KR20150138209A - 보안 관리 서버와 홈 네트워크를 포함하는 네트워크 시스템, 및 네트워크 시스템에 장치를 포함시키는 방법 - Google Patents

보안 관리 서버와 홈 네트워크를 포함하는 네트워크 시스템, 및 네트워크 시스템에 장치를 포함시키는 방법 Download PDF

Info

Publication number
KR20150138209A
KR20150138209A KR1020157026365A KR20157026365A KR20150138209A KR 20150138209 A KR20150138209 A KR 20150138209A KR 1020157026365 A KR1020157026365 A KR 1020157026365A KR 20157026365 A KR20157026365 A KR 20157026365A KR 20150138209 A KR20150138209 A KR 20150138209A
Authority
KR
South Korea
Prior art keywords
management server
security management
user
certificate
home network
Prior art date
Application number
KR1020157026365A
Other languages
English (en)
Inventor
롤랜드 반 덴 브로크
요리스 블레이스
브루노 데 버스
Original Assignee
톰슨 라이센싱
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 톰슨 라이센싱 filed Critical 톰슨 라이센싱
Publication of KR20150138209A publication Critical patent/KR20150138209A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2803Home automation networks
    • H04L12/283Processing of data at an internetworking point of a home automation network
    • H04L12/2834Switching of information between an external network and a home network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0863Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/35Protecting application or service provisioning, e.g. securing SIM application provisioning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/40Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
    • H04N21/43Processing of content or additional data, e.g. demultiplexing additional data from a digital video stream; Elementary client operations, e.g. monitoring of home network or synchronising decoder's clock; Client middleware
    • H04N21/436Interfacing a local distribution network, e.g. communicating with another STB or one or more peripheral devices inside the home
    • H04N21/43615Interfacing a Home Network, e.g. for connecting the client to a plurality of peripherals

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Small-Scale Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

네트워크 시스템(4)은 보안 관리 서버(1)를 포함하고, 장치를 보안 관리 서버(1)에 연결하기 위해 사용되는 일회용 코드를 보안 관리 서버상에서 생성함으로써 제1 장치(3')가 네트워크 시스템에 추가된다. 서버 인증서는 장치(3')에 전송되고, 장치에서 만들어진 사용자 장치 인증서는 보안 관리 서버에 전송된다. 사용자 장치 인증서는 보안 관리 서버상에서의 관리자 키로 서명되고, 이러한 서명된 사용자 장치 인증서는 보안 관리 서버로부터 장치에 전송되고 네트워크 시스템의 추가 장치(3)와의 통신을 위해 장치에 의해 사용된다. 네트워크 시스템은 구체적으로는 보안 홈 네트워크이다.

Description

보안 관리 서버와 홈 네트워크를 포함하는 네트워크 시스템, 및 네트워크 시스템에 장치를 포함시키는 방법{NETWORK SYSTEM COMPRISING A SECURITY MANAGEMENT SERVER AND A HOME NETWORK, AND METHOD FOR INCLUDING A DEVICE IN THE NETWORK SYSTEM}
본 발명은 원격 통신 시스템 및 장치의 분야에 관한 것이고, 더 구체적으로는 서비스 제공자 네트워크와의 브로드밴드 연결(broadband connection)을 통해 작동하는 네트워크 시스템들 및 장치들에 관한 것이다.
가정용 게이트웨이들은 고객의 집에 있는 장치들을 인터넷 또는 임의의 기타 광역 네트워크(WAN)에 연결하기 위해 널리 사용된다. 가정용 게이트웨이들은 예를 들어 디지털 가입자 회선(digital subscriber line)(DSL) 기술을 사용하고, 이는 구리선 상에서 또는 광섬유 브로드밴드 송신 시스템(optical fiber broadband transmission systems)상에서 높은 데이터 송신율을 가능하게 한다.
홈 네트워크들은 많은 단말 사용자들에게 일상의 일부분이 되었다. 홈 네트워크는 여러 종류의 이질적인 구성요소들로 구성되어 있고, 이는 홈 네트워크가 상이한 유형의 장치들로 이루어져 있다는 것을 의미한다. 예를 들어, 스마트폰들, 태블릿들, PC들, 스마트 티비들, 셋-탑 박스들(set-top boxes)(STB), 게이트웨이들 및 네트워크 부속 저장 장치들(NAS)이 있다. 이러한 장치들은 종종 Apple의 Bonjour, 유니버설 플러그 앤 플레이(Universal Plug and Play)(UPnP), 서버 메시지 블락(SMB), 하이퍼텍스트 송신 프로토콜(Hypertext Transfer Protocol)(HTTP) 또는 IP 기반 전용 프로토콜들을 사용하여 서로 간에 통신한다.
사용자 장치들 사이의 통신은 종종 인증 메카니즘이 없이, 또는 장치에 로그인하는 사용자가 검증되기만 하는 약한 인증 메카니즘을 가지고 발생한다. 사용자들은 종종 인증을 쉽게 하기 위해 그들의 장치들에 동일한 비밀번호를 사용하지만, 이는 보안을 매우 약화시킨다.
홈 네트워크 내의 장치들 사이의 통신은 종종 어떠한 인증도 없이 발생한다.
약한 인증은 무차별 대입 공격(brute force attack)을 사용하여 쉽게 공격당할 수 있다. 디바이스 투 디바이스(device to device) 인증은 스니핑(sniffed)당할 수 있고, 데이터가 악용될 수 있다. 집 내의 많은 솔루션들은 예를 들어 홈 자동화 및 홈 보안을 위해 더 강한 보안을 필요로 한다. 홈 네트워크에의 임시 액세스를 가진 허가되지 않은 사용자들 또는 손님들이 안전하지 않은 방식으로 사용자의 홈 인프라구조(home infrastructure)와 통신할 수 있는 것은 용인될 수 없다.
본 발명에 따른 네트워크 시스템은 보안 관리 서버를 포함하고, 여기에서 제1 장치는 장치를 보안 관리 서버에 연결하기 위해 사용되는 일회용 코드를 보안 관리 서버상에서 생성하고, 이는 장치에게 서버 인증서를 전송함으로써 네트워크 시스템에 추가된다. 이에 더하여, 장치 내에서 생성되는 사용자 장치 인증서가 보안 관리 서버에 전송되고, 사용자 장치 인증서는 보안 관리 서버상의 관리자 키(administrator key)로 서명되고, 이 서명된 사용자 장치 인증서는 보안 관리 서버로부터 장치로 전송되고, 네트워크 시스템의 임의의 추가 장치와의 통신을 위해 장치에 의해 사용된다.
바람직한 실시예에서, 관리자는 사용자에게 일회용 코드와 함께 지문(fingerprint)을 제공하고, 메시지는 지문에 추가하여 서버 인증서를 포함하고, 사용자는 장치가 보안 관리 서버에 사용자 장치 인증서를 전송하기 전에, 장치상에서 지문을 검증해야한다.
네트워크 시스템은 네트워크 시스템 내에서 서로와 통신하는 사용자의 장치들 및 애플리케이션들을 보호한다. 네트워크 시스템은 관리자에 의해 관리되는 보안 인프라구조를 포함하고, 이는 네트워크 시스템을 관리하는 데에 책임이 있다. 관리자는 사용자들과 사용자의 장치들을 추가하는 데에 책임이 있다. 등록된 장치들만이 네트워크 시스템 내에서 사용될 수 있고 오직 장치들 사이의 상호 인증 후에만 디바이스 투 디바이스 통신이 제공되고, 이러한 통신을 위해 장치들 둘 다 인증서를 필요로 한다. 네트워크 시스템의 장치들 사이의 통신은 악의의 사용으로부터 중요한 정보를 보호하기 위해 암호화될 수 있다.
네트워크 시스템의 모든 장치들은 보안 관리 서버에 의해 서명된 인증서를 필요로 한다. 또한, 손님 사용자들은 관리자에 의해 네트워크 시스템에의 액세스가 허용될 수 있고, 이후에 액세스가 거부될 수 있다. 사용자는 네트워크 시스템으로부터 그의 모든 장치들을 취소(revoke)함으로써, 네트워크 시스템의 관리자에 의해 취소될 수 있다. 또한 분실되거나 도난된 장치 또한 관리자에 의해 취소될 수 있다.
본 발명의 추가 태양에서, 네트워크 시스템은 가정용 게이트웨이와 다수의 장치를 포함하는 보안 홈 네트워크이고, 여기에서 보안 홈 네트워크는 인터넷 서비스를 제공하기 위한 브로드밴드 연결을 통한 서비스 제공자 네트워크와의 연결을 위해 조정된다. 홈 네트워크는 관리자 키로 서명된 사용자 장치 인증서들을 사용함으로써 서로와 통신하는 장치들을 포함하는 홈 자동화 시스템 또한 포함할 수 있다.
본 발명의 바람직한 실시예들은 개략도를 참조하여 예시의 방법으로 이하에 더 자세히 설명된다.
도 1은 다수의 장치와 가정용 게이트웨이를 포함하는 보안 관리 서버 및 보안 홈 네트워크이다.
도 2는 도 1의 홈 네트워크에 신규 장치를 추가하는 방법을 도시하는 순서도이다.
도 3은 도 1의 홈 네트워크의 2개의 장치 사이의 보안 통신을 도시하는 순서도이다.
이하의 설명에서, 보안 홈 네트워크 및 보안 관리 서버를 포함하는 네트워크 시스템과 네트워크 시스템 내에 장치를 포함시키는 방법이 설명된다. 설명의 목적을 위해, 다양한 구체적 상세사항들이 실시예들의 전체적 이해를 제공하기 위해 개시된다. 그러나, 기술분야의 숙련된 자에게 본 발명이 이러한 구체적 상세사항 없이 실시될 수 있다는 것이 명백할 것이다.
네트워크 시스템은 도 1에 개략적으로 도시된 바와 같이, 바람직한 실시예에서 가정용 게이트웨이(2) 및 다수의 장치(3)를 포함하는 보안 홈 네트워크(4) 및 보안 관리 서버(1)를 포함한다. 장치들(3)은 예를 들어 PC, 랩톱, 태블릿 PC, 스마트폰, 텔레비전 세트 및/또는 홈 자동화 시스템의 장치들과 같은 인터넷 사용가능한 장치들이다. 홈 자동화 시스템은 다수의 센서 및 카메라를 함께 연결한다. 가정용 게이트웨이(2)는 홈 네트워크(4)를 예를 들어 DSL 연결을 통해 네트워크 서비스 제공자(NSP) 네트워크 및 인터넷(5)과 연결한다.
보안 관리 서버(1)가 홈 네트워크(4)의 보안을 위해 제공되고, 바람직한 실시예에서는, 보안 홈 네트워크(4) 밖의 인터넷(5)에 위치된다. 이러한 경우에는, 보안 관리 서버(1)는 가정용 게이트웨이(2)를 통해 보안 홈 네트워크(4)로부터 접근가능하다. 보안 관리 서버(1)는 다수의 보안 홈 네트워크를 독립적으로 관리하도록 조정되어 있다. 각각의 보안 홈 네트워크는 각자의 관리자에 의해 제어된다.
장치(3')를 사용하는 사용자는 보안 홈 네트워크(4)의 관리자에 의해 보안 홈 네트워크(4) 및 보안 홈 네트워크(4)의 다른 장치들(3) 상의 애플리케이션의 명확히 정의된(well-defined) 기능성에 대한 액세스를 허가받게 될 것이다. 모든 장치들(3)은 장치들(3)의 사용자들이 원하지 않는 사람들로부터 보호를 받으면서 장치들(3)상에서, 그리고 그들 사이에서 애플리케이션들을 실행할 수 있도록 각각의 장치(3)의 보안을 책임지는 보안 애플리케이션을 더 실행한다. 관리자는 보안 관리 서버(1)에 인터넷을 통해 액세스할 수 있는 사람이거나, 예를 들어 보안 관리 서버(1)에 포함되는 소프트웨어 기능일 수 있다.
이하의 기능성이 보안 관리 서버(1)에서 이용가능하다.
● 신규 관리자 계정이 보안 관리 서버(1)에서 생성될 수 있다. 신규 관리자 계정을 생성함으로써, 대응되는 관리자에 의해 제어되는 신규 보안 홈 네트워크가 만들어진다.
● 사용자들은 보안 홈 네트워크의 관리자에 의해 보안 홈 네트워크에 추가될 수 있다.
● 관리자는 보안 홈 네트워크에 사용자의 장치들을 추가할 수 있다; 및
● 관리자는 보안 홈 네트워크(4)의 사용자들에게 액세스 권한을 허가할 수 있다.
보안 홈 네트워크(4)에 신규 장치(3')를 추가하기 위해, 관리자는 일회용 코드(OTC)를 보안 관리 서버(1)로부터 요청한다. 일회용 코드는 사용자에 의해 신규 장치(3')에 입력되고, 보안 관리 서버(1)로부터 장치(3')를 위한 서명된 인증서를 요청하기 위해 사용되고, 이러한 서명된 인증서는 신규 장치(3')를 위한 식별을 제공한다. 보안 관리 서버(1)는 일회용 코드가 알려진 것인지 검증한다. 알려진 것인 경우, 보안 홈 네트워크(4)에 대한 액세스를 허용하기 위해 보안 관리 서버(1)에 의해 장치 및 사용자 기반 인증서(device and user based certificate)가 만들어지고 서명되며, 그 후 신규 장치(3')에 전송된다. 중간자 공격을 피하기 위해, 신규 장치(3')상에서 장치 소유자에게 지문이 디스플레이된다. 디스플레이된 지문이 보안 관리 서버(1) 상에 디스플레이되거나 관리자에 의해 제공된 지문과 동일한 경우에, 사용자는 디스플레이된 지문을 받아들인다. 디스플레이된 지문이 동일하지 않은 경우, 사용자는 서명된 인증서를 거부해야한다. 사용자가 지문을 받아들인 경우, 신규 장치(3')는 보안 관리 서버(1)에 의해 보안 홈 네트워크(4)에 한 단계 더 연관된다.
이러한 맥락에서, 일회용 코드는 메시지를 전달하기 위해 오직 한 번만 사용되도록 의도되는 일회용 비밀번호: 미리 배열된 단어, 문구 또는 기호로 이해된다. 일회용 코드는 오직 하나의 로그인 세션 또는 트랜잭션(transaction) 동안만 유효하다. 이러한 맥락에서, 지문은 예를 들어 공용 키에 암호화 해쉬 함수를 적용함으로써 생성되는 공용 키 지문(public key fingerprint)으로서 이해된다. 지문은 특히, 예를 들어 서명된 인증서의 인증을 위해 사용될 수 있다.
일단 보안 홈 네트워크(4) 내의 2개의 장치(3)가 각자의 서명된 인증서에 의해 제공된 알려진 식별을 가지게 된 경우, 사용자들은 예를 들어 운송층 보안(TLS) 프로토콜, 데이타그램 운송층 보안(DTLS) 프로토콜 또는 임의의 기타 보안 프로토콜을 사용함으로써 2개의 장치(3) 사이의 상호 인증된 보안 연결을 셋업(setup)하는 데 사용할 수 있다. 보안 연결의 양단에서, 사용자의 구체적 기능성에 대한 액세스가 허용되거나 제한될 수 있도록 각각의 장치(3)에 연관된 사용자가 알려진다.
보안 홈 네트워크(4)를 만드는 방법은 이하의 단계들 중 여러 개를 포함한다.
1. 신규 관리자 계정을 생성함으로써 신규 보안 홈 네트워크가 만들어진다. 신규 관리자 계정의 관리자는 사용자들 및 사용자의 장치들을 추가하는 데에 책임이 있다.
2. 사용자는 보안 홈 네트워크를 위해 작동가능한 그의 장치상의 애플리케이션을 시작한다.
3. 사용자는 일회용 코드(OTC)를 타이핑하도록 요청받는다.
4. 관리자는 사용자가 신규인 경우 그의 보안 홈 네트워크에 사용자를 추가한다.
5. 신규 장치가 관리자에 의해 사용자를 위해 추가된다.
6. 보안 관리 서버(1)에서 윈도우가 OTC와 보안 관리 서버의 지문과 함께 표시된다.
7. 관리자는 사용자에게 OTC와 지문을 표시한다.
8. 사용자는 그의 장치상에 OTC를 입력한다.
9. 장치는 보안 관리 서버(1)에 연결한다.
10. 보안 관리 서버(1)는 장치를 식별하기 위해 OTC를 사용한다.
11. 보안 관리 서버(1)는 OTC를 검증하고, 보안 홈 네트워크를 위한 사용자 장치에 대한 장치 식별로서 서명된 인증서를 만든다.
12. 보안 관리 서버(1)는 장치 식별을 장치에게 다시 전송한다.
13. 장치는 사용자에게 지문을 표시한다.
14. 지문이 올바른 경우, 사용자는 지문을 받아들이고, 아닌 경우 그는 식별을 거부해야 한다.
15. 장치는 보안 홈 네트워크(4)의 다른 장치들과 안전하게 통신할 준비가 되었다.
이제, 보안 홈 네트워크에 신규 장치를 추가하는 방법에 대한 바람직한 실시예가 도 2에 관련하여 더 자세히 설명된다. 도 2는 관리자(6)에 의해 보안 홈 네트워크(4)에 통합되어야 하는 사용자(7)의 장치(3')와 보안 관리 서버(1) 사이의 상호작용을 도시하는 순서도다.
보안 홈 네트워크(4)는 나중에 보안 홈 네트워크(4)의 관리자(6)의 역할을 하는 임의의 사람의 요청에 따라 보안 관리 서버(1)에 의해 만들어진다. 보안 관리 서버(1)가 보안 홈 네트워크(4)를 위해 관리자 계정을 생성할 때, 관리자 계정에 대한 사용자 이름 및 비밀번호가 보안 관리 서버(1) 상에서 관리자(6)를 위해 만들어진다(단계 10). 관리자 계정과 함께, 서명을 위한 키 및 서버 인증서를 포함하는 키 페어(key pair) 또한 보안 관리 서버(1) 상에서 만들어진다(단계 11). 그러면, 보안 홈 네트워크(4)가 설립되고 사용자들 및 사용자의 장치는 관리자(6)에 의해 보안 홈 네트워크(4)에 추가될 수 있다.
단계(12)에서, 사용자(7)는 보안 홈 네트워크(4)에 장치(3')를 추가하기 위해 장치(3') 상에서 애플리케이션을 시작한다. 보안 홈 네트워크(4) 내에서의 장치(3')의 동작을 위해, 장치(3')는 사용자로부터 일회용 코드를 요청하고(단계 14), 이는 사용자가 보안 관리 서버(1)에 로그인하는 것을 허용한다. 그러면 사용자는 그의 장치(3')를 위한 일회용 코드를 제공하도록 관리자(6)에게 요청한다(단계 16). 그러면 관리자(6)는 보안 관리 서버(1) 상의 보안 홈 네트워크(4)에 사용자(7)를 추가하고(단계 18), 사용자(7), 즉 사용자의 장치(3')와 연관된 일회용 코드를 보안 관리 서버(1)로부터 요청한다(단계 20). 관리자(6)는 그의 관리자 계정을 위한 그의 사용자 이름과 비밀번호를 사용하여 보안 관리 서버(1)에 로그인한다.
단계(22)에서, 관리자는 사용자(7)에게 일회용 코드와, 보안 관리 서버(1)의 자원 위치 표시자(Uniform Resource Locator)(URL) 및 지문 또한 전달한다. 그러면 사용자(7)는 장치(3'), 특히 장치(3')의 애플리케이션이 보안 관리 서버(1)에 연결할 수 있도록(단계 26), 그의 장치(3')에 보안 관리 서버(1)의 URL 및 일회용 코드를 입력한다(단계 24). 다른 단계(28)에서, 애플리케이션은 단계(24) 이후에 서명을 위한 사용자 장치 키 및 사용자 장치 인증서를 포함하는 키 페어를 장치(3')에서 만든다. 사용자 장치 인증서는 특히 장치(3')의 장치 식별 번호를 포함한다.
단계(26) 이후에, 장치(3')가 보안 관리 서버(1)에 연결되었을 때, 보안 관리 서버(1)는 그의 서버 인증서 및 지문을 포함하는 메시지를 장치(3')에 전송한다(단계 30). 그 후 사용자(7)는 장치(3')상에서 서버 인증서의 지문을 검증하고(단계 32), 지문이 올바른 경우, 장치(3')는 그의 사용자 장치 인증서를 보안 관리 서버(1)에 전송한다(단계 34).
그러면 보안 관리 서버(1)는 일회용 코드를 취소하고, 그의 관리자 키로 사용자 장치 인증서에 서명하고, 서명된 사용자 장치 인증서, 사용자 및 장치(3')를 보안 홈 네트워크(4)와 연관짓는다(단계 36). 추가 단계(38)에서, 보안 관리 서버(1)는 관리자 키에 의해 서명된 사용자 장치 인증서를 장치(3')에 전송한다. 그러면 장치(3')는 보안 홈 네트워크(4) 내의 다른 장치들(3)과의 동작을 위해 이러한 서명된 사용자 장치 인증서를 보안 홈 네트워크(4) 내에 포함된 임의의 장치(3)에 전송한다(단계 40). 그러므로, 각각의 장치들 사이의 통신은 장치들(3, 3')의 각각에 대해 식별을 위해 관리자 키에 의해 서명된 각자의 사용자 장치 인증서를 사용함으로써 보안된다. 관리자 키에 의해 서명된 사용자 장치 인증서를 가지지 않는 다른 장치들은 보안 홈 네트워크(4)의 장치들(3, 3')과 통신할 수 없다.
보안 홈 네트워크(4)의 장치(3)와 장치(3') 사이의 보안 통신을 제공하기 위한 방법이 도 3에 도시된다. 장치(3')의 사용자는 관리자 키에 의해 서명된 그것의 사용자 장치 인증서를 포함하는 메시지를 전송함으로써 제2 사용자의 장치(3)에 연결한다(단계 50). 단계(52)에서, 장치(3)는 보안 관리 서버(1)의 서버 인증서를 사용함으로써 장치(3')의 사용자 장치 인증서를 검증한다. 장치(3)는 장치(3')의 사용자 장치 인증서가 취소되지 않았는지 여부도 점검한다(단계 54). 장치(3')가 검증된 경우, 장치(3)는 관리자 키로 서명된 그것의 사용자 장치 인증서를 포함하는 메시지를 전송함으로써 장치(3')에 연결한다(단계 56). 그러면 장치(3')가 서버 인증서를 사용하여 장치(3)의 사용자 장치 인증서를 검증하고(단계 58), 장치(3)의 사용자 장치 인증서가 취소되지 않았는지 여부도 점검한다(단계 60). 장치(3)의 사용자 장치 인증서가 유효한 경우, 장치들(3, 3')은 서로 사이의 통신 및 애플리케이션 사용을 위해 준비되었다(단계 62).
본 발명은 오직 믿을 수 있는 사용자들만 보안 홈 네트워크(4) 내에 허용되고, 믿을 수 있는 사용자들의 등록된 장치들(3)만이 보안 홈 네트워크(4)의 장치들과의 동작에 사용될 수 있다는 장점이 있다. 그러므로 보안 홈 네트워크(4) 내의 등록된 장치들 사이에서만 통신이 발생한다. 이에 더하여, 보안 홈 네트워크(4)의 장치들(3) 사이의 통신은 암호화될 수 있다. 이는 등록된 사용자들의 중요한 정보들을 임의의 악의의 사용으로부터 보호한다. 추가로, 보안 홈 네트워크(4)의 관리자는 등록된 사용자의 장치들을 모두 취소함으로써 그 사용자를 취소할 수 있다. 또한 분실되거나 도난당한 장치도 취소될 수 있다. 사용자 기반 액세스 제어 또한 가능하다. 이에 더하여, 등록된 홈 네트워크(4) 내의 장치들(3)을 위한 보안 관리 서버(1)에의 영구적인 연결의 필요가 없다. 보안 관리 서버(1)에의 연결은 예를 들어 신규 사용자 또는 신규 사용자의 장치를 보안 홈 네트워크(4)에 추가하거나 임의의 허가를 취소하기 위해서만 필요하다.
또한 본 발명의 다른 실시예들이 본 발명의 범위에서 벗어나지 않으면서 기술분야에 숙련된 자들에 의해 활용될 수 있다. 본 발명은 여기에서 이후에 첨부된 청구항에 속한다.

Claims (14)

  1. 보안 관리 서버(1) 및 홈 네트워크(4)를 포함하는 네트워크 시스템으로서,
    제1 장치(3')가,
    상기 보안 관리 서버(1)에 상기 제1 장치(3')를 연결하기 위해 사용되는 일회용 코드(one-time code)를 상기 보안 관리 서버(1)에서 생성하고,
    상기 제1 장치(3')에 서버 인증서를 전송하고,
    상기 보안 관리 서버(1)에 상기 제1 장치(3')에서 만들어진 사용자 장치 인증서를 전송하는 것
    에 의해 보안 홈 네트워크(4)에 추가되고,
    상기 사용자 장치 인증서는 상기 보안 관리 서버(1)에서 관리자 키(administrator key)로 서명되고,
    서명된 상기 사용자 장치 인증서는 상기 보안 관리 서버(1)에 의해 상기 제1 장치(3')에 전송되고, 상기 네트워크 시스템의 추가 장치(3)와의 통신을 위해 상기 제1 장치(3')에 의해 사용되는, 네트워크 시스템.
  2. 제1항에 있어서,
    상기 보안 관리 서버는 상기 제1 장치(3')를 식별하기 위해 상기 일회용 코드를 사용하고, 상기 서버 인증서는 지문(fingerprint)을 통해 상기 제1 장치(3') 상에서 검증되는, 네트워크 시스템.
  3. 제1항 또는 제2항에 있어서,
    상기 네트워크 시스템(4)은 상기 보안 관리 서버(1) 상에서 상기 제1 장치(3')를 위한 사용자 계정을 요청하는 관리자에 의해 제어되는, 네트워크 시스템.
  4. 제1항 내지 제3항 중 어느 한 항에 있어서,
    디바이스 투 디바이스 통신(device to device communication)은 장치들(3, 3') 사이의 상호 인증 이후에만 제공되고, 상기 장치들 모두 인증서가 필요하고, 상기 장치들은 상기 보안 관리 서버(1)에 등록되는, 네트워크 시스템.
  5. 제1항 내지 제4항 중 어느 한 항에 있어서,
    상기 보안 관리 서버(1)는 인터넷에 위치되고, 상기 네트워크 시스템(4)은 브로드밴드 연결(broadband connection)을 통한 상기 보안 관리 서버(1)와의 연결을 위해 조정되는, 네트워크 시스템.
  6. 보안 관리 서버(1) 및 홈 네트워크(4)를 포함하는 네트워크 시스템에 장치(3')를 포함시키는 방법으로서,
    상기 홈 네트워크 내에 상기 장치(3')를 포함시키기 위해 상기 장치상의 보안 애플리케이션(security application)을 시작하는 단계(12);
    상기 홈 네트워크의 관리자로부터 일회용 코드를 요청하는 단계(16);
    상기 관리자가 상기 보안 관리 서버상에서 상기 홈 네트워크(4)에 사용자를 추가하는 단계(18);
    상기 관리자가 상기 보안 관리 서버로부터 상기 사용자와 연관된 일회용 코드를 요청하는 단계(18);
    상기 관리자가 상기 사용자에게 상기 일회용 코드를 제공하는 단계(22);
    상기 사용자가, 상기 보안 관리 서버에 연결하기 위해 상기 장치에 상기 일회용 코드를 입력하고, 상기 보안 관리 서버의 자원 위치 표시자(Uniform Resource Locator)를 선택하는 단계(24);
    상기 장치(3')가 상기 보안 관리 서버에 연결하는 단계(26);
    상기 보안 관리 서버가 상기 장치에 상기 보안 관리 서버의 서버 인증서를 포함하는 메시지를 전송하는 단계(30);
    상기 장치가 상기 보안 관리 서버에 사용자 장치 인증서를 전송하는 단계(34);
    상기 보안 관리 서버가 관리자 키로 서명된 상기 사용자 장치 인증서를 상기 장치에 돌려보내는 단계(38); 및
    상기 장치가 식별을 위해 상기 관리자 키에 의해 서명된 상기 사용자 장치 인증서를 사용함으로써 상기 네트워크 시스템의 다른 장치들에 연결하는 단계(40)
    를 포함하는 방법.
  7. 제6항에 있어서,
    상기 사용자가 상기 장치에 상기 일회용 코드 및 상기 자원 위치 표시자를 입력한(24) 후에, 상기 장치는 상기 사용자 장치 인증서 및 사용자 장치 키를 포함하는 키 페어(key pair)를 만드는(28), 방법.
  8. 제6항 또는 제7항에 있어서,
    상기 사용자 장치 인증서는 상기 장치의 장치 식별 번호를 포함하는, 방법.
  9. 제6항 내지 제8항 중 어느 한 항에 있어서,
    상기 보안 관리 서버는 상기 관리자 키에 의해 서명된 상기 사용자 장치 인증서, 상기 사용자, 및 상기 장치를 상기 홈 네트워크와 연관시키는(36), 방법.
  10. 제6항 내지 제9항 중 어느 한 항에 있어서,
    상기 관리자는 상기 사용자에게 상기 일회용 코드와 함께 지문을 제공하고(22),
    상기 서버 인증서를 포함하는 상기 메시지는 지문을 더 포함하고(30),
    상기 장치가 상기 보안 관리 서버에 상기 사용자 장치 인증서를 전송하기(34) 전에, 상기 사용자는 상기 장치상에서 상기 지문을 검증해야(32) 하는, 방법.
  11. 제10항에 있어서,
    상기 보안 관리 서버의 상기 자원 위치 표시자는 상기 사용자에게 상기 일회용 코드 및 상기 지문과 함께 상기 관리자에 의해 제공되는(22), 방법.
  12. 제6항 내지 제11항 중 어느 한 항에 있어서,
    상기 장치의 상기 보안 애플리케이션은 상기 보안 관리 서버에 연결하는(26), 방법.
  13. 제6항 내지 제12항 중 어느 한 항에 있어서,
    상기 홈 네트워크는 보안 홈 네트워크인, 방법.
  14. 제6항 내지 제13항 중 어느 한 항에 있어서,
    상기 보안 관리 서버는 인터넷에 위치하거나, 상기 홈 네트워크의 일부분인, 방법.
KR1020157026365A 2013-03-28 2014-03-25 보안 관리 서버와 홈 네트워크를 포함하는 네트워크 시스템, 및 네트워크 시스템에 장치를 포함시키는 방법 KR20150138209A (ko)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
EP13305393.4 2013-03-28
EP13305393 2013-03-28
EP14305329.6 2014-03-07
EP14305329 2014-03-07
PCT/EP2014/055911 WO2014154660A1 (en) 2013-03-28 2014-03-25 Network system comprising a security management server and a home network, and method for including a device in the network system

Publications (1)

Publication Number Publication Date
KR20150138209A true KR20150138209A (ko) 2015-12-09

Family

ID=50346024

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020157026365A KR20150138209A (ko) 2013-03-28 2014-03-25 보안 관리 서버와 홈 네트워크를 포함하는 네트워크 시스템, 및 네트워크 시스템에 장치를 포함시키는 방법

Country Status (6)

Country Link
US (1) US9961078B2 (ko)
EP (1) EP2979420B1 (ko)
JP (1) JP2016521029A (ko)
KR (1) KR20150138209A (ko)
CN (1) CN105075219A (ko)
WO (1) WO2014154660A1 (ko)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103220280A (zh) * 2013-04-03 2013-07-24 天地融科技股份有限公司 动态口令牌、动态口令牌数据传输方法及系统
CN105991589B (zh) * 2015-02-13 2019-04-26 华为技术有限公司 一种用于重定向的方法、装置及系统
US9979553B2 (en) * 2015-08-06 2018-05-22 Airwatch Llc Secure certificate distribution
US10142323B2 (en) * 2016-04-11 2018-11-27 Huawei Technologies Co., Ltd. Activation of mobile devices in enterprise mobile management
US10243930B2 (en) * 2017-01-11 2019-03-26 Mastercard International Incorporated Systems and methods for secure communication bootstrapping of a device
CN107302535A (zh) * 2017-06-28 2017-10-27 深圳市欧乐在线技术发展有限公司 一种接入鉴权方法及装置
EP3422628B1 (de) 2017-06-29 2021-04-07 Siemens Aktiengesellschaft Verfahren, sicherheitseinrichtung und sicherheitssystem
US11647042B2 (en) 2017-11-28 2023-05-09 Visa International Service Association Systems and methods for protecting against relay attacks

Family Cites Families (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7415110B1 (en) 1999-03-24 2008-08-19 Intel Corporation Method and apparatus for the generation of cryptographic keys
CN1180566C (zh) * 2002-08-26 2004-12-15 联想(北京)有限公司 一种实现网络设备间安全可靠互连的方法
KR20050054970A (ko) * 2002-09-30 2005-06-10 마쯔시다덴기산교 가부시키가이샤 가정용 단말을 제어하는 장치, 방법 및 컴퓨터 소프트웨어제품
US7549048B2 (en) * 2004-03-19 2009-06-16 Microsoft Corporation Efficient and secure authentication of computing systems
JP4764039B2 (ja) 2005-03-17 2011-08-31 株式会社東芝 放射線検出器用蛍光体シートおよびそれを用いた放射線検出器
JP2006268618A (ja) 2005-03-25 2006-10-05 Funai Electric Co Ltd ホームネットワークシステム
WO2006119184A2 (en) * 2005-05-04 2006-11-09 Tricipher, Inc. Protecting one-time-passwords against man-in-the-middle attacks
US8312264B2 (en) * 2005-09-30 2012-11-13 Blue Coat Systems, Inc. Method and system for authentication among peer appliances within a computer network
WO2007077958A1 (en) 2005-12-26 2007-07-12 Matsushita Electric Industrial Co., Ltd. Mobile network managing apparatus and mobile information managing apparatus for controlling access requests
US20080016336A1 (en) * 2006-07-17 2008-01-17 Nokia Corporation Generic public key infrastructure architecture
GB2452251B (en) 2007-08-21 2010-03-24 Motorola Inc Method and apparatus for authenticating a network device
US8438618B2 (en) * 2007-12-21 2013-05-07 Intel Corporation Provisioning active management technology (AMT) in computer systems
US20090253409A1 (en) * 2008-04-07 2009-10-08 Telefonaktiebolaget Lm Ericsson (Publ) Method of Authenticating Home Operator for Over-the-Air Provisioning of a Wireless Device
US8228861B1 (en) * 2008-09-12 2012-07-24 Nix John A Efficient handover of media communications in heterogeneous IP networks using handover procedure rules and media handover relays
US9557889B2 (en) * 2009-01-28 2017-01-31 Headwater Partners I Llc Service plan design, user interfaces, application programming interfaces, and device management
US8797940B2 (en) * 2009-03-11 2014-08-05 Telefonaktiebolaget L M Ericsson (Publ) Setup and configuration of relay nodes
CN101814990A (zh) * 2010-04-15 2010-08-25 华中科技大学 一种面向家庭网络的数字版权证书管理系统
DE102011108003B4 (de) 2011-07-19 2013-07-25 Abb Technology Ag Prozessleitsystem
US20130091353A1 (en) * 2011-08-01 2013-04-11 General Instrument Corporation Apparatus and method for secure communication
EP2786607A1 (en) * 2011-12-02 2014-10-08 Entersect Technologies (Pty) Ltd. Mutually authenticated communication
US8862888B2 (en) * 2012-01-11 2014-10-14 King Saud University Systems and methods for three-factor authentication
US9467723B2 (en) * 2012-04-04 2016-10-11 Time Warner Cable Enterprises Llc Apparatus and methods for automated highlight reel creation in a content delivery network
US9053305B2 (en) * 2012-12-10 2015-06-09 Dell Products L.P. System and method for generating one-time password for information handling resource
US9819682B2 (en) * 2013-03-15 2017-11-14 Airwatch Llc Certificate based profile confirmation

Also Published As

Publication number Publication date
WO2014154660A1 (en) 2014-10-02
EP2979420A1 (en) 2016-02-03
CN105075219A (zh) 2015-11-18
US9961078B2 (en) 2018-05-01
JP2016521029A (ja) 2016-07-14
EP2979420B1 (en) 2019-07-03
US20160057141A1 (en) 2016-02-25

Similar Documents

Publication Publication Date Title
US9961078B2 (en) Network system comprising a security management server and a home network, and method for including a device in the network system
US8532620B2 (en) Trusted mobile device based security
US9892244B2 (en) System and method for installing authentication credentials on a network device
US9325714B2 (en) System and methods for access control based on a user identity
KR100820671B1 (ko) 네트워크상에서의 디바이스에 대한 액세스 권한 설정과디바이스간의 인증을 위한 방법 및 장치
US8800013B2 (en) Devolved authentication
US20160050193A1 (en) System and methods for secure communication in mobile devices
EP2544117A1 (en) Method and system for sharing or storing personal data without loss of privacy
KR101686167B1 (ko) 사물 인터넷 기기의 인증서 배포 장치 및 방법
EP2692166B1 (en) Authentication method and system
JP5602165B2 (ja) ネットワーク通信を保護する方法および装置
CN102970299A (zh) 文件安全保护系统及其方法
WO2013152159A1 (en) System and method for automatic provisioning of managed devices
CN104247485A (zh) 在通用自举架构中的网络应用功能授权
JP2017085568A (ja) 加入者宅内機器経由のサービスの安全なアクセスに対する方法及び装置
KR20090054774A (ko) 분산 네트워크 환경에서의 통합 보안 관리 방법
KR101001197B1 (ko) 로그인 제어 시스템 및 그 방법
US11146536B2 (en) Method and a system for managing user identities for use during communication between two web browsers
KR102053993B1 (ko) 인증서를 이용한 사용자 인증 방법
Jeong et al. Secure user authentication mechanism in digital home network environments
TWI652594B (zh) 用於登入的認證方法
CN113079506A (zh) 网络安全认证方法、装置及设备
KR20080026022A (ko) 정보 제공 방법, 클라이언트 인증 방법 및 drm 상호호환 시스템
CN115152258A (zh) 在内容分发网络中传输安全信息
TW202230171A (zh) 平台登入方法

Legal Events

Date Code Title Description
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid