KR20180130203A - 사물인터넷 디바이스 인증 장치 및 방법 - Google Patents

사물인터넷 디바이스 인증 장치 및 방법 Download PDF

Info

Publication number
KR20180130203A
KR20180130203A KR1020170066001A KR20170066001A KR20180130203A KR 20180130203 A KR20180130203 A KR 20180130203A KR 1020170066001 A KR1020170066001 A KR 1020170066001A KR 20170066001 A KR20170066001 A KR 20170066001A KR 20180130203 A KR20180130203 A KR 20180130203A
Authority
KR
South Korea
Prior art keywords
message
authentication
object internet
gateway
internet device
Prior art date
Application number
KR1020170066001A
Other languages
English (en)
Inventor
윤승용
김대원
김영세
문용혁
한진희
임재덕
김정녀
전용성
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020170066001A priority Critical patent/KR20180130203A/ko
Publication of KR20180130203A publication Critical patent/KR20180130203A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

사물인터넷 디바이스 인증 장치 및 방법이 개시된다. 본 발명의 일실시예에 따른 사물인터넷 디바이스 인증 방법은 사물인터넷 디바이스 인증 장치를 이용하는 방법에 있어서, 사물인터넷 디바이스가, 사전에 공유된 사전 공유 비밀 키(Kd)를 이용하여 상기 사물인터넷 디바이스 인증 장치의 인증을 수행하는 단계 및 상기 사물인터넷 디바이스 인증 장치가 생성한 세션 키(SK)를 이용하여 상기 사물인터넷 디바이스의 인증을 수행하는 단계를 포함한다.

Description

사물인터넷 디바이스 인증 장치 및 방법 {APPARATUS FOR AUTHENTICATING IoT DEVICE AND METHOD FOR USING THE SAME}
본 발명은 사물인터넷 기술에 관한 것으로, 보다 상세하게는 사물인터넷 디바이스의 인증 기술에 관한 것이다.
IoT 네트워크 환경은 자원이 제한적인 이기종 기기 간의 상호 접속 네트워크 환경에 상응할 수 있다. 따라서, IoT 네트워크 환경은 컴퓨팅 파워, 메모리의 가용성, 배터리 파워 및 통신 대역폭 등 다양한 환경적 특수성을 고려한 경량화된 보안 기술이 사용되어야 한다. 특히, LLN(Low Power and Lossy Network) 환경에서의 통신 능력을 고려하면, 보안 기술은 기존 IP 기반 보안 프로토콜을 그대로 적용하기에는 무리가 있으므로, 컴퓨팅 파워와 리소스를 고려한 경량화된 보안 프로토콜이 필요하다. 전송되는 메시지의 개수 및 크기는 최소화 시키는 것이 필요하며, 성능 저하 없는 경량 암호 알고리즘(예, ECC, LEA)의 적용이 필수적이다.
IETF의 RFC7228에서 자원 제약적인 IoT 디바이스는 표 1과 같이 3개의 클래스로 분류하고 있다. 클래스 0나 클래스 1 디바이스는 RAM 이나 Flash에 제약이 많아서 기존의 보안 프로토콜(예, DTLS)에서 사용하고 있는 암호 모듈이나 메시지를 그대로 사용하기가 힘든 실정이다.
Name Data size (e.g. RAM) Code size(e.g. Flash)
Class 0, C0 << 10 KB << 100 KB
Class 1, C1 ~ 10 KB ~ 100 KB
Class 2, C2 ~ 50 KB ~ 250 KB
IoT에 대한 관심이 고조되면서 서비스 활성화를 위한 IoT 네트워크 환경에 맞는 경량화된 보안 기술에 대한 연구가 활발히 이루어지고 있다. 그 중 대표적인 기술은 경량 암호기술, 경량 인증 기술, 경량 보안 프로토콜 기술이다. 이러한 기술들은 별개의 독립적인 기능 모듈로 시스템에서 수행되는 것이 아니라, 대부분 서로 연동되어 보안 기능을 제공한다. 즉, IoT 환경에서 기본 보안 프로토콜로 사용되는 DTLS(Datagram Transport Layer Security)는 보안 프로토콜 기술뿐만 아니라 암호 기술, 인증 기술도 함께 사용되어 연동된다.
oneM2M, OMA(Open Mobile Alliance)와 같은 국제 표준화 기구는 IoT 환경에서 UDP와 DTLS 위에서 CoAP(Constrained Application Protocol) 프로토콜을 사용하는 것을 기본으로 제안하고 있다. DTLS는 UDP 프로토콜을 사용하는 응용 서비스에 데이터의 기밀성, 무결성, 인증 기능 등을 제공하는 보안 프로토콜로서, UDP를 기본으로 사용하는 IoT에 보안성을 추가해 줄 수 있는 프로토콜로 제시되었다. 그러나, DTLS는 사전 설정(핸드쉐이킹) 과정의 복잡성과 전송되는 메시지량이 많아 경량 IoT 기기에 사용하기에는 한계가 있다.
DTLS의 Handshake 메시지는 fate-sharing 특성을 가지고 있어서, 한 패킷이라도 손실 될 경우 전체 메시지 재전송해야 한다. 이러한 메시지 재전송은 전송량 증가 및 성능 저하를 유발할 수 있다.
또한, IoT 환경에 사용되는 802.15.4 MAC 레이어의 MTU 사이즈는 127바이트이다. 경량 IoT 기기는 단편화(Fragmentation)로 인한 송수신 지연 및 재조립(Reassembley) 과정으로 성능 저하 유발할 수 있다.
또한, IoT 환경에서 DTLS를 사용하는 경우, 헤더 크기의 총합은 62바이트(이더넷 프레임 헤더 14바이트 + IPv6 패킷헤더 40바이트 + UDP 헤더 8바이트 => 62바이트)이므로, 이론적으로 단편화가 발생하지 않은 최대 페이로드 사이즈는 65바이트(127바이트 - 62바이트 => 65바이트)이다. 그러나 종래 기술에 의하면 DTLS의 메시지 전송량이 가장 작은 PSK(Pre-Shared Key) 모드로 실험을 했을 경우(Ciphersuite를 TLS_PSK_WITH_AES_128_CCM_8로 설정), DTLS의 핸드쉐이킹 과정 중에 전송되는 Flight 1의 ClientHello 메시지(67바이트), Flight 3의 ClientHello 메시지(83바이트), Flight 4의 ServerHello 메시지(63바이트)에서 단편화가 발생하였으며, 실제 단편화가 발생하지 않는 최대 페이로드 사이즈는 59바이트임이 확인되었다.
따라서, DTLS의 한계점을 극복하기 위한 다양한 DTLS 프로토콜 경량화 기법은 다음과 같이 2가지 기법으로 정리할 수 있다.
첫 번째 방법은 핸드쉐이크 메시지의 패킷 개수를 줄이거나 인증서에 대한 검증 과정을 간단히 하는 방법이다. 핸드쉐이크 메시지 패킷 개수를 줄이기 위해 자원 제한적인 IoT 디바이스의 소유자(Delegation Server)에게 초기 핸드쉐이킹 과정을 위임하고, 이후 세션 정보를 디바이스에 전달하여 디바이스와 서버 사이 세션을 재개한다. 또한, 계산량의 오버헤드를 줄이기 위해 인증서 검증을 게이트웨이에서 수행하도록 한다.
두 번째 방법은 전송되는 메시지의 크기를 줄이는 방법이다. 6LoWPAN에서 제공하는 헤더 압축 기술을 적용하여 DTLS Record 영역을 최소화하는 방법과 종단간의 보안을 제공하기 위해 압축된 IPSec을 적용하는 방법이 제안되었다.
한편, 한국등록특허 제 10-1594897 호“사물 인터넷에서 경량 사물간 보안 통신 세션 개설 방법 및 보안 통신 시스템”는 DTLS 프로토콜을 사용할 때 가장 큰 부담이 될 수 있는 DTLS Handshake 과정을, 자원이 충분한 장치에 대행시킴으로써, DTLS Handshake 과정에서 발생될 수 있는 패킷 분할, 데이터 분실, 재전송으로 인한 지연 등과 같은 문제들을 해결할 수 있는 사물 인터넷에서 경량 사물간 보안 통신 세션 개설 방법 및 보안 통신 시스템에 관하여 개시하고 있다.
본 발명은 컴퓨팅 파워나 리소스 제약이 심한 경량 사물인터넷 디바이스에서도 사용할 수 있는 경량화된 상호인증 기법을 제공하는 것을 목적으로 한다.
또한, 본 발명은 상호인증을 위한 핸드쉐이킹 과정을 단순화하고, 전송되는 메시지량을 감소시키는 것을 목적으로 한다.
또한, 본 발명은 전송되는 메시지의 페이로드 사이즈를 최대한 줄여서, 손실에 의한 메시지 재전송을 최소화하고 단편화로 인한 송수신 지연 및 재조립 과정을 최소화하여 성능 저하 문제를 해결 하는 것을 목적으로 한다.
또한, 본 발명은 세션 설정 과정의 오버헤드를 줄여서, 암호화 통신 채널에 사용되는 세션 키를 매번 세션 연결설정 시마다 교환하여 보안을 보다 강화시키는 것을 목적으로 한다.
또한, 본 발명은 중계자로써 통신에 참여하는 게이트웨이 장치를 인증함으로써 중간자 공격(Man-in-the-Middle Attack)이나 게이트웨이 위장(Impersonation) 공격을 막는 것을 목적으로 한다.
또한, 본 발명은 재전송 공격(Replay Attack) 방지, 스니핑(Sniffing)에 의한 비밀 키 노출 방지, 스푸핑(Spoofing) 방지 기능을 제공하는 것을 목적으로 한다.
또한, 본 발명은 자원 제약적인 IoT 환경에서 사물인터넷 디바이스를 활용한 다양한 응용 서비스 활성화에 기여할 수 있다.
상기한 목적을 달성하기 위한 본 발명의 일실시예에 따른 사물인터넷 디바이스 인증 방법은 사물인터넷 디바이스 인증 장치를 이용하는 방법에 있어서, 사물인터넷 디바이스가, 사전에 공유된 사전 공유 비밀 키(Kd)를 이용하여 상기 사물인터넷 디바이스 인증 장치의 인증을 수행하는 단계 및 상기 사물인터넷 디바이스 인증 장치가 생성한 세션 키(SK)를 이용하여 상기 사물인터넷 디바이스의 인증을 수행하는 단계를 포함한다.
이 때, 상기 사물인터넷 디바이스 인증 장치의 인증을 수행하는 단계는 상기 사물인터넷 디바이스가, 디바이스 난수(Rd) 및 디바이스 식별자(IDd)를 생성하여 상기 사물인터넷 디바이스 인증 장치에 송신하는 단계; 상기 사물인터넷 디바이스 인증 장치가, 서버 난수(Rs) 및 세션 키(SK)를 생성하여 상기 서버 난수(Rs), 상기 세션 키(SK), 상기 디바이스 난수(Rd) 및 디바이스 식별자(IDd)를 사전 공유 비밀 키(Kd)로 암호화한 제1 메시지를 상기 사물인터넷 디바이스에 송신하는 단계 및 상기 사물인터넷 디바이스가, 상기 제1 메시지를 상기 사전 공유 비밀 키(Kd)로 복호화하고, 상기 디바이스 난수(Rd)를 비교하여 상기 사물 인터넷 디바이스 인증 장치의 인증을 수행하는 단계를 포함한다.
이 때, 상기 사물인터넷 디바이스의 인증을 수행하는 단계는 상기 사물인터넷 디바이스가, 상기 세션 키(SK)를 이용하여 상기 서버 난수(Rs)를 암호화한 제2 메시지를 상기 사물인터넷 디바이스 인증 장치에 송신하는 단계 및 상기 사물 인터넷 디바이스 인증 장치가, 상기 제2 메시지를 상기 세션 키(SK)로 복호화하고, 상기 서버 난수(Rs)를 비교하여 상기 사물인터넷 디바이스의 인증을 수행하는 단계를 포함한다.
이 때, 상기 사물인터넷 디바이스 인증 방법은 상기 디바이스 난수(Rd) 및 디바이스 식별자(IDd)를 생성하여 상기 사물인터넷 디바이스 인증 장치에 송신하는 단계 이전에, 상기 사물인터넷 디바이스와 상기 사물인터넷 디바이스 인증 장치가, 상기 사전 공유 비밀 키(Kd)를 사전 공유하는 단계를 더 포함할 수 있다.
이 때, 상기 제1 메시지를 상기 사물인터넷 디바이스에 송신하는 단계는 디바이스 관리 테이블에서 상기 디바이스 식별자(IDd)에 식별자에 상응하는 사전 공유 비밀 키(Kd)를 추출할 수 있다.
이 때, 상기 사물인터넷 디바이스 인증 방법은 상기 세션 키(SK)를 이용하여 상기 사물인터넷 디바이스의 인증을 수행하는 단계 이후에, 상기 사물인터넷 디바이스와 상기 사물인터넷 디바이스 인증 장치 상호 간에 통신 채널을 설정하여 데이터를 송신하는 단계를 더 포함할 수 있다.
이 때, 상기 데이터를 송신하는 단계는 상기 세션 키(SK)를 이용하여 암호화된 통신 채널을 설정하고, 상기 세션 키(SK)를 이용하여 상기 데이터를 암호화한 제3 메시지를 상기 암호화된 통신 채널을 통해 송신할 수 있다.
이 때, 상기 데이터를 송신하는 단계는 상기 암호화된 통신 채널에 상응하는 세션의 세션 식별자(SID), 상기 세션 키(SK) 및 상기 서버 난수(Rs)를 데이터 필드로 구성한 세션 엔트리를 포함하는 세션 테이블을 생성할 수 있다.
이 때, 상기 데이터를 송신하는 단계는 상기 세션 엔트리를 상기 디바이스 식별자(IDd) 및 상기 디바이스 사전 공유 비밀 키(Kd)에 상응하는 디바이스 관리 테이블의 디바이스 관리 엔트리를 맵핑시킬 수 있다.
상기한 목적을 달성하기 위한 본 발명의 일실시예에 따른 사물인터넷 디바이스 인증 방법은 사물인터넷 디바이스 인증 장치를 이용하는 방법에 있어서, 상기 사물인터넷 디바이스 인증 장치가, 사물인터넷 디바이스와 사전에 공유된 디바이스 사전 공유 비밀 키(Kd)를 이용하여 암호화한 제1 메시지와 게이트웨이 장치와 사전에 공유된 게이트웨이 사전 공유 비밀 키(Kg)를 이용하여 암호화한 제2 메시지를 결합한 제3 메시지를 생성하여 상기 게이트웨이 장치에 송신하는 단계; 상기 게이트웨이 장치가, 상기 게이트웨이 사전 공유 비밀 키(Kg)를 이용하여 상기 사물인터넷 디바이스 인증 장치의 인증을 수행하는 단계; 상기 사물인터넷 디바이스가, 상기 디바이스 사전 공유 비밀 키(Kd)를 이용하여 상기 사물인터넷 디바이스 인증 장치의 인증을 수행하는 단계; 상기 게이트웨이 장치가, 상기 세션 키(SK)를 이용하여 상기 사물인터넷 디바이스의 인증을 수행하는 단계 및 상기 사물인터넷 디바이스 인증 장치가, 상기 세션 키(SK)를 이용하여 상기 사물인터넷 디바이스와 상기 게이트웨이 장치의 인증을 수행하는 단계를 포함한다.
이 때, 상기 제3 메시지를 생성하여 상기 게이트웨이 장치에 송신하는 단계는 상기 사물인터넷 디바이스 인증 장치가, 서버 난수(Rs) 및 세션 키(SK)를 생성하고, 수신한 상기 디바이스 식별자(IDd)에 상응하는 사전에 공유된 디바이스 사전 공유 비밀 키(Kd)를 이용하여 상기 서버 난수(Rs), 상기 세션 키(SK) 및 상기 디바이스 난수(Rd)를 암호화한 상기 제1 메시지를 생성하는 단계; 상기 사물인터넷 디바이스 인증 장치가, 수신한 상기 게이트웨이 식별자(IDg)에 상응하는 사전에 공유된 사전에 공유된 게이트웨이 사전 공유 비밀 키(Kg)를 이용하여 상기 서버 난수(Rs), 상기 세션 키(SK) 및 상기 제1 게이트웨이 난수(R'g)를 암호화한 상기 제2 메시지를 생성하는 단계 및 상기 사물인터넷 디바이스 인증 장치가, 상기 제1 메시지와 제2 메시지를 결합한 제3 메시지를 생성하여 상기 게이트웨이 장치에 송신하는 단계를 포함할 수 있다.
이 때, 상기 게이트웨이 사전 공유 비밀 키(Kg)를 이용하여 상기 사물인터넷 디바이스 인증 장치의 인증을 수행하는 단계는 상기 게이트웨이 장치가, 상기 게이트웨이 사전 공유 비밀 키(Kg)를 이용하여 상기 제3 메시지에 결합된 상기 제2 메시지를 복호화하고, 상기 제1 게이트웨이 난수(R'g)를 비교하여 상기 사물 인터넷 디바이스 인증 장치의 인증을 수행하는 단계; 상기 게이트웨이 장치가, 제2 게이트웨이 난수(Rg)를 생성하고, 상기 세션 키(SK)를 이용하여 상기 제2 게이트웨이 난수(Rg)를 암호화한 제4 메시지를 생성하는 단계 및 상기 게이트웨이 장치가, 제1 메시지와 상기 제4 메시지를 결합한 제5 메시지를 생성하여 상기 사물인터넷 디바이스에 송신하는 단계를 포함할 수 있다.
이 때, 상기 디바이스 사전 공유 비밀 키(Kd)를 이용하여 상기 사물인터넷 디바이스 인증 장치의 인증을 수행하는 단계는 상기 사물인터넷 디바이스가, 상기 디바이스 사전 공유 비밀 키(Kd)를 이용하여 상기 제5 메시지에 결합된 상기 제1 메시지를 복호화하고, 상기 디바이스 난수(Rd)를 비교하여 상기 사물 인터넷 디바이스 인증 장치의 인증을 수행하는 단계 및 상기 사물인터넷 디바이스가, 상기 세션 키(SK)를 이용하여 상기 제5 메시지에 결합된 상기 제4 메시지를 복호화하고, 상기 세션 키(SK)를 이용하여 상기 제2 게이트웨이 난수(Rg)와 상기 서버 난수(Rs)를 암호화한 제6 메시지를 생성하여 상기 게이트웨이 장치에 송신하는 단계를 포함할 수 있다.
이 때, 상기 세션 키(SK)를 이용하여 사물인터넷 디바이스의 인증을 수행하는 단계는 상기 게이트웨이 장치가, 상기 세션 키(SK)를 이용하여 상기 제6 메시지를 복호화하고, 상기 제2 게이트웨이 난수(Rg)를 비교하여 상기 사물인터넷 디바이스의 인증을 수행하는 단계 및 상기 게이트웨이 장치가, 상기 세션 키(SK)를 이용하여 상기 서버 난수(Rs)를 암호화한 제7 메시지를 생성하여 상기 사물인터넷 디바이스 인증 장치에 송신하는 단계를 포함할 수 있다.
이 때, 상기 세션 키(SK)를 이용하여 상기 사물인터넷 디바이스와 상기 게이트웨이 장치의 인증을 수행하는 단계는 상기 사물 인터넷 디바이스 인증 장치가, 상기 세션 키(SK)를 이용하여 상기 제7 메시지를 복호화하고, 상기 서버 난수(Rs)를 비교하여 상기 사물인터넷 디바이스와 상기 게이트웨이 장치의 인증을 수행할 수 있다.
이 때, 상기 사물인터넷 디바이스 인증 방법은 상기 세션 키(SK)를 이용하여 상기 사물인터넷 디바이스와 상기 게이트웨이 장치의 인증을 수행하는 단계 이후에, 상기 게이트웨이 장치를 통해 상기 사물인터넷 디바이스와 상기 사물인터넷 디바이스 인증 장치 사이의 통신 채널을 설정하여 데이터를 송신하는 단계를 더 포함할 수 있다.
이 때, 상기 데이터를 송신하는 단계는 상기 세션 키(SK)를 이용하여 암호화된 통신 채널을 설정하고, 상기 세션 키(SK)를 이용하여 상기 데이터를 암호화한 제8 메시지를 상기 암호화된 통신 채널을 통해 송신할 수 있다.
이 때, 상기 데이터를 송신하는 단계는 상기 암호화된 통신 채널에 상응하는 세션의 세션 식별자(SID), 상기 세션 키(SK) 및 상기 서버 난수(Rs)를 데이터 필드로 구성한 세션 엔트리를 포함하는 세션 테이블을 생성할 수 있다.
이 때, 상기 데이터를 송신하는 단계는 상기 세션 엔트리를 상기 디바이스 식별자(IDd) 및 상기 디바이스 사전 공유 비밀 키(Kd)에 상응하는 디바이스 관리 테이블의 디바이스 관리 엔트리와 상기 게이트웨이 식별자(IDg) 및 상기 게이트웨이 사전 공유 비밀 키(Kg)에 상응하는 게이트웨이 관리 테이블의 게이트웨이 관리 엔트리를 맵핑시킬 수 있다.
상기한 목적을 달성하기 위한 본 발명의 일실시예에 따른 사물인터넷 디바이스 인증 장치는 사물인터넷 디바이스 및 상기 사물인터넷 디바이스를 중계하는 게이트웨이 장치 중 적어도 하나와 메시지를 전송하는 통신부; 상기 사물인터넷 디바이스 및 상기 게이트웨이 장치 중 적어도 하나와 상호 인증을 수행하는 상호 인증 수행부; 상기 상호 인증의 수행에 기반하여 메시지를 생성하는 메시지 처리부 및 상기 사물인터넷 디바이스 및 상기 게이트웨이 장치 중 적어도 하나와 사전에 공유된 비밀 키를 관리하는 데이터베이스부를 포함한다.
본 발명은 컴퓨팅 파워나 리소스 제약이 심한 경량 사물인터넷 디바이스에서도 사용할 수 있는 경량화된 상호인증 기법을 제공할 수 있다.
또한, 본 발명은 상호인증을 위한 핸드쉐이킹 과정을 단순화하고, 전송되는 메시지량을 감소시킬 수 있다.
또한, 본 발명은 전송되는 메시지의 페이로드 사이즈를 최대한 줄여서, 손실에 의한 메시지 재전송을 최소화하고 단편화로 인한 송수신 지연 및 재조립 과정을 최소화하여 성능 저하 문제를 해결할 수 있다.
또한, 본 발명은 세션 설정 과정의 오버헤드를 줄여서, 암호화 통신 채널에 사용되는 세션 키를 매번 세션 연결설정 시마다 교환하여 보안을 보다 강화시킬 수 있다.
또한, 본 발명은 중계자로써 통신에 참여하는 게이트웨이 장치를 인증함으로써 중간자 공격(Man-in-the-Middle Attack)이나 게이트웨이 위장(Impersonation) 공격을 막을 수 있다.
또한, 본 발명은 재전송 공격(Replay Attack) 방지, 스니핑(Sniffing)에 의한 비밀 키 노출 방지, 스푸핑(Spoofing) 방지 기능을 제공할 수 있다.
또한, 본 발명은 자원 제약적인 IoT 환경에서 사물인터넷 디바이스를 활용한 다양한 응용 서비스 활성화에 기여할 수 있다.
도 1은 본 발명의 일실시예에 따른 사물인터넷 네트워크 환경을 나타낸 도면이다.
도 2는 본 발명의 일실시예에 따른 사물인터넷 디바이스 인증 장치를 나타낸 블록도이다.
도 3은 도 2에 도시된 상호 인증 수행부의 일 예를 세부적으로 나타낸 블록도이다.
도 4는 본 발명의 일실시예에 사물인터넷 디바이스를 나타낸 블록도이다.
도 5는 도 4에 도시된 디바이스 상호 인증 수행부의 일 예를 세부적으로 나타낸 블록도이다.
도 6은 본 발명의 일실시예에 따른 디바이스 관리 테이블과 세션 테이블의 관계를 나타낸 도면이다.
도 7은 본 발명의 일실시예에 따른 사물인터넷 디바이스 인증 방법을 나타낸 시퀀스 다이어그램이다.
도 8은 본 발명의 일실시예에 따른 게이트웨이 장치를 포함하는 사물인터넷 디바이스 인증 방법을 나타낸 시퀀스 다이어그램이다.
도 9는 본 발명의 일실시예에 따른 소프트웨어 보안 업데이트 과정을 나타낸 시퀀스 다이어그램이다.
도 10은 본 발명의 일실시예에 따른 컴퓨터 시스템을 나타낸 블록도이다.
본 발명을 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다. 여기서, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능, 및 구성에 대한 상세한 설명은 생략한다. 본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. 따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.
명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성 요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.
이하, 본 발명에 따른 바람직한 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.
도 1은 본 발명의 일실시예에 따른 사물인터넷 네트워크 환경을 나타낸 도면이다.
도 1을 참조하면, 본 발명의 일실시예에 따른 사물인터넷 네트워크 환경은 사물인터넷 디바이스(10), 게이트웨이 장치(20) 및 사물인터넷 디바이스 인증 장치(100)로 구성되는 것을 알 수 있다.
사물인터넷 디바이스(10)는 경량 Iot 디바이스에 상응할 수 있다.
사물인터넷 디바이스 인증 장치(100)는 보안 관리 서버 장치에 상응할 수 있다.
게이트웨이 장치(20)는 사물인터넷 디바이스(10)와 사물인터넷 디바이스 인증 장치(100)의 중계자 역할을 수행할 수 있고, 사물인터넷 디바이스 인증 장치(100)의 기능을 포함할 수도 있다.
사물인터넷 디바이스(10)와 사물인터넷 디바이스 인증 장치(100)는 상호 인증을 수행할 수 있다. 이 때, 사물인터넷 디바이스(10)와 사물인터넷 디바이스 인증 장치(100)는 암호화 통신채널에 사용되는 세션 키 교환도 수행할 수 있다.
또한, 사물인터넷 디바이스(10)와 사물인터넷 디바이스 인증 장치(100)는 게이트웨이 장치(20)도 함께 상호 인증 과정에 참여시킬 수 있다.
본 발명의 일실시예에 따르면 상호 인증 과정을 수행하기 이전에, 사물인터넷 디바이스(10)와 사물인터넷 디바이스 인증 장치(100)는 상호간에 사전에 공유된 사전 공유 비밀키를 가질 수 있다. 또한, 게이트웨이 장치(20)와 사물인터넷 디바이스 인증 장치(100)는 사전에 공유된 사전 공유 비밀키를 가질 수 있다. 사전 공유 비밀 키를 공유하는 방법은 온라인 또는 오프라인 상으로 다양한 방법이 사용될 수 있다.
사물인터넷 인증 장치(100)는 사물인터넷 디바이스(10)와 게이트웨이 장치(20)의 ID, 사전 공유 비밀 키를 데이터베이스(DB)로 저장 및 관리할 수 있다. 사물인터넷 인증 장치(100)는 상호 인증 과정을 거친 후, 데이터 전송을 위한 암호화 통신 채널에 사용되는 세션 키 교환을 수행할 수 있다.
이 때, 컴퓨팅 파워나 리소스가 제한적인 사물인터넷 디바이스(10)는 세션 키 생성 과정에 참여하지 않고, 사물인터넷 디바이스 인증 장치(100)가 세션 키 생성 및 키 분배 기능을 모두 수행할 수 있다.
본 발명의 일실시예에 따르면, 상호인증 및 세션 키 분배를 위한 핸드쉐이킹 과정을 단순화하여 전송되는 메시지량을 감소시켜 DTLS 프로토콜이 가지고 있는 문제점을 해결할 수 있다.
또한, 본 발명의 일실시예에 따르면, 경량화된 상호인증 기법을 통해 새로운 세션 설정 시마다 새로운 세션 키를 생성 및 교환하여 암호화된 통신 채널을 제공함으로써 사물인터넷 디바이스(10)의 보안을 보다 강화시킬 수 있다.
또한, 본 발명의 일실시예에 따르면 경량 상호인증 기법은 크게 2가지 경우로 분류할 수 있다. 첫 번째 경우는 게이트웨이 장치(20)를 포함하지 않은 경우이다. 사물인터넷 디바이스 인증 장치(100)와 사물인터넷 디바이스(10) 사이에 직접 상호인증이 이루어지는 경우로서, IoT 네트워크 환경에서 게이트웨이 장치(20)가 없는 경우이거나 게이트웨이 장치(20)에 사물인터넷 인증 장치(100)의 기능이 탑재된 경우일 수 있다. 두 번째 경우는 게이트웨이 장치(20)를 포함하는 경우로서, 사물인터넷 디바이스 인증 장치(100)와 사물인터넷 디바이스(10) 사이에 게이트웨이 장치(20)가 중계자로써 역할을 담당하며 인증에 참여하는 경우이다.
도 2는 본 발명의 일실시예에 따른 사물인터넷 디바이스 인증 장치를 나타낸 블록도이다.
도 2를 참조하면, 본 발명의 일실시예에 따른 사물인터넷 디바이스 인증 장치(100)는 통신부(110), 메시지 처리부(120), 상호인증 수행부(130) 및 데이터베이스부(140)를 포함한다.
통신부(110)는 사물인터넷 디바이스(10) 및 사물인터넷 디바이스(10)를 중계하는 게이트웨이 장치(20) 중 적어도 하나와 메시지를 전송할 수 있다.
메시지 처리부(120)는 상호 인증의 수행에 기반하여 메시지를 생성할 수 있다.
이 때, 메시지 처리부(120)는 사물인터넷 디바이스(10) 및 게이트웨이 장치(20)로부터 수신한 메시지를 분석할 수 있다.
상호 인증 수행부(130)는 사물인터넷 디바이스(10) 및 게이트웨이 장치(20) 중 적어도 하나와 상호 인증을 수행할 수 있다.
이 때, 상호 인증 수행부(130)는 상호 인증에 필요한 인증 요청, 검증, 처리, 키 생성, 메시지의 암호화 및 복호화를 수행할 수 있다.
데이터베이스부(140)는 사물인터넷 디바이스(10) 및 게이트웨이 장치(20) 중 적어도 하나와 사전에 공유된 사전 공유 비밀 키를 관리할 수 있다.
이 때, 데이터베이스부(140)는 디바이스 관리 테이블(Device Management Table), 게이트웨이 관리 테이블(Gateway Management Table) 및 세션 테이블(Session Table)을 이용하여 사전 공유 비밀 키와 세션 키를 관리할 수 있다.
이 때, 데이터베이스부(140)는 사물인터넷 디바이스(10) 및 게이트웨이 장치(20)로부터 상호 인증 요청을 수신한 경우, 사물인터넷 디바이스(10) 및 게이트웨이 장치에 관한 정보를 검색할 수 있다.
도 3은 도 2에 도시된 상호 인증 수행부의 일 예를 세부적으로 나타낸 블록도이다.
도 3을 참조하면, 상호 인증 수행부(130)는 디바이스 ID 관리부(131), 키 생성 관리부(132), 보안 채널 관리부(133), 암호 엔진부(134), 난수 생성부(135) 및 해쉬 함수 생성부(136)를 포함할 수 있다.
디바이스 ID 관리부(131)는 사물인터넷 디바이스(10)의 식별자 및 게이트웨이 장치(20)의 식별자를 관리할 수 있다.
키 생성 관리부(132)는 사물인터넷 디바이스(10) 및 게이트웨이 장치(20)와 사전에 미리 공유된 사전 비밀 키를 관리할 수 있다.
또한, 키 생성 관리부(132)는 암호화 통신 채널에 사용되는 세션 키를 생성하여 관리할 수 있다.
보안 채널 관리부(133)는 암호화 통신 채널을 관리할 수 있다.
암호 엔진부(134)는 기밀성 보장을 위한 메시지의 암호화 및 복호화를 수행할 수 있다.
난수 생성부(135)는 상호 인증 과정에 이용되는 난수를 생성할 수 있다.
해쉬 함수 생성부(136)는 메시지 함수 기능을 제공할 수 있다.
도 4는 본 발명의 일실시예에 사물인터넷 디바이스를 나타낸 블록도이다.
도 4를 참조하면, 본 발명의 일실시예에 사물인터넷 디바이스(10)는 디바이스 통신부(11), 디바이스 메시지 처리부(12) 및 디바이스 상호 인증 수행부(13)를 포함한다.
디바이스 통신부(11)는 사물인터넷 디바이스 인증 장치(100) 및 사물인터넷 디바이스 인증 장치(100)를 중계하는 게이트웨이 장치(20) 중 적어도 하나와 메시지를 전송할 수 있다.
디바이스 메시지 처리부(12)는 상호 인증의 수행에 기반하여 메시지를 생성할 수 있다.
이 때, 디바이스 메시지 처리부(12)는 사물인터넷 디바이스 인증 장치(100) 및 게이트웨이 장치(20)로부터 수신한 메시지를 분석할 수 있다.
디바이스 상호 인증 수행부(13)는 사물인터넷 디바이스 인증 장치(100) 및 게이트웨이 장치(20) 중 적어도 하나와 상호 인증을 수행할 수 있다.
이 때, 디바이스 상호 인증 수행부(13)는 상호 인증에 필요한 인증 요청, 검증, 처리, 키 생성, 메시지의 암호화 및 복호화를 수행할 수 있다.
도 5는 도 4에 도시된 디바이스 상호 인증 수행부의 일 예를 세부적으로 나타낸 블록도이다.
도 5를 참조하면, 디바이스 상호 인증 수행부(13)는 디바이스 보안 채널 관리부(13a), 디바이스 암호 엔진부(13b), 디바이스 난수 생성부(13c) 및 디바이스 해쉬 함수 생성부(13d)를 포함할 수 있다.
디바이스 보안 채널 관리부(13a)는 암호화 통신 채널을 관리할 수 있다.
디바이스 암호 엔진부(133b)는 기밀성 보장을 위한 메시지의 암호화 및 복호화를 수행할 수 있다.
디바이스 난수 생성부(133c)는 상호 인증 과정에 이용되는 난수를 생성할 수 있다.
디바이스 해쉬 함수 생성부(133d)는 메시지 함수 기능을 제공할 수 있다.
도 6은 본 발명의 일실시예에 따른 디바이스 관리 테이블과 세션 테이블의 관계를 나타낸 도면이다.
도 6을 참조하면, 본 발명의 일실시예에 따른 디바이스 관리 테이블과 세션 테이블의 관계를 나타낸 것을 알 수 이다.
사물인터넷 디바이스 인증 장치(100)는 상호인증 과정을 거쳐 암호화된 통신 채널이 설정되면, 각각의 세션들은 테이블로 관리될 수 있다.
세션 테이블(Session Table)은 세션 식별자(SID), 세션 키(SK), 난수(Rs) 등의 데이터 필드로 구성될 수 있다.
디바이스 관리 테이블(Device Management Table)은 디바이스 식별자(IDd) 및 디바이스 사전 공유 비밀 키(Kd)의 데이터 필드로 구성될 수 있다.
게이트웨이 관리 테이블(Gateway Management Table)은 게이트웨이 식별자(IDg) 및 게이트웨이 사전 공유 비밀 키(Kg)의 데이터 필드로 구성될 수 있다.
이 때, 사물인터넷 디바이스 인증 장치(100)는 암호화된 통신 채널 설정에 따라, 상호 인증이 수행된 디바이스 관리 테이블의 디바이스 식별자 및 디바이스 사전 공유 비밀 키에 상응하는 세션 테이블의 세션 식별자, 세션 키 및 서버 난수를 맵핑시킬 수 있다.
이 때, 사물인터넷 디바이스 인증 장치(100)는 이 때, 사물인터넷 디바이스 인증 장치(100)는 암호화된 통신 채널 설정에 따라, 상호 인증이 수행된 디바이스 관리 테이블의 디바이스 식별자 및 디바이스 사전 공유 비밀 키, 상호 인증이 수행된 게이트웨이 관리 테이블의 게이트웨이 식별자 및 게이트웨이 사전 공유 비밀키에 상응하는 세션 테이블의 세션 식별자, 세션 키 및 서버 난수를 맵핑시킬 수 있다.
이 때, 사물인터넷 디바이스 인증 장치(100)는 상기 맵핑이 수행된 테이블에 기반하여 통신 채널에 대한 세션을 관리할 수 있다.
이 때, 사물인터넷 디바이스 인증 장치(100)는 테이블들을 메모리 상에 위치시킬 수 있다.
이 때, 사물인터넷 디바이스 인증 장치(100)는 새로운 세션이 연결 설정될 때마다 새롭게 세션 식별자와 세션 키를 생성하여 할당하고, 세션 연결이 종료되면 해당 세션 엔트리는 세션 테이블에서 삭제할 수 있다.
도 7은 본 발명의 일실시예에 따른 사물인터넷 디바이스 인증 방법을 나타낸 시퀀스 다이어그램이다.
도 7을 참조하면, 본 발명의 일실시예에 따른 사물인터넷 디바이스 인증 방법은 먼저 디바이스 사전 공유 비밀 키(Kd)의 사전 공유를 수행할 수 있다(S200).
즉, 단계(S200)는 사물인터넷 디바이스(10)와 사물인터넷 디바이스 인증 장치(100)가 디바이스 사전 공유 비밀 키(Kd)를 서로 공유할 수 있다.
또한, 본 발명의 일실시예에 따른 사물인터넷 디바이스 인증 방법은 디바이스 난수(Rd)를 생성할 수 있다(S210).
즉, 단계(S210)는 사물인터넷 디바이스(10)가 디바이스 난수(Rd)를 생성할 수 있다.
또한, 본 발명의 일실시예에 따른 사물인터넷 디바이스 인증 방법은 디바이스 난수(Rd)와 디바이스 식별자(IDd)를 송신할 수 있다(S220).
즉, 단계(S220)는 사물인터넷 디바이스(10)가 생성한 디바이스 난수(Rd)와 디바이스 식별자(IDd)를 사물인터넷 디바이스 인증 장치(100)에 송신할 수 있다.
또한, 본 발명의 일실시예에 따른 사물인터넷 디바이스 인증 방법은 서버 난수(Rs) 및 세션 키(SK)를 생성하고, 디바이스 사전 공유 비밀 키(Kd)를 검색할 수 있다(S230).
즉, 단계(S230)는 사물인터넷 디바이스 인증 장치(100)가 수신한 디바이스 식별자(IDd)를 이용하여 디바이스 관리 테이블에서 디바이스 식별자(IDd)에 상응하는 디바이스 사전 공유 비밀키(Kd)를 검색하여 추출할 수 있다.
이 때, 단계(S230)는 디바이스 식별자가 테이블에서 검색되지 않는 경우, 사물 인터넷 디바이스 인증 장치(100)가 인증 거절 메시지를 사물인터넷 디바이스(10) 에게 송신하고 상호 인증 과정을 종료할 수도 있다.
또한, 본 발명의 일실시예에 따른 사물인터넷 디바이스 인증 방법은 암호화한 제1 메시지를 생성할 수 있다(S240).
즉, 단계(S240)는 사물인터넷 디바이스 인증 장치(100)가 세션 키(SK), 디바이스 난수(Rd) 및 서버 난수(Rs)를 사전 공유 비밀 키(Kd)로 암호화한 제1 메시지(eKd(Rs||Rd||SK))를 생성할 수 있다.
또한, 본 발명의 일실시예에 따른 사물인터넷 디바이스 인증 방법은 암호화한 제1 메시지(eKd(Rs||Rd||SK))를 송신할 수 있다(S250).
즉, 단계(S250)는 사물인터넷 디바이스 인증 장치(100)가 전 공유 비밀 키(Kd)로 암호화한 제1 메시지(eKd(Rs||Rd||SK))를 사물인터넷 디바이스(10)에 송신할 수 있다.
또한, 본 발명의 일실시예에 따른 사물인터넷 디바이스 인증 방법은 제1 메시지를 복호화하고, 디바이스 난수를 비교할 수 있다(S260).
즉, 단계(S260)는 사물인터넷 디바이스(10)가 수신한 제1 메시지(dKd(Rs||Rd||SK))를 복호화할 수 있다.
이 때, 단계(S260)는 사물인터넷 디바이스(10)가 복호화한 디바이스 난수(Rd)와 자신이 보유하고 있는 디바이스 난수(Rd)를 비교하여 일치하는 경우, 사물인터넷 디바이스 인증 장치(100)를 인증할 수 있다.
또한, 본 발명의 일실시예에 따른 사물인터넷 디바이스 인증 방법은 암호화한 제2 메시지를 생성할 수 있다(S270).
즉, 단계(S270)는 사물인터넷 디바이스(10)가 복호화한 세션 키(SK)를 이용하여 복호화한 서버 난수(Rs)를 암호화한 제2 메시지(eSK(Rs))를 생성할 수 있다.
또한, 본 발명의 일실시예에 따른 사물인터넷 디바이스 인증 방법은 암호화한 제2 메시지를 송신할 수 있다(S280).
즉, 단계(S280)는 사물인터넷 디바이스(10)가 암호화한 제2 메시지(eSK(Rs))를 사물인터넷 디바이스 인증 장치(100)에 송신할 수 있다.
또한, 본 발명의 일실시예에 따른 사물인터넷 디바이스 인증 방법은 제2 메시지를 복호화하고, 서버 난수를 비교할 수 있다(S290).
즉, 단계(S290)는 사물인터넷 디바이스 인증 장치(100)가 수신한 제2 메시지(eSK(Rs))를 복호화할 수 있다.
이 때, 단계(S290)는 사물인터넷 디바이스 인증 장치(100)가 복호화한 서버 난수(Rs)와 자신이 보유하고 있는 서버 난수(Rs)를 비교하여 일치하는 경우, 사물인터넷 디바이스 인증 장치(100)를 인증할 수 있다.
이 때, 단계(S290)는 사물인터넷 디바이스(10)와 사물인터넷 디바이스 인증 장치(100)가 상호간에 상호 인증이 완료되었음을 확인할 수 있다.
또한, 본 발명의 일실시예에 따른 사물인터넷 디바이스 인증 방법은 암호화된 데이터를 송신할 수 있다(S300).
즉, 단계(S300)는 사물인터넷 디바이스(10)와 사물인터넷 디바이스 인증 장치(100)가 상호 간에 통신 채널을 설정하여 데이터를 송신할 수 있다.
이 때, 단계(S300)는 암호화된 통신 채널에 상응하는 세션의 세션 식별자(SID), 상기 세션 키(SK) 및 상기 서버 난수(Rs)를 데이터 필드로 구성한 세션 엔트리를 포함하는 세션 테이블을 생성할 수 있다.
이 때, 단계(S300)는 상기 세션 엔트리를 상기 디바이스 식별자(IDd) 및 상기 디바이스 사전 공유 비밀 키(Kd)에 상응하는 디바이스 관리 테이블의 디바이스 관리 엔트리를 맵핑시킬 수 있다.
이 때, 단계(S300)는 세션 키(SK)를 이용하여 암호화된 통신 채널을 설정하고, 상기 세션 키(SK)를 이용하여 상기 데이터를 암호화한 제3 메시지(eSK(Data))를 생성할 수 있다.
이 때, 단계(S300)는 사물인터넷 디바이스(10)와 사물인터넷 디바이스 인증 장치(100)가 상호 간에 제3 메시지(eSK(Data))를 전송할 수 있다.
이 때, 단계(S300)는 사물인터넷 디바이스(10)와 사물인터넷 디바이스 인증 장치(100)가 상호 간에 수신한 제3 메시지(eSK(Data))를 세션 키(SK)를 이용하여 복호화할 수 있다.
도 8은 본 발명의 일실시예에 따른 게이트웨이 장치를 포함하는 사물인터넷 디바이스 인증 방법을 나타낸 시퀀스 다이어그램이다.
도 8을 참조하면, 본 발명의 일실시예에 따른 사물인터넷 디바이스 인증 방법은 먼저 디바이스 난수를 생성할 수 있다(S310).
즉, 단계(S310)는 사물인터넷 디바이스(10)가 디바이스 난수(Rd)를 생성할 수 있다.
이 때, 단계(S310)는 사물인터넷 디바이스(10)와 사물인터넷 디바이스 인증 장치(100)가 사전에 디바이스 사전 공유 비밀 키(Kd)를 공유할 수 있고, 게이트웨이 장치(20)와 사물인터넷 디바이스 인증 장치(100)가 사전에 게이트웨이 사전 공유 비밀 키(Kg)를 공유할 수 있다.
또한, 본 발명의 일실시예에 따른 사물인터넷 디바이스 인증 방법은 디바이스 난수와 디바이스 식별자를 송신할 수 있다(S320).
즉, 단계(S320)는 사물인터넷 디바이스(10)가 생성한 디바이스 난수(Rd)와 디바이스 식별자(IDd)를 게이트웨이 장치(20)에 송신할 수 있다.
또한, 본 발명의 일실시예에 따른 사물인터넷 디바이스 인증 방법은 제1 게이트웨이 난수를 생성할 수 있다(S330).
즉, 단계(S330)는 게이트웨이 장치(20)가 제1 게이트웨이 난수(R'g)를 생성할 수 있다.
또한, 본 발명의 일실시예에 따른 사물인터넷 디바이스 인증 방법은 제1 게이트웨이 난수, 디바이스 난수, 디바이스 식별자 및 게이트웨이 식별자를 송신할 수 있다(S340).
즉, 단계(S340)는 게이트웨이 장치(20)가 제1 게이트웨이 난수(R'g), 디바이스 난수(Rd), 디바이스 식별자(IDd) 및 게이트웨이 식별자(IDg)를 사물인터넷 디바이스 인증 장치(100)에 송신할 수 있다.
또한, 본 발명의 일실시예에 따른 사물인터넷 디바이스 인증 방법은 서버 난수 및 세션 키를 생성하고, 디바이스 사전 공유 비밀 키 및 게이트웨이 사전 공유 비밀 키를 검색할 수 있다(S350).
즉, 단계(S350)는 사물인터넷 디바이스 인증 장치(100)가 서버 난수(Rs) 및 세션 키(SK)를 생성할 수 있다.
이 때, 단계(S350)는 사물인터넷 디바이스 인증 장치(100)가 수신한 디바이스 식별자(IDd)를 이용하여 디바이스 관리 테이블에서 디바이스 식별자(IDd)에 상응하는 디바이스 사전 공유 비밀키(Kd)를 검색하여 추출할 수 있다.
이 때, 단계(S350)는 사물인터넷 디바이스 인증 장치(100)가 수신한 게이트웨이 식별자(IDg)를 이용하여 게이트웨이 관리 테이블에서 게이트웨이 식별자(IDg)에 상응하는 게이트웨이 사전 공유 비밀키(Kg)를 검색하여 추출할 수 있다.
또한, 단계(S350)는 디바이스 식별자 및 게이트웨이 식별자가 테이블에서 검색되지 않는 경우, 사물인터넷 디바이스 인증 장치(100)가 인증 거절 메시지를 사물인터넷 디바이스(10) 또는 게이트웨이 장치(20)에게 송신하고 상호 인증 과정을 종료할 수도 있다.
또한, 본 발명의 일실시예에 따른 사물인터넷 디바이스 인증 방법은 암호화한 제1 메시지와 암호화한 제2 메시지를 결합한 제3 메시지를 생성할 수 있다(S360).
즉, 단계(S360)는 사물인터넷 디바이스 인증 장치(100)가 디바이스 사전 공유 비밀 키(Kd)를 이용하여 서버 난수(Rs), 세션 키(SK) 및 디바이스 난수(Rd)를 암호화한 제1 메시지(eKd(Rd||Rs||SK))를 생성할 수 있다.
이 때, 단계(S360)는 사물인터넷 디바이스 인증 장치(100)가 게이트웨이 사전 공유 비밀 키(Kg)를 이용하여 서버 난수(Rs), 세션 키(SK) 및 제1 게이트웨이 난수(R'g)를 암호화한 제2 메시지(eKg(Rg||Rs||SK))를 생성할 수 있다.
이 때, 단계(S360)는 사물인터넷 디바이스 인증 장치(100)가 암호화한 제1 메시지(eKd(Rd||Rs||SK))와 암호화한 제2 메시지(eKg(R'g||Rs||SK))를 결합한 제3 메시지를 생성할 수 있다.
이 때, 제1 메시지는 제3 메시지의 전반부 메시지, 제2 메시지는 제3 메시지의 후반부 메시지에 상응할 수 있고, 제1 메시지가 제3 메시지의 후반부 메시지, 제2 메시지가 제3 메시지의 전반부 메시지에 상응할 수도 있다.
또한, 본 발명의 일실시예에 따른 사물인터넷 디바이스 인증 방법은 제2 메시지를 복호화하여 제1 게이트웨이 난수를 비교할 수 있고, 제2 게이트웨이 난수를 생성하여 암호화한 제4 메시지를 생성할 수 있다(S380).
즉, 단계(S380)는 게이트웨이 장치(20)가 게이트웨이 사전 공유 비밀 키(Kg)를 이용하여 제3 메시지에 결합된 제2 메시지를 복호화하고(dKg(R'g||Rs||SK)), 복호화한 제1 게이트웨이 난수(R'g)와 자신이 보유하고 있는 제1 게이트웨이 난수(R'g)를 비교하여 사물 인터넷 디바이스 인증 장치(100)의 인증을 수행할 수 있다.
이 때, 단계(S380)는 게이트웨이 장치(20)가 제2 게이트웨이 난수(Rg)를 생성하고, 복호화한 세션 키(SK)를 이용하여 상기 제2 게이트웨이 난수(Rg)를 암호화한 제4 메시지(eSK(Rg))를 생성할 수 있다.
이 때, 단계(S380)는 제1 메시지와 제4 메시지를 결합한 제5 메시지를 생성할 수 있다.
이 때, 제1 메시지는 제5 메시지의 전반부 메시지, 제4 메시지는 제5 메시지의 후반부 메시지에 상응할 수 있고, 제1 메시지가 제5 메시지의 후반부 메시지, 제4 메시지가 제5 메시지의 전반부 메시지에 상응할 수도 있다.
또한, 본 발명의 일실시예에 따른 사물인터넷 디바이스 인증 방법은 제5 메시지를 송신할 수 있다(S390).
즉, 단계(S390)는 게이트웨이 장치(20)가 제1 메시지와 제4 메시지를 결합한 제5 메시지를 사물인터넷 디바이스(10)에 송신할 수 있다.
또한, 본 발명의 일실시예에 따른 사물인터넷 디바이스 인증 방법은 제5 메시지를 복호화하여 디바이스 난수를 비교하고, 암호화한 제6 메시지를 생성할 수 있다(S400).
즉, 단계(S400)는 사물인터넷 디바이스(10)가 디바이스 사전 공유 비밀 키(Kd)를 이용하여 제5 메시지에 결합된 제1 메시지를 복호화(dKd(Rd||Rs||SK))할 수 있다.
이 때, 단계(S400)는 복호화한 디바이스 난수(Rd)와 자신이 보유하고 있는 디바이스 난수(Rd)를 비교하여 사물 인터넷 디바이스 인증 장치(100)의 인증을 수행할 수 있다.
이 때, 단계(S400)는 사물 인터넷 디바이스(10)가 복호화한 세션 키(SK)를 이용하여 상기 제5 메시지에 결합된 상기 제4 메시지를 복호화하고(dSK(Rg)), 복호화한 세션 키(SK)를 이용하여 복호화한 제2 게이트웨이 난수(Rg)와 서버 난수(Rs)를 암호화한 제6 메시지를 생성할 수 있다.
또한, 본 발명의 일실시예에 따른 사물인터넷 디바이스 인증 방법은 암호화한 제6 메시지를 송신할 수 있다(S410).
즉, 단계(S410)는 사물인터넷 디바이스(10)가 암호화한 제6 메시지(eSK(Rg||Rs))를 게이트웨이 장치(20)에 송신할 수 있다.
또한, 본 발명의 일실시예에 따른 사물인터넷 디바이스 인증 방법은 제6 메시지를 복호화하고, 제2 게이트웨이 난수를 비교할 수 있다(S420).
즉, 단계(S420)는 게이트웨이 장치(20)가 수신한 제6 메시지를 복호하하고(dSK(Rg||Rs)), 복호화한 제2 게이트웨이 난수(Rg)와 자신이 보유한 제2 게이트웨이 난수(Rg)를 비교하여 사물인터넷 디바이스(10)의 인증을 수행할 수 있다.
이 때, 단계(S420)는 게이트웨이 장치(20)가 세션 키(SK)를 이용하여 서버 난수(Rs)를 암호화한 제7 메시지(eSK(Rs))를 생성할 수 있다.
또한, 본 발명의 일실시예에 따른 사물인터넷 디바이스 인증 방법은 암호화한 제 7 메시지를 송신할 수 있다(S430).
즉, 단계(S430)는 게이트웨이 장치(20)가 암호화한 제7 메시지(eSK(Rs))를 사물인터넷 디바이스 인증 장치(100)에 송신할 수 있다.
또한, 본 발명의 일실시예에 따른 사물인터넷 디바이스 인증 방법은 제7 메시지를 복호화하고, 복호화한 서버 난수를 비교할 수 있다(S440).
즉, 단계(S440)는 사물인터넷 디바이스 인증 장치(100)가 수신한 제7 메시지를 세션 키(SK)를 이용하여 복호화하고(dSK(Rs)), 복호화한 서버 난수(Rs)와 자신이 보유하고 있는 서버 난수(Rs)를 비교하여 게이트웨이 장치(20)의 인증을 수행할 수 있다.
이 때, 단계(S440)는 사물인터넷 디바이스(10), 게이트웨이 장치(20)와 사물인터넷 디바이스 인증 장치(100)가 상호간에 상호 인증이 완료되었음을 확인할 수 있다.
또한, 본 발명의 일실시예에 따른 사물인터넷 디바이스 인증 방법은 암호화된 데이터를 송신할 수 있다(S450).
즉, 단계(S450)는 사물인터넷 디바이스(10), 게이트웨이 장치(20)와 사물인터넷 디바이스 인증 장치(100)가 상호 간에 통신 채널을 설정하여 데이터를 송신할 수 있다.
이 때, 단계(S450)는 암호화된 통신 채널에 상응하는 세션의 세션 식별자(SID), 상기 세션 키(SK) 및 상기 서버 난수(Rs)를 데이터 필드로 구성한 세션 엔트리를 포함하는 세션 테이블을 생성할 수 있다.
이 때, 단계(S450)는 상기 세션 엔트리를 상기 디바이스 식별자(IDd) 및 상기 디바이스 사전 공유 비밀 키(Kd)에 상응하는 디바이스 관리 테이블의 디바이스 관리 엔트리와 상기 게이트웨이 식별자(IDg) 및 상기 게이트웨이 사전 공유 비밀 키(Kg)에 상응하는 게이트웨이 관리 테이블의 게이트웨이 관리 엔트리를 맵핑시킬 수 있다.
이 때, 단계(S450)는 세션 키(SK)를 이용하여 암호화된 통신 채널을 설정하고, 상기 세션 키(SK)를 이용하여 상기 데이터를 암호화한 제8 메시지(eSK(Data))를 생성할 수 있다.
이 때, 단계(S450)는 사물인터넷 디바이스(10), 게이트웨이 장치(20)와 사물인터넷 디바이스 인증 장치(100)가 상호 간에 제8 메시지(eSK(Data))를 전송할 수 있다.
이 때, 단계(S450)는 사물인터넷 디바이스(10), 게이트웨이 장치(20)와 사물인터넷 디바이스 인증 장치(100)가 상호 간에 수신한 제8 메시지(eSK(Data))를 세션 키(SK)를 이용하여 복호화할 수 있다.
도 9는 본 발명의 일실시예에 따른 소프트웨어 보안 업데이트 과정을 나타낸 시퀀스 다이어그램이다.
도 9를 참조하면, 본 발명의 일실시예에 따른 소프트웨어 보안 업데이트 과정은 사물인터넷 디바이스(10)에서 운용되는 펌웨어(Firmware)를 포함한 소프트웨어(Software)의 버그나 취약점이 발견되어 업데이트가 필요한 경우, 사물인터넷 디바이스 인증 장치(100)는 소프트웨어 업데이트 작업을 수행할 수 있다.
본 발명의 일실시예에 따른 소프트웨어 보안 업데이트 과정은 먼저 세션을 오픈할 수 있다(S510).
즉, 단계(S510)는 통신 채널 연결이 설정되어 사물인터넷 디바이스(10)와 사물인터넷 디바이스 인증 장치(100)의 세션이 설정될 수 있다.
또한, 본 발명의 일실시예에 따른 소프트웨어 보안 업데이트 과정은 상호 인증(Handshake)를 수행할 수 있다(S520).
즉, 단계(S520)는 상기 도 7에서 설명한 사물인터넷 디바이스 인증 방법에 따라 사물인터넷 디바이스(10)와 사물인터넷 디바이스 인증 장치(100)의 상호 인증을 수행할 수 있다.
또한, 본 발명의 일실시예에 따른 소프트웨어 보안 업데이트 과정은 디바이스 정보를 요청할 수 있다(S530).
즉, 단계(S530)는 사물인터넷 디바이스 인증 장치(100)가 사물인터넷 디바이스(10)에게 디바이스 정보를 요청(Device Info. Request)할 수 있다.
또한, 본 발명의 일실시예에 따른 소프트웨어 보안 업데이트 과정은 디바이스 정보를 응답할 수 있다(S540).
즉, 단계(S540)는 사물인터넷 디바이스(10)가 사물인터넷 디바이스 인증 장치(100)에게 디바이스 정보를 응답(Device Info. Response)할 수 있다.
또한, 본 발명의 일실시예에 따른 소프트웨어 보안 업데이트 과정은 소프트웨어 업데이트를 요청할 수 있다(S550).
즉, 단계(S550)는 사물인터넷 디바이스 인증 장치(100)가 사물인터넷 디바이스(10)에게 소프트웨어 업데이트를 요청(S/W Update Request)할 수 있다.
또한, 본 발명의 일실시예에 따른 소프트웨어 보안 업데이트 과정은 소프트웨어 업데이트 결과를 응답할 수 있다(S560).
즉, 단계(S560)는 사물인터넷 디바이스(10)가 사물인터넷 디바이스 인증 장치(100)에게 소프트웨어 업데이트 결과를 응답(S/W Update Result)할 수 있다.
또한, 본 발명의 일실시예에 따른 소프트웨어 보안 업데이트 과정은 세션을 종료할 수 있다(S570).
즉, 단계(S570)는 사물인터넷 디바이스(10)의 소프트웨어 업데이트가 완료된 경우, 사물인터넷 디바이스(10)와 사물인터넷 디바이스 인증 장치(100)가 상호 간의 세션을 종료할 수 있다.
도 10은 본 발명의 일실시예에 따른 컴퓨터 시스템을 나타낸 블록도이다.
도 10을 참조하면, 본 발명의 일실시예에 따른 사물인터넷 디바이스(10), 게이트웨이 장치(20) 및 사물인터넷 디바이스 인증 장치(100)는 컴퓨터로 읽을 수 있는 기록매체와 같은 컴퓨터 시스템(1100)에서 구현될 수 있다. 도 10에 도시된 바와 같이, 컴퓨터 시스템(1100)은 버스(1120)를 통하여 서로 통신하는 하나 이상의 프로세서(1110), 메모리(1130), 사용자 인터페이스 입력 장치(1140), 사용자 인터페이스 출력 장치(1150) 및 스토리지(1160)를 포함할 수 있다. 또한, 컴퓨터 시스템(1100)은 네트워크(1180)에 연결되는 네트워크 인터페이스(1170)를 더 포함할 수 있다. 프로세서(1110)는 중앙 처리 장치 또는 메모리(1130)나 스토리지(1160)에 저장된 프로세싱 인스트럭션들을 실행하는 반도체 장치일 수 있다. 메모리(1130) 및 스토리지(1160)는 다양한 형태의 휘발성 또는 비휘발성 저장 매체일 수 있다. 예를 들어, 메모리는 ROM(1131)이나 RAM(1132)을 포함할 수 있다.
이상에서와 같이 본 발명에 따른 사물인터넷 디바이스 인증 장치 및 방법은 상기한 바와 같이 설명된 실시예들의 구성과 방법이 한정되게 적용될 수 있는 것이 아니라, 상기 실시예들은 다양한 변형이 이루어질 수 있도록 각 실시예들의 전부 또는 일부가 선택적으로 조합되어 구성될 수도 있다.
10: 사물인터넷 디바이스 11: 디바이스 통신부
12: 디바이스 메시지 처리부 13: 디바이스 상호 인증 수행부
13a: 디바이스 보안 채널 관리부 13b: 디바이스 암호 엔진부
13c: 디바이스 난수 생성부 13d: 디바이스 해쉬 함수 생성부
20: 게이트웨이 장치 100: 사물인터넷 디바이스 인증 장치
110: 통신부 120: 메시지 처리부
130: 상호 인증 수행부 131: 디바이스 ID 관리부
132: 키 생성 관리부 133: 보안 채널 관리부
134: 암호 엔진부 135: 난수 생성부
136: 해쉬 함수 생성부 140: 데이터베이스부
1100: 컴퓨터 시스템 1110: 프로세서
1120: 버스 1130: 메모리
1131: 롬 1132: 램
1140: 사용자 인터페이스 입력 장치
1150: 사용자 인터페이스 출력 장치
1160: 스토리지 1170: 네트워크 인터페이스
1180: 네트워크

Claims (20)

  1. 사물인터넷 디바이스 인증 장치를 이용하는 방법에 있어서,
    사물인터넷 디바이스가, 사전에 공유된 사전 공유 비밀 키(Kd)를 이용하여 상기 사물인터넷 디바이스 인증 장치의 인증을 수행하는 단계; 및
    상기 사물인터넷 디바이스 인증 장치가 생성한 세션 키(SK)를 이용하여 상기 사물인터넷 디바이스의 인증을 수행하는 단계;
    를 포함하는 것을 특징으로 하는 사물인터넷 디바이스 인증 방법.
  2. 청구항 1에 있어서,
    상기 사물인터넷 디바이스 인증 장치의 인증을 수행하는 단계는
    상기 사물인터넷 디바이스가, 디바이스 난수(Rd) 및 디바이스 식별자(IDd)를 생성하여 상기 사물인터넷 디바이스 인증 장치에 송신하는 단계;
    상기 사물인터넷 디바이스 인증 장치가, 서버 난수(Rs) 및 세션 키(SK)를 생성하여 상기 서버 난수(Rs), 상기 세션 키(SK) 및 상기 디바이스 난수(Rd)를 사전 공유 비밀 키(Kd)로 암호화한 제1 메시지를 상기 사물인터넷 디바이스에 송신하는 단계; 및
    상기 사물인터넷 디바이스가, 상기 제1 메시지를 상기 사전 공유 비밀 키(Kd)로 복호화하고, 상기 디바이스 난수(Rd)를 비교하여 상기 사물 인터넷 디바이스 인증 장치의 인증을 수행하는 단계;
    를 포함하는 것을 특징으로 하는 사물인터넷 디바이스 인증 방법.
  3. 청구항 2에 있어서,
    상기 사물인터넷 디바이스의 인증을 수행하는 단계는
    상기 사물인터넷 디바이스가, 상기 세션 키(SK)를 이용하여 상기 서버 난수(Rs)를 암호화한 제2 메시지를 상기 사물인터넷 디바이스 인증 장치에 송신하는 단계; 및
    상기 사물 인터넷 디바이스 인증 장치가, 상기 제2 메시지를 상기 세션 키(SK)로 복호화하고, 상기 서버 난수(Rs)를 비교하여 상기 사물인터넷 디바이스의 인증을 수행하는 단계;
    를 포함하는 것을 특징으로 하는 사물인터넷 디바이스 인증 방법.
  4. 청구항 2에 있어서,
    상기 사물인터넷 디바이스 인증 방법은
    상기 디바이스 난수(Rd) 및 디바이스 식별자(IDd)를 생성하여 상기 사물인터넷 디바이스 인증 장치에 송신하는 단계 이전에,
    상기 사물인터넷 디바이스와 상기 사물인터넷 디바이스 인증 장치가, 상기 사전 공유 비밀 키(Kd)를 사전 공유하는 단계를 더 포함하는 것을 특징으로 하는 사물인터넷 디바이스 인증 방법.
  5. 청구항 4에 있어서,
    상기 제1 메시지를 상기 사물인터넷 디바이스에 송신하는 단계는
    디바이스 관리 테이블에서 상기 디바이스 식별자(IDd)에 식별자에 상응하는 사전 공유 비밀 키(Kd)를 추출하는 것을 특징으로 하는 사물인터넷 디바이스 인증 장치.
  6. 청구항 5에 있어서,
    상기 사물인터넷 디바이스 인증 방법은
    상기 세션 키(SK)를 이용하여 상기 사물인터넷 디바이스의 인증을 수행하는 단계 이후에,
    상기 사물인터넷 디바이스와 상기 사물인터넷 디바이스 인증 장치가 상호 간에 통신 채널을 설정하여 데이터를 송신하는 단계를 더 포함하는 것을 특징으로 하는 사물인터넷 디바이스 인증 방법.
  7. 청구항 6에 있어서,
    상기 데이터를 송신하는 단계는
    상기 세션 키(SK)를 이용하여 암호화된 통신 채널을 설정하고, 상기 세션 키(SK)를 이용하여 상기 데이터를 암호화한 제3 메시지를 상기 암호화된 통신 채널을 통해 송신하는 것을 특징으로 하는 사물인터넷 디바이스 인증 방법.
  8. 청구항 7에 있어서,
    상기 데이터를 송신하는 단계는
    상기 암호화된 통신 채널에 상응하는 세션의 세션 식별자(SID), 상기 세션 키(SK) 및 상기 서버 난수(Rs)를 데이터 필드로 구성한 세션 엔트리를 포함하는 세션 테이블을 생성하는 것을 특징으로 하는 사물인터넷 디바이스 인증 방법.
  9. 청구항 8에 있어서,
    상기 데이터를 송신하는 단계는
    상기 세션 엔트리를 상기 디바이스 식별자(IDd) 및 상기 디바이스 사전 공유 비밀 키(Kd)에 상응하는 디바이스 관리 테이블의 디바이스 관리 엔트리를 맵핑시키는 것을 특징으로 하는 사물인터넷 디바이스 인증 방법.
  10. 사물인터넷 디바이스 인증 장치를 이용하는 방법에 있어서,
    상기 사물인터넷 디바이스 인증 장치가, 사물인터넷 디바이스와 사전에 공유된 디바이스 사전 공유 비밀 키(Kd)를 이용하여 암호화한 제1 메시지와 게이트웨이 장치와 사전에 공유된 게이트웨이 사전 공유 비밀 키(Kg)를 이용하여 암호화한 제2 메시지를 결합한 제3 메시지를 생성하여 상기 게이트웨이 장치에 송신하는 단계;
    상기 게이트웨이 장치가, 상기 게이트웨이 사전 공유 비밀 키(Kg)를 이용하여 상기 사물인터넷 디바이스 인증 장치의 인증을 수행하는 단계;
    상기 사물인터넷 디바이스가, 상기 디바이스 사전 공유 비밀 키(Kd)를 이용하여 상기 사물인터넷 디바이스 인증 장치의 인증을 수행하는 단계;
    상기 게이트웨이 장치가, 상기 세션 키(SK)를 이용하여 상기 사물인터넷 디바이스의 인증을 수행하는 단계; 및
    상기 사물인터넷 디바이스 인증 장치가, 상기 세션 키(SK)를 이용하여 상기 사물인터넷 디바이스와 상기 게이트웨이 장치의 인증을 수행하는 단계;
    를 포함하는 것을 특징으로 하는 사물인터넷 디바이스 인증 방법.
  11. 청구항 10에 있어서,
    상기 제3 메시지를 생성하여 상기 게이트웨이 장치에 송신하는 단계는
    상기 사물인터넷 디바이스 인증 장치가, 서버 난수(Rs) 및 세션 키(SK)를 생성하고, 수신한 상기 디바이스 식별자(IDd)에 상응하는 사전에 공유된 디바이스 사전 공유 비밀 키(Kd)를 이용하여 상기 서버 난수(Rs), 상기 세션 키(SK) 및 상기 디바이스 난수(Rd)를 암호화한 상기 제1 메시지를 생성하는 단계;
    상기 사물인터넷 디바이스 인증 장치가, 수신한 상기 게이트웨이 식별자(IDg)에 상응하는 사전에 공유된 사전에 공유된 게이트웨이 사전 공유 비밀 키(Kg)를 이용하여 상기 서버 난수(Rs), 상기 세션 키(SK) 및 상기 제1 게이트웨이 난수(R'g)를 암호화한 상기 제2 메시지를 생성하는 단계; 및
    상기 사물인터넷 디바이스 인증 장치가, 상기 제1 메시지와 제2 메시지를 결합한 제3 메시지를 생성하여 상기 게이트웨이 장치에 송신하는 단계;
    를 포함하는 것을 특징으로 하는 사물인터넷 디바이스 인증 방법.
  12. 청구항 11에 있어서,
    상기 게이트웨이 사전 공유 비밀 키(Kg)를 이용하여 상기 사물인터넷 디바이스 인증 장치의 인증을 수행하는 단계는
    상기 게이트웨이 장치가, 상기 게이트웨이 사전 공유 비밀 키(Kg)를 이용하여 상기 제3 메시지에 결합된 상기 제2 메시지를 복호화하고, 상기 제1 게이트웨이 난수(R'g)를 비교하여 상기 사물 인터넷 디바이스 인증 장치의 인증을 수행하는 단계;
    상기 게이트웨이 장치가, 제2 게이트웨이 난수(Rg)를 생성하고, 상기 세션 키(SK)를 이용하여 상기 제2 게이트웨이 난수(Rg)를 암호화한 제4 메시지를 생성하는 단계; 및
    상기 게이트웨이 장치가, 상기 제1 메시지와 상기 제4 메시지를 결합한 제5 메시지를 생성하여 상기 사물인터넷 디바이스에 송신하는 단계;
    를 포함하는 것을 특징으로 하는 사물인터넷 디바이스 인증 방법.
  13. 청구항 12에 있어서,
    상기 디바이스 사전 공유 비밀 키(Kd)를 이용하여 상기 사물인터넷 디바이스 인증 장치의 인증을 수행하는 단계는
    상기 사물인터넷 디바이스가, 상기 디바이스 사전 공유 비밀 키(Kd)를 이용하여 상기 제5 메시지에 결합된 상기 제1 메시지를 복호화하고, 상기 디바이스 난수(Rd)를 비교하여 상기 사물 인터넷 디바이스 인증 장치의 인증을 수행하는 단계;
    상기 사물인터넷 디바이스가, 상기 세션 키(SK)를 이용하여 상기 제5 메시지에 결합된 상기 제4 메시지를 복호화하고, 상기 세션 키(SK)를 이용하여 상기 제2 게이트웨이 난수(Rg)와 상기 서버 난수(Rs)를 암호화한 제6 메시지를 생성하여 상기 게이트웨이 장치에 송신하는 단계;
    를 포함하는 것을 특징으로 하는 사물인터넷 디바이스 인증 방법.
  14. 청구항 13에 있어서,
    상기 세션 키(SK)를 이용하여 사물인터넷 디바이스의 인증을 수행하는 단계는
    상기 게이트웨이 장치가, 상기 세션 키(SK)를 이용하여 상기 제6 메시지를 복호화하고, 상기 제2 게이트웨이 난수(Rg)를 비교하여 상기 사물인터넷 디바이스의 인증을 수행하는 단계; 및
    상기 게이트웨이 장치가, 상기 세션 키(SK)를 이용하여 상기 서버 난수(Rs)를 암호화한 제7 메시지를 생성하여 상기 사물인터넷 디바이스 인증 장치에 송신하는 단계;
    를 포함하는 것을 특징으로 하는 사물인터넷 디바이스 인증 방법.
  15. 청구항 14에 있어서,
    상기 세션 키(SK)를 이용하여 상기 사물인터넷 디바이스와 상기 게이트웨이 장치의 인증을 수행하는 단계는
    상기 사물 인터넷 디바이스 인증 장치가, 상기 세션 키(SK)를 이용하여 상기 제7 메시지를 복호화하고, 상기 서버 난수(Rs)를 비교하여 상기 사물인터넷 디바이스와 상기 게이트웨이 장치의 인증을 수행하는 것을 특징으로 하는 사물인터넷 디바이스 인증 방법.
  16. 청구항 15에 있어서,
    상기 세션 키(SK)를 이용하여 상기 사물인터넷 디바이스와 상기 게이트웨이 장치의 인증을 수행하는 단계 이후에,
    상기 게이트웨이 장치를 통해 상기 사물인터넷 디바이스와 상기 사물인터넷 디바이스 인증 장치 사이의 통신 채널을 설정하여 데이터를 송신하는 단계를 더 포함하는 것을 특징으로 하는 사물인터넷 디바이스 인증 방법.
  17. 청구항 16에 있어서,
    상기 데이터를 송신하는 단계는
    상기 세션 키(SK)를 이용하여 암호화된 통신 채널을 설정하고, 상기 세션 키(SK)를 이용하여 상기 데이터를 암호화한 제8 메시지를 상기 암호화된 통신 채널을 통해 송신하는 것을 특징으로 하는 사물인터넷 디바이스 인증 방법.
  18. 청구항 17에 있어서,
    상기 데이터를 송신하는 단계는
    상기 암호화된 통신 채널에 상응하는 세션의 세션 식별자(SID), 상기 세션 키(SK) 및 상기 서버 난수(Rs)를 데이터 필드로 구성한 세션 엔트리를 포함하는 세션 테이블을 생성하는 것을 특징으로 하는 사물인터넷 디바이스 인증 방법.
  19. 청구항 18에 있어서,
    상기 데이터를 송신하는 단계는
    상기 세션 엔트리를 상기 디바이스 식별자(IDd) 및 상기 디바이스 사전 공유 비밀 키(Kd)에 상응하는 디바이스 관리 테이블의 디바이스 관리 엔트리와 상기 게이트웨이 식별자(IDg) 및 상기 게이트웨이 사전 공유 비밀 키(Kg)에 상응하는 게이트웨이 관리 테이블의 게이트웨이 관리 엔트리를 맵핑시키는 것을 특징으로 하는 사물인터넷 디바이스 인증 방법.
  20. 사물인터넷 디바이스 및 상기 사물인터넷 디바이스를 중계하는 게이트웨이 장치 중 적어도 하나와 메시지를 전송하는 통신부;
    상기 사물인터넷 디바이스 및 상기 게이트웨이 장치 중 적어도 하나와 상호 인증을 수행하는 상호 인증 수행부;
    상기 상호 인증의 수행에 기반하여 메시지를 생성하는 메시지 처리부; 및
    상기 사물인터넷 디바이스 및 상기 게이트웨이 장치 중 적어도 하나와 사전에 공유된 비밀 키를 관리하는 데이터베이스부;
    를 포함하는 것을 특징으로 하는 사물인터넷 디바이스 인증 장치.
KR1020170066001A 2017-05-29 2017-05-29 사물인터넷 디바이스 인증 장치 및 방법 KR20180130203A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170066001A KR20180130203A (ko) 2017-05-29 2017-05-29 사물인터넷 디바이스 인증 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170066001A KR20180130203A (ko) 2017-05-29 2017-05-29 사물인터넷 디바이스 인증 장치 및 방법

Publications (1)

Publication Number Publication Date
KR20180130203A true KR20180130203A (ko) 2018-12-07

Family

ID=64669606

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170066001A KR20180130203A (ko) 2017-05-29 2017-05-29 사물인터넷 디바이스 인증 장치 및 방법

Country Status (1)

Country Link
KR (1) KR20180130203A (ko)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111783068A (zh) * 2020-06-03 2020-10-16 中移(杭州)信息技术有限公司 设备认证方法、系统、电子设备及存储介质
KR20200129625A (ko) * 2019-05-09 2020-11-18 금오공과대학교 산학협력단 블록체인 기반의 사물인터넷 데이터 전송 방법
KR20210015264A (ko) * 2019-08-01 2021-02-10 한국전자통신연구원 화이트박스 암호화를 이용한 puf 기반 사물인터넷 디바이스 인증 장치 및 방법
CN113973123A (zh) * 2021-10-27 2022-01-25 广东卓维网络有限公司 一种多接入方式加密物联网通信方法和系统
KR102376435B1 (ko) * 2021-11-30 2022-03-18 주식회사 시옷 사물 인터넷 보안 시스템
CN117097561A (zh) * 2023-10-18 2023-11-21 华东交通大学 面向工业物联网的可信设备传递身份认证方法
WO2024005419A1 (ko) * 2022-07-01 2024-01-04 삼성전자 주식회사 암호화 서비스를 제공하는 전자 장치 및 그 동작 방법

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20200129625A (ko) * 2019-05-09 2020-11-18 금오공과대학교 산학협력단 블록체인 기반의 사물인터넷 데이터 전송 방법
KR20210015264A (ko) * 2019-08-01 2021-02-10 한국전자통신연구원 화이트박스 암호화를 이용한 puf 기반 사물인터넷 디바이스 인증 장치 및 방법
US11329835B2 (en) 2019-08-01 2022-05-10 Electronics And Telecommunications Research Institute Apparatus and method for authenticating IoT device based on PUF using white-box cryptography
CN111783068A (zh) * 2020-06-03 2020-10-16 中移(杭州)信息技术有限公司 设备认证方法、系统、电子设备及存储介质
CN111783068B (zh) * 2020-06-03 2024-05-07 中移(杭州)信息技术有限公司 设备认证方法、系统、电子设备及存储介质
CN113973123A (zh) * 2021-10-27 2022-01-25 广东卓维网络有限公司 一种多接入方式加密物联网通信方法和系统
CN113973123B (zh) * 2021-10-27 2023-08-29 广东卓维网络有限公司 一种多接入方式加密物联网通信方法和系统
KR102376435B1 (ko) * 2021-11-30 2022-03-18 주식회사 시옷 사물 인터넷 보안 시스템
WO2023101399A1 (ko) * 2021-11-30 2023-06-08 주식회사 시옷 대용량 데이터의 보안 처리 시스템
WO2024005419A1 (ko) * 2022-07-01 2024-01-04 삼성전자 주식회사 암호화 서비스를 제공하는 전자 장치 및 그 동작 방법
CN117097561A (zh) * 2023-10-18 2023-11-21 华东交通大学 面向工业物联网的可信设备传递身份认证方法
CN117097561B (zh) * 2023-10-18 2024-01-16 华东交通大学 面向工业物联网的可信设备传递身份认证方法

Similar Documents

Publication Publication Date Title
CN108650227B (zh) 基于数据报安全传输协议的握手方法及系统
US10129031B2 (en) End-to-end service layer authentication
WO2017185999A1 (zh) 密钥分发、认证方法,装置及系统
US8838972B2 (en) Exchange of key material
US8788805B2 (en) Application-level service access to encrypted data streams
KR20180130203A (ko) 사물인터넷 디바이스 인증 장치 및 방법
US9509663B2 (en) Secure distribution of session credentials from client-side to server-side traffic management devices
WO2017114123A1 (zh) 一种密钥配置方法及密钥管理中心、网元
WO2017185692A1 (zh) 密钥分发、认证方法,装置及系统
US11303431B2 (en) Method and system for performing SSL handshake
US9350711B2 (en) Data transmission method, system, and apparatus
Park et al. Lightweight secure communication for CoAP-enabled internet of things using delegated DTLS handshake
CN103036872B (zh) 数据传输的加密和解密方法、设备及系统
KR101452124B1 (ko) 사물간 통신 네트워크에서 암호화 기반 기기 인증 및 세션키 생성 방법
WO2023020164A1 (zh) 管理通信信道的方法和装置
US20220263811A1 (en) Methods and Systems for Internet Key Exchange Re-Authentication Optimization
KR20090102050A (ko) 서버 기반 이동 인터넷 프로토콜 시스템에 있어서 보안방법
WO2016134631A1 (zh) 一种OpenFlow报文的处理方法及网元
CN115459913A (zh) 一种基于量子密钥云平台的链路透明加密方法及系统
KR101886367B1 (ko) 사물 간 통신 네트워크에서의 기기 개별 세션키 생성 및 이를 이용한 기기 간의 암호화 및 복호화 기능 검증 방법
Abdelsalam et al. Robust security framework for DVB‐RCS satellite networks (RSSN)
WO2001022685A1 (en) Method and arrangement for communications security
WO2017070973A1 (zh) 因特网协议安全性隧道建立方法,用户设备及基站
Mouri Iot protocols and security
Yoon et al. Mutual Authentication Scheme for Lightweight IoT Devices