KR102309906B1 - Internet of things device with VPN server - Google Patents

Internet of things device with VPN server Download PDF

Info

Publication number
KR102309906B1
KR102309906B1 KR1020200025942A KR20200025942A KR102309906B1 KR 102309906 B1 KR102309906 B1 KR 102309906B1 KR 1020200025942 A KR1020200025942 A KR 1020200025942A KR 20200025942 A KR20200025942 A KR 20200025942A KR 102309906 B1 KR102309906 B1 KR 102309906B1
Authority
KR
South Korea
Prior art keywords
certificate
user terminal
issuance
unit
iot device
Prior art date
Application number
KR1020200025942A
Other languages
Korean (ko)
Other versions
KR20210111382A (en
Inventor
김경모
Original Assignee
시큐리티플랫폼 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 시큐리티플랫폼 주식회사 filed Critical 시큐리티플랫폼 주식회사
Priority to KR1020200025942A priority Critical patent/KR102309906B1/en
Publication of KR20210111382A publication Critical patent/KR20210111382A/en
Application granted granted Critical
Publication of KR102309906B1 publication Critical patent/KR102309906B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2803Home automation networks
    • H04L12/283Processing of data at an internetworking point of a home automation network
    • H04L12/2834Switching of information between an external network and a home network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2854Wide area networks, e.g. public data networks
    • H04L12/2856Access arrangements, e.g. Internet access
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y10/00Economic sectors
    • G16Y10/80Homes; Buildings
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y30/00IoT infrastructure
    • G16Y30/10Security thereof

Abstract

본 발명은 인터넷망 접속을 지원하는 통신 인터페이스, 접속한 VPN 클라이언트와의 터널 통신을 수행하는 VPN 서버, 복수의 동작 프로세스들로 구성된 프로세스부, 상기 VPN 서버에 접속한 VPN 클라이언트의 사용자 단말에 대하여 인증서를 기반으로 인증 동작을 수행하는 인증부, 상기 프로세스부의 제어에 따라 동작하며 인증서를 요청한 사용자 단말이 설정된 인증서 생성조건을 만족하였는지를 파악하고, 인증서 생성조건을 만족한 경우에 인증서를 생성하는 인증서 생성부, 그리고 상기 인증서 생성부에서 생성한 인증서를 해당 사용자 단말의 식별정보에 매칭하여 저장하고 있는 인증서 저장부를 포함하는 VPN 서버로 동작하는 사물인터넷 디바이스에 관한 것이다.The present invention provides a communication interface supporting Internet network access, a VPN server performing tunnel communication with an accessing VPN client, a processing unit composed of a plurality of operation processes, and a certificate for a user terminal of the VPN client connected to the VPN server An authentication unit that performs an authentication operation based on , and to an IoT device operating as a VPN server including a certificate storage unit that matches and stores the certificate generated by the certificate generating unit with the identification information of the corresponding user terminal.

Description

VPN 서버로 동작하는 사물인터넷 디바이스{Internet of things device with VPN server}Internet of things device with VPN server

본 발명은 IoT(사물인터넷) 디바이스의 보안 기술에 관한 것으로, 특히, VPN 서버로 동작하는 사물인터넷 디바이스에 관한 것이다. The present invention relates to a security technology for an IoT (Internet of Things) device, and more particularly, to an Internet of Things device operating as a VPN server.

일반적으로, 사물인터넷 네트워크는 도 1에 도시된 바와 같이 AP(Access Point)나 기지국 등의 접속점(20) 및 게이트웨이(30)를 이용하여 사물인터넷 디바이스(10)를 인터넷망에 접속할 수 있게 한다. 그리고 사물인터넷 네트워크는 댁내의 홈네트워크를 구성하는 가전기기, 컴퓨터, 영상기기, 오디오 기기 등의 사물인터넷 디바이스를 하나의 노드로 하고 있다.In general, the IoT network enables the IoT device 10 to access the Internet network by using an access point 20 such as an access point (AP) or a base station and a gateway 30 as shown in FIG. 1 . In addition, the IoT network includes IoT devices such as home appliances, computers, video devices, and audio devices constituting a home network in the house as one node.

홈네트워크의 사물인터넷 디바이스(10)는 도 2에 도시된 바와 같이 인터넷에 접속하기 위한 통신 인터페이스(11)를 가지며, 통신 인터페이스(11)는 이더넷 통신, 근거리무선통신, 광대역무선통신, 전력선통신, LTE 등의 다양한 통신 프로토콜 중 적어도 하나의 통신 프로토콜을 지원하여, 원격에 위치한 모바일이나 컴퓨터 등의 사용자 단말(40)에게 정보를 제공하거나 사용자 단말(40)의 제어를 받을 수 있게 한다.The IoT device 10 of the home network has a communication interface 11 for accessing the Internet as shown in FIG. 2, and the communication interface 11 includes Ethernet communication, short-range wireless communication, broadband wireless communication, power line communication, By supporting at least one communication protocol among various communication protocols such as LTE, it is possible to provide information or receive control of the user terminal 40 to the user terminal 40 such as a mobile or computer located remotely.

예컨대, 사물인터넷 디바이스(10)가 보일러인 경우에, 보일러는 통신 인터페이스(11)를 통해 원격에 위치한 사용자 단말(40)과 양방향 통신을 수행하고, 사용자 단말(40)로부터 명령을 처리하는 프로세스부(12)의 해당 프로세스의 제어에 따라 동작부(13)가 동작하여 전원을 끄거나 온도를 높이거나 낮추는 등을 수행한다. 다른 예로, 사물인터넷 디바이스(10)가 CCTV 카메라인 경우에, CCTV는 사용자 단말(40)의 명령에 따라 촬영한 영상을 제공하거나 촬영 영상을 조회할 수 있게 하거나, 또는 촬영 방향을 달리하는 등의 동작을 수행한다.For example, when the IoT device 10 is a boiler, the boiler performs two-way communication with the user terminal 40 located remotely through the communication interface 11 , and a process unit that processes commands from the user terminal 40 . According to the control of the process of (12), the operation unit 13 operates to turn off the power or increase or decrease the temperature. As another example, when the IoT device 10 is a CCTV camera, the CCTV provides a photographed image according to the command of the user terminal 40, enables the user to inquire the photographed image, or changes the photographing direction. perform the action

이렇게 홈네트워크의 사물인터넷 디바이스(10)를 원격에서 제어하는 것은 많은 편리함을 제공하지만, 악의적인 사용자에게 이용되는 경우에 사생활 침해나 안전 등에 큰 피해를 주는 문제가 있다.Remotely controlling the IoT device 10 of the home network provides a lot of convenience, but when used by a malicious user, there is a problem of greatly damaging privacy or safety.

이러한 문제를 해결하기 위해, 종래에는 홈네트워크의 사물인터넷 디바이스(10)에 접근(접속)하는 사용자 단말에 대한 인증 절차를 마련하여 정해진 사용자만이 해당 사물인터넷 디바이스(10)에 접근할 수 있게 한다. 여기서 인증 절차는 아이디 및 패스워드를 입력하는 방법, 인증서를 이용한 인증방법 등이 있다.In order to solve this problem, in the related art, an authentication procedure for a user terminal accessing (accessing) the IoT device 10 of a home network is prepared so that only a predetermined user can access the IoT device 10. . Here, the authentication procedure includes a method of inputting an ID and password, an authentication method using a certificate, and the like.

그러나 이러한 방법은 공인 IP망 즉 인터넷망을 기반으로 하여 보안이 취약한 단점이 있다.However, this method has a disadvantage in that security is weak because it is based on a public IP network, that is, the Internet network.

본 발명이 해결하고자 하는 과제는 네트워크 보안성을 높이는 홈네트워크의 사물인터넷 디바이스를 제공하는 것이다.SUMMARY OF THE INVENTION An object of the present invention is to provide an IoT device for a home network that enhances network security.

본 실시 예가 이루고자 하는 기술적 과제는 상기된 바와 같은 기술적 과제로 한정되지 않으며, 이하의 실시 예들로부터 또 다른 기술적 과제들이 유추될 수 있다.The technical task to be achieved by the present embodiment is not limited to the technical task as described above, and other technical tasks may be inferred from the following embodiments.

상기 과제를 해결하기 위한 실시 예에 따른 본 발명은 인터넷망 접속을 지원하는 통신 인터페이스, 접속한 VPN 클라이언트와의 터널 통신을 수행하는 VPN 서버, 복수의 동작 프로세스들로 구성된 프로세스부, 상기 VPN 서버에 접속한 VPN 클라이언트의 사용자 단말에 대하여 인증서를 기반으로 인증 동작을 수행하는 인증부, 상기 프로세스부의 제어에 따라 동작하며 인증서를 요청한 사용자 단말이 설정된 인증서 생성조건을 만족하였는지를 파악하고, 인증서 생성조건을 만족한 경우에 인증서를 생성하는 인증서 생성부, 그리고 상기 인증서 생성부에서 생성한 인증서를 해당 사용자 단말의 식별정보에 매칭하여 저장하고 있는 인증서 저장부를 포함하는 VPN 서버로 동작하는 사물인터넷 디바이스를 제공한다.The present invention according to an embodiment for solving the above problem provides a communication interface supporting Internet network access, a VPN server performing tunnel communication with the connected VPN client, a processing unit composed of a plurality of operation processes, and the VPN server. An authentication unit that performs an authentication operation based on a certificate for the user terminal of the connected VPN client, operates under the control of the process unit, determines whether the user terminal requesting a certificate satisfies the set certificate generation condition, and satisfies the certificate generation condition In one case, there is provided an IoT device operating as a VPN server including a certificate generating unit that generates a certificate, and a certificate storage unit that matches and stores the certificate generated by the certificate generating unit with identification information of a corresponding user terminal.

상기 인증서 생성조건은 외부장치로부터 인증서 발급 허가 신호에 대응하는 인증서 발급 유효시간 내에 상기 사용자 단말에서 인증서 생성을 요청하는 경우에 인증서를 발급하는 것이거나, 기 저장된 공유암호키값과 일치하는 공유암호키값을 상기 사용자 단말에서 제공하는 것이거나, 상기 사용자 단말의 최종 접속점의 주소가 사물인터넷 디바이스가 현재 접속중인 접속점의 주소와 일치하는 것이다.The certificate generation condition is to issue a certificate when the user terminal requests generation of a certificate within a certificate issuance valid time corresponding to a certificate issuance permission signal from an external device, or a shared encryption key value that matches a pre-stored shared encryption key value This is provided by the user terminal, or the address of the final access point of the user terminal matches the address of the access point currently being accessed by the IoT device.

발명의 실시 예에 따르면, 본 발명은 홈네트워크의 사물인터넷 디바이스를 VPN 서버의 역할을 하도록 하고 VPN 클라이언트 역할을 하는 사용자 단말에게 인증서를 발급하는 기능을 하도록 함으로써 사물인터넷 디바이스에 대한 높은 보안성을 가지도록 한다.According to an embodiment of the present invention, the present invention has high security for the IoT device by allowing the IoT device of the home network to act as a VPN server and to issue a certificate to a user terminal serving as a VPN client. let it be

도 1은 종래의 실시 예에 따른 홈네트워크를 포함하는 사물인터넷 네트워크를 보인 도면이다.
도 2는 사용자 단말과 원격 통신을 수행하는 종래 홈네트워크의 사물인터넷 디바이스의 구성을 보인 도면이다.
도 3은 사용자 단말과 원격 통신을 수행하는 본 발명의 실시 예에 따른 홈네트워크의 사물인터넷 디바이스의 구성을 보인 도면이다.
도 4는 본 발명의 실시 예에 따른 사물인터넷 디바이스의 보안 방법을 보인 순서도이다.
도 5는 본 발명의 제1 실시 예에 따른 사물인터넷 디바이스에서의 인증서 발급 방법을 보인 순서도이다.
도 6은 본 발명의 제2 실시 예에 따른 사물인터넷 디바이스에서의 인증서 발급 방법을 보인 순서도이다.
도 7은 본 발명의 제3 실시 예에 따른 사물인터넷 디바이스에서의 인증서 발급 방법을 보인 순서도이다.1 is a diagram illustrating an IoT network including a home network according to a conventional embodiment.
2 is a diagram showing the configuration of a conventional home network IoT device performing remote communication with a user terminal.
3 is a diagram showing the configuration of an IoT device of a home network according to an embodiment of the present invention performing remote communication with a user terminal.
4 is a flowchart illustrating a security method of an IoT device according to an embodiment of the present invention.
5 is a flowchart illustrating a method of issuing a certificate in an IoT device according to the first embodiment of the present invention.
6 is a flowchart illustrating a method for issuing a certificate in an IoT device according to a second embodiment of the present invention.
7 is a flowchart illustrating a method of issuing a certificate in an IoT device according to a third embodiment of the present invention.

아래에서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자들(이하, 통상의 기술자들)이 본 발명을 용이하게 실시할 수 있도록, 첨부되는 도면들을 참조하여 몇몇 실시 예가 명확하고 상세하게 설명될 것이다. 또한, 명세서에서 사용되는 "부" 이라는 용어는 하드웨어 구성요소 또는 회로를 의미할 수 있다.Below, some embodiments will be described clearly and in detail with reference to the accompanying drawings so that those of ordinary skill in the art to which the present invention pertains (hereinafter, those skilled in the art) can easily practice the present invention. will be. Also, the term “unit” used in the specification may mean a hardware component or a circuit.

이하에서는 첨부한 도면을 참조로 하여 본 발명의 실시 예에 따른 VPN 서버로 동작하는 사물인터넷 디바이스 및 이의 보안 방법을 설명한다.Hereinafter, an IoT device operating as a VPN server and a security method thereof according to an embodiment of the present invention will be described with reference to the accompanying drawings.

도 3은 사용자 단말과 원격 통신을 수행하는 본 발명의 실시 예에 따른 홈네트워크의 사물인터넷 디바이스의 구성을 보인 도면이다. 도 3을 참고하면, 본 발명의 실시 예에 따른 홈네트워크의 사물인터넷 디바이스(100)는 통신 인터페이스(110), VPN 서버(120), 프로세스부(130), 동작부(140), 인증부(150), 인증서160) 및 인증서 저장부(170)를 포함한다.3 is a diagram showing the configuration of an IoT device of a home network according to an embodiment of the present invention performing remote communication with a user terminal. Referring to FIG. 3 , the IoT device 100 of a home network according to an embodiment of the present invention includes a communication interface 110 , a VPN server 120 , a process unit 130 , an operation unit 140 , and an authentication unit ( 150 ), a certificate 160 ), and a certificate storage unit 170 .

통신 인터페이스(110)는 인터넷망 접속을 지원하여 사용자 단말(40a)과 통신을 가능하게 한다.The communication interface 110 supports Internet network access to enable communication with the user terminal 40a.

VPN 서버(120)는 VPN 클라이언트와의 터널 통신을 위해 사용자에 의해 설정되고, 공인 IP주소가 할당되어 있으며, 접속한 VPN 클라이언트와 터널을 형성하고 형성한 터널을 통해 VPN 클라이언트와 데이터 통신을 수행한다. VPN 서버(120)는 PPTP, OpneVPN, SSTP, S2TP/IPsec 등의 프로토콜을 이용하여 VPN 클라이언트와 터널을 형성한다. VPN 서버(120)는 VPN 서비스를 위한 프로그램으로 구성된다.The VPN server 120 is set by the user for tunnel communication with the VPN client, is assigned a public IP address, forms a tunnel with the connected VPN client, and performs data communication with the VPN client through the tunnel. . The VPN server 120 forms a tunnel with the VPN client using protocols such as PPTP, OpneVPN, SSTP, and S2TP/IPsec. The VPN server 120 is configured with a program for a VPN service.

프로세스부(130)는 통신 인터페이스(110)의 포트에 대응하는 복수의 동작 프로세스들로 구성되고, 동작부(140)는 프로세스부(130) 중 적어도 하나의 프로세스의 제어에 따라 사물인터넷 디바이스 본연의 동작을 수행한다. 예컨대, 사물인터넷 디바이스가 냉장고이면 냉장고 본연의 동작, 리모컨이면 리모컨 동작, 보일러이면 냉, 난방 동작이다.The process unit 130 includes a plurality of operation processes corresponding to the ports of the communication interface 110 , and the operation unit 140 controls at least one process among the process units 130 , and the perform the action For example, if the IoT device is a refrigerator, the refrigerator operates normally, if it is a remote control, it operates as a remote control, and if it is a boiler, it operates as a cooling/heating operation.

인증부(150)는 VPN 서버(120)에 접속한 VPN 클라이언트(41) 즉, VPN 클라이언트(41)의 동작을 하는 프로그램이 탑재된 사용자 단말(40a)에 대한 인증 동작을 수행한다.The authenticator 150 performs an authentication operation for the VPN client 41 connected to the VPN server 120 , that is, the user terminal 40a on which the program for operating the VPN client 41 is mounted.

인증서 생성부(160)는 프로세스부(130)의 제어에 따라 동작하며 인증서를 요청한 사용자 단말(40a)이 설정된 인증서 생성조건을 만족하였는지를 파악하고, 인증서 생성조건을 만족한 경우에 인증서를 생성한다. The certificate generating unit 160 operates under the control of the process unit 130 to determine whether the user terminal 40a requesting a certificate satisfies the set certificate generating condition, and generates a certificate when the certificate generating condition is satisfied.

인증서 저장부(170)는 인증서 생성부(160)에서 생성한 인증서를 해당 인증서를 제공한 사용자 단말(40a)의 식별정보(예: 공인 IP주소, MAC 주소 등)에 매칭하여 저장한다.The certificate storage unit 170 matches and stores the certificate generated by the certificate generation unit 160 with identification information (eg, public IP address, MAC address, etc.) of the user terminal 40a that provided the corresponding certificate.

한편, 본 발명의 사물인터넷 디바이스(100)의 VPN 서버(110)에 대응하여 사물인터넷 디바이스(100)에 접속하는 사용자 단말에는 VPN 클라이언트(41)가 설치되어야 한다. VPN 클라이언트는 VPN 서비스를 위한 프로그램으로, 사용자 단말이 모바일인 경우에 모바일 앱(APP)이다. 상기 VPN 클라이언트(41)는 사물인터넷 디바이스(100)의 VPN 서버(120)에 할당된 공인 IP 주소를 저장하고 있으며, 활성화시 공인 IP 주소를 통해 VPN 서버(120)에 접속한다.On the other hand, the VPN client 41 should be installed in the user terminal accessing the IoT device 100 in response to the VPN server 110 of the IoT device 100 of the present invention. A VPN client is a program for a VPN service, and is a mobile app (APP) when the user terminal is mobile. The VPN client 41 stores a public IP address assigned to the VPN server 120 of the IoT device 100, and when activated, accesses the VPN server 120 through the public IP address.

이하에서는 도 4를 참조로 하여 본 발명의 실시 예에 따른 홈네트워크의 사물인터넷 디바이스에서 동작 즉, 보안 동작을 설명한다. 도 4는 본 발명의 실시 예에 따른 사물인터넷 디바이스의 보안 방법을 보인 순서도이다.Hereinafter, an operation, ie, a security operation, in the IoT device of a home network according to an embodiment of the present invention will be described with reference to FIG. 4 . 4 is a flowchart illustrating a security method of an IoT device according to an embodiment of the present invention.

VPN 클라이언트로 동작하는 사용자 단말(41a)과 VPN 서버로 동작하는 사물인터넷 디바이스(100)간에 통신을 위해서는 접속 요청하는 사용자 단말(41a)에서 사물인터넷 디바이스(100)로 인증서를 제공하여 접속 인증을 받아야 한다. 이때 접속 인증을 위한 인증서는 사물인터넷 디바이스(100)의 VPN 서버(120)에서 발급하게 된다. 따라서, 인증서를 발급받지 못한 사용자 단말(41a)은 사물인터넷 디바이스(100)에 접속하여 인증서 발급을 받는 과정을 수행하게 되는데, 이의 과정은 다음과 같다.In order to communicate between the user terminal 41a operating as a VPN client and the IoT device 100 operating as a VPN server, a certificate must be provided from the user terminal 41a requesting access to the IoT device 100 to receive access authentication. do. At this time, the certificate for access authentication is issued by the VPN server 120 of the IoT device 100 . Accordingly, the user terminal 41a, which has not been issued a certificate, accesses the IoT device 100 and performs a process of receiving a certificate issuance, and the process is as follows.

인증서를 발급받지 않은 사용자 단말(41a)에서 사물인터넷 디바이스(100)에 접속하여 인증서 발급 요청을 한다(S401). The user terminal 41a that has not been issued a certificate accesses the IoT device 100 and makes a certificate issuance request (S401).

인증서 발급 요청을 프로세스부(130)를 통해 인증서 생성부(160)에 전달한다. 인증서 생성부(160)는 인증서 발급 요청을 수신하면 설정된 인증서 생성조건을 확인하고(S402), 사용자 단말(41a)의 상태 또는 상황이 인증서 생성조건에 만족하는지 또는 인증서 발급 요청에 포함된 정보가 인증서 생성조건을 만족하는지를 판단한다(S403).The certificate issuance request is transmitted to the certificate generating unit 160 through the process unit 130 . When receiving the certificate issuance request, the certificate generating unit 160 checks the set certificate generation condition (S402), and whether the state or situation of the user terminal 41a satisfies the certificate generation condition or whether the information included in the certificate issuance request is the certificate It is determined whether the generation condition is satisfied (S403).

인증서 생성부(160)는 사용자 단말(41a)의 상태 또는 상황이 인증서 생성조건을 만족하지 않으면 발급 거절 메시지를 사용자 단말(41a)로 전송하고(S404), 인증서 생성조건을 만족하면 신규 인증서를 생성하고(S405), 생성한 인증서를 사용자 단말(41a)에 제공한다(S406). 그러면 사용자 단말(41a)는 제공받은 인증서를 저장한다(S407).The certificate generation unit 160 transmits an issuance rejection message to the user terminal 41a if the state or situation of the user terminal 41a does not satisfy the certificate generation condition (S404), and generates a new certificate if the certificate generation condition is satisfied and (S405), and provides the generated certificate to the user terminal 41a (S406). Then, the user terminal 41a stores the provided certificate (S407).

이후, 인증서를 제공받은 사용자 단말(41a)은 사물인터넷 디바이스(100)에 VPN 접속을 한 후(S408), VPN 서버(120)로부터 인증서를 요청받으면(S409), 저장된 인증서를 제공하게 된다(S410).After that, the user terminal 41a, which has received the certificate, connects to the IoT device 100 with a VPN (S408), and when receiving a certificate request from the VPN server 120 (S409), provides the stored certificate (S410). ).

그러면 사물인터넷 디바이스(100)의 VPN 서버(120)는 제공받은 인증서를 해당 사용자 단말(41a)에 대응하여 저장된 루트 인증서(root certificate)와 비교하고, 일치하면 인증서를 승인한다(S411). 여기서 해당 사용자 단말(41a)로부터 수신된 인증서를 루트 인증서로 검증할 수 있지 않으면 인증 실패로 처리한다.Then, the VPN server 120 of the IoT device 100 compares the provided certificate with a root certificate stored corresponding to the user terminal 41a, and if they match, approves the certificate (S411). Here, if the certificate received from the user terminal 41a cannot be verified as the root certificate, it is treated as an authentication failure.

인증에 성공하면, VPN 서버(110)와 사용자 단말(41a) 즉, VPN 클라이언트(41)는 터널을 형성하고 형성된 터널을 통해 데이터 통신을 수행한다(S412).If authentication is successful, the VPN server 110 and the user terminal 41a, ie, the VPN client 41, form a tunnel and perform data communication through the formed tunnel (S412).

이하에서는 도 5 내지 도 7을 참조로 하여 인증서 생성조건에 대응하는 인증서 발급 방법을 설명한다.Hereinafter, a certificate issuance method corresponding to the certificate generation condition will be described with reference to FIGS. 5 to 7 .

도 5는 본 발명의 제1 실시 예에 따른 사물인터넷 디바이스에서의 인증서 발급 방법을 보인 순서도이다. 설명에 앞서, 본 발명의 제1 실시 예에 따른 사물인터넷 디바이스에서의 인증서 발급 방법은 사물인터넷 디바이스(100)와 인증서 허가장치(미도시)가 유선 또는 무선으로 연결된 상태에서, 인증서 허가장치에 의한 허가 지시에 따라 수행된다. 여기서, 인증서 허가장치는 인증서 발급 허가를 지시하는 별도의 장치이다.5 is a flowchart illustrating a method of issuing a certificate in an IoT device according to the first embodiment of the present invention. Prior to the description, in the method for issuing a certificate in the IoT device according to the first embodiment of the present invention, in a state in which the IoT device 100 and a certificate authorizing apparatus (not shown) are connected by wire or wirelessly, Performed according to permission instructions. Here, the certificate permission device is a separate device instructing permission to issue a certificate.

이러한 본 발명의 제1 실시 예에 따른 사물인터넷 디바이스에서의 인증서 발급 방법은 사용자가 인증서 발급을 육안으로 확인할 수 있는 상태이거나, 신뢰할 수 있는 상황에서 이루어지도록 하기 위한 것이다. The certificate issuance method in the IoT device according to the first embodiment of the present invention is to enable the user to visually confirm the certificate issuance or to make the certificate issuance in a trusted situation.

예컨대, 사용자가 인증서 발급을 육안으로 확인할 수 있는 상태는 본체에 부착 또는 유선으로 연결된 특정한 버튼이나 터치스크린 등의 입력수단을 인증서 허가장치로 하고 버튼을 누르거나 터치스크린을 터치하는 경우를 육안으로 확인하는 상태거나, 사물인터넷 디바이스(100)와 NFC 통신이나 와이파이, 지그비 등의 근거리 무선통신을 수행하는 통신장치를 인증서 허가장치로 하고, 통신장치를 조작하는 경우를 육안으로 확인하는 상태이다. 통신장치를 인증서 허가장치로 하는 경우에는 사물인터넷 디바이스(100)에 통신장치와 근거리 무선통신을 수행하는 통신모듈이 탑재된다.For example, the state in which the user can visually confirm the issuance of the certificate is visually confirmed when a specific button or touch screen attached to the main body or an input means such as a touch screen is used as the certificate permission device and the button is pressed or the touch screen is touched. It is a state in which a communication device performing short-range wireless communication such as NFC communication or Wi-Fi or Zigbee with the IoT device 100 is used as a certificate permission device, and the case of operating the communication device is visually checked. When the communication device is used as a certificate permission device, a communication module for performing short-range wireless communication with the communication device is mounted on the IoT device 100 .

그리고, 신뢰할 수 있는 상황은 신뢰할 수 있는 특정한 제3자 또는 사용자 본인의 모바일이나 컴퓨터 등과 같은 원격통신장치를 인증서 허가장치로 하고, 제3자와의 사전 동의나 약속에 의해 원격통신장치를 조작하는 상황이다. 이 경우에 사물인터넷 디바이스(100)에는 해당 원격통신장치를 식별할 수 있는 식별정보(예; 전화번호 또는 MAC 주소 등)가 저장되거나, 본인 또는 제3자를 인증할 수 있는 인증정보(예; 비밀번호 등)을 저장되어, 저장된 정보를 통해 인증할 수 있는 구성이 탑재된다.And, in the trusted situation, a specific trusted third party or a remote communication device such as the user's own mobile or computer is the certificate permission device, and the remote communication device is operated by prior consent or promise with the third party. situation. In this case, the IoT device 100 stores identification information (eg, phone number or MAC address, etc.) that can identify the remote communication device, or authentication information (eg, password) that can authenticate the person or a third party. etc.) are stored, and a configuration that can be authenticated through the stored information is mounted.

도 5를 참고하면, 인증서 허가장치가 사물인터넷 디바이스(100)에 탑재되거나 유선 또는 무선으로 연결된 상태에서, 사물인터넷 디바이스(100)는 인증서 허가장치로부터 인증서 발급 허가신호를 수신한다(S501).Referring to FIG. 5 , in a state in which the certificate permitting apparatus is mounted on the IoT device 100 or connected by wire or wirelessly, the IoT device 100 receives a certificate issuance permit signal from the certificate permitting apparatus ( S501 ).

인증서 발급 허가신호를 수신하면, 프로세스부(130)는 인증서 발급 유효시간을 설정하고(S502), 시간 카운트를 시작한다(S503). 여기서 인증서 발급 유효시간은 5초, 10초, 20초 등으로 사용자에 의해 임의로 결정된다.Upon receiving the certificate issuance permission signal, the process unit 130 sets the certificate issuance valid time (S502), and starts counting the time (S503). Here, the valid time for issuing a certificate is 5 seconds, 10 seconds, 20 seconds, etc., which is arbitrarily determined by the user.

프로세스부(130)는 시간 카운트를 하면서 인증서 발급 유효시간 내에 VPN 클라이언트(41)로부터 인증서 발급 요청이 수신되는지를 파악하고, 인증서 발급 유효시간이 지난 후에 VPN 클라이언트(41)로부터 인증서 발급 요청이 수신되면 발급 허가를 하지 않는다. The process unit 130 determines whether a certificate issuance request is received from the VPN client 41 within the certificate issuance effective time while counting the time, and when the certificate issuance request is received from the VPN client 41 after the certificate issuance effective time elapses does not permit issuance

프로세스부(130)는 인증서 발급 유효시간 내에 VPN 접속한 사용자 단말(40a)로부터 인증서 발급 요청을 수신하면(S504, S505), 인증서 생성부(160)에 인증서 발급 지시를 하고, 그에 따라 인증서 생성부(160)는 해당 사용자 단말(40a)에 대응하는 인증서를 생성한 후(S506), 생성한 인증서를 해당 사용자 단말(40a)에 제공한다(S507).When the process unit 130 receives a certificate issuance request from the user terminal 40a connected to the VPN within the certificate issuance valid time (S504, S505), the process unit 130 instructs the certificate generation unit 160 to issue a certificate, and accordingly, the certificate generation unit In step 160, a certificate corresponding to the corresponding user terminal 40a is generated (S506), and the generated certificate is provided to the corresponding user terminal 40a (S507).

그리고 인증서 생성부(160)는 생성한 인증서를 사용자 단말(40a)의 식별자에 매칭하여 인증서 저장부(170)에 저장한다(S508). Then, the certificate generating unit 160 matches the generated certificate with the identifier of the user terminal 40a and stores it in the certificate storage unit 170 (S508).

한편, 본 발명의 다른 실시 예에 따르면, 사용자가 인증서 허가장치를 계속해서 누르는 시간동안에 VPN 클라이언트(41)로부터 인증서 발급 요청이 수신되면 인증서를 발급하도록 할 수 있다. 이러한 동작은 당업자라면 용이하게 예측이 가능하므로 상세한 설명은 생략한다.Meanwhile, according to another embodiment of the present invention, if a certificate issuance request is received from the VPN client 41 while the user continuously presses the certificate permitting device, the certificate can be issued. Since such an operation can be easily predicted by those skilled in the art, a detailed description thereof will be omitted.

이하에서는 도 6을 참조로 하여 본 발명의 제2 실시 예에 따른 인증서 발급 방법을 설명한다. 도 6은 본 발명의 제2 실시 예에 따른 사물인터넷 디바이스에서의 인증서 발급 방법을 보인 순서도이다. Hereinafter, a certificate issuance method according to a second embodiment of the present invention will be described with reference to FIG. 6 . 6 is a flowchart illustrating a method of issuing a certificate in an IoT device according to a second embodiment of the present invention.

도 6을 참고하면, 인증서를 가지고 있지 않은 사용자 단말(40a)이 VPN 클라이언트(41)을 사물인터넷 디바이스(100)에 접속하면, 사물인터넷 디바이스(100)는 사용자 단말(40a)의 접속을 감지하고(S601), 사용자 단말(40a)에게 공유암호화키를 요청한다(S602).Referring to FIG. 6 , when the user terminal 40a without a certificate connects the VPN client 41 to the IoT device 100, the IoT device 100 detects the connection of the user terminal 40a and (S601), a shared encryption key is requested from the user terminal 40a (S602).

이에, 사용자는 인증서를 발급받기 위해 기 기록(저장)한 공유암호키값을 확인하고 공유암호키값을 사용자 단말(40a)에 입력하여 사물인터넷 디바이스(100)에 제공한다. 그러면 사물인터넷 디바이스(100)의 VPN 서버(120)는 수신한 공유암호화키값을 인증서 생성부(160)에 제공하여 인증서 생성을 요청하고, 인증서 생성부(160)는 공유암호키값을 수신한 후(S603), 수신한 공유암호키값과 기 저장된 공유암호화키값을 비교하여 일치하는지를 판단한다(S604).Accordingly, the user checks the previously recorded (stored) shared encryption key value in order to receive a certificate, inputs the shared encryption key value to the user terminal 40a, and provides it to the IoT device 100 . Then, the VPN server 120 of the IoT device 100 provides the received shared encryption key value to the certificate generation unit 160 to request the generation of a certificate, and the certificate generation unit 160 receives the shared encryption key value ( S603), by comparing the received shared encryption key value with the pre-stored shared encryption key value to determine whether they match (S604).

인증서 생성부(160)는 상기 S607 판단 과정에서 두개의 공유암호키값이 일치하지 않으면 인증서 발급을 거절하고, 일치하면(S605), 인증서를 생성한다(S606).The certificate generating unit 160 rejects the certificate issuance if the two shared encryption key values do not match in the process of determining S607, and if they match (S605), generates a certificate (S606).

그런 다음 인증서 생성부(160)는 생성한 인증서를 해당 사용자 단말(40a)에 제공하고(S607), 생성한 인증서를 사용자 단말(40a)의 식별자에 매칭하여 인증서 저장부(170)에 저장한다(S608). Then, the certificate generating unit 160 provides the generated certificate to the corresponding user terminal 40a (S607), and matches the generated certificate with the identifier of the user terminal 40a and stores it in the certificate storage unit 170 ( S608).

이렇게 인증서를 제공받은 사용자 단말(40a)은 해당 사물인터넷 디바이스(100)에 접속할 때마다 인증서를 사물인터넷 디바이스(100)에 제공하여 접속 인증을 받게 되고, 이후 사물인터넷 디바이스(100)과 터널을 형성하여 데이터 통신을 수행한다.The user terminal 40a provided with the certificate in this way provides the certificate to the IoT device 100 every time it accesses the corresponding IoT device 100 to receive access authentication, and then forms a tunnel with the IoT device 100 . to perform data communication.

마지막으로, 도 7를 참조로 하여 본 발명의 제3 실시 예에 따른 인증서 발급 방법을 설명한다.Finally, a method for issuing a certificate according to a third embodiment of the present invention will be described with reference to FIG. 7 .

제3 실시 예에 따른 인증서 발급 방법은 사물인터넷 디바이스(100)에 사용자 단말(10a)이 근접하여 있는 경우에 인증서를 발급한다. 즉, 인증서 발급조건은 만족한다. 무선으로 근접하여 있는 경우는 사물인터넷 디바이스(100)에 사용자 단말(10a)이 무선으로 근접하여 있는 경우이다. 이 경우에 사물인터넷 디바이스(100)가 사용자 단말(10a)이 근접하여 있다고 파악하는 방법으로는 사물인터넷 디바이스(100)의 IP 주소와 사용자 단말(10a)의 IP 주소를 확인하여 서로 동일한 로컬망에 위치하고 있음으로 파악하면 된다. 물론 블루투스 통신을 통해 사용자 단말(10a)이 사물인터넷 디바이스(100)에 접속하는 경우에도 사용자 단말(10a)이 근접하여 있다고 파악할 수 있다.The certificate issuance method according to the third embodiment issues a certificate when the user terminal 10a is close to the IoT device 100 . That is, the certificate issuance condition is satisfied. The wireless proximity case is a case where the user terminal 10a is wirelessly adjacent to the IoT device 100 . In this case, as a method for the IoT device 100 to determine that the user terminal 10a is close to each other, the IP address of the IoT device 100 and the IP address of the user terminal 10a are confirmed to be connected to the same local network. You need to know where it is located. Of course, even when the user terminal 10a accesses the IoT device 100 through Bluetooth communication, it can be determined that the user terminal 10a is close.

이하에서는 이러한 일 예를 도 7을 참조로 설명한다. 도 7은 본 발명의 제3 실시 예에 따른 사물인터넷 디바이스에서의 인증서 발급 방법을 보인 순서도이다.Hereinafter, such an example will be described with reference to FIG. 7 . 7 is a flowchart illustrating a method of issuing a certificate in an IoT device according to a third embodiment of the present invention.

도 7을 참고하면, 인증서를 가지고 있지 않은 사용자 단말(40a)가 사물인터넷 디바이스(100)에 접속하거나 인증서 발급을 요청하면(S701), 사물인터넷 디바이스(100)의 인증서 생성부(160)는 인증서 발급 요청 메시지에 포함된 사용자 단말(40a)의 최종 접속점 주소를 파악한다(S702, S703). 여기서 최종 접속점 주소는 인터넷 공유기 즉, DHCP 서버의 주소이거나 접속점(20)의 주소이다.Referring to FIG. 7 , when a user terminal 40a that does not have a certificate accesses the IoT device 100 or requests issuance of a certificate (S701), the certificate generating unit 160 of the IoT device 100 provides a certificate The final access point address of the user terminal 40a included in the issuance request message is identified (S702, S703). Here, the final access point address is the address of the Internet router, that is, the DHCP server, or the address of the access point 20 .

그러면 인증서 생성부(160)는 사용자 단말(40a)의 최종 접속점 주소와 사물인터넷 디바이스(100)가 현재 접속중인 접속점 주소를 비교하여 일치하는지를 판단한다(S704).Then, the certificate generating unit 160 compares the final access point address of the user terminal 40a with the access point address currently being accessed by the IoT device 100 and determines whether they match ( S704 ).

인증서 생성부(160)는 상기 S706 판단 과정에서 두개의 접속점 주소가 일치하지 않으면 인증서 발급을 거절하고, 일치하면 인증서를 생성한다(S705).The certificate generating unit 160 rejects the certificate issuance if the two access point addresses do not match in the process of determining S706, and generates a certificate if they match (S705).

그런 다음 인증서 생성부(160)는 생성한 인증서를 해당 사용자 단말(40a)에 제공하고(S706), 생성한 인증서를 사용자 단말(40a)의 식별자에 매칭하여 인증서 저장부(170)에 저장한다(S707). Then, the certificate generating unit 160 provides the generated certificate to the corresponding user terminal 40a (S706), and matches the generated certificate with the identifier of the user terminal 40a and stores it in the certificate storage unit 170 ( S707).

상기 설명들은 본 발명을 구현하기 위한 예시적인 구성들 및 동작들을 제공하도록 의도된다. 본 발명의 기술 사상은 위에서 설명된 실시 예들뿐만 아니라, 위 실시 예들을 단순하게 변경하거나 수정하여 얻어질 수 있는 구현들도 포함할 것이다. 또한, 본 발명의 기술 사상은 위에서 설명된 실시 예들을 앞으로 용이하게 변경하거나 수정하여 달성될 수 있는 구현들도 포함할 것이다.The above descriptions are intended to provide exemplary configurations and acts for implementing the present invention. The technical spirit of the present invention will include not only the embodiments described above, but also implementations that can be obtained by simply changing or modifying the above embodiments. In addition, the technical spirit of the present invention will include implementations that can be achieved by easily changing or modifying the embodiments described above in the future.

10: 종래의 사물인터넷 디바이스 100: 본 발명의 사물인터넷 디바이스
20: 접속점 30: 인터넷 게이트웨이
11, 110: 통신 인터페이스 12, 130: 프로세스부
13, 140: 동작부 120: VPN 서버
150: 인증부 160: 인증서 생성부
170: 인증서 저장부 41a: 사용자 단말부
41: VPN 클라이언트10: conventional IoT device 100: IoT device of the present invention
20: access point 30: internet gateway
11, 110: communication interface 12, 130: process unit
13, 140: operation unit 120: VPN server
150: authentication unit 160: certificate generating unit
170: certificate storage unit 41a: user terminal unit
41: VPN Client

Claims (5)

사용자에 의해 조작되어 인증서 발급을 허가하는 인증서 발급 허가 신호를 출력하는 인증서 허가장치,
인터넷망 접속을 지원하는 통신 인터페이스,
상기 통신 인터페이스의 포트에 대응하는 복수의 동작 프로세스들로 구성되고, 상기 인증서 허가장치로부터 상기 인증서 발급 허가신호를 수신하면 설정된 인증서 발급 유효시간을 설정하고 시간 카운트를 하며, 상기 설정된 인증서 발급 유효시간 내에 사용자 단말의 VPN 클라이언트로부터 인증서 발급 요청이 수신되면 인증서 발급을 지시하는 프로세스부,
상기 프로세스부의 지시에 따라 제1 인증서를 생성하여 상기 사용자 단말에 제공하는 인증서 생성부,
상기 인증서 생성부에서 생성한 상기 제1 인증서를 상기 사용자 단말의 식별정보에 매칭하여 저장하는 인증서 저장부,
상기 사용자 단말로부터 수신된 제1 인증서와 상기 인증서 저장부에 저장된 제1 인증서를 비교하여 일치하면 접속 인증을 하는 인증부, 그리고
상기 인증부에 의해 접속 인증된 상기 사용자 단말의 VPN 클라이언트와 터널 통신을 수행하는 VPN 서버를 포함하고,
상기 인증서 허가장치는 특정 버튼이거나 터치스크린인,
VPN 서버로 동작하는 사물인터넷 디바이스.A certificate permitting device that outputs a certificate issuance permit signal that is manipulated by a user to permit issuance of the certificate;
A communication interface that supports access to the Internet network;
It is composed of a plurality of operation processes corresponding to the port of the communication interface, and upon receiving the certificate issuance permission signal from the certificate granting device, sets a set certificate issuance valid time and counts the time, and within the set certificate issuance valid time A process unit that instructs the issuance of a certificate when a certificate issuance request is received from the VPN client of the user terminal;
A certificate generating unit that generates a first certificate according to the instructions of the process unit and provides it to the user terminal;
A certificate storage unit that matches and stores the first certificate generated by the certificate generation unit with the identification information of the user terminal;
an authentication unit that compares the first certificate received from the user terminal with the first certificate stored in the certificate storage unit and performs access authentication if they match; and
A VPN server performing tunnel communication with the VPN client of the user terminal authenticated by the authentication unit,
The certificate permission device is a specific button or a touch screen,
An IoT device that acts as a VPN server. 인터넷망 접속을 지원하는 통신 인터페이스,
상기 통신 인터페이스의 포트에 대응하는 복수의 동작 프로세스들로 구성되고, 유선 또는 무선으로 연결된 인증서 허가장치로부터 상기 인증서 발급 허가신호를 수신하면 설정된 인증서 발급 유효시간을 설정하고 시간 카운트를 하며, 상기 설정된 인증서 발급 유효시간 내에 사용자 단말의 VPN 클라이언트로부터 인증서 발급 요청이 수신되면 인증서 발급을 지시하는 프로세스부,
상기 프로세스부의 지시에 따라 제1 인증서를 생성하여 상기 사용자 단말에 제공하는 인증서 생성부,
상기 인증서 생성부에서 생성한 상기 제1 인증서를 상기 사용자 단말의 식별정보에 매칭하여 저장하는 인증서 저장부,
상기 사용자 단말로부터 수신된 제1 인증서와 상기 인증서 저장부에 저장된 제1 인증서를 비교하여 일치하면 접속 인증을 하는 인증부, 그리고
상기 인증부에 의해 접속 인증된 상기 사용자 단말의 VPN 클라이언트와 터널 통신을 수행하는 VPN 서버를 포함하는,
VPN 서버로 동작하는 사물인터넷 디바이스.A communication interface that supports access to the Internet network;
Consisting of a plurality of operation processes corresponding to the port of the communication interface, and receiving the certificate issuance permission signal from a certificate granting device connected by wire or wirelessly, a set certificate issuance valid time is set and time is counted, and the set certificate a process unit that instructs the issuance of a certificate when a certificate issuance request is received from the VPN client of the user terminal within the issuance effective time;
A certificate generating unit that generates a first certificate according to the instructions of the process unit and provides it to the user terminal;
A certificate storage unit that matches and stores the first certificate generated by the certificate generation unit with the identification information of the user terminal;
an authentication unit that compares the first certificate received from the user terminal with the first certificate stored in the certificate storage unit and performs access authentication if they match; and
A VPN server performing tunnel communication with a VPN client of the user terminal authenticated for access by the authenticator,
An IoT device that acts as a VPN server. 인터넷망 접속을 지원하는 통신 인터페이스,
상기 통신 인터페이스의 포트에 대응하는 복수의 동작 프로세스들로 구성된 프로세스부,
인증서 발급 요청 메시지를 전송한 사용자 단말로부터 공유암호화키를 수신하고, 접속 인증된 상기 사용자 단말의 VPN 클라이언트와 터널 통신을 수행하는 VPN 서버,
상기 VPN 서버로부터 수신된 상기 공유암호화키와 기 저장된 공유암호화키가 일치하고, 상기 인증서 발급 요청 메시지에 포함된 상기 사용자 단말의 최종 접속점 주소가 사물인터넷 디바이스의 현재 접속중인 점속점 주소와 일치하는 경우에 제1 인증서를 생성하여 상기 사용자 단말에 제공하는 인증서 생성부,
상기 인증서 생성부에서 생성한 상기 제1 인증서를 저장하는 저장부, 그리고
상기 사용자 단말로부터 수신된 제1 인증서를 상기 저장부에 저장된 제1 인증서와 비교하여 일치하면 상기 접속 인증을 하는 인증부를 포함하는
VPN 서버로 동작하는 사물인터넷 디바이스.
A communication interface that supports access to the Internet network;
a processing unit configured with a plurality of operation processes corresponding to ports of the communication interface;
A VPN server that receives the shared encryption key from the user terminal that has transmitted the certificate issuance request message, and performs tunnel communication with the VPN client of the user terminal for which access is authenticated;
When the shared encryption key received from the VPN server matches the pre-stored shared encryption key, and the final access point address of the user terminal included in the certificate issuance request message matches the current access point address of the IoT device A certificate generating unit that generates a first certificate and provides it to the user terminal,
a storage unit for storing the first certificate generated by the certificate generating unit; and
Comprising an authentication unit that compares the first certificate received from the user terminal with the first certificate stored in the storage unit and performs the access authentication if they match
An IoT device that acts as a VPN server.
 삭제delete 삭제delete
KR1020200025942A 2020-03-02 2020-03-02 Internet of things device with VPN server KR102309906B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200025942A KR102309906B1 (en) 2020-03-02 2020-03-02 Internet of things device with VPN server

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200025942A KR102309906B1 (en) 2020-03-02 2020-03-02 Internet of things device with VPN server

Publications (2)

Publication Number Publication Date
KR20210111382A KR20210111382A (en) 2021-09-13
KR102309906B1 true KR102309906B1 (en) 2021-10-12

Family

ID=77796636

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200025942A KR102309906B1 (en) 2020-03-02 2020-03-02 Internet of things device with VPN server

Country Status (1)

Country Link
KR (1) KR102309906B1 (en)

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101769895B1 (en) * 2015-06-19 2017-08-21 에스케이텔레콤 주식회사 User terminal device, Internet of Things control method, computer program and storage medium therefor
KR102078913B1 (en) * 2018-03-16 2020-04-07 주식회사 아도스 AUTHENTICATION METHOD AND SYSTEM OF IoT(Internet of Things) DEVICE BASED ON PUBLIC KEY INFRASTRUCTURE

Also Published As

Publication number Publication date
KR20210111382A (en) 2021-09-13

Similar Documents

Publication Publication Date Title
US11425104B2 (en) Secure transfer of a data object between user devices
JP6970080B2 (en) How to control access to an in-vehicle wireless network
US9763094B2 (en) Methods, devices and systems for dynamic network access administration
JP6165904B2 (en) Method for automatically establishing wireless connection, gateway device for the Internet of things and client device using the method
KR102186012B1 (en) Uniform communication protocols for communication between controllers and accessories
WO2015101125A1 (en) Network access control method and device
JP2016529841A (en) Owner access point for controlling entrance unlocking
US20150373538A1 (en) Configuring Secure Wireless Networks
US20150106517A1 (en) System and method for delayed device registration on a network
JP2016530732A (en) Secure group generation in proximity-based service communication
US9661000B2 (en) Communication apparatus, communication system, method of controlling communication apparatus, and storage medium
US20150143526A1 (en) Access point controller and control method thereof
JP2022550181A (en) Wireless network provisioning using pre-shared keys
EP2741465B1 (en) Method and device for managing secure communications in dynamic network environments
KR20060032102A (en) Method and home network system for authentication between remote terminal and home network using smart card
KR102309906B1 (en) Internet of things device with VPN server
US20230107045A1 (en) Method and system for self-onboarding of iot devices
JP6093576B2 (en) Wireless LAN connection automation method and wireless LAN connection automation system
US20230189003A1 (en) Pairing of user device with remote system
EP3890271A1 (en) Systems, methods, and media for authorizing external network access requests
US20170127266A1 (en) Method for activating a configuration mode of a device
US20150319180A1 (en) Method, device and system for accessing a server
WO2020161395A1 (en) Method for controlling an access device and an access system
KR102604709B1 (en) Security system for managing apartment house and method for operating thereof
KR102604713B1 (en) Security system for managing apartment house and method for operating thereof

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right