KR101912403B1 - 장비들 간의 보안 인증 방법 - Google Patents

장비들 간의 보안 인증 방법 Download PDF

Info

Publication number
KR101912403B1
KR101912403B1 KR1020180040776A KR20180040776A KR101912403B1 KR 101912403 B1 KR101912403 B1 KR 101912403B1 KR 1020180040776 A KR1020180040776 A KR 1020180040776A KR 20180040776 A KR20180040776 A KR 20180040776A KR 101912403 B1 KR101912403 B1 KR 101912403B1
Authority
KR
South Korea
Prior art keywords
information
authentication
equipment
random number
key
Prior art date
Application number
KR1020180040776A
Other languages
English (en)
Inventor
조태야
이황기
조헌
김상우
Original Assignee
(주)엔토스정보통신
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)엔토스정보통신 filed Critical (주)엔토스정보통신
Priority to KR1020180040776A priority Critical patent/KR101912403B1/ko
Application granted granted Critical
Publication of KR101912403B1 publication Critical patent/KR101912403B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 상호 통신 가능하게 연결되는 제1 장비와, 제2 장비와, 관리자 서버 및 외부 단말기를 이용한 장비들 간의 보안 인증방법에 있어서, 상기 제1 장비가 제1 장비에 부여된 장비정보를 기초로 제1 난수를 생성하고, 상기 제2 장비가 상기 제1 난수를 상기 제1 장비로부터 전송받아 상기 제1 난수를 이용해 제2 난수를 생성하는 제1 단계; 제1 단계로부터 상기 제1 장비가 상기 제1 난수를 이용해 제1 인증키를 생성하고, 상기 제1 장비가 상기 제1 인증키를 이용해 상기 제1 장비의 장비정보를 암호화한 장비정보 암호키를 상기 제2 장비로 전송하는 제2 단계; 상기 제2 단계로부터 상기 제2 장비가 상기 제2 난수를 이용해 상기 제2 인증키를 생성하며, 상기 제2 인증키를 이용해 상기 장비정보 암호키를 복호화하여 장비정보를 추출하고, 상기 제2 인증키를 이용해 상기 추출된 장비정보에 대응되는 인증정보를 암호화한 인증정보 암호키를 상기 제1 장비로 전송하는 제3 단계; 및 상기 제1 장비가 상기 제1 인증키를 이용하여 상기 인증정보 암호키를 복호화하여 인증정보를 추출하며, 상기 추출된 인증정보가 상기 장비정보에 대응되는지 여부에 따라 상기 제1 장비 및 제2 장비의 인증을 수행하는 제4 단계를 포함하고, 상기 제1 단계는, 상기 제1 장비와 상기 제2 장비간에 상호 기설정된 난수 생성 인수 및 난수 생성 함수에 의해 제1 및 제2 난수를 생성하되, 상기 제1 장비에 의해 상기 장비정보 중, 사용자로부터 부여되는 제1 정보의 값과, 제1 장비의 제조시 미리 부여된 제2 정보의 값을 이용하여 상기 제1 난수를 생성하는 단계를 포함하여 이루어지는 것을 특징으로 하는 장비들 간의 보안 인증방법을 제공한다.

Description

장비들 간의 보안 인증 방법{METHOD FOR SECURITY AUTHENTICATION BETWEEN EQUIPMENT}
본 발명은 장비들 간의 보안 인증 방법에 관한 것으로, 보다 상세하게는 보안성을 향상시키도록 하는 보안 인증 방법에 관한 것이다.
일반적으로 현대사회는 기술의 발전으로 우리가 의식하지 않아도, 모든 사물(장치)과 사람이 통신을 하는 시대로 바뀌고 있다.
이런 기술을 IOT(Internet of things)라고 부른다. IOT 기술의 핵심은 인간의 개입 없이 모든 장치들이 상호 협력적으로 센싱, 정보 처리 등을 수행한다는 점이다.
이러한 장치들간의 통신이 가능해짐에 따라 각 장비들은 해킹, 악성코드, 바이러스들과 같은 다양한 위험요소에 노출될 수 있으므로, 장비들간의 인증을 수행할 필요가 있다.
데이터를 암호화하고 해독하는 방식에는 공개키 암호화 및 대칭키 암호화 방식이 있다. 공개키 암호화 방식은 공개되는 키와 여기에 1:1로 대응되는 비밀키가 있고, 대칭키 암호화 방식은 공개되지 않는 비밀키를 가지고 암호화하고 해독하는 방식이다.
공개키 암호화 키는 키 정보를 교환하는 과정에서 보안 취약점이 존재하고, 비밀키 암호화는 비밀키가 노출되었을 때 보안 취약점이 발생하게 된다.
또한, 인증을 하는 장비가 상호 식별을 위하여 인증서를 사용하고 이와 이 인증서의 대응되는 키 정보를 가지고 암호화를 하고 이를 해독하는 방법이 많이 쓰이지만, 인증 시 정보가 공개된 네트워크를 통하여 전송됨으로써 보안 취약점이 발생하기도 한다. 예를 들어, SSL(Secure Socket Layer), TLS(Transport Layer Security)에서는 클라이언트와 서버 사이에 키를 교환하는 과정이 존재한다.
또한, IOT 환경에서 통신을 하는 많은 수의 장비와 서버들이 통신의 신뢰성을 확보하기 위하여 인증기관(CA)으로부터 검증된 인증서를 발급받아야 하는데, 이러한 경우 높은 인증 비용이 발생하게 되고, CA의 인증서버의 부하도 감당할 수 없이 증가하게 되어 실제 환경에서 기존의 기술로는 상용화된 신뢰성 있는 통신체계를 구현하기 어려운 문제점이 있다.
이에, 종래에는 장비의 ID 값과 사용자와 제조사로부터 입력되는 정보를 참조하여 암호화 키를 생성하는 장비들간의 인증방법이 개시되어 있으나, 전술한 종래기술은 ID값과 제조사 코드 및 사용자 코드가 유출될 경우 키 생성 알고리즘을 역산할 가능성이 높아져서 결과적으로 보안상 취약점을 갖는 문제점이 있다.
따라서, 상기와 같은 문제점을 해결하기 위해서 사용자와 제조사도 알 수 없는 장비들의 제조 단계에서 미리 부여되는 장비 고유의 정보값(MAC, 칩셋, 시리얼 넘버 등)의 일부분을 추출하여 장비 ID와, 사용자코드 및 제조사 코드를 합산하여 암호화 키를 생성하도록 함에 따라 장비들 간의 인증시, 보안성을 향상시키도록 하고, 비인가 사용자의 접근을 차단시킬 뿐만 아니라, 외부로부터의 해킹을 방지하도록 하는 장비들 간의 보안 인증 방법의 필요성이 제시되고 있다.
1. 한국 등록특허 제1645705호 (2016.07.29.)
이와 같은 문제점을 해결하기 위한 본 발명은 사용자와 제조사도 알 수 없는 장비들의 제조 단계에서 미리 부여되는 장비 고유의 정보값(MAC, 칩셋, 시리얼 넘버 등)의 일부분을 추출하여 장비 ID와, 사용자코드 및 제조사 코드를 합산하여 암호화 키를 생성하도록 함에 따라 장비들 간의 인증시, 보안성을 향상시키도록 하고, 비인가 사용자의 접근을 차단시킬 뿐만 아니라, 외부로부터의 해킹을 방지하도록 하는 장비들 간의 보안 인증 방법을 제공하는 데에 그 목적이 있다.
본 발명의 목적은 이상에서 언급한 것으로 제한되지 않으며, 언급되지 않은 또 다른 목적들은 아래의 기재로부터 본 발명이 속하는 기술 분야의 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
이와 같은 목적을 달성하기 위한 본 발명의 일 실시예에 따른 장비들 간의 보안 인증방법은, 상호 통신 가능하게 연결되는 제1 장비와, 제2 장비와, 관리자 서버 및 외부 단말기를 이용한 장비들 간의 보안 인증방법에 있어서, 상기 제1 장비가 제1 장비에 부여된 장비정보를 기초로 제1 난수를 생성하고, 상기 제2 장비가 상기 제1 난수를 상기 제1 장비로부터 전송받아 상기 제1 난수를 이용해 제2 난수를 생성하는 제1 단계; 제1 단계로부터 상기 제1 장비가 상기 제1 난수를 이용해 제1 인증키를 생성하고, 상기 제1 장비가 상기 제1 인증키를 이용해 상기 제1 장비의 장비정보를 암호화한 장비정보 암호키를 상기 제2 장비로 전송하는 제2 단계; 상기 제2 단계로부터 상기 제2 장비가 상기 제2 난수를 이용해 상기 제2 인증키를 생성하며, 상기 제2 인증키를 이용해 상기 장비정보 암호키를 복호화하여 장비정보를 추출하고, 상기 제2 인증키를 이용해 상기 추출된 장비정보에 대응되는 인증정보를 암호화한 인증정보 암호키를 상기 제1 장비로 전송하는 제3 단계; 및 상기 제1 장비가 상기 제1 인증키를 이용하여 상기 인증정보 암호키를 복호화하여 인증정보를 추출하며, 상기 추출된 인증정보가 상기 장비정보에 대응되는지 여부에 따라 상기 제1 장비 및 제2 장비의 인증을 수행하는 제4 단계를 포함하고, 상기 제1 단계는, 상기 제1 장비와 상기 제2 장비간에 상호 기설정된 난수 생성 인수 및 난수 생성 함수에 의해 제1 및 제2 난수를 생성하되, 상기 제1 장비에 의해 상기 장비정보 중, 사용자로부터 부여되는 제1 정보의 값과, 제1 장비의 제조시 미리 부여된 제2 정보의 값을 이용하여 상기 제1 난수를 생성하는 단계를 포함하여 이루어지는 것을 특징으로 하는 장비들 간의 보안 인증방법을 제공할 수가 있다.
여기서, 상기 제1 장비는 상기 장비정보에 포함된 복수개의 사용자 계정정보가 저장되는 이동식 저장모듈을 포함하여 구성되는 것을 특징으로 하는 장비들 간의 보안 인증방법을 제공할 수 있다.
또한, 상기 제4 단계는 상기 제1 장비 및 상기 제2 장비는 상기 인증 수행에 따른 상기 장비정보 암호키 및 인증정보 암호키를 관리자 서버에 저장하며, 상기 장비정보 암호키 및 인증정보 암호키에 대해 시계열에 따라 생성된 시퀀스 정보를 참조하여 상호 유효성 여부를 판단하고, 판단에 따라 상기 제1 장비 및 상기 제2 장비의 통신연결이 가능하도록 인증을 수행하는 단계를 포함하여 이루어지는 것을 특징으로 하는 장비들 간의 보안 인증방법을 제공할 수 있다.
또한, 상기 제4 단계는 외부 단말기를 통해 상기 관리자 서버로 접속시, 투팩터 인증 방식으로 사용자 인증이 가능하도록 제공하는 단계를 더 포함하는 것을 특징으로 하는 장비들 간의 보안 인증방법을 제공할 수 있다.
또한, 사용자의 생체 바이오 정보 및 음성정보를 이용하여 추가 인증을 수행하도록 제공하는 단계를 포함하여 이루어지는 것을 특징으로 하는 것인 장비들 간의 보안 인증방법을 제공할 수 있다.
이와 같은 본 발명에 의하면, 사용자와 제조사도 알 수 없는 장비들의 제조 단계에서 미리 부여되는 장비 고유의 정보값(MAC, 칩셋, 시리얼 넘버 등)의 일부분을 추출하여 장비 ID와, 사용자코드 및 제조사 코드를 합산하여 암호화 키를 생성하도록 함에 따라 장비들 간의 인증시, 보안성을 향상시키도록 하고, 비인가 사용자의 접근을 차단시킬 뿐만 아니라, 외부로부터의 해킹을 방지할 수 있도록 하는 효과를 가진다
본 발명의 효과는 이상에서 언급한 것으로 제한되지 않으며, 언급되지 않은 또 다른 효과들은 아래의 기재로부터 본 발명이 속하는 기술 분야의 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
도 1은 본 발명의 실시예에 따른 장비들 간의 보안 인증방법 중, 제1 장비 및 제2 장비의 구성을 설명하기 위한 개요도,
도 2는 본 발명의 실시예에 따른 장비들 간의 보안 인증방법을 나타낸 순서도,
도 3은 본 발명의 실시예에 따른 장비들 간의 보안 인증방법의 세부적인 과정을 설명하기 위한 흐름도이다.
그러나 본 발명은 이하에서 개시되는 실시 예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있다. 단지 본 실시 예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 오로지 특허청구범위에 기재된 청구항의 범주에 의하여 정의될 뿐이다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.
또한, 명세서에 기재된 "…유닛", "…부" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.
한편, 본 발명의 실시 예에 있어서, 각 구성요소들, 기능 블록들 또는 수단들은 하나 또는 그 이상의 하부 구성요소로 구성될 수 있으며, 각 구성요소들이 수행하는 전기, 전자, 기계적 기능들은 전자회로, 집적회로, ASIC(Application Specific Integrated Circuit) 등 공지된 다양한 소자들 또는 기계적 요소들로 구현될 수 있으며, 각각 별개로 구현되거나 2 이상이 하나로 통합되어 구현될 수도 있다.
이하에서는 본 발명의 장비들 간의 보안 인증방법에 대해서 첨부된 도면을 참조하면서 구체적으로 설명하기로 한다.
도 1은 본 발명의 실시예에 따른 장비들 간의 보안 인증 방법 중, 제1 장비 및 제2 장비의 구성을 설명하기 위한 개요도, 도 2는 본 발명의 실시예에 따른 장비들 간의 보안 인증 방법을 나타낸 순서도이고, 도 3은 본 발명의 실시예에 따른 장비들 간의 보안 인증방법의 세부적인 과정을 설명하기 위한 흐름도이다.
도 1 내지 도 3을 참고하면, 본 발명의 장비들 간의 보안 인증방법은, 사용자와 제조사도 알 수 없는 장비들의 제조 단계에서 미리 부여되는 장비 고유의 정보값(MAC, 칩셋, 시리얼 넘버 등)의 일부분을 추출하여 장비 ID와, 사용자코드 및 제조사 코드를 합산하여 암호화 키를 생성하도록 함에 따라 장비들 간의 인증시, 보안성을 향상시키도록 하고, 비인가 사용자의 접근을 차단시킬 뿐만 아니라, 외부로부터의 해킹 방지가 용이하게 하기 위해 상호 통신 가능하게 연결되는 제1 장비(1) 와, 제2 장비(2)와, 관리자 서버 및 외부 단말기를 이용한 장비들 간의 보안 인증방법에 있어서, 제1 단계(S10) 내지 제4 단계(S40)를 포함하여 이루어지는 것이다.
제1 단계(S10)는 상기 제1 장비(1)가 제2 장비(2)에 부여된 장비정보를 이용하여 제1 난수를 생성하고, 상기 제2 장비(2)가 상기 제1 난수를 상기 제1 장비(1)로부터 전송받아 상기 제1 난수를 이용해 제2 난수를 생성하도록 제공되는 단계일 수 있다.
이때, 상기 제1 난수 및 제2 난수는 서로 동일한 값을 가지는 난수로 이루어질 수가 있다.
여기서 상기 제1 장비(1) 및 상기 제2 장비(2)는 상호 네트워크를 이용해 무선통신이 가능하게 연결 구성되는 단말장치로서의 기능을 수행 가능하도록 제공될 수 있으며, 예컨데 상기 제1 장비는 CCTV 이고, 상기 제2 장비(2)는 NVR(Network Video Recorder)장치일 수 있다.
그리고 상기 제1 장비(1) 및 제2 장비(2)는 상기 제1 단계(S10) 내지 제4 단계(S40)를 포함하는 장비들 간의 보안 인증방법을 수행하기 위한 통신수단, 저장수단 및 제어수단을 포함하여 구성될 수도 있다.
더불어, 상기 제1 장비(1)는 상기 장비정보에 포함되는 복수개의 사용자 계정정보가 저장되는 이동식 저장모듈(11)을 포함하여 구성됨에 따라, 상기 제1 장비(1)에 이동식 저장모듈(11)을 착탈함에 따라 편리하고 신속하게 사용자 계정정보를 저장 및 관리가능하게 제공될 수가 있다.
이때, 상기 장비정보는 상기 제1 장비(1) 및 제2 장비(2)의 저장수단에 기저장되거나, 상기 제1 장비(1) 및 제2 장비(2)와 네트워크로 통신 가능하게 연결된 별도의 관리자 서버(클라우드 서버)에 저장되는 정보이며, 예컨데 장비 ID, 사용자 코드, 제조사 코드, 사용자로부터 미리 설정되는 제1 정보 및 장비 제조 단계에서 부려되는 제2 정보를 포함하는 정보에 대해 부여되는 식별자로 제공될 수 있다.
그리고 상기 관리자 서버는 네트워크를 통해 상기 제1 장비(1) 및 제2 장비(2)와 정보들을 송수신 가능하도록 구성되는 것으로, 예컨데 상기 제1 장비(1) 및 제2 장비(2)로부터 생성되는 암호키/인증키 및 생성되는 각 정보들을 송수신하거나 저장하며 관리가 가능하게 제공될 수 있다.
구체적으로 상기 제1 정보는 사용자로부터 부여되는 정보로서, 예컨데 장비 ID, 제조사 코드, 사용자 코드의 값에 관한 정보일 수 있으며, 상기 제2 정보는 장비 제조시 부여되는 고유 값으로서, 예컨데 장비의 MAC Address, 부품 시리얼 번호 값에 관한 정보일 수 있다.
이러한 상기 제1 단계(S10)는 상기 제1 장비(1)와 상기 제2 장비(2)간에 상호 기설정된 난수 생성 인수 및 난수 생성 함수에 의해 제1 및 제2 난수를 산출하여 생성하되, 상기 제1 장비(1)에 의해 상기 장비정보 중, 사용자로부터 부여되는 제1 정보의 값과, 제1 장비(1)의 제조시 미리 부여된 제2 정보의 값을 이용하여 상기 제1 난수를 생성하는 단계를 포함하여 제공될 수가 있다.
즉, 상기 제1 정보의 값 및 제2 정보의 값을 나타내는 식별자 중, 선택되는 특정 상수를 상기 난수 생성 인수로서 이용하여 제1 난수 또는 제2 난수를 생성 가능하도록 제공될 수도 있다.
이에 따라 상기 제1 단계(S10)는 사용자 또는 제조사에서도 알 수 없는 상기 제1 장비(1)의 고유 값 또는 그 값의 특정 상수 값을 참조하는 상기 제2 정보와 상기 제1 정보를 이용하여 상기 제1 난수를 생성함에 따라, 종래기술에 비해 상기 제1 장비(1) 및 제2 장비(2) 간의 통신연결의 보안성을 극대화시킬 수 있게 된다.
상기 제2 단계(S20)는 상기 제1 단계(S10)로부터 상기 제1 장비(1)가 상기 제1 난수를 이용해 제1 인증키를 생성하고, 상기 제1 장비(1)가 상기 제1 인증키를 이용해 상기 제1 장비(1)의 장비정보를 암호화한 장비정보 암호키를 상기 제2 장비로 전송하도록 제공되는 단계일 수 있다.
즉, 제2 단계(S20)는 제1 단계(S10)로부터 제1 장비(1)가 제2 장비(2)와의 상호 인증을 위해 미리 설정된 난수 생성 인수 및 난수 생성 함수를 이용하여 제1 난수가 생성되면, 상기 제1 난수를 이용해 제1 인증키를 생성할 시에는 키 생성 함수를 이용하여 제1 인증키를 생성할 수가 있다.
예컨데, 제1 난수는 아래의 수학식 1을 통해 생성되며, 제1 인증키는 아래의 수학식 2를 통해 산출되는 값을 참조하여 생성될 수가 있다.
Figure 112018034809085-pat00001
여기서
Figure 112018034809085-pat00002
는 제1 난수이며, fn()은 난수 생성 함수이고, F는 난수 생성 인수를 각각 의미한다.
Figure 112018034809085-pat00003
여기서,
Figure 112018034809085-pat00004
는 제1 인증키의 값, fk()는 키 생성 함수를 각각 의미한다.
이러한 상기 난수 생성 인수(F)는 난수 생성을 위해 제1 장비(1)와 제2 장비(2) 간에 서로 미리 설정되는 약속 인수로서, 제1 장비(1)가 제2 장비와 상호 인증시, 상기 난수 생성 인수(F)를 통해 난수를 생성하도록 제공될 수가 있다.
예컨데, 상기 난수 생성 인수는 상기 제1 정보 및 제2 정보에 부여되는 식별자 중, 선택되는 특정 상수를 난수 생성 인수(F)로 설정하여 제1 난수 및 제2 난수를 생성할 수 있도록 제공될 수 있으며, 제1 인증키 및 제2 인증키 생성시에는 상기 제1 난수 및 제2 난수가 난수 생성 인수일 수 있다.
그리고 상기 제3 단계(S30)는 상기 제2 단계(S20)로부터 상기 제2 장비(2)가 상기 제2 난수를 이용해 상기 제2 인증키를 생성하며, 상기 제2 인증키를 이용해 상기 장비정보 암호키를 복호화하여 장비정보를 추출하고, 상기 제2 인증키를 이용해 상기 추출된 장비정보에 대응되는 인증정보를 암호화한 인증정보 암호키를 상기 제1 장비로 전송하도록 제공되는 단계일 수 있다.
즉, 상기 장비정보 암호키를 전송받은 상기 제2 장비(2)는 상기 난수 생성 인수 및 난수 생성 함수를 이용하여 제2 난수를 생성하며 상기 제2 난수 및 키 생성 함수를 이용하여 제2 인증키 값을 생성시, 하기의 수학식 3, 4를 통해 생성되도록 제공될 수 있다.
Figure 112018034809085-pat00005
여기서,
Figure 112018034809085-pat00006
는 제2 난수를 의미한다.
Figure 112018034809085-pat00007
여기서,
Figure 112018034809085-pat00008
는 제2 인증키의 값을 의미한다.
이와 같이 상기 제1 장비(1) 및 제2 장비(2)가 서로 동일한 난수 생성 인수를 통해 난수를 생성하는 경우에 동일한 인증키의 값이 생성되도록 제공될 수가 있다.
상기 제4 단계(S40)는 상기 제1 장비(1)가 상기 제1 인증키를 이용하여 상기 인증정보 암호키를 복호화하여 인증정보를 추출하며, 상기 추출된 인증정보가 상기 장비정보에 대응되는지 여부에 따라 상기 제1 장비(1) 및 제2 장비(2)의 인증을 수행하도록 제공되는 단계일 수가 있다.
예컨데, 상기 제4 단계(S40)는 상기 추출된 인증정보가 상기 장비정보에 대응하면, 상기 제1 장비(1) 및 제2 장비(2)가 상호 네트워크로 통신을 수행 가능하도록 상호 인증을 수행하고, 상기 추출된 인증정보가 상기 장비정보에 대응되지 않을 경우, 제1 단계(S40)부터 다시 인증을 진행하도록 제공되는 단계일 수 있다.
또한, 상기 제4 단계(S40)는 상기 제1 장비(1) 및 상기 제2 장비(2)는 상기 인증 수행에 따른 상기 장비정보 암호키 및 인증정보 암호키를 상기 관리자 서버에 저장하며, 상기 장비정보 암호키 및 인증정보 암호키에 대해 시계열에 따라 생성된 시퀀스(Sequence)정보를 참조하여 상호 유효성 여부를 판단하고, 판단에 따라 상기 제1 장비(1) 및 상기 제2 장비(2)의 통신연결이 가능하도록 인증을 수행하는 단계를 포함하여 이루어질 수가 있다.
여기서 상기 시퀀스 정보는 상기 장비정보 암호키 및 인증정보 암호키가 생성되는 그 순서에 따라 순차적으로 생성되며, 상기 장비정보 암호키 및 인증정보 암호키에 부여되는 순서정보를 의미할 수 있다.
그리고 상기 시계열은 시간의 경과에 따라 연속적으로 관측된 관측 값의 계열을 의미할 수 있다.
예컨데, 상기 제4 단계(S40)는 상호 인증을 위해 생성되는 장비정보 암호키와 인증정보 암호키가 서로 인증이 가능한 정보인지의 그 유효성을 판단할 시, 상기 장비정보 암호키와, 상기 인증정보 암호키가 생성된 시점의 시퀀스의 시간정보가 미리 설정된 오차범위에 해당할 경우, 상호 인증 가능한 유효 키값으로 판단하여 인증 진행이 가능하도록 하는 단계로 제공될 수 있다.
더하여, 상기 제4 단계(S40)는 별도의 외부 단말기를 통해 상기 관리자 서버로 접속시, 투팩터(2FA) 인증 방식으로 사용자 인증이 가능하도록 제공하는 단계를 더 포함함에 따라 인증시 보안성을 더욱 향상시킬 수가 있다.
여기서 상기 외부 단말기는 통상 스마트폰과 같은 휴대기기일 수 있다.
이와 같이 상기 투팩터 인증이 가능하도록 제공하는 단계는 사용자가 미리 알고 있거나 미리 설정한 패스워드만으로는 보안상 취약점이 있기 때문에, 사용자가 알고 있는 패스워드와 같은 제1 요소 이외에도 추가적인 제2 요소를 이용해 추가적으로 사용자 인증을 진행하도록 제공하는 단계인 것이다.
예컨데, 상기 제2 요소는 사용자가 소유하고 있거나, 또는 인증을 진행하는 사용자의 고유의 정보로서, 이러한 상기 제2 요소를 이용하여 추가 인증의 수행이 가능하도록 제공하는 단계를 의미할 수 있으며, 바람직하게는 OTP (One Time Password) 또는 사용자 코드 정보와 같은 제2 요소를 이용하여 제1 요소를 이용한 인증 수행 이후에, 추가 인증의 수행이 가능하도록 제공하는 단계일 수 있다.
또한, 상기 투팩터 인증 방식으로 사용자 인증이 가능하도록 하는 단계는 제1 요소 및 제2 요소와 사용자의 지문, 홍채와 같은 생체 바이오 정보들에 해당하는 제3 요소를 더 이용하여 추가적인 인증이 가능하도록 하는 단계로 제공될 수도 있다.
더불어, 상기 제4 단계(S40)는 상기 제1 장비(1) 및 제2 장비(2) 이외에 네트워크상 정합되지 않는 또 다른 장비들과의 암호화 접속 및 인증의 수행이 가능하도록 네트워크로 연결 구성되는 별도의 프락시 서버를 이용해 추가 인증의 수행이 가능하도록 하는 단계를 더 포함하여 제공됨에 따라, 보안성 강화 및 이 기종장비/장치들과 연결시에도 그 효율성을 향상시킬 수가 있게 된다.
이때, 상기 관리자 서버는 상기 외부단말로부터 미리 획득되는 복수의 사용자의 상기 생체 바이오 정보들을 상기 관리자 서버의 저장모듈에 저장하여 관리 가능하도록 구성될 수 있으며, 더 나아가 사용자의 음성정보를 저장하여 이를 이용해 상기 추가 인증을 수행하도록 제공됨에 따라 보안성을 극대화시킬 수 있으며, 보안된 네트워크 환경에서 보다 신속한 인증이 가능해질 수 있다.
한편, 본 발명의 실시예에 있어서 상기 제1 단계(S10) 내지 제4 단계(S40)의 방법에 따라 상기 제1 장비(1) 및 제2 장비(2)로부터 수행되는 상기 암호화 및 복호화 과정은 상기 제어부에 의해 수행이 가능하도록 제공될 수 있으며, 공지된 다양한 암호화/복호화 방식을 통해 구현되어 제공될 수 있음은 물론이다.
이와 같이 구성한 본 발명은 제조사 코드 또는 사용자 코드의 유출에 따른 해킹 등의 종래기술의 보안상 문제점들을 해결하기 위해 사용자와 제조사도 알 수 없는 장비들의 제조 단계에서 미리 부여되는 장비 고유의 정보값(MAC, 칩셋, 시리얼 넘버 등)의 일부분을 추출하여 장비 ID와, 사용자코드 및 제조사 코드를 합산하여 암호화 키를 생성하도록 함에 따라 장비들 간의 인증시, 보안성을 향상시키도록 하고, 비인가 사용자의 접근을 차단시킬 뿐만 아니라, 외부로부터의 해킹의 위험을 최대로 줄일 수 있도록 하는 효과가 있는 발명이다.
이상과 같은 본 발명의 설명에서 첨부된 블록도의 각 블록과 흐름도의 각 단계의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수도 있다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 블록도의 각 블록 또는 흐름도 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다.
그리고 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 블록도의 각 블록 및 흐름도의 각 단계에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.
또한, 각 블록 또는 각 단계는 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다.
예컨데, 잇달아 도시되어 있는 두 개의 블록들 또는 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들 또는 단계들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.
이상, 본 발명의 실시예에 대하여 설명하였으나, 해당 기술 분야에서 통상의 지식을 가진 자라면 특허청구범위에 기재된 본 발명으로부터 벗어나지 않는 범위 내에서, 구성 요소의 부가, 변경, 삭제 또는 추가 등에 의해 본 발명을 다양하게 수정 및 변경시킬 수 있을 것이며, 이 또한 본 발명의 권리범위 내에 포함된다고 할 것이다.
1. 제1 장비
2. 제2 장비
11. 이동식 저장모듈

Claims (5)

  1. 상호 통신 가능하게 연결되는 제1 장비와, 제2 장비와, 관리자 서버 및 외부 단말기를 이용한 장비들 간의 보안 인증방법에 있어서,
    상기 제1 장비가 제1 장비에 부여된 장비정보를 기초로 제1 난수를 생성하고, 상기 제2 장비가 상기 제1 난수를 상기 제1 장비로부터 전송받아 상기 제1 난수를 이용해 제2 난수를 생성하는 제1 단계;
    제1 단계로부터 상기 제1 장비가 상기 제1 난수를 이용해 제1 인증키를 생성하고, 상기 제1 장비가 상기 제1 인증키를 이용해 상기 제1 장비의 장비정보를 암호화한 장비정보 암호키를 상기 제2 장비로 전송하는 제2 단계;
    상기 제2 단계로부터 상기 제2 장비가 상기 제2 난수를 이용해 제2 인증키를 생성하며, 상기 제2 인증키를 이용해 상기 장비정보 암호키를 복호화하여 장비정보를 추출하고, 상기 제2 인증키를 이용해 상기 추출된 장비정보에 대응되는 인증정보를 암호화한 인증정보 암호키를 상기 제1 장비로 전송하는 제3 단계; 및
    상기 제1 장비가 상기 제1 인증키를 이용하여 상기 인증정보 암호키를 복호화하여 인증정보를 추출하며, 상기 추출된 인증정보가 상기 장비정보에 대응되는지 여부에 따라 상기 제1 장비 및 제2 장비의 인증을 수행하는 제4 단계를 포함하고,
    상기 제1 단계는,
    상기 제1 장비와 상기 제2 장비간에 상호 기설정된 난수 생성 인수 및 난수 생성 함수에 의해 제1 및 제2 난수를 생성하되, 상기 제1 장비에 의해 상기 장비정보 중, 사용자로부터 부여되는 제1 정보의 값과, 상기 제1 장비의 제조시 미리 부여된 고유 값인 제2 정보의 값을 이용하여 상기 제1 난수를 생성하는 단계를 포함하고,
    상기 난수 생성 인수는 상기 제2 정보의 값을 나타내는 식별자들 중 어느 하나에 해당하는 특정 상수이고,
    상기 제1 장비 및 상기 제2 장비는 인증 수행에 따른 상기 장비정보 암호키 및 인증정보 암호키를 관리자 서버에 저장하며,
    상기 제4 단계는 상기 장비정보 암호키 및 인증정보 암호키에 대해 시계열에 따라 생성된 시퀀스 정보를 참조하여 상호 유효성 여부를 판단하고, 판단에 따라 상기 제1 장비 및 상기 제2 장비의 통신연결이 가능하도록 인증을 수행하는 단계를 포함하고,
    상기 유효성 여부를 판단할 시, 상기 장비정보 암호키와, 상기 인증정보 암호키가 생성된 시점의 시퀀스의 시간정보가 미리 설정된 오차범위에 해당할 경우, 상호 인증 가능한 유효 키값으로 판단하는 것을 특징으로 하는 장비들 간의 보안 인증방법.
  2. 제1 항에 있어서,
    상기 제1 장비는 상기 장비정보에 포함된 복수개의 사용자 계정정보가 저장되는 이동식 저장모듈을 포함하여 구성되는 것을 특징으로 하는 장비들 간의 보안 인증방법.
  3. 삭제
  4. 제1 항에 있어서,
    상기 제4 단계는 상기 외부 단말기를 통해 상기 관리자 서버로 접속시, 투팩터 인증 방식으로 사용자 인증이 가능하도록 제공하는 단계를 더 포함하는 것을 특징으로 하는 장비들 간의 보안 인증방법.
  5. 제4 항에 있어서,
    상기 제4 단계는
    사용자의 생체 바이오 정보 및 음성정보를 이용하여 추가 인증을 수행 가능하도록 제공하는 단계를 포함하여 이루어지는 것을 특징으로 하는 것인 장비들 간의 보안 인증방법.
KR1020180040776A 2018-04-09 2018-04-09 장비들 간의 보안 인증 방법 KR101912403B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180040776A KR101912403B1 (ko) 2018-04-09 2018-04-09 장비들 간의 보안 인증 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180040776A KR101912403B1 (ko) 2018-04-09 2018-04-09 장비들 간의 보안 인증 방법

Publications (1)

Publication Number Publication Date
KR101912403B1 true KR101912403B1 (ko) 2018-12-28

Family

ID=65008681

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180040776A KR101912403B1 (ko) 2018-04-09 2018-04-09 장비들 간의 보안 인증 방법

Country Status (1)

Country Link
KR (1) KR101912403B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102292526B1 (ko) * 2021-03-23 2021-08-24 주식회사 두두아이티 네트워크 비디오 레코더를 위한 보안 인증 장치 및 방법
KR102474212B1 (ko) * 2021-05-26 2022-12-06 주식회사 이스트컨트롤 원타임 프로토콜을 이용한 보안 인증 시스템 및 방법

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102292526B1 (ko) * 2021-03-23 2021-08-24 주식회사 두두아이티 네트워크 비디오 레코더를 위한 보안 인증 장치 및 방법
US11778146B2 (en) 2021-03-23 2023-10-03 DUDU Information Technologies, Inc. Apparatus and method for authenticating network video recorder security
KR102474212B1 (ko) * 2021-05-26 2022-12-06 주식회사 이스트컨트롤 원타임 프로토콜을 이용한 보안 인증 시스템 및 방법

Similar Documents

Publication Publication Date Title
KR102328725B1 (ko) 하나의 장치를 이용하여 다른 장치를 언로크하는 방법
TWI578749B (zh) 用於遷移金鑰之方法及設備
CN106452770B (zh) 一种数据加密方法、解密方法、装置和系统
US10511438B2 (en) Method, system and apparatus using forward-secure cryptography for passcode verification
US10547451B2 (en) Method and device for authentication
US20210073359A1 (en) Secure one-time password (otp) authentication
CN111401901B (zh) 生物支付设备的认证方法、装置、计算机设备和存储介质
KR20170066607A (ko) 보안 체크 방법, 장치, 단말기 및 서버
US10778435B1 (en) Systems and methods for enhanced mobile device authentication
CN111901303A (zh) 设备认证方法和装置、存储介质及电子装置
KR101912403B1 (ko) 장비들 간의 보안 인증 방법
JP6167667B2 (ja) 認証システム、認証方法、認証プログラムおよび認証装置
JP2017108237A (ja) システム、端末装置、制御方法、およびプログラム
KR102094606B1 (ko) 인증 장치 및 방법
CN116866093B (zh) 身份认证方法、身份认证设备以及可读存储介质