KR100652999B1 - 네트워크 상에서의 디바이스에 대한 제어 메시지 인증 방법 - Google Patents

네트워크 상에서의 디바이스에 대한 제어 메시지 인증 방법 Download PDF

Info

Publication number
KR100652999B1
KR100652999B1 KR1020050051267A KR20050051267A KR100652999B1 KR 100652999 B1 KR100652999 B1 KR 100652999B1 KR 1020050051267 A KR1020050051267 A KR 1020050051267A KR 20050051267 A KR20050051267 A KR 20050051267A KR 100652999 B1 KR100652999 B1 KR 100652999B1
Authority
KR
South Korea
Prior art keywords
message
control
network
network device
password
Prior art date
Application number
KR1020050051267A
Other languages
English (en)
Inventor
민구봉
Original Assignee
엘지전자 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 엘지전자 주식회사 filed Critical 엘지전자 주식회사
Priority to KR1020050051267A priority Critical patent/KR100652999B1/ko
Application granted granted Critical
Publication of KR100652999B1 publication Critical patent/KR100652999B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/68Special signature format, e.g. XML format

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Telephonic Communication Services (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 UPnP 네트워크에서 디바이스의 제어를 위한 SOAP 메시지의 보안 및 인증이 용이하고 효율적으로 이루어질 수 있도록 하는 네트워크 상에서의 디바이스에 대한 제어 메시지 인증 방법을 제공한다. 이를 위해 본 발명은 컨트롤 포인트에서 네트워크 디바이스를 제어하기 위한 방법에 있어서, 상기 네트워크 디바이스로부터 획득되는 패스워드를 컨트롤 포인트에 입력하여 등록시키는 단계와, 상기 제어 메시지 전송시마다 상기 네트워크 디바이스에서 생성되는 랜덤 메시지와 상기 패스워드를 근거로, 상기 컨트롤 포인트와 네트워크 디바이스에서 각각 인증 변환 값을 산출하고, 그 인증 변환 값을 비교하는 단계 및, 상기 각각의 인증 변환 값이 일치하면 상기 제어 메시지를 받아들여서 제어 액션을 실행하는 단계로 이루어진 것을 특징으로 한다.
UPnP, SOAP, 인증, 보안, 랜덤, 해쉬

Description

네트워크 상에서의 디바이스에 대한 제어 메시지 인증 방법{CONTROL MESSAGE CERTIFICATION METHOD OF NETWORK DEVICE FOR HOME NETWORK}
도 1은 본 발명에 따른 디바이스의 제어 메시지 인증 방법이 적용되는 UPnP 네트워크를 나타낸 도면,
도 2는 본 발명의 일실시예에 따른 네트워크 상에서의 디바이스에 대한 제어 메시지 인증 방법의 동작을 설명하는 플로우차트,
도 3은 본 발명의 다른 실시예에 따른 네트워크 상에서의 디바이스에 대한 제어 메시지 인증 방법의 동작을 설명하는 플로우차트,
도 4는 본 발명에 따라 SOAP 액션 인증을 위한 "GetRandomMsg" 액션을 정의한 도면,
도 5는 본 발명에 따라 네트워크 상에 아무런 보안 장치가 없는 경우에 SOAP 액션 호출의 실행 상태를 예시적으로 나타낸 도면,
도 6은 본 발명에 따라 인덱스(Index) 값과 해쉬(Hash) 값이 입력 파라미터로 추가된 상태에서의 SOAP 액션 호출 상태를 예시적으로 나타낸 도면,
도 7은 본 발명에 따라 사용자 인증 및 메시지 자체에 대한 암호화를 위한 SOAP 액션 호출 상태를 예시적으로 나타낸 도면,
도 8은 본 발명에 따라 각 SOAP 액션에 대하여 디지털 서명을 수행하여 디지털 인증을 진행하는 상태를 나타낸 도면이다.
<도면의 주요부분에 대한 부호의 설명>
10:컨트롤 포인트(CP), 20:네트워크 디바이스.
본 발명은 네트워크 상에서의 디바이스에 대한 제어 메시지 인증 방법에 관한 것으로서, 보다 상세하게는 UPnP(Universal Plug and Play)와 같은 홈 네트워크에서 각 디바이스의 액세스를 위한 호출 액션의 보안 인증을 진행하기 위한 네트워크 상에서의 디바이스에 대한 제어 메시지 인증 방법에 관한 것이다.
주지된 바와 같이, 가정 내에 다양한 영상기기와 오디오 기기 및, 퍼스널 컴퓨터(PC)와 같은 각종 전자기기들이 보급되고 있는 바, 이러한 다수의 전자기기들의 동작을 일괄적으로 제어하는 것이 필요하게 되고, 전자기기로부터의 영상 및 오디오 신호를 디지털화하여 전송하는 것이 가능하게 되면서 각 전자기기 간의 통신 및 외부 네트워크와의 통신을 진행할 필요성이 증대되고 있다.
이러한 필요성에 부응하여 최근에는, 가정 내의 DVD 플레이어나 폐쇄회로 카메라, 디지털 텔레비전 등과 같은 전자기기들을 서로 연결하기 위한 홈네트워킹이 부각되고 있으며, 이 홈 네트워킹의 한가지 방안으로서 예컨대 PDA와 같은 이동성 기기에서 가전기기를 집중하여 관리할 수 있도록 하는 UPnP 네트워크 기술이 제안되어 있다.
이러한 UPnP 네트워트 기술은 분산 및 개방 네트워킹 구조를 기반으로 하여 IP, HTTP 등과 같은 표준 네트워킹 프로토콜 기술을 채택함으로써, 네트워크에 연 결되는 장치의 운영체제, 플랫폼(Platform) 및 전송매체에 독립적으로 동작할 수 있도록 규정하고 있다.
UPnP 네트워크에서는 각 디바이스(Device)를 제어하는 컨트롤 포인트(Control Point; CP)와, 각종 서비스를 제공해 주는 네트워크 디바이스들로 이루어져 있으며, 컨트롤 포인트(CP)에서는 제공 인터페이스를 통하여 각종 디바이스들을 찾아내어(Description), 제어하고(Control), 이벤트(Eventing)를 받아서 처리하도록 되어 있다.
이러한 UPnP 네트워크에서의 프로토콜 스택은 IP, HTTP의 인터넷 프로토콜과, XML(eXtensible Markup Language), SOAP(Simple Object Access Protocol)의 기술을 이용하여 컨트롤 포인트와 디바이스 간의 통신을 다수개의 단계로 정의하게 된다.
컨트롤 포인트에서는 임의의 디바이스를 제어하고자 하는 경우에 디바이스의 디스크립션을 바탕으로 원하는 서비스를 SOAP를 이용하여 디바이스에 보내게 되고, 상기 SOAP는 원격지의 함수 호출을 목적으로 HTTP 상에서 XML 기반으로 작성된 프로토콜에 해당된다.
한편, 이러한 UPnP 홈 네트워크에서는 각 디바이스들에 대한 제어 권한의 획득과 제어 메시지를 암호화하기 위해 SOAP 액션에서의 네트워크 보안 방안이 실제적으로 구현되어 있기 않기 때문에, 컨트롤 포인트와 각 디바이스 간의 SOAP 메시지에 대한 보안 지원 및 인증 방안이 절실하게 요구되는 실정이다.
따라서, 본 발명은 상기한 종래의 사정을 감안하여 이루어진 것으로서, 그 목적은 UPnP 네트워크에서 디바이스의 제어를 위한 SOAP 메시지의 보안 및 인증이 용이하고 효율적으로 이루어질 수 있도록 하는 네트워크 상에서의 디바이스에 대한 제어 메시지 인증 방법을 제공하는 것이다.
본 발명의 다른 목적은 UPnP 네트워크에서 디바이스로부터 발생되는 랜덤 메시지를 근거로 산출하는 해쉬(Hash) 값을 통해서 SOAP 메시지의 보안 및 인증이 이루어질 수 있도록 하는 네트워크 상에서의 디바이스에 대한 제어 메시지 인증 방법을 제공하는 것이다.
상기한 목적을 달성하기 위해 본 발명의 일예에 따르면, 컨트롤 포인트에서 네트워크 디바이스를 제어하기 위한 방법에 있어서, 상기 네트워크 디바이스로부터 획득되는 패스워드를 컨트롤 포인트에 입력하여 등록시키는 단계와, 상기 제어 메시지 전송시마다 상기 네트워크 디바이스에서 생성되는 랜덤 메시지와 상기 패스워드를 근거로, 상기 컨트롤 포인트와 네트워크 디바이스에서 각각 인증 변환 값을 산출하고, 그 인증 변환 값을 비교하는 단계 및, 상기 각각의 인증 변환 값이 일치하면 상기 제어 메시지를 받아들여서 제어 액션을 실행하는 단계로 이루어진 것을 특징으로 하는 디바이스의 제어 메시지 인증 방법을 제공한다.
상기한 목적을 달성하기 위해 본 발명의 다른 예에 따르면, 컨트롤 포인트에 서 네트워크 디바이스를 제어하기 위한 방법에 있어서, 상기 네트워크 디바이스로부터 획득되는 패스워드를 컨트롤 포인트에 입력하여 등록시키는 단계와, 상기 네트워크 디바이스로부터 랜덤 메시지를 전송받고, 상기 제어 메시지 전송시마다 상기 패스워드와 최초의 랜덤 메시지만을 근거로 하여, 상기 컨트롤 포인트와 네트워크 디바이스에서 각각 인증 변환 값을 산출하고, 그 인증 변환 값을 비교하는 단계 및, 상기 각각의 인증 변환 값이 일치하면 상기 제어 메시지를 받아들여서 제어 액션을 실행하는 단계로 이루어진 것을 특징으로 하는 네트워크 상에서의 디바이스에 대한 제어 메시지 인증 방법을 제공한다.
이하, 상기한 바와 같이 구성된 본 발명에 대해 첨부도면을 참조하여 상세히 설명한다.
즉, 도 1은 본 발명에 따른 디바이스의 제어 메시지 인증 방법이 적용되는 UPnP 네트워크를 나타낸 도면이다.
도 1에 도시된 바와 같이, 본 발명에 따른 UPnP 네트워크는, 네트워크에 연결된 각 디바이스를 SOAP 메시지를 통한 호출 액션으로 제어하는 컨트롤 포인트(CP)(10)와, 상기 컨트롤 포인트(10)로부터의 SOAP 메시지를 통한 호출 액션에 의해 각 액션에 따른 동작을 수행하는 네트워크 디바이스(20)로 구성된다.
상기 컨트롤 포인트(10)는 사용자의 입력에 의해 설정되는 패스워드(Password)를 갖춘 상태에서, 상기 네트워크 디바이스(20)에서 임의적으로 생성되는 랜덤 번호(Random Number)를 갖는 랜덤 메시지(Random Message)를 전달받아서, 그 패스워드와 랜덤 메시지를 근거로 하여 원 웨이 해쉬(One Way Hash) 함수를 적용함에 의해 해쉬 값을 산출하게 된다.
상기 컨트롤 포인트(10)에서 설정되는 패스워드는 상기 네트워크 디바이스(20)에 미리 설정되어 있는 패스워드와 동일하게 입력하도록 하고, 그 패스워드를 사용자가 보고 직접 입력하도록 하는 것이 바람직하다.
상기 컨트롤 포인트(10)에서는 호출 액션을 위한 SOAP 메시지 전송시에 상기 해쉬 값을 함께 상기 네트워크 디바이스(20)에 전송하게 된다.
상기 네트워크 디바이스(20)는 상기 컨트롤 포인트(10)로부터 SOAP 제어를 받기 위해 임의적으로 생성되는 랜덤 번호를 갖는 랜덤 메시지를 제공하고, 상기 컨트롤 포인트(10)로부터의 SOAP 메시지 수신시에 자신이 가지고 있는 패스워드와 랜덤 번호를 근거로 동일한 원 웨이 해쉬 함수를 통해 해쉬 값을 산출함에 의해, 컨트롤 포인트(10)로부터 제공받은 해쉬 값과 비교하여 일치하면 상기 컨트롤 포인트(10)의 제어 액션을 신뢰하여 SOAP 메시지에 따른 액션을 수행할 수 있게 된다.
그 다음에, 도 2는 본 발명의 일실시예에 따른 네트워크 상에서의 디바이스에 대한 제어 메시지 인증 방법의 동작을 설명하는 플로우차트이다.
이하에서는, 도 2에 도시된 본 발명의 일실시예에 따른 플로우차트를 도 1의 장치의 동작과 병행하여 상세히 설명한다.
먼저, 사용자가 UPnP 네트워크 상에 연결되어 있는 네트워크 디바이스(20)의 패스워드를 입수한 상태에서, 그 패스워드를 컨트롤 포인트(10)에 입력하여 등록시 키게 된다(단계 S10).
그 상태에서, 상기 네트워크 디바이스(20)에서는 랜덤 번호를 임의적으로 생성하게 되고, 상기 컨트롤 포인트(10)에서는 상기 네트워크 디바이스(20)의 제어 이전에 임의적으로 생성된 랜덤 넘버를 갖는 랜덤 메시지를 수신받게 되는 바, 상기 랜덤 메시지의 출력 파라미터는 도 4에 도시된 바와 같다(단계 S 11).
상기 컨트롤 포인트(10)는 사용자가 입력하여 등록한 패스워드와 상기 네트워크 디바이스(20)로부터 제공받은 랜덤 넘버를 근거로 하여 원 웨이 해쉬 함수를 적용하여 해쉬 값을 산출하게 되고(단계 S12), 상기 네트워크 디바이스(20)의 제어를 위한 SOAP 메시지의 액션 호출시에, 그 SOAP 메시지와 함께 상기 산출된 해쉬값을 네트워크 디바이스(20)에 전송한다(단계 S13).
한편, 상기 네트워크 디바이스(20)는 상기 컨트롤 포인트(10)로부터 SOAP 메시지의 액션 호출이 있게 되면, 자신이 가지고 있는 패스워드와 임의로 생성한 랜덤 넘버를 근거로 상기 컨트롤 포인트(10)와 동일한 원 웨이 해쉬 함수를 적용하여 해쉬 값을 산출하게 되고, 상기 산출된 해쉬 값을 상기 컨트롤 포인트(10)로부터 제공받은 해쉬 값과 비교하여 일치하면 해당 SOAP 메시지의 액션을 진행하게 된다(단계 S14).
상기 컨트롤 포인트(10)는 또 다른 SOAP 액션 호출이 있는 지를 판단하여(단계 S15), 또 다른 SOAP 액션 호출이 있는 것으로 판단하게 되면 상기 단계 S11로 재진행하여 상기 네트워크 디바이스(20)로부터 랜덤 번호를 갖는 랜덤 메시지를 수신받아 패스워드와 함께 원 웨이 해쉬 함수를 적용하여 해쉬 값을 산출하게 되고, 그 산출된 해쉬 값을 SOAP 메시지와 함께 네트워크 디바이스(20)에 제공하게 된다.
여기서, 상기 네트워크 디바이스(20)에서는 상기 컨트롤 포인트(10)에 제공할 랜덤 번호를 생성할 때, 이전에 생성했던 랜덤 번호를 다시 사용하지 않고 SOAP 액션 호출이 있을때마다 매번 새로운 랜덤 번호를 생성하여 Reply Attack에 대비하도록 하는 것이 바람직하다.
상기 네트워크 디바이스(20)에서는 상기 컨트롤 포인트(10)로부터 SOAP 메시지가 수신되면, 상기 생성된 랜덤 번호와 패스워드를 근거로 원 웨이 해쉬 함수를 적용하여 해쉬 값을 산출한 다음에, 상기 컨트롤 포인트(10)로부터 제공받은 해쉬 값과 비교하여 일치하면 해당 SOAP 액션을 진행하게 된다.
즉, 상기 컨트롤 포인트(10)와 네트워크 디바이스(20)의 사이에는 SOAP 액션 호출이 있을 때마다 매번 새로운 랜덤 번호를 적용하여 해쉬 값을 각각 산출하고, 각각 산출된 해쉬 값을 비교하여 일치하는 지의 여부를 판단함에 의해 SOAP 액션을 진행하도록 하는 것이다.
그 다음에, 도 3은 본 발명의 다른 실시예에 따른 네트워크 상에서의 디바이스에 대한 제어 메시지 인증 방법의 동작을 설명하는 플로우차트이다.
이하에서는, 도 3에 도시된 본 발명의 다른 실시예에 따른 플로우차트를 도 1의 장치의 동작과 병행하여 상세히 설명한다.
여기서, 도 3의 플로우차트에 제시된 본 발명의 다른 실시예에서는 네트워크 디바이스의 제어를 위한 액션 호출이 잦은 경우에 매번 랜덤 메시지를 전달받아서 처리하는 것이 비효율적이기 때문에, 초기의 랜덤 메시지를 기반으로 하여 컨트롤 포인트와 네트워크 디바이스가 랜덤 메시지를 각자 동일한 방법으로 변경하여 제어를 위한 액션 호출의 보안 및 인증이 이루어지도록 하는 것이다.
먼저, 사용자가 UPnP 네트워크 상에 연결되어 있는 네트워크 디바이스(20)의 패스워드를 입수한 상태에서, 그 패스워드를 컨트롤 포인트(10)에 입력하여 등록시키게 된다(단계 S20).
그 상태에서, 상기 네트워크 디바이스(20)에서는 랜덤 번호를 임의적으로 생성하게 되고, 상기 컨트롤 포인트(10)에서는 상기 네트워크 디바이스(20)의 제어 이전에 임의적으로 생성된 랜덤 넘버를 갖는 랜덤 메시지를 수신받게 된다(단계 S 21).
상기 컨트롤 포인트(10)는 사용자가 입력하여 등록한 패스워드와 상기 네트워크 디바이스(20)로부터 제공받은 랜덤 넘버를 근거로 하여 원 웨이 해쉬 함수를 적용하여 해쉬 값을 산출함과 더불어 그 랜덤 메시지에 함수를 적용하여 변환한 횟수를 "0"으로부터 시작하는 인덱스(Index)를 발생하게 되고(단계 S12), 상기 네트워크 디바이스(20)의 제어를 위한 SOAP 메시지의 액션 호출시에, 그 SOAP 메시지와 함께 상기 산출된 해쉬값 및 인덱스를 네트워크 디바이스(20)에 전송한다(단계 S23).
한편, 상기 네트워크 디바이스(20)는 상기 컨트롤 포인트(10)로부터 SOAP 메시지의 액션 호출이 있게 되면, 자신이 가지고 있는 패스워드와 임의로 생성한 랜덤 번호를 근거로 상기 컨트롤 포인트(10)와 동일한 원 웨이 해쉬 함수를 적용하여 해쉬 값을 산출하게 되고, 상기 산출된 해쉬 값을 상기 컨트롤 포인트(10)로부터 제공받은 해쉬 값과 비교하여 일치하면 해당 SOAP 메시지의 액션을 진행하게 된다(단계 S24).
여기서, 상기 컨트롤 포인트(10)에서는 또 다른 SOAP 액션 호출이 있을 것에 대비하여 상기 단계 S21에서 네트워크 디바이스(20)로부터 최초에 받은 랜덤 메시지를 변환하게 되는 바(단계 S25), 최초에 받은 랜덤 번호를 근거로 랜덤 변환 함수를 사용하여 랜덤 메시지를 변환시킴에 의해, 또 다른 SOAP 액션 호출이 있을 때 반복적으로 네트워크 디바이스(20)로부터 랜덤 메시지를 갱신하여 받지 않고서도 컨트롤 포인트(10) 자체에서 변환된 랜덤 메시지를 사용할 수 있도록 하는 것이다.
그 상태에서, 상기 컨트롤 포인트(10)는 또 다른 SOAP 액션 호출이 있는 지를 판단하여(단계 S26), 또 다른 SOAP 액션 호출이 있는 것으로 판단하게 되면 상기 단계 S22로 재진행하여 상기 네트워크 디바이스(20)로부터 랜덤 메시지를 새롭게 받지 않고서도 상기 단계 S25에서 변환된 랜덤 메시지를 패스워드와 함께 원 웨이 해쉬 함수를 적용하여 해쉬 값을 산출하게 되고, 상기 랜덤 메시지를 변환한 횟수를 "0"부터 시작하여 증가된 번호의 인덱스를 발생하게 되는 한편, 그 산출된 해쉬 값과 인덱스를 SOAP 메시지와 함께 네트워크 디바이스(20)에 제공하게 된다.
상기 네트워크 디바이스(20)에서는 상기 컨트롤 포인트(10)로부터 SOAP 메시지가 수신되면, 상기 생성된 랜덤 번호와 패스워드를 근거로 원 웨이 해쉬 함수를 적용하여 해쉬 값을 산출한 다음에, 상기 컨트롤 포인트(10)로부터 제공받은 해쉬 값과 비교하여 일치하면 해당 SOAP 액션을 진행하게 된다.
한편, 도 5는 본 발명에 따라 네트워크 상에 아무런 보안 장치가 없는 경우에 SOAP 액션 호출의 실행 상태를 예시적으로 나타낸 도면으로서, 동 도면에서는 컨트롤 포인트(10)와 네트워크 디바이스(20)의 사이에 아무런 보안 장치가 없는 경우에 SOAP 액션 호출을 진행하기 위하여 입력 파라미터(IN-Parameter)로서 한 개의 정수와 한 개의 문자열 값을 입력받고, 출력 파라미터(OUT-Parameter)를 통해 한 개의 정수와 한 개의 문자열 값을 전달받도록 하는 것이다.
또한, 도 6은 본 발명에 따라 인덱스(Index) 값과 해쉬(Hash) 값이 입력 파라미터로 추가된 상태에서의 SOAP 액션 호출 상태를 예시적으로 나타낸 도면으로서, 동 도면에서는 도 3의 플로우차트에서 나타난 본 발명의 다른 실시예에 따른 방법을 이용하여 랜덤 메시지를 제공하는 경우에 입력 파라미터가 추가된 것을 보여준다.
도 6에서, 상기 입력 파라미터에는 인덱스와 해쉬 값이 입력 파라미터로서 추가되고, 그 인덱스와 해쉬 값은 각각 정수와 문자열 값으로 한다.
도 7은 본 발명에 따라 사용자 인증 및 메시지 자체에 대한 암호화를 위한 SOAP 액션 호출 상태를 예시적으로 나타낸 도면으로서, 동 도면에서는 랜덤 메시지를 이용한 사용자 인증 뿐만 아니라 제어 액션의 메시지 자체에 대한 암호화를 달성하기 위한 SOAP 액션에 대한 것이다.
도 7에서, 상기 입력 파라미터에는 인덱스와 해쉬 값이 전달되도록 되어 있지만, 도 5에 도시된 바와 같은 입력 파라미터가 Plain Text 형태로 나타나는 것이 아니라, XML로 이루어진 SOAP 메시지를 전송할때에 패스워드를 키값으로 하고 "InIV"를 base64 인코딩된 이니셜 벡터(Initial Vector)로 하는 대칭키 암호화 알고리즘을 통해 암호화하여 base64 인코딩된 형태로 액션 호출 요청(Request)을 통해 전달되도록 한다.
상기 네트워크 디바이스(20)에서는 상기 전달받은 이니셜 벡터 값과 패스워드를 통해서 SOAP 메시지를 복호화하여 해당 SOAP 액션을 처리하도록 하게 되고, 액션 호출 응답에 대해서는 패스워드를 키 값으로 하고 "OutIV"를 base64 인코딩된 이니셜 벡터로 하여 정해진 대칭키 암호화 알고리즘을 통해 암호화하여 base64 인코딩된 형태로 액션 호출 응답(Reply)을 통해서 상기 컨트론 포인트(10)에 전달하게 된다.
다음에, 도 8은 본 발명에 따라 각 SOAP 액션에 대하여 디지털 서명을 수행하여 디지털 인증을 진행하는 상태를 나타낸 도면이다.
도 8에 도시된 바와 같이, 해당 UPnP 네트워크 상에서 메시지를 중간에서 불의하게 가로채어 변형시키는 방식으로 공격하는 Man-in0Middle Attack을 방지하기 위한 것으로서, 각각의 SOAP 액션에 대해서 디지털 서명을 수행하도록 하는 것이다.
즉, 도 8에 표현된 메시지는 SOAP 액션을 구성하는 XML 헤더 요소(Header Element)에 포함되는 것으로서, 디지털 서명이 네트워크 디바이스(20)와 컨트롤 포인트(10)가 동일하게 등록하고 있는 패스워드를 사용하여 이루어지는 것이고, 대칭키 알고리즘을 이용한 전자 서명을 이용하게 된다.
도 8에 포함된 메시지 내용에서 "<SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#hmac-sha1"/>"의 경우에는 "hmac-sha1"을 사용하고 있으며, "<Reference URI="#Body">"의 경우에는 SOAP 메시지의 Body에 대한 디지털 서명에 대한 것이고, "<DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#hmac-sha1"/>"의 경우에는 전자서명을 위해 사용하는 방법으로서 "hmac-sha1"을 사용하고 있고, "<DigestValue>SiGg1/kFmfx7aQ4XWq56rdUQfyo=</DigestValue>"의 경우에는 base64로 인코딩된 디지털 지문을 나타내고, "<SignatureValue>tTFeDxEb9LIXoI8DFgu8bkzed6Q=</SignatureValue>"의 경우에는 base64로 인코딩된 디지털 서명값을 나타낸 것이다.
한편, 본 발명은 전술한 전형적인 바람직한 실시예들에만 한정되는 것이 아니라 본 발명의 요지를 벗어나지 않는 범위 내에서 여러 가지로 개량, 변경, 대체 또는 부가하여 실시할 수 있는 것임은 당해 기술분야에 통상의 지식을 가진 자라면 용이하게 이해할 수 있을 것이다. 이러한 개량, 변경, 대체 또는 부가에 의한 실시가 이하의 첨부된 특허청구범위의 범주에 속하는 것이라면 그 기술사상 역시 본 발명에 속하는 것으로 보아야 한다.
이상과 같이 본 발명에 따르면, UPnP 네트워크에서 SOAP 메시지를 통한 네트 워크 디바이스의 액션 호출을 진행하는 경우에, 해당 네트워크 디바이스에서 생성된 랜덤 메시지와 미리 입력된 패스워드를 근거로 하여 컨트롤 포인트와 네트워크 디바이스가 해쉬 함수를 통해 해쉬 값을 산출하고, 각각 산출된 해쉬 값의 일치 여부에 따라 해당 액션 진행 상태를 결정할 수 있도록 함에 따라, UPnP 네트워크 상에서 디바이스에 대한 제어를 위한 SOAP 메시지의 인증 및 보안 지원이 용이하게 구현 가능하다는 효과를 갖게 된다.

Claims (13)

  1. 컨트롤 포인트에서 네트워크 디바이스를 제어하기 위한 방법에 있어서,
    상기 네트워크 디바이스로부터 획득되는 패스워드를 컨트롤 포인트에 입력하여 등록시키는 제 1단계와,
    상기 제어 메시지 전송시마다 상기 네트워크 디바이스에서 생성되는 랜덤 메시지와 상기 패스워드를 근거로, 상기 컨트롤 포인트와 네트워크 디바이스에서 각각 인증 변환 값을 산출하고, 그 인증 변환 값을 비교하는 제 2단계 및,
    상기 각각의 인증 변환 값이 일치하면 상기 제어 메시지를 받아들여서 제어 액션을 실행하는 제 3단계로 이루어진 것을 특징으로 하는 네트워크 상에서의 디바이스에 대한 제어 메시지 인증 방법.
  2. 제 1 항에 있어서,
    상기 제 1단계에서, 상기 패스워드는 상기 네트워크 디바이스의 패스워드를 인식한 사용자에 의해 직접 입력되도록 이루어진 것을 특징으로 하는 네트워크 상에서의 디바이스에 대한 제어 메시지 인증 방법.
  3. 제 1 항에 있어서,
    상기 제 2단계에서, 상기 컨트롤 포인트로부터 네트워크 디바이스로의 제어 메시지는 SOAP(Simple Object Access Protocol) 액션 호출을 위한 XML 메시지인 것 을 특징으로 하는 네트워크 상에서의 디바이스에 대한 제어 메시지 인증 방법.
  4. 제 1 항에 있어서,
    상기 제 2단계에서, 상기 랜덤 메시지는 상기 컨트롤 포인트에서 제어 메시지가 발생할 때마다 랜덤 번호를 새롭게 생성하여 전달하도록 이루어진 것을 특징으로 하는 네트워크 상에서의 디바이스에 대한 제어 메시지 인증 방법.
  5. 제 1 항 또는 제 4 항에 있어서,
    상기 제 2단계에서, 상기 인증 변환 값은 상기 패스워드와 랜덤 메시지를 근거로 원 웨이 해쉬(One Way Hash) 함수를 적용하여 산출되는 해쉬 값에 해당되고,
    새로운 제어 메시지 발생시마다 새롭게 생성되는 랜덤 번호와 패스워드를 근거로 해쉬 값을 산출하도록 이루어진 것을 특징으로 하는 네트워크 상에서의 디바이스에 대한 제어 메시지 인증 방법.
  6. 컨트롤 포인트에서 네트워크 디바이스를 제어하기 위한 방법에 있어서,
    상기 네트워크 디바이스로부터 획득되는 패스워드를 컨트롤 포인트에 입력하여 등록시키는 제 1단계와,
    상기 네트워크 디바이스로부터 랜덤 메시지를 전송받고, 상기 제어 메시지 전송시마다 상기 패스워드와 최초의 랜덤 메시지만을 근거로 하여, 상기 컨트롤 포인트와 네트워크 디바이스에서 각각 인증 변환 값을 산출하고, 그 인증 변환 값을 비교하는 제 2단계 및,
    상기 각각의 인증 변환 값이 일치하면 상기 제어 메시지를 받아들여서 제어 액션을 실행하는 제 3단계로 이루어진 것을 특징으로 하는 네트워크 상에서의 디바이스에 대한 제어 메시지 인증 방법.
  7. 제 6 항에 있어서,
    상기 제 2단계에서, 상기 컨트롤 포인트로부터 네트워크 디바이스로의 제어 메시지는 SOAP(Simple Object Access Protocol) 액션 호출을 위한 XML 메시지인 것을 특징으로 하는 네트워크 상에서의 디바이스에 대한 제어 메시지 인증 방법.
  8. 제 6 항에 있어서,
    상기 제 2단계에서, 상기 랜덤 메시지는 상기 제어 메시지의 전송시마다 최초 랜덤 메시지를 근거로 랜덤 변환 함수를 사용하여 랜덤 메시지를 변환하고, 그 변환 횟수만큼 증가시킨 인덱스를 생성하도록 이루어진 것을 특징으로 하는 네트워크 상에서의 디바이스에 대한 제어 메시지 인증 방법.
  9. 제 8 항에 있어서,
    상기 제 2단계에서, 상기 컨트롤 포인트는 상기 산출된 인증 변환 값을 인덱스와 함께 제어 메시지를 포함시켜서 네트워크 디바이스에 전송하도록 이루어진 것을 특징으로 하는 네트워크 상에서의 디바이스에 대한 제어 메시지 인증 방법.
  10. 제 6 항에 있어서,
    상기 제 2단계에서, 상기 제 2단계에서, 상기 인증 변환 값은 상기 패스워드와 랜덤 메시지를 근거로 원 웨이 해쉬 함수를 적용하여 산출되는 해쉬 값에 해당되는 것을 특징으로 하는 네트워크 상에서의 디바이스에 대한 제어 메시지 인증 방법.
  11. 제 6 항 내지 제 10 항중 어느 한항에 있어서,
    상기 제 2단계에서, SOAP 메시지의 입력 파라미터에는 인덱스와 해쉬 값이 각각 정수와 문자열 값을 갖고서 추가되는 것을 특징으로 하는 네트워크 상에서의 디바이스에 대한 제어 메시지 인증 방법.
  12. 제 6 항 내지 제 10 항중 어느 한항에 있어서,
    상기 제 2단계에서, SOAP 메시지의 입력 파라미터에는 인덱스와 해쉬 값이 각각 정수와 문자열 값을 갖고서 추가되고, 상기 패스워드를 키 값으로 하고 base64로 인코딩된 이니셜 벡터(Initial Vector)로 하는 대칭키 암호화를 수행하여 액션 호출 요청(Request)을 통해 전달되고,
    상기 출력 파라미터는 패스워드를 키 값으로 하고 base64로 인코딩된 이니셜 벡터로 하는 대칭키 암호화를 수행하여 액션 호출 응답(Reply)을 통해 전달하도록 이루어진 것을 특징으로 하는 네트워크 상에서의 디바이스에 대한 제어 메시지 인 증 방법.
  13. 제 6 항 내지 제 10 항중 어느 한항에 있어서,
    상기 제 2단계에서, SOAP 메시지의 XML 헤더 요소에는 상기 패스워드를 근거로 하여 base64로 인코딩된 디지털 서명값을 갖는 디지털 서명을 수행하도록 이루어진 것을 특징으로 하는 네트워크 상에서의 디바이스에 대한 제어 메시지 인증 방법.
KR1020050051267A 2005-06-15 2005-06-15 네트워크 상에서의 디바이스에 대한 제어 메시지 인증 방법 KR100652999B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020050051267A KR100652999B1 (ko) 2005-06-15 2005-06-15 네트워크 상에서의 디바이스에 대한 제어 메시지 인증 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020050051267A KR100652999B1 (ko) 2005-06-15 2005-06-15 네트워크 상에서의 디바이스에 대한 제어 메시지 인증 방법

Publications (1)

Publication Number Publication Date
KR100652999B1 true KR100652999B1 (ko) 2006-12-01

Family

ID=37731793

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050051267A KR100652999B1 (ko) 2005-06-15 2005-06-15 네트워크 상에서의 디바이스에 대한 제어 메시지 인증 방법

Country Status (1)

Country Link
KR (1) KR100652999B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9571489B2 (en) 2011-08-12 2017-02-14 Sony Corporation System and method for performing commands from a remote source

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030059959A (ko) * 2002-01-04 2003-07-12 삼성전자주식회사 시큐러티 프로토콜의 기능을 수행하는 홈 게이트웨이 및그 방법
KR20030083880A (ko) * 2002-04-23 2003-11-01 서울통신기술 주식회사 홈네트워크의 정보 단말기 원격 관리 시스템 및 그 방법
JP2005137018A (ja) 2002-09-06 2005-05-26 Matsushita Electric Ind Co Ltd 宅内端末装置及び通信システム
KR20060058947A (ko) * 2004-11-26 2006-06-01 삼성에스디에스 주식회사 웹서비스를 이용한 홈네트워크 단지서버 서비스 제공시스템 및 그 방법

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030059959A (ko) * 2002-01-04 2003-07-12 삼성전자주식회사 시큐러티 프로토콜의 기능을 수행하는 홈 게이트웨이 및그 방법
KR20030083880A (ko) * 2002-04-23 2003-11-01 서울통신기술 주식회사 홈네트워크의 정보 단말기 원격 관리 시스템 및 그 방법
JP2005137018A (ja) 2002-09-06 2005-05-26 Matsushita Electric Ind Co Ltd 宅内端末装置及び通信システム
KR20060058947A (ko) * 2004-11-26 2006-06-01 삼성에스디에스 주식회사 웹서비스를 이용한 홈네트워크 단지서버 서비스 제공시스템 및 그 방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9571489B2 (en) 2011-08-12 2017-02-14 Sony Corporation System and method for performing commands from a remote source

Similar Documents

Publication Publication Date Title
JP4336317B2 (ja) ホームネットワークを構成する機器に対する認証装置およびその方法
JP5139423B2 (ja) ネットワーク資源に対するシングルサインオン及び安全なアクセスのためのポリシ駆動の証明情報委譲
US7882356B2 (en) UPnP authentication and authorization
KR100820671B1 (ko) 네트워크상에서의 디바이스에 대한 액세스 권한 설정과디바이스간의 인증을 위한 방법 및 장치
US20130103802A1 (en) Service providing system
KR20120047972A (ko) 암호화 정보를 교섭하기 위한 방법, 장치 및 네트워크 시스템
US20080165970A1 (en) runtime mechanism for flexible messaging security protocols
EP2979420B1 (en) Network system comprising a security management server and a home network, and method for including a device in the network system
Schridde et al. An identity-based security infrastructure for cloud environments
US7764793B2 (en) Method to leverage a secure device to grant trust and identity to a second device
KR100652999B1 (ko) 네트워크 상에서의 디바이스에 대한 제어 메시지 인증 방법
US20080065776A1 (en) Method of connecting a first device and a second device
WO2016131358A1 (zh) 家庭网关及其通信管理方法、通信系统
KR20020079044A (ko) 네트워크 카메라, 홈 게이트웨이 및 홈 오토메이션장치에서의 데이터 보안 유지 방법 및 장치
Pehkonen et al. Secure universal plug and play network
JP4837470B2 (ja) Vpnサーバホスティングシステム、vpn構築方法、およびコンピュータプログラム
KR20040002036A (ko) 보안성이 강화된 단순 인증 방법
Sales et al. Multilevel security in UPnP networks for pervasive environments
Unger et al. DPWSec: devices profile for web services security
Saxena et al. Exploring mobile proxies for better password authentication
KR102663891B1 (ko) 이중보안 특성을 가지는 스마트홈 시스템 및 그의 통신방법
JP3739008B1 (ja) アカウント管理方法及びシステム
KR100896743B1 (ko) P3p를 위한 보안 시스템 및 그 보안 방법
Song et al. A secure authentication and key agreement scheme in smart home
JP2009134430A (ja) 通信システム及び通信方法

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20090929

Year of fee payment: 4

LAPS Lapse due to unpaid annual fee