KR101900060B1 - 공유기와 연계되어 동작하는 보안요소, 공유기 및 이를 이용한 네트워크 형성 방법 - Google Patents

공유기와 연계되어 동작하는 보안요소, 공유기 및 이를 이용한 네트워크 형성 방법 Download PDF

Info

Publication number
KR101900060B1
KR101900060B1 KR1020160116353A KR20160116353A KR101900060B1 KR 101900060 B1 KR101900060 B1 KR 101900060B1 KR 1020160116353 A KR1020160116353 A KR 1020160116353A KR 20160116353 A KR20160116353 A KR 20160116353A KR 101900060 B1 KR101900060 B1 KR 101900060B1
Authority
KR
South Korea
Prior art keywords
authentication
information
router
security element
identifier
Prior art date
Application number
KR1020160116353A
Other languages
English (en)
Other versions
KR20180028705A (ko
Inventor
정태환
홍주표
손영희
Original Assignee
코나아이 (주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 코나아이 (주) filed Critical 코나아이 (주)
Priority to KR1020160116353A priority Critical patent/KR101900060B1/ko
Publication of KR20180028705A publication Critical patent/KR20180028705A/ko
Application granted granted Critical
Publication of KR101900060B1 publication Critical patent/KR101900060B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/18Multiprotocol handlers, e.g. single devices capable of handling multiple protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • H04L9/0631Substitution permutation network [SPN], i.e. cipher composed of a number of stages or rounds each involving linear and nonlinear transformations, e.g. AES algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds

Abstract

본 발명에 따른 공유기는, 외부의 장치로부터의 접속 요청에 응답하여 인증을 요청하는 장치 관리부, 장치 관리부로부터의 인증 요청에 응답하여 수신된 인증 응답정보, 및 기 저장된 인증정보에 기초하여 장치의 인증여부를 판단하는 보안요소, 및 보안요소의 인증여부 판단에 기초하여 외부 장치에 네트워크 주소를 할당함으로써 네트워크 연결을 수행하는 연결부를 포함한다.

Description

공유기와 연계되어 동작하는 보안요소, 공유기 및 이를 이용한 네트워크 형성 방법{Security element operating with wireless router, the wireless router, and method of forming internet network using the security element}
본 발명의 다양한 실시 예들은 인증정보를 저장하여 공유기와 연계되어 동작하는 보안요소, 공유기, 및 인증정보를 저장하는 보안요소를 사용하여 네트워크를 형성하는 방법과 관련된다.
사물인터넷(Internet of Things; IoT)은 시간과 장소의 제약을 받지 않으면서 모든 사물이 인터넷을 통해 정보를 공유하거나 처리할 수 있도록 한다. 사물인터넷의 발전에 따라 새로운 융합 서비스를 제공할 수 있는 인프라를 구축할 수 있다. 특히 최근에는 클라우드 서비스, 빅데이터 기술, 데이터 마이닝 기술 등을 통하여 사물인터넷을 통해 수집한 정보를 처리하는 환경이 급속히 변화하고 있다.
사물인터넷이 대중화되면서 이를 활용하는 다양한 서비스들이 제공되고 있다. 예를 들어, 모바일 장치를 사용하여 수집되는 빅데이터를 기반으로 하는 서비스, 사용자가 직접 모바일 장치 또는 외부의 장치를 통해 사물인터넷을 통해 연결된 사물들을 제어할 수 있도록 하는 서비스 등 실생활에서 사물인터넷을 통한 서비스인지 인식할 수도 없을 정도로 많은 서비스들이 사물인터넷 기술을 통해 제공되고 있다.
사물인터넷 기술에 있어서 다양한 사물들이 인터넷 연결되는 방식은 다양한 방법이 있을 수 있다. 예를 들어, 게이트웨이를 경유하여 사물들이 통신하는 방식, 게이트웨이 없이 다른 사물과 직접 통신을 하는 방식, 그리고 통신망을 이용하지 않고 통신을 하는 방식이 있을 수 있다. 사물인터넷에서는 다양한 방식들이 상호 결합하여 유선 및/또는 무선 통신을 제공할 수 있다.
그런데 다양한 사물들이 연결된 인터넷 통신망이 해킹되는 경우에는 사물들의 동작에 대한 권한이 모두 노출되기 때문에 그만큼 보안에 대한 주의가 요구된다.
한국 공개특허 제10-2016-0028230호 (2016. 3. 11 공개)
본 발명의 다양한 실시 예들에 따른 공유기와 연계되어 동작하는 보안요소, 보안요소를 구비하는 공유기, 및 이를 이용한 네트워크 형성 방법은 보안요소에 저장된 인증정보를 활용하여 인증이 완료된 장치에 대해서만 네트워크 연결을 허용함으로써 공유기에 대한 무분별한 연결을 통한 해킹 위험을 감소시키도록 한다.
본 발명의 다양한 실시 예들에 따른 공유기와 연계되어 동작하는 보안요소, 보안요소를 구비하는 공유기, 및 이를 이용한 네트워크 형성 방법은 접근이 극히 제한된 보안요소 내에 인증정보를 저장하고 보안요소 내에서만 인증을 수행함으로써 인증정보가 노출될 우려를 줄인다.
본 발명의 일 실시 예에 따른 공유기는 외부의 장치로부터의 접속 요청에 응답하여 인증을 요청하는 장치 관리부, 상기 장치 관리부로부터의 인증 요청에 응답하여 수신된 인증 응답정보, 및 기 저장된 인증정보에 기초하여 상기 장치의 인증여부를 판단하는 보안요소, 및 상기 보안요소의 인증여부 판단에 기초하여 상기 외부 장치에 네트워크 주소를 할당함으로써 네트워크 연결을 수행하는 연결부를 포함한다.
일 실시 예에 있어서, 상기 장치 관리부는 상기 접속 요청에 포함된 상기 장치 식별자에 기초하여 상기 인증 요청 여부를 판단할 수 있다.
일 실시 예에 있어서, 상기 보안요소는 물리적으로 구분된 SE(Secure Element) 칩을 포함할 수 있다. 예를 들어, 상기 보안요소는 상기 장치 식별자 또는 사용자에게 할당된 식별자에 기초하여 도출된 상이한 인증정보에 따라 상기 장치의 인증여부를 판단할 수 있다.
실시 예에 따라, 상기 인증 응답정보는 비밀번호, 지문정보, 홍채정보, 혈관정보, 음성정보, 서명정보 중 적어도 하나를 포함할 수 있다.
일 실시 예에 있어서, 상기 장치 관리부는 장치 식별자 별로 인증 여부 및 인증 완료 일시 중 적어도 하나를 기록하여 관리하는 저장부를 포함할 수 있다.
일 실시 예에 있어서, 상기 장치 관리부는, 상기 인증 여부에 기초하여 접속을 요청한 상기 장치가 인증이 완료된 장치인 경우에는 인증을 요청하지 않고 네트워크를 형성하도록 할 수 있다.
일 실시 예에 있어서, 상기 장치 관리부는 상기 인증 완료 일시로부터 현재의 일시까지 기 설정된 기간이 경과된 경우에 상기 장치에 인증을 요청할 수 있다.
일 실시 예에 있어서, 상기 공유기는 상기 인증 응답정보를 수신하기 위한 인증 관리부를 더 포함할 수 있다.
본 발명의 일 실시 예에 따른 공유기와 연계되어 동작하는 보안요소는 공유기를 통해 수신된 외부 장치의 인증 응답정보에 포함된 식별자에 따라 도출된 복호화 키에 기초해 상기 인증 응답정보를 복호화하고, 상기 복호화된 인증 응답정보와 인증정보의 일치 여부에 기초하여 상기 외부 장치의 인증 성공 여부를 판단하는 제어회로, 및 상기 식별자에 매칭된 상기 복호화 키, 및 상기 식별자에 매칭된 상기 인증정보를 저장하는 저장회로를 포함한다.
일 실시 예에 있어서, 상기 복호화 키는 상기 식별자에 매칭된 상기 외부 장치의 공개 키를 포함할 수 있다.
일 실시 예에 있어서, 상기 저장회로는 상기 인증정보를 비대칭형 암호화 방식으로 암호화하여 저장할 수 있다.
일 실시 예에 있어서, 상기 저장회로는, 상기 식별자 별로 복호화 키, 인증 여부 및 인증 완료 일시 중 적어도 하나를 저장할 수 있다.
본 발명의 일 실시 예에 따른 공유기와 결합되어 식별자와 매칭된 인증정보를 저장하는 보안요소를 이용한 네트워크 형성 방법은, 상기 공유기를 통해 외부 장치의 접속 요청이 수신된 경우, 상기 접속 요청에 응답하여 인증을 요청하는 단계, 상기 인증 요청에 응답하여 수신된 인증 응답정보에 포함된 식별자에 기초하여 복호화 키를 도출하는 단계, 및 상기 복호화 키에 기초하여 상기 인증 응답정보를 복호화하고, 상기 장치 식별자에 매칭된 인증정보와 비교하여 인증 여부를 판단하는 단계를 포함한다.
일 실시 예에 있어서, 상기 네트워크 형성 방법은 상기 인증 여부 판단에 기초하여 상기 외부 장치와 상기 공유기 사이의 네트워크를 형성하는 단계를 더 포함할 수 있다.
일 실시 예에 있어서, 상기 식별자가 상기 보안요소에 저장되어 있지 않거나 상기 외부 장치의 최초의 접속 요청인 경우, 상기 외부 장치와 상기 보안요소 사이의 대칭 키에 기초하여 상기 복호화 키를 수신하는 단계를 포함할 수 있다.
일 실시 예에 있어서, 상기 대칭 키는 상기 공유기 식별번호에 따라 부여된 정적 세션 키(Static session key)에 기초하여 생성될 수 있다. 예를 들어, 상기 네트워크 형성 방법은 상기 외부 장치 및 상기 보안요소 중 적어도 하나에서 생성된 랜덤정보에 기초하여 설정된 씨드(seed) 값을 상기 정적 세션 키로 암호화하여 상기 대칭 키를 생성하는 단계를 포함할 수 있다.
일 실시 예에 있어서, 상기 네트워크 형성 방법은 상기 복호화 키에 기초하여 암호화된 상기 인증정보를 수신하는 단계를 포함할 수 있다. 다른 실시 예에 있어서, 상기 네트워크 형성 방법은 상기 수신된 인증정보를 상기 장치 식별자에 매칭하여 상기 보안요소의 개인 키로 암호화하여 저장회로에 저장하는 단계를 포함할 수 있다.
본 문서에 개시되는 다양한 실시 예들에 따르면, 공유기와 연계되어 동작하는 보안요소, 보안요소를 구비하는 공유기, 및 이를 이용한 네트워크 형성 방법은 공유기에 접근을 시도하는 장치에 대하여 보안요소에 저장된 인증정보를 통하여 인증된 장치에만 네트워크 연결을 허용한다. 이에 따라서 네트워크에 해커가 침입하여 정보를 획득하여 개인정보가 침해될 위협을 최소화할 수 있다.
본 문서에 개시되는 다양한 실시 예들에 따르면, 공유기와 연계되어 동작하는 보안요소, 보안요소를 구비하는 공유기, 및 이를 이용한 네트워크 형성 방법은 공유기에 접근하기 위한 인증정보를 보안요소에 관리함으로써 보안 취약성 문제를 줄일 수 있다.
아울러 본 문서에 개시되는 다양한 실시 예들은 예시를 위한 것으로, 당업자라면 첨부된 특허청구범위의 기술적 사상과 범위를 통해 다양한 수정, 변경, 대체 및 부가가 가능할 것이며, 이러한 수정 변경 등은 이하의 특허청구범위에 속하는 것으로 보아야 할 것이다.
도 1은 본 발명의 실시 예들에 따른 사물인터넷 네트워크를 설명하기 위한 개념도이다.
도 2는 본 발명의 일 실시 예에 따른 공유기의 구성을 나타낸 블록도이다.
도 3은 본 발명의 일 실시 예에 따른 보안요소를 나타내는 블록도이다.
도 4는 본 발명의 일 실시 예에 따른 네트워크 형성 방법을 설명하기 위한 시퀀스 도면이다.
도 5는 본 발명의 일 실시 예에 따른 장치의 초기 접속 요청 단계에서의 등록 과정을 설명하기 위한 시퀀스 도면이다.
도 6은 본 발명의 일 실시 예에 따른 공유기를 나타내는 블록도이다.
도 7은 본 발명의 일 실시 예에 따른 공유기(10b)를 이용한 네트워크 형성 방법을 예시적으로 나타낸 시퀀스 도면이다.
이하, 첨부한 도면을 참조하여 본 발명의 다양한 실시 예들에 대해 상세히 설명하고자 한다. 본 문서에서 도면상의 동일한 구성요소에 대해서는 동일한 참조부호를 사용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다.
본 문서에 개시되어 있는 본 발명의 다양한 실시 예들에 대해서, 특정한 구조적 내지 기능적 설명들은 단지 본 발명의 실시 예를 설명하기 위한 목적으로 예시된 것으로, 본 발명의 다양한 실시 예들은 여러 가지 형태로 실시될 수 있으며 본 문서에 설명된 실시 예들에 한정되는 것으로 해석되어서는 아니 된다.
다양한 실시 예에서 사용된 "제1", "제2", "첫째", 또는 "둘째" 등의 표현들은 다양한 구성요소들을, 순서 및/또는 중요도에 상관없이 수식할 수 있고, 해당 구성요소들을 한정하지 않는다. 예를 들면, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 바꾸어 명명될 수 있다.
본 문서에서 사용된 용어들은 단지 특정한 실시 예를 설명하기 위해 사용된 것으로, 다른 실시 예의 범위를 한정하려는 의도가 아닐 수 있다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함할 수 있다.
기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명의 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가질 수 있다. 일반적으로 사용되는 사전에 정의된 용어들은 관련 기술의 문맥 상 가지는 의미와 동일 또는 유사한 의미를 가지는 것으로 해석될 수 있으며, 본 문서에서 명백하게 정의되지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다. 경우에 따라서, 본 문서에서 정의된 용어일지라도 본 발명의 실시 예들을 배제하도록 해석될 수 없다.
도 1은 본 발명의 실시 예들에 따른 사물인터넷 네트워크를 설명하기 위한 개념도이다.
도 1을 참조하면, 사물인터넷 네트워크(1)는 공유기(20)를 중심으로 다양한 장치들(10a 내지 10d)이 인터넷을 통해 연결됨으로써 형성될 수 있다.
본 발명의 일 실시 예에 따른 공유기(20)는 보안요소를 구비한다. 예를 들어 보안요소는 SE(Secure Element)를 포함할 수 있다. SE는 UICC (Universal Integrated Circuit Card), embedded SE(eSE) 및 micro SD를 포함할 수 있다. UICC는 휴대폰을 개통할 때 필요한 USIM 칩과 동일한 의미로 사용될 수 있으며, eSE는 전자기기 제조업체가 기기의 메인보드에 SE를 부착하는 형태로 구현된 요소를 의미할 수 있다. Micro SD는 주로 탈부착을 할 수 있는 형태로 제공되 제공되며, 이동통신사의 영향력에서 벗어나, 예를 들어 micro SD는 제공한 기관에 소유권이 있고 이를 통한 서비스가 가능하도록 만들어졌다. SE는 자체적인 암호화 시스템뿐만 아니라 SE가 장착된 장치의 동작을 관할하는 중앙처리장치(CPU)와 분리된 형태로 제공되기 때문에 해킹 등에 강해 보안성이 높다. 도 3을 참조하여 보안요소(210)의 구성을 구체적으로 설명할 것이지만, 보안요소(210)는 공유기의 제어회로와는 별도의 제어회로를 구비할 수 있다.
본 발명의 일 실시 예에 따른 공유기(20)는 보안요소(210)를 구비하고 보안요소(210) 내에 인증정보를 저장할 수 있다. 장치(10a 내지 10d)가 공유기(20)에 접속하려고 하는 경우, 즉 장치(10a 내지 10d)가 공유기(20)를 통해 인터넷에 연결하려고 하는 경우에는 공유기(20)가 보안요소(210)에 저장된 인증정보에 기초하여 장치를 인증하지 않으면 장치(10a 내지 10d)의 연결이 제한된다.
공유기(20)의 보안요소(210)에 대한 접근은 극히 제한되기 때문에 인증정보가 노출될 염려는 적다. 본 발명의 일 실시 예에 따른 공유기(20)는 분리된 형태의 보안요소(210) 내에 인증정보를 저장함으로써 보안성을 향상시킬 수 있다. 실시 예에 따라 보안요소(210)에 저장된 인증정보는 암호화된 정보일 수 있다.
도 2는 본 발명의 일 실시 예에 따른 공유기의 구성을 나타낸 블록도이다.
도 2를 참조하면, 공유기(20a)는 보안요소(210) 및 연결부(220)를 포함할 수 있다. 공유기(20a)는 보안요소(210) 내에 인증정보를 저장할 수 있으며, 공유기(20a) 외부의 장치가 공유기(20a)로 접속을 요청하는 경우에 장치(10a 내지 10d, 이하 '10')에 대하여 인증을 요청할 수 있다.
장치(10)는 공유기(20a)의 보안요소(210)에 저장된 인증정보에 기초하여 인증을 허가받을 수 있다. 실시 예에 따라, 인증정보는 비밀번호, 생체정보, 서명정보, 주민등록번호와 같은 개인 식별정보 등을 포함할 수 있다. 예를 들어, 생체정보는 지문정보, 홍채정보, 망막정보, 혈관정보, 손 모양정보, 안면 형태정보와 같은 신체의 정보를 활용하는 정보들과 음성정보와 수기 서명정보와 같이 인간의 행동으로부터 파악되는 정보를 포함할 수 있다. 본 발명의 일 실시 예에 있어서, 보안요소(210)는 적어도 하나 이상의 인증정보들을 연관시켜 저장하고, 연관된 인증정보들에 기초하여 장치(10)에 대한 인증을 수행할 수 있다.
또한, 실시 예에 따라 보안요소(210)는 특정한 식별자(ID)에 대하여 인증정보를 각각 매칭하여 저장할 수 있다. 예를 들어, 공유기(20a)에 접속할 수 있는 인증 사용자가 복수인 경우에는 각 사용자 별로 사용자 식별자(UID)를 관리하고 사용자 식별자(UID) 별로 인증정보를 관리하여 접속을 허가할 수 있다.
예를 들어, 공유기(20a)는 한 가정 내에서 가족 구성원 별로 사용자 식별자(UID)를 부여한 이후에 각 가족들에 대하여 사용자 식별자(UID) 별 인증정보를 관리할 수 있다.
다른 실시 예에 있어서, 보안요소(210)는 장치 식별자(DID) 별로 인증정보를 관리할 수도 있다. 즉, 특정 장치에 대하여 인증정보를 각각 매칭하여 저장할 수 있다.
또한, 실시 예에 따라, 보안요소(210)는 인증정보들을 암호화하여 저장할 수 있다. 본 발명의 일 실시 예에 따른 보안요소(210)는 일단 인증정보가 저장된 이후에는 외부로 인증정보를 전달하지 않기 때문에 보안성이 높지만 아주 만일의 경우에 보안요소(210) 내의 식별자(ID)와 인증정보 리스트가 노출될 우려도 있어, 이러한 우려를 줄이기 위하여 보안요소(210) 내의 정보를 한번 더 가공할 수도 있다.
따라서 보안요소(210)는 내부에 암호화 및 복호화 수단을 구비하여 인증정보를 암호화하여 저장한다. 예를 들어, 보안요소(210)는 RSA(Rivest, Shamir, Adleman) 암호화 방식과 같은 비대칭형 암호화 방식에 따라 인증정보를 저장할 수 있다. 비대칭형 암호화 방식의 경우, 보안요소(210) 자체의 개인 키와 공개 키 쌍을 가지고 보안요소 개인 키로 인증정보를 암호화하여 저장할 수 있다.
장치(10)와 공유기(20a) 사이의 정보 전달이 비대칭형 암호화 방식에 따른 경우, 보안요소(210)는 각 식별자(ID)에 대한 공개 키(key)를 보관할 수도 있다. 장치(10)와 공유기(20a) 사이에서 대칭형 암호화 방식에 따라 정보가 전달되는 경우, 보안요소(210)는 대칭 키(세션 키)를 저장할 수 있다. 실시 예에 따라 대칭 키는 일정한 시간 동안에만 유효한 키일 수 있으며 일정한 주기로 새로이 갱신되어 생성될 수 있다.
다만, 보안요소(210)는 사용자 식별자(UID) 별로 인증정보를 저장하지만, 복호화 키는 장치 식별자(DID) 별로 관리할 수도 있다. 따라서 데이터를 주고 받는 장치에 따라서 상이한 복호화 키를 사용하지만, 사용자 식별자(UID)가 동일한 경우에는 동일한 인증정보에 기초하여 인증을 완료할 수 있다.
보안요소(210)는 인증 요청에 응답한 인증 응답정보를 수신하여 보안요소(210) 내의 인증정보와 비교하여 인증 요청에 대한 승인 또는 거절을 판단할 수 있다. 실시 예에 따라, 장치(10)로부터 전달되는 인증 응답정보는 장치의 공개 키에 의하여 암호화된 정보일 수 있다. 비대칭 키 방식으로 암호화된 정보는 개인 키가 없으면 복호화가 불가능하기 때문에 암호화된 정보가 중간에 노출되더라도 실제 내용을 알 수 없어 보안성이 향상될 수 있다. 다만, 보안요소(210)는 장치(10)의 공개 키를 보관하고 있어 장치로부터 전달된 인증 응답정보를 복호화하여 인증정보와의 일치 여부를 판단할 수 있다.
공유기(20a)는 장치(10)로부터 수신된 인증 응답정보와 기저장된 인증정보에 기초하여 인증 여부를 판단할 수 있다. 보안요소(210)는 인증정보와 인증 응답정보를 비교하여 장치(10)의 인증 여부를 판단한다. 실시 예에 따라, 보안요소(210)는 식별자(ID) 별로 인증정보를 관리할 수 있으며 인증 응답정보에는 식별자 정보(예를 들어 사용자 식별자(UID), 장치 식별자(DID))가 함께 포함될 수 있다.
실시 예에 따라 공유기(20a)는 장치 관리부(230)를 더 포함할 수 있다. 장치 관리부(230)는 공유기(20a)에 접속하는 장치(10)들을 장치 식별자(DID)에 기초하여 관리하고, 인증이 완료된 장치들에 대해서는 다음 접속 요청 시에는 인증 과정을 거치지 않고 바로 연결부(220)를 통하여 인터넷 연결을 수행하도록 할 수 있다. 예를 들어, 공유기(20a)는 장치 관리부(230)에서 인증이 필요하지 않다고 판단되는 경우에는 보안요소(210)로부터 어떠한 정보를 도출하는 과정이 없이 곧바로 장치(10)를 인터넷에 연결한다.
실시 예에 따라, 장치 관리부(230)는 인증 완료 일시를 기록하고 직전 인증 완료 일시로부터 기설정된 시간이 경과하는 경우에는 해당 장치에 대하여 재차 인증을 요청하도록 관리할 수 있다. 예를 들어, 제3 장치 식별자(DID3)로 식별되는 장치는 인증을 완료한 이후에 한 달 이상이 경과하였기 때문에 해당 장치가 공유기(20a)를 통하여 인터넷 연결을 시도하는 경우에는 장치 관리부(230)는 해당 장치를 식별하여 이전에 인증이 완료된 경우라고 하더라도 보안요소(210)에 저장된 인증정보에 기초하여 다시금 인증을 수행하도록 할 수 있다.
실시 예에 따라, 장치 관리부(230)의 기능은 보안요소(210) 내부에서 구현될 수도 있다.
실시 예에 따라 장치 관리부(230)는 한번 인증을 완료한 장치를 따로 관리할 수 있다. 예를 들어, 장치 관리부(230)는 인증이 완료된 장치에 대해서는 추후 인증을 요청하지 않을 수 있다. 예를 들어, 도 2에서 제1 장치 식별자(DID1)로 식별되는 장치와 제3 장치 식별자(DID3)로 식별되는 장치에 대해서는 추후 접속 요청시에 인증없이 곧바로 인터넷 연결이 수행될 수 있다.
지금까지 장치 식별자(DID)에 기초하여 인증 여부, 인증 완료 일시를 관리하는 것으로 설명하였으나, 장치 식별자(DID) 이외에 상술한 사용자 식별자(UID)와 같이 특정한 객체를 식별할 수 있는 단위에 따라 인증정보, 인증 여부, 인증 완료 일시를 관리하는 것도 본 발명의 범위에 포함된다.
실시 예에 따라, 보안요소(210)는 인증 요청에 대하여 수신된 인증 응답정보가 기 설정된 횟수 이상 인증정보와 일치하지 않는 경우, 해킹 시도로 판단하여 해당 장치에 대하여 영구적으로 접속을 불허할 수 있다. 보안요소(210)의 인증 관련 정보는 장치 관리부(230)에 제공되어 해당 장치 식별자의 접속을 추후에 허가하지 않도록 제어될 수 있다. 다른 실시 예에 있어서 보안요소(210)는 공유기(20a) 자체의 동작을 모두 정지할 수도 있다.
연결부(220)는 공유기(20a)를 통해 연결되는 장치들의 네트워크 주소를 변환하는 기능을 수행할 수 있다. 연결부(220)는 공유기(20a)에 대하여 할당된 IP 주소를 각 장치들(10)에 대하여 할당함으로써 서로 다른 장치들이 인터넷을 통해 연결될 수 있도록 한다.
연결부(220)는 보안요소(210)에서 인증이 완료된 장치들에 대해서만 네트워크 주소를 할당한다. 장치 관리부(230)에서 인증이 필요하지 않은 장치로 판단된 경우에는 보안요소(210)를 거치지 않고 곧바로 연결부(220)에 연결될 수 있으며, 보안요소(210)를 통하여 인증이 완료된 장치들이 연결부(220)로 제공되어 네트워크 연결 주소를 할당받아 인터넷 연결을 수행할 수 있다.
도 3은 본 발명의 일 실시 예에 따른 보안요소를 나타내는 블록도이다.
도 3을 참조하면, 보안요소(210)는 제어회로(310), 저장회로(320), 및 입출력회로(330)를 포함할 수 있다.
제어회로(310)는 보안요소(210) 전체의 동작을 관리하고 특히 암호화 및 복호화 기능을 수행할 수 있다. 제어회로(310)는 공유기(20, 20a, 20b)를 통해 외부 장치(10)의 인증 응답정보를 수신할 수 있다. 실시 예에 따라 인증 응답정보는 입출력회로(330)를 통해 제어회로(310)로 수신될 수 있다.
제어회로(310)는 장치(10)의 접속 요청에 기초하여 인증이 필요한지 여부를 판단할 수 있다. 상술한 바와 같이 인증이 필요한지 여부는 보안요소(210) 외부의 장치 관리부(230)에서 수행될 수도 있으나, 제어회로(310)가 저장회로(320)로부터 해당 접속 요청에 포함된 식별자 정보에 기초하거나 접속 요청 자체에 인증이 필요한 장치의 접속이라는 정보가 함께 포함되어 제공될 수도 있다. 이에 따라 제어회로(310)에서는 장치(10)에 대하여 인증 응답정보를 요청할 수 있다.
제어회로(310)는 인증 응답정보에 포함된 식별자(예를 들어, 장치 식별자 또는 사용자 식별자)에 따라 도출된 복호화 키에 기초하여 인증 응답정보를 복호화할 수 있다. 예를 들어, 비대칭형 암호화 방식을 사용하는 경우에 인증 응답정보 자체가 장치(10)의 개인 키에 의해 암호화되었기 때문에 장치(10)의 공유 키가 복호화 키에 상응할 수 있으며 대칭형 암호화 방식을 사용하는 경우에는 인증 응답정보는 대칭 키에 의해 암호화되었으므로 대칭키가 복호화 키에 상응할 수 있다.
제어회로(310)는 대칭형 암호화 방식 또는 비대칭형 암호화 방식을 사용하는 경우 각각에 대해서 저장회로(320)로부터 각 식별자에 기초하여 복호화 키를 도출할 수 있다. 제어회로(310) 이렇게 복호화된 인증 응답정보와 각 식별자에 대하여 관리하고 있던 인증정보를 비교하여 장치(10)의 인증 성공 여부를 판단한다.
저장회로(320)는 식별자 별로 인증정보, 복호화 키, 인증 여부 및 인증 완료 일시 중 적어도 하나를 매칭시켜 저장할 수 있다. 저장회로(320)는 휘발성 메모리 소자와 비휘발성 메모리 소자 중 적어도 하나를 포함하여 구현될 수 있다.
제어회로(310)는 각 식별자 별 인증정보를 보안요소(210) 자체의 개인 키로 암호화하여 저장회로(320)에 저장할 수 있다.
다만, 장치(10)가 최초로 접속하는 경우에는 저장회로(320)에는 식별자와 그에 대한 정보들이 전혀 저장되지 않았을 수 있다. 또한 실시 예에 따라 식별자 정보는 있다고 하더라도 해당 식별자에 대하여 인증정보가 저장되어 있지 않을 수 있다. 이러한 경우, 제어회로(310)는 장치(10)에 대하여 복호화 키를 수신하거나 인증정보를 수신하는 초기 등록 단계를 거칠 수 있다. 이러한 초기 등록 단계는 도 5를 참조하여 구체적으로 설명하도록 한다.
실시 예에 따라, 보안요소(210)는 동기회로(340)를 더 포함할 수 있다. 동기회로(340)는 클럭 생성기에 상응할 수 있으며, 제어회로(310)는 동기회로(340)로부터 제공되는 클럭 신호에 동기하여 동작할 수 있다.
도 4는 본 발명의 일 실시 예에 따른 네트워크 형성 방법을 설명하기 위한 시퀀스 도면이다. 도 3에서 설명하는 네트워크 형성 방법은 도 2 및 도 3에 나타낸 공유기(20a)에 의하여 수행될 수 있다.
도 4를 참조하면, 장치(10)가 공유기(20a)에 접속을 요청한다 (단계 S410). 공유기(20a)는 접속 요청에 응답하여 장치(10)에 인증 요청을 전송할 수 있다 (단계 S430). 실시 예에 따라 공유기(20a)는 장치(10)의 식별자(ID)에 기초하여 인증이 필요한지 여부를 판단할 수 있다 (단계 S420). 인증이 필요한지 여부를 판단하기 위해 공유기(20a)는 장치 관리부(230) 내에서 장치 식별자(DID)를 검색하여 인증이 완료된 사실이 있는지를 판단하거나 장치 관리부(230) 내에서 장치 식별자(DID)를 검색하여 인증이 완료되었던 장치라고 하더라도 최종 인증 완료 일시에 기초하여 추가적인 인증이 필요한지를 판단할 수도 있다. 실시 예에 따라 사용자 식별자(UID)에 기초하여 인증 필요여부가 판단될 수도 있다. 또한, 도 3을 참조하여 설명한 바와 같이 인증이 필요한지 여부는 보안요소(210)의 제어회로(310)에 의하여 판단될 수도 있다.
다른 실시 예에 있어서, 장치(10)의 접속 요청 자체에 인증 필요 여부에 대한 정보가 포함되어 있을 수도 있다.
장치(10)에 대한 인증이 필요한 것으로 판단되면, 공유기(20a)의 장치 관리부(230)는 장치(10)에 대하여 인증을 요청한다 (단계 S430). 장치(10)는 인증 요청에 응답하여 인증 응답정보를 공유기(20a)로 전달할 수 있다 (단계 S450). 실시 예에 따라 보안요소(210)의 제어회로(310)의 제어 하에 장치 관리부(230)의 통신부(231)를 통하여 인증 요청이 전송될 수도 있다.
실시 예에 따라, 장치(10)는 사용자로부터 비밀번호를 입력받을 수 있는 키패드, 터치 디스플레이와 같은 입력수단을 구비할 수 있다. 다른 실시 예에 있어서, 장치(10)는 생체정보를 획득할 수 있는 센서를 구비할 수 있다. 생체정보를 획득할 수 있는 센서로는 지문센서, 마이크, 카메라 등을 포함할 수 있다. 예를 들어, 카메라를 통하여 획득된 이미지 정보는 손모양, 홍채, 서명 정보로 분석되고 마이크를 통하여 획득된 청각 정보는 음성 정보로 분석되는 등으로 인증 응답정보가 획득될 수 있다 (단계 S440). 장치(10)에서 획득된 생체 정보는 장치(10) 내부에서 처리되어 공유기(20a)로 전달될 수 있다 (단계 S450).
다른 실시 예에 있어서, 장치(10)는 공유기(20a)에 포함된 보안요소(210)와 유사한 보안요소를 포함할 수 있다. 장치(10)의 보안요소에는 인증 응답정보가 저장되어 있고 공유기(20a)의 요청에 응답하여 보안요소 내에 저장되어 있던 인증 응답정보가 공유기(20a)로 전달될 수 있다 (단계 S450).
공유기(20a)의 장치 관리부(230)는 인증 요청에 응답하여 수신된 인증 응답정보를 보안요소(210)에 제공한다 (단계 S460). 도 2에서는 보안요소(210)가 공유기(20a) 내에 포함된 것으로 도시하였으나, 보안요소(210)는 공유기(20a)의 외부, 예를 들어 공유기(20a) 하우징 외부에 위치할 수도 있다. 구체적으로 본 발명의 다양한 실시 예들에 따르면 보안요소(210)는 공유기(20a)와 물리적으로 분리된 형태로 공유기(20a)에 실장될 수 있다. 예를 들어, 보안요소(210)는 공유기(20a)의 기판에 장착되는 형태로 실장될 수 있다. 또한 보안요소(210)는 공유기(20a)의 외부에 위치하여 연결될 수도 있다. 두 가지 경우 모두 보안요소(210)와 공유기(20a)가 물리적으로 분리된 것으로 이해될 수 있으며, 이에 따라서 공유기(20a)에는 접근이 가능하다고 하더라도 보안요소(210)에 접근할 수 없다.
보안요소(210)가 공유기(20a)와 물리적으로 구분되는 경우에도 보안요소(210)와 공유기(20a)는 물리적으로 연결을 해제할 수 없도록 기계적으로 결합될 수 있다.
보안요소(210)는 수신된 인증 응답정보와 저장된 인증정보에 기초하여 인증 여부를 판단한다. 실시 예에 따라 보안요소(210)는 장치 식별자(DID) 또는 식별자(ID)에 대한 개인 키를 관리하여 수신된 인증 응답정보를 복호화하고 암호화된 인증정보를 복호화하여 두 정보를 비교함으로써 인증 여부를 결정할 수 있다 (단계 S470).
보안요소(210)는 인증 결과를 공유기(20a)와 장치(10)로 전달한다 (단계 S480, S490). 인증 결과는 공유기(20a)의 장치 관리부(230)로 제공되어 해당 장치(10)의 추후 연결 프로세스를 관리하도록 저장될 수 있다. 인증 결과가 성공인 경우에 공유기(20a)의 연결부(220)는 장치(10)에 대하여 IP 주소를 할당하고 장치(10)는 공유기(20a)와 연결된 다른 객체들과 인터넷 연결이 완료되어 장치(10)의 센서로부터 수집된 정보들이 다른 장치들로 제공될 수 있다. 또한 장치(10)는 다른 사물로부터 수집된 정보들을 공유기(20a)를 통하여 수신할 수도 있다.
만일 장치(10)의 인증이 실패하는 경우, 공유기(20a)는 재차 인증을 요청할 수 있다. 이 경우에는 상술한 단계 S430부터의 시퀀스가 반복될 수 있다. 반복적인, 예를 들어 기설정된 횟수 이상의 인증 요청과 인증 응답정보의 전달에도 불구하고 장치(10)에 대한 인증이 실패하는 경우에 보안요소(210)는 해당 장치 식별자(DID) 또는 식별자(ID)에 대한 접속을 불허하거나 공유기(20a)의 동작 전체를 정지하도록 제어할 있다.
도 5는 본 발명의 일 실시 예에 따른 장치의 초기 접속 요청 단계에서의 등록 과정을 설명하기 위한 시퀀스 도면이다. 도 5의 단계들은 도 2 내지 4를 참조하여 설명한 공유기(20a), 보안요소(210)의 구성, 및 네트워크 형성 방법에도 적용될 수 있으며 이하에서 설명할 도 6 및 도 7의 공유기(20b) 및 네트워크 형성 방법에도 적용될 수 있다. 도 5의 단계들이 공유기(20a) 및 공유기(20b)에 모두 적용될 수 있으므로 도 5에서는 공유기를 '20'의 참조번호를 사용하여 설명한다.
도 5를 참조하면, 장치(10)가 공유기(20)에 대하여 접속을 요청한다 (단계 S501). 장치(10)의 접속 요청에 응답하여 공유기(20) 내부에서 관리되는 장치 리스트 또는 장치(10)에서 입력된 다른 식별자 정보에 기초하여 공유기(20)에 장치의 복호화 키가 등록되어 있는지 확인할 수 있다. 다른 실시 예에 있어서 장치(10)의 접속 요청 자체에 등록을 해야한다는 정보가 포함될 수 있다. 이러한 과정을 통하여 장치가 등록되었는지 확인한다 (단계 S502).
장치(10)의 식별자가 공유기(20)의 보안요소에 저장되어 있지 않거나 그 장치(10)의 최초의 접속 요청인 경우에는 장치(10)에서 접속을 하고자 하는 공유기(20)의 식별번호를 입력하여 정적 세션 키(Static session key)를 획득할 수 있다 (단계 S503). 정적 세션 키는 이후 장치(10)와 공유기(20) 사이의 대칭 키를 생성하기 위한 기본적인 정보가 될 수 있다. 정적 세션 키는 공유기(20)로부터 장치(10)에 제공되거나 장치(10)에 설치된 공유기 접속 어플리케이션과 연결된 서버를 통하여 장치(10)에 제공될 수 있다. 이 경우, 공유기(20)에는 공장 출하 단계에서부터 정적 세션 키가 보안요소(210)에 저장되어 있을 수 있다.
공유기(20)가 장치(10)에 대하여 초기 인증을 요청한다 (단계 S504). 초기 인증은 공유기(20)에 대하여 처음 설정된 비밀번호(PW)를 입력함으로써 이루어질 수 있다. 처음 설정된 비밀번호(PW)는 공유기(20)와 연결된 보안요소(210)의 초기 설정 시에 부여된 값일 수 있으며 처음 설정된 비밀번호(PW) 역시 보안요소(2100에 저장되어 비밀번호의 노출을 최소화할 수 있다. 공유기(20)에 접속한 사용자는 사용자 식별자(UID)에 대한 초기 인증을 통하여 사용자 식별자에 대한 새로운 비밀번호를 입력할 수 있다. 실시 예에 따라 처음 설정된 비밀번호는 키보드로 입력되는 문자열 방식의 데이터일 수 있으나, 새롭게 설정되는 비밀번호는 형식에 한정되지 않고 상술한 생체정보 등으로 구성될 수 있다.
보안요소(210)는 초기 인증 응답을 수신(단계 S505)하여 인증을 완료한다(단계 S506). 인증이 완료됨에 따라 보안요소(210)는 제1 랜덤정보를 생성할 수 있다(단계 S507). 제1 랜덤정보는 기설정된 바이트의 정보일 수 있으며, 구체적으로 도 3에 도시한 제어회로(210)에서 생성될 수 있다. 제1 랜덤정보는 특정한 시점에 따라 상이한 값으로 생성될 수 있다. 예를 들어 제1 랜덤정보는 카드 랜덤 값이라 일컬을 수 있다.
보안요소(210)에서 생성된 제1 랜덤정보는 장치(10)로 전달된다(단계 S508). 장치(10) 또한 제1 랜덤정보와 유사한 형식의 제2 랜덤정보를 생성하고(단계 S509), 보안요소(210)로 제2 랜덤정보를 전달한다(단계 S510). 제1 랜덤정보와 마찬가지로 제2 랜덤정보는 기설정된 바이트의 정보일 수 있으며, 특정한 시점에 따라 장치(10)는 상이한 값의 제2 랜덤정보를 생성할 수 있다. 예를 들어 제2 랜덤정보는 외부 랜덤 값(Ext random)이라 일컬을 수 있다.
이러한 과정을 거쳐 장치(10)와 보안요소(210)는 정적 세션 키, 제1 랜덤정보, 및 제2 랜덤정보를 공유한다. 장치(10)와 보안요소(210)는 공유된 정보들에 기초하여 세션 키, 즉 대칭 키를 생성한다 (단계 S511, 512). 예를 들어, 제1 랜덤정보와 제2 랜덤정보 중에서 적어도 일부를 기설정된 방식으로 추출하여 정적 세션 키로 암호화함으로써 세션 키를 생성할 수 있다.
이러한 과정을 통하여 장치(10)와 보안요소(210) 사이에는 대칭 키가 공유되고, 장치(10)는 장치 공개 키를 대칭 키로 암호화하여 보안요소(210)로 전달하고, 보안요소(210)는 보안요소 공개 키를 대칭 키로 암호화하여 장치(10)로 전달한다 (단계 S513). 장치(10)와 보안요소(210)가 서로의 공개 키를 교환함으로써 향후 장치(10)와 보안요소(210)는 비대칭형 암호화 방식으로 데이터를 주고받을 수 있다.
즉, 장치(10)가 사용자 식별자에 대한 인증정보를 변경하고자 하는 경우에는 장치(10)의 개인 키로 암호화한 인증정보를 보안요소(210)로 전달할 수 있다. 보안요소(210)는 장치 공개 키를 알고 있기 때문에 암호화된 정보를 복호화하여 장치(10)의 사용자 식별자에 대한 인증정보가 변경되었다는 것을 확인하고, 변경된 인증정보를 보안요소(210)에 저장할 수 있다. 여기서 장치(10)의 개인 키는 복호화 키에 상응할 수 있다.
이러한 초기 등록 과정을 거쳐 장치(10)와 보안요소(210) 사이에 서로에 대한 공개 키, 즉 복호화 키가 공유되어 안정적으로 데이터를 주고 받을 수 있도록 한다. 상술한 과정에서 세션 키는 일시적으로만 유효한 대칭 키일 수 있다.
도 6은 본 발명의 일 실시 예에 따른 공유기를 나타내는 블록도이다.
도 2에 나타낸 공유기(20a)와 비교하면, 도 6에 나타낸 공유기(20b)는 인증 관리부(240)를 더 포함할 수 있다. 동일한 구성요소들에 대해서는 동일한 참조부호를 사용하였으며 동일한 구성요소들은 상술한 바와 실질적으로 동일한 구성 및 동작의 특성을 가지므로 설명의 편의를 위하여 구체적인 설명은 생략하도록 한다.
도 6을 참조하면, 공유기(20b)는 인증 관리부(240)를 더 포함할 수 있다. 인증 관리부(240)는 공유기(20b)에서 인증정보를 추가적으로 입력할 수 있도록 하는 수단이다.
실시 예에 따라, 인증 관리부(240)는 장치(10)에 구비되는 것과 유사하게 인증 응답정보를 수신하기 위한 키보드, 마우스, 터치 디스플레이와 같은 입력수단, 생체정보를 수신하기 위한 센서, 마이크, 카메라 등을 포함할 수 있다.
공유기(20b)는 장치(10)가 접속을 요청하였을 경우에 인증을 요청할 수 있는데 이러한 인증 요청에 응답하여 인증 응답정보를 공유기(20b)에 구비된 인증 관리부(240)를 통해 획득할 수 있다.
공유기(20b)가 인증 관리부(240)를 구비하는 경우에는 장치(10)에 별도의 입력수단이나 센서, 마이크, 카메라 등이 구비될 필요가 없어서 공유기(20b)와 연결이 가능한 장치(10)의 종류가 보다 다양해질 수 있다.
장치(10)로부터 접속 요청을 수신하는 경우, 공유기(20b)의 장치 관리부(230)는 장치(10)의 인증 필요 여부를 판단하여 인증이 필요한 경우에 인증 관리부(240) 또는 장치(10)에 대하여 인증을 요청하는 알림을 전달한다. 인증 요청 알림은 시각, 청각, 촉각 등 다양한 방식으로 출력될 수 있다. 실시 예에 따라 공유기(20b)의 보안요소(210)의 제어회로(310)를 통하여 인증 필요 여부가 판단되어 인증이 요청될 수도 있다.
예를 들어, 장치(10)에 대하여 인증 요청 알림을 제공하는 경우에는 인증이 요청되었으니 공유기(20b)의 인증 관리부(240)를 통하여 인증 응답정보를 입력하라는 취지의 메시지가 전달될 수 있다. 공유기(20b)에 인증 요청 알림이 제공되는 경우에는 사용자가 인증 관리부(240)를 통해 인증 요청에 따른 인증 응답정보 입력을 할 수 있다.
실시 예에 따라 공유기(20b)가 인증 관리부(240)를 포함하는 경우에도 인증 응답정보는 장치(10) 또는 공유기(20b)의 인증 관리부(240) 중 적어도 하나를 통해 선택적으로 입력될 수 있다.
공유기(20b)에 포함된 인증 관리부(240)를 통해 인증 응답정보를 수신하는 경우에는 인증 응답정보가 외부에서 전달되는 경우에 전달하는 과정에서 인증 응답정보가 가로채기를 당하는 위험에 노출되지 않을 수 있다. 따라서 도 5를 참조하여 설명한 바와 같이 장치(10)와 보안요소(210) 사이에 세션 키를 생성하여 서로의 공개 키를 전달하는 과정이 보다 간단해질 수 있다.
도 7은 본 발명의 일 실시 예에 따른 공유기(10b)를 이용한 네트워크 형성 방법을 예시적으로 나타낸 시퀀스 도면이다.
도 7을 참조하면, 장치(10)가 공유기(20b)에 접속 요청을 하면(단계 S410), 공유기(20b)가 장치(10)의 연결 이전에 인증이 필요한지 여부를 판단한다 (단계 S420). 상술한 바와 같이 공유기(20b)의 장치 관리부(230)에서는 장치 식별자(DID)를 통하여 장치(10)의 인증 필요 여부를 판단할 수 있다. 장치(10)에 대한 인증이 필요하지 않은 것으로 판단되면, 공유기(20b)의 연결부(200)를 통하여 장치(10)에 대하여 IP 주소를 할당하고, 인터넷 연결하여 네트워크를 형성한다. 실시 예에 따라 장치(10)가 인증이 필요한지 여부는 보안요소(210) 내에서 판단될 수도 있다.
장치(10)에 대한 인증이 필요한 것으로 판단되면, 공유기(20b)의 장치 관리부(230)는 장치(10) 및/또는 공유기(20b)의 인증 관리부(240)를 통하여 인증 요청을 알릴 수 있다 (단계 S435).
인증 요청에 응답하여 공유기(20b)의 인증 관리부(240)는 인증 응답정보를 획득한다 (단계 S445). 도 6을 참조하여 설명한 것과 같이, 인증 응답정보는 인증 관리부(240)를 통하여 획득될 수 있다.
인증 관리부(240)는 획득한 인증 응답정보를 보안요소(210)에 전달한다 (단계 S465). 인증 관리부(240)를 통하여 인증 응답정보를 수신하는 경우에는 인증 응답정보가 암호화되지 않은 상태로 보안요소(210)에 전달될 수도 있다.
보안요소(210)는 수신된 인증 응답정보와 기저장된 인증정보를 비교하여 인증 여부를 판단한다 (단계 S470). 보안요소(210)는 사용자 식별자(UID) 별로 그에 맞는 인증정보를 관리할 수 있다. 보안요소(210)가 수신한 인증 응답정보에는 장치 식별자(DID)와 별개로 사용자 식별자(UID)와 그에 대한 인증정보가 포함될 수 있다. 이에 따라 수신된 인증 응답정보와 기저장된 인증정보를 비교하여 인증 여부를 판단할 수 있다.
상술한 바와 같이 보안요소(210)는 수신된 인증 응답정보를 해당 장치 또는 사용자 식별자에 대하여 대응된 복호화 키로 복호화하여 정보를 도출하여 기저장된 인증정보와 비교할 수 있다.
보안요소(210)는 인증 결과를 공유기(20b) 및 장치(10)에 제공한다. 공유기(20b)는 인증 결과에 기초하여 장치(10)의 연결 허용여부를 결정한다. 구체적으로 공유기(20b)의 장치 관리부(230)는 해당 장치의 인증여부 및 인증일시를 장치 식별자(DID) 별로 기록하여 관리할 수 있으며 연결부(200)는 인증 결과에 따라서 장치(10)의 연결을 허용할 수 있다.
또한, 인증이 거절된 경우에는 기 설정된 횟수 동안에 인증 요청을 하는 과정이 단계 S435부터 반복될 수 있다. 실시 예에 따라 기 설정된 횟수 동안 인증이 실패하는 경우에는 해당 장치 식별자(DID), 또는 사용자 식별자(UID)에 대한 접속 요청은 영구히 거절될 수 있으며, 다른 실시 예에 있어서, 공유기(20b)에 대한 해킹 시도가 있는 것으로 판단하여 전체 동작을 중단할 수 있다.
상술한 본 발명의 실시 예들에 따른 공유기 및 공유기를 이용한 네트워크 형성 방법은 공유기에 보안요소가 구비된다. 공유기의 보안요소는 접근이 제한되기 때문에 보안요소에 인증정보를 저장하고 공유기에 접속을 요청하는 장치들에 대하여 인증이 완료된 장치에만 네트워크 연결을 허용함으로써 전체 네트워크 형성 시에 보안성을 향상시킬 수 있다.
이에 따라, 공유기를 중심으로 연결되어 다양한 센싱 정보들을 제공하는 사물인터넷 객체들, 예를 들어, 로봇 청소기, 스마트 냉장고, 웨어러블 장치, 스마트폰 등이 사생활 노출이나 보안 위협이 없이 네트워크를 형성할 수 있다.
다양한 실시 예들에 따른 시스템은 전술한 구성요소들 중 적어도 하나 이상을 포함하거나, 일부가 생략되거나, 또는 추가적인 다른 구성요소를 더 포함할 수 있다. 그리고 본 문서에 개시된 실시 예는 개시된 기술 내용의 설명 및 이해를 위해 제시된 것이며 본 발명의 범위를 한정하는 것은 아니다. 따라서 본 문서의 범위는 본 발명의 기술적 사상에 근거한 모든 변경 또는 다양한 다른 실시 예를 포함하는 것으로 해석되어야 한다.
20, 20a, 20b : 공유기
210 : 보안요소
310 : 제어회로
320 : 저장회로

Claims (20)

  1. 외부의 장치로부터의 접속 요청에 응답하여, 상기 접속 요청에 기초하여 상기 장치의 인증이 필요한지 여부를 판단하여 인증을 요청하는 장치 관리부;
    상기 장치 관리부로부터의 인증 요청에 응답하여 수신된 인증 응답정보, 및 기 저장된 인증정보에 기초하여 상기 장치의 인증여부를 판단하는 보안요소; 및
    상기 보안요소의 인증여부 판단에 기초하여 상기 외부 장치에 네트워크 주소를 할당함으로써 네트워크 연결을 수행하는 연결부를 포함하며,
    상기 기 저장된 인증정보는 장치에 대한 식별자 별로 대응하는 인증정보를 매칭한 정보이고,
    상기 보안요소는 상기 장치에 대한 식별자에 대응하는 기 저장된 인증정보를 상기 인증 응답정보와 비교하여 상기 장치의 인증여부를 판단하는 공유기.
  2. 청구항 1에 있어서,
    상기 장치 관리부는,
    상기 접속 요청에 포함된 상기 장치에 대한 식별자에 기초하여 상기 인증 요청 여부를 판단하는 공유기.
  3. 청구항 1에 있어서,
    상기 보안요소는,
    물리적으로 구분된 SE(Secure Element) 칩을 포함하는 공유기.
  4. 청구항 3에 있어서,
    상기 보안요소는,
    상기 장치에 대한 식별자 또는 사용자에게 할당된 식별자에 기초하여 도출된 상이한 인증정보에 따라 상기 장치의 인증여부를 판단하는 공유기.
  5. 청구항 3에 있어서,
    상기 인증 응답정보는 비밀번호, 지문정보, 홍채정보, 혈관정보, 음성정보, 서명정보 중 적어도 하나를 포함하는 공유기.
  6. 청구항 3에 있어서,
    상기 장치 관리부는,
    상기 장치에 대한 식별자 별로 인증 여부 및 인증 완료 일시 중 적어도 하나를 기록하여 관리하는 저장부를 포함하는 공유기.
  7. 청구항 6에 있어서,
    상기 장치 관리부는,
    상기 인증 여부에 기초하여 접속을 요청한 상기 장치가 인증이 완료된 장치인 경우에는 인증을 요청하지 않고 네트워크를 형성하도록 하는 공유기.
  8. 청구항 6에 있어서,
    상기 장치 관리부는,
    상기 인증 완료 일시로부터 현재의 일시까지 기 설정된 기간이 경과된 경우에 상기 장치에 인증을 요청하는 공유기.
  9. 청구항 3에 있어서,
    상기 인증 응답정보를 수신하기 위한 인증 관리부를 더 포함하는 공유기.
  10. 공유기를 통해 수신된 외부 장치의 접속 요청에 기초하여 상기 장치의 인증이 필요한지 여부를 판단하여 인증 요청을 하고, 상기 인증 요청에 응답하여 수신된 상기 외부 장치의 인증 응답정보에 포함된 식별자에 따라 도출된 복호화 키에 기초해 상기 인증 응답정보를 복호화하고, 상기 복호화된 인증 응답정보와 인증정보의 일치 여부에 기초하여 상기 외부 장치의 인증 성공 여부를 판단하는 제어회로; 및
    상기 식별자에 매칭된 상기 복호화 키, 및 상기 식별자에 매칭된 상기 인증정보를 저장하는 저장회로를 포함하는, 상기 공유기와 연계되어 동작하는 보안요소.
  11. 청구항 10에 있어서,
    상기 복호화 키는 상기 식별자에 매칭된 상기 외부 장치의 공개 키를 포함하는 보안요소.
  12. 청구항 10에 있어서,
    상기 저장회로는 상기 인증정보를 비대칭형 암호화 방식으로 암호화하여 저장하는 보안요소.
  13. 청구항 10에 있어서,
    상기 저장회로는, 상기 식별자 별로 복호화 키, 인증 여부 및 인증 완료 일시 중 적어도 하나를 저장하는 보안요소.
  14. 공유기와 결합되어 식별자와 매칭된 인증정보를 저장하는 보안요소를 이용한 네트워크 형성 방법에 있어서,
    상기 공유기를 통해 외부 장치의 접속 요청이 수신된 경우, 상기 접속 요청에 응답하여, 상기 장치의 인증이 필요한지 여부를 판단하여 인증을 요청하는 단계;
    상기 인증 요청에 응답하여 수신된 인증 응답정보에 포함된 상기 장치에 대한 식별자에 기초하여 복호화 키를 도출하는 단계; 및
    상기 복호화 키에 기초하여 상기 인증 응답정보를 복호화하고, 상기 보안요소에 저장된 상기 장치에 대한 식별자에 매칭된 인증정보와 비교하여 인증 여부를 판단하는 단계를 포함하는 상기 방법.
  15. 청구항 14에 있어서,
    상기 인증 여부 판단에 기초하여 상기 외부 장치와 상기 공유기 사이의 네트워크를 형성하는 단계를 더 포함하는 상기 방법.
  16. 청구항 15에 있어서,
    상기 장치에 대한 식별자가 상기 보안요소에 저장되어 있지 않거나 상기 외부 장치의 최초의 접속 요청인 경우,
    상기 외부 장치와 상기 보안요소 사이의 대칭 키에 기초하여 상기 복호화 키를 수신하는 단계를 포함하는 상기 방법.
  17. 청구항 16에 있어서,
    상기 대칭 키는 상기 공유기의 식별번호에 따라 부여된 정적 세션 키(Static session key)에 기초하여 생성되는 상기 방법.
  18. 청구항 17에 있어서,
    상기 외부 장치 및 상기 보안요소 중 적어도 하나에서 생성된 랜덤정보에 기초하여 설정된 씨드(seed) 값을 상기 정적 세션 키로 암호화하여 상기 대칭 키를 생성하는 단계를 포함하는 상기 방법.
  19. 청구항 16에 있어서,
    상기 복호화 키에 기초하여 암호화된 상기 인증정보를 수신하는 단계를 포함하는 상기 방법.
  20. 청구항 19에 있어서,
    상기 수신된 인증정보를 상기 장치에 대한 식별자에 매칭하여 상기 보안요소의 개인 키로 암호화하여 저장회로에 저장하는 단계를 포함하는 상기 방법.
KR1020160116353A 2016-09-09 2016-09-09 공유기와 연계되어 동작하는 보안요소, 공유기 및 이를 이용한 네트워크 형성 방법 KR101900060B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160116353A KR101900060B1 (ko) 2016-09-09 2016-09-09 공유기와 연계되어 동작하는 보안요소, 공유기 및 이를 이용한 네트워크 형성 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160116353A KR101900060B1 (ko) 2016-09-09 2016-09-09 공유기와 연계되어 동작하는 보안요소, 공유기 및 이를 이용한 네트워크 형성 방법

Publications (2)

Publication Number Publication Date
KR20180028705A KR20180028705A (ko) 2018-03-19
KR101900060B1 true KR101900060B1 (ko) 2018-09-18

Family

ID=61910989

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160116353A KR101900060B1 (ko) 2016-09-09 2016-09-09 공유기와 연계되어 동작하는 보안요소, 공유기 및 이를 이용한 네트워크 형성 방법

Country Status (1)

Country Link
KR (1) KR101900060B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102354783B1 (ko) 2021-10-21 2022-01-24 주식회사 모노커뮤니케이션즈 보안이 향상된 공유기 관리 시스템

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109286637B (zh) * 2018-11-19 2021-05-14 南京邮电大学 一种D-LinkDir系列路由器配置接口漏洞的防御方法

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7221764B2 (en) * 2002-02-14 2007-05-22 Agere Systems Inc. Security key distribution using key rollover strategies for wireless networks
JP2006197065A (ja) * 2005-01-12 2006-07-27 Matsushita Electric Ind Co Ltd 端末装置および認証装置
KR101057227B1 (ko) * 2010-01-04 2011-08-16 주식회사 엘지유플러스 이동통신 단말기의 스마트카드 정보를 이용한 무선랜의 상호 인증 방법과 그 시스템
KR101431010B1 (ko) * 2012-05-14 2014-08-20 서강대학교산학협력단 하드웨어 인증 모듈을 이용한 액세스 포인트 인증 장치 및 방법
KR20150112655A (ko) * 2014-03-28 2015-10-07 주식회사 하이퍼솔루션 무선 접속 방식 및 서비스 인증 방법, 인쇄 코드 생성 방법 및 단말

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102354783B1 (ko) 2021-10-21 2022-01-24 주식회사 모노커뮤니케이션즈 보안이 향상된 공유기 관리 시스템
KR102435335B1 (ko) 2021-10-21 2022-08-23 주식회사 모노커뮤니케이션즈 공유기 통합 관리 시스템

Also Published As

Publication number Publication date
KR20180028705A (ko) 2018-03-19

Similar Documents

Publication Publication Date Title
JP6571250B2 (ja) ある装置を使用して別の装置をアンロックする方法
KR102371997B1 (ko) 정보 처리 단말, 방법 및 정보 처리 단말을 포함하는 시스템
EP3602991B1 (en) Mechanism for achieving mutual identity verification via one-way application-device channels
US10136322B2 (en) Anonymous authentication system
KR101941049B1 (ko) 암호화된 통신을 위한 방법 및 시스템
KR102202547B1 (ko) 액세스 요청을 검증하기 위한 방법 및 시스템
US20150281227A1 (en) System and method for two factor user authentication using a smartphone and nfc token and for the automatic generation as well as storing and inputting of logins for websites and web applications
CN108737080B (zh) 密码的存储方法、装置、系统及设备
US11159329B2 (en) Collaborative operating system
JP2020074578A (ja) 情報を登録および認証する方法およびデバイス
US10541994B2 (en) Time based local authentication in an information handling system utilizing asymmetric cryptography
KR101900060B1 (ko) 공유기와 연계되어 동작하는 보안요소, 공유기 및 이를 이용한 네트워크 형성 방법
US11178137B2 (en) System for IoT devices communicating with server using a tentative common key
US10033721B2 (en) Credential translation
KR102242720B1 (ko) 클라이언트별 능동적 시각 오프셋 윈도우를 통한 고유 시각 방식의 otp 설정 방법
JP2017108237A (ja) システム、端末装置、制御方法、およびプログラム
KR101853970B1 (ko) 인증번호 중계 방법
KR101757692B1 (ko) 토큰 서버 인증을 이용한 홈네트워크 기기의 원격 제어 시스템 및 방법
WO2023141864A1 (zh) 会议数据的传输方法、装置、系统、电子设备及可读介质
CN111259363A (zh) 业务访问信息处理方法、系统、装置、设备和存储介质
JP7124174B1 (ja) 多要素認証のための方法および装置
JP7351873B2 (ja) 情報処理装置、情報処理方法および情報処理プログラム
WO2023141876A1 (zh) 数据传输方法、装置、系统、电子设备及可读介质
KR20180093057A (ko) 스마트폰과 연동되는 모바일 유닛과 서버 간의 보안 통신을 위한 방법 및 시스템
KR20170099339A (ko) 보안 회원가입 및 로그인 호스팅 서비스 제공 시스템 및 그 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant