KR101688118B1 - 사물인터넷 환경에서의 보안 통신 장치 및 그 방법 - Google Patents

사물인터넷 환경에서의 보안 통신 장치 및 그 방법 Download PDF

Info

Publication number
KR101688118B1
KR101688118B1 KR1020150066491A KR20150066491A KR101688118B1 KR 101688118 B1 KR101688118 B1 KR 101688118B1 KR 1020150066491 A KR1020150066491 A KR 1020150066491A KR 20150066491 A KR20150066491 A KR 20150066491A KR 101688118 B1 KR101688118 B1 KR 101688118B1
Authority
KR
South Korea
Prior art keywords
encryption
object device
security
key
key block
Prior art date
Application number
KR1020150066491A
Other languages
English (en)
Other versions
KR20160134895A (ko
Inventor
강남희
문주식
임혁
Original Assignee
주식회사 퓨쳐시스템
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 퓨쳐시스템 filed Critical 주식회사 퓨쳐시스템
Priority to KR1020150066491A priority Critical patent/KR101688118B1/ko
Publication of KR20160134895A publication Critical patent/KR20160134895A/ko
Application granted granted Critical
Publication of KR101688118B1 publication Critical patent/KR101688118B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명에 따른 사물인터넷 환경에서의 보안 통신 장치는, 사물인터넷(Internet of Things, IoT) 환경에 포함되는 사물기기 및 사물기기를 가상화하여 구축되고 PSK(Pre Shared Key)를 통해 사물기기와 보안 세션을 형성하는 가상화 기기(Virtual Machine)를 포함하고, 가상화 기기는 핸드쉐이킹(Handshaking)을 대행하여 통신 대상이 되는 타 사물기기에 대한 인증을 수행하고, 사물기기와 타 사물기기간의 송수신 데이터의 암호화를 위한 암호화 키를 포함하는 보안 키 블록을 생성하는 핸드쉐이크 모듈을 포함하고, 사물기기는 보안 키 블록을 이용하여 타 사물기기와 데이터를 송수신하는 암복호화 모듈을 포함하는 것을 특징으로 한다.

Description

사물인터넷 환경에서의 보안 통신 장치 및 그 방법{SECURITY COMMUNICATION APPARATUS OF INTERNET OF THINGS ENVIRONMENT AND METHOD THEREOF}
본 발명은 통신 장치에 관한 것으로서, 보다 구체적으로 사물인터넷 환경에서의 보안 통신 장치 및 그 방법에 관한 것이다.
주변의 일상의 사물(daily-life object)들이 인터넷에 연결되면서 우리의 삶은 획기적으로 변화해왔다. 사물인터넷(Internet of Things, IoT)은 이러한 스마트 기기를 포함한 그 외 모든 기기를 인터넷에 연결하고자 하는 하나의 패러다임이다.
새롭게 등장하고 있는 주변 사물을 인터넷에 연결하여 사물인터넷 서비스를 제공하는 경우, 대부분의 장치는 기존 사물에 내장된(embedded) 형태로 존재하기 때문에 현재 인터넷에서 일반적으로 사용하는 컴퓨팅 장치보다는 CPU나 메모리, 배터리와 같은 컴퓨팅 자원이 제한적이다.
특히, 배터리와 같은 자원의 경우에는 유지보수의 문제가 포함되어 있어, 에너지 소모량을 줄이는 것은 사물인터넷 서비스 비용을 줄이고 안정적으로 서비스를 제공하기 위한 핵심 요소로 여겨지고 있다.
이와 같이, 자원이 제한적인 장치들이 배터리에 의존하여 전력을 공급받는 상황이 있으므로 최소의 에너지로 데이터를 전송할 수 있도록 무선 통신 네트워크 기술(대표: IEEE 802.15.4(Zigbee))과 인터넷이 연동되는 상황을 고려해야 한다.
즉, IEEE 802.15.4규격을 기반으로 하는 LLN(Low power and Lossy Network) 환경이 6LoWPAN(Low-power Wireless Personal Area Network) 게이트웨이를 통해 인터넷과 연동되는 통신 환경의 특성을 고려할 때, 자원의 제한이 거의 없는 인터넷보다 자원 제한이 필수적인 LLN 환경의 상황을 고려하는 시스템의 설계가 필요하다.
인터넷 환경에서 통신 주체의 종단간 암호 전송을 제공하기 위해 IETF에서 표준화 한 IPsec, TLS(Transport Layer Security), DTLS(Datagram Transport Layer Security)와 같은 표준 프로토콜이 사용되고 있다. 특히 이러한 보안 프로토콜 중 사물인터넷 환경의 종단간 장치에서 구동되는 프로그램간의 암호세션 개설을 위해 TLS와 DTLS가 주목받고 있다.
TLS 프로토콜에 대한 구체적인 내용은 “RFC 5746”에 기재되어 있으며, DTLS 프로토콜에 대한 구체적인 내용은 “RFC 6347”에 기재되어 있다.
이 때, TLS나 DTLS 프로토콜을 사물인터넷 환경에 적용하여 그대로 사용하는 경우 인터넷 환경에서 사용하는 프로토콜을 재사용하는 것이므로 호환성을 높일 수 있다는 장점이 있다. 하지만 TLS와 DTLS 프로토콜은 컴퓨팅 자원에 제한이 없고, 네트워크 성능이 뛰어난 인터넷 환경에서 사용하던 프로토콜이므로 CPU나 메모리, 배터리와 같은 컴퓨팅 자원이 제한되어 있는 사물인터넷 환경에 TLS 또는 DTLS를 구현할 경우에는 몇 가지 제한사항이 있다.
먼저, 통신 주체간의 연결이 처음인 경우 이전에 공유된 보안 키가 없기 때문에 각 주체는 공개키 기반 방식으로 상호 인증을 수행하고 보안 키를 공유해야 하는데, 공개키 기반 방식은 대칭키 기반 방식에 비해 많은 계산이 요구되므로 CPU와 RAM이 제한적인 경량화 장치에서 수행하는데 무리가 따른다.
그리고, TLS와 DTLS는 Handshake protocol을 통해 통신 주체가 데이터 전송시 어떠한 알고리즘을 사용할지 결정하는데, 어떤 주체와 통신을 할 것인지 미리 알 수 없어 알려진 모든 보안 알고리즘을 구현해야 하므로, 다양한 보안 알고리즘을 경량화 장치에 모두 구현하여 탑재하는데 제한이 있다.
그리고, 데이터 flight시의 큰 메시지를 IEEE802.15.4 규격을 적용하는 무선 통신 환경에서 전송하기 위해서는 최대 전송 프레임 크기인 127Byte의 크기를 갖는 20~30개의 frame으로 단편화(fragmentation)해야 하는데, 이 중 하나의 frame이라도 손실될 경우 해당 flight는 처음부터 다시 시작해야 하므로 네트워크 성능을 저하시킨다.
이러한 이유로 LLN 환경에서 Handshake의 flight이 완료되는데 소요되는 시간은 기존 인터넷 시스템 환경에서 수행되는 시간보다 상대적으로 길고, 데이터 재전송은 배터리를 빠르게 소모하므로 사물인터넷 환경의 질을 저하시키는 문제가 있다.
본 발명은 상술한 문제점을 해결하기 위한 것으로서, TLS 또는 DTLS 프로토콜을 사물인터넷 환경의 경량화 장치에 적용하여 보안 세션을 개설하는 과정에서 상대적으로 더 많은 자원이 요구되는 동작을 각 경량화 장치에 대응하여 미리 구축된 가상화 기기를 통해 수행함으로써, 사물인터넷 환경의 성능을 향상시키는 것을 목적으로 한다.
또한, 본 발명은 자원이 제한적인 경량화 장치에 TLS 또는 DTLS 프로토콜에 필요한 모듈을 전부 탑재하지 않더라도 통신 대상 종단간에 안전하게 보안 통신이 가능하도록 하는 것을 목적으로 한다.
상술한 문제점을 해결하기 위한 본 발명의 일 측면에 따른 사물인터넷 환경에서의 보안 통신 장치는, 사물인터넷(Internet of Things, IoT) 환경에 포함되는 사물기기; 및 상기 사물기기를 가상화하여 구축되고 PSK(Pre Shared Key)를 통해 상기 사물기기와 보안 세션을 형성하는 가상화 기기(Virtual Machine)를 포함하고, 상기 가상화 기기는 핸드쉐이킹(Handshaking)을 대행하여 통신 대상이 되는 타 사물기기에 대한 인증을 수행하고, 상기 사물기기와 상기 타 사물기기간의 송수신 데이터의 암호화를 위한 암호화 키를 포함하는 보안 키 블록을 생성하는 핸드쉐이크 모듈을 포함하고, 상기 사물기기는 상기 보안 키 블록을 이용하여 상기 타 사물기기와 데이터를 송수신하는 암복호화 모듈을 포함하는 것을 특징으로 한다.
본 발명에서 상기 가상화 기기는 할당된 고정 IP를 통해 상기 사물기기로의 접속을 감지하고, 상기 사물기기의 현재 IP를 추적하여 상기 고정 IP와 상기 현재 IP를 페어링함으로써 상기 사물기기로의 접속을 관리하는 사물기기 관리 모듈을 더 포함하는 것을 특징으로 한다.
본 발명에서 상기 가상화 기기는, 상기 암호화 키를 이용한 암호화 개시 명령을 상기 암복호화 모듈로 전송하는 암호화 개시(Change Cipher Spec) 모듈을 더 포함하고, 상기 암복호화 모듈은 상기 암호화 개시 명령이 수신되면 상기 보안 키 블록을 이용하여 상기 송수신 데이터를 암호화하는 것을 특징으로 한다.
본 발명에서 상기 가상화 기기는 상기 사물기기와의 보안 세션을 통한 데이터 송수신시 에러가 발생하면, 에러 메시지를 출력하는 경보(Alert) 모듈; 및 상기 타 사물기기에 대한 인증 결과 및 상기 보안 키 블록에 대한 암호화 또는 복호화를 수행하는 가상 암복호화(Record Layer) 모듈을 포함하는 것을 특징으로 한다.
본 발명에서 상기 가상화 기기는 상기 PSK로 상기 보안 키 블록을 암호화하는 것을 특징으로 한다.
본 발명에서 상기 핸드쉐이크 모듈은 상기 타 사물기기의 통신 가능 여부를 확인하는 1차 헬로우 메시지, 상기 1차 헬로우 메시지에 대한 응답과 상기 타 사물기기의 인증서 또는 공개키를 포함하는 제1인증 메시지, 상기 사물기기의 인증서 또는 상기 공개키로 암호화된 키 정보를 포함하는 제2인증 메시지, 및 협상된 보안 방식으로 암호화할 것을 알리는 암호화 개시 메시지의 송수신을 통해 핸드쉐이킹하는 것을 특징으로 한다.
본 발명에서 상기 핸드쉐이크 모듈은 상기 1차 헬로우 메시지에 대한 검증 요청 메시지 및 상기 1차 헬로우 메시지에 대한 검증용 데이터가 포함된 2차 헬로우 메시지를 더 포함하여 핸드쉐이킹하는 것을 특징으로 한다.
본 발명은 상기 핸드쉐이크 모듈은 공개키 기반 방식으로 상기 인증 및 보안 키 블록 생성을 수행하고, 상기 암복호화 모듈은 상기 보안 키 블록을 이용한 대칭키 기반 방식으로 데이터를 송수신하는 것을 특징으로 한다.
본 발명에서 상기 가상화 기기는 상기 사물기기의 네트워크 등록시 상기 사물기기와 상기 PSK를 공유하는 사물기기 관리 모듈을 더 포함하는 것을 특징으로 한다.
본 발명에서 상기 보안 키 블록은 암호화 알고리즘, 무결성 알고리즘, 암호화용 보안 키 또는 무결성 검증용 보안 키 중 적어도 하나를 포함하는 것을 특징으로 한다.
본 발명에서 상기 사물기기는 상기 암호화 알고리즘과 상기 암호화용 보안 키를 이용하여 암호화한 데이터를 상기 타 사물기기로 전송하거나, 상기 무결성 알고리즘과 상기 무결성 검증용 보안 키를 이용하여 생성한 무결성 값을 상기 타 사물기기로 전송하는 것을 특징으로 한다.
상술한 문제점을 해결하기 위한 본 발명의 일 측면에 따른 사물인터넷 환경에서의 보안 통신 방법은 사물인터넷(Internet of Things, IoT) 환경에 포함되는 사물기기를 가상화하여 구축된 가상화 기기가 핸드쉐이킹(Handshaking)을 대행하여 통신 대상이 되는 타 사물기기에 대한 인증을 수행하는 단계; 상기 인증 완료 후, 상기 가상화 기기가 상기 사물기기와 상기 타 사물기기간의 송수신 데이터의 암호화를 위한 암호화 키를 포함하는 보안 키 블록을 생성하는 단계; 및 상기 사물기기가 상기 보안 키 블록을 이용하여 암호화한 데이터를 상기 타 사물기기와 송수신하는 단계를 포함한다.
본 발명은 상기 보안 키 블록을 생성하는 단계 이후에, PSK(Pre Shared Key)로 상기 보안 키 블록을 암호화하여 상기 사물기기로 전송하는 단계를 더 포함하는 것을 특징으로 한다.
본 발명은 상기 보안 키 블록을 생성하는 단계 이후에, 상기 암호화 키를 이용한 암호화 개시 명령을 전송하는 단계를 더 포함하고, 상기 암호화 개시 명령이 수신되면 상기 보안 키 블록을 이용하여 상기 송수신 데이터를 암호화하는 것을 특징으로 한다.
본 발명에서 상기 인증을 수행하는 단계는, 상기 타 사물기기의 통신 가능 여부를 확인하는 1차 헬로우 메시지와, 상기 1차 헬로우 메시지에 대한 응답과 상기 타 사물기기의 인증서 또는 공개키를 포함하는 제1인증 메시지; 및 상기 사물기기의 인증서 또는 상기 공개키로 암호화된 키 정보를 포함하는 제2인증 메시지와, 협상된 보안 방식으로 암호화할 것을 알리는 암호화 개시 메시지를 송수신하는 단계를 포함하는 것을 특징으로 한다.
본 발명에서 상기 인증을 수행하는 단계는, 상기 1차 헬로우 메시지에 대한 검증 요청 메시지와 상기 1차 헬로우 메시지에 대한 검증 데이터가 포함된 2차 헬로우 메시지를 송수신하는 단계를 더 포함하는 것을 특징으로 한다.
본 발명에서 상기 인증을 수행하는 단계와 상기 보안 키 블록을 생성하는 단계는 공개키 기반 방식으로 수행되고, 상기 송수신하는 단계는 대칭키 기반 방식으로 수행되는 것을 특징으로 한다.
본 발명은 상기 인증을 수행하는 단계 전에, 상기 사물기기의 네트워크 등록시 상기 사물기기와 PSK를 공유하도록 상기 가상화 기기를 구축하는 단계를 더 포함하는 것을 특징으로 한다.
본 발명에서 상기 송수신하는 단계는, 상기 보안 키 블록에 포함된 암호화 알고리즘과 암호화용 보안 키를 이용하여 암호화한 데이터를 상기 타 사물기기로 전송하는 단계; 또는 상기 보안 키 블록에 포함된 무결성 알고리즘과 무결성 검증용 보안 키를 이용하여 암호화한 데이터를 상기 타 사물기기로 전송하는 단계를 포함하는 것을 특징으로 한다.
본 발명에 따르면, 사물인터넷 환경의 경량화 장치에 대한 보안 세션을 개설하는 과정에서 핸드쉐이킹과 같이 상대적으로 더 많은 자원이 요구되는 동작은 경량화 장치에 대응하여 미리 구축된 가상화 기기를 통해 수행함으로써 사물인터넷 환경의 성능을 향상시킬 수 있다.
또한, 본 발명에 따르면, 자원이 제한적인 경량화 장치에 TLS 또는 DTLS 프로토콜을 전부 탑재하지 않고도 통신 대상 종단간의 안전한 보안 통신이 가능하다는 효과가 있다.
또한, 본 발명에 따르면, 보안 통신 개설을 위해 요구되는 핸드쉐이킹의 많은 메시지를 경량화 장치가 전송할 필요가 없으므로 데이터 전송에 필요한 전력을 감소시켜, 배터리에 의존하는 경량화 장치가 효율적으로 전력을 사용할 수 있는 효과가 있다.
도 1은 본 실시예에 따른 사물인터넷 환경에서의 보안 통신 장치의 구성을 개략적으로 보여주는 도면.
도 2는 TLS 또는 DTLS 프로토콜을 기반으로 통신하기 위한 본 실시예에 따른 가상화 기기의 구성을 개략적으로 보여주는 도면.
도 3은 TLS 또는 DTLS 프로토콜을 기반으로 통신하기 위한 본 실시예에 따른 사물기기의 구성을 개략적으로 보여주는 도면.
도4는 본 실시예에 따른 사물인터넷 환경에서 두 가상화 기기 간의 핸드쉐이킹 과정을 설명하는 플로우차트.
도 5는 본 실시예에 따른 사물인터넷 환경에서 두 경량화 장치간의 보안 세션 개설 방법의 구현 과정을 설명하는 플로우차트.
도 6 및 도 7은 본 실시예에 따른 사물인터넷 환경에서 하나의 경량화 장치와 하나의 서버간의 보안 세션 개설 방법의 구현 과정을 설명하는 플로우차트.
본 명세서에서 각 도면의 구성요소들에 참조번호를 부가함에 있어서 동일한 구성 요소들에 한해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 번호를 가지도록 하고 있음에 유의하여야 한다.
한편, 본 명세서에서 서술되는 용어의 의미는 다음과 같이 이해되어야 할 것이다.
단수의 표현은 문맥상 명백하게 다르게 정의하지 않는 한 복수의 표현을 포함하는 것으로 이해되어야 하고, "제1", "제2" 등의 용어는 하나의 구성요소를 다른 구성요소로부터 구별하기 위한 것으로, 이들 용어들에 의해 권리범위가 한정되어서는 아니 된다.
"포함하다" 또는 "가지다" 등의 용어는 하나 또는 그 이상의 다른 특징이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
"적어도 하나"의 용어는 하나 이상의 관련 항목으로부터 제시 가능한 모든 조합을 포함하는 것으로 이해되어야 한다. 예를 들어, "제1 항목, 제2 항목 및 제 3 항목 중에서 적어도 하나"의 의미는 제1 항목, 제2 항목, 또는 제3 항목 각각 뿐만 아니라 제1 항목, 제2 항목, 및 제3 항목 중에서 2개 이상으로부터 제시될 수 있는 모든 항목의 조합을 의미한다.
먼저, 본 발명의 실시예들에 대해 구체적으로 설명하기에 앞서 본 발명이 적용되는 사물인터넷 환경에 대해 간략히 설명한다.
사물인터넷(Internet of Thing, IoT)이란 무선 통신이 가능한 각각의 사물들이 연결되어 지능화 통신을 하는 것을 의미한다. 사물인터넷은 각종 센서와 모바일 디바이스 등 이기종(Heterogeneous) 간 상호 접속 네트워크라는 특징을 가진다. 이러한 특징으로 인해 제조사별 사물기기마다 다양한 사설표준이 만들어지고 구현되어 이기종의 디바이스 간 원활한 상호운영에 어려움이 있다. 따라서 진정한 사물인터넷 개념을 구현하기 위해서는 제조사나 사물기기 특성에 구애받지 않는 단일화된 표준 플랫폼이 필요하다.
이러한 문제를 해결하고자 모든 사물을 Web으로 통합하는 WoT(Web of Things)라는 개념이 제안된 바 있다. IETF CoRE(Constrained Restful Environment) 워킹그룹에서는 WoT 환경에서 메시지 전송의 표준화 방안으로 CoAP(Constrained Application Protocol)라고 불리는 경량화된 웹 프로토콜의 표준화를 진행하고 있다. CoAP는 센서와 같은 제약이 많은 환경에서 웹 서비스를 제공하기 위한 프로토콜로 HTTP와 같이 REST(Representational State Transfer)형식을 기반으로 한다.
또한, 경량화된 사물인터넷 장치들을 위한 전송 기술에서 IETF는 CoAP를, OASIS는 MQTT를 표준화 중인데 CoAP는 UDP 기반이고 MQTT는 TCP를 소켓 프로토콜로 사용한다. 따라서 사물인터넷 환경에서는 UDP를 위한 암호 세션 프로토콜인 DTLS와 TCP를 위한 암호 세션 프로토콜인 TLS가 각각 고려되고 있다.
이하, 첨부된 도면들을 참조하여 본 발명의 실시예들에 대해 설명한다.
도 1은 본 발명의 일 실시예에 따른 사물인터넷 환경에서의 보안 통신 장치의 구성을 개략적으로 보여주는 도면, 도 2는 TLS 또는 DTLS 프로토콜을 기반으로 통신하기 위한 본 실시예에 따른 가상화 기기의 구성을 개략적으로 보여주는 도면, 도 3은 TLS 또는 DTLS 프로토콜을 기반으로 통신하기 위한 본 실시예에 따른 사물기기의 구성을 개략적으로 보여주는 도면이다.
도 1에 도시된 바와 같이, 사물인터넷 환경의 네트워크는 크게 LLN(Low-power and Lossy Network)영역과 인터넷(Internet)영역으로 구분되고, 본 실시예에 따른 사물인터넷 환경에서의 보안 통신 장치는 LLN 영역에서 동작하는 경량화 장치에 해당하는 제1 사물기기(10)와 제2 사물기기(20), 6LowPAN 게이트웨이를 통해 LLN 환경과 인터넷 환경을 연동하는 라우터(30), 및 제1 사물기기(10)와 제2 사물기기(20)에 각각 대응되어 구축되는 제1 가상화 기기(Virtual Machine)(11)와 제2 가상화 기기(21)를 포함한다.
제1 사물기기(10)와 제2 사물기기(20)는 사물인터넷 환경에 포함된 센서일 수 있으며, 또는 이동성을 갖는 무선 센서를 포함할 수도 있다.
본 실시예에 따른 사물인터넷 환경에는 하나 이상의 사물기기 및 그에 대응하여 구축되는 하나 이상의 가상화 기기가 포함될 수 있으며, 이하에서는 두 개의 경량화 사물기기간의 통신 상황을 가정하여 설명하기로 한다. 특히, 제1 사물기기(10)는 제2 사물기기(20)와, 제1 가상화 기기(11)는 제2 가상화 기기(21)와 실질적으로 동일한 구성을 가지므로 제1 사물기기(10)와 제1 가상화 기기(11)의 구성에 대해서만 설명하기로 한다.
도 2를 참조하면, 본 실시예에 따른 제1 가상화 기기(11)는 핸드쉐이크(Handshake) 모듈(11b)을 포함하여, 제1 사물기기(10)의 핸드쉐이킹을 대행함으로써 통신 대상이 되는 제2 사물기기(20)에 대한 인증을 수행하고, 제1 사물기기(10)와 제2 사물기기(20)간의 송수신 데이터의 암호화를 위한 암호화 키를 포함하는 보안 키 블록을 생성할 수 있다.
즉, TLS 또는 DTLS 프로토콜을 이용하여 보안 통신하기 위해서는 핸드쉐이킹을 통해 통신 대상이 되는 상대에 대한 인증 및 보안 키 블록을 생성하는 과정을 수행해야 하는데, 이러한 동작은 많은 자원을 요구하므로 본 실시예에서의 제1 가상화 기기(11)는 핸드쉐이크 모듈(11b)을 포함하여 사물기기(10, 20)를 대신하여 핸드쉐이킹을 수행할 수 있다.
도 3을 참조하면, 제1 사물기기(10)는 암복호화 모듈(10b)을 포함하고, 암복호화 모듈(10b)은 제1 가상화 기기(11)를 통해 생성되는 보안 키 블록을 이용하여 제2 사물기기(20)와의 송수신 데이터를 암호화 또는 복호화할 수 있다.
이와 같이, 본 실시예에서는 제1 가상화 기기(11)를 통해 핸드쉐이킹을 대행하기 때문에, 자원이 제한되는 경량화 장치인 제1 사물기기(10)를 통해서도 네트워크의 성능 저하없이 제2 사물기기(20)와 보안 통신이 가능하다.
도 4는 본 실시예에 따른 사물인터넷 환경에서 두 가상화 기기 간의 핸드쉐이킹 과정을 설명하는 플로우차트이다.
도 4를 통해 제1 가상화 기기(11)와 제2 가상화 기기(21)가 DTLS 프로토콜을 통해 핸드쉐이킹을 대행하는 구체적인 과정을 살펴보면, DTLS 프로토콜을 통한 핸드쉐이킹시에 제1 가상화 기기(11)와 제2 가상화 기기(21)는 6개의 flight(S1 내지 S6)을 주고 받는다.
즉, 제1 가상화 기기(11)와 제2 가상화 기기(21)는 통신 상대방이 되는 사물기기(10, 20)의 통신 가능 여부를 확인하는 1차 헬로우 메시지와 서비스 거부 공격에 대응하기 위한 1차 헬로우 메시지에 대한 검증 요청 메시지, 1차 헬로우 메시지에 대한 검증용 데이터가 포함된 2차 헬로우 메시지와 2차 헬로우 메시지에 대한 응답과 사물기기(10, 20)의 인증서 또는 공개키를 포함하는 제1인증 메시지, 및 사물기기(10, 20)의 인증서 또는 상기 공개키로 암호화된 키 정보를 포함하는 제2인증 메시지와 협상된 보안 방식으로 암호화할 것을 알리는 암호화 개시 메시지의 송수신을 통해 핸드쉐이킹을 대행한다.
구체적으로, 제1 가상화 기기(11)가 제2 가상화 기기(21)로 핸드쉐이킹을 요청한 경우를 가정하면, 우선 제1 가상화 기기(11)는 제2 사물기기(20)의 통신 가능 여부를 확인하기 위한 1차 헬로우(제1 사물기기 Hello) 메시지를 제2 가상화 기기(21)로 전송하고(S1), 그에 따라 제2 가상화 기기(21)는 서비스 거부 공격에 대응할 수 있도록 상기 1차 헬로우 메시지의 검증을 요청(HelloVerifyRequest)한다(S2).
그리고 제1 가상화 기기(11)는 다시 1차 헬로우 메시지에 대한 검증용 데이터가 포함된 2차 헬로우 메시지를 제2 가상화 기기(21)로 전송하고(S3), 제2 가상화 기기(21)는 2차 헬로우 메시지에 대한 응답으로 제1 사물기기(10)의 통신 가능 여부를 확인하기 위한 헬로우(제2 사물기기 Hello) 메시지로 응답한다(S4-1).
이어서 제2 가상화 기기(21)는 제2 사물기기(20)에 대한 인증을 위해 제1 가상화 기기(11)로 인증서(Certificate)를 전송하고(S4-2), 추가로 필요한 경우(예를 들어 제2 사물기기(20)가 인증서를 가지고 있지 않거나, 인증서가 서명 전용인 경우) 제2 가상화 기기(21)는 제2 사물기기 키 교환(제2 사물기기KeyExchange) 메시지를 제1 가상화 기기(11)로 전송하고(S4-3), 제1 사물기기(10)가 신뢰할 수 있는 대상인지 확인하기 위한 제1 사물기기(10)의 인증서(CertificateRequest)를 요청할 수 있다(S4-4).
그리고, 제2 가상화 기기(21)는 메시지 전송이 완료되었음을 알리는 제2 사물기기 헬로우 완료(제2 사물기기HelloDone) 메시지를 전송한다(S4-5).
다음으로 제1 가상화 기기(11)는 제2 가상화 기기(21)의 요청에 따라 보유하고 있는 인증서 중 하나를 선택하여 제2 가상화 기기(21)로 전송하고(S5-1), 제2 사물기기(20)의 인증서에 포함되어 있는 공개키로 암호화하여 키 교환에 사용할 예비 키(제1 사물기기KeyExchange)를 전송하는 한편(S5-2), 제1 사물기기(10)의 서명용 개인키로 서명된 서명값(CertificateVerify)을 제2 가상화 기기(21)로 전송한다(S5-3).
그리고 제1 가상화 기기(11)는 상기의 과정에서 협상된 보안 방식을 다음 메시지 전송부터 적용할 것임을 알리고(ChangeCipherSpec, Finished)(S5-4, S5-5), 제2 가상화 기기(21)는 수신한 인증서에 포함된 공개키를 이용하여 제1 사물기기(10)의 서명값을 복호화함으로써 제1 사물기기(10)를 검증하며, 제1 사물기기(10)가 적법한 것으로 판단되면 전술한 단계(S5-4, S5-5)에 대한 응답으로 암호화 개시 메시지를 전송한다(ChangeCipherSpec, Finished)(S6-1, S6-2).
전술한 과정은 DTLS 프로토콜을 이용한 경우이며, 제1 가상화 기기(11)와 제2 가상화 기기(21)가 TLS 프로토콜을 통해 핸드쉐이킹할 경우에는 도 4의 S1과 S2 과정을 생략한 4개의 flight을 통해 상대 사물기기(10, 20)에 대한 인증 및 보안 키 블록 생성을 수행한다.
또한 제1 가상화 기기(11)는 암호화 개시(Change Cipher Spec) 모듈(11c)을 더 포함함으로써, 전술한 핸드쉐이킹 완료 후 상기 보안 키 블록에 포함되는 암호화 키를 이용한 암호화 개시 명령을 제1 사물기기(10)의 암복호화 모듈(10b)로 전송할 수 있으며, 암복호화 모듈(10b)은 암호화 개시 명령이 수신되면 해당 보안 키 블록을 이용하여 송수신 데이터를 암호화한다.
또한 제1가상화 기기(11)는제1 사물기기(10)와의 보안 세션을 통한 데이터 송수신시 에러가 발생하면 에러 메시지를 출력하는 경보(Alert) 모듈(11d) 및 제2 사물기기(20)에 대한 인증 결과 및 보안 키 블록에 대한 암호화 또는 복호화를 수행하는 가상 암복호화(Record layer) 모듈(11e)을 더 포함할 수 있다.
더불어 본 실시예에서 제1 사물기기(10)와 제1 가상화 기기(11)는 응용 계층(Application Layer)의 데이터를 암복호화 모듈(10b) 또는 가상 암복호화 모듈(11e)로 전달하는 어플리케이션 모듈(10a, 11a)을 각각 더 포함할 수 있다.
이와 같이 본 실시예에서는, 제1 사물기기(10)를 가상화하여 구축된 제1 가상화 기기(11)에 보안 통신에 실질적으로 필요한 모든 모듈이 포함되기 때문에, 제1 사물기기(10)는 제2 사물기기(20)와의 송수신 데이터 자체를 암호화 또는 복호화하는데 필요한 모듈만을 포함하는 형태로 제한된 자원을 이용하여 구현될 수 있다.
이를 위해 본 실시예에서는 제1 사물기기(10) 또는 제2 사물기기(20)가 네트워크에 등록될 때, 클라우드에 각각의 사물기기(10, 20)와 동일한 운영 체제를 갖는 제1 가상화 기기(11)와 제2 가상화 기기(21)가 구축된다.
즉, 사용자가 새로운 사물기기(10, 20)를 최초로 사물인터넷 환경에서 사용하고자 할 때는 우선 해당 사물기기(10, 20)를 사물인터넷 환경에 등록해야 하는데, 본 실시예에서는 사용자가 특정 사물기기(10, 20)를 네트워크에 등록할 당시에 해당 사물기기(10, 20)에 대응되는 가상화 기기(11, 21)를 미리 클라우드에 구축한다.
구체적으로 본 실시예에서는 공지 또는 기타 공지되지 않은 다양한 방식을 통해 가상화 기기를 구축할 수 있으며, 이는 본 실시예의 핵심적인 부분이 아니므로 보다 구체적인 구현 과정에 대한 설명은 생략하기로 한다.
또한, 본 실시예에서는 사물인터넷 환경에 새로운 사물기기(10, 20)가 등록될 때마다 해당 사물기기(10, 20)에 대응되는 가상화 기기(11, 21)를 구축하는 한편, 사물기기(10, 20)와 대응되는 가상화 기기(11, 21)에 각각의 PSK(Pre Shared Key)를 설정함으로써 사물기기(10, 20)와 가상화 기기(11, 21) 간의 암호화된 Out-Of-Band 세션을 개설한다.
즉, 후술하는 제1 사물기기(10)와 제2 사물기기(20) 간의 종단간 통신 세션 이외에 각각의 가상화 기기(11, 21)와의 통신을 위한 별도의 세션을 형성할 수 있게 된다.
따라서 전술한 가상 암복호화 모듈(11e)은 핸드쉐이크 모듈(11b)에서 생성된 보안 키 블록을 제1 사물기기(10)와 공유하는 PSK로 암호화하여 제1 사물기기(10)로 전송할 수 있다.
이와 같이 본 실시예에서는 가상화 기기(11, 21)를 구축할 때 PSK를 설정하기 때문에, 추후에 사물기기(10, 20)가 보안 키를 생성하는 복잡한 과정을 수행할 필요없이 사물기기(10, 20)와 가상화 기기(11, 21)간의 암호화된 통신이 가능하다.
반면, 제1 가상화 기기(11)와 제2 가상화 기기(21)는 각각 클라우드에 구축되어 자원 이용에 있어서 상대적으로 제한이 덜하므로 공개키 기반 방식으로 상대 사물기기(10, 20)에 대한 인증 및 보안 키 블록 생성을 수행할 수 있다.
즉, 공개키 기반 방식은 대칭키 기반 방식에 비해 많은 계산이 요구되어 CPU와 RAM과 같은 자원이 제한적인 사물기기(10, 20)에서 수행하는데 무리가 따르므로, 본 실시예에서는 상대적으로 자원이 덜 제한적인 제1 가상화 기기(11)와 제2 가상화 기기(21)를 통해 처음 접속하는 사물기기(10, 20)에 대해서도 인증 및 보안 키 블록을 생성할 수 있다.
구체적으로 제1 가상화 기기(11)와 제2 가상화 기기(21)는 도 4에 도시된 핸드쉐이킹(Handshaking)을 통해 인증 및 보안 키 블록을 생성하고, 생성한 보안 키 블록을 제1 사물기기(10)와 제2 사물기기(20)로 각각 전송한다.
이 때, 가상화 기기(11, 21)는 서로 대응되는 사물기기(10, 20)와 공유하는 PSK로 보안 키 블록을 암호화하여 대응되는 사물기기(10, 20)로 전송하기 때문에, 제1 사물기기(10)와 제2 사물기기(20)는 각각 동일한 보안 키 블록을 안전하게 공유하게 된다.
그리고 제1 사물기기(10)와 제2 사물기기(20)는 각각의 가상화 기기(11, 21)로부터 수신한 보안 키 블록을 이용하여 암호화된 데이터를 주고 받는다.
이 때, 전술한 바와 같이 제1 사물기기(10)와 제2 사물기기(20)는 동일한 보안 키 블록을 획득한 상태이므로 공개키 기반 방식이 아닌 대칭키 기반 방식으로 보안 세션 개설이 가능하다.
또한, 본 실시예에서의 가상화 기기(11, 21)는 각 사물기기(10, 20)를 대행하기 위해 각 사물기기(10, 20)에 대한 ID, 소유자, 펌웨어 버전 등의 다양한 정보를 관리하는 사물기기 관리 모듈(11f)을 더 포함할 수 있다.
그리고 사물기기 관리 모듈(11f)은 제1 사물기기(10)의 펌웨어 무결성 검증을 위한 무결성 검증값(HMAC(f/W, PSK))을 저장하고 있으며, 제2 가상화 기기(21)의 사물기기 관리 모듈은 제2 사물기기(20)의 펌웨어 무결성 검증값을 저장하고 있기 때문에 제1 가상화 기기(11)와 제2 가상화 기기(21)는 핸드쉐이킹으로 각 사물기기(10, 20)의 무결성을 검증할 수 있다.
구체적으로 가상화 기기(11, 21)는 대응되는 사물기기(10, 20)의 식별자(ID d), 난수(RN), 시간 및 공간 정보(TS)를 포함하는 검증값을 요청하고, 아래의 수학식 1과 같은 검증값을 각각의 사물기기(10, 20)로부터 수신한다.
Figure 112015045736937-pat00001
수학식 1에서 Hash는 다양한 사이즈의 입력을 수신하여 고정된 사이즈의 데이터로 매핑하는 알고리즘이고, RN은 난수, ∥는 비트연접 연산자, TS는 시간 및 공간 정보, HMAC(f/W, PSK)은 PSK를 이용하여 펌웨어(f/W)를 keyed hash한 무결성 검증값을 의미한다.
본 실시예에서는 HMAC 방식을 통해 각 사물기기(10, 20)의 무결성 값을 생성하는 것으로 설명하였으나 이에 한정되는 것은 아니므로, ICV(Integrity Check Value), CMAC(Cipher MAC) 또는 UMAC(Universal MAC) 등의 방식을 이용하는 것도 가능하며 기타 기술하지 않은 다양한 방식에 따른 검증값을 이용하는 것도 가능하다.
또한, 전술한 사물기기 관리 모듈(11f)은 제1 사물기기(10)로의 접속을 관리할 수도 있다. 즉, 제1 사물기기(10)가 사용자가 소지하는 형태의 사물기기인 경우 제1 가상화 기기(11)는 사용자의 이동에 따라 달라지는 제1 사물기기(10)의 통신 접속 정보를 관리해야 한다.
특히, 물리 공간에 실제 존재하는 제1 사물기기(10)는 URL(Uniform Resource Locator, 예: coap://myhome.com/sensor1)을 통해 외부로부터 접속 요청을 받는데, 제1 사물기기(10)는 사설 IP를 사용하거나 이동성으로 인해 자주 변경되는 IP를 사용하게 되므로 해당 URL을 매핑하는데 어려움이 따르므로, 본 실시예에서 클라우드 환경에 구축된 제1 가상화 기기(11)의 사물기기 관리 모듈(11f)은 클라우드 서비스 제공자로부터 할당된 고정 IP를 사용하여 제1 사물기기(10)로의 접속을 관리한다.
구체적으로 본 실시예에서는 상기 URL을 제1 가상화 기기(11)에 할당된 고정 IP에 매핑하고, 사물기기 관리 모듈(11f)은 고정 IP를 이용하여 물리 공간에 존재하는 제1 사물기기(10)로의 접속을 감지하게 된다.
그리고 사물기기 관리 모듈(11f)은 제1 사물기기(10)의 현재 IP를 지속적으로 추적하여 고정 IP와 제1 사물기기(10)의 현재 IP를 페어링함으로써 제1 사물기기(10)로의 접속을 관리할 수 있다.
즉, 제1 가상화 기기(11)는 제2 사물기기(20)로부터 보안 세션의 개설이 요청되면 페어링된 현재 IP를 추적하여 해당 요청을 제1 사물기기(10)에 알릴 수 있다.
일례로, 제2 가상화 기기(21)가 제2 사물기기(20)의 요청에 따라 제1 사물기기(10)와의 보안 세션 개설을 요청하는 경우에 제2 가상화 기기(21)는 제1 가상화 기기(11)의 고정 IP에 매핑된 URL을 통해 통신을 요청하게 되어 실질적으로 보안 세션 개설 요청은 제1 가상화 기기(11)가 접수하게 된다. 그리고 제1 가상화 기기(11)는 해당 고정 IP와 페어링되어 있는 제1 사물기기(10)의 현재 IP를 통해 제1 사물기기(10)로 보안 세션 개설이 요청되었음을 알린다.
추가로 본 실시예에서는 제1 가상화 기기(11)가 제1 사물기기(10)의 현재 IP를 지속적으로 추적할 수 있도록 제1 사물기기(10)가 주기적으로 또는 IP에 변화가 생긴 경우에 현재 IP를 제1 가상화 기기(11)로 보고하도록 구현할 수도 있다.
뿐만 아니라, 제1 가상화 기기(11)는 제2 사물기기(20)로부터 보안 세션 개설이 요청되었을 때 제1 사물기기(10)가 슬립(sleep) 상태인 경우 가상 프록시 기능을 이용하여 미리 설정된 응답을 제2 사물기기(20)(실질적으로는 제2 가상화 기기)로 전송할 수 있으며, 제1 사물기기(10)가 웨이크(wake) 상태인 경우 제1 사물기기(10)의 승낙에 따라 보안 세션을 개설할 수 있다.
또한, 본 실시예에서 제1 가상화 기기(11)와 제2 가상화 기기(21)의 핸드쉐이킹을 통해 생성되는 보안 키 블록은 암호화 알고리즘, 무결성 알고리즘, 암호화용 보안 키 또는 무결성 검증용 보안 키 중 적어도 하나를 포함한다.
그리고, 제1 사물기기(10)는 제1 가상화 기기(11)로부터 전달받은 보안 키 블록의 암호화 알고리즘과 암호화용 보안 키를 이용하여 데이터를 암호화하여 제2 사물기기(20)로 전송하고, 무결성 알고리즘과 무결성 검증용 보안 키를 이용하여 해당 데이터의 무결성 값을 생성하여 제2 사물기기(20)로 전송하며, 제2 사물기기(20)는 제1 사물기기(10)와 동일한 보안 키 블록을 공유하고 있으므로 이를 이용해서 제1 사물기기(10)로부터 암호화된 데이터를 수신하고, 해당 데이터의 무결성을 확인하게 된다.
특히, 본 실시예에서 제1 사물기기(10)와 제2 사물기기(20)는 IETF에 의해 규정된 Class 0 또는 Class 1에 포함된 사물기기인 것을 특징으로 한다.
사물인터넷 환경에서는 다양한 이기종의 장치들이 포함되기 때문에, 각 장치의 자원 제약성에 따라 제공할 수 있는 서비스의 범위, 고려해야 하는 보안요소가 달라질 수 있다. 이에 IETF 표준화 기구의 LWIG(Light-Weight Implementation Guidance) 워킹 그룹에서는 사물인터넷 환경을 구성하는 장치들을 자원의 제한적인 정도에 따라 Class 0부터 Class 2까지 구분하고 있다.
특히 Class 0은 가장 자원이 제한된 장치로 암호화 알고리즘의 탑재가 어렵고, Class 1은 경량화 된 암호 알고리즘이 탑재될 수 있는 장치로 메모리가 10KiB 이하이고, 최대 적재 가능한 코드 크기가 100KiB 이하의 초경량화 사물기기들이 포함된다.
즉, 본 실시예에서는 자원이 제약되는 Class 0 또는 Class 1에 포함된 사물기기가 포함된 사물인터넷 환경에서는 각 사물기기에 대응하도록 클라우드에 가상화 기기를 구축하는 것을 특징으로 한다.
이와 같이, 본 실시예에 따른 사물인터넷 환경에서는 제1 사물기기(10) 또는 제2 사물기기(20)와 같은 경량화 장치가 직접 수행하기에는 많은 자원이 요구되거나 복잡한 핸드쉐이킹을 클라우드에 미리 구축된 제1 가상화 기기(11)와 제2 가상화 기기(21)를 통해 대신 수행하기 때문에 네트워크 성능의 저하없이 TLS나 DTLS와 같은 프로토콜을 사물인터넷 환경에 그대로 적용할 수 있다.
그리고, 제1 사물기기(10)와 제2 사물기기(20)는 각각의 가상화 기기(11, 21)로부터 전달받은 보안 키 블록을 이용하여 직접 보안 세션을 개설하기 때문에 종단간 보안 통신의 암/복호화의 주체가 될 수 있다.
상기에서는 사물인터넷 환경의 LLN 영역에서 동작하는 제1 사물기기(10)와 제2 사물기기(20) 간에 보안 세션을 개설하는 경우를 예로 기술하였으나 본 실시예는 이에 한정되는 것은 아니다.
즉, 제1 사물기기(10)와 제2 사물기기(20)가 모두 LLN 영역에서 동작하는 경량화 센서인 경우뿐만 아니라 LLN 영역의 어느 한 사물기기가 인터넷 영역에서 동작하는 서버와 같이 컴퓨팅 성능이 우수한 장치와 통신하는 경우에도 적용될 수 있다.
구체적으로 제1 사물기기(10)가 LLN 영역의 경량화 장치이고 인터넷 영역의 서버(미도시)와 보안 세션을 개설하는 경우라면, 서버는 컴퓨팅 성능이 충분하므로 별도의 가상화 기기 구축이 불필요하므로, 제1 사물기기(10)의 보안 세션 개설 요청에 따라 제1 가상화 기기(11)는 서버와 직접 인증 및 보안 키 블록 생성을 수행하고, 제1 사물기기(10)는 생성된 보안 키 블록을 이용하여 서버와 통신할 수 있을 것이다.
도 5는 본 실시예에 따른 사물인터넷 환경에서 두 경량화 장치간의 보안 세션 개설 방법의 구현 과정을 설명하는 플로우차트이다.
도 5에 도시된 바와 같이, 제1 사물기기(10)는 제1 가상화 기기(11)로 보안 통신의 대상이 되는 제2 사물기기(20)에 대한 보안 세션 개설을 요청한다(S10).
특히, 본 실시예에서 제1 사물기기(10)의 네트워크 등록시 제1 가상화 기기(11)가 클라우드에 구축되고, 제1 사물기기(10)와 제1 가상화 기기(11) 사이의 암호화된 통신을 위한 제1 PSK가 설정되므로, 제1 사물기기(10)는 제1 PSK로 전술한 요청이 포함된 데이터를 암호화하여 제1 가상화 기기(11)로 전송한다.
제1 가상화 기기(11)는 제1 사물기기(10)와 공유하는 제1 PSK를 이용하여 제1 사물기기(10)의 암호화된 데이터를 해독하고, 제2 가상화 기기(21)로 보안 세션 개설을 요청한다(S20).
이 때, 제1 가상화 기기(11)는 제1 사물기기(10)의 요청에 따라 제2 사물기기(20)로 보안 세션 개설을 요청하지만 본 실시예에 따른 경량화 장치의 고정 IP는 가상화 기기에 할당되어 있다.
따라서, 제2 사물기기(20)의 고정 IP는 제2 가상화 기기(21)에게 할당되어 있어 실질적으로는 제2 가상화 기기(21)로 보안 세션 개설을 요청한 것이 된다.
이어서 제2 가상화 기기(21)는 그에 대응되는 제2 사물기기(20)로 보안 세션 개설 요청이 접수되었음을 안내한다(S30).
마찬가지로 제2 사물기기(20)의 네트워크 등록시 제2 가상화 기기(21)가 클라우드에 구축되고, 제2 사물기기(20)와 제2 가상화 기기(21) 사이의 암호화된 통신을 위한 제2 PSK가 설정되므로, 제2 사물기기(20)는 제2 PSK로 전술한 안내가 포함된 데이터를 암호화하여 제2 사물기기(20)로 전송한다.
그리고 제2 사물기기(20)로부터 보안 세션 개설이 승인되면(S40), 제1 가상화 기기(11)와 제2 가상화 기기(21)는 보안 세션을 개설한다.
구체적으로 제1 가상화 기기(11)와 제2 가상화 기기(21)는상대 사물기기(10, 20)에 대한 인증 및 보안 키 블록 생성을 수행하는데(S50), 특히 제1 가상화 기기(11)와 제2 가상화 기기(21)는 공개키 기반 방식으로 상기 인증 및 보안 키 블록 생성을 수행한다.
즉, 제1 가상화 기기(11)와 제2 가상화 기기(21)는 사전에 보안 키를 공유한 적이 없어 공개키 기반 방식으로 상호 인증 및 보안 키 블록을 생성해야 하지만, 제1 가상화 기기(11)와 제2 가상화 기기(21)는 클라우드에 구축되어 제1 사물기기(10)나 제2 사물기기(20)와 같은 자원의 제한이 상대적으로 작으므로, 공유키 기반 방식보다 상대적으로 많은 계산이 요구되는 공개키 기반 방식을 통해 처음 접속을 시도하는 사물기기(10, 20)에 대해서도 인증 및 보안 키 블록 생성을 수행할 수 있다.
또한, 제1 가상화 기기(11)와 제2 가상화 기기(21)는 핸드쉐이킹을 통해 전술한 단계(S50)에서의 인증 및 보안 키 블록 생성을 수행한다.
그리고 제1 가상화 기기(11)와 제2 가상화 기기(21)는 생성된 보안 키 블록을 각각의 PSK로 암호화하여 제1 사물기기(10) 및 제2 사물기기(20)로 각각 전송한다(S60).
다음으로 제1 사물기기(10)와 제2 사물기기(20)는 수신한 보안 키 블록을 이용하여 각각이 암/복호화의 주체가 되어 종단간 보안 세션을 개설한다.
구체적으로 본 실시예에 따른 보안 키 블록은 암호화 알고리즘, 무결성 알고리즘, 암호화용 보안 키 또는 무결성 검증용 보안 키 중 적어도 하나를 포함하므로, 제1 사물기기(10)는 암호화 알고리즘과 암호화용 보안 키를 이용하여 데이터를 암호화하여 제2 사물기기(20)로 전송하고, 무결성 알고리즘과 무결성 검증용 보안 키를 이용하여 무결성 값을 생성하여 제2 사물기기(20)로 전송함으로써(S70), 제1 사물기기(10)와 제2 사물기기(20) 간의 보안 세션이 개설된다.
도 6 및 도 7은 본 실시예에 따른 사물인터넷 환경에서 하나의 경량화 장치와 하나의 서버간의 보안 통신 방법의 구현 과정을 설명하는 플로우차트이다.
즉, 전술한 바와 같이 본 실시예에 따른 사물인터넷 환경에서의 보안 통신 방법은 경량화 장치 간의 통신에만 적용되는 것이 아니므로 경량화 장치가 서버와 통신하는 경우에도 적용될 수 있다.
구체적으로 도 6은 LLN 영역의 경량화 장치에 해당하는 제1 사물기기(10)가 인터넷 영역의 서버로 보안 세션 개설을 요청하는 경우를 나타내고, 도 7은 인터넷 영역의 서버가 LLN 영역의 경량화 장치에 해당하는 제1 사물기기(10)로 보안 세션 개설을 요청하는 경우를 나타낸다.
제1 사물기기(10)가 서버로 보안 세션 개설을 요청하는 도 6을 살펴보면, 제1 사물기기(10)는 제1 가상화 기기(11)로 보안 통신의 대상이 되는 서버에 대한 보안 세션 개설을 요청한다(S110).
특히, 본 실시예에서 제1 사물기기(10)의 네트워크 등록시 제1 가상화 기기(11)가 클라우드에 구축되고, 제1 사물기기(10)와 제1 가상화 기기(11) 사이의 암호화된 통신을 위한 제1 PSK가 설정되므로, 제1 사물기기(10)는 제1 PSK로 전술한 요청이 포함된 데이터를 암호화하여 제1 가상화 기기(11)로 전송한다.
제1 가상화 기기(11)는 제1 사물기기(10)와 공유하는 제1 PSK를 이용하여 제1 사물기기(10)의 암호화된 데이터를 해독하고, 서버로 보안 세션 개설을 요청한다(S120).
서버가 이러한 요청을 승인하면 제1 가상화 기기(11)와 서버는 보안 세션을 개설한다.
구체적으로 제1 가상화 기기(11)와 서버는 서로에 대한 인증 및 보안 키 블록 생성을 수행하는데(S130), 특히 제1 가상화 기기(11)와 서버는 공개키 기반 방식으로 인증 및 보안 키 블록 생성을 수행할 수 있다.
그리고 제1 가상화 기기(11)는 생성된 보안 키 블록을 제1 PSK로 암호화하여 제1 사물기기(10)로 전송한다(S140).
다음으로 제1 사물기기(10)와 서버는 해당 보안 키 블록을 이용하여 각각이 암/복호화의 주체가 되어 종단간 보안 세션을 개설한다.
구체적으로 본 실시예에 따른 보안 키 블록은 암호화 알고리즘, 무결성 알고리즘, 암호화용 보안 키 또는 무결성 검증용 보안 키 중 적어도 하나를 포함하므로, 제1 사물기기(10)는 암호화 알고리즘과 암호화용 보안 키를 이용하여 데이터를 암호화하여 서버로 전송하고, 무결성 알고리즘과 무결성 검증용 보안 키를 이용하여 무결성 값을 생성하여 서버로 전송함으로써(S70), 제1 사물기기(10)와 서버 간의 보안 세션이 개설된다.
상기에서는 인터넷 영역에서 자원의 제한이 없이 동작하는 구성을 서버로 기술하였으나, 이에 한정되는 것은 아니므로 웹 클라이언트와 같이 인터넷 영역에서 자원의 제한없이 동작하는 대상은 무엇이든 포함할 수 있을 것이다.
서버가 제1 사물기기(10)로 보안 세션 개설을 요청하는 도 7을 살펴보면, 서버는 제1 가상화 기기(11)로 보안 통신의 대상이 되는 제1 사물기기(10)에 대한 보안 세션 개설을 요청한다(S210).
이에 제1 가상화 기기(11)는 그에 대응되는 제1 사물기기(10)로 보안 세션 개설 요청이 접수되었음을 안내한다(S220).
특히, 제1 사물기기(10)의 네트워크 등록시 제1 가상화 기기(11)가 클라우드에 구축되고, 제1 사물기기(10)와 제1 가상화 기기(11) 사이의 암호화된 통신을 위한 제1 PSK가 설정되므로, 제1 사물기기(10)는 제1 PSK로 전술한 안내가 포함된 데이터를 암호화하여 제1 사물기기(10)로 전송한다.
이 때, 제1 가상화 기기(11)는 서버로부터 보안 세션 개설이 요청되었을 때 제1 사물기기(10)가 슬립(sleep) 상태인 경우 가상 프록시 기능을 이용하여 미리 설정된 응답을 서버로 전송할 수 있다.
반면 웨이크(wake) 상태인 제1 사물기기(10)로부터 보안 세션 개설이 승인되면(S230), 서버와 제1 가상화 기기(11)는 보안 세션을 개설한다.
구체적으로 서버와 제1 가상화 기기(11)는 서로에 대한 인증 및 보안 키 블록 생성을 수행하는데(S240), 특히 서버와 제1 가상화 기기(11)는 공개키 기반 방식으로 인증 및 보안 키 블록 생성을 수행할 수 있다.
그리고 제1 가상화 기기(11)는 생성된 보안 키 블록을 제1 PSK로 암호화하여 제1 사물기기(10)로 각각 전송한다(S250).
다음으로 서버와 제1 사물기기(10)는 수신한 보안 키 블록을 이용하여 각각이 암/복호화의 주체가 되어 종단간 보안 세션을 개설한다.
구체적으로 본 실시예에 따른 보안 키 블록은 암호화 알고리즘, 무결성 알고리즘, 암호화용 보안 키 또는 무결성 검증용 보안 키 중 적어도 하나를 포함하므로, 서버는 암호화 알고리즘과 암호화용 보안 키를 이용하여 데이터를 암호화하여 제1 사물기기(10)로 전송하고, 무결성 알고리즘과 무결성 검증용 보안 키를 이용하여 무결성 값을 생성하여 제1 사물기기(10)로 전송함으로써(S260), 제1 사물기기(10)와 서버 간의 보안 세션이 개설된다.
본 실시예에 따르면, 사물인터넷 환경의 경량화 장치에 대한 보안 세션을 개설하는 과정에서 핸드쉐이킹과 같이 상대적으로 더 많은 자원이 요구되는 동작은 경량화 장치에 대응하여 미리 구축된 가상화 기기를 통해 수행함으로써 사물인터넷 환경의 성능을 향상시킬 수 있다.
또한, 본 실시예에 따르면, 자원이 제한적인 경량화 장치에 TLS 또는 DTLS 프로토콜을 전부 탑재하지 않고도 통신 대상 종단간의 안전한 보안 통신이 가능하다는 효과가 있다.
또한, 본 실시예에 따르면, 보안 통신 개설을 위해 요구되는 핸드쉐이킹의 많은 메시지를 경량화 장치가 전송할 필요가 없으므로 데이터 전송에 필요한 전력을 감소시켜, 배터리에 의존하는 경량화 장치가 효율적으로 전력을 사용할 수 있는 효과가 있다.
본 발명이 속하는 기술분야의 당업자는 상술한 본 발명이 그 기술적 사상이나 필수적 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다.
그러므로, 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적인 것이 아닌 것으로 이해해야만 한다. 본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 등가 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.
10: 제1 사물기기 10a: 어플리케이션 모듈
10b: 암복호화 모듈 11: 제1 가상화 기기
11a: 어플리케이션 모듈 11b: 핸드쉐이크 모듈
11c: 암호화 개시 모듈 11d: 경보 모듈
11e: 가상 암복호화 모듈 11f: 사물기기 관리 모듈
20: 제2 사물기기 21: 제2 가상화 기기
30: 라우터

Claims (19)

  1. 사물인터넷(Internet of Things, IoT) 환경에 포함되는 사물기기; 및
    상기 사물기기를 가상화하여 구축되고 PSK(Pre Shared Key)를 통해 상기 사물기기와 보안 세션을 형성하는 가상화 기기(Virtual Machine)를 포함하고,
    상기 가상화 기기는 핸드쉐이킹(Handshaking)을 대행하여 통신 대상이 되는 타 사물기기에 대한 인증을 수행하고, 상기 사물기기와 상기 타 사물기기간의 송수신 데이터의 암호화를 위한 암호화 키를 포함하는 보안 키 블록을 생성하는 핸드쉐이크 모듈; 및
    상기 사물기기의 네트워크 등록시 상기 사물기기와 상기 PSK를 공유하는 사물기기 관리 모듈을 포함하고,
    상기 사물기기는 상기 보안 키 블록을 이용하여 상기 타 사물기기와 데이터를 송수신하는 암복호화 모듈을 포함하고,
    상기 가상화 기기는 상기 PSK로 상기 보안 키 블록을 암호화하는 것을 특징으로 하는 사물인터넷 환경에서의 보안 통신 장치.
  2. 제1항에 있어서,
    상기 사물기기 관리 모듈은 할당된 고정 IP를 통해 상기 사물기기로의 접속을 감지하고, 상기 사물기기의 현재 IP를 추적하여 상기 고정 IP와 상기 현재 IP를 페어링함으로써 상기 사물기기로의 접속을 관리하는 것을 특징으로 하는 사물인터넷 환경에서의 보안 통신 장치.
  3. 제1항에 있어서, 상기 가상화 기기는,
    상기 암호화 키를 이용한 암호화 개시 명령을 상기 암복호화 모듈로 전송하는 암호화 개시(Change Cipher Spec) 모듈을 더 포함하고, 상기 암복호화 모듈은 상기 암호화 개시 명령이 수신되면 상기 보안 키 블록을 이용하여 상기 송수신 데이터를 암호화하는 것을 특징으로 하는 사물인터넷 환경에서의 보안 통신 장치.
  4. 제1항에 있어서, 상기 가상화 기기는
    상기 사물기기와의 보안 세션을 통한 데이터 송수신시 에러가 발생하면, 에러 메시지를 출력하는 경보(Alert) 모듈; 및
    상기 타 사물기기에 대한 인증 결과 및 상기 보안 키 블록에 대한 암호화 또는 복호화를 수행하는 가상 암복호화(Record Layer) 모듈을 포함하는 것을 특징으로 하는 사물인터넷 환경에서의 보안 통신 장치.
  5. 삭제
  6. 제1항에 있어서,
    상기 핸드쉐이크 모듈은 상기 타 사물기기의 통신 가능 여부를 확인하는 1차 헬로우 메시지, 상기 1차 헬로우 메시지에 대한 응답과 상기 타 사물기기의 인증서 또는 공개키를 포함하는 제1인증 메시지, 상기 사물기기의 인증서 또는 상기 공개키로 암호화된 키 정보를 포함하는 제2인증 메시지, 및 협상된 보안 방식으로 암호화할 것을 알리는 암호화 개시 메시지의 송수신을 통해 핸드쉐이킹하는 것을 특징으로 하는 사물인터넷 환경에서의 보안 통신 장치.
  7. 제6항에 있어서,
    상기 핸드쉐이크 모듈은 상기 1차 헬로우 메시지에 대한 검증 요청 메시지 및 상기 1차 헬로우 메시지에 대한 검증용 데이터가 포함된 2차 헬로우 메시지를 더 포함하여 핸드쉐이킹하는 것을 특징으로 하는 사물인터넷 환경에서의 보안 통신 장치.
  8. 제1항에 있어서,
    상기 핸드쉐이크 모듈은 공개키 기반 방식으로 상기 인증 및 보안 키 블록 생성을 수행하고, 상기 암복호화 모듈은 상기 보안 키 블록을 이용한 대칭키 기반 방식으로 데이터를 송수신하는 것을 특징으로 하는 사물인터넷 환경에서의 보안 통신 장치.
  9. 삭제
  10. 제1항에 있어서,
    상기 보안 키 블록은 암호화 알고리즘, 무결성 알고리즘, 암호화용 보안 키 또는 무결성 검증용 보안 키 중 적어도 하나를 포함하는 것을 특징으로 하는 사물인터넷 환경에서의 보안 통신 장치.
  11. 제10항에 있어서,
    상기 사물기기는 상기 암호화 알고리즘과 상기 암호화용 보안 키를 이용하여 암호화한 데이터를 상기 타 사물기기로 전송하거나, 상기 무결성 알고리즘과 상기 무결성 검증용 보안 키를 이용하여 생성한 무결성 값을 상기 타 사물기기로 전송하는 것을 특징으로 하는 사물인터넷 환경에서의 보안 통신 장치.
  12. 사물인터넷(Internet of Things, IoT) 환경에 포함되는 사물기기를 가상화하여 구축된 가상화 기기가 핸드쉐이킹(Handshaking)을 대행하여 통신 대상이 되는 타 사물기기에 대한 인증을 수행하는 단계;
    상기 인증 완료 후, 상기 가상화 기기가 상기 사물기기와 상기 타 사물기기간의 송수신 데이터의 암호화를 위한 암호화 키를 포함하는 보안 키 블록을 생성하는 단계;
    상기 가상화 기기가 PSK(Pre Shared Key)로 상기 보안 키 블록을 암호화하여 상기 사물기기로 전송하는 단계; 및
    상기 사물기기가 상기 보안 키 블록을 이용하여 암호화한 데이터를 상기 타 사물기기와 송수신하는 단계를 포함하고,
    상기 인증을 수행하는 단계 전에, 상기 사물기기의 네트워크 등록시 상기 사물기기와 상기 PSK를 공유하도록 상기 가상화 기기를 구축하는 것을 특징으로 하는 사물인터넷 환경에서의 보안 통신 방법.
  13. 삭제
  14. 제12항에 있어서,
    상기 보안 키 블록을 생성하는 단계 이후에, 상기 암호화 키를 이용한 암호화 개시 명령을 전송하는 단계를 더 포함하고, 상기 암호화 개시 명령이 수신되면 상기 보안 키 블록을 이용하여 상기 송수신 데이터를 암호화하는 것을 특징으로 하는 사물인터넷 환경에서의 보안 통신 방법.
  15. 제12항에 있어서, 상기 인증을 수행하는 단계는,
    상기 타 사물기기의 통신 가능 여부를 확인하는 1차 헬로우 메시지와 상기 1차 헬로우 메시지에 대한 응답과 상기 타 사물기기의 인증서 또는 공개키를 포함하는 제1인증 메시지; 및
    상기 사물기기의 인증서 또는 상기 공개키로 암호화된 키 정보를 포함하는 제2인증 메시지와 협상된 보안 방식으로 암호화할 것을 알리는 암호화 개시 메시지를 송수신하는 단계
    를 포함하는 것을 특징으로 하는 사물인터넷 환경에서의 보안 통신 방법.
  16. 제15항에 있어서, 상기 인증을 수행하는 단계는,
    상기 1차 헬로우 메시지에 대한 검증 요청 메시지와 상기 1차 헬로우 메시지에 대한 검증 데이터가 포함된 2차 헬로우 메시지를 송수신하는 단계를 더 포함하는 것을 특징으로 하는 사물인터넷 환경에서의 보안 통신 방법.
  17. 제12항에 있어서,
    상기 인증을 수행하는 단계와 상기 보안 키 블록을 생성하는 단계는 공개키 기반 방식으로 수행되고, 상기 송수신하는 단계는 대칭키 기반 방식으로 수행되는 것을 특징으로 하는 사물인터넷 환경에서의 보안 통신 방법.
  18. 삭제
  19. 제12항에 있어서,
    상기 송수신하는 단계는, 상기 보안 키 블록에 포함된 암호화 알고리즘과 암호화용 보안 키를 이용하여 암호화한 데이터를 상기 타 사물기기로 전송하는 단계; 또는
    상기 보안 키 블록에 포함된 무결성 알고리즘과 무결성 검증용 보안 키를 이용하여 암호화한 데이터를 상기 타 사물기기로 전송하는 단계를 포함하는 것을 특징으로 하는 사물인터넷 환경에서의 보안 통신 방법.
KR1020150066491A 2015-05-13 2015-05-13 사물인터넷 환경에서의 보안 통신 장치 및 그 방법 KR101688118B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150066491A KR101688118B1 (ko) 2015-05-13 2015-05-13 사물인터넷 환경에서의 보안 통신 장치 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150066491A KR101688118B1 (ko) 2015-05-13 2015-05-13 사물인터넷 환경에서의 보안 통신 장치 및 그 방법

Publications (2)

Publication Number Publication Date
KR20160134895A KR20160134895A (ko) 2016-11-24
KR101688118B1 true KR101688118B1 (ko) 2016-12-22

Family

ID=57705515

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150066491A KR101688118B1 (ko) 2015-05-13 2015-05-13 사물인터넷 환경에서의 보안 통신 장치 및 그 방법

Country Status (1)

Country Link
KR (1) KR101688118B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190028088A (ko) 2017-09-08 2019-03-18 충남대학교산학협력단 클라우드 컴퓨팅에서 사물인터넷 데이터의 보안을 위한 키 관리 방법

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102101347B1 (ko) * 2016-12-01 2020-04-16 단국대학교 산학협력단 IoT 기기의 보안 강화를 위한 BLE 통신 기반의 스캔 장치 및 방법
KR101976583B1 (ko) * 2017-08-22 2019-05-09 덕성여자대학교 산학협력단 서로 다른 안전도와 서로 다른 대역외 채널을 사용하는 사물인터넷 경량 기기 사이의 비밀키 설정 방법
KR102041341B1 (ko) * 2017-09-14 2019-11-27 숭실대학교산학협력단 블록체인을 이용한 사물인터넷 보안 시스템 및 보안 방법
KR102032032B1 (ko) * 2017-12-22 2019-11-08 단국대학교 산학협력단 사물 인터넷 디바이스를 위한 dtls 기반 종단간 보안 방법
KR102206553B1 (ko) * 2019-06-12 2021-01-22 아주대학교산학협력단 통신 단말, 통신 시스템, 및 이의 보안 데이터 관리 방법
KR102161647B1 (ko) * 2020-03-06 2020-10-05 주식회사그린존시큐리티 IoT 디바이스의 데이터 전송을 보안하기 위한 장치 및 이를 위한 방법
KR102348449B1 (ko) * 2020-07-08 2022-01-10 한국전력공사 사물 인터넷 디바이스 및 그 동작 방법
KR102236761B1 (ko) 2020-12-22 2021-04-06 주식회사 유니온플레이스 사물 인터넷 장치, 사물 인터넷 장치 관리 시스템 및 사물 인터넷 장치를 관리하는 방법

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003179592A (ja) 2001-12-12 2003-06-27 Sony Corp ネットワークシステム、情報処理装置および方法、記録媒体、並びにプログラム
JP2013077900A (ja) 2011-09-29 2013-04-25 Oki Electric Ind Co Ltd セキュリティ処理代行システム、通信装置、代行装置、通信プログラム及びセキュリティ処理代行プログラム
JP2014147039A (ja) 2013-01-30 2014-08-14 Oki Electric Ind Co Ltd 暗号通信装置、代行サーバ、暗号通信システム、暗号通信装置プログラム及び代行サーバプログラム

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003179592A (ja) 2001-12-12 2003-06-27 Sony Corp ネットワークシステム、情報処理装置および方法、記録媒体、並びにプログラム
JP2013077900A (ja) 2011-09-29 2013-04-25 Oki Electric Ind Co Ltd セキュリティ処理代行システム、通信装置、代行装置、通信プログラム及びセキュリティ処理代行プログラム
JP2014147039A (ja) 2013-01-30 2014-08-14 Oki Electric Ind Co Ltd 暗号通信装置、代行サーバ、暗号通信システム、暗号通信装置プログラム及び代行サーバプログラム

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190028088A (ko) 2017-09-08 2019-03-18 충남대학교산학협력단 클라우드 컴퓨팅에서 사물인터넷 데이터의 보안을 위한 키 관리 방법

Also Published As

Publication number Publication date
KR20160134895A (ko) 2016-11-24

Similar Documents

Publication Publication Date Title
KR101688118B1 (ko) 사물인터넷 환경에서의 보안 통신 장치 및 그 방법
US10601594B2 (en) End-to-end service layer authentication
Keoh et al. Securing the internet of things: A standardization perspective
US10880294B2 (en) End-to-end authentication at the service layer using public keying mechanisms
Bonetto et al. Secure communication for smart IoT objects: Protocol stacks, use cases and practical examples
Heer et al. Security Challenges in the IP-based Internet of Things
Hummen et al. Delegation-based authentication and authorization for the IP-based Internet of Things
Tschofenig et al. Transport layer security (tls)/datagram transport layer security (dtls) profiles for the internet of things
KR102095893B1 (ko) 서비스 처리 방법 및 장치
US10542570B2 (en) System and method for relaying data over a communication network
CN110191052B (zh) 一种跨协议网络传输方法及系统
KR100948604B1 (ko) 서버 기반 이동 인터넷 프로토콜 시스템에 있어서 보안방법
WO2023083170A1 (zh) 密钥生成方法、装置、终端设备及服务器
Fossati RFC 7925: Transport Layer Security (TLS)/Datagram Transport Layer Security (DTLS) Profiles for the Internet of Things
Sethi et al. Secure and low-power authentication for resource-constrained devices
Trabalza et al. INDIGO: Secure CoAP for Smartphones: Enabling E2E Secure Communication in the 6IoT
CN114245332A (zh) 一种物联网设备的dtls连接建立方法及系统
CN115567195A (zh) 安全通信方法、客户端、服务器、终端和网络侧设备
Revathi Protocols for secure Internet of Things
Abdelmoneem et al. Mobility-enabled authentication scheme for IoT architecture
CN115801388B (zh) 报文传输方法、装置及存储介质
US20230308868A1 (en) Method, devices and system for performing key management
KR101594897B1 (ko) 사물 인터넷에서 경량 사물간 보안 통신 세션 개설 방법 및 보안 통신 시스템
GB2611284A (en) Managing Connectivity Between Devices
Jehangir et al. Securing inter-cluster communication in Personal Networks

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right