KR101267415B1 - 산업무선네트워크에서 키에 의한 상호 인증 시스템 및 그 방법 - Google Patents

산업무선네트워크에서 키에 의한 상호 인증 시스템 및 그 방법 Download PDF

Info

Publication number
KR101267415B1
KR101267415B1 KR1020110082007A KR20110082007A KR101267415B1 KR 101267415 B1 KR101267415 B1 KR 101267415B1 KR 1020110082007 A KR1020110082007 A KR 1020110082007A KR 20110082007 A KR20110082007 A KR 20110082007A KR 101267415 B1 KR101267415 B1 KR 101267415B1
Authority
KR
South Korea
Prior art keywords
key
connection
information
new
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
KR1020110082007A
Other languages
English (en)
Other versions
KR20130019804A (ko
Inventor
김기천
민위
Original Assignee
건국대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 건국대학교 산학협력단 filed Critical 건국대학교 산학협력단
Priority to KR1020110082007A priority Critical patent/KR101267415B1/ko
Publication of KR20130019804A publication Critical patent/KR20130019804A/ko
Application granted granted Critical
Publication of KR101267415B1 publication Critical patent/KR101267415B1/ko
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/70Reducing energy consumption in communication networks in wireless communication networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 산업무선네트워크에서 키에 의한 상호 인증 시스템 및 그 방법에 관한 것으로서, 보다 상세하게는 비교적 적은 키로도 중앙 집중식 및 분산 보안 관리자를 포함한 산업무선네트워크에서 인증시스템을 가동할 수 있는 산업무선네트워크에서 키에 의한 상호 인증 시스템 및 그 방법에 대한 것이다.
본 발명은 새로운 디바이스가 WIA-PA 네트워크에 접속하여, 어드레스를 SM에 전달하고, 상기 SM이 생성한 KJ를 얻는 제1단계와, 상기 새로운 디바이스가 인증 라우팅 장치로 부터 비콘을 전달받을 때까지 가용 채널을 검색하는 제2단계와, 상기 새로운 디바이스가 인증 정보로 구성되고, 상기 KJ에 의해 암호화된 접속 요구를 준비하고, 어드버타이징 라우터(advertising router)가 상기 KJ를 전달받아 네트워크 관리자에 전달하고, 상기 네트워크 관리자는 보안정보(security information)를 SM에 전달하는 제3단계와, 상기 SM이 상기 KJ에 의해 암호화된 정보를 해독하고, 새로운 KM으로 구성된 접속 응답을 생성하고, 상기 SM이 상기 디바이스의 새로운 KM으로 구성된 암호화된 접속 응답(joining response)을 생성하는 제4단계와, 상기 디바이스가 상기 암호화된 접속응답 정보를 상기 KJ에 의해 해독하여, KM과 N2를 얻고, M2와 N1을 얻기위해 상기 암호화된 접속응답 정보를 해독하여, 상기 다바이스가 미리 전달한 N1과 비교하여 상기 N1을 체크하는 제5단계와, 상기 SM이 N2와 N3를 얻어, 미리 전송한 N2와 비교하여 상기 N2를 체크하여 접속 확인을 획득하는 제6단계와, 상기 디바이스가 상기 접속 확인을 획득하여, 해독하여 N3를 얻고, 상기 SM이 미리 전달한 N3에 의하여 상기 N3를 체크하는 제7단계와, 상기 디바이스의 접속 프로세스가 종료된 후, 상기 SM은 새로운 디바이스에 대한 KEK와 KED를 생성하고, NM은 상기 KEK와 KED을 배분하는 제8단계로 이루어지는 것을 특징으로 한다.

Description

산업무선네트워크에서 키에 의한 상호 인증 시스템 및 그 방법{A Mutual Authentication Scheme with Key Agreement for Industrial Wireless Network and the method thereof}
본 발명은 산업무선네트워크에서 키에 의한 상호 인증 시스템 및 그 방법에 관한 것으로서, 보다 상세하게는 비교적 적은 키로도 중앙 집중식 및 분산 보안 관리자를 포함한 산업무선네트워크에서 인증시스템을 가동할 수 있는 산업무선네트워크에서 키에 의한 상호 인증 시스템 및 그 방법에 대한 것이다.
종래 기술로서 표준 IEC/PAS 62601는 Industrial communication networks-Fieldbus specification-WIA-PA communication network and communication profile에 대한 것으로서, WIA-PA communication network 표준에 관한 것이다.
또한 한국특허등록번호 제 0768290 호는 무선 통신 네트워크의 보안 설정 방법, 보안 설정프로그램을 기록한 기록 매체, 무선 통신 네트워크 시스템 및 클라이언트 장치에 관한 것으로서, 무선 통신에 의해 접속되는 기기의 보안 설정의 자동화, 무선 통신에 의해 접속되는 기기의 보안 레벨의 고도화, 보안 설정을 다른 접속처의 통신에 영향을 주지 않고 실행 가능하게 하는 것 이다.
한편 증가하는 무선 통신에 대한 보안 요구는 증가하고 있으나, 빠르게 발전하는 산업 무선 네트워크에서는 이에 대해 따라 오지 못하는 실정이다.
예를 들어 지그비, 블루투스 등과 같은 통신 방법으로는 산업 자동화 시스템에서 직접 사용되지 못하여, 새로운 무선 네트워크가 필요하게 되었는 데, 이에 대해 새로운 표준으로서 Wireless Networks for Industrial Automation-Process Automation (WIA-PA)가 제안되고 있다.
도1에서 보는 바와 같이 WIA-PA는 무선 시스템에서의 보안을 위한 시스템과 방법을 제공하는 국제 표준으로, 외부 네트워크(1)와 보더 게이트웨이(2)와 보안 메니져(50)와 네트워크 메니져(40)가 상호가 연결되며, 필드 디바이스(5)가 게이트 웨이, 라우팅 디바이스, 잉여 라우팅 디바이스(3, 4, 5)를 통해 인증하는 네트워크 시스템이다.
그러나 개방형 시스템에서, 무선 매체는 WIA - PA 네트워크가 공격에 취약하고, 위협은 물리 계층의 방해와 간섭으로 네트워크에 의해 아키텍처로 나눌 수 있다. 충돌, 재연 라우팅 정보, 선택적 전달, 싱크홀, 그리고 네트워크 계층 등이다.
종래의 무선 센서 네트워크는 본질적으로 낮은 계산, 메모리 부족, 짧은 통신 범위, 낮은 반죽 생활과 같은 리소스 제약이 있었다.
특히 보안 문제에 대한 리소스(recourses)를 사용할 수 있어, 전체 네트워크에 대한 중앙 집중식 및 분산 보안 관리자가 필요하고, 에너지 소비 문제는 배터리 성능 등 무선 센서 네트워크의 가장 큰 문제 중 하나로 남아 있다.
상술한 문제점을 해결하기 위하여 본 발명은 전체 네트워크에 대한 중앙 집중식 및 분산 보안 관리자를 포함하고, 배터리 성능 등의 에너지 소비 문제를 해결할 수 있는 산업무선네트워크에서 키에 의한 상호 인증 시스템과 방법을 제공하는 데 목적이 있다.
본 발명은 새로운 디바이스가 WIA-PA 네트워크에 접속하여, 어드레스를 SM에 전달하고, 상기 SM이 생성한 KJ를 얻는 제1단계와, 상기 새로운 디바이스가 인증 라우팅 장치로 부터 비콘을 전달받을 때까지 가용 채널을 검색하는 제2단계와, 상기 새로운 디바이스가 인증 정보로 구성되고, 상기 KJ에 의해 암호화된 접속 요구를 준비하고, 어드버타이징 라우터(advertising router)가 상기 KJ를 전달받아 네트워크 관리자에 전달하고, 상기 네트워크 관리자는 보안정보(security information)를 SM에 전달하는 제3단계와, 상기 SM이 상기 KJ에 의해 암호화된 정보를 해독하고, 새로운 KM으로 구성된 접속 응답을 생성하고, 상기 SM이 상기 디바이스의 새로운 KM으로 구성된 암호화된 접속 응답(joining response)을 생성하는 제4단계와, 상기 디바이스가 상기 암호화된 접속응답 정보를 상기 KJ에 의해 해독하여, KM과 N2를 얻고, M2와 N1을 얻기 위해 상기 암호화된 접속응답 정보를 해독하여, 상기 다바이스가 미리 전달한 N1과 비교하여 상기 N1을 체크하는 제5단계와, 상기 SM이 N2와 N3를 얻어, 미리 전송한 N2와 비교하여 상기 N2를 체크하여 접속 확인을 획득하는 제6단계와, 상기 디바이스가 상기 접속 확인을 획득하여, 해독하여 N3를 얻고, 상기 SM이 미리 전달한 N3에 의하여 상기 N3를 체크하는 제7단계와, 상기 디바이스의 접속 프로세스가 종료된 후, 상기 SM은 새로운 디바이스에 대한 KEK와 KED를 생성하고, NM은 상기 KEK와 KED을 배분하는 제8단계로 이루어진다.
상기 제2단계는 검색 중 검출되는 정보가 없을 경우, 상기 새로운 디바이스가 간청 광고(advertisement-solicitation)를 전송하도록 제어하는 단계와, 상기 새로운 디바이스가 temporal cluster head로서 온라인 라우팅 디바이스 또는 게이트웨이 디바이스를 선택하고, 전송받은 비콘에 따른 네트워크와 동기화하는 단계로 이루어진다.
상기 제5단계는 상기 N1을 체크하여 유효하지 않은 경우, 접속 프로세스를 중단하고, 다시 접속하는 단계와, 상기 N1을 체크하여 유효한 경우, M1, N2, N3로 구성된 접속 확인을 생성하는 단계로 이루어진다.
상기 제6단계는 상기 N2가 유효하지 않은 경우 접속 프로세스를 중단하고, 다시 접속하는 단계와, 상기 N2를 체크하여 유효한 경우, 상기 SM이 M2, N3로 구성된 접속 확인을 생성하는 단계로 이루어진다.
본 발명은 WIA-PA 네트워크에 접속하여, 어드레스를 하기 SM에 전달하고, 상기 SM이 생성한 KJ를 얻고, 인증 라우팅 장치로 부터 비콘을 전달받을 때까지 가용 채널을 검색하는 디바이스와, 상기 디바이스로 부터 어드레스를 전달받아 상기 SM에 전달하고 상기 KJ를 상기 디바이스에 다시 전달하는 공급 디바이스(provision device)와, 검색 중 검출되는 정보가 없을 경우, 상기 새로운 디바이스가 간청 광고(advertisement-solicitation)를 전송하도록 제어하는 인증 라우팅 장치와, 상기 새로운 디바이스가 인증 정보로 구성되고, 상기 KJ에 의해 암호화된 접속 요구를 준비하고, 어드버타이징 라우터(advertising router)가 상기 KJ를 전달받고, 보안정보(security information)를 SM에 전달하는 NM과, 상기 KJ에 의해 암호화된 정보를 해독하고, 새로운 KM으로 구성된 접속 응답을 생성하고, 상기 디바이스의 새로운 KM으로 구성된 암호화된 접속 응답(joining response)을 생성하는 SM으로 구성된다.
상기 디바이스가 상기 암호화된 접속응답 정보를 상기 KJ에 의해 해독하여, KM과 N2를 얻고, M2와 N1을 얻기위해 상기 암호화된 접속응답 정보를 해독하여, 상기 다바이스가 미리 전달한 N1과 비교하여 상기 N1을 체크하고, 상기 SM이 N2와 N3를 얻어, 미리 전송한 N2와 비교하여 상기 N2를 체크하여 접속 확인을 획득하며, 상기 디바이스가 상기 접속 확인을 획득하여, 해독하여 N3를 얻고, 상기 SM이 미리 전달한 N3에 의하여 상기 N3를 체크하고, 상기 디바이스의 접속 프로세스가 종료된 후, 상기 SM은 새로운 디바이스에 대한 KEK와 KED를 생성하고, NM은 상기 KEK와 KED을 배분한다.
상기 디바이스는 상기 N1을 체크하여 유효하지 않은 경우, 접속 프로세스를 중단하고, 다시 접속하고, 상기 N1을 체크하여 유효한 경우, M1, N2, N3로 구성된 접속 확인을 생성한다.
상기 SM은 상기 N2를 체크하여 유효한 경우, M2, N3로 구성된 접속 확인을 생성한다.
본 발명에 따르면 보안성을 향상시키기 위하여 비교적 적은 키로도 중앙 집중식 및 분산 보안 관리자를 포함한 산업무선네트워크에서 인증시스템을 가동할 수 있다.
본 발명에 따르면 무선 센서 네트워크에서 배터리 성능 등의 에너지 소비 문제를 효율적으로 감소시킬 수 있다.
도1은 종래 발명에 따른 WIA-PA 네트워크의 전체적인 구성을 보여주는 도면.
도2는 종래 발명에 따른 WIA-PA 네트워크의 슈퍼프레임(superframe)을 보여주는 도면.
도3은 본 발명에 따른 산업무선네트워크에서 키에 의한 상호 인증 시스템의 전체적인 구성 및 정보의 이동을 보여주는 도면.
도4는 본 발명에 따른 산업무선네트워크에서 키에 의한 상호 인증 시스템의 상태도.
도5는 본 발명에 따른 새로운 접속 프로세스의 패킷을 보여주는 도면.
도6은 본 발명에 따른 산업무선네트워크에서 키에 의한 상호 인증 시스템 보안 관리를 보여주는 도면.
도7은 본 발명에 따른 키 매니지먼트를 보여주는 도면.
도8은 본 발명에 따른 타임 코스트(time cost)의 비교를 보여주는 도면.
이하 본 발명의 실시를 위한 구체적인 내용을 도면을 참고하여 자세히 설명한다.
먼저 본 발명의 일실시예를 설명하기에 앞서 기본적인 용어를 정의한다.
NM (network manager) : 네트워크 관리자
SM (security manager) : 보안 관리자
KJ (Key_Join): 미리 설정되는 단계에서 생성된 초기 키.
KM (Key_Master): 새로운 대칭키로서 디바이스를 인증.
KEK (Key_Encrypt_Key): WIA-PA 네트워크에 접속한 후 보안 매니져에 의해 할당되는 키로서, 다른 키를 해독하는 데 사용.
KED (Key_Encryption_Data): 디바이스가 WIA-PA 네트워크에 접속한 후 SM에 의해 할당되는 키로서, 데이터 전송 중 데이터를 보호하고 완전성(integrity)를 체크함.
Key_Session (KS): 두개의 디바이스 간의 비 규칙적인 서비스 세션을 위한 키로서, 네트워크에 디바이스가 접속한 후 CAP and CFP periods에 사용됨.
본 발명은 WIA-PA 네트워크의 메쉬 토폴로지(mesh topology)를 기반으로 개발되었으며, NM(네트워크 관리자) 및 SM(보안 관리자)은 게이트웨이 장치 또는 호스트 컴퓨터에서 구현할 수 있고, 외부 네트워크 위협은 경계 게이트웨이 및 방화벽으로 막을 수 있다.
또한 상기 보안 관리자는 보안 관리 개체의 모든 키 관리, 보안 정책의 관리 등 상호 작용, 장치 인증을 담당하는 WIA - PA 네트워크의 핵심 보안 센터이다
도2에서 보는 바와 같이 실시간으로 안정적인 통신을 보장하기 위하여 슈퍼프레임(superframe)구조로 정의된 WIA - PA가 도시된다.
CAP 부분(A)은 디바이스의 네트워크 접속, 내부 클러스터 관리에 사용된다.
상기 CFP 기간이 WIA - PA superframe에서 움직일 수 있는 필드 디바이스 및 클러스터 헤드 간의 통신에 사용되며 비활성 기간은 내부 클러스터 통신에 사용되는 간 클러스터 통신 및 WIA - PA superframe의 슬리핑(sleeping)에 사용된다.
또한 WIA - PA superframe의 기간(duration)은 WIA - PA 기본 superframe 기간 2 ^ N (N은 자연 정수)으로 정의된다.
도3에서 보는 바와 같이 본 발명은 디바이스(10)와 공급 디바이스(provision device; 30)와 인증 라우팅 장치(20)와 네트워크 관리자(NM;40)과 보안 관리자(SM;50)로 크게 나뉘어 구성된다.
상기 디바이스(10)는 WIA-PA 네트워크에 접속하여, 어드레스를 하기 보안 관리자(50)에 전달하고, 상기 보안 관리자(50)가 생성한 KJ를 얻고, 인증 라우팅 장치로 부터 비콘을 전달받을 때까지 가용 채널을 검색하는 장치이다.
상기 공급 디바이스(30)는 상기 디바이스로 부터 어드레스를 전달받아 상기 보안 관리자(50)에 전달하고 상기 KJ를 상기 디바이스에 다시 전달하는 장치이다.
상기 인증 라우팅 장치(20)는 검색 중 검출되는 정보가 없을 경우, 상기 새로운 디바이스가 간청 광고(advertisement-solicitation)를 전송하도록 제어하는 장치이다.
상기 네트워크 관리자(40)는 상기 새로운 디바이스가 인증 정보로 구성되고, 상기 KJ에 의해 암호화된 접속 요구를 준비하고, 어드버타이징 라우터(advertising router)가 상기 KJ를 전달받고, 보안정보(security information)를 보안 관리자(50)에 전달하는 장치이다.
상기 보안 관리자(50)는 상기 KJ에 의해 암호화된 정보를 해독하고, 새로운 KM으로 구성된 접속 응답을 생성하고, 상기 디바이스의 새로운 KM으로 구성된 암호화된 접속 응답(joining response)을 생성하는 장치이다.
여기에서, 상기 디바이스가 상기 암호화된 접속응답 정보를 상기 KJ에 의해 해독하여, KM과 N2를 얻고, M2와 N1을 얻기위해 상기 암호화된 접속응답 정보를 해독하여, 상기 다바이스가 미리 전달한 N1과 비교하여 상기 N1을 체크하고, 상기 보안 관리자(50)가 N2와 N3를 얻어, 미리 전송한 N2와 비교하여 상기 N2를 체크하여 접속 확인을 획득하며, 상기 디바이스가 상기 접속 확인을 획득하여, 해독하여 N3를 얻고, 상기 보안 관리자(50)가 미리 전달한 N3에 의하여 상기 N3를 체크하고, 상기 디바이스의 접속 프로세스가 종료된 후, 상기 보안 관리자(50)는 새로운 디바이스에 대한 KEK와 KED를 생성하고, 네트워크 관리자(40)는 상기 KEK와 KED을 배분한다.
또한 상기 디바이스는 상기 N1을 체크하여 유효하지 않은 경우, 접속 프로세스를 중단하고, 다시 접속하고, 상기 N1을 체크하여 유효한 경우, M1, N2, N3로 구성된 접속 확인을 생성한다.
또한 상기 보안 관리자(50)는 상기 N2를 체크하여 유효한 경우, M2, N3로 구성된 접속 확인을 생성하는 것이 바람직하다.
도4에서 보는 바와 같이 상태도는 각 노드의 상황을 보여주며, 프로비젼 상태(provisioned state)에서 시작하여 유효한 세션 키(valid session key) 등으로 완성된 상태(established state)로 완료된다.
이 경우 접속 프로세스가 실패하거나 키 업데이팅이 실패할 경우, 재차 WIA-PA 네트워크에 접속하여, 키 업데이트를 재요청할 수 있다.
따라서 본 발명에 따르면 다음과 같은 취약성을 막아 낼 수 있다. 예를 들어 데이터 신뢰성(data confidentiality), 신분위장 공격(masquerade attack), 메세지 조작 공격(Message manipulation attack) 등이다.
이하 본 발명의 실시를 위한 산업무선네트워크에서 키에 의한 상호 인증 방법에 대하여 도면을 참조하여 자세히 설명한다.
먼저 새로운 디바이스가 WIA-PA 네트워크에 접속하여, 어드레스를 보안 관리자(50)에 전달하고, 상기 보안 관리자(50)가 생성한 KJ를 얻는다.
그리고 상기 새로운 디바이스가 인증 라우팅 장치로 부터 비콘을 전달받을 때까지 가용 채널을 검색한다.
상기 새로운 디바이스가 인증 정보로 구성되고, 상기 KJ에 의해 암호화된 접속 요구를 준비한다. 상기 접속 요구는 아래 <수학식1>과 같이 M1, Device_EUI_64, 랜덤 넘버인 Nounce 1으로 구성된다.
Figure 112011063787175-pat00001
그리고 어드버타이징 라우터(advertising router)가 상기 KJ를 전달받아 네트워크 관리자(40)에 전달하고, 상기 네트워크 관리자(40)는 보안정보(security information)를 보안 관리자(50)에 전달한다.
상기 보안 관리자(50)가 상기 KJ에 의해 암호화된 정보를 해독하고, 새로운 KM으로 구성된 접속 응답을 생성하고, 상기 보안 관리자(50)가 상기 디바이스의 새로운 KM으로 구성된 암호화된 접속 응답(joining response)을 생성한다.
상기 접속 응답은 아래 <수학식2>와 같이 M2, KM에 의해 해독된 Nonce1, 랜덤 넘버인 Nonce2로 구성된다.
Figure 112011063787175-pat00002
아래 <수학식3>과 같이 상기 디바이스가 상기 암호화된 접속응답 정보를 상기 KJ에 의해 해독하여, KM과 N2를 얻고, M2와 N1을 얻기위해 상기 암호화된 접속응답 정보를 해독하여, 상기 다바이스가 미리 전달한 N1과 비교하여 상기 N1을 체크한다.
Figure 112011063787175-pat00003
그리고 아래 <수학식4>와 같이 상기 보안 관리자(50)가 N2와 N3를 얻어, 미리 전송한 N2와 비교하여 상기 N2를 체크하여 접속 확인을 획득한다.
Figure 112011063787175-pat00004
또한 상기 디바이스가 상기 접속 확인을 획득하여, 해독하여 N3를 얻고, 상기 보안 관리자(50)가 미리 전달한 N3에 의하여 상기 N3를 체크하고, 상기 디바이스의 접속 프로세스가 종료된 후, 상기 보안 관리자(50)는 새로운 디바이스에 대한 KEK와 KED를 생성하고, 네트워크 관리자(40)는 상기 KEK와 KED을 배분한다.
추가적으로 검색 중 검출되는 정보가 없을 경우, 상기 새로운 디바이스가 간청 광고(advertisement-solicitation)를 전송하도록 제어하는 단계와, 상기 새로운 디바이스가 temporal cluster head로서 온라인 라우팅 디바이스 또는 게이트웨이 디바이스를 선택하고, 전송받은 비콘에 따른 네트워크와 동기화하는 단계로 더 이루어진다.
또한 상기 N1을 체크하여 유효하지 않은 경우, 접속 프로세스를 중단하고, 다시 접속하는 단계와, 상기 N1을 체크하여 유효한 경우, M1, N2, N3로 구성된 접속 확인을 생성하는 단계가 추가적으로 이루어진다.
그리고, 상기 N2가 유효하지 않은 경우 접속 프로세스를 중단하고, 다시 접속하는 단계와, 상기 N2를 체크하여 유효한 경우, 상기 보안 관리자(50)가 M2, N3로 구성된 접속 확인을 생성하는 단계도 추가적으로 이루어진다.
도5에서 보는 바와 같이 WIA-PA 네트워크에서 제안된 보안 인증 방법을 테스트하기 위해 산업 무선네트워크에서 키에 의한 상호 인증시스템을 구축하여 새로운 디바이스와 보안 관리자(50) 사이의 보안 접속 과정을 주요하게 분석하였다.
Chipcon General Packet Sniffer soft.를 사용하여 테스트 디바이스의 무선 데이터 패킷을 캡쳐하였고, 데이터 페이로드(payload)를 비교 분석하여, 인증 과정을 최종적으로 확인하였다.
도6과 도7에서 보는 바와 같이 본 발명에 따른 보안 메니지먼트와 키 메니지먼트를 시행하였다.
결과는 필드 디바이스가 상호 키를 업데이트하기 위해 준비할 경우, 보안 관리자(50)는 상기 프로세스를 시작한다.
이 경우 랜덤 넘버 발생기와 키를 생성하기 위한 KM을 사용한다. 그리고 보안 관리자(50)가 상기 디바이스에 이들을 보내고, 상기 디바이스가 보안 메니지먼트 정보를 업데이트할 수 있는 것이다.
도8에서 보는 바와 같이 본 발명에 따른 산업무선네트워크에서 키에 의한 상호 인증 시스템을 평가하기 위해 붉은 선(보안 전송)과 푸른 선(비보안 전송)으로 나누어 그룹의 증가에 따른 필요 시간(time cost) 등을 비교하였다.
즉 분석하기 위한 20개 그룹을 선택하고, 그 결과로 보안 전송의 평균시간은 25235us이고, 보안 수단의 추가가 없을 경우 평균시간은 25230us가 필요하였다.
평균 전류는 27mA이고, 슈퍼프레인(superframe)의 길이는 64디자인 하여, 일일당 총 전력 소모를 계산하니 아래식과 같았다.
Figure 112011063787175-pat00005
결론적으로 본 발명에 따른 보안 서비스는 암호와와 비암호화 과정에서 충분히 큰 전력 소모를 증가시키지 않는 다는 것이 증명되었다.
10 : 디바이스
20 : 인증 라우팅 장치
30 : 공급 디바이스(provision device)
40 : 네트워크 관리자(NM)
50 : 보안 관리자(SM)

Claims (8)

  1. 새로운 디바이스가 WIA-PA(Wireless Networks for Industrial Automation-Process Automation) 네트워크에 접속하여, 어드레스를 SM에 전달하고, 상기 SM(security manager)이 생성한 KJ(Key_Join)를 얻는 제1단계와;
    상기 새로운 디바이스가 인증 라우팅 장치로 부터 비콘을 전달받을 때까지 가용 채널을 검색하는 제2단계와;
    상기 새로운 디바이스가 인증 정보로 구성되고, 상기 KJ(Key_Join)에 의해 암호화된 접속 요구를 준비하고, 어드버타이징 라우터(advertising router)가 상기 KJ(Key_Join)를 전달받아 네트워크 관리자에 전달하고, 상기 네트워크 관리자는 보안정보(security information)를 SM(security manager)에 전달하는 제3단계와;
    상기 SM(security manager)이 상기 KJ(Key_Join)에 의해 암호화된 인증 정보로 구성된 접속 요구를 해독하고, 새로운 KM(Key_Master)으로 구성된 접속 응답을 생성하고, 상기 SM(security manager)이 상기 새로운 디바이스의 새로운 KM(Key_Master)으로 구성된 암호화된 접속 응답(joining response)을 생성하는 제4단계와;
    상기 새로운 디바이스가 상기 암호화된 접속응답 정보를 상기 KJ(Key_Join)에 의해 해독하여, KM(Key_Master)과 N2를 얻고, M2와 N1을 얻기위해 상기 암호화된 접속응답 정보를 해독하여, 상기 다바이스가 미리 전달한 N1과 비교하여 상기 N1을 체크하는 제5단계와;
    상기 SM(security manager)이 N2와 N3를 얻어, 미리 전송한 N2와 비교하여 상기 N2를 체크하여 접속 확인을 획득하는 제6단계와;
    상기 새로운 디바이스가 상기 접속 확인을 획득하여, 해독하여 N3를 얻고, 상기 SM(security manager)이 미리 전달한 N3에 의하여 상기 N3를 체크하는 제7단계와;
    상기 새로운 디바이스의 접속 프로세스가 종료된 후, 상기 SM(security manager)은 새로운 디바이스에 대한 KEK(Key_Encrypt_Key)와 KED(Key_Encryption_Data)를 생성하고, NM(network manager)은 상기 KEK(Key_Encrypt_Key)와 KED(Key_Encryption_Data)을 배분하는 제8단계;
    로 이루어지는 것을 특징으로 하는 산업무선네트워크에서 키에 의한 상호 인증 방법.
  2. 제1항에 있어서,
    상기 제2단계는,
    검색 중 검출되는 정보가 없을 경우, 상기 새로운 디바이스가 간청 광고(advertisement-solicitation)를 전송하도록 제어하는 단계와;
    상기 새로운 디바이스가 템퍼럴 클러스터 헤드(temporal cluster head)로서 온라인 라우팅 디바이스 또는 게이트웨이 디바이스를 선택하고, 전송받은 비콘에 따른 네트워크와 동기화하는 단계;
    로 이루어지는 것을 특징으로 하는 산업무선네트워크에서 키에 의한 상호 인증 방법.
  3. 제1항에 있어서,
    상기 제5단계는,
    상기 N1을 체크하여 유효하지 않은 경우, 접속 프로세스를 중단하고, 다시 접속하는 단계와;
    상기 N1을 체크하여 유효한 경우, M1, N2, N3로 구성된 접속 확인을 생성하는 단계;
    로 이루어지는 것을 특징으로 하는 산업무선네트워크에서 키에 의한 상호 인증 방법.
  4. 제1항에 있어서,
    상기 제6단계는,
    상기 N2가 유효하지 않은 경우 접속 프로세스를 중단하고, 다시 접속하는 단계와;
    상기 N2를 체크하여 유효한 경우, 상기 SM(security manager)이 M2, N3로 구성된 접속 확인을 생성하는 단계;
    로 이루어지는 것을 특징으로 하는 산업무선네트워크에서 키에 의한 상호 인증 방법.
  5. WIA-PA 네트워크에 접속하여, 어드레스를 하기 SM(security manager)에 전달하고, 상기 SM(security manager)이 생성한 KJ(Key_Join)를 얻고, 인증 라우팅 장치로 부터 비콘을 전달받을 때까지 가용 채널을 검색하는 디바이스와;
    상기 디바이스로 부터 어드레스를 전달받아 상기 SM(security manager)에 전달하고 상기 KJ(Key_Join)를 상기 디바이스에 다시 전달하는 공급 디바이스(provision device)와;
    검색 중 검출되는 정보가 없을 경우, 상기 디바이스가 간청 광고(advertisement-solicitation)를 전송하도록 제어하는 인증 라우팅 장치와;
    상기 디바이스가 인증 정보로 구성되고, 상기 KJ(Key_Join)에 의해 암호화된 접속 요구를 준비하고, 어드버타이징 라우터(advertising router)가 상기 KJ(Key_Join)를 전달받고, 보안정보(security information)를 SM(security manager)에 전달하는 NM(network manager)과;
    상기 KJ(Key_Join)에 의해 암호화된 정보를 해독하고, 새로운 KM(Key_Master)으로 구성된 접속 응답을 생성하고, 상기 디바이스의 새로운 KM(Key_Master)으로 구성된 암호화된 접속 응답(joining response)을 생성하는 SM(security manager);
    으로 구성되는 것을 특징으로 하는 산업무선네트워크에서 키에 의한 상호 인증 시스템.
  6. 제5항에 있어서,
    상기 디바이스가 상기 암호화된 접속응답 정보를 상기 KJ(Key_Join)에 의해 해독하여, KM(Key_Master)과 N2를 얻고, M2와 N1을 얻기위해 상기 암호화된 접속응답 정보를 해독하여, 상기 다바이스가 미리 전달한 N1과 비교하여 상기 N1을 체크하고,
    상기 SM(security manager)이 N2와 N3를 얻어, 미리 전송한 N2와 비교하여 상기 N2를 체크하여 접속 확인을 획득하며,
    상기 디바이스가 상기 접속 확인을 획득하여, 해독하여 N3를 얻고, 상기 SM(security manager)이 미리 전달한 N3에 의하여 상기 N3를 체크하고, 상기 디바이스의 접속 프로세스가 종료된 후, 상기 SM(security manager)은 새로운 디바이스에 대한 KEK(Key_Encrypt_Key)와 KED(Key_Encryption_Data)를 생성하고, NM(network manager)은 상기 KEK(Key_Encrypt_Key)와 KED(Key_Encryption_Data)을 배분하는 것을 특징으로 하는 산업무선네트워크에서 키에 의한 상호 인증 시스템.
  7. 제5항 또는 제6항에 있어서,
    상기 디바이스는 상기 N1을 체크하여 유효하지 않은 경우, 접속 프로세스를 중단하고, 다시 접속하고, 상기 N1을 체크하여 유효한 경우, M1, N2, N3로 구성된 접속 확인을 생성하는 것을 특징으로 하는 산업무선네트워크에서 키에 의한 상호 인증 시스템.
  8. 제5항 또는 제6항에 있어서,
    상기 SM(security manager)은,
    상기 N2를 체크하여 유효한 경우, M2, N3로 구성된 접속 확인을 생성하는 것을 특징으로 하는 산업무선네트워크에서 키에 의한 상호 인증 시스템.
KR1020110082007A 2011-08-18 2011-08-18 산업무선네트워크에서 키에 의한 상호 인증 시스템 및 그 방법 Expired - Fee Related KR101267415B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020110082007A KR101267415B1 (ko) 2011-08-18 2011-08-18 산업무선네트워크에서 키에 의한 상호 인증 시스템 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110082007A KR101267415B1 (ko) 2011-08-18 2011-08-18 산업무선네트워크에서 키에 의한 상호 인증 시스템 및 그 방법

Publications (2)

Publication Number Publication Date
KR20130019804A KR20130019804A (ko) 2013-02-27
KR101267415B1 true KR101267415B1 (ko) 2013-05-30

Family

ID=47897854

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110082007A Expired - Fee Related KR101267415B1 (ko) 2011-08-18 2011-08-18 산업무선네트워크에서 키에 의한 상호 인증 시스템 및 그 방법

Country Status (1)

Country Link
KR (1) KR101267415B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180079130A (ko) 2016-12-31 2018-07-10 다운정보통신(주) 산업네트워크 현장 모니터링과 원격제어를 위한 정보 수집 및 분석 시스템

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109493580B (zh) * 2017-09-11 2024-05-24 中泓慧联技术有限公司 一种基于wia-pa多功能手持机控制系统
CN113055162B (zh) * 2021-03-10 2022-07-08 重庆邮电大学 一种基于国密算法的wia-pa网络安全通信方法
CN113839969B (zh) * 2021-11-29 2022-03-15 军事科学院系统工程研究院网络信息研究所 一种双向认证的网络管理协议方法和系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Min Wei 외 3명, Research and Implementation on the Security Scheme of Industrial Wireless Network, 2011 International Conference on Information Network (ICOIN), IEEE (2011.01.)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180079130A (ko) 2016-12-31 2018-07-10 다운정보통신(주) 산업네트워크 현장 모니터링과 원격제어를 위한 정보 수집 및 분석 시스템

Also Published As

Publication number Publication date
KR20130019804A (ko) 2013-02-27

Similar Documents

Publication Publication Date Title
US10250698B2 (en) System and method for securing pre-association service discovery
CN113596828B (zh) 端对端服务层认证
Chakrabarty et al. Black SDN for the Internet of Things
Traynor et al. Efficient hybrid security mechanisms for heterogeneous sensor networks
US9185097B2 (en) Method and system for traffic engineering in secured networks
KR20230054421A (ko) 셀룰러 슬라이싱된 네트워크들에서의 중계기 선택의 프라이버시
CN105516980B (zh) 一种基于Restful架构的无线传感器网络令牌认证方法
CN103309307B (zh) 一种基于对象访问控制的智能家电控制方法
JP2016082597A (ja) セキュアセッションの確立と暗号化データ交換のためのコンピュータ利用システム及びコンピュータ利用方法
CN103490891A (zh) 一种电网ssl vpn中密钥更新和使用的方法
CN101420686A (zh) 基于密钥的工业无线网络安全通信实现方法
Singh et al. Dynamic group based efficient access authentication and key agreement protocol for MTC in LTE-A networks
KR101267415B1 (ko) 산업무선네트워크에서 키에 의한 상호 인증 시스템 및 그 방법
CN103888940B (zh) 多级加密与认证的wia‑pa网络手持设备的通讯方法
Garcia-Morchon et al. The ANGEL WSN security architecture
Walid et al. Trust security mechanism for maritime wireless sensor networks
Abraham et al. An efficient protocol for authentication and initial shared key establishment in clustered wireless sensor networks
CN102917081A (zh) Vpn客户端ip地址的分配方法、报文传输方法及vpn服务器
KR101329968B1 (ko) IPSec VPN 장치들 사이의 보안 정책을 결정하기 위한 방법 및 시스템
Panwar et al. Canopy: A verifiable privacy-preserving token ring-based communication protocol for smart homes
Nasiraee et al. A new three party key establishment scheme: Applicable for internet-enabled sensor networks
CN110933674A (zh) 基于动态密钥SDN控制器与Ad Hoc节点安全通道自配置方法
KR100686736B1 (ko) 인증을 통한 이동 애드혹 네트워크에의 참여 방법
CN113038457B (zh) 一种基于分布式神经网络的自组网全时空安全通信系统及其方法
Wei et al. A mutual authentication scheme with key agreement for industrial wireless network

Legal Events

Date Code Title Description
A201 Request for examination
PA0109 Patent application

St.27 status event code: A-0-1-A10-A12-nap-PA0109

PA0201 Request for examination

St.27 status event code: A-1-2-D10-D11-exm-PA0201

D13-X000 Search requested

St.27 status event code: A-1-2-D10-D13-srh-X000

D14-X000 Search report completed

St.27 status event code: A-1-2-D10-D14-srh-X000

R18-X000 Changes to party contact information recorded

St.27 status event code: A-3-3-R10-R18-oth-X000

E902 Notification of reason for refusal
PE0902 Notice of grounds for rejection

St.27 status event code: A-1-2-D10-D21-exm-PE0902

P11-X000 Amendment of application requested

St.27 status event code: A-2-2-P10-P11-nap-X000

P13-X000 Application amended

St.27 status event code: A-2-2-P10-P13-nap-X000

PG1501 Laying open of application

St.27 status event code: A-1-1-Q10-Q12-nap-PG1501

R17-X000 Change to representative recorded

St.27 status event code: A-3-3-R10-R17-oth-X000

E701 Decision to grant or registration of patent right
PE0701 Decision of registration

St.27 status event code: A-1-2-D10-D22-exm-PE0701

GRNT Written decision to grant
PR0701 Registration of establishment

St.27 status event code: A-2-4-F10-F11-exm-PR0701

PR1002 Payment of registration fee

Fee payment year number: 1

St.27 status event code: A-2-2-U10-U11-oth-PR1002

PG1601 Publication of registration

St.27 status event code: A-4-4-Q10-Q13-nap-PG1601

FPAY Annual fee payment

Payment date: 20160516

Year of fee payment: 4

PR1001 Payment of annual fee

Fee payment year number: 4

St.27 status event code: A-4-4-U10-U11-oth-PR1001

FPAY Annual fee payment

Payment date: 20170522

Year of fee payment: 5

PR1001 Payment of annual fee

Fee payment year number: 5

St.27 status event code: A-4-4-U10-U11-oth-PR1001

P22-X000 Classification modified

St.27 status event code: A-4-4-P10-P22-nap-X000

FPAY Annual fee payment

Payment date: 20180521

Year of fee payment: 6

PR1001 Payment of annual fee

Fee payment year number: 6

St.27 status event code: A-4-4-U10-U11-oth-PR1001

P22-X000 Classification modified

St.27 status event code: A-4-4-P10-P22-nap-X000

LAPS Lapse due to unpaid annual fee
PC1903 Unpaid annual fee

Not in force date: 20190521

Payment event data comment text: Termination Category : DEFAULT_OF_REGISTRATION_FEE

St.27 status event code: A-4-4-U10-U13-oth-PC1903

P22-X000 Classification modified

St.27 status event code: A-4-4-P10-P22-nap-X000

PC1903 Unpaid annual fee

Ip right cessation event data comment text: Termination Category : DEFAULT_OF_REGISTRATION_FEE

Not in force date: 20190521

St.27 status event code: N-4-6-H10-H13-oth-PC1903

R18-X000 Changes to party contact information recorded

St.27 status event code: A-5-5-R10-R18-oth-X000

PN2301 Change of applicant

St.27 status event code: A-5-5-R10-R11-asn-PN2301

St.27 status event code: A-5-5-R10-R13-asn-PN2301

R18-X000 Changes to party contact information recorded

St.27 status event code: A-5-5-R10-R18-oth-X000

R18-X000 Changes to party contact information recorded

St.27 status event code: A-5-5-R10-R18-oth-X000

R18-X000 Changes to party contact information recorded

St.27 status event code: A-5-5-R10-R18-oth-X000