KR102292007B1 - 단거리 통신을 사용한 네트워크 노드 보안 - Google Patents

단거리 통신을 사용한 네트워크 노드 보안 Download PDF

Info

Publication number
KR102292007B1
KR102292007B1 KR1020167030029A KR20167030029A KR102292007B1 KR 102292007 B1 KR102292007 B1 KR 102292007B1 KR 1020167030029 A KR1020167030029 A KR 1020167030029A KR 20167030029 A KR20167030029 A KR 20167030029A KR 102292007 B1 KR102292007 B1 KR 102292007B1
Authority
KR
South Korea
Prior art keywords
network node
security
communication device
security information
mobile communication
Prior art date
Application number
KR1020167030029A
Other languages
English (en)
Other versions
KR20160146753A (ko
Inventor
포이 브레니 라스밴드
모하마드 모휘딘
스튜어트 이. 홀
Original Assignee
타이코 파이어 앤 시큐리티 게엠베하
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 타이코 파이어 앤 시큐리티 게엠베하 filed Critical 타이코 파이어 앤 시큐리티 게엠베하
Publication of KR20160146753A publication Critical patent/KR20160146753A/ko
Application granted granted Critical
Publication of KR102292007B1 publication Critical patent/KR102292007B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0492Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload by using a location-limited connection, e.g. near-field communication or limited proximity of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/35Protecting application or service provisioning, e.g. securing SIM application provisioning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/38Services specially adapted for particular environments, situations or purposes for collecting sensor information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/50Service provisioning or reconfiguring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/80Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/18Self-organising networks, e.g. ad-hoc networks or sensor networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices
    • H04W88/06Terminal devices adapted for operation in multiple networks or having at least two operational modes, e.g. multi-mode terminals

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

네트워크 노드 보안 구성을 위한 시스템들(100) 및 방법들이 개시된다. 방법들은 고객 설비(102)에 설치될 네트워크 노드(108)로부터 제1 단거리 통신 링크(110)를 통해 고유 식별자를 얻기 위한 동작들을 모바일 통신 디바이스(104)에 의해 수행하는 단계; 고유 식별자를 포함하는 신호를, 모바일 통신 디바이스로부터 제1 장거리 통신 링크(112)를 통해 원격 서버(118)로 통신하는 단계; 원격 서버에 의해, 올바른 타입의 네트워크 노드가 각각의 작업 명령에 따라 고객 설비 내의 제1 위치 내에 설치되고 있는지를 검증하는 단계; 및 네트워크 노드의 보안 기능들을 구성하는데 유용한 보안 정보를 모바일 통신 디바이스의 사용자에게 제시하거나 보안 정보를 모바일 통신 디바이스에 저장함이 없이, 보안 정보를 원격 서버로부터 모바일 통신 디바이스를 통해 네트워크 노드에 통신하는 단계를 포함한다.

Description

단거리 통신을 사용한 네트워크 노드 보안{NETWORK NODE SECURITY USING SHORT RANGE COMMUNICATION}
[0001] 이 문헌은 일반적으로 네트워크 보안을 제공하기 위한 시스템들 및 방법들에 관한 것이다. 보다 구체적으로, 이 문헌은 단거리 통신을 사용하여 네트워크 노드 보안을 제공하기 위한 시스템들 및 방법들에 관한 것이다.
[0002] "WSN"(Wireless Sensor Network) 노드들 사이에서 보안 증명서 및 상기 증명서의 분배의 관리는 월 단위로 수천의 고객 사이트들 사이에 수백만의 WSN 노드들을 설치하는 것일 수 있는 엔터프라이즈(enterprise)에 대해 어려운 작업이다. 각각의 WSN 노드는 자신의 안전한 네트워크상에서 기능하게 하지만, 비-네트워크 노드들에 의한 일반적인 도청을 허용하지 않는 보안 증명서를 제공받아야 한다. 기술 분야에서 알려진 바와 같이, 보안 증명서는 WSN 노드들 및/또는 다른 네트워크 노드들 사이에서 네트워크를 통한 안전한 통신들을 가능하게 한다. 이에 관하여, 보안 증명서는 공개 키를 아이덴티티(사람 또는 비지니스 조직의 이름, 주소 등 같은 정보)와 바인딩하기 위하여 디지털 서명을 사용하는 전자 문서이다. 보안 증명서는, 공개 키가 사람 또는 비지니스 조직에 속하는 것을 검증하기 위하여 사용될 수 있다.
[0003] 큰 기업에 대해, 일반 보안 증명서가 논리적으로 널리 분배되고 새로운 네트워크에 대해 심각한 보안 위협을 제시하기 때문에 사용되지 않는 것이 필요하다. 또한, 제1 전력-업(power-up) 직후 WSN 노드로의 무선 송신을 사용하여 필드에서 보안 증명서를 프로그래밍하는 것은 잠재적 도청으로 인해 위험하다.
[0004] 그러므로, WSN 노드들에 보안 증명서를 프로그래밍하는데 가장 안전한 장소는 공장에서 이다. 이 경우에, 주어진 설치를 위한 모든 WSN 노드들의 정확한 사전-스테이징(pre-staging)은 그들의 실제 설치 전에 여러 주 또는 심지어 여러 달이 요구된다. 사전-스테이징은 어느 WSN 노드들이 특정 빌딩에 배치될 것인지를 결정하고; 각각의 WSN 노드가 빌딩 내의 어느 위치에 전개될 것인지를 결정하고; 그리고 빌딩 내의 각각의 의도된 위치에 특정한 각각의 WSN 노드를 프로그래밍하는 것을 요구할 것이다. 이런 스테이징은, 비교적 큰 수의 WSN 노드들(예컨대, 10,000개의 WSN 노드들)이 복수의 빌딩들(예컨대, 500개의 빌딩들) 내의 위치들에 적어도 하나의 엔터프라이즈(enterprise)를 위해 설치되는 시나리오들에서 매우 불편하고 비현실적이다. 심지어 이것은, 설치자가 WSN 하드웨어의 런닝 인벤토리(running inventory)를 유지하는 제3자이면 불가능할 수 있다.
[0005] 기존 실무는 디폴트 보안 증명서, "USB"(Universal Serial Bus) 동글(dongle)들, 온-사이트 핀 프로그래밍, 및 다른 유사한 방법들의 단시간 사용에 의존한다. 이들 경우들에서, WSN 시스템은 실제 보안 위협들에 노출될 수 있다. 부가적으로 또는 대안적으로, WSN 노드들의 설치는 물리적으로 불편하고 및/또는 완성하기에 비교적 긴 시간 양을 요구한다.
[0006] 본 발명은 네트워크 노드 보안 구성들을 위한 시스템들 및 방법들을 구현하는 것에 관한 것이다. 방법들은 고객 설비에 설치될 네트워크 노드로부터 제1 단거리 통신 링크를 통해 고유 식별자를 얻기 위한 동작들을 모바일 통신 디바이스에 의해 수행하는 단계; 및 고유 식별자를 포함하는 신호를, 모바일 통신 디바이스로부터 제1 장거리 통신 링크를 통해 원격 서버에 통신하는 단계를 포함한다. 일부 시나리오들에서, 신호는, 네트워크 노드가 설치될 고객 설비 내의 위치, 모바일 통신 디바이스의 사용자에 의해 선택된 특정 작업 명령, 및 네트워크 노드에 대한 노드 타입 중 적어도 하나를 특정하는 정보를 더 포함한다.
[0007] 다음, 원격 서버는, 올바른 타입의 네트워크 노드가 각각의 작업 명령에 따라 고객 설비 내의 제1 위치에 설비되어 있는지를 검증한다. 그런 검증시, 원격 서버는: 네트워크 노드로부터 단거리 통신 링크를 통해 모바일 통신 디바이스에 의해 얻어지는 정보를 적어도 부분적으로 기반하여 어떤 보안 정보가 네트워크 노드에 전송될지를 식별하고; 그리고 고객 설비로부터 원격으로 위치된 제공자 설비에 위치된 데이터저장소로부터 식별된 보안 정보를 리트리빙(retrieve)한다. 리트리빙된 보안 정보는 네트워크 노드의 보안 기능들을 구성하는데 유용하다. 이로써, 리트리빙된 보안 정보는 원격 서버로부터 모바일 통신 디바이스를 통해 네트워크 노드로 전송된다. 특히, 보안 정보는 보안 정보를 모바일 통신 디바이스의 사용자에게 제시하거나 보안 정보를 모바일 통신 디바이스에 저장함이 없이, 네트워크 노드에 통신된다. 또한, 보안 정보는 원격 서버로부터 암호화된(encrypted) 형태로 통신될 수 있다.
[0008] 그 후, 보안 정보는 네트워크 노드의 단거리 통신 디바이스에 저장된다. 네트워크 노드가 턴 온(ON)된 후, 보안 정보는 단거리 통신 디바이스로부터 네트워크 노드의 프로세서로 전달된다. 그 다음으로, 네트워크 노드의 보안 기능들은 프로세서에 전달된 보안 정보에 따라 구성된다. 네트워크 노드의 성공적인 보안 활성화를 표시하는 표시자가 네트워크 노드로부터 출력될 수 있다. 또한, 네트워크 노드는 보안 정보에 따라 구성된 보안 기능들을 사용하여 네트워크에 연결하기 위한 동작들을 수행할 수 있다.
[0009] 실시예들은 다음 도시된 도면들을 참조하여 설명될 것이고, 여기서 동일한 번호들은 도면들 전체에 걸쳐 동일한 아이템들을 표현한다.
[0010] 도 1은 본 발명의 이해를 위해 유용한 예시적인 시스템의 개략 예시이다.
[0011] 도 2a-2b는 네트워크 노드 보안 구성을 위한 예시적인 프로세스를 이해하는데 유용한 개략 예시를 집합적으로 제공한다.
[0012] 도 3은 도 1에 도시된 모바일 통신 디바이스에 대한 예시적인 아키텍처의 개략 예시이다.
[0013] 도 4는 도 1에 도시된 네트워크 노드에 대한 예시적인 아키텍처의 개략 예시이다.
[0014] 본원에 일반적으로 설명되고 첨부된 도면들에 예시된 바와 같은 실시예들의 컴포넌트들이 다양한 상이한 구성들로 배열 및 설계될 수 있다는 것이 쉽게 이해될 것이다. 따라서, 도면들에 표현된 바와 같이, 다양한 실시예들의 다음 더 상세한 설명은 본 개시내용의 범위를 제한하도록 의도되는 것이 아니라, 단지 다양한 실시예들을 대표한다. 실시예들의 다양한 양상들이 도면들에 제시되지만, 특정하게 표시되지 않으면 도면들은 반드시 실척으로 도시되지 않는다.
[0015] 본 발명은 본 발명의 사상 또는 필수적인 특성들에서 벗어남이 없이 다른 특정 형태들로 구현될 수 있다. 설명된 실시예들은 모든 측면들에서 제한이 아닌 예시로서만 고려될 것이다. 그러므로, 본 발명의 범위는 이런 상세한 설명에 의해서 보다 첨부된 청구항들에 의해 표시된다. 청구항들의 등가의 의미 및 범위 내에 있는 모든 변화들은 청구항들의 범위 내에 포함될 것이다.
[0016] 이 명세서에 걸쳐 피처들, 장점들, 또는 유사한 언어에 대한 참조는, 본 발명으로 실현될 수 있는 피처들 및 장점들 모두가 본 발명의 어떤 단일 실시예 이어야 하거나 상기 실시예 안에 있어야 하는 것을 암시하지 않는다. 오히려, 피처들 및 장점들을 지칭하는 언어는, 실시예와 관련하여 설명된 특정 피처, 장점, 또는 특성이 본 발명의 적어도 하나의 실시예에 포함되는 것을 의미하는 것으로 이해된다. 따라서, 명세서에 걸쳐 피처들 및 장점들, 및 유사한 언어의 논의들은 동일한 실시예(그러나 반드시는 아님)를 지칭할 수 있다.
[0017] 게다가, 본 발명의 설명된 피처들, 장점들 및 특성들은 어떤 적당한 방식으로 하나 또는 그 초과의 실시예들에서 조합될 수 있다. 당업자는, 본원의 설명으로 인해, 본 발명이 특정 실시예의 특정 피처들 또는 장점들 중 하나 또는 그 초과 없이 실시될 수 있다는 것을 인지할 것이다. 다른 인스턴스들에서, 부가적인 피처들 및 장점들은 본 발명의 모든 실시예들 내에 존재하지 않을 수 있는 특정 실시예들에서 인지될 수 있다.
[0018] 이 명세서에 걸쳐 "일 실시예", "실시예", 또는 유사한 언어에 대한 참조는, 표시된 실시예와 관련하여 설명된 특정 피처, 구조, 또는 특성이 본 발명의 적어도 하나의 실시예에 포함되는 것을 의미한다. 따라서, 이 명세서에 걸쳐 어구들 "일 실시예에서", "실시예에서", 및 유사한 언어는 모두 동일한 실시예를 지칭(그러나 반드시는 아님)할 수 있다.
[0019] 이 문서에 사용된 바와 같이, 단수 형태는, 문맥이 명확하게 다르게 구술하지 않으면, 복수의 참조들을 포함한다. 다르게 정의되지 않으면, 본원에 사용된 모든 기술적이고 과학적인 용어들은 당업자에 의해 보통 이해되는 것과 동일한 의미를 가진다. 이 문서에 사용된 바와 같이, 용어 "포함하는"은 "구비하지만 제한적이지 않음"을 의미한다.
[0020] 도 1-4에 대하여 본 발명의 실시예들이 이제 설명될 것이다. 이들 실시예들은 일반적으로 설치자에 의한 네트워크 노드 보안 구성을 위한 신규한 시스템들 및 방법들에 관한 것이다. 이에 관하여, 본 발명은 설치자에 의해 소유되는 "MCD"(Mobile Communication Device: 모바일 통신 디바이스)와 설치자에 의해 고객 설비에 설치되는 네트워크 노드 사이의 "SRC"(Short Range Communication: 단거리 통신)에 의존한다. MCD 및 네트워크 노드는 둘 다 제1 통신 모듈을 갖춘다. 제1 통신 모듈은 SRC 모듈(예컨대, 안테나 및 SRC 드라이버 칩)과의 사이에서 SRC 통신들을 가능하게 하기 위한 SRC 모듈을 포함한다. SRC 커플링의 성질로 인해, 이 디바이스가 큰 안테나 및 복잡한 수신 감도 부스팅(boosting) 회로를 가지더라도, 이 디바이스가 MCD 및 네트워크 노드의 바로 근처(예컨대, 0.5 내지 5.0 피트 내)에 안테나를 가지지 않으면, 다른 디바이스가 통신들을 인터셉트하는 것은 거의 불가능하다. SRC 모듈에 사용될 수 있는 기술의 특정 예들은 "HF RFID"(High Frequency Radio Frequency Identifier: 고주파 라디오 주파수 식별자) 기술(이를테면 유도적으로 커플링된 13.56 MHz RFID), "NFC"(Near Field Communication) 기술, 용량적으로 커플링된 RFID, 또는 매우 낮은 송신 전력(소위 "니어 필드 UHF")으로 동작하는 의도적 안테나 미스매칭을 가진 "UHF"(Ultra High Frequency) RFID를 포함한다. 그러나, SRC 모듈은 다른 대안적 기술들을 사용할 수 있다.
[0021] MCD는 또한 제2 통신 모듈을 갖춘다. 제2 통신 모듈은 엔터프라이즈 네트워크에 백-채널(back-channel) 링크를 제공하기 위한 셀룰러 통신 모듈(그러나 이것으로 제한되지 않음)을 포함할 수 있다. 엔터프라이즈 네트워크는 공중 네트워크(예컨대, 인터넷)를 통해 액세스 가능한 하나 또는 그 초과의 서버들 및 데이터베이스들을 포함한다. SRC 및 셀룰러 통신들은 네트워크 노드 상에 보안 정보의 로딩을 가능하게 한다. 보안 정보는 보안 증명서, 난수 생성기 시드(seed) 값들, 논스(nonce) 필드들 또는 서브-필드들 및 다른 보안 지향 구성 데이터(그러나 이들로 제한되지 않음)를 포함할 수 있다. 네트워크 노드 상에 보안 정보를 로딩하는 이런 프로세스는 아래에 상세히 설명될 것이다. 보안 증명서는 대칭 또는 비대칭 암호화(encryption)에 사용될 수 있는 어떤 보안 증명서(그러나 이것으로 제한되지 않음)를 포함할 수 있다.
[0022] 이때, 종래 시스템들과 달리, 네트워크 노드의 설치자(신뢰할 수 없을 수 있음)가 보안 정보를 네트워크 노드에 제공하기 위한 보안 루프의 일부가 아닌 것이 또한 인지되어야 한다. 이에 관하여, 설치자는 보안 정보를 네트워크 노드에 제공하기 위하여 그/그녀의 특정 인증을 제공하는 어떠한 패스워드들도 가지지 않는다. 대신, 설치자는 보안 정보를 엔터프라이즈 서버로부터 네트워크 노드로 통신하기 위한 SRC 기능성을 가진 MCD를 가진다. 그러나, 설치자는 본 발명을 구현하는 로직 및/또는 로직의 명세를 설명하는 정보에 액세스하지 못한다. 또한, 보안 정보는 결코 설치자에게 제시되고 및/또는 모바일 디바이스 상에 저장되지 않는다. 이로써, 네트워크 노드 보안 구성의 프로세스에 신뢰할 수 없는 설치자가 포함되는 것과 연관된 위험은 최소화된다. SRC 기능성은, MCD의 하우징 내에 물리적으로 포함되거나 MCD의 통신 포트들 중 하나 상의 동글을 사용하여 구현될 수 있도록 구현될 수 있다.
[0023] 이제 도 1을 참조하여, 본 발명의 이해를 위해 유용한 예시적인 시스템(100)의 개략 예시가 제공된다. 시스템(100)은 일반적으로 고객 설비들(102)에 네트워크 노드들(108)의 설치를 가능하게 하도록 구성된다. 그런 설치는 MCD(104), 네트워크(114)(예컨대, 인터넷 또는 다른 공중 네트워크), 적어도 하나의 서버(118) 및 적어도 하나의 데이터베이스(120)를 사용하여 달성된다. 네트워크(114) 및 "NNP"(Network Node Provider: 네트워크 노드 제공자) 설비(116)는 설치시에 동작 가능하다는 것이 추정된다. 그러나, 이것은 모든 시나리오들의 경우가 아닐 수 있다. 이로써, 본 발명은, 네트워크(114) 및 NNP 설비(116)가 설치시에 동작 가능한 상황들로 제한되지 않는다.
[0024] 서버(118) 및 데이터베이스(120)는 고객 설비(102)로부터 멀리 떨어진 NNP 설비(116)에 위치된다. 로컬 무선 센서 네트워크의 다른 네트워크 노드들과 안전한 통신들을 위하여 네트워크 노드(108)를 구성하는데 유용한 보안 정보는 데이터베이스(120) 상에 저장된다. 보안 정보는 보안 증명서의 설치 특정 세트들, 보안 증명서의 네트워크 특정 세트들, 난수 생성기 시드 값들, 카토그래픽 키들(cartographic keys), 암호화 알고리즘, 논스 필드들 또는 서브-필드들 및/또는 다른 보안 지향 구성 데이터(그러나 이들로 제한되지 않음)를 포함할 수 있다. 각각의 보안 증명서는 공개 키를 아이덴티티(사람 또는 비지니스 조직의 이름, 주소 등 같은 정보)와 바인딩하기 위하여 디지털 서명을 사용하는 전자 문서를 포함한다. 보안 증명서는, 공개 키가 사람 또는 비지니스 조직에 속하는 것을 검증하기 위하여 사용될 수 있다. 대안적으로, 보안 정보는 보안 키 자체, 이를테면 무선 네트워크상에서 전송되고 수신된 메시지들을 암호화(encrypt) 및 복호화(decrypt)하기 위해 직접 네트워크 노드에 의해 사용되는 AES-128 키를 포함할 수 있다.
[0025] MCD(104)는 그 내부에 설치된 "WOSA"(Work Order Software Application: 작업 명령 소프트웨어 애플리케이션)를 가진다. WOSA는 MCD(104)의 사용자에 의해 핸들링될 작업 명령의 관리를 가능하게 하도록 동작한다. 작업 명령은, 적어도 하나의 네트워크 노드(108)가 고객 설비(102)에 설치될 날짜 및 시간을 특정한다. 작업 명령의 명세들에 따라, MCD(104)의 사용자는 고객 설비(102) 내의 위치(106)에 네트워크 노드(108)를 설치할 활동들을 수행한다. 그런 활동들은 데이터베이스(120)에 저장된 필요한 보안 정보로 네트워크 노드(108)를 구성하는 것을 포함한다. 네트워크 노드(108)의 보안 구성을 달성하기 위한 예시적인 프로세스는 이제 도 2a-2b에 관련하여 설명될 것이다.
[0026] 도 2a의 기능 블록(202)에 의해 도시된 바와 같이, MCD(104)의 사용자는 디바이스에 로깅(log)하고 WOSA를 런칭(launch)한다. 이어서, WOSA는 복수의 작업 명령들 중 하나의 작업 명령을 선택하기 위해 적어도 하나의 위젯(widget)을 포함하는 "GUI"(Graphical User Interface)를 사용자에게 디스플레이한다. 예컨대, 작업 명령들 각각에 대해 선택 가능한 식별자들을 포함하는 드롭 다운(drop down) 메뉴는 MCD(104)의 사용자에게 제시된다. 따라서, 사용자는 복수의 작업 명령들로부터 특정 작업 명령을 선택하기 위하여 제1 사용자-소프트웨어 상호작용을 수행한다. 그 후에, 사용자는 기능 블록(204)에 의해 도시된 바와 같이, 네트워크 노드(108)가 설치되고 있는 고객 설비(102)의 위치(106)를 표시하는 정보를 입력하기 위하여 제2 사용자-소프트웨어 상호작용을 수행한다. 일부 시나리오들에서, 고객 설비(102)의 맵은, 사용자가 맵에서 식별된 위치를 선택할 수 있도록 사용자에게 제시된다. 사용자는 네트워크 노드 타입을 WOSA에게 입력하기 위하여 제3 사용자-소프트웨어 상호작용을 추가로 수행할 수 있다.
[0027] 그 후에, WOSA는 고유 식별자(206)에 대한 요청을 생성하여 네트워크 노드(108)에 전송하기 위한 동작들을 수행한다. 특히, 이 요청(206)은 MCD(104)로부터 SRC 통신 링크(110)를 통해 네트워크 노드(108)로 전송된다. SRC 통신 링크(110)는 어떤 알려지거나 알려질 SRC 기술을 사용하여 구현될 수 있다. 예컨대, SRC 기술은 "NFC"(Near Field Communication) 기술, "IR"(InfRared) 기술, "Wi-Fi"(Wireless Fidelity) 기술, "RFID"(Radio Frequency Identification) 기술, 블루투스 기술, 지그비 기술, 및/또는 광학 판독/기록 기술(예컨대, 광전지 및 발광 다이오드 기반 기술)(그러나 이들로 제한되지 않음)을 포함한다. SRC 기술의 열거된 타입들 각각은 기술 분야에서 잘 알려져 있고, 그러므로 본원에 설명되지 않을 것이다. 모든 SRC 시나리오들에서, 네트워크 노드(108)는 수동 SRC 디바이스 또는 능동 SRC 디바이스를 포함한다. 수동 및 능동 SRC 디바이스들은 기술 분야에서 잘 알려져 있고 그러므로 본원에 상세히 설명되지 않을 것이다. 수동 SRC 디바이스가 이용되면, 네트워크 노드(108)는 전력 온 없이 요청(206)을 수신하고 응답할 수 있다. 응답(208)은 네트워크 노드(108)를 고유하게 식별하는 요청된 고유 식별자를 포함한다. 일부 시나리오들에서, 고유 식별자는 "MAC"(Media Access Control) 어드레스 또는 "IEEE"(Institute of Electrical and Electronics Engineers) 64-비트 유니버셜 식별자(그러나 이들로 제한되지 않음)를 포함한다.
[0028] 고유 식별자의 수신에 응답하여, MCD(104)는 신호(210)를 NNP 설비(116)에 위치된 서버(118)에 통신한다. 신호(210)는 장거리 통신 링크(112)(예컨대, "RF"(Radio Frequency) 통신 링크) 및 네트워크(114)를 통해 통신된다. 신호(210)는 작업 명령 번호, 설치자 식별자, 네트워크 노드가 설치되고 있는 고객 설비 내의 위치, 현재 시간, 네트워크 노드(108)의 노드 타입, 및/또는 네트워크 노드(108)에 대한 고유 식별자(그러나 이들로 제한되지 않음)를 특정하는 정보를 포함할 수 있다.
[0029] 신호(210)의 수신시, 서버(118)는 각각의 작업 명령에 대해, 올바른 타입의 네트워크 노드가 특정 위치(106)에 설치되고 있는지를 검증하기 위하여 수신된 정보를 프로세스한다. 검증은 매치가 수신된 정보와 데이터베이스(120)에 저장된 정보 사이에 존재하는지를 결정하기 위하여 수신된 정보를 데이터베이스(120)에 저장된 대응하는 정보에 비교함으로써 간단히 달성될 수 있다. 설치자에 의한 노드 타입의 공급은 선택적이고, 그리고 일부 시나리오들에서 이것은 노드 타입을 네트워크 노드의 고유 식별자에 매칭하는 서버(118) 내의 테이블 룩업(look-up)을 사용하여 고유 식별자에 의해 추론될 수 있다. 그런 추론은 하나의 잠재적으로 시간-소비적 설치자 책임을 완화하고 본 발명의 장점을 표현한다.
[0030] 공급된 및/또는 추론된 설치자 정보와 특정 작업 명령 정보 사이의 매칭이 존재하는 것으로 발견되지 않으면, 서버(118)는, 올바르지 않은 타입의 네트워크 노드가 특정 위치(106)에 설치되고 있다고 결론 내린다. 이 경우에, 서버(118)는, 적당한 조치들이 이에 의해 취해질 수 있도록(예컨대, 새로운 네트워크 노드를 얻고 프로세스를 다시 시작함) 그런 결론을 표시하는 메시지를 MCD의 사용자에게 전송할 수 있다.
[0031] 대조하여, 매칭이 존재하는 것으로 발견되면, 서버(118)는, 올바른 타입의 네트워크 노드가 특정 위치(106)에 정말로 설치되고 있다고 결론 내린다. 그런 결론이 이루어질 때, 서버(118)는 기능 블록(214)에 의해 도시된 바와 같이, 다른 네트워크 노드들과 안전한 통신들을 위하여 어떤 보안 정보가 네트워크 노드(108)를 구성하는데 필요한지를 식별한다. 이런 식별은 작업 명령의 콘텐츠, 신호(210)에서 특정된 설치 위치, 신호(210)에서 특정된 네트워크 노드의 타입, 및/또는 다른 관련 정보를 기반하여 이루어질 수 있다. 일부 경우들에서, 식별은 서버(118) 또는 서버(118)에 통신 가능하게 커플링된 다른 네트워크 노드 상에서 전체적으로 또는 부분적으로 동작하는 보안 관리 소프트웨어 애플리케이션에 의해 이루어진다.
[0032] 그 후에, 서버(118)는 기능 블록(216)에 의해 도시된 바와 같이, 데이터베이스(120)로부터 식별된 보안 정보를 리트리빙한다. 위에서 주의된 바와 같이, 이런 보안 정보는 보안 증명서의 설치 특정 세트들, 보안 증명서의 네트워크 특정 세트들, 난수 생성기 시드 값들, 카토그래픽 키들, 암호화 알고리즘, 및/또는 다른 보안 지향 구성 데이터(그러나 이들로 제한되지 않음)를 포함할 수 있다.
[0033] 그 후에, 리트리빙된 보안 정보는 서버(118)로부터 신호(218) 및 장거리 통신 링크(112)를 통하여 MCD(104)로 전송된다. 특히, 보안 정보는 암호화된 형태로 전송된다. 또한, 보안 정보는 MCD(104)의 사용자에게 액세스 가능하지 않다. 이로써, 보안 정보는 결코 임의의 포맷으로 MCD(104)의 사용자에게 제시되지도, MCD 또는 그것이 사용되는 경우 MCD의 SRC 동글의 어떤 영구 메모리에 저장되지도 않고, 이에 의해 서버(118)로부터 네트워크 노드(108)로 보안 정보의 안전한 통신이 적어도 부분적으로 보장된다.
[0034] 이어서, MCD(104)는 보안 정보를 포함하는 신호(220)를 SRC 통신 링크(110)를 통해 네트워크 노드(108)에 전송한다. 보안 정보는 암호화된 형태로 전송된다. 네트워크 노드(108)에서, 보안 정보는 기능성 블록(222)에 의해 도시된 바와 같이, 자신의 암호화된 형태로 자신의 SRC 디바이스의 데이터 저장소에 저장된다. 사용되는 SRC 링크 기술 및 SRC 모듈의 정확한 성질에 따라, 네트워크 노드 자체는 이때 전력을 공급받거나 공급받지 않을 수 있다. 네트워크 노드가 전력을 공급받지 않은 경우, SRC 모듈은 SRC 링크를 통한 MCD로부터의 인입 질문들 또는 요청들에 응답하여 수동(예컨대, 후방 산란) 기술들을 사용한다. 네트워크 노드가 전력을 공급받는 경우, 메시지들은 네트워크 노드로부터 MCD로 통상적인 의미(예컨대, 생성된 필드들의 변조를 사용함)에서 능동적으로 전송되거나 송신될 수 있다. 어느 쪽이든, 이때, 데이터 전달이 성공적이었다는 것을 표시하는 응답(224)은 네트워크 노드(108)에 의해 MCD(104)로 이루어진다. 응답(224)의 수신시, MCD(104)는 기능 블록(226)에 의해 도시된 바와 같이, 성공적인 데이터 전달을 표시하는 표시자를 MCD의 사용자에게 출력하기 위한 동작들을 수행한다. 표시는 오디오 표시, 시각적 표시 및/또는 촉각적 표시일 수 있다.
[0035] 표시자가 MCD(104)의 사용자에게 출력될 때, 사용자는 도 2b의 기능 블록(228)에 의해 도시된 바와 같이, 네트워크 노드(108)에 대한 전력을 턴 온(ON)할 수 있다. 일부 시나리오들(예컨대, 위에서 설명된 바와 같이 수동 SRC 링크들보다 오히려 능동 SRC 링크들을 가짐)에서, 네트워크 노드(108)에 대한 전력은 대안적으로, 도 2a의 기능 블록(228')에 의해 도시된 바와 같이, 요청(206)이 MCD(104)로부터 네트워크 노드로 전송되기 전에 턴 온(ON)된다.
[0036] 전력이 턴 온(ON)된 후, 네트워크 노드(108)는 보안 정보를 SRC 디바이스로부터 SRC 디바이스의 안전한 프로세서로 전달하고; 그리고 이에 따라서 안전한 프로세서의 동작들을 구성하도록 기능 블록(230)의 다양한 동작들을 수행한다. 일부 시나리오들에서, 안전한 프로세서는 조작 방지 인클로저(tamper proof enclosure)에 있는다. 또한, 보안 정보는 암호화된 형태로 전달된다. 따라서, 보안 정보는 안전한 프로세서의 구성 이전에 디크립트된다. 안전한 프로세서가 보안 정보에 따라 안전한 방식으로 동작하도록 구성되었다면, 인에이블된 보안(즉, 올바른 모드에서 부팅 업(booted up)되고 보안 정보가 성공적으로 설치된 디바이스)을 가진 성공적인 전력 업을 표시하는 제2 표시자는 기능 블록(232)에 의해 도시된 바와 같이, 네트워크 노드(108)로부터 출력될 수 있다. 제2 표시자는 청각적 표시자, 시각적 표시자(발광 다이오드 같은) 및/또는 촉각적 표시자(예컨대, 진동 같은)(그러나 이들로 제한되지 않음)를 포함할 수 있다.
[0037] 그 후에 기능 블록(234)에 의해 도시된 바와 같이, 네트워크 노드(108)는 보안 정보를 사용하여 안전한 방식으로 다양한 등록 동작들을 수행한다. 등록 동작들은 무선 네트워크 스캐닝, 검출된 무선 네트워크에 첨부, 및 검출된 무선 네트워크의 멤버 되기(그러나 이들로 제한되지 않음)를 포함할 수 있다. 무선 네트워크의 멤버가 될 때, 이의 멤버쉽을 표시하는 제3 시각적 표시자는 무선 네트워크를 사용하여 네트워크 노드(108)로부터 출력될 수 있다. 제3 표시자는 청각적 표시자, 시각적 표시자 및/또는 촉각적 표시자(그러나 이들로 제한되지 않음)를 포함할 수 있다.
[0038] 일부 시나리오들에서, 위에서 설명된 프로세스는 작업 명령에 의해 요구된 모든 네트워크 노드 설치들을 위해 반복된다(기능 블록(202)의 동작들 제외). 그런 되풀이 또는 반복 프로세스는 네트워크 노드 제공자로 하여금, 얼마나 많은 네트워크 노드들이 특정 설치자에 의해 설치되었는지, 및 각각의 네트워크 노드가 어디에 설치되었는지를 추적하게 한다. 이런 능력은 작업 명령들의 관리를 가능하게 한다.
[0039] 위에서 설명된 프로세스는 서버 기반 보안 관리자 애플리케이션 서버로부터 네트워크 노드로 보안 정보의 안전하고, 사이트 특정이며, 레이트 스테이지(late stage) 전달을 허용한다. 그 전달은 도청 디바이스들에 의해 쉽게 인터셉트될 수 있는 방식으로 보안 정보의 송신 및/또는 보안 정보를 인간 설치자가 결코 알거나 볼 수 없이 달성된다. MCD(104) 상에서 동작하는 보안 애플리케이션이 실제 보안 구성 데이터의 임의의 종류의 기록을 유지하지 않고 위에서 설명된 프로세스를 수행할 수 있다는 것이 주의되어야 한다. 그 데이터는 로컬적으로 저장됨이 없이 간단히 MCD(104) 애플리케이션을 통해 통과한다. 이것은 설치자 부분에서 MCD 절도 또는 부정으로 인해 네트워크 보안이 파괴되는 것을 불가능하게 한다.
[0040] 이제 도 3을 참조하여, 본 발명의 이해를 위해 유용한 MCD(104)에 대한 예시적인 아키텍처의 개략 예시가 제공된다. MCD(104)는 도 3에 도시된 것보다 많거나 적은 컴포넌트들을 포함할 수 있다. 그러나, 도시된 컴포넌트들은 본 발명을 구현하는 예시적인 실시예를 개시하는데 충분하다. MCD(104)의 컴포넌트들 중 일부 또는 모두는 하드웨어, 소프트웨어 및/또는 하드웨어와 소프트웨어의 조합으로 구현될 수 있다. 하드웨어는 하나 또는 그 초과의 전자 회로들(그러나 이들로 제한되지 않음)을 포함한다. 전자 회로들은 수동 컴포넌트들(예컨대, 레지스터들 및 캐패시터들) 및/또는 능동 컴포넌트들(예컨대, 증폭기들 및/또는 마이크로프로세서들)(그러나 이들로 제한되지 않음)을 포함할 수 있다. 수동 및/또는 능동 컴포넌트들은 위에서 설명된 방법론들, 절차들, 또는 기능들 중 하나 또는 그 초과를 수행하도록 적응되고, 배열되고 및/또는 프로그래밍될 수 있다.
[0041] MCD(104)는 노트북 컴퓨터, 개인 디지털 어시스탄트, 스마트 디바이스 기능을 가진 셀룰러 폰 또는 모바일 폰(예컨대, 스마트폰)(그러나 이들로 제한되지 않음)을 포함할 수 있다. 이에 관하여, MCD(104)는 "RF"(Radio Frequency) 신호들을 수신 및 송신하기 위한 안테나(302)를 포함한다. 수신/송신("Rx/Tx") 스위치(304)는 당업자들에게 친숙한 방식으로 안테나(302)를 송신기 회로(306) 및 수신기 회로(308)에 선택적으로 커플링한다. 수신기 회로(308)는 외부 디바이스로부터 수신된 RF 신호들을 복조 및 디코딩한다. 수신기 회로(308)는 전기 연결부(334)를 통해 제어기(또는 마이크로프로세서)(310)에 커플링된다. 수신기 회로(308)는 디코딩된 신호 정보를 제어기(310)에 제공한다. 제어기(310)는 MCD(104)의 기능(들)에 따라 디코딩된 RF 신호 정보를 사용한다. 제어기(310)는 또한 정보를 RF 신호들로 인코딩 및 변조하기 위하여 정보를 송신기 회로(306)에 제공한다. 따라서, 제어기(210)는 전기 연결부(338)를 통하여 송신기 회로(306)에 커플링된다. 송신기 회로(306)는 Rx/Tx 스위치(304)를 통하여 외부 디바이스에 송신하기 위하여 RF 신호들을 안테나(302)에 통신한다.
[0042] MCD(104)는 또한 SRC 신호들을 수신하기 위하여 SRC 트랜시버(314)에 커플링된 안테나(340)를 포함한다. SRC 트랜시버들은 기술 분야에서 잘 알려져 있고 그러므로 본원에 상세히 설명되지 않을 것이다. 그러나, SRC 트랜시버(314)가 SRC 신호들로부터 정보를 추출하기 위하여 SRC 신호들을 프로세스하는 것이 이해되어야 한다. SRC 트랜시버(314)는 MCD(104) 상에 설치된 SRC 애플리케이션(354)에 의해 정의된 방식으로 SRC 신호들을 프로세스할 수 있다. SRC 애플리케이션(354)은 "COTS"(Commercial Off the Shelf) 애플리케이션(그러나 이것으로 제한되지 않음)을 포함할 수 있다. SRC 트랜시버(314)는 전기 연결부(336)를 통하여 제어기(310)에 커플링된다. 제어기는 MCD(104)의 기능(들)에 따라 추출된 정보를 사용한다. 예컨대, 추출된 정보는 네트워크 노드들의 고유 식별자들을 네트워크 노드 제공자의 서버에 제공하기 위하여 MCD(104)에 의해 사용될 수 있다. 그 다음으로, 고유 식별자는 MC(104)를 통해 네트워크 노드에 통신될 특정 보안 정보를 식별하기 위하여 서버에 의해 사용될 수 있다. 일부 경우들에서, 이 정보는 광학 판독/기록 디바이스(334)를 통해 MCD(104)에 의해 수신될 수 있다. 광학 판독/기록 디바이스(334)가 SRC 컴포넌트들(340, 314)과 별개 그리고 별도로서 도시되지만, 본 발명은 이에 관하여 제한되지 않는다. 광학 판독/기록 디바이스(334)는 대안적으로 또는 부가적으로 MCD(104)의 SRC 컴포넌트들을 포함할 수 있다. 광학 판독/기록 디바이스들은 기술 분야에서 잘 알려져 있고 그러므로 본원에 설명되지 않을 것이다. 어떤 알려지거나 알려질 광학 판독/기록 디바이스는 제한 없이 본원에 사용될 수 있다. 여전히, 일부 시나리오들에서, 광학 판독/기록 디바이스가 광전지들 및 발광 다이오드들을 포함할 수 있다는 것이 이해되어야 한다.
[0043] 제어기(310)는 MCD(104)의 메모리(312)에 수신되고 추출된 정보를 저장할 수 있다. 따라서, 메모리(312)는 전기 연결부(332)를 통하여 제어기(310)에 연결되고 제어기(310)에 의해 액세스 가능하다. 메모리(312)는 휘발성 메모리 및/또는 비-휘발성 메모리일 수 있다. 예컨대, 메모리(312)는 "RAM"(Random Access Memory), "DRAM"(Dynamic RAM), "ROM"(Read Only Memory) 및 플래시 메모리(그러나 이들로 제한되지 않음)를 포함할 수 있다. 메모리(312)는 또한 안전하지 않은 메모리 및/또는 안전한 메모리를 포함할 수 있다. 메모리(312)는 그 안에 다양한 다른 타입들의 데이터(360), 이를테면 인증 정보, 암호화 정보, 위치 정보, 및 다양한 작업 명령 관련 정보를 저장하기 위하여 사용될 수 있다.
[0044] MCD(104)는 또한 바코드 판독기(332)를 포함할 수 있다. 바코드 판독기들은 기술 분야에서 잘 알려져 있고 그러므로 본원에 설명되지 않을 것이다. 그러나, 바코드 판독기(332)가 일반적으로 바코드로부터 정보를 추출하기 위하여 바코드를 스캔하고 스캔된 바코드를 프로세스하도록 구성되는 것이 이해되어야 한다. 바코드 판독기(332)는 MCD(104) 상에 설치된 바코드 애플리케이션(356)에 의해 정의된 방식으로 바코드를 프로세스할 수 있다. 부가적으로, 바코드 스캐닝 애플리케이션은 프로세싱을 위하여 바코드 이미지를 캡처하기 위해 카메라(318)를 사용할 수 있다. 바코드 애플리케이션(356)은 COTS 애플리케이션(그러나 이것으로 제한되지 않음)을 포함할 수 있다. 바코드 판독기(332)는 추출된 정보를 제어기(310)에 제공한다. 이로써, 바코드 판독기(332)는 전기 연결부(360)를 통해 제어기(310)에 커플링된다. 제어기(310)는 MCD(104)의 기능(들)에 따라 추출된 정보를 사용한다. 예컨대, 추출된 정보는 네트워크 노드에 제공될 보안 정보를 얻기 위하여 MCD(104)에 의해 사용될 수 있다.
[0045] 도 3에 도시된 바와 같이, 명령들(350)의 하나 또는 그 초과의 세트들은 메모리(312)에 저장된다. 명령들은 맞춤화 가능 명령들 및 맞춤화 불가능 명령들을 포함할 수 있다. 명령들(350)은 또한 MCD(104)에 의해 명령들(350)의 실행 동안 완전히 또는 적어도 부분적으로 제어기(310) 내에 상주할 수 있다. 이에 관하여, 메모리(312) 및 제어기(310)는 머신-판독가능 매체들을 구성할 수 있다. 본원에 사용된 바와 같은 용어 "머신-판독가능 매체들"은 명령들(350)의 하나 또는 그 초과의 세트들을 저장하는 단일 매체 또는 다수의 매체들을 지칭한다. 여기에 사용된 바와 같은 용어 "머신-판독가능 매체들"은 또한 MCD(104)에 의해 실행하기 위한 명령들(350)의 세트를 저장, 인코딩 또는 운반할 수 있고 그리고 MCD(104)로 하여금 본 개시내용의 방법론들 중 하나 또는 그 초과를 수행하게 하는 임의의 매체를 지칭한다.
[0046] 제어기(310)는 또한 사용자 인터페이스(330)에 연결된다. 사용자 인터페이스(330)는 사용자로 하여금 MCD(104) 상에 설치된 소프트웨어 애플리케이션들(예컨대, 소프트웨어 애플리케이션들(352-358) 및 다른 소프트웨어 애플리케이션들)과 상호작용하고 제어하게 하도록 구성된 입력 디바이스들(316), 출력 디바이스들(324) 및 소프트웨어 루틴들(도 3에 도시되지 않음)을 포함한다. 그런 입력 및 출력 디바이스들은 디스플레이(328), 스피커(326), 키패드(320), 방향 패드(도 3에 도시되지 않음), 방향 노브(knob)(도 3에 도시되지 않음), 마이크로폰(322), 및 카메라(318)(그러나 이들로 제한되지 않음)를 포함할 수 있다. 디스플레이(328)는 터치 스크린 입력들을 수용하도록 설계될 수 있다. 이로써, 사용자 인터페이스(330)는 MCD(104) 상에 설치된 애플리케이션들(예컨대, 소프트웨어 애플리케이션들(352-358) 및 다른 소프트웨어 애플리케이션들)을 런칭하기 위하여 사용자 소프트웨어 상호작용을 가능하게 할 수 있다. 사용자 인터페이스(330)는, 도 2에 관련하여 위에서 설명된 프로세스에 따라, 외부 디바이스와 통신들을 개시하고; 메모리(312)에 데이터를 기록하고 메모리(312)로부터 데이터를 판독하고; 보안 정보를 네트워크 노드에 제공하기 위하여 작업 명령 애플리케이션 프로세스를 개시하기 위한 사용자-소프트웨어 상호작용 세션을 가능하게 할 수 있다.
[0047] 디스플레이(328), 키패드(320), 방향 패드(도 3에 도시되지 않음) 및 방향 노브(도 3에 도시되지 않음)는 집합적으로, MCD(104)의 하나 또는 그 초과의 소프트웨어 애플리케이션들 또는 기능들을 개시하기 위한 수단을 사용자에게 제공할 수 있다. 애플리케이션 소프트웨어(352-358)는, (a) 사용자와 MCD(104), (b) SRC를 통해 MCD(104)와 네트워크 노드, 및/또는 (c) MCD(102)와 네트워크 노드의 서버가 비-SRC를 통해(예컨대, 공중 네트워크 통신들을 통해) 제공하는 데이터 교환을 가능하게 할 수 있다. 이에 관하여, 애플리케이션 소프트웨어(352-358)는 다음 중 하나 또는 그 초과를 수행한다: 인증 프로세스를 통하여 MCD(104)의 사용자의 아이덴티티를 검증; 그/그녀의 아이덴티티가 검증되었거나 검증되지 않았음을 표시하는 정보를 사용자에게 제시; 특정 작업 명령에 따라 보안 정보를 얻고 고객 설비에 설치되고 있는 네트워크 노드들에 통신하기 위하여 사용자가 작업 명령 프로세스를 개시하게 하기 위하여 "GUI"(Graphical User Interface)를 사용자에게 제시.
[0048] 이제 도 4를 참조하여, 도 1의 네트워크 노드(108)에 대한 예시적인 아키텍처의 블록 다이어그램이 제공된다. 특히, 네트워크 노드(108)는 도 4에 도시된 것보다 많거나 적은 컴포넌트들을 포함할 수 있다. 그러나, 도시된 컴포넌트들은 본 발명을 구현하는 예시적인 실시예를 개시하는데 충분하다. 도 4의 하드웨어 아키텍처는 네트워크 노드에 서버 기반 보안 관리자 애플리케이션으로부터의 보안 정보의 안전하고, 사이트 특정한, 레이트 스테이지 전달의 제공을 가능하게 하도록 구성된 대표적인 네트워크 노드의 일 실시예를 표현한다. 이로써, 도 4의 네트워크 노드(108)는 본 발명의 실시예들에 따라 네트워크 노드(108)에 서버 기반 보안 관리자 애플리케이션으로부터의 보안 정보의 그런 안전하고, 사이트 특정이고, 레이트 스테이지 전달을 제공하기 위한 방법의 적어도 일부를 구현한다. 네트워크 노드(108)의 일부 또는 모든 컴포넌트들은 하드웨어, 소프트웨어 및/또는 하드웨어와 소프트웨어의 조합으로서 구현될 수 있다. 하드웨어는 하나 또는 그 초과의 전자 회로들(그러나 이들로 제한되지 않음)을 포함한다. 전자 회로들은 수동 컴포넌트들(예컨대, 레지스터들 및 캐패시터들) 및/또는 능동 컴포넌트들(예컨대, 증폭기들 및/또는 마이크로프로세서들)(그러나 이들로 제한되지 않음)을 포함할 수 있다. 수동 및/또는 능동 컴포넌트들은 위에서 설명된 방법론들, 절차들, 또는 기능들 중 하나 또는 그 초과를 수행하도록 적응되고, 배열되고 및/또는 프로그래밍될 수 있다.
[0049] 도 4에 도시된 바와 같이, 네트워크 노드(108)는 사용자 인터페이스(402), "CPU"(Central Processing Unit)(406), 시스템 버스(410), 시스템 버스(410)를 통해 네트워크 노드(108)의 다른 부분들에 연결되고 그 부분들에 의해 액세스 가능한 메모리(412), 및 시스템 버스(410)에 연결된 하드웨어 엔티티들(414)을 포함한다. 사용자 인터페이스는 입력 디바이스들(예컨대, 키패드(450)) 및 출력 디바이스들(예컨대, 스피커(452), 디스플레이(454), 진동 디바이스(458) 및/또는 발광 다이오드들(456))을 포함할 수 있고, 이는 네트워크 노드(108)의 동작들을 제어하기 위한 사용자-소프트웨어 상호작용들을 가능하게 한다.
[0050] 하드웨어 엔티티들(414) 중 적어도 일부는 "RAM"(Random Access Memory), 디스크 드라이버 및/또는 "CD-ROM"(Compact Disc Read Only Memory)일 수 있는 메모리(412)에 액세스하고 사용하는 것을 포함하는 동작들을 수행한다. 네트워크 노드(108)는 또한 바코드 판독기/기록기(430), SRC 유닛(432) 및 광학 판독/기록 유닛을 포함한다. SRC 유닛(432)은 NFC 기술, IR 기술, Wi-Fi 기술, RFID 기술, 블루투스 기술, 및/또는 지그비 기술을 구현할 수 있다. 비록 광학 판독/기록 유닛(490)이 SRC 유닛(432)으로부터 별개이고 별도인 것으로 도시되지만, 본 발명의 실시예들은 이에 관하여 제한되지 않는다. 광학 판독/기록 유닛(490)은 부가적으로 또는 대안적으로 SRC 유닛(432)의 적어도 일부를 포함한다. 일부 시나리오들에서, 광학 판독/기록 유닛(490)은 광전지들 및 발광 다이오드들(그러나 이들로 제한되지 않음)을 포함할 수 있다.
[0051] 하드웨어 엔티티들(414)은 본원에 설명된 방법론들, 절차들, 또는 기능들 중 하나 또는 그 초과를 구현하도록 구성된 명령들(420)(예컨대, 소프트웨어 코드)의 하나 또는 그 초과의 세트들이 저장되어 있는 컴퓨터-판독가능 저장 매체(418)를 포함하는 디스크 드라이브 유닛(416)을 포함할 수 있다. 명령들(420)은 또한, 네트워크 노드(108)에 의해 명령들의 실행 동안 메모리(412) 및/또는 CPU(406) 내에 완전히 또는 적어도 부분적으로 상주할 수 있다. 메모리(412) 및 CPU(406)는 또한 머신-판독가능 매체들을 구성할 수 있다. 여기서 사용된 바와 같은 용어 "머신-판독가능 매체들"은 명령들(420)의 하나 또는 그 초과의 세트들을 저장하는 단일 매체 또는 다수의 매체들(예컨대, 중앙집중식 또는 분산식 데이터베이스, 및/또는 연관된 캐시들 및 서버들)을 지칭한다. 여기에 사용된 바와 같은 용어 "머신-판독가능 매체들"은 또한 네트워크 노드(108)에 의해 실행하기 위한 명령들(420)의 세트를 저장, 인코딩 또는 운반할 수 있고 그리고 네트워크(108)로 하여금 본 개시내용의 방법론들 중 임의의 하나 또는 그 초과를 수행하게 하는 임의의 매체를 지칭한다.
[0052] 본 발명의 일부 실시예들에서, 하드웨어 엔티티들(414)은 네트워크 링크를 통해 안전한 통신들의 제공을 가능하게 하도록 프로그래밍된 전자 회로(예컨대, 프로세서)를 포함한다. 이에 관하여, 전자 회로가 네트워크 노드(108) 상에 설치된 소프트웨어 애플리케이션(424)을 액세스 및 실행할 수 있다는 것이 이해되어야 한다. 소프트웨어 애플리케이션(424)은 일반적으로, 네트워크 노드(108)가 멤버인 주어진 네트워크의 다른 네트워크 노드들과의 안전한 통신들을 가능하게 하도록 동작한다. 이에 관하여, 소프트웨어 애플리케이션(424)은 도 2에 관련하여 위에서 설명된 작업 명령 프로세스의 일부 또는 모두를 구현한다.
[0053] 본원에 개시되고 청구된 장치, 방법들, 및 알고리즘의 모두는 본 개시내용을 고려하여 과도한 실험 없이 만들어지고 실행될 수 있다. 본 발명이 바람직한 실시예들의 측면에서 설명되었지만, 본 발명의 개념, 사상 및 범위에서 벗어남이 없이 변형들이 장치, 방법들 및 방법 단계들의 시퀀스에 적용될 수 있다는 것이 당업자들에게 자명할 것이다. 보다 구체적으로, 특정 컴포넌트들이 본원에 설명된 컴포넌트들에 부가, 조합, 또는 대체될 수 있지만 동일하거나 유사한 결과들이 달성될 것이 자명할 것이다. 당업자들에게 자명한 모든 그런 유사한 대체들 및 수정들은 정의된 바와 같은 본 발명의 사상, 범위 및 개념 내에 있는 것으로 여겨진다.
[0054] 위에서 개시된 피처들 및 기능들뿐 아니라, 대안들은 많은 다른 상이한 시스템들 또는 애플리케이션들로 조합될 수 있다. 다양한 현재 예측하지 못하거나 기대하지 않은 대안들, 수정들, 변형들 또는 개선들은 당업자들에 의해 만들어질 수 있고, 그 각각은 또한 개시된 실시예들에 의해 포함되도록 의도된다.

Claims (20)

  1. 네트워크 노드 보안 구성을 위한 방법으로서,
    제1 단거리 통신 링크를 통해 고객 설비에 설치될 네트워크 노드로부터 고유 식별자를 얻기 위한 동작들을 모바일 통신 디바이스에 의해 수행하는 단계;
    상기 고유 식별자를 포함하는 신호를 상기 모바일 통신 디바이스로부터 제1 장거리 통신 링크를 통해 원격 서버에 통신하는 단계;
    올바른 타입의 네트워크 노드가 각각의 작업 명령에 따라 상기 고객 설비 내의 제1 위치에 설치되고 있는지를 상기 원격 서버에 의해 검증하는 단계; 및
    상기 네트워크 노드의 보안 기능들을 구성하는데 유용한 보안 정보를 상기 모바일 통신 디바이스의 사용자에게 제시하거나 상기 보안 정보를 상기 모바일 통신 디바이스에 저장함이 없이, 상기 보안 정보를 상기 원격 서버로부터 상기 모바일 통신 디바이스를 통해 상기 네트워크 노드에 통신하는 단계
    를 포함하는,
    네트워크 노드 보안 구성을 위한 방법.
  2. 제1항에 있어서,
    상기 신호는, 상기 네트워크 노드가 설치될 상기 고객 설비 내의 위치, 상기 모바일 통신 디바이스의 사용자에 의해 선택된 특정 작업 명령, 및 상기 네트워크 노드에 대한 노드 타입 중 적어도 하나를 특정하는 정보를 더 포함하는,
    네트워크 노드 보안 구성을 위한 방법.
  3. 제1항에 있어서,
    상기 네트워크 노드로부터 단거리 통신 링크를 통하여 상기 모바일 통신 디바이스에 의해 얻어진 정보에 적어도 부분적으로 기반하여 어떤 보안 정보가 상기 네트워크 노드에 전송될지를 상기 원격 서버에 의해 식별하는 단계를 더 포함하는,
    네트워크 노드 보안 구성을 위한 방법.
  4. 제1항에 있어서,
    상기 고객 설비로부터 원격으로 위치된 제공자 설비에 위치된 데이터저장소로부터 상기 원격 서버에 의해 식별된 상기 보안 정보를 리트리빙(retrieving)하는 단계를 더 포함하는,
    네트워크 노드 보안 구성을 위한 방법.
  5. 제1항에 있어서,
    상기 보안 정보는 암호화된(encrypted) 형태로 상기 원격 서버로부터 통신되는,
    네트워크 노드 보안 구성을 위한 방법.
  6. 제1항에 있어서,
    상기 네트워크 노드의 단거리 통신 디바이스에 상기 보안 정보를 저장하는 단계를 더 포함하는,
    네트워크 노드 보안 구성을 위한 방법.
  7. 제6항에 있어서,
    상기 네트워크 노드가 턴 온(ON)된 후 상기 보안 정보를 상기 단거리 통신 디바이스로부터 상기 네트워크 노드의 프로세서로 전달하는 단계를 더 포함하는,
    네트워크 노드 보안 구성을 위한 방법.
  8. 제7항에 있어서,
    상기 프로세서에 전달된 상기 보안 정보에 따라 상기 네트워크 노드의 보안 기능들을 구성하는 단계를 더 포함하는,
    네트워크 노드 보안 구성을 위한 방법.
  9. 제8항에 있어서,
    상기 네트워크 노드의 성공적인 보안 활성화를 표시하는 표시자를 상기 네트워크 노드로부터 출력하는 단계를 더 포함하는,
    네트워크 노드 보안 구성을 위한 방법.
  10. 제9항에 있어서,
    상기 보안 정보에 따라 구성된 상기 보안 기능들을 사용하여 네트워크에 연결하기 위한 동작들을 상기 네트워크 노드에 의해 수행하는 단계를 더 포함하는,
    네트워크 노드 보안 구성을 위한 방법.
  11. 시스템으로서,
    고객 설비에 설치될 때 단거리 통신 링크를 통하여 모바일 통신 디바이스로 통신되는 고유 식별자를 포함하는 적어도 하나의 네트워크 노드; 및
    (1) 상기 모바일 통신 디바이스로부터 제1 장거리 통신 링크를 통해 상기 고유 식별자를 포함하는 신호를 수신하고, (2) 올바른 타입의 네트워크 노드가 각각의 작업 명령에 따라 상기 고객 설비 내의 제1 위치에 설치되고 있는지를 검증하고, 그리고 (3) 보안 정보를 상기 모바일 통신 디바이스의 사용자에게 제시하거나 상기 보안 정보를 상기 모바일 통신 디바이스에 저장함이 없이, 상기 보안 정보를 상기 모바일 통신 디바이스를 통하여 상기 네트워크 노드에 통신하는 원격 서버
    를 포함하는,
    시스템.
  12. 제11항에 있어서,
    상기 신호는, 상기 네트워크 노드가 설치될 상기 고객 설비 내의 위치, 상기 모바일 통신 디바이스의 사용자에 의해 선택된 특정 작업 명령, 및 상기 네트워크 노드에 대한 노드 타입 중 적어도 하나를 특정하는 정보를 더 포함하는,
    시스템.
  13. 제11항에 있어서,
    상기 원격 서버는 추가로 상기 네트워크 노드로부터 단거리 통신 링크를 통하여 상기 모바일 통신 디바이스에 의해 얻어진 정보에 적어도 부분적으로 기반하여 어떤 보안 정보가 상기 네트워크 노드에 전송될지를 식별하는,
    시스템.
  14. 제11항에 있어서,
    상기 원격 서버는 추가로 상기 고객 설비로부터 원격으로 위치된 제공자 설비에 위치된 데이터저장소로부터 이에 의해 이전에 식별된 상기 보안 정보를 리트리빙하는,
    시스템.
  15. 제11항에 있어서,
    상기 보안 정보는 암호화된 형태로 상기 원격 서버로부터 통신되는,
    시스템.
  16. 제11항에 있어서,
    상기 네트워크 노드는 상기 네트워크 노드의 단거리 통신 디바이스에 상기 보안 정보를 저장하는,
    시스템.
  17. 제16항에 있어서,
    상기 보안 정보는, 상기 네트워크 노드가 턴 온(ON)된 후 상기 단거리 통신 디바이스로부터 상기 네트워크 노드의 프로세서로 전달되는,
    시스템.
  18. 제17항에 있어서,
    상기 네트워크 노드의 보안 기능들은 상기 프로세서에 전달된 상기 보안 정보에 따라 구성되는,
    시스템.
  19. 제18항에 있어서,
    상기 네트워크 노드의 성공적인 보안 활성화를 표시하는 표시자가 상기 네트워크 노드로부터 출력되는,
    시스템.
  20. 제19항에 있어서,
    상기 네트워크 노드는 상기 보안 정보에 따라 구성된 상기 보안 기능들을 사용하여 네트워크에 연결하는,
    시스템.
KR1020167030029A 2014-03-28 2015-03-27 단거리 통신을 사용한 네트워크 노드 보안 KR102292007B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US14/229,318 US9477841B2 (en) 2014-03-28 2014-03-28 Network node security using short range communication
US14/229,318 2014-03-28
PCT/US2015/023139 WO2015149004A1 (en) 2014-03-28 2015-03-27 Network node security using short range communication

Publications (2)

Publication Number Publication Date
KR20160146753A KR20160146753A (ko) 2016-12-21
KR102292007B1 true KR102292007B1 (ko) 2021-08-20

Family

ID=52875795

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020167030029A KR102292007B1 (ko) 2014-03-28 2015-03-27 단거리 통신을 사용한 네트워크 노드 보안

Country Status (8)

Country Link
US (2) US9477841B2 (ko)
EP (1) EP3123665B1 (ko)
KR (1) KR102292007B1 (ko)
CN (1) CN106416187B (ko)
AU (1) AU2015237203B2 (ko)
CA (1) CA2947001A1 (ko)
HK (1) HK1231648A1 (ko)
WO (1) WO2015149004A1 (ko)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9621227B2 (en) * 2014-08-29 2017-04-11 Freelinc Technologies Proximity boundary based communication using radio frequency (RF) communication standards
JP6658706B2 (ja) * 2017-09-22 2020-03-04 カシオ計算機株式会社 同行者判定装置、同行者判定システム、同行者判定方法及びプログラム
US10924890B2 (en) * 2017-10-20 2021-02-16 Hewlett-Packard Development Company, L.P. Device policy enforcement
US20200014591A1 (en) * 2018-07-06 2020-01-09 Hitachi, Ltd. Method and system of device deployment integrating with automatic configuration and asset management
US11172535B2 (en) * 2019-03-21 2021-11-09 Eagle Technology Systems and methods for personnel accountability and tracking during public safety incidents

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030200285A1 (en) * 2002-04-19 2003-10-23 Hansen James R. Configuring a network gateway

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070288765A1 (en) * 1999-12-22 2007-12-13 Kean Thomas A Method and Apparatus for Secure Configuration of a Field Programmable Gate Array
GB9930145D0 (en) * 1999-12-22 2000-02-09 Kean Thomas A Method and apparatus for secure configuration of a field programmable gate array
US7240218B2 (en) * 2000-02-08 2007-07-03 Algotronix, Ltd. Method of using a mask programmed key to securely configure a field programmable gate array
US20030212779A1 (en) * 2002-04-30 2003-11-13 Boyter Brian A. System and Method for Network Security Scanning
US7831828B2 (en) * 2004-03-15 2010-11-09 Cardiac Pacemakers, Inc. System and method for securely authenticating a data exchange session with an implantable medical device
US8606875B1 (en) 2004-06-30 2013-12-10 Oracle America, Inc. Method and system for automatic distribution and installation of a client certificate in a secure manner
FI20050491A0 (fi) 2005-05-09 2005-05-09 Nokia Corp Järjestelmä varmenteiden toimittamiseksi viestintäjärjestelmässä
US8239286B2 (en) * 2006-06-29 2012-08-07 Microsoft Corporation Medium and system for location-based E-commerce for mobile communication devices
EP2096505A1 (en) 2008-02-26 2009-09-02 ABB Research Ltd. Methods, products and system for configuring a new node of an industrial wireless network
US20120066767A1 (en) * 2010-09-13 2012-03-15 Nokia Corporation Method and apparatus for providing communication with a service using a recipient identifier
US8763094B1 (en) 2011-09-14 2014-06-24 Google Inc. Network configuration and authorization
US9342806B2 (en) * 2013-02-28 2016-05-17 P800X, Llc Method and system for automated project management

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030200285A1 (en) * 2002-04-19 2003-10-23 Hansen James R. Configuring a network gateway

Also Published As

Publication number Publication date
WO2015149004A1 (en) 2015-10-01
US20170034218A1 (en) 2017-02-02
AU2015237203A1 (en) 2016-11-10
EP3123665A1 (en) 2017-02-01
KR20160146753A (ko) 2016-12-21
AU2015237203B2 (en) 2018-03-08
US9477841B2 (en) 2016-10-25
US9742810B2 (en) 2017-08-22
CN106416187A (zh) 2017-02-15
CN106416187B (zh) 2019-11-26
CA2947001A1 (en) 2015-10-01
US20150281280A1 (en) 2015-10-01
HK1231648A1 (zh) 2017-12-22
EP3123665B1 (en) 2020-09-23

Similar Documents

Publication Publication Date Title
US10925102B2 (en) System and method for NFC peer-to-peer authentication and secure data transfer
EP3314977B1 (en) Systems, methods, and apparatus to configure embedded devices
KR102304778B1 (ko) 소프트웨어 애플리케이션에서 초기에 신뢰를 설정하고 주기적으로 확인하기 위한 시스템 및 방법
US9742810B2 (en) Network node security using short range communication
CN105556892A (zh) 用于安全通信的系统和方法
CN105408910A (zh) 用于利用无线通信令牌在操作系统被引导之前对由用户对操作系统的访问进行验证的系统和方法
US9307403B2 (en) System and method for NFC peer-to-peer authentication and secure data transfer
AU2014340234A1 (en) Facilitating secure transactions using a contactless interface
US11362896B2 (en) Devices, systems and processes for rapid install of IoT devices
CN116964987A (zh) 建立认证持续性
US20200372489A1 (en) Resource transfer based on near field communication
US10911954B2 (en) Dynamic data package access for mobile device
KR102650721B1 (ko) 원격 결제를 처리하는 전자 장치 및 결제 방법
KR101853970B1 (ko) 인증번호 중계 방법
KR101604927B1 (ko) Nfc를 이용한 자동 접속 시스템 및 방법
JP6801448B2 (ja) 電子情報記憶媒体、認証システム、認証方法、及び認証アプリケーションプログラム
KR102534032B1 (ko) 지문 인식을 이용한 보안 강화를 위한 전자 도장 시스템, 그의 제어 방법 및 컴퓨터 프로그램이 기록된 기록매체
KR20150014595A (ko) 시간 검증을 이용한 엔에프씨카드 인증 방법
JP2016096452A (ja) 移動端末及び無線通信システム
CN114731505A (zh) 用于在装置之间的包传输后设置包的状态的方法和设备
da Rocha Babo Generic and Parameterizable Service for Remote Configuration of Mobile Phones Using Near Field Communication

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant