KR101594897B1 - 사물 인터넷에서 경량 사물간 보안 통신 세션 개설 방법 및 보안 통신 시스템 - Google Patents
사물 인터넷에서 경량 사물간 보안 통신 세션 개설 방법 및 보안 통신 시스템 Download PDFInfo
- Publication number
- KR101594897B1 KR101594897B1 KR1020140123503A KR20140123503A KR101594897B1 KR 101594897 B1 KR101594897 B1 KR 101594897B1 KR 1020140123503 A KR1020140123503 A KR 1020140123503A KR 20140123503 A KR20140123503 A KR 20140123503A KR 101594897 B1 KR101594897 B1 KR 101594897B1
- Authority
- KR
- South Korea
- Prior art keywords
- server
- sensor
- information
- dtls
- selected sensor
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/085—Secret sharing or secret splitting, e.g. threshold schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/009—Security arrangements; Authentication; Protecting privacy or anonymity specially adapted for networks, e.g. wireless sensor networks, ad-hoc networks, RFID networks or cloud networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
본 발명은, 적어도 하나의 센서를 이용하는 사물간 암호화 통신 시스템으로서, 상기 적어도 하나의 센서 중 선택된 센서에 대한 정보를 요청하고, 상기 선택된 센서의 DTLS Handshake 수행을 요청하는 웹클라이언트; 상기 웹클라이언트의 상기 선택된 센서에 대한 정보 요청에 응답하여 상기 선택된 센서의 DTLS Handshake 대행을 알리고, 상기 선택된 센서에 대한 DTLS Handshake 대행하는 서버의 정보를 상기 웹 클라이언트에 전송하는 제1 서버; 상기 선택된 센서의 DTLS Handshake 대행에 대한 응답을 상기 제1 서버에 제공하는 제2 서버; 및 상기 웹 클라이언트의 상기 선택된 센서의 DTLS Handshake 수행 요청에 따라 상기 선택된 센서의 DTLS Handshake를 대행하는 제3 서버를 포함하는 것을 특징으로 한다.
Description
본 발명은 사물간 지능 통신에 관한 것으로서, 보다 구체적으로 사물 인터넷 환경에서 자원이 제한적인 장치들 간에 암호화 통신을 제공하는 시스템 및 방법에 관한 것이다.
스마트폰, 스마트패드, 스마트센서, 스마트TV, 또는 스마트 자동차와 같은 다양한 스마트 장치들을 통해 인터넷 연결이 가능해 지면서 스마트 장치들이 실생활과 더욱 밀접해 지고 있다. 이로 인해, 1인당 스마트 장치 소유 개수는 지금보다 더욱 증가하여 2015년에는 최소 7개로 증가할 것으로 예상되고, 약 250억 개의 장치들이 무선 인터넷을 기반으로 연결될 것으로 예상되고 있다.
이러한 스마트 장치들의 발달에 힘입어 최근에는 M2M(Machine to Machine), IoT(Internet of Things), 및 WoT(Web of Things) 등과 같은 사물간 통신 네트워크에 대한 집중적인 연구가 이루어지고 있다.
IoT(Internet of Things)는 인터넷을 기반으로 한 사물 지능 통신 기술로서 이기종 스마트 장치 간의 상호 접속 네트워크를 제공하고자 한다. IoT 환경을 구성하는 장치는 센서 등과 같이 CPU, 메모리, 배터리 등의 자원이 제한적인 장치이며, IoT의 네트워크 환경은 LLN(Lossy and Low Power Network)로서, MTU(Maxium Transmission Unit) 크기가 127byte인 IEEE 802.15.4 기반의 통신기술을 이용할 수 있다.
특히 IoT 환경을 구성하는 장치들은, IETF(Internet Engineering Task force) 표준화 기구에 의해, 그 자원의 제한적인 정도에 따라 Class 0부터 Class 2까지 구분되고 있다. 여기서 Class 0은 가장 자원이 제한된 장치로서, 메모리가 10KiB 이하이고, 최대 적재 가능한 코드 크기가 100KiB 이하의 초경량화 장치들이 포함될 수 있다.
이러한 장치 및 통신환경의 특징을 갖는 IoT 환경에서, IETF(Internet Engineering Task force) 표준화 기구는 장치 상호간 통신에 있어 공통된 플랫폼을 제공하기 위한 방안으로 UDP(User Datagram Protocol)을 기반으로 하는 CoAP(Constrained Application Protocol)을 제안하여 표준화 하였다. CoAP를 통해 제조사가 다른 이기종 장치 간 통신이 가능해졌으며, 스마트 자동차, 스마트 홈, 스마트 헬스케어 시스템 등 다양한 분야에 적용되어 보다 유연한 IoT 환경 구성이 가능해졌다.
하지만 수많은 장치의 연결은 스마트한 세상의 가능성만큼 높은 보안 위협의 가능성을 가지고 있다. 네트워크에 연결된 장치 수의 증가는 공격할 수 있는 대상의 증가를 의미한다. IoT 환경은 개개인 맞춤형 서비스를 지향하므로 개인적인 정보를 포함함에도 불구하고 기존 인터넷 환경에서의 구성장치보다 더 공격받기 쉽기 때문에 신중한 보안적 접근이 필요하다.
이에 따라, TCP(Transmission Control Protocol) 기반의 HTTP(Hyper Text Transfer Protocol)의 표준 보안 프로토콜인 TLS(Transport Layer Security)와 특징은 같으나 데이터 그램 방식을 제공하는 DTLS(Datagram Transport Layer Security)가 CoAP에 적합한 보안 프로토콜로서 권고되고 있다.
그러나 DTLS는 기존 인터넷 환경에서 사용하던 프로토콜이다. 따라서 자원이 제한적인 장치(Constrained device)와 LLN과 같은 제한적인 네트워크(Constrained Network)로 구성된 IoT 환경에서 그대로 사용하기에는 많은 문제점들이 있다.
특히, IoT 환경에서, 대부분의 통신 규약은 작은 MTU를 갖는다. 예로, IEEE의 802.15.4 규약은 MTU 크기가 127byte인 제한적인 네트워크로 손실 및 지연이 생길 수 있다는 문제점이 있다.
또한, 작은 MTU로 인해 DTLS Handshake 과정 중, 데이터 분할(fragmentation)이 발생되며, 패킷 분할로 인해 불필요한 헤더 데이터의 증가된다는 문제점이 있다.
또한 패킷 분할로 인한 데이터 손실(Loss), 손실에 따른 재전송으로 인한 지연, 네트워크 오버헤드 문제가 발생될 수 있다.
이에 더하여, 자원 제한적인 장치의 경우, 분할된 메시지를 재조립하기 위해 모든 분할된 메시지가 도착할 때까지 메시지 조각을 버퍼에 저장하고 있어야 하는 부담이 발생하게 된다.
본 발명은 상술한 문제점을 해결하기 위한 것으로서, DTLS 프로토콜을 사용할 때 가장 큰 부담이 될 수 있는 DTLS Handshake 과정을, 자원이 충분한 장치에 대행시킴으로써, DTLS Handshake 과정에서 발생될 수 있는 패킷 분할, 데이터 분실, 재전송으로 인한 지연 등과 같은 문제들를 완전히 해결할 수 있는 사물 인터넷에서 경량 사물간 보안 통신 세션 개설 방법 및 보안 통신 시스템을 제공한다.
또한, 본 발명은, 자원이 제한적인 CoAP 센서 등의 장치에 DTLS 프로토콜을 전부 탑재하지 않아도, CoAP 센서와 웹 클라이언트, 또는 CoAP 센서와 웹 서버 종단간에 안전하게 보안 통신이 가능한 사물 인터넷에서 경량 사물간 보안 통신 세션 개설 방법 및 보안 통신 시스템을 제공한다.
또한 본 발명은, 보안 통신을 위하여 DTLS 프로토콜을 이용하기 위해 저장해야만 했던 모든 암호화 알고리즘 정보와 인증서를 포함하지 못하는 자원이 제한적인 장치라도, 안전하게 보안 통신을 할 수 있는 사물 인터넷에서 경량 사물간 보안 통신 세션 개설 방법 및 보안 통신 시스템을 제공한다.
또한, 본 발명은, 자원이 충분한 장치에서 DTLS Handshake 과정을 수행할 수 있으므로, 자원에 제약 없이 암호 알고리즘(Cipher suite)을 자유롭게 선택할 수 있어 보다 더 안전하게 CoAP 센서와 보안 통신을 수행할 수 있는 사물 인터넷에서 경량 사물간 보안 통신 세션 개설 방법 및 보안 통신 시스템을 제공한다.
또한, 본 발명은 자원이 충분한 장치로 DTLS Handshake 요청이 전송되므로 자원이 제한적인 장치에서 쉽게 발생할 수 있는 DoS와 같은 문제를 해결할 수 있는 사물 인터넷에서 경량 사물간 보안 통신 세션 개설 방법 및 보안 통신 시스템을 제공한다.
상술한 문제점을 해결하기 위한 본 발명의 일 측면에 따른 사물 인터넷에서 경량 사물간 보안 통신 시스템은 적어도 하나의 센서를 이용하는 사물간 암호화 통신 시스템으로서, 상기 적어도 하나의 센서 중 선택된 센서에 대한 정보를 요청하고, 상기 선택된 센서의 DTLS Handshake 수행을 요청하는 웹클라이언트; 상기 웹클라이언트의 상기 선택된 센서에 대한 정보 요청에 응답하여 상기 선택된 센서의 DTLS Handshake 대행을 알리고, 상기 선택된 센서에 대한 DTLS Handshake 대행하는 서버의 정보를 상기 웹 클라이언트에 전송하는 제1 서버; 상기 선택된 센서의 DTLS Handshake 대행에 대한 응답을 상기 제1 서버에 제공하는 제2 서버; 및 상기 웹 클라이언트의 상기 선택된 센서의 DTLS Handshake 수행 요청에 따라 상기 선택된 센서의 DTLS Handshake를 대행하는 제3 서버를 포함하는 것을 특징으로 한다.
또한, 상기 웹클라이언트는 상기 제1 서버로부터 적어도 하나의 센서에 대한 정보가 포함된 메인 페이지를 전송받고, 상기 적어도 하나의 센서 중에서 상기 메인 페이지를 링크 클릭하는 방법으로 선택된 센서에 대한 정보를 상기 제1 서버에 요청하는 것을 특징으로 한다.
상기 웹클라이언트는 상기 선택된 센서에 대한 정보를 URI 형태로 상기 제1 서버에 요청하고, 상기 제1 서버는 상기 URI 정보를 이용하여 상기 제2 서버에 상기 선택된 센서의 DTLS Handshake 대행 여부 정보를 요청하는 것을 특징으로 한다.
상기 제1 서버는 상기 선택된 센서에 대한 DTLS Handshake 대행하는 상기 제3 서버의 IP와 Port를 포함하는 정보를 상기 웹클라이언트에 전송하고, 상기 제3 서버 및 상기 선택된 센서에 DTLS Handshake 대행 알림을 CoAP 프로토콜 메시지 형식에 따라 전송하는 것을 특징으로 한다.
상기 제3 서버는 상기 선택된 센서의 DTLS Handshake 수행되면 세션 정보를 암호화하여 상기 선택된 센서에 전송하고, 상기 세션정보는 세션 ID, DTLS Version, Key Material를 PSK 암호화하는 것을 특징으로 한다.
상술한 문제점을 해결하기 위한 본 발명의 다른 측면에 따른 사물 인터넷에서 경량 사물간 보안 통신 세션 개설 방법은 적어도 하나의 센서를 이용하는 사물간 암호화 통신 방법으로서, 웹 클라이언트가 상기 적어도 하나의 센서 중에서 선택된 센서에 대한 정보를 상기 제1 서버에 요청하는 단계; 상기 제1 서버가 상기 선택된 센서의 DTLS Handshake 대행 여부를 제2 서버에 요청하고, 제2 서버으로부터 상기 선택된 센서의 DTLS Handshake 대행 여부에 대한 응답을 수신하는 단계; 상기 제1 서버가 상기 선택된 센서에 대한 DTLS Handshake을 대행하는 제3 서버의 정보를 상기 웹 클라이언트에 전송하는 단계; 상기 웹 클라이언트가 상기 제1 서버로부터 전송받은 상기 제3 서버의 정보를 이용하여 상기 선택된 센서에 대한 DTLS Handshake 수행을 상기 제3 서버에 요청하는 단계; 상기 제3 서버가 상기 선택된 센서에 대한 DTLS Handshake을 대행하는 단계; 및 상기 DTLS Handshake가 대행되면 상기 제3 서버가 세션 정보를 암호화하여 상기 선택된 센서에 전송하는 단계를 포함하는 것을 특징으로한다.
또한, 웹 클라이언트가 메인 도메인을 이용하여 제1 서버가 관리하는 적어도 하나의 센서에 대한 정보 페이지를 제1 서버에 요청하는 단계; 및 상기 제1 서버가 상기 적어도 하나의 센서에 대한 정보가 포함된 메인 페이지를 상기 웹 클라이언트에 전송하는 단계를 더 포함하고, 웹 클라이언트가 상기 적어도 하나의 센서 중에서 선택된 센서에 대한 정보를 상기 제1 서버에 요청하는 단계는 상기 적어도 하나의 센서 중 상기 메인 페이지를 링크 클릭하는 방법으로 선택된 센서에 대한 정보를 상기 제1 서버에 요청하는 것을 특징으로 한다.
본 발명에 따른 사물 인터넷에서 경량 사물간 보안 통신 세션 개설 방법 및 보안 통신 시스템에 따르면, DTLS 프로토콜을 사용할 때 가장 큰 부담이 될 수 있는 DTLS Handshake 과정을, 자원이 충분한 장치에 대행시킴으로써, LLN 환경에서 자원이 제한적인 장치에서 DTLS Handshake 과정을 수행할 때 필요한 메시지 패킷 분할을 하지 않을 수 있다. 따라서 패킷 분할로 인하여 발생되는 데이터 분실, 재전송으로 인한 지연, 헤더 데이터의 증가 등과 같은 문제들을 완전히 해결할 수 있다는 효과가 있다.
또한, 본 발명에 따른 사물 인터넷에서 경량 사물간 보안 통신 세션 개설 방법 및 보안 통신 시스템에 따르면, 자원이 제한적인 CoAP 센서 등의 장치에 DTLS 프로토콜을 전부 탑재하지 않아도, CoAP 센서와 웹 클라이언트, 또는 CoAP 센서와 웹 서버 종단간에 안전하게 보안 통신이 가능하다는 효과가 있다.
또한, 본 발명에 따른 사물 인터넷에서 경량 사물간 보안 통신 세션 개설 방법 및 보안 통신 시스템에 따르면, 보안 통신을 위하여 DTLS 프로토콜을 이용하기 위해 저장해야만 했던 모든 암호화 알고리즘 정보와 인증서를 포함하지 못하는 자원이 제한적인 장치라도 안전하게 보안 통신을 할 수 있다는 효과가 있다.
또한, 본 발명에 따른 사물 인터넷에서 경량 사물간 보안 통신 세션 개설 방법 및 보안 통신 시스템에 따르면, 자원이 충분한 장치에서 DTLS Handshake 과정을 수행할 수 있으므로 자원에 제약 없이 암호 알고리즘(Cipher suite)을 자유롭게 선택할 수 있어 보다 더 안전하게 CoAP 센서와 보안 통신을 수행할 수 있다는 효과가 있다.
또한, 본 발명에 따른 사물 인터넷에서 경량 사물간 보안 통신 세션 개설 방법 및 보안 통신 시스템에 따르면, DTLS Handshake 요청이 자원이 충분한 장치로 전송되므로 자원이 제한적인 장치에 쉽게 발생할 수 있는 DoS와 같은 문제를 해결할 수 있다는 효과가 있다.
도 1은 본 발명에 따른 사물 인터넷에서 경량 사물간 보안 통신 시스템의 구성을 개략적으로 보여주는 전체 구성도.
도 2는 본 발명의 제1 실시예에 따른 사물 인터넷에서 경량 사물간 보안 통신 세션 개설 방법을 보여주는 신호 흐름도.
도 3은 제1 서버(171)가 제2 서버(173)에 CoAP 센서(140)의 DTLS Handshake 대행 여부를 묻는 상세 신호 흐름도.
도 4는 본 발명의 제2 실시예에 따른 사물 인터넷에서 경량 사물간 보안 통신 세션 개설 방법을 보여주는 신호 흐름도.
도 2는 본 발명의 제1 실시예에 따른 사물 인터넷에서 경량 사물간 보안 통신 세션 개설 방법을 보여주는 신호 흐름도.
도 3은 제1 서버(171)가 제2 서버(173)에 CoAP 센서(140)의 DTLS Handshake 대행 여부를 묻는 상세 신호 흐름도.
도 4는 본 발명의 제2 실시예에 따른 사물 인터넷에서 경량 사물간 보안 통신 세션 개설 방법을 보여주는 신호 흐름도.
본 명세서에서 각 도면의 구성요소들에 참조번호를 부가함에 있어서 동일한 구성 요소들에 한해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 번호를 가지도록 하고 있음에 유의하여야 한다.
한편, 본 명세서에서 서술되는 용어의 의미는 다음과 같이 이해되어야 할 것이다.
단수의 표현은 문맥상 명백하게 다르게 정의하지 않는 한 복수의 표현을 포함하는 것으로 이해되어야 하고, "제1", "제2" 등의 용어는 하나의 구성요소를 다른 구성요소로부터 구별하기 위한 것으로, 이들 용어들에 의해 권리범위가 한정되어서는 아니 된다. 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는
"포함하다" 또는 "가지다" 등의 용어는 하나 또는 그 이상의 다른 특징이나부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
"적어도 하나"의 용어는 하나 이상의 관련 항목으로부터 제시 가능한 모든 조합을 포함하는 것으로 이해되어야 한다. 예를 들어, "제1 항목, 제2 항목 및 제3 항목 중에서 적어도 하나"의 의미는 제1 항목, 제2 항목, 또는 제3 항목 각각 뿐만 아니라 제1 항목, 제2 항목, 및 제3 항목 중에서 2개 이상으로부터 제시될 수 있는 모든 항목의 조합을 의미한다.
먼저, 본 발명의 실시예들에 대해 구체적으로 설명하기에 앞서 본 발명이 적용되는 사물간 통신 네트워크의 구성에 대해 간략히 설명한다.
ETSI(European Telecommunications Standards Institute)는 객체들간의 통신과 관련하여 M2M(Machine to Machine)을 키워드로 표준화 작업을 진행하고 있고, ITU-T(International Telecommunications Union Telecommunication)의 경우 IoT(Internet of Things)혹은 MOC(Machine Oriented Communication)라는 용어를 사용하고 있으나 대부분 M2M과 유사한 개념을 적용하고 있다.
IoT란 무선 통신이 가능한 각각의 사물들이 연결되어 지능화 통신을 하는 것을 의미한다. IoT는 각종 센서와 모바일 디바이스 등 이기종(Heterogeneous) 간 상호 접속 네트워크라는 특징을 가진다. 이러한 특징으로 인해 제조사별 장치마다 다양한 사설표준이 만들어지고 구현되어 이기종의 디바이스 간 원활한 상호운영에 어려움이 있다. 따라서 진정한 IoT 개념을 구현하기 위해서는 제조사나 장치 특성에 구애받지 않는 단일화된 표준 플랫폼이 필요하다.
이러한 문제를 해결하고자 모든 사물을 Web으로 통합하는 WoT(Web of Things)라는 개념이 제안된 바 있다. IETF(Internet Engineering Task force) CoRE(Constrained RESTful Environment) 워킹그룹에서는 IoT 환경을 구성하고 있는 이기종의 장치 간 통신에 있어 공통된 플랫폼을 제공하기 위한 방안으로 CoAP(Constrained Application Protocol)를 제안하여 표준화 작업 중에 있다.
CoAP은 자원이 제한적인 장치들 간의 정보 전송을 위해 표준화되고 있는 프로토콜로 기존 웹 데이터 전송을 위한 HTTP 프로토콜과 같이 GET, POST, PUT, DELETE와 같은 간단한 전송 방법(method)을 사용하는 RESTful구조를 갖는다. 즉, CoAP은 HTTP의 경량화 버전이라고 할 수 있다. 반면, HTTP가 TCP를 기반으로 하는 것과 다르게 CoAP는 UDP를 기반으로 동작한다. 따라서 HTTP의 경우 안전한 데이터 전송을 위해 TCP기반 표준 보안 프로토콜인 TLS(Transport Layer Security)를 기본 프로토콜을 사용하고 있다. 이와 같은 흐름으로 IETF는 TLS와 같은 특성을 제공하지만 UDP와 같은 Datagram 방식인 DTLS를 CoAP을 위한 표준 보안 프로토콜로 선택하였다. DTLS(Datagram Transport Layer Security)은 UDP와 같이 비신뢰적인 전송 프로토콜을 위해 디자인 된 보안 표준 프로토콜이다. DTLS는 TLS와 마찬가지로 상호 인증, 데이터 기밀성과 무결성 등을 제공한다.
DTLS 프로토콜의 기본 구조는 상위계층과 하위계층으로 2개의 Layer로 구분될 수 있다. 상위 계층은 안전한 데이터 전송을 제공하기 위해 필요한 제어를 주로 담당하고, 하위 계층인 레코드 프로토콜(Record protocol)은 데이터의 암호화와 무결성 검증 값 등을 계산한 후 전송을 담당한다. 특히, 상위 계층인 핸드 쉐이크 프로토콜(Handshake protocol)은 클라이언트와 서버 상호간에 여러 번의 메시지 교환을 통해, 상호 인증하는 역할을 수행하며, 데이터를 암호화하고 복호화할 때 필요한 암호 알고리즘들(cipher suite)을 결정하고, 사용할 비밀키를 공유하는 역할을 수행한다.
본 발명에 따른 사물 인터넷에서 경량 사물간 보안 통신 시스템은, 자원이 제한적인 장치가 아닌 별도의 대행장치에서 DTLS 핸드쉐이크 과정을 수행하는 것을 특징으로 한다.
도 1은 본 발명에 따른 사물 인터넷에서 경량 사물간 보안 통신 시스템의 구성을 개략적으로 보여주는 전체 구성도이다.
도 1에 도시된 바와 같이, 본 발명에 따른 사물 인터넷에서 경량 사물간 보안 통신 시스템(이하, '보안 통신시스템'이라 함)은, 웹 클라이언트(110), 웹 서버(120), CoAP 센서들(130, 140, 150, 160) 및 보안서비스관리장치(Secure Service Manager, 170), 을 포함한다.
웹 클라이언트(110)는 보안서비스관리장치(170)를 통해 CoAP 센서들(130, 140, 150, 160) 중 적어도 하나에 DTLS 통신을 요청하는 주체이며, 이때 CoAP 센서들은 서버의 역할을 수행하게 된다.
웹 클라이언트(110)는 CoAP 센서들(130, 140, 150, 160) 중에서 DTLS Handshake 수행을 요청하는 센서를 선택하여 선택된 센서에 대한 정보를 보안서비스관리장치(170)의 제1 서버(171)에 요청한다.
웹 클라이언트(110)는 제1 서버로(171)로부터 CoAP 센서들(130, 140, 150, 160)에 대한 정보가 포함된 메인 페이지를 전송받고, 메인 페이지를 링크 클릭하는 방법으로 센서가 선택되고, 선택된 센서에 대한 정보를 제1 서버(171)에 요청할 수 있다. 이 경우, 웹 클라이언트(110)는 선택된 센서에 대한 정보를 제1 서버(171)에 요청할 때 URI 형태로 요청할 수 있다.
또한, 웹 클라이언트(110)는 제1 서버(171)로부터 선택된 센서의 DTLS Handshake 대행을 수행하는 보안서비스관리장치(170)의 제3 서버(175) 정보를 수신하면, 제 3 서버(175) 정보를 이용하여 선택된 센서의 DTLS Handshake 수행을 요청한다. 제3 서버(175)의 정보는 IP와 Port를 포함한다.
웹 서버(120)는 CoAP 센서들(130, 140, 150, 160) 중 적어도 하나로부터 보안서비스관리장치(170)를 통해 DTLS 통신을 요청받는 주체이다. 즉 CoAP 센서가 클라이언트의 역할을 수행하면, 웹 서버(120)는 서버로서의 역할을 수행한다.
CoAP 센서(130, 140, 150, 160)는 자원이 제한적인 장치들로서 DTLS 통신을 요청받고 제공하는 역할은 물론, 정보를 요청할 수 있다. 즉, 클라이언트 및 서버의 역할 중 어느 하나의 역할을 수행할 수 있다.
CoAP 센서(130)는 IETF에서 분류한 Class 2에 해당하는 장치일 수 있으며, 직접 웹 클라이언트(110) 및 웹 서버(120) 중 어느 하나와 통신을 할 수 있다. 또한 CoAP 센서들(140, 150, 160)은 IETF에서 분류한 Class 0 및 Class 1 중 어느 하나에 해당하는 장치일 수 있으며 보안서비스관리장치(170)를 통하여 웹 클라이언트(110) 및 웹 서버(120) 중 어느 하나와 DTLS 통신을 할 수 있다. 즉, CoAP 센서(130, 140, 150, 160)는 10KiB 이하의 램(RAM)과 100KiB이하의 롬(ROM)을 가지고 있는 Class 1의 장치와 그보다 더 제한적인 자원을 가진 Class 0에 포함된 장치를 기준으로 한다.
Class 0 및 Class 1 장치는 DTLS 프로토콜 전부가 탑재되는 것이 아니라, DTLS 프로토콜 중 레코드 프로토콜(Record Protocol)에 해당하는 소스 코드를 포함하고, 암호화를 위한 AES 암호 모듈(Encryption Module)과 MAC 생성을 위한 해쉬 모듈(Hash Module)을 포함한다.
보안서비스관리장치(170)는 무선 데이터 통신이 가능한 장치로서, CoAP 센서(130, 140, 150, 160)와 사전에 안전하게 PSK(Pre-Shared Key) 키를 공유하고, PSK키를 이용하여 Handshake 과정을 수행한다. 이렇게 수행된 Handshake 과정에 의해 생성된 세션 정보를 PSK키로 암호화 하여 CoAP 센서(130, 140, 150, 160)에 전송하는 역할을 수행한다. CoAP 센서(130, 140, 150, 160)는 보안서비스관리장치(170)로부터 전송받은 세션 정보에 기초하여 DTLS 통신을 위한 데이터를 암복호화하여 보안서비스관리장치(170)에 전송할 수 있다. 그런 후, 보안서비스관리장치(170)는 전송받은 DTLS 통신을 위한 데이터를 웹 클라이언트(110)에 전달(Relay)하는 역할을 수행한다.
또한 세션 정보 전송 후, 보안서비스관리장치(170)는 세션정보를 바로 폐기하므로 CoAP 센서(130, 140, 150, 160)에서 개별적으로 수행되는 데이터의 암, 복호화에 참여 할 수 없으므로 종단간 보안이 보장될 수 있다.
보다 상세하게 보안서비스관리장치(170)는, 제1 서버(171), 제2 서버(173) 및 제3 서버(175)를 포함한다.
제1 서버(171)는 웹 클라이언트(110)가 URI(Uniform Resource Identifier)를 이용해 CoAP 센서에 대한 데이터를 요청하면 도메인(CoAP://home.com)의 메인 페이지를 웹 클라이언트(110)에 전송한다. 메인 페이지는 해당 도메인에서 관리하고 있는 센서의 리스트 정보를 포함한다.
제1 서버(171)는 제2 서버(173)의 리소스 디렉토리(Resource Directory)를 이용하여 상기 제2 서버(173)에 상기 선택된 CoAP 센서에 대한 DTLS Handshake 과정의 대행여부를 요청하고, 상기 제2 서버(173)로부터 수신한 응답을 상기 웹 클라이언트(110)에 전송하고, 선택된 CoAP 센서 및 제3 서버(175)에 DTLS Handshake 대행 알림을 메시지 형태로 전송한다. DTLS Handshake 대행 알림 메시지는 CoAP 프로토콜 메시지 형식에 따라 전송될 수 있다.
또한, 제1 서버(171)는 웹 브라우저를 이용하는 웹 클라이언트(110)가 통신할 때 가장 먼저 접속하는 호스트 서버(Host Server)의 역할을 수행한다. 또한, 제1 서버(171)는 제2 서버(173)와 사전에 RD Lookup을 이용하여 등록된 CoAP 센서에 대한 최신 정보를 관리한다.
제2 서버(173)는 리소스 디렉토리 서버(Resource Directory Server)로서, 동일한 도메인 내에 있는 센서 정보를 관리하는 역할을 수행하고, 제1 서버(171)에 선택된 CoAP 센서의 DTLS Handshake 대행 여부에 대한 응답을 전송한다. 또한, 제2 서버(173)는, 자원이 경량화 되어있는 Class 0과 Class 1에 해당하는 CoAP 센서의 DTLS Handshake 과정을 대행하기 위해, DTLS Handshake 과정의 대행에 대한 정보를 함께 저장하는 역할을 수행한다. 표 1은 제2 서버(173)가 저장하고 있는 DTLS Handshake 과정의 대행 정보를 예시적으로 보여준다.
Name : DTLS Handshake Delegation Query : dg Validity : Boolean Description : DTLS Handshake Delegation for Constrained Device |
제3 서버(175)는 DTLS 대행 서버(DTLS Delegator)로서 LLN 내에서 DTLS Handshake 메시지 프라이츠(flights) 전송으로 인해 발생하는 패킷 분할, 패킷 손실, 지연, 헤더 데이터 증가와 같은 문제를 해결하고, 자원이 제한적인 장치를 위하여 DTLS 핸드쉐이킹 과정을 대신 수행한다. CoAP 센서가 서버의 역할을 할 경우, 제3 서버(175)는 웹 브라우저를 사용하는 CoAP 클라이언트(110)와 DTLS 접속을 하여 CoAP 센서가 전송한 데이터를 CoAP 클라이언트(110)에 전달하고, CoAP 센서가 클라이언트 역할을 할 경우, 제3 서버(175)는 웹 서버(120)와 접속하여 웹(120)이 전송한 데이터를 CoAP 센서에게 전달한다.
또한, 제3 서버(175)는 DTLS Handshake 과정이 끝나면, 세션 ID(Session ID)와 DTLS 버전(Version) 정보, Handshake 과정 중에 생성된 키 정보(Key Material)를 CoAP 센서에 전송하며, 해당 정보 전송 후에는 CoAP 센서에서 수행되는 데이터(Application data)의 암호화나, 복호화에는 관여하지 않는다. 제3 서버(175)는 CoAP 센서에서 암복호화 된 메시지를 전달(Relay)하기 위해 세션 ID(Session ID), 센서 명칭(name of the Sensor), 컨텍스트(Context) 등을 포함하는 전달정보를 저장하여 관리한다. 표 2는 제3 서버(175)가 저장하는 전달정보의 예시를 보여준다.
Session ID | Name of the Sensor | Context |
EFER235FE….EA | Sensor1(Bulb) | 203.252.1.2 |
C32AACC2….3C | Sensor5(Temp) | 203.252.1.3 |
FABC2123E….FF | Sensor7(Energy) | 203.252.1.4 |
보안서비스관리장치(170)의 제1 서버(171), 제2 서버(173) 및 제3 서버(175)는 IoT 구성 환경에 따라 하나의 시스템 서버로 동작 할 수도 있으며, 물리적인 위치는 떨어져있지만 논리적으로 연결된 하나의 시스템처럼 동작할 수도 있다.
이하, 첨부되는 도면을 참고하여 본 발명의 실시예들에 대해 상세히 설명한다. 또한, IoT 환경에서 CoAP 센서가 클라이언트 역할 및 서버역할을 동시에 할 수 있으므로, CoAP 센서가 클라이언트의 역할을 할 경우 대상(peer)은 웹 서버(120)가 되고, CoAP 센서가 서버의 역할을 할 경우 대상(peer)은 웹 브라우저를 이용하는 웹 클라이언트(110)가 된다.
이하에서는, 제1 실시예로서 CoAP 센서가 서버의 역할을 하는 경우로서 웹 클라이언트(110)와 CoAP 센서(140) 종단간의 보안통신을 실행하는 경우를 예로써 설명한다. 제1 실시예에서는 설명의 편의성을 위하여 클라이언트가 선택한 센서가CoAP 센서(140)인 것으로 한정하여 설명하고 있으나, CoAP 센서(130, 150, 160) 중 다른 어느 하나 일 수도 있다.
제1 실시예
도 2는 본 발명의 제1 실시예에 따른 사물 인터넷에서 경량 사물간 보안 통신 세션 개설 방법(이하, '암호화 통신 방법'이라 함)을 보여주는 신호 흐름도이고, 도 3은 제1 서버(171)와 제2 서버(173) 사이에 주고받는 신호 흐름도이다.
구체적으로, 웹 클라이언트(110)가 웹 브라우저를 이용하여 CoAP 센서(140)에 데이터 요청을 보내는 경우의 신호 흐름을 보여준다. 또한 CoAP 센서(140)는 데이터에서 "sensor 1"로 표시된다.
도 2를 참조하면, 먼저, 제1 서버(171)는 제2 서버(173)와 사전에 RD Lookup을 이용하여 등록된 CoAP 센서에 대한 최신 정보를 관리한다(S201).
웹 클라이언트(110)는 제1 서버(171)가 관리하는 적어도 하나의 CoAP 센서(130, 140, 150, 160)에 대한 정보 페이지를 요청한다(S203). 웹 클라이언트(110)는 메인 도메인(CoAP://home.com)을 이용하여 제1 서버(171)가 관리하는 적어도 하나의 CoAP 센서(130, 140, 150, 160)에 대한 정보 페이지를 요청할 수 있다.
제1 서버(171)는 웹 클라이언트(110)의 요청에 응답하여 제1 서버(171)가 관리하는 적어도 하나의 CoAP 센서(130, 140, 150, 160)에 대한 정보가 포함된 메인 페이지를 웹 클라이언트(110)에 전송한다(S205). 제1 서버(171)는 제2 서버(173)의 리소스 디렉토리(Resource Directory)를 참조하여 적어도 하나의 CoAP 센서(130, 140, 150, 160)에 대한 정보가 포함된 메인 페이지를 웹 클라이언트(110)에 전송할 수 있다.
이어서 웹 클라이언트(110)는 적어도 하나의 CoAP 센서(130, 140, 150, 160) 중 CoAP 센서(140)를 선택하고, 선택된 CoAP 센서(140)에 대한 정보를 제1 서버에 요청한다(S207). 웹 클라이언트(110)는 제1 서버(171)로부터 전송되는 메인 페이지의 메인 페이지의 링크를 클릭하는 방법으로 CoAP 센서(140)를 선택할 수 있고, 제1 서버(171)로의 요청은 URI 형태(CoAP://home.com/sensor1)로 요청할 수 있다.
이어서, 제1 서버(171)는 웹 클라이언트(110)로부터 전송되는 URI 정보를 이용하여 제2 서버(173)에 선택된 CoAP 센서(140)의 DTLS Handshake 대행 여부를 묻는 요청 메시지(request)(S209)를 전송한다.
제2 서버(173)는 제1 서버(171)의 DTLS Handshake 대행 요청에 응답하여 선택된 CoAP 센서(140)의 DTLS Handshake 대행에 대한 응답 메시지를 제1 서버(171)에 전송한다(S211).
도 3에서와 같이, 제1 서버(171)가 CoAP 센서(140)의 DTLS Handshake 대행 여부를 묻는 요청 메시지(request)와 제2 서버(173)의 응답 메시지의 예시를 보여준다.
CoAP 센서(140)에 대하여 제3 서버(173)에서 DTLS Handshake 대행이 수행되는 경우, 제1 서버(171)는 IP와 Port를 포함하는 제3 서버(173)의 정보를 웹 클라이언트(110)에 전송한다(S213).
제1 서버(171)는 제3 서버(173)와 CoAP 센서(140)에 DTLS Handshake 알림 메시지를 전송하여 DTLS Handshake 대행을 알린다(S215). DTLS Handshake 알림 메시지는 CoAP 프로토콜 메시지 형식에 맞춰 전송될 수 있다.
웹 클라이언트(110)는 제1 서버(171)로부터 전송받은 제3 서버(175)의 정보를 이용하여 제3 서버(173)에 DTLS Handshake 요청 메시지를 전송한다(S217).
제3 서버는 DTLS Handshake 요청 메시지를 받아 DTLS Handshake 과정을 수행한다(S219). 성공적으로 DTLS Handshake 과정을 수행하여 DTLS Session을 만든 후, 제3 서버는 세션 정보를 암호화하여 CoAP 센서(140)에 전송한다(S221). 세션 정보는 세션 ID(Session ID), 버전정보(DTLS Version), Key Material를 포함하고, 상기 암호화는 PSK로 암호화될 수 있다.
제3 서버와 통신 시 사용하는 PSK는 CoAP 센서(140)에 사전에 안전한 방법으로 저장되어 있다고 가정한다. CoAP 센서(140)에 PSK를 안전하게 설정하기 위해서 부트스트래핑(Bootstrapping) 과정에서 키를 설정하는 방법을 이용할 수 있다. 따라서 보안서비스관리장치(170)와 CoAP 센서(140)는 보안 통신을 위한 신뢰적인 관계인 것으로 가정한다.
앞서 설명한 바와 같이, CoAP 센서(140)는 DTLS Record layer에 해당하는 코드와 AES 암호 모듈(Encryption Module), MAC 생성을 위한 해쉬 모듈(Hash Module)만 탑재되어 있다. 따라서 CoAP 센서(140)는 제3 서버로부터 전송받은 세션정보를 이용하여 암호화한 데이터에 DTLS Record Protocol의 형식에 맞추어, Contents type과 Version정보, Compressd Length와 같은 헤더를 붙여 PSK로 암호화한 Session ID를 함께 제3 서버에 전송한다(S223).
제3 서버는 세션 ID를 복호화 하여, 세션 ID를 참조하여 웹 클라이언트(110)로 메시지를 전달한다(S225).
본 발명의 제1 실시예에 따르면, 웹 클라이언트와 CoAP 센서 종단간 통신에서, DTLS 핸드쉐이킹 과정에서 발생하는 패킷분할이 불필요하게 되므로 패킷분할에 헤더 추가를 없앨 수 있다. 이에 더하여 패킷 분할에 의한 데이터 손실과 지연 등의 문제도 해결할 수 있다. 또한 분할된 패킷 전체가 도착할 때까지 버퍼에 분할 패킷들을 저장함으로 생기는 부담도 없앨 수 있다.
또한, 본 발명의 제1 실시예에 따르면, 자원이 제한적인 CoAP 센서 등의 장치에 DTLS 프로토콜을 전부 탑재하지 않아도 되며, 자원이 제한적인 CoAP 센서와 웹 클라이언트 종단간에 안전하게 보안 통신이 가능하다.
또한 자원이 충분한 제3 서버에서 DTLS Handshake 과정을 수행할 수 있으므로 자원에 제약 없이 암호 알고리즘(Cipher suite)을 자유롭게 선택할 수 있다. 특히, RESTful 구조를 가지는 CoAP 통신 환경 바탕으로 URI를 이용할 수 있으므로, 웹 클라이언트가 CoAP 센서에 데이터를 요청할 때 보다 더 안전하게 CoAP 센서와 보안 통신을 수행할 수 있다.
제2 실시예
CoAP 센서(160)가 인터넷 내 서비스(웹 서버(120))에 데이터를 전송하고자 하는 경우를 제2 실시예로서 설명한다. 제2 실시예에서는 설명의 편의성을 위하여 클라이언트로서 CoAP 센서(160)로 한정하여 설명하고 있으나, CoAP 센서(130, 140, 150) 중 다른 어느 하나 일 수도 있다.
도 4는 본 발명의 제2 실시예에 따른 암호화 통신 방법을 보여주는 신호 흐름도이다.
도 4를 참조하면, CoAP 센서(160)는 제3 서버(175)와 사전에 안전하게 공유하고 있는 PSK가 있다고 가정한다(S401).
CoAP 센서(160)는 제3 서버(175)에 Handshake 대행 요청 메시지를 CoAP 메시지 포맷에 맞춰 요청한다(S403).
메시지를 전송받은 제3 서버(175)는 웹 서버(120)와 DTLS 핸드쉐이킹 세션을 맺는다(S405).
DTLS 세션이 성공적으로 개설 되면, 컨텐츠 타입(Contents type), Version 정보, Key Material 및 세션 ID를 포함하는 세션정보를 사전에 공유한 키로 암호화 하여 CoAP 센서(160)에 전송한다(S407).
제3 서버(175)는 CoAP 센서(160)로부터 전송되는 메시지를 웹 서버(120)에 전달하기 위해 앞서 보여준 표 2와 같이 웹 서버(120)의 세션 ID(Session ID), 센서 명칭(name of the Sensor), 컨텍스트(Context)를 저장한다(S409).
CoAP 센서(160)는 제3 서버(175)로부터 전송받은 세션 정보를 복호화 하여 DTLS Record layer 형식에 맞게 데이터를 암호화하고, 헤더를 붙여 PSK로 암호화 한 세션 ID와 함께 제3 서버(175)에 전송한다(S411). 제3 서버(175)는 전송받은 데이터를 세션 ID를 이용하여 메시지를 웹 서버(120)에 전달한다(S413).
본 발명의 제2 실시예에 따르면, 제3 서버가 DTLS Handshake 과정을 대행해 줌으로써 자원이 제한적인 CoAP 센서에서도 웹 서버와 안전하게 보안 통신을 할 수 있다. 또한, 자원이 제한적인 CoAP 센서 등의 장치에 DTLS 프로토콜을 전부 탑재하지 않아도 DTLS Handshake 과정이 충분히 수행될 수 있으며, CoAP 센서와 웹 서버 종단간에 안전하게 보안 통신이 가능하다.
또한 자원이 충분한 제3 서버에서 DTLS Handshake 과정을 수행할 함으로써 자원에 제약없이 암호알고리즘(Cipher suite)을 자유롭게 선택할 수 있어 더욱 안전하게 CoAP 센서와 웹 서버 종단간의 보안을 유지할 수 있다.
상술한 사물 인터넷에서 경량 사물간 보안 통신 세션 개설 방법은 다양한 컴퓨터 수단을 이용하여 수행될 수 있는 프로그램 형태로도 구현될 수 있는데, 이때 사물 인터넷에서 경량 사물간 보안 통신 세션 개설 방법을 수행하기 위한 프로그램은 하드 디스크, CD-ROM, DVD, 롬(ROM), 램, 또는 플래시 메모리와 같은 컴퓨터로 판독할 수 있는 기록 매체에 저장될 수 있다.
본 발명이 속하는 기술분야의 당업자는 상술한 본 발명이 그 기술적 사상이나 필수적 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다.
그러므로, 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적인 것이 아닌 것으로 이해해야만 한다. 본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 등가 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.
110: 웹 클라이언트 120: 웹 서버
130, 140, 150, 160: CoAP 센서
170: 보안서비스관리장치 171: 제1 서버
173: 제2 서버 175: 제3 서버
130, 140, 150, 160: CoAP 센서
170: 보안서비스관리장치 171: 제1 서버
173: 제2 서버 175: 제3 서버
Claims (7)
- 적어도 하나의 센서를 이용하는 사물간 암호화 통신 시스템에 있어서,
상기 적어도 하나의 센서 중 선택된 센서에 대한 정보를 요청하고, 상기 선택된 센서의 DTLS Handshake 수행을 요청하는 웹클라이언트;
상기 웹클라이언트의 상기 선택된 센서에 대한 정보 요청에 응답하여 상기 선택된 센서의 DTLS Handshake 대행을 알리고, 상기 선택된 센서에 대한 DTLS Handshake 대행하는 서버의 정보를 상기 웹 클라이언트에 전송하는 제1 서버;
상기 선택된 센서의 DTLS Handshake 대행 여부에 대한 응답을 상기 제1 서버에 제공하는 제2 서버; 및
상기 웹 클라이언트의 상기 선택된 센서의 DTLS Handshake 수행 요청에 따라 상기 선택된 센서의 DTLS Handshake를 대행하는 제3 서버를 포함하고,
상기 제3 서버는 상기 선택된 센서의 DTLS Handshake가 수행되면 상기 선택된 센서와 미리 공유하는 PSK(Pre Shared Key)로 세션 정보를 암호화하여 상기 선택된 센서에 전송하고,
상기 세션 정보는 세션 ID, DTLS Version, Key Material를 포함하는 것을 특징으로 하는 사물 인터넷에서 경량 사물간 보안 통신 시스템. - 제1항에 있어서,
상기 웹클라이언트는 상기 제1 서버로부터 상기 적어도 하나의 센서에 대한 정보가 포함된 메인 페이지를 전송받고, 상기 적어도 하나의 센서 중에서 상기 메인 페이지를 링크 클릭하는 방법으로 선택된 센서에 대한 정보를 상기 제1 서버에 요청하는 것을 특징으로 하는 사물 인터넷에서 경량 사물간 보안 통신 시스템. - 제1항에 있어서,
상기 웹클라이언트는 상기 선택된 센서에 대한 정보를 URI 형태로 상기 제1 서버에 요청하고, 상기 제1 서버는 상기 URI 정보를 이용하여 상기 제2 서버에 상기 선택된 센서의 DTLS Handshake 대행 여부 정보를 요청하는 것을 특징으로 하는 사물 인터넷에서 경량 사물간 보안 통신 시스템. - 제1항에 있어서,
상기 제1 서버는 상기 선택된 센서에 대한 DTLS Handshake 대행하는 상기 제3 서버의 IP와 Port를 포함하는 정보를 상기 웹클라이언트에 전송하고, 상기 제3 서버 및 상기 선택된 센서에 DTLS Handshake 대행 알림을 CoAP 프로토콜 메시지 형식에 따라 전송하는 것을 특징으로 하는 사물 인터넷에서 경량 사물간 보안 통신 시스템. - 삭제
- 적어도 하나의 센서를 이용하는 사물간 암호화 통신 방법에 있어서,
웹 클라이언트가 상기 적어도 하나의 센서 중에서 선택된 센서에 대한 정보를 제1 서버에 요청하는 단계;
상기 제1 서버가 상기 선택된 센서의 DTLS Handshake 대행 여부를 제2 서버에 요청하고, 제2 서버로부터 상기 선택된 센서의 DTLS Handshake 대행 여부에 대한 응답을 수신하는 단계;
상기 제1 서버가 상기 선택된 센서에 대한 DTLS Handshake을 대행하는 제3 서버의 정보를 상기 웹 클라이언트에 전송하는 단계;
상기 웹 클라이언트가 상기 제1 서버로부터 전송받은 상기 제3 서버의 정보를 이용하여 상기 선택된 센서에 대한 DTLS Handshake 수행을 상기 제3 서버에 요청하는 단계;
상기 제3 서버가 상기 선택된 센서에 대한 DTLS Handshake을 대행하는 단계; 및
상기 DTLS Handshake가 대행되면 상기 제3 서버가 세션 정보를 암호화하여 상기 선택된 센서에 전송하는 단계를 포함하고,
상기 세션 정보를 암호화하여 상기 선택된 센서에 전송하는 단계에서, 상기 제3 서버는 상기 선택된 센서와 미리 공유하는 PSK(Pre Shared Key)로 상기 세션 정보를 암호화하여 상기 선택된 센서에 전송하고,
상기 세션 정보는 세션 ID, DTLS Version, Key Material를 포함하는 것을 특징으로 하는 사물 인터넷에서 경량 사물간 보안 통신 세션 개설 방법. - 제6항에 있어서,
웹 클라이언트가 메인 도메인을 이용하여 제1 서버가 관리하는 적어도 하나의 센서에 대한 정보 페이지를 제1 서버에 요청하는 단계; 및
상기 제1 서버가 상기 적어도 하나의 센서에 대한 정보가 포함된 메인 페이지를 상기 웹 클라이언트에 전송하는 단계를 더 포함하고,
웹 클라이언트가 상기 적어도 하나의 센서 중에서 선택된 센서에 대한 정보를 상기 제1 서버에 요청하는 단계는 상기 적어도 하나의 센서 중 상기 메인 페이지를 링크 클릭하는 방법으로 선택된 센서에 대한 정보를 상기 제1 서버에 요청하는 것을 특징으로 하는 사물 인터넷에서 경량 사물간 보안 통신 세션 개설 방법.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020140123503A KR101594897B1 (ko) | 2014-09-17 | 2014-09-17 | 사물 인터넷에서 경량 사물간 보안 통신 세션 개설 방법 및 보안 통신 시스템 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020140123503A KR101594897B1 (ko) | 2014-09-17 | 2014-09-17 | 사물 인터넷에서 경량 사물간 보안 통신 세션 개설 방법 및 보안 통신 시스템 |
Publications (1)
Publication Number | Publication Date |
---|---|
KR101594897B1 true KR101594897B1 (ko) | 2016-02-29 |
Family
ID=55448486
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020140123503A KR101594897B1 (ko) | 2014-09-17 | 2014-09-17 | 사물 인터넷에서 경량 사물간 보안 통신 세션 개설 방법 및 보안 통신 시스템 |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101594897B1 (ko) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004128782A (ja) * | 2002-10-01 | 2004-04-22 | Fujitsu Ltd | 鍵交換代理ネットワークシステム |
KR20120088810A (ko) * | 2009-11-03 | 2012-08-08 | 알까뗄 루슨트 | 기계 단말 기기로부터 복수의 서비스 데이터를 수집하기 위한 방법 및 디바이스 |
JP2013077900A (ja) * | 2011-09-29 | 2013-04-25 | Oki Electric Ind Co Ltd | セキュリティ処理代行システム、通信装置、代行装置、通信プログラム及びセキュリティ処理代行プログラム |
-
2014
- 2014-09-17 KR KR1020140123503A patent/KR101594897B1/ko active IP Right Grant
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004128782A (ja) * | 2002-10-01 | 2004-04-22 | Fujitsu Ltd | 鍵交換代理ネットワークシステム |
KR20120088810A (ko) * | 2009-11-03 | 2012-08-08 | 알까뗄 루슨트 | 기계 단말 기기로부터 복수의 서비스 데이터를 수집하기 위한 방법 및 디바이스 |
JP2013077900A (ja) * | 2011-09-29 | 2013-04-25 | Oki Electric Ind Co Ltd | セキュリティ処理代行システム、通信装置、代行装置、通信プログラム及びセキュリティ処理代行プログラム |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Kumar et al. | Implementation and analysis of QUIC for MQTT | |
JP5744172B2 (ja) | 中間ストリーム再ネゴシエーションを介したプロキシsslハンドオフ | |
EP3286896B1 (en) | Scalable intermediate network device leveraging ssl session ticket extension | |
JP4707992B2 (ja) | 暗号化通信システム | |
KR102095893B1 (ko) | 서비스 처리 방법 및 장치 | |
KR101688118B1 (ko) | 사물인터넷 환경에서의 보안 통신 장치 및 그 방법 | |
EP3213488A1 (en) | End-to-end service layer authentication | |
Park et al. | Lightweight secure communication for CoAP-enabled internet of things using delegated DTLS handshake | |
EP3633949A1 (en) | Method and system for performing ssl handshake | |
CN110191052B (zh) | 一种跨协议网络传输方法及系统 | |
US20220353060A1 (en) | Handling of machine-to-machine secure sessions | |
KR20180130203A (ko) | 사물인터넷 디바이스 인증 장치 및 방법 | |
KR20090102050A (ko) | 서버 기반 이동 인터넷 프로토콜 시스템에 있어서 보안방법 | |
CN115766172A (zh) | 基于dpu和国密的报文转发方法、装置、设备及介质 | |
JP2011176395A (ja) | IPsec通信方法およびIPsec通信システム | |
JPH06318939A (ja) | 暗号通信システム | |
CN109450849B (zh) | 一种基于区块链的云服务器组网方法 | |
CN114157707A (zh) | 一种通信连接方法、装置及系统 | |
KR101594897B1 (ko) | 사물 인터넷에서 경량 사물간 보안 통신 세션 개설 방법 및 보안 통신 시스템 | |
CN115720160B (zh) | 一种基于量子密钥的数据通信方法及系统 | |
US20220069982A1 (en) | Caching encrypted content in an oblivious content distribution network, and system, compter-readable medium, and terminal for the same | |
CN117857065A (zh) | 保密通信处理方法、第一终端、第二终端及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20200203 Year of fee payment: 5 |