WO2019221419A1 - Hardware security module - Google Patents

Hardware security module Download PDF

Info

Publication number
WO2019221419A1
WO2019221419A1 PCT/KR2019/005039 KR2019005039W WO2019221419A1 WO 2019221419 A1 WO2019221419 A1 WO 2019221419A1 KR 2019005039 W KR2019005039 W KR 2019005039W WO 2019221419 A1 WO2019221419 A1 WO 2019221419A1
Authority
WO
WIPO (PCT)
Prior art keywords
electronic device
security module
communication
iot
hardware security
Prior art date
Application number
PCT/KR2019/005039
Other languages
French (fr)
Korean (ko)
Inventor
박현주
박한나
Original Assignee
주식회사 시옷
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 시옷 filed Critical 주식회사 시옷
Publication of WO2019221419A1 publication Critical patent/WO2019221419A1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0877Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/10Current supply arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication

Definitions

  • the present invention relates to a hardware security module. More specifically, the present invention relates to a hardware security module that provides security services in an IoT service system using Laura communication.
  • the hardware security module is a module that can process not only a large amount of information but also a self-processing by having a processor and a memory having a predetermined computing function.
  • the hardware security module has been used in various fields in areas where user's personal information security is required due to the advantage that confidential information stored in the inside is not leaked. More specifically, since the hardware security module generates its own security key and stores the generated security key securely inside without leaking to the outside, it can maximize security when used as a digital signature means. For example, it may be used as an electronic signature means in the process of making a payment in a mobile device.
  • LoRa communication technology has recently emerged. Lora is an abbreviation of Long Range and LoRa communication can be regarded as one of the large-scale low power long distance wireless communication technologies. Unlike conventional smart device connection environments that require high-speed, broadband networks, LoRa communication can send and receive small-scale data at low power by placing a chip on an electronic device without a separate base station or relay device. In addition, LoRa communication can provide users and developers with interoperability suitable for the Internet needs such as security, two-way communication, network mobility, localization service, and the Internet of Things (IoT) based on LoRa communication. Service systems are becoming commercially available.
  • IoT Internet of Things
  • the technical problem to be solved by the present invention is to provide a hardware security module that can be applied to the security technology without changing hardware and software in the IoT (IoT) service system based on the Laura communication network including all hardware devices of low specifications The purpose.
  • IoT IoT
  • Another object of the present invention is to provide a hardware security module capable of end-to-end encryption in an IoT service system based on a Laura communication network.
  • Another object of the present invention is to provide a hardware security module applicable to a low power wide area wireless network (LPWAN).
  • LPWAN low power wide area wireless network
  • the hardware security module may include an access port connected to an IoT electronic device, a communication interface for transmitting and receiving data from the IoT electronic device through a LoRa communication network, and encrypting data transmitted and received by the communication interface.
  • a processor that decrypts the processor, wherein the processor includes a plug-in manager that installs a security plug-in in the IoT electronic device to transmit and receive encrypted data as the IoT electronic device and the connection port are physically connected.
  • the processor may perform encryption using at least one of ARIA, Secure Hash Algorithm (SHA), and End-to-End encryption (end to end encryption) encryption communication scheme for transmitting and receiving data to and from the IoT electronic device. It may further include wealth.
  • ARIA Secure Hash Algorithm
  • SHA Secure Hash Algorithm
  • End-to-End encryption end to end encryption
  • the processor may include a device authentication unit configured to authenticate the IoT electronic device and a device connection manager configured to manage a connection through a LoRa communication network of the IoT electronic device that has been authenticated by the device authentication unit. It may further include.
  • the processor may further include a server manager configured to manage an external server connected to the IoT electronic device through a LoRa communication network.
  • the communication interface may further include a communication converter configured to convert communication data transmitted by the IoT electronic device into LoRa communication data.
  • the type of communication module embedded in the IoT electronic device further comprises any one or more of a secure Lora (LoRa) communication unit, a secure serial communication unit and a secure LPWAN communication unit, the secure Lora (LoRa) communication unit, Data transmitted and received through at least one of a secure serial communication unit and a secure LPWAN communication unit through a LoRa communication network may be encrypted or decrypted by the processor.
  • a secure Lora (LoRa) communication unit a secure serial communication unit and a secure LPWAN communication unit
  • LoRa communication network may be encrypted or decrypted by the processor.
  • the communication interface may further include a secure Ethernet communication unit and a Power Over Ethernet port for Ethernet communication.
  • the communication interface receives encrypted data from the device authentication server for transmitting an authentication code to the IoT electronic device through a LoRa communication network
  • the processor receives the encrypted data received by the communication interface.
  • the device authentication unit may perform authentication of the IoT electronic device based on the data decrypted by the processor.
  • connection port may be an IC card or a port based on a universal serial bus (USB) standard.
  • USB universal serial bus
  • a security technology can be applied to a LoRa communication network including all low-end hardware devices without changing hardware and software, and the time and cost associated with applying the security technology through a change in hardware and software can be avoided. There is a saving effect.
  • the hardware security module can further provide a more secure LoRa network-based IoT service system by using end-to-end encryption.
  • an electronic device having various communication modules may be applied to an IoT service system based on a LoRa communication network.
  • FIG. 1 is a diagram illustrating a configuration of a Laura communication network-based IoT system to which a hardware security module according to an embodiment of the present invention can be applied.
  • FIG. 2 is a diagram schematically illustrating a configuration of a hardware security module according to an embodiment of the present invention.
  • FIG. 3 is a flowchart illustrating a method of authenticating an IoT electronic device by a hardware security module according to an embodiment of the present invention using a Laura communication network.
  • IoT is an abbreviation of the Internet of Things (IoT), and refers to a physical network in which an object equipped with a sensor and a communication chip can automatically send and receive real-time data without human intervention.
  • IoT devices with built-in sensors or communications
  • the Internet of Things (IoT) is based on Bluetooth, near field communication (NFC), sensor data, and low power wide area wireless communication technologies.
  • the Internet of Things (IoT) and Machine-to-Machine (M2M) radios can be implemented using a LoRa communication network, one of the low power wide area wireless communication technologies, and millions of wireless sensor nodes can be connected to the gateway.
  • IoT Internet of Things
  • M2M Machine-to-Machine
  • FIG. 1 is a diagram illustrating a configuration of an IoT service system 10 based on a Laura communication network 200 to which a hardware security module may be applied according to an embodiment of the present invention.
  • the IoT service system 10 based on the Laura communication network 300 is for processing a plurality of sensors and a large amount of asynchronous processes.
  • 200, a LoRa communication network 300, a LoRa repeater 350, a LoRa server 400, and an external server 500 may be included.
  • the IoT electronic device 200 is a device to which the Internet of Things (IoT) technology is applied and may be a low power electronic device capable of operating for a long time with battery power. Accordingly, the IoT electronic device 200 may be provided with a low power wireless communication module such as a LoRa communication module to conserve power.
  • a low power wireless communication module such as a LoRa communication module to conserve power.
  • the IoT electronic device 200 may be connected to a plurality of sensor devices, and the data specified through the sensor device according to the request of the external server 500 may be transferred to the external server 500 through the LoRa communication network 300. ) Can be sent.
  • the IoT electronic device 200 controls the activation state of the sensor device according to a predetermined time, and acquires terminal specific information (eg, serial number, ID, etc.) and sensor data from the sensor device while the sensor device is activated. Receives and transmits to the external server 500 through the LoRa communication network 300, and receives the setting data for setting the sensor device from the external server 500 to the IoT electronic device 200.
  • terminal specific information eg, serial number, ID, etc.
  • the IoT electronic device 200 since the IoT electronic device 200 uses the LoRa communication network 300 capable of broadband communication, the IoT electronic device 200 may include an electronic device requiring far communication than an electronic device disposed in a specific building or space.
  • the LoRa communication network 300 includes a LoRa base station (not shown) and a LoRa repeater 350. It may be made of various Internet communication relay devices such as LoRa server (400).
  • the external server 500 may provide an IoT application installed in a user terminal (not shown) using the IoT service system 10, and accordingly, a user may use the IoT electronic device 200 using the LoRa communication network 300. ) Can be controlled.
  • FIG. 2 is a diagram schematically illustrating a configuration of a hardware security module 100 according to an embodiment of the present invention.
  • the software configuration of the hardware security module 100 may include a communication interface 110, a processor 120, and a connection port 130.
  • the access port 130 provided in the hardware security module 100 may be physically connected to the IoT electronic device 200 to install a security plug-in.
  • the connection port 130 may be formed of an IC card or a port of various Universal Serial Bus (USB) standards, and thus may be physically connected to various kinds of IoT electronic devices 200.
  • USB Universal Serial Bus
  • the security plug-in provided by the hardware security module 100 is a component of each of the IoT service system 10 based on the LoRa communication network 300 to transmit and receive data securely based on the LoRa communication network 300. It is a program that provides security functions. According to an embodiment, the security plug-in is embedded software in the IoT electronic device 200 to which the communication interface 110 is secured through an access port of the LoRa communication network 300 or the hardware security module 100. It can be installed in the form.
  • the IoT electronic device 200 may perform functions provided by the communication interface 110 and the processor 120 of the hardware security module 100 through the security plug-in, and the hardware security module 100 will be described below.
  • the functions performed by each of the components are performed through the components of the IoT service system 10 based on the LoRa communication network 300 (eg, the IoT electronic device 200, the LoRa server, and an external server). Can be.
  • the communication interface 110 of the hardware security module may exchange communication data with the IoT service system 10 based on the LoRa communication network 300 and the LoRa communication network 300.
  • a schedule capable of wireless communication with the IoT service system 10 based on the LoRa communication network 300 through the communication interface 110 is provided.
  • the security plug-in for security of the IoT electronic device 200 may be installed within the range, or may be connected to the IoT electronic device 200 through the access port 130 to set and release the security of the IoT electronic device 200.
  • the processor 120 of the hardware security module 100 controls the overall functions of the hardware security module 100 and at least can provide security services in the IoT service system 10 based on the LoRa communication network 300. It may include one computing device.
  • the computing device may be, for example, a general-purpose central computing unit (CPU), a programmable device device (CPLD, FPGA), a custom semiconductor computing unit (ASIC), or a microcontroller chip implemented for a specific purpose.
  • the processor 120 may encrypt or decrypt data transmitted and received by the communication interface 110.
  • the processor 120 may install a security plug-in in the IoT electronic device 200 when the connection port 130 of the hardware security module 100 is physically connected.
  • the management unit 121 may be included.
  • the processor 120 may include an encryption unit 123 that encrypts and decrypts data transmitted and received by the IoT electronic device 200 to the IoT service system 10 based on the LoRa communication network 300.
  • the encryption unit 123 may perform encryption using at least one of ARIA, Secure Hash Algorithm (SHA), and End-to-End encryption (end to end encryption) encryption communication scheme.
  • the encryption unit 123 may encrypt any information transmitted or received by the IoT electronic device 200 with each component of the IoT service system 10 based on the LoRa communication network 300.
  • the security plug-in provided by the processor 120 of the hardware security module 100 uses an end-to-end encryption scheme
  • the IoT electronic device 200 may move to a LoRa server 400.
  • the encrypted request information for using the communication network can be transmitted.
  • the encryption unit 123 provides an ARIA encryption communication method, which is a national standard 128-bit block encryption algorithm, so that the IoT service system 10 encrypts information more efficiently using the LoRa communication network 300. Or SHA encryption, another national standard 160-bit block encryption algorithm, to encrypt information.
  • the encryption unit 123 may provide various national standard algorithms to each component of the IoT service system 10 that can provide an information security service using a LoRa communication network.
  • a lightweight encryption communication scheme may be provided in consideration of hardware and software capabilities of the IoT electronic device 200.
  • the processor 120 of the hardware security module 100 may include a device authenticator 125 that performs authentication of the IoT electronic device 200 to install a security plug-in.
  • the device authenticator 127 may perform authentication of the IoT electronic device 200 using the device authentication server 600, and a detailed description of a method of performing authentication will be described later.
  • the processor 120 of the hardware security module 100 may include a device connection manager 127 that manages a connection through a LoRa communication network of IoT electronic devices 200 that have been authenticated by the device authenticator 127. have. This is the case where the hardware security module 100 is applied to the LoRa server 400 or the external server 500, and the IoT electronic device 200 uses the LoRa communication network 300 to provide a LoRa server. When accessing the 400 or the external server 500, the device connection manager 127 may check an authentication code of the IoT electronic device 200 to control the access of the device through the LoRa communication network 300. have.
  • the processor 120 of the hardware security module 100 is connected to the LoRa server 400 and the external server 500 connected through the LoRa communication network 300. It may include a server management unit 129 for managing).
  • the server manager 129 may be executed in each server device to manage whether the LoRa server 400 and the external server 500 use the IoT service system 10 using a correct encryption communication method. Can be.
  • the server manager 129 analyzes the information received by the IoT electronic device 200 from the external server 500, the external server 500 is authenticated communication security based on the LoRa communication network 300 If the server is not authenticated, the access of the server can be controlled.
  • the communication interface 110 uses the LoRa communication data as communication data transmitted by the IoT electronic device 200. It may include a communication conversion unit 111 to convert.
  • the hardware security module 100 of the hardware security module 100 may be used to use the IoT service system 10 based on the LoRa communication network 300.
  • a security plug-in based on a LoRa network provided by the processor 120 may be installed. Accordingly, the IoT electronic device 200 may exchange information by using the communication converter 111 provided by the hardware security module 100.
  • the communication conversion unit 111 may convert the serial communication data into LoRa communication data.
  • the communication conversion unit 111 transmits low power broadband wireless communication (LPWAN) data similar to the LoRa communication of the IoT electronic device 200
  • the communication conversion unit 111 may convert the data into LoRa communication data, thereby causing IoT electronics.
  • the device 200 may be provided with a security service regardless of a specific specification for using the IoT service system 10 based on the LoRa communication network 300.
  • the communication interface 110 of the hardware security module 100 is secured according to the type of communication module built in the IoT electronic device 200.
  • the communication unit 113, the secure serial communication unit 115, and the secure LPWAN communication unit 117 may be included.
  • data transmitted and received through the secure LoRa communication unit 113, the secure serial communication unit 115, and the secure LPWAN communication unit 117 and the LoRa communication network 300 may be encrypted or decrypted by the processor 120. Can be.
  • the communication interface 110 may include a secure Ethernet communication unit 119 for Ethernet communication
  • the hardware security module 100 may include a PoE port (Power Over Ethernet port).
  • PoE Power Over Ethernet port
  • the PoE is a technology for transmitting a data signal and power at the same time, in the case of the IoT electronic device 200 to receive the LoRa communication data and power for operating the device at the same time through the PoE port. have.
  • the communication interface 110 of the hardware security module 100 includes various communication modules and physical communication ports, it is related to the specification of each component of the LoRa communication network 300 based IoT service system 10. The same security service can be provided without.
  • the security service can be selectively applied to the IoT electronic device 200 desired by the user, so that the user can enjoy a more secure IoT service.
  • FIG 3 is a flowchart illustrating a method of authenticating the IoT electronic device 200 using the LoRa communication network by the hardware security module 100 according to an embodiment of the present invention.
  • the hardware security module 100 encrypts the authentication code request signal (S110). This is a step of encrypting the authentication code request signal itself. Since the authentication code request signal includes information on the IoT electronic device 200 to be described later, the authentication code request signal itself is encrypted for security reasons.
  • the hardware security module 100 relays a procedure for issuing an authentication code for authenticating the IoT electronic device 200 from the device authentication server 600. That is, the hardware security module 100 receives the authentication code from the device authentication server 600 and transmits the authentication code to the IoT electronic device 200. According to an embodiment, the hardware security module 100 relays the IoT electronic device 200 and the device authentication server 600 device in cooperation with a terminal capable of installing an application, and the authentication code signed by the IoT electronic device 200. To receive and store it.
  • the authentication code request signal encrypted by the hardware security module 100 may include at least one of a message type, a message length, a serial number, a gateway ID, a unique ID, and a password of the IoT electronic device 200.
  • the message type is a value set in the first byte of every request signal or response signal is a value that identifies what type of authentication code request signal.
  • the message type is a type of signal. That is, the value is set in the first byte of the authentication code request signal, the type of the signal can be distinguished according to the set value.
  • the message length is the total message size minus the message type and the message length.
  • the authentication code request signal includes various other information including the message type and the message length, and the message length corresponds to the size and message length corresponding to the message type in the size, that is, the size of all information included in the authentication code request signal. It may be the size minus the size. For example, if the size of the message type is 1 byte, the size of the message length itself is 4 bytes, and the size of the entire message is 85 bytes, the message length may be 80 bytes. Here, the size of the entire message is the size of the authentication code request signal.
  • the serial number is a unique number of the IoT electronic device 200.
  • Each IoT electronic device 200 capable of short-range wireless communication or wired communication with the hardware security module 100 includes one unique number.
  • the hardware security module 100 may receive and store a serial number that is a unique number of the IoT electronic device 200 before encrypting the authentication code request signal. Accordingly, the hardware security module 100 may generate an authentication code request signal including a stored serial number.
  • the gateway ID is an ID of a gateway that performs short-range wireless communication or wired communication with the IoT electronic device 200. That is, in the present invention, the gateway ID may be a LoRa repeater 200 ID, and the IoT electronic device 200 stores the signed authentication code received from the device authentication server 600 and then uses the gateway. Certified by According to an embodiment, the gateway may be installed for each region. For example, the gateway may be installed in a specific building, and the IoT electronic device 200 needs to be authenticated by the gateway in order to communicate with the gateway in the specific building. Accordingly, the gateway ID may be an ID of a gateway that communicates with the IoT electronic device 200 in a space where the IoT electronic device 200 will be used.
  • the unique ID is an ID of a chip mounted in the IoT electronic device 200.
  • the unique ID is information generated by the IoT electronic device 200 and is a result of hashing a result of applying a salt to a serial number of the IoT electronic device 200 in which the chip is mounted.
  • Each IoT electronic device 200 has a serial number which is a unique number, and the salt may be a value set by the user so that the relationship between the serial number and the unique ID is not exposed.
  • the application of the salt is to perform a logical operation with the serial number on a user-specified value, for example, the salt value '1234'.
  • Unique ID is the result of hashing the result of the logical operation of the salt value and the serial number.
  • the logical operation may be at least one of and, or, xor, and nand.
  • the IoT electronic device 200 password is a value to be input when storing the signed authentication code received by the IoT electronic device 200 in the step of transmitting an authentication code storage response signal, which will be described later.
  • the IoT electronic device 200 may store the signed authentication code by inputting the same password as the password of the IoT electronic device 200 included in the authentication code request signal when the signed authentication code is stored.
  • the hardware security module 100 transmits an encrypted authentication code request signal to the device authentication server 600 (S120).
  • the device authentication server 600 decrypts the encrypted authentication code request signal received from the hardware security module 100 (S130). Accordingly, the device authentication server 600 may recognize that the signal transmitted by the hardware security module 100 is a signal for requesting an authentication code through a message type included in the authentication code request signal.
  • the device authentication server 600 generates an authentication code including some information from the authentication code request signal transmitted from the hardware security module 100 (S140). According to an embodiment of the present disclosure, the device authentication server 600 is a server of an authority that is qualified to generate an authentication code. The device authentication server 600 may generate an authentication code, and detailed description of specific information included in the authentication code will be described later.
  • the authentication code generated by the device authentication server 600 is signed to generate a signed authentication code (S150). According to an embodiment, since the authentication code itself generated by the device authentication server 600 may be duplicated, the device authentication server 600 may sign the authentication code.
  • the signed authentication code may mean that the device authentication server 600 directly generates an authentication code, and signing the authentication code by the device authentication server 600 may mean that the authentication code includes signature-related data.
  • the device authentication server 600 encrypts the signed authentication code (S160).
  • the device authentication server 600 may encrypt the authentication code signed by an encryption algorithm included in the authentication code, and the signed authentication code may be encrypted and managed for security.
  • the hardware security module 100 receives an encrypted signed authentication code from the device authentication server 600 (S170). In addition, in addition to the signed authentication code, the hardware security module 100 may also receive a result code, an authentication code size, and a password of the IoT electronic device 200 taking the hash.
  • the result code may be a value indicating whether the device authentication server 600 device has received the encrypted authentication code request signal from the hardware security module 100 without error.
  • the authentication code size may mean the size of the authentication code itself, for example, the size of the authentication code may be 1000 bytes.
  • the password of the IoT electronic device 200 taking the hash is a result of taking a hash function on the password of the IoT electronic device 200 described above. 600 may transmit.
  • the hardware security module 100 decrypts the encrypted signed authentication code (S180). Since the authentication code itself includes an encryption algorithm that is information of how the authentication code is encrypted, the signed authentication code encrypted using the encryption algorithm can be decrypted.
  • the hardware security module 100 After decrypting the signed authentication code, the hardware security module 100 checks the signed authentication code and transmits an authentication code storage request signal to the IoT electronic device 200 (S190). The process of verifying the signed authentication code may be performed by the hardware security module 100 by comparing the information included in the authentication code with the information included in the authentication code request signal. For example, since both the authentication code request signal and the authentication code include a unique ID, the hardware security module 100 may check whether the unique IDs are the same.
  • the authentication code storage request signal is a message type, message length, authentication code size, authentication code, IoT electronic device 200 information request command information, IoT electronic device 200 password, hashed IoT electronic device 200 password , And session IDs.
  • the message type is a value set to the first byte of every request signal or response signal and identifies a type of the authentication code request signal.
  • the message type is a type of signal. That is, the value is set in the first byte of the authentication code request signal, the type of the signal can be distinguished according to the set value.
  • the message length is the total message size minus the message type and the message length.
  • the authentication code request signal includes various other information including the message type and the message length, and the message length corresponds to the size and message length corresponding to the message type in the size, that is, the size of all information included in the authentication code request signal. It may be the size minus the size. For example, if the size of the message type is 1 byte, the size of the message length itself is 4 bytes, and the size of the entire message is 85 bytes, the message length may be 80 bytes. Here, the size of the entire message is the size of the authentication code request signal.
  • the authentication code size refers to the capacity of the certificate itself.
  • the authentication code size may be 1000 bytes, and the authentication code is an authentication code generated by the device authentication server 600.
  • the IoT electronic device 200 information request command information is obtained by the hardware security module 100 taking a hash by logically calculating a client type and an arbitrary value previously stored in the hardware security module 100. That is, the IoT electronic device 200 information request command information is Hash (client type
  • the random value is a random number randomly generated by the current time or the hardware security module 100. Taking a value or taking a hash function means doing a hash. Taking a hash by logically computing a first value and a second value or taking a hash function means doing a hash (first value
  • the IoT electronic device 200 password is a value to be input when storing the signed authentication code received by the IoT electronic device 200 in the step of transmitting an authentication code storage response signal, which will be described later.
  • the IoT electronic device 200 may store the signed authentication code by inputting the same password as the password of the IoT electronic device 200 included in the authentication code request signal when the signed authentication code is stored.
  • the password of the IoT electronic device 200 taking the hash is a result of taking the hash function on the password of the IoT electronic device 200.
  • the session ID is an ID calculated by applying the hash function to the result of the logical operation of the hardware security module 100 by using the transaction ID, the serial number, the client type, and an arbitrary value.
  • the random value is a time at which the session ID is generated or a random number randomly generated by the hardware security module 100.
  • the IoT electronic device 200 stores the signed authentication code received and transmits the authentication code storage response signal to the hardware security module 100 (S191).
  • the authentication code storage response signal may include a message type, a message length, and a result code.
  • the message type is a value set in the first byte of every request signal or response signal and identifies a type of the authentication code request signal.
  • the message type may be a signal type. That is, the value is set in the first byte of the authentication code storage response signal, the type of the signal can be distinguished according to the set value.
  • the message length is the message size minus the message type and the message length from the total message size, where size is the size.
  • the authentication code store response signal includes a variety of other information, including the message type and the message length.
  • the message length is the size of all information included in the authentication code store response signal, that is, the size and message length corresponding to the message type in the size. It may mean the size minus the size corresponding to. For example, if the size of the message type is 1 byte, the size of the message length itself is 4 bytes, and the size of the entire message is 85 bytes, the message length may be 80 bytes.
  • the size of the entire message is the size of the authentication code storage response signal.
  • the result code is a code indicating whether the authentication code was saved without error. For example, if the result code is 0, this may mean that the authentication code is stored in the IoT electronic device 200 without error.

Abstract

A hardware security module, according to an embodiment of the present invention, comprises: a connection port to be connected to an IoT electronic device; a communication interface for transmitting and receiving data to/from the IoT electronic device on the basis of an LoRa communication network; and a processor for encrypting or decrypting the data transmitted and received by the communication interface, wherein the processor comprises a plug-in management unit that installs, in the IoT electronic device, a security plug-in for transmitting and receiving the encrypted data as the IoT electronic device and the connection port are physically connected.A hardware security module, according to an embodiment of the present invention, comprises: a connection port to be connected to an IoT electronic device; a communication interface for transmitting and receiving data to/from the IoT electronic device on the basis of an LoRa communication network; and a processor for encrypting or decrypting the data transmitted and received by the communication interface, wherein the processor comprises a plug-in management unit that installs, in the IoT electronic device, a security plug-in for transmitting and receiving the encrypted data as the IoT electronic device and the connection port are physically connected.

Description

하드웨어 보안 모듈Hardware security module
본 발명은 하드웨어 보안 모듈에 관한 것이다. 보다 자세하게는 로라 통신을 활용하여 사물 인터넷(IoT) 서비스 시스템 내에서 보안 서비스를 제공하는 하드웨어 보안 모듈에 관한 것이다.The present invention relates to a hardware security module. More specifically, the present invention relates to a hardware security module that provides security services in an IoT service system using Laura communication.
하드웨어 보안 모듈(Hardware Security Module, HSM) 은 소정의 연산 기능이 구비된 프로세서 및 메모리를 구비함으로써 대용량의 정보를 보관할 수 있을 뿐만 아니라 스스로 처리할 수도 있는 모듈이다. 이러한 하드웨어 보안 모듈은 내부에 저장된 비밀 정보가 유출되지 않는다는 장점으로 인해 사용자의 개인 정보 보안이 필요한 영역에서 다방면으로 사용되고 있다. 보다 구체적으로 하드웨어 보안 모듈은 자체적으로 보안 키를 생성하고 생성한 보안 키를 외부에 유출하는 일 없이 내부에 안전하게 보관할 수 있기 때문에, 전자 서명 수단으로 활용하는 경우 보안성을 극대화할 수 있으며, 예를 들어, 모바일 디바이스에서 결제를 진행하는 과정에서 전자 서명 수단으로서 사용될 수 있다.The hardware security module (HSM) is a module that can process not only a large amount of information but also a self-processing by having a processor and a memory having a predetermined computing function. The hardware security module has been used in various fields in areas where user's personal information security is required due to the advantage that confidential information stored in the inside is not leaked. More specifically, since the hardware security module generates its own security key and stores the generated security key securely inside without leaking to the outside, it can maximize security when used as a digital signature means. For example, it may be used as an electronic signature means in the process of making a payment in a mobile device.
한편, 최근에는 로라(LoRa) 통신 기술이 대두되고 있다. 여기서 로라(Lora)란 롱 레인지(Long Range)의 약어로서 로라(LoRa) 통신은 대규모 저전력 장거리 무선 통신 기술 중 하나로 볼 수 있다. 이러한 로라(LoRa) 통신은 초고속, 광대역 네트워크를 필요로 하는 기존의 스마트 기기 연결 환경과는 다르게 별도의 기지국이나 중계 장비 없이 전자 기기에 칩을 올려 저전력으로 소규모 데이터를 주고 받을 수 있다. 아울러, 로라(LoRa) 통신은 보안, 양방향 통신, 망 이동성, 현지화 서비스 등 인터넷에서 요구되는 사항들을 사용자 및 개발자에게 적합한 상호 운용성을 제공할 수 있으며, 로라(LoRa) 통신 기반의 사물 인터넷(IoT) 서비스 시스템이 상용화되고 있는 추세이다.Meanwhile, LoRa communication technology has recently emerged. Lora is an abbreviation of Long Range and LoRa communication can be regarded as one of the large-scale low power long distance wireless communication technologies. Unlike conventional smart device connection environments that require high-speed, broadband networks, LoRa communication can send and receive small-scale data at low power by placing a chip on an electronic device without a separate base station or relay device. In addition, LoRa communication can provide users and developers with interoperability suitable for the Internet needs such as security, two-way communication, network mobility, localization service, and the Internet of Things (IoT) based on LoRa communication. Service systems are becoming commercially available.
그러나, 로라(LoRa) 통신 기반의 사물 인터넷(IoT) 서비스 시스템을 이용하는 과정에서 모든 사물 및 사용자의 신원 확인, 인증 및 통합 관리를 해 공개 키 기반(PKI, Public Key Infrastructure)의 인증 방식을 사용하지만, 저사양의 하드웨어 장치의 경우, 이러한 공개키 기반의 인증을 제대로 수행할 수 없기에 보안 상에 문제가 발생하게 된다. However, in the process of using LoRa communication-based Internet of Things (IoT) service system, all the objects and users are identified, authenticated, and integratedly managed to use public key infrastructure (PKI) authentication. In the case of low-end hardware devices, such public key-based authentication cannot be performed properly, resulting in security problems.
따라서, 저사양의 하드웨어 장치까지 모두 포함한 로라(LoRa) 통신 기반의 사물 인터넷 서비스에서 보안 상 안전하며, 간편한 인증을 수행할 수 있는 하드웨어 보안 모듈의 개발이 요구되며, 본 발명은 이와 관련된 것이다.Therefore, the development of a hardware security module that is secure in security and can perform simple authentication in a LoRa communication-based IoT service including all low hardware devices is required, and the present invention relates to this.
본 발명이 해결하고자 하는 기술적 과제는 저사양의 하드웨어 장치까지 모두 포함한 로라 통신망을 기반으로 하는 사물 인터넷(IoT) 서비스 시스템에서 하드웨어 및 소프트웨어의 변경 없이 보안 기술을 적용할 수 있는 하드웨어 보안 모듈을 제공하는 것을 목적으로 한다.The technical problem to be solved by the present invention is to provide a hardware security module that can be applied to the security technology without changing hardware and software in the IoT (IoT) service system based on the Laura communication network including all hardware devices of low specifications The purpose.
본 발명이 해결하고자 하는 또 다른 기술적 과제는 로라 통신망을 기반으로 하는 사물 인터넷(IoT) 서비스 시스템에서 종단간(End-to-end) 암호화가 가능한 하드웨어 보안 모듈을 제공하는 것을 목적으로 한다.Another object of the present invention is to provide a hardware security module capable of end-to-end encryption in an IoT service system based on a Laura communication network.
본 발명이 해결하고자 하는 또 다른 기술적 과제는 저전력 광역 무선통신망(LPWAN)에서 적용 가능한 하드웨어 보안 모듈을 제공하는 것을 목적으로 한다.Another object of the present invention is to provide a hardware security module applicable to a low power wide area wireless network (LPWAN).
본 발명의 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급되지 않은 또 다른 기술적 과제들은 아래의 기재로부터 통상의 기술자에게 명확하게 이해될 수 있을 것이다.The technical problems of the present invention are not limited to the technical problems mentioned above, and other technical problems not mentioned will be clearly understood by those skilled in the art from the following description.
본 발명의 일 실시 예에 따른 하드웨어 보안 모듈은, IoT 전자 장치와 연결되는 접속 포트, 상기 IoT 전자 장치로부터 로라(LoRa) 통신망을 통해 데이터를 송수신하는 통신 인터페이스 및 상기 통신 인터페이스가 송수신하는 데이터를 암호화 또는 복호화하는 프로세서를 포함하며, 상기 프로세서는, 상기 IoT 전자 장치와 상기 접속 포트가 물리적으로 연결됨에 따라 암호화된 데이터를 송수신하는 보안 플러그인을 상기 IoT 전자 장치에 설치하는 플러그인 관리부를 포함한다.The hardware security module according to an embodiment of the present invention may include an access port connected to an IoT electronic device, a communication interface for transmitting and receiving data from the IoT electronic device through a LoRa communication network, and encrypting data transmitted and received by the communication interface. Or a processor that decrypts the processor, wherein the processor includes a plug-in manager that installs a security plug-in in the IoT electronic device to transmit and receive encrypted data as the IoT electronic device and the connection port are physically connected.
일 실시 예에 따르면, 상기 프로세서는, 상기 IoT 전자 장치와 송수신하는 데이터를 ARIA, SHA(Secure Hash Algorithm), 종단 간(End to End encryption) 암호화 통신 방식 중 적어도 하나를 이용하여 암호화를 수행하는 암호화부를 더 포함할 수 있다.According to an embodiment of the present disclosure, the processor may perform encryption using at least one of ARIA, Secure Hash Algorithm (SHA), and End-to-End encryption (end to end encryption) encryption communication scheme for transmitting and receiving data to and from the IoT electronic device. It may further include wealth.
일 실시 예에 따르면, 상기 프로세서는, 상기 IoT 전자 장치의 인증을 수행하는 장치 인증부 및 상기 장치 인증부로부터 인증이 완료된 IoT 전자 장치의 로라(LoRa) 통신망을 통한 접속을 관리하는 장치 접속 관리부를 더 포함할 수 있다.According to an embodiment of the present disclosure, the processor may include a device authentication unit configured to authenticate the IoT electronic device and a device connection manager configured to manage a connection through a LoRa communication network of the IoT electronic device that has been authenticated by the device authentication unit. It may further include.
일 실시 예에 따르면, 상기 프로세서는, 상기 IoT 전자 장치와 로라(LoRa) 통신망을 통해 연결되는 외부 서버를 관리하는 서버 관리부를 더 포함할 수 있다.According to an embodiment of the present disclosure, the processor may further include a server manager configured to manage an external server connected to the IoT electronic device through a LoRa communication network.
일 실시 예에 따르면, 상기 통신 인터페이스는, 상기 IoT 전자 장치가 송신하는 통신 데이터를 로라(LoRa) 통신 데이터로 변환하는 통신 변환부를 더 포함할 수 있다.According to an embodiment of the present disclosure, the communication interface may further include a communication converter configured to convert communication data transmitted by the IoT electronic device into LoRa communication data.
일 실시 예에 따르면, 상기 IoT 전자 장치에 내장된 통신 모듈 종류에 따라, 보안 로라(LoRa) 통신부, 보안 시리얼 통신부 및 보안 LPWAN 통신부 중 어느 하나 이상을 더 포함하고, 상기 보안 로라(LoRa) 통신부, 보안 시리얼 통신부 및 보안 LPWAN 통신부 중 어느 하나 이상과 로라(LoRa) 통신망을 통해 송수신되는 데이터는 상기 프로세서에 의해 암호와 또는 복호화될 수 있다. According to one embodiment, according to the type of communication module embedded in the IoT electronic device, further comprises any one or more of a secure Lora (LoRa) communication unit, a secure serial communication unit and a secure LPWAN communication unit, the secure Lora (LoRa) communication unit, Data transmitted and received through at least one of a secure serial communication unit and a secure LPWAN communication unit through a LoRa communication network may be encrypted or decrypted by the processor.
일 실시 예에 따르면, 상기 통신 인터페이스와 연결되며, 이더넷 통신(Ethernet communication)을 위한 보안 이더넷 통신부 및 PoE 포트(Power Over Ethernet port)를 더 포함할 수 있다.According to an embodiment of the present disclosure, the communication interface may further include a secure Ethernet communication unit and a Power Over Ethernet port for Ethernet communication.
일 실시 예에 따르면, 상기 통신 인터페이스는 로라(LoRa) 통신망을 통해 상기 IoT 전자 장치로 인증 코드를 송신하기 위한 암호화된 데이터를 기기 인증 서버로부터 수신하고, 상기 프로세서는 상기 통신 인터페이스가 수신한 암호화된 데이터를 복호화하여, 상기 장치 인증부가 상기 프로세서가 복호화한 데이터를 기초로 상기 IoT 전자 장치의 인증을 수행할 수 있다.According to an embodiment, the communication interface receives encrypted data from the device authentication server for transmitting an authentication code to the IoT electronic device through a LoRa communication network, and the processor receives the encrypted data received by the communication interface. By decrypting the data, the device authentication unit may perform authentication of the IoT electronic device based on the data decrypted by the processor.
일 실시 예에 따르면, 상기 접속 포트는 IC 카드 또는 USB(Universal serial bus) 규격에 따른 포트일 수 있다.According to an embodiment of the present disclosure, the connection port may be an IC card or a port based on a universal serial bus (USB) standard.
본 발명에 의하면, 하드웨어 및 소프트웨어의 변경 없이 저사양의 하드웨어 장치까지 모두 포함한 로라(LoRa) 통신망에서 보안 기술을 적용할 수 있는 바, 하드웨어 및 소프트웨어의 변경을 통한 보안 기술 적용에 수반하는 시간과 비용을 절감할 수 있는 효과가 있다.According to the present invention, a security technology can be applied to a LoRa communication network including all low-end hardware devices without changing hardware and software, and the time and cost associated with applying the security technology through a change in hardware and software can be avoided. There is a saving effect.
또한, 하나의 하드웨어 보안 모듈을 이용하여 다양한 사물 인터넷(IoT) 시스템에서 적용 및 융합시킬 수 있는 효과가 있다.In addition, there is an effect that can be applied and converged in various IoT systems using one hardware security module.
또한, 하드웨어 보안 모듈에서 추가로 종간단(End-to-end) 암호화를 사용하여 보다 안전한 로라(LoRa) 통신망 기반 사물 인터넷(IoT) 서비스 시스템을 제공할 수 있는 효과가 있다.In addition, the hardware security module can further provide a more secure LoRa network-based IoT service system by using end-to-end encryption.
또한, 다양한 통신 데이터를 로라(LoRa) 통신 데이터로 변할 수 있어, 다양한 통신 모듈을 가지는 전자 장치가 로라(LoRa) 통신망을 기반으로 한 사물 인터넷(IoT) 서비스 시스템에 적용될 수 있다는 효과가 있다.In addition, since various communication data may be changed into LoRa communication data, an electronic device having various communication modules may be applied to an IoT service system based on a LoRa communication network.
본 발명의 효과들은 이상에서 언급한 효과들로 제한되지 않으며, 언급되지 않은 또 다른 효과들은 아래의 기재로부터 통상의 기술자에게 명확하게 이해 될 수 있을 것이다.Effects of the present invention are not limited to the above-mentioned effects, and other effects not mentioned will be clearly understood by those skilled in the art from the following description.
도 1은 본 발명의 실시 예에 따른 하드웨어 보안 모듈이 적용될 수 있는 로라 통신망 기반의 IoT 시스템의 구성을 나타낸 도면이다.1 is a diagram illustrating a configuration of a Laura communication network-based IoT system to which a hardware security module according to an embodiment of the present invention can be applied.
도 2는 본 발명의 실시 예에 따른 하드웨어 보안 모듈의 구성을 개략적으로 나타낸 도면이다.2 is a diagram schematically illustrating a configuration of a hardware security module according to an embodiment of the present invention.
도 3은 본 발명의 실시 예에 따른 하드웨어 보안 모듈이 로라 통신망을 이용하여 IoT 전자 장치를 인증하는 방법의 흐름을 나타낸 순서도이다.3 is a flowchart illustrating a method of authenticating an IoT electronic device by a hardware security module according to an embodiment of the present invention using a Laura communication network.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시 예를 상세히 설명한다. 본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시 예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 게시되는 실시 예에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시 예들은 본 발명의 게시가 완전하도록 하고, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings. Advantages and features of the present invention, and methods for achieving them will be apparent with reference to the embodiments described below in detail in conjunction with the accompanying drawings. However, the present invention is not limited to the embodiments disclosed below, but can be implemented in various forms, and only the embodiments are intended to complete the disclosure of the present invention, and the general knowledge in the technical field to which the present invention belongs. It is provided to fully convey the scope of the invention to those skilled in the art, and the present invention is defined only by the scope of the claims. Like reference numerals refer to like elements throughout.
다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있을 것이다. 또 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다. 본 명세서에서 사용된 용어는 실시 예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다.Unless otherwise defined, all terms (including technical and scientific terms) used in the present specification may be used in a sense that can be commonly understood by those skilled in the art. In addition, the terms defined in the commonly used dictionaries are not ideally or excessively interpreted unless they are specifically defined clearly. The terminology used herein is for the purpose of describing particular embodiments only and is not intended to be limiting of the invention. In this specification, the singular also includes the plural unless specifically stated otherwise in the phrase.
본 명세서에서 사용되는 "포함한다 (comprises)" 및/또는 "포함하는 (comprising)"은 언급된 구성 요소, 단계, 동작 및/또는 소자는 하나 이상의 다른 구성 요소, 단계, 동작 및/또는 소자의 존재 또는 추가를 배제하지 않는다.As used herein, “comprises” and / or “comprising” refers to a component, step, operation and / or element that is one or more of the other components, steps, operations and / or elements. It does not exclude existence or addition.
한편, IoT란, 사물인터넷(IoT, Internet of Things)의 약자로서, 센서와 통신 칩을 탑재한 사물이 사람의 개입 없이 자동적으로 실시간 데이터를 주고받을 수 있는 물리적 네트워크를 일컫는 용어이다. 사물 인터넷 환경에서는 센서나 통신 기능이 내장된 기기(사물)들이 인터넷으로 연결되어 주변의 정보를 수집하고, 이 정보를 다른 기기와 주고받으며 적절한 결정까지 내릴 수 있다. 이러한 사물 인터넷(IoT)은 블루투스(Bluetooth)나 근거리무선통신(NFC), 센서데이터, 저전력 광역 무선통신 기술 등을 기반으로 하고 있다.Meanwhile, IoT is an abbreviation of the Internet of Things (IoT), and refers to a physical network in which an object equipped with a sensor and a communication chip can automatically send and receive real-time data without human intervention. In the Internet of Things environment, devices with built-in sensors or communications (Internet of Things) can connect to the Internet to collect information around you, exchange information with other devices, and make appropriate decisions. The Internet of Things (IoT) is based on Bluetooth, near field communication (NFC), sensor data, and low power wide area wireless communication technologies.
이하의 설명에서는 저전력 광역 무선통신 기술 중 하나인 로라(LoRa) 통신망을 사용하여 사물 인터넷(IoT)과 M2M(Machine-to-Machine) 무선통신을 구현하고, 수백만 개의 무선 센서 노드를 게이트웨이에 연결할 수 있는 IoT 서비스 시스템(10)을 설명하도록 한다.In the following description, the Internet of Things (IoT) and Machine-to-Machine (M2M) radios can be implemented using a LoRa communication network, one of the low power wide area wireless communication technologies, and millions of wireless sensor nodes can be connected to the gateway. The IoT service system 10 will now be described.
도 1은 본 발명의 실시 예에 따른 하드웨어 보안 모듈이 적용될 수 있는 로라 통신망(200) 기반의 IoT 서비스 시스템(10)의 구성을 나타낸 도면이다.FIG. 1 is a diagram illustrating a configuration of an IoT service system 10 based on a Laura communication network 200 to which a hardware security module may be applied according to an embodiment of the present invention.
먼저, 도 1을 참조하면, 본 발명의 실시 예에 따른 로라 통신망(300) 기반의 IoT 서비스 시스템(10)은 다수, 다량의 센서장치와 비동기식의 다량 프로세스를 처리하기 위한 것으로, IoT 전자 장치(200)와 로라(LoRa) 통신망(300), 로라(LoRa) 중계기(350), 로라(LoRa) 서버(400) 및 외부 서버(500)를 포함할 수 있다.First, referring to FIG. 1, the IoT service system 10 based on the Laura communication network 300 according to an embodiment of the present invention is for processing a plurality of sensors and a large amount of asynchronous processes. 200, a LoRa communication network 300, a LoRa repeater 350, a LoRa server 400, and an external server 500 may be included.
IoT 전자 장치(200)는 사물 인터넷(IoT) 기술이 적용된 장치이며, 배터리 전력으로 장기간 동작할 수 있는 저전력 전자 장치일 수 있다. 그에 따라, IoT 전자 장치(200)는 전력을 보전하기 위해, 로라(LoRa) 통신 모듈과 같은 저전력 무선 통신 모듈이 구비될 수 있다.The IoT electronic device 200 is a device to which the Internet of Things (IoT) technology is applied and may be a low power electronic device capable of operating for a long time with battery power. Accordingly, the IoT electronic device 200 may be provided with a low power wireless communication module such as a LoRa communication module to conserve power.
실시 예에 따라, IoT 전자 장치(200)는 다수, 다량의 센서 장치와 연결되어, 외부 서버(500)의 요청에 따라 센서 장치를 통해 특정된 데이터를 LoRa 통신망(300)을 통해 외부 서버(500)로 송신할 수 있다.According to an embodiment, the IoT electronic device 200 may be connected to a plurality of sensor devices, and the data specified through the sensor device according to the request of the external server 500 may be transferred to the external server 500 through the LoRa communication network 300. ) Can be sent.
또한, IoT 전자 장치(200)는 미리 정해진 시간에 따라, 센서장치의 활성화 상태를 제어하고, 센서장치가 활성화된 상태에서 센서장치로부터 단말고유정보(예. 시리얼 넘버, 아이디 등)와 센서 데이터를 수신하여 로라(LoRa) 통신망(300)을 통해 외부 서버(500)로 전송하고, 외부 서버(500)로부터 센서 장치의 설정을 위한 설정 데이터를 수신하여 IoT 전자 장치(200) 장치로 전송할 수 있다.In addition, the IoT electronic device 200 controls the activation state of the sensor device according to a predetermined time, and acquires terminal specific information (eg, serial number, ID, etc.) and sensor data from the sensor device while the sensor device is activated. Receives and transmits to the external server 500 through the LoRa communication network 300, and receives the setting data for setting the sensor device from the external server 500 to the IoT electronic device 200.
아울러, IoT 전자 장치(200)는 광대역 통신이 가능한 로라(LoRa) 통신망(300)을 이용하는 바, 특정 건물, 공간 내에 배치되는 전자 장치보다 원거리 통신을 필요로 하는 전자 장치를 포함할 수 있다.In addition, since the IoT electronic device 200 uses the LoRa communication network 300 capable of broadband communication, the IoT electronic device 200 may include an electronic device requiring far communication than an electronic device disposed in a specific building or space.
로라(LoRa) 통신망(300)은 로라(LoRa) 기지국(미도시), 로라(LoRa) 중계기(350). 로라(LoRa) 서버(400) 등 다양한 인터넷 통신 중계기기로 이루어질 수 있다.The LoRa communication network 300 includes a LoRa base station (not shown) and a LoRa repeater 350. It may be made of various Internet communication relay devices such as LoRa server (400).
외부 서버(500)는 IoT 서비스 시스템(10)을 이용하는 사용자 단말(미도시)에 설치된 IoT 어플리케이션을 제공할 수 있으며, 그에 따라 로라(LoRa) 통신망(300)을 이용하여 사용자는 IoT 전자 장치(200)를 제어할 수 있다.The external server 500 may provide an IoT application installed in a user terminal (not shown) using the IoT service system 10, and accordingly, a user may use the IoT electronic device 200 using the LoRa communication network 300. ) Can be controlled.
지금까지, 본 발명의 실시 예에 따른 하드웨어 보안 모듈이 적용될 수 있는 로라(LoRa) 통신망(300) 기반의 IoT 서비스 시스템(10)의 구성에 대하여 간략하게 설명하였으며, 이하에서는 이러한 IoT 서비스 시스템(10)을 안전하게 보호하기 위한 하드웨어 보안 모듈(100)의 구성을 구체적으로 설명하도록 한다.Up to now, the configuration of the IoT service system 10 based on LoRa communication network 300 to which a hardware security module according to an embodiment of the present invention can be applied was briefly described. Hereinafter, the IoT service system 10 will be described. ) Will be described in detail the configuration of the hardware security module 100 to secure.
도 2는 본 발명의 실시 예에 따른 하드웨어 보안 모듈(100)의 구성을 개략적으로 나타낸 도면이다.2 is a diagram schematically illustrating a configuration of a hardware security module 100 according to an embodiment of the present invention.
도 2를 참조하면, 하드웨어 보안 모듈(100)의 소프트웨어 구성은 통신 인터페이스(110), 프로세서(120) 및 접속 포트(130)를 포함할 수 있다.2, the software configuration of the hardware security module 100 may include a communication interface 110, a processor 120, and a connection port 130.
하드웨어 보안 모듈(100)에 구비된 접속 포트(130)는 보안 플러그인을 설치하기 위해 IoT 전자 장치(200)와 물리적으로 연결될 수 있다. 실시 예에 따라, 접속 포트(130)는 IC 카드 또는 다양한 USB(Universal Serial Bus) 규격의 포트로 이루어질 수 있으며, 그에 따라 다양한 종류의 IoT 전자 장치(200)와 물리적으로 연결될 수 있다.The access port 130 provided in the hardware security module 100 may be physically connected to the IoT electronic device 200 to install a security plug-in. According to an embodiment, the connection port 130 may be formed of an IC card or a port of various Universal Serial Bus (USB) standards, and thus may be physically connected to various kinds of IoT electronic devices 200.
한편, 하드웨어 보안 모듈(100)이 제공하는 보안 플러그인은 로라(LoRa) 통신망(300) 기반의 IoT 서비스 시스템(10)의 각 구성 요소들이 로라(LoRa) 통신망(300)을 기반으로 데이터를 안전하게 송수신할 수 있도록 보안 기능을 제공하는 프로그램이다. 실시 예에 따라, 이러한 보안 플러그인은 통신 인터페이스(110)가 로라(LoRa) 통신망(300) 또는 하드웨어 보안 모듈(100)의 접속 포트를 통해 보안 대상인 IoT 전자 장치(200)에 임베디드 소프트웨어(embedded software) 형태로 설치될 수 있다. On the other hand, the security plug-in provided by the hardware security module 100 is a component of each of the IoT service system 10 based on the LoRa communication network 300 to transmit and receive data securely based on the LoRa communication network 300. It is a program that provides security functions. According to an embodiment, the security plug-in is embedded software in the IoT electronic device 200 to which the communication interface 110 is secured through an access port of the LoRa communication network 300 or the hardware security module 100. It can be installed in the form.
그에 따라, IoT 전자 장치(200)는 보안 플러그인을 통해서 하드웨어 보안 모듈(100)의 통신 인터페이스(110) 및 프로세서(120)가 제공하는 기능을 수행할 수 있으며, 이하의 설명에서 하드웨어 보안 모듈(100)의 각 구성이 수행하는 기능들은 로라(LoRa) 통신망(300) 기반의 IoT 서비스 시스템(10)의 구성 요소(예. IoT 전자 장치(200), 로라(LoRa) 서버, 외부 서버)를 통해서 수행될 수 있다.Accordingly, the IoT electronic device 200 may perform functions provided by the communication interface 110 and the processor 120 of the hardware security module 100 through the security plug-in, and the hardware security module 100 will be described below. The functions performed by each of the components are performed through the components of the IoT service system 10 based on the LoRa communication network 300 (eg, the IoT electronic device 200, the LoRa server, and an external server). Can be.
한편, 하드웨어 보안 모듈의 통신 인터페이스(110)는 로라(LoRa) 통신망(300) 기반의 IoT 서비스 시스템(10)과 로라(LoRa) 통신망(300)을 통해 통신 데이터를 주고 받을 수 있다. 실시 예에 따라, 하드웨어 보안 모듈(100)이 접속 포트(130)를 구비하지 않더라도 통신 인터페이스(110)를 통해 로라(LoRa) 통신망(300) 기반의 IoT 서비스 시스템(10)와 무선 통신이 가능한 일정 범위 내에서 IoT 전자 장치(200)의 보안을 위한 보안 플러그인을 설치하거나, 접속 포트(130)를 통해 IoT 전자 장치(200)와 연결되어 IoT 전자 장치(200)의 보안 설정 및 해제할 수 있다. Meanwhile, the communication interface 110 of the hardware security module may exchange communication data with the IoT service system 10 based on the LoRa communication network 300 and the LoRa communication network 300. According to an embodiment, even if the hardware security module 100 does not have an access port 130, a schedule capable of wireless communication with the IoT service system 10 based on the LoRa communication network 300 through the communication interface 110 is provided. The security plug-in for security of the IoT electronic device 200 may be installed within the range, or may be connected to the IoT electronic device 200 through the access port 130 to set and release the security of the IoT electronic device 200.
하드웨어 보안 모듈(100)의 프로세서(120)는 하드웨어 보안 모듈(100)의 전반적인 기능을 제어하며, 로라(LoRa) 통신망(300) 기반의 IoT 서비스 시스템(10)에서 보안 서비스를 제공할 수 있는 적어도 하나의 연산 장치를 포함할 수 있다. 여기서 연산 장치는 예를 들어, 범용적인 중앙연산장치(CPU), 특정 목적에 적합하게 구현된 프로그래머블 디바이스 소자(CPLD, FPGA), 주문형 반도체 연산장치(ASIC) 또는 마이크로 컨트롤러 칩일 수 있다.The processor 120 of the hardware security module 100 controls the overall functions of the hardware security module 100 and at least can provide security services in the IoT service system 10 based on the LoRa communication network 300. It may include one computing device. The computing device may be, for example, a general-purpose central computing unit (CPU), a programmable device device (CPLD, FPGA), a custom semiconductor computing unit (ASIC), or a microcontroller chip implemented for a specific purpose.
실시 예에 따라, 프로세서(120)는 통신 인터페이스(110)가 송수신하는 데이터를 암호화 또는 복호화할 수 있다. 이러한 프로세서(120)의 암호화 및 복호화 기능을 수행하기 위해서, 프로세서(120)는 하드웨어 보안 모듈(100)의 접속 포트(130)가 물리적으로 연결되면 보안 플러그인을 IoT 전자 장치(200)에 설치하는 플러그인 관리부(121)를 포함할 수 있다.According to an embodiment, the processor 120 may encrypt or decrypt data transmitted and received by the communication interface 110. In order to perform the encryption and decryption functions of the processor 120, the processor 120 may install a security plug-in in the IoT electronic device 200 when the connection port 130 of the hardware security module 100 is physically connected. The management unit 121 may be included.
또한, 프로세서(120)는 IoT 전자 장치(200)가 로라(LoRa) 통신망(300) 기반의 IoT 서비스 시스템(10)과 송수신하는 데이터를 암호화 및 복호화하는 암호화부(123)를 포함할 수 있다. 실시 예에 따라, 암호화부(123)는 ARIA, SHA(Secure Hash Algorithm), 종단간(End to End encryption) 암호화 통신 방식 중 적어도 하나를 이용하여 암호화를 수행할 수 있다.In addition, the processor 120 may include an encryption unit 123 that encrypts and decrypts data transmitted and received by the IoT electronic device 200 to the IoT service system 10 based on the LoRa communication network 300. According to an embodiment, the encryption unit 123 may perform encryption using at least one of ARIA, Secure Hash Algorithm (SHA), and End-to-End encryption (end to end encryption) encryption communication scheme.
보다 구체적으로, 암호화부(123)는 IoT 전자 장치(200)가 로라(LoRa) 통신망(300) 기반의 IoT 서비스 시스템(10)의 각 구성 요소와 송신하거나 수신하는 일체의 정보를 암호화할 수 있다. 예를 들어, 하드웨어 보안 모듈(100)의 프로세서(120)가 제공하는 보안 플러그인이 종단간 암호화 방식을 사용하는 경우, IoT 전자 장치(200)는 로라(LoRa) 서버(400)로 로라(LoRa) 통신망을 사용하기 위한 암호화된 요청 정보를 전송할 수 있다.More specifically, the encryption unit 123 may encrypt any information transmitted or received by the IoT electronic device 200 with each component of the IoT service system 10 based on the LoRa communication network 300. . For example, when the security plug-in provided by the processor 120 of the hardware security module 100 uses an end-to-end encryption scheme, the IoT electronic device 200 may move to a LoRa server 400. The encrypted request information for using the communication network can be transmitted.
아울러, 암호화부(123)는 국가 표준 128비트 블록 암호화 알고리즘인 아리아(ARIA) 암호화 통신 방식을 제공하여 IoT 서비스 시스템(10)이 로라(LoRa) 통신망(300)을 이용하여 보다 효율적으로 정보를 암호화할 수 있도록 하거나, 또 다른 국가 표준 160 비트 블록 암호화 알고리즘인 SHA 암호화 방식을 제공하여 정보를 암호화할 수 있다. 또한, 암호화부(123)는 상술한 암호화 알고리즘 이외에도 로라(LoRa) 통신망을 이용한 정보 보안 서비스를 제공할 수 있는 다양한 국가 표준 알고리즘을 IoT 서비스 시스템(10)의 각 구성 요소에 제공할 수 있으며, IoT 전자 장치(200)에 제공하는 암호화 통신 방식의 경우, IoT 전자 장치(200)의 하드웨어 및 소프트웨어 성능을 고려하여 경량화된 암호화 통신 방식을 제공할 수 있다.In addition, the encryption unit 123 provides an ARIA encryption communication method, which is a national standard 128-bit block encryption algorithm, so that the IoT service system 10 encrypts information more efficiently using the LoRa communication network 300. Or SHA encryption, another national standard 160-bit block encryption algorithm, to encrypt information. In addition to the above-described encryption algorithm, the encryption unit 123 may provide various national standard algorithms to each component of the IoT service system 10 that can provide an information security service using a LoRa communication network. In the case of an encryption communication scheme provided to the electronic device 200, a lightweight encryption communication scheme may be provided in consideration of hardware and software capabilities of the IoT electronic device 200.
한편, 하드웨어 보안 모듈(100)의 프로세서(120)는 보안 플러그인을 설치하기 위해 IoT 전자 장치(200)의 인증을 수행하는 장치 인증부(125)를 포함할 수 있다. 실시 예에 따라, 장치 인증부(127)는 장치 인증 서버(600)를 이용하여 IoT 전자 장치(200)의 인증을 수행할 수 있으며, 인증을 수행하는 방법에 대한 구체적인 설명은 후술하기로 한다.Meanwhile, the processor 120 of the hardware security module 100 may include a device authenticator 125 that performs authentication of the IoT electronic device 200 to install a security plug-in. According to an embodiment, the device authenticator 127 may perform authentication of the IoT electronic device 200 using the device authentication server 600, and a detailed description of a method of performing authentication will be described later.
하드웨어 보안 모듈(100)의 프로세서(120)는 장치 인증부(127)로부터 인증이 완료된 IoT 전자 장치(200)들의 로라(LoRa) 통신망을 통한 접속을 관리하는 장치 접속 관리부(127)를 포함할 수 있다. 이는 하드웨어 보안 모듈(100)이 로라(LoRa) 서버(400) 또는 외부 서버(500)에 적용된 경우로서, IoT 전자 장치(200)가 로라(LoRa) 통신망(300)을 이용하여 로라(LoRa) 서버(400) 또는 외부 서버(500)에 접근하는 경우, 장치 접속 관리부(127)는 IoT 전자 장치(200)의 인증 코드를 확인하여 로라(LoRa) 통신망(300)을 통한 장치의 접근을 제어할 수 있다.The processor 120 of the hardware security module 100 may include a device connection manager 127 that manages a connection through a LoRa communication network of IoT electronic devices 200 that have been authenticated by the device authenticator 127. have. This is the case where the hardware security module 100 is applied to the LoRa server 400 or the external server 500, and the IoT electronic device 200 uses the LoRa communication network 300 to provide a LoRa server. When accessing the 400 or the external server 500, the device connection manager 127 may check an authentication code of the IoT electronic device 200 to control the access of the device through the LoRa communication network 300. have.
또한, IoT 전자 장치(200)의 접근 관리 외에도, 하드웨어 보안 모듈(100)의 프로세서(120)는 로라(LoRa) 통신망(300)을 통해 연결되는 로라(LoRa) 서버(400) 및 외부 서버(500)를 관리하는 서버 관리부(129)를 포함할 수 있다. 예를 들어, 서버 관리부(129)는 각 서버 장치에서 실행되어, 로라(LoRa) 서버(400) 및 외부 서버(500)가 올바른 암호화 통신 방식을 이용하여 IoT 서비스 시스템(10)을 사용하는지 관리할 수 있다. 또한, 서버 관리부(129)는 IoT 전자 장치(200)가 외부 서버(500)로부터 수신한 정보를 분석하여, 해당 외부 서버(500)가 로라(LoRa) 통신망(300) 기반의 통신 보안이 인증된 것인지 확인하고, 인증되지 않은 서버인 경우, 해당 서버의 접근을 제어할 수 있다.In addition, in addition to the access management of the IoT electronic device 200, the processor 120 of the hardware security module 100 is connected to the LoRa server 400 and the external server 500 connected through the LoRa communication network 300. It may include a server management unit 129 for managing). For example, the server manager 129 may be executed in each server device to manage whether the LoRa server 400 and the external server 500 use the IoT service system 10 using a correct encryption communication method. Can be. In addition, the server manager 129 analyzes the information received by the IoT electronic device 200 from the external server 500, the external server 500 is authenticated communication security based on the LoRa communication network 300 If the server is not authenticated, the access of the server can be controlled.
한편, 프로세서(120)가 로라(LoRa) 통신망(300)을 통한 통신 데이터 보안 서비스를 수행하기 위해 통신 인터페이스(110)는 IoT 전자 장치(200)가 송신하는 통신 데이터를 로라(LoRa) 통신 데이터로 변환하는 통신 변환부(111)를 포함할 수 있다.Meanwhile, in order for the processor 120 to perform a communication data security service through the LoRa communication network 300, the communication interface 110 uses the LoRa communication data as communication data transmitted by the IoT electronic device 200. It may include a communication conversion unit 111 to convert.
보다 구체적으로, 로라(LoRa) 통신 모듈을 사용하지 않는 IoT 전자 장치(200)의 경우, 로라(LoRa) 통신망(300) 기반의IoT 서비스 시스템(10)을 이용하기 위해서 하드웨어 보안 모듈(100)의 프로세서(120)가 제공하는 로라(LoRa) 통신망 기반의 보안 플러그인을 설치할 수 있다. 그에 따라, IoT 전자 장치(200)는 하드웨어 보안 모듈(100)이 제공하는 통신 변환부(111)를 이용하여 정보를 주고 받을 수 있다.More specifically, in the case of the IoT electronic device 200 that does not use the LoRa communication module, the hardware security module 100 of the hardware security module 100 may be used to use the IoT service system 10 based on the LoRa communication network 300. A security plug-in based on a LoRa network provided by the processor 120 may be installed. Accordingly, the IoT electronic device 200 may exchange information by using the communication converter 111 provided by the hardware security module 100.
실시 예에 따라, 통신 변환부(111)는 IoT 전자 장치(200)가 시리얼(Serial) 통신 데이터를 송신하는 경우, 이를 로라(LoRa) 통신 데이터로 변환할 수 있다. 또한, 통신 변환부(111)는 IoT 전자 장치(200) 로라(LoRa) 통신과 유사한 저전력 광대역 무선 통신(LPWAN) 데이터를 송신하는 경우, 이를 로라(LoRa) 통신 데이터로 변환할 수 있어, IoT 전자 장치(200)는 로라(LoRa) 통신망(300) 기반의 IoT 서비스 시스템(10)을 이용하기 위한 특정 사양에 구애 받지 않고 보안 서비스를 제공받을 수 있다.According to an embodiment, when the IoT electronic device 200 transmits serial communication data, the communication conversion unit 111 may convert the serial communication data into LoRa communication data. In addition, when the communication conversion unit 111 transmits low power broadband wireless communication (LPWAN) data similar to the LoRa communication of the IoT electronic device 200, the communication conversion unit 111 may convert the data into LoRa communication data, thereby causing IoT electronics. The device 200 may be provided with a security service regardless of a specific specification for using the IoT service system 10 based on the LoRa communication network 300.
또한, 이러한 통신 변환부(111)의 기능을 수행하기 위해, 하드웨어 보안 모듈(100)의 통신 인터페이스(110)는, IoT 전자 장치(200)에 내장된 통신 모듈 종류에 따라, 보안 로라(LoRa) 통신부(113), 보안 시리얼 통신부(115) 및 보안 LPWAN 통신부(117)를 포함할 수 있다.In addition, in order to perform the function of the communication conversion unit 111, the communication interface 110 of the hardware security module 100 is secured according to the type of communication module built in the IoT electronic device 200. The communication unit 113, the secure serial communication unit 115, and the secure LPWAN communication unit 117 may be included.
아울러, 보안 로라(LoRa) 통신부(113), 보안 시리얼 통신부(115) 및 보안 LPWAN 통신부(117)와 로라(LoRa) 통신망(300)을 통해 송수신되는 데이터는 프로세서(120)에 의해 암호와 또는 복호화될 수 있다.In addition, data transmitted and received through the secure LoRa communication unit 113, the secure serial communication unit 115, and the secure LPWAN communication unit 117 and the LoRa communication network 300 may be encrypted or decrypted by the processor 120. Can be.
또한, 통신 인터페이스(110)는 이더넷 통신(Ethernet communication)을 위한 보안 이더넷 통신부(119)를 포함할 수 있으며, 그에 따라, 하드웨어 보안 모듈(100)은 PoE 포트(Power Over Ethernet port)를 포함할 수 있다. 여기서, PoE(Pover of Ethernet)은 데이터 신호와 전원을 동시에 송신하는 기술이며, IoT 전자 장치(200)의 경우에 PoE 포트를 통해 로라(LoRa) 통신 데이터와 장치를 동작하기 위한 전원을 동시에 수신할 있다.In addition, the communication interface 110 may include a secure Ethernet communication unit 119 for Ethernet communication, and accordingly, the hardware security module 100 may include a PoE port (Power Over Ethernet port). have. Here, the PoE (Pover of Ethernet) is a technology for transmitting a data signal and power at the same time, in the case of the IoT electronic device 200 to receive the LoRa communication data and power for operating the device at the same time through the PoE port. have.
이와 같이, 하드웨어 보안 모듈(100)의 통신 인터페이스(110)가 다양한 통신 모듈 및 물리적 통신 포트를 구비함에 따라 로라(LoRa) 통신망(300) 기반 IoT 서비스 시스템(10)의 각 구성 요소의 사양에 관계 없이 동일한 보안 서비스를 제공할 수 있다.As such, as the communication interface 110 of the hardware security module 100 includes various communication modules and physical communication ports, it is related to the specification of each component of the LoRa communication network 300 based IoT service system 10. The same security service can be provided without.
또한, 하드웨어 보안 모듈(100)이 물리적으로 연결 가능하여, 사용자가 원하는 IoT 전자 장치(200)에 선택적으로 보안 서비스를 적용할 수 있어, 사용자는 보다 안전한 IoT 서비스를 누릴 수 있다.In addition, since the hardware security module 100 is physically connectable, the security service can be selectively applied to the IoT electronic device 200 desired by the user, so that the user can enjoy a more secure IoT service.
지금까지 본 발명의 실시 예에 따른 하드웨어 보안 모듈(100)의 각 구성 요소에 대하여 설명하였으며, 이하에서는 장치 인증부(125) 설명에서 설명을 보류한 하드웨어 보안 모듈(100)을 이용한 IoT 전자 장치(200)의 인증 방법에 대하여 구체적으로 설명하도록 한다.So far, each component of the hardware security module 100 according to an embodiment of the present invention has been described, and in the following, an IoT electronic device using the hardware security module 100 with a description pending from the description of the device authentication unit 125 ( The authentication method of 200 will be described in detail.
도 3은 본 발명의 실시 예에 따른 하드웨어 보안 모듈(100)이 로라(LoRa) 통신망을 이용하여 IoT 전자 장치(200)를 인증하는 방법의 흐름을 나타낸 순서도이다. 3 is a flowchart illustrating a method of authenticating the IoT electronic device 200 using the LoRa communication network by the hardware security module 100 according to an embodiment of the present invention.
우선, 하드웨어 보안 모듈(100)은 인증 코드 요청 신호를 암호화한다 (S110). 이는, 인증 코드 요청 신호 자체를 암호화하는 단계로서, 인증 코드 요청 신호에는 후술할 IoT 전자 장치(200)에 대한 정보가 포함되어 있기에 보안상의 이유로 인증코드 요청 신호 자체를 암호화한다.First, the hardware security module 100 encrypts the authentication code request signal (S110). This is a step of encrypting the authentication code request signal itself. Since the authentication code request signal includes information on the IoT electronic device 200 to be described later, the authentication code request signal itself is encrypted for security reasons.
하드웨어 보안 모듈(100)은 IoT 전자 장치(200)를 인증하는 인증 코드를 장치 인증 서버(600)로부터 발급받는 절차를 중계한다. 즉, 하드웨어 보안 모듈(100)는 장치 인증 서버(600)로부터 인증 코드를 수신하여 IoT 전자 장치(200)로 송신한다. 실시 예에 따라, 하드웨어 보안 모듈(100)은 어플리케이션을 설치할 수 있는 단말과 연동하여 IoT 전자 장치(200)와 장치 인증 서버(600) 장치를 중계하고, IoT 전자 장치(200)가 서명된 인증 코드를 수신하여 저장할 수 있도록 한다.The hardware security module 100 relays a procedure for issuing an authentication code for authenticating the IoT electronic device 200 from the device authentication server 600. That is, the hardware security module 100 receives the authentication code from the device authentication server 600 and transmits the authentication code to the IoT electronic device 200. According to an embodiment, the hardware security module 100 relays the IoT electronic device 200 and the device authentication server 600 device in cooperation with a terminal capable of installing an application, and the authentication code signed by the IoT electronic device 200. To receive and store it.
한편, 하드웨어 보안 모듈(100)이 암호화하는 인증 코드 요청 신호는 메시지 타입, 메시지 길이, 시리얼 번호, 게이트웨이 아이디, 유니크 아이디, IoT 전자 장치(200) 비밀번호 중 적어도 하나를 포함할 수 있다. The authentication code request signal encrypted by the hardware security module 100 may include at least one of a message type, a message length, a serial number, a gateway ID, a unique ID, and a password of the IoT electronic device 200.
인증 코드 요청 신호가 포함하는 구성 요소들에 대해 보다 구체적으로 설명하면, 메시지 타입은 모든 요청 신호 또는 응답 신호의 첫번째 바이트에 설정되는 값으로 인증 코드 요청 신호의 타입이 무엇인지 식별해주는 값이다. 여기서, 메시지 타입은 신호의 유형이다. 즉, 인증 코드 요청 신호의 첫 번째 바이트에 설정되는 값으로, 설정된 값에 따라 신호의 유형이 구별될 수 있다.In more detail with respect to the components included in the authentication code request signal, the message type is a value set in the first byte of every request signal or response signal is a value that identifies what type of authentication code request signal. Here, the message type is a type of signal. That is, the value is set in the first byte of the authentication code request signal, the type of the signal can be distinguished according to the set value.
메시지 길이는 전체 메시지 사이즈에서 메시지 타입과 메시지 길이를 뺀 메시지 사이즈이다. 인증 코드 요청 신호는 메시지 타입 및 메시지 길이를 포함하여 다른 여러 정보를 포함하는 바, 메시지 길이는 인증 코드 요청 신호가 포함하는 모든 정보의 사이즈, 즉 크기에서 메시지 타입에 해당하는 사이즈 및 메시지 길이에 해당하는 사이즈를 뺀 사이즈일 수 있다. 예를 들어, 메시지 타입의 크기가 1바이트이고, 메시지 길이 자체의 크기가 4바이트 이며, 전체 메시지의 크기가 85바이트라면, 메시지 길이는 80바이트가 될 수 있다. 여기서, 전체 메시지의 크기는 인증 코드 요청 신호의 크기이다.The message length is the total message size minus the message type and the message length. The authentication code request signal includes various other information including the message type and the message length, and the message length corresponds to the size and message length corresponding to the message type in the size, that is, the size of all information included in the authentication code request signal. It may be the size minus the size. For example, if the size of the message type is 1 byte, the size of the message length itself is 4 bytes, and the size of the entire message is 85 bytes, the message length may be 80 bytes. Here, the size of the entire message is the size of the authentication code request signal.
시리얼 번호는 IoT 전자 장치(200)의 고유 번호이다. 하드웨어 보안 모듈(100)와 근거리 무선 통신 또는 유선 통신을 할 수 있는 IoT 전자 장치(200)마다 하나의 고유 번호를 포함한다. 하드웨어 보안 모듈(100)은 인증 코드 요청 신호 암호화하기 이전에, IoT 전자 장치(200)의 고유 번호인 시리얼 번호를 수신하여 저장할 수 있다. 그에 따라, 하드웨어 보안 모듈(100)은 저장하고 있는 시리얼 번호가 포함된 인증 코드 요청 신호를 생성할 수 있다.The serial number is a unique number of the IoT electronic device 200. Each IoT electronic device 200 capable of short-range wireless communication or wired communication with the hardware security module 100 includes one unique number. The hardware security module 100 may receive and store a serial number that is a unique number of the IoT electronic device 200 before encrypting the authentication code request signal. Accordingly, the hardware security module 100 may generate an authentication code request signal including a stored serial number.
게이트웨이 아이디는 IoT 전자 장치(200)와 근거리 무선 통신 또는 유선 통신하는 게이트웨이의 아이디이다. 즉, 본 발명에서 게이트웨이 아이디는 로라(LoRa) 중계기(200) 아이디일 수 있으며, IoT 전자 장치(200)는 장치 인증 서버(600)로부터 수신한 서명된 인증 코드를 저장한 후에, 이를 이용하여 게이트웨이로부터 인증 받을 수 있다. 실시 예에 따라, 게이트웨이는 지역별로 설치될 수 있다. 예를 들어 게이트웨이는 특정 건물에 설치될 수 있으며, IoT 전자 장치(200)가 특정 건물에서 게이트웨이와 통신하기 위해서는 게이트웨이로부터 인증을 받아야 한다. 그에 따라, 게이트웨이 아이디는 IoT 전자 장치(200)가 사용될 공간에서 IoT 전자 장치(200)와 통신하는 게이트웨이의 아이디일 수 있다.The gateway ID is an ID of a gateway that performs short-range wireless communication or wired communication with the IoT electronic device 200. That is, in the present invention, the gateway ID may be a LoRa repeater 200 ID, and the IoT electronic device 200 stores the signed authentication code received from the device authentication server 600 and then uses the gateway. Certified by According to an embodiment, the gateway may be installed for each region. For example, the gateway may be installed in a specific building, and the IoT electronic device 200 needs to be authenticated by the gateway in order to communicate with the gateway in the specific building. Accordingly, the gateway ID may be an ID of a gateway that communicates with the IoT electronic device 200 in a space where the IoT electronic device 200 will be used.
유니크 아이디는 IoT 전자 장치(200) 내부에 실장된 칩의 아이디이다. 유니크 아이디는 IoT 전자 장치(200)가 생성하는 정보로서, 칩이 실장된 IoT 전자 장치(200)의 시리얼 번호에 솔트를 적용한 결과에 해쉬를 취한 결과이다. IoT 전자 장치(200) 마다 고유 번호인 시리얼 번호를 가지고 있는 바, 솔트는 사용자가 설정한 값으로 시리얼 번호와 유니크 아이디의 관련성이 노출되지 않도록 하기 위한 값일 수 있다. 즉, 솔트를 적용하는 것은 시리얼 번호에 사용자가 지정한 값, 예를 들면, 솔트값인 '1234'를 시리얼 번호와 논리 연산을 한다는 것이다. 솔트값과 시리얼 번호를 논리 연산한 결과에 해쉬 함수를 취한 결과가 유니크 아이디이다. 논리 연산은 and, or, xor, nand 중 적어도 하나일 수 있다.The unique ID is an ID of a chip mounted in the IoT electronic device 200. The unique ID is information generated by the IoT electronic device 200 and is a result of hashing a result of applying a salt to a serial number of the IoT electronic device 200 in which the chip is mounted. Each IoT electronic device 200 has a serial number which is a unique number, and the salt may be a value set by the user so that the relationship between the serial number and the unique ID is not exposed. In other words, the application of the salt is to perform a logical operation with the serial number on a user-specified value, for example, the salt value '1234'. Unique ID is the result of hashing the result of the logical operation of the salt value and the serial number. The logical operation may be at least one of and, or, xor, and nand.
IoT 전자 장치(200) 비밀번호는 후술할 인증 코드 저장 응답 신호 송신 단계에서, IoT 전자 장치(200)가 수신한 서명된 인증 코드를 저장할 때 입력해야 하는 값이다. IoT 전자 장치(200)는 서명된 인증 코드의 저장 시 인증 코드 요청 신호에 포함된 IoT 전자 장치(200) 비밀번호와 동일한 비밀번호를 입력하여 서명된 인증 코드를 저장할 수 있다.The IoT electronic device 200 password is a value to be input when storing the signed authentication code received by the IoT electronic device 200 in the step of transmitting an authentication code storage response signal, which will be described later. The IoT electronic device 200 may store the signed authentication code by inputting the same password as the password of the IoT electronic device 200 included in the authentication code request signal when the signed authentication code is stored.
다시 도 3을 참조하면, 하드웨어 보안 모듈(100)은 암호화된 인증 코드 요청 신호를 장치 인증 서버(600)로 송신한다(S120).Referring back to FIG. 3, the hardware security module 100 transmits an encrypted authentication code request signal to the device authentication server 600 (S120).
다음으로, 장치 인증 서버(600)가 하드웨어 보안 모듈(100)로부터 수신한 암호화된 인증 코드 요청 신호를 복호화한다(S130). 그에 따라, 장치 인증 서버(600)는 인증 코드 요청 신호에 포함된 메시지 타입을 통해 하드웨어 보안 모듈(100)이 송신한 신호가 인증 코드를 요청하는 신호임을 인식할 수 있다.Next, the device authentication server 600 decrypts the encrypted authentication code request signal received from the hardware security module 100 (S130). Accordingly, the device authentication server 600 may recognize that the signal transmitted by the hardware security module 100 is a signal for requesting an authentication code through a message type included in the authentication code request signal.
장치 인증 서버(600)는 하드웨어 보안 모듈(100)이 송신한 인증 코드 요청 신호에서 일부 정보가 포함된 인증 코드를 생성한다(S140). 실시 예에 따라, 장치 인증 서버(600)는 인증 코드를 생성할 자격을 갖춘 기관의 서버 로서, 인증 코드를 생성할 수 있으며, 인증 코드가 포함하는 구체적인 정보에 대한 자세한 설명은 후술하기로 한다.The device authentication server 600 generates an authentication code including some information from the authentication code request signal transmitted from the hardware security module 100 (S140). According to an embodiment of the present disclosure, the device authentication server 600 is a server of an authority that is qualified to generate an authentication code. The device authentication server 600 may generate an authentication code, and detailed description of specific information included in the authentication code will be described later.
장치 인증 서버(600)가 생성한 인증 코드에 서명하여 서명된 인증 코드를 생성한다(S150). 실시 예에 따라, 장치 인증 서버(600)가 생성한 인증 코드 자체가 복제될 수 있기 때문에, 장치 인증 서버(600)는 인증 코드에 서명할 수 있다. 서명된 인증 코드는 장치 인증 서버(600)가 직접 생성한 인증 코드라는 것을 의미하며, 장치 인증 서버(600)가 인증 코드에 서명한다는 것은 인증 코드가 서명 관련 데이터를 포함한다는 것을 의미할 수 있다.The authentication code generated by the device authentication server 600 is signed to generate a signed authentication code (S150). According to an embodiment, since the authentication code itself generated by the device authentication server 600 may be duplicated, the device authentication server 600 may sign the authentication code. The signed authentication code may mean that the device authentication server 600 directly generates an authentication code, and signing the authentication code by the device authentication server 600 may mean that the authentication code includes signature-related data.
다음으로, 장치 인증 서버(600)는 서명된 인증 코드를 암호화한다(S160). 장치 인증 서버(600)는 인증 코드에 포함된 암호화 알고리즘으로 서명된 인증 코드를 암호화할 수 있으며, 보안을 위해 서명된 인증 코드는 암호화 되어 관리될 수 있다.Next, the device authentication server 600 encrypts the signed authentication code (S160). The device authentication server 600 may encrypt the authentication code signed by an encryption algorithm included in the authentication code, and the signed authentication code may be encrypted and managed for security.
하드웨어 보안 모듈(100)가 암호화된 서명된 인증 코드를 장치 인증 서버(600)로부터 수신한다(S170). 또한, 하드웨어 보안 모듈(100)는 서명된 인증코드 외에도 결과 코드, 인증 코드 크기, 해쉬를 취한 IoT 전자 장치(200) 비밀번호도 함께 수신할 수 있다.The hardware security module 100 receives an encrypted signed authentication code from the device authentication server 600 (S170). In addition, in addition to the signed authentication code, the hardware security module 100 may also receive a result code, an authentication code size, and a password of the IoT electronic device 200 taking the hash.
보다 구체적으로, 결과 코드는 장치 인증 서버(600) 장치가 하드웨어 보안 모듈(100)로부터 암호화된 인증 코드 요청 신호를 오류 없이 수신했는지를 나타내는 값일 수 있다. 또한, 인증 코드 크기는 인증 코드 자체의 사이즈를 의미할 수 있으며, 예를 들어, 인증 코드의 크기는 1000 바이트일 수 있다. 또한, 해쉬를 취한 IoT 전자 장치(200) 비밀번호는 전술한 IoT 전자 장치(200) 비밀번호에 해쉬 함수를 취한 결과로서, IoT 전자 장치(200) 비밀번호 자체의 도난을 방지하기 위해 해쉬를 취해서 장치 인증 서버(600)가 송신할 수 있다.More specifically, the result code may be a value indicating whether the device authentication server 600 device has received the encrypted authentication code request signal from the hardware security module 100 without error. In addition, the authentication code size may mean the size of the authentication code itself, for example, the size of the authentication code may be 1000 bytes. In addition, the password of the IoT electronic device 200 taking the hash is a result of taking a hash function on the password of the IoT electronic device 200 described above. 600 may transmit.
하드웨어 보안 모듈(100)이 암호화된 서명된 인증 코드를 복호화 한다(S180). 인증 코드 자체에는 인증 코드가 어떻게 암호화 되어 있는 지의 정보인 암호화 알고리즘을 포함하기 때문에, 암호화 알고리즘을 이용하여 암호화된 서명된 인증 코드를 복호화할 수 있다.The hardware security module 100 decrypts the encrypted signed authentication code (S180). Since the authentication code itself includes an encryption algorithm that is information of how the authentication code is encrypted, the signed authentication code encrypted using the encryption algorithm can be decrypted.
서명된 인증 코드를 복호화 한 이후, 하드웨어 보안 모듈(100)은 서명된 인증 코드를 확인하여 IoT 전자 장치(200)로 인증 코드 저장 요청 신호를 송신한다(S190). 서명된 인증 코드를 확인하는 과정은 하드웨어 보안 모듈(100)가 인증 코드에 포함된 정보와 인증 코드 요청 신호에 포함된 정보를 비교함으로써 수행될 수 있다. 예를 들어 인증 코드 요청 신호와 인증 코드는 모두 유니크 아이디를 포함하는 바, 하드웨어 보안 모듈(100)은 유니크 아이디가 동일한지를 확인할 수 있다.After decrypting the signed authentication code, the hardware security module 100 checks the signed authentication code and transmits an authentication code storage request signal to the IoT electronic device 200 (S190). The process of verifying the signed authentication code may be performed by the hardware security module 100 by comparing the information included in the authentication code with the information included in the authentication code request signal. For example, since both the authentication code request signal and the authentication code include a unique ID, the hardware security module 100 may check whether the unique IDs are the same.
한편, 인증 코드 저장 요청 신호는 메시지 타입, 메시지 길이, 인증 코드 크기, 인증 코드, IoT 전자 장치(200) 정보 요청 명령 정보, IoT 전자 장치(200) 비밀번호, 해쉬를 취한 IoT 전자 장치(200) 비밀번호, 및 세션 아이디를 포함할 수 있다.On the other hand, the authentication code storage request signal is a message type, message length, authentication code size, authentication code, IoT electronic device 200 information request command information, IoT electronic device 200 password, hashed IoT electronic device 200 password , And session IDs.
메시지 타입은 모든 요청 신호 또는 응답 신호의 첫번째 바이트에 설정되는 값으로 인증 코드 요청 신호의 타입이 무엇인지 식별해주는 값이다. 여기서, 메시지 타입은 신호의 유형이다. 즉, 인증 코드 요청 신호의 첫 번째 바이트에 설정되는 값으로, 설정된 값에 따라 신호의 유형이 구별될 수 있다.The message type is a value set to the first byte of every request signal or response signal and identifies a type of the authentication code request signal. Here, the message type is a type of signal. That is, the value is set in the first byte of the authentication code request signal, the type of the signal can be distinguished according to the set value.
메시지 길이는 전체 메시지 사이즈에서 메시지 타입과 메시지 길이를 뺀 메시지 사이즈이다. 인증 코드 요청 신호는 메시지 타입 및 메시지 길이를 포함하여 다른 여러 정보를 포함하는 바, 메시지 길이는 인증 코드 요청 신호가 포함하는 모든 정보의 사이즈, 즉 크기에서 메시지 타입에 해당하는 사이즈 및 메시지 길이에 해당하는 사이즈를 뺀 사이즈일 수 있다. 예를 들어, 메시지 타입의 크기가 1바이트이고, 메시지 길이 자체의 크기가 4바이트 이며, 전체 메시지의 크기가 85바이트라면, 메시지 길이는 80바이트가 될 수 있다. 여기서, 전체 메시지의 크기는 인증 코드 요청 신호의 크기이다.The message length is the total message size minus the message type and the message length. The authentication code request signal includes various other information including the message type and the message length, and the message length corresponds to the size and message length corresponding to the message type in the size, that is, the size of all information included in the authentication code request signal. It may be the size minus the size. For example, if the size of the message type is 1 byte, the size of the message length itself is 4 bytes, and the size of the entire message is 85 bytes, the message length may be 80 bytes. Here, the size of the entire message is the size of the authentication code request signal.
인증 코드 크기는 인증서 자체의 용량을 의미한다. 예를 들어 인증 코드 크기는 1000 바이트일 수 있으며, 인증 코드는 장치 인증 서버(600)가 생성한 인증 코드이다.The authentication code size refers to the capacity of the certificate itself. For example, the authentication code size may be 1000 bytes, and the authentication code is an authentication code generated by the device authentication server 600.
IoT 전자 장치(200) 정보 요청 명령 정보는 하드웨어 보안 모듈(100)이 하드웨어 보안 모듈(100)에 기 저장된 클라이언트 타입과 임의값을 논리 연산 하여 해쉬를 취한 것이다. 즉, IoT 전자 장치(200) 정보 요청 명령 정보는 Hash(클라이언트 타입 | 임의값)인 것이다. 여기서 임의값은 현재 시간 또는 하드웨어 보안 모듈(100)가 임의로 생성한 난수이다. 어떤 값을 해쉬를 취한다 또는 해쉬 함수를 취한다는 것은 Hash(어떤 값)을 한다는 것이다. 제1의 값과 제 2의 값을 논리 연산해서 해쉬를 취한다 또는 해쉬 함수를 취한다는 것은 Hash(제1의 값 | 제2의 값)을 한다는 것이다.The IoT electronic device 200 information request command information is obtained by the hardware security module 100 taking a hash by logically calculating a client type and an arbitrary value previously stored in the hardware security module 100. That is, the IoT electronic device 200 information request command information is Hash (client type | arbitrary value). Here, the random value is a random number randomly generated by the current time or the hardware security module 100. Taking a value or taking a hash function means doing a hash. Taking a hash by logically computing a first value and a second value or taking a hash function means doing a hash (first value | second value).
IoT 전자 장치(200) 비밀번호는 후술할 인증 코드 저장 응답 신호 송신 단계에서, IoT 전자 장치(200)가 수신한 서명된 인증 코드를 저장할 때 입력해야 하는 값이다. IoT 전자 장치(200)는 서명된 인증 코드의 저장시 인증 코드 요청 신호에 포함된 IoT 전자 장치(200) 비밀번호와 동일한 비밀번호를 입력하여 서명된 인증 코드를 저장할 수 있다.The IoT electronic device 200 password is a value to be input when storing the signed authentication code received by the IoT electronic device 200 in the step of transmitting an authentication code storage response signal, which will be described later. The IoT electronic device 200 may store the signed authentication code by inputting the same password as the password of the IoT electronic device 200 included in the authentication code request signal when the signed authentication code is stored.
해쉬를 취한 IoT 전자 장치(200) 비밀번호는 IoT 전자 장치(200) 비밀 번호에 해쉬함수를 취한 결과이다.The password of the IoT electronic device 200 taking the hash is a result of taking the hash function on the password of the IoT electronic device 200.
세션 아이디는 하드웨어 보안 모듈(100)가 트랜잭션 아이디, 시리얼 번호, 클라이언트 타입 및 임의값을 논리 연산한 결과에 Hash함수를 취해서 산출된 아이디이다. 여기서 임의값은 세션 아이디를 생성하는 시점의 시간 또는 하드웨어 보안 모듈(100)가 임의로 생성한 난수이다.The session ID is an ID calculated by applying the hash function to the result of the logical operation of the hardware security module 100 by using the transaction ID, the serial number, the client type, and an arbitrary value. The random value is a time at which the session ID is generated or a random number randomly generated by the hardware security module 100.
IoT 전자 장치(200)가 수신한 서명된 인증 코드를 저장하고 인증 코드 저장 응답 신호를 하드웨어 보안 모듈(100)로 송신한다(S191). 실시 예에 따라, 인증 코드 저장 응답 신호는 메시지 타입, 메시지 길이 및 결과 코드를 포함할 수 있다.The IoT electronic device 200 stores the signed authentication code received and transmits the authentication code storage response signal to the hardware security module 100 (S191). According to an embodiment, the authentication code storage response signal may include a message type, a message length, and a result code.
메시지 타입은 모든 요청 신호 또는 응답 신호의 첫 번째 바이트에 설정되는 값으로 인증 코드 요청 신호의 타입이 무엇인지 식별해주는 값으로, 메시지 타입은 신호의 유형일 수 있다. 즉, 인증 코드 저장 응답 신호의 첫 번째 바이트에 설정되는 값으로, 설정된 값에 따라 신호의 유형이 구별될 수 있다. The message type is a value set in the first byte of every request signal or response signal and identifies a type of the authentication code request signal. The message type may be a signal type. That is, the value is set in the first byte of the authentication code storage response signal, the type of the signal can be distinguished according to the set value.
메시지 길이는 전체 메시지 사이즈에서 메시지 타입과 메시지 길이를 뺀 메시지 사이즈이며, 이때 사이즈는 크기를 의미한다. 인증 코드 저장 응답 신호는 메시지 타입 및 메시지 길이를 포함하여 다른 여러 정보를 포함하는 바, 메시지 길이는 인증 코드 저장 응답 신호가 포함하는 모든 정보의 사이즈, 즉 크기에서 메시지 타입에 해당하는 사이즈 및 메시지 길이에 해당하는 사이즈를 뺀 사이즈를 의미할 수 있다. 예를 들어, 메시지 타입의 크기가 1바이트이고, 메시지 길이 자체의 크기가 4바이트 이며, 전체 메시지의 크기가 85바이트라면, 메시지 길이는 80바이트가 될 수 있다. 여기서, 전체 메시지의 크기는 인증 코드 저장 응답 신호의 크기이다.The message length is the message size minus the message type and the message length from the total message size, where size is the size. The authentication code store response signal includes a variety of other information, including the message type and the message length. The message length is the size of all information included in the authentication code store response signal, that is, the size and message length corresponding to the message type in the size. It may mean the size minus the size corresponding to. For example, if the size of the message type is 1 byte, the size of the message length itself is 4 bytes, and the size of the entire message is 85 bytes, the message length may be 80 bytes. Here, the size of the entire message is the size of the authentication code storage response signal.
결과 코드는 인증 코드가 오류 없이 저장했는지 여부를 표시하는 코드이다. 예를 들어 결과 코드가 0이면 인증 코드가 오류 없이 IoT 전자 장치(200)에 저장됨을 의미할 수 있다.The result code is a code indicating whether the authentication code was saved without error. For example, if the result code is 0, this may mean that the authentication code is stored in the IoT electronic device 200 without error.
이상 첨부된 도면을 참조하여 본 발명의 실시 예들을 설명하였지만, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시 예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다.Although embodiments of the present invention have been described above with reference to the accompanying drawings, those skilled in the art to which the present invention pertains may implement the present invention in other specific forms without changing the technical spirit or essential features thereof. I can understand that. Therefore, it should be understood that the embodiments described above are exemplary in all respects and not restrictive.

Claims (9)

  1. IoT 전자 장치와 연결되는 접속 포트;An access port connected to the IoT electronic device;
    상기 IoT 전자 장치로부터 로라(LoRa) 통신망을 통해 데이터를 송수신하는 통신 인터페이스; 및A communication interface for transmitting and receiving data from the IoT electronic device through a LoRa communication network; And
    상기 통신 인터페이스가 송수신하는 데이터를 암호화 또는 복호화하는 프로세서; 를 포함하며,A processor for encrypting or decrypting data transmitted and received by the communication interface; Including;
    상기 프로세서는,The processor,
    상기 IoT 전자 장치와 상기 접속 포트가 물리적으로 연결됨에 따라 암호화된 데이터를 송수신하는 보안 플러그인을 상기 IoT 전자 장치에 설치하는 플러그인 관리부; A plug-in manager configured to install, on the IoT electronic device, a security plug-in for transmitting and receiving encrypted data as the IoT electronic device and the connection port are physically connected;
    를 포함하는 하드웨어 보안 모듈.Hardware security module comprising a.
  2. 제1항에 있어서,The method of claim 1,
    상기 프로세서는,The processor,
    상기 IoT 전자 장치와 송수신하는 데이터를 ARIA, SHA(Secure Hash Algorithm), 종단 간(End to End encryption) 암호화 통신 방식 중 적어도 하나를 이용하여 암호화를 수행하는 암호화부; An encryption unit configured to encrypt data transmitted / received with the IoT electronic device using at least one of ARIA, Secure Hash Algorithm (SHA), and end-to-end encryption encryption method;
    를 더 포함하는 하드웨어 보안 모듈.Hardware security module further comprising.
  3. 제1항에 있어서,The method of claim 1,
    상기 IoT 전자 장치의 인증을 수행하는 장치 인증부; 및A device authenticator configured to authenticate the IoT electronic device; And
    상기 장치 인증부로부터 인증이 완료된 IoT 전자 장치의 로라(LoRa) 통신망을 통한 접속을 관리하는 장치 접속 관리부; A device connection manager configured to manage a connection through a LoRa communication network of the IoT electronic device that has been authenticated by the device authenticator;
    를 더 포함하는 하드웨어 보안 모듈.Hardware security module further comprising.
  4. 제1항에 있어서,The method of claim 1,
    상기 프로세서는,The processor,
    상기 IoT 전자 장치와 로라(LoRa) 통신망을 통해 연결되는 외부 서버를 관리하는 서버 관리부; A server manager configured to manage an external server connected to the IoT electronic device through a LoRa communication network;
    를 더 포함하는 하드웨어 보안 모듈.Hardware security module further comprising.
  5. 제1항에 있어서,The method of claim 1,
    상기 통신 인터페이스는,The communication interface,
    상기 IoT 전자 장치가 송신하는 통신 데이터를 로라(LoRa) 통신 데이터로 변환하는 통신 변환부; A communication converter converting communication data transmitted by the IoT electronic device into LoRa communication data;
    를 더 포함하는 하드웨어 보안 모듈.Hardware security module further comprising.
  6. 제1항에 있어서,The method of claim 1,
    상기 통신 인터페이스는,The communication interface,
    상기 IoT 전자 장치에 내장된 통신 모듈 종류에 따라,According to the type of communication module embedded in the IoT electronic device,
    보안 로라(LoRa) 통신부, 보안 시리얼 통신부 및 보안 LPWAN 통신부 중 어느 하나 이상을 더 포함하고,Further comprising at least one of a secure Lora (LoRa) communication unit, secure serial communication unit and secure LPWAN communication unit,
    상기 보안 로라(LoRa) 통신부, 보안 시리얼 통신부 및 보안 LPWAN 통신부 중 어느 하나 이상과 로라(LoRa) 통신망을 통해 송수신되는 데이터는 상기 프로세서에 의해 암호와 또는 복호화되는, Data transmitted and received through at least one of the secure LoRa communication unit, secure serial communication unit, and secure LPWAN communication unit and the LoRa communication network is encrypted or decrypted by the processor.
    하드웨어 보안 모듈.Hardware security module.
  7. 제1항에 있어서,The method of claim 1,
    상기 통신 인터페이스와 연결되며, Is connected to the communication interface,
    이더넷 통신(Ethernet communication)을 위한 보안 이더넷 통신부 및 PoE 포트(Power Over Ethernet port); Secure Ethernet communication unit and Ethernet over Ethernet communication (Power Over Ethernet port);
    를 더 포함하는 하드웨어 보안 모듈.Hardware security module further comprising.
  8. 제2항에 있어서,The method of claim 2,
    상기 통신 인터페이스는 로라(LoRa) 통신망을 통해 상기 IoT 전자 장치로 인증 코드를 송신하기 위한 암호화된 데이터를 장치 인증 서버로부터 수신하고, The communication interface receives encrypted data from the device authentication server for transmitting an authentication code to the IoT electronic device through a LoRa communication network,
    상기 프로세서는 상기 통신 인터페이스가 수신한 암호화된 데이터를 복호화하며,The processor decrypts the encrypted data received by the communication interface,
    상기 장치 인증부는 상기 프로세서가 복호화한 데이터를 기초로 상기 IoT 전자 장치의 인증을 수행하는, The device authentication unit performs authentication of the IoT electronic device based on the data decrypted by the processor.
    하드웨어 보안 모듈.Hardware security module.
  9. 제1항에 있어서,The method of claim 1,
    상기 접속 포트는, IC 카드 또는 USB(Universal serial bus) 규격에 따른 포트인, 하드웨어 보안 모듈.The connection port is a hardware security module, which is a port conforming to an IC card or a universal serial bus (USB) standard.
PCT/KR2019/005039 2018-05-16 2019-04-26 Hardware security module WO2019221419A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020180056002A KR102135710B1 (en) 2018-05-16 2018-05-16 Hardware secure module
KR10-2018-0056002 2018-05-16

Publications (1)

Publication Number Publication Date
WO2019221419A1 true WO2019221419A1 (en) 2019-11-21

Family

ID=68540573

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/KR2019/005039 WO2019221419A1 (en) 2018-05-16 2019-04-26 Hardware security module

Country Status (2)

Country Link
KR (1) KR102135710B1 (en)
WO (1) WO2019221419A1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111654858A (en) * 2020-04-30 2020-09-11 广东电网有限责任公司 LoRa communication module who accords with national merchant's secret standard
CN112631177A (en) * 2020-12-13 2021-04-09 贵州省通信产业服务有限公司 Agricultural data acquisition device based on hardware encryption transmission

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102433640B1 (en) * 2021-11-30 2022-08-18 주식회사 시옷 Security processing system for large amounts of data
KR102613077B1 (en) * 2022-05-31 2023-12-11 한전케이디엔주식회사 A method and device for authentication of power system registration device

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20150117226A (en) * 2014-04-09 2015-10-19 (주) 아이씨티케이 Apparatus and method for authenticating
KR20170130904A (en) * 2016-05-20 2017-11-29 에스케이텔레콤 주식회사 Method and apparatus for provisioning between terminals and a server
KR20170135103A (en) * 2016-05-30 2017-12-08 주식회사 알티캐스트 Method and apparatus for Providing Security Service of Peer to Peer Data in Internet of Things
KR101836211B1 (en) * 2016-12-16 2018-03-09 주식회사 시옷 Electronic device authentication manager device
KR20180046032A (en) * 2016-10-27 2018-05-08 삼성전자주식회사 Electronic device and method for operating the same

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012134901A (en) * 2010-12-24 2012-07-12 Nakayo Telecommun Inc Communication apparatus power supply control method, communication apparatus, and adapter device

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20150117226A (en) * 2014-04-09 2015-10-19 (주) 아이씨티케이 Apparatus and method for authenticating
KR20170130904A (en) * 2016-05-20 2017-11-29 에스케이텔레콤 주식회사 Method and apparatus for provisioning between terminals and a server
KR20170135103A (en) * 2016-05-30 2017-12-08 주식회사 알티캐스트 Method and apparatus for Providing Security Service of Peer to Peer Data in Internet of Things
KR20180046032A (en) * 2016-10-27 2018-05-08 삼성전자주식회사 Electronic device and method for operating the same
KR101836211B1 (en) * 2016-12-16 2018-03-09 주식회사 시옷 Electronic device authentication manager device

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111654858A (en) * 2020-04-30 2020-09-11 广东电网有限责任公司 LoRa communication module who accords with national merchant's secret standard
CN112631177A (en) * 2020-12-13 2021-04-09 贵州省通信产业服务有限公司 Agricultural data acquisition device based on hardware encryption transmission

Also Published As

Publication number Publication date
KR20190134924A (en) 2019-12-05
KR102135710B1 (en) 2020-07-20

Similar Documents

Publication Publication Date Title
WO2019221419A1 (en) Hardware security module
US10841759B2 (en) Securely providing a password using an internet of things (IoT) system
KR101851261B1 (en) Centralized remote metering system for security based on private block-chained data
JP4545197B2 (en) Wireless network system and communication method using the same
US20070257813A1 (en) Secure network bootstrap of devices in an automatic meter reading network
WO2016137304A1 (en) Trust-zone-based end-to-end security
WO2015147547A1 (en) Method and apparatus for supporting login through user terminal
WO2014069778A1 (en) Id-based encryption and decryption method, and apparatus for executing same
CN110932842B (en) System on chip for performing virtual private network functions and system including the same
WO2019059453A1 (en) Communication device and method using message history-based security key by means of blockchain
WO2012099330A2 (en) System and method for issuing an authentication key for authenticating a user in a cpns environment
GB2535749A (en) Authentication module
JP5766780B2 (en) Cryptographic communication method between devices and data communication method using the same
CN102984045A (en) Access method of Virtual Private Network and Virtual Private Network client
WO2019182377A1 (en) Method, electronic device, and computer-readable recording medium for generating address information used for transaction of blockchain-based cryptocurrency
WO2019124667A1 (en) Wearable device communication support apparatus and method
BR112016007210B1 (en) METHOD AND DEVICE FOR COMMUNICATION SECURITY WITHIN AN ENDPOINT IN A NETWORK
WO2018186543A1 (en) Data encryption method and system using device authentication key
WO2015178597A1 (en) System and method for updating secret key using puf
WO2022177204A1 (en) Did-based decentralized system for storing and sharing user data
WO2020130348A1 (en) Device-specific encryption key generator and method
WO2020018187A1 (en) Network device, method for security and computer readable storage medium
WO2015156622A2 (en) Authentication apparatus and method
WO2019103360A1 (en) Data management method and system based on proxy re-encryption in iot lightweight terminal environment
WO2022059906A1 (en) Mutual authentication method and authentication device for providing method

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 19804281

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

32PN Ep: public notification in the ep bulletin as address of the adressee cannot be established

Free format text: NOTING OF LOSS OF RIGHTS PURSUANT TO RULE 112(1) EPC (EPO FORM 1205A DATED 09.04.2021)

122 Ep: pct application non-entry in european phase

Ref document number: 19804281

Country of ref document: EP

Kind code of ref document: A1