KR101940983B1 - 멀티캐스트 그룹 내의 디바이스 - Google Patents

멀티캐스트 그룹 내의 디바이스 Download PDF

Info

Publication number
KR101940983B1
KR101940983B1 KR1020180140506A KR20180140506A KR101940983B1 KR 101940983 B1 KR101940983 B1 KR 101940983B1 KR 1020180140506 A KR1020180140506 A KR 1020180140506A KR 20180140506 A KR20180140506 A KR 20180140506A KR 101940983 B1 KR101940983 B1 KR 101940983B1
Authority
KR
South Korea
Prior art keywords
key
group
encryption
issuer
unit
Prior art date
Application number
KR1020180140506A
Other languages
English (en)
Inventor
방성철
차재원
곽승철
Original Assignee
주식회사 유니온플레이스
유비벨록스(주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 유니온플레이스, 유비벨록스(주) filed Critical 주식회사 유니온플레이스
Priority to KR1020180140506A priority Critical patent/KR101940983B1/ko
Application granted granted Critical
Publication of KR101940983B1 publication Critical patent/KR101940983B1/ko
Priority to US16/723,886 priority patent/US11336630B2/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • H04L9/0833Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/16Arrangements for providing special services to substations
    • H04L12/18Arrangements for providing special services to substations for broadcast or conference, e.g. multicast
    • H04L12/185Arrangements for providing special services to substations for broadcast or conference, e.g. multicast with management of multicast group membership
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • H04L9/0897Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • H04L2209/805Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

멀티캐스트 그룹 내의 디바이스로서, 암호화/복호화부; 키 저장부; 보안 인터페이스부; 및 데이터 처리 요청부를 포함하고, 상기 보안 인터페이스부는, (a) 상기 디바이스가 상기 멀티캐스트 그룹 내에서 발행자로 등록되면 미리 지정된 키 발급 서버로부터 그룹 키 및 발행자 키를 수신하여 상기 키 저장부에 저장하고, 상기 디바이스가 상기 멀티캐스트 그룹 내에서 구독자로 등록되면 상기 키 발급 서버로부터 상기 그룹 키를 수신하여 상기 키 저장부에 저장하는 처리; (b) 상기 데이터 처리 요청부로부터 제1 데이터를 암호화하는 제1 요청을 수신하는 처리; (c) 상기 멀티캐스트 그룹 내에서 상기 디바이스가 인증된 발행자인지를 판단하는 처리; 및 (d) 상기 처리 (c)를 통하여 상기 디바이스가 상기 인증된 발행자로 확인되면, 상기 제1 데이터 및 상기 키 저장부로부터 판독한 상기 그룹 키를 상기 암호화/복호화부로 전달하고, 상기 암호화/복호화부가 상기 그룹 키를 이용하여 상기 제1 데이터를 암호화하는 것에 의해서 생성된 것인 암호화 제1 데이터를 상기 암호화/복호화부로부터 수신하고, 상기 데이터 처리 요청부로 상기 암호화 제1 데이터를 전송하는 처리를 수행하는 것인 디바이스가 제공된다.

Description

멀티캐스트 그룹 내의 디바이스{DEVICE IN MULTICAST GROUP}
본 개시(開示)는 멀티캐스트 그룹 내의 디바이스에 관한 것으로, 더욱 구체적으로는 디바이스가 멀티캐스트 그룹 내에서 인증된 발행자(authorized publisher)로 확인된 경우에만 데이터를 암호화하는 멀티캐스트 그룹 내의 디바이스에 관한 것이다.
발행-구독 패턴(publisher-subscriber pattern)은 비동기 메시징 패턴 중의 하나이다. 발행-구독 패턴은 멀티캐스트 그룹 내에서 송신자(일반적으로 "발행자"라고 지칭된다.)가 데이터(이하 "메시지"라고도 지칭된다.)를 하나 이상의 수신자(일반적으로 "구독자"라고 지칭된다.)로 멀티캐스트를 이용하여 전송하기 위해서 사용된다. 멀티캐스트 그룹은 다수의 디바이스들을 포함하며, 다수의 디바이스들 중의 어느 하나는 발행자로 지정되고, 다른 디바이스들은 구독자로 지정된다. 즉, 일반적으로 특정한 멀티캐스트 그룹 내에는 하나의 발행자 및 하나 이상의 구독자가 존재한다. 발행-구독 패턴에 따르면, 일반적으로 발행자는 어떠한 구독자가 메시지를 수신할 것인지를 알지 못하며, 구독자는 발행자에 대한 정확한 지식이 없더라도 원하는 메시지를 수신할 수 있다. 발행-구독 패턴은 예컨대 무선 통신에 사용되는 다수의 디바이스들을 포함하는 멀티캐스트 그룹 내에서 발행자가 구독자에게 메시지를 전송하기 위해서 사용될 수 있다. 또한 발행-구독 패턴은 예컨대 사물 인터넷(IoT) 통신에 사용되는 다양한 디바이스들을 포함하는 멀티캐스트 그룹 내에서 발행자가 구독자에게 메시지를 전송하기 위해서 사용될 수도 있다.
발행-구독 패턴에 따르면, 발행자와 구독자 사이에 브로커가 존재할 수도 있다. 예컨대, 발행자는 발행-구독 패턴에 따른 브로커에게 멀티캐스트 그룹을 등록하며, 토픽에 따라 분류된 메시지를 전송한다. 구독자는 브로커에 멀티캐스트 그룹에 대한 구독을 등록한다. 즉 구독자는 브로커가 제공하는 토픽에 대한 정보를 기초로 특정한 토픽을 가지는 멀티캐스트 그룹에 대해서 구독을 신청하고, 해당 토픽에 대한 메시지를 수신할 수 있다.
전술하듯이, 발행자는 어떠한 구독자들이 메시지를 수신할 것인지를 알지 못하므로, 인증되지 않은(unauthorized) 디바이스가 메시지를 수신할 수 있다. 따라서, 멀티캐스트 그룹 내의 디바이스가 아닌 다른 디바이스, 즉 인증되지 않은 디바이스가 메시지를 수신하는 것을 방지하기 위해서, 멀티캐스트 그룹 내의 디바이스를 위한 암호화 키(이하 "그룹 키"라고 지칭한다)가 사용될 수 있다. 발행자는 그룹 키를 이용하여 메시지를 암호화하여 구독자에게로 전송하며, 구독자는 그룹 키를 이용하여 수신된 암호화된 메시지를 복호화한다. 그룹 키로서, 일반적으로 대칭 키가 사용될 수 있다. 예컨대 엘지전자에 의해서 2012년 2월 28일자로 출원되고 2014년 1월 16일자로 공개된 "머신 대 머신 멀티 캐스트 그룹을 위한 트래픽 암호화 키 관리"이라는 명칭의 한국특허공개번호 10-2014-0006996호(특허문헌 1)는 멀티캐스트 데이터(즉 메시지)를 암호화 및 복호화하는데 사용되는 그룹 트래픽 키(즉 본 명세서의 "그룹 키")를 갱신하는 방법이 예시적으로 개시된다.
전술하듯이, 구독자는 발행자에 대한 지식이 없더라도 원하는 메시지를 수신할 수 있다. 따라서, 인증되지 않은 디바이스가 메시지를 발행하여 송신하더라도, 구독자는 해당 메시지를 수신할 수도 있다. 인증되지 않은 디바이스가 메시지를 전송하고 또한 구독자가 해당 메시지를 인증된 발행자가 전송한 것으로 오해하여 수신하는 것을 방지하기 위해서, 메시지 인증 코드(message authentication code, 일반적으로 "MAC"이라고도 지칭된다.)가 사용될 수 있다. 예컨대 엘지전자에 의해서 2016년 10월 17일자로 출원되고 2017년 8월 4일자로 공개된 "사물 인증 시스템 및 방법"이라는 명칭의 한국특허공개번호 10-2017-0089747호(특허문헌 2)는 사물 인터넷 내에서 인증을 위해서 메시지 인증 코드를 사용하는 방법이 예시적으로 개시된다. 예컨대, 메시지 인증 코드는 해시(hash) 함수를 이용하여 생성될 수 있다. 발행자는 메시지에 메시지 인증 코드를 부가한 후, 메시지 인증 코드가 부가된 메시지를 구독자에게 전송한다. 구독자는 수신된 메시지를 해시 함수를 이용하여 연산한 결과를 수신된 메시지에 포함된 메시지 인증 코드와 비교한다. 상기 연산한 결과와 메시지 인증 코드가 동일하다면, 해당 메시지는 인증된 발행자가 전송한 것이라고 간주될 수 있다.
예컨대, 인증되지 않은 디바이스가 메시지를 수신하는 것과 인증되지 않은 디바이스가 메시지를 발행하는 것을 모두 방지하기 위해서, 그룹 키 및 메시지 인증 코드가 모두 사용될 수도 있다.
예컨대 암호화-이후-MAC 접근법(encrypt-then-MAC approach)에 따르면, 우선 메시지는 그룹 키를 이용하여 암호화된다. 이후 암호화된 메시지 및 그룹 키를 이용하여 메시지 인증 코드가 생성된다. 이후, 암호화된 메시지에 메시지 인증 코드가 부가된다. 발행자는 암호화된 메시지 및 메시지 인증 코드를 결합한 후, 결합된 데이터를 구독자에게 전송한다. 예컨대 암호화-및-MAC 접근법(encrypt-and-MAC approach)에 따르면, 메시지는 그룹 키를 이용하여 암호화된다. 또한 메시지 및 그룹 키를 이용하여 메시지 인증 코드가 생성된다. 발행자는 암호화된 메시지 및 메시지 인증 코드를 결합한 후, 결합된 데이터를 구독자에게 전송한다. 암호화-이후-MAC 접근법에 따르면 메시지 인증 코드는 암호화된 메시지 및 그룹 키를 이용하여 생성되며, 암호화-및-MAC 접근법에 따르면 메시지 인증 코드는 메시지(즉 암호화되기 전의 메시지) 및 그룹 키를 이용하여 생성된다. 또한 예컨대 MAC-이후-암호화 접근법(MAC-then-encrypt approach)에 따르면, 우선 메시지 및 그룹 키를 이용하여 메시지 인증 코드가 생성된다. 이후 메시지 및 메시지 인증 코드는 그룹 키를 이용하여 함께 암호화된다. 발행자는 암호화된 데이터, 즉 암호화된 메시지 및 암호화된 메시지 인증 코드를 포함하는 암호화된 데이터를 구독자에게 전송한다.
암호화-이후-MAC 접근법, 암호화-및-MAC 접근법 및 MAC-이후-암호화 접근법 중의 어느 방식을 이용하더라도, 구독자는 암호화된 메시지 및 메시지 인증 코드(메시지 인증 코드는 암호화되거나 또는 암호화되지 않을 수 있다)를 수신한 후, 암호화된 메시지가 인증된 발행자로부터 전송된 것인지 여부를 예컨대 그룹 키 및 메시지 인증 코드와 관련된 해시 함수를 이용하여 확인할 수 있다. 암호화된 메시지가 인증된 발행자로부터 전송된 것이 확인되면, 구독자는 메시지를 인증된 발행자가 전송한 것으로 간주하고 수신할 수 있다.
그러나, 전술한 바와 같이 그룹 키 및 메시지 인증 코드를 사용하는 경우에도, 보안 상의 문제가 발생할 수 있다. 예컨대 멀티캐스트 그룹 내의 특정 디바이스가 해킹된 경우를 가정하자. 상기 특정 디바이스는 그룹 키 및 메시지 인증 코드에 관련된 해시 함수를 알고 있다. 따라서 상기 특정 디바이스가 나쁜 의도로 조작된 데이터를 예컨대 암호화-이후-MAC 접근법을 이용하여 멀티캐스트 그룹 내의 다른 디바이스들로 전송하더라도, 멀티캐스트 그룹 내의 다른 디바이스, 즉 구독자는 상기 조작된 데이터가 인증된 발행자로부터 전송된 것이라고 간주할 수 있다.
1. 한국특허공개번호 10-2014-0006996호. 2. 한국특허공개번호 10-2017-0089747호.
본원에서 개시되는 기술의 목적은 디바이스가 멀티캐스트 그룹 내에서 인증된 발행자로 확인된 경우에만 그룹 키를 이용하여 데이터를 암호화하는 것에 의해서, 인증된 발행자가 아닌 디바이스가 그룹 키를 이용하여 데이터를 암호화하여 발행하는 것을 방지할 수 있는 멀티캐스트 그룹 내의 디바이스를 제공하는 데 있다.
본원에서 개시되는 기술의 다른 목적은 디바이스가 멀티캐스트 그룹 내에서 인증된 구독자로 확인된 경우에만 그룹 키를 이용하여 데이터를 복호화하는 것에 의해서, 인증된 구독자가 아닌 디바이스가 그룹 키를 이용하여 데이터를 복호화하여 수신하는 것을 방지할 수 있는 멀티캐스트 그룹 내의 디바이스를 제공하는 데 있다.
상기 기술적 과제를 달성하기 위하여, 본원에서 개시되는 기술의 일 형태에 따르면, 멀티캐스트 그룹 내의 디바이스로서, 데이터를 암호화하거나 복호화하는 암호화/복호화부; 키를 저장하는 키 저장부; 상기 암호화/복호화부 및 상기 키 저장부에 접속된 보안 인터페이스부; 및 상기 데이터를 상기 암호화/복호화부에 의해서 처리하는 요청을 상기 보안 인터페이스부로 전송하고, 상기 요청에 따른 처리 결과를 상기 보안 인터페이스부로부터 수신하는 데이터 처리 요청부를 포함하고, 상기 보안 인터페이스부는, (a) 상기 디바이스가 상기 멀티캐스트 그룹 내에서 발행자로 등록되면 미리 지정된 키 발급 서버로부터 그룹 키 및 발행자 키를 수신하여 상기 키 저장부에 저장하고, 상기 디바이스가 상기 멀티캐스트 그룹 내에서 구독자로 등록되면 상기 키 발급 서버로부터 상기 그룹 키를 수신하여 상기 키 저장부에 저장하는 처리; (b) 상기 데이터 처리 요청부로부터 제1 데이터를 암호화하는 제1 요청을 수신하는 처리; (c) 상기 멀티캐스트 그룹 내에서 상기 디바이스가 인증된 발행자인지를 판단하는 처리; 및 (d) 상기 처리 (c)를 통하여 상기 디바이스가 상기 인증된 발행자로 확인되면, 상기 제1 데이터 및 상기 키 저장부로부터 판독한 상기 그룹 키를 상기 암호화/복호화부로 전달하고, 상기 암호화/복호화부가 상기 그룹 키를 이용하여 상기 제1 데이터를 암호화하는 것에 의해서 생성된 것인 암호화 제1 데이터를 상기 암호화/복호화부로부터 수신하고, 상기 데이터 처리 요청부로 상기 암호화 제1 데이터를 전송하는 처리를 수행하는 것인 디바이스가 제공된다.
본원에서 개시되는 기술에 따르면, 디바이스가 멀티캐스트 그룹 내에서 인증된 발행자로 확인된 경우에만 그룹 키를 이용하여 데이터를 암호화하는 것에 의해서, 인증된 발행자가 아닌 상태에서 그룹 키를 이용하여 데이터를 암호화하여 발행하는 것을 방지할 수 있다. 또한 디바이스가 멀티캐스트 그룹 내에서 인증된 구독자로 확인된 경우에만 그룹 키를 이용하여 데이터를 복호화하는 것에 의해서, 인증된 구독자가 아닌 상태에서 그룹 키를 이용하여 데이터를 복호화하여 수신하는 것을 방지할 수 있다.
도 1은 본원에서 개시되는 기술의 실시예에 따른 멀티캐스트 그룹 내의 디바이스의 예시적인 구성을 나타내는 도면.
도 2는 상기 실시예에 따른 디바이스를 포함하는 멀티캐스트 그룹의 예시적인 구성을 나타내는 도면.
도 3은 상기 실시예에 따른 디바이스의 보안 인터페이스부가 키 저장부에 키를 저장하는 처리의 일 예를 나타내는 도면.
도 4는 상기 실시예에 따른 디바이스의 보안 인터페이스부가 키 저장부에 키를 저장하는 처리의 다른 예를 나타내는 도면.
도 5a 내지 도 5c는 상기 실시예에 따른 디바이스의 보안 인터페이스부가 제1 요청에 따라서 제1 데이터를 암호화하는 플로우를 예시적으로 나타내는 도면.
도 6a 내지 도 6b는 상기 실시예에 따른 디바이스의 보안 인터페이스부가 제2 요청에 따라서 제2 데이터를 복호화하는 처리를 예시적으로 나타내는 도면.
이하, 본원에서 개시되는 기술에 따른 멀티캐스트 그룹 내의 디바이스의 실시예를 첨부한 도면을 참조로 보다 구체적으로 설명한다. 한편 본원에서 개시되는 기술의 실시예를 설명하기 위한 도면들에서, 설명의 편의를 위해서 실제 구성 중 일부만을 도시하거나 일부를 생략하여 도시하거나 변형하여 도시하거나 또는 축척이 다르게 도시될 수 있다.
<실시예>
도 1은 본원에서 개시되는 실시예에 따른 멀티캐스트 그룹 내의 디바이스의 예시적인 구성을 나타내는 도면이다.
도 1을 참조하면, 상기 실시예에 따른 디바이스(100)는, 암호화/복호화부(110)와, 키 저장부(130)와, 보안 인터페이스부(150)와, 데이터 처리 요청부(190)를 포함한다.
디바이스(100)는 도 2에 도시된 멀티캐스트 그룹(200) 내에서 발행자일 수 있으며 또는 멀티캐스트 그룹(200) 내에서 구독자일 수 있다.
암호화/복호화부(110)는 데이터를 암호화하거나 복호화한다. 디바이스(100)가 도 2에 도시된 멀티캐스트 그룹(200) 내에서 발행자인 경우, 예컨대 암호화/복호화부(110)는 키를 이용하여 데이터를 암호화한다. 또는 디바이스(100)가 도 2에 도시된 멀티캐스트 그룹(200) 내에서 구독자인 경우, 예컨대 암호화/복호화부(110)는 키를 이용하여 데이터를 복호화한다.
키 저장부(130)는 키를 저장한다. 키 저장부(130)는 예컨대 그룹 키(도면에서 "MGK"로 표시된다.)를 저장할 수 있다. 키 저장부(130)는 예컨대 그룹 키와 발행자 키(도면에서 "PK"로 표시된다.)를 저장할 수 있다. 키 저장부(130)는 예컨대 그룹 키와 관련하여 암호화 그룹 솔트(도면에서 "EncMGSalt"로 표시된다.)를 더 저장할 수 있다. 키 저장부(130)는 예컨대 발행자 키와 관련하여 암호화 발행자 솔트(도면에서 "EncPSalt"로 표시된다.)를 더 저장할 수 있다. 각 키 및 솔트에 대해서는 후술한다.
보안 인터페이스부(150)는 암호화/복호화부(110) 및 키 저장부(130)에 접속된다. 암호화/복호화부(110) 및 키 저장부(130)는 보안에 매우 민감한 암호화/복호화 기능 및 키 저장 기능을 구비한다. 따라서, 암호화/복호화부(110) 및 키 저장부(130)는 보안 인터페이스부(150)를 통하여만 접근 가능하도록 구성되는 것이 바람직하다. 보안 인터페이스부(150)의 상세한 구성은 후술한다.
암호화/복호화부(110), 키 저장부(130) 및 보안 인터페이스부(150)는 보안성이 매우 높은 보안 모듈(170) 내에 구비되는 것이 바람직하다. 보안 모듈(170)은 예컨대 EMV(Europay MasterCard Visa) 규격 및 TEE(Trusted Execution Environment) 규격 중 어느 하나에 따라서 제조될 수 있다.
데이터 처리 요청부(190)는 데이터를 암호화/복호화부(110에 의해서 처리하는 요청을 보안 인터페이스부(150)에 전송하고, 상기 요청에 따른 처리 결과를 보안 인터페이스부(150)로부터 수신한다. 전술하듯이, 암호화/복호화부(110) 및 키 저장부(130)는 보안에 매우 민감하므로, 데이터 처리 요청부(190)는 암호화/복호화부(110) 및 키 저장부(130)에 직접 접속되지 못한다. 따라서 데이터 처리 요청부(190)는 전술한 요청을 보안 인터페이스부(150)에만 전송할 수 있다.
도 2는 상기 실시예에 따른 디바이스를 포함하는 멀티캐스트 그룹의 예시적인 구성을 나타내는 도면이다.
도 2를 참조하면, 멀티캐스트 그룹(200)은 다수의 디바이스들, 예컨대 제1 디바이스(100-1), 제2 디바이스(100-2) 내지 제n 디바이스(100-n)로 구성된다(n은 2이상의 자연수이다). 제1 디바이스(100-1), 제2 디바이스(100-2) 내지 제n 디바이스(100-n) 각각은 바람직하게는 전술한 디바이스(100)와 실질적으로 동일하다. 예컨대 제1 디바이스(100-1)는 멀티캐스트 그룹(200) 내에서 발행자로 동작하며, 제2 디바이스(100-2) 내지 제n 디바이스(100-n)는 멀티캐스트 그룹(200) 내에서 구독자로 동작할 수 있다.
키 발급 서버(300)는 멀티캐스트 그룹(200) 내의 다수의 디바이스들, 예컨대 제1 디바이스(100-1), 제2 디바이스(100-2) 내지 제n 디바이스(100-n)을 위해서 키를 발급한다. 바람직하게는, 키 발급 서버(300)는 멀티캐스트 그룹(200)의 브로커(도시되지 않음)로서 동작할 수도 있다. 하지만, 키 발급 서버(300)는 브로커와 별도로 구성될 수도 있다.
키 발급 서버(300)는 멀티캐스트 그룹(200) 내의 발행자를 위해서 그룹 키 및 발행자 키를 발급하고, 멀티캐스트 그룹(200) 내의 구독자를 위해서 그룹 키를 발급한다. 키 발급 서버(300)는 멀티캐스트 그룹(200)의 브로커(도시되지 않음)로서 동작하는 경우, 키 발급 서버(300)는 발행자를 등록하는 과정에서 발행자를 위해서 그룹 키 및 발행자 키를 발급하고, 구독자를 등록하는 과정에서 구독자를 위해서 그룹 키를 발급한다.
디바이스(100)가 멀티캐스트 그룹(200)의 발행자인 경우, 디바이스(100)와 키 발급 서버(300) 사이에서 키를 발급하는 과정을 예시적으로 설명하면 다음과 같다.
전술하듯이, 디바이스(100)는 전술한 브로커에 멀티캐스트 그룹(200)을 생성하는 요청을 전송할 수 있다. 브로커는 멀티캐스트 그룹(200)을 생성하고 디바이스(100)를 멀티캐스트 그룹(200)의 발행자로 등록한다. 브로커가 디바이스(100)를 멀티캐스트 그룹(200)의 발행자로 등록한 후, 디바이스(100)는 그룹 키와 발행자 키를 발급하는 요청을 키 발급 서버(300)로 전송한다. 예컨대 키 발급 서버(300)는 멀티캐스트 그룹(200)의 브로커로서 동작할 수도 있다. 키 발급 서버(300)가 브로커와 별도로 구성된다면, 디바이스(100)는 브로커를 통하여 키 발급 서버(300)의 식별 정보를 수신하고, 그룹 키와 발행자 키를 발급하는 요청을 키 발급 서버(300)의 식별 정보를 기초로 키 발급 서버(300)로 전송한다. 그룹 키와 발행자 키를 발급하는 요청은 예컨대 그룹 솔트와 발행자 솔트를 포함할 수 있다. 그룹 솔트는 멀티캐스트 그룹(200)의 식별 정보를 포함할 수 있고, 발행자 솔트는 디바이스(100)의 식별 정보를 포함할 수 있다. 키 발급 서버(300)는 그룹 솔트 및 마스터 키를 이용하여 그룹 키를 발급하고, 발행자 솔트 및 그룹 키를 이용하여 발행자 키를 발급한다. 그룹 키는 그룹 솔트를 이용하여 유도(derive)되며, 발행자 키는 발행자 솔트를 이용하여 유도된다. 키 발급 서버(300)는 그룹 솔트 및 발행자 솔트를 내부의 데이터베이스에 저장할 수 있다. 그룹 키를 유도하는 과정 및 발행자 키를 유도하는 과정은 종래 기술에 따라서 키를 유도하는 과정과 실질적으로 동일하다. 따라서 키 발급 서버(300)가 그룹 키를 유도하는 과정 및 발행자 키를 유도하는 과정에 대한 상세한 설명은 생략한다. 다만, 키 발급 서버(300)는 발행자 키를 유도하는 경우 멀티캐스트 그룹(200)에 대해서 이미 발급된 발행자 키가 존재하는 지 확인하다. 멀티캐스트 그룹(200)에 대해서 이미 발급된 발행자 키가 존재하는 경우, 키 발급 서버(300)는 발행자 키를 발급하지 않는다.
다음으로, 디바이스(100)가 멀티캐스트 그룹(200)의 구독자인 경우, 디바이스(100)와 키 발급 서버(300) 사이에서 키를 발급하는 과정을 예시적으로 설명하면 다음과 같다.
전술하듯이, 디바이스(100)는 전술한 브로커에 구독 가능한 멀티캐스트 그룹의 리스트를 요청한다. 예컨대 디바이스(100)는 멀티캐스트 그룹(200)을 구독하는 요청을 브로커에 전송할 수 있다. 브로커는 디바이스(100)를 멀티캐스트 그룹(200)의 구독자로 등록한다. 브로커가 디바이스(100)를 멀티캐스트 그룹(200)의 구독자로 등록한 후, 디바이스(100)는 그룹 키를 발급하는 요청을 키 발급 서버(300)로 전송한다. 전술하듯이 키 발급 서버(300)는 멀티캐스트 그룹(200)의 브로커로서 동작할 수도 있고, 키 발급 서버(300)가 브로커와 별도로 구성될 수도 있다. 키 발급 서버(300)는 그룹 키를 발급하는 요청을 수신하면, 멀티캐스트 그룹(200)에 대한 그룹 솔트를 데이터베이스를 검색하여 추출하고, 그룹 솔트 및 마스터 키를 이용하여 그룹 키를 발급한다. 그룹 키를 유도하는 과정은 종래 기술에 따라서 키를 유도하는 과정과 실질적으로 동일하다. 따라서 키 발급 서버(300)가 그룹 키를 유도하는 과정에 대한 상세한 설명은 생략한다.
이하 상기 실시예에 따른 보안 인터페이스부의 동작을 보다 상세하게 설명한다.
보안 인터페이스부(150)는 디바이스(100)가 멀티캐스트 그룹(200) 내에서 발행자로 등록되면, 키 발급 서버(300)로부터 그룹 키 및 발행자 키를 수신하여 키 저장부(130)에 저장한다. 보안 인터페이스부(150)는 디바이스(100)가 멀티캐스트 그룹(200) 내에서 발행자로 등록된 경우, 보안 인터페이스부(150)는 키 발급 서버(300)로부터 암호화 그룹 솔트 및 암호화 발행자 솔트를 수신하여 키 저장부(130)에 저장할 수도 있다. 암호화 그룹 솔트는 예컨대 그룹 키를 이용하여 그룹 솔트를 암호화하는 것에 의해서 유도될 수 있다. 암호화 발행자 솔트는 예컨대 발행자 키를 이용하여 발행자 솔트를 암호화하는 것에 의해서 유도될 수 있다. 보안 인터페이스부(150)는 디바이스(100)가 멀티캐스트 그룹(200) 내에서 구독자로 등록되면, 키 발급 서버(300)부터 그룹 키를 수신하여 키 저장부(130)에 저장한다. 보안 인터페이스부(150)는 디바이스(100)가 멀티캐스트 그룹(200) 내에서 구독자로 등록된 경우, 보안 인터페이스부(150)는 키 발급 서버(300)로부터 암호화 그룹 솔트를 수신하여 키 저장부(130)에 저장할 수도 있다. 암호화 그룹 솔트는 예컨대 그룹 키를 이용하여 그룹 솔트를 암호화하는 것에 의해서 유도될 수 있다. 디바이스(100)가 멀티캐스트 그룹(200) 내에서 발행자로 등록되어 있는지 또는 구독자로 등록되어 있는지는 다음에 의해서 판단할 수 있다. 예컨대 디바이스(100)가 전술한 브로커에 멀티캐스트 그룹(200)을 생성하는 요청을 전송한 경우에는, 디바이스(100)가 멀티캐스트 그룹(200) 내에서 발행자로 등록된 것으로 판단한다. 따라서, 디바이스(100)가 그룹 키와 발행자 키를 발급하는 요청을 키 발급 서버(300)로 전송하는 것과 연계하여, 보안 인터페이스부(150)는 키 발급 서버(300)로부터 그룹 키 및 발행자 키를 수신하여 키 저장부(130)에 저장한다. 마찬가지로, 디바이스(100)가 멀티캐스트 그룹(200)을 구독하는 요청을 전술한 브로커에 전송한 경우에는, 디바이스(100)가 멀티캐스트 그룹(200) 내에서 구독자로 등록된 것으로 판단한다. 따라서, 디바이스(100)가 그룹 키를 발급하는 요청을 키 발급 서버(300)로 전송하는 것과 연계하여, 보안 인터페이스부(150)는 키 발급 서버(300)로부터 그룹 키를 수신하여 키 저장부(130)에 저장한다.
도 3은 상기 실시예에 따른 디바이스의 보안 인터페이스부가 키 저장부에 키를 저장하는 처리의 일 예를 나타내는 도면이다.
도 3을 참조하면, 디바이스(100)가 멀티캐스트 그룹(200) 내에서 발행자로 등록된 경우, 보안 인터페이스부(150)가 키 저장부(130)에 키를 저장하는 처리가 예시적으로 도시된다.
우선, 보안 인터페이스부(150)는 키 발급 서버(300)로부터 그룹 키와 암호화 그룹 솔트를 수신한다(S110). 다음으로, 보안 인터페이스부(150)는 그룹 키와 암호화 그룹 솔트를 키 저장부(130)로 전송한다(S120). 키 저장부(130)는 보안 인터페이스부(150)로부터 전송된 그룹 키와 암호화 그룹 솔트를 저장한다(S130). 다음으로, 보안 인터페이스부(150)는 키 발급 서버(300)로부터 발행자 키와 암호화 발행자 솔트를 수신한다(S140). 다음으로, 보안 인터페이스부(150)는 발행자 키와 암호화 발행자 솔트를 키 저장부로 전송한다(S150). 키 저장부(130)는 보안 인터페이스부(150)로부터 전송된 발행자 키와 암호화 발행자 솔트를 저장한다(S160).
도 4는 상기 실시예에 따른 디바이스의 보안 인터페이스부가 키 저장부에 키를 저장하는 처리의 다른 예를 나타내는 도면이다.
도 4를 참조하면, 디바이스(100)가 멀티캐스트 그룹(200) 내에서 구독자로 등록된 경우, 보안 인터페이스부(150)가 키 저장부(130)에 키를 저장하는 처리가 예시적으로 도시된다.
우선, 보안 인터페이스부(150)는 키 발급 서버(300)로부터 그룹 키를 수신한다(S210). 다음으로, 보안 인터페이스부(150)는 그룹 키를 키 저장부(130)로 전송한다(S220). 키 저장부(130)는 보안 인터페이스부(150)로부터 전송된 그룹 키를 저장한다(S230). 다음으로, 보안 인터페이스부(150)는 키 발급 서버(300)로부터 암호화 그룹 솔트를 수신한다(S240). 다음으로, 보안 인터페이스부(150)는 암호화 그룹 솔트를 키 저장부로 전송한다(S250). 키 저장부(130)는 보안 인터페이스부(150)로부터 전송된 암호화 그룹 솔트를 저장한다(S260).
<데이터를 암호화하는 경우의 보안 인터페이스부의 예시적인 구성>
보안 인터페이스부(150)는 데이터 처리 요청부(190)로부터 제1 데이터를 암호화하는 제1 요청을 수신하는 처리와, 멀티캐스트 그룹(200) 내에서 디바이스(100)가 인증된 발행자인지를 판단하는 처리와, 디바이스(100)가 인증된 발행자로 확인되면, 제1 데이터 및 키 저장부(130)로부터 판독한 그룹 키를 암호화/복호화부(110)로 전달하고, 암호화/복호화부(110)가 그룹 키를 이용하여 제1 데이터를 암호화하는 것에 의해서 생성된 것인 암호화 제1 데이터를 암호화/복호화부(110)로부터 수신하고, 데이터 처리 요청부(190)로 암호화 제1 데이터를 전송하는 처리를 수행한다. 또한 보안 인터페이스부(150)는 디바이스(100)가 인증된 발행자가 아닌 것으로 확인되면, 제1 요청에 따라서 제1 데이터를 암호화하는 것이 실패했다는 결과를 데이터 처리 요청부(190)로 전송하는 처리를 수행할 수도 있다.
도 5a 내지 도 5c는 상기 실시예에 따른 디바이스의 보안 인터페이스부가 제1 요청에 따라서 제1 데이터를 암호화하는 플로우를 예시적으로 나타내는 도면이다.
도 5a를 참조하면, 보안 인터페이스부(150)는 데이터 처리 요청부(190)로부터 전송된 제1 요청을 수신한다(S310). 바람직하게는, 제1 요청은 제1 데이터, 그룹 솔트(도면에서 "MGSalt"로 표시된다.) 및 발행자 솔트(도면에서 "PSalt"로 표시된다.)를 포함한다. 따라서, 그룹 솔트 및 발행자 솔트를 알지 못하는 경우에는 제1 요청은 정상적으로 생성되지 못한다. 따라서, 그룹 솔트 및 발행자 솔트를 알지 못하는 디바이스가 멀티캐스트 그룹(200) 내에 데이터를 발행하는 것을 방지할 수 있다. 다음으로, 보안 인터페이스부(150)는 키 저장부(130)에 그룹 키를 요청하고, 키 저장부(130)로부터 그룹 키를 수신한다(S320). 다음으로, 보안 인터페이스부(150)는 그룹 솔트 및 키 저장부(130)로부터 판독한 그룹 키를 암호화/복호화부(110)에 전달하고 암호화를 요청한다(S330). 다음으로, 보안 인터페이스부(150)는 암호화/복호화부(110)가 그룹 키를 이용하여 그룹 솔트를 암호화하는 것에 의해서 생성된 것인 제1 암호화 결과값을 암호화/복호화부(110)로부터 수신한다(S340). 다음으로, 보안 인터페이스부(150)는 키 저장부(130)에 암호화 그룹 솔트를 요청하고, 키 저장부(130)로부터 암호화 그룹 솔트를 수신한다(S350). 다음으로, 보안 인터페이스부(150)는 제1 암호화 결과값과 암호화 그룹 솔트를 비교한다(S360). S360을 통해서 제1 암호화 결과값과 암호화 그룹 솔트가 다르다고 판단하면, 보안 인터페이스부(150)는 제1 요청에 따라서 제1 데이터를 암호화하는 것이 실패했다는 결과를 데이터 처리 요청부(190)로 전송한다(S370). 구체적으로, 제1 암호화 결과값과 암호화 그룹 솔트가 다른 경우는, 디바이스(100)가 멀티캐스트 그룹(200) 내의 디바이스인지를 인증하지 못하는 경우이다. 즉 보안 인터페이스부(150)는 멀티캐스트 그룹(200) 내에서 디바이스(100)가 인증된 발행자가 아닌 것으로 판단한다. 따라서, 보안 인터페이스부(150)는 예컨대 인증이 실패했다는 결과를 데이터 처리 요청부(190)로 전송할 수 있다(S370).
도 5b를 참조하면, S360을 통해서 제1 암호화 결과값과 암호화 그룹 솔트가 동일하다고 판단하면, 보안 인터페이스부(150)는 키 저장부(130)에 발행자 키를 요청하고, 키 저장부(130)로부터 발행자 키를 수신한다(S380). S380을 통하여 키 저장부(130)로부터 발행자 키를 수신하는 과정에서 발행자 키를 수신하지 못한다면, 즉 키 저장부(130)로부터 발행자 키를 판독하는 것에 실패하면, 보안 인터페이스부(150)는 멀티캐스트 그룹(200) 내에서 디바이스(100)가 인증된 발행자가 아닌 것으로 판단한다. 구체적으로, 발행자 키를 판독하는 것에 실패한 경우는, 키 저장부(130)에 발행자 키가 저장되지 않은 경우가 대부분이다. 따라서, 키 저장부(130)로부터 발행자 키를 판독하는 것에 실패하면, 보안 인터페이스부(150)는 예컨대 인증이 실패했다는 결과를 데이터 처리 요청부(190)로 전송할 수 있다(S390). S380을 통하여 키 저장부(130)로부터 발행자 키를 수신하면, 보안 인터페이스부(150)는 발행자 솔트 및 키 저장부(130)로부터 판독한 발행자 키를 암호화/복호화부(110)에 전달하고 암호화를 요청한다(S400). 다음으로, 보안 인터페이스부(150)는 암호화/복호화부(110)가 발행자 키를 이용하여 발행자 솔트를 암호화하는 것에 의해서 생성된 것인 제2 암호화 결과값을 암호화/복호화부(110)로부터 수신한다(S410). 다음으로, 보안 인터페이스부(150)는 키 저장부(130)에 암호화 발행자 솔트를 요청하고, 키 저장부(130)로부터 암호화 발행자 솔트를 수신한다(S420). S420을 통하여 키 저장부(130)로부터 암호화 발행자 솔트를 수신하는 과정에서 암호화 발행자 솔트를 수신하지 못한다면, 즉 키 저장부(130)로부터 암호화 발행자 솔트를 판독하는 것에 실패하면, 보안 인터페이스부(150)는 멀티캐스트 그룹(200) 내에서 디바이스(100)가 인증된 발행자가 아닌 것으로 판단한다. 구체적으로, 암호화 발행자 솔트를 판독하는 것에 실패한 경우는, 키 저장부(130)에 암호화 발행자 솔트가 저장되지 않은 경우가 대부분이다. 따라서, 키 저장부(130)로부터 암호화 발행자 솔트를 판독하는 것에 실패하면, 보안 인터페이스부(150)는 예컨대 인증이 실패했다는 결과를 데이터 처리 요청부(190)로 전송할 수 있다(S430). 다음으로, S420을 통하여 키 저장부(130)로부터 암호화 발행자 솔트를 수신하면, 보안 인터페이스부(150)는 제2 암호화 결과값과 암호화 발행자 솔트를 비교한다(S440). S440을 통해서 제2 암호화 결과값과 암호화 발행자 솔트가 다르다고 판단하면, 보안 인터페이스부(150)는 제1 요청에 따라서 제1 데이터를 암호화하는 것이 실패했다는 결과를 데이터 처리 요청부(190)로 전송한다(S450). 구체적으로, 제2 암호화 결과값과 암호화 발행자 솔트가 다른 경우는, 디바이스(100)가 멀티캐스트 그룹(200) 내의 인증된 발행자가 아닌 경우이다. 즉 보안 인터페이스부(150)는 멀티캐스트 그룹(200) 내에서 디바이스(100)가 인증된 발행자가 아닌 것으로 판단한다. 따라서, 보안 인터페이스부(150)는 예컨대 인증이 실패했다는 결과를 데이터 처리 요청부(190)로 전송할 수 있다(S450).
도 5c를 참조하면, S440을 통해서 제2 암호화 결과값과 암호화 발행자 솔트가 동일하다고 판단하면, 보안 인터페이스부(150)는 제1 데이터 및 키 저장부(130)로부터 판독한 그룹 키를 암호화/복호화부(110)로 전달하고 암호화를 요청한다(S460). 다음으로, 보안 인터페이스부(150)는 암호화/복호화부(110)가 그룹 키를 이용하여 제1 데이터를 암호화하는 것에 의해서 생성된 것인 암호화 제1 데이터를 암호화/복호화부(110)로부터 수신한다(S470). 다음으로, 보안 인터페이스부(150)는 데이터 처리 요청부(190)로 암호화 제1 데이터를 전송한다(S480).
전술한 바에 따르면, 보안 인터페이스부(150)는 데이터 처리 요청부(190)로부터 제1 데이터를 암호화하는 제1 요청을 수신하면, 디바이스(100)가 멀티캐스트 그룹(200) 내에서 인증된 발행자인지를 판단한다. 구체적으로 보안 인터페이스부(150)는, 제1 암호화 결과값과 암호화 그룹 솔트를 비교한 결과, 발행자 키를 판독했는지 여부, 암호화 발행자 솔트를 판독했는지 여부 및 제2 암호화 결과값과 암호화 발행자 솔트를 비교한 결과와 같은 정보를 기초로, 디바이스(100)가 멀티캐스트 그룹(200) 내에서 인증된 발행자인지를 판단한다. 따라서, 인증된 발행자가 아닌 디바이스가 그룹 키를 이용하여 데이터를 암호화하여 멀티캐스트 그룹(200) 내에 발행하는 것을 효율적으로 방지할 수 있다.
<데이터를 복호화하는 경우의 보안 인터페이스부의 예시적인 구성>
보안 인터페이스부(150)는 데이터 처리 요청부(190)로부터 제2 데이터를 복호화하는 제2 요청을 수신하는 처리와, 멀티캐스트 그룹(200) 내에서 디바이스(100)가 인증된 구독자인지를 판단하는 처리와, 디바이스(100)가 인증된 구독자로 확인되면, 제2 데이터 및 키 저장부(130)로부터 판독한 그룹 키를 암호화/복호화부(110)로 전달하고, 암호화/복호화부(110)가 그룹 키를 이용하여 제2 데이터를 복호화하는 것에 의해서 생성된 것인 복호화 제2 데이터를 암호화/복호화부(110)로부터 수신하고, 데이터 처리 요청부(190)로 복호화 제2 데이터를 전송하는 처리를 수행한다. 또한 보안 인터페이스부(150)는 디바이스(100)가 인증된 구독자가 아닌 것으로 확인되면, 제2 요청에 따라서 제2 데이터를 복호화하는 것이 실패했다는 결과를 데이터 처리 요청부(190)로 전송하는 처리를 수행할 수도 있다. 또한 보안 인터페이스부(150)는 키 저장부(130)로부터 발행자 키를 판독하는 것이 가능하면, 멀티캐스트 그룹(200) 내에서 디바이스(100)를 인증된 구독자가 아닌 것으로 판단하는 처리를 수행할 수도 있다.
도 6a 내지 도 6b는 상기 실시예에 따른 디바이스의 보안 인터페이스부가 제2 요청에 따라서 제2 데이터를 복호화하는 처리를 예시적으로 나타내는 도면이다.
도 6a를 참조하면, 보안 인터페이스부(150)는 데이터 처리 요청부(190)로부터 전송된 제2 요청을 수신한다(S510). 바람직하게는, 제2 요청은 제2 데이터 및 그룹 솔트를 포함한다. 따라서, 그룹 솔트를 알지 못하는 경우에는 제2 요청은 정상적으로 생성되지 못한다. 따라서, 그룹 솔트를 알지 못하는 디바이스가 멀티캐스트 그룹(200) 내에 데이터를 구독하는 것을 방지할 수 있다. 보안 인터페이스부(150)는 키 저장부(130)에 발행자 키를 요청하고, 키 저장부(130)로부터 결과를 수신한다(S520). S520을 통하여 키 저장부(130)로부터 발행자 키를 수신하였다면, 디바이스(100)는 멀티캐스트 그룹(200) 내에서 발행자이다. 즉 보안 인터페이스부(150)는 멀티캐스트 그룹(200) 내에서 디바이스(100)가 인증된 구독자가 아닌 것으로 판단한다. 따라서, 보안 인터페이스부(150)는 예컨대 인증이 실패했다는 결과를 데이터 처리 요청부(190)로 전송할 수 있다(S530). S520 및 S530은 필수적인 처리가 아니다. 즉 보안 인터페이스부(150)는 S510 이후에 바로 다음의 S540을 수행할 수도 있다. 다음으로, 보안 인터페이스부(150)는 키 저장부(130)에 그룹 키를 요청하고, 키 저장부(130)로부터 그룹 키를 수신한다(S540). 다음으로, 보안 인터페이스부(150)는 그룹 솔트 및 키 저장부(130)로부터 판독한 그룹 키를 암호화/복호화부(110)에 전달하고 암호화를 요청한다(S550). 다음으로, 보안 인터페이스부(150)는 암호화/복호화부(110)가 그룹 키를 이용하여 그룹 솔트를 암호화하는 것에 의해서 생성된 것인 제1 암호화 결과값을 암호화/복호화부(110)로부터 수신한다(S560). 다음으로, 보안 인터페이스부(150)는 키 저장부(130)에 암호화 그룹 솔트를 요청하고, 키 저장부(130)로부터 암호화 그룹 솔트를 수신한다(S570). 다음으로, 보안 인터페이스부(150)는 제1 암호화 결과값과 암호화 그룹 솔트를 비교한다(S580). S580을 통해서 제1 암호화 결과값과 암호화 그룹 솔트가 다르다고 판단하면, 보안 인터페이스부(150)는 제2 요청에 따라서 제2 데이터를 복호화하는 것이 실패했다는 결과를 데이터 처리 요청부(190)로 전송한다(S590). 구체적으로, 제1 암호화 결과값과 암호화 그룹 솔트가 다른 경우는, 디바이스(100)가 멀티캐스트 그룹(200) 내의 디바이스인지를 인증하지 못하는 경우이다. 즉 보안 인터페이스부(150)는 멀티캐스트 그룹(200) 내에서 디바이스(100)가 인증된 구독자가 아닌 것으로 판단한다. 따라서, 보안 인터페이스부(150)는 예컨대 인증이 실패했다는 결과를 데이터 처리 요청부(190)로 전송할 수 있다(S590).
도 6b를 참조하면, S580을 통해서 제1 암호화 결과값과 암호화 그룹 솔트가 동일하다고 판단하면, 보안 인터페이스부(150)는 제2 데이터 및 키 저장부(130)로부터 판독한 그룹 키를 암호화/복호화부(110)로 전달하고 복호화를 요청한다(S600). 다음으로, 보안 인터페이스부(150)는 암호화/복호화부(110)가 그룹 키를 이용하여 제2 데이터를 복호화하는 것에 의해서 생성된 것인 복호화 제2 데이터를 암호화/복호화부(110)로부터 수신한다(S610). 다음으로, 보안 인터페이스부(150)는 데이터 처리 요청부(190)로 복호화 제2 데이터를 전송한다(S620).
전술한 바에 따르면, 보안 인터페이스부(150)는 데이터 처리 요청부(190)로부터 제2 데이터를 암호화하는 제2 요청을 수신하면, 디바이스(100)가 멀티캐스트 그룹(200) 내에서 인증된 구독자인지를 판단한다. 구체적으로 보안 인터페이스부(150)는, 제1 암호화 결과값과 암호화 그룹 솔트를 비교한 결과 및 발행자 키가 존재하는 지 여부와 같은 정보를 기초로, 디바이스(100)가 멀티캐스트 그룹(200) 내에서 인증된 구독자인지를 판단한다. 따라서, 인증된 구독자가 아닌 디바이스가 그룹 키를 이용하여 데이터를 복호화하여 멀티캐스트 그룹(200) 내에 데이터를 구독하는 것을 효율적으로 방지할 수 있다.
<다른 실시예>
비록 본원에서 개시되는 기술의 실시예가 구체적으로 설명되었지만 이는 단지 본원에서 개시되는 기술을 예시적으로 설명한 것에 불과한 것으로, 본원에서 개시되는 기술이 속하는 기술 분야에서 통상의 지식을 가지는 자라면 본원에서 개시되는 기술의 본질적인 특성에서 벗어나지 않는 범위 내에서 다양한 변형이 가능할 것이다.
예컨대, 디바이스(100)가 멀티캐스트 그룹(200) 내의 발행자인 경우, 디바이스(100)는 메시지 인증 코드를 포함하는 메시지를 멀티캐스트 그룹(200) 내의 구독자에게 전송할 수 있다. 메시지 인증 코드는 제1 데이터 또는 암호화된 제1 데이터를 이용하여 생성될 수 있다. 예컨대, 디바이스(100)가 멀티캐스트 그룹(200) 내의 구독자인 경우, 디바이스(100)는 메시지 인증 코드를 포함하는 메시지를 수신한 후, 메시지 인증 코드를 이용하여 메시지를 인증할 수도 있다.
따라서 본 명세서에 설명된 실시예들은 본원에서 개시되는 기술을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본원에서 개시되는 기술의 사상과 범위가 한정되는 것은 아니다. 본원에서 개시되는 기술의 권리 범위는 아래의 청구범위에 의해 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술은 본원에서 개시되는 기술의 권리 범위에 포함되는 것으로 해석되어야 할 것이다.
본원에서 개시되는 기술에 따르면, 디바이스가 멀티캐스트 그룹 내에서 인증된 발행자로 확인된 경우에만 그룹 키를 이용하여 데이터를 암호화하는 것에 의해서, 인증된 발행자가 아닌 상태에서 그룹 키를 이용하여 데이터를 암호화하여 발행하는 것을 방지할 수 있다. 또한 디바이스가 멀티캐스트 그룹 내에서 인증된 구독자로 확인된 경우에만 그룹 키를 이용하여 데이터를 복호화하는 것에 의해서, 인증된 구독자가 아닌 상태에서 그룹 키를 이용하여 데이터를 복호화하여 수신하는 것을 방지할 수 있다.
100: 디바이스 110: 암호화/복호화부
130: 키 저장부 150: 보안 인터페이스부
170: 보안 모듈 190: 데이터 처리 요청부
200: 멀티캐스트 그룹 300: 키 발급 서버

Claims (15)

  1. 멀티캐스트 그룹 내의 디바이스로서,
    데이터를 암호화하거나 복호화하는 암호화/복호화부;
    키를 저장하는 키 저장부;
    상기 암호화/복호화부 및 상기 키 저장부에 접속된 보안 인터페이스부; 및
    상기 데이터를 상기 암호화/복호화부에 의해서 처리하는 요청을 상기 보안 인터페이스부로 전송하고, 상기 요청에 따른 처리 결과를 상기 보안 인터페이스부로부터 수신하는 데이터 처리 요청부를 포함하고,
    상기 보안 인터페이스부는,
    (a) 상기 디바이스가 상기 멀티캐스트 그룹 내에서 발행자로 등록되면 미리 지정된 키 발급 서버로부터 그룹 키 및 발행자 키를 수신하여 상기 키 저장부에 저장하고, 상기 디바이스가 상기 멀티캐스트 그룹 내에서 구독자로 등록되면 상기 키 발급 서버로부터 상기 그룹 키를 수신하여 상기 키 저장부에 저장하는 처리; (b) 상기 데이터 처리 요청부로부터 제1 데이터를 암호화하는 제1 요청을 수신하는 처리; (c) 상기 멀티캐스트 그룹 내에서 상기 디바이스가 인증된 발행자인지를 판단하는 처리; 및 (d) 상기 처리 (c)를 통하여 상기 디바이스가 상기 인증된 발행자로 확인되면, 상기 제1 데이터 및 상기 키 저장부로부터 판독한 상기 그룹 키를 상기 암호화/복호화부로 전달하고, 상기 암호화/복호화부가 상기 그룹 키를 이용하여 상기 제1 데이터를 암호화하는 것에 의해서 생성된 것인 암호화 제1 데이터를 상기 암호화/복호화부로부터 수신하고, 상기 데이터 처리 요청부로 상기 암호화 제1 데이터를 전송하는 처리를 수행하는 것인 디바이스.
  2. 제1항에 있어서,
    상기 보안 인터페이스부는, (e) 상기 처리 (c)를 통하여 상기 디바이스가 상기 인증된 발행자가 아닌 것으로 확인되면, 상기 제1 요청에 따라서 상기 제1 데이터를 암호화하는 것이 실패했다는 결과를 상기 데이터 처리 요청부로 전송하는 처리를 더 수행하는 것인 디바이스.
  3. 제1항에 있어서,
    상기 그룹 키는 상기 키 발급 서버가 그룹 솔트(salt)를 이용하여 발급한 것이고, 상기 발행자 키는 상기 키 발급 서버가 발행자 솔트를 이용하여 발급한 것인 디바이스.
  4. 제3항에 있어서,
    상기 그룹 솔트는 상기 멀티캐스트 그룹의 식별 정보를 포함하는 것이고, 상기 발행자 솔트는 상기 디바이스의 식별 정보를 포함하는 것인 디바이스.
  5. 제3항에 있어서,
    상기 처리 (a)는, (a-1) 상기 디바이스가 상기 멀티캐스트 그룹 내에서 상기 발행자로 등록되면, 상기 키 발급 서버가 상기 그룹 키를 이용하여 상기 그룹 솔트를 암호화하는 것에 의해서 생성된 것인 암호화 그룹 솔트 및 상기 키 발급 서버가 상기 발행자 키를 이용하여 상기 발행자 솔트를 암호화하는 것에 의해서 생성된 것인 암호화 발행자 솔트를 상기 키 발급 서버로부터 수신하여 상기 키 저장부에 저장하는 처리를 더 포함하고,
    상기 제1 요청은 상기 제1 데이터, 상기 그룹 솔트 및 상기 발행자 솔트를 포함하는 것이고,
    상기 처리 (c)는, (c-1) 상기 그룹 솔트 및 상기 키 저장부로부터 판독한 상기 그룹 키를 상기 암호화/복호화부에 전달하고, 상기 암호화/복호화부가 상기 그룹 키를 이용하여 상기 그룹 솔트를 암호화하는 것에 의해서 생성된 것인 제1 암호화 결과값을 상기 암호화/복호화부로부터 수신하는 처리, (c-2) 상기 키 저장부로부터 상기 암호화 그룹 솔트를 판독하는 처리, (c-3) 상기 제1 암호화 결과값과 상기 암호화 그룹 솔트가 일치하는 경우에만, 상기 발행자 솔트 및 상기 키 저장부로부터 판독한 상기 발행자 키를 상기 암호화/복호화부에 전달하고, 상기 암호화/복호화부가 상기 발행자 키를 이용하여 상기 발행자 솔트를 암호화하는 것에 의해서 생성된 것인 제2 암호화 결과값을 상기 암호화/복호화부로부터 수신하는 처리, (c-4) 상기 키 저장부로부터 상기 암호화 발행자 솔트를 판독하는 처리 및 (c-5) 상기 제2 암호화 결과값과 상기 키 저장부로부터 판독한 상기 암호화 발행자 솔트가 일치하는 경우에만, 상기 멀티캐스트 그룹 내에서 상기 디바이스를 상기 인증된 발행자로 판단하는 처리를 포함하는 것인 디바이스.
  6. 제1항에 있어서,
    상기 처리 (c)는, (c-6) 상기 키 저장부로부터 상기 발행자 키를 판독하는 것에 실패하면, 상기 멀티캐스트 그룹 내에서 상기 디바이스를 상기 인증된 발행자가 아닌 것으로 판단하는 처리를 더 포함하는 것인 디바이스.
  7. 제5항에 있어서,
    상기 처리 (c)는, (c-7) 상기 키 저장부에 상기 암호화 발행자 솔트를 판독하는 것에 실패하면, 상기 멀티캐스트 그룹 내에서 상기 디바이스를 상기 인증된 발행자가 아닌 것으로 판단하는 처리를 더 포함하는 것인 디바이스.
  8. 제1항에 있어서,
    상기 보안 인터페이스부는, (f) 상기 데이터 처리 요청부로부터 제2 데이터를 복호화하는 제2 요청을 수신하는 처리; (g) 상기 멀티캐스트 그룹 내에서 상기 디바이스가 인증된 구독자인지를 판단하는 처리; 및 (h) 상기 처리 (g)를 통하여 상기 디바이스가 상기 인증된 구독자로 확인되면, 상기 제2 데이터 및 상기 키 저장부로부터 판독한 상기 그룹 키를 상기 암호화/복호화부로 전달하고 상기 암호화/복호화부가 상기 그룹 키를 이용하여 상기 제2 데이터를 복호화하는 것에 의해서 생성된 것인 복호화 제2 데이터를 상기 암호화/복호화부로부터 수신하고, 상기 데이터 처리 요청부로 상기 복호화 제2 데이터를 전송하는 처리를 더 수행하는 것인 디바이스.
  9. 제8항에 있어서,
    상기 처리 (g)는, (g-1) 상기 키 저장부로부터 상기 발행자 키를 판독하는 것이 가능하면, 상기 멀티캐스트 그룹 내에서 상기 디바이스를 상기 인증된 구독자가 아닌 것으로 판단하는 처리를 포함하는 것인 디바이스.
  10. 제8항에 있어서,
    상기 보안 인터페이스부는, (i) 상기 처리 (g)를 통하여 상기 디바이스가 상기 인증된 구독자가 아닌 것으로 확인되면, 상기 제2 요청에 따라서 상기 제2 데이터를 복호화하는 것이 실패했다는 결과를 상기 데이터 처리 요청부로 전송하는 처리를 더 수행하는 것인 디바이스.
  11. 제8항에 있어서,
    상기 그룹 키는 상기 키 발급 서버가 그룹 솔트를 이용하여 발급한 것인 디바이스.
  12. 제11항에 있어서,
    상기 그룹 솔트는 상기 멀티캐스트 그룹의 식별 정보를 포함하는 것인 디바이스.
  13. 제11항에 있어서,
    상기 처리 (a)는, 상기 디바이스가 상기 멀티캐스트 그룹 내에서 상기 구독자로 등록되면, 상기 키 발급 서버가 상기 그룹 키를 이용하여 상기 그룹 솔트를 암호화하는 것에 의해서 생성된 것인 암호화 그룹 솔트를 상기 키 발급 서버로부터 수신하여 상기 키 저장부에 저장하는 처리를 더 포함하고,
    상기 제2 요청은 상기 제2 데이터 및 상기 그룹 솔트를 포함하는 것이고,
    상기 처리 (g)는, (g-1) 상기 그룹 솔트 및 상기 키 저장부로부터 판독한 상기 그룹 키를 상기 암호화/복호화부에 전달하고, 상기 암호화/복호화부가 상기 그룹 키를 이용하여 상기 그룹 솔트를 암호화하는 것에 의해서 생성된 것인 제1 암호화 결과값을 상기 암호화/복호화부로부터 수신하는 처리, (g-2) 상기 키 저장부로부터 상기 암호화 그룹 솔트를 판독하는 처리, (g-3) 상기 제1 암호화 결과값과 상기 암호화 그룹 솔트가 일치하는 경우에만, 상기 멀티캐스트 그룹 내에서 상기 디바이스를 상기 인증된 구독자로 판단하는 처리를 포함하는 것인 디바이스.
  14. 제1항에 있어서,
    상기 암호화/복호화부 및 상기 키 저장부는 상기 보안 인터페이스부를 통해서만 접근 가능한 것인 디바이스.
  15. 제1항에 있어서,
    상기 암호화/복호화부, 상기 키 저장부 및 상기 보안 인터페이스부는 EMV(Europay MasterCard Visa) 규격 및 TEE(Trusted Execution Environment) 규격 중 어느 하나에 따라서 제조된 보안 모듈 내에 구비되는 것인 디바이스.
KR1020180140506A 2018-11-15 2018-11-15 멀티캐스트 그룹 내의 디바이스 KR101940983B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020180140506A KR101940983B1 (ko) 2018-11-15 2018-11-15 멀티캐스트 그룹 내의 디바이스
US16/723,886 US11336630B2 (en) 2018-11-15 2019-12-20 Device in multicast group

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180140506A KR101940983B1 (ko) 2018-11-15 2018-11-15 멀티캐스트 그룹 내의 디바이스

Publications (1)

Publication Number Publication Date
KR101940983B1 true KR101940983B1 (ko) 2019-01-22

Family

ID=65320582

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180140506A KR101940983B1 (ko) 2018-11-15 2018-11-15 멀티캐스트 그룹 내의 디바이스

Country Status (2)

Country Link
US (1) US11336630B2 (ko)
KR (1) KR101940983B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102008670B1 (ko) * 2019-04-18 2019-08-08 주식회사 유니온플레이스 멀티캐스트 그룹을 모니터링하는 장치
KR102212205B1 (ko) * 2020-09-17 2021-02-04 주식회사 유니온플레이스 푸시-투-토크 장치
US11336630B2 (en) 2018-11-15 2022-05-17 Unionplace Co., Ltd. Device in multicast group

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11496301B2 (en) * 2020-02-21 2022-11-08 International Business Machines Corporation Publish/subscribe messaging
EP3955537B1 (en) * 2020-08-10 2023-06-07 Siemens Aktiengesellschaft A method for managing keys of a security group

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002001799A2 (en) * 2000-06-26 2002-01-03 Convera Corporation Method and apparatus for securely managing membership in group communications
WO2004025895A1 (en) * 2002-09-13 2004-03-25 Telefonaktiebolaget Lm Ericsson (Publ) Secure broadcast/multicast service
KR20120015312A (ko) * 2009-04-03 2012-02-21 퀄컴 인코포레이티드 무선 통신 시스템 내의 멀티캐스트 통신 세션과 연관된 메시지의 보안
KR20130006069A (ko) * 2011-07-08 2013-01-16 삼성전자주식회사 무선 통신 시스템에서 그룹키 갱신 방법 및 장치
KR20140006996A (ko) 2011-07-11 2014-01-16 엘지전자 주식회사 머신 대 머신 멀티 캐스트 그룹을 위한 트래픽 암호화 키 관리
KR20170089747A (ko) 2016-01-27 2017-08-04 엘지전자 주식회사 사물 인증 시스템 및 방법

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7434046B1 (en) * 1999-09-10 2008-10-07 Cisco Technology, Inc. Method and apparatus providing secure multicast group communication
US7089211B1 (en) * 2000-01-12 2006-08-08 Cisco Technology, Inc. Directory enabled secure multicast group communications
US8885830B2 (en) * 2009-05-04 2014-11-11 Mitre Corporation Method and apparatus for dynamically establishing and joining an encrypted collaborative communication session
US9106413B2 (en) * 2012-11-02 2015-08-11 Alcatel Lucent Method and apparatus for resilient end-to-end message protection for large-scale cyber-physical system communications
US10051470B2 (en) * 2015-03-23 2018-08-14 Qualcomm Incorporated Schedule selection and connection setup between devices participating in a NAN data link
US10230696B2 (en) * 2015-06-09 2019-03-12 Intel Corporation System, apparatus and method for managing lifecycle of secure publish-subscribe system
KR101840430B1 (ko) 2016-11-28 2018-03-20 한전케이디엔 주식회사 발간, 구독 방식을 이용한 원격 검침 시스템
CN110024422B (zh) * 2016-12-30 2023-07-18 英特尔公司 物联网的命名和区块链记录
KR102577985B1 (ko) 2017-01-03 2023-09-15 한국전자통신연구원 사물인터넷 프로토콜 기반의 긴급상황 서비스 제공 방법
KR101940983B1 (ko) 2018-11-15 2019-01-22 주식회사 유니온플레이스 멀티캐스트 그룹 내의 디바이스

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002001799A2 (en) * 2000-06-26 2002-01-03 Convera Corporation Method and apparatus for securely managing membership in group communications
WO2004025895A1 (en) * 2002-09-13 2004-03-25 Telefonaktiebolaget Lm Ericsson (Publ) Secure broadcast/multicast service
KR20120015312A (ko) * 2009-04-03 2012-02-21 퀄컴 인코포레이티드 무선 통신 시스템 내의 멀티캐스트 통신 세션과 연관된 메시지의 보안
JP2012523180A (ja) * 2009-04-03 2012-09-27 クアルコム,インコーポレイテッド ワイヤレス通信システム内のマルチキャスト通信セッションに関連するメッセージの保護
KR20130006069A (ko) * 2011-07-08 2013-01-16 삼성전자주식회사 무선 통신 시스템에서 그룹키 갱신 방법 및 장치
KR20140006996A (ko) 2011-07-11 2014-01-16 엘지전자 주식회사 머신 대 머신 멀티 캐스트 그룹을 위한 트래픽 암호화 키 관리
KR20170089747A (ko) 2016-01-27 2017-08-04 엘지전자 주식회사 사물 인증 시스템 및 방법

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11336630B2 (en) 2018-11-15 2022-05-17 Unionplace Co., Ltd. Device in multicast group
KR102008670B1 (ko) * 2019-04-18 2019-08-08 주식회사 유니온플레이스 멀티캐스트 그룹을 모니터링하는 장치
US11716367B2 (en) 2019-04-18 2023-08-01 Unionplace Co., Ltd. Apparatus for monitoring multicast group
KR102212205B1 (ko) * 2020-09-17 2021-02-04 주식회사 유니온플레이스 푸시-투-토크 장치
WO2022059897A1 (ko) * 2020-09-17 2022-03-24 주식회사 유니온플레이스 푸시-투-토크 장치
US20220116748A1 (en) * 2020-09-17 2022-04-14 Unionplace Co., Ltd. Push-to-talk device

Also Published As

Publication number Publication date
US20200366658A1 (en) 2020-11-19
US11336630B2 (en) 2022-05-17

Similar Documents

Publication Publication Date Title
KR101940983B1 (ko) 멀티캐스트 그룹 내의 디바이스
EP3602991B1 (en) Mechanism for achieving mutual identity verification via one-way application-device channels
EP3742696B1 (en) Identity management method, equipment, communication network, and storage medium
Chuang et al. TEAM: Trust-extended authentication mechanism for vehicular ad hoc networks
US8938074B2 (en) Systems and methods for secure communication using a communication encryption bios based upon a message specific identifier
KR101508360B1 (ko) 데이터 전송 장치 및 방법, 그리고 그 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 기록매체
US7231526B2 (en) System and method for validating a network session
US7991158B2 (en) Secure messaging
US20080031458A1 (en) System, methods, and apparatus for simplified encryption
WO2012119434A1 (zh) 一种读写器与标签卡之间的动态认证方法及实现装置
US9118483B2 (en) Communication system, relay device, and non-transitory computer readable medium
CN112653556B (zh) 一种基于token的微服务安全认证方法、装置、存储介质
JP2009071707A (ja) 鍵共有方法、鍵配信システム
CN113645226B (zh) 一种基于网关层的数据处理方法、装置、设备及存储介质
CN102404337A (zh) 数据加密方法和装置
KR100723868B1 (ko) Epc c1g2 rfid 시스템에서 태그와 판독장치간의 상호 인증 방법
KR102567737B1 (ko) 보안 메시지 서비스 제공 방법 및 이를 위한 장치
Gao et al. LIP‐PA: A Logistics Information Privacy Protection Scheme with Position and Attribute‐Based Access Control on Mobile Devices
KR101677249B1 (ko) 사용자 토큰을 이용하여 사물 인터넷 장치를 제어하기 위한 보안 처리 장치 및 방법
CN107409043B (zh) 基于中央加密的存储数据对产品的分布式处理
WO2022033350A1 (zh) 注册服务的方法及设备
EP2985945A1 (en) Method for secure e-mail exchange
CN115982247B (zh) 基于区块链的账户信息查询方法和装置、设备和介质
KR102024062B1 (ko) 멀티캐스트 그룹 내의 구독자에게 키 데이터를 전송하는 디바이스
KR20180024389A (ko) 키 관리 장치 및 방법

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant