KR20110055950A - 유비쿼터스 컴퓨팅 네트워크 환경에서의 비밀 키 전달/생성 방법 - Google Patents

유비쿼터스 컴퓨팅 네트워크 환경에서의 비밀 키 전달/생성 방법 Download PDF

Info

Publication number
KR20110055950A
KR20110055950A KR1020090112587A KR20090112587A KR20110055950A KR 20110055950 A KR20110055950 A KR 20110055950A KR 1020090112587 A KR1020090112587 A KR 1020090112587A KR 20090112587 A KR20090112587 A KR 20090112587A KR 20110055950 A KR20110055950 A KR 20110055950A
Authority
KR
South Korea
Prior art keywords
key
security server
secure
product information
ubiquitous computing
Prior art date
Application number
KR1020090112587A
Other languages
English (en)
Other versions
KR101085849B1 (ko
Inventor
이상범
이동근
Original Assignee
(주)아이티네이드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)아이티네이드 filed Critical (주)아이티네이드
Priority to KR1020090112587A priority Critical patent/KR101085849B1/ko
Publication of KR20110055950A publication Critical patent/KR20110055950A/ko
Application granted granted Critical
Publication of KR101085849B1 publication Critical patent/KR101085849B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 유비쿼터스 컴퓨팅 네트워크 환경에서의 비밀 키 전달/생성 방법에 관한 것으로서, 상기 유비쿼터스 컴퓨팅 네트워크 환경에서의 비밀 키 전달/생성 방법은, 유비쿼터스 컴퓨팅 네트워크 환경에서의 멤버등록과 통신을 위한 비밀 키 전달/생성 방법에 있어서, (a) 멤버의 보안 메모리에 디폴트 키와 공장 인증서 및 암호화된 디폴트 키와 제품정보를 저장하는 단계; (b) 유비쿼터스 컴퓨팅 네트워크 내에 신규 멤버가 감지되는 경우, 보안서버가 감지된 상기 멤버로 등록을 요청하는 단계; (c) 상기 멤버가 상기 보안서버로부터 전송되는 멤버등록요청을 수신하고, 암호화된 디폴트 키와 제품정보를 상기 보안서버로 전송하는 단계; (d) 상기 보안서버가 상기 멤버로부터 전송되는 암호화된 디폴트 키와 제품정보를 수신하고, 연결된 관리자 단말기로 수신된 암호화된 디폴트 키와 제품정보를 복호화하기 위한 복호화 키 정보를 요청하는 단계; (e) 상기 관리자 단말기가 관리자의 조작에 따라 입력되는 복호화 키 정보를 상기 보안서버로 전송하는 단계; (f) 상기 보안서버가 상기 복호화 키 정보를 수신하여 상기 (d) 단계에서 수신된 암호화된 디폴트 키와 제품정보를 복호화하는 단계; (g) 상기 보안서버가 상기 (f) 단계에서 복호화하여 획득한 디폴트 키와 제품정보를 기반으로 통신시 암복호화에 이용되는 마스터 키를 생성하고, 생성된 마스터 키와 보안 메모리 접근 패스워드를 암호화하여 상기 멤버로 전송하는 단계; 및 (h) 상기 멤버가 상기 보안서버로 암호화된 마스터 키와 패스워드를 수신하여 복호화한 후, 상기 패스워드를 이용하여 보안 메모리에 접근하 여 마스터 키를 저장하는 단계를 포함하는 것을 특징으로 하는 유비쿼터스 컴퓨팅 네트워크 환경에서의 비밀 키 전달/생성 방법이다.
본 발명에 따르면, 처음부터 보안서버와 멤버간에 있어서 안전한 채널(secure channel)을 가지고 안전한 통신을 할 수 있으며 효율적이고 빠르게 마스터키를 전달 할 수 있게 된다. 또한 키 전달 과정에서 발생하는 송수신 메시지의 양이 적고 멤버가 수행하는 연산 부담도 적으므로 멤버 시스템의 성능에 적은 영향을 미친다는 장점이 있다.
유비쿼터스, UCN, 멤버, 비밀 키, 대칭키, 암복호화

Description

유비쿼터스 컴퓨팅 네트워크 환경에서의 비밀 키 전달/생성 방법{A Transmitting and Generating Method of Secure Key In UCN}
본 발명은 그 동안 유비쿼터스 환경 구축을 위한 수 많은 서비스 기술들이 발달하는 과정에서 유비쿼터스의 작은 지역인 한 도메인 구간 안에서의 디바이스 장치(이하 ‘멤버)와 도메인의 보안서버(Secure Privacy Gateway)간의 안전한 통신을 위해 초기 등록 및 이후 통신을 위한 비밀키를 전달하는 방법에 관한 것이다.
이전까지 디바이스를 등록하는 과정을 살펴 볼때 단순히 디바이스를 한 도메인의 서버에 등록을 하면 서버와 디바이스간에 안전한 통신을 위한 비밀키를 안전한 채널을 통하지 않고 암호화 되지 않는 상태로 전송하거나 Diffie-Hellman 등의 알고리즘을 통한 계산방식으로 전송할 수 있었다. 그로인한 발생하는 비용이나 멤버가 안전한 멤버인가에 대한 인증 문제점을 가지고 있었다. 초기 등록시 안전한 채널(secure channel)을 갖고 있지 않은 상태에서 비밀키를 공유하고, 공유한 비밀키를 어떻게 저장할 것인지 또한 멤버를 삭제하거나 다른사용자로 이동할 경우의 재사용에 대한 문제에 대한 해결책이 필요했다. 이에 대한 다양한 방식의 메카니즘이 개발 되었으나 디바이스의 리소스에 적용하기에는 다소 무리가 있었다. 또한 Frank Stajano의 "The Resurrecting Duckling" 이슈를 통해 재사용의 방식을 제시하였으나 구체적인 설계는 없었다. 이러한 종래의 기술들은 디바이스와 보안서버간에 복잡한 연산을 통해 인증 암호화등을 수행하는 부담이 많기 때문에 효율성과 실용성에서 좋지 않은 문제점이 있었고 구체적인 방법 제시에 미흡한 면이 있었다.
본 발명의 목적은 상기와 같은 문제점을 해결하기 위해 제안된 것으로 디바이스의 리소스 자원에 따른 공개키 방식의 암호화 방식을 배제하고 종래의 기술과 같이 복잡한 연산을 통하지 않는 단지 대칭키 암호화 연산만을 이용하여 SPG와 멤버간에 키를 안전하게 전달하는 방법을 제공하며 재사용문제나 멤버의 안전한 메모리 구성에 초점을 맞추고 있다. 그 주된 목적은 상기한 종래 기술이 갖지 못하는 키 전달과 보관의 효율성과 실용성이다.
본 발명의 또 다른 목적인 멤버의 재사용가능성은 멤버가 재사용 가능하게 만들기 위해 우리는 멤버의 초기화 단계를 만들어 둔다. 또한 멤버가 제대로 된 멤버인지를 확인하는 신뢰성(reliability)있는 멤버 시스템을 구축하고 멤버의 이동경로를 추적할 수 있다.
상기한 바와 같은 목적을 달성하기 위해, 본 발명의 바람직한 일 실시예에 따르면, 유비쿼터스 컴퓨팅 네트워크 환경에서의 멤버등록과 통신을 위한 비밀 키 전달/생성 방법에 있어서, (a) 멤버의 보안 메모리에 디폴트 키와 공장 인증서 및 암호화된 디폴트 키와 제품정보를 저장하는 단계; (b) 유비쿼터스 컴퓨팅 네트워크 내에 신규 멤버가 감지되는 경우, 보안서버가 감지된 상기 멤버로 등록을 요청하는 단계; (c) 상기 멤버가 상기 보안서버로부터 전송되는 멤버등록요청을 수신하고, 암호화된 디폴트 키와 제품정보를 상기 보안서버로 전송하는 단계; (d) 상기 보안서버가 상기 멤버로부터 전송되는 암호화된 디폴트 키와 제품정보를 수신하고, 연결된 관리자 단말기로 수신된 암호화된 디폴트 키와 제품정보를 복호화하기 위한 복호화 키 정보를 요청하는 단계; (e) 상기 관리자 단말기가 관리자의 조작에 따라 입력되는 복호화 키 정보를 상기 보안서버로 전송하는 단계; (f) 상기 보안서버가 상기 복호화 키 정보를 수신하여 상기 (d) 단계에서 수신된 암호화된 디폴트 키와 제품정보를 복호화하는 단계; (g) 상기 보안서버가 상기 (f) 단계에서 복호화하여 획득한 디폴트 키와 제품정보를 기반으로 통신시 암복호화에 이용되는 마스터 키를 생성하고, 생성된 마스터 키와 보안 메모리 접근 패스워드를 암호화하여 상기 멤버로 전송하는 단계; 및 (h) 상기 멤버가 상기 보안서버로 암호화된 마스터 키와 패스워드를 수신하여 복호화한 후, 상기 패스워드를 이용하여 보안 메모리에 접근하여 마스터 키를 저장하는 단계를 포함하는 것을 특징으로 하는 유비쿼터스 컴퓨팅 네트워크 환경에서의 비밀 키 전달/생성 방법이 제공된다.
여기서, 전술한 (a) 단계 내지 상기 (h) 단계에서의 암복호화는 대칭키 기반의 유저 키를 이용하여 암복호화되도록 구성될 수 있다.
또한, 전술한 (c) 단계는, (c1) 상기 멤버가 상기 보안서버로부터 전송되는 멤버등록요청을 수신하는 단계; (c2) 상기 멤버가 상기 보안서버로 보안서버 인증서를 요청하는 단계; (c3) 상기 보안서버가 저장된 보안서버 인증서를 독출하여 상기 멤버로 저송하는 단계; (c4) 상기 멤버가 상기 보안서버로부터 전송되는 보안서버 인증서를 수신하여 보안 메모리에 저장하는 단계; 및 (c5) 상기 멤버가 암호화 된 디폴트 키와 제품정보를 상기 보안서버로 전송하는 단계를 포함하도록 구성될 수 있다.
한편, 전술한 (g) 단계에서 생성되는 마스터 키는 복호화된 디폴트 키에 기초하여 생성되도록 구성될 수 있다.
이때, 전술한 마스터 키는 복호화된 디폴트 키와 상기 제품정보에 포함된 일련번호에 기초하여 생성된 난수 값의 배타적 논리합 연산(XOR)을 통해 생성되도록 구성될 수 있다.
여기서 다른 한편으로, 전술한 마스터 키는 복호화된 디폴트 키와 상기 제품정보에 포함된 보안 메모리 접근 패스워드에 기초하여 생성된 난수 값의 배타적 논리합 연산(XOR)을 통해 생성되도록 구성될 수 있다.
한편, 전술한 (h) 단계에서 상기 멤버는 복호화된 마스터 키를 디폴트 키에 덮어쓰도록 구성될 수 있다.
또 다른 한편으로, 전술한 보안 메모리는 일반 영역과 보안 영역을 포함하며, 상기 (a) 단계는 상기 일반 영역에 디폴트 키 및 암호화된 디폴트 키와 제품정보를 저장하고, 상기 보안 영역에 디폴트 키와 공장 인증서 및 암호화된 디폴트 키와 제품정보를 저장하도록 구성될 수 있다.
이때, 전술한 유비쿼터스 컴퓨팅 네트워크 환경에서의 멤버등록을 위한 키 전달방법은 상기 일반 영역에 저장된 정보의 초기화가 필요한 경우 상기 보안 영역에 저장된 정보를 독출하여 초기화를 수행하도록 구성될 수 있다.
이상 상세히 설명한 바와 같이 본 발명에 따르면, 처음부터 보안서버와 멤버간에 있어서 안전한 채널(secure channel)을 가지고 안전한 통신을 할 수 있으며 효율적이고 빠르게 마스터키를 전달 할 수 있게 된다. 또한 키 전달 과정에서 발생하는 송수신 메시지의 양이 적고 멤버가 수행하는 연산 부담도 적으므로 멤버 시스템의 성능에 적은 영향을 미친다는 장점이 있다.
이하에서, 첨부된 도면을 참조하여 유비쿼터스 컴퓨팅 네트워크 환경에서의 비밀 키 전달/생성 방법에 대한 바람직한 실시예를 상세하게 설명한다.
본 발명의 바람직한 실시예에 대한 설명에 앞서, 이하에서 사용되는 용어의 정의는 다음과 같다.
UCN: Ubiquitous Computing Network,
보안서버: 디바이스 인증과 커뮤니티 형성을 담당하는 중앙집중형 서버,
디바이스 멤버: UCN 환경 내에서 인증을 받은 로컬디바이스(이하 ‘멤버’),
MK: 보안서버와 디바이스가 공유하는 대칭키 기반의 마스터키(이하 ‘MK’),
커뮤니티: 멤버와 멤버간 통신이 가능하도록 하는 동적인 network area,
커뮤니티토큰: 커뮤니티 형성과 커뮤니티 내에서 데이터 암호화를 위해 필요한 키,
보안 메모리: 멤버 상에 존재하는 메모리 따위의 안전한 저장 공간.
도 1은 본 발명의 바람직한 일 실시예에 따른 유비쿼터스 컴퓨팅 네트워크의 구성 블록도이다. 도 1에 도시된 바와 같이 본 발명에 따른 유비쿼터스 컴퓨팅 네트워크는 관리자 단말기(100), 사용자 단말기(200), 멤버(300), 유무선 통신망(400), 어플리케이션 서비스 서버(500), 보안서버(600)를 포함할 수 있다.
관리자 단말기(100)는 관리자의 조작에 따라 보안서버(600)에 접속하여 수동으로 커뮤니티에 포함된 멤버(300)를 삭제하거나 또는 멤버(300)와 보안서버(600)에 저장되는 멤버(300)의 마스터키를 변경하는 기능을 수행하게 된다. 또한, 본 발명에 따른 멤버등록과정에 있어, 관리자 단말기(100)는 보안서버(600)로부터 전송되는 유저 키 요청을 수힌하고, 관리자의 조작에 따라 입력되는 유저 키를 보안서버(600)로 전송하는 기능을 수행하게 된다. 유저 키에 대해서는 도 2를 참조하여 후술하겠으나, 멤버등록과정에서의 데이터 암복호화에 이용되는 대칭 키 기반의 비밀 키로서, 멤버(300)를 구매하는 구매자에게 제공되는 비밀 키이다.
사용자 단말기(200)는 사용자의 조작에 따라 인터넷 등의 통신경로를 통해 보안서버(600)에 접속하여 UCN을 구성하는 멤버(300)의 작동을 제어하는 기능을 수행하게 된다. 이러한 사용자 단말기(200)는 네트워크를 통한 데이터통신을 수행할 수 있도록 구성된 개인용 컴퓨터, 노트북, 휴대폰 등의 정보통신기기로 구현될 수 있다.
멤버(300)는 데이터 통신을 수행하여 본 발명에 따른 UCN에 참여할 수 있는 핸드폰, 가전기기, 개인용 컴퓨터 등의 정보통신 기기와 이에 연결된 전화기, 팩시밀리, 영상촬영/재생기기 등의 디바이스로서, 보안서버(600) 및 어플리케이션 서비스 서버(500)에 의하여 기능이 제어될 수 있다. 본 발명에 따른 유비쿼터스 컴퓨팅 네트워크는 복수의 멤버를 포함하여 구성될 수 있으나, 본 발명의 요지는 네트워크에 새로운 멤버의 등록과정에서 필요한 비밀 키의 전송과 생성에 있는 바, 이하에서는 설명의 편의를 위하여 하나의 새로운 멤버(300)가 새로 네트워크에 진입한 경우를 상정하여 본 발명에 따른 바람직한 실시예에 대하여 설명하기로 한다.
멤버(300)가 본 발명에 따른 유비쿼터스 컴퓨팅 네트워크에 새로이 진입하는 경우, 멤버(300)는 신규 멤버(300)를 감지한 보안서버(600)로부터 전송되는 등록요청을 수신하고 저장된 정보 중 등록에 필요한 정보(암호화된 디폴트 키, 제품정보 등)를 보안서버(600)로 전송하게 된다. 또한, 보안서버(600)로부터 전송되는 마스터키와 보안 메모리(310)에 접근할 수 있는 패스워드를 수신하여 보안 메모리(310)에 마스터키를 저장함으로써 일련의 등록과정을 종료하게 된다.
마스터키는 보안서버(600)와 멤버(300) 간의 암호화 통신을 위한 대칭키이며 동시에 멤버(300)를 식별하기 위한 식별값이다. 대칭키 암복호화 알고리즘은 송신자와 수신자가 키를 공유하는 방식으로 복호화는 암호화의 단순한 역 조작(예: 덧셈은 뺄셈, 곱셈은 나눗셈)이어서 암호화할 때와 복호화할 때 사용하는 키가 동일하게 된다. 이것은 단순히 데이타를 하나의 비밀키로 암호화와 복호화를 모두 하는 기법이다. 대칭키 기반의 암호기법들은 간단한 비트 연산을 반복하는 작업을 통해 암호화가 이루어지기 때문에 단위시간당 암호화할 수 있는 데이타 양이 비교적 많 다. 따라서 대용량의 데이타를 취급하는데 적합하며, 또한 대칭키 기반의 암복호화 방법은 암호화 키와 복호화 키가 동일하여 처리속도가 빠르고 저 자원 디바이스에서도 서비스가 원활하게 수행될 수 있다는 장점이 있다. 이러한 마스터키는 각각의 로컬멤버에 고유한 값이 생성되어 부여되며, 보안서버(600)의 데이터베이스(610)와 로컬멤버의 보안 메모리(310)에 저장되어 데이터 통신 시 암복호화 및 인증에 이용된다. 즉, 제1로컬멤버에 대한 마스터키를 제1마스터키라하고 제2로컬멤버에 대한 마스터키를 제2마스터키라고 하는 경우, 보안서버(600)의 데이터베이스(610)에는 제1마스터키와 제2마스터키가 모두 저장되며 제1로컬멤버의 보안영역에 제1마스터키가 저장되고 제2로컬멤버의 보안영역에 제2마스터키가 저장되어 인증과 암복호화에 이용되게 된다. 상술한 바와 같은 멤버(300)의 네트워크 등록과정에 대해서는 도 3을 참조하여 보다 상세하게 설명하기로 한다.
보안서버(600)는 유비쿼터스 컴퓨팅 네트워크를 구성/관리하는 기능을 수행하게 되며, 보다 상세하게 네트워크에 참여하는 멤버(300)의 인증과 커뮤니티 형성을 담당하는 중앙집중형 서버이고, 사용자 단말기(200)로부터 전송되는 제어요청을 수신하여 어플리케이션 서비스 서버(500)를 통해 멤버(300)의 기능을 제어하게 된다.
보안서버(600)는 전술한 바와 같이, 구성된 유비쿼터스 컴퓨팅 네트워크에 새로운 멤버(300)가 진입한 것이 감지되는 경우 해당 멤버(300)로 등록을 요청하게 되며, 멤버(300)로부터 전송되는 정보(암호화된 디폴트 키, 제품정보 등)를 수신하게 된다. 수신된 정보는 바람직하게는 전술한 유저 키를 이용하여 암호화되도록 구 성되며, 따라서 보안서버(600)는 연결된 관리자 단말기(100)로 신규 멤버(300)의 진입사실을 알린 후 복호화를 위한 유저 키를 요청한다. 관리자의 조작에 따라 관리자 단말기(100)로부터 전송되는 유저 키를 수신한 보안서버(600)는 수신된 유저 키를 이용하여 멤버(300)로부터 전송되어 수신된 정보를 복호화하고, 복호화된 정보를 이용하여 추후 보안서버(600)와 멤버(300) 간의 데이터통신에 이용될 마스터키를 생성/저장한 후 이를 멤버(300)의 보안 메모리 접근 패스워드와 함께 멤버(300)로 전송함으로써 일련의 멤버 등록과정을 수행하게 된다. 전술한 바와 같은 보안서버(600)의 멤버등록과정에 대해서는 도 3을 참조하여 보다 상세하게 설명하기로 한다.
어플리케이션 서비스 서버(500)는 멤버(300)와 보안서버(600)의 구동에 필요한 각종 어플리케이션을 제공하는 기능을 수행하게 된다. 즉, 기본적으로 유비쿼터스 컴퓨팅 네트워크 환경에서 네트워크는 네트워크를 구성하는 각 멤버를 제어하여 사용자가 원하는 서비스를 수행할 수 있도록 기능하는 어플리케이션 서비스 서버(Application Service Server)(500)를 포함한다. 사용자가 이러한 어플리케이션 서비스 서버(500)에 접근하여 원하는 멤버(300)의 기능을 제어하기 위해서는 사용자 단말기(200)를 이용하여 보안서버(Secure Privacy GateWay)(600)를 경유해야만 한다.
도 2는 본 발명의 바람직한 일 실시예에 따른 멤버의 보안 메모리 구성도이다. 도 2에 도시된 바와 같이 본 발명에 따른 멤버에 구비되는 보안 메모리(310)는 일반 영역(320)과 보안 영역(321)을 포함할 수 있다.
먼저, 본 발명에 따른 유비쿼터스 컴퓨팅 네트워크 환경에서 본 발명에 따른 멤버(300)는 기본적으로 보안성이 제고된 안전한 보안 메모리(310)를 가져야 할 필요성이 있다. 보안 메모리(310)에 접근하기 위해서는 패스워드가 필요하여, 보안 메모리(310)는 읽고/쓰기가 자유로운 일반 영역(320)과 단 한번만 기록되고 이후엔 읽어질 수만 있는보안 영역(Secure Area of Secure Memory, SASM)(321)을 포함하여 구성될 수 있다.
멤버(300)는 공장 출하시 자신의 최초 대칭키인 디폴트 키(Default Key, DK)를 가지며, 이러한 디폴트 키는 멤버(300)의 보안 메모리(310)에 저장되어있다. 또한 보안 메모리(310)에는 멤버의 시리얼넘버, 제조일자, 제조자, 보안 메모리(310)에 접근하기 위한 패스워드 등의 제품정보(EUK[DK]에 포함)를 공장에서 임의로 발행하는 또 다른 대칭키 유저 키(User Key)로 암호화하여 저장하여 둔다. 이때 유저 키(User Key)는 멤버를 구입하는 사용자에게 공개된다.
마지막으로 단 한번만 기록되고 이후엔 읽어질 수만 있는 보안 메모리의 보안영역(321)에는 제품(멤버)출하 공장의 공장 인증서(Factory Signature, FS)가 저장되어 나가게 된다. 공장 인증서를 저장하는 목적은 보안서버(600)가 새로이 네트워크에 진입한 멤버(300)가 안전한 멤버(300)인가를 확인하기 위함이다. 따라서 공장은 이미 인증기관을 통해 자신들의 인증서를 만들어두고, 만들어진 인증서를 단순히 멤버에 저장만 시켜 출하하면 된다.
보다 바람직하게, 본 발명에 따른 보안 메모리(310)의 보안 영역(321)에는 일반 영역(320)에 저장된 정보를 초기화하기 위한 정보가 추가적으로 저장되도록 구성될 수도 있다. 즉, 일반 영역에 저장된 정보에 오류가 발생되었거나 또는, 멤버(300)가 다른 사용자에 의해 재사용될 경우에 있어 일반 영역에 저장된 정보를 초기화해야할 필요성이 발생한다. 이러한 초기화를 위하여 멤버의 DK와 EUK[DK]를 한번만 씌여지는 매우 안전한 보안 영역(321)에 하나 더 저장시고, 이 정보를 이용하여 멤버(300) 초기화때 320지역을 초기화하게 된다.
도 3은 본 발명의 바람직한 일 실시예에 따른 멤버등록과정을 나타낸 순서도이다. 이하에서 도 3을 참조하여 본 발명에 따른 신규 멤버등록과정을 상세하게 설명하도록 한다.
먼저 보안서버(600)는 자신이 구축/운용하고 있는 UCN 환경에 기존에 등록되지 않은 새로운 멤버(300)가 접근하는지 여부를 판단한다(S300). 이때, 발명을 구성하기에 따라 새로운 멤버(300)가 UCN 환경의 한 도메인을 관리하는 보안서버(600)에 접근함으로써 새로운 멤버(300)의 등록과정이 개시될 수 있도록 구성될 수도 있으며, 또는 보안서버(600)가 실시간 또는 주기적으로 새로운 멤버(300)의 진입여부를 판단하도록 구성될 수도 있다. 또한, 보안서버(600)는 새로운 멤버(300)의 등록 이전에 신규 멤버(300)가 안전한 멤버인지 여부를 판단하기 위하여 멤버(300)로 공장 인증서를 요청하고, 멤버(300)로부터 전송되는 공장 인증서를 수 신하여 멤버의 안전성을 판단하도록 구성될 수도 있다.
새로운 멤버가 진입된 것으로 판단되는 경우, 보안서버(600)는 새로이 검색된 멤버(300)로 등록을 요청한다(S302). 보안서버(600)로부터 등록요청을 전송받은 멤버(300)는 별도의 절차없이 등록과정을 시작할 수도 있으나, 보안성의 제고를 위하여 보다 바람직하게 접근한 보안서버(600)가 안전한 서버인지 여부를 판단하기 위하여 보안서버(600)로 보안서버 인증서를 요청하고, 보안서버로부터 전송되는 보안서버 인증서를 수신하여 보안 메모리의 보안 영역(321)에 저장한다(S304, S306, S308). 물론 이때, 필요에 따라 멤버(300)가 보안서버 인증서의 유효성을 판단하도록 구성될 수도 있으며, 또는 단순히 수신한 보안서버 인증서를 저장하도록 구성될 수도 있다. 이때, 보안 메모리(310)에 보안서버(600)의 인증서를 등록과정에서 저장하게 되는 것은 멤버가 공격을 받았을 시 멤버에 접근한 보안서버(600)가 누구였는지를 판별하기 위한 것으로 일종의 로그기록으로 보면 될 것이다. 이 접근 보안서버(600)의 기록이 이 많아진다면 메모리의 양이 상당히 많아 질 것이다. 이는 멤버가 거칠 수 한계점을 정함으로써 메모리를 측정할 수 있다. 예로 어떠한 멤버는 보안서버(600)를 10번이상 옮겨다닐 수 없다. 따라서 메모리는 보안서버(600)의 서명을 10개만 기록할 수 있는 양만 만들어 두면 된다. 만약 10번 이상을 옮길 경우엔 멤버를 제조한 업체나 공인된 기관을 통해 가장 안전한 메모리에 저장된 보안서버(600) 서명들을 삭제하는 과정을 거쳐야 할 것이다.
보안서버 인증서의 저장과정이 종료되면, 멤버(300)는 보안 메모리(310)에 저장된 EUK[DK]를 독출하여 보안서버(600)로 전송하고, 보안서버(600)는 전송되는 EUK[DK]를 수신한다(S310). 여기서 EUK[DK]는 유저 키(UK)를 이용하여 암호화된 디폴트 키와 제품정보를 의미한다.
유저 키는 멤버(300)를 구입한 사용자에게 박스에 스티커 형식으로 붙어있던지 구입장소에서 따로 알려주는 방식으로 공개되어있으므로, 보안서버(600)는 관리자 단말기(100)로 새로운 멤버(300)가 검색되었음을 통지하고 멤버(300)의 등록에 필요한 유저 키를 요청한다(S312).
유저 키를 요청받은 관리자 단말기(100)는 관리자의 조작에 따라 입력되는 유저 키를 보안서버(600)로 전송한다(S314).
보안서버(600)는 관리자 단말기(100)로부터 전송되는 유저 키를 수신하고, 수신된 유저 키를 이용하여 EUK[DK]를 복호화한다(S316). 이러한 복호화 과정은 믿을 수 있는 공장에서 출하된 안전한 멤버임을 입증하는 인증 작업을 마친 것과 같다고 생각할 수 있다. 왜냐하면 EUK[DK]안에는 제품의 정보가 들어있으며 이러한 정보를 보안서버(600)는 다른 경로를 통해 확인 할 수 있다. 혹은 공장출하시 한번만 씌여지는 보안 메모리의 보안 영역(321)에 자신의 인증서와 유저 키로 암호화된 EUK[DK]가 씌여져 있기 때문에 유저 키가 풀렸다는 것은 인증된 공장에서 출하된 안전한 멤버임을 인정할 수 있다.
다음으로 보안서버(600)는 EUK[DK]를 복호화하여 획득된 정보를 이용하여 마 스터키를 생성/저장한다(S318). 이를 보다 상세하게 설명하면, 보안서버(600)는 복호화를 통해 획득된 디폴트 키와 제품에 대한 정보 중 제품일련번호 또는 보안 메모리(310)에 접근하기 위한 패스워드에 기초하여 보안서버(600)가 생성하는 랜덤한 난수 값과의 배타적 논리합 연산(XOR)을 통해 마스터키를 생성/저장한다. 전술한 바와 같이, 여기서 생성되는 마스터키는 해당 멤버를 식별하는 고유값인 동시에 관리서버와 멤버 간의 데이터통신의 암복호화에 이용되는 비밀키이다.
마스터키가 생성된 후, 보안서버(600)는 생성된 마스터키와 보안 메모리 접근 패스워드를 디폴트 키로 암호화하여 멤버(300)로 전송한다(S320). 이때, 보안서버(600)는 EUK[DK]내의 보안 메모리 접근 패스워드를 이용하여 멤버(300)에게 마스터키를 쓸것을 권고한다.
멤버(300)는 보안서버(600)로부터 전송되는 암호화된 마스터키와 패스워드를 수신하고, 수신된 패스워드를 이용하여 보안 메모리(310)에 접근하여 마스터키를 기록한다(S322). 여기서 보다 바람직하게, 보안서버(600)에 등록을 마친 멤버(300)의 디폴트 키는 더 이상 필요가 없으므로, 마스터키를 디폴트 키에 덮어쓰도록 구성될 수도 있다.
전술한 과정을 통해 멤버(300)의 등록이 완료되고, 이후 보안서버(600)와 멤버(300)가 통신시 사용할 수 있는 마스터키가 안전하게 생성/전달/저장 되었다. 물론 보안 메모리 접근 패스워드도 보안 메모리(310)에 덮어 씌여지게 된다.
한편, 후술하는 바와 같이 본 발명에 따른 네트워크를 구성하는 적어도 하나 이상의 멤버가 커뮤니티를 형성하는 경우, 커뮤니티 형성에 따르 커뮤니티 토큰 키(CT) 또한 메모리에 덮여 씌여지게 된다. 첨부된 도 1에서는 메모리를 작게 표시해 두었으나 이는 디바이스가 가질 수 있는 저절한 메모리 용량에 따라 달라 질 수 있다.
또한 우리는 멤버가 다른 사용자에 의해 재사용 될 경우를 생각하게 될 수 가 있는데, 이는 전술한 바와 같이 멤버의 DK와 EUK[DK]를 한번만 씌여지는 매우 안전한 보안 영역(321)에 하나 더 저장시켜두면 된다. 이는 멤버 초기화때 일반 영역(320)을 초기화하는데 사용된다.
한편, 본 발명의 다른 측면에 의하면, 복수의 로컬멤버를 특정한 커뮤니티로 구성하는 경우 보안서버(600)에서 생성되어 각 로컬멤버로 브로드캐스트되어 로컬멤버의 보안 메모리(310)에 저장되는 커뮤니티토큰(CT)이 마스터키 대신 이용되어 무결성을 보장하도록 구성될 수 있다. 이러한 방식으로 실시예가 구성되는 경우 다수의 멤버에 대한 인증이 필요하더라도 전술한 바와 같은 커뮤니티토큰을 각 멤버로 브로드캐스팅함으로써 손쉽게 멤버 간 통신이 가능한 커뮤니티를 형성할 수 있으며, 이로 인하여 커뮤니티의 크기가 커질 수록 종래기술에 따른 인증절차에 비하여 인증절차의 복잡도를 현저히 감소시킬 수 있는 이점을 가질 수 있다.
도 4은 본 발명에 따른 커뮤니티 인증 및 생성 흐름을 도시한 순서도로서, 전술한 내용을 도 4를 참조하여 이하에서 보다 상세하게 설명하도록 한다.
먼저, 서비스 서버에서 커뮤니티에 포함될 제1로컬멤버와 제2로컬멤버의 정보를 보안서버로 전송하면(복수의 멤버가 커뮤니티에 포함될 수 있으나, 이하에서는 설명의 편의를 위하여 2개의 멤버가 커뮤니티에 참여하는 것으로 가정하여 설명함), 보안서버는 서비스서버로부터 전송된 제1로컬멤버와 제2로컬멤버의 정보를 이용하여 커뮤니티를 형성하기 위해 관리자 패스워드를 씨드(seed)값으로 하는 랜덤한 CT를 생성한다(S400).
CT가 생성된 후, 보안서버는 커뮤니티에 포함되는 각 로컬멤버들에게 각각의 마스터키로 암호화 하여 EMK(CT)메시지(S410)를 생성하고 각각의 멤버로 생성된 메세지를 브로드캐스팅한다(S420). 즉, 보안서버는 제1로컬멤버에는 EMK1(CT)메시지를 전송하고, 제2로컬멤버에는 EMK2(CT)메시지를 전송한다.
보안서버로부터 전송되는 메세지를 수신한 각 로컬멤버들은 저장되어 있는 마스터키를 이용하여 DMK(EMK(CT))(S430)와 같이 복호화하여 보안 메모리에 CT값을 저장한다(S440). 전술한 과정을 통해 커뮤니티가 생성되면, 그 이후의 멤버 간 인증과 암복호화는 CT값을 이용하여 수행되게 된다.
상기한 본 발명의 바람직한 실시예는 예시의 목적을 위해 개시된 것이고, 본 발명에 대해 통상의 지식을 가진 당업자라면 본 발명의 사상과 범위 안에서 다양한 수정, 변경 및 부가가 가능할 것이며, 이러한 수정, 변경 및 부가는 하기의 특허청구범위에 속하는 것으로 보아야 할 것이다.
도 1은 본 발명의 바람직한 일 실시예에 따른 유비쿼터스 컴퓨팅 네트워크의 구성 블록도.
도 2는 본 발명의 바람직한 일 실시예에 따른 멤버의 보안 메모리 구성도.
도 3은 본 발명의 바람직한 일 실시예에 따른 멤버등록과정을 나타낸 순서도.
도 4은 본 발명에 따른 커뮤니티 인증 및 생성 흐름을 도시한 순서도.
* 도면의 주요부분에 대한 부호의 설명 *
100 : 관리자 단말기 200 : 사용자 단말기
300 : 멤버 310 : 보안 메모리
320 : 일반 영역 321 : 보안 영역
400 : 유무선 통신망 500 : 어플리케이션 서비스 서버
600 : 보안서버 610 : 데이터베이스

Claims (9)

  1. 유비쿼터스 컴퓨팅 네트워크 환경에서의 멤버등록과 통신을 위한 비밀 키 전달/생성 방법에 있어서,
    (a) 멤버의 보안 메모리에 디폴트 키와 공장 인증서 및 암호화된 디폴트 키와 제품정보를 저장하는 단계;
    (b) 유비쿼터스 컴퓨팅 네트워크 내에 신규 멤버가 감지되는 경우, 보안서버가 감지된 상기 멤버로 등록을 요청하는 단계;
    (c) 상기 멤버가 상기 보안서버로부터 전송되는 멤버등록요청을 수신하고, 암호화된 디폴트 키와 제품정보를 상기 보안서버로 전송하는 단계;
    (d) 상기 보안서버가 상기 멤버로부터 전송되는 암호화된 디폴트 키와 제품정보를 수신하고, 연결된 관리자 단말기로 수신된 암호화된 디폴트 키와 제품정보를 복호화하기 위한 복호화 키 정보를 요청하는 단계;
    (e) 상기 관리자 단말기가 관리자의 조작에 따라 입력되는 복호화 키 정보를 상기 보안서버로 전송하는 단계;
    (f) 상기 보안서버가 상기 복호화 키 정보를 수신하여 상기 (d) 단계에서 수신된 암호화된 디폴트 키와 제품정보를 복호화하는 단계;
    (g) 상기 보안서버가 상기 (f) 단계에서 복호화하여 획득한 디폴트 키와 제품정보를 기반으로 통신시 암복호화에 이용되는 마스터 키를 생성하고, 생성된 마스터 키와 보안 메모리 접근 패스워드를 암호화하여 상기 멤버로 전송하는 단계; 및
    (h) 상기 멤버가 상기 보안서버로 암호화된 마스터 키와 패스워드를 수신하여 복호화한 후, 상기 패스워드를 이용하여 보안 메모리에 접근하여 마스터 키를 저장하는 단계를 포함하는 것을 특징으로 하는 유비쿼터스 컴퓨팅 네트워크 환경에서의 비밀 키 전달/생성 방법.
  2. 제1항에 있어서,
    상기 (a) 단계 내지 상기 (h) 단계에서의 암복호화는 대칭키 기반의 유저 키를 이용하여 암복호화되는 것을 특징으로 하는 유비쿼터스 컴퓨팅 네트워크 환경에서의 비밀 키 전달/생성 방법.
  3. 제1항에 있어서,
    상기 (c) 단계는,
    (c1) 상기 멤버가 상기 보안서버로부터 전송되는 멤버등록요청을 수신하는 단계;
    (c2) 상기 멤버가 상기 보안서버로 보안서버 인증서를 요청하는 단계;
    (c3) 상기 보안서버가 저장된 보안서버 인증서를 독출하여 상기 멤버로 저송하는 단계;
    (c4) 상기 멤버가 상기 보안서버로부터 전송되는 보안서버 인증서를 수신하여 보안 메모리에 저장하는 단계; 및
    (c5) 상기 멤버가 암호화된 디폴트 키와 제품정보를 상기 보안서버로 전송하는 단계를 포함하는 것을 특징으로 하는 유비쿼터스 컴퓨팅 네트워크 환경에서의 비밀 키 전달/생성 방법.
  4. 제1항에 있어서,
    상기 (g) 단계에서 생성되는 마스터 키는 복호화된 디폴트 키에 기초하여 생성되는 것을 특징으로 하는 유비쿼터스 컴퓨팅 네트워크 환경에서의 비밀 키 전달/생성 방법.
  5. 제4항에 있어서,
    상기 마스터 키는 복호화된 디폴트 키와 상기 제품정보에 포함된 일련번호에 기초하여 생성된 난수 값의 배타적 논리합 연산(XOR)을 통해 생성되는 것을 특징으로 하는 유비쿼터스 컴퓨팅 네트워크 환경에서의 비밀 키 전달/생성 방법.
  6. 제4항에 있어서,
    상기 마스터 키는 복호화된 디폴트 키와 상기 제품정보에 포함된 보안 메모리 접근 패스워드에 기초하여 생성된 난수 값의 배타적 논리합 연산(XOR)을 통해 생성되는 것을 특징으로 하는 유비쿼터스 컴퓨팅 네트워크 환경에서의 비밀 키 전달/생성 방법.
  7. 제1항에 있어서,
    상기 (h) 단계에서 상기 멤버는 복호화된 마스터 키를 디폴트 키에 덮어쓰는 것을 특징으로 하는 유비쿼터스 컴퓨팅 네트워크 환경에서의 비밀 키 전달/생성 방법.
  8. 제1항에 있어서,
    상기 보안 메모리는 일반 영역과 보안 영역을 포함하며,
    상기 (a) 단계는 상기 일반 영역에 디폴트 키 및 암호화된 디폴트 키와 제품정보를 저장하고, 상기 보안 영역에 디폴트 키와 공장 인증서 및 암호화된 디폴트 키와 제품정보를 저장하는 것을 특징으로 하는 유비쿼터스 컴퓨팅 네트워크 환경에서의 비밀 키 전달/생성 방법.
  9. 제8항에 있어서,
    상기 유비쿼터스 컴퓨팅 네트워크 환경에서의 멤버등록을 위한 키 전달방법은 상기 일반 영역에 저장된 정보의 초기화가 필요한 경우 상기 보안 영역에 저장된 정보를 독출하여 초기화를 수행하는 것을 특징으로 하는 유비쿼터스 컴퓨팅 네트워크 환경에서의 비밀 키 전달/생성 방법.
KR1020090112587A 2009-11-20 2009-11-20 유비쿼터스 컴퓨팅 네트워크 환경에서의 비밀 키 전달/생성 방법 KR101085849B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020090112587A KR101085849B1 (ko) 2009-11-20 2009-11-20 유비쿼터스 컴퓨팅 네트워크 환경에서의 비밀 키 전달/생성 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090112587A KR101085849B1 (ko) 2009-11-20 2009-11-20 유비쿼터스 컴퓨팅 네트워크 환경에서의 비밀 키 전달/생성 방법

Publications (2)

Publication Number Publication Date
KR20110055950A true KR20110055950A (ko) 2011-05-26
KR101085849B1 KR101085849B1 (ko) 2011-11-23

Family

ID=44364596

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090112587A KR101085849B1 (ko) 2009-11-20 2009-11-20 유비쿼터스 컴퓨팅 네트워크 환경에서의 비밀 키 전달/생성 방법

Country Status (1)

Country Link
KR (1) KR101085849B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012165901A2 (ko) * 2011-06-02 2012-12-06 Beak Gyyoung 단말기간 보안채널화 방법
KR20170141861A (ko) * 2016-06-16 2017-12-27 조현준 안전하고 간편한 온라인본인인증 시스템 및 방법
KR20230166772A (ko) * 2022-05-31 2023-12-07 한전케이디엔주식회사 전력계통 등록 장치의 인증 방법 및 장치

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012165901A2 (ko) * 2011-06-02 2012-12-06 Beak Gyyoung 단말기간 보안채널화 방법
WO2012165901A3 (ko) * 2011-06-02 2013-03-28 Beak Gyyoung 단말기간 보안채널화 방법
KR20170141861A (ko) * 2016-06-16 2017-12-27 조현준 안전하고 간편한 온라인본인인증 시스템 및 방법
KR20230166772A (ko) * 2022-05-31 2023-12-07 한전케이디엔주식회사 전력계통 등록 장치의 인증 방법 및 장치

Also Published As

Publication number Publication date
KR101085849B1 (ko) 2011-11-23

Similar Documents

Publication Publication Date Title
US7975312B2 (en) Token passing technique for media playback devices
EP1902540B1 (en) Method and apparatus for establishing a communication key between a first communication partner and a second communication partner using a third party
US11831753B2 (en) Secure distributed key management system
CN103209176A (zh) 使用智能卡构建家庭域的系统和方法
WO2008035450A1 (fr) Authentification par un identifiant ponctuel
KR20180101870A (ko) 클라우드 컴퓨팅 환경에서의 속성 기반 암호화를 이용한 데이터 공유 방법 및 시스템
KR101085849B1 (ko) 유비쿼터스 컴퓨팅 네트워크 환경에서의 비밀 키 전달/생성 방법
JP2011077650A (ja) コンテンツのダウンロード管理サーバ、管理方法、管理システムおよび携帯端末機
US20050021469A1 (en) System and method for securing content copyright
US10764260B2 (en) Distributed processing of a product on the basis of centrally encrypted stored data
KR101165350B1 (ko) 유비쿼터스 컴퓨팅 네트워크 환경에서 커뮤니티 컴퓨팅을 위한 디바이스 멤버 인증방법
KR100989371B1 (ko) 개인 홈 도메인을 위한 디지털 저작권 관리방법
JP2005086428A (ja) 認証を得て暗号通信を行う方法、認証システムおよび方法
JP6919484B2 (ja) 暗号通信方法、暗号通信システム、鍵発行装置、プログラム
JPH11331145A (ja) 情報共有システム、情報保管装置およびそれらの情報処理方法、並びに記録媒体
EP4016921A1 (en) Certificate management method and apparatus
Wu et al. PrivApollo–secret ballot E2E-V internet voting
JP2022061275A (ja) ライセンス管理方法、ライセンス管理装置、及びプログラム
JP6524556B2 (ja) 認証鍵複製システム
JP2008306685A (ja) セキュリティ情報設定システム、そのマスタ端末、一般端末、プログラム
JP2015022460A (ja) 情報記憶システム、情報記憶装置、その方法、及びプログラム
KR101006803B1 (ko) 인증 기능을 갖는 rfid 인증 장치 및 방법
KR101085848B1 (ko) 유비쿼터스 컴퓨팅 네트워크에서의 멤버 관리방법
JP2002217895A (ja) データ・アプリケーション格納方法及び、コマンド実行方法及びシステム及びデータ・アプリケーション格納プログラム及びデータ・アプリケーション格納プログラムを格納した記憶媒体及びコマンド実行プログラム及びコマンド実行プログラムを格納した記憶媒体
KR20230080676A (ko) 고속 블록체인 네트워크를 이용한 did 관리 시스템 및 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20151116

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20171124

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20191114

Year of fee payment: 9