KR102476781B1 - 사물인터넷 환경에서 디바이스 인증방법 및 이를 위한 디바이스 인증시스템 - Google Patents

사물인터넷 환경에서 디바이스 인증방법 및 이를 위한 디바이스 인증시스템 Download PDF

Info

Publication number
KR102476781B1
KR102476781B1 KR1020210106081A KR20210106081A KR102476781B1 KR 102476781 B1 KR102476781 B1 KR 102476781B1 KR 1020210106081 A KR1020210106081 A KR 1020210106081A KR 20210106081 A KR20210106081 A KR 20210106081A KR 102476781 B1 KR102476781 B1 KR 102476781B1
Authority
KR
South Korea
Prior art keywords
authentication
management server
value
random value
authentication management
Prior art date
Application number
KR1020210106081A
Other languages
English (en)
Other versions
KR20220121159A (ko
Inventor
이대호
이동근
오승환
최심현
이형
Original Assignee
주식회사 에프원시큐리티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 에프원시큐리티 filed Critical 주식회사 에프원시큐리티
Priority to KR1020210106081A priority Critical patent/KR102476781B1/ko
Publication of KR20220121159A publication Critical patent/KR20220121159A/ko
Application granted granted Critical
Publication of KR102476781B1 publication Critical patent/KR102476781B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y30/00IoT infrastructure
    • G16Y30/10Security thereof
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y40/00IoT characterised by the purpose of the information processing
    • G16Y40/50Safety; Security of things, users, data or systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/70Reducing energy consumption in communication networks in wireless communication networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Medical Informatics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Burglar Alarm Systems (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Computer And Data Communications (AREA)

Abstract

사물인터넷 환경에서 리소스가 제약된 사물인터넷 디바이스의 보안모드 통신을 위한 디바이스 인증방법이 제공된다. 디바이스 인증방법은, 네트워크를 통해 연결되어 있는 다수의 IoT디바이스, 인증관리서버 및 사용자디바이스 중 적어도 2개의 디바이스가 통신채널을 연결하여 디바이스 인증을 수행하고, 이를 통해 서로 간 보안모드로 데이터통신을 수행한다.

Description

사물인터넷 환경에서 디바이스 인증방법 및 이를 위한 디바이스 인증시스템{Method and system for device authentication in the IoT environment}
본 발명은 사물인터넷 환경에서 서버, 사용자디바이스 또는 사물인터넷 디바이스 간 디바이스 인증을 수행하는 방법으로, 특히 리소스가 제약된 사물인터넷 디바이스의 보안모드 통신을 위한 디바이스 인증방법 및 이를 위한 디바이스 인증시스템에 관한 것이다.
사물인터넷(Internet of Things; 이하 IoT) 기술의 발전에 따라 다양한 디바이스들에 연결성을 부가하고 유용한 기능을 탑재하여 사용자를 위한 새로운 서비스를 제공하고 있으며, 관련 기술들의 발전과 아울러 더 다양한 디바이스와 이를 이용한 서비스들이 등장하고 있는 추세이다.
이러한 IoT환경에서 IoT디바이스의 증가 및 다양화는 보안 측면에서도 보다 다양한 보안기술을 적용하고, 보다 많은 IoT디바이스에 대한 보안 요구를 만족시킬 수 있어야 한다는 것을 의미한다. 특히, IoT디바이스에 대한 해킹이나 허가되지 않은 장치의 서비스 접속을 방지하기 위한 IoT디바이스 인증 기술은 가장 핵심 기술이라 할 수 있다.
한편, 다수의 IoT 디바이스들은 리소스 제약, 예컨대 저전력, 소형화, 낮은 연산능력 등과 같은 리소스의 제약으로 인해 경량의 통신프로토콜(protocol)을 요구하고 있다. 이에, 국제인터넷표준화기구(IETF)에서는 IoT 디바이스의 제한된 리소스를 사용하여 웹 서비스를 할 수 있도록 하는 CoAP, XMPP, MQTT 등과 같은 경량화 통신프로토콜의 표준화를 진행하고 있다. 이러한 경량화 통신프로토콜은 기본적으로 UDP 프로토콜을 기반으로 요청(request) 및 응답(response)을 수행하는 클라이언트/서버 모델로 구현될 수 있다.
상술한 경량화 프로토콜 중에서, CoAP 프로토콜은 저전력, 고손실 네트워크 및 제약환경에서 특화된 통신프로토콜이며, 특히 DTLS(Datagram Transport Layer Security)라는 보안프로토콜을 지원한다. DTLS 보안프로토콜은 데이터그램 형식의 콘텐츠를 애플리케이션끼리 주고받을 때 이를 안전하게 전송할 수 있도록 고안된 프로토콜이며, TLS프로토콜을 기반으로 한다.
그러나, 종래의 CoAP-DTLS에서 ECDSA(Elliptic Curve Digital Signature Algorithm)기반 보안모드를 적용할 경우에, ECC 계산 및 인증서 검증에 많은 시간이 소요되고 있어 리소스가 제약된 IoT 디바이스에서 이를 이용하여 디바이스 인증을 진행하는 데 적합하지 않은 문제가 있다.
본 발명은 사물인터넷 환경에서 리소스가 제약된 사물인터넷 디바이스의 보안모드 통신을 위한 디바이스 인증방법 및 이를 위한 디바이스 인증시스템을 제공하고자 하는 데 있다.
본 발명의 일 실시예에 따른 디바이스 인증방법은, 사물인터넷(IoT) 환경에서 다수의 디바이스 간 보안모드 통신을 위한 디바이스 인증방법이다. 이러한 디바이스 인증방법은, 네트워크를 통해 다수의 IoT 디바이스 중 제1디바이스 및 제2디바이스 각각이 인증관리서버와 연결되고, 상기 인증관리서버의 중계를 통해 상기 제1디바이스와 제2디바이스 간 통신채널을 연결하는 단계; 상기 제1디바이스와 제2디바이스 간 디바이스 인증을 수행하는 단계; 및 디바이스 인증된 상기 제1디바이스와 제2디바이스가 상기 통신채널을 통해 보안모드로 데이터통신을 수행하는 단계를 포함한다.
여기서, 상기 디바이스 인증을 수행하는 단계는, 상기 제2디바이스가 제1랜덤값을 생성하여 상기 인증관리서버로 전송하는 단계; 상기 인증관리서버가 상기 제1랜덤값에 기초하여 루트값을 생성하는 단계; 상기 인증관리서버가 상기 제1디바이스에 상기 제1랜덤값 및 루트값을 전송하고, 상기 제2디바이스에 상기 루트값을 전송하는 단계; 상기 제1디바이스가 상기 루트값을 이용하여 상기 제1랜덤값을 암호화하고, 암호화된 제1랜덤값을 상기 제2디바이스로 전송하는 단계; 및 상기 제2디바이스가 상기 루트값을 이용하여 상기 암호화된 제1랜덤값을 복호화하고, 복호화된 제1랜덤값과 기 생성된 상기 제1랜덤값의 비교 결과로부터 상기 제1디바이스에 대한 디바이스 인증을 수행하는 단계를 포함하는 것을 특징으로 한다.
또한, 본 발명의 다른 실시예에 따른 디바이스 인증방법은, 네트워크를 통해 다수의 IoT 디바이스 중 제1디바이스와 사용자 디바이스 각각이 인증관리서버와 연결되고, 상기 인증관리서버의 중계를 통해 상기 제1디바이스와 사용자디바이스 간 통신채널을 연결하는 단계; 상기 제1디바이스와 사용자디바이스 간 디바이스 인증을 수행하는 단계; 및 디바이스 인증된 상기 제1디바이스와 사용자디바이스가 상기 통신채널을 통해 보안모드로 데이터통신을 수행하는 단계를 포함한다.
여기서, 상기 디바이스 인증을 수행하는 단계는, 상기 제1디바이스가 제1랜덤값을 생성하여 상기 인증관리서버로 전송하고, 상기 제1디바이스 및 인증관리서버 각각에서 상기 제1랜덤값에 기초하여 루트값을 생성하는 단계; 상기 인증관리서버가 상기 루트값 및 제1랜덤값을 사용자디바이스로 전송하는 단계; 상기 사용자디바이스가 상기 루트값을 이용하여 상기 제1랜덤값을 암호화하고, 암호화된 제1랜덤값을 상기 제1디바이스로 전송하는 단계; 상기 제1디바이스가 상기 루트값을 이용하여 상기 암호화된 제1랜덤값을 복호화하고, 복호화된 제1랜덤값과 기 생성된 상기 제1랜덤값의 비교 결과로부터 상기 사용자디바이스에 대한 디바이스 인증을 수행하는 단계를 포함하는 것을 특징으로 한다.
본 발명에 따른 사물인터넷 환경에서의 디바이스 인증방법은, IoT디바이스의 속성정보에 대한 해시를 통해 생성된 하나 이상의 인증키를 사용하여 서로 데이터 통신을 수행하고자 하는 장치들 간의 디바이스 인증을 수행함으로써, 해당 장치 간 보안모드의 데이터 통신을 수행하여 데이터 손실 등의 위험을 방지할 수 있다.
도 1은 본 발명의 일 실시예에 따른 사물인터넷 환경에서의 디바이스 인증시스템의 구성을 나타내는 도면이다.
도 2는 본 발명의 일 실시예에 따른 디바이스 인증방법을 나타내는 도면이다.
도 3은 본 발명의 디바이스 인증방법의 일 실시예로 IoT 디바이스와 인증관리서버 간 인증방법을 나타내는 도면이다.
도 4는 본 발명의 디바이스 인증방법의 다른 실시예로 2개의 IoT 디바이스 간 인증방법을 나타내는 도면이다.
도 5는 본 발명의 디바이스 인증방법의 또 다른 실시예로 IoT 디바이스와 사용자디바이스 간 인증방법을 나타내는 도면이다.
본 명세서 및 청구범위에서 사용되는 용어는 본 발명의 다양한 실시 예들에서의 기능을 고려하여 일반적인 용어들을 선택하였다. 하지만, 이러한 용어들은 당 분야에 종사하는 기술자의 의도나 법률적 또는 기술적 해석 및 새로운 기술의 출현 등에 따라 달라질 수 있다. 또한, 일부 용어는 출원인이 임의로 선정한 용어일 수 있다. 이러한 용어에 대해서는 본 명세서에서 정의된 의미로 해석될 수 있으며, 구체적인 용어 정의가 없으면 본 명세서의 전반적인 내용 및 당해 기술 분야의 통상적인 기술 상식을 토대로 해석될 수도 있다.
또한, 본 명세서에 첨부된 각 도면에 기재된 동일한 참조 번호 또는 부호는 실질적으로 동일한 기능을 수행하는 부품 또는 구성요소를 나타낸다. 설명 및 이해의 편의를 위해서 서로 다른 실시 예들에서도 동일한 참조번호 또는 부호를 사용하여 설명하도록 한다. 즉, 복수의 도면에서 동일한 참조 번호를 가지는 구성 요소를 모두 도시하고 있다고 하더라도, 복수의 도면들이 하나의 실시 예를 의미하는 것은 아니다.
또한, 본 명세서 및 청구범위에서는 구성요소들 간의 구별을 위하여 '제1', '제2' 등과 같이 서수를 포함하는 용어가 사용될 수 있다. 이러한 서수는 동일 또는 유사한 구성 요소들을 서로 구별하기 위하여 사용하는 것이며, 이러한 서수 사용으로 인하여 용어의 의미가 한정 해석되어서는 안될 것이다. 일 예로, 이러한 서수와 결합된 구성 요소는 그 숫자에 의해 사용 순서나 배치 순서 등이 제한 해석되어서는 안된다. 필요에 따라서는, 각 서수들은 서로 교체되어 사용될 수도 있다.
본 명세서에서 단수의 표현은 문맥상 명백하게 다름을 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, '포함하다' 또는 '구성하다' 등의 용어는 명세서 상에 기재된 특성, 숫자, 단계, 동작, 구성 요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특성들이나 숫자, 단계, 동작, 구성 요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
또한, 본 발명의 실시 예에서, 어떤 부분이 다른 부분과 연결되어 있다고 할 때, 이는 직접적인 연결뿐 아니라, 다른 매체를 통한 간접적인 연결의 경우도 포함한다. 또한 어떤 부분이 어떤 구성 요소를 포함한다는 의미는, 특별히 반대되는 기재가 없는 한 다른 구성 요소를 제외하는 것이 아니라 다른 구성 요소를 더 포함할 수 있다는 것을 의미한다.
도 1은 본 발명의 일 실시예에 따른 사물인터넷 환경에서의 디바이스 인증시스템의 구성을 나타내는 도면이다.
본 실시예의 디바이스 인증시스템(100)은 특정 공간, 예컨대 가정이나 사무실 등과 같은 공간 내에 구현된 IoT 환경에 구축될 수 있다. 이러한 디바이스 인증시스템(100)은 공간 내에서 유/무선 네트워크(500)를 통해 서로 연결되어 데이터 통신을 수행하는 다수의 디바이스들, 예컨대 다수의 IoT 디바이스(200-1~200-N), 인증관리서버(300) 및 사용자디바이스(400)를 포함할 수 있다.
다수의 IoT 디바이스(200-1~200-N) 각각은 속성정보를 포함할 수 있다. 속성정보는 디바이스의 종류를 특정짓는 정보로서, 디바이스 명칭, 기종 등과 같은 기기정보, 제조업체 명칭, 코드 등과 같은 제조정보 또는 각 디바이스의 MAC 어드레스 등과 같은 시리얼넘버를 포함할 수 있다.
이러한 IoT 디바이스(200-1~200-N)는 인증관리서버(300)나 사용자디바이스(400)와 대비하여 성능, 다시말해 리소스의 제약이 있다. 예컨대, IoT 디바이스(200-1~200-N)는 인증관리서버(300)나 사용자디바이스(400)와 대비하여 낮은 연산능력, 소형화, 저전력 등과 같은 리소스의 제약이 있다. 이에, 다수의 IoT 디바이스(200-1~200-N) 각각에는 CoAP, MQTT 등과 같은 경량화 프로토콜이 탑재될 수 있으며, IoT 디바이스(200-1~200-N)는 이러한 경량화 프로토콜을 통해 타 디바이스와 데이터 통신을 수행할 수 있다. 이때, 다수의 IoT 디바이스(200-1~200-N) 각각은 해킹 등에 의한 보안 위험을 방지하기 위하여 타 디바이스와의 인증을 통한 보안모드로 통신할 수 있다.
인증관리서버(300)는 다수의 IoT 디바이스(200-1~200-N) 각각에 대한 디바이스 인증을 진행하여 이들과 보안모드 통신을 수행할 수 있다. 또한, 인증관리서버(300)는 다수의 IoT 디바이스(200-1~200-N) 간 디바이스 인증 및 보안모드 통신을 중계하거나 또는 적어도 하나의 IoT 디바이스(200-1~200-N)와 사용자디바이스(400) 간 디바이스 인증 및 보안모드 통신을 중계할 수 있다.
예컨대, 인증관리서버(300)는 적어도 하나의 IoT 디바이스(200-1~200-N)에 대한 디바이스 인증을 수행함으로써, 디바이스 인증이 완료된 IoT 디바이스(200-1~200-N)와의 보안모드 통신을 수행할 수 있다. 또한, 인증관리서버(300)는 2개 이상의 IoT 디바이스(200-1~200-N) 간의 인증 및 보안모드 통신을 중계하거나 사용자디바이스(400)와 적어도 하나의 IoT 디바이스(200-1~200-N) 간 인증 및 보안모드 통신을 중계할 수 있다.
이를 위하여, 인증관리서버(300)에는 IoT 디바이스(200-1~200-N)의 인증 및 보안모드 통신을 위한 경량화 프로토콜과, 사용자디바이스(400)의 인증 및 보안모드 통신 중계를 위한 암호화 프로토콜이 탑재될 수 있다. 인증관리서버(300)에 탑재된 경량화 프로토콜은 다수의 IoT 디바이스(200-1~200-N) 각각에 탑재된 프로토콜과 실질적으로 동일할 수 있다.
인증관리서버(300)에서의 디바이스 인증은 다수의 IoT 디바이스(200-1~200-N) 각각에 포함되어 있는 속성정보에 기반하여 이루어질 수 있다. 예컨대, 인증관리서버(300)는 각 IoT 디바이스(200-1~200-N)의 속성정보를 머클트리(merkle tree) 기반의 해시(hash)를 통해 소정의 키(key)를 생성하고, 이를 이용하여 해당 IoT 디바이스(200-1~200-N)의 디바이스 인증을 수행할 수 있다. 이에, 인증관리서버(300)에는 다수의 IoT 디바이스(200-1~200-N) 각각의 정보, 즉 속성정보가 등록되어 저장될 수 있다. 이러한 인증관리서버(300)의 디바이스 인증은 후에 도면을 참조하여 상세히 설명하기로 한다.
사용자디바이스(400)는 IoT 디바이스(200-1~200-N)와의 인증 및 보안모드 통신을 수행할 수 있다. 이러한 사용자디바이스(400)는 유/무선 네트워크(500)를 통해 인증관리서버(300) 및 다수의 IoT 디바이스(200-1~200-N) 각각과 데이터 통신을 수행할 수 있는 단말, 예컨대 컴퓨터, 노트PC, 스마트폰, 태블릿PC 등일 수 있다. 사용자디바이스(400)에는 소정의 어플리케이션이 탑재될 수 있고, 이를 통해 타 디바이스와의 인증 및 보안모드 통신을 수행할 수 있다.
사용자디바이스(400)는 네트워크(500)를 통해 적어도 하나의 IoT 디바이스(200-1~200-N)와 연결되어 IoT 디바이스(200-1~200-N)의 인증 및 인증된 디바이스와의 보안모드 통신을 수행할 수 있다. 또한, 사용자디바이스(400)는 인증관리서버(300)에 연결되어 이를 통해 적어도 하나의 IoT 디바이스(200-1~200-N)와의 인증 및 보안모드 통신을 수행할 수 있다.
상술한 바와 같이, 본 실시예의 디바이스 인증시스템(100)은 IoT 환경에서 네트워크(500)를 통해 서로 연결되어 있는 다수의 IoT 디바이스(200-1~200-N), 인증관리서버(300) 및 사용자디바이스(400) 간 소정의 키를 통해 디바이스 인증을 수행하여 서로 간에 보안모드 데이터 통신을 수행할 수 있다. 이에, 다수의 IoT 디바이스(200-1~200-N)가 그 리소스 제한으로 인해 경량화 프로토콜을 탑재하더라도 타 디바이스와의 보안모드 통신이 가능하므로, 외부의 해킹 등에 의해 데이터가 손실되는 등의 보안위험을 개선할 수 있다.
도 2는 본 발명의 일 실시예에 따른 디바이스 인증방법을 나타내는 도면이다.
앞서 도 1을 참조하여 설명한 바와 같이, 다수의 IoT 디바이스(200-1~200-N), 인증관리서버(300) 및 사용자디바이스(400)는 공간 내 구축된 IoT 환경에서 유/무선 네트워크(500)를 통해 서로 연결될 수 있다.
이러한, 다수의 IoT 디바이스(200-1~200-N), 인증관리서버(300) 및 사용자디바이스(400)는 외부에서의 해킹 등에 의한 공격으로 인한 데이터 손실을 방지하기 위하여 인증된 디바이스 간 보안모드 데이터 통신을 수행할 수 있다.
먼저, 다수의 IoT 디바이스(200-1~200-N), 인증관리서버(300) 및 사용자디바이스(400) 중에서 적어도 2개의 디바이스가 보안모드 통신을 위한 통신채널 연결을 수행할 수 있다(S10).
예컨대, 하나의 IoT 디바이스(200-1~200-N)는 인증관리서버(300)에 통신채널 연결을 요청하여 인증관리서버(300)와 통신채널을 연결할 수 있다. 또한, 다른 실시예에 따라 2개의 IoT 디바이스(200-1~200-N)가 인증관리서버(300)를 통해 서로의 통신채널 연결을 요청하여 이를 연결할 수 있다. 또한, 사용자디바이스(400)가 인증관리서버(300)를 통해 하나의 IoT 디바이스(200-1~200-N)와의 통신채널 연결을 요청하여 이를 연결할 수 있다.
다음으로, 통신채널이 연결된 다수의 디바이스는 디바이스 인증을 위한 키를 생성하고, 생성된 키를 이용하여 디바이스 인증을 수행할 수 있다(S20).
디바이스 인증을 위한 키는 IoT 디바이스(200-1~200-N)의 속성정보에 대한 머클트리(Merkle tree) 기법의 해시(hash)를 통해 생성될 수 있다.
예컨대, 통신채널이 연결된 IoT 디바이스(200-1~200-N)와 인증관리서버(300)에서 상기 IoT 디바이스(200-1~200-N)의 속성정보의 해시를 수행하여 디바이스 인증키를 생성할 수 있다. 또한, 2개의 IoT 디바이스(200-1~200-N)와 이들간을 중계하는 인증관리서버(300)는 각 IoT 디바이스(200-1~200-N)의 속성정보의 해시를 수행하여 디바이스 인증키를 생성할 수 있다. 또한, IoT 디바이스(200-1~200-N), 사용자디바이스(400) 및 이들간을 중계하는 인증관리서버(300)는 해당 IoT 디바이스(200-1~200-N)의 속성정보의 해시를 수행하여 디바이스 인증키를 생성할 수 있다.
여기서, IoT 디바이스(200-1~200-N)는 다수개의 속성정보를 포함할 수 있다. 이에, 다수개의 속성정보 각각은 해시를 통해 다수개의 1차 해시값을 도출하고, 도출된 다수개의 1차 해시값을 다시 해시하여 하나의 IoT 디바이스(200-1~200-N)에 대한 해시 결과값을 생성할 수 있다. 이때, 다수의 속성정보 및 다수의 1차 해시값은 전술된 머클트리 기법으로 해시되어 각 결과값을 생성할 수 있다.
이러한 해시 결과값은 인증관리서버(300) 또는 IoT 디바이스(200-1~200-N) 중 적어도 하나에서 생성된 랜덤값과 해시되어 IoT 디바이스(200-1~200-N)에 대한 디바이스 인증을 위한 인증키로 생성될 수 있다.
전술된 디바이스 인증키를 생성하여 디바이스 인증을 수행하는 단계(S20)는 후에 본 발명의 다양한 실시예를 통해 구체적으로 설명하기로 한다.
디바이스 인증이 완료된 장치들은 디바이스 인증키 또는 이로부터 생성된 보안모드 통신을 위한 통신키를 통해 기 연결된 통신채널을 이용하여 보안모드의 데이터통신을 수행할 수 있다(S30).
이와 같이, 본 실시예는 IoT 디바이스(200-1~200-N)의 속성정보의 해시를 통해 생성된 디바이스 인증키를 사용하여 서로 데이터 통신을 수행하고자 하는 장치들 간의 디바이스 인증을 수행함으로써, 해당 장치 간 보안모드의 데이터 통신을 수행하여 데이터 손실 등의 위험을 방지할 수 있다.
도 3은 본 발명의 디바이스 인증방법의 일 실시예로 IoT 디바이스와 인증관리서버 간 인증방법을 나타내는 도면이다.
이하에서는, 하나의 IoT 디바이스(200-1), 이하 제1디바이스와 인증관리서버(300) 간의 디바이스 인증 및 이를 통한 보안모드 데이터통신을 수행하는 방법을 설명하기로 한다. 다만, 본 실시예는 제1디바이스(200-1)와 사용자디바이스(400) 간의 디바이스 인증 및 이를 통한 보안모드 데이터통신에서도 동일하게 적용될 수 있다.
도면을 참조하면, 하나의 IoT 디바이스, 즉 제1디바이스(200-1)는 인증관리서버(300)에 통신채널 연결을 요청할 수 있다(S110).
여기서, 제1디바이스(200-1)는 자신의 정보, 예컨대 속성정보를 통신채널 연결 요청과 함께 인증관리서버(300)로 전송할 수 있다. 이에, 인증관리서버(300)는 내부에 저장되어 있는 다수의 IoT 디바이스(200-1~200-N) 각각에 대한 속성정보 중 제1디바이스(200-1)로부터 전송된 속성정보와 일치하는 정보를 추출하고, 그에 따라 제1디바이스(200-1)와 통신채널을 연결할 수 있다.
인증관리서버(300)는 통신채널을 통해 제1디바이스(200-1)로 제1랜덤값(R1)을 전송할 수 있다(S120). 제1랜덤값(R1)은 특정되지 않은 임의값일 수 있다.
이와 함께, 인증관리서버(300)는 저장된 제1디바이스(200-1)의 속성정보의 해시를 통해 제1디바이스(200-1)의 해시 결과값을 산출하고, 이를 제1랜덤값(R1)과 해시하여 서버키, 예컨대 제1키(Key1)를 생성할 수 있다(S130).
또한, 인증관리서버(300)로부터 제1랜덤값(R1)을 전송받은 제1디바이스(200-1)는 자신의 속성정보로부터 산출된 해시 결과값과 제1랜덤값(R1)을 해시하여 디바이스키, 예컨대 제2키(Key2)를 생성할 수 있다. 그리고, 제1디바이스(200-1)는 제2랜덤값(R2)과 타임스탬프(TimeStamp)를 생성할 수 있다(S135).
제2랜덤값(R2) 역시 제1랜덤값(R1)과 마찬가지로 임의값일 수 있다. 타임스탬프(TimeStamp)는 제1디바이스(200-1)와 인증관리서버(300) 간 통신채널 연결의 유지시간정보를 포함할 수 있다.
다음으로, 제1디바이스(200-1)는 제2키(Key2)를 이용하여 제2랜덤값(R2)과 타임스탬프(TimeStamp)를 암호화하고, 이를 통신채널을 통해 인증관리서버(300)로 전송할 수 있다(S140).
이어, 인증관리서버(300)는 제1디바이스(200-1)에서 전송된 암호화 데이터, 즉 제2키(Key2)로 암호화된 제2랜덤값(R2) 및 타임스탬프(TimeStamp)를 자신이 생성한 제1키(Key1)로 복호화를 수행할 수 있다.
이때, 제1키(Key1)를 이용한 암호화 데이터의 복호화가 가능하면, 인증관리서버(300)는 제1디바이스(200-1)가 적합 디바이스, 즉 인증관리서버(300)에 등록된 디바이스로 판단하고, 이에 제1디바이스(200-1)에 대한 디바이스 인증을 수행할 수 있다(S150).
반면, 제1키(Key1)를 이용한 암호화 데이터의 복호화가 불가하면, 인증관리서버(300)는 제1디바이스(200-1)가 부적합 디바이스인 것으로 판단하고, 이에 제1디바이스(200-1)와의 통신채널 연결을 해제시킬 수 있다.
이와 같이, 인증관리서버(300)가 제1디바이스(200-1)에서 전송된 암호화 데이터의 복호화 여부에 따라 제1디바이스(200-1)에 대한 디바이스 인증을 수행하는 것은, 제1키(Key1)와 제2키(Key2)가 제1디바이스(200-1)의 속성정보에 기초하여 생성되기 때문이다.
다시 말해, 인증관리서버(300)는 그 내부에 저장된 제1디바이스(200-1)의 속성정보의 해시 결과값과 제1랜덤값(R1)의 해시를 통해 제1키(Key1)를 생성할 수 있다. 또한, 제1디바이스(200-1)는 인증관리서버(300)에서 전송된 제1랜덤값(R1)과 자신의 속성정보의 해시 결과값의 해시를 통해 제2키(Key2)를 생성할 수 있다. 따라서, 인증관리서버(300)와 제1디바이스(200-1)에 각각 저장되어 있는 제1디바이스(200-1)의 속성정보가 동일하다면, 제1키(Key1)와 제2키(Key2)도 실질적으로 동일하므로, 제2키(Key2)에 의해 암호화된 데이터는 제1키(Key1)에 의해 복호화될 수 있는 것이다.
다음으로, 인증관리서버(300)는 암호화된 데이터의 복호화 결과로부터 제1디바이스(200-1)에서 전송한 제2랜덤값(R2)과 타임스탬프(TimeStamp)를 획득할 수 있다. 그리고, 인증관리서버(300)는 기 생성한 제1랜덤값(R1)과 획득한 제2랜덤값(R2)의 해시를 수행하여 제1디바이스(200-1)와 인증관리서버(300) 간 디바이스 인증을 통한 보안모드 통신을 위한 통신키, 예컨대 제3키(Key3)를 생성할 수 있다. 이러한 제3키(Key3)는 통신채널을 통해 디바이스 인증된 제1디바이스(200-1)로 전송될 수 있다(S160).
또한, 다른 실시예에 따라 인증관리서버(300)는 디피-헬만(Diffie-Hellman) 알고리즘을 통해 제1랜덤값(R1)과 제2랜덤값(R2)으로부터 제3키(Key3)를 생성할 수도 있다.
계속해서, 인증관리서버(300)와 제1디바이스(200-1)는 제3키(Key3)를 이용하여 서로간에 보안모드 데이터통신을 수행할 수 있다(S170). 이때, 인증관리서버(300)와 제1디바이스(200-1)는 타임스탬프(TimeStamp)에 포함된 통신채널 연결유지시간 동안 보안모드로 데이터통신을 수행할 수 있다.
이와 같이, 본 실시예에서는 인증관리서버(300) 및 제1디바이스(200-1) 각각에서 제1디바이스(200-1)의 속성정보에 기초하여 키를 생성하고, 이를 이용하여 인증관리서버(300)가 제1디바이스(200-1)에 대한 디바이스 인증을 수행함으로써, 인증관리서버(300)와 제1디바이스(200-1) 간 보안모드 데이터통신이 이루어지도록 할 수 있다.
따라서, 본 발명은 전술한 제1디바이스(200-1)에 대한 디바이스 인증을 통해 제1디바이스(200-1)가 인증관리서버(300)에 보안모드로 접속되도록 함으로써, 등록되지 않은 IoT 디바이스나 외부 해킹공격 등에 의해 제1디바이스(200-1) 또는 인증관리서버(300)의 데이터가 손실되는 등의 문제가 발생되는 것을 방지할 수 있다.
한편, 기 설정된 타임스탬프(TimeStamp)에 의한 통신연결 유지시간이 종료된 후, 제1디바이스(200-1)는 인증관리서버(300)로 세션갱신, 즉 통신채널의 재연결을 요청할 수 있다(S210).
이때, 제1디바이스(200-1)는 아래 [수학식1]에 따른 카멜레온 해시기법을 통해 생성된 제2랜덤값(R2)으로부터 갱신데이터를 생성하고, 이를 제2키(Key2)로 암호화하여 인증관리서버(300)로 전송할 수 있다.
[수학식1]
R2 = R1 + x(key1 - m1)
여기서, R1은 제1랜덤값이고, m1은 제1디바이스(200-1)의 속성정보이다. 그리고, x는 비밀값으로서 앞선 세션에서 제1디바이스(200-1)와 인증관리서버(300) 간 보안모드 데이터통신 후 생성되어 서로 공유하는 값일 수 있다.
다음으로, 세션갱신 요청을 수신한 인증관리서버(300)는 기 저장된 제1디바이스(200-1)의 속성정보, 제1키(Key1) 및 제1랜덤값(R1)으로부터 검증데이터를 생성할 수 있다. 인증관리서버(300)는 검증데이터를 제1디바이스(200-1)에서 전송된 갱신데이터와 비교할 수 있다(S220).
비교 결과, 검증데이터와 갱신데이터가 일치하면, 인증관리서버(300)는 세션을 갱신하고, 이에 따라 제1디바이스(200-1)와 인증관리서버(300)는 제3키(Key3)를 통해 서로 보안모드로 데이터통신을 수행할 수 있다(S230).
반면, 검증데이터와 갱신데이터가 일치하지 않으면, 인증관리서버(300)는 세션을 갱신하지 않으며, 이에 제1디바이스(200-1)와 인증관리서버(300) 간 통신채널이 폐쇄될 수 있다.
한편, 앞서 설명한 바와 같이, 본 실시예는 제1디바이스(200-1)와 사용자디바이스(400) 간 디바이스 인증 및 보안모드 통신에 적용될 수 있다. 이때, 사용자디바이스(400)에는 제1디바이스(200-1)의 속성정보가 등록된 상태일 수 있다.
도 4는 본 발명의 디바이스 인증방법의 다른 실시예로 2개의 IoT 디바이스 간 인증방법을 나타내는 도면이다.
이하에서 설명된 인증방법에서는, 다수의 IoT 디바이스(200-1~200-N) 중 2개의 디바이스를 각각 제1디바이스(200-1) 및 제2디바이스(200-2)로 명명하고, 이들은 인증관리서버(300)를 통해 보안모드 통신을 위한 디바이스 인증이 완료된 상태일 수 있다.
그리고, 제1디바이스(200-1)와 인증관리서버(300)에는 디바이스 인증 및 보안모드 통신을 위한 인증키, 예컨대 제1인증키가 저장되고, 제2디바이스(200-2)와 인증관리서버(300)에는 디바이스 인증 및 보안모드 통신을 위한 제2인증키가 저장될 수 있다.
도면을 참조하면, 제1디바이스(200-1)는 인증관리서버(300)에 제2디바이스(200-2)와의 통신채널 연결을 요청할 수 있다(S310). 이때, 제1디바이스(200-1)는 자신의 정보와 함께 통신채널 연결을 하고자 하는 제2디바이스(200-2)에 대한 정보를 인증관리서버(300)로 전송할 수 있다.
인증관리서버(300)는 제1디바이스(200-1)로부터 전송된 제2디바이스(200-2)의 정보에 기초하여 해당하는 제2디바이스(200-2)에 제1디바이스(200-1)의 통신채널 연결 요청을 전송할 수 있다. 이에, 제1디바이스(200-1)와 제2디바이스(200-2) 간 통신채널이 연결될 수 있다.
인증관리서버(300)로부터 제1디바이스(200-1)의 통신채널 연결 요청을 수신한 제2디바이스(200-2)는 제1랜덤값(R1)을 생성하고, 이를 암호화하여 인증관리서버(300)로 전송할 수 있다(S320). 여기서, 제2디바이스(200-2)는 저장된 제2인증키를 이용하여 제1랜덤값(R1)을 암호화할 수 있다.
인증관리서버(300)는 제2디바이스(200-2)로부터 전송된 암호화된 제1랜덤값(R1)을 저장된 제2인증키를 통해 복호화하여 제1랜덤값(R1)을 획득할 수 있다. 그리고, 인증관리서버(300)는 제1디바이스(200-1) 및 제2디바이스(200-2) 각각의 속성정보와 제1랜덤값(R1)을 해시하여 연결키, 예컨대 루트값(Root)을 생성할 수 있다(S330).
여기서, 루트값(Root)은 제1디바이스(200-1)의 해시 결과값과 제2디바이스(200-2)의 해시 결과값을 해시하여 도출된 값과 제1랜덤값(R1)을 해시하여 생성될 수 있다.
이어, 인증관리서버(300)는 제1디바이스(200-1)로 제1랜덤값(R1)과 루트값(Root)을 전송하고(S340), 제2디바이스(200-2)로 루트값(Root)을 전송할 수 있다(S345).
여기서, 인증관리서버(300)는 저장된 제1인증키로 제1랜덤값(R1)과 루트값(Root)을 암호화하여 제1디바이스(200-1)로 전송하고, 이를 수신한 제1디바이스(200-1)는 저장된 제1인증키를 통해 복호화하여 제1랜덤값(R1)과 루트값(Root)을 획득할 수 있다.
또한, 인증관리서버(300)는 저장된 제2인증키로 루트값(Root)을 암호화하여 제2디바이스(200-2)로 전송하고, 이를 수신한 제2디바이스(200-2)는 저장된 제2인증키로 복호화하여 루트값(Root)을 획득할 수 있다.
다음으로, 제1디바이스(200-1)는 획득한 루트값(Root)을 이용하여 제1랜덤값(R1)을 암호화하고, 이를 제2디바이스(200-2)로 전송할 수 있다(S350).
제2디바이스(200-2)는 제1디바이스(200-1)에서 전송된 암호화된 데이터, 즉 제1랜덤값(R1)을 획득한 루트값(Root)으로 복호화하고, 그 결과에 따라 제1디바이스(200-1)에 대한 인증을 수행할 수 있다(S360).
여기서, 제2디바이스(200-2)는 복호된 제1랜덤값(R1)이 자신이 생성한 제1랜덤값(R1)과 동일한지를 판단하고, 그에 따라 제1디바이스(200-1)에 대한 디바이스 인증을 수행할 수 있다.
즉, 제1디바이스(200-1)에서 전송된 제1랜덤값(R1)과 자신이 생성한 제1랜덤값(R1)이 동일하면, 제2디바이스(200-2)는 제1디바이스(200-1)를 인증하고, 그에 따라 제1디바이스(200-1)와 제2디바이스(200-2)는 서로 간에 보안모드로 데이터통신을 수행할 수 있다(S370).
그러나, 제1디바이스(200-1)에서 전송된 제1랜덤값(R1)이 자신이 생성한 제1랜덤값(R1)과 동일하지 않으면, 제2디바이스(200-2)는 제1디바이스(200-1)를 부적합 디바이스로 판단하여 통신채널의 연결을 해제할 수 있다.
이와 같이, 본 실시예에서는 제1디바이스(200-1)와 제2디바이스(200-2) 각각의 속성정보의 해시 결과값과 랜덤값을 해시하여 생성한 연결키를 이용하여 제2디바이스(200-2)에서의 제1디바이스(200-1)에 대한 인증을 수행하고, 이를 통해 제1디바이스(200-1)와 제2디바이스(200-2) 간 보안모드로 데이터통신을 수행할 수 있다. 따라서, 본 발명은 디바이스 인증이 되지 않은 장치가 통신으로 연결되는 것을 방지할 수 있어 데이터통신의 보안성을 높일 수 있다.
도 5는 본 발명의 디바이스 인증방법의 또 다른 실시예로 IoT 디바이스와 사용자디바이스 간 인증방법을 나타내는 도면이다.
이하에서 설명된 인증방법에서는, 다수의 IoT 디바이스(200-1~200-N) 중에서 하나의 디바이스를 제1디바이스(200-1)로 명명하고, 상기 제1디바이스(200-1)와 사용자디바이스(400) 각각은 인증관리서버(300)를 통해 보안모드 통신을 위한 디바이스 인증이 완료된 상태일 수 있다.
그리고, 제1디바이스(200-1)와 인증관리서버(300)에는 디바이스 인증 및 보안모드 통신을 위한 제1인증키가 저장되고, 사용자디바이스(400)와 인증관리서버(300)에는 디바이스 인증 및 보안모드 통신을 위한 사용자인증키가 저장될 수 있다.
도면을 참조하면, 사용자디바이스(400)는 인증관리서버(300)로 제1디바이스(200-1)와의 통신채널 연결을 요청할 수 있다(S410). 이때, 사용자디바이스(400)는 자신의 정보와 함께 통신채널을 연결하고자 하는 제1디바이스(200-1)에 대한 정보를 인증관리서버(300)로 전송할 수 있다.
인증관리서버(300)는 사용자디바이스(400)에서 전송된 제1디바이스(200-1)의 정보에 기초하여 해당하는 제1디바이스(200-1)에 사용자디바이스(400)의 통신채널 연결 요청을 전송할 수 있다. 이에, 사용자디바이스(400)와 제1디바이스(200-1) 간 통신채널이 연결될 수 있다.
인증관리서버(300)로부터 사용자디바이스(400)의 통신채널 연결 요청을 수신한 제1디바이스(200-1)는 제1랜덤값(R1)을 생성하고, 이를 암호화하여 인증관리서버(300)로 전송할 수 있다(S420). 여기서, 제1디바이스(200-1)는 저장된 제1인증키를 이용하여 제1랜덤값(R1)을 암호화할 수 있다.
이어, 인증관리서버(300)와 제1디바이스(200-1) 각각은 제1랜덤값(R1)으로부터 연결키, 즉 루트값(Root)을 생성할 수 있다(S430, S435).
인증관리서버(300)는 저장된 제1디바이스(200-1)의 속성정보의 해시 결과값과 제1랜덤값(R1)을 해시하여 루트값(Root)을 생성할 수 있다. 제1디바이스(200-1)는 자신의 속성정보에 대한 해시 결과값과 제1랜덤값(R1)을 해시하여 루트값(Root)을 생성할 수 있다.
다음으로, 인증관리서버(300)는 생성한 루트값(Root)과 제1디바이스(200-1)에서 전송한 제1랜덤값(R1)을 사용자인증키로 암호화하여 사용자디바이스(400)로 전송할 수 있다(S450).
사용자디바이스(400)는 저장된 사용자 인증키로 암호화된 루트값(Root)과 제1랜덤값(R1)을 복호화하여 이들을 획득할 수 있다. 그리고, 루트값(Root)으로 제1랜덤값(R1)을 암호화하고, 이를 통신채널을 통해 제1디바이스(200-1)로 전송할 수 있다(S460).
제1디바이스(200-1)는 사용자디바이스(400)에서 전송된 암호화된 제1랜덤값(R1)을 기 생성한 루트값(Root)을 통해 복호화하고, 그에 따라 사용자디바이스(400)에 대한 디바이스 인증을 수행할 수 있다(S470).
예컨대, 제1디바이스(200-1)는 복호된 제1랜덤값(R1)이 자신이 생성한 제1랜덤값(R1)과 동일한지를 판단할 수 있다. 이러한 판단 결과, 사용자디바이스(400)에서 전송된 제1랜덤값(R1)이 자신이 생성한 제1랜덤값(R1)이 동일하면, 제1디바이스(200-1)는 사용자디바이스(400)를 인증할 수 있다. 그리고, 사용자디바이스(400)와 제1디바이스(200-1)는 서로 간에 보안모드로 데이터통신을 수행할 수 있다(S480).
그러나, 사용자디바이스(400)에서 전송된 제1랜덤값(R1)이 자신이 생성한 제1랜덤값(R1)과 동일하지 않으면, 제2디바이스(200-2)는 사용자디바이스(400)를 부적합 디바이스로 판단하여 통신채널의 연결을 해제할 수 있다.
이와 같이, 본 실시예에서는 제1디바이스(200-1)의 속성정보에 대한 해시결과값과 랜덤값을 해시하여 생성한 연결키로 제1디바이스(200-1)에서 사용자디바이스(400)에 대한 인증을 수행하고, 그 결과에 따라 사용자디바이스(400)와 제1디바이스(200-1) 간 보안모드 데이터통신을 수행할 수 있다. 따라서, 본 발명은 디바이스 인증이 되지 않은 장치가 통신으로 연결되는 것을 방지할 수 있어 데이터통신의 보안성을 높일 수 있다.
이상, 본 발명의 일 실시 예에 대하여 설명하였으나, 해당 기술 분야에서 통상의 지식을 가진 자라면 특허청구범위에 기재된 본 발명의 사상으로부터 벗어나지 않는 범위 내에서, 구성 요소의 부가, 변경, 삭제 또는 추가 등에 의해 본 발명을 다양하게 수정 및 변경시킬 수 있을 것이며, 이 또한 본 발명의 권리범위 내에 포함된다고 할 것이다.
또한, 전술된 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례에 따라 달라질 수 있다. 그러므로, 이러한 용어들에 대한 정의는 본 명세서 전반에 걸친 내용을 토대로 하여 내려져야 할 것이다.
100: 인증시스템 200-1, 200-N: IoT 디바이스
300: 인증관리서버 400: 사용자디바이스

Claims (12)

  1. 사물인터넷(IoT) 환경에서 다수의 디바이스 간 보안모드 통신을 위한 디바이스 인증방법으로,
    네트워크를 통해 다수의 IoT 디바이스 중 제1디바이스 및 제2디바이스 각각이 인증관리서버와 연결되고, 상기 인증관리서버의 중계를 통해 상기 제1디바이스와 제2디바이스 간 통신채널을 연결하는 단계;
    상기 제1디바이스와 제2디바이스 간 디바이스 인증을 수행하는 단계; 및
    디바이스 인증된 상기 제1디바이스와 제2디바이스가 상기 통신채널을 통해 보안모드로 데이터통신을 수행하는 단계를 포함하고,
    상기 디바이스 인증을 수행하는 단계는,
    상기 제2디바이스가 제1랜덤값을 생성하여 상기 인증관리서버로 전송하는 단계;
    상기 인증관리서버가 상기 제1랜덤값에 기초하여 루트값을 생성하는 단계;
    상기 인증관리서버가 상기 제1디바이스에 상기 제1랜덤값 및 루트값을 전송하고, 상기 제2디바이스에 상기 루트값을 전송하는 단계;
    상기 제1디바이스가 상기 루트값을 이용하여 상기 제1랜덤값을 암호화하고, 암호화된 제1랜덤값을 상기 제2디바이스로 전송하는 단계; 및
    상기 제2디바이스가 상기 루트값을 이용하여 상기 암호화된 제1랜덤값을 복호화하고, 복호화된 제1랜덤값과 기 생성된 상기 제1랜덤값의 비교 결과로부터 상기 제1디바이스에 대한 디바이스 인증을 수행하는 단계를 포함하는 것을 특징으로 하는 디바이스 인증방법.
  2. 제1항에 있어서,
    상기 루트값을 생성하는 단계는,
    상기 제1디바이스 및 제2디바이스 각각의 속성정보에 기초하여 해시 결과값을 생성하는 단계; 및
    상기 제1디바이스의 해시 결과값과 상기 제2디바이스의 해시결과값을 해시하여 도출된 값을 상기 제1랜덤값과 해시하여 상기 루트값을 생성하는 단계를 포함하는 것을 특징으로 하는 디바이스 인증방법.
  3. 제1항에 있어서,
    상기 제1디바이스와 제2디바이스 간 통신채널을 연결하는 단계 전에,
    상기 제1디바이스와 상기 인증관리서버 간 디바이스 인증을 통해 제1인증키를 생성하고, 상기 제1인증키를 상기 제1디바이스와 상기 인증관리서버 각각에 저장하는 단계; 및
    상기 제2디바이스와 상기 인증관리서버 간 디바이스 인증을 통해 제2인증키를 생성하고, 상기 제2인증키를 상기 제2디바이스와 상기 인증관리서버 각각에 저장하는 단계를 더 포함하는 것을 특징으로 하는 디바이스 인증방법.
  4. 제3항에 있어서,
    상기 인증관리서버는 상기 제1인증키를 이용하여 상기 제1랜덤값 및 루트값을 암호화하여 상기 제1디바이스로 전송하고,
    상기 제1디바이스는 상기 제1인증키를 이용하여 암호화된 제1랜덤값 및 루트값을 복호화하는 것을 특징으로 하는 디바이스 인증방법.
  5. 제3항에 있어서,
    상기 인증관리서버는 상기 제2인증키를 이용하여 상기 루트값을 암호화하여 상기 제2디바이스로 전송하고,
    상기 제2디바이스는 상기 제2인증키를 이용하여 암호화된 루트값을 복호화하는 것을 특징으로 하는 디바이스 인증방법.
  6. 사물인터넷(IoT) 환경에서 다수의 디바이스 간 보안모드 통신을 위한 디바이스 인증방법으로,
    네트워크를 통해 다수의 IoT 디바이스 중 제1디바이스와 사용자 디바이스 각각이 인증관리서버와 연결되고, 상기 인증관리서버의 중계를 통해 상기 제1디바이스와 사용자디바이스 간 통신채널을 연결하는 단계;
    상기 제1디바이스와 사용자디바이스 간 디바이스 인증을 수행하는 단계; 및
    디바이스 인증된 상기 제1디바이스와 사용자디바이스가 상기 통신채널을 통해 보안모드로 데이터통신을 수행하는 단계를 포함하고,
    상기 디바이스 인증을 수행하는 단계는,
    상기 제1디바이스가 제1랜덤값을 생성하여 상기 인증관리서버로 전송하고, 상기 제1디바이스 및 인증관리서버 각각에서 상기 제1랜덤값에 기초하여 루트값을 생성하는 단계;
    상기 인증관리서버가 상기 루트값 및 제1랜덤값을 사용자디바이스로 전송하는 단계;
    상기 사용자디바이스가 상기 루트값을 이용하여 상기 제1랜덤값을 암호화하고, 암호화된 제1랜덤값을 상기 제1디바이스로 전송하는 단계;
    상기 제1디바이스가 상기 루트값을 이용하여 상기 암호화된 제1랜덤값을 복호화하고, 복호화된 제1랜덤값과 기 생성된 상기 제1랜덤값의 비교 결과로부터 상기 사용자디바이스에 대한 디바이스 인증을 수행하는 단계를 포함하는 것을 특징으로 하는 디바이스 인증방법.
  7. 제6항에 있어서,
    상기 루트값을 생성하는 단계는,
    상기 제1디바이스의 속성정보에 기초하여 해시 결과값을 생성하는 단계; 및
    상기 해시 결과값과 상기 제1랜덤값을 해시하여 상기 루트값을 생성하는 단계를 포함하는 것을 특징으로 하는 디바이스 인증방법.
  8. 제7항에 있어서,
    상기 해시 결과값을 생성하는 단계는,
    상기 속성정보를 해시하여 1차 해시값을 도출하고, 상기 1차 해시값을 해시하여 상기 해시 결과값을 생성하는 단계이고,
    상기 속성정보 및 1차 해시값은 머클트리 기법으로 해시되는 것을 특징으로 하는 디바이스 인증방법.
  9. 제6항에 있어서,
    상기 제1디바이스와 사용자디바이스 간 통신채널을 연결하는 단계 전에,
    상기 제1디바이스와 상기 인증관리서버 간 디바이스 인증을 통해 제1인증키를 생성하고, 상기 제1인증키를 상기 제1디바이스와 상기 인증관리서버 각각에 저장하는 단계; 및
    상기 사용자디바이스와 상기 인증관리서버 간 디바이스 인증을 통해 사용자인증키를 생성하고, 상기 사용자 인증키를 상기 사용자디바이스와 상기 인증관리서버 각각에 저장하는 단계를 더 포함하는 것을 특징으로 하는 디바이스 인증방법.
  10. 제9항에 있어서,
    상기 제1디바이스는 상기 제1인증키를 이용하여 상기 제1랜덤값을 암호화하여 상기 인증관리서버로 전송하고,
    상기 인증관리서버는 상기 제1인증키를 이용하여 암호화된 제1랜덤값을 복호화하는 것을 특징으로 하는 디바이스 인증방법.
  11. 제9항에 있어서,
    상기 인증관리서버는 상기 사용자인증키를 이용하여 상기 루트값 및 제1랜덤값을 암호화하여 상기 사용자디바이스로 전송하고,
    상기 사용자디바이스는 상기 사용자인증키를 이용하여 암호화된 루트값 및 제1랜덤값을 복호화하는 것을 특징으로 하는 디바이스 인증방법.
  12. 제1항 및 제6항 중 어느 한 항에 따른 디바이스 인증방법을 수행하기 위한 인증관리서버와 복수의 디바이스를 포함하는 디바이스 인증시스템.


KR1020210106081A 2021-02-24 2021-08-11 사물인터넷 환경에서 디바이스 인증방법 및 이를 위한 디바이스 인증시스템 KR102476781B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020210106081A KR102476781B1 (ko) 2021-02-24 2021-08-11 사물인터넷 환경에서 디바이스 인증방법 및 이를 위한 디바이스 인증시스템

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020210024694A KR102313372B1 (ko) 2021-02-24 2021-02-24 사물인터넷 환경에서 디바이스 인증방법 및 이를 위한 디바이스 인증시스템
KR1020210106081A KR102476781B1 (ko) 2021-02-24 2021-08-11 사물인터넷 환경에서 디바이스 인증방법 및 이를 위한 디바이스 인증시스템

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
KR1020210024694A Division KR102313372B1 (ko) 2021-02-24 2021-02-24 사물인터넷 환경에서 디바이스 인증방법 및 이를 위한 디바이스 인증시스템

Publications (2)

Publication Number Publication Date
KR20220121159A KR20220121159A (ko) 2022-08-31
KR102476781B1 true KR102476781B1 (ko) 2022-12-13

Family

ID=78150905

Family Applications (2)

Application Number Title Priority Date Filing Date
KR1020210024694A KR102313372B1 (ko) 2021-02-24 2021-02-24 사물인터넷 환경에서 디바이스 인증방법 및 이를 위한 디바이스 인증시스템
KR1020210106081A KR102476781B1 (ko) 2021-02-24 2021-08-11 사물인터넷 환경에서 디바이스 인증방법 및 이를 위한 디바이스 인증시스템

Family Applications Before (1)

Application Number Title Priority Date Filing Date
KR1020210024694A KR102313372B1 (ko) 2021-02-24 2021-02-24 사물인터넷 환경에서 디바이스 인증방법 및 이를 위한 디바이스 인증시스템

Country Status (1)

Country Link
KR (2) KR102313372B1 (ko)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3979491B2 (ja) 2001-08-09 2007-09-19 大宏電機株式会社 通信認証方法
KR101452124B1 (ko) 2013-08-01 2014-10-16 덕성여자대학교 산학협력단 사물간 통신 네트워크에서 암호화 기반 기기 인증 및 세션키 생성 방법
JP2018502529A (ja) 2014-11-05 2018-01-25 クゥアルコム・インコーポレイテッドQualcomm Incorporated 認証相互運用性のための方法およびシステム

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150134966A1 (en) * 2013-11-10 2015-05-14 Sypris Electronics, Llc Authentication System
US10402797B2 (en) * 2016-06-20 2019-09-03 Cyber Armor Pte Ltd Secured authentication and transaction authorization for mobile and internet-of-things devices
KR102034554B1 (ko) * 2017-11-10 2019-10-21 서울과학기술대학교 산학협력단 사물 인터넷 네트워크 내 디바이스 인증 방법 및 시스템
KR102120327B1 (ko) * 2018-07-04 2020-06-08 충북대학교 산학협력단 Ecc 기반의 차일드 키를 이용한 상호 인증 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3979491B2 (ja) 2001-08-09 2007-09-19 大宏電機株式会社 通信認証方法
KR101452124B1 (ko) 2013-08-01 2014-10-16 덕성여자대학교 산학협력단 사물간 통신 네트워크에서 암호화 기반 기기 인증 및 세션키 생성 방법
JP2018502529A (ja) 2014-11-05 2018-01-25 クゥアルコム・インコーポレイテッドQualcomm Incorporated 認証相互運用性のための方法およびシステム

Also Published As

Publication number Publication date
KR102313372B1 (ko) 2021-10-15
KR20220121159A (ko) 2022-08-31

Similar Documents

Publication Publication Date Title
TWI778171B (zh) 待配網設備連接網路熱點設備的方法和系統
CN108599925B (zh) 一种基于量子通信网络的改进型aka身份认证系统和方法
CN107659406B (zh) 一种资源操作方法及装置
US8291231B2 (en) Common key setting method, relay apparatus, and program
US20170244687A1 (en) Techniques for confidential delivery of random data over a network
US11736304B2 (en) Secure authentication of remote equipment
US20150134960A1 (en) Determination of cryptographic keys
US11368335B1 (en) Providing a split-configuration virtual private network
CN115001686B (zh) 一种全域量子安全设备及系统
US11765133B2 (en) Authentication scheme in a virtual private network
US20240080302A1 (en) Clustering of Virtual Private Network Servers
JP2007110487A (ja) Lanシステムおよびその通信方法
KR102476781B1 (ko) 사물인터넷 환경에서 디바이스 인증방법 및 이를 위한 디바이스 인증시스템
US11943201B2 (en) Authentication procedure in a virtual private network
Gao et al. SecT: A lightweight secure thing-centered IoT communication system
KR102539418B1 (ko) Puf 기반 상호 인증 장치 및 방법
CN114302356A (zh) 共享密钥的通信方法、系统及存储介质
Abdelmoneem et al. Mobility-enabled authentication scheme for IoT architecture
Pittoli et al. Security architectures in constrained environments: A survey
KR101785382B1 (ko) 클라이언트 인증 방법, 클라이언트의 동작 방법, 서버, 및 통신 소프트웨어
Latha et al. Mds-wlan: Maximal data security in wlan for resisting potential threats
CN117527302A (zh) 一种基于密钥同步更新算法的安全通信方法
CN116707826A (zh) 一种基于国密的CoAP协议身份认证和数据加密方法
CN115766172A (zh) 基于dpu和国密的报文转发方法、装置、设备及介质

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant