KR101626723B1 - 사물인터넷 기반의 서비스 게이트웨이 및 동작 방법 - Google Patents

사물인터넷 기반의 서비스 게이트웨이 및 동작 방법 Download PDF

Info

Publication number
KR101626723B1
KR101626723B1 KR1020150120888A KR20150120888A KR101626723B1 KR 101626723 B1 KR101626723 B1 KR 101626723B1 KR 1020150120888 A KR1020150120888 A KR 1020150120888A KR 20150120888 A KR20150120888 A KR 20150120888A KR 101626723 B1 KR101626723 B1 KR 101626723B1
Authority
KR
South Korea
Prior art keywords
service
token
information
terminal
authentication
Prior art date
Application number
KR1020150120888A
Other languages
English (en)
Inventor
서재현
김미선
김진보
Original Assignee
목포대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 목포대학교산학협력단 filed Critical 목포대학교산학협력단
Priority to KR1020150120888A priority Critical patent/KR101626723B1/ko
Application granted granted Critical
Publication of KR101626723B1 publication Critical patent/KR101626723B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 사물인터넷 기반의 서비스 게이트웨이 및 동작 방법에 관한 것으로서, 일실시예에 따른 서비스 게이트웨이는 서비스 이용 단말기로부터 인증토큰 정보를 수신하고, 상기 수신된 인증토큰 정보의 유효성을 검증하는 인가 처리부, 상기 인증토큰 정보의 유효성이 검증되면, 유효성 검증에 따라 형성된 세션 정보를 이용해서 적어도 하나 이상의 서비스 토큰을 갱신하는 토큰 접근 제어부, 및 상기 적어도 하나 이상의 서비스 토큰이 갱신되면, 상기 서비스 이용 단말기로부터의 서비스 요청에 따라 선택된 서비스 토큰에 상응하는 리소스 서비스 정보를 상기 서비스 이용 단말기에 제공하는 리소스 처리부를 포함한다.

Description

사물인터넷 기반의 서비스 게이트웨이 및 동작 방법{SERVICE GATEWAY USING INTERNET OF THINGS AND OPERATING METHOD OF THE SAME}
사물인터넷 기반의 서비스 게이트웨이 및 동작 방법에 관한 것으로서, 구체적으로는 도메인 영역에 해당하는 모든 서비스에 대해 각각의 서비스 토큰을 발행하고 발행한 서비스 토큰을 그룹으로 관리하되, 각 그룹에 대한 위임, 폐기, 위임의 거절이 가능한 서비스를 제공하는 기술적 사상을 개시한다.
사물인터넷(IoT, Internet of Things)은 글로벌 네트워크 인프라를 기반으로 하는 새로운 인터넷 기반의 정보 아키텍쳐로 RFID(Radio Frequency Identification) 태그와 리더기, NFC(Near Field Communication) 장치, 임베디드 센서/액츄에이터 노드와 같은 디바이스 기술의 활성화를 가져왔다.
그러나, 사물인터넷(IoT, Internet of Things) 관련 기술의 광범위한 적용은 파생 가능한 위험을 내포하고 있으며, 실제로 기존의 인터넷에 비해 훨씬 더 널리 정보 보안 위험을 분산시킬 수 있다. 예를 들어, 사물인터넷(IoT, Internet of Things)에서는 다양한 무선 통신 장치뿐만 아니라, 사람, 사물, 데이터와 같은 모든 객체가 인터넷과 연결되기 때문에 각 객체간의 프라이버시 및 보안의 문제가 중요한 영향을 미칠 수 있다.
따라서, 사물인터넷(Internet of Things, IoT)의 주요 이슈는 각 장치의 신뢰성과 프라이버시 및 보안을 보장하면서, 적응성과 자율성을 가지고 연결된 전체 장치간의 상호 운용성을 가능하게 하는 것이다.
사물인터넷(Internet of Things, IoT)의 보안과 프라이버시 문제는 기존 인터넷 환경과의 차별성을 고려하여 접근하여야 한다. 첫째, 사물인터넷(Internet of Things, IoT)은 기존 인터넷 환경과 달리 짧은 시간 동안 상호 작용이 일어나며, 동일한 요청이 자주, 자발적으로 수행될 수 있다. 둘째, 사물인터넷(Internet of Things, IoT)에서 자원/서비스/오퍼레이션/데이터 등에 대한 분석 및 인가는 같은 요청에 대해서도 고정적이지 않고, 주변의 상황에 따라서 바뀔 수 있다.
따라서, 사물인터넷(Internet of Things, IoT)과 같이 개방되고, 광범위한 컴퓨팅 환경에서는 확장성의 문제, 장치들의 관리의 문제, 유연성 있고 쉬운 권한 위임의 문제를 고려한 접근 제어 기술이 필요하다.
(특허문헌) 한국등록특허 제10-0958110호/ 유비쿼터스 서비스 인증 게이트웨이 장치 및 그 방법
(특허문헌) 한국공개특허 제2010-0066907호/ 통합 인증 및 제어 시스템 및 그 방법
(특허문헌) 미국공개특허 제2015-0222621호/ Auto-Provisioning for internet-of-things devices
실시예에 따르면, 인증서 토큰 제시로 세션이 유지되는 동안에는 인증 및 접근 제어 과정을 반복할 필요 없이 원하는 서비스를 제공받음으로써, 인증 과정에 대한 처리를 감소시키는 것이다.
실시예에 따르면, 도메인 영역에 해당하는 모든 서비스에 대해 각각의 서비스 토큰을 발행하고 발행한 서비스 토큰을 그룹으로 관리하는 것이다.
실시예에 따르면, 토큰 그룹에 대한 위임, 폐기, 위임의 거절이 가능한 서비스를 제공하는 것이다.
실시예에 따르면, 도메인별 서비스 접근 제어를 수행함으로써 사물인터넷(IoT, Internet of Things) 환경에서의 다양한 장치 관리 및 용이한 확장성을 제공하는 것이다.
일실시예에 따른 서비스 게이트웨이는 서비스 이용 단말기로부터 인증토큰 정보를 수신하고, 상기 수신된 인증토큰 정보의 유효성을 검증하는 인가 처리부, 상기 인증토큰 정보의 유효성이 검증되면, 유효성 검증에 따라 형성된 세션 정보를 이용해서 적어도 하나 이상의 서비스 토큰을 갱신하는 토큰 접근 제어부, 및 상기 적어도 하나 이상의 서비스 토큰이 갱신되면, 상기 서비스 이용 단말기로부터의 서비스 요청에 따라 선택된 서비스 토큰에 상응하는 리소스 서비스 정보를 상기 서비스 이용 단말기에 제공하는 리소스 처리부를 포함한다.
일실시예에 따른 상기 인가 처리부는, 상기 수신된 인증토큰 정보로부터 식별되는 인증토큰의 구조 및 정보 중에서 적어도 하나를 이용하여 인증 절차를 수행하고, 상기 인증 절차가 완료 이후 인증서 취소 목록의 유효성을 검증한다.
일실시예에 따른 상기 인가 처리부는, 상기 유효성이 검증되면 상기 서비스 이용 단말기로부터 발행된 개인비밀키에 상응하는 세션키를 생성하고, 상기 생성된 세션키를 상기 서비스 이용 단말기로 전송한다.
일실시예에 따른 상기 토큰 접근 제어부는, 상기 세션 정보의 메인 토큰 정보로부터 메인 토큰에 대한 폐기 또는 만료 여부를 확인하여, 폐기 또는 만료의 상태인 경우 해당 서비스 토큰을 토큰 취소 목록에 등록한다.
일실시예에 따른 상기 토큰 접근 제어부는, 상기 세션 정보의 메인 토큰 정보로부터 위임된 서비스 토큰을 식별하고, 상기 식별된 서비스 토큰을 반영하여 상기 적어도 하나 이상의 서비스 토큰을 갱신한다.
일실시예에 따른 상기 토큰 접근 제어부는, 재 위임여부 및 유효기간 정보 중에서 적어도 하나를 지정하여 상기 사용자 이용 단말기에 서비스 토큰 발급하고, 상기 서비스 이용 단말기는 상기 발급된 서비스 토큰을 사용하여 상기 발급된 서비스 토큰에 상응하는 서비스를 요청한다.
일실시예에 따른 상기 리소스 처리부는, 수신된 서비스 토큰의 재 위임여부를 확인하고, 재 위임 불가한 설정인 경우 수신된 서비스 토큰을 토큰 취소 목록에 등록하고, 해당 리소스 서비스의 접근을 거부한다.
일실시예에 따른 상기 토큰 접근 제어부는, 상기 사용자 이용 단말기로부터 서비스 토큰에 대한 폐기 요청을 수신하면, 상기 서비스 토큰을 토큰 취소 목록에 등록하고, 상기 적어도 하나 이상의 서비스 토큰을 갱신한다.
일실시예에 따른 상기 토큰 접근 제어부는, 제1 사용자 이용 단말기가 제2 사용자 이용 단말기에게 위임을 요청한 서비스 토큰에 대해, 상기 제2 사용자 이용 단말기가 상기 위임을 거절하는 경우에 대해 상기 위임 요청된 서비스 토큰을 토큰 취소 목록에 등록한다.
일실시예에 따른 서비스 게이트웨이의 동작 방법은 서비스 이용 단말기로부터 인증토큰 정보를 수신하는 단계, 상기 수신된 인증토큰 정보로부터 식별되는 인증토큰의 구조 및 정보 중에서 적어도 하나를 이용하여 인증 절차를 수행하는 단계, 상기 인증 절차가 완료 이후 인증서 취소 목록의 유효성을 검증하는 단계, 상기 인증토큰 정보의 유효성이 검증되면, 토큰 접근 제어부에서, 유효성 검증에 따라 형성된 세션 정보를 이용해서 적어도 하나 이상의 서비스 토큰을 갱신하는 단계, 및 상기 적어도 하나 이상의 서비스 토큰이 갱신되면, 리소스 처리부에서, 상기 서비스 이용 단말기로부터의 서비스 요청에 따라 선택된 서비스 토큰에 상응하는 리소스 서비스 정보를 상기 서비스 이용 단말기에 제공하는 단계를 포함한다.
일실시예에 따른 상기 적어도 하나 이상의 서비스 토큰을 갱신하는 단계는, 상기 서비스 이용 단말기로부터 발행된 개인비밀키에 상응하는 세션키를 생성하는 단계, 및 상기 생성된 세션키를 상기 서비스 이용 단말기로 전송하는 단계를 포함한다.
일실시예에 따른 서비스 게이트웨이의 동작 방법은 상기 세션 정보의 메인 토큰 정보로부터 메인 토큰에 대한 폐기 또는 만료 여부를 확인하는 단계, 및 상기 확인 결과 폐기 또는 만료의 상태인 경우 해당 서비스 토큰을 토큰 취소 목록에 등록하는 단계를 포함한다.
일실시예에 따른 서비스 게이트웨이의 동작 방법은 상기 세션 정보의 메인 토큰 정보로부터 위임된 서비스 토큰을 식별하는 단계, 및 상기 식별된 서비스 토큰을 반영하여 상기 적어도 하나 이상의 서비스 토큰을 갱신하는 단계를 포함한다.
일실시예에 따른 서비스 게이트웨이의 동작 방법은 재 위임여부 및 유효기간 정보 중에서 적어도 하나를 지정하여 상기 사용자 이용 단말기에 서비스 토큰 발급하는 단계를 더 포함하고, 상기 서비스 이용 단말기는 상기 발급된 서비스 토큰을 사용하여 상기 발급된 서비스 토큰에 상응하는 서비스를 요청한다.
일실시예에 따른 서비스 게이트웨이의 동작 방법은 상기 리소스 처리부에서, 수신된 서비스 토큰의 재 위임여부를 확인하고, 재 위임 불가한 설정인 경우 수신된 서비스 토큰을 토큰 취소 목록에 등록하여 해당 리소스 서비스의 접근을 거부하는 단계를 더 포함한다.
일실시예에 따른 서비스 게이트웨이의 동작 방법은 상기 토큰 접근 제어부에서, 상기 사용자 이용 단말기로부터 서비스 토큰에 대한 폐기 요청을 수신하는 단계, 및 상기 수신된 폐기 요청에 따라, 상기 서비스 토큰을 토큰 취소 목록에 등록하고, 상기 적어도 하나 이상의 서비스 토큰을 갱신하는 단계를 포함한다.
일실시예에 따른 서비스 게이트웨이의 동작 방법은 상기 토큰 접근 제어부에서, 제1 사용자 이용 단말기가 제2 사용자 이용 단말기에게 위임을 요청한 서비스 토큰에 대해, 상기 제2 사용자 이용 단말기가 상기 위임을 거절하는 경우 상기 위임 요청된 서비스 토큰을 토큰 취소 목록에 등록하는 단계를 포함한다.
일실시예에 따른 서비스 게이트웨이의 동작 프로그램은 서비스 이용 단말기로부터 인증토큰 정보를 수신하고, 상기 수신된 인증토큰 정보의 유효성을 검증하는 명령어 세트, 상기 인증토큰 정보의 유효성이 검증되면, 유효성 검증에 따라 형성된 세션 정보를 이용해서 적어도 하나 이상의 서비스 토큰을 갱신하는 명령어 세트, 및 상기 적어도 하나 이상의 서비스 토큰이 갱신되면, 상기 서비스 이용 단말기로부터의 서비스 요청에 따라 선택된 서비스 토큰에 상응하는 리소스 서비스 정보를 상기 서비스 이용 단말기에 제공하는 명령어 세트를 포함한다.
실시예들에 따르면, 인증서 토큰 제시로 세션이 유지되는 동안에는 인증 및 접근 제어 과정을 반복할 필요 없이 원하는 서비스를 제공받음으로써, 인증 과정에 대한 처리를 감소시킬 수 있다.
실시예들에 따르면, 도메인 영역에 해당하는 모든 서비스에 대해 각각의 서비스 토큰을 발행하고 발행한 서비스 토큰을 그룹으로 관리할 수 있다.
실시예에 따르면, 토큰 그룹에 대한 위임, 폐기, 위임의 거절이 가능한 서비스를 제공할 수 있다.
실시예에 따르면, 도메인별 서비스 접근 제어를 수행함으로써 사물인터넷(IoT, Internet of Things) 환경에서의 다양한 장치 관리 및 용이한 확장성을 제공할 수 있다.
도 1은 일실시예에 따른 서비스 게이트웨이가 사용되는 사물인터넷 기반의 서비스 플랫폼을 설명하는 도면이다.
도 2는 일실시예에 따른 서비스 게이트웨이를 구체적으로 설명하는 도면이다.
도 3은 일실시예에 따른 CaC(Certificate and Capability) 토큰을 설명하는 도면이다.
도 4는 케이퍼빌러티(Capability) 서비스 토큰을 설명하는 도면이다.
도 5는 일실시예에 따른 서비스 게이트웨이를 통해 서비스 토큰을 생성하는 과정을 설명하는 도면이다.
도 6은 일실시예에 따른 서비스 게이트웨이를 통해 서비스 토큰의 위임 또는 재 위임 과정을 설명하는 도면이다.
도 7은 일실시예에 따른 서비스 게이트웨이를 통해 서비스 토큰을 폐기 처리하는 과정을 설명하는 도면이다.
도 8은 일실시예에 따른 서비스 게이트웨이를 통해 서비스 토큰의 위임을 거절 처리하는 과정을 설명하는 도면이다.
도 9는 일실시예에 따른 서비스 게이트웨이의 동작 방법을 설명하는 도면이다.
이하에서, 실시예들을 첨부된 도면을 참조하여 상세하게 설명한다. 그러나, 이러한 실시예들에 의해 권리범위가 제한되거나 한정되는 것은 아니다. 각 도면에 제시된 동일한 참조 부호는 동일한 부재를 나타낸다.
아래 설명에서 사용되는 용어는, 연관되는 기술 분야에서 일반적이고 보편적인 것으로 선택되었으나, 기술의 발달 및/또는 변화, 관례, 기술자의 선호 등에 따라 다른 용어가 있을 수 있다. 따라서, 아래 설명에서 사용되는 용어는 기술적 사상을 한정하는 것으로 이해되어서는 안 되며, 실시예들을 설명하기 위한 예시적 용어로 이해되어야 한다.
또한 특정한 경우는 출원인이 임의로 선정한 용어도 있으며, 이 경우 해당되는 설명 부분에서 상세한 그 의미를 기재할 것이다. 따라서 아래 설명에서 사용되는 용어는 단순한 용어의 명칭이 아닌 그 용어가 가지는 의미와 명세서 전반에 걸친 내용을 토대로 이해되어야 한다.
도 1은 일실시예에 따른 서비스 게이트웨이(111)를 이용하는 사물인터넷 기반의 서비스 플랫폼(100)을 설명하는 도면이다.
일실시예에 따른 사물인터넷 기반의 서비스 플랫폼(100)은 사물인터넷에 포함된 다양한 리소스들과 서비스들을 관리하고 사용자 및 서비스 주체에 대해 안전하고 신뢰할 수 있는 서비스를 제공한다. 서비스 게이트웨이(111)는 사용자 및 서비스 주체의 서비스 요청에 대한 중계자 역할을 수행함으로써, 다양한 리소스, 서비스에 대한 신뢰할 수 있는 접근을 수행한다.
서비스 게이트웨이(111)를 이용하는 사물인터넷 기반의 서비스 플랫폼(100)은 온도, 습도, 조도, 카메라 등 장치노드로 구성된 서비스 도메인 영역(130), 각 도메인 영역에 대한 데이터 수집 및 전송을 처리하는 리소스 게이트웨이 영역(120), 리소스 영역을 통해 수집된 데이터 정보를 제공할 수 있는 사물인터넷 서비스 영역(110)을 포함한다.
사물인터넷 기반의 서비스 플랫폼(100)에서 서비스의 주체는 사용자, 사물(Things) 및 디바이스가 될 수 있으며, 서비스 요청을 위한 토큰을 제시하여 사물인터넷 내 서비스를 제공받을 수 있다. 또한, 사물인터넷의 모든 디바이스는 서비스 주체이면서 동시에 서비스 객체가 될 수 있으며, 제안한 플랫폼에서 서비스 도메인 내의 각 장치들은 서비스 객체이면서 동시에 서비스 도메인 내의 타 장치에 대한 서비스 주체가 될 수도 있다.
본 명세서에서 사용되는 '주체'라 함은 사물인터넷 기반의 서비스 플랫폼에서 서비스를 이용하는 엔티티로서, 사용자 또는 사물(Things) 등을 대신하여 서비스 플랫폼을 이용할 수 있는 사용자 이용 단말기로 해석될 수 있다.
도메인 영역(130)의 각 서비스 도메인은 같은 리소스 게이트웨이를 통하는 센서, 컨트롤러 및 카메라 등 서비스를 제공하는 객체들의 그룹이며, 리소스 게이트웨이 영역(120)의 리소스 게이트웨이가 해당 서비스 도메인의 데이터를 수집하여 전송한다.
서비스 게이트웨이(111)는 리소스 서비스를 요청하는 서비스 주체에 대해 인증 및 접근 제어를 위한 CaC(Certificate and Capability) 토큰을 발행하고 관리한다. 즉, 서비스 게이트웨이(111)는 CaC 토큰을 사용하여 서비스 주체에 대한 인증 기능을 수행하고, 해당 서비스에 대한 접근제어를 수행할 수 있다. CaC 토큰은 사용자에 대한 인증 정보와 리소스 서비스 정보로 구성된 XML 문서 형식으로 구현될 수 있고, 서비스 게이트웨이(111)의 인증 절차를 거쳐 리소스 서비스에 접근할 수 있다.
일실시예에 따른 서비스 게이트웨이(111)는 인증과 접근 권한을 포함하는 CaC 토큰을 사용하여, 서비스 주체에 대한 인증 및 접근 제어를 수행할 수 있다. 또한, 서비스 게이트웨이(111)는 서비스 토큰 관리를 위한 생성, 위임, 폐기, 거절 등의 기능을 제공할 수도 있다.
즉, 서비스 게이트웨이(111)가 서비스 접근을 위한 인증 및 접근 제어를 중계하므로, 도메인 영역(130)에 대한 확장성이 제공될 수 있다.
서비스 게이트웨이(111)를 이용하는 사물인터넷 기반의 서비스 플랫폼에서는 멀티 리소스 게이트웨이, 멀티 서비스 도메인을 구성할 수 있고, 다수의 서비스 요청자가 존재할 수 있다. 이때, 서비스 요청자는 서비스 게이트웨이(111)가 발행한 CaC 토큰을 사용하여 서비스에 접근할 수 있으며, 서비스 게이트웨이(111)를 통해 모든 구성요소들을 확장할 수 있다.
서비스는 도메인 영역(130) 내에 포함된다. 즉, 서비스 게이트웨이(111)는 도메인에 대한 토큰 그룹을 사용함으로써 도메인별 서비스 접근 제어도 가능하다.
도 2는 일실시예에 따른 서비스 게이트웨이를 구체적으로 설명하는 도면이다.
일실시예에 따른 서비스 게이트웨이는 사용자 또는 서비스 주체의 요청에 대해 인증, 접근 제어 서비스를 제공하는 중계 역할을 수행한다.
도 2에서 보는 바와 같이 서비스 게이트웨이는 인가 처리부(210), 토큰 접근 제어부(220), 리소스 처리부(230)를 포함하며, 요청에 의한 실질적인 인증 처리 및 접근제어 처리를 수행한다. 또한, 서비스 게이트웨이는 사용자 인증과 세션 생성, 인증서 취소 목록(CRL, Certificate Revocation List) 및 토큰 취소 목록(TRL, Token Revocation List)의 유효성 검증을 처리한다.
일실시예에 따른 인가 처리부(210)는 서비스 이용 단말기로부터 인증토큰 정보를 수신하고, 수신된 인증토큰 정보의 유효성을 검증할 수 있다.
예를 들어, 인가 처리부(210)는 수신된 인증토큰 정보로부터 식별되는 인증토큰의 구조 및 정보 중에서 적어도 하나를 이용하여 인증 절차를 수행하고, 인증 절차가 완료 이후 인증서 취소 목록의 유효성을 검증할 수 있다.
구체적으로, 인가 처리부(210)는 인증 토큰을 생성하고, 이를 이용하여 장치 및 사용자에 대한 인증을 수행한다. 이를 위해, 인가 처리부(210)는 인증 토큰 및 인증 토큰 취소 목록을 관리하며, 인증 절차를 수행한다. 인증모듈은 인증 토큰 정보를 이용하여 인증서 취소 목록의 유효성 검증을 통해 주체와 세션을 생성하기 때문에, 세션이 유지되는 동안에는 인증 절차가 생략될 수 있다.
또한, 인가 처리부(210)는 유효성이 검증되면 서비스 이용 단말기로부터 발행된 개인비밀키에 상응하는 세션키를 생성하고, 생성된 세션키를 서비스 이용 단말기로 전송할 수 있다.
일실시예에 따른 인가 처리부(210)는 인증서 관리부(221, Certificate Manager), 인증 관리부(222, Authentication Manager), 및 인증서 취소 목록 관리부(223, CRL Manager)를 포함한다.
서비스 게이트웨이를 통해 서비스를 제공받고자 하는 사용자 이용 단말기는 인증 모듈을 통해 인증서를 발급 받아야 하는데, 인증서 관리부(221, Certificate Manager)는 발급된 인증서의 개인키가 유출되거나, 갱신 또는 유효기간 종료시 인증서 발급에 대한 정보를 관리할 수 있다.
인증 관리부(222, Authentication Manager)는 서비스 접근 사용자의 개인키를 이용하여 인증 절차를 처리하고, 인증처리 과정에서 인증서 취소 목록을 이용한 인증서 유효성 검증을 수행한다. 인증서에 대한 유효성 검증이 완료되어 인증된 사용자에 대해서 세션을 생성하고 생성된 세션에 대한 세션 인스턴스를 관리한다.
인증서 취소 목록 관리부(223, CRL Manager)는 인증서 관리부(222)에서 발행한 인증서에 대해 서비스 탈퇴, 비밀 키 손상 및 유출이 의심될 경우 폐기 절차를 거쳐 인증서 취소 목록에 등록하고 인증서 유효성 검증 서비스를 제공한다.
다음으로, 일실시예에 따른 토큰 접근 제어부(220)는 인증토큰 정보의 유효성이 검증되면, 유효성 검증에 따라 형성된 세션 정보를 이용해서 적어도 하나 이상의 서비스 토큰을 갱신할 수 있다.
일실시예에 따른 토큰 접근 제어부(220)는 인가된 주체가 요청한 토큰에 대해 토큰 취소 목록의 검증을 거쳐 위임, 폐기, 거부 토큰 정보를 갱신하고 요청에 대한 리소스 인터페이스를 관리한다. 인증 세션 생성 후 메인 토큰 정보를 이용하여 서비스 토큰에 대한 위임, 폐기, 거부 상태를 갱신하고, 유효성 검증 결과에 따른 서비스 토큰 요청 정보를 리소스 처리부(230)에 전달한다.
이를 위해, 일실시예에 따른 토큰 접근 제어부(220)는 CS토큰 관리부 (221, Capability Service Token Manager), 토큰 취소 목록 관리부(222, Token Revocation List Manager)를 포함한다.
먼저, 일실시예에 따른 CS토큰 관리부(221)는 요청 서비스 토큰에 대한 기간 만료 및 폐기 요청에 따른 서비스 토큰 상태 정보를 변경하고, 토큰 폐기시 위임한 토큰 정보를 추적하여 해당 토큰 정보를 토큰 취소 목록에 전달한다. 또한, CS토큰 관리부(221)는 토큰 접근 제어부로부터 전달 받은 서비스 토큰에 대한 유효성 검증을 수행한다.
일실시예에 따른 토큰 취소 목록 관리부(222, Token Revocation List Manager)는 요청 서비스 토큰에 대한 목록을 관리하고 신뢰성 확보를 위해 정상 토큰 목록을 서비스 토큰의 시그니처를 이용하여 관리할 수 있다. 또한, 토큰 취소 목록 관리부(222)는 사용자에 의한 서비스 토큰 폐기를 위해 사용자가 요청한 시점을 기준으로 정상 토큰 목록에서 관련 토큰 정보를 삭제처리 하고 유효기간이 만료된 토큰의 경우 이벤트 스케쥴러를 통해 토큰 정보를 갱신할 수 있다.
일실시예에 따른 토큰 접근 제어부(220)는 세션 정보의 메인 토큰 정보로부터 위임된 서비스 토큰을 식별하고, 식별된 서비스 토큰을 반영하여 적어도 하나 이상의 서비스 토큰을 갱신할 수 있다.
일실시예에 따른 토큰 접근 제어부(220)는 재 위임여부 및 유효기간 정보 중에서 적어도 하나를 지정하여 상기 사용자 이용 단말기에 서비스 토큰 발급하고, 서비스 이용 단말기는 발급된 서비스 토큰을 사용하여 발급된 서비스 토큰에 상응하는 서비스를 요청할 수 있다.
일실시예에 따른 리소스 처리부(230)는 적어도 하나 이상의 서비스 토큰이 갱신되면, 상기 서비스 이용 단말기로부터의 서비스 요청에 따라 선택된 서비스 토큰에 상응하는 리소스 서비스 정보를 상기 서비스 이용 단말기에 제공할 수 있다.
즉, 리소스 처리부(230)는 도메인별 리소스 게이트웨이(231), 서비스 도메인(232) 및 디바이스 레지스터(233)를 관리하며 노드에서 수집된 데이터를 분석한 CapAIS(Capability Analysis Information Service)를 구성할 수 있다. 또한, 리소스 처리부(230)는 도메인 영역의 노드 장치에서 수집된 데이터를 기반으로 사용자가 이용할 수 있는 서비스를 생성하고 노드 장치의 접근 제어 서비스를 관리하며, 요청 토큰에 대한 서비스 응답을 처리한다.
이를 위해, 일실시예에 따른 리소스 처리부(230)는 리소스 서비스 엔진을 활용할 수 있는데, 리소스 서비스 엔진을 통해 서비스 토큰의 만료 기간과 접근 횟수에 대한 접근 제한을 하고자 토큰 취소 목록에 대한 유효성 검증을 수행하며, 장치 노드의 제어 및 장치 노드의 환경설정을 제어하는 API를 관리할 수 있다.
도 3은 일실시예에 따른 CaC(Certificate and Capability) 토큰(300)을 설명하는 도면이다.
일실시예에 따른 CaC 토큰(300)은 인증 및 서비스 접근 제어를 위해 사용하며, 도 3과 같이 장치 및 사용자 인증을 위한 인증서(Certificate) 토큰과 서비스 접근 권한을 가진 케이퍼빌러티(Capability) 토큰으로 구성된다. 일실시예에 따른 인증서 토큰은 서비스 주체에 대한 인증 정보를 가지며, 일실시예에 따른 케이퍼빌러티 토큰은 도메인 영역에 대한 권리정보를 갖는다. 케이퍼빌러티 토큰은 도메인 서비스를 그룹화할 수 있는 메인 토큰 정보와 각 도메인 서비스내의 서비스 각각에 대한 서비스 토큰으로 구성된다.
CaC 토큰(300)은 인가를 위한 인증서 토큰과 리소스 접근을 위한 서비스 토큰 정보를 XML로 표현할 수 있다.
인증서 토큰은 PKI에서 사용하는 표준 인증서 형식인 X.509 구조를 기반으로 구조화될 수 있다. 인증서 토큰의 등록 및 인증서 취소 목록은 인가 처리부를 통해 관리될 수 있다.
인증서 토큰이 만료 또는 폐기되는 경우에는 해당 인증서의 주체에게 발행된 모든 서비스 토큰들도 만료 또는 폐기되어야 한다. 따라서, 인증서 토큰의 만료 또는 폐기의 경우에는 메인 토큰 정보의 토큰 ID와 시그니처 데이터를 참조하여 해당 CaC 토큰에서 위임한 리소스 서비스 토큰들을 토큰 취소 목록에 등록하고 향후 위임된 리소스 서비스 토큰 접근 시 토큰 취소 목록을 참조하여 서비스 요청을 거부할 수 있다. 인증서 토큰은 서비스 게이트웨이에 접속하는 인증 과정에만 사용되며, 리소스 서비스 토큰 위임 시 인증서의 정보를 다른 사용자에게 전달하지 않고 리소스 서비스 토큰만 위임한다.
메인 토큰 정보(Main Token Info)는 도메인 서비스 그룹의 정보를 나타내는 부분으로서, 그룹 토큰에 대한 기본 정보 및 그룹 단위 토큰에 대한 폐기 정보를 포함한다. 즉, 토큰 ID, 토큰 구분자 서명, 암호화 알고리즘 정보를 포함한 메인 토큰 정보의 사인(Sign) 요소는 사용자가 서비스 게이트웨이를 통해 인증서 발급 또는 갱신시 사용자가 정의한 토큰 ID와 알고리즘을 이용한 시그니처를 생성하고, 토큰 폐기 정보를 포함한 폐지(Revocation) 요소는 그룹 토큰의 상태 및 유효기간 정보를 관리한다. 메인 토큰도 폐기 및 갱신 될 수 있으며 폐기 및 갱신이 이루어질 경우 해당 토큰 ID로 위임한 모든 서비스 토큰 정보는 서비스 토큰의 서명과 리소스 정보 요소를 참조하여 토큰 취소 목록에 등록되고 관리될 수 있고, 메인 토큰 정보를 통해서 그룹 토큰 위임 및 폐기 기능이 가능하다.
CaC 토큰(300)은 메인 토큰 정보 하부에 서비스 토큰 정보를 갖고 있기 때문에 이를 통해 서비스 토큰들을 그룹화할 수 있으며, 이에 대한 토큰 위임 및 폐기를 수행할 수 있다. 하나의 도메인 영역이 제공하는 모든 서비스 토큰들을 위임하거나 폐기하고자 할 경우에 메인 토큰을 폐기하거나 위임한다. CaC 토큰(300)은 모든 서비스 토큰 정보를 저장하고 있어, 리소스 서비스의 수가 늘어날수록 토큰의 수는 많아질 수 있으나, 실질적으로 통신시에는 전체 토큰 정보를 통한 접근 제어를 수행하지 않고, 해당 서비스에 대한 토큰 정보만을 검증하여 접근제어를 수행한다. 또한 CaC 토큰(300)은 인증서 토큰을 포함하므로, 한번의 인증서 토큰 제시로 세션이 유지되는 동안에는 주체에 대한 인증 과정에 대한 처리가 감소할 수 있다.
도 4는 케이퍼빌러티(Capability) 서비스 토큰을 설명하는 도면이다.
도 4는 케이퍼빌러티 서비스 토큰에 대한 구조를 나타내며, 케이퍼빌러티 서비스 토큰은 서비스 ID, 서비스 토큰 서명 정보, 리소스 정보, 토큰의 상태, 토큰의 위임 정보를 갖는다.
서비스 토큰은 사용자가 자체적으로 생성할 수 없으며, 서비스 관리자가 등록한 리소스 서비스 정보에 접근할 수 있는 서비스 토큰을 위임 받아야 한다. 서비스 토큰 위임 시 사용자는 위임하고자 하는 리소스 토큰의 서비스 ID 정보를 확인하고 해당 서비스 토큰을 위임한다. 서비스 토큰을 위임 받은 사용자는 자신의 메인 토큰 정보로 서비스 토큰 정보를 갱신하고 위임 서비스 토큰에 대하여 승인, 거부 의사는 서비스 토큰의 상태 정보 요소를 참조하여 결정한다.
이하, 도 5 내지 8에서는 일실시예에 따른 서비스 게이트웨이에 의한 서비스 토큰의 관리를 설명한다.
도 5는 일실시예에 따른 서비스 게이트웨이를 통해 서비스 토큰을 생성하는 과정을 설명하는 도면이다.
장치 노드 정보와 노드 제어 기능을 제공할 수 있는 리소스 서비스에 대한 관리는 리소스 관리자에 의해 처리될 수 있다. 리소스 관리자는 토큰 접근 제어부를 통해 장치 노드로부터 수집된 데이터 또는 노드 제어를 위한 서비스를 정의하고 서비스에 대한 리소스 서비스 토큰을 생성할 수 있다. 리소스에 대한 접근 권한을 가진 서비스 토큰은 토큰 접근 제어부에 의해 생성되며, 리소스 생성자가 사용자 이용 단말기에게 위임할 수 있다.
구체적으로, 토큰 접근 제어부(500)는 리소스 관리자로부터의 명령에 따라 장치 노드로부터 수집된 데이터 또는 노드 제어를 위한 서비스를 정의하고 미스터 김에게 위임할 서비스 토큰에 대해 재 위임여부, 토큰의 유효기간 정보를 지정한다.
인증과정을 거친 미스터 김의 사용자 이용 단말기는 관리자에 의해 설정된 리소스 서비스 토큰 정보를 갱신을 요청하고, 토큰 접근 제어부는 서비스 토큰 정보를 갱신한다. 다음으로, 사용자 이용 단말기는 발급된 '리소스 서비스 #2'에 해당하는 서비스 토큰을 사용하여 해당 서비스를 요청한다.
도 6은 일실시예에 따른 서비스 게이트웨이를 통해 서비스 토큰의 위임 또는 재 위임 과정을 설명하는 도면이다.
일실시예에 따른 서비스 게이트웨이의 리소스 처리부는, 수신된 서비스 토큰의 재 위임여부를 확인하고, 재 위임 불가한 설정인 경우 수신된 서비스 토큰을 토큰 취소 목록에 등록하고, 해당 리소스 서비스의 접근을 거부할 수 있다.
도 6은 리소스 처리부(600)에 의한 서비스 토큰의 위임 과정을 나타낸다. 서비스 토큰을 요청한 사용자 이용 단말기는 리소스 서비스 토큰을 부여 받은 후 해당 토큰을 다른 사용자 이용 단말기에게 위임을 요청할 수 있다. 이때, 토큰은 재위임 가능 여부와 허가된 위임의 최대값에 의해 재 위임될 수 있다. 만약, 재위임 불가한 서비스 토큰을 위임 받은 사용자 이용 단말기가 리소스 서비스에 접근할 경우에, 해당 서비스 토큰은 토큰 취소 목록에 등록되어 리소스 서비스에 접근할 수 없다.
예를 들어, 미스터 김은 사용자 이용 단말기를 통해 리소스 서비스 #1과 리소스 서비스 #3에 대한 토큰을 미스 김에게 위임하였다. 이 때, 리소스 서비스 #1이 위임 가능 토큰이고, 리소스 서비스 #3이 재위임 불가한 토큰인 경우를 고려할 수 있다.
이 때, 미스 김은 위임받은 리소스 서비스 #1 토큰을 가지고 사용자 이용 단말기를 통해 서비스를 요청하여, 이에 대한 서비스를 받는다. 만약, 미스 김이 리소스 서비스 #3 토큰으로 서비스를 요청할 경우, 이 서비스는 거부된다.
도 7은 일실시예에 따른 서비스 게이트웨이를 통해 서비스 토큰을 폐기 처리하는 과정을 설명하는 도면이다.
일실시예에 따른 서비스 게이트웨이의 토큰 접근 제어부(700)는, 사용자 이용 단말기로부터 서비스 토큰에 대한 폐기 요청을 수신하면, 서비스 토큰을 토큰 취소 목록에 등록하고, 적어도 하나 이상의 서비스 토큰을 갱신할 수 있다.
이와 관련하여 도 7은 서비스 토큰 폐기 처리 과정을 보이고 있으며, 서비스 토큰을 위임한 사용자 이용 단말기가 해당 서비스 토큰을 폐기하면 폐기 요청된 서비스 토큰은 토큰 취소 목록에 등록되고 토큰 취소 목록 관리부를 통해 폐기 요청 토큰을 소유한 주체의 서비스 토큰 정보를 갱신한다. 폐기 서비스 토큰을 통해 서비스 요청시 서비스는 거부된다.
일례로, 미스터 김은 사용자 이용 단말기를 통해 리소스 서비스 #3에 대한 토큰을 미스 김의 사용자 이용 단말기로 위임한다. 미스터 김은 사용자 이용 단말기를 통해 리소스 서비스 #3에 대한 토큰의 위조 가능성을 감지하고, 이에 대한 폐기를 요청한다. 폐기 요청은 토큰 폐기 목록 관리부에 의해 처리되어, 토큰 정보가 갱신된다. 만약, 미스 김이 리소스 서비스 #3 토큰을 가지고 서비스를 요청할 경우에는 해당 서비스가 거부된다.
도 8은 일실시예에 따른 서비스 게이트웨이를 통해 서비스 토큰의 위임을 거절 처리하는 과정을 설명하는 도면이다.
일실시예에 따른 서비스 게이트웨이의 토큰 접근 제어부(800)는, 제1 사용자 이용 단말기가 제2 사용자 이용 단말기에게 위임을 요청한 서비스 토큰에 대해, 제2 사용자 이용 단말기가 위임을 거절하는 경우에 대해 위임 요청된 서비스 토큰을 토큰 취소 목록에 등록할 수 있다.
도 8은 서비스 토큰 위임 거절 처리 과정을 보이고 있다. 사용자 이용 단말기는 서비스 토큰의 위임을 통해 다른 용자 이용 단말기에게 리소스 서비스에 접근 할 수 있는 권한을 부여한다. 그러나, 사용자 이용 단말기가 필요이상의 권한을 부여할 경우 위임 받은 사용자 이용 단말기는 위임토큰에 대해 위임거절을 할 수 있다.
위임이 거절될 경우 해당 토큰 정보는 토큰 취소 목록에 등록되고 위임 거절 정보는 위임한 사용자 이용 단말기에게 통보된다.
일례로, 미스터 김은 사용자 이용 단말기를 이용해서 서비스 토큰을 미스 김의 사용자 이용 단말기에게 위임한다. 만약, 미스 김이 서비스 토큰의 위임을 거절한다면, 위임 거절 정보는 토큰 접근 제어 모듈을 통해 미스터 김의 사용자 이용 단말기로 통보된다.
도 9는 일실시예에 따른 서비스 게이트웨이의 동작 방법을 설명하는 도면이다.
일실시예에 따른 서비스 게이트웨이의 동작 방법은 서비스 이용 단말기로부터 인증토큰 정보를 수신하고, 수신된 인증토큰 정보의 유효성을 검증할 수 있다(910).
구체적으로, 주체(사용자 이용 단말기)는 서비스 게이트웨이의 요청 핸들러에 개인비밀키가 포함된 인증토큰 정보를 전송하고, 요청 핸들러는 사용자의 인증 요청에 의해 인증 메소드(Auth)를 이용하여 인증토큰 정보를 인가 처리부로 전달하고, 인가 처리부는 이를 수신한다(911).
다음으로, 인가 처리부는 인증 토큰의 구조와 인증 토큰의 정보로 인증 절차를 거치고 인증서 취소 목록리스트의 유효성 검증을 통해 인증 절차를 수행한다(912).
인가 처리부는 인증 절차 완료 후 세션키를 생성하고 주체에게 재전송한다(913).
다음으로, 일실시예에 따른 서비스 게이트웨이의 동작 방법은 인증토큰 정보의 유효성이 검증되면, 유효성 검증에 따라 형성된 세션 정보를 이용해서 적어도 하나 이상의 서비스 토큰을 갱신할 수 있다(920).
도면부호 920에 해당하는 영역을 살펴보면, 주체는 인증 처리부에서 생성된 세션키와 메인 토큰 정보를 요청 핸들러에 전송한다. 이에, 요청 핸들러는 세션키를 통해 연결 상태를 점검하고 주체의 메인 토큰 정보를 토큰 접근 제어부에 미리 지정된 메소드를 통해 전송한다.
이에, 토큰 접근 제어부는 메인 토큰의 유효성 검증 후 폐기 또는 유효기간이 만료는 메인 토큰의 경우 주체가 보유한 리소스 서비스 토큰 및 위임한 서비스 토큰을 토큰 취소 목록에 등록(921)하여 리소스 서비스에 접근 할 수 없도록 하며, 위임 받은 서비스 토큰이 존재 할 경우 미리 지정된 메소드를 통해 주체에게 리소스 서비스 토큰 정보를 갱신한다(922).
다음으로, 일실시예에 따른 서비스 게이트웨이의 동작 방법은 적어도 하나 이상의 서비스 토큰이 갱신되면, 서비스 이용 단말기로부터의 서비스 요청에 따라 선택된 서비스 토큰에 상응하는 리소스 서비스 정보를 서비스 이용 단말기에 제공할 수 있다(931).
도면부호 930에 해당하는 영역을 살펴보면, 인증을 통한 세션 연결과 리소스 서비스 토큰 정보 갱신이 완료된 상태로 주체는 소유한 리소스 서비스 토큰들 중 요청하고자 하는 리소스 서비스 토큰을 선택하여 리소스 모듈에 요청할 수 있다.
구체적으로, 주체가 메인 토큰과 요청하고자 하는 리소스 서비스 토큰을 요청 핸들러에 요청하면, 요청 핸들러는 주체 요청을 리소스 처리부로 전송하며, 리소스 처리부는 관련 리소스 서비스 정보를 제공한다.
본 발명에 따른 서비스 게이트웨이는 도면부호 910 내지 930과 같은 인증 및 접근 제어 과정을 거치게 되는데 한번 인증이 된 후 인증 세션이 완료된 후에는 도면부호 910, 920의 과정은 생략될 수 있다.
결국, 본 발명을 이용하면 인증서 토큰 제시로 세션이 유지되는 동안에는 인증 및 접근 제어 과정을 반복할 필요 없이 원하는 서비스를 제공받음으로써, 인증 과정에 대한 처리를 감소시킬 수 있다. 뿐만 아니라, 도메인 영역에 해당하는 모든 서비스에 대해 각각의 서비스 토큰을 발행하고 발행한 서비스 토큰을 그룹으로 관리할 수 있고, 토큰 그룹에 대한 위임, 폐기, 위임의 거절이 가능한 서비스를 제공할 수 있다.
또한, 본 발명을 이용하면, 도메인별 서비스 접근 제어를 수행함으로써 사물인터넷(IoT, Internet of Things) 환경에서의 다양한 장치 관리 및 용이한 확장성을 제공할 수 있다.
본 발명의 일실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
이상과 같이 본 발명은 비록 한정된 실시예와 도면에 의해 설명되었으나, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다.
그러므로, 본 발명의 범위는 설명된 실시예에 국한되어 정해져서는 아니 되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.

Claims (18)

  1. 적어도 하나의 프로세서를 포함하는 서비스 게이트웨이에 있어서, 상기 적어도 하나의 프로세서에 의해 적어도 일시적으로 구현되는:
    서비스 이용 단말기로부터 인증토큰 정보를 수신하고, 상기 수신된 인증토큰 정보의 유효성을 검증하는 인가 처리부;
    상기 인증토큰 정보의 유효성이 검증되면, 유효성 검증에 따라 형성된 세션 정보를 이용해서 적어도 하나 이상의 서비스 토큰을 갱신하는 토큰 접근 제어부;
    상기 적어도 하나 이상의 서비스 토큰이 갱신되면, 상기 서비스 이용 단말기로부터의 서비스 요청에 따라 선택된 서비스 토큰에 상응하는 리소스 서비스 정보를 상기 서비스 이용 단말기에 제공하는 리소스 처리부를 포함하되,
    상기 토큰 접근 제어부는,
    상기 세션 정보의 메인 토큰 정보로부터 메인 토큰에 대한 폐기 또는 만료 여부를 확인하여, 폐기 또는 만료의 상태인 경우 해당 서비스 토큰을 토큰 취소 목록에 등록하는
    서비스 게이트웨이.
  2. 제1항에 있어서,
    상기 인가 처리부는,
    상기 수신된 인증토큰 정보로부터 식별되는 인증토큰의 구조 및 정보 중에서 적어도 하나를 이용하여 인증 절차를 수행하고, 상기 인증 절차가 완료 이후 인증서 취소 목록의 유효성을 검증하는 서비스 게이트웨이.
  3. 제2항에 있어서,
    상기 인가 처리부는,
    상기 유효성이 검증되면 상기 서비스 이용 단말기로부터 발행된 개인비밀키에 상응하는 세션키를 생성하고, 상기 생성된 세션키를 상기 서비스 이용 단말기로 전송하는 서비스 게이트웨이.
  4. 삭제
  5. 적어도 하나의 프로세서를 포함하는 서비스 게이트웨이에 있어서, 상기 적어도 하나의 프로세서에 의해 적어도 일시적으로 구현되는:
    서비스 이용 단말기로부터 인증토큰 정보를 수신하고, 상기 수신된 인증토큰 정보의 유효성을 검증하는 인가 처리부;
    상기 인증토큰 정보의 유효성이 검증되면, 유효성 검증에 따라 형성된 세션 정보를 이용해서 적어도 하나 이상의 서비스 토큰을 갱신하는 토큰 접근 제어부;
    상기 적어도 하나 이상의 서비스 토큰이 갱신되면, 상기 서비스 이용 단말기로부터의 서비스 요청에 따라 선택된 서비스 토큰에 상응하는 리소스 서비스 정보를 상기 서비스 이용 단말기에 제공하는 리소스 처리부를 포함하되,
    상기 토큰 접근 제어부는,
    상기 세션 정보의 메인 토큰 정보로부터 위임된 서비스 토큰을 식별하고, 상기 식별된 서비스 토큰을 반영하여 상기 적어도 하나 이상의 서비스 토큰을 갱신하는 서비스 게이트웨이.
  6. 제1항에 있어서,
    상기 토큰 접근 제어부는,
    재 위임여부 및 유효기간 정보 중에서 적어도 하나를 지정하여 상기 서비스 이용 단말기에 서비스 토큰 발급하고,
    상기 서비스 이용 단말기는 상기 발급된 서비스 토큰을 사용하여 상기 발급된 서비스 토큰에 상응하는 서비스를 요청하는 서비스 게이트웨이.
  7. 제1항에 있어서,
    상기 리소스 처리부는,
    수신된 서비스 토큰의 재 위임여부를 확인하고, 재 위임 불가한 설정인 경우 수신된 서비스 토큰을 토큰 취소 목록에 등록하고, 해당 리소스 서비스의 접근을 거부하는 서비스 게이트웨이.
  8. 제1항에 있어서,
    상기 토큰 접근 제어부는,
    상기 서비스 이용 단말기로부터 서비스 토큰에 대한 폐기 요청을 수신하면, 상기 서비스 토큰을 토큰 취소 목록에 등록하고, 상기 적어도 하나 이상의 서비스 토큰을 갱신하는 서비스 게이트웨이.
  9. 제1항에 있어서,
    상기 토큰 접근 제어부는,
    제1 서비스 이용 단말기가 제2 서비스 이용 단말기에게 위임을 요청한 서비스 토큰에 대해, 상기 제2 서비스 이용 단말기가 상기 위임을 거절하는 경우에 대해 상기 위임 요청된 서비스 토큰을 토큰 취소 목록에 등록하는 서비스 게이트웨이.
  10. 인가 처리부에서, 서비스 이용 단말기로부터 인증토큰 정보를 수신하는 단계;
    상기 인가 처리부에서, 상기 수신된 인증토큰 정보로부터 식별되는 인증토큰의 구조 및 정보 중에서 적어도 하나를 이용하여 인증 절차를 수행하는 단계;
    상기 인가 처리부에서, 상기 인증 절차가 완료 이후 인증서 취소 목록의 유효성을 검증하는 단계;
    상기 인증토큰 정보의 유효성이 검증되면, 토큰 접근 제어부에서, 유효성 검증에 따라 형성된 세션 정보를 이용해서 적어도 하나 이상의 서비스 토큰을 갱신하는 단계; 및
    상기 적어도 하나 이상의 서비스 토큰이 갱신되면, 리소스 처리부에서, 상기 서비스 이용 단말기로부터의 서비스 요청에 따라 선택된 서비스 토큰에 상응하는 리소스 서비스 정보를 상기 서비스 이용 단말기에 제공하는 단계;
    상기 토큰 접근 제어부에서, 상기 세션 정보의 메인 토큰 정보로부터 메인 토큰에 대한 폐기 또는 만료 여부를 확인하는 단계; 및
    상기 확인 결과 폐기 또는 만료의 상태인 경우 해당 서비스 토큰을 토큰 취소 목록에 등록하는 단계
    를 포함하는 서비스 게이트웨이의 동작 방법.
  11. 제10항에 있어서,
    상기 적어도 하나 이상의 서비스 토큰을 갱신하는 단계는,
    상기 서비스 이용 단말기로부터 발행된 개인비밀키에 상응하는 세션키를 생성하는 단계; 및
    상기 생성된 세션키를 상기 서비스 이용 단말기로 전송하는 단계
    를 포함하는 서비스 게이트웨이의 동작 방법.
  12. 삭제
  13. 제10항에 있어서,
    상기 토큰 접근 제어부는, 상기 세션 정보의 메인 토큰 정보로부터 위임된 서비스 토큰을 식별하고, 상기 식별된 서비스 토큰을 반영하여 상기 적어도 하나 이상의 서비스 토큰을 갱신하는 것을 특징으로 하는
    서비스 게이트웨이의 동작 방법.
  14. 제10항에 있어서,
    상기 토큰 접근 제어부에서, 재 위임여부 및 유효기간 정보 중에서 적어도 하나를 지정하여 상기 서비스 이용 단말기에 서비스 토큰 발급하는 단계
    를 더 포함하고,
    상기 서비스 이용 단말기는 상기 발급된 서비스 토큰을 사용하여 상기 발급된 서비스 토큰에 상응하는 서비스를 요청하는 서비스 게이트웨이의 동작 방법.
  15. 제10항에 있어서,
    상기 리소스 처리부에서, 수신된 서비스 토큰의 재 위임여부를 확인하고, 재 위임 불가한 설정인 경우 수신된 서비스 토큰을 토큰 취소 목록에 등록하여 해당 리소스 서비스의 접근을 거부하는 단계
    를 더 포함하는 서비스 게이트웨이의 동작 방법.
  16. 제10항에 있어서,
    상기 토큰 접근 제어부에서, 상기 서비스 이용 단말기로부터 서비스 토큰에 대한 폐기 요청을 수신하는 단계;
    상기 수신된 폐기 요청에 따라, 상기 서비스 토큰을 토큰 취소 목록에 등록하고, 상기 적어도 하나 이상의 서비스 토큰을 갱신하는 단계
    를 더 포함하는 서비스 게이트웨이의 동작 방법.
  17. 제10항에 있어서,
    상기 토큰 접근 제어부에서, 제1 서비스 이용 단말기가 제2 서비스 이용 단말기에게 위임을 요청한 서비스 토큰에 대해, 상기 제2 서비스 이용 단말기가 상기 위임을 거절하는 경우 상기 위임 요청된 서비스 토큰을 토큰 취소 목록에 등록하는 단계
    를 더 포함하는 서비스 게이트웨이의 동작 방법.
  18. 삭제
KR1020150120888A 2015-08-27 2015-08-27 사물인터넷 기반의 서비스 게이트웨이 및 동작 방법 KR101626723B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150120888A KR101626723B1 (ko) 2015-08-27 2015-08-27 사물인터넷 기반의 서비스 게이트웨이 및 동작 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150120888A KR101626723B1 (ko) 2015-08-27 2015-08-27 사물인터넷 기반의 서비스 게이트웨이 및 동작 방법

Publications (1)

Publication Number Publication Date
KR101626723B1 true KR101626723B1 (ko) 2016-06-13

Family

ID=56191319

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150120888A KR101626723B1 (ko) 2015-08-27 2015-08-27 사물인터넷 기반의 서비스 게이트웨이 및 동작 방법

Country Status (1)

Country Link
KR (1) KR101626723B1 (ko)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180058415A (ko) 2016-11-24 2018-06-01 금오기전 주식회사 멀티 프로토콜 IoT 게이트웨이 장치 및 방법
KR20190005428A (ko) * 2017-07-06 2019-01-16 한국전력공사 전력설비 사물인터넷 인터페이싱 장치, 마이크로 그리드 미들웨어 시스템 및 컴퓨터 판독가능 기록 매체
KR20190069234A (ko) * 2017-12-11 2019-06-19 건국대학교 산학협력단 홈 IoT 환경에서의 보안성 제공 장치 및 방법
KR20190134135A (ko) * 2018-05-25 2019-12-04 삼성에스디에스 주식회사 클라우드 플랫폼에 기반한 서비스 제공 방법 및 그 시스템
KR20210085609A (ko) * 2019-12-31 2021-07-08 이노뎁 주식회사 코어 vms와 엣지 vms를 구비한 모바일 엣지 컴퓨팅 기반의 영상 관제 시스템

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100958110B1 (ko) 2007-12-17 2010-05-17 한국전자통신연구원 유비쿼터스 서비스 인증 게이트웨이 장치 및 그 방법
KR20100066907A (ko) 2008-12-10 2010-06-18 한국전자통신연구원 통합 인증 및 제어 시스템 및 그 방법
KR20120128674A (ko) * 2010-03-12 2012-11-27 알까뗄 루슨트 안전한 동적 권한위임
KR20150083013A (ko) * 2014-01-08 2015-07-16 (주)매직에코 사물인터넷 지원 시스템
US20150222621A1 (en) 2014-02-04 2015-08-06 Texas Instruments Incorporated Auto-provisioning for internet-of-things devices

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100958110B1 (ko) 2007-12-17 2010-05-17 한국전자통신연구원 유비쿼터스 서비스 인증 게이트웨이 장치 및 그 방법
KR20100066907A (ko) 2008-12-10 2010-06-18 한국전자통신연구원 통합 인증 및 제어 시스템 및 그 방법
KR20120128674A (ko) * 2010-03-12 2012-11-27 알까뗄 루슨트 안전한 동적 권한위임
KR20150083013A (ko) * 2014-01-08 2015-07-16 (주)매직에코 사물인터넷 지원 시스템
US20150222621A1 (en) 2014-02-04 2015-08-06 Texas Instruments Incorporated Auto-provisioning for internet-of-things devices

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Marvin A. Sirbu 외 1명, Distributed authentication in Kerberos using public key cryptography, In Proceeding of Symposium on Network and Distributed System Security, pp.134 - 141 (1997)* *

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180058415A (ko) 2016-11-24 2018-06-01 금오기전 주식회사 멀티 프로토콜 IoT 게이트웨이 장치 및 방법
KR20190005428A (ko) * 2017-07-06 2019-01-16 한국전력공사 전력설비 사물인터넷 인터페이싱 장치, 마이크로 그리드 미들웨어 시스템 및 컴퓨터 판독가능 기록 매체
KR101939066B1 (ko) * 2017-07-06 2019-01-17 한국전력공사 전력설비 사물인터넷 인터페이싱 장치, 마이크로 그리드 미들웨어 시스템 및 컴퓨터 판독가능 기록 매체
KR20190069234A (ko) * 2017-12-11 2019-06-19 건국대학교 산학협력단 홈 IoT 환경에서의 보안성 제공 장치 및 방법
KR102033226B1 (ko) * 2017-12-11 2019-10-16 건국대학교 산학협력단 홈 IoT 환경에서의 보안성 제공 장치 및 방법
KR20190134135A (ko) * 2018-05-25 2019-12-04 삼성에스디에스 주식회사 클라우드 플랫폼에 기반한 서비스 제공 방법 및 그 시스템
KR102502167B1 (ko) 2018-05-25 2023-02-20 삼성에스디에스 주식회사 클라우드 플랫폼에 기반한 서비스 제공 방법 및 그 시스템
KR20210085609A (ko) * 2019-12-31 2021-07-08 이노뎁 주식회사 코어 vms와 엣지 vms를 구비한 모바일 엣지 컴퓨팅 기반의 영상 관제 시스템
KR102300124B1 (ko) * 2019-12-31 2021-09-08 이노뎁 주식회사 코어 vms와 엣지 vms를 구비한 모바일 엣지 컴퓨팅 기반의 영상 관제 시스템

Similar Documents

Publication Publication Date Title
US10475273B2 (en) Architecture for access management
US11063928B2 (en) System and method for transferring device identifying information
KR101626723B1 (ko) 사물인터넷 기반의 서비스 게이트웨이 및 동작 방법
US20190222575A1 (en) Systems and methods for managing relationships among digital identities
JP7196174B2 (ja) 委任アイデンティティを使用した認証方法、システム、プログラム
JP7083892B2 (ja) デジタル証明書のモバイル認証相互運用性
US20140020051A1 (en) User to user delegation service in a federated identity management environment
JP6675163B2 (ja) 権限委譲システム、認可サーバの制御方法、認可サーバおよびプログラム
CN106797318B (zh) 用于已连接的设备的认证的方法、硬件和数字证书
JP2004533075A (ja) サーバーセキュリティ及び権限付与処理のためのシステム及びその方法
KR101873991B1 (ko) IoT 기기들 간의 액세스 권한의 위임 방법
US20160285843A1 (en) System and method for scoping a user identity assertion to collaborative devices
Kim et al. A security framework in RFID multi-domain system
Mahalle et al. OAuth-based authorization and delegation in smart home for the elderly using decentralized identifiers and verifiable credentials
Fotiou et al. Capability-based access control for multi-tenant systems using OAuth 2.0 and Verifiable Credentials
WO2018207174A1 (en) Method and system for sharing a network enabled entity
KR101912012B1 (ko) 사물인터넷 환경에서 자격 토큰에 기반한 서비스 제공 방법 및 장치
JP2004213265A (ja) 電子文書管理装置、文書作成者装置、文書閲覧者装置、電子文書管理方法及び電子文書管理システム
KR20100004145A (ko) 싱글 사인 온 시스템에서의 티켓, 권한 검증 시스템 및방법
JP5736953B2 (ja) 情報処理装置、認証システム及びプログラム
Nilsson Authorization aspects of the distributed dataflow-oriented iot framework calvin
Weaver A security architecture for data privacy and security
Wu et al. A Privacy Preserving Enhanced Trust Building Mechanism for Web Services.
Apolinarski System Support for Security and Privacy in Pervasive Computing
Kim et al. A Delegation Model based on Agent in Distributed Systems

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant