KR20230096626A - 속성 기반 접근 제어를 지원하는 실시간 IoT 데이터 공유 시스템 및 그 방법 - Google Patents

속성 기반 접근 제어를 지원하는 실시간 IoT 데이터 공유 시스템 및 그 방법 Download PDF

Info

Publication number
KR20230096626A
KR20230096626A KR1020210186293A KR20210186293A KR20230096626A KR 20230096626 A KR20230096626 A KR 20230096626A KR 1020210186293 A KR1020210186293 A KR 1020210186293A KR 20210186293 A KR20210186293 A KR 20210186293A KR 20230096626 A KR20230096626 A KR 20230096626A
Authority
KR
South Korea
Prior art keywords
attribute
iot
data
iot data
server
Prior art date
Application number
KR1020210186293A
Other languages
English (en)
Other versions
KR102629617B1 (ko
Inventor
전우진
유동현
하우 슈 루에이
이제민
최지웅
Original Assignee
재단법인대구경북과학기술원
성균관대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 재단법인대구경북과학기술원, 성균관대학교산학협력단 filed Critical 재단법인대구경북과학기술원
Priority to KR1020210186293A priority Critical patent/KR102629617B1/ko
Priority to PCT/KR2022/013866 priority patent/WO2023120875A1/ko
Publication of KR20230096626A publication Critical patent/KR20230096626A/ko
Application granted granted Critical
Publication of KR102629617B1 publication Critical patent/KR102629617B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/065Network architectures or network communication protocols for network security for supporting key management in a packet data network for group communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Abstract

본 개시의 일 실시예에 따른 IoT 장치는 주변 장치를 이용하여 IoT 데이터를 암호화하여 서버에 전송하고, 사용자 장치는 서버에 필요한 IoT 데이터를 요청하여 이를 획득함으로써 실시간 IoT 데이터의 공유가 가능하다. 일 실시 예에서, IoT 장치는 센서를 통해 수집한 IoT 데이터를 암호화하기 위해, 속성 기반 암호화 기법의 비교적 저성능 연산만 수행하고, IoT 장치에게 외부 통신 네트워크 연결을 제공하는 주변 장치에 속성 기반 암호화 기법의 고성능 연산을 포함하는 나머지 단계를 아웃소싱함으로써 최종 암호문을 생성할 수 있다. 일 실시 예에 따른 사용자 장치는 자신의 액세스 정책을 이용하여 속성 블룸 필터를 생성하여, 속성 기반 암호화 기법에 따라 암호화된 IoT 데이터를 요청하여, 이를 획득할 수 있다. 일 실시 예에 따른 클라우드 서버는 IoT 장치 및 주변 장치가 속성 기반 암호화 기법에 따라 암호화한 IoT 데이터를 수신하여 저장하고, 사용자 장치의 요청에 의해 수신한 속성 블룸 필터를 쿼리로 검색되는 IoT 데이터를 해당 사용자 장치에 전송할 수 있다.

Description

속성 기반 접근 제어를 지원하는 실시간 IoT 데이터 공유 시스템 및 그 방법{REAL-TIME IOT DATA SHARING SYSTEM TO SUPPORT ATTRIBUTE-BASED ACCESS CONTROL AND METHOD OF OPERATION THEREOF}
실시간 IoT 데이터를 공유하는 시스템에 연관되며, 보다 상세하게는 속성 기반 접근 제어를 지원하는 실시간 IoT 데이터 공유 시스템에 연관된다.
IoT(Internet of Things) 장치에서 실시간으로 수집한 데이터는 인터넷을 통해 다른 전자 장치에 전송되어 다양하게 활용될 수 있다. 예를 들어, IoT 데이터를 수집한 소유자와 IoT 데이터를 필요로 하는 사용자 사이에서 IoT 데이터를 공유하기 위해서, IoT 데이터를 암호화하여 클라우드 서버에 전송하면, 클라우드 서버는 사용자의 요청에 의해 소유자에게 재암호화키 생성을 요청하고, 재암호화키를 이용하여 암호화된 IoT 데이터를 사용자만 복호화할 수 있도록 만들어 해당 사용자에게 전송할 수 있다. 그러나, IoT 장치는 계산 성능이 낮기 때문에 IoT 데이터를 필요로 하는 사용자가 많아지는 경우 사용자 수만큼 복잡한 암호화 연산을 수행해야 하는 문제로 인해 실시간으로 IoT 데이터를 공유하기 어렵다.
실시 예들에 따르면, 실시간으로 IoT 데이터를 공유하기 위해서 속성 기반 암호화 기법의 일부 고성능 연산을 주변 장치에 아웃소싱하는 IoT 장치가 제공될 수 있다.
실시 예들에 따르면, 암호화된 IoT 데이터를 저장하고, 속성 블룸 필터를 쿼리로 IoT 데이터를 검색하여 정당한 소비자에게 IoT 데이터를 제공하는 서버가 제공될 수 있다.
실시 예들에 따르면, 자신의 액세스 정책의 속성을 이용하여 속성 블룸 필터를 생성하여, 서버에 전송함으로써 IoT 데이터를 요청하고, 속성 블룸 필터를 쿼리로 검색된 IoT 데이터를 획득하는 사용자 장치가 제공될 수 있다.
실시 예의 일 측면에 따른 적어도 하나의 센서를 포함하는 IoT 장치는, 상기 적어도 하나의 센서를 통해 일정 주기로 IoT 데이터를 수집하고, 상기 IoT 데이터에 대하여 속성 기반 암호화 기법의 적어도 일부 연산을 수행하여 부분 암호화한 중간 암호문을 생성하고, 상기 중간 암호문에 대한 상기 속성 기반 암호화 기법의 나머지 연산을 요청하기 위해, 주변 장치에 상기 중간 암호문을 전송할 수 있다.
실시 예의 다른 일 측면에 따른 통신 인터페이스를 포함하는 전자 장치는, 상기 통신 인터페이스를 이용하여 IoT 장치에 외부 네트워크 통신 연결을 제공하고, 상기 IoT 장치로부터 데이터 및 상기 데이터에 대한 암호화 요청을 수신하고, 상기 암호화 요청에 응답하여, 상기 데이터에 대하여 속성 기반 암호화 기법의 일부 연산을 수행하여 암호문을 생성하고, 상기 암호문을 서버에 전송할 수 있다.
실시예의 또 다른 일 측면에 따른 전자 장치는, 액세스 정책을 구성하는 속성을 그룹 키로 암호화하고, 상기 암호화된 액세스 정책을 이용하여 속성 블룸 필터를 생성하고, IoT 데이터를 요청하기 위해 서버에 상기 속성 블룸 필터를 전송하고, 상기 서버로부터 상기 속성 블룸 필터를 쿼리로 하여 검색된 암호문과 상기 암호문에 대한 속성 세트를 수신하고, 상기 그룹 키 및 개인 키를 이용하여 상기 암호문을 복호화하여 IoT 데이터를 획득할 수 있다.
전술한 것 외의 다른 측면, 특징, 및 이점이 이하의 도면, 청구범위 및 발명의 상세한 설명으로부터 명확해질 것이다.
실시 예들에 따르면, IoT 데이터를 공유하는 시스템에서 속성 기반 암호화 기법을 사용하여 한번의 암호화를 통해 다수의 수신자에게 안전하게 데이터를 전송 할 수 있다.
실시 예들에 따르면, IoT 데이터를 공유하는 시스템에서 비교적 저성능이 요구되는 속성 기반 암호화 연산은 IoT 장치가 수행하고, 주변 장치가 비교적 고성능이 요구되는 속성 기반 암호화 연산을 수행함으로써 실시간으로 IoT 데이터를 서버를 통해 소비자(수신자)와 공유할 수 있다.
실시 예들에 따르면, 소비자가 자신의 액세스 정책의 속성을 IoT 데이터를 생성하는 장치와 공유하는 그룹 키로 암호화하고, 액세스 정책을 이용하여 생성한 속성 블룸 필터를 이용하여 서버에 암호화된 IoT 데이터를 요청하면, 서버에서 속성 블룸 필터를 쿼리로 검색된 암호문을 소비자에게 전송함으로써, 암호문에 대한 정보 유출 없이 정당한 소비자에게만 IoT 데이터를 제공받을 수 있다.
도 1은 일 실시 예에 따른 IoT 데이터를 공유하는 시스템을 포함하는 네트워크 환경을 도시한다.
도 2는 일 실시 예에 따른 IoT 데이터를 공유하는 시스템이 IoT 데이터를 사용자 장치와 공유하는 시퀀스 다이어그램을 도시한다.
도 3은 일 실시 예에 따라 IoT 데이터를 공유하기 위한 방법에서 사용되는 변수에 대한 정의를 나타낸 표를 도시한다.
도 4는 일 실시 예에 따른 IoT 데이터를 공유하는 시스템에서 IoT 데이터를 공유하는 프로토콜의 순서도를 도시한다.
도 5는 일 실시 예에 따른 IoT 데이터 저장 프로토콜을 설명하는 시퀀스 다이어그램을 도시한다.
도 6은 일 실시 예에 따른 사용자 장치의 데이터 액세스 프로토콜을 설명하는 시퀀스 다이어그램을 도시한다.
도 7은 일 실시 예에 따른 IoT 장치가 IoT 데이터를 공유하는 방법의 순서도를 도시한다.
도 8은 일 실시 예에 따른 주변 장치가 IoT 데이터를 공유하는 방법의 순서도를 도시한다.
도 9는 일 실시 예에 따른 사용자 장치가 IoT 데이터를 공유하는 방법의 순서도를 도시한다.
이하에서, 실시 예들을 첨부된 도면을 참조하여 상세하게 설명한다. 그러나, 이러한 실시 예들에 의해 권리범위가 제한되거나 한정되는 것은 아니다. 각 도면에 제시된 동일한 참조 부호는 동일한 부재를 나타낸다.
아래 설명에서 사용되는 용어는, 연관되는 기술 분야에서 일반적이고 보편적인 것으로 선택되었으나, 기술의 발달 및/또는 변화, 관례 기술자의 선호 등에 따라 다른 용어가 있을 수 있다. 따라서, 아래 설명에서 사용되는 용어는 기술적 사상을 한정하는 것으로 이해되어서는 안 되며, 실시 예들을 설명하기 위한 예시적 용어로 이해되어야 한다.
또한 특정한 경우는 출원인이 임의로 선정한 용어도 있으며, 이 경우 해당되는 설명 부분에서 상세한 그 의미를 기재할 것이다. 따라서 아래 설명에서 사용되는 용어는 단순한 용어의 명칭이 아닌 그 용어가 가지는 의미와 명세서 전반에 걸친 내용을 토대로 이해되어야 한다.
도 1은 일 실시 예에 따른 IoT 데이터를 공유하는 시스템(100)을 포함하는 네트워크 환경을 도시한다. IoT 데이터를 공유하는 시스템(100)은 IoT 장치(110)와 IoT 장치(110) 주변에 위치한 주변장치(120)를 포함할 수 있다. 일 실시 예에서, IoT 데이터를 공유하는 시스템(100)은 속성 기반 암호화 기법(Attribute-based ecryption, ABE)에 따라 IoT 장치(110)에서 수집한 데이터를 암호화하여 서버(200)에 전송할 수 있다. 속성 기반 암호화 기법은 공개키 암호화 기법 중 하나로 속성(attribute)을 사용하여 데이터를 암호화할 수 있다. 암호문에 부여된 속성들과 개인 키의 속성들이 매칭되면 복호화가 가능하다. 속성 기반 암호화 기법은 속성 부여를 통해 특정 수신자들만 데이터에 접근할 수 있기 때문에 세밀한 접근 제어(fine-grained access control)가 가능하다. 속성 기반 암호화 기법(ABE)은 CP(Ciphertext-policy)-ABE 방법과 KP(Key-policy)-ABE 방법이 있다. CP-ABE 방법은 암호문에 속성들로 이루어진 액세스 정책(access policy)이 부여되고, 복호화 키에 속성세트(attribute set)가 부여되는 방식이다. 이와 반대로 KP-ABE 방법은 암호문에 속성 세트(attribute set)가 부여되고, 복호화 키에 액세스 정책(access policy)이 부여되는 방식이다. 일 실시 예에서, IoT 데이터를 공유하는 시스템(100)과 사용자 장치(300)는 암호문에 속성 세트를 부여하는 KP-ABE 방법을 적용하여 데이터 암호화/복호화를 진행할 수 있다. KP-ABE 방법에 따른 암호문에는 데이터를 암호화하는데 사용된 속성 세트가 포함되어 있고, 속성은 암호문의 데이터에 대한 정보를 나타내기 때문에 원본 데이터에 대한 정보가 유출될 수 있다. 일 실시 예에서, IoT 데이터를 공유하는 시스템(100)은 암호문에 포함되어 있는 속성을 그룹 키를 이용하여 대칭 암호화하여 데이터 유출을 방지하였다. IoT 장치(110)는 그룹 키를 이용하여 IoT 데이터의 속성을 암호화하고, 사용자 장치(300)는 자신의 액세스 정책을 구성하는 속성을 그룹 키로 암호화할 수 있다. IoT 장치(110)는 주변 장치(120)를 통해 서버(200)에 암호화된 IoT 데이터와 암호화된 속성 세트를 전송하고, 사용자 장치(300)는 암호화한 액세스 정책을 이용하여 속성 블룸 필터를 생성하고, 속성 블룸 필터를 서버(200)에 전송하여 IoT 데이터를 요청할 수 있다. 서버(200)는 저장된 복수 개의 IoT 데이터의 속성세트에 대해서 속성 블룸 필터를 쿼리로 하여 검색하여, 일치되는 속성세트에 대응하는 암호화된 IoT 데이터를 매칭되는 사용자 장치(300)에 전송할 수 있다. IoT 장치(110)와 사용자 장치(300)가 공유하는 그룹 키는 서버(200)가 알 수 없기 때문에, IoT 데이터의 유출 없이 서버(200)가 데이터 공유의 중개자 역할을 할 수 있다.
IoT 장치(110)는 IoT 데이터를 공유하는 시스템(100)의 말단에서 센서(예: 심전도 측정 센서)를 통해 주변 데이터(예: 사람의 심박동)를 감지하고, 감지한 데이터를 다른 전자 장치(예: 사용자 장치(300))에 공유할 수 있다. 일 실시 예에서, IoT 장치(110)는 주변 장치(120)와 함께 IoT 데이터를 암호화할 수 있다. 예를 들어, 연산 성능이 낮은 IoT 장치(110)가 속성 기반 암호화 기법에 따른 암호화 과정의 일부 연산을 상대적으로 연산 성능이 높은 주변 장치(120)에 아웃소싱(outsourcing)할 수 있다. 주변 장치(120)는 IoT 장치(110) 주변에 위치하여 IoT 장치(110)를 외부 인터넷에 연결하는 경로 역할을 할 수 있다. 일실시예에서, 주변 장치(120)는 IoT 장치(110)가 데이터를 암호화하는데 필요한 자원을 제공할 수 있다. 암호화 연산을 위한 자원을 제공한다는 측면에서 주변 장치(120)는 보안 장치(security agent, SA)라 할 수 있다. 다양한 실시 예에서, 주변 장치(120)는 IoT 장치(110)보다 성능이 우수하고, 예를 들어, 라우터, 기지국, 도로변 장치 등이 될 수 있다. 속성 기반 암호화 기법은 곱셈 연산, 지수 연산, 이중선형 페어링(bilinear pairing) 연산을 포함하고, 지수 연산과 이중선형 페어링 연산은 많은 계산량을 필요로 한다. IoT 장치(110)는 저전력이고 연산 성능이 낮기 때문에 속성 기반 암호화 기법의 모든 연산을 수행하는 경우, 실행 시간이 오래 걸려 실시간으로 데이터를 처리하여 서버(200)에 전송하기 어렵다. 일 실시예에서, 엣지 컴퓨팅(edge-computing)에 기반하여 IoT 장치(110)는 속성 기반 암호화 기법의 일부 연산만 수행하고, 비교적 많은 계산량을 요구하는 지수 연산과 이중선형 페어링 연산을 포함하는 과정은 주변 장치(120)에 아웃소싱할 수 있다.
사용자 장치(300)는 IoT 데이터를 활용하고자 서버(200)에 필요한 IoT 데이터를 요청하여 획득하는 소비자 역할(consumer)을 할 수 있다. 사용자 장치(300)는 액세스 정책의 정의에 따라 인증 장치(Trust authority, TA)(400)로부터 개인 키를 받음으로써, 원하는 데이터만 획득/복호화 할 수 있다. 일 실시 예에서, 사용자 장치(300)는 속성 기반 암호화 기법에 따라 IoT 데이터가 암호화된 암호문 속에 암호화된 속성 세트와 데이터 수신자(사용자 장치(300))의 개인 키가 서로 매칭되는지 확인하기 위해서 속성 블룸 필터(attribute bloom filter)를 쿼리(query)로 이용할 수 있다. 블룸 필터는 세트(set)의 구성요소(element)인지 여부를 테스트하는데 사용되는 확률적 데이터 구조이다. 블룸 필터는 여러 개의 블록을 포함하고, 각 블록은 한 비트로 구성되어 0 또는 1 값으로 표현되어, 세트에 구성요소가 있는지 테스트할 수 있다. 가블드 블룸 필터(Garbled Bloom Filter)는 한 블록이 여러 비트로 구성되고, 블룸 필터에 저장된 데이터는 복구가 가능하다. 속성 기반 암호화 기법에 따른 암호문에 액세스 정책이나 속성 세트가 포함되고, 액세스 정책이나 속성 세트에 대한 블룸 필터를 생성할 수 있다. 일 실시 예에 따른 IoT 장치(110)는 IoT 데이터의 속성에 대한 속성 세트를 그룹 키를 이용하여 암호화하여 주변 장치(120)를 통해 서버(200)에 전송하고, 일 실시 예에 따른 사용자 장치(300)는 KP-ABE 방법에 따라 생성된 개인 키에 포함된 액세스 정책을 그룹 키로 암호화한 후 속성 블룸 필터를 생성하여, 서버(200)에 전송할 수 있다. 서버(200)는 IoT 장치(110)가 생성한 암호화된 속성 세트와 사용자 장치(300)가 생성한 속성 블룸 필터를 쿼리(query)하여, 매칭되는 경우 암호문의 속성 세트와 개인 키의 액세스 정책이 서로 매칭되었음을 확인할 수 있다. 매칭에 성공한 수신자는 개인 키를 이용하여 암호문을 복호화 할 수 있다. 속성 블룸 필터를 생성하고, 쿼리하는 과정은 hash 함수 연산만 포함하기 때문에 연산량이 적고 빠른 계산이 가능하다.
서버(200)는 예를 들어, 클라우드 서버를 이용하여 암호화된 IoT 데이터를 저장할 수 있다. 서버(200)는 사용자 요청에 응답하여 저장된 IoT 데이터 중에서 사용자가 원하는 IoT 데이터를 찾아 전송하는 중개자 역할(broker)을 할 수 있다. 서버(200)는 암호문에 대한 데이터 속성에 대하여, 여러 사용자 장치가 각자 필요한 데이터에 대해 작성하여 전송한 속성 블룸 필터를 쿼리로 조회하여, 매칭되는 IoT 데이터를 각각의 사용자 장치에 전송할 수 있다. IoT 데이터에 대한 그룹 키는 IoT 데이터를 공유하는 시스템(100)과 사용자 장치(300)만 가지고 있으므로, 서버(200)는 암호문에 대한 일부 정보(속성 블룸 필터)만 알 수 있을 뿐, 암호문을 복호화 할 수 없기 때문에 보안이 유지될 수 있다.
인증 장치(Trust Authority, TA)(400)는 시스템 초기화 및 엔티티에 대한 권한부여를 제공할 수 있다. 인증 장치(400)는 IoT 장치(110)에 대하여 초기 구축 과정에서 디바이스 인증을 제공할 수 있다. 인증 장치(400)는 설정 과정을 통해 시스템에 대한 매개변수를 생성하고, 각 엔티티(예: IoT 장치(110), 사용자 장치(300))에 적합한 암호 키를 배포할 수 있다.
암호 키 관리 센터(Key Management Center, KMC)(500)는 IoT 장치(110)와 사용자 장치(300)에서 공유하는 그룹 키(
Figure pat00001
)를 주기적으로 업데이트하고 관리할 수 있다.
도 2는 일 실시 예에 따른 IoT 데이터를 공유하는 시스템이 IoT 데이터를 사용자 장치와 공유하는 시퀀스 다이어그램을 도시한다. IoT 데이터를 공유하는 시스템(100)은 IoT 장치(110)에서 수집한 IoT 데이터를 일부 암호화하고, 주변 장치(120)에서 최종 암호문을 생성하여, 서버(200)를 통해 사용자 장치(300)와 공유할 수 있다.
S201 단계에서, IoT 장치(110)는 센서를 이용하여 일정 주기로 데이터를 수집할 수 있다. 다양한 실시 예에서, IoT 장치(110)는 다양한 센서를 포함할 수 있고, IoT 장치(110)는 고정된 위치에서 동작할 수도 있고, 이동 가능할 수도 있다. IoT 장치(110)는 수집한 센서 데이터를 속성 기반 암호화 기법에 따라 1차 암호화를 수행할 수 있다. 예를 들어, IoT 장치(110)는 속성 기반 암호화 기법 중 비교적 간단한 연산만을 포함하는 일부 단계의 암호화를 수행할 수 있다. IoT 장치(110)는 IoT 데이터의 속성을 그룹 키를 이용하여 대칭 암호화한 속성 세트를 생성할 수 있다.
S202 단계에서, IoT 장치(110)는 1차 암호화된 데이터를 주변 장치(120)에 전송할 수 있다. IoT 장치(110)는 암호화된 속성 세트를 함께 주변 장치(120)에 전송할 수 있다.
S203 단계에서, 주변 장치(120)는 속성 기반 암호화 방식에 따라 1차 암호화된 데이터를 수신하고, 속성 기반 암호화 방식에 따라 2차 암호화를 수행하여, 최종 암호문을 생성할 수 있다. 주변 장치(120)는 외부 인터넷과 연결하기 위한 통신 기능을 수행하고, IoT 장치(110)와 비교하여 상대적으로 고성능 연산이 가능할 수 있다. 주변 장치(120)는 예를 들어, 라우터일 수 있고, 수신한 데이터에 대하여 속성 기반 암호화 방식의 나머지 연산을 수행할 수 있다.
S204 단계에서, 주변 장치(120)는 최종 암호문 및 암호문에 대한 속성 세트를 서버(200)에 전송할 수 있다.
S205 단계에서, 사용자 장치(300)는 원하는 IoT 데이터를 요청하기 위해서, 자신의 개인 키에 포함된 액세스 정책을 구성하는 속성을 그룹 키를 이용하여 암호화하고, 암호화된 액세스 정책에 대한 속성 블룸 필터(ABF)를 생성하고, S206 단계에서, 서버(200)에 속성 볼륨 필터(ABF)를 전송함으로써 필요한 IoT 데이터를 요청할 수 있다.
S207 단계에서, 서버(200)는 저장하고 있는 암호화된 IoT 데이터 중에서 속성 블룸 필터(ABF)를 쿼리로 이용하여, 매칭되는 IoT 데이터의 속성 세트를 조회할 수 있다. 암호화된 속성 세트와 암호화된 액세스 정책을 이용한 속성 블룸 필터를 비교하기 때문에, 서버(200)는 암호화된 IoT 데이터를 확인(복호화)할 필요 없이 중개자 역할을 할 수 있다. \
S208 단계에서, 서버(200)는 매칭된 IoT 데이터 암호문을 IoT 데이터를 요청한 사용자 장치(300)에 전송할 수 있다.
S209 단계에서, 사용자 장치(300)는 수신한 암호문을 개인 키를 이용하여 속성 기반 암호화 방식에 따라 복호화 할 수 있다.
도 3은 일 실시 예에 따른 속성 기반 암호화 방식에 따라 IoT 데이터를 암호할 때 사용되는 변수 및 그에 대한 정의를 나타낸 표를 도시한다. 본 개시에서는 실시 예들을 설명하기 위해 변수 및 변수에 대한 설명(정의)을 도 3의 표로 먼저 설명하였다. 본 개시에서 언급하는 변수는 도 3의 설명에 의해 상세히 해석될 수 있다.
도 4는 일 실시 예에 따른 IoT 데이터를 공유하는 시스템에서 IoT 데이터를 공유하는 프로토콜의 순서도를 도시한다.
S401 단계에서, 인증 장치(TA)(400)가 전체 프로토콜 실시를 위한 파라미터 값들을 설정하여 시스템을 초기화할 수 있다.
S402 단계에서, 각 엔티티들이 인증 장치(400)를 통해 보안 설정을 할 수 있다. 각 엔티티(예: IoT 장치(110), 주변 장치(SA)(120), 서버(200), 사용자 장치(300))들은 IoT 데이터를 공유하는 전체 시스템을 위해 인증 장치에 ID를 전송하고, TA에 등록하여 이후 IoT 데이터를 공유하는 과정에서 필요한 파라미터들을 수신할 수 있다.
S403 단계에서, IoT 장치(110)와 주변 장치(SA)(120)가 IoT 데이터를 전송하기 전 인증을 위한 키를 교환할 수 있다. 예를 들어, IoT 장치(110)가 주변 장치(120)에게 데이터 암호화의 일부를 아웃소싱하기 위해 상호 인증할 때 필요한 키 값들을 사전에 교환할 수 있다.
S404 단계에서, 이동 가능한 IoT 장치(110)에 대한 주변 장치(SA)(120)와의 상호 인증을 설정할 수 있다. 차량, 스마트 폰 등 모바일 IoT 장치(110)는 이동에 따라 인터넷 연결을 위한 주변 장치(SA)(120)가 지속적으로 변경될 수 있다. IoT 장치(110)는 실시간 데이터 공유를 가능하기 위해서 주변 장치(120)와 빠르게 인증할 필요가 있다. 이전 주변 장치(120)에서 다음 주변 장치(120)로 이동할 때의 핸드오버 프로세서를 사전에 설정할 수 있다. 다양한 실시 예에서, 모바일 IoT 장치(110)가 통신 설정을 위해 주변 장치(SA)(120)와의 핸드오버에 사용될 수 있는 다양한 방식이 적용될 수 있다. 예를 들어, IoT 장치(110)는 주변 장치(120)와 빠르게 상호 인증을 위해, 보안 영역 기반 핸드오버 방식(ReHand)를 이용할 수 있다.
S405 단계에서, IoT 데이터 공유를 위해 IoT 장치(110)와 주변 장치(120) 사이의 상호 인증을 수행하고, IoT 장치(110)와 주변 장치(120)가 함께 IoT 데이터를 암호화하여 서버(200)에 전송할 수 있다. IoT 장치(110)가 센서를 통해 데이터를 수집하고, 시스템 초기화 설정에서 서로 교환했던 여러 키들을 이용하여 IoT 장치(110), 주변 장치(SA)(120), 및 서버(200)는 상호 간 인증을 먼저 수행한다. IoT 장치(110)가 대칭키
Figure pat00002
를 임의로 선택하여 IoT 데이터를 대칭 암호화함으로써
Figure pat00003
를 만들 수 있다. IoT 장치(110)가 대칭키
Figure pat00004
Figure pat00005
알고리즘으로 암호화하여 중간 암호문
Figure pat00006
를 생성할 수 있다.
Figure pat00007
알고리즘은 속성 기반 암호화 기법의 일부 연산을 포함하며, 비교적 연산량이 적은 곱셈 및 빼기 연산을 포함할 수 있다.
Figure pat00008
알고리즘은 미리 계산된
Figure pat00009
를 사용하여 속성 세트
Figure pat00010
에 대해 데이터
Figure pat00011
을 부분적으로 암호화할 수 있다. IoT 장치(110)는 KMC(500)로부터 수신한 키
Figure pat00012
로 IoT 데이터의 속성 세트
Figure pat00013
를 대칭 암호화하여
Figure pat00014
를 생성할 수 있다. IoT 장치(110)가 IoT 데이터를 대칭 암호화한
Figure pat00015
, 및 중간 암호문
Figure pat00016
과 암호화된 속성 세트
Figure pat00017
를 주변 장치(SA)(120)에 전송할 수 있다. 주변 장치(SA)(120)는 중간 암호문
Figure pat00018
에 대하여
Figure pat00019
알고리즘을 이용하여 속성 기반 암호화 기법의 나머지 연산을 수행함으로써 최종 암호문
Figure pat00020
을 생성할 수 있다. 주변장치(SA)(120)는 대칭 암호문
Figure pat00021
, 및 최종 암호문
Figure pat00022
와 암호화된 속성 세트
Figure pat00023
를 서버(200)에 전송할 수 있다. 서버(220)는 주변 장치(SA)(120)로부터 수신한 대칭 암호문
Figure pat00024
, 및 최종 암호문
Figure pat00025
와 암호화된 속성 세트
Figure pat00026
를 클라우드 서버에 저장할 수 있다. 상기 단계는 도 5에서 상세히 설명하겠다.
S406 단계에서, 사용자 장치(300)가 IoT 데이터 액세스를 위해 서버(200)와 상호 인증 및 데이터 요청을 하고, IoT 데이터를 수신할 수 있다. 사용자 장치(300)와 서버(200)가 IoT 데이터 요청 및 전송에 앞서 서로 인증을 수행할 수 있다. 사용자 장치(300)는 자신의 개인 키에 포함된 액세스 정책
Figure pat00027
Figure pat00028
키로 대칭 암호화(
Figure pat00029
Figure pat00030
)할 수 있다.
Figure pat00031
키는 KMC(500)로부터 수신한 것으로, IoT 장치(110)와 서로 공유하고, 서버(200)는 알지 못한다. 사용자 장치(300)가
Figure pat00032
알고리즘을 이용하여 암호화된 액세스 정책
Figure pat00033
에 대한 속성 블룸 필터를 생성하고, 서버(200)에 전송하여 필요한 IoT 데이터를 요청할 수 있다. 서버(200)는 수신한 속성 블룸 필터를 쿼리로 클라우드 서버에 저장된
Figure pat00034
에 대하여
Figure pat00035
를 수행하여 적합한 IoT 데이터를 검색할 수 있다. 서버(200)는
Figure pat00036
의 결과로 TRUE가 나온
Figure pat00037
을 사용자 장치(300)에 전송할 수 있다. 서버(200)는
Figure pat00038
을 전송할 때,
Figure pat00039
에 대한 대칭 암호문
Figure pat00040
및 최종 암호문
Figure pat00041
을 함께 사용자 장치(300)에 전송할 수 있다. 사용자 장치(300)는 수신한
Figure pat00042
Figure pat00043
키로 복호화 하여 IoT 데이터의 속성 세트
Figure pat00044
를 획득할 수 있다. 사용자 장치(300)는 개인 키, 최종 암호문
Figure pat00045
, 속성 세트
Figure pat00046
에 대하여
Figure pat00047
를 이용하여 대칭 키
Figure pat00048
를 얻을 수 있다. 사용자 장치(300)는 대칭 키
Figure pat00049
를 이용하여 대칭 암호문
Figure pat00050
을 복호화하여 IoT 데이터를 획득할 수 있다. 상기 단계는 도 6에서 상세히 설명하겠다.
도 5는 일 실시 예에 따른 IoT 데이터 저장 프로토콜을 설명하는 시퀀스 다이어그램을 도시한다. IoT 장치(110)가 1차적으로 IoT 데이터를 속성 기반 암호화 기법의 일부 연산을 수행하여 중간 암호문을 생성하고, 주변 장치(120)에 전송하면, 주변 장치(120)가 중간 암호문을 속성 기반 암호화 기법의 나머지 연산을 수행하여 최종 암호문을 생성하여, 서버(200)에 전송함으로써 IoT 데이터를 저장할 수 있다. 도 5의 각 단계를 설명하기에 앞서, IoT 데이터 저장 프로토콜에 사용되는 함수를 먼저 설명하겠다.
일 실시 예의 IoT 데이터 저장 프로토콜은, 아웃소싱 키 정책 속성 기반 암호화 방법(encryption outsourced keypolicy attribute-based encryption, EO-KP-ABE)에 따라 복잡한 연산을 주변 장치(SA)(120)에 아웃소싱 할 수 있다. 액세스 구조
Figure pat00051
는 세 개의 구성요소로
Figure pat00052
와 같이 구성된다.
Figure pat00053
Figure pat00054
행렬이고,
Figure pat00055
는 속성 이름
Figure pat00056
Figure pat00057
의 각
Figure pat00058
행에 매핑되는 함수다. 각
Figure pat00059
는 속성 값 세트
Figure pat00060
에 포함된 속성 값
Figure pat00061
을 가진다. 암호화된 데이터에 대한 속성 세트
Figure pat00062
Figure pat00063
와 같이 정의할 수 있고, 각
Figure pat00064
값은
Figure pat00065
의 속성 값이다.
셋업 함수
Figure pat00066
Figure pat00067
와 같이 정의할 수 있다. 셋업 함수
Figure pat00068
Figure pat00069
를 실행하여 서로 다른 소수
Figure pat00070
에 대해,
Figure pat00071
을 가지는 쌍선형(bilinear) 그룹
Figure pat00072
을 생성할 수 있다.
Figure pat00073
Figure pat00074
Figure pat00075
위수와 쌍선형 맵
Figure pat00076
에 대한 곱셈 순환 그룹(multiplicative cyclic groups)이다. 그리고
Figure pat00077
는 임의로 선택된 값이다. 셋업 함수
Figure pat00078
는 시스템의 공개 키
Figure pat00079
와 마스터 비밀 키
Figure pat00080
를 출력한다.
키 생성 함수는
Figure pat00081
와 같이 정의할 수 있다.
Figure pat00082
는 사용자 장치를 위해 각 사용자 장치의 액세스 구조
Figure pat00083
에 대응한 개인 키를 생성한다. 첫 번째 행이
Figure pat00084
인 임의의 열 벡터
Figure pat00085
를 선택할 수 있다. 각
Figure pat00086
에 대해서,
Figure pat00087
는 속성 세트
Figure pat00088
를 나타낼 수 있다. 각 행
Figure pat00089
에 대해
Figure pat00090
를 임의의 거듭제곱으로 증가시켜
Figure pat00091
를 선택하고, 무작위로
Figure pat00092
를 선택할 수 있다.
Figure pat00093
Figure pat00094
를 계산하고, 비밀키
Figure pat00095
를 출력한다.
오프라인암호화 함수
Figure pat00096
Figure pat00097
로 정의할 수 있다.
Figure pat00098
는 난수 집합
Figure pat00099
를 선택할 수 있다.
Figure pat00100
Figure pat00101
를 계산하고,
Figure pat00102
를 출력한다.
1차 속성기반 암호화 함수
Figure pat00103
Figure pat00104
와 같이 정의할 수 있다.
Figure pat00105
는 미리 계산된
Figure pat00106
를 이용하여 속성 세트
Figure pat00107
에 대해 메시지
Figure pat00108
를 부분적으로 암호화한다.
Figure pat00109
Figure pat00110
를 선택하고,
Figure pat00111
,
Figure pat00112
를 계산하여
Figure pat00113
를 출력한다.
2차 속성기반 암호화 함수
Figure pat00114
Figure pat00115
와 같이 정의할 수 있다.
Figure pat00116
Figure pat00117
Figure pat00118
,
Figure pat00119
Figure pat00120
를 계산하여
Figure pat00121
를 출력한다.
복호화 함수
Figure pat00122
Figure pat00123
와 같이 정의할 수 있다.
Figure pat00124
Figure pat00125
가 인증된 세트
Figure pat00126
를 만족하면
Figure pat00127
을 출력한다. 먼저,
Figure pat00128
Figure pat00129
세트를 찾고,
Figure pat00130
Figure pat00131
를 만족하면
Figure pat00132
를 계산한다.
Figure pat00133
Figure pat00134
로 계산할 수 있다.
Figure pat00135
Figure pat00136
를 찾을 수 없으면, 거짓(
Figure pat00137
)을 출력한다. 그렇지 않으면, 각
Figure pat00138
에 대해서,
Figure pat00139
를 계산한다. 그리고
Figure pat00140
를 계산하여
Figure pat00141
를 출력한다. 이하에서, IoT 장치(110)를
Figure pat00142
라 하고, 주변 장치(120)는
Figure pat00143
라 하고, 서버(200)는
Figure pat00144
라 할 수 있다.
S501 단계에서,
Figure pat00145
는 상수
Figure pat00146
,
Figure pat00147
를 선택하고,
Figure pat00148
,
Figure pat00149
Figure pat00150
,
Figure pat00151
Figure pat00152
Figure pat00153
를 계산하고,
Figure pat00154
Figure pat00155
에 보낼 수 있다.
S502 단계에서,
Figure pat00156
는 메시지에 포함된
Figure pat00157
를 통해 저장된
Figure pat00158
를 검색할 수 있다.
Figure pat00159
Figure pat00160
를 획득하고,
Figure pat00161
인지 여부를 확인한다. 확인이 통과되면,
Figure pat00162
Figure pat00163
를 계산한다.
Figure pat00164
는 랜덤으로 상수
Figure pat00165
를 선택하고,
Figure pat00166
Figure pat00167
를 계산한다.
Figure pat00168
Figure pat00169
로부터 받은 값 중 일부를 포함하여,
Figure pat00170
Figure pat00171
에 전송할 수 있다.
S503 단계에서,
Figure pat00172
Figure pat00173
에 의해
Figure pat00174
를 검색하고,
Figure pat00175
Figure pat00176
Figure pat00177
를 획득할 수 있다.
Figure pat00178
Figure pat00179
Figure pat00180
Figure pat00181
인지 여부를 확인한다. 두 가지 검증 중 하나라도 실패하면,
Figure pat00182
은 상기 단계를 중단한다. 그렇지 않으면, 즉 두 가지 검증을 모두 통과하면,
Figure pat00183
Figure pat00184
Figure pat00185
,
Figure pat00186
, 및
Figure pat00187
를 계산한다. 그리고
Figure pat00188
Figure pat00189
Figure pat00190
를 전송한다.
S504 단계에서,
Figure pat00191
Figure pat00192
인지 여부를 확인한다. 만약 검증이 통과되면,
Figure pat00193
Figure pat00194
를 계산하여,
Figure pat00195
Figure pat00196
를 전송한다.
S505 단계에서,
Figure pat00197
Figure pat00198
인지 여부를 확인하고, 만약 동일한 경우
Figure pat00199
를 계산한다. 그리고,
Figure pat00200
Figure pat00201
인지 여부를 확인하고, 만약 검증이 통과되면,
Figure pat00202
Figure pat00203
를 계산하여, 저장된
Figure pat00204
Figure pat00205
로 바꾼다. 그리고 나서,
Figure pat00206
가 공유하고자 하는 IoT 데이터인
Figure pat00207
를 암호화하기 위한 대칭키
Figure pat00208
를 생성하고,
Figure pat00209
를 계산한다. 그리고
Figure pat00210
Figure pat00211
를 이용하여
Figure pat00212
를 생성한다. 그 다음
Figure pat00213
Figure pat00214
Figure pat00215
를 계산한다.
Figure pat00216
Figure pat00217
를 계산한 후,
Figure pat00218
Figure pat00219
를 전송한다.
S506 단계에서,
Figure pat00220
Figure pat00221
를 계산하고,
Figure pat00222
인지 여부를 확인한다.
Figure pat00223
는 검증이 통과되면,
Figure pat00224
Figure pat00225
를 계산하여 저장된
Figure pat00226
Figure pat00227
로 바꾸고, 저장된
Figure pat00228
Figure pat00229
로 바꾼다.
Figure pat00230
Figure pat00231
를 이용하여
Figure pat00232
를 생성한다. 그리고
Figure pat00233
Figure pat00234
를 계산하여
Figure pat00235
Figure pat00236
를 전송한다.
S507 단계에서,
Figure pat00237
Figure pat00238
를 계산하고,
Figure pat00239
인지 여부를 확인한다. 만약 검증이 통과되면,
Figure pat00240
은 저장된
Figure pat00241
Figure pat00242
로 바꾼다. 그리고
Figure pat00243
Figure pat00244
를 계산하고, 서버의 저장공간에
Figure pat00245
를 저장한다.
도 6은 일실시예에 따른 사용자 장치의 데이터 액세스 프로토콜을 설명하는 시퀀스 다이어그램을 도시한다. 사용자 장치(300)는 상호 인증을 먼저 수행하고, 서버(200)로부터 액세스 정책
Figure pat00246
을 만족하는 데이터를 획득할 수 있다. 이하에서, 서버(200)는
Figure pat00247
라 하고, 사용자 장치(300)는
Figure pat00248
라 할 수 있다. 도 6의 각 단계를 설명하기에 앞서, 데이터 액세스 프로토콜에 사용되는 함수를 먼저 설명하겠다. 일 실시 예의 데이터 액세스 프로토콜에 따르면, 데이터의 속성은 프로토콜의 그룹 키
Figure pat00249
로 암호화하기 때문에 중개자 역할을 하는 서버(200)는 데이터의 속성을 알 수 없다. 서버(200)는 속성과 소비자의 액세스 정책을 비교할 수 없다. 일 실시 예에서는 비교적 적은 연산만으로 서버(200)가 숨겨진 속성 값을 확인하기 위해서, 속성 블룸 필터를 이용할 수 있다.
Figure pat00250
함수를 통해 사용자 장치(300)는 자신의 개인 키에 포함된 액세스 정책에 대한 속성 볼름 필터(
Figure pat00251
)를 생성하여 서버(200)에 전송하면, 서버(200)는 수신한
Figure pat00252
와 저장 서버에 저장된 암호화된 속성에 대해
Figure pat00253
함수를 수행하여, 액세스 정책을 만족하는 암호문을 찾을 수 있다.
Figure pat00254
함수는
Figure pat00255
와 같이 정의할 수 있다.
Figure pat00256
함수는
Figure pat00257
블럭들로 구성된 빈
Figure pat00258
를 생성한다. 이때 각 블록들은
Figure pat00259
로 구성된다.
Figure pat00260
함수는
Figure pat00261
Figure pat00262
번째 행에 대응하는 속성 이름
Figure pat00263
과 속성 값
Figure pat00264
Figure pat00265
와 같이 하나의 원소로 연결한다.
Figure pat00266
함수는
Figure pat00267
에 각 원소
Figure pat00268
를 넣기 위해서, 임의로
Figure pat00269
개의
Figure pat00270
비트 길이의 문자열
Figure pat00271
을 선택하고,
Figure pat00272
Figure pat00273
를 계산한다.
Figure pat00274
함수는 1에서
Figure pat00275
까지의 정수들 중 하나를 출력하는
Figure pat00276
개의 해시 함수를 이용하여
Figure pat00277
Figure pat00278
와 같이 해시한다. 각 해시 함수의 결과는
Figure pat00279
의 위치 인덱스를 나타내며, 각
Figure pat00280
Figure pat00281
Figure pat00282
Figure pat00283
위치에 들어간다. 만약
Figure pat00284
위치가 이전에 추가된 문자열에 의해 차있는 경우,
Figure pat00285
에 의해 다시 사용된다.
Figure pat00286
함수는
Figure pat00287
의 모든 행에 대해서 위 과정을 반복한 후,
Figure pat00288
를 출력한다.
Figure pat00289
함수는
Figure pat00290
와 같이 정의할 수 있다.
Figure pat00291
함수는 각각의 속성 값
Figure pat00292
Figure pat00293
에 대해서, 대응하는 속성 이름
Figure pat00294
을 결합하고,
Figure pat00295
해시 함수로
Figure pat00296
와 같이 해시한다.
Figure pat00297
함수는 각
Figure pat00298
에 대해서,
Figure pat00299
Figure pat00300
위치에서 문자열
Figure pat00301
를 획득할 수 있다.
Figure pat00302
함수는 이러한 문자열로 원소
Figure pat00303
Figure pat00304
와 같이 재구성한다.
Figure pat00305
함수는 원소
Figure pat00306
로부터 마지막
Figure pat00307
비트 문자열을 가져와서,
Figure pat00308
과 동일한지 확인한다. 동일하다면, 속성 이름
Figure pat00309
과 속성 값
Figure pat00310
이 액세스 구조
Figure pat00311
에 포함된다고 해석할 수 있다.
Figure pat00312
함수는 속성 이름
Figure pat00313
과 속성 값
Figure pat00314
에 대응하는 행렬
Figure pat00315
의 행을 나타내는
Figure pat00316
의 선행
Figure pat00317
비트를 획득한다.
Figure pat00318
함수는 모든
Figure pat00319
에 대해서 상기 과정을 반복한 후에, 획득한 행 번호로
Figure pat00320
집합을 생성한다.
Figure pat00321
Figure pat00322
를 만족하면,
Figure pat00323
함수는 획득한 행 번호에 대응하는
Figure pat00324
의 행
Figure pat00325
을 이용하여
Figure pat00326
=
Figure pat00327
을 만족하는
Figure pat00328
들을 찾을 수 잇따. 이 경우
Figure pat00329
함수는 참을 의미하는 1을 출력하고, 반대의 경우 즉
Figure pat00330
Figure pat00331
를 만족하지 않으면 0을 출력한다.
S601 단계에서,
Figure pat00332
는 랜덤으로 상수
Figure pat00333
를 선택하고,
Figure pat00334
Figure pat00335
Figure pat00336
를 계산한다.
Figure pat00337
Figure pat00338
Figure pat00339
를 전송한다.
S602 단계에서,
Figure pat00340
Figure pat00341
에 의해
Figure pat00342
를 검색하고,
Figure pat00343
를 획득한다.
Figure pat00344
Figure pat00345
Figure pat00346
인지 여부를 확인하고, 검증을 실패하면 상기 단계는 중단된다. 그렇지 않은 경우
Figure pat00347
Figure pat00348
를 계산하여
Figure pat00349
Figure pat00350
에 전송한다.
S603 단계에서,
Figure pat00351
Figure pat00352
를 확인한다. 검증 후에,
Figure pat00353
Figure pat00354
를 계산하고,
Figure pat00355
Figure pat00356
로 바꾼다. 그리고 나서,
Figure pat00357
Figure pat00358
Figure pat00359
,
Figure pat00360
Figure pat00361
Figure pat00362
를 계산하고,
Figure pat00363
Figure pat00364
에 전송한다.
S604 단계에서,
Figure pat00365
Figure pat00366
를 계산하고,
Figure pat00367
인지 여부를 검증한다.
Figure pat00368
Figure pat00369
를 계산하여
Figure pat00370
Figure pat00371
로 바꾼다.
Figure pat00372
을 만족하는
Figure pat00373
를 포함하는 데이터를 찾기 위해서,
Figure pat00374
는 저장 서버의 모든
Figure pat00375
에 대해서,
Figure pat00376
함수를 실행한다.
Figure pat00377
는 쿼리 결과 값이 참(True)인 모든
Figure pat00378
를 검색하고, 모든 검색 결과를 암호화하기 위해서
Figure pat00379
를 계산한다.
Figure pat00380
Figure pat00381
를 계산하고,
Figure pat00382
Figure pat00383
에게
Figure pat00384
를 전송한다.
S605 단계에서,
Figure pat00385
는 다음
Figure pat00386
Figure pat00387
단계를 수행하여 암호문 및 숨겨진 속성 세트를 획득할 수 있다.
Figure pat00388
Figure pat00389
인지 검증하고, 모든
Figure pat00390
에 대해서,
Figure pat00391
Figure pat00392
,
Figure pat00393
Figure pat00394
Figure pat00395
Figure pat00396
를 계산한다.
도 7은 일 실시 예에 따른 IoT 장치가 IoT 데이터를 공유하는 방법의 순서도를 도시한다.
S701 단계에서, IoT 장치(110)가 IoT 장치(110)에 포함된 적어도 하나의 센서를 통해 일정 주기로 IoT 데이터를 수집할 수 있다.
S702 단계에서, IoT 장치(110)가 속성 기반 암호화 기법의 일부 연산을 수행하여 상기 수집한 IoT 데이터를 일부 암호화한 중간 암호문을 생성할 수 있다. 속성 기반 암호화 기법의 일부 연산은 곱셈 연산 및 빼기 연산을 포함할 수 있고, 지수 연산 및 이중선형 페어링 연산을 포함하지 않을 수 있다.
S703 단계에서, IoT 장치(110)가 상기 IoT 데이터에 대한 속성 세트를 생성할 수 있다. IoT 장치(110)는 그룹 키를 이용하여 속성 세트를 암호화할 수 있다. 그룹 키는 암호 키 관리 센터(500)에 의해 IoT 데이터를 필요로 하는 사용자 장치(300)와 사전에 공유될 수 있다.
S704 단계에서, IoT 장치(110)가 속성 기반 암호화 기법의 나머지 연산의 수행을 요청하기 위해서, 중간 암호문과 암호화된 속성 세트를 함께 주변 장치(120)에 전송할 수 있다. 주변 장치(120)는 IoT 장치(110)에 대하여 외부 네트워크 통신 연결을 제공하고 IoT 장치(110)보다 높은 성능의 연산이 가능할 수 있다. 주변 장치(120)에 요청한 속성 기반 암호화 기법의 나머지 연산은 지수 연산 및 이중선형 페어링 연산을 포함할 수 있다.
도 8은 일 실시 예에 따른 주변 장치가 IoT 데이터를 공유하는 방법의 순서도를 도시한다.
S801 단계에서, 주변 장치(120)가 IoT 장치(110)로부터 중간 암호문과 암호화된 속성 세트를 수신할 수 있다.
S802 단계에서, 주변 장치(120)가 속성 기반 암호화 기법의 나머지 연산을 수행하여 중간 암호문에 대한 최종 암호문을 생성할 수 있다. 속성 기반 암호화 기법의 나머지 연산은 지수 연산 및 이중선형 페어링 연산을 포함할 수 있다.
S803 단계에서, 주변 장치(120)가 최종 암호문 및 암호화된 속성 세트를 서버에 전송할 수 있다.
도 9는 일 실시 예에 따른 사용자 장치가 IoT 데이터를 공유하는 방법의 순서도를 도시한다.
S901 단계에서, 사용자 장치(300)가 액세스 정책의 속성에 대한 ABF를 생성할 수 있다. 사용자 장치(300)가 개인 키에 포함된 액세스 정책을 구성하는 속성을 그룹 키를 이용하여 암호화하고, 암호화된 액세스 정책을 이용하여 속성 블룸 필터를 생성할 수 있다. 그룹 키는 암호 키 관리 센터(500)에 의해 IoT 데이터를 생성한 IoT 장치(110)와 사전에 공유될 수 있다.
S902 단계에서, 사용자 장치(300)가 IoT 데이터를 요청하기 위해 서버(200)에 ABF를 전송할 수 있다.
S903 단계에서, 사용자 장치(300)가 서버(200)로부터 ABF에 매칭된 암호문을 수신할 수 있다. ABF에 매칭된 암호문은 ABF를 쿼리로 검색된 속성 세트의 암호문이다.
S904 단계에서, 사용자 장치(300)가 수신한 암호문을 속성 기반 암호화 기법에 따라 복호화하여 IoT 데이터를 획득할 수 있다.
이상에서 설명된 실시예들은 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시예들에서 설명된 장치, 방법 및 구성요소는, 예를 들어, 프로세서, 컨트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPGA(field programmable gate array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적 컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 애플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 컨트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.
소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상 장치(virtual equipment), 컴퓨터 저장 매체 또는 장치, 또는 전송되는 신호 파(signal wave)에 영구적으로, 또는 일시적으로 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.
실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
이상과 같이 실시예들이 비록 한정된 실시예와 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다. 그러므로, 다른 구현들, 다른 실시예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.
100: IoT 데이터를 공유하는 시스템
110: IoT 장치
120: 주변 장치
200: 서버
300: 사용자 장치

Claims (14)

  1. 적어도 하나의 센서를 포함하는 IoT 장치에 있어서,
    상기 적어도 하나의 센서를 통해 일정 주기로 IoT 데이터를 수집하고,
    상기 IoT 데이터에 대하여 속성 기반 암호화 기법의 적어도 일부 연산을 수행하여 부분 암호화한 중간 암호문을 생성하고,
    상기 중간 암호문에 대한 상기 속성 기반 암호화 기법의 나머지 연산을 요청하기 위해, 주변 장치에 상기 중간 암호문을 전송하는 IoT 장치.
  2. 제1항에 있어서,
    상기 IoT 데이터에 대한 속성 세트를 생성하고, 그룹 키를 이용하여 상기 속성 세트를 암호화하여 상기 주변 장치에 전송하도록 하는 IoT 장치.
  3. 제2항에 있어서,
    상기 그룹 키는 상기 IoT 데이터를 요청하는 사용자 장치와 사전에 공유하도록 하는 IoT 장치.
  4. 제1항에 있어서,
    상기 주변 장치는 상기 IoT 장치에 대하여 외부 네트워크 통신 연결을 제공하고, 상기 IoT 장치의 연산 성능보다 높은 연산 성능을 가지는 IoT 장치.
  5. 제1항에 있어서,
    상기 속성 기반 암호화 기법의 적어도 일부 연산은 곱셈 연산 및 빼기 연산을 포함하고,
    상기 속성 기반의 암호화 기법의 나머지 연산은 지수 연산 및 이중선형 페어링 연산을 포함하는 IoT 장치.
  6. 제1항에 있어서,
    상기 IoT 장치가 이동하는 것에 대응하여, 핸드오버 방식에 기반하여 상기 IoT 장치의 위치에 따라 상기 주변 장치가 특정되고,
    상기 특정된 주변 장치와 상호 인증을 수행한 후, 상기 중간 암호문을 전송하는 IoT 장치.
  7. 통신 인터페이스를 포함하는 전자 장치에 있어서,
    상기 통신 인터페이스를 이용하여 IoT 장치에 외부 네트워크 통신 연결을 제공하고,
    상기 IoT 장치로부터 데이터 및 상기 데이터에 대한 암호화 요청을 수신하고,
    상기 암호화 요청에 응답하여, 상기 데이터에 대하여 속성 기반 암호화 기법의 일부 연산을 수행하여 암호문을 생성하고,
    상기 암호문을 서버에 전송하는 전자 장치.
  8. 제7항에 있어서,
    상기 IoT 장치로부터 상기 데이터에 대한 암호화된 속성 세트를 수신하고, 상기 암호문과 함께 상기 속성 세트를 상기 서버에 전송하는 전자 장치.
  9. 제8항에 있어서,
    상기 암호문은 IoT 데이터를 요청하기 위해 작성된 속성 블룸 필터를 쿼리로 하여 식별되는 전자 장치.
  10. 제7항에 있어서,
    상기 암호화 요청에 따른 상기 속성 기반의 암호화 기법의 일부 연산은 지수 연산 및 이중선형 페어링 연산을 포함하는 전자 장치.
  11. 전자 장치에 있어서,
    액세스 정책을 구성하는 속성을 그룹 키로 암호화하고, 상기 암호화된 액세스 정책을 이용하여 속성 블룸 필터를 생성하고,
    IoT 데이터를 요청하기 위해 서버에 상기 속성 블룸 필터를 전송하고,
    상기 서버로부터 상기 속성 블룸 필터를 쿼리로 하여 검색된 암호문과 상기 암호문에 대한 속성 세트를 수신하고,
    상기 그룹 키 및 개인 키를 이용하여 상기 암호문을 복호화하여 IoT 데이터를 획득하는 전자 장치.
  12. 제11항에 있어서,
    상기 그룹 키는 상기 IoT 데이터를 생성한 IoT 장치와 사전에 공유하는 전자 장치.
  13. 제11항에 있어서,
    상기 그룹 키를 이용하여 상기 속성 세트를 복호화하고, 상기 개인 키를 이용하여 속성 기반 암호화 기법에 기반하여 상기 암호문을 복호화 하는 전자 장치.
  14. 제13항에 있어서,
    상기 속성 세트는 상기 액세스 정책을 구성하는 속성과 서로 대응되는 전자 장치.


KR1020210186293A 2021-12-23 2021-12-23 속성 기반 접근 제어를 지원하는 실시간 IoT 데이터 공유 시스템 및 그 방법 KR102629617B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020210186293A KR102629617B1 (ko) 2021-12-23 2021-12-23 속성 기반 접근 제어를 지원하는 실시간 IoT 데이터 공유 시스템 및 그 방법
PCT/KR2022/013866 WO2023120875A1 (ko) 2021-12-23 2022-09-16 속성 기반 접근 제어를 지원하는 실시간 iot 데이터 공유 시스템 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210186293A KR102629617B1 (ko) 2021-12-23 2021-12-23 속성 기반 접근 제어를 지원하는 실시간 IoT 데이터 공유 시스템 및 그 방법

Publications (2)

Publication Number Publication Date
KR20230096626A true KR20230096626A (ko) 2023-06-30
KR102629617B1 KR102629617B1 (ko) 2024-01-29

Family

ID=86902801

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210186293A KR102629617B1 (ko) 2021-12-23 2021-12-23 속성 기반 접근 제어를 지원하는 실시간 IoT 데이터 공유 시스템 및 그 방법

Country Status (2)

Country Link
KR (1) KR102629617B1 (ko)
WO (1) WO2023120875A1 (ko)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101423956B1 (ko) * 2012-11-15 2014-08-01 고려대학교 산학협력단 속성 기반 암호화 시스템 및 그 방법
KR20170119418A (ko) * 2016-04-19 2017-10-27 동국대학교 경주캠퍼스 산학협력단 이동체 정보 보안 시스템 및 이를 이용한 이동체 정보 보안 방법
KR20190035835A (ko) * 2016-08-05 2019-04-03 후아웨이 인터내셔널 피티이. 엘티디. 데이터 처리 방법 및 디바이스
KR20200048760A (ko) * 2018-10-30 2020-05-08 고려대학교 산학협력단 모바일 헬스케어를 위한 가상 물리 시스템에서 안전한 연산 위임 방법
KR102224264B1 (ko) * 2020-08-14 2021-03-08 세종대학교산학협력단 주변 장치를 이용한 인증 시스템 및 방법
KR102295660B1 (ko) * 2020-12-17 2021-08-30 임경훈 1 인 가구를 위한 IoT 기기 공유 서비스 제공 시스템

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101423956B1 (ko) * 2012-11-15 2014-08-01 고려대학교 산학협력단 속성 기반 암호화 시스템 및 그 방법
KR20170119418A (ko) * 2016-04-19 2017-10-27 동국대학교 경주캠퍼스 산학협력단 이동체 정보 보안 시스템 및 이를 이용한 이동체 정보 보안 방법
KR20190035835A (ko) * 2016-08-05 2019-04-03 후아웨이 인터내셔널 피티이. 엘티디. 데이터 처리 방법 및 디바이스
KR20200048760A (ko) * 2018-10-30 2020-05-08 고려대학교 산학협력단 모바일 헬스케어를 위한 가상 물리 시스템에서 안전한 연산 위임 방법
KR102224264B1 (ko) * 2020-08-14 2021-03-08 세종대학교산학협력단 주변 장치를 이용한 인증 시스템 및 방법
KR102295660B1 (ko) * 2020-12-17 2021-08-30 임경훈 1 인 가구를 위한 IoT 기기 공유 서비스 제공 시스템

Also Published As

Publication number Publication date
WO2023120875A1 (ko) 2023-06-29
KR102629617B1 (ko) 2024-01-29

Similar Documents

Publication Publication Date Title
Tong et al. Cloud-assisted mobile-access of health data with privacy and auditability
Paulet et al. Privacy-preserving and content-protecting location based queries
US9674158B2 (en) User authentication over networks
JP6363032B2 (ja) 鍵付替え方向制御システムおよび鍵付替え方向制御方法
WO2017163140A1 (en) Privacy enhanced central data storage
CN113691502B (zh) 通信方法、装置、网关服务器、客户端及存储介质
CN109691010B (zh) 用于数据传输的系统和方法
KR102050887B1 (ko) 사물인터넷 관리를 위한 클라우드 컴퓨팅 환경에서의 데이터 공유 방법 및 시스템
CN110390203B (zh) 一种可验证解密权限的策略隐藏属性基加密方法
Rana et al. Efficient and secure attribute based access control architecture for smart healthcare
Bhandari et al. A framework for data security and storage in Cloud Computing
Li et al. Verifiable searchable encryption with aggregate keys for data sharing in outsourcing storage
Tu et al. A secure, efficient and verifiable multimedia data sharing scheme in fog networking system
Ma et al. CP-ABE-based secure and verifiable data deletion in cloud
Nasiraee et al. Privacy-preserving distributed data access control for cloudiot
Neela et al. An improved RSA technique with efficient data integrity verification for outsourcing database in cloud
Sandhia et al. Secure sharing of data in cloud using MA-CPABE with elliptic curve cryptography
Li et al. Multi-user searchable encryption with a designated server
Pachala et al. l-PEES-IMP: lightweight proxy re-encryption-based identity management protocol for enhancing privacy over multi-cloud environment
KR101140576B1 (ko) 암호화 문서에 대한 다자간 검색 시스템 및 그 방법
Suveetha et al. Ensuring confidentiality of cloud data using homomorphic encryption
CN108141462B (zh) 数据库查询的方法和系统
Hwang et al. An SKP-ABE scheme for secure and efficient data sharing in cloud environments
KR102629617B1 (ko) 속성 기반 접근 제어를 지원하는 실시간 IoT 데이터 공유 시스템 및 그 방법
KR102526114B1 (ko) 암호화 및 복호화를 위한 장치 및 방법

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant