 방법.
Generating, by a communication terminal, a first key block without using a random value through handshaking with a virtual peer in the communication terminal according to an encrypted communication protocol;
Encrypting, by the communication terminal, collected data using the first key block;
Storing, by the communication terminal, the encrypted collection data in a memory; And
And transmitting, by the communication terminal, the stored collected data to the outside of the communication terminal in an encrypted state according to the first key block according to the received data request,
The transmitting step,
And generating, by the communication terminal, a second key block through handshaking with another communication terminal according to the encrypted communication protocol,
A part of the second key block is generated using a random value, and the remaining part is generated without using a random value.
 제1항에 있어서,
상기 암호화 통신 프로토콜은,
TLS(Transport Layer Security) 프로토콜 또는 DTLS(Datagram TLS) 프로토콜을 따르는, 통신 단말의 보안 데이터 관리 방법.
The method of claim 1,
The encryption communication protocol,
Transport Layer Security (TLS) protocol or DTLS (Datagram TLS) protocol compliant, a secure data management method of a communication terminal.
 삭제delete 제1항에 있어서,
상기 제1키 블록을 생성하는 단계는,
상기 통신 단말이, 상기 핸드셰이킹 과정에서 상기 통신 단말과 상기 가상의 피어와 공유되는 사전 공유 암호키에 기초하여 랜덤 값을 이용하지 않고 상기 제1키 블록을 생성하는, 통신 단말의 보안 데이터 관리 방법.
The method of claim 1,
The step of generating the first key block,
Security data management of the communication terminal in which the communication terminal generates the first key block without using a random value based on a pre-shared encryption key shared with the communication terminal and the virtual peer during the handshaking process Way.
 제4항에 있어서,
상기 제1키 블록은,
제1서버 암호화(encryption) 키, 제1서버 맥(Message Authentication Code(MAC)) 키, 제1클라이언트 암호화 키, 및 제1클라이언트 맥 키를 포함하는, 통신 단말의 보안 데이터 관리 방법.
The method of claim 4,
The first key block,
A method for managing security data of a communication terminal, comprising a first server encryption key, a first server MAC (Message Authentication Code (MAC)) key, a first client encryption key, and a first client MAC key.
 제5항에 있어서,
상기 수집 데이터를 상기 제1키 블록에 따라 암호화하는 단계는,
상기 통신 단말이, 상기 수집 데이터와 상기 제1키 블록에 포함된 상기 제1서버 맥 키를 이용하여, 맥 값을 계산하는 단계; 및
상기 통신 단말이, 계산된 상기 맥 값을 상기 제1키 블록에 포함된 상기 제1서버 암호화 키를 이용하여 암호화하는 단계를 포함하는, 통신 단말의 보안 데이터 관리 방법.
The method of claim 5,
Encrypting the collected data according to the first key block,
Calculating, by the communication terminal, a MAC value using the collected data and the first server MAC key included in the first key block; And
And encrypting, by the communication terminal, the calculated MAC value using the first server encryption key included in the first key block.
 제6항에 있어서,
상기 암호화된 수집 데이터를 메모리에 저장하는 단계는,
상기 맥 값을 암호화하여 생성된 암호문(ciphertext)만을 상기 메모리에 저장하는, 통신 단말의 보안 데이터 관리 방법.
The method of claim 6,
Storing the encrypted collection data in a memory,
A method of managing security data of a communication terminal, wherein only a ciphertext generated by encrypting the MAC value is stored in the memory.
 제7항에 있어서,
상기 암호화된 수집 데이터를 메모리에 저장하는 단계는,
상기 수집 데이터 중에서 첫번째 수집 데이터에 대해서만 헤더(header) 데이터를 상기 암호문과 함께 상기 메모리에 저장하는, 통신 단말의 보안 데이터 관리 방법.
The method of claim 7,
Storing the encrypted collection data in a memory,
A method of managing security data of a communication terminal, wherein header data is stored in the memory together with the cipher text for only the first collected data among the collected data.
 제8항에 있어서,
상기 저장된 상기 수집 데이터를 상기 제1키 블록에 따라 암호화된 상태로 상기 통신 단말의 외부로 전송하는 단계는,
상기 통신 단말이 상기 타 통신 단말로부터 상기 수집 데이터에 대한 상기 데이터 요청을 수신하는 단계;
상기 통신 단말이, 수신된 데이터 요청에 따라, 저장된 상기 수집 데이터를 상기 제1키 블록에 따라 암호화된 상태로 처리하는 단계; 및
상기 통신 단말이, 처리된 상기 수집 데이터를 상기 제1키 블록에 따라 암호화된 상태로 상기 타 통신 단말로 전송하는 단계를 포함하는, 통신 단말의 보안 데이터 관리 방법.
The method of claim 8,
Transmitting the stored collected data to the outside of the communication terminal in an encrypted state according to the first key block,
Receiving, by the communication terminal, the data request for the collected data from the other communication terminal;
Processing, by the communication terminal, the stored collected data in an encrypted state according to the first key block according to the received data request; And
And transmitting, by the communication terminal, the processed collected data to the other communication terminal in an encrypted state according to the first key block.
 삭제delete 제9항에 있어서,
상기 제2키 블록은,
랜덤 값을 이용하여 생성된 제1중간 키 블록의 일부와 랜덤 값을 이용하지 않고 생성된 제2중간 키 블록의 일부를 조합하여 생성되는, 통신 단말의 보안 데이터 관리 방법.
The method of claim 9,
The second key block,
A method of managing security data of a communication terminal, which is generated by combining a part of a first intermediate key block generated using a random value and a part of a second intermediate key block generated without using a random value.
 제11항에 있어서,
상기 제1중간 키 블록의 일부는, 제2클라이언트 맥 키와 제2클라이언트 암호화 키를 포함하고,
상기 제2중간 키 블록의 일부는, 상기 제1서버 맥 키와 상기 제1서버 암호화 키를 포함하는, 통신 단말의 보안 데이터 관리 방법.
The method of claim 11,
Part of the first intermediate key block includes a second client MAC key and a second client encryption key,
A part of the second intermediate key block includes the first server MAC key and the first server encryption key.
 제12항에 있어서,
상기 암호화된 상태로 상기 타 통신 단말로 전송된 수집 데이터는,
상기 제1서버 맥 키와 상기 제1서버 암호화 키를 이용하여, 상기 타 통신 단말에서 복호화되는, 통신 단말의 보안 데이터 관리 방법.
The method of claim 12,
The collected data transmitted to the other communication terminal in the encrypted state,
Using the first server MAC key and the first server encryption key, decryption in the other communication terminal, the security data management method of the communication terminal.
 통신 단말에 있어서,
수집 데이터를 제1키 블록에 따라 암호화하는 암복호화기;
상기 제1키 블록에 따라 암호화된 수집 데이터를 저장하는 메모리; 및
타 통신 단말로부터 수신된 데이터 전송 요청에 따라, 저장된 상기 수집 데이터를 상기 제1키 블록에 따라 암호화된 상태로 상기 통신 단말의 외부로 전송하는 송수신기를 포함하고,
상기 제1키 블록은, 암호화 통신 프로토콜에 따라 상기 통신 단말과 가상의 피어와의 핸드셰이킹을 통해, 랜덤 값을 이용하지 않고 생성되고,
제2키 블록은 상기 암호화 통신 프로토콜에 따라 상기 통신 단말과 상기 타 통신 단말과의 핸드셰이킹을 통해 생성되고,
상기 제2키 블록의 일부는 랜덤 값을 이용하여 생성되고, 나머지 일부는 랜덤 값을 이용하지 않고 생성되는, 통신 단말.
In the communication terminal,
An encryption/decryptor for encrypting the collected data according to the first key block;
A memory for storing collected data encrypted according to the first key block; And
In accordance with a data transmission request received from another communication terminal, comprising a transceiver for transmitting the stored data to the outside of the communication terminal in an encrypted state according to the first key block,
The first key block is generated without using a random value through handshaking between the communication terminal and a virtual peer according to an encrypted communication protocol,
The second key block is generated through handshaking between the communication terminal and the other communication terminal according to the encryption communication protocol,
A portion of the second key block is generated using a random value, and the remaining portion is generated without using a random value.
 암호화 통신 프로토콜에 따라 가상의 피어와의 핸드셰이킹을 통해 제1키 블록을 생성하고, 수집 데이터를 상기 제1키 블록에 따라 암호화하여 저장하는 제1통신 단말; 및
상기 제1통신 단말로 상기 수집 데이터에 대하여 데이터 전송을 요청하고, 상기 요청에 따라 상기 제1키 블록에 따라 암호화된 상태로 전송된 상기 수집 데이터를 수신하여, 수신된 수집 데이터를 제2키 블록에 따라 복호화하는 제2통신 단말을 포함하고,
상기 제1키 블록은 랜덤 값을 이용하지 않고 생성되고,
상기 제2키 블록은 상기 제1통신 단말과 상기 제2통신 단말의 핸드셰이킹을 통해 생성되고,
상기 제2키 블록의 일부는 랜덤 값을 이용하여 생성되고, 나머지 일부는 랜덤 값을 이용하지 않고 생성되는, 통신 시스템.A first communication terminal for generating a first key block through handshaking with a virtual peer according to an encryption communication protocol, and encrypting and storing collected data according to the first key block; And
Requesting data transmission for the collected data to the first communication terminal, receiving the collected data encrypted according to the first key block according to the request, and storing the received collected data in a second key block Including a second communication terminal to decode according to,
The first key block is generated without using a random value,
The second key block is generated through handshaking between the first communication terminal and the second communication terminal,
A part of the second key block is generated using a random value, and the remaining part is generated without using a random value.
KR1020190069237A 2019-06-12 2019-06-12 Communication terminal, communication system, and managing method for secure data of the same KR102206553B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190069237A KR102206553B1 (en) 2019-06-12 2019-06-12 Communication terminal, communication system, and managing method for secure data of the same

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190069237A KR102206553B1 (en) 2019-06-12 2019-06-12 Communication terminal, communication system, and managing method for secure data of the same

Publications (2)

Publication Number Publication Date
KR20200142243A KR20200142243A (en) 2020-12-22
KR102206553B1 true KR102206553B1 (en) 2021-01-22

Family

ID=74086705

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190069237A KR102206553B1 (en) 2019-06-12 2019-06-12 Communication terminal, communication system, and managing method for secure data of the same

Country Status (1)

Country Link
KR (1) KR102206553B1 (en)

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101538424B1 (en) * 2012-10-30 2015-07-22 주식회사 케이티 Terminal for payment and local network monitoring
KR101688118B1 (en) * 2015-05-13 2016-12-22 주식회사 퓨쳐시스템 Security communication apparatus of internet of things environment and method thereof
KR20180073015A (en) * 2016-12-22 2018-07-02 삼성전자주식회사 Method of performing secure communication between devices

Also Published As

Publication number Publication date
KR20200142243A (en) 2020-12-22

Similar Documents

Publication Publication Date Title
EP3633913B1 (en) Provisioning a secure connection using a pre-shared key
US20220021534A1 (en) Location aware cryptography
CN109150499B (en) Method and device for dynamically encrypting data, computer equipment and storage medium
CN103763315A (en) Credible data access control method applied to cloud storage of mobile devices
US7386717B2 (en) Method and system for accelerating the conversion process between encryption schemes
US20180183772A1 (en) Method of performing secure communication and secure communication system
US20170310479A1 (en) Key Replacement Direction Control System and Key Replacement Direction Control Method
US11824841B2 (en) Secure transport session resumption for constrained devices
CN111277605B (en) Data sharing method and device, computer equipment and storage medium
EP3624394B1 (en) Establishing a protected communication channel through a ttp
KR102206553B1 (en) Communication terminal, communication system, and managing method for secure data of the same
US10057054B2 (en) Method and system for remotely keyed encrypting/decrypting data with prior checking a token
EP4020875A1 (en) Method, first server, second server, and system for transmitting securely a key
KR20190007336A (en) Method and apparatus for generating end-to-end security channel, and method and apparatus for transmitting/receiving secure information using security channel
CN115001744A (en) Cloud platform data integrity verification method and system
KR20170083359A (en) Method for encryption and decryption of IoT(Internet of Things) devices using AES algorithm
KR100401063B1 (en) the method and the system for passward based key change
CN111131158A (en) Single byte symmetric encryption and decryption method, device and readable medium
EP3665859A1 (en) Apparatus and method for encapsulation of profile certificate private keys or other data
US11876789B2 (en) Encrypted data communication and gateway device for encrypted data communication
US10491385B2 (en) Information processing system, information processing method, and recording medium for improving security of encrypted communications
KR101758232B1 (en) method of encryption or decryption a data block, apparatus for encryption or decryption a data block, and storage medium for storing a program for encryption or decryption a data block
JP6404958B2 (en) Authentication system, method, program, and server
Zhou et al. Research on Optimization of Nuclear Power Security DCS Gateway Encryption Communication Based on OPC UA Protocol
KR20230016493A (en) Apparatus for controlling a vehicle and controlling method thereof

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant