KR102365563B1 - Method of Connecting Lots of Internet-of-Things Devices to Network System - Google Patents

Method of Connecting Lots of Internet-of-Things Devices to Network System Download PDF

Info

Publication number
KR102365563B1
KR102365563B1 KR1020200052498A KR20200052498A KR102365563B1 KR 102365563 B1 KR102365563 B1 KR 102365563B1 KR 1020200052498 A KR1020200052498 A KR 1020200052498A KR 20200052498 A KR20200052498 A KR 20200052498A KR 102365563 B1 KR102365563 B1 KR 102365563B1
Authority
KR
South Korea
Prior art keywords
iot
iot device
eap
computer
network
Prior art date
Application number
KR1020200052498A
Other languages
Korean (ko)
Other versions
KR20210133641A (en
Inventor
김정미
Original Assignee
(주)케이사인
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)케이사인 filed Critical (주)케이사인
Priority to KR1020200052498A priority Critical patent/KR102365563B1/en
Publication of KR20210133641A publication Critical patent/KR20210133641A/en
Application granted granted Critical
Publication of KR102365563B1 publication Critical patent/KR102365563B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0813Configuration setting characterised by the conditions triggering a change of settings
    • H04L41/082Configuration setting characterised by the conditions triggering a change of settings the condition being updates or upgrades of network functionality
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y30/00IoT infrastructure

Abstract

대량의 IoT 기기의 네트워크 연결방법이 개시된다. 신규의 IoT 기기들의 제조 시점에 해당 IoT 기기의 기기 인증서와 키쌍을 발급하고, 스마트 공장이나 인텔리전트 빌딩 등과 같은 현장의 운용 사이트에 그 신규의 IoT 기기들을 설치하는 시점에 기 발급된 기기 인증서와 키쌍을 활용하여 해당 IoT 기기들을 인증한다. 그 인증 절차를 통해 검증된 IoT 기기들만 운영 사이트의 네트워크 인프라에 연결될 수 있도록 한다. IoT 기기가 제조된 후 설치될 때까지 중간 과정에서 맬웨어 등이 설치되면 위와 같은 인증 절차를 통과할 수 없고, 그 결과 운영 사이트의 네트워크 인프라에 연결될 수 없다. 확장 가능 인증 프로토콜(EAP)을 지원하는 기존의 일반적인 네트워크 시스템에 EAP 프로토콜을 그대로 이용하여 인증 절차를 수행함으로써 추가 비용 부담을 최소화 할 수 있게 해준다.Disclosed is a method for connecting a large number of IoT devices to a network. At the time of manufacturing new IoT devices, the device certificate and key pair of the corresponding IoT device are issued, and the device certificate and key pair issued at the time of installing the new IoT devices in on-site operation sites such as smart factories or intelligent buildings are used. Authenticate the IoT devices using Only IoT devices verified through the authentication process can be connected to the network infrastructure of the operating site. If malware is installed in the middle of an IoT device from manufacturing to installation, it cannot pass the above authentication process, and as a result, it cannot be connected to the network infrastructure of the operating site. By using the EAP protocol as it is in the existing general network system that supports the Extensible Authentication Protocol (EAP), it is possible to minimize the additional cost burden by performing the authentication procedure.

Figure R1020200052498
Figure R1020200052498

Description

대규모 IoT 기기의 네트워크 연결 방법 {Method of Connecting Lots of Internet-of-Things Devices to Network System} {Method of Connecting Lots of Internet-of-Things Devices to Network System}

본 발명은 네트워크 접근 제어 기술 분야에 관한 것으로, 보다 상세하게는 신규의 IoT 기기들을 산업 현장 등의 네트워크 시스템에 안전하게 연결되도록 하는 방법에 관한 것이다.The present invention relates to the field of network access control technology, and more particularly, to a method for safely connecting new IoT devices to a network system such as an industrial site.

사물 인터넷(Internet of Things: IoT) 기기들이 사용되는 분야가 점점 더 늘어나고 있다. 최근에는 IoT 기기들이 산업용으로 많이 채용되고 있는데, 대표적으로 스마트 공장을 구축하는 데 IoT 기기들이 많이 사용되고 있다. 스마트 공장에는 대량의 IoT 기기들이 설치되는 것이 일반적이고, 그 설치되는 대량의 IoT 기기들은 네트워크에 연결되어야 한다. The use of Internet of Things (IoT) devices is increasing. Recently, many IoT devices are being used for industrial purposes. Typically, IoT devices are used a lot to build a smart factory. A large number of IoT devices are generally installed in a smart factory, and the large number of installed IoT devices must be connected to a network.

대량의 IoT 기기들이 연결되는 네트워크 환경에서, 네트워크에 연결 되는 신규의 IoT 기기가 신뢰할 수 있는 벤더에 의해 제작되었고, 유통과정에서 손상되지 않았음을 확신할 수 있어야 한다. 그런데 사물 인터넷 기기들은 제조된 이후 실제 운영 사이트에 설치되기까지 여러 가지 유통 과정을 거치는 것이 일반적이다. IoT 기기 제조사들은 해당 IoT 기기들을 제공하여 시장에 출하하는 시점에는 그 IoT 기기들의 최종 고객을 알 수가 없다. 즉, 제조사들은 자신들이 제조 판매한 IoT 기기들이 어떤 사이트에 설치되는지 알 수 없다. IoT 기기들이 제조된 후 최종 고객(사용자)에 도달하는 동안, 그 IoT 기기들은 제3자에 의해 무단으로 복제되거나, 또는 그 IoT 기기에 악성코드를 주입됨으로써 해당 기기가 손상될 수 있다. IoT 기기들을 구매하여 설치하는 사용자의 입장에서는 이러한 문제로부터 자유로운 IoT 기기들을 구입하여 설치할 수 있기를 원한다. 즉, IoT 기기의 제조부터 설치 단계에 이르기까지 해당 IoT 기기의 신뢰성 및 무결성을 담보해줄 수 있어야 한다.In a network environment where a large number of IoT devices are connected, it is necessary to be sure that new IoT devices connected to the network are manufactured by a trusted vendor and are not damaged in the distribution process. However, it is common for IoT devices to go through various distribution processes from being manufactured to being installed on an actual operating site. IoT device manufacturers do not know the end customer of the IoT devices at the time they provide the IoT devices and ship them to the market. In other words, manufacturers cannot know on which site the IoT devices they manufacture and sell are installed. After the IoT devices are manufactured and while they reach the end customer (user), the IoT devices may be copied by a third party without permission or may be damaged by injecting malicious code into the IoT device. Users who purchase and install IoT devices want to be able to purchase and install IoT devices free from these problems. In other words, it should be able to guarantee the reliability and integrity of the IoT device from manufacturing to installation.

한편, 인증받은 IoT 기기들만이 네트워크에 연결되도록 할 필요가 있고, 그렇게 하기 위해서는 인증절차를 거칠 필요가 있다. 하지만 대부분의 IoT 기기들은 자체적으로 별도의 입력과 출력 장치를 가지지 못한다. 따라서 IoT 기기들의 경우, 아이디 및 패스워드를 입력하여 인증 받은 방식을 사용하기가 어려운 경우가 대부분이다. IoT 기기들을 네트워크에 인증하기 위한 기존의 일반적인 인증 방식은 IoT 기기들의 입출력 장치의 제약으로 그대로 적용하는 데에는 제약이 있다. 별도의 입출력 수단을 가지지 못하는 IoT 기기들을 네트워크에 신뢰받은 상태로 안전하게 연결시키기 위한 별도의 인증 절차가 필요하다. On the other hand, it is necessary to allow only authenticated IoT devices to connect to the network, and to do so, it is necessary to go through an authentication process. However, most IoT devices do not have separate input and output devices by themselves. Therefore, in the case of IoT devices, in most cases, it is difficult to use an authentication method by inputting an ID and password. Existing general authentication methods for authenticating IoT devices to the network have limitations in applying them as they are due to the limitations of input/output devices of IoT devices. A separate authentication procedure is required to securely connect IoT devices that do not have separate input/output means to the network in a trusted state.

본 발명의 일 목적은 별도의 입출력 수단을 갖지 못하는 IoT 기기들을 신뢰성과 무결성 검증 절차를 통과한 것만을 네트워크 인프라에 안전하게 연결하되, 확장 가능 인증 프로토콜(Extensible Authentication Protocol: EAP) 프로토콜을 지원하는 기존의 일반적인 네트워크 시스템에 EAP 프로토콜을 그대로 이용하여 인증 절차를 수행함으로써 추가 비용 부담을 최소화 할 수 있게 해주는 대량의 IoT 기기의 네트워크 연결방법을 제공하는 것이다.One object of the present invention is to safely connect only IoT devices that do not have separate input/output means to network infrastructure that have passed the reliability and integrity verification procedure, but the existing Extensible Authentication Protocol (EAP) protocol is supported. It is to provide a network connection method for a large number of IoT devices that can minimize the additional cost burden by performing the authentication procedure using the EAP protocol as it is in the general network system.

본 발명이 해결하고자 하는 과제는 상술한 과제들에 한정되는 것이 아니며, 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위에서 다양하게 확장될 수 있을 것이다.The problem to be solved by the present invention is not limited to the above problems, and may be variously expanded without departing from the spirit and scope of the present invention.

상기 본 발명의 일 목적을 실현하기 위한 실시예들에 따른 IoT 기기의 네트워크 연결 방법은, IoT 기기 제조 시, 제조되는 IoT 기기의 신원 확인을 위한 개인키 및 공개키의 키쌍과 기기 인증서를 생성하여, 상기 IoT 기기 제조사의 컴퓨터 장치가 관리하는 기기정보 데이터베이스에는 기기 인증서와 상기 IoT 기기에 설치된 펌웨어 모듈의 바이너리 정보의 해쉬값을 저장하고, 상기 IoT 기기에는 상기 개인키와 상기 기기 인증서를 내장하는 단계를 포함한다. 상기 IoT 기기의 네트워크 연결 방법은, 상기 IoT 기기를 운영하는 사이트에서 상기 IoT 기기를 설치 시, 신규의 IoT 기기가 IoT 시스템 네트워크에 대한 연결을 요청하는 메시지를 네트워크 연결 장비를 통해 EAP 서버에 보내는 단계; 상기 EAP 서버가 EAP 프로토콜에 따라 통신 시작 코드를 포함하는 EAP-요청 메시지를 상기 IoT 기기에 전송하는 단계; 상기 IoT 기기가 내장된 기기 인증서와 내장된 펌웨어에 대한 개인키 서명값을 포함하는 EAP 응답 메시지를 상기 EAP 서버에 전송하는 단계; 상기 EAP 서버가 상기 EAP 응답 메시지를 수신하여 상기 기기 인증서와 상기 펌웨어에 대한 개인키 서명값을 기기 인증 서버에 전송하는 단계; 상기 기기 인증 서버가 상기 EAP 서버로부터 제공받은 상기 기기 인증서로부터 상기 IoT 기기 제조사 컴퓨터 장치의 URL을 추출하고, 그 추출된 URL을 호출하여 상기 기기 인증서와 상기 펌웨어에 대한 개인키 서명값을 상기 IoT 기기 제조사의 컴퓨터 장치에 제공하면서 상기 IoT 기기에 대한 신원 검증을 요청하는 단계; 상기 IoT 기기 제조사의 컴퓨터 장치에서, 수신된 상기 기기 인증서에 포함된 공개키를 이용하여 상기 기기정보 데이터베이스에 저장된 해당 펌웨어 모듈의 바이너리 정보에 대한 해쉬값을 추출하고, 그 추출된 해쉬값과 상기 기기 인증 서버로부터 전달받은 상기 펌웨어에 대한 개인키 서명값을 비교하여 동일성 여부를 판별하는 것에 의해 서명 검증을 수행하는 단계; 상기 IoT 기기 제조사의 컴퓨터 장치에서, 상기 비교를 통해 동일성이 인정되는지 여부에 따라 상기 IoT 기기의 신원 검증의 성공 또는 실패를 판정하고, 그 판정 결과를 상기 기기 인증 서버에 응답하는 단계; 상기 기기 인증 서버가 수신된 신원 검증의 상기 판정 결과를 상기 EAP 서버에 전달하는 단계; 상기 EAP 서버가 상기 신원 검증의 판정 결과를 등가적인 EAP 인증 결과로 치환하여 상기 네트워크 연결 장비에 전송하는 단계; 그리고 상기 네트워크 연결 장비가 수신된 상기 EAP 인증 결과에 따라, 상기 IoT 기기를 상기 IoT 시스템 네트워크에 연결시키거나 또는 연결을 거부하는 조치를 취하는 단계를 포함한다. A network connection method of an IoT device according to embodiments for realizing an object of the present invention is a method of manufacturing an IoT device by generating a key pair of a private key and a public key and a device certificate for verifying the identity of the manufactured IoT device. , storing a device certificate and a hash value of binary information of a firmware module installed in the IoT device in a device information database managed by a computer device of the IoT device manufacturer, and embedding the private key and the device certificate in the IoT device includes The method of connecting the IoT device to the network includes: when the IoT device is installed at a site operating the IoT device, the new IoT device sends a message requesting connection to the IoT system network to the EAP server through the network connection device ; transmitting, by the EAP server, an EAP-request message including a communication start code to the IoT device according to an EAP protocol; transmitting, by the IoT device, an EAP response message including an embedded device certificate and a private key signature value for the embedded firmware to the EAP server; receiving, by the EAP server, the EAP response message and transmitting the device certificate and a private key signature value for the firmware to a device authentication server; The device authentication server extracts the URL of the IoT device manufacturer computer device from the device certificate provided from the EAP server, and calls the extracted URL to obtain the device certificate and the private key signature value for the firmware of the IoT device requesting identity verification for the IoT device while providing it to the manufacturer's computer device; In the computer device of the IoT device manufacturer, a hash value for binary information of the corresponding firmware module stored in the device information database is extracted using the public key included in the received device certificate, and the extracted hash value and the device performing signature verification by comparing the private key signature values for the firmware received from the authentication server and determining whether they are identical; determining, in the computer device of the IoT device manufacturer, success or failure of identity verification of the IoT device according to whether identity is recognized through the comparison, and responding to the device authentication server with a result of the determination; transmitting, by the device authentication server, the determination result of the received identity verification to the EAP server; transmitting, by the EAP server, a result of the determination of the identity verification with an equivalent EAP authentication result to the network connection device; and taking, by the network connection device, a measure to connect the IoT device to the IoT system network or to reject the connection according to the received EAP authentication result.

예시적인 실시예에 있어서, 상기 기기 인증서는 해당 IoT 기기의 공개키, 해당 IoT 기기를 특정할 수 있는 기기 고유 번호, 상기 IoT 기기 제조사의 URL 정보를 포함할 수 있다.In an exemplary embodiment, the device certificate may include a public key of the corresponding IoT device, a device unique number for specifying the corresponding IoT device, and URL information of the IoT device manufacturer.

예시적인 실시예에 있어서, 상기 내장된 펌웨어에 대한 개인키 서명값은 상기 IoT 기기에 내장된 개인키로 상기 내장된 펌웨어 모듈의 바이너리 정보를 해쉬 처리하여 얻어지는 해쉬값일 수 있다.In an exemplary embodiment, the private key signature value for the embedded firmware may be a hash value obtained by hashing binary information of the embedded firmware module with a private key embedded in the IoT device.

예시적인 실시예에 따르면, 위와 같은 IoT 기기의 네트워크 연결 방법을 수행하기 위하여 컴퓨터 판독 가능한 기록 매체에 저장된 컴퓨터 실행가능 프로그램이 제공될 수 있다.According to an exemplary embodiment, a computer-executable program stored in a computer-readable recording medium may be provided to perform the above-described method for network connection of the IoT device.

예시적인 실시예에 따르면, 위와 같은 IoT 기기의 네트워크 연결 방법을 수행하기 위한 컴퓨터 프로그램이 기록된 컴퓨터 판독 가능한 기록 매체가 제공될 수 있다.According to an exemplary embodiment, a computer-readable recording medium in which a computer program for performing the above-described method for network connection of an IoT device is recorded may be provided.

본 발명의 예시적인 실시예들에 따르면, 신규의 IoT 기기들의 제조 시점에 해당 IoT 기기의 기기 인증서와 키쌍을 발급하고, 스마트 공장이나 인텔리전트 빌딩 등과 같은 현장의 운용 사이트에 그 신규의 IoT 기기들을 설치하는 시점에 기 발급된 기기 인증서와 키쌍을 활용하여 해당 IoT 기기들을 인증한다. 그 인증 절차를 통해 검증된 IoT 기기들만 운영 사이트의 네트워크 인프라에 연결될 수 있도록 한다. 따라서 IoT 기기가 제조된 후 설치될 때까지 중간 과정에서 맬웨어 등이 설치되면 위와 같은 인증 절차를 통과할 수 없고, 그 결과 운영 사이트의 네트워크 인프라에 연결될 수 없다. 본 발명에 따른 방법은 중간 유통 과정에서 아무런 변경이 발생하지 않은 신뢰성 있는 IoT 기기들만 운영 사이트의 네트워크 인프라에 연결될 수 있게 해준다. According to exemplary embodiments of the present invention, the device certificate and key pair of the corresponding IoT device are issued at the time of manufacturing the new IoT devices, and the new IoT devices are installed at the operation site of the field, such as a smart factory or an intelligent building. The IoT devices are authenticated by using the device certificate and key pair issued at the time of application. Only IoT devices verified through the authentication process can be connected to the network infrastructure of the operating site. Therefore, if malware is installed in the middle of an IoT device from manufacturing to installation, it cannot pass the above authentication process, and as a result, it cannot be connected to the network infrastructure of the operation site. The method according to the present invention allows only reliable IoT devices that have not undergone any changes in the intermediate distribution process to be connected to the network infrastructure of the operating site.

또한, 일반적인 네트워크 접근 통제 장치는 모두 EAP 프로토콜을 지원한다. 본 발명에 따른 방법은 그 EAP 프로토콜을 기반으로 그 위에서 실행되는 방법이다. 따라서 본 발명은 운영 사이트에 설치되어 있는 기존 네트워크 인프라를 변경하지 않아도 신규의 IoT 기기를 네트워크에 안전하고 신뢰성 있게 연결할 수 있다.Also, all general network access control devices support the EAP protocol. The method according to the present invention is a method executed on the basis of the EAP protocol. Therefore, according to the present invention, a new IoT device can be safely and reliably connected to the network without changing the existing network infrastructure installed at the operation site.

도 1은 본 발명의 예시적 실시예에 따른 대규모 IoT 기기의 네트워크 연결 방법을 실시할 수 있는 시스템 환경을 나타내는 블록도이다.
도 2는 본 발명의 예시적 실시예에 따른 대규모 IoT 기기의 네트워크 연결 방법의 실행 절차를 나타내는 흐름도이다.1 is a block diagram illustrating a system environment in which a method for connecting a large-scale IoT device to a network according to an exemplary embodiment of the present invention can be implemented.
2 is a flowchart illustrating an execution procedure of a method for connecting a large-scale IoT device to a network according to an exemplary embodiment of the present invention.

이하, 첨부한 도면들을 참조하여, 본 발명의 바람직한 실시예를 보다 상세하게 설명하고자 한다. 도면상의 동일한 구성요소에 대해서는 동일한 참조부호를 사용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다.Hereinafter, preferred embodiments of the present invention will be described in more detail with reference to the accompanying drawings. The same reference numerals are used for the same components in the drawings, and repeated descriptions of the same components are omitted.

본문에 개시되어 있는 본 발명의 실시예들에 대해서, 특정한 구조적 내지 기능적 설명들은 단지 본 발명의 실시예를 설명하기 위한 목적으로 예시된 것이다. 본 발명의 실시예들은 다양한 형태로 실시될 수 있으며, 본문에 설명된 실시예들에 한정되는 것으로 해석되어서는 안 된다. 즉, 본 발명은 다양한 변경을 가할 수 있고, 여러 가지 형태를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 본문에 상세하게 설명하고자 한다. 그러나 이는 본 발명을 특정한 개시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. With respect to the embodiments of the present invention disclosed in the text, specific structural and functional descriptions are merely exemplified for the purpose of describing the embodiments of the present invention. Embodiments of the present invention may be embodied in various forms, and should not be construed as being limited to the embodiments described herein. That is, since the present invention can have various changes and can have various forms, specific embodiments are illustrated in the drawings and described in detail in the text. However, this is not intended to limit the present invention to the specific disclosed form, it should be understood to include all modifications, equivalents and substitutes included in the spirit and scope of the present invention.

본 발명에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서 상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다. 또한, 제1, 제2 등의 용어는 다양한 구성요소들을 설명하는 데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. The terms used in the present invention are only used to describe specific embodiments, and are not intended to limit the present invention. The singular expression includes the plural expression unless the context clearly dictates otherwise. In the present application, terms such as "comprise" or "have" are intended to designate that a feature, number, step, operation, component, part, or a combination thereof described in the specification exists, but one or more other features It should be understood that this does not preclude the existence or addition of numbers, steps, operations, components, parts, or combinations thereof. Also, terms such as first and second may be used to describe various elements, but the elements should not be limited by the terms. The above terms are used only for the purpose of distinguishing one component from another.

도 1에는 일 실시예에 따른 IoT 기기들의 네트워크 연결 방법을 실시할 수 있는 시스템의 구성이 예시되어 있다.1 illustrates a configuration of a system capable of implementing a network connection method of IoT devices according to an embodiment.

도 1을 참조하면, IoT 기기들의 네트워크 인증 시스템(10)은 통신망(80)을 통해 통신 가능하게 연결되는 IoT 기기 제조사의 컴퓨터 장치(20)와 그 IoT 기기들을 신규로 설치하여 운용하려는 사이트의 IoT 시스템 네트워크(30)를 포함할 수 있다. IoT 기기 제조사의 컴퓨터 장치(20)와 IoT 시스템 네트워크(30)는 인터넷과 같은 통신망(80)을 통해 통신할 수 있다. 운용 사이트는 예컨대 공장이나 산업 시설, 스마트 빌딩, 다중 집합 장소 등과 같은 장소로서, 다량의 IoT 기기들이 설치, 운용되는 현장일 수 있다. Referring to FIG. 1 , the network authentication system 10 of IoT devices is a computer device 20 of an IoT device manufacturer that is communicatively connected through a communication network 80 and the IoT device of a site to newly install and operate the IoT devices. It may include a system network 30 . The computer device 20 of the IoT device manufacturer and the IoT system network 30 may communicate through a communication network 80 such as the Internet. The operation site is, for example, a place such as a factory, an industrial facility, a smart building, a multiple gathering place, and the like, and may be a site where a large number of IoT devices are installed and operated.

IoT 기기 제조사에서는 제조하는 IoT 기기들의 신원 확인을 위한 키쌍(개인키와 공개키 쌍), 그리고 기기의 인증서를 생성할 수 있다. 기기 인증서에는 해당 IoT 기기의 공개키, 해당 IoT 기기를 특정할 수 있는 기기 고유 번호(예컨대 시리얼번호)가 포함되며, 특히 '제조사 URL 정보'가 더 포함될 수 있다. 그 '제조사 URL 정보'는 IoT 기기 제조사 컴퓨터(20)에 접속할 수 있는 URL 정보이다. 이런 정보가 내장된 IoT 기기(70)들이 시장에 유통된다. 기기 인증서는 엔코딩된 상태로 IoT 기기(70)에 저장될 수 있다.An IoT device manufacturer can generate a key pair (a private key and a public key pair) for identification of manufactured IoT devices, and a device certificate. The device certificate includes a public key of the corresponding IoT device and a device unique number (eg, serial number) that can identify the corresponding IoT device, and in particular, 'manufacturer URL information' may be further included. The 'manufacturer URL information' is URL information that can connect to the IoT device manufacturer computer 20 . IoT devices 70 in which such information is embedded are distributed in the market. The device certificate may be stored in the IoT device 70 in an encoded state.

IoT 기기 제조사의 컴퓨터 장치(20)는 제조된 IoT 기기들(70)에 관한 정보를 저장, 관리하는 데이터베이스(25)를 포함할 수 있다. 기기정보 데이터베이스(25)에 저장되는 IoT 기기 정보는 해당 IoT 기기의 기기 인증서와 IoT 기기에 설치된 펌웨어 모듈의 바이너리 정보의 해쉬값 등을 포함할 수 있다. 제조사 컴퓨터 장치(20)는 데이터베이스(25)에 저장된 IoT 기기 정보에 기초하여 IoT 기기들(70)의 신뢰성, 무결성을 보장하기 위한 인증 작업을 처리할 수 있는 프로그램들을 포함할 수 있다. The computer device 20 of the IoT device manufacturer may include a database 25 that stores and manages information about the manufactured IoT devices 70 . The IoT device information stored in the device information database 25 may include a device certificate of the corresponding IoT device and a hash value of binary information of a firmware module installed in the IoT device. The manufacturer's computer device 20 may include programs capable of processing an authentication operation to ensure reliability and integrity of the IoT devices 70 based on IoT device information stored in the database 25 .

제조된 각 IoT 기기에는 그 IoT 기기(70)의 개인키(공개키와 키쌍을 이룸)와 기기 인증서가 저장될 수 있다. 기기 인증서는 인코딩된 상태로 저장될 수 있다. Each manufactured IoT device may store a private key (forming a key pair with a public key) of the IoT device 70 and a device certificate. The device certificate may be stored in an encoded state.

스마트 공장 또는 인텔리전트 빌딩과 같은 IoT 기기 운용 사이트에는 IoT 네트워크 시스템(30)이 구축되어 있다. 운용 사이트의 IoT 시스템(30)은 운용 사이트에 설치되는 IoT 기기들(70)에 대하여 신뢰성, 무결성을 인증하여, 검증된 인증된 IoT 기기에 대해서만 IoT 시스템 네트워크(30)에 연결시켜 그 IoT 기기가 인터넷 통신을 할 수 있도록 해주는 시스템이다. 그 운용 사이트의 IoT 네트워크 시스템(30)은 EAP을 지원하면서 신규의 IoT 기기(70)들의 인증 절차를 EAP 프로토콜 기반으로 지원하도록 구성된 EAP 서버(40), 후술하는 절차에 따라 IoT 기기 제조사 컴퓨터(20)와 협력하여 신규의 IoT 기기(70)들에 대한 인증 절차를 수행하도록 구성된 기기 인증 서버(50), 그리고 인증절차를 밟고자 하는 신규의 IoT 기기(70)들을 EAP 프로토콜 기반으로 EAP 서버(40)와 통신할 수 있도록 지원하는 네트워크 연결장비(60)를 포함할 수 있다.An IoT network system 30 is built in an IoT device operation site such as a smart factory or an intelligent building. The IoT system 30 of the operation site authenticates the reliability and integrity of the IoT devices 70 installed at the operation site, and connects only the verified and authenticated IoT devices to the IoT system network 30 so that the IoT device is It is a system that enables Internet communication. The IoT network system 30 of the operation site supports the EAP and the EAP server 40 configured to support the authentication procedure of the new IoT devices 70 based on the EAP protocol, and the IoT device manufacturer computer 20 according to the procedure to be described later. ) in cooperation with the device authentication server 50 configured to perform the authentication procedure for the new IoT devices 70, and the new IoT devices 70 to be authenticated based on the EAP protocol based on the EAP server 40 ) may include a network connection device 60 that supports communication with the.

운용 사이트의 필요한 곳에 설치된 다수의 IoT 기기들(70)은 IoT 네트워크 시스템(30)에 통신 가능하게 연결되기 위한 절차를 밟은 후라야 IoT 네트워크 시스템(30)에 정상적으로 연결되어, 인프라 통신 및/또는 인터넷 통신 등과 같은 통신 서비스를 지원받을 수 있게 된다.A plurality of IoT devices 70 installed in necessary places of the operation site are normally connected to the IoT network system 30 after undergoing a procedure to be communicatively connected to the IoT network system 30, and communicate with infrastructure and/or the Internet It is possible to receive support for a communication service such as communication.

네트워크 연결장비(60)는 상용 액세스 포인트(Enterprise Access Point(AP))일 수 있다. 운용 사이트에는 하나 이상의 상용 AP(60)들이 설치될 수 있다. 그 상용 AP(60)들은 IoT 기기들(70)과 후술할 EAP 서버(40) 간의 통신을 중계할 수 있다. 상용 AP(60)는 확장 가능 인증 프로토콜(EAP)을 지원한다. EAP는 무선 네트워크와 점 대 점 연결에 자주 사용되는 인증 프레임워크이다. 다수의 IoT 기기(70)들은 상용 AP(60)와는 WiFi 통신을 할 수 있다. The network connection device 60 may be a commercial access point (Enterprise Access Point (AP)). One or more commercial APs 60 may be installed at the operation site. The commercial APs 60 may relay communication between the IoT devices 70 and the EAP server 40 to be described later. Commercial AP 60 supports Extensible Authentication Protocol (EAP). EAP is an authentication framework frequently used for point-to-point connections with wireless networks. A plurality of IoT devices 70 may perform WiFi communication with the commercial AP 60 .

상용 AP(60)는 EAP 서버(40) 유선 랜(LAN) 및/또는 무선 랜으로 연결될 수 있다. 상용 AP(60)와 EAP 서버(40)는 무선 랜으로 연결될 경우 예컨대 무선의 RADIUS 통신을 통해 정보를 교환할 수 있다. 기기 인증 서버(50)는 EAP 서버(40)를 통해 전달받은 IoT 기기(70)들의 정보를 이용하여 해당 IoT 기기들(50)의 인증 작업을 처리하기 위한 장치이다. 즉, 기기 인증 서버(50)는 IoT 기기 제조사 컴퓨터(20)와 협력하여, EAP 프로토콜을 지원하는 EAP 서버(40)를 활용하여 신규 IoT 기기들(70)의 인증 절차를 수행할 수 있다.The commercial AP 60 may be connected to the EAP server 40 through a wired LAN and/or a wireless LAN. When the commercial AP 60 and the EAP server 40 are connected through a wireless LAN, they can exchange information through, for example, wireless RADIUS communication. The device authentication server 50 is a device for processing an authentication task of the corresponding IoT devices 50 using the information of the IoT devices 70 received through the EAP server 40 . That is, the device authentication server 50 may cooperate with the IoT device manufacturer computer 20 to perform the authentication procedure of the new IoT devices 70 by using the EAP server 40 supporting the EAP protocol.

도 2에는 예시적 실시예에 따른 대규모 IoT 기기의 네트워크 연결 방법의 실행 절차가 도시되어 있다. Fig. 2 shows an execution procedure of a method for connecting a large-scale IoT device to a network according to an exemplary embodiment.

도 2를 참조하면, 일반적으로 IoT 기기(70)들은 최초 설치되고 전원이 켜지면, 자신의 주변에 있는 네트워크 연결장비(예: AP)(60)에 네트워크 연결 요청을 보낼 수 있다(S10). Referring to FIG. 2 , in general, when IoT devices 70 are initially installed and powered on, they may send a network connection request to a network connection device (eg, an AP) 60 located nearby ( S10 ).

그 연결 요청을 받은 네트워크 연결장비(60)는 IoT 기기(70)를 네트워크에 연결하기 전에 그 IoT 기기의 인증 프로세스를 EAP 서버(40)에 위임할 수 있다(S12).The network connection device 60 receiving the connection request may delegate the authentication process of the IoT device 70 to the EAP server 40 before connecting the IoT device 70 to the network (S12).

네트워크 연결장비(60)로부터 IoT 기기(70)에 대한 EAP 인증을 위임받은 EAP 서버는 그 IoT 기기(70)에 통신시작코드를 보내면서 IoT 기기(70)에 대한 EAP 요청을 시작할 수 있다(S14). 이에 의해, 신규의 IoT 기기(70)는 EAP 프로토콜을 기반으로 자신에 대한 인증 정차를 본격적으로 수행할 수 있게 된다. The EAP server, which has been delegated EAP authentication for the IoT device 70 from the network connection device 60, may start an EAP request for the IoT device 70 while sending a communication start code to the IoT device 70 (S14). ). Accordingly, the new IoT device 70 can perform the authentication stop for itself based on the EAP protocol in earnest.

IoT 기기(70)에 대한 EAP 프로토콜 기반 인증 절차를 수행하기 위해, 우선 EAP 요청을 받은 IoT 기기(70)가 EAP 응답(Response) 메시지를 네트워크 연결장비(60)를 통해 EAP 서버(40)에 전송할 수 있다(S20). 그 EAP 응답 메시지는 IoT 기기(70)에 내장된 기기 인증서와 개인키 서명값을 포함할 수 있다. 기기 인증서와 개인키 서명값은 IoT 기기(70)의 제조사가 제조 시에 그 IoT 시시(70)에 내장시킨 정보이다. 여기서, 개인키 서명값은 IoT 기기(70)에 내장된 펌웨어 파일 모듈을 개인키로 서명한 펌웨어 서명값을 포함할 수 있다. 펌웨어 서명값은 예컨대 IoT 기기(70)의 펌웨어 모듈의 바이너리 값을 개인키로 해쉬 처리를 한 해쉬값일 수 있다.In order to perform the EAP protocol-based authentication procedure for the IoT device 70 , first, the IoT device 70 receiving the EAP request transmits an EAP response message to the EAP server 40 through the network connection device 60 . It can be (S20). The EAP response message may include a device certificate and a private key signature value embedded in the IoT device 70 . The device certificate and the private key signature value are information embedded in the IoT device 70 by the manufacturer of the IoT device 70 at the time of manufacture. Here, the private key signature value may include a firmware signature value in which the firmware file module built in the IoT device 70 is signed with the private key. The firmware signature value may be, for example, a hash value obtained by hashing the binary value of the firmware module of the IoT device 70 as a private key.

EAP 서버(40)는 네트워크 연결장비(60)를 통해 IoT 기기(70)로부터 기기 인증서와 개인키 서명값을 포함하는 EAP 응답 메시지를 전달받을 수 있다. EAP 서버(40)는 그 EAP 응답 메시지에 포함된 기기 인증서와 펌웨어 서명값을 기기 인증 서버(50)에 전달할 수 있다(S22).The EAP server 40 may receive an EAP response message including a device certificate and a private key signature value from the IoT device 70 through the network connection device 60 . The EAP server 40 may transmit the device certificate and the firmware signature value included in the EAP response message to the device authentication server 50 (S22).

기기 인증 서버(50)는 전달받은 기기 인증서에서 제조사 URL을 추출할 수 있다. 기기 인증서는 인코딩된 형태로 전달될 수 있으며, 그 경우 그 기기 인증서를 디코딩하여 그 안에 포함된 제조사 URL을 추출할 수 있다. 그런 다음, 기기 인증 서버(50)는 그 추출된 URL을 가진 IoT 기기 제조사 컴퓨터(20)를 호출하여 IoT 기기(70)에 대한 신원 검증을 요청할 수 있다(S24). 그 신원 검증 요청 메시지는 IoT 기기(70)의 기기 인증서와 펌웨어 서명값 포함할 수 있다.The device authentication server 50 may extract a manufacturer URL from the received device certificate. The device certificate may be delivered in an encoded form, and in that case, the device certificate may be decoded to extract the manufacturer URL included therein. Then, the device authentication server 50 may request identity verification for the IoT device 70 by calling the IoT device manufacturer computer 20 having the extracted URL (S24). The identity verification request message may include a device certificate of the IoT device 70 and a firmware signature value.

IoT 기기 제조사 컴퓨터(20)에서는 IoT 기기(70)에 대한 신원 검증 절차를 수행할 수 있다(S26). 구체적으로서, 기기 인증 서버(50)가 제공해준 '기기 인증서'에 포함된 공개키를 이용하여 기기정보 DB(25)에 저장된 해당 펌웨어 모듈의 바이너리 정보에 대한 해쉬값(제조사가 관리하고 있는 정보임)을 추출할 수 있다. 그 추출된 펌웨어 모듈의 해쉬값과 기기 인증 서버(50)로부터 전달받은 펌웨어 모듈의 개인키 서명값(해쉬값)을 비교하여 서명 검증을 수행할 수 있다. IoT 기기(70)에 설치되어 있는 펌웨어 바이너리 정보와 IoT 기기 제조사에서 관리하고 있는 펌웨어 바이너리 정보가 동일할 때, 위와 같은 서명 검증에 성공할 수 있다. 이런 서명 검증을 통해 IoT 기기(70)에 설치된 펌웨어 모듈의 무결성을 확인할 수 있다. 무결성이 확인되는 경우, 기기 인증 서버(50)가 요청한 신원 검증에 성공한 것으로 볼 수 있고, 그 외의 경우에는 신원 검증에 실패한 것으로 볼 수 있다.The IoT device manufacturer computer 20 may perform an identity verification procedure for the IoT device 70 (S26). Specifically, a hash value (information managed by the manufacturer) for the binary information of the firmware module stored in the device information DB 25 using the public key included in the 'device certificate' provided by the device authentication server 50 ) can be extracted. Signature verification may be performed by comparing the extracted hash value of the firmware module with the private key signature value (hash value) of the firmware module received from the device authentication server 50 . When the firmware binary information installed in the IoT device 70 and the firmware binary information managed by the IoT device manufacturer are the same, the above signature verification may be successful. Through this signature verification, the integrity of the firmware module installed in the IoT device 70 may be verified. When the integrity is checked, it may be considered that the identity verification requested by the device authentication server 50 has been successful, and in other cases, it may be considered that the identity verification has failed.

IoT 기기 제조사 컴퓨터(20)는 신원 검증이 완료되면, 그 신원 검증 결과(성공/실패)를 요청하는 기기 인증 서버(50)에 응답한다(S28). When the identity verification is completed, the IoT device manufacturer computer 20 responds to the device authentication server 50 requesting the identity verification result (success/failure) (S28).

기기 인증 서버(50)는 EAP 서버(40)에 그 신원 검증 결과를 리턴한다(S30). EAP 서버(40)는 신원 검증 결과(성공 또는 실패)를 등가적으로 EAP 인증 결과(성공 또는 실패)로 치환하고, 그 EAP 인증 결과(성공 또는 실패)를 네트워크 연결장비(60)에 전송한다(S32). 네트워크 연결장비(60)는 수신된 EAP 인증 결과(성공 또는 실패)에 따라, 네트워크 연결을 요청한 IoT 기기(70)를 IoT 시스템 네트워크(30)에 연결시키거나 또는 연결을 거부하는 조치를 취할 수 있다(S34). The device authentication server 50 returns the identity verification result to the EAP server 40 (S30). The EAP server 40 replaces the identity verification result (success or failure) with the EAP authentication result (success or failure) equivalently, and transmits the EAP authentication result (success or failure) to the network connection device 60 ( S32). The network connection device 60 connects the IoT device 70 that has requested a network connection to the IoT system network 30 or rejects the connection according to the received EAP authentication result (success or failure). (S34).

이러한 인증 절차에 의하면, 네트워크 연결을 요청하는 IoT 기기(70)는 자신의 펌웨어 모듈 바이너리 정보를 개인키로 서명한 해쉬값을 기기인증서와 함께 IoT 기기 제조사 컴퓨터(20)로 전달할 수 있고, IoT 기기 제조사 컴퓨터(20)에서는 전달받은 기기인증서에 포함된 공개키를 이용하여 IoT 기기(70)의 펌웨어 모듈 바이너리 정보의 해쉬값을 추출하고 그 추출된 해쉬값을 IoT 기기(70)가 보내온 해쉬값과 비교하여 동일성 여부를 판별할 수 있다. 만약 IoT 기기(70)에 내장된 펌웨어 모듈에 어떤 변경(예컨대, 맬웨어의 설치 등)이 발생하면 두 해쉬값이 동일하지 않게 되어 인증에 실패한다. 따라서 IoT 기기(70)가 네트워크 연결 요청을 할 때, 그 IoT 기기(70)의 제조 시 설치된 펌웨어 모듈에 아무런 변경이 없을 때에만, 인증에 성공할 수 있다. 이런 방식에 의해, IoT 기기(70)의 펌웨어 모듈의 무결성, 신뢰성이 완전히 보장될 수 있다.According to this authentication procedure, the IoT device 70 requesting network connection may transmit a hash value signed with the private key of its firmware module binary information to the IoT device manufacturer computer 20 together with the device certificate, and the IoT device manufacturer The computer 20 extracts a hash value of the firmware module binary information of the IoT device 70 using the public key included in the received device certificate, and compares the extracted hash value with the hash value sent by the IoT device 70 Thus, it is possible to determine whether they are identical. If any change (eg, installation of malware, etc.) occurs in the firmware module embedded in the IoT device 70 , the two hash values are not identical and authentication fails. Therefore, when the IoT device 70 makes a network connection request, authentication can be successful only when there is no change in the firmware module installed at the time of manufacturing the IoT device 70 . In this way, the integrity and reliability of the firmware module of the IoT device 70 can be completely guaranteed.

본 발명은 IoT 기기들을 대량으로 설치하여 스마트 공장을 구축하거나 인텔리전트 빌딩을 구축함에 있어서, 신뢰성과 무결성이 보장된 IoT 기기들만 네트워크에 접근할 수 있도록 하는 용도로 이용될 수 있다.The present invention can be used for the purpose of allowing only IoT devices with guaranteed reliability and integrity to access the network in building a smart factory or intelligent building by installing IoT devices in large quantities.

실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.The method according to the embodiment may be implemented in the form of program instructions that can be executed through various computer means and recorded in a computer-readable medium. The computer-readable medium may include program instructions, data files, data structures, etc. alone or in combination. The program instructions recorded on the medium may be specially designed and configured for the embodiment, or may be known and available to those skilled in the art of computer software. Examples of the computer-readable recording medium include magnetic media such as hard disks, floppy disks and magnetic tapes, optical media such as CD-ROMs and DVDs, and magnetic such as floppy disks. - includes magneto-optical media, and hardware devices specially configured to store and execute program instructions, such as ROM, RAM, flash memory, and the like. Examples of program instructions include not only machine language codes such as those generated by a compiler, but also high-level language codes that can be executed by a computer using an interpreter or the like. The hardware devices described above may be configured to operate as one or more software modules to perform the operations of the embodiments, and vice versa.

이상과 같이 실시예들이 비록 한정된 도면에 의해 설명되었으나, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다. 그러므로, 다른 구현들, 다른 실시예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.Although the embodiments have been described with reference to the limited drawings as described above, those skilled in the art can variously modify and change the present invention within the scope without departing from the spirit and scope of the present invention described in the claims below. You will understand that you can. For example, the described techniques are performed in an order different from the described method, and/or the described components of the system, structure, apparatus, circuit, etc. are combined or combined in a different form than the described method, or other components Or substituted or substituted by equivalents may achieve an appropriate result. Therefore, other implementations, other embodiments, and equivalents to the claims are also within the scope of the following claims.

10: IoT 기기들의 네트워크 인증 시스템
20: IoT 기기 제조사 컴퓨터
30: 운용 사이트 IoT 시스템 네트워크10: Network authentication system of IoT devices
20: IoT device manufacturer computer
30: Operation site IoT system network

Claims (5)

IoT 기기 제조 시,
제조되는 IoT 기기의 신원 확인을 위한 개인키 및 공개키의 키쌍과 기기 인증서를 생성하여, 상기 IoT 기기 제조사의 컴퓨터 장치가 관리하는 기기정보 데이터베이스에는 기기 인증서와 상기 IoT 기기에 설치된 펌웨어 모듈의 바이너리 정보의 해쉬값을 저장하고, 상기 IoT 기기에는 상기 개인키와 상기 기기 인증서를 내장하는 단계를 포함하고,
상기 IoT 기기를 운영하는 사이트에서 상기 IoT 기기를 설치 시,
신규의 IoT 기기가 IoT 시스템 네트워크에 대한 연결을 요청하는 메시지를 네트워크 연결장비를 통해 EAP 서버에 보내는 단계;
상기 EAP 서버가 EAP 프로토콜에 따라 통신 시작 코드를 포함하는 EAP-요청 메시지를 상기 IoT 기기에 전송하는 단계;
상기 IoT 기기가 내장된 기기 인증서와 내장된 펌웨어에 대한 개인키 서명값을 포함하는 EAP 응답 메시지를 상기 EAP 서버에 전송하는 단계;
상기 EAP 서버가 상기 EAP 응답 메시지를 수신하여 상기 기기 인증서와 상기 펌웨어에 대한 개인키 서명값을 기기 인증 서버에 전송하는 단계;
상기 기기 인증 서버가 상기 EAP 서버로부터 제공받은 상기 기기 인증서로부터 상기 IoT 기기 제조사 컴퓨터 장치의 URL을 추출하고, 그 추출된 URL을 호출하여 상기 기기 인증서와 상기 펌웨어에 대한 개인키 서명값을 상기 IoT 기기 제조사의 컴퓨터 장치에 제공하면서 상기 IoT 기기에 대한 신원 검증을 요청하는 단계;
상기 IoT 기기 제조사의 컴퓨터 장치에서, 수신된 상기 기기 인증서에 포함된 공개키를 이용하여 상기 기기정보 데이터베이스에 저장된 해당 펌웨어 모듈의 바이너리 정보에 대한 해쉬값을 추출하고, 그 추출된 해쉬값과 상기 기기 인증 서버로부터 전달받은 상기 펌웨어에 대한 개인키 서명값을 비교하여 동일성 여부를 판별하는 것에 의해 서명 검증을 수행하는 단계;
상기 IoT 기기 제조사의 컴퓨터 장치에서, 상기 비교를 통해 동일성이 인정되는지 여부에 따라 상기 IoT 기기의 신원 검증의 성공 또는 실패를 판정하고, 그 판정 결과를 상기 기기 인증 서버에 응답하는 단계;
상기 기기 인증 서버가 수신된 신원 검증의 상기 판정 결과를 상기 EAP 서버에 전달하는 단계;
상기 EAP 서버가 상기 신원 검증의 판정 결과를 등가적인 EAP 인증 결과로 치환하여 상기 네트워크 연결장비에 전송하는 단계; 그리고
상기 네트워크 연결장비가 수신된 상기 EAP 인증 결과에 따라, 상기 IoT 기기를 상기 IoT 시스템 네트워크에 연결시키거나 또는 연결을 거부하는 조치를 취하는 단계를 포함하는 것을 특징으로 하는 IoT 기기의 네트워크 연결 방법.When manufacturing IoT devices,
A device certificate and a key pair of a private key and a public key for verifying the identity of the manufactured IoT device are generated, and the device information database managed by the computer device of the IoT device manufacturer contains the device certificate and binary information of the firmware module installed in the IoT device. storing the hash value of , and embedding the private key and the device certificate in the IoT device,
When installing the IoT device on a site that operates the IoT device,
sending, by the new IoT device, a message requesting connection to the IoT system network to the EAP server through a network connection device;
transmitting, by the EAP server, an EAP-request message including a communication start code to the IoT device according to an EAP protocol;
transmitting, by the IoT device, an EAP response message including an embedded device certificate and a private key signature value for the embedded firmware to the EAP server;
receiving, by the EAP server, the EAP response message and transmitting the device certificate and a private key signature value for the firmware to a device authentication server;
The device authentication server extracts the URL of the IoT device manufacturer computer device from the device certificate provided from the EAP server, and calls the extracted URL to obtain the device certificate and the private key signature value for the firmware of the IoT device requesting identity verification for the IoT device while providing it to the manufacturer's computer device;
In the computer device of the IoT device manufacturer, a hash value for binary information of the corresponding firmware module stored in the device information database is extracted using the public key included in the received device certificate, and the extracted hash value and the device performing signature verification by comparing the private key signature values for the firmware received from the authentication server and determining whether they are identical;
determining, in the computer device of the IoT device manufacturer, success or failure of identity verification of the IoT device according to whether identity is recognized through the comparison, and responding to the device authentication server with a result of the determination;
transmitting, by the device authentication server, the determination result of the received identity verification to the EAP server;
transmitting, by the EAP server, a result of the determination of the identity verification with an equivalent EAP authentication result to the network connection device; And
and taking, by the network connection device, a step of connecting the IoT device to the IoT system network or rejecting the connection according to the received EAP authentication result. 제1항에 있어서, 상기 기기 인증서는 해당 IoT 기기의 공개키, 해당 IoT 기기를 특정할 수 있는 기기 고유 번호, 상기 IoT 기기 제조사의 URL 정보를 포함하는 것을 특징으로 하는 IoT 기기의 네트워크 연결 방법.The method of claim 1 , wherein the device certificate includes a public key of the corresponding IoT device, a device unique number for specifying the corresponding IoT device, and URL information of the IoT device manufacturer. 제1항에 있어서, 상기 내장된 펌웨어에 대한 개인키 서명값은 상기 IoT 기기에 내장된 개인키로 상기 내장된 펌웨어 모듈의 바이너리 정보를 해쉬 처리하여 얻어지는 해쉬값인 것을 특징으로 하는 IoT 기기의 네트워크 연결 방법.The network connection of the IoT device according to claim 1, wherein the private key signature value for the embedded firmware is a hash value obtained by hashing binary information of the embedded firmware module with a private key embedded in the IoT device. method. 제1항 내지 제3항 중 어느 한 항에 기재된 IoT 기기의 네트워크 연결 방법을 수행하기 위하여 컴퓨터 판독 가능한 기록 매체에 저장된 컴퓨터 실행가능 프로그램.A computer-executable program stored in a computer-readable recording medium to perform the method of connecting an IoT device to a network according to any one of claims 1 to 3. 제1항 내지 제3항 중 어느 한 항에 기재된 IoT 기기의 네트워크 연결 방법을 수행하기 위한 컴퓨터 프로그램이 기록된 컴퓨터 판독 가능한 기록 매체.A computer-readable recording medium in which a computer program for performing the method of connecting an IoT device to a network according to any one of claims 1 to 3 is recorded.
KR1020200052498A 2020-04-29 2020-04-29 Method of Connecting Lots of Internet-of-Things Devices to Network System KR102365563B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200052498A KR102365563B1 (en) 2020-04-29 2020-04-29 Method of Connecting Lots of Internet-of-Things Devices to Network System

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200052498A KR102365563B1 (en) 2020-04-29 2020-04-29 Method of Connecting Lots of Internet-of-Things Devices to Network System

Publications (2)

Publication Number Publication Date
KR20210133641A KR20210133641A (en) 2021-11-08
KR102365563B1 true KR102365563B1 (en) 2022-02-22

Family

ID=78497054

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200052498A KR102365563B1 (en) 2020-04-29 2020-04-29 Method of Connecting Lots of Internet-of-Things Devices to Network System

Country Status (1)

Country Link
KR (1) KR102365563B1 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160277391A1 (en) 2015-03-16 2016-09-22 Convida Wireless, Llc End-to-end authentication at the service layer using public keying mechanisms
US20170195318A1 (en) 2016-01-04 2017-07-06 Afero, Inc. System and method for automatic wireless network authentication in an internet of things (iot) system
WO2018008983A1 (en) 2016-07-05 2018-01-11 Samsung Electronics Co., Ltd. Method and system for authenticating access in mobile wireless network system

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160277391A1 (en) 2015-03-16 2016-09-22 Convida Wireless, Llc End-to-end authentication at the service layer using public keying mechanisms
JP2018518854A (en) 2015-03-16 2018-07-12 コンヴィーダ ワイヤレス, エルエルシー End-to-end authentication at the service layer using a public key mechanism
US20170195318A1 (en) 2016-01-04 2017-07-06 Afero, Inc. System and method for automatic wireless network authentication in an internet of things (iot) system
WO2018008983A1 (en) 2016-07-05 2018-01-11 Samsung Electronics Co., Ltd. Method and system for authenticating access in mobile wireless network system

Also Published As

Publication number Publication date
KR20210133641A (en) 2021-11-08

Similar Documents

Publication Publication Date Title
JP6337642B2 (en) Method for securely accessing a network from a personal device, personal device, network server, and access point
US8086853B2 (en) Automatic centralized authentication challenge response generation
US11765164B2 (en) Server-based setup for connecting a device to a local area network
CN1997026B (en) An expansion security authentication method based on 802.1X protocol
US11245577B2 (en) Template-based onboarding of internet-connectible devices
KR20160121775A (en) THIRD PARTY'S SECURITY AUTHENTICATION SYSTEM BETWEEN MOBILE DEVICE AND IoT DEVICES AND METHOD THEREOF
CN109388937B (en) Single sign-on method and sign-on system for multi-factor identity authentication
US20230246837A1 (en) Contextual automated device onboarding
EP4184866A1 (en) Method and apparatus for access control on ship network
KR102365563B1 (en) Method of Connecting Lots of Internet-of-Things Devices to Network System
WO2024012318A1 (en) Device access method and system and non-volatile computer storage medium
US11722307B2 (en) Electronic device for processing digital key, and operation method therefor
KR20170103691A (en) Authentication mehtod and system using ip address and short message service
KR101473719B1 (en) Intelligent login authentication system and method thereof
CN104270368A (en) Authentication method, authentication server and authentication system
US11520734B2 (en) Device to device migration in a unified endpoint management system
KR20140106940A (en) Apparatus for application for mobile terminal
CN105530644B (en) Wireless authentication method and system
US11711366B2 (en) Scalable onboarding for internet-connected devices
CN116506221B (en) Industrial switch admission control method, device, computer equipment and medium
CN113206817B (en) Equipment connection confirmation method and block chain network
CN116962088B (en) Login authentication method, zero trust controller and electronic equipment
CN117675633B (en) Intelligent hardware equipment testing method and system
CN112367347B (en) Encryption equipment access method, device and computer readable storage medium
WO2021103599A1 (en) Contract information processing method, apparatus, and device

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant