KR20180116878A - DYNAMIC ACCESS CONTROL SYSTEM AND METHOD FOR IoT SECURITY USING THE DETECTION OF FABRICATION AND MODIFICATION - Google Patents
DYNAMIC ACCESS CONTROL SYSTEM AND METHOD FOR IoT SECURITY USING THE DETECTION OF FABRICATION AND MODIFICATION Download PDFInfo
- Publication number
- KR20180116878A KR20180116878A KR1020170049735A KR20170049735A KR20180116878A KR 20180116878 A KR20180116878 A KR 20180116878A KR 1020170049735 A KR1020170049735 A KR 1020170049735A KR 20170049735 A KR20170049735 A KR 20170049735A KR 20180116878 A KR20180116878 A KR 20180116878A
- Authority
- KR
- South Korea
- Prior art keywords
- iot
- access control
- terminal
- security
- dna code
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
Abstract
Description
본 발명은 위변조 탐지를 이용한 IoT 보안용 동적 접근 제어 시스템 및 그 방법에 관한 것으로, 구체적으로는 단말의 위변조 탐지 정보인 DNA 코드를 추출하고 비교함에 따라 IPSec VPN 터널의 연결을 통해 단말의 동적 접근 제어를 수행함으로써, 외부 공격으로부터 안전한 IOT 서비스를 제공하기 위한, 위변조 탐지를 이용한 IoT 보안용 동적 접근 제어 시스템 및 그 방법에 관한 것이다.The present invention relates to a dynamic access control system for IoT security using forgery detection, and more particularly to a dynamic access control system for IoT security and a method for detecting dynamic access control of a terminal through connection of an IPSec VPN tunnel by extracting and comparing DNA codes, And more particularly to a dynamic access control system and method for IoT security using forgery detection to provide an IOT service that is safe from an external attack.
인터넷은 인간이 정보를 생성하고 소비하는 인간 중심의 연결망에서, 사물 등 분산된 구성 요소들 간에 정보를 주고받아 처리하는 IoT(Internet of Things, 사물인터넷)(이하 "IoT"라 함)망으로 진화하고 있다. The Internet evolved into the Internet of Things (IoT) network (hereinafter referred to as "IoT"), which exchanges information among distributed components such as objects in a human-centered network where humans generate and consume information. .
IoT를 구현하기 위해서, 센싱 기술, 유무선 통신 및 네트워크 인프라, 서비스 인터페이스 기술, 및 보안기술과 같은 기술 요소들이 요구되어, 최근에는 사물간의 연결을 위한 센서 네트워크(sensor network), 사물통신(Machine to Machine, M2M), MTC(Machine Type Communication)등의 기술이 연구되고 있다.In order to implement IoT, technology elements such as sensing technology, wired / wireless communication, network infrastructure, service interface technology and security technology are required. In recent years, sensor network, machine to machine , M2M), and MTC (Machine Type Communication).
IoT 환경에서는 IoT 디바이스들의 수가 증가함에 따라 IoT 서비스의 보안 위협에 대한 대응이 요구되는 실정이다. 이러한 요구 사항은 가상 사설 네트워크를 통한 네트워크 분리, 단대단(end to end) IP 계층 암호화 및 통합 인증, 네트워크 레벨의 접근 통제, 펌웨어 위변조 탐지를 위한 단말 보안 등과 관련된다.In the IoT environment, as the number of IoT devices increases, a countermeasure against the security threat of the IoT service is required. These requirements relate to network isolation through virtual private networks, end-to-end IP layer encryption and integrated authentication, network-level access control, and terminal security for firmware tampering detection.
이러한 요구 사항에 대한 대응은 방화벽이나 단순 침입 탐지 시스템 등을 통해 공격을 예방하거나 사후에 추적하는 형태로 이루어져왔다. 이 경우에, IoT 환경에서는 위변조 방지를 위해 방화벽과 같이 자체적인 침입탐지 시스템을 구축하고 있으나, 해커에 의한 불법적인 침입을 감지하는 것에 머무르기 때문에 해커가 침입에 성공한 경우는 시스템 파일에 위변조 여부를 파악하기 어렵다.The response to these requirements has been in the form of preventing or tracking attacks through firewalls or simple intrusion detection systems. In this case, in the IoT environment, a built-in intrusion detection system such as a firewall is built in order to prevent forgery and falsification. However, if the intruder succeeds in detecting an illegal intrusion by a hacker, It is difficult to do.
이와 관련하여, 대한민국 공개특허 제2011-0117799호(파라미터 위변조 방지 방법 및 그 방법을 수행하기 위한 단말기)에는, 특정 애플리케이션은 메시지 인증 코드의 비교를 통해서 다른 애플리케이션으로부터 수신한 파라미터의 위조 또는 변조 여부에 대한 판단을 제공하는 기술이 개시된 바 있다.In this regard, Korean Patent Publication No. 2011-0117799 (a method for preventing forgery of parameters and a terminal for carrying out the method), a specific application can determine whether a parameter received from another application is falsified or altered A technique has been disclosed for providing a judgment on the user.
따라서, IoT 환경에서는 동적 접근 제어를 통해 외부의 해킹 및 공격 위협으로부터 안전하게 차단할 수 있는 환경이 제안될 필요가 있다.Therefore, in the IoT environment, it is necessary to propose an environment that can be safely blocked from external hacking and attack threats through dynamic access control.
본 발명의 목적은 단말의 위변조 탐지 정보인 DNA 코드를 추출하고 비교함에 따라 IPSec VPN 터널의 연결을 통해 단말의 동적 접근 제어를 수행함으로써, 외부 공격으로부터 안전한 IOT 서비스를 제공하기 위한, 위변조 탐지를 이용한 IoT 보안용 동적 접근 제어 시스템 및 그 방법을 제공하는데 있다.It is an object of the present invention to provide a method and a system for performing dynamic access control of a terminal through connection of an IPSec VPN tunnel by extracting and comparing DNA codes that are forgery- A dynamic access control system for IoT security and a method thereof.
본 발명의 일실시예에 따른 위변조 탐지를 이용한 IoT 보안용 동적 접근 제어 시스템은, 단말의 위변조 탐지 정보인 DNA 코드를 추출하기 위한 IoT DCU(Data Collecting Unit); 상기 DNA 코드의 인증 요청에 따라 기 등록된 DNA 코드와 비교하여 상기 단말의 위변조 탐지 및 검증을 수행하기 위한 IoT 보안 관리서버; 및 상기 DNA 코드의 인증 결과에 따라, 어플리케이션 데이터 전송이 가능한 상태로 IPSec G/W와 IPSec VPN 터널을 연결하기 위한 IoT 보안 G/W;를 포함할 수 있다.The dynamic access control system for IoT security using forgery detection according to an embodiment of the present invention includes an IoT DCU (Data Collecting Unit) for extracting DNA code which is forgery detection information of a terminal; An IoT security management server for performing forgery detection and verification of the terminal by comparing it with previously registered DNA code according to an authentication request of the DNA code; And an IoT security G / W for connecting the IPSec G / W and the IPSec VPN tunnel in a state where the application data can be transferred according to the result of the authentication of the DNA code.
상기 IoT DCU는, IoT 디바이스 네트워크 내에서 있는 하나 이상의 IoT 디바이스에 연결되어 데이터를 수집 및 전송할 수 있다.The IoT DCU may be coupled to one or more IoT devices within the IoT device network to collect and transmit data.
상기 IoT DCU는, 상기 단말의 DNA 코드를 추출하기 위한 시큐리티 포스쳐 에이전트(Security Posture Agent: SPA)를 구비할 수 있다.The IoT DCU may include a security posture agent (SPA) for extracting the DNA code of the terminal.
상기 시큐리티 포스쳐 에이전트는, 바이너리 해싱(binary hashing) 기반으로 상기 단말의 시스템 파일의 고유정보를 수집 및 추출하여 상기 DNA 코드를 생성할 수 있다.The security forcourse agent may generate the DNA code by collecting and extracting unique information of the system file of the terminal on the basis of binary hashing.
상기 IoT 보안 G/W는, 초기 연결시, 상기 단말의 어플리케이션 데이터 전송이 차단된 상태로 상기 IPSec G/W와 IPSec VPN 터널이 연결될 수 있다.The IoT security G / W may be connected to the IPSec G / W and the IPSec VPN tunnel in a state where application data transmission of the terminal is blocked at the time of initial connection.
상기 IoT 보안 G/W는, 상기 IoT DCU의 IP 주소별 연결(connect) 또는 차단(disconnect) 설정을 통해 동적 접근 제어를 수행할 수 있다.The IoT security G / W can perform dynamic access control through connection or disconnection setting for each IP address of the IoT DCU.
상기 IoT 보안 G/W는, rule 파라미터를 이용하여 동적 접근 제어를 수행할 수 있다.The IoT security G / W can perform dynamic access control using a rule parameter.
한편, 본 발명의 일실시예에 따른 위변조 탐지를 이용한 IoT 보안용 동적 접근 제어 방법은, 단말이 접속 요청하면, 상기 단말의 위변조 탐지 정보인 DNA 코드를 추출하는 단계; 상기 DNA 코드의 인증 요청에 따라 기 등록된 DNA 코드와 비교하여 상기 단말의 위변조 탐지 및 검증을 수행하는 단계; 및 상기 DNA 코드의 인증 결과에 따라, 어플리케이션 데이터 전송이 가능한 상태로 IPSec VPN 터널을 연결하는 단계;를 포함할 수 있다.Meanwhile, a dynamic access control method for IoT security using forgery detection according to an embodiment of the present invention includes extracting a DNA code that is falsification detection information of the terminal when the terminal requests a connection; Performing a forgery detection and verification of the terminal by comparing the DNA code with a previously registered DNA code according to an authentication request of the DNA code; And connecting the IPSec VPN tunnel in a state in which application data can be transferred according to the authentication result of the DNA code.
상기 수행 단계는, 어플리케이션 데이터 전송이 차단된 상태로 IPSec VPN 터널을 연결할 수 있다.The performing step may connect the IPSec VPN tunnel with the application data transmission blocked.
또한, 본 발명의 일실시예에 따른 위변조 탐지를 이용한 IoT 보안용 동적 접근 제어 방법은, 상기 연결 단계 이후에, 주기적으로 상기 단말의 DNA 코드를 추출하여 상기 기 등록된 DNA 코드와 비교하는 단계;를 더 포함할 수 있다.The dynamic access control method for IoT security using forgery detection according to an embodiment of the present invention may further include periodically extracting a DNA code of the terminal after the connection step and comparing the DNA code with the previously registered DNA code; As shown in FIG.
또한, 본 발명의 일실시예에 따른 위변조 탐지를 이용한 IoT 보안용 동적 접근 제어 방법은, 상기 비교 결과로 서로 일치하고, 서비스가 종료하면, 어플리케이션 변경정보가 있는지를 확인하여 상기 단말의 어플리케이션의 업데이트를 진행하는 단계;를 더 포함할 수 있다.Also, the dynamic access control method for IoT security using forgery detection according to an embodiment of the present invention checks whether there is application change information when the service is completed, The method comprising the steps of:
또한, 본 발명의 일실시예에 따른 위변조 탐지를 이용한 IoT 보안용 동적 접근 제어 방법은, 상기 업데이트 진행 단계 이후에, 상기 기 등록된 DNA 코드에 대해 업데이트를 수행하는 단계;를 더 포함할 수 있다.The dynamic access control method for IoT security using forgery detection according to an embodiment of the present invention may further include performing an update on the pre-registered DNA code after the update progress step .
상기 추출 단계는, 바이너리 해싱 기반으로 상기 단말의 시스템 파일의 고유정보를 수집 및 추출하여 상기 DNA 코드를 생성할 수 있다.The extracting step may collect and extract unique information of the system file of the terminal based on binary hashing to generate the DNA code.
본 발명은 단말의 위변조 탐지 정보인 DNA 코드를 추출하고 비교함에 따라 IPSec VPN 터널의 연결을 통해 단말의 동적 접근 제어를 수행함으로써, 외부 공격으로부터 안전한 IOT 서비스를 제공할 수 있다.The present invention extracts and compares DNA codes, which are forgery detection information of a terminal, and performs dynamic access control of a terminal through connection of an IPSec VPN tunnel, thereby providing a secure IOT service from an external attack.
또한, 본 발명은 펌웨어 위변조 대응, 상호 인증을 통한 안전한 연결통로를 확보, 네트워크 레벨의 접근 통제를 제공할 수 있다.In addition, the present invention can provide a secure connection path through firmware forgery / fake correspondence, mutual authentication, and provide network level access control.
도 1은 본 발명의 일실시예에 따른 위변조 탐지를 이용한 IoT 보안용 동적 접근 제어 시스템을 나타낸 도면,
도 2는 본 발명의 일실시예에 따른 위변조 탐지를 이용한 IoT 보안용 동적 접근 제어 방법을 나타낸 도면,
도 3은 상기 도 2의 IPSec VPN 터널을 연결 이후에 종료하는 과정을 나타낸 도면이다.1 illustrates a dynamic access control system for IoT security using forgery detection according to an embodiment of the present invention;
2 is a diagram illustrating a dynamic access control method for IoT security using forgery detection according to an embodiment of the present invention;
FIG. 3 illustrates a process of terminating the IPSec VPN tunnel of FIG. 2 after connection.
본 발명을 충분히 이해하기 위해서 본 발명의 바람직한 실시예를 첨부 도면을 참조하여 설명한다. 본 발명의 실시예는 여러 가지 형태로 변형될 수 있으며, 본 발명의 범위가 아래에서 상세히 설명하는 실시예로 한정되는 것으로 해석되어서는 안 된다. 본 실시예는 당업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공 되어지는 것이다. 따라서 도면에서의 요소의 형상 등은 보다 명확한 설명을 강조하기 위해서 과장되어 표현될 수 있다. 각 도면에서 동일한 부재는 동일한 참조부호로 도시한 경우가 있음을 유의하여야 한다. 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 공지 기능 및 구성에 대한 상세한 기술은 생략된다.For a better understanding of the present invention, a preferred embodiment of the present invention will be described with reference to the accompanying drawings. The embodiments of the present invention may be modified into various forms, and the scope of the present invention should not be construed as being limited to the embodiments described in detail below. The present embodiments are provided to enable those skilled in the art to more fully understand the present invention. Therefore, the shapes and the like of the elements in the drawings can be exaggeratedly expressed to emphasize a clearer description. It should be noted that in the drawings, the same members are denoted by the same reference numerals. Detailed descriptions of well-known functions and constructions which may be unnecessarily obscured by the gist of the present invention are omitted.
도 1은 본 발명의 일실시예에 따른 위변조 탐지를 이용한 IoT 보안용 동적 접근 제어 시스템을 나타낸 도면이다.1 is a diagram illustrating a dynamic access control system for IoT security using forgery detection according to an embodiment of the present invention.
도 1에 도시된 바와 같이, 본 발명의 일실시예에 따른 위변조 탐지를 이용한 IoT 보안용 동적 접근 제어 시스템(이하 "동적 접근 제어 시스템"이라 함, 100)은, 외부 해킹 및 공격위협으로부터 안전한 IoT 서비스 제공을 위하여 보안성 강화를 위한 펌웨어 위변조 대응, 상호인증을 통한 안전한 연결통로 확보 및 네트워크 레벨의 접근 통제를 제공할 수 있다.1, a dynamic access control system (hereinafter, referred to as "dynamic access control system") 100 for IoT security using forgery detection according to an embodiment of the present invention includes IoT For providing the service, it can provide firmware forgery and falsification for security enhancement, secure connection through mutual authentication, and network level access control.
이러한 동적 접근 제어 시스템(100)은 IoT 디바이스 네트워크 환경에 위치하는 IoT 디바이스(10)와 IoT 서비스 네트워크 환경에 위치하는 IoT 서버(20) 사이의 이종 네트워크 환경에서 IoT 네트워크 보안 솔루션을 제공할 수 있다. 즉, 동적 접근 제어 시스템(100)은 유무선 통신망을 통해 접속된 단말(150)의 무결성을 확보하기 위해 단말(150)의 펌웨어 위변조를 탐지 및 검증한다.The dynamic
단말(150)은 유무선 네트워크를 통해 연결되며, 예를 들어, 예를 들어, 스마트폰, 태블릿 컴퓨터, 웨어러블 디바이스, 데스크탑 컴퓨터, 노트북 컴퓨터, 각종 센서 등 소프트웨어의 설치 및 유무선 통신이 가능한 모든 종류의 디바이스들일 수 있다.The
여기서, IoT 디바이스(10)는 CCTV, 열감지 센서, 문고리 센서, 온도 조절기, 수위 탐지기, 정화조 센서, 가스미터, 스마트미터, 수도미터 등을 포함하며, 실시간으로 데이터를 센싱하여 전송한다. IoT 서버(20)는 IoT 디바이스(10)로부터 전송되는 각종 데이터를 수집하여 IoT 서비스를 제공한다.The IoT
이러한 동적 접근 제어 시스템(100)은 IoT DCU(110), IoT 보안 G/W(120), IPSec G/W(130), IoT 보안 관리서버(140)를 포함한다.The dynamic
IoT DCU(Data Collecting Unit)(110)는 IoT 디바이스 네트워크 내에서 있는 하나 이상의 IoT 디바이스(10)에 연결되어 데이터 수집 및 전송 기능을 담당한다. 여기서, IoT 디바이스 네트워크에는 하나 이상의 IoT 디바이스(10)를 연결하여 관리하는 IoT DCU(110)가 다수 포함될 수 있다.The IoT DCU (Data Collecting Unit) 110 is connected to one or
특히, IoT DCU(110)는 단말(150)에 대한 위변조 탐지를 수행하기 위해 위변조 탐지 정보로서 단말(150)의 DNA 코드를 추출하기 위한 '시큐리티 포스쳐 에이전트(Security Posture Agent: SPA, 이하 "SPA"라 함)'를 구비한다. 이처럼, SPA는 IoT 디바이스(10)를 관리하는 종단(endpoint)에 위치하는 IoT DCU(110)에 구비됨으로써, 종단에서 단말(150)의 위변조 탐지 및 검증을 가능하게 한다.In particular, the IoT DCU 110 generates a security posture agent (SPA) for extracting the DNA code of the
SPA는 단말(150)의 바이너리 해싱(binary hashing) 기반으로 단말(150) 고유의 DNA 코드를 추출한다. 이때, SPA는 단말(150)로부터 시스템 파일의 고유정보(예를 들어, 파일명, 마지막 수정일자, 크기, 권한, 경로, 파일 해쉬값 등)를 수집 및 추출하여 DNA 코드를 생성한다. The SPA extracts a DNA code unique to the
이를 통해, 후술할 IoT 보안 관리서버(140)는 기 등록된 DNA 코드와 추출된 단말(150)의 DNA 코드를 상호 비교하여 단말(150)이 오염된 경우에 네트워크 접근을 통제할 수 있다.Accordingly, the IoT
IoT 보안 G/W(120) 및 IPSec G/W(130)는 IoT 디바이스 네트워크와 IoT 서비스 네트워크 사이의 이종 네트워크 환경을 상호 연결하여 안전한 연결통로를 확보하기 위한 게이트웨이(gateway) 기능을 담당한다.The IoT security G /
이를 위해, IoT 보안 G/W(120) 및 IPSec G/W(130)는 인터넷상에서 송수신 데이터의 보안을 위해, 공중망인 인터넷을 통해 IoT 디바이스 네트워크와 IoT 서비스 네트워크 간에 보안 상태를 유지하면서 통신할 목적으로 가상 사설망(Virtual Private Network: VPN)을 구축하여 상호 간 연결통로를 확보한다. IPSec G/W(130)는 가상 사설망을 구축할 수 있는 기반 인프라가 제공되는 상용 게이트웨이에 해당한다.For this purpose, the IoT security G /
이때, IoT 보안 G/W(120) 및 IPSec G/W(130)는 IoT 디바이스 네트워크와 IoT 서비스 네트워크 간의 통신에서 암호화 기술과 터널링 기술을 적용한다.At this time, the IoT security G /
먼저, 암호화 기술은 인터넷을 통해 IoT 디바이스 네트워크와 IoT 서비스 네트워크 간에 데이터를 송수신할 때, 송신측에서 데이터를 송신하기 전에 데이터를 암호화하고, 수신측에서 암호화된 데이터를 복호화하는 기술이다. First, encryption technology encrypts data before transmitting data on the transmitting side and decrypts the encrypted data on the receiving side when data is exchanged between the IoT device network and the IoT service network via the Internet.
예를 들어, 암호화 기술은 DES(Data Encryption Standard), Triple-DES, RC4/5, AES(Advanced Encryption Standard), CAST, SEED 등이 적용될 수 있다.For example, the encryption technology may be applied to DES (Data Encryption Standard), Triple-DES, RC4 / 5, AES (Advanced Encryption Standard), CAST, and SEED.
다음으로, 터널링 기술은 인터넷상에 가상의 보안터널을 통해 IoT 디바이스 네트워크와 IoT 서비스 네트워크 간에 데이터 송수신을 전용선처럼 사용할 수 있게 한다. Next, the tunneling technology enables data transmission / reception between the IoT device network and the IoT service network as a dedicated line through a virtual security tunnel on the Internet.
예를 들어, 터널링 기술은 IPSec(Internet Protocol Security), PPTP(Point to Point Tunneling Protocol), L2TP(Layer2 Tunneling Protocol), L2F(Layer2 Forwarding) 등이 적용될 수 있으나, 이중 인터넷의 TCP/IP 패킷을 사전에 암호화하는 방법을 규정한 IPSec 기술을 이용하는 것이 바람직하다.For example, the tunneling technology can be applied to Internet Protocol Security (IPSec), Point to Point Tunneling Protocol (PPTP),
이처럼, IoT 보안 G/W(120)와 IPSec G/W(130)는 상호 연계하여 안전한 연결통로를 확보하기 위한 'IPSec VPN 터널'을 형성한다. As described above, the IoT
그런데 IoT 보안 G/W(120)와 IPSec G/W(130)는 초기 연결시, 단말(150)의 어플리케이션 데이터(즉, App 데이터) 전송이 차단된 상태로 IPSec VPN 터널이 연결된다.In the initial connection, the IPSec VPN tunnel is connected to the IOT security G /
이후, IoT 보안 G/W(120)는 IoT DCU(110)로부터 전달된 단말(150)의 DNA 코드를 이용하여 IoT 보안 관리서버(140)로 인증을 요청하고, IoT 보안 관리서버(140)의 인증결과에 따라 IPSec VPN 터널의 App 데이터 전송이 가능한 상태로 연결하거나, IPSec VPN 터널을 차단한다. 이처럼, 단말(150)은 자신의 DNA 코드가 추출되어 위변조 탐지 및 검증됨에 따라, IoT 서비스 이용을 위한 무결성 확보를 위해 네트워크 접속이 동적으로 제어된다.Thereafter, the IoT security G /
여기서, IPSec G/W(130)가 IoT 보안 G/W(120) 대신에 IoT 보안 관리서버(140)로 단말(150)의 인증을 요청할 수도 있으나, 상용 게이트웨이라는 점을 고려하면, IoT 네트워크 보안 솔루션 탑재가 용이한 IoT 보안 G/W(120)가 전술한 바와 같이 IoT 보안 관리서버(140)로 단말(150)의 인증을 요청하는 것이 바람직하다.Here, the IPSec G /
아울러, IoT 보안 G/W(120)가 다수의 IoT DCU(110)를 종합적으로 관리하므로, 다수의 IoT DCU(110) 각각이 IoT 보안 관리서버(140)로 단말(150)의 인증을 요청하는 것에 비해, 전술한 바와 같이 IoT 보안 G/W(120)가 IoT 보안 관리서버(140)로 단말(150)의 인증을 요청하는 것이 바람직하다.In addition, since the IoT security G /
한편, IoT 보안 G/W(120)는 아래 표 1과 같이 'rule' 파라미터를 이용하여 동적 접근 제어를 수행한다. 즉, IoT 보안 G/W(120)는 IoT DCU(110)의 IP 주소별 연결(connect) 또는 차단(disconnect) 설정을 통해 동적 접근 제어를 수행한다.Meanwhile, the IoT security G /
<src>ipv4 (172.30.4.251)</src>
<dst>ipv4 (172.30.4.250)</dst>
</rule>
<rule from-tunnel="host-to-host">
<src>ipv4 (172.30.4.250)</src>
<dst>ipv4 (172.30.4.251)</dst>
</rule>
<rule>
<src>ipv4 (0.0.0.0/0)</src>
<dst>ipv4 (0.0.0.0/0)</dst>
</rule><rule to-tunnel = "host-to-host">
<src> ipv4 (172.30.4.251) </ src>
<dst> ipv4 (172.30.4.250) </ dst>
</ rule>
<rule from-tunnel = "host-to-host">
<src> ipv4 (172.30.4.250) </ src>
<dst> ipv4 (172.30.4.251) </ dst>
</ rule>
<rule>
<src> ipv4 (0.0.0.0/0) </ src>
<dst> ipv4 (0.0.0.0/0) </ dst>
</ rule>
IoT 보안 관리서버(140)는 IoT 보안 G/W(120)의 DNA 코드 인증 요청에 대해 인증을 수행하여 동적 접근 제어 명령을 IoT 보안 G/W(120)로 전송한다. 이때, IoT 보안 관리서버(140)는 기등록된 DNA 코드와 IoT 보안 G/W(120)로부터 전송된 DNA 코드를 상호 비교하여 단말(150)의 위변조 여부를 탐지하게 된다.The IoT
이에, IoT 보안 G/W(120)는 IoT 보안 관리서버(140)로부터 전송된 동적 접근 제어 명령에 따라 단말(150)에 대한 동적 접근 제어를 수행한다. The IOT security G /
이를 위해, IoT 보안 관리서버(140)는 각 단말(150)에 대한 보안 정보를 등록하여 관리한다.To this end, the IoT
구체적으로, IoT 보안 관리서버(140)는 IoT 보안 G/W(120)를 통해 단말(150)의 DNA 코드를 수집 및 관리한다. 이때, IoT 보안 관리서버(140)는 단말(10)의 DNA 코드를 등록한 이후에 DNA 코드의 업데이트 정보도 관리한다. Specifically, the IoT
그리고 IoT 보안 관리서버(140)는 단말(150)의 동적 접근 제어 결과에 대한 로그 데이터(log data)로서, IPSec VPN 터널의 연결 설정에 대한 접근 로그(access log)와 IPSec VPN 터널의 차단 설정에 대한 에러 로드(error log)를 관리한다.The IoT
또한, IoT 보안 관리서버(140)는 단말 및 네트워크 접속 정보를 관리한다. 여기서, 단말 및 네트워크 접속 정보는 어플리케이션이 설치되어 있는 단말(150)의 OS 버전 정보, 로그인한 단말(150)의 현재 접속자 정보, 호스트명(hostname) 등의 정보, 시스템에 설정되어 있는 환경변수 정보, 윈도우 시스템 디렉토리 등의 디렉토리 정보, 활성화 또는 비활성화되어 있는 네트워크 인터페이스 정보 등이 포함될 수 있다. In addition, the IOT
또한, IoT 보안 관리서버(140)는 IoT 서비스 네트워크를 통해 단말(150)에 제공되는 어플리케이션 정보를 관리한다. 여기서, 어플리케이션 정보는 패키지 형태로 관리하며, 어플리케이션 정보와 관련된 정책(policy)이 포함된다.The IoT
도 2는 본 발명의 일실시예에 따른 위변조 탐지를 이용한 IoT 보안용 동적 접근 제어 방법을 나타낸 도면이다.2 is a diagram illustrating a dynamic access control method for IoT security using forgery detection according to an embodiment of the present invention.
먼저, IoT 보안 관리서버(140)는 단말(150)에 대해 단말 및 접속 정보를 등록하며, IoT DCU(110)에 의해 추출된 DNA 코드를 등록한다(S201).First, the IoT
이후, IPSec G/W(130)는 단말(150)이 접속 요청하면(S202), IoT 보안 G/W(120)와 App 데이터 전송이 차단된 상태로 IPSec VPN 터널을 연결한다(S203). 이때, IoT DCU(110)는 단말(150)의 DNA 코드를 추출하고, 이를 IoT 보안 G/W(120)로 제공한다(S204).The
이후, IoT 보안 G/W(120)는 IoT 보안 관리서버(140)로 단말(150)의 DNA 코드에 대한 인증을 요청한다(S205).Thereafter, the IOT security G /
그리고 IoT 보안 관리서버(140)는 기설정된 DNA 코드와 IoT 보안 G/W(120)로부터 전송된 DNA 코드를 비교하여 단말(150)의 위변조 여부를 탐지 및 검증한다(S206).Then, the IoT
IPSec G/W(130)는 IoT 보안 관리서버(140)로부터 응답된 인증결과에 따라 IoT 보안 G/W(120)와 다음과 같이 동작한다(S207, S208).The
IPSec G/W(130)는 인증 성공인 경우에(S208), IoT 보안 G/W(120)와 App 데이터 전송이 가능한 상태로 IPSec VPN 터널을 연결한다(S209). 이때, IoT 디바이스(10)와 IoT 서버(20)는 상호간에 IoT 데이터 송수신이 가능한 상태가 되며, 단말(150)도 동적 접근 제어를 통해 IoT 네트워크에 접근 가능하다.If the authentication succeeds (S208), the IPSec G /
반면에, IPSec G/W(130)는 인증 실패인 경우에(S208), IoT 보안 G/W(120)와 IPSec VPN 터널을 차단하여 IPSec VPN 터널 연결을 종료한다.On the other hand, if the
도 3은 상기 도 2의 IPSec VPN 터널을 연결 이후에 종료하는 과정을 나타낸 도면이다.FIG. 3 illustrates a process of terminating the IPSec VPN tunnel of FIG. 2 after connection.
IoT DCU(110)는 특정 주기마다 단말(150)의 DNA 코드를 추출하여 IoT 보안 G/W(120)로 제공한다(S251, S252). 이때, IoT 보안 G/W(120)는 주기적으로 단말(150)의 DNA 코드에 대한 비교를 IoT 보안 관리서버(140)로 요청한다(S253). The
이후, IoT 보안 관리서버(140)는 기 등록된 DNA 코드와 IoT 보안 G/W(120)로부터 전달된 DNA 코드를 비교한다(S254). 이때, IoT 보안 관리서버(140)는 DNA 코드의 비교 결과가 일치하고, 서비스가 종료되면(S254, S255), 해당 어플리케이션에 변경정보가 있는지를 확인한다(S256). 여기서, IoT 보안 관리서버(140)는 DNA 코드의 비교 결과가 일치하고, 서비스가 진행중이면(S254, S255), S252 단계 이후의 과정을 다시 수행한다. 또한, IoT 보안 관리서버(140)는 DNA 코드의 비교 결과가 일치하지 않으면(S254), IPSec G/W(130)를 통해 IPSec VPN 터널의 연결을 종료한다(S262).Thereafter, the IOT
한편, IoT 보안 관리서버(140)는 어플리케이션에 변경정보가 있으면(S256), IoT 보안 G/W(120)를 통해 단말(150)의 어플리케이션에 대한 업데이트를 요청한다(S257, S258).Meanwhile, if there is change information in the application (S256), the IOT
이후, IoT DCU(110)는 단말(150)의 어플리케이션에 대한 업데이트 이후에(S258), 단말(150)의 DNA 코드를 추출하여 IoT 보안 G/W(120)로 제공한다(S259). 이때, IoT 보안 G/W(120)는 IoT 보안 관리서버(140)로 DNA 코드의 업데이트를 요청한다(S260).Thereafter, the
IoT 보안 관리서버(140)는 DNA 코드를 업데이트하면(S261), IoT 보안 G/W(120)와 IPSec G/W(130)는 IPSec VPN 터널의 연결을 종료한다(S262).When the IoT
이상에서 설명된 본 발명의 실시예는 예시적인 것에 불과하며, 본 발명이 속한 기술분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 잘 알 수 있을 것이다. 그럼으로 본 발명은 상기의 상세한 설명에서 언급되는 형태로만 한정되는 것은 아님을 잘 이해할 수 있을 것이다. 따라서 본 발명의 진정한 기술적 보호 범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다. 또한, 본 발명은 첨부된 청구범위에 의해 정의되는 본 발명의 정신과 그 범위 내에 있는 모든 변형물과 균등물 및 대체물을 포함하는 것으로 이해되어야 한다.It will be apparent to those skilled in the art that various modifications and equivalent arrangements may be made therein without departing from the spirit and scope of the invention as defined by the appended claims. Accordingly, it is to be understood that the present invention is not limited to the above-described embodiments. Accordingly, the true scope of the present invention should be determined by the technical idea of the appended claims. It is also to be understood that the invention includes all modifications, equivalents, and alternatives falling within the spirit and scope of the invention as defined by the appended claims.
10 : IoT 디바이스
20 : IoT 서버
110 : IoT DCU
120 : IoT 보안 G/W
130 : IPSec G/W
140 : IoT 보안 관리서버
150 : 단말10: IoT device 20: IoT server
110: IoT DCU 120: IoT security G / W
130: IPSec G / W 140: IoT security management server
150: terminal
Claims (13)
상기 DNA 코드의 인증 요청에 따라 기 등록된 DNA 코드와 비교하여 상기 단말의 위변조 탐지 및 검증을 수행하기 위한 IoT 보안 관리서버; 및
상기 DNA 코드의 인증 결과에 따라, 어플리케이션 데이터 전송이 가능한 상태로 IPSec G/W와 IPSec VPN 터널을 연결하기 위한 IoT 보안 G/W;
를 포함하는 위변조 탐지를 이용한 IoT 보안용 동적 접근 제어 시스템.
An IoT DCU (Data Collecting Unit) for extracting a DNA code which is information on forgery detection of the terminal;
An IoT security management server for performing forgery detection and verification of the terminal by comparing it with previously registered DNA code according to an authentication request of the DNA code; And
An IoT security G / W for connecting the IPSec G / W and the IPSec VPN tunnel in a state in which the application data can be transferred according to the authentication result of the DNA code;
A dynamic access control system for IoT security using forgery detection.
상기 IoT DCU는,
IoT 디바이스 네트워크 내에서 있는 하나 이상의 IoT 디바이스에 연결되어 데이터를 수집 및 전송하는 위변조 탐지를 이용한 IoT 보안용 동적 접근 제어 시스템.
The method according to claim 1,
The IoT DCU includes:
IoT device Dynamic access control system for IoT security using forgery detection to collect and transmit data connected to one or more IoT devices in the network.
상기 IoT DCU는,
상기 단말의 DNA 코드를 추출하기 위한 시큐리티 포스쳐 에이전트(Security Posture Agent: SPA)를 구비하는 위변조 탐지를 이용한 IoT 보안용 동적 접근 제어 시스템.
The method according to claim 1,
The IoT DCU includes:
And a security posture agent (SPA) for extracting a DNA code of the terminal. The dynamic access control system for IoT security using forgery detection is provided.
상기 시큐리티 포스쳐 에이전트는,
바이너리 해싱(binary hashing) 기반으로 상기 단말의 시스템 파일의 고유정보를 수집 및 추출하여 상기 DNA 코드를 생성하는 위변조 탐지를 이용한 IoT 보안용 동적 접근 제어 시스템.
The method of claim 3,
The security posture agent includes:
A dynamic access control system for IoT security using forgery detection in which unique information of the system file of the terminal is collected and extracted based on binary hashing to generate the DNA code.
상기 IoT 보안 G/W는,
초기 연결시, 상기 단말의 어플리케이션 데이터 전송이 차단된 상태로 상기 IPSec G/W와 IPSec VPN 터널이 연결되는 위변조 탐지를 이용한 IoT 보안용 동적 접근 제어 시스템.
The method according to claim 1,
The IoT security G / W includes:
A dynamic access control system for IoT security using forgery detection in which the IPSec G / W and an IPSec VPN tunnel are connected in a state in which application data transmission of the terminal is blocked at an initial connection.
상기 IoT 보안 G/W는,
상기 IoT DCU의 IP 주소별 연결(connect) 또는 차단(disconnect) 설정을 통해 동적 접근 제어를 수행하는 위변조 탐지를 이용한 IoT 보안용 동적 접근 제어 시스템.
The method according to claim 1,
The IoT security G / W includes:
A dynamic access control system for IoT security using forgery detection to perform dynamic access control through connection or disconnection setting for each IP address of the IoT DCU.
상기 IoT 보안 G/W는, rule 파라미터를 이용하여 동적 접근 제어를 수행하는 위변조 탐지를 이용한 IoT 보안용 동적 접근 제어 시스템.
The method according to claim 1,
The IoT security G / W is a dynamic access control system for IoT security using forgery detection that performs dynamic access control using rule parameters.
상기 DNA 코드의 인증 요청에 따라 기 등록된 DNA 코드와 비교하여 상기 단말의 위변조 탐지 및 검증을 수행하는 단계; 및
상기 DNA 코드의 인증 결과에 따라, 어플리케이션 데이터 전송이 가능한 상태로 IPSec VPN 터널을 연결하는 단계;
를 포함하는 위변조 탐지를 이용한 IoT 보안용 동적 접근 제어 방법.
Extracting a DNA code, which is falsification detection information of the terminal, when the terminal makes a connection request;
Performing a forgery detection and verification of the terminal by comparing the DNA code with a previously registered DNA code according to an authentication request of the DNA code; And
Connecting an IPSec VPN tunnel in a state in which application data can be transferred according to an authentication result of the DNA code;
A dynamic access control method for IoT security using forgery detection.
상기 수행 단계는,
어플리케이션 데이터 전송이 차단된 상태로 IPSec VPN 터널을 연결하는 위변조 탐지를 이용한 IoT 보안용 동적 접근 제어 방법.
9. The method of claim 8,
Wherein the performing step comprises:
A dynamic access control method for IoT security using forgery detection to connect IPSec VPN tunnels with application data transmission blocked.
상기 연결 단계 이후에, 주기적으로 상기 단말의 DNA 코드를 추출하여 상기 기 등록된 DNA 코드와 비교하는 단계;
를 더 포함하는 위변조 탐지를 이용한 IoT 보안용 동적 접근 제어 방법.
9. The method of claim 8,
Extracting a DNA code of the terminal periodically and comparing the extracted DNA code with the previously registered DNA code;
A dynamic access control method for IoT security using forgery detection.
상기 비교 결과로 서로 일치하고, 서비스가 종료하면, 어플리케이션 변경정보가 있는지를 확인하여 상기 단말의 어플리케이션의 업데이트를 진행하는 단계;
를 더 포함하는 위변조 탐지를 이용한 IoT 보안용 동적 접근 제어 방법.
11. The method of claim 10,
Checking whether there is application change information when the service is completed, and proceeding to update the application of the terminal;
A dynamic access control method for IoT security using forgery detection.
상기 업데이트 진행 단계 이후에, 상기 기 등록된 DNA 코드에 대해 업데이트를 수행하는 단계;
를 더 포함하는 위변조 탐지를 이용한 IoT 보안용 동적 접근 제어 방법.
12. The method of claim 11,
Performing an update on the pre-registered DNA code after the update progress step;
A dynamic access control method for IoT security using forgery detection.
상기 추출 단계는,
바이너리 해싱 기반으로 상기 단말의 시스템 파일의 고유정보를 수집 및 추출하여 상기 DNA 코드를 생성하는 위변조 탐지를 이용한 IoT 보안용 동적 접근 제어 방법.
9. The method of claim 8,
Wherein the extracting step comprises:
A dynamic access control method for IoT security using forgery detection, wherein the DNA code is generated by collecting and extracting unique information of a system file of the terminal based on binary hashing.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020170049735A KR20180116878A (en) | 2017-04-18 | 2017-04-18 | DYNAMIC ACCESS CONTROL SYSTEM AND METHOD FOR IoT SECURITY USING THE DETECTION OF FABRICATION AND MODIFICATION |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020170049735A KR20180116878A (en) | 2017-04-18 | 2017-04-18 | DYNAMIC ACCESS CONTROL SYSTEM AND METHOD FOR IoT SECURITY USING THE DETECTION OF FABRICATION AND MODIFICATION |
Publications (1)
Publication Number | Publication Date |
---|---|
KR20180116878A true KR20180116878A (en) | 2018-10-26 |
Family
ID=64098946
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020170049735A KR20180116878A (en) | 2017-04-18 | 2017-04-18 | DYNAMIC ACCESS CONTROL SYSTEM AND METHOD FOR IoT SECURITY USING THE DETECTION OF FABRICATION AND MODIFICATION |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR20180116878A (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20200108742A (en) * | 2019-03-11 | 2020-09-21 | 한국전자통신연구원 | Apparatus and method for security control in IoT infrastructure environment |
KR20210066344A (en) * | 2019-11-28 | 2021-06-07 | 주식회사 스텔스솔루션 | System and method for verifying binary og device based on finger-print extracting |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20110117799A (en) | 2010-04-22 | 2011-10-28 | 비씨카드(주) | Method and terminal of preventing parameter from forging/alternating |
-
2017
- 2017-04-18 KR KR1020170049735A patent/KR20180116878A/en not_active Application Discontinuation
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20110117799A (en) | 2010-04-22 | 2011-10-28 | 비씨카드(주) | Method and terminal of preventing parameter from forging/alternating |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20200108742A (en) * | 2019-03-11 | 2020-09-21 | 한국전자통신연구원 | Apparatus and method for security control in IoT infrastructure environment |
KR20210066344A (en) * | 2019-11-28 | 2021-06-07 | 주식회사 스텔스솔루션 | System and method for verifying binary og device based on finger-print extracting |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11102233B2 (en) | Detection of vulnerable devices in wireless networks | |
Ling et al. | Security vulnerabilities of internet of things: A case study of the smart plug system | |
WO2019184736A1 (en) | Access authentication method and device, and server | |
CN103051601B (en) | For providing the method for network security | |
KR101469010B1 (en) | Apparatus and method for transferring network address information of smart appliance | |
EP1804461A1 (en) | Method and apparatus for secure communication between user device and private network | |
CN107113297A (en) | system and method for protecting network endpoint | |
US9210128B2 (en) | Filtering of applications for access to an enterprise network | |
CN103975552A (en) | Secure prefix authorization with untrusted mapping services | |
CN105100095A (en) | Secure interaction method and apparatus for mobile terminal application program | |
KR102439881B1 (en) | System for controlling network access based on controller and method of the same | |
KR102514618B1 (en) | System for controlling network access based on controller and method of the same | |
KR102460696B1 (en) | System for controlling network access based on controller and method of the same | |
Dua et al. | Iisr: A secure router for iot networks | |
KR102495369B1 (en) | System for controlling network access based on controller and method of the same | |
JP2023162313A (en) | System for authenticating and controlling network connection of terminal and method related thereto | |
KR102502367B1 (en) | System for controlling network access based on controller and method of the same | |
KR102427663B1 (en) | System for controlling network access based on controller and method of the same | |
WO2010027121A1 (en) | System and method for preventing wireless lan intrusion | |
US20180176774A1 (en) | System and Method for Ensuring Secure Connections | |
KR101429179B1 (en) | Combination security system for wireless network | |
KR102377248B1 (en) | System for controlling network access based on controller and method of the same | |
KR20180116878A (en) | DYNAMIC ACCESS CONTROL SYSTEM AND METHOD FOR IoT SECURITY USING THE DETECTION OF FABRICATION AND MODIFICATION | |
Vondráček et al. | Automated Man-in-the-Middle Attack Against Wi‑Fi Networks | |
Kang et al. | Whitelists based multiple filtering techniques in SCADA sensor networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E601 | Decision to refuse application |