KR102292526B1 - 네트워크 비디오 레코더를 위한 보안 인증 장치 및 방법 - Google Patents

네트워크 비디오 레코더를 위한 보안 인증 장치 및 방법 Download PDF

Info

Publication number
KR102292526B1
KR102292526B1 KR1020210037196A KR20210037196A KR102292526B1 KR 102292526 B1 KR102292526 B1 KR 102292526B1 KR 1020210037196 A KR1020210037196 A KR 1020210037196A KR 20210037196 A KR20210037196 A KR 20210037196A KR 102292526 B1 KR102292526 B1 KR 102292526B1
Authority
KR
South Korea
Prior art keywords
terminal
pseudo
message
processor
nvr
Prior art date
Application number
KR1020210037196A
Other languages
English (en)
Inventor
박영선
조경제
남수만
김준걸
이진우
Original Assignee
주식회사 두두아이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 두두아이티 filed Critical 주식회사 두두아이티
Priority to KR1020210037196A priority Critical patent/KR102292526B1/ko
Application granted granted Critical
Publication of KR102292526B1 publication Critical patent/KR102292526B1/ko
Priority to US17/572,646 priority patent/US11778146B2/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/065Encryption by serially and continuously modifying data stream elements, e.g. stream cipher systems, RC4, SEAL or A5/3
    • H04L9/0656Pseudorandom key sequence combined element-for-element with data sequence, e.g. one-time-pad [OTP] or Vernam's cipher
    • H04L9/0662Pseudorandom key sequence combined element-for-element with data sequence, e.g. one-time-pad [OTP] or Vernam's cipher with particular pseudorandom sequence generator
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/088Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/20Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
    • H04N21/23Processing of content or additional data; Elementary server operations; Server middleware
    • H04N21/238Interfacing the downstream path of the transmission network, e.g. adapting the transmission rate of a video stream to network bandwidth; Processing of multiplex streams
    • H04N21/2381Adapting the multiplex stream to a specific network, e.g. an Internet Protocol [IP] network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/20Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
    • H04N21/27Server based end-user applications
    • H04N21/274Storing end-user multimedia data in response to end-user request, e.g. network recorder
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N7/00Television systems
    • H04N7/18Closed-circuit television [CCTV] systems, i.e. systems in which the video signal is not broadcast
    • H04N7/181Closed-circuit television [CCTV] systems, i.e. systems in which the video signal is not broadcast for receiving images from a plurality of remote sources

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Multimedia (AREA)
  • Power Engineering (AREA)
  • Television Signal Processing For Recording (AREA)
  • Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)

Abstract

프로세서가, 단말 정보를 이용하여 수도-랜덤(Pseudo-random) 함수 집합에 포함되는 복수의 수도-랜덤 함수 각각에 대해 단말 고유 인덱스를 부여하는 단계, 상기 통신부가, 소정 유효 시간을 갖는 세션키와 상기 단말 고유 인덱스가 부여된 수도-랜덤 함수 집합을 단말로 전송하는 단계, 상기 프로세서가, 상기 단말로부터 수신된 제1 메시지의 미리 약속된 비트열을 이용하여 상기 제1 메시지를 인증하기 위한 제1 단말 고유 인덱스를 계산하는 단계, 상기 프로세서가, 상기 계산된 제1 단말 고유 인덱스를 이용하여 상기 제1 메시지를 인증하기 위한 제1 수도-랜덤 함수를 선택하는 단계, 상기 프로세서가, 상기 제1 수도-랜덤 함수에 상기 세션키 및 상기 단말의 맥 어드레스를 입력하여 상기 제1 메시지를 인증하기 위한 상기 단말의 제1 독립적인 개인키를 생성하는 단계 및 상기 제1 독립적인 개인키를 이용하여 상기 제1 메시지에 대한 메시지 인증 코드를 생성하고, 상기 단말로부터 수신된 제1 메시지를 인증하는 단계를 포함하는 NVR의 보안 유지 방법이 제공된다.

Description

네트워크 비디오 레코더를 위한 보안 인증 장치 및 방법{APPARATUS AND METHOD FOR AUTHENTICATING NETWORK VIDEO RECORDER SECURITY}
이하의 설명은 네트워크 비디오 레코더를 위한 보안 인증 장치 및 방법에 관한 것이다. 보다 구체적으로, 수도-랜덤(Pseudo-random) 함수 집합을 이용하여 각각의 메시지에 대해 서로 다른 독립적인 개인키를 생성하는 방식으로 네트워크 보안을 강화하는 장치 및 방법에 관한 것이다.
네트워크 비디오 레코더(Network Video Recorder, NVR) 시스템은 감시 시스템을 구성하는 카메라, 비디오, 네트워크 레코더, 모니터링의 네 가지 요소 전체를 디지털화하는 감시 장치로, 키보드와 마우스를 기본으로 전체 시스템을 제어하는 네트워크 처리와 고화질 영상처리를 핵심으로 하는 시스템이다. IP 네트워크 카메라에서 직접 디지털 이미지 신호를 받아 처리하기 때문에 네트워크가 존재하는 곳이라면 어디든 설치할 수 있다는 점에서, 카메라 설치 장소에서 크게 벗어날 수 없는 디지털 비디오 레코더(Digital Video Recorder, DVR)와는 차이가 있다.
그러나, 기존의 NVR의 경우에는 개별적인 IP-CCTV와의 네트워크 선로 상의 녹화 영상 절취(sniffing)에 취약하다는 문제점이 존재한다. 또한, 공동의 키를 이용하는 경우에는 다수의 선로 중에서 어느 취약한 1 개의 선로를 통한 키 유출만으로 나머지 선로의 영상 절취가 가능하다는 점에서 보안 상의 해결책이 필요하다.
대한민국 등록특허 제10-2069713호 대한민국 등록특허 제10-2007221호 대한민국 등록특허 제10-2069713호에는 사용자의 지문 정보를 기반으로 로그인 인증 여부를 판단하는 네트워크 비디오 레코더의 보안 시스템이 개시된다. 구체적으로, 대상특허에는 관리 서버가 마우스 일체형 지문 인식부를 통해 인식된 사용자 지문 정보와 네트워크 비디오 레코더에 저장되어 있는 관리자 지문 정보를 대비하여 로그인 인증 여부를 판단하는 구성이 개시된다. 그러나, 대상특허는 관리 서버로부터 개별적인 사용자의 지문 데이터가 유출될 경우에 보안 상의 문제가 생길 수 있는 위험성이 존재한다.
적어도 하나의 실시 예에 따르면, NVR에 포함되는 프로세서가 단말 정보를 이용하여 수도-랜덤(Pseudo-random) 함수 집합에 포함되는 복수의 수도-랜덤 함수 각각에 대해 단말 고유 인덱스를 부여함으로써 개별적인 메시지를 인증하기 위한 독립적인 개인키를 생성하고, 해당 메시지를 인증하는 NVR의 보안 유지 방법 및 장치가 도시된다.
일 측면에 따르면, 프로세서와 통신부를 포함하는 NVR(network video recorder)의 보안 유지 방법이 제공된다. 상기 NVR의 보안 유지 방법은 상기 프로세서가, 단말 정보를 이용하여 수도-랜덤(Pseudo-random) 함수 집합에 포함되는 복수의 수도-랜덤 함수 각각에 대해 단말 고유 인덱스를 부여하는 단계, 상기 통신부가, 소정 유효 시간을 갖는 세션키와 상기 단말 고유 인덱스가 부여된 수도-랜덤 함수 집합을 단말로 전송하는 단계, 상기 프로세서가, 상기 단말로부터 수신된 제1 메시지의 미리 약속된 비트열을 이용하여 상기 제1 메시지를 인증하기 위한 제1 단말 고유 인덱스를 계산하는 단계, 상기 프로세서가, 상기 계산된 제1 단말 고유 인덱스를 이용하여 상기 제1 메시지를 인증하기 위한 제1 수도-랜덤 함수를 선택하는 단계, 상기 프로세서가, 상기 제1 수도-랜덤 함수에 상기 세션키 및 상기 단말의 맥 어드레스를 입력하여 상기 제1 메시지를 인증하기 위한 상기 단말의 제1 독립적인 개인키를 생성하는 단계 및 상기 제1 독립적인 개인키를 이용하여 상기 제1 메시지에 대한 메시지 인증 코드를 생성하고, 상기 단말로부터 수신된 제1 메시지를 인증하는 단계를 포함할 수 있다.
일 실시 예에 따르면, 상기 단말 고유 인덱스를 부여하는 단계는 상기 프로세서가, 상기 수도-랜덤 함수 집합 Funcpr에 포함되는 수도-랜덤 함수 fn(n는 1 이상 정수) 각각과 단말에 따라 정의되는 단말 고유 인덱스 ku를 일 대 일 매핑하는 단계를 포함할 수 있다.
다른 일 실시 예에 따르면, 상기 제1 단말 고유 인덱스를 계산하는 단계는 수학식 1에 기초하여 상기 제1 단말 고유 인덱스 k1 u를 계산하는 단계를 포함하고, 상기 수학식 1은
Figure 112021033901362-pat00001
이고, 상기 pi는 상기 제1 메시지에 포함되는 미리 약속된 비트열 중 i 번째 비트를 나타내고, 상기 N는 수도-랜덤 함수 집합에 포함되는 수도-랜덤 함수의 개수일 수 있다.
또 다른 일 실시 예에 따르면, 상기 제1 수도-랜덤 함수를 선택하는 단계는 상기 수도-랜덤 함수 집합 Funcpr 내에서 상기 제1 단말 고유 인덱스 k1 u에 매핑된 제1 수도-랜덤 함수를 선택하는 단계를 포함할 수 있다.
도 1은 일 실시 예에 따른 NVR과 복수의 IP-CCTV의 동작 관계를 설명하기 위한 예시도이다.
도 2는 일 실시 예에 따른 NVR을 설명하기 위한 블록도이다.
도 3은 도 2에서 설명된 NVR과 하나의 IP-CCTV 사이의 메시지 송수신을 위한 통신 과정을 설명하는 흐름도이다.
도 4는 도 2에서 설명된 NVR이 각각의 IP-CCTV에 대한 단말 고유 인덱스를 부여하는 과정을 설명하는 예시도이다.
도 5는 다른 일 실시 예에 따른 NVR이 수신된 제1 메시지를 인증하는 과정을 설명하는 흐름도이다.
실시 예들에 대한 특정한 구조적 또는 기능적 설명들은 단지 예시를 위한 목적으로 개시된 것으로서, 다양한 형태로 변경되어 실시될 수 있다. 따라서, 실시 예들은 특정한 개시형태로 한정되는 것이 아니며, 본 명세서의 범위는 기술적 사상에 포함되는 변경, 균등물, 또는 대체물을 포함한다.
제1 또는 제2 등의 용어를 다양한 구성요소들을 설명하는데 사용될 수 있지만, 이런 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 해석되어야 한다. 예를 들어, 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소는 제1 구성요소로도 명명될 수 있다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다.
단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 명세서에서, "포함하다" 또는 "가지다" 등의 용어는 기재된 특징, 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함으로 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 해당 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가진다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 갖는 것으로 해석되어야 하며, 본 명세서에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하, 실시예들을 첨부된 도면들을 참조하여 상세하게 설명한다. 첨부 도면을 참조하여 설명함에 있어, 도면 부호에 관계없이 동일한 구성 요소는 동일한 참조 부호를 부여하고, 이에 대한 중복되는 설명은 생략하기로 한다.
도 1은 일 실시 예에 따른 NVR과 복수의 IP-CCTV의 동작 관계를 설명하기 위한 예시도이다. 도 1을 참조하면, NVR(네트워크 비디오 레코더, network video recorder)(110)은 복수의 IP-CCTV(121, 122, 123, 124, 125)와 통신 네트워크에 인해 연결될 수 있다. 각각의 IP-CCTV(121, 122, 123, 124, 125)는 감시하고자 하는 대상 지역에 설치되고, 촬영된 영상 데이터를 통신 네트워크를 통해 NVR(110)로 전송할 수 있다.
NVR(110)은 복수의 IP-CCTV(121, 122, 123, 124, 125)로부터 전송되는 영상 데이터를 저장하고, 사용자 인터랙션에 반응하여 미리 저장된 영상 데이터 또는 어느 하나의 IP-CCTV에 의해 실시간으로 촬영되는 영상 데이터를 디스플레이한다.
종래에는 NVR(110)과 복수의 IP-CCTV(121, 122, 123, 124, 125)의 데이터 통신 과정에서 암호화를 위한 SSH(secure shell) 프로토콜이나 키 기반화 암호화 기법 등이 이용되었다. 그러나, 종래 암호화 기법의 경우에는 n 개의 선로 중 취약한 1 개의 선로의 키 유출이나 내부자에 의한 키 유출 시에 정보 유출의 위험성이 높아졌다. 이하에서는 IP-CCTV의 개별적인 MAC 주소 기반의 키 할당 알고리즘에 기반하여, 1 개 선로가 노출되더라도 나머지 선로의 안전이 보장되는 NVR의 보안 인증 방법이 설명된다.
도 2는 일 실시 예에 따른 NVR을 설명하기 위한 블록도이다. 도 2를 참조하면, NVR(200)은 통신부(210)와 프로세서(220)를 포함할 수 있다. 프로세서(220)는 NVR(200)에 연결되는 IP-CCTV의 단말 정보를 이용하여 수도-랜덤(Pseudo-random) 함수 집합에 포함되는 복수의 수도-랜덤 함수 각각에 대해 단말 고유 인덱스를 부여할 수 있다. 이하의 설명에서, 수도-랜덤 함수는 입력되는 시드값에 기반하여 임의적으로 선택된 난수를 출력하는 함수를 나타낸다. 프로세서(220)가 각각의 IP-CCTV의 단말 정보에 따라 복수의 수도-랜덤 함수 각각에 대해 단말 고유 인덱스를 부여하는 과정에 대해서는 이하에서 추가된 도 4를 통해 보다 자세히 설명된다.
통신부(210)는 통신 인터페이스를 포함하는 통신 모듈의 형태로 구현될 수 있다. 이를테면, 통신 인터페이스는 WLAN(Wireless LAN), WiFi(Wireless Fidelity) Direct, DLNA(Digital Living Network Alliance), Wibro(Wireless broadband), Wimax(World Interoperability for Microwave Access), HSDPA(High Speed Downlink Packet Access) 등의 무선 인터넷 인터페이스와 블루투스(Bluetooth™), RFID(Radio Frequency Identification), 적외선 통신(Infrared Data Association; IrDA), UWB(Ultra Wideband), ZigBee, NFC(Near Field Communication) 등의 근거리 통신 인터페이스를 포함할 수 있다. 뿐만 아니라, 통신 인터페이스는 외부와 통신을 수행할 수 있는 모든 인터페이스(예를 들어, 유선 인터페이스)를 나타낼 수 있다.
통신부(210)는 접속 요청을 시도하는 IP-CCTV로 소정 유효 시간을 갖는 세션키와 단말 고유 인덱스가 부여된 수도-랜덤 함수 집합을 전송할 수 있다. 또한, 통신부(210)는 특정한 IP-CCTV로부터 특정한 영상 데이터를 포함하는 제1 메시지를 포함하는 데이터 패킷을 수신할 수 있다.
이 경우에, 프로세서(220)는 단말로부터 수신된 제1 메시지의 미리 약속된 비트열을 이용하여 상기 제1 메시지를 인증하기 위한 제1 단말 고유 인덱스를 계산할 수 있다. 또한, 프로세서(220)는 계산된 제1 단말 고유 인덱스를 이용하여 제1 메시지를 인증하기 위한 제1 수도-랜덤 함수를 사전 공유된 수도-랜덤 함수 집합으로부터 선택할 수 있다.
프로세서(220)는 제1 수도-랜덤 함수에 세션키 및 제1 메시지를 전송한 IP-CCTV의 맥 어드레스를 입력하여 제1 메시지를 인증하기 위한 제1 독립적인 개인키를 생성할 수 있다. 또한, 프로세서(220)는 제1 독립적인 개인키를 이용하여 제1 메시지에 대한 메시지 인증 코드를 생성하고, IP-CCTV로부터 수신된 메시지 인증 코드와의 비교를 통해서 제1 메시지를 인증할 수 있다. 이에 따라, NVR(200)은 개별적인 IP-CCTV로부터 수신된 요청(request) 메시지나 영상 데이터가 약속된 IP-CCTV로부터 수신된 것인지에 대한 인증을 수행할 수 있다.
도 3은 도 2에서 설명된 NVR과 하나의 IP-CCTV 사이의 메시지 송수신을 위한 통신 과정을 설명하는 흐름도이다. 도 3을 참조하면, NVR(310)과 제1 IP-CCTV(321) 사이의 데이터 통신 과정이 도시된다. 도 3에 도시되지는 않았지만, NVR(310)은 통신 네트워크에 의해 연결된 IP-CCTV로부터 접속 요청(access request)에 대한 메시지를 수신할 수 있다. 또한, NVR(310)은 IP-CCTV로부터 전달되는 사용자 정보(예. 아이디 정보, 비밀번호 정보)를 인증하는 방식으로 IP-CCTV에 대한 사용자를 인증할 수 있다. 이 경우에, NVR(310)은 접속 요청 메시지를 전송하는 제1 IP-CCTV에 대한 단말 정보를 이용하여 수도-랜덤 함수 집합 Funcpr에 포함되는 복수의 수도-랜덤 함수 각각에 대해 단말 고유 인덱스를 부여할 수 있다. 예시적으로, 단말 정보는 IP-CCTV에 부여된 맥 어드레스일 수 있다. 또한, 이 과정에서 활용될 수 있는 단말 정보는 UUID(universally unique identifier) 등과 같이 NVR(310)에 연결되는 각각의 IP-CCTV들을 고유하게 식별할 수 있는 정보일 수 있다.
구체적으로, NVR(310)에 포함되는 프로세서는 수도-랜덤 함수 집합 Funcpr에 포함되는 수도-랜덤 함수 fn(n는 1 이상 정수) 각각과 단말에 따라 정의되는 단말 고유 인덱스 ku를 일 대 일 매핑할 수 있다. NVR(310)이 복수의 수도-랜덤 함수 fn(n는 1 이상 정수) 각각에 대해 단말 고유 인덱스를 부여하는 과정에 대해서는 도 4를 통해 보다 자세히 설명된다.
도 4는 도 2에서 설명된 NVR이 각각의 IP-CCTV에 대한 단말 고유 인덱스를 부여하는 과정을 설명하는 예시도이다. 도 4를 참조하면, NVR 내의 저장 장치 내에서는 수도-랜덤 함수 집합 Funcpr에 포함되는 각각의 수도-랜덤 함수 fn의 단말 고유 인덱스가 룩 업 테이블(400) 형태로 저장될 수 있다.
예시적으로, NVR이 세 개의 IP-CCTV(단말 u, 단말 t, 단말 v)와 연결된 경우가 존재할 수 있다. 또한, NVR이 데이터 통신 과정에서 암호화를 위해 이용하는 수도-랜덤 함수의 개수가 여섯 개 있는 경우에 대해 설명한다. 수도-랜덤 함수의 개수나 단말의 개수는 이해를 돕기 위한 예시적 설명일 뿐, 다른 실시 예를 제한하거나 한정하는 것으로 해석되어서는 안 될 것이다.
이 경우에, NVR은 단말 u에 대해 수도-랜덤 함수 집합 Funcpr={f1, f2, f3, f4, f5, f6}에 포함되는 여섯 개의 수도-랜덤 함수에 대한 단말 고유 인덱스를 6->1->2->3->4->5의 순서로 임의적으로 배분할 수 있다. 보다 구체적으로, 단말 u에 대한 단말 고유 인덱스는 k1 u=6, k2 u=1, k3 u=2, k4 u=3, k5 u=4, k6 u=5로 정의될 수 있다. 위와 같은 원리로, NVR은 단말 t에 대해 여섯 개의 수도-랜덤 함수에 대한 단말 고유 인덱스의 배열을 2->3->4->5->6->1로 배분할 수 있다. 이 경우에, 단말 t에 대한 단말 고유 인덱스는 k1 t=2, k2 t=3, k3 t=4, k4 t=5, k5 t=6, k6 t=1로 정의될 수 있다. 또한, , NVR은 단말 v에 대해 여섯 개의 수도-랜덤 함수에 대한 단말 고유 인덱스의 배열을 3->4->5->6->1->2로 배분할 수 있다. 이 경우에, 단말 v에 대한 단말 고유 인덱스는 k1 v=3, k2 v=4, k3 v=5, k4 v=6, k5 v=1, k6 v=2로 정의될 수 있다.
NVR에 포함되는 프로세서는 수도-랜덤 함수 집합 Funcpr에 포함되는 수도-랜덤 함수 fn(n는 1 이상 정수) 각각과 단말에 따라 정의되는 단말 고유 인덱스 ku를 일 대 일 매핑할 수 있다.
일 실시 예에 따르면, NVR의 프로세서는 단말 u의 단말 정보에 기반하여 기준 번호를 생성할 수 있다. 예시적으로, 단말 정보는 단말 u에 대응하는 맥 어드레스 또는 UUID일 수 있다. 프로세서는 단말 정보에 대한 미리 지정된 연산을 수행함으로써, 단말 고유 인덱스의 범위(예. 1 이상 6 히아의 정수) 내에 존재하는 기준 번호를 생성한다. 프로세서는 기준 번호에 해당하는 순번에 대해서 단말 고유 인덱스의 범위 내에 존재하는 가장 큰 인덱스를 부여할 수 있다. 예시적으로, 단말 u의 기준 번호가 1로 결정된 경우, 프로세서는 k1 u=6으로 결정할 수 있다. 또한, 프로세서는 가장 큰 인덱스에 대응하는 순번 6에 대해서는 단말 u의 기준 번호 1이 단말 고유 인덱스 k6 u=1로서 부여될 수 있다.
이어서, 프로세서는 기준 번호에 대응하는 단말 고유 인덱스를 제외하고, 나머지 단말 고유 인덱스들의 순번 (k2 u, k3 u, k4 u, k5 u, k6 u)과 해당하는 단말 고유 인덱스 (2, 3, 4, 5, 1)를 소정 횟수만큼 교환하는 방식으로 임의적인 단말 고유 인덱스 부여를 진행한다. 구체적으로, 첫 번째 교환의 경우에 (k2 u, k3 u)가 결정된 경우라면, 기준 번호에 대응하는 단말 고유 인덱스를 제외한 나머지 단말 고유 인덱스들의 순번 (k2 u, k3 u, k4 u, k5 u, k6 u)과 해당 순번 각각에 대응하는 단말 고유 인덱스는 (3, 2, 4, 5, 1)이 되고, 전체 단말 고유 인덱스는 (6, 3, 2, 4, 5, 1)이 된다. 위와 같은 방식으로 프로세서는 미리 지정된 횟수만큼의 단말 고유 인덱스들의 순번과 해당하는 인덱스 번호를 교환하여 랜덤화를 진행한다.
본 실시 예에 따른 NVR은 수도-랜덤 함수 집합 내에서 특정한 수도-랜덤 함수를 선택하기 위한 인덱스를 각각의 IP-CCTV마다 서로 다르게 설정할 수 있다. 단말 고유 인덱스를 랜덤화하는 과정에서 이용되는 기준 번호가 IP-CCTV 각각의 단말 정보(예. 맥 어드레스)로부터 계산되기에 각각의 IP-CCTV에 상응하는 단말 고유 인덱스 배열의 임의성이 강화돨 수 있다. 위와 같은 방법에 따라, 데이터 통신 과정에서 네트워크 내에 존재하는 다른 단말에 의해 수도-랜덤 함수 집합이 노출되는 경우에도, 서로 다른 단말 고유 인덱스를 가지고 통신하는 나머지 IP-CCTV의 보안성을 보장하는 효과를 기대할 수 있다.
다시 도 3을 통해 NVR(310)과 제1 IP-CCTV(321) 사이의 데이터 통신 과정이 상세히 설명된다. 단계(s331)에서 NVR(310)의 통신부는 소정 유효 시간을 갖는 세션키 SKNVR와 상기 단말 고유 인덱스가 부여된 수도-랜덤 함수 집합 Func1pr을 제1 IP-CCTV(321)로 전송할 수 있다. 앞서 설명한 바와 같이, NVR(310)은 제2 IP-CCTV가 접속을 요청하는 경우에는, 단말 고유 인덱스가 새롭게 부여된 제2 수도 랜덤 함수 집합 Func2pr을 제2 IP-CCTV로 전송할 것이다.
단계(s332)에서 제1 IP-CCTV(321)는 NVR(310)로 제1 데이터 패킷을 전송할 수 있다. 단계(s333)에서 NVR(310)의 프로세서는 제1 데이터 패킷에 포함되는 제1 메시지에 대한 인증을 수행할 수 있다. 이어서, 단계(s334)에서 NVR(310)의 통신부는 제1 데이터 패킷에 대한 인증 결과를 제1 IP-CCTV(321)로 전송할 수 있다. 이하에서, 추가되는 도면을 통해 NVR(310)를 인증하는 과정이 보다 자세히 설명된다.
도 5는 다른 일 실시 예에 따른 NVR이 수신된 제1 메시지를 인증하는 과정을 설명하는 흐름도이다. 도 5를 참조하면, NVR이 수신된 제1 메시지를 인증하는 방법(500)은 수신된 제1 메시지의 미리 약속된 비트열을 이용하여, 제1 단말 고유 인덱스를 계산하는 단계(s510), 제1 단말 고유 인덱스를 이용하여 제1 수도-랜덤 함수를 선택하는 단계(s520), 제1 수도-랜덤 함수에 세션키 및 단말의 맥 어드레스를 입력하여 제1 독립적인 개인키를 생성하는 단계(s530) 및 제1 독립적인 개인키를 이용하여 제1 메시지에 대한 메시지 인증 코드를 생성하여 제1 메시지를 인증하는 단계(s540)를 포함할 수 있다.
단계(s510)에서 NVR에 포함되는 프로세서는 단말로부터 수신된 제1 메시지의 미리 약속된 비트열을 이용하여 제1 단말 고유 인덱스를 계산할 수 있다. 보다 구체적으로, 프로세서는 수학식 1에 기초하여 제1 단말 고유 인덱스 k1 u를 계산할 수 있다.
Figure 112021033901362-pat00002
상기 수학식 1에서, pi는 상기 제1 메시지에 포함되는 미리 약속된 비트열 중 i 번째 비트를 나타내고, 상기 N는 수도-랜덤 함수 집합에 포함되는 수도-랜덤 함수의 개수를 나타낼 수 있다. n은 1 이상의 정수를 나타낸다. 구체적으로, NVR의 프로세서는 소정 시간 동안의 영상 데이터가 전송되는 데이터 패킷 내에서 약속된 비트열들의 비트 값의 합을 수도-랜덤 함수 집합에 포함되는 수도-랜덤 함수의 개수로 나눈 나머지를 이용하여 제1 단말 고유 인덱스 k1 u를 계산할 수 있다. 예외적으로, 나머지가 0 인 경우에는 프로세서는 k1 u를 N으로 결정할 수 있다.
단계(s520)에서 프로세서는 상기 수도-랜덤 함수 집합 Funcpr 내에서 상기 제1 단말 고유 인덱스 k1 u에 매핑된 제1 수도-랜덤 함수를 선택할 수 있다.
단계(s530)에서 프로세서는 선택된 제1 수도-랜덤 함수에 세션키 및 단말의 맥 어드레스를 입력하여 제1 독립적인 개인키를 생성할 수 있다. 본 실시 예에서 독립적인 개인키는 메시지 인증 코드를 생성하기 위한 해시함수의 입력값으로 이용되고, IP-CCTV와 NVR 사이에서 공유되어 데이터 통신의 보안을 위해 활용되는 값을 나타낸다.
단계(s540)에서 NVR의 프로세서는 제1 독립적인 개인키를 이용하여 제1 메시지에 대한 메시지 인증 코드를 생성할 수 있다. NVR의 프로세서는 IP-CCTV로부터 수신된 메시지 인증 코드와 계산된 메시지 인증 코드를 비교함으로써, 제1 메시지에 대한 인증을 수행한다. 구체적으로, NVR의 프로세서는 IP-CCTV로부터 수신된 메시지 인증 코드와 계산된 메시지 인증 코드가 동일한 경우에, 해당 메시지가 약속된 IP-CCTV로부터 전송된 것을 인증할 수 있다. 해시함수에 독립적인 개인키를 입력함으로써 메시지 인증 코드를 생성하는 과정은 기술 분야의 전문가에게는 자명한 사실이므로 상세한 설명은 생략하기로 한다.
본 실시 예에 따른, 독립적인 개인키는 IP-CCTV가 NVR로 전송하는 메시지의 비트값에 의해 각각의 데이터 통신 마다 새롭게 설정되며, 이로 인해 데이터 통신의 보안성이 강화될 수 있다. 예를 들어, 특정한 차수의 독립적인 개인키가 노출된 경우더라도, NVR과 IP-CCTV는 다음 차수의 메시지를 이용하여 새로운 독립적인 개인키를 다시 생성하고 계산하기에 침입자에 의한 정보 유출 가능성을 최소화 할 수 있다.
이상에서 설명된 실시예들은 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시예들에서 설명된 장치, 방법 및 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPGA(field programmable gate array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적 컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 애플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.
소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상 장치(virtual equipment), 컴퓨터 저장 매체 또는 장치, 또는 전송되는 신호 파(signal wave)에 영구적으로, 또는 일시적으로 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.
실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 컴퓨터 판독 가능 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
이상과 같이 실시예들이 비록 한정된 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기를 기초로 다양한 기술적 수정 및 변형을 적용할 수 있다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.

Claims (3)

  1. 프로세서와 통신부를 포함하는 NVR(network video recorder)의 보안 유지 방법에 있어서,
    상기 프로세서가, 단말 정보를 이용하여 수도-랜덤(Pseudo-random) 함수 집합에 포함되는 복수의 수도-랜덤 함수 각각에 대해 단말 고유 인덱스를 부여하는 단계;
    상기 통신부가, 소정 유효 시간을 갖는 세션키와 상기 단말 고유 인덱스가 부여된 수도-랜덤 함수 집합을 단말로 전송하는 단계;
    상기 프로세서가, 상기 단말로부터 수신된 제1 메시지의 미리 약속된 비트열을 이용하여 상기 제1 메시지를 인증하기 위한 제1 단말 고유 인덱스를 계산하는 단계;
    상기 프로세서가, 상기 계산된 제1 단말 고유 인덱스를 이용하여 상기 제1 메시지를 인증하기 위한 제1 수도-랜덤 함수를 선택하는 단계;
    상기 프로세서가, 상기 제1 수도-랜덤 함수에 상기 세션키 및 상기 단말의 맥 어드레스를 입력하여 상기 제1 메시지를 인증하기 위한 상기 단말의 제1 독립적인 개인키를 생성하는 단계; 및
    상기 제1 독립적인 개인키를 이용하여 상기 제1 메시지에 대한 메시지 인증 코드를 생성하고, 상기 단말로부터 수신된 제1 메시지를 인증하는 단계
    를 포함하는 NVR의 보안 인증 방법.
  2. 제1항에 있어서,
    상기 단말 고유 인덱스를 부여하는 단계는,
    상기 프로세서가, 상기 수도-랜덤 함수 집합 Funcpr에 포함되는 수도-랜덤 함수 fn(n는 1 이상 정수) 각각과 단말에 따라 정의되는 단말 고유 인덱스 ku를 일 대 일 매핑하는 단계
    를 포함하는 NVR의 보안 인증 방법.
  3. 제2항에 있어서,
    상기 제1 단말 고유 인덱스를 계산하는 단계는,
    수학식 1에 기초하여 상기 제1 단말 고유 인덱스 k1 u를 계산하는 단계
    를 포함하고,
    상기 수학식 1은,
    k1 u=
    Figure 112021033901362-pat00003

    이고,
    상기 pi는 상기 제1 메시지에 포함되는 미리 약속된 비트열 중 i 번째 비트를 나타내고, 상기 N는 수도-랜덤 함수 집합에 포함되는 수도-랜덤 함수의 개수이고,
    상기 제1 수도-랜덤 함수를 선택하는 단계는,
    상기 수도-랜덤 함수 집합 Funcpr 내에서 상기 제1 단말 고유 인덱스 k1 u에 매핑된 제1 수도-랜덤 함수를 선택하는 단계
    를 포함하는 NVR의 보안 인증 방법.
KR1020210037196A 2021-03-23 2021-03-23 네트워크 비디오 레코더를 위한 보안 인증 장치 및 방법 KR102292526B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020210037196A KR102292526B1 (ko) 2021-03-23 2021-03-23 네트워크 비디오 레코더를 위한 보안 인증 장치 및 방법
US17/572,646 US11778146B2 (en) 2021-03-23 2022-01-11 Apparatus and method for authenticating network video recorder security

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210037196A KR102292526B1 (ko) 2021-03-23 2021-03-23 네트워크 비디오 레코더를 위한 보안 인증 장치 및 방법

Publications (1)

Publication Number Publication Date
KR102292526B1 true KR102292526B1 (ko) 2021-08-24

Family

ID=77506997

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210037196A KR102292526B1 (ko) 2021-03-23 2021-03-23 네트워크 비디오 레코더를 위한 보안 인증 장치 및 방법

Country Status (2)

Country Link
US (1) US11778146B2 (ko)
KR (1) KR102292526B1 (ko)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101750676B1 (ko) * 2017-01-17 2017-06-26 정경희 네트워크 전 구간 데이터 암호화통신 cctv장치
KR101912403B1 (ko) * 2018-04-09 2018-12-28 (주)엔토스정보통신 장비들 간의 보안 인증 방법
KR102007221B1 (ko) 2017-01-31 2019-08-05 송기민 Ip 카메라와 nvr이 구비되는 보안 시스템
KR102069713B1 (ko) 2018-10-17 2020-01-23 주식회사 엠스톤 네트워크 비디오 레코더 보안 인증 시스템 및 방법

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5454039A (en) * 1993-12-06 1995-09-26 International Business Machines Corporation Software-efficient pseudorandom function and the use thereof for encryption
US6901145B1 (en) * 1999-04-08 2005-05-31 Lucent Technologies Inc. Generation of repeatable cryptographic key based on varying parameters
US9467283B2 (en) * 2013-06-24 2016-10-11 Blackberry Limited Securing method for lawful interception
US11218595B2 (en) * 2020-06-09 2022-01-04 Jpmorgan Chase Bank, N.A. Method and system for providing resiliency in interaction servicing
US20210406199A1 (en) * 2020-06-25 2021-12-30 Intel Corporation Secure address translation services using cryptographically protected host physical addresses

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101750676B1 (ko) * 2017-01-17 2017-06-26 정경희 네트워크 전 구간 데이터 암호화통신 cctv장치
KR102007221B1 (ko) 2017-01-31 2019-08-05 송기민 Ip 카메라와 nvr이 구비되는 보안 시스템
KR101912403B1 (ko) * 2018-04-09 2018-12-28 (주)엔토스정보통신 장비들 간의 보안 인증 방법
KR102069713B1 (ko) 2018-10-17 2020-01-23 주식회사 엠스톤 네트워크 비디오 레코더 보안 인증 시스템 및 방법

Also Published As

Publication number Publication date
US20220311973A1 (en) 2022-09-29
US11778146B2 (en) 2023-10-03

Similar Documents

Publication Publication Date Title
US9794283B2 (en) Predicting and preventing an attacker's next actions in a breached network
US11522711B2 (en) Systems and methods for block chain authentication
US9867051B2 (en) System and method of verifying integrity of software
US10423774B1 (en) System and method for establishing secure communication channels between virtual machines
US10187373B1 (en) Hierarchical, deterministic, one-time login tokens
US20200403787A1 (en) Quantum entropy distributed via software defined perimeter connections
US20180367528A1 (en) Seamless Provision of Authentication Credential Data to Cloud-Based Assets on Demand
US9992029B1 (en) Systems and methods for providing authentication to a plurality of devices
Nafi et al. A newer user authentication, file encryption and distributed server based cloud computing security architecture
JP5922773B2 (ja) ピアツーピアオーバーレイネットワークにおけるアクセス制御の容易化
US20160050193A1 (en) System and methods for secure communication in mobile devices
KR20180119201A (ko) 인증 시스템을 위한 전자 장치
US10812272B1 (en) Identifying computing processes on automation servers
US20170041150A1 (en) Device certificate providing apparatus, device certificate providing system, and non-transitory computer readable recording medium which stores device certificate providing program
US9742561B2 (en) Secure remote authentication of local machine services using secret sharing
US20220386124A1 (en) Provisioning devices securely using zero touch deployments
KR101836211B1 (ko) 전자 기기 인증 매니저 장치
KR102292526B1 (ko) 네트워크 비디오 레코더를 위한 보안 인증 장치 및 방법
KR101912403B1 (ko) 장비들 간의 보안 인증 방법
KR101966929B1 (ko) 광 파장을 이용한 디지털 키 운영 방법 및 이를 실행하는 시스템
US9071596B2 (en) Securely establishing a communication channel between a switch and a network-based application using a unique identifier for the network-based application
KR20150089696A (ko) 접근제어와 우선순위기반 무결성 검증 시스템 및 그 방법
KR102094606B1 (ko) 인증 장치 및 방법
US11777922B2 (en) Autonomous multi-factor authentication
US11657138B2 (en) Signed change requests to remotely configure settings

Legal Events

Date Code Title Description
GRNT Written decision to grant