KR20140030352A - 결제 및 원격 모니터링을 통한 제어용 m2m 보안 게이트웨이 장치 및 통신 시스템 - Google Patents

결제 및 원격 모니터링을 통한 제어용 m2m 보안 게이트웨이 장치 및 통신 시스템 Download PDF

Info

Publication number
KR20140030352A
KR20140030352A KR1020120085561A KR20120085561A KR20140030352A KR 20140030352 A KR20140030352 A KR 20140030352A KR 1020120085561 A KR1020120085561 A KR 1020120085561A KR 20120085561 A KR20120085561 A KR 20120085561A KR 20140030352 A KR20140030352 A KR 20140030352A
Authority
KR
South Korea
Prior art keywords
network
data
communication
gateway
information
Prior art date
Application number
KR1020120085561A
Other languages
English (en)
Other versions
KR101643334B1 (ko
Inventor
조영빈
김성철
정윤필
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020120085561A priority Critical patent/KR101643334B1/ko
Publication of KR20140030352A publication Critical patent/KR20140030352A/ko
Application granted granted Critical
Publication of KR101643334B1 publication Critical patent/KR101643334B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/51Discovery or management thereof, e.g. service location protocol [SLP] or web services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L1/00Arrangements for detecting or preventing errors in the information received
    • H04L1/004Arrangements for detecting or preventing errors in the information received by using forward error control
    • H04L1/0056Systems characterized by the type of code used
    • H04L1/0061Error detection codes

Abstract

본 발명은 엠투엠(Machine to Machine) 네트워크와 엠투엠 지역 네트워크 사이에 위치되어, 두 네트워크간의 데이터 전송을 가능하게 하는 게이트웨이 장치에 관한 것으로, 게이트웨이를 통해 엠투엠 네트워크에 접속하는 엠투엠 디바이스와 데이터 통신을 수행하기 위한 통신부; 상기 엠투엠 디바이스로부터 데이터를 취합하고, 상기 엠투엠 디바이스에 대한 모니터링 및 원격 상태 관리를 수행하는 제어부; 및 상기 제어부와의 통신을 통해 상기 게이트웨이에 접속하는 상기 엠투엠 디바이스에 대한 인증절차를 수행하고, 상기 엠투엠 디바이스에 관한 데이터를 암호화된 형태로 저장하는 소정의 데이터 패킷을 생성하는 식별모듈을 포함하되, 상기 식별모듈은, 상기 엠투엠 디바이스의 식별정보, 상기 식별모듈의 식별정보, 주파수 채널 식별정보, 가입자 식별정보 및 상기 엠투엠 디바이스로부터 취합한 데이터 중 적어도 하나를 단일 데이터 패킷에 실어 암호화하는 엠투엠 게이트웨이 장치에 관한 것이다.

Description

결제 및 원격 모니터링을 통한 제어용 M2M 보안 게이트웨이 장치 및 통신 시스템{Gateway apparatus for interlocking of Machine to Machine local network and Machine to Machine network and system for it}
본 발명은 M2M(Machine to Machine) 네트워크와 M2M 지역 네트워크간 연동을 통한 통신을 지원하기 위한 게이트웨이 장치 및 통신 시스템에 관한 것으로, 구체적으로는 M2M 지역 네트워크에 속한 장비들의 정보를 암호화하여 결제 및 원격 모니터링을 수행하면서 무결성을 확보하는 M2M네트워크와 M2M 지역 네트워크간 연동을 위한 게이트웨이 장치 및 통신 시스템에 관한 것입니다.
현대의 정보통신 기술의 발달은 컴퓨터 뿐만 아니라 스마트폰, 휴대용 멀티미디어기기 등의 네트워킹 중심으로 변화하고 있다. 이러한 컴퓨터, 스마트폰 등에 이용되는 연산, 통신 네트워킹 기능의 소형장치들은 정보화기기 뿐만 아니라 인간 주변의 여러 사물에 이용되어 주변의 정보를 획득하고 서로 공유하도록 하는 사물간의 통신 네트워크를 가능하게 한다.
그러한 기술 중 대표적인 기술이 장치 대 장치(Machine to Machine: M2M) 통신이다. M2M은 기계들과 일상생활 속에 널리 퍼져 있는 기기들의 네트워킹에 관한 기술이다. M2M 통신은 일련의 기구들을 컴퓨터 본체로부터 일상의 제품들(예, 가전제품, 건물 또는 운송수단 등)까지 연결하고 사용이 가능하도록 한다.
M2M 통신은 M2M 기기에서의 소형 통신장치를 이용하여 네트워크를 구성하고 수집한 정보를 공유하는 개념으로, 인간의 개입 없이 주로 국소지역을 대상으로 하는 USN(Ubiquitous Sensor Network)에서 출발하였으나 점차 그 응용의 범위와 목적이 다양해짐에 따라 각종 유/무선 네트워크가 M2M 통신을 위해 이용될 수 있다. 이러한 M2M 통신은 Zigbee, Bluetooth, WiFi 등과 같은 저비용, 저전력의 근거리 무선 통신과 함께 3GPP, LTE 와 같은 셀룰러 기반의 고속 이통 통신 기술을 이용하여 상황인식, 위치정보, 원격제어 등과 같은 여러 융합 서비스에 이용 가능하다.
따라서, M2M 통신의 개념은 단순한 이동 통신망의 개념을 넘어 유무선 네트워크를 활용하는 개념으로 확장되어 가고 있다. 특히, 기존의 이동 통신 시스템에서는 네트워크가 단말의 이동성을 항상 관리하고 있으며, 이에 따라 단말 간 데이터를 송수신하기 위한 절차들이 각 이동 통신 시스템마다 규정되어 있다.
그러나 M2M 통신에서는 네트워크가 항상 디바이스(예를 들면, 카메라, 전자책(eBook), 홈어플라이언스(Home Appliance))의 이동성을 관리하지 않는다는 특성이 있으며, 또한, 디바이스들 간 데이터 및 컨텐츠를 송수신하기 위한 구체적인 방식이나 예비 구성 식별자의 오버디에어(OTA; over-the-air) 보호가 없고, 장비의 인증(authentication), 등록(registration), 및 프로비져닝(provisioning)에 있어서 M2M 가능(M2M-enabled) 장비의 신뢰 상태(TS; Trusted State) 상의 정보를 이용하지 않으며, M2M 가능 장비에 대하여 가입된 오퍼레이터의 보안 변경을 보장하지 못하고, M2M 가능 장비의 예비 인증에 사용된 인증 및 키 동의(Authentication and Key Agreement) 크리덴셜(credential)이 신뢰되는 것을 보장하지 못하고, 소프트웨어 및 펌웨어의 보안 업데이트나 M2M 가능 장비의 재구성을 제공하지 못하며, M2M 가능 장비에 대한 조작(tampering)을 검출하여 반응하지 못한다.
또한, M2M 가능 장비 사용자/가입자의 역할이 정의가 없다. 따라서, M2M 성능, 보안 및 신뢰성을 개선하기 위한 다양한 방법 및 장치가 요구되고 있다.
본 발명의 목적은 상술한 문제점을 해결하기 위하여 안출된 것으로, 기존의 M2M 네트워크와 이기종 네트워크간 통신 방식의 연동이 가능하도록, M2M 네트워크와 M2M 지역 네트워크간 연동을 통한 통신을 지원하며, M2M 지역 네트워크에 속한 장비들의 정보를 암호화하여 무결성을 확보하여 M2M 지역 네트워크가 M2M 네트워크에 연결될 경우의 네트워크 가입, 운용, 관리, 보안문제에 대한 방법론을 제시할 수 있는 게이트웨이 장치 및 통신 프로토콜을 제안하고자 한다.
본 발명에서 이루고자 하는 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급하지 않은 또 다른 기술적 과제들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
상술한 과제를 해결하기 위한 본 발명의 일 실시예에 따른 엠투엠(Machine to Machine) 네트워크와 엠투엠 지역 네트워크 사이에 위치되어, 두 네트워크간의 데이터 전송을 가능하게 하는 게이트웨이 장치는, 게이트웨이를 통해 엠투엠 네트워크에 접속하는 엠투엠 디바이스와 데이터 통신을 수행하기 위한 통신부; 상기 엠투엠 디바이스로부터 데이터를 취합하고, 상기 엠투엠 디바이스에 대한 모니터링 및 원격 상태 관리를 수행하는 제어부; 및 상기 제어부와의 통신을 통해 상기 게이트웨이에 접속하는 상기 엠투엠 디바이스에 대한 인증절차를 수행하고, 상기 엠투엠 디바이스에 관한 데이터를 암호화된 형태로 저장하는 소정의 데이터 패킷을 생성하는 식별모듈을 포함하되, 상기 식별모듈은, 상기 엠투엠 디바이스의 식별정보, 상기 식별모듈의 식별정보, 주파수 채널 식별정보, 가입자 식별정보 및 상기 엠투엠 디바이스로부터 취합한 데이터 중 적어도 하나를 단일 데이터 패킷에 실어 암호화한다.
본 발명의 실시예에 따른 상기 식별모듈은, 상기 식별모듈에 웹 서버를 탑재한 서비스를 제공하는 스마트 카드 웹 서버(Smart Card Web Server: SCWS), 데이터베이스, 데이터베이스 관리 시스템(Database Management System) 및 소정의 인터페이스 포트를 포함하되, 상기 데이터베이스에 상기 엠투엠 지역 네트워크에 대한 주파수 채널 식별정보, 개인 영역 네트워크 식별정보(Personal Area Network ID: PAN ID), 네트워크 식별정보, 상기 엠투엠 지역 네트워크에 속한 다수의 엠투엠 디바이스 각각에 대한 식별정보 및 네트워크 경로의 라우팅을 위한 라우팅 테이블 중 적어도 하나를 미리 저장하여 관리할 수 있다.
이때, 상기 식별모듈은, 상기 데이터베이스에 기초하여, 상기 게이트웨이에 접속하는 상기 엠투엠 디바이스에 대한 인증절차를 수행할 수 있다.
다음으로, 본 발명의 실시예에 따른 상기 제어부는, 상기 식별모듈과의 통신을 통해 네트워크 구성 확인 후 상기 게이트웨이에 접속하는 상기 엠투엠 디바이스에 대한 PAN ID를 부여할 수 있다.
또한, 상기 제어부는, 상기 식별모듈과의 통신을 통해 상기 엠투엠 디바이스의 식별정보에 대응하는 가입자 식별정보를 도출하여 상기 엠투엠 디바이스의 식별정보에 맵핑하고, 맵핑된 정보를 상기 데이터베이스에 저장할 수 있다.
한편, 상기 식별모듈은, 상기 데이터베이스에 기초하여 상기 엠투엠 디바이스에 부여되는 개인 영역 네트워크(PAN) 식별정보, 네트워크 식별정보, 주파수 채널 식별정보, 디바이스 식별정보, 가입자 식별정보 및 상기 엠투엠 디바이스로부터 취합한 데이터를 데이터 패킷의 페이로드 영역에 실어 암호화할 수 있다.
나아가, 상기 식별모듈은, 상기 데이터 페이로드 영역에 대해 공개키기반구조(Public Key Infrastructure)를 이용한 소정의 비대칭키로 암호화하거나 또는 키 값을 기억 장소의 주소로 변환하는데 사용하는 해싱 함수(hashing function)를 사용하여 암호화할 수 있다.
더 나아가, 상기 식별모듈은, 상기 암호화된 데이터 패킷에 대해 통신 표준규격에 따라 HTTPS 프로토콜 기반의 데이터 패킷으로 생성할 수 있다.
한편, 상기 엠투엠 디바이스로부터 취합하는 데이터는, 상기 엠투엠 디바이스의 식별정보, 동작 상태 정보, 배터리 잔량 정보, 센싱 정보, 환경정보 및 결제 관련 정보 중 적어도 하나를 포함할 수 있다.
바람직하게는, 본 발명의 실시예에 따른 엠투엠 게이트장치는, 상기 식별모듈에서 암호화된 데이터 패킷을 저장하는 비휘발성 타입의 메모리를 더 포함할 수 있다. 이때, 상기 제어부는, 상기 엠투엠 게이트웨이와 TCP/IP 통신을 수행하는 원격의 운용 서버로부터 데이터 전송 요청시 상기 메모리로부터 요청된 데이터를 송출하여 상기 통신부를 통해 상기 원격의 운용 서버로 전송하도록 수행할 수 있다.
더 바람직하게는, 본 발명의 실시예에 따른 엠투엠 게이트장치는, 이동 통신망을 통해 원격의 운용 서버와 TCP/IP 통신을 수행하기 위한 기저대역 통신 모뎀을 더 포함할 수 있다.
한편, 본 발명의 실싱에 따른 식별모듈에서 생성하는 데이터 패킷은, 헤더 영역; 및 전송하고자 하는 데이터가 암호화되어 포함되는 제1 영역 및 데이터 전송시 오류 발생 여부를 체크하기 위한 블록검사코드(block check code)가 포함되는 제2 영역으로 구성되는 페이로드 영역을 포함할 수 있다. 이때, 상기 제1 영역은, 상기 엠투엠 디바이스에 부여되는 주파수 채널 정보, 수신지 PAN ID, 수신지 주소, 발신지 PAN ID, 발신지 주소, 네트워크 식별정보, 상기 엠투엠 디바이스의 식별정보, 상기 엠투엠 디바이스에 맵핑되는 가입자 식별정보 및 상기 엠투엠 디바이스로부터 취합하는 데이터 중 적어도 하나를 포함할 수 있다.
상기 실시형태들은 본 발명의 바람직한 실시예들 중 일부에 불과하며, 본원 발명의 기술적 특징들이 반영된 다양한 실시예들이 당해 기술분야의 통상적인 지식을 가진 자에 의해 이하 상술할 본 발명의 상세한 설명을 기반으로 도출되고 이해될 수 있다.
본 발명에 따르면, 본 발명의 실시예에 따른 M2M 게이트웨이는 M2M 네트워크와 M2M 지역 네트워크를 연동시키기 위해 지역망의 코디네이터 역할을 하면서 M2M 디바이스를 M2M 네트워크에 연동시키기 위해 디바이스 데이터를 암호화 처리하고 모든 로그 정보를 대용량 메모리에 저장하여 관리하고, M2M 지역 네트워크의 각 디바이스에 대한 무결성 및 기밀성을 유지하면서 관리 및 운용할 수 있다.
나아가, 식별 모듈에 저장된 데이터에 기초하여 M2M 지역 네트워크의 설정 정보 및 데이터를 암호화하면, 제3자가 M2M 디바이스를 해킹하여 M2M 지역 네트워크에 불법으로 접속하는 경우에도 M2M 게이트웨이에서 M2M 디바이스의 무결성을 확인할 수 있어 데이터 보안을 더욱 강화할 수 있다.
또한, 본 발명의 다른 측면에 따르면, M2M 게이트웨이에서 수집한 데이터를 관리서버로 전송할 때 공용망에서 사용할 수 있도록 표준 프로토콜인 HTTPS 규격으로 전송하여 별도의 변환장치가 불필요한 호환성있는 시스템을 구축할 수 있다.
본 발명에 관한 이해를 돕기 위해 상세한 설명의 일부로 포함되는, 첨부도면은 본 발명에 대한 실시예를 제공하고, 상세한 설명과 함께 본 발명의 기술적 사상을 설명한다.
도 1은 본 발명의 실시예와 관련된 M2M 통신 네트워크 구조의 일 예를 나타내는 도면이다.
도 2는 본 발명의 실시예에 따른 M2M 게이트웨이의 구성을 나타내는 블럭 구성도이다.
도 3은 본 발명의 실시예에 따른 본 발명의 실시예에 따른 M2M 게이트웨이에서의 무결성을 위한 데이터 처리과정의 일 예를 나타내는 절차 흐름도이다.
도 4는 본 발명의 실시예에 따른 M2M 게이트웨이에서 생성된 데이터 패킷 구조의 일 예를 나타내는 도면이다.
본 발명은 다양한 변환을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 본 발명을 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다.
이하, 본 발명에 따른 바람직한 실시 형태를 첨부된 도면을 참조하여 상세하게 설명한다. 첨부된 도면과 함께 이하에 개시될 상세한 설명은 본 발명의 예시적인 실시형태를 설명하고자 하는 것이며, 본 발명이 실시될 수 있는 유일한 실시형태를 나타내고자 하는 것이 아니다. 이하의 상세한 설명은 본 발명의 완전한 이해를 제공하기 위해서 구체적 세부사항을 포함한다. 그러나, 당업자는 본 발명이 이러한 구체적 세부사항 없이도 실시될 수 있음을 안다.
M2M 통신은 우리 생활에 있어서 각종 여러 분야에 활용되어 이용될 수 있다. 예컨대, 여러 차량에 장착된 장치들을 이용하는 차량통신 네트워크(Vehicle Area Network: VAN)에서부터 스마트 그리드(smart grid), 보안, 원격감시 및 제어, 지불 결제를 위한 통신 연결, 재고 관리, 건강 관리 및 구조물과 주변 환경에 대한 감시 등 그 응용 분야는 매우 다양하다 할 수 있다. 이 중 스마트 그리드, 차량통신 네트워크, e-Health(electronic-Health)는 대표적인 M2M 통신기술의 활용분야라고 할 수 있다.
활용 분야가 확대됨에 따라, M2M 지역 네트워크가 기존의 M2M 네트워크에 연결될 경우, 관리 주체의 이슈, 네트워크에 연결되는 다량의 장비들에 대한 관리 및 운용상의 기술적 어려움 등이 발생할 수 있다.
따라서, 본 발명은 기존의 M2M 네트워크와 이기종 네트워크간 통신 방식의 연동이 가능하도록, M2M 네트워크와 M2M 지역 네트워크간 연동을 통한 통신을 지원하며, M2M 지역 네트워크에 속한 장비들의 정보를 암호화하여 무결성을 확보하여 M2M 지역 네트워크가 M2M 네트워크에 연결될 경우의 네트워크 가입, 운용, 관리, 보안문제에 대한 방법론을 제시할 수 있는 게이트웨이 장치 및 통신 프로토콜을 제안한다.
도 1은 본 발명의 실시예와 관련된 M2M 통신 네트워크 구조의 일 예를 나타내는 도면이다.
도 1을 참조하면, M2M 통신 네트워크 구조(100)는 네트워크 영역(101)과 M2M 디바디스 영역(102)으로 이루어진다.
네트워크 영역(101)은 M2M 디바이스로부터 전송되는 데이터를 M2M 통신을 통해 전달하기 위한 전송 네트워크(110), 전송 네트워크와 연계되는 M2M 응용부(120) 및 네트워크 관리를 수행하는 네트워크 관리부(130)로 구성된다.
전송 네트워크(110)는 M2M 디바이스의 M2M 망 접속과 관련된 접속 네트워크(access network; 111), 코어 네트워크(core network; 113), M2M 서비스 기능부(115)를 포함한다.
접속 네트워크(111)는 M2M 통신에서 다양한 장비들을 통신망에 접속시키기 위해 구성된 네트워크로, 유선 접속망 및/또는 무선 접속망을 포함한다.
최근에는 주로 무선 통신을 이용한 M2M 통신이 수행되고 있는데, 무선 접속망은 WCDMA(Wideband Code Division Multiple Access), WiMAX(Worldwide Interoperability for Microwave Access), WiFi(Wireless Fidelity), LTE(Long Term Revolution) 등을 사용할 수 있다.
접속 네트워크(111)는 M2M 네트워크의 기능을 수행하기 위한 M2M 기능부(111a) 및 M2M 디바이스들이 접속 네트워크(111)로 접속하는 과정에서의 보안절차를 수행하는 접속 네트워크 보안부(111b)를 포함한다.
코어 네트워크(113)는 대용량, 장거리 음성 및 데이터 서비스가 가능한 대형 통신망의 고속 기간망으로, 일반 전화 교환망(PSTN), 종합 정보 통신망(ISDN), IMT-2000, 광역 통신망(WAN), 구내 정보 통신망(LAN), 종합 유선 방송(CATV) 등을 말한다. 주로 인터넷 백본망을 사용하는데, 인터넷을 연결하고, 서비스와 네트워크를 제어하며 다른 네트워크와 상호 연결 및 로밍 기능을 제공한다.
마찬가지로 코어 네트워크(113)는 M2M 네트워크 기능을 수행하는 M2M 기능부(113a)를 포함한다.
접속 네트워크(111)와 코어 네트워크(113)는 M2M 네트워크 및 응용영역(110)과 M2M 디바이스 영역(120)간 데이터 통신이 이루어지도록 전달 네트워크 역할을 수행하며, 제어정보와 M2M 데이터를 전송한다.
M2M 서비스 기능부(115)는 응용 기능을 제공하기 위한 정보를 식별 및 저장하고, 통신 선택, 원격 객체 관리, 보안, 트렌젝션 관리, 연동 등을 수행하며, 코어 네트워크(113)와 함께 M2M 코어를 구성한다.
다음으로, M2M 응용부(120)는 M2M 디바이스에 제공될 수 있는 다양한 서비스와 관련된 응용 어플리케이션의 실행과 관련된 동작을 수행하고, 전송 네트워크(110)와 연계되어 관리자 또는 사용자 단말기와 M2M 디바이스간 유무선 네트워크를 이용한 연결이 이루어지도록 한다.
다음으로, 네트워크 관리부(130)는 M2M 네트워크를 관리하는 M2M 관리부(131)를 포함하며 무선 접속망과 코어망의 관리를 수행할 수 있다. 구체적으로, 네트워크 관리부(130)는 네트워크 구성 관리, 장애 관리, 가입자 관리 및 성능 관리와 M2M 서비스 구성에서 요구되는 보안 관리 기능을 수행하고, M2M 관리부(131)는 구성 관리, 장애 관리 및 가입자 관리 기능을 수행할 수 있다.
M2M 디바이스 영역(102)은 직접 통신형 M2M 디바이스(140), 간접 통신형 M2M 디바이스(150), M2M 게이트웨이(160) 및 M2M지역 네트워크(170)로 구성된다.
직접 통신형 M2M 디바이스(140)는 M2M 기능부(141), M2M 응용부(143) 및 디바이스 보안부(145)를 포함한다. 직접 통신형 M2M 디바이스(140)는 M2M 기능부(141) 및 M2M 응용부(143)를 포함하고 있어, 통신기능을 통해 하나 이상의 응용 어플리케이션을 수행하고, 접속 네트워크망(111)를 이용하여 M2M 네트워크에 직접 연결할 수 있다.
간접 통신형 M2M 디바이스(150)는 M2M 지역 네트워크를 이용하는 디바이스로 직접 통신형 M2M 디바이스(140)와 구분하기 위한 것으로, 예컨대 헬스케어에 사용되는 장비나 오프라인 결제(카드, 스마트 카드를 사용하는 결제) 또는 모바일 결제(스마트폰 등을 이용한 결제)를 위한 결제 단말기와 같은 원격 장비를 들 수 있다. 간접 통신형 M2M 디바이스(150)는 M2M 게이트웨이(160)를 통해 간접적으로 접속 네트워크(111)에 연결되고, M2M 네트워크와 구별되는 지역 네트워크(170)를 통해 M2M 게이트웨이(160)에 연결된다.
구체적으로, 간접 통신형 M2M 디바이스(150)는 직접 M2M 네트워크에 접속하지 못하고, 별도의 M2M 기능부나 M2M 응용부를 포함하고 있지 않으므로 별도의 게이트웨이나 라우터를 통해 네트워크에 접속할 수 있다. 즉, M2M 게이트웨이(160)가 간접 통신형 M2M 디바이스(150)를 접속 네트워크(111)에 연결시키는 매체 역할을 수행한다.
M2M 지역 네트워크(170)는 간접 통신형 M2M 디바이스(150)와 M2M 게이트웨이(160)를 연결하는 네트워크로서, 장치의 센싱이나 구동 기능이 원활하게 이루어지도록 하는 네트워크 설정, 통신처리, 관리, 유지, 보수 등이 독자적으로 이루어지는 네트워크로서, 지역 네트워크 내에서 데이터 처리가 이루어진다.
지역 네트워크로는 IEEE 802.15, ZigBee, 블루투스, RFID 등 개인 영역 네트워크(PAN: Personal Area Network), 차량용 통신기술, 산업용 네트워크, 건물 자동화 통신기술 및 홈 자동화에 사용하는 통신 기술 등이 있다. 차량용 통신 기술은 CAN(Controller Area Network). LIN(Local Interconnect Network), FlexRay 등이 있다. 건물 자동화를 위한 통신 기술로서 BACnet(Building Automation and Control Networks)이 있으며, 홈 자동화를 위한 네트워크 기술은 CEBus(Consumer Electronics Bus), LonTalk 등이 있다. 이런 기술은 모두 M2M 지역 네트워크로 활용할 수 있다.
M2M 네트워크의 확장을 위해서는 지역 네트워크를 수용하여야 하는데, M2M 지역 네트워크(170)는 M2M 네트워크와 별개의 네트워크로서 양자간 통신은 이기종간 통신에 해당될 수 있다.
M2M 게이트웨이(160)는 간접 통신형 M2M 디바이스(150)를 M2M 지역 네트워크(170)를 통해 접속 네트워크(111)에 연결한다. 이를 위해, M2M 게이트웨이(160)는 M2M 응용부(161) 및 M2M 기능부(163)를 포함하며, M2M 지역 네트워크(170)를 통해 연결된 간접 통신형 M2M 디바이스(150)를 접속 네트워크(111)로 연결하여 네트워크 진입, 라우팅, 통신 기능을 수행한다.
또한, M2M 게이트웨이(160)는 간접 통신형 M2M 디바이스(150)로부터 디바이스 동작 데이터, 환경 데이터, 센싱 데이터 등을 취합하거나 간접 통신형 M2M 디바이스(150)가 결제 단말기인 경우 결제 관련 정보를 취합하여 원격의 운용서버로 전송할 수 있다. 여기서, 결제 관련 정보란 오프라인 결제 또는 모바일 결제에 사용된 카드정보, 결제금액정보 및 결제를 위한 인증정보 중 적어도 하나를 포함하는 것이다.
이와 같이, 직접 통신형 M2M 디바이스(140)와 M2M 게이트웨이(160)는 M2M 서비스를 제공하기 위하여 데이터의 수집과 보고, 원격 제어 기능, 그룹통신 또는 일대일 통신 기능, 트랜잭션 처리 등의 기능을 제공한다.
상기 도 1을 참조하여 상술한 M2M 통신 네트워크 구조에서 기기간 통신인 M2M 통신 서비스는 디바이스의 중요 정보에 대한 보안이 필수적이고, 무선으로 이루어진 기기간 통신의 경우 장비와 서버 사이에 정당한 기기 인증, 무결성, 서버 보안등이 요구되고 있다.
특히, 상술한 것처럼, M2M 지역 네트워크에서는 간접 통신형 M2M 디바이스들간 Zigbee, UWB, bluetooth 등의 일반적인 무선통신 기술을 사용하여 독자적인 네트워크를 형성하는데, 이러한 무선통신 기술은 특정 장비를 이용하면 지역 네트워크에서 일어나는 모든 데이터를 캡처할 수 있고, 캡처한 정보를 이용하여 네트워크에 불법으로 연결할 수 있다는 문제점이 있다. 네트워크 불법 연결은 해킹 및 사이버 보안 위협, 개인 사생활 노출 위협, 자원 사용량 및 과금 정보의 위변조 등의 2차적 문제로 확대될 우려가 있으므로, M2M 통신에서의 데이터 자체에 대한 보안 및 통신과정에서의 전송보안 및 접속권한 제한 등에 대한 요구가 증대되고 있다.
이에 따라, 본 발명은 도 1에 도시된 것처럼 1차 데이터 보안을 위해 접속 네트워크(111)에 접속 네트워크 보안부(111b)를 두거나 2차 데이터 보안을 위해 직접 통신형 M2M 디바이스(140) 및 간접 통신형 M2M 디바이스(150)는 각각 디바이스 보안부(145, 151)를 포함시키도록 구현하는 네트워크 구조를 제안할 수 있다.
접속 네트워크 보안부(111b)는 통상적으로 비대칭키 암호화를 통한 공급과정을 통해 M2M 디바이스가 네트워크에 가입하는 경우에 대비하여 M2M 노드간 또는 노드와 게이트웨이간 키 정보를 공유하여 링크계층 암호화와 무결성, 인증을 제공할 경우 외부 공격을 막을 수 있다. 또한, e-UICC에서 M2M 네트워크를 구성하는 노드에 대한 인증 기능을 수행하므로 외부 공격용 노드가 쉽게 네트워크에 참여할 수 없는 등 통상적인 네트워킹 보안 기술을 적용할 수 있다.
디바이스 보안부(145, 151)는 단말 내부에서 데이터가 저장될 때 위조되거나 외부로 전송시 전송과정에서 데이터가 위변조되는 것을 방지하기 위한 무결성 검증 기능을 수행하며, M2M 디바이스 자체의 보안을 수행한다.
나아가, 본 발명의 실시예에 따른 M2M 게이트웨이(160)는 M2M 응용부(161) 및 M2M 기능부(163) 외 게이트웨이 자체에서의 무결성을 구현코자 3차 데이터 보안을 위한 게이트웨이 보안부(165)를 더 포함할 수 있다.
구체적으로, M2M 게이트웨이(160)는 게이트웨이 보안부(165)를 통해 M2M 지역 네트워크의 간접 통신형 M2M 디바이스(150)의 무결성 및 기밀성을 유지하면서 각각의 간접 통신형 M2M 디바이스의 지역 네트워크 장비 정보, 네트워크 정보와 네트워크 라우팅 변동 상황에 대한 모니터링 데이터 등을 암호화하여 사업자 측으로 전송할 수 있다. 또한, M2M 게이트웨이(160)에서 수집한 데이터를 관리서버로 전송할 때 공용망에서 사용할 수 있도록 표준 프로토콜인 HTTPS 규격으로 전송하여 별도의 변환장치가 불필요한 호환성있는 시스템을 구축할 수 있다.
이와 같은 M2M 게이트웨이(160)에 대해서는 이하 도 2를 참조하여 후술하고, 이하 본 명세서상에서 설명의 간명함을 위하여 M2M 지역 네트워크를 형성하며 M2M 게이트웨이를 통해 외부 통신망을 이용하는 간접 통신형 M2M 디바이스를 'M2M 디바이스'로 지칭하도록 한다.
도 2는 본 발명의 실시예에 따른 M2M 게이트웨이의 구성을 나타내는 블럭 구성도이다.
도 2를 참조하면, 본 발명의 실시예에 따른 M2M 게이트웨이(200)는 통신부(210), 통신 모뎀(220), 제어부(230), 메모리(240) 및 식별모듈(250) 등을 포함한다. 도 2에 도시된 구성요소들이 필수적인 것은 아니어서, 그보다 많은 구성요소들을 갖거나 그보다 적은 구성요소들을 갖는 M2M 게이트웨이가 구현될 수도 있다.
이하, 상기 구성요소들에 대해 차례로 살펴본다.
통신부(210)는 수신 안테나(211), 수신 RF 통신부(213), 송신 안테나(215) 및 송신 RF 통신부(217)를 포함한다. 예컨대, 수신 안테나(211) 및 수신 RF 통신부(213)를 통해 M2M 지역 네트워크에 속한 M2M 디바이스로부터 데이터를 수신하고, 송신 안테나(215) 및 송신 RF 통신부(217)를 이용하여 암호화된 디바이스 및 네트워크에 관한 데이터를 외부 사업자 측으로 전송한다. 통신부(210)를 통해 M2M 디바이스로부터 수신한 데이터는 제어부(230)로 전달된다.
통신 모뎀(220)은 기저대역 모뎀(baseband MODEM)으로 크게 송신과 수신을 위한 부분으로 나뉘며, 디지털 프로세싱, 인코딩, 변조, D/A 변환 등의 데이터 송수신을 위한 동작을 수행한다.
제어부(230)는 통상적으로 M2M 게이트웨이(200)에서 수행하는 전반적인 동작을 제어하며, 예컨대 다양한 기능을 수행하는 소프트웨어가 실장된 MCU(Micro Controller Unit)를 들 수 있다.
제어부(230)는 전반적인 데이터 연산처리 및 게이트웨이 구성 또는 기능과 관련된 동작을 제어하는 MCU 코어부(231), 외장 메모리를 제어하는 메모리 제어 모듈(233) 및 식별 모듈(250)과 데이터 통신을 위한 통로 역할을 수행하는 USB 인터페이스(235)를 포함한다.
MCU 코어부(231)는 통신부(210)로부터 M2M 디바이스의 데이터가 전달되면, 이를 메모리 제어 모듈(233)을 통해 메모리(240)에 저장하고, USB 인터페이스(235)를 통해 식별 모듈(250)과 통신을 수행한다. 제어부(230)와 식별 모듈(250)간 통신 및 인증절차가 완료되면 메모리(240)에 저장된 데이터를 식별 모듈(250)로 전달하여 데이터 암호화가 수행되도록 하고, 식별 모듈(250)에서 보안 처리된 데이터 패킷을 통신 모뎀(220) 및 통신부(210)를 통해 사업자 측으로 전송한다.
또한, MCU 코어부(231)는 실시간 또는 소정 주기에 따라 M2M 디바이스로부터 전송되는 동작 데이터, 환경 데이터, 센싱 데이터 등에 기초하여 네트워크 상태 또는 M2M 디바이스의 동작 상태를 모니터링하며 고장 유무 판별 또는 고장 예방을 위한 동작을 수행할 수 있다. 모니터링 결과는 사업자 측에 전송하는 데이터 패킷에 포함시켜 전송할 수 있다.
또한, M2M 게이트웨이(200)는 M2M 디바이스가 결제 단말기인 경우 사업자측과 지불 결제를 위한 통신 연결을 수행할 수 있다. MCU 코어부(231)는 결제 단말기로부터 취합한 결제 관련 정보를 식별 모듈(250)과의 통신을 통해 보안 처리하여 열람 권한없는 M2M 게이트웨이나 다른 통신 장비에서 해당 정보를 열람하지 못하도록 정보 보안을 강화할 수 있다.
바람직하게는, 제어부(230)는 도 2에 도시되지는 않았으나 계측 데이터를 저장할 수 있는 용량이 제한적인 비휘발성(Non-Volatile Memory) 타입의 내부 메모리를 포함할 수 있다. 이때, 제어부의 메모리 용량이 제한적이므로, 제어부에는 필요에 따라 외부 메모리(240)를 추가할 수 있다.
메모리(240)는 필요에 따라 제어부(230) 외부에 추가되는 비휘발성 메모리로, M2M 게이트웨이(200)에서 수집하거나 계측한 데이터를 통신망을 통해 외부로 전송하기 이전에 일시적으로 저장하기 위한 기록장치이다. 최근 게이트웨이의 식별 모듈이 소형화됨에 따라 식별 모듈(250) 내부에 메모리 용량을 추가로 부착하기 어려워지므로, 도 2에 도시된 것처럼 제어부(230)의 내부 메모리와 연결된 외부 메모리(240)를 별도로 구성한다.
식별 모듈(250)은 M2M 게이트웨이(200)의 사용 권한을 인증하기 위한 각종 정보를 저장한 칩으로, M2M 통신을 사용하는 등록된 M2M 디바이스 정보(예, e-UICC 정보), UICC 정보 등이 미리 저장되어 프로비저닝(provisioning)에 이용할 수 있다. 식별 모듈(250)의 일 예로, UIM(User Identity Module), SIM(Subscriber Identity Module), USIM(Universal Subscriber Identity Module), UICC(Universal Integrated Circuit Card) 등을 들 수 있으며, 식별 모듈이 구비된 장치(이하 '식별 장치')는, 스마트 카드(smart card) 형식으로 제작될 수 있다.
예컨대, 식별 모듈(250)에 UICC(e-UICC)를 일 예로 들면, UICC는 UICC MCU(251)와 UICC 인터페이스(253)를 포함한다. UICC MCU(251)는 자바 플랫폼, USIM 애플릿, USIM에 웹 서버를 탑재한 서비스를 제공하는 SCWS(Smart Card Web Server), DBMS(DataBase Management System), DB(database) 및 게이트웨이를 포함하고, UICC 인터페이스(253)는 포트(예, IC-USB, ISO-7816 등)를 통해 제어부(230)와 연결될 수 있다.
여기서, SCWS의 사용으로 사업자측에서 UICC에서 제공하는 서비스(또는, 애플릿)와 컨텐츠의 원격 관리, HTTPS를 자체적으로 지원하는 보안 관리, PKI 인증 프로시저를 위한 인증 관리 및 외부로 데이터 전송시 플랫폼에 부관하게 HTTPS 표준에 따라 데이터를 교환할 수 있는 호환성 등을 제공함으로써, 다양한 장비의 다양한 플랫폼으로 연결되는 M2M 네트워크 시스템의 효율성을 증대시킬 수 있다. 또한, SCWS를 이용하면 장비 자체의 손괴에 의한 보안 위협시 하드웨어의 실시간 모니터링을 통해 M2M 게이트웨이가 서버 역할을 수행하므로 네트워크 로그 데이터 제공에 편의성을 가질 수 있다.
암호화된 데이터 저장시 외부 메모리(240)에 데이터를 저장하더라도 이를 관리하는 DB는 식별모듈(250)에 내장시킴으로써 보안성을 더욱 강화할 수 있다. 즉, 외부로부터 특정 데이터에 대한 전송이 요청되면, 해당 데이터에 대한 인덱스가 저장된 DB에 기초하여 메모리(240)에 저장된 요청된 데이터를 검색하여 송출할 수 있고, DB에서 외부 요청에 대한 처리를 신속하게 수행함으로써 보다 용이하게 데이터 검색을 수행할 수 있다. 또한, 메모리(240)에 저장된 데이터를 복호화하여 데이터를 확인하고 전송할 데이터를 재설정할 필요가 없어 데이터 처리방안의 신속성을 높일 수 있다. 이때, 식별 모듈(250)에 결제 정보를 인증하기 위한 고정키 혹은 공개키 방식의 인증 애플릿(applet)을 탑재하여 결제 단말기로부터 수신한 결제 정보를 보안 처리할 수 있다.
또한, 식별 모듈(250)은 M2M 게이트웨이(200)에서 수신한 간접 통신형 M2M 디바이스에 대한 인증절차, 수집한 데이터에 대한 보안처리 및 암호화 과정, 수집한 데이터를 외부통신망을 이용하여 전송시 공용망을 이용할 수 있도록 표준 프로토콜 기반의 데이터 변환 등을 수행할 수 있다. 식별 모듈(250)에서 수행하는 데이터 보완처리과정에 대해서는 이하 도 3을 참조하여 후술하도록 한다.
식별 모듈(250)에서 암호화된 간접 통신형 M2M 디바이스의 데이터는 제어부(230)를 통해 메모리(240)에 저장되며 통신모뎀(220) 및 통신부(210)를 통해 사업자측으로 전송된다.
이와 같이, M2M 게이트웨이(200)의 구성과 상기 도 1에서 상술한 실시예와 비교하면, 상기 도 1의 게이트웨이 보안부(163)는 도 2의 제어부(230)와 인터페이스 연결된 식별모듈(250)에 대응되는 것으로 볼 수 있다.
이하 도 3을 참조하여 본 발명의 실시예에 따른 M2M 게이트웨이에서의 무결성을 위한 데이터 처리과정을 설명하도록 한다.
도 3은 본 발명의 실시예에 따른 본 발명의 실시예에 따른 M2M 게이트웨이에서의 무결성을 위한 데이터 처리과정의 일 예를 나타내는 절차 흐름도이다.
도 3에 도시된 M2M 디바이스(150)는 상기 도 1에서 상술한 M2M 지역 네트워크를 형성하며 M2M 게이트웨이를 통해 외부 통신망을 사용하는 다수의 M2M 디바이스 중 하나를 나타낸다.
도 3을 참조하면, M2M 디바이스(150)가 M2M 게이트웨이로 데이터 통신을 위한 접속을 요청하면(S301), M2M 게이트웨이(200)의 제어부(230)는 네트워크 주소(NWK_Config)를 확인하고, 해당 M2M 디바이스(150)에 대한 PAN(Personal Area Network) ID를 부여한다(S302). 디바이스별로 PAN ID를 부여하는 것은 네트워크 형성시 게이트웨이에 접속하는 다수의 디바이스간 충돌을 방지하기 위함이다.
M2M 게이트웨이(200)와 M2M 디바이스(150)간 통신이 연결되면, 제어부(230)는 M2M 디바이스(150)로부터 데이터를 수신하고(S303), 식별 모듈(250)과의 통신을 통해 M2M 디바이스(150)에 대한 인증절차를 수행한다(S304).
이때, M2M 디바이스(150)로부터 수신한 데이터는 인증절차가 완료될 때까지 제어부(230)의 임시버퍼(내장 메모리)에 저장될 수 있다.
구체적으로, 식별 모듈(250)은 제어부(230)와의 통신을 통해 미리 저장된 기기별 정보에 기초하여 M2M 디바이스(150)에 대한 인증절차 및 식별정보 매핑작업을 수행한다. 예를 들어, 제어부(230)는 식별 모듈(250)과의 통신을 통해 가입자 식별번호(International Mobile Subscriber Identity: IMSI)와 M2M 디바이스 ID를 매핑하고, 이동 단말기의 가입자 식별정보(Integrated Circuit Card Identifier: ICC ID)와 디바이스 ID를 매핑할 수 있다.
이는, 게이트웨이에 연결된 디바이스에 대한 인증절차에 따라 접속권한이 허여된 디바이스에 대해 식별정보를 부여함으로써, 이후 M2M 게이트웨이를 통해 M2M 디바이스(150)의 데이터가 사업자측의 운영서버로 전송되는 경우, 사업자측에서 직접 M2M 디바이스를 관리할 수 있도록 하기 위한 것이다.
M2M 디바이스(150)에 대한 인증확인 후, 식별 모듈(250)은 제어부(230)를 통해 M2M 디바이스 데이터를 전달받고(S305), 이에 기초하여 디바이스 ID, UICC ID, M2M 디바이스 데이터, M2M 디바이스 모니터링 정보(동작 데이터, 환경 데이터, 센싱 데이터 등) 또는 결제 단말기로부터 수취한 결제 관련 정보를 단일 페이로드(payload)에 포함시켜 데이터 패킷을 구성할 수 있다(S306).
페이로드에는 전 단계 S302에서 상기 M2M 디바이스(150)에 대해 부여한 PAN ID와 전 단계 S304의 인증절차과정에서 디바이스 ID에 매핑한 ICC ID 및 IMSI 등을 더 포함시킬 수 있다. 본 발명에 따른 M2M 통신에서 이용될 데이터 패킷의 프레임 구조에 대해서는 이하 도 4를 참조하여 후술하도록 한다.
다음으로, 식별 모듈(250)은 디바이스로부터 수집한 데이터를 포함하는 데이터 패킷 전체에 대한 암호화 과정을 수행한다(S307).
암호화 방식은 다양한 방식을 이용할 수 있으며, 예컨대 암호화 과정은 식별 모듈(250)의 프로비저닝(provisioning)에서 사용되는 공개키기반구조(Public Key Infrastructure: PKI)를 이용하여 소정의 암호화키로 데이터를 암호화할 수 있다. 이 경우, 사업자측은 M2M 게이트웨이(200)로부터 수신한 데이터 패킷에 대해 PKI의 암호화키에 대응하는 복호화키를 사용하여 해당 데이터를 리딩할 수 있다. 또는, 키값을 기억 장소의 주소로 변환하는데 사용하는 해싱 함수(hashing function)를 사용하여 데이터를 암호화할 수 있다. 또는, 결제 정보에 대한 인증을 수행하기 위한 고정키 혹은 공개키 방식의 인증 애플릿(applet)을 이용하여 결제 단말기로부터 수집한 결제 관련 정보를 보안처리할 수 있다.
그리고, 식별 모듈(250)은 암호화된 데이터 패킷을 외부 데이터 통신에 적합하도록 HTTPS 프로토콜을 이용하여 통신표준에 따른 포맷으로 구성함으로써, M2M 디바이스가 외부 통신장비와 데이터 통신 수행시 외부망에서의 인터페이스 호환성을 유지하도록 한다(S308).
이후, 식별 모듈(250)에서 상기 단계 S304 내지 S306를 통해 보안처리 및 표준 통신 규격으로 형성된 M2M 디바이스(150)의 데이터는 제어부(230)로 전송되고,제어부(230)는 메모리(240)에 보안처리된 M2M 디바이스 데이터를 저장한다(S309).
이후, 제어부(230)는 이벤트(예, 원격 운용서버의 데이터 전송 요청 등) 발생시 메모리(240)에 저장된 보안처리된 M2M 디바이스 데이터를 송출하여(S310) M2M RF 통신을 이용하여 원격의 사업자측 운영서버로 송출된 데이터를 전송한다(S311).
상기 단계 S307에서, 식별 모듈(250)에서 보안처리된 M2M 디바이스 데이터는 TCP/IP(Transmission Control Protocol/Internet Protocol)을 사용하여 제어부(230)로 전송되고 메모리(240)에 저장된다. M2M 디바이스(150)는 개별 IP가 부여되어 있으므로, 외부 통신장비나 서버와 TCP/IP 통신을 수행할 수 있다.
도 4는 본 발명의 실시예에 따른 M2M 게이트웨이에서 생성된 데이터 패킷 구조의 일 예를 나타내는 도면이다.
도 4를 참조하면, 본 발명의 실시예에 따른 데이터 패킷(400)은 헤더 영역(410)과 페이로드 영역(420)으로 구분되고, 페이로드 영역(420)은 데이터 패킷을 통해 전송하고자 하는 데이터가 포함되는 데이터 페이로드 영역(4210)과 데이터 전송시 오류 발생 여부를 체크하기 위한 블록검사코드(block check code: BCC)가 포함되는 BCC 영역(4230)으로 구분할 수 있다.
이때, 데이터 페이로드 영역(4210)은 상기 도 3에서 상술한 것처럼 M2M 디바이스의 외부 통신을 위한 식별정보, 주파수 채널 정보, 환경정보 등이 포함될 수 있고, 다양한 정보를 포함한 페이로드 영역 전체에 대해서는 소정의 암호화 과정을 거쳐 데이터 보안처리가 이뤄진다.
다시 도 4를 참조하면, 데이터 페이로드 영역(4210)은 해당 데이터 패킷을 통해 전송하고자 하는 M2M 지역 네트워크를 사용하는 디바이스에 관한 정보가 포함되는 M2M 지역 네트워크 디바이스 필드(A)와 M2M 게이트웨이 필드(B)로 구분할 수 있다.
M2M 지역 네트워크 디바이스 필드(A)는 M2M 디바이스가 M2M 네트워크에 접속하고자 M2M 게이트웨이로 연결요청하면서 M2M 게이트웨이로부터 부여된 PAN ID, 네트워크 주소 정보를 포함한다. 구체적으로, 주파수 채널 ID (4214), 수신지 PAN ID(4215), 수신지 어드레스(4216), 발신지 PAN ID(4217), 발신지 어드레스(4218) 및 네트워크 ID(4219) 중 적어도 하나를 포함할 수 있다.
여기서, M2M 디바이스가 데이터 통신시 사용하는 주파수 채널 ID나 PAN ID 정보 등은 상기 도 3에서 상술한 것처럼 M2M 디바이스가 M2M 게이트웨이에 접속하여 양자간 데이터 통신이 이루어짐에 따라 M2M 게이트웨이에서 M2M 디바이스로 부여하는 정보이다.
M2M 게이트웨이 필드(B)는 이동단말기의 가입자 식별 정보(ICC ID; 4211), 가입자 식별정보(IMSI; 4212) 및 M2M 디바이스 ID(4213) 정보 중 적어도 하나를 포함할 수 있다. ICC ID 및 IMSI는 M2M 게이트웨이에서 M2M 디바이스에 대해 소정의 인증절차를 수행하면서 해당 M2M 디바이스 ID에 맵핑하는 정보이다.
여기서, 도 4에 도시된 것처럼 단일 데이터 페이로드(4210)에 포함시키는 주파수 채널 ID와 디바이스 ID는 근거리 무선RF 통신(예, Zigbee)에서 중요한 클러스터링 요소(clustering factor)이다. 예컨대, 무선 RF 통신으로 그룹화되는 각 장비들에 대해 서로 다른 주파수 채널 ID를 부여하게 되면 보다 많은 네트워크를 형성할 수 있어, 제1 RF 통신영역의 M2M 게이트웨이와 물리적으로 떨어진 제2 RF 통신영역의 게이트웨이에서 제1 RF 통신영역의 M2M 게이트웨이와 동일한 주파수의 네트워크를 사용할 수 있기 때문이다. 즉, 각 게이트웨이와 연결되는 디바이스별로 디바이스 ID와 주파수 채널 ID가 맵핑되어 할당되므로, 각 디바이스별 통신 충돌을 방지할 수 있고 하나 이상의 게이트웨이로부터 데이터를 수신하는 사업자측의 운용서버에서도 각 디바이스에 대해 용이하게 관리할 수 있다.
이와 같이, M2M 게이트웨이는 식별 모듈인 UICC의 DB에 저장된 정보테이블 에 기초하여 데이터 페이로드(4210)에 M2M 디바이스의 외부통신에 필요한 정보를(4211 내지 4219)를 실어 데이터 패킷을 구성할 수 있다. 또한, 데이터 전송시 ICC ID, IMSI 및 디바이스 ID를 함께 제공함으로써, 검침기 단말과 UICC, MNO(Mobile Network Operator)의 불법 변경 등을 모니터링할 수 있고, M2M 게이트웨이의 식별 모듈에서 주파수 채널 ID, PAN ID, 네트워크 ID, 라우팅 테이블 정보를 등록 및 관리함으로써 M2M 지역 네트워크에서의 불법 변경도 모니터링할 수 있다.
다시 도 4를 참조하면, 생성된 데이터 페이로드(4210)에 대해서는 상기 도 3에서 상술한 것과 같이 PKI 기반의 암호화키 또는 해싱 함수를 이용한 데이터 암호화 과정을 통해 보안처리된 데이터 페이로드(4210)로 구성하고, 통신표준에 따라 HTTPS 프로토콜을 이용한 데이터 패킷(400)을 생성할 수 있다. 이때, M2M 게이트웨이는 식별모듈의 SCWS 및 게이트웨이를 사용하여 도 4에 도시된 것과 같은 데이터 암호화 과정 및 통신표준 규격에 따른 데이터 패킷을 생성할 수 있다.
한편, 본 발명의 실시예에 따른 M2M 게이트웨이는 M2M 디바이스와 데이터 통신을 수행하며 네트워크 상태 및 M2M 디바이스의 상태를 모니터링하고, 그에 따른 기능을 수행할 수 있다.
예컨대, M2M 게이트웨이는 M2M 디바이스의 동작 상태를 모니터링하면서 배터리 전원 상태를 실시간으로 모니터링할 수 있다. 모니터링 결과, M2M 게이트웨이가 사업자측으로 데이터 패킷 전송시 페이로드에 배터리 잔량 정보를 실어 사업자측 운영서버로 전송함으로써, 사업자는 M2M 디바이스의 지속 가능한 동작 시간을 예측하고 동작 불능의 원인을 원격으로 파악할 수 있다. 만약, M2M 디바이스의 전원이 배터리가 아닌 상시 공급전력으로 구동되는 경우, 0xFFFF와 같이 특정 코드로 설정하여 전원종류를 구분할 수 있다.
또한, M2M 게이트웨이는 M2M 디바이스가 외부에 설치되는 경우 디바이스 상태에 영향을 줄 수 있는 고온, 고압, 고습 등의 환경적 요인을 고려하여 환경 데이터에 대한 변화도 실시간 모니터링하고, 디바이스의 고장 여부를 판별하거나 사전 고장 예방 등에 모니터링 결과를 활용할 수 있다.
또한, M2M 게이트웨이는 M2M 디바이스의 주요 기능 센서 외에 디바이스 자체의 환경 상태를 모니터링하기 위해 내장된 온도 센서, 습도 센서, 압력 센서 등을 활용하여 M2M 디바이스가 동작 가능 범위 내에서 동작하고 있는지를 원격으로 모니터링할 수 있다.
이와 같이, M2M 게이트웨이에서 모니터링한 M2M 디바이스의 상태 정보(예, 배터리 잔량, 환경 데이터, 센싱 데이터 등)는 도 4에 도시된 데이터 패킷(400)에서 데이터 페이로드 영역(4210)에 실어 전송될 수 있다. 예커대, 데이터 페이로드 영역(4210)에서 M2M 디바이스의 데이터 통신을 위해 필요한 정보를 실은 영역(4211 내지 4219)을 제외한 나머지 페이로드 영역(4220)에 M2M 디바이스의 상태 정보(예, 배터리 잔량, 환경 데이터, 센싱 데이터 등)를 실어 사업자 운영서버로 전송할 수 있다.
상술한 본 발명의 실시예에 따른 M2M 게이트웨이는 M2M 네트워크와 M2M 지역 네트워크를 연동시키기 위해 지역망의 코디네이터 역할을 하면서 M2M 디바이스를 M2M 네트워크에 연동시키기 위해 디바이스 데이터를 암호화 처리하고 모든 로그 정보를 대용량 메모리에 저장하여 관리한다. 또한, M2M 게이트웨이는 M2M 지역 네트워크의 각 디바이스에 대한 무결성 및 기밀성을 유지하면서 관리 및 운용하기 위해, M2M 게이트웨이의 식별 모듈(e-UICC)에 M2M 지역 네트워크에 대한 주파수 채널 ID, PAN ID, 네트워크 ID, 디바이스 ID 정보, 네트워크 경로를 라우팅하기 위한 라우팅 테이블 등을 저장할 수 있다. 식별 모듈에 저장된 데이터에 기초하여 M2M 지역 네트워크의 설정 정보 및 데이터를 암호화하면, 제3자가 M2M 디바이스를 해킹하여 M2M 지역 네트워크에 불법으로 접속하는 경우에도 M2M 게이트웨이에서 M2M 디바이스의 무결성을 확인할 수 있어 데이터 보안을 더욱 강화할 수 있다.
이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서 본 발명에 기재된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상이 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의해서 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.

Claims (15)

  1. 엠투엠(Machine to Machine) 네트워크와 엠투엠 지역 네트워크 사이에 위치되어, 두 네트워크간의 데이터 전송을 가능하게 하는 게이트웨이 장치에 있어서,
    게이트웨이를 통해 엠투엠 네트워크에 접속하는 엠투엠 디바이스와 데이터 통신을 수행하기 위한 통신부;
    상기 엠투엠 디바이스로부터 데이터를 취합하고, 상기 엠투엠 디바이스에 대한 모니터링 및 원격 상태 관리를 수행하는 제어부; 및
    상기 제어부와의 통신을 통해 상기 게이트웨이에 접속하는 상기 엠투엠 디바이스에 대한 인증절차를 수행하고, 상기 엠투엠 디바이스에 관한 데이터를 암호화된 형태로 저장하는 소정의 데이터 패킷을 생성하는 식별모듈을 포함하되,
    상기 식별모듈은,
    상기 엠투엠 디바이스의 식별정보, 상기 식별모듈의 식별정보, 주파수 채널 식별정보, 가입자 식별정보 및 상기 엠투엠 디바이스로부터 취합한 데이터 중 적어도 하나를 단일 데이터 패킷에 실어 암호화하는, 엠투엠 게이트웨이 장치.
  2. 제1항에 있어서,
    상기 식별모듈은,
    상기 식별모듈에 웹 서버를 탑재한 서비스를 제공하는 스마트 카드 웹 서버(Smart Card Web Server: SCWS), 데이터베이스, 데이터베이스 관리 시스템(Database Management System) 및 소정의 인터페이스 포트를 포함하되,
    상기 데이터베이스에 상기 엠투엠 지역 네트워크에 대한 주파수 채널 식별정보, 개인 영역 네트워크 식별정보(Personal Area Network ID: PAN ID), 네트워크 식별정보, 상기 엠투엠 지역 네트워크에 속한 다수의 엠투엠 디바이스 각각에 대한 식별정보 및 네트워크 경로의 라우팅을 위한 라우팅 테이블 중 적어도 하나를 미리 저장하여 관리하는, 엠투엠 게이트웨이 장치.
  3. 제2항에 있어서,
    상기 식별모듈은,
    상기 데이터베이스에 기초하여, 상기 게이트웨이에 접속하는 상기 엠투엠 디바이스에 대한 인증절차를 수행하는, 엠투엠 게이트웨이 장치.
  4. 제3항에 있어서,
    상기 제어부는,
    상기 식별모듈과의 통신을 통해 네트워크 구성 확인 후 상기 게이트웨이에 접속하는 상기 엠투엠 디바이스에 대한 PAN ID를 부여하는, 엠투엠 게이트웨이 장치.
  5. 제2항에 있어서,
    상기 제어부는,
    상기 식별모듈과의 통신을 통해 상기 엠투엠 디바이스의 식별정보에 대응하는 가입자 식별정보를 도출하여 상기 엠투엠 디바이스의 식별정보에 맵핑하고, 맵핑된 정보를 상기 데이터베이스에 저장하도록 수행하는, 엠투엠 게이트웨이 장치.
  6. 제2항에 있어서,
    상기 식별모듈은,
    상기 데이터베이스에 기초하여 상기 엠투엠 디바이스에 부여되는 개인 영역 네트워크(PAN) 식별정보, 네트워크 식별정보, 주파수 채널 식별정보, 디바이스 식별정보, 가입자 식별정보 및 상기 엠투엠 디바이스로부터 취합한 데이터를 데이터 패킷의 페이로드 영역에 실어 암호화하는, 엠투엠 게이트웨이 장치.
  7. 제1항, 제2항 또는 제6항 중 어느 하나에 있어서,
    상기 식별모듈은,
    상기 데이터 페이로드 영역에 대해 공개키기반구조(Public Key Infrastructure)를 이용한 소정의 비대칭키로 암호화하는 방식, 키 값을 기억 장소의 주소로 변환하는데 사용하는 해싱 함수(hashing function)를 사용하여 암호화하는 방식 소정의 결제 관련 정보에 대한 인증을 수행하기 위한 고정키 혹은 공개키 방식의 인증 애플릿(applet)을 이용하는 방식 중 어느 하나를 사용하는, 엠투엠 게이트웨이 장치.
  8. 제1항에 있어서,
    상기 식별모듈은,
    상기 암호화된 데이터 패킷에 대해 통신 표준규격에 따라 HTTPS 프로토콜 기반의 데이터 패킷으로 생성하는, 엠투엠 게이트웨이 장치.
  9. 제1항에 있어서,
    상기 엠투엠 디바이스로부터 취합하는 데이터는,
    상기 엠투엠 디바이스의 식별정보, 동작 상태 정보, 배터리 잔량 정보, 센싱 정보, 환경정보 및 결제 관련 정보 중 적어도 하나를 포함하는, 엠투엠 게이트웨이 장치.
  10. 제9항에 있어서,
    상기 결제 관련 정보는,
    오프라인/모바일 결제에 사용된 카드정보, 결제금액정보 및 결제를 위한 인증정보 중 적어도 하나를 포함하는, 엠투엠 게이트웨이 장치.
  11. 제1항에 있어서,
    상기 식별모듈에서 암호화된 데이터 패킷을 저장하는 비휘발성 타입의 메모리를 더 포함하는, 엠투엠 게이트웨이 장치.
  12. 제11항에 있어서,
    상기 제어부는,
    상기 엠투엠 게이트웨이와 TCP/IP 통신을 수행하는 원격의 운용 서버로부터 데이터 전송 요청시 상기 메모리로부터 요청된 데이터를 송출하여 상기 통신부를 통해 상기 원격의 운용 서버로 전송하도록 수행하는, 엠투엠 게이트웨이 장치.
  13. 제1항에 있어서,
    이동 통신망을 통해 원격의 운용 서버와 TCP/IP 통신을 수행하기 위한 기저대역 통신 모뎀을 더 포함하는, 엠투엠 게이트웨이 장치.
  14. 제1항에 있어서,
    상기 데이터 패킷은,
    헤더 영역; 및
    전송하고자 하는 데이터가 암호화되어 포함되는 제1 영역 및 데이터 전송시 오류 발생 여부를 체크하기 위한 블록검사코드(block check code)가 포함되는 제2 영역으로 구성되는 페이로드 영역을 포함하는, 엠투엠 게이트웨이 장치.
  15. 제14항에 있어서,
    상기 제1 영역은,
    상기 엠투엠 디바이스에 부여되는 주파수 채널 정보, 수신지 PAN ID, 수신지 주소, 발신지 PAN ID, 발신지 주소, 네트워크 식별정보, 상기 엠투엠 디바이스의 식별정보, 상기 엠투엠 디바이스에 맵핑되는 가입자 식별정보 및 상기 엠투엠 디바이스로부터 취합하는 데이터 중 적어도 하나를 포함하는, 엠투엠 게이트웨이 장치.
KR1020120085561A 2012-08-06 2012-08-06 결제 및 원격 모니터링을 통한 제어용 m2m 보안 게이트웨이 장치 및 통신 시스템 KR101643334B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020120085561A KR101643334B1 (ko) 2012-08-06 2012-08-06 결제 및 원격 모니터링을 통한 제어용 m2m 보안 게이트웨이 장치 및 통신 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120085561A KR101643334B1 (ko) 2012-08-06 2012-08-06 결제 및 원격 모니터링을 통한 제어용 m2m 보안 게이트웨이 장치 및 통신 시스템

Publications (2)

Publication Number Publication Date
KR20140030352A true KR20140030352A (ko) 2014-03-12
KR101643334B1 KR101643334B1 (ko) 2016-07-28

Family

ID=50642817

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120085561A KR101643334B1 (ko) 2012-08-06 2012-08-06 결제 및 원격 모니터링을 통한 제어용 m2m 보안 게이트웨이 장치 및 통신 시스템

Country Status (1)

Country Link
KR (1) KR101643334B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017007132A1 (ko) * 2015-07-06 2017-01-12 삼성전자 주식회사 암호화된 통신 세션의 모니터링 방법, 장치 및 시스템
CN112311663A (zh) * 2020-11-14 2021-02-02 登封启明轩集团有限公司 一种挂面包装机械用工业网关

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090029199A (ko) * 2006-06-08 2009-03-20 키애런 브래들리 Sim-기반 방화벽을 위한 방법 및 장치
KR20110095395A (ko) * 2008-01-18 2011-08-24 인터디지탈 패튼 홀딩스, 인크 M2m 통신을 인에이블하는 방법 및 장치
KR20110117030A (ko) * 2010-04-20 2011-10-26 삼성전자주식회사 장치 대 장치 서비스를 제공하는 디바이스 관리 방법 및 시스템과 그 장치

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090029199A (ko) * 2006-06-08 2009-03-20 키애런 브래들리 Sim-기반 방화벽을 위한 방법 및 장치
KR20110095395A (ko) * 2008-01-18 2011-08-24 인터디지탈 패튼 홀딩스, 인크 M2m 통신을 인에이블하는 방법 및 장치
KR20110117030A (ko) * 2010-04-20 2011-10-26 삼성전자주식회사 장치 대 장치 서비스를 제공하는 디바이스 관리 방법 및 시스템과 그 장치

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
안전한 M2M 통신 구축을 위한 상호인증 및 키 교환 프로토콜, 은선기, 정보보호학회논문 제20권 제1호 (2010. 2. 3. 공개)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017007132A1 (ko) * 2015-07-06 2017-01-12 삼성전자 주식회사 암호화된 통신 세션의 모니터링 방법, 장치 및 시스템
US11153287B2 (en) 2015-07-06 2021-10-19 Samsung Electronics Co., Ltd Method, apparatus, and system for monitoring encrypted communication session
CN112311663A (zh) * 2020-11-14 2021-02-02 登封启明轩集团有限公司 一种挂面包装机械用工业网关

Also Published As

Publication number Publication date
KR101643334B1 (ko) 2016-07-28

Similar Documents

Publication Publication Date Title
KR101538424B1 (ko) 결제 및 원격 모니터링을 위한 사용자 단말
US10939279B2 (en) Method and apparatus for downloading profile in wireless communication system
CN102215474B (zh) 对通信设备进行认证的方法和装置
CN102349319B (zh) 中继节点的设置和配置
KR20180069737A (ko) 디바이스들 사이의 통신들의 인에이블
US8495377B2 (en) Enabling secure access to sensor network infrastructure using multiple interfaces and application-based group key selection
JP2018522492A (ja) 共用simパラメータを使用するマシンタイプ通信の確立
US20210144551A1 (en) Method and apparatus for discussing digital certificate by esim terminal and server
CN105432103A (zh) 接入网络辅助引导自举
CN107005534A (zh) 安全连接建立
CN1973495A (zh) 无线局域网关联的设备和方法及相应产品
CN102202302A (zh) 结合网络及无线传感器网络终端加入网络的方法
CN109716724A (zh) 与服务器通信的通信设备的双网认证的方法和系统
CN102202298A (zh) 结合网络及无线传感器网络终端加入网络的方法
CN104660567A (zh) D2d终端接入认证方法、d2d终端及服务器
EP2561696A1 (en) Method and apparatus for machine communication
WO2011116598A1 (zh) 一种对网关实现管理的方法及系统
WO2014156968A1 (ja) 通信システム、中継装置及び通信方法
CN108476224B (zh) 认证通信连接的方法、数据通信装置和存储介质
WO2017101211A1 (zh) 无线通信系统接入方法、装置及终端
KR101643334B1 (ko) 결제 및 원격 모니터링을 통한 제어용 m2m 보안 게이트웨이 장치 및 통신 시스템
JP5770308B2 (ja) 接続識別子に対するアプリケーション識別子のリゾリューションのためのレコード生成
Heins NB-IoT Use Cases and Devices
CN110226319A (zh) 用于紧急接入期间的参数交换的方法和设备
US11606199B2 (en) Management of groups of connected objects using wireless communication protocols

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant