KR20060084717A - 홈 네트워크 환경에서 홈 디바이스 인증 방법 및 장치 - Google Patents
홈 네트워크 환경에서 홈 디바이스 인증 방법 및 장치 Download PDFInfo
- Publication number
- KR20060084717A KR20060084717A KR1020050005508A KR20050005508A KR20060084717A KR 20060084717 A KR20060084717 A KR 20060084717A KR 1020050005508 A KR1020050005508 A KR 1020050005508A KR 20050005508 A KR20050005508 A KR 20050005508A KR 20060084717 A KR20060084717 A KR 20060084717A
- Authority
- KR
- South Korea
- Prior art keywords
- home
- key
- guest
- authentication
- encrypted
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 46
- 238000004891 communication Methods 0.000 claims description 19
- 229920001690 polydopamine Polymers 0.000 description 18
- 230000004044 response Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 4
- 230000008569 process Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 241000202252 Cerberus Species 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0492—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload by using a location-limited connection, e.g. near-field communication or limited proximity of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
- H04L9/3273—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2129—Authenticate client device independently of the user
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Small-Scale Networks (AREA)
Abstract
홈 네트워크에서 이루어지는 홈 디바이스 인증 방법이 개시된다. 본 발명에 따른 홈 디바이스 인증 방법은, 홈 디바이스의 인증을 위한 홈 키를 생성하고, 홈 디바이스로부터 홈 디바이스에 대응하는 비밀키를 수신하고, 홈 디바이스로부터 수신한 비밀키를 이용하여 홈 키를 암호화하고, 암호화한 홈 키를 홈 디바이스로 전송한다. 홈 디바이스는 암호화된 홈 키를 수신하고 비밀키로 복호화하여 저장한다. 이로써, 오버헤드를 발생시키는 홈 서버의 개입 없이 홈 디바이스를 인증하고 게스트 디바이스 및 탈퇴 디바이스를 처리할 수 있다.
홈 네트워크, 디바이스, 인증, 비밀키
Description
도 1은 본 발명에 따른 홈 디바이스로부터 비밀키를 수신하는 일례를 도시한 도면,
도 2는 본 발명에 따른 홈 디바이스의 인증에 필요한 홈 키를 생성하고 분배하는 흐름을 도시한 순서도,
도 3은 본 발명에 따른 홈 디바이스가 탈퇴하는 경우 홈 네트워크에서 홈 디바이스를 인증하는 흐름을 도시한 순서도,
도 4는 본 발명에 따른 홈 네트워크에서 게스트 디바이스를 인증하는 흐름을 도시한 순서도,
도 5는 본 발명에 따른 홈 네트워크에서 게스트 디바이스를 인증하는 일례를 도시한 도면, 그리고
도 6은 본 발명에 따른 키분배 디바이스의 일례를 도시한 도면이다.
본 발명은 홈 네트워크에서 이루어지는 홈 디바이스 인증 방법에 관한 것으 로, 더욱 자세히는 키분배 디바이스로 홈 키를 생성하고 각각의 홈 디바이스로 분배함으로써 홈 디바이스를 인증하는 홈 디바이스 인증 방법에 관한 것이다.
케르베로스(Kerberos)는 분산 환경에서 클라이언트 응용 요소와 서버 응용 요소간의 상호 인증 기능을 제공하는 암호화 기반의 보안 시스템이다. 케르베로스는 서버 대 클라이언트로 인증이 이루어지고 따라서 각각의 홈 디바이스는 서버에 등록한 후 항상 서버의 중계에 따라 인증 및 키 분배를 받게 된다. 또한, 비밀키 기반의 인증 시스템으로 각각의 홈 디바이스를 인증하기 위해서는 비밀키 연산이 필수적이다. 이러한 서버 중심의 인증은 임의의 디바이스 사이에 인증 절차가 필요할 때마다 서버가 참여해야 하므로 서버의 오버헤드를 일으키기 쉽다. 또한 방문자 홈 디바이스를 포함한 모든 홈 디바이스가 반드시 서버에 등록이 되어 있어야 사용자가 홈 디바이스를 이용할 수 있다.
UPnP 보안은 UPnP(UPnP : Universal Pulg and Play)를 안전하게 제공하기 위한 보안 기술이다. UPnP는 PC, PDA, 프린터, 광대역 라우터, 가전제품 등 네트워크 홈 디바이스들이 가정망에서 플러그 앤 플레이 할 수 있게 해주는 윈도우ME와 윈도우XP 기반의 네트워킹 아키텍처이다. UPnP 보안은 구성 요소가 데이터 전송을 하는 등의 대등한 관계에 대한 인증이 제시되어 있지 않고 방문자 홈 디바이스에 대한 구분이 없어 게스트 디바이스가 발생하는 경우, 홈 네트워크 보안을 위한 인증을 처음부터 다시 실행해야 한다는 문제점이 있다. 또한 컨트롤 포인트(CP: Control Point)가 변경되면, 해당 컨트롤 포인트와 관련된 홈 디바이스에 다시 ACLEntry(Acess Controll List Entry)를 전송해야 하고 무엇보다 공개키 기반이라 저자원 홈 디바이스에서 구현하기 어렵다는 단점이 있다.
종래 발명으로는 US 6,064,297호에 개시된 홈 네트워크에서의 메시지 인증 방법이 있다. 동일한 그룹 디바이스에 비밀 시드(Seed)를 분배하고 카운터 값과 공통 정보를 이용한 one-way 해쉬값을 사용하여 메시지를 인증하는 방법으로 제어망 환경(X10)에서 메시지 포맷 개선과 인증 방법을 제공한다. 메시지 인증 방법은 유선 환경에서 홈 디바이스들을 몇 개의 그룹으로 나누어 그룹 아이디를 부여하고 통신에 사용하는 메시지에 그룹 아이디를 표시하여 각각의 홈 디바이스가 그룹 내의 통신만 받아들이게 하는 방법이다.
그러나, 종래 발명 US 6,064,297호에서 제시하는 인증 방법에는 비밀 시드(Seed)에 대한 분배 방법이 제시되어 있지 않고 홈 네트워크에서 홈 디바이스가 탈퇴하는 경우에 대한 대비가 없다. 또한 제어망에 있는 홈 디바이스에 제한되어 있어 게스트 디바이스 등에 대한 배려가 없어 홈 네트워크에서 홈 디바이스를 인증하는 방법에 있어서 일반적인 구성으로 받아들이기는 어렵다.
따라서, 본 발명의 목적은 홈 네트워크의 홈 디바이스에 동일한 홈 키를 부여함으로써 오버헤드를 발생시키는 홈 서버의 개입 없이 홈 디바이스를 인증하는 방법 및 장치를 제공함에 있다.
상기 목적을 달성하기 위한 본 발명에 따른 홈 디바이스 인증 방법은, 홈 디바이스의 인증을 위한 홈 키를 생성하는 단계, 홈 디바이스로부터 상기 홈 디바이 스에 대응하는 비밀키를 수신하는 단계, 상기 수신한 비밀키로 상기 홈 키를 암호화하는 단계 및 상기 홈 디바이스로부터 상기 암호화한 홈 키를 전송하는 단계를 포함하고 상기 홈 디바이스는 상기 수신한 암호화된 홈 키를 상기 비밀키로 복호화하여 저장하는 것을 특징으로 한다.
바람직하게는, 상기 홈 디바이스의 비밀키를 수신하는 것은 영역 제한 채널에서 이루어지는 것을 특징으로 한다.
본 발명에 따른 홈 디바이스 인증 방법은, 가입이 요청된 가입 디바이스의 비밀키를 수신하는 단계, 상기 수신한 비밀키를 이용하여 홈 디바이스의 인증을 위한 홈 키를 암호화하는 단계 및 상기 가입 디바이스로 상기 암호화한 홈 키를 전송하는 단계를 포함하고, 상기 가입 디바이스는 상기 수신한 암호화된 홈 키를 상기 비밀키로 복호화하여 저장하는 것을 특징으로 한다.
바람직하게는, 상기 가입 디바이스의 비밀키를 수신하고 상기 암호화된 홈 키를 상기 가입 디바이스에 전송하는 것은 영역 제한 채널에서 이루어지는 것을 특징으로 한다.
본 발명에 따른 홈 디바이스 인증 방법은, 홈 디바이스의 인증을 위한 홈 키를 갱신하는 단계, 상기 홈 디바이스의 비밀키를 이용하여 상기 갱신한 홈 키를 암호화하는 단계 및 상기 암호화된 홈 키를 상기 홈 디바이스에 전송하는 단계를 포함하고 상기 홈 디바이스는 상기 수신한 암호화된 홈 키를 상기 비밀키로 복호화하여 저장하는 것을 특징으로 한다.
바람직하게는, 상기 암호화된 홈 키를 상기 홈 디바이스에 전송하는 것은 영 역 제한 채널을 포함하는 네트워크 채널에서 이루어지는 것을 특징으로 한다.
본 발명에 따른 홈 디바이스 인증 방법은, 탈퇴가 요청된 탈퇴 디바이스의 비밀키를 포함한 비밀키 정보를 삭제하는 단계, 상기 탈퇴 디바이스를 제외한 상기 홈 디바이스의 인증을 위한 홈 키를 갱신하는 단계, 상기 홈 디바이스의 비밀키를 이용하여 상기 홈 키를 암호화하는 단계 및 상기 홈 디바이스는 수신한 상기 암호화된 홈 키를 비밀키로 복호화하여 저장하는 것을 특징으로 한다.
바람직하게는, 상기 탈퇴 디바이스의 비밀키를 삭제하는 상기 단계는, 각각의 홈 디바이스에 대응하는 비밀키를 기록한 디바이스 등록 리스트를 유지하는 단계 및 상기 디바이스 등록 리스트에서 상기 탈퇴 디바이스의 비밀키를 포함하는 비밀키 정보를 삭제하는 단계를 포함한다.
본 발명에 따른 홈 디바이스 인증 방법은, 게스트 디바이스 정보를 수신하고 기 전송한 홈 키에 대응하는 게스트 키를 포함하는 게스트 인증 정보를 생성하여 전송하는 단계 및 상기 게스트 디바이스의 접속이 종료되면, 상기 게스트 디바이스를 제외한 홈 디바이스의 인증을 위한 홈 키를 갱신하는 단계를 포함한다.
바람직하게는, 상기 게스트 인증 정보는 홈 키를 기초로 연산한 게스트 키 및 유효 시간 정보를 포함하고, 상기 유효 시간 정보는 상기 게스트 키가 홈 네트워크에서 효력 발생이 가능한 유효 시간에 대한 정보인 것을 특징으로 한다.
또한, 상기 게스트 인증 정보의 전송은 영역 제한 채널에서 전송되는 것을 특징으로 한다.
또한, 상기 게스트 디바이스의 접속이 종료되면, 상기 게스트 디바이스를 제 외한 홈 디바이스의 인증을 위한 홈 키를 갱신하는 단계는, 상기 게스트 디바이스의 유효 시간 정보를 참조하여 상기 게스트 디바이스의 유효 시간이 경과하였는지 여부를 조사하는 단계 및 상기 게스트 디바이스의 유효 시간이 경과하지 않은 경우, 상기 홈 디바이스의 인증을 위한 홈 키를 갱신하는 단계를 포함한다.
본 발명에 따른 홈 디바이스 인증 장치는, 홈 디바이스로부터 수신한 비밀키를 저장하고 유지하는 데이터베이스 모듈, 상기 홈 디바이스를 인증하기 위한 홈 키를 생성하고 상기 데이터베이스 모듈에 저장된 상기 홈 디바이스의 비밀키로 상기 홈 키를 암호화하는 연산 모듈 및 상기 홈 디바이스로부터 비밀키를 수신하고 상기 연산 모듈에서 생성된 암호화된 홈 키를 홈 디바이스로 전송하는 통신 모듈을 포함한다.
도 1은 본 발명에 따른 홈 디바이스로부터 비밀키를 수신하는 일례를 도시한 도면이다.
아이디가 D1(111), D2(112), D3(113), D4(114) 및 D5(115)인 홈 디바이스들은 홈 네트워크에 등록을 요청하는 홈 디바이스이다. 순차적으로 D1(111), D2(112), D3(113), D4(114) 및 D5(115)의 순서로 홈 디바이스들을 홈 네트워크에 등록한다고 한다.
키분배 디바이스(120)는 먼저 D1(111)으로 비밀키를 포함한 비밀키 정보를 전송하여 줄 것을 요청한다. D1(111)은 키분배 디바이스(120)로부터 비밀키 정보 요청을 수신하고 영역 제한 채널을 이용하여 D1(111)의 비밀키를 포함한 비밀키 정보를 키분배 디바이스(120)로 전송한다. 비밀키 정보는 비밀키 외에 홈 디바이스의 아이디 등 홈 디바이스에 대한 정보가 된다.
영역 제한 채널은 좁게 한정된 특정 지역에서만 통신이 이루어지는 채널을 말하는 것으로, 좁은 구역에서의 통신을 주로 다루는 홈 네트워크에서는 유용한 채널이다. 영역 제한 채널은 채널을 벗어난 지역에서는 통신 가능 지역에서 이루어지는 통신의 내용을 짐작하기 어렵고 통신이 일어나는 구역이 실질적으로 사용자의 가시권이기 때문에 보안성이 뛰어나다.
D1(111)의 비밀키가 ‘Se_D1’라고 한다. D1이 비밀키 정보로 홈 디바이스 아이디 및 비밀키를 전송했다고 하면 키분배 디바이스(120)는 D1(111)으로부터 홈 디바이스 아이디 및 비밀키를 수신하여 이를 저장한다. 또한 수신한 비밀키를 홈 디바이스의 아이디와 대응시켜 테이블로 도시할 수 있다. 홈 디바이스의 아이디 및 아이디에 대응하는 비밀키를 테이블로 도시한 것을 디바이스 등록 리스트라 한다. 키분배 디바이스(120)는 홈 디바이스로부터 아이디 및 비밀키를 수신하고 디바이스 등록 리스트를 작성한다.
홈 디바이스의 등록은 위와 같은 과정을 반복하여 이루어진다.
D2(112), D3(113), D4(114) 및 D5(115)를 나열한 순서대로 등록한다고 하면, 키분배 디바이스(120)는 D2(112), D3(113), D4(114) 및 D5(115)에 차례대로 비밀키를 전송하여 줄 것을 요청한다. 각각의 홈 디바이스는 키분배 디바이스(120)으로부터 비밀키 전송 요청을 수신하고, 영역 제한 채널을 이용하여 각각의 홈 디바이스가 보유하고 있는 비밀키를 전송한다. D2(112)의 비밀키가 ‘Se_D2’, D3(113)의 비밀키가 ‘Se_D3’, D4(114)의 비밀키가 ‘Se_D4’, D5(115)의 비밀키가 ‘Se_D5 ’라고 하면, 키분배 디바이스(120)는 D2(112), D3(113), D4(114) 및 D5(115)로부터 각각의 비밀키를 수신하게 된다. 키분배 디바이스(120)는 수신한 비밀키를 각각의 홈 디바이스와 대응시켜 테이블로 도시하고 저장한다.
또한, 홈 디바이스의 등록은 하나의 홈 디바이스가 등록을 완료하면 그 다음 디바이스가 등록을 하는 식으로 이루어진다. D1(111)의 등록이 완료되면 D2(112)를 등록하고 D2(112)의 등록이 완료되면 D3(113)의 등록을 하는 식으로, 순차적인 방향으로 진행된다.
아래 표 1은 도 1의 키분배 디바이스(120)가 D1(111)부터 D5(115)까지 홈 디바이스를 순차적으로 등록하고 작성한 디바이스 등록 리스트이다.
홈 디바이스 아이디 | 비밀키 |
D1 | Se_D1 |
D2 | Se_D2 |
D3 | Se_D3 |
D4 | Se_D4 |
D5 | Se_D5 |
키분배 디바이스(120)는 홈 네트워크에 등록된 모든 홈 디바이스의 비밀키를 저장한다. 홈 디바이스에 대응하는 각각의 비밀키를 저장한 키분배 디바이스(120)는 홈 네트워크에서 인증을 위한 홈 키(Home Key)를 생성한다. 홈 키는 키분배 디바이스(120) 내에서 소정의 연산을 수행하여 산출한 값으로 홈 디바이스는 공통적으로 홈 키를 보유하게 되며 홈 키를 이용하여 인증을 실시한다. 키분배 디바이스(120)의 홈 키 연산은 그 결과값이 랜덤한 값이 되도록 한다. 이는 홈 키를 갱신하게 되는 경우, 갱신 전의 홈 키와 갱신 후의 홈 키가 중복되지 않고 어떠한 개연성 도 갖지 않게 하여 홈 네트워크의 안전성을 높일 수 있다.
또한, 홈 네트워크에 참여한 홈 디바이스의 탈퇴 등 홈 네트워크에 변화가 발생하는 경우, 키분배 디바이스(120)는 홈 키를 갱신한다. 키분배 디바이스(120)는 홈 키를 갱신하고 각각의 홈 디바이스로부터 수신한 비밀키로 암호화 연산을 수행한다. 이와 같이, 키분배 디바이스(120)는 비밀키를 이용하여 암호화한 홈 키를 각각의 홈 디바이스로 전송하여 분배한다.
도 2는 본 발명에 따른 홈 디바이스의 인증에 필요한 홈 키를 생성하고 분배하는 흐름을 도시한 순서도이다.
먼저, 단계 210에서 키분배 디바이스는 홈 키를 생성한다.
홈 디바이스에 대응하는 각각의 비밀키를 저장한 키분배 디바이스는 홈 네트워크에서의 인증을 위한 홈 키를 생성한다. 홈 키는 키분배 디바이스 내에서 소정의 연산을 수행하여 산출하는 값으로 홈 네트워크의 홈 디바이스는 공통적으로 홈 키를 가진다. 키분배 디바이스의 홈 키 연산은 랜덤한 값이 되며, 이는 홈 키를 갱신하게 되는 경우에 갱신 전의 홈 키와 갱신 후의 홈 키가 중복되지 않고 어떤 개연성도 갖지 않게 하여 홈 네트워크의 안전성을 높인다.
단계 215에서 홈 디바이스는 키분배 디바이스에 홈 디바이스를 등록하고 홈 디바이스가 보유하고 있는 비밀키를 전송한다. 단계 S220에서, 키분배 디바이스는 등록한 홈 디바이스에 대하여 디바이스 등록 리스트를 작성하여 홈 디바이스에 대응하는 비밀키를 함께 저장한다.
다음 단계 S230에서, 생성한 홈 키를 홈 디바이스에 대응하는 비밀키를 이용 하여 암호화하고 암호화한 홈 키를 홈 디바이스에 전송한다. 각각의 홈 디바이스가 보유한 비밀키가 서로 상이하기 때문에 암호화한 홈 키도 홈 디바이스에 따라 달라진다.
홈 키를 생성한 키분배 디바이스는 디바이스 등록 리스트를 참조, 각각의 홈 디바이스에 대응하는 비밀키로 홈 키를 암호화한다. 각각의 홈 디바이스가 가지는 비밀키는 서로 상이하기 때문에 암호화한 홈 키 값은 홈 디바이스에 따라 모두 달라진다. 키분배 디바이스는 암호화한 홈 키를 각각의 홈 디바이스로 전송한다. 각각의 홈 디바이스는 홈 디바이스의 갯수만큼 암호화된 홈 키 중 오직 하나의 값만을 복호화할 수 있고 복호화한 홈 키를 저장한다.
다음 표 2는 도 1의 키분배 디바이스에서 생성한 홈 키를 ‘Home_Key’라고 하였을 경우, 각각의 홈 디바이스에서 수신한 비밀키로 홈 키를 암호화하여 나타낸 테이블이다.
홈 디바이스 아이디 | 비밀키 | 암호화된 홈 키 |
D1 | Se_D1 | E[Home_Key_Se_D1] |
D2 | Se_D2 | E[Home_Key_Se_D2] |
D3 | Se_D3 | E[Home_Key_Se_D3] |
D4 | Se_D4 | E[Home_Key_Se_D4] |
D5 | Se_D5 | E[Home_Key_Se_D5] |
암호화된 홈 키는 홈 디바이스가 가지고 있는 비밀키를 이용하여 복호화가 가능하고 홈 디바이스는 암호화된 홈 키를 복호화하여 저장한다. 각각의 홈 디바이스가 각기 다른 비밀키를 가지므로 암호화된 홈 키도 모두 다르다.
표 2와 같이 암호화된 홈 키는 홈 디바이스의 비밀키를 이용하여 복호화할 수 있다. D1(111)은 ‘Se_D1’의 값을 가지는 비밀키를 이용하여 키분배 디바이스로부터 수신한 암호화된 홈 키인 ‘E[Home_Key_Se_D1]’을 복호화하여 본래의 홈 키 값인 ‘Home_Key’를 산출하고 저장한다. D1(111) 외에 D2(112), D3(113), D4(114) 및 D5(115)도 동일한 방식으로 홈 키를 산출한다. 홈 디바이스는 암호화된 각기 다른 홈 키를 수신하지만, 비밀키를 이용한 복호화 과정을 거쳐 동일한 홈 키를 저장한다.
홈 디바이스가 키분배 디바이스로부터 암호화된 홈 키를 수신하는 것은 키분배 디바이스에 각각의 비밀키를 전달할 때와 마찬가지로 영역 제한 채널에서 이루어진다. 영역 제한 채널은 극히 제한된 면적을 가지는 통신 채널을 말하는 것으로, 넓은 구역을 필요로 하지 않는 홈 네트워크에 적합하다. 영역 제한 채널에서 이루어지는 통신은 제한 구역 내에서는 자유롭지만, 통신 가능 지역을 벗어나면 통신이 불가능하여 알아내기 어렵다. 또한, 사용자의 가시권에서 이루어지기 때문에 통신의 내용을 사용자가 직접 확인함으로써 안전성을 높일 수 있다.
이미 통신채널을 형성한 뒤의 응용계층을 위한 인증 절차에 홈 키를 생성하여 응용계층에 키 분배 프로토콜이 정의되어 있는 경우, 홈 디바이스 각각의 비밀키로 암호화한 값들을 네트워크 채널을 이용하여 전송할 수 있다.
이로써, 분배키 디바이스 및 각각의 홈 디바이스는 동일한 홈 키를 공유하게 되고, 홈 네트워크에 등록된 홈 디바이스 간의 인증을 수행할 수 있게 된다. 홈 네트워크 내에서의 인증은 서버 등의 개입 없이 이루어진다. 홈 디바이스는 연결을 요청한 홈 디바이스가 홈 키를 보유하고 있는가 여부를 확인하고 홈 키를 가진 경 우, 연결을 요청한 홈 디바이스가 홈 네트워크에 등록되어 있는 믿을 만한 홈 디바이스임을 인증한다.
홈 디바이스 간의 인증은 시도-응답(Challenge Response) 상호 인증 방식으로 한다. 시도-응답 상호 인증 방식은 서버에서 보내온 어떤 특정한 수와 클라이언트의 정보를 해쉬한 값을 서버의 기대값과 비교하여 인증하는 방식이다. 클라이언트의 정보를 해쉬한 값을 서버의 기대값과 비교하였을 때, 일치하는 경우 클라이언트를 인증하고 일치하지 않는 경우 인증하지 않는 방식을 말한다.
홈 디바이스 간의 인증에서는, 클라이언트의 역할을 하는 홈 디바이스의 정보를 해쉬한 값과 서버의 역할을 하는 홈 디바이스의 기대값이 각각 일치하여 상호간에 홈 키를 가지고 있음을 확인하면 인증이 완료된다.
도 3은 본 발명에 따른 홈 디바이스가 탈퇴하는 경우 홈 네트워크에서 홈 디바이스를 인증하는 흐름을 도시한 순서도이다.
먼저, 단계 S310에서 각각의 홈 디바이스에 해당하는 비밀키를 기록한 디바이스 등록 리스트를 유지한다. 디바이스 등록 리스트는 홈 네트워크에 등록된 홈 디바이스의 아이디 등의 홈 디바이스 정보 및 홈 디바이스에 해당하는 비밀키를 기록한 리스트이다. 각각의 홈 디바이스는 하나 이상의 비밀키를 가지며 키분배 디바이스는 홈 디바이스의 비밀키를 함께 기록함으로써 홈 디바이스와 비밀키를 공유한다.
단계 S315에서 탈퇴 디바이스가 발생한다. 탈퇴 디바이스라 함은, 홈 네트워크에 등록되어 있던 홈 디바이스 중 홈 네트워크의 영향권을 벗어나게 되는 홈 디 바이스를 말하는 것으로 사용자는 탈퇴 디바이스가 생기는 경우, 이를 반드시 홈 네트워크에 알려 탈퇴 디바이스가 홈 네트워크의 허가 없이 유입되어 위험을 가하는 일이 없도록 한다.
다음 단계 S320에서 키분배 디바이스는 탈퇴 디바이스가 발생하였음을 통보받고 디바이스 등록 리스트에서 탈퇴 디바이스의 비밀키를 삭제한다. 탈퇴 디바이스는 키분배 디바이스가 홈 키를 생성 또는 갱신하여 홈 디바이스에 분배할 때 분배 대상에 해당하지 않으므로 탈퇴 디바이스의 아이디 및 비밀키를 디바이스 등록 리스트에서 삭제한다. 이로써 탈퇴 디바이스는 생성 또는 갱신한 홈 키를 알아낼 수 없고 키분배 디바이스는 탈퇴 디바이스의 비밀키를 이용한 연산을 수행하지 않으므로 불필요한 연산을 막는다.
도 1에서 D3(113)가 탈퇴 디바이스가 되는 경우, 디바이스 등록 리스트인 표 1은 아래 표 3과 같이 갱신된다.
홈 디바이스 아이디 | 비밀키 |
D1 | Se_D1 |
D2 | Se_D2 |
D4 | Se_D4 |
D5 | Se_D5 |
표 1에서 D3(113)에 대한 홈 디바이스 아이디 및 비밀키가 삭제되었다. 탈퇴 디바이스 외에 홈 네트워크에 등록되어 있는 홈 디바이스의 아이디 및 비밀키는 별도의 수정을 필요로 하지 않는다.
다음 단계 S330에서 키분배 디바이스는 홈 키를 갱신한다. 홈 키는 키분배 디바이스 내의 연산에 의하여 랜덤하게 산출되며 갱신되기 전의 값과 일치하지 않 는다.
도 1에서 ‘Home_Key’를 갱신하기 전의 홈 키라고 하면 갱신한 홈 키는 ‘Home_Key’와는 다른 값이 되어야 한다. 갱신한 홈 키를 ‘Home_Key_f02’라고 가정한다.
단계 S340에서 키분배 디바이스는 갱신한 홈 키를 각 홈 디바이스의 비밀키를 이용하여 암호화하고 암호화한 홈 키를 각 홈 디바이스로 전송한다.
도 1에서 갱신한 홈 키가 ‘Home_Key_f02’이므로 각 홈 디바이스의 비밀키를 이용하여 암호화한 홈 키도 홈 키를 갱신하기 전의 값과 달라진다. 표 3은 아래 표 4로 변경하여 나타낼 수 있다.
홈 디바이스 아이디 | 비밀키 | 암호화한 홈 키 |
D1 | Se_D1 | E[Home_Key_f02_SeD1] |
D2 | Se_D2 | E[Home_Key_f02_SeD2] |
D4 | Se_D4 | E[Home_Key_f02_SeD4] |
D5 | Se_D5 | E[Home_Key_f02_SeD5] |
다음 단계 S345에서 각각의 홈 디바이스는 키분배 디바이스로부터 암호화한 홈 키를 수신하고 각각의 비밀키로 암호화된 홈 키를 복호화하여 저장한다.
도 1에서 D1(111)를 예로 들어보면, D1(111)은 키분배 디바이스로부터 ‘E[Home_Key_f02_SeD1]’의 갱신한 홈 키를 암호화한 값을 수신한다. D1(111)은 비밀키 ‘Se_D1’을 이용하여 수신한 값을 복호화한다. 복호화 결과, D1(111)은 키분배 디바이스가 갱신한 홈 키인 ‘Home_Key_f02’를 산출하고 이를 저장한다.
탈퇴 홈 디바이스를 제외한 홈 네트워크의 홈 디바이스는 D1(111)과 동일한 과정을 거쳐 갱신한 홈 키를 각각의 홈 디바이스에 저장하고 홈 디바이스 간의 인 증을 수행한다. 도 1에서 D1(111)을 제외한 홈 디바이스인 D2(112), D4(114) 및 D5(115)도 키분배 디바이스로부터 각각의 비밀키로 암호화한 값을 수신하지만, 비밀키를 이용하여 이를 복호화하면 홈 키인 ‘Home_Key_f02’이 산출되고 각각의 홈 디바이스가 저장하는 값은 모두 홈 키가 된다.
홈 디바이스 간의 인증은 시도-응답 상호 인증 방식으로 이루어지며 각각의 홈 디바이스가 갱신한 홈 키를 보유하고 있음을 확인해야 인증이 이루어진다.
홈 디바이스가 가입을 하는 경우에도, 키분배 디바이스는 홈 네트워크에 새로이 가입하는 디바이스인 가입 디바이스로부터 비밀키를 수신한다. 가입 디바이스의 비밀키는 홈 디바이스의 비밀키와 마찬가지로 영역 제한 채널을 통하여 전송된다. 키분배 디바이스는 홈 키를 가입 디바이스에 비밀키로 암호화하여 전송한다. 가입 디바이스는 암호화된 홈 키를 수신하고 비밀키로 복호화하여 저장한다. 이 때, 키분배 디바이스가 가입 디바이스로부터 비밀키를 수신하고 암호화된 홈 키를 전송하는 것은 영역 제한 채널을 포함한 네트워크 통신 채널에서 이루어진다. 이로써 가입 디바이스는 홈 키를 가지게 되며 홈 디바이스 간의 인증을 실시할 수 있게 된다.
도 4는 본 발명에 따른 홈 네트워크에서 게스트 디바이스를 인증하는 흐름을 도시한 순서도이다.
게스트 디바이스는 홈 네트워크에 등록되어 있지 않은 홈 디바이스로, 홈 네트워크의 사용자가 일시적으로 홈 네트워크에 유입시키는 홈 디바이스를 말한다. 사용자는 필요에 따라 홈 네트워크에 게스트 디바이스의 유입을 허용할 수 있다. 또한, 사용자는 게스트 디바이스의 원래 사용자인 홈 네트워크에 등록되어 있지 않은 방문자에 의한 사용을 허가할 수 있다.
단계 S410에서, 키분배 디바이스는 게스트 디바이스로 게스트 인증 정보 및 키분배 디바이스 정보를 전송한다.
게스트 인증 정보는 게스트 디바이스가 홈 네트워크에서 인증을 실시하기 위한 정보로 게스트 아이디, 유효 기간 및 게스트 키로 구성된다. 게스트 아이디는 게스트 디바이스가 홈 네트워크에서 사용하게 되는 아이디로 게스트 디바이스에 대한 정보를 포함한다. 유효 기간은 게스트 인증 정보의 유효 기간으로 홈 네트워크에서의 게스트 디바이스 인증은 유효 기간 내에서만 이루어진다. 게스트 키는 키분배 디바이스가 홈 키를 기초로 하여 생성한 키 값으로 게스트 디바이스는 홈 네트워크의 홈 디바이스 간 인증에서 홈 키 대신 게스트 키를 사용하여 시도-응답 인증을 실시한다. 키분배 디바이스에서 게스트 디바이스가 홈 키를 알아낼 수 없게 게스트 키를 산출하지만, 홈 키를 기초로 하여 산출한 값이기 때문에 게스트 디바이스와 인증을 실시하는 홈 디바이스는 홈 디바이스 내의 연산으로 게스트 디바이스가 지니고 있는 게스트 키를 자체 연산을 통하여 계산해 낼 수 있다.
키분배 디바이스 정보는 게스트 인증 정보를 생성한 키분배 디바이스에 대한 정보로 게스트 디바이스가 가지고 있는 게스트 인증 정보의 출처를 명확하게 하는 역할을 한다. 또한, 키분배 디바이스 정보는 네트워크 정보를 포함할 수 있다. 네트워크 정보라 함은 게스트 디바이스가 사용하는 네트워크의 정보로, WLAN에서 초기 필요한 키를 공유하는 방법으로 사용하고자 할 경우, SSID(Service Set IDentifier)의 정보가 될 수 있다.
단계 S415에서 게스트 디바이스는 키분배 디바이스로부터 게스트 인증 정보를 수신하고 이를 통해 홈 네트워크에 접속, 홈 디바이스와의 인증을 실시한다.
게스트 디바이스는 키분배 디바이스로부터 게스트 아이디, 유효 기간 및 게스트 키를 포함한 게스트 인증 정보 및 키분배 디바이스 정보를 수신한다. 게스트 디바이스는 홈 네트워크에 등록된 홈 디바이스 중 적어도 하나와 접속을 시도하고 접속한 홈 디바이스로 게스트 키를 제외한 게스트 인증 정보 및 키분배 디바이스 정보를 전송하여 인증을 실시한다. 홈 디바이스는 게스트 키를 제외한 게스트 인증 정보 및 키분배 디바이스 정보를 수신하여 먼저 유효 기간을 확인한다. 유효 기간이 남아있는 경우, 소정의 연산을 통하여 키분배 디바이스가 게스트 키를 생성한 것과 동일한 방법으로 게스트 키를 산출한다.
홈 디바이스와 게스트 디바이스 간의 인증은 게스트 키를 이용한 시도-응답 상호 인증 방식으로 한다. 이는 홈 디바이스 간에 씌여진 인증과 동일한 방식으로, 서버의 역할을 하는 디바이스로부터 수신한 어떤 특정한 값과 클라이언트의 역할을 하는 디바이스의 정보를 해쉬한 값을 서버의 역할을 하는 디바이스의 기대값과 비교하여 인증한다. 두 값이 일치하는 경우 클라이언트 역할을 하는 디바이스를 인증하고, 일치하지 않는 경우 인증하지 않는다.
게스트 디바이스의 인증이 완료되면 홈 디바이스는 게스트 디바이스의 접근을 허락한다.
단계 S416에서 게스트 디바이스는 홈 네트워크와의 연결을 해제하고 단계 S420에서 키분배 디바이스는 연결이 해제된 게스트 디바이스가 보유한 게스트 인증 정보의 유효 기간이 남았는지 조사한다.
게스트 디바이스는 홈 네트워크에서 수행하고자 하는 일이 끝나면 홈 네트워크와의 연결을 해제한다. 키분배 디바이사용자로부터 게스트 디바이스의 연결 해제를 수신하고 게스트 디바이스가 보유하고 있는 게스트 인증 정보의 유효 기간을 조사한다. 게스트 인증 정보의 유효 기간은 게스트 디바이스가 홈 네트워크에서 권한을 행사할 수 있는 기간을 표시한 것으로, 유효 기간이 경과한 게스트 인증 정보는 홈 네트워크에서 어떤 권한도 갖지 못한다. 게스트 인증 정보가 홈 네트워크에 더 이상 효력을 발생시킬 수 없으므로 키분배 디바이스는 별 다른 조치를 취하지 않아도 된다.
유효 기간이 경과하지 않은 게스트 인증 정보는 게스트 디바이스가 홈 네트워크와의 연결을 해제하여도 홈 네트워크에 대한 권한을 가지고 있게 된다. 홈 네트워크와의 연결이 해제된 상태의 게스트 디바이스가 홈 네트워크에 대한 권한을 가지는 것은 홈 네트워크의 안전에 위험 요소가 될 수 있다. 유효 기간이 지나지 않은 게스트 인증 정보를 가진 게스트 디바이스는 추후 홈 네트워크에 다시 접속하여 정보를 유출하고 홈 네트워크에 권한을 행사함으로써 홈 네트워크의 안전성을 위협할 수 있다. 또한, 유효 기간이 지나지 않은 게스트 인증 정보를 보유한 불법 침입자의 유입을 막을 수 없다. 이와 같은 이유로 키분배 디바이스는 홈 키를 새로 생성하여 각각의 홈 디바이스의 비밀키로 암호화하여 분배한다.
단계 S430에서 게스트 인증 정보의 유효 기간이 남았음을 알게 된 키분배 디 바이스는 홈 키를 갱신한다.
게스트 인증 정보의 유효 기간 조사 결과 홈 네트워크와의 연결이 해제된 게스트 디바이스의 유효 기간이 아직 남아있음을 알게 된 키분배 디바이스는 홈 키를 갱신하여 게스트 디바이스가 홈 네트워크에 접근할 수 없도록 한다. 홈 키를 갱신하는 것은 홈 디바이스의 탈퇴 시 수행하는 홈 키 갱신과 동일하다.
단계 S440에서 키분배 디바이스는 각각의 홈 디바이스의 비밀키를 이용하여 갱신한 홈 키를 암호화하고 암호화한 홈 키를 홈 디바이스로 전송한다.
키분배 디바이스는 디바이스 등록 리스트를 참조하여 홈 디바이스 각각의 비밀키를 이용하여 갱신한 홈 키를 암호화하고 암호화한 홈 키를 다시 홈 디바이스로 전송한다. 홈 네트워크에 등록된 홈 디바이스는 키분배 디바이스로부터 갱신한 홈 키를 수신하고 갱신하기 전의 홈 키는 폐기시킨다. 이로써, 유효 기간이 경과하지 않은 게스트 인증 정보를 보유한 게스트 디바이스가 홈 네트워크에 접속을 요청하여도 홈 키가 달라 게스트 디바이스는 인증이 되지 않고 홈 네트워크에서 어떠한 권한도 행사할 수 없다.
다음 도 5는 본 발명에 따른 홈 네트워크에서 게스트 디바이스를 인증하는 일례를 도시한 도면이다.
먼저, 홈 네트워크의 키분배 디바이스는 PDA(510)이고 게스트 디바이스는 노트북(530), 게스트 디바이스가 접속하고자 하는 홈 디바이스는 TV(520)이고 PDA(510)가 TV(520)에 기전송한 홈 키는 ‘HomeSe_Fr02’(511,521)이다.
사용자는 PDA(510)로 노트북(530)이 홈 네트워크에서 인증을 수행할 수 있도 록 하는 게스트 인증 정보를 발급하여 줄 것을 요청한다. PDA(510)는 사용자로부터 노트북(530)이 홈 네트워크에서 쓸 게스트 아이디 및 유효 시간을 입력받는다. 혹은, PDA(510)에 내장된 자체 소프트웨어로 처리할 수 있다.
사용자가 노트북(530)의 게스트 아이디로 ‘G1’을 입력하고 노트북(530)의 유효 기간으로 ‘PERMANENT’을 입력했다. 홈 디바이스가 시간 동기화가 제공되지 않는 환경인 경우, 유효 기간에 대한 검증이 어려우므로 시간 제한이 없는 ‘PERMANENT’라는 값을 사용하기로 한다. PDA(510)는 사용자로부터 ‘G1’의 게스트 아이디와 ‘PERMANENT’의 유효 기간을 수신하고 게스트 인증키를 생성한다. PDA(510)가 홈 키인 ‘HomeSe_Fr02’(511)를 참조하여 연산한 결과 게스트 인증키의 값이 ‘GuestSe_Fr02G1’(531)의 값으로 나왔다. PDA(310)는 노트북(530)으로 ‘G1’의 게스트 아이디, ‘PERMANENT’의 유효 기간, ‘GuestSe_Fr02G1’(531)의 게스트 인증키를 포함한 게스트 인증 정보를 전송한다. 또한, 키분배 디바이스 정보를‘RemoteController_PS2’라고 하면 PDA(510)는 ‘RemoteController_PS2’의 키분배 디바이스 정보를 게스트 인증 정보와 함께 전송한다.
PDA(510)으로부터 게스트 인증 정보 및 키분배 디바이스 정보를 수신한 노트북(530)은 홈 네트워크에 접속한다. 노트북(530)가 홈 네트워크에 등록된 홈 디바이스 중 하나인 TV(521)에 접속을 하기 위해 게스트 아이디인 ‘G1’을 TV(521)로 전송한다. 게스트 아이디인 ‘G1’을 수신한 TV(521)는 접속을 요청한 노트북(530)이 게스트 디바이스임을 알게 되고 그에 따른 게스트 키를 생성하고 인증을 실시한다. 노트북(530)은 TV(521)로 ‘G1’의 게스트 아이디, ‘PERMANENT’의 유효 시간 을 포함한 게스트 인증 정보의 유효 기간을 조사하여 게스트 인증 정보가 유효한지 조사하고 유효한 경우에만 게스트 인증키를 생성한다. 노트북(530)은 PDA(510)로부터 수신한 ‘GuestSe_Fr02G1’(531)의 값이, TV(521)가 소정의 연산을 통하여 산출한 값과 동일하여야 한다. 인증은 시도-응답 인증 방식에 의하여 실시된다. 인증이 완료된 노트북(530)은 TV(520)에 접속할 수 있고 ‘PERMANENT’의 유효 기간, 즉 유효 기간의 제한 없이 사용자가 정한 범위 내의 권한을 행사할 수 있다.
2시간 경과 후, 노트북(530)을 사용하고 있던 홈의 방문자는 노트북(530)의 전원을 끄고 홈 네트워크와의 접속을 단절했다. 그리고 홈의 방문자는 사용자가 있는 홈을 떠났다. 방문자와 홈 네트워크에 유입되어 있던 게스트 디바이스가 홈 네트워크를 벗어난 것이다.
PDA(510)는 사용자로부터 노트북(530)의 접속 단절 사실을 수신하고 노트북(530)의 게스트 인증 정보에 대한 유효 기간이 남았는지 여부를 조사한다. 홈 네트워크 접속 시간이 2시간인 것에 비해 노트북(530)의 유효 기간이 ‘PERMANENT’이므로 PDA(510)는 게스트 인증 정보의 유효 기간이 경과하지 않았음을 알게 된다. 이에 따라 PDA(510)는 ‘HomeSe_Fr02’(511)이던 홈 키를 소정의 연산을 통하여 갱신한다. 갱신한 홈 키의 값이 ‘HomeSe_Fr03’(512)라고 하면 PDA(510)는 ‘HomeSe_Fr03’(512)을 홈 네트워크 각각의 홈 디바이스로부터 수신한 비밀키를 이용하여 암호화하고 암호화한 홈 키를 각각의 홈 디바이스로 전송한다. TV(520)도 PDA(510)로부터 갱신한 홈 키를 수신한다. PDA(510)는 TV(520)에서 수신한 비밀키로 ‘HomeSe_Fr03’(512)를 암호화하여 TV(520)로 전송한다. TV(520)는 암호화한 홈 키를 수신하여 보유하고 있는 비밀키를 이용, 암호화된 홈 키를 복호화하여 ‘HomeSe_Fr03’(522)를 산출하고 이를 저장한다.
도 6은 본 발명에 따른 키분배 디바이스의 일례를 도시한 도면이다.
키분배 디바이스(600)는 데이터베이스 모듈(610), 연산 모듈(620) 및 통신 모듈(630)으로 구성된다.
데이터베이스 모듈(610)은 디바이스 등록 리스트를 작성하여 저장한다. 디바이스 등록 리스트에는 홈 네트워크에 등록된 홈 디바이스의 아이디 및 각 아이디에 대응하는 비밀키가 함께 기록된다.
연산 모듈(620)는 키분배 디바이스(600) 내에서 일어나는 모든 연산을 수행한다. 연산 모듈(620)은 홈 네트워크에서 일어나는 홈 디바이스의 가입 및 탈퇴 시 소정의 연산을 수행하여 홈 키를 생성 또는 갱신한다. 또한, 데이터베이스 모듈(610)에 저장된 디바이스 등록 리스트를 참조하여 각 홈 디바이스의 비밀키를 이용하여 홈 키를 암호화하는 연산을 수행한다. 또한, 게스트 디바이스가 홈 네트워크에 접속하는 경우 연산 모듈(620)은 홈 키를 기초로 한 게스트 인증키를 연산을 통해 산출한다.
통신 모듈(630)은 키분배 디바이스(600)에서 일어나는 모든 통신 활동을 수행하는 모듈이다. 통신 모듈(630)은 홈 네트워크에 등록된 홈 디바이스의 아이디 및 비밀키를 수신하여 데이터베이스 모듈(610)이 디바이스 등록 리스트에 이를 기록할 수 있게 하고 홈 디바이스의 가입 또는 탈퇴 시에 사용자로부터 이를 수신하여 연산 모듈(620)에 홈 키를 생성 또는 갱신할 수 있도록 한다. 생성 또는 갱신된 홈 키는 연산 모듈(620)을 통하여 홈 네트워크에 등록된 홈 디바이스에 전송한다.
또한, 통신 모듈(630)은 사용자로부터 게스트 디바이스의 홈 네트워크 접속 요청을 수신하고 사용자에게 게스트 디바이스의 게스트 아이디 및 유효 기간을 전송하여 줄 것을 요청하고 이를 수신한다. 연산 모듈(620)이 게스트 디바이스의 홈 네트워크 인증에 필요한 게스트 인증키를 산출하면 통신 모듈(630)은 게스트 아이디, 유효 시간 및 게스트 인증키를 포함한 게스트 인증 정보를 게스트 디바이스로 전송한다. 게스트 디바이스가 홈 네트워크에서 벗어난 경우, 사용자로부터 게스트 디바이스의 탈퇴 사실을 수신하고 연산 모듈(620)에 유효 기간이 경과하지 않은 게스트 디바이스의 탈퇴를 알려 홈 키를 갱신할 수 있게 한다.
이상 설명한 바와 같이, 본 발명에 따르면 오버헤드를 발생시키는 홈 서버의 개입 없이 홈 디바이스를 인증하고 게스트 디바이스 및 탈퇴 디바이스의 처리 방법 및 장치를 제공한다.
홈 네트워크에 접속하는 홈 디바이스의 가입 및 탈퇴가 발생하는 경우, 사용자는 키분배 디바이스를 이용하여 홈 디바이스의 인증을 처리하기 때문에 사용자에게 편리한 인증 구조를 제시한다.
키분배 디바이스로부터 부여 받은 홈 키를 이용하여 인증을 하므로 복잡한 연산이 필요하지 않고 홈 서버를 사용하지 않고 홈 디바이스 간 홈 키를 사용하여 인증하므로 홈 서버의 오버헤드가 발생하지 않는다.
게스트 디바이스를 홈 네트워크에 편리하게 유입시킬 수 있고 게스트 인증 정보에 유효 기간을 정하여 줌으로써 게스트 디바이스가 유효 기간 외에 홈 네트워크에 불법적으로 유입되는 것을 막는다.
홈 디바이스의 가입, 탈퇴 및 인증 받은 게스트 디바이스가 홈 네트워크 외부로 빠져나갈 경우 홈 키를 갱신하여 홈 디바이스에 재분배함으로써 홈 네트워크에 등록되어 있는 홈 디바이스 위주로 인증을 실시하고 등록되어 있지 않는 홈 디바이스를 배제하여 홈 네트워크의 안전성을 유지한다.
또한, 이상에서는 본 발명의 바람직한 실시예에 한정되지 아니하며, 청구범위에서는 청구하는본 발명의 요지를 벗어남이 없이 당해 발명이 속하는 기술분야에서 통상의 지식을 가진 자에 의해 다양한 변형실시가 가능한 것은 물론이고, 이러한 변형 실시들은 본 발명의 기술적 사상이나 전망으로부터 개별적으로 이해되어져서는 안 될 것이다.
Claims (13)
- 홈 네트워크에서 홈 디바이스를 인증하는 방법에 있어서,홈 디바이스의 인증을 위한 홈 키를 생성하는 단계;홈 디바이스로부터 상기 홈 디바이스에 대응하는 비밀키를 수신하는 단계;상기 수신한 비밀키로 상기 홈 키를 암호화하는 단계; 및상기 홈 디바이스로 상기 암호화한 홈 키를 전송하는 단계;를 포함하고상기 홈 디바이스는 상기 수신한 암호화된 홈 키를 상기 비밀키로 복호화하여 저장하는 것을 특징으로 하는 홈 디바이스 인증 방법.
- 제1항에 있어서,상기 홈 디바이스의 비밀키를 수신하는 것은 영역 제한 채널에서 이루어지는 것을 특징으로 하는 홈 디바이스 인증 방법.
- 홈 네트워크에서 가입 디바이스를 포함한 적어도 두 개의 홈 디바이스를 인증하는 방법에 있어서,가입이 요청된 가입 디바이스의 비밀키를 수신하는 단계;상기 수신한 비밀키를 이용하여 홈 디바이스의 인증을 위한 홈 키를 암호화하는 단계; 및상기 가입 디바이스로 상기 암호화한 홈 키를 전송하는 단계;를 포함하고,상기 가입 디바이스는 상기 수신한 암호화된 홈 키를 상기 비밀키로 복호화하여 저장하는 것을 특징으로 하는 홈 디바이스 인증 방법.
- 제3항에 있어서,상기 가입 디바이스의 비밀키를 수신하고 상기 암호화된 홈 키를 상기 가입 디바이스에 전송하는 것은 영역 제한 채널에서 이루어지는 것을 특징으로 하는 홈 디바이스 인증 방법.
- 홈 네트워크에서 홈 디바이스를 인증하는 방법에 있어서,홈 디바이스의 인증을 위한 홈 키를 갱신하는 단계;상기 홈 디바이스의 비밀키를 이용하여 상기 갱신한 홈 키를 암호화하는 단계; 및상기 암호화된 홈 키를 상기 홈 디바이스에 전송하는 단계;를 포함하고상기 홈 디바이스는 상기 수신한 암호화된 홈 키를 상기 비밀키로 복호화하여 저장하는 것을 특징으로 하는 홈 디바이스 인증 방법.
- 제5항에 있어서,상기 암호화된 홈 키를 상기 홈 디바이스에 전송하는 것은 영역 제한 채널을 포함하는 네트워크 채널에서 이루어지는 것을 특징으로 하는 홈 디바이스 인증 방법.
- 홈 네트워크에서 탈퇴 디바이스를 포함한 적어도 두 개의 홈 디바이스를 인증하는 방법에 있어서,탈퇴가 요청된 탈퇴 디바이스의 비밀키를 포함한 비밀키 정보를 삭제하는 단계;상기 탈퇴 디바이스를 제외한 상기 홈 디바이스의 인증을 위한 홈 키를 갱신하는 단계;상기 홈 디바이스의 비밀키를 이용하여 상기 홈 키를 암호화하는 단계; 및상기 암호화된 홈 키를 상기 홈 디바이스에 전송하는 단계;를 포함하고상기 홈 디바이스는 수신한 상기 암호화된 홈 키를 비밀키로 복호화하여 저장하는 것을 특징으로 하는 홈 디바이스 인증 방법.
- 제7항에 있어서,상기 탈퇴 디바이스의 비밀키를 삭제하는 상기 단계는,각각의 홈 디바이스에 대응하는 비밀키를 기록한 디바이스 등록 리스트를 유지하는 단계; 및상기 디바이스 등록 리스트에서 상기 탈퇴 디바이스의 비밀키를 포함하는 비밀키 정보를 삭제하는 단계;를 포함하는 것을 특징으로 하는 홈 디바이스 인증 방법.
- 게스트 디바이스 인증홈 네트워크에서 홈 디바이스를 인증하는 방법에 있어서,게스트 디바이스 정보를 수신하고, 기 전송한 홈 키에 대응하는 게스트 키를 포함하는 게스트 인증 정보를 생성하여 전송하는 단계; 및상기 게스트 디바이스의 접속이 종료되면, 상기 게스트 디바이스를 제외한 홈 디바이스의 인증을 위한 홈 키를 갱신하는 단계;를 포함하는 것을 특징으로 하는 홈 디바이스 인증 방법.
- 제9항에 있어서,상기 게스트 인증 정보는 홈 키를 기초로 연산한 게스트 키 및 유효 시간 정보를 포함하고상기 유효 시간 정보는 상기 게스트 키가 홈 네트워크에서 효력 발생이 가능한 유효 시간에 대한 정보인 것을 특징으로 하는 홈 디바이스 인증 방법.
- 제9항에 있어서,상기 게스트 인증 정보의 전송은 영역 제한 채널에서 전송되는 것을 특징으로 하는 홈 디바이스 인증 방법.
- 제9항에 있어서,상기 게스트 디바이스의 접속이 종료되면, 상기 게스트 디바이스를 제외한 홈 디바이스의 인증을 위한 홈 키를 갱신하는 단계는,상기 게스트 디바이스의 유효 시간 정보를 참조하여 상기 게스트 디바이스의 유효 시간이 경과하였는지 여부를 조사하는 단계; 및상기 게스트 디바이스의 유효 시간이 경과하지 않은 경우, 상기 홈 디바이스의 인증을 위한 홈 키를 갱신하는 단계;를 포함하는 홈 디바이스 인증 방법.
- 홈 네트워크에서 홈 디바이스를 인증하는 장치에 있어서,홈 디바이스로부터 수신한 비밀키를 저장하고 유지하는 데이터베이스 모듈;상기 홈 디바이스를 인증하기 위한 홈 키를 생성하고 상기 데이터베이스 모 듈에 저장된 상기 홈 디바이스의 비밀키로 상기 홈 키를 암호화하는 연산 모듈; 및상기 홈 디바이스로부터 비밀키를 수신하고 상기 연산 모듈에서 생성된 암호화된 홈 키를 상기 홈 디바이스로 전송하는 통신 모듈;을 포함하는 것을 특징으로 하는 홈 디바이스 인증 장치.
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020050005508A KR100664312B1 (ko) | 2005-01-20 | 2005-01-20 | 홈 네트워크 환경에서 홈 디바이스 인증 방법 및 장치 |
US11/326,294 US20060159268A1 (en) | 2005-01-20 | 2006-01-06 | Method and system for device authentication in home network |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020050005508A KR100664312B1 (ko) | 2005-01-20 | 2005-01-20 | 홈 네트워크 환경에서 홈 디바이스 인증 방법 및 장치 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20060084717A true KR20060084717A (ko) | 2006-07-25 |
KR100664312B1 KR100664312B1 (ko) | 2007-01-04 |
Family
ID=36683909
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020050005508A KR100664312B1 (ko) | 2005-01-20 | 2005-01-20 | 홈 네트워크 환경에서 홈 디바이스 인증 방법 및 장치 |
Country Status (2)
Country | Link |
---|---|
US (1) | US20060159268A1 (ko) |
KR (1) | KR100664312B1 (ko) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20130048508A (ko) * | 2011-11-02 | 2013-05-10 | 에스케이플래닛 주식회사 | 단말기의 루트 키 생성 시스템 및 방법과 장치, 그리고 이를 지원하는 단말기 |
WO2020013639A1 (ko) * | 2018-07-13 | 2020-01-16 | 삼성전자 주식회사 | 소유권을 등록하는 전자 장치 및 방법 |
WO2020242107A1 (ko) * | 2019-05-29 | 2020-12-03 | (주)이더블유비엠 | 키 자동 갱신형 조인방법, 장치 및 프로그램 |
Families Citing this family (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080133726A1 (en) * | 2006-12-01 | 2008-06-05 | Microsoft Corporation | Network administration with guest access |
US8515996B2 (en) | 2008-05-19 | 2013-08-20 | Emulex Design & Manufacturing Corporation | Secure configuration of authentication servers |
RU2536342C2 (ru) * | 2009-02-10 | 2014-12-20 | Конинклейке Филипс Электроникс Н.В. | Система и способ для управления доступом к сетевой системе управления |
EP2605566B1 (en) * | 2011-12-12 | 2019-06-12 | Sony Corporation | System for transmitting a data signal in a network, method, mobile transmitting device and network device |
US9553798B2 (en) | 2013-04-23 | 2017-01-24 | Telefonaktiebolaget L M Ericsson (Publ) | Method and system of updating conversation allocation in link aggregation |
US9497132B2 (en) | 2013-04-23 | 2016-11-15 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and system of implementing conversation-sensitive collection for a link aggregation group |
US9660861B2 (en) | 2013-04-23 | 2017-05-23 | Telefonaktiebolaget L M Ericsson (Publ) | Method and system for synchronizing with neighbor in a distributed resilient network interconnect (DRNI) link aggregation group |
US9654418B2 (en) | 2013-11-05 | 2017-05-16 | Telefonaktiebolaget L M Ericsson (Publ) | Method and system of supporting operator commands in link aggregation group |
US9813290B2 (en) | 2014-08-29 | 2017-11-07 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and system for supporting distributed relay control protocol (DRCP) operations upon misconfiguration |
US9503969B1 (en) | 2015-08-25 | 2016-11-22 | Afero, Inc. | Apparatus and method for a dynamic scan interval for a wireless device |
US9843929B2 (en) * | 2015-08-21 | 2017-12-12 | Afero, Inc. | Apparatus and method for sharing WiFi security data in an internet of things (IoT) system |
US10091242B2 (en) | 2015-12-14 | 2018-10-02 | Afero, Inc. | System and method for establishing a secondary communication channel to control an internet of things (IOT) device |
US10447784B2 (en) | 2015-12-14 | 2019-10-15 | Afero, Inc. | Apparatus and method for modifying packet interval timing to identify a data transfer condition |
US10805344B2 (en) | 2015-12-14 | 2020-10-13 | Afero, Inc. | Apparatus and method for obscuring wireless communication patterns |
CN107104943A (zh) * | 2017-03-08 | 2017-08-29 | 芜湖美智空调设备有限公司 | 物联网用户管理方法、装置及空调器 |
CN106899598B (zh) * | 2017-03-08 | 2020-08-14 | 芜湖美智空调设备有限公司 | 物联网用户管理方法、装置及空调器 |
KR102661628B1 (ko) | 2018-09-13 | 2024-05-02 | 삼성전자주식회사 | IoT 기기 제어 서비스를 제공하는 전자 장치 및 그 제어 방법 |
US11356438B2 (en) * | 2019-11-05 | 2022-06-07 | Microsoft Technology Licensing, Llc | Access management system with a secret isolation manager |
CN115567565A (zh) * | 2021-06-30 | 2023-01-03 | 华为技术有限公司 | 设备控制方法及装置 |
DE102021211584A1 (de) * | 2021-10-14 | 2023-04-20 | Robert Bosch Gesellschaft mit beschränkter Haftung | Verfahren und Vorrichtung zum Authentifizieren eines Kraftfahrzeuges an einer Wasserstofftanksäule |
Family Cites Families (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6064297A (en) * | 1997-06-12 | 2000-05-16 | Microsoft Corporation | Message authentication and key synchronization in home control systems |
JP2003101533A (ja) * | 2001-09-25 | 2003-04-04 | Toshiba Corp | 機器認証管理システム及び機器認証管理方法 |
JP2004007567A (ja) * | 2002-04-17 | 2004-01-08 | Toshiba Corp | 通信装置、通信方法及び通信プログラム |
US7640300B2 (en) * | 2002-06-10 | 2009-12-29 | Microsoft Corporation | Presence and notification system for maintaining and communicating information |
CN1663174A (zh) * | 2002-06-17 | 2005-08-31 | 皇家飞利浦电子股份有限公司 | 用于在设备之间进行验证的方法 |
KR100555949B1 (ko) * | 2003-04-11 | 2006-03-03 | 삼성전자주식회사 | 홈 디바이스의 인증시스템 및 그의 인증방법 |
JP2004355562A (ja) * | 2003-05-30 | 2004-12-16 | Kddi Corp | 機器認証システム |
GB0314971D0 (en) | 2003-06-27 | 2003-07-30 | Ericsson Telefon Ab L M | Method for distributing passwords |
US7643636B2 (en) * | 2003-09-03 | 2010-01-05 | Motorola, Inc. | Managing multiple cryptographic periods in a single cryptographic group |
KR100610317B1 (ko) * | 2004-01-06 | 2006-08-09 | 삼성전자주식회사 | 홈 네트워크를 구성하는 기기들에 대한 인증 장치 및 방법 |
-
2005
- 2005-01-20 KR KR1020050005508A patent/KR100664312B1/ko not_active IP Right Cessation
-
2006
- 2006-01-06 US US11/326,294 patent/US20060159268A1/en not_active Abandoned
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20130048508A (ko) * | 2011-11-02 | 2013-05-10 | 에스케이플래닛 주식회사 | 단말기의 루트 키 생성 시스템 및 방법과 장치, 그리고 이를 지원하는 단말기 |
WO2020013639A1 (ko) * | 2018-07-13 | 2020-01-16 | 삼성전자 주식회사 | 소유권을 등록하는 전자 장치 및 방법 |
US11523363B2 (en) | 2018-07-13 | 2022-12-06 | Samsung Electronics Co., Ltd. | Electronic device and method for registering ownership |
WO2020242107A1 (ko) * | 2019-05-29 | 2020-12-03 | (주)이더블유비엠 | 키 자동 갱신형 조인방법, 장치 및 프로그램 |
Also Published As
Publication number | Publication date |
---|---|
US20060159268A1 (en) | 2006-07-20 |
KR100664312B1 (ko) | 2007-01-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR100664312B1 (ko) | 홈 네트워크 환경에서 홈 디바이스 인증 방법 및 장치 | |
KR100769674B1 (ko) | 홈 네트워크에서 디바이스의 공개키 인증 방법 및 시스템 | |
US9774595B2 (en) | Method of authentication by token | |
US8856891B2 (en) | Proxy authentication network | |
CN100592678C (zh) | 用于网络元件的密钥管理 | |
US7334255B2 (en) | System and method for controlling access to multiple public networks and for controlling access to multiple private networks | |
US7949703B2 (en) | Group admission system and server and client therefor | |
US8516566B2 (en) | Systems and methods for using external authentication service for Kerberos pre-authentication | |
KR101528855B1 (ko) | 홈 네트워크에서 인증 정보를 관리하는 방법 및 그 장치 | |
US20060206616A1 (en) | Decentralized secure network login | |
US8095960B2 (en) | Secure synchronization and sharing of secrets | |
KR101686167B1 (ko) | 사물 인터넷 기기의 인증서 배포 장치 및 방법 | |
JP2005236850A (ja) | データ通信装置および方法、並びにプログラム | |
US20070118886A1 (en) | Updating security data | |
US20120311331A1 (en) | Logon verification apparatus, system and method for performing logon verification | |
US7975293B2 (en) | Authentication system, authentication method and terminal device | |
WO2015178597A1 (ko) | Puf를 이용한 비밀키 업데이트 시스템 및 방법 | |
WO2001013201A2 (en) | Peer-to-peer network user authentication protocol | |
US20120155647A1 (en) | Cryptographic devices & methods | |
JP2004013560A (ja) | 認証システム、通信端末及びサーバ | |
US10956583B2 (en) | Multi-phase digital content protection | |
JP3914193B2 (ja) | 認証を得て暗号通信を行う方法、認証システムおよび方法 | |
JP4760122B2 (ja) | 仮想閉域網システム、共通鍵同期配信サーバ装置及びそれらに用いる共通鍵配信方法並びにそのプログラム | |
El-Ema et al. | A network authentication protocol based on Kerberos | |
Doh et al. | Authentication and Key Management Based on Kerberos for M2M Mobile Open IPTV Security |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20121115 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20131122 Year of fee payment: 8 |
|
FPAY | Annual fee payment |
Payment date: 20141119 Year of fee payment: 9 |
|
LAPS | Lapse due to unpaid annual fee |