KR102663891B1 - 이중보안 특성을 가지는 스마트홈 시스템 및 그의 통신방법 - Google Patents

이중보안 특성을 가지는 스마트홈 시스템 및 그의 통신방법 Download PDF

Info

Publication number
KR102663891B1
KR102663891B1 KR1020220052698A KR20220052698A KR102663891B1 KR 102663891 B1 KR102663891 B1 KR 102663891B1 KR 1020220052698 A KR1020220052698 A KR 1020220052698A KR 20220052698 A KR20220052698 A KR 20220052698A KR 102663891 B1 KR102663891 B1 KR 102663891B1
Authority
KR
South Korea
Prior art keywords
encryption
security
linker
network
smart home
Prior art date
Application number
KR1020220052698A
Other languages
English (en)
Other versions
KR20230153022A (ko
Inventor
도건우
송상현
Original Assignee
주식회사 씨브이네트
코오롱글로벌 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 씨브이네트, 코오롱글로벌 주식회사 filed Critical 주식회사 씨브이네트
Priority to KR1020220052698A priority Critical patent/KR102663891B1/ko
Publication of KR20230153022A publication Critical patent/KR20230153022A/ko
Application granted granted Critical
Publication of KR102663891B1 publication Critical patent/KR102663891B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0471Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying encryption by an intermediary, e.g. receiving clear information at the intermediary and encrypting the received information at the intermediary before forwarding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2803Home automation networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0827Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving distinctive intermediate devices or communication paths
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0877Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Alarm Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 이중보안 특성을 가지는 스마트홈 시스템 및 그의 통신방법에 관한 것이다. 스마트홈 시스템은, 적어도 하나의 관리자 단말기 및 입주민 단말기와 방화벽을 통해 통신하는 단지서버; 상기 단지 서버와 통신하는 적어도 하나의 월패드; 상기 월패드와 통신하는 적어도 하나의 연동기를 포함하며, 상기 단지서버, 상기 월패드 및 상기 연동기는 각각 보안 모듈을 구비한다. 본 발명의 실시예에서는 스마트홈 시스템의 구성요소에 동적 암호화 키를 생성하는 보안모듈(Secure Engine)을 설치하여 스마트홈의 네트워크 구간, 프로토콜 및 어플리케이션 종류와 관련없이 암호화를 적용하여 전송 데이터는 종단 장치만이 확인할 수 있고 중간단계에서 데이터 유출을 원천 차단할 수 있다.

Description

이중보안 특성을 가지는 스마트홈 시스템 및 그의 통신방법{Smart home system having dual security characteristics and communication method thereof}
본 발명은 이중보안 특성을 가지는 스마트홈 시스템 및 그의 통신방법에 관한 것으로, 더욱 상세하게는 스마트홈 시스템의 구성요소에 동적 암호화 키를 생성하는 보안모듈(Secure Engine)을 설치하여 스마트홈의 네트워크 구간, 프로토콜 및 어플리케이션 종류와 관련없이 암호화를 적용하여 전송 데이터는 종단 장치만이 확인할 수 있고 중간단계에서 데이터 유출을 원천 차단하는, 이중보안 특성을 가지는 스마트홈 시스템 및 그의 통신방법에 관한 것이다.
최근 건축물에서, 조명, 냉난방, 가스 등 세대 내 다양한 디바이스들이 월패드와 같은 세대단말기와 홈 네트워킹 서버를 이용하여 통합 관리되는 스마트홈(smart home) 시스템이 도입되고 있다.
이는 전문적 지식이나 숙련도 없이도 입주자가 편리하게 세대 내 다양한 장치의 상태를 확인하고 조절할 수 있게 하며, 건축물의 시공자 또는 관리자 입장에서도 원격으로 각 세대 내 다양한 상황을 확인하게 하고 이상 상황시, 신속히 확인하고 대처할 수 있게 한다는 장점을 제공한다.
하지만 세대단말기는 보안 상 취약점을 나타낸다. 세대단말기 역시 PC와 같은 정보 처리 기기이기에 해킹에 노출될 수 있다. 악의를 갖는 누군가가 입주자 동의 없이 세대단말기에 접속하여 조명을 차단하거나 냉난방 설정을 바꾸는 등 다양한 문제들이 보고된다.
도 1을 참조하면, 관리자 접속 구간(S1)은 방화벽에 의한 접근제어가 되고, 아이디, 패스워드 인증을 하고, 암호화 되지 않은 접속 구간이다.
사용자 모바일 접속 구간(S2)는 공개서비스로 접근제어가 불가하고, 세대 고유 암호를 이용한 인증을 하고, 일부 암호화가 적용되는 통신구간이다.
단지 내부 제어 구간(S3)은 접근제어가 미적용되고, 서버와 월패드간 동일한 아이디 패스워드 인증을 하고, 일부 암호화 통신 구간이다.
세대 내부 제어 구간(S4)은 접근제어가 불가하고, 인증과정 이 없고, 암호화가 불가한 구간이다.
외부의 관리자 또는 사용자가 Web 또는 Mobile App을 이용하여 원격제어를 요청한다.
원격제어의 대상은 일반적으로 세대 내에 빌트인된 스마트홈 기기인 가스차단기, 조명스위치, 온도조절기 등의 장치이다.
이 과정에서 사용자의 트래픽은 사용자 단말기, 단지 홈네트워크 서버, 월패드, 연동기 순서로 전달되며, 최종적으로 월패드는 서전에 정의된 프로토콜이 수신되면 이를 해석하여 연동기기의 ID을 참조하여 해당기기로 제어신호를 전달한다.
상기의 원격제어 명령의 전달과정에서 사용자 단말기 또는 서버의 해킹, 네트워크 스니핑, 월패드 해킹 등이 발생하였을 경우 서버나 월패드의 인증정보 등이 쉽게 노출될 수 있는 보안 취약점을 가지고 있다. 더불어 트래픽 분석을 통해 제어명령을 해석하여 임의로 타 세대의 기기를 제어할 수 있는 문제점이 있다.
도 2를 참조하면, 서버 A, 월패드 B, 연동기 C 간에 데이터 D를 전달할 경우, 정의된 방식으로 데이터를 보호한다.
TCP/IP 통신을 이용하는 A-B 구간은 SSH 등의 보안 프로토콜을 이용하며 이는 A-B 구간만 적용된다.
RS-485 등의 통신구간인 B-C 구간의 경우 AES 등의 암호화 방식을 적용한 경우, B-C 구간만 적용된다. 더불어 사용되는 접속방법에 따른 암호화 방식 외 접속방식은 보안적용이 불가하다.
이 과정에서 B 장치에서는 상이한 암호화 방식의 변환을 위해 암호화가 해제된 평문 데이터 D가 노출되는 문제가 있다.
또한 www, telnet, ftp 등 각 프로토콜에 따라서 이에 대응되는 암호화 프로토콜을 적용해야 함으로 개발 및 관리 절차가 복잡해진다.
한편, 최근, 스마트홈 해킹에 대한 언론보도로 고객 인지가 확대되고 있다.
예로서, 2021년 말 월패드 해킹으로 세대영상이 다크넷에서 판매되고 있다는 기사가 국내언론에 다수 노출되었다.
또한, 언론사에서 피해단지 리스트가 공개되어 월패드 카메라를 스티커로 가리는 임시조치가 진행되기도 하였다.
보안업계에서는 이러한 문제의 원인을 서버 프로그램의 취약점을 활용한 공격으로 추정하고 있다.
이에 정부에서도 지능형 홈네트워크 설비 설치 및 기술기준 개정으로 보안강화를 하려고 한다.
특히, 21년 12월 정부 관련부처에서 '지능형 홈네트워크 고시'에 홈네트워크 보안항목을 신설하고, '22년 하반기에 실행예정으로한 개정 내용 중 홈네트워크 망 분리를 위해 암호화 기술 등을 적용하여야 할 것을 규정하고 있다.
본 발명이 해결하고자 하는 과제는 상기한 문제점을 해결하기 위한 것으로, 스마트홈 시스템의 구성요소에 동적 암호화 키를 생성하는 보안모듈(Secure Engine)을 설치하여 스마트홈의 네트워크 구간, 프로토콜 및 어플리케이션 종류와 관련없이 암호화를 적용하여 전송 데이터는 종단 장치만이 확인할 수 있고 중간단계에서 데이터 유출을 원천 차단하는, 이중보안 특성을 가지는 스마트홈 시스템 및 그의 통신방법을 제공하는 것이다.
또한, 본 발명이 해결하고자 하는 과제는 상기한 문제점을 해결하기 위한 것으로, 보안모듈은 저사양의 CPU가 탑재된 장비에 적용 가능하며 필요 메모리량이 수KByte 수준으로 부하가 낮으며, 임베디드(Embedded) 장치를 지원하는 보안모듈의 특성으로 스마트홈 분야의 연동기기까지 암호화가 가능한, 이중보안 특성을 가지는 스마트홈 시스템 및 그의 통신방법을 제공하는 것이다.
또한, 본 발명이 해결하고자 하는 과제는 상기한 문제점을 해결하기 위한 것으로, 스마트홈 기기에 설치된 보안모듈(Secure Engine)은 서비스의 성격에 따라 동작모드의 조정이 가능하므로, 실시간 트래픽, 유지보수 및 트래픽 분석 등의 서비스 유형에 따라 차등적인 암호화를 적용하는, 이중보안 특성을 가지는 스마트홈 시스템 및 그의 통신방법을 제공하는 것이다.
상기한 목적을 실현하기 위한 본 발명의 특징에 따른 이중보안 특성을 가지는 스마트홈 시스템은,
적어도 하나의 관리자 단말기 및 입주민 단말기와 방화벽을 통해 통신하는 단지서버;
상기 단지 서버와 통신하는 적어도 하나의 월패드;
상기 월패드와 통신하는 적어도 하나의 연동기를 포함하며,
상기 단지서버, 상기 월패드 및 상기 연동기는 각각 보안 모듈을 구비한다.
상기 연동기가 IP 네트워크를 사용하는 보안 서비스인 제1 유형인 경우, 암호화 및 동적암호화키를 적용하고, 네트워크 패킷 암호화를 적용한다.
상기 연동기가 IP 네트워크를 사용하는 비보안 서비스인 제2 유형인 경우, 암호화는 미적용하고, 동적암호화키도 미적용하며, 파일 암호화를 적용한다.
상기 연동기가 IP 네트워크를 사용하지 않는 보안 서비스인 제3 유형인 경우, 암호화는 적용하고, 동적암호화키도 적용하며, 네트워크 패킷 암호화를 적용한다.
상기 연동기가 IP 네트워크를 사용하지 않는 비보안 서비스인 제4 유형인 경우, 암호화는 미적용하고, 동적암호화키도 미적용하며, 파일 암호화를 미적용한다.
상기 관리자 단말기의 선택에 따라 상기 보안 모듈의 암호화, 동적 암호화 및 암호화 대상이 결정된다.
상기한 목적을 실현하기 위한 본 발명의 특징에 따른 이중보안 특성을 가지는 스마트홈 시스템의 통신방법은,
적어도 하나의 관리자 단말기 및 입주민 단말기와 방화벽을 통해 통신하는 단지서버; 상기 단지 서버와 통신하는 적어도 하나의 월패드; 상기 월패드와 통신하는 적어도 하나의 연동기를 포함하는 스마트홈 시스템의 통신방법으로서,
상기 단지서버가 보안모듈을 이용하여 데이터를 자체암호화하는 단계(S110);
상기 서버가 상기 자체암호화된 데이터를 제1 보안 방식으로 암호화하여 월패드로 송신하는 단계(S120);
상기 월패드가 수신된 데이터를 제1 보안 방식으로 복호화하고, 다시 자체암호화된 데이터를 제2 보안 방식으로 암호화 하여 연동기로 송신하는 단계(S130);
상기 연동기가 수신된 데이터를 제2 보안 방식으로 복호화하여 자체암호화된 데이터를 얻는 단계(S140);
상기 연동기가 자체암호화된 데이터를 복호화하여 데이터를 얻는 단계(S150)를 포함한다.
상기 보안 모듈은,
동적 암호화 키를 활용한 암/복호화 기능(Encryption / Decryption),
일회용 아이디 생성/검증 기능(One-time ID Generation / Validation),
일회용 보안토큰 생성/검증 기능(One-time Token Generation / Validation)을 수행한다.
본 발명의 실시예에서는 스마트홈 시스템의 구성요소에 동적 암호화 키를 생성하는 보안모듈(Secure Engine)을 설치하여 스마트홈의 네트워크 구간, 프로토콜 및 어플리케이션 종류와 관련없이 암호화를 적용하여 전송 데이터는 종단 장치만이 확인할 수 있고 중간단계에서 데이터 유출을 원천 차단하는, 이중보안 특성을 가지는 스마트홈 시스템 및 그의 통신방법을 제공할 수 있다.
또한, 본 발명의 실시예에서는, 보안모듈은 저사양의 CPU가 탑재된 장비에 적용 가능하며 필요 메모리량이 수KByte 수준으로 부하가 낮으며, 임베디드(Embedded) 장치를 지원하는 보안모듈의 특성으로 스마트홈 분야의 연동기기까지 암호화가 가능한, 이중보안 특성을 가지는 스마트홈 시스템 및 그의 통신방법을 제공할 수 있다.
또한, 본 발명의 실시예에서는, 스마트홈 기기에 설치된 보안모듈(Secure Engine)은 서비스의 성격에 따라 동작모드의 조정이 가능하므로, 실시간 트래픽, 유지보수 및 트래픽 분석 등의 서비스 유형에 따라 차등적인 암호화를 적용하는, 이중보안 특성을 가지는 스마트홈 시스템 및 그의 통신방법을 제공할 수 있다.
도 1은 종래의 스마트 홈 시스템을 나타낸 도면이다.
도 2는 종래의 스마트 홈 시스템의 통신방법을 나타낸 도면이다.
도 3은 본 발명의 실시예에 따른 이중보안 특성을 가지는 스마트홈 시스템을 나타낸 도면이다.
도 4는 보안 모듈을 나타낸 도면이다.
도 5 는 보안모듈이 IP 네트워크에 적용되는 예를 보인 도면이다.
도 6은 보안모듈이 Non IP 네트워크에 적용되는 예를 보인 도면이다.
도 7은 본 발명의 실시예에 따른 이중보안 특성을 가지는 스마트홈 시스템의 통신방법의 예를 보인 도면이다.
아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다.
본 발명은 여러 가지 상이한 형태로 구현될 수 있으므로, 여기에서 설명하는 실시예에 한정되지 않으며 도면에서 설명과 관계없는 부분은 생략하였다.
도 3은 본 발명의 실시예에 따른 이중보안 특성을 가지는 스마트홈 시스템을 나타낸 도면이다.
도 4는 보안 모듈을 나타낸 도면이다.
도 5 는 보안모듈이 IP 네트워크에 적용되는 예를 보인 도면이다.
도 6은 보안모듈이 Non IP 네트워크에 적용되는 예를 보인 도면이다.
도 3을 참조하면, 본 발명의 특징에 따른 이중보안 특성을 가지는 스마트홈 시스템은,
적어도 하나의 관리자 단말기(400) 및 입주민 단말기(500)와 방화벽을 통해 통신하는 단지서버(100);
상기 단지 서버(100)와 통신하는 적어도 하나의 월패드(200);
상기 월패드와 통신하는 적어도 하나의 연동기(300)를 포함하며,
상기 단지서버(100), 상기 월패드 및 상기 연동기(300)는 각각 보안 모듈(600)을 구비한다.
상기 서버(100)는 기타 서버(110)와 연동 될 수 있다.
상기 연동기(300)는 조명기기, 난방기기 또는 도억락 등일 수 있고, 각각 보안 모듈(600)을 구비한다.
도 4를 참조하면, 상기 보안 모듈(600)은,
동적 암호화 키를 활용한 암/복호화 기능(Encryption / Decryption),
일회용 아이디 생성/검증 기능(One-time ID Generation / Validation),
일회용 보안토큰 생성/검증 기능(One-time Token Generation / Validation)을 수행한다.
서버(100), 월패드, 연동기(300) 각각에 설치된 보안모듈(600)(Secure Engine)은 아래의 절차로 암호화/복호화를 수행한다.
먼저, 보안모듈(600) 내에서 OTP 기술을 활용한 자체 알고리즘과 내장 카운터를 이용하여 난수를 생성한다.
보안모듈(600)에서 생성된 난수를 기반으로 동적암호화 키를 생성, 해당키를 이용하여 데이터를 암호화 한다. 이때, 암호화 과정에서 TLS 등의 표준 암호화 알고리즘을 활용하나 키교환이 필요없이 암호화 구현이 가능하다.
이후, 수신측에서 상기 암호화 과정의 역순으로 복호화 과정 수행이 가능하다.
보안모듈(600)은 HOTP(HMAC-based One Time Password, RFC 4226)와 TOTP(One Time Password, RFC 6238)를 응용하여, 난수 생성 알고리즘을 통해 생성된 값이 서버(100) 내에서 랜덤하면서 유일한 값이 될 수 있도록 독자적인 알고리즘을 적용하였다.
도 5 또는 도 6을 참조하면, IP가 있는 IP 기기 또는 IP가 없는 Non IP 기기 모두 보안 모듈(600)이 설치된다.
일반적인 Non-IP 기기는 암호화 과정이 불가하거나 제한적인 암호화만 가능하고, 현재 RS-485, BLE, RF, Sonic 등 다양한 통신방식을 이용하는 연동기(300)의 경우 암호화 과정 없이 통신하고 있다.
도 6을 참조하면, 보안모듈(600)은 저사양의 CPU가 탑재된 장비에 적용 가능하며, 필요 메모리량이 수KByte 수준으로 부하가 낮다. Embedded 장치를 지원하는 보안모듈(600)의 특성으로 스마트홈 분야의 연동기(300)까지 암호화가 가능하다.
그리고 스마트홈 기기에 설치된 보안모듈(600)(Secure Engine)은 서비스의 성격에 따라 동작모드의 조정이 가능하다.
또한 서비스 유형에 따라 차등적인 암호화 적용, 실시간 트래픽 및 유지보수 및 트래픽 분석 등이 가능하다.
예를 들어, 상기 연동기(300)가 IP 네트워크를 사용하는 보안 서비스인 제1 유형인 경우, 암호화 및 동적암호화키를 적용하고, 네트워크 패킷 암호화를 적용한다.
상기 연동기(300)가 IP 네트워크를 사용하는 비보안 서비스인 제2 유형인 경우, 암호화는 미적용하고, 동적암호화키도 미적용하며, 파일 암호화를 적용한다. 제2 유형의 경우 음성통화, 영상통화 등 실시간 트래픽의 경우 암호화에 영향을 받아 장애가 발생될 수 있음으로 예외처리를 할 수 있다. 다만 최근 저장된 영상이 외부로 유출된 문제가 있어 파일암호화 추가할 수 있다.
상기 연동기(300)가 IP 네트워크를 사용하지 않는 보안 서비스인 제3 유형인 경우, 암호화는 적용하고, 동적암호화키도 적용하며, 네트워크 패킷 암호화를 적용한다.
상기 연동기(300)가 IP 네트워크를 사용하지 않는 비보안 서비스인 제4 유형인 경우, 암호화는 미적용하고, 동적암호화키도 미적용하며, 파일 암호화를 미적용한다. 이때, ON/OFF 등 단순 상태값만 전달하는 감지기류의 경우 암호화도 불필요하다.
상기 과정에서 암호화 미적용시 네트워크에서 식별이 가능한 문자로 패킷 전송된다.
그리고 동적암호화 미적용시 데이터 식별은 불가하나 동일 명령 실행시 동일한 암호화 신호가 전달된다.
또한, 동적암호화 적용시 동일 명령 실행시 동일한 암호화 신호가 매번 변경해서 전달된다.
암호화 대상은 네트워크 패킷 외에 저장되는 파일까지 암호화가 가능하다.
상기 관리자 단말기(400)의 선택에 따라 상기 보안 모듈(600)의 암호화, 동적 암호화 및 암호화 대상이 결정된다.
이러한 구성을 가진 본 발명의 실시예에 따른 이중보안 특성을 가지는 스마트홈 시스템의 통신방법을 설명하면 다음과 같다.
도 7은 본 발명의 실시예에 따른 이중보안 특성을 가지는 스마트홈 시스템의 통신방법의 예를 보인 도면이다.
먼저, 외부의 관리자 또는 사용자가 Web 또는 Mobile App을 이용하여 원격제어를 요청한다. 원격제어의 대상은 일반적으로 세대 내에 빌트인된 스마트홈 기기인 가스차단기, 조명스위치, 온도조절기 등의 장치이다.
이 과정에서 사용자의 트래픽은 사용자 단말기에서 단지 홈네트워크 서버(100)로 전달된다.
그러면, 상기 단지서버(100)가 보안모듈(600)을 이용하여 데이터(D)를 자체암호화하는 단계(S110)를 수행한다. 이때, 보안모듈(600)(Secure Engine)을 이용하여 암호화를 수행한다. 즉, 기기와 프로토콜이 상이한 네트워크 환경에서도 자체 암호화 기능을 수행하게 된다.
다음, 상기 서버(100)가 상기 자체암호화된 데이터(SE(D))를 제1 보안 방식으로 암호화하여 월패드로 송신하는 단계(S120)를 수행한다.
다음, 상기 월패드가 수신된 데이터(A*(SE(D)))를 제1 보안 방식으로 복호화하고, 다시 자체암호화된 데이터(SE(D))를 제2 보안 방식으로 암호화 하여 연동기(300)로 송신하는 단계(S130)를 수행한다.
여기서, 월패드가 수신한 데이터(A*(SE(D)))를 제1 보안 방식으로 복호화한 후, 데이터가 유출되더라도 자체 암호화되어 있으므로 데이터 유출 위험이 없다. 즉, 각 구간별 보안방식이 상이하여 데이터가 노출되는 환경에서도 자체 암호화된 데이터를 유지할 수 있다.
다음, 상기 연동기(300)가 수신된 데이터(B*(SE(D)))를 제2 보안 방식으로 복호화하여 자체암호화된 데이터(SE(D))를 얻는 단계(S140)를 수행한다.
다음, 상기 연동기(300)가 자체암호화된 데이터(SE(D))를 복호화하여 데이터(D)를 얻는 단계(S150)를 수행한다. 결국, 전송되는 데이터는 종단 장치만이 확인할 수 있고 중간단계에서 데이터 유출을 원천적으로 차단할 수 있다.
본 발명의 실시예에서는 스마트홈 시스템의 구성요소에 동적 암호화 키를 생성하는 보안모듈(600)(Secure Engine)을 설치하여 스마트홈의 네트워크 구간, 프로토콜 및 어플리케이션 종류와 관련없이 암호화를 적용하여 전송 데이터는 종단 장치만이 확인할 수 있고 중간단계에서 데이터 유출을 원천 차단할 수 있다.
또한, 본 발명의 실시예에서는, 보안모듈(600)은 저사양의 CPU가 탑재된 장비에 적용 가능하며 필요 메모리량이 수KByte 수준으로 부하가 낮으며, 임베디드(Embedded) 장치를 지원하는 보안모듈(600)의 특성으로 스마트홈 분야의 연동기(300)기까지 암호화가 가능하다.
또한, 본 발명의 실시예에서는, 스마트홈 기기에 설치된 보안모듈(600)(Secure Engine)은 서비스의 성격에 따라 동작모드의 조정이 가능하므로, 실시간 트래픽, 유지보수 및 트래픽 분석 등의 서비스 유형에 따라 차등적인 암호화를 적용할 수 있다.
이상에서 본 발명의 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 포함된다.

Claims (7)

  1. 적어도 하나의 관리자 단말기 및 입주민 단말기와 방화벽을 통해 통신하는 단지서버;
    상기 단지 서버와 통신하는 적어도 하나의 월패드;
    상기 월패드와 통신하는 적어도 하나의 연동기를 포함하며,
    상기 단지서버, 상기 월패드 및 상기 연동기는 각각 보안 모듈을 구비하고,
    상기 연동기가 IP 네트워크를 사용하는 보안 서비스인 제1 유형인 경우, 암호화 및 동적암호화키를 적용하고, 네트워크 패킷 암호화를 적용하고,
    상기 연동기가 IP 네트워크를 사용하는 비보안 서비스인 제2 유형인 경우, 암호화는 미적용하고, 동적암호화키도 미적용하며, 파일 암호화를 적용하고,
    상기 연동기가 IP 네트워크를 사용하지 않는 보안 서비스인 제3 유형인 경우, 암호화는 적용하고, 동적암호화키도 적용하며, 네트워크 패킷 암호화를 적용하고,
    상기 연동기가 IP 네트워크를 사용하지 않는 비보안 서비스인 제4 유형인 경우, 암호화는 미적용하고, 동적암호화키도 미적용하며, 파일 암호화를 미적용하며,

    상기 단지서버가 보안모듈을 이용하여 데이터를 자체암호화하고,
    상기 서버가 상기 자체암호화된 데이터를 제1 보안 방식으로 암호화하여 월패드로 송신하며,
    상기 월패드가 수신된 데이터를 제1 보안 방식으로 복호화하고, 다시 자체암호화된 데이터를 제2 보안 방식으로 암호화 하여 연동기로 송신하고,
    상기 연동기가 수신된 데이터를 제2 보안 방식으로 복호화하여 자체암호화된 데이터를 얻으며,
    상기 연동기가 자체암호화된 데이터를 복호화하여 데이터를 얻는 것을 특징으로 하고,
    상기 보안 모듈은,
    동적 암호화 키를 활용한 암/복호화 기능(Encryption / Decryption),
    일회용 아이디 생성/검증 기능(One-time ID Generation / Validation),
    일회용 보안토큰 생성/검증 기능(One-time Token Generation / Validation)을 수행하는
    이중보안 특성을 가지는 스마트홈 시스템
  2. 삭제
  3. 삭제
  4. 삭제
  5. 삭제
  6. 적어도 하나의 관리자 단말기 및 입주민 단말기와 방화벽을 통해 통신하는 단지서버; 상기 단지 서버와 통신하는 적어도 하나의 월패드; 상기 월패드와 통신하는 적어도 하나의 연동기를 포함하는 스마트홈 시스템의 통신방법으로서,
    상기 단지서버가 보안모듈을 이용하여 데이터를 자체암호화하는 단계(S110);
    상기 서버가 상기 자체암호화된 데이터를 제1 보안 방식으로 암호화하여 월패드로 송신하는 단계(S120);
    상기 월패드가 수신된 데이터를 제1 보안 방식으로 복호화하고, 다시 자체암호화된 데이터를 제2 보안 방식으로 암호화 하여 연동기로 송신하는 단계(S130);
    상기 연동기가 수신된 데이터를 제2 보안 방식으로 복호화하여 자체암호화된 데이터를 얻는 단계(S140);
    상기 연동기가 자체암호화된 데이터를 복호화하여 데이터를 얻는 단계(S150)를 포함하고,
    상기 보안 모듈은,
    동적 암호화 키를 활용한 암/복호화 기능(Encryption / Decryption),
    일회용 아이디 생성/검증 기능(One-time ID Generation / Validation),
    일회용 보안토큰 생성/검증 기능(One-time Token Generation / Validation)을 수행하며,
    상기 연동기가 IP 네트워크를 사용하는 보안 서비스인 제1 유형인 경우, 암호화 및 동적암호화키를 적용하고, 네트워크 패킷 암호화를 적용하고,
    상기 연동기가 IP 네트워크를 사용하는 비보안 서비스인 제2 유형인 경우, 암호화는 미적용하고, 동적암호화키도 미적용하며, 파일 암호화를 적용하고,
    상기 연동기가 IP 네트워크를 사용하지 않는 보안 서비스인 제3 유형인 경우, 암호화는 적용하고, 동적암호화키도 적용하며, 네트워크 패킷 암호화를 적용하고,
    상기 연동기가 IP 네트워크를 사용하지 않는 비보안 서비스인 제4 유형인 경우, 암호화는 미적용하고, 동적암호화키도 미적용하며, 파일 암호화를 미적용하는
    이중보안 특성을 가지는 스마트홈 시스템의 통신방법.
  7. 삭제
KR1020220052698A 2022-04-28 2022-04-28 이중보안 특성을 가지는 스마트홈 시스템 및 그의 통신방법 KR102663891B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020220052698A KR102663891B1 (ko) 2022-04-28 2022-04-28 이중보안 특성을 가지는 스마트홈 시스템 및 그의 통신방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020220052698A KR102663891B1 (ko) 2022-04-28 2022-04-28 이중보안 특성을 가지는 스마트홈 시스템 및 그의 통신방법

Publications (2)

Publication Number Publication Date
KR20230153022A KR20230153022A (ko) 2023-11-06
KR102663891B1 true KR102663891B1 (ko) 2024-05-03

Family

ID=88748618

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020220052698A KR102663891B1 (ko) 2022-04-28 2022-04-28 이중보안 특성을 가지는 스마트홈 시스템 및 그의 통신방법

Country Status (1)

Country Link
KR (1) KR102663891B1 (ko)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180241549A1 (en) * 2015-08-26 2018-08-23 Qing AN Key generation method and apparatus using double encryption

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110041167A1 (en) * 2009-08-17 2011-02-17 Samsung Electronics Co. Ltd. Techniques for providing secure communications among clients with efficient credentials management

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180241549A1 (en) * 2015-08-26 2018-08-23 Qing AN Key generation method and apparatus using double encryption

Also Published As

Publication number Publication date
KR20230153022A (ko) 2023-11-06

Similar Documents

Publication Publication Date Title
Meneghello et al. IoT: Internet of threats? A survey of practical security vulnerabilities in real IoT devices
CN110996318B (zh) 一种变电站智能巡检机器人安全通信接入系统
Kumar et al. Anonymous secure framework in connected smart home environments
Granzer et al. Security in networked building automation systems
Ul Rehman et al. A study of smart home environment and its security threats
KR101992976B1 (ko) Ssh 인증키를 보안 관리하는 ssh 프로토콜 기반 서버 원격 접근 시스템
US11552934B2 (en) Devices, methods and systems to augment the security environment of internet-capable consumer devices
Celebucki et al. A security evaluation of popular internet of things protocols for manufacturers
Liu et al. Uncovering security vulnerabilities in the Belkin WeMo home automation ecosystem
Lounis et al. Bluetooth low energy makes “just works” not work
WO2019237502A1 (zh) 一种采用分节传输的智能家居动态加密通讯方法及系统
IL265929B (en) A system and method for the secure operation of a device
KR101772016B1 (ko) IoT디바이스의 시그니처 정보 등록기법 및 하이브리드 공개키 암호 인증기법을 활용한 쌍방향 IoT 보안접근제어 시스템 및 그 제어방법
Rosborough et al. All about eve: comparing DNP3 secure authentication with standard security technologies for SCADA communications
KR102663891B1 (ko) 이중보안 특성을 가지는 스마트홈 시스템 및 그의 통신방법
Miloslavskaya et al. Ensuring information security for internet of things
Gao et al. SecT: A lightweight secure thing-centered IoT communication system
Patel et al. Analysis of SCADA Security models
US11811916B2 (en) Method for securing data flows between a communication equipment and a remote terminal, equipment implementing the method
KR20060132876A (ko) 홈 또는 무선 네트워크들에서 외부 장치들을 인증하기 위한방법
KR101959686B1 (ko) 네트워크 보안용 l2 스위치 및 이를 이용한 원격 감시제어 시스템
JP2007267064A (ja) ネットワークセキュリィテイ管理システム、暗号化通信の遠隔監視方法及び通信端末。
Glanzer et al. Increasing security and availability in KNX networks
Morales-Gonzalez et al. On Building Automation System security
Granzer et al. Security analysis of open building automation systems

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant