KR20150138209A - 보안 관리 서버와 홈 네트워크를 포함하는 네트워크 시스템, 및 네트워크 시스템에 장치를 포함시키는 방법 - Google Patents
보안 관리 서버와 홈 네트워크를 포함하는 네트워크 시스템, 및 네트워크 시스템에 장치를 포함시키는 방법 Download PDFInfo
- Publication number
- KR20150138209A KR20150138209A KR1020157026365A KR20157026365A KR20150138209A KR 20150138209 A KR20150138209 A KR 20150138209A KR 1020157026365 A KR1020157026365 A KR 1020157026365A KR 20157026365 A KR20157026365 A KR 20157026365A KR 20150138209 A KR20150138209 A KR 20150138209A
- Authority
- KR
- South Korea
- Prior art keywords
- management server
- security management
- user
- certificate
- home network
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2803—Home automation networks
- H04L12/283—Processing of data at an internetworking point of a home automation network
- H04L12/2834—Switching of information between an external network and a home network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0863—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/35—Protecting application or service provisioning, e.g. securing SIM application provisioning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0838—Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/40—Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
- H04N21/43—Processing of content or additional data, e.g. demultiplexing additional data from a digital video stream; Elementary client operations, e.g. monitoring of home network or synchronising decoder's clock; Client middleware
- H04N21/436—Interfacing a local distribution network, e.g. communicating with another STB or one or more peripheral devices inside the home
- H04N21/43615—Interfacing a Home Network, e.g. for connecting the client to a plurality of peripherals
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
네트워크 시스템(4)은 보안 관리 서버(1)를 포함하고, 장치를 보안 관리 서버(1)에 연결하기 위해 사용되는 일회용 코드를 보안 관리 서버상에서 생성함으로써 제1 장치(3')가 네트워크 시스템에 추가된다. 서버 인증서는 장치(3')에 전송되고, 장치에서 만들어진 사용자 장치 인증서는 보안 관리 서버에 전송된다. 사용자 장치 인증서는 보안 관리 서버상에서의 관리자 키로 서명되고, 이러한 서명된 사용자 장치 인증서는 보안 관리 서버로부터 장치에 전송되고 네트워크 시스템의 추가 장치(3)와의 통신을 위해 장치에 의해 사용된다. 네트워크 시스템은 구체적으로는 보안 홈 네트워크이다.
Description
본 발명은 원격 통신 시스템 및 장치의 분야에 관한 것이고, 더 구체적으로는 서비스 제공자 네트워크와의 브로드밴드 연결(broadband connection)을 통해 작동하는 네트워크 시스템들 및 장치들에 관한 것이다.
가정용 게이트웨이들은 고객의 집에 있는 장치들을 인터넷 또는 임의의 기타 광역 네트워크(WAN)에 연결하기 위해 널리 사용된다. 가정용 게이트웨이들은 예를 들어 디지털 가입자 회선(digital subscriber line)(DSL) 기술을 사용하고, 이는 구리선 상에서 또는 광섬유 브로드밴드 송신 시스템(optical fiber broadband transmission systems)상에서 높은 데이터 송신율을 가능하게 한다.
홈 네트워크들은 많은 단말 사용자들에게 일상의 일부분이 되었다. 홈 네트워크는 여러 종류의 이질적인 구성요소들로 구성되어 있고, 이는 홈 네트워크가 상이한 유형의 장치들로 이루어져 있다는 것을 의미한다. 예를 들어, 스마트폰들, 태블릿들, PC들, 스마트 티비들, 셋-탑 박스들(set-top boxes)(STB), 게이트웨이들 및 네트워크 부속 저장 장치들(NAS)이 있다. 이러한 장치들은 종종 Apple의 Bonjour, 유니버설 플러그 앤 플레이(Universal Plug and Play)(UPnP), 서버 메시지 블락(SMB), 하이퍼텍스트 송신 프로토콜(Hypertext Transfer Protocol)(HTTP) 또는 IP 기반 전용 프로토콜들을 사용하여 서로 간에 통신한다.
사용자 장치들 사이의 통신은 종종 인증 메카니즘이 없이, 또는 장치에 로그인하는 사용자가 검증되기만 하는 약한 인증 메카니즘을 가지고 발생한다. 사용자들은 종종 인증을 쉽게 하기 위해 그들의 장치들에 동일한 비밀번호를 사용하지만, 이는 보안을 매우 약화시킨다.
홈 네트워크 내의 장치들 사이의 통신은 종종 어떠한 인증도 없이 발생한다.
약한 인증은 무차별 대입 공격(brute force attack)을 사용하여 쉽게 공격당할 수 있다. 디바이스 투 디바이스(device to device) 인증은 스니핑(sniffed)당할 수 있고, 데이터가 악용될 수 있다. 집 내의 많은 솔루션들은 예를 들어 홈 자동화 및 홈 보안을 위해 더 강한 보안을 필요로 한다. 홈 네트워크에의 임시 액세스를 가진 허가되지 않은 사용자들 또는 손님들이 안전하지 않은 방식으로 사용자의 홈 인프라구조(home infrastructure)와 통신할 수 있는 것은 용인될 수 없다.
본 발명에 따른 네트워크 시스템은 보안 관리 서버를 포함하고, 여기에서 제1 장치는 장치를 보안 관리 서버에 연결하기 위해 사용되는 일회용 코드를 보안 관리 서버상에서 생성하고, 이는 장치에게 서버 인증서를 전송함으로써 네트워크 시스템에 추가된다. 이에 더하여, 장치 내에서 생성되는 사용자 장치 인증서가 보안 관리 서버에 전송되고, 사용자 장치 인증서는 보안 관리 서버상의 관리자 키(administrator key)로 서명되고, 이 서명된 사용자 장치 인증서는 보안 관리 서버로부터 장치로 전송되고, 네트워크 시스템의 임의의 추가 장치와의 통신을 위해 장치에 의해 사용된다.
바람직한 실시예에서, 관리자는 사용자에게 일회용 코드와 함께 지문(fingerprint)을 제공하고, 메시지는 지문에 추가하여 서버 인증서를 포함하고, 사용자는 장치가 보안 관리 서버에 사용자 장치 인증서를 전송하기 전에, 장치상에서 지문을 검증해야한다.
네트워크 시스템은 네트워크 시스템 내에서 서로와 통신하는 사용자의 장치들 및 애플리케이션들을 보호한다. 네트워크 시스템은 관리자에 의해 관리되는 보안 인프라구조를 포함하고, 이는 네트워크 시스템을 관리하는 데에 책임이 있다. 관리자는 사용자들과 사용자의 장치들을 추가하는 데에 책임이 있다. 등록된 장치들만이 네트워크 시스템 내에서 사용될 수 있고 오직 장치들 사이의 상호 인증 후에만 디바이스 투 디바이스 통신이 제공되고, 이러한 통신을 위해 장치들 둘 다 인증서를 필요로 한다. 네트워크 시스템의 장치들 사이의 통신은 악의의 사용으로부터 중요한 정보를 보호하기 위해 암호화될 수 있다.
네트워크 시스템의 모든 장치들은 보안 관리 서버에 의해 서명된 인증서를 필요로 한다. 또한, 손님 사용자들은 관리자에 의해 네트워크 시스템에의 액세스가 허용될 수 있고, 이후에 액세스가 거부될 수 있다. 사용자는 네트워크 시스템으로부터 그의 모든 장치들을 취소(revoke)함으로써, 네트워크 시스템의 관리자에 의해 취소될 수 있다. 또한 분실되거나 도난된 장치 또한 관리자에 의해 취소될 수 있다.
본 발명의 추가 태양에서, 네트워크 시스템은 가정용 게이트웨이와 다수의 장치를 포함하는 보안 홈 네트워크이고, 여기에서 보안 홈 네트워크는 인터넷 서비스를 제공하기 위한 브로드밴드 연결을 통한 서비스 제공자 네트워크와의 연결을 위해 조정된다. 홈 네트워크는 관리자 키로 서명된 사용자 장치 인증서들을 사용함으로써 서로와 통신하는 장치들을 포함하는 홈 자동화 시스템 또한 포함할 수 있다.
본 발명의 바람직한 실시예들은 개략도를 참조하여 예시의 방법으로 이하에 더 자세히 설명된다.
도 1은 다수의 장치와 가정용 게이트웨이를 포함하는 보안 관리 서버 및 보안 홈 네트워크이다.
도 2는 도 1의 홈 네트워크에 신규 장치를 추가하는 방법을 도시하는 순서도이다.
도 3은 도 1의 홈 네트워크의 2개의 장치 사이의 보안 통신을 도시하는 순서도이다.
도 1은 다수의 장치와 가정용 게이트웨이를 포함하는 보안 관리 서버 및 보안 홈 네트워크이다.
도 2는 도 1의 홈 네트워크에 신규 장치를 추가하는 방법을 도시하는 순서도이다.
도 3은 도 1의 홈 네트워크의 2개의 장치 사이의 보안 통신을 도시하는 순서도이다.
이하의 설명에서, 보안 홈 네트워크 및 보안 관리 서버를 포함하는 네트워크 시스템과 네트워크 시스템 내에 장치를 포함시키는 방법이 설명된다. 설명의 목적을 위해, 다양한 구체적 상세사항들이 실시예들의 전체적 이해를 제공하기 위해 개시된다. 그러나, 기술분야의 숙련된 자에게 본 발명이 이러한 구체적 상세사항 없이 실시될 수 있다는 것이 명백할 것이다.
네트워크 시스템은 도 1에 개략적으로 도시된 바와 같이, 바람직한 실시예에서 가정용 게이트웨이(2) 및 다수의 장치(3)를 포함하는 보안 홈 네트워크(4) 및 보안 관리 서버(1)를 포함한다. 장치들(3)은 예를 들어 PC, 랩톱, 태블릿 PC, 스마트폰, 텔레비전 세트 및/또는 홈 자동화 시스템의 장치들과 같은 인터넷 사용가능한 장치들이다. 홈 자동화 시스템은 다수의 센서 및 카메라를 함께 연결한다. 가정용 게이트웨이(2)는 홈 네트워크(4)를 예를 들어 DSL 연결을 통해 네트워크 서비스 제공자(NSP) 네트워크 및 인터넷(5)과 연결한다.
보안 관리 서버(1)가 홈 네트워크(4)의 보안을 위해 제공되고, 바람직한 실시예에서는, 보안 홈 네트워크(4) 밖의 인터넷(5)에 위치된다. 이러한 경우에는, 보안 관리 서버(1)는 가정용 게이트웨이(2)를 통해 보안 홈 네트워크(4)로부터 접근가능하다. 보안 관리 서버(1)는 다수의 보안 홈 네트워크를 독립적으로 관리하도록 조정되어 있다. 각각의 보안 홈 네트워크는 각자의 관리자에 의해 제어된다.
장치(3')를 사용하는 사용자는 보안 홈 네트워크(4)의 관리자에 의해 보안 홈 네트워크(4) 및 보안 홈 네트워크(4)의 다른 장치들(3) 상의 애플리케이션의 명확히 정의된(well-defined) 기능성에 대한 액세스를 허가받게 될 것이다. 모든 장치들(3)은 장치들(3)의 사용자들이 원하지 않는 사람들로부터 보호를 받으면서 장치들(3)상에서, 그리고 그들 사이에서 애플리케이션들을 실행할 수 있도록 각각의 장치(3)의 보안을 책임지는 보안 애플리케이션을 더 실행한다. 관리자는 보안 관리 서버(1)에 인터넷을 통해 액세스할 수 있는 사람이거나, 예를 들어 보안 관리 서버(1)에 포함되는 소프트웨어 기능일 수 있다.
이하의 기능성이 보안 관리 서버(1)에서 이용가능하다.
● 신규 관리자 계정이 보안 관리 서버(1)에서 생성될 수 있다. 신규 관리자 계정을 생성함으로써, 대응되는 관리자에 의해 제어되는 신규 보안 홈 네트워크가 만들어진다.
● 사용자들은 보안 홈 네트워크의 관리자에 의해 보안 홈 네트워크에 추가될 수 있다.
● 관리자는 보안 홈 네트워크에 사용자의 장치들을 추가할 수 있다; 및
● 관리자는 보안 홈 네트워크(4)의 사용자들에게 액세스 권한을 허가할 수 있다.
보안 홈 네트워크(4)에 신규 장치(3')를 추가하기 위해, 관리자는 일회용 코드(OTC)를 보안 관리 서버(1)로부터 요청한다. 일회용 코드는 사용자에 의해 신규 장치(3')에 입력되고, 보안 관리 서버(1)로부터 장치(3')를 위한 서명된 인증서를 요청하기 위해 사용되고, 이러한 서명된 인증서는 신규 장치(3')를 위한 식별을 제공한다. 보안 관리 서버(1)는 일회용 코드가 알려진 것인지 검증한다. 알려진 것인 경우, 보안 홈 네트워크(4)에 대한 액세스를 허용하기 위해 보안 관리 서버(1)에 의해 장치 및 사용자 기반 인증서(device and user based certificate)가 만들어지고 서명되며, 그 후 신규 장치(3')에 전송된다. 중간자 공격을 피하기 위해, 신규 장치(3')상에서 장치 소유자에게 지문이 디스플레이된다. 디스플레이된 지문이 보안 관리 서버(1) 상에 디스플레이되거나 관리자에 의해 제공된 지문과 동일한 경우에, 사용자는 디스플레이된 지문을 받아들인다. 디스플레이된 지문이 동일하지 않은 경우, 사용자는 서명된 인증서를 거부해야한다. 사용자가 지문을 받아들인 경우, 신규 장치(3')는 보안 관리 서버(1)에 의해 보안 홈 네트워크(4)에 한 단계 더 연관된다.
이러한 맥락에서, 일회용 코드는 메시지를 전달하기 위해 오직 한 번만 사용되도록 의도되는 일회용 비밀번호: 미리 배열된 단어, 문구 또는 기호로 이해된다. 일회용 코드는 오직 하나의 로그인 세션 또는 트랜잭션(transaction) 동안만 유효하다. 이러한 맥락에서, 지문은 예를 들어 공용 키에 암호화 해쉬 함수를 적용함으로써 생성되는 공용 키 지문(public key fingerprint)으로서 이해된다. 지문은 특히, 예를 들어 서명된 인증서의 인증을 위해 사용될 수 있다.
일단 보안 홈 네트워크(4) 내의 2개의 장치(3)가 각자의 서명된 인증서에 의해 제공된 알려진 식별을 가지게 된 경우, 사용자들은 예를 들어 운송층 보안(TLS) 프로토콜, 데이타그램 운송층 보안(DTLS) 프로토콜 또는 임의의 기타 보안 프로토콜을 사용함으로써 2개의 장치(3) 사이의 상호 인증된 보안 연결을 셋업(setup)하는 데 사용할 수 있다. 보안 연결의 양단에서, 사용자의 구체적 기능성에 대한 액세스가 허용되거나 제한될 수 있도록 각각의 장치(3)에 연관된 사용자가 알려진다.
보안 홈 네트워크(4)를 만드는 방법은 이하의 단계들 중 여러 개를 포함한다.
1. 신규 관리자 계정을 생성함으로써 신규 보안 홈 네트워크가 만들어진다. 신규 관리자 계정의 관리자는 사용자들 및 사용자의 장치들을 추가하는 데에 책임이 있다.
2. 사용자는 보안 홈 네트워크를 위해 작동가능한 그의 장치상의 애플리케이션을 시작한다.
3. 사용자는 일회용 코드(OTC)를 타이핑하도록 요청받는다.
4. 관리자는 사용자가 신규인 경우 그의 보안 홈 네트워크에 사용자를 추가한다.
5. 신규 장치가 관리자에 의해 사용자를 위해 추가된다.
6. 보안 관리 서버(1)에서 윈도우가 OTC와 보안 관리 서버의 지문과 함께 표시된다.
7. 관리자는 사용자에게 OTC와 지문을 표시한다.
8. 사용자는 그의 장치상에 OTC를 입력한다.
9. 장치는 보안 관리 서버(1)에 연결한다.
10. 보안 관리 서버(1)는 장치를 식별하기 위해 OTC를 사용한다.
11. 보안 관리 서버(1)는 OTC를 검증하고, 보안 홈 네트워크를 위한 사용자 장치에 대한 장치 식별로서 서명된 인증서를 만든다.
12. 보안 관리 서버(1)는 장치 식별을 장치에게 다시 전송한다.
13. 장치는 사용자에게 지문을 표시한다.
14. 지문이 올바른 경우, 사용자는 지문을 받아들이고, 아닌 경우 그는 식별을 거부해야 한다.
15. 장치는 보안 홈 네트워크(4)의 다른 장치들과 안전하게 통신할 준비가 되었다.
이제, 보안 홈 네트워크에 신규 장치를 추가하는 방법에 대한 바람직한 실시예가 도 2에 관련하여 더 자세히 설명된다. 도 2는 관리자(6)에 의해 보안 홈 네트워크(4)에 통합되어야 하는 사용자(7)의 장치(3')와 보안 관리 서버(1) 사이의 상호작용을 도시하는 순서도다.
보안 홈 네트워크(4)는 나중에 보안 홈 네트워크(4)의 관리자(6)의 역할을 하는 임의의 사람의 요청에 따라 보안 관리 서버(1)에 의해 만들어진다. 보안 관리 서버(1)가 보안 홈 네트워크(4)를 위해 관리자 계정을 생성할 때, 관리자 계정에 대한 사용자 이름 및 비밀번호가 보안 관리 서버(1) 상에서 관리자(6)를 위해 만들어진다(단계 10). 관리자 계정과 함께, 서명을 위한 키 및 서버 인증서를 포함하는 키 페어(key pair) 또한 보안 관리 서버(1) 상에서 만들어진다(단계 11). 그러면, 보안 홈 네트워크(4)가 설립되고 사용자들 및 사용자의 장치는 관리자(6)에 의해 보안 홈 네트워크(4)에 추가될 수 있다.
단계(12)에서, 사용자(7)는 보안 홈 네트워크(4)에 장치(3')를 추가하기 위해 장치(3') 상에서 애플리케이션을 시작한다. 보안 홈 네트워크(4) 내에서의 장치(3')의 동작을 위해, 장치(3')는 사용자로부터 일회용 코드를 요청하고(단계 14), 이는 사용자가 보안 관리 서버(1)에 로그인하는 것을 허용한다. 그러면 사용자는 그의 장치(3')를 위한 일회용 코드를 제공하도록 관리자(6)에게 요청한다(단계 16). 그러면 관리자(6)는 보안 관리 서버(1) 상의 보안 홈 네트워크(4)에 사용자(7)를 추가하고(단계 18), 사용자(7), 즉 사용자의 장치(3')와 연관된 일회용 코드를 보안 관리 서버(1)로부터 요청한다(단계 20). 관리자(6)는 그의 관리자 계정을 위한 그의 사용자 이름과 비밀번호를 사용하여 보안 관리 서버(1)에 로그인한다.
단계(22)에서, 관리자는 사용자(7)에게 일회용 코드와, 보안 관리 서버(1)의 자원 위치 표시자(Uniform Resource Locator)(URL) 및 지문 또한 전달한다. 그러면 사용자(7)는 장치(3'), 특히 장치(3')의 애플리케이션이 보안 관리 서버(1)에 연결할 수 있도록(단계 26), 그의 장치(3')에 보안 관리 서버(1)의 URL 및 일회용 코드를 입력한다(단계 24). 다른 단계(28)에서, 애플리케이션은 단계(24) 이후에 서명을 위한 사용자 장치 키 및 사용자 장치 인증서를 포함하는 키 페어를 장치(3')에서 만든다. 사용자 장치 인증서는 특히 장치(3')의 장치 식별 번호를 포함한다.
단계(26) 이후에, 장치(3')가 보안 관리 서버(1)에 연결되었을 때, 보안 관리 서버(1)는 그의 서버 인증서 및 지문을 포함하는 메시지를 장치(3')에 전송한다(단계 30). 그 후 사용자(7)는 장치(3')상에서 서버 인증서의 지문을 검증하고(단계 32), 지문이 올바른 경우, 장치(3')는 그의 사용자 장치 인증서를 보안 관리 서버(1)에 전송한다(단계 34).
그러면 보안 관리 서버(1)는 일회용 코드를 취소하고, 그의 관리자 키로 사용자 장치 인증서에 서명하고, 서명된 사용자 장치 인증서, 사용자 및 장치(3')를 보안 홈 네트워크(4)와 연관짓는다(단계 36). 추가 단계(38)에서, 보안 관리 서버(1)는 관리자 키에 의해 서명된 사용자 장치 인증서를 장치(3')에 전송한다. 그러면 장치(3')는 보안 홈 네트워크(4) 내의 다른 장치들(3)과의 동작을 위해 이러한 서명된 사용자 장치 인증서를 보안 홈 네트워크(4) 내에 포함된 임의의 장치(3)에 전송한다(단계 40). 그러므로, 각각의 장치들 사이의 통신은 장치들(3, 3')의 각각에 대해 식별을 위해 관리자 키에 의해 서명된 각자의 사용자 장치 인증서를 사용함으로써 보안된다. 관리자 키에 의해 서명된 사용자 장치 인증서를 가지지 않는 다른 장치들은 보안 홈 네트워크(4)의 장치들(3, 3')과 통신할 수 없다.
보안 홈 네트워크(4)의 장치(3)와 장치(3') 사이의 보안 통신을 제공하기 위한 방법이 도 3에 도시된다. 장치(3')의 사용자는 관리자 키에 의해 서명된 그것의 사용자 장치 인증서를 포함하는 메시지를 전송함으로써 제2 사용자의 장치(3)에 연결한다(단계 50). 단계(52)에서, 장치(3)는 보안 관리 서버(1)의 서버 인증서를 사용함으로써 장치(3')의 사용자 장치 인증서를 검증한다. 장치(3)는 장치(3')의 사용자 장치 인증서가 취소되지 않았는지 여부도 점검한다(단계 54). 장치(3')가 검증된 경우, 장치(3)는 관리자 키로 서명된 그것의 사용자 장치 인증서를 포함하는 메시지를 전송함으로써 장치(3')에 연결한다(단계 56). 그러면 장치(3')가 서버 인증서를 사용하여 장치(3)의 사용자 장치 인증서를 검증하고(단계 58), 장치(3)의 사용자 장치 인증서가 취소되지 않았는지 여부도 점검한다(단계 60). 장치(3)의 사용자 장치 인증서가 유효한 경우, 장치들(3, 3')은 서로 사이의 통신 및 애플리케이션 사용을 위해 준비되었다(단계 62).
본 발명은 오직 믿을 수 있는 사용자들만 보안 홈 네트워크(4) 내에 허용되고, 믿을 수 있는 사용자들의 등록된 장치들(3)만이 보안 홈 네트워크(4)의 장치들과의 동작에 사용될 수 있다는 장점이 있다. 그러므로 보안 홈 네트워크(4) 내의 등록된 장치들 사이에서만 통신이 발생한다. 이에 더하여, 보안 홈 네트워크(4)의 장치들(3) 사이의 통신은 암호화될 수 있다. 이는 등록된 사용자들의 중요한 정보들을 임의의 악의의 사용으로부터 보호한다. 추가로, 보안 홈 네트워크(4)의 관리자는 등록된 사용자의 장치들을 모두 취소함으로써 그 사용자를 취소할 수 있다. 또한 분실되거나 도난당한 장치도 취소될 수 있다. 사용자 기반 액세스 제어 또한 가능하다. 이에 더하여, 등록된 홈 네트워크(4) 내의 장치들(3)을 위한 보안 관리 서버(1)에의 영구적인 연결의 필요가 없다. 보안 관리 서버(1)에의 연결은 예를 들어 신규 사용자 또는 신규 사용자의 장치를 보안 홈 네트워크(4)에 추가하거나 임의의 허가를 취소하기 위해서만 필요하다.
또한 본 발명의 다른 실시예들이 본 발명의 범위에서 벗어나지 않으면서 기술분야에 숙련된 자들에 의해 활용될 수 있다. 본 발명은 여기에서 이후에 첨부된 청구항에 속한다.
Claims (14)
- 보안 관리 서버(1) 및 홈 네트워크(4)를 포함하는 네트워크 시스템으로서,
제1 장치(3')가,
상기 보안 관리 서버(1)에 상기 제1 장치(3')를 연결하기 위해 사용되는 일회용 코드(one-time code)를 상기 보안 관리 서버(1)에서 생성하고,
상기 제1 장치(3')에 서버 인증서를 전송하고,
상기 보안 관리 서버(1)에 상기 제1 장치(3')에서 만들어진 사용자 장치 인증서를 전송하는 것
에 의해 보안 홈 네트워크(4)에 추가되고,
상기 사용자 장치 인증서는 상기 보안 관리 서버(1)에서 관리자 키(administrator key)로 서명되고,
서명된 상기 사용자 장치 인증서는 상기 보안 관리 서버(1)에 의해 상기 제1 장치(3')에 전송되고, 상기 네트워크 시스템의 추가 장치(3)와의 통신을 위해 상기 제1 장치(3')에 의해 사용되는, 네트워크 시스템. - 제1항에 있어서,
상기 보안 관리 서버는 상기 제1 장치(3')를 식별하기 위해 상기 일회용 코드를 사용하고, 상기 서버 인증서는 지문(fingerprint)을 통해 상기 제1 장치(3') 상에서 검증되는, 네트워크 시스템. - 제1항 또는 제2항에 있어서,
상기 네트워크 시스템(4)은 상기 보안 관리 서버(1) 상에서 상기 제1 장치(3')를 위한 사용자 계정을 요청하는 관리자에 의해 제어되는, 네트워크 시스템. - 제1항 내지 제3항 중 어느 한 항에 있어서,
디바이스 투 디바이스 통신(device to device communication)은 장치들(3, 3') 사이의 상호 인증 이후에만 제공되고, 상기 장치들 모두 인증서가 필요하고, 상기 장치들은 상기 보안 관리 서버(1)에 등록되는, 네트워크 시스템. - 제1항 내지 제4항 중 어느 한 항에 있어서,
상기 보안 관리 서버(1)는 인터넷에 위치되고, 상기 네트워크 시스템(4)은 브로드밴드 연결(broadband connection)을 통한 상기 보안 관리 서버(1)와의 연결을 위해 조정되는, 네트워크 시스템. - 보안 관리 서버(1) 및 홈 네트워크(4)를 포함하는 네트워크 시스템에 장치(3')를 포함시키는 방법으로서,
상기 홈 네트워크 내에 상기 장치(3')를 포함시키기 위해 상기 장치상의 보안 애플리케이션(security application)을 시작하는 단계(12);
상기 홈 네트워크의 관리자로부터 일회용 코드를 요청하는 단계(16);
상기 관리자가 상기 보안 관리 서버상에서 상기 홈 네트워크(4)에 사용자를 추가하는 단계(18);
상기 관리자가 상기 보안 관리 서버로부터 상기 사용자와 연관된 일회용 코드를 요청하는 단계(18);
상기 관리자가 상기 사용자에게 상기 일회용 코드를 제공하는 단계(22);
상기 사용자가, 상기 보안 관리 서버에 연결하기 위해 상기 장치에 상기 일회용 코드를 입력하고, 상기 보안 관리 서버의 자원 위치 표시자(Uniform Resource Locator)를 선택하는 단계(24);
상기 장치(3')가 상기 보안 관리 서버에 연결하는 단계(26);
상기 보안 관리 서버가 상기 장치에 상기 보안 관리 서버의 서버 인증서를 포함하는 메시지를 전송하는 단계(30);
상기 장치가 상기 보안 관리 서버에 사용자 장치 인증서를 전송하는 단계(34);
상기 보안 관리 서버가 관리자 키로 서명된 상기 사용자 장치 인증서를 상기 장치에 돌려보내는 단계(38); 및
상기 장치가 식별을 위해 상기 관리자 키에 의해 서명된 상기 사용자 장치 인증서를 사용함으로써 상기 네트워크 시스템의 다른 장치들에 연결하는 단계(40)
를 포함하는 방법. - 제6항에 있어서,
상기 사용자가 상기 장치에 상기 일회용 코드 및 상기 자원 위치 표시자를 입력한(24) 후에, 상기 장치는 상기 사용자 장치 인증서 및 사용자 장치 키를 포함하는 키 페어(key pair)를 만드는(28), 방법. - 제6항 또는 제7항에 있어서,
상기 사용자 장치 인증서는 상기 장치의 장치 식별 번호를 포함하는, 방법. - 제6항 내지 제8항 중 어느 한 항에 있어서,
상기 보안 관리 서버는 상기 관리자 키에 의해 서명된 상기 사용자 장치 인증서, 상기 사용자, 및 상기 장치를 상기 홈 네트워크와 연관시키는(36), 방법. - 제6항 내지 제9항 중 어느 한 항에 있어서,
상기 관리자는 상기 사용자에게 상기 일회용 코드와 함께 지문을 제공하고(22),
상기 서버 인증서를 포함하는 상기 메시지는 지문을 더 포함하고(30),
상기 장치가 상기 보안 관리 서버에 상기 사용자 장치 인증서를 전송하기(34) 전에, 상기 사용자는 상기 장치상에서 상기 지문을 검증해야(32) 하는, 방법. - 제10항에 있어서,
상기 보안 관리 서버의 상기 자원 위치 표시자는 상기 사용자에게 상기 일회용 코드 및 상기 지문과 함께 상기 관리자에 의해 제공되는(22), 방법. - 제6항 내지 제11항 중 어느 한 항에 있어서,
상기 장치의 상기 보안 애플리케이션은 상기 보안 관리 서버에 연결하는(26), 방법. - 제6항 내지 제12항 중 어느 한 항에 있어서,
상기 홈 네트워크는 보안 홈 네트워크인, 방법. - 제6항 내지 제13항 중 어느 한 항에 있어서,
상기 보안 관리 서버는 인터넷에 위치하거나, 상기 홈 네트워크의 일부분인, 방법.
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP13305393.4 | 2013-03-28 | ||
EP13305393 | 2013-03-28 | ||
EP14305329.6 | 2014-03-07 | ||
EP14305329 | 2014-03-07 | ||
PCT/EP2014/055911 WO2014154660A1 (en) | 2013-03-28 | 2014-03-25 | Network system comprising a security management server and a home network, and method for including a device in the network system |
Publications (1)
Publication Number | Publication Date |
---|---|
KR20150138209A true KR20150138209A (ko) | 2015-12-09 |
Family
ID=50346024
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020157026365A KR20150138209A (ko) | 2013-03-28 | 2014-03-25 | 보안 관리 서버와 홈 네트워크를 포함하는 네트워크 시스템, 및 네트워크 시스템에 장치를 포함시키는 방법 |
Country Status (6)
Country | Link |
---|---|
US (1) | US9961078B2 (ko) |
EP (1) | EP2979420B1 (ko) |
JP (1) | JP2016521029A (ko) |
KR (1) | KR20150138209A (ko) |
CN (1) | CN105075219A (ko) |
WO (1) | WO2014154660A1 (ko) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103220280A (zh) * | 2013-04-03 | 2013-07-24 | 天地融科技股份有限公司 | 动态口令牌、动态口令牌数据传输方法及系统 |
CN105991589B (zh) * | 2015-02-13 | 2019-04-26 | 华为技术有限公司 | 一种用于重定向的方法、装置及系统 |
US9979553B2 (en) * | 2015-08-06 | 2018-05-22 | Airwatch Llc | Secure certificate distribution |
US10142323B2 (en) * | 2016-04-11 | 2018-11-27 | Huawei Technologies Co., Ltd. | Activation of mobile devices in enterprise mobile management |
US10243930B2 (en) * | 2017-01-11 | 2019-03-26 | Mastercard International Incorporated | Systems and methods for secure communication bootstrapping of a device |
CN107302535A (zh) * | 2017-06-28 | 2017-10-27 | 深圳市欧乐在线技术发展有限公司 | 一种接入鉴权方法及装置 |
EP3422628B1 (de) | 2017-06-29 | 2021-04-07 | Siemens Aktiengesellschaft | Verfahren, sicherheitseinrichtung und sicherheitssystem |
US11647042B2 (en) | 2017-11-28 | 2023-05-09 | Visa International Service Association | Systems and methods for protecting against relay attacks |
Family Cites Families (24)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7415110B1 (en) | 1999-03-24 | 2008-08-19 | Intel Corporation | Method and apparatus for the generation of cryptographic keys |
CN1180566C (zh) * | 2002-08-26 | 2004-12-15 | 联想(北京)有限公司 | 一种实现网络设备间安全可靠互连的方法 |
KR20050054970A (ko) * | 2002-09-30 | 2005-06-10 | 마쯔시다덴기산교 가부시키가이샤 | 가정용 단말을 제어하는 장치, 방법 및 컴퓨터 소프트웨어제품 |
US7549048B2 (en) * | 2004-03-19 | 2009-06-16 | Microsoft Corporation | Efficient and secure authentication of computing systems |
JP4764039B2 (ja) | 2005-03-17 | 2011-08-31 | 株式会社東芝 | 放射線検出器用蛍光体シートおよびそれを用いた放射線検出器 |
JP2006268618A (ja) | 2005-03-25 | 2006-10-05 | Funai Electric Co Ltd | ホームネットワークシステム |
WO2006119184A2 (en) * | 2005-05-04 | 2006-11-09 | Tricipher, Inc. | Protecting one-time-passwords against man-in-the-middle attacks |
US8312264B2 (en) * | 2005-09-30 | 2012-11-13 | Blue Coat Systems, Inc. | Method and system for authentication among peer appliances within a computer network |
WO2007077958A1 (en) | 2005-12-26 | 2007-07-12 | Matsushita Electric Industrial Co., Ltd. | Mobile network managing apparatus and mobile information managing apparatus for controlling access requests |
US20080016336A1 (en) * | 2006-07-17 | 2008-01-17 | Nokia Corporation | Generic public key infrastructure architecture |
GB2452251B (en) | 2007-08-21 | 2010-03-24 | Motorola Inc | Method and apparatus for authenticating a network device |
US8438618B2 (en) * | 2007-12-21 | 2013-05-07 | Intel Corporation | Provisioning active management technology (AMT) in computer systems |
US20090253409A1 (en) * | 2008-04-07 | 2009-10-08 | Telefonaktiebolaget Lm Ericsson (Publ) | Method of Authenticating Home Operator for Over-the-Air Provisioning of a Wireless Device |
US8228861B1 (en) * | 2008-09-12 | 2012-07-24 | Nix John A | Efficient handover of media communications in heterogeneous IP networks using handover procedure rules and media handover relays |
US9557889B2 (en) * | 2009-01-28 | 2017-01-31 | Headwater Partners I Llc | Service plan design, user interfaces, application programming interfaces, and device management |
US8797940B2 (en) * | 2009-03-11 | 2014-08-05 | Telefonaktiebolaget L M Ericsson (Publ) | Setup and configuration of relay nodes |
CN101814990A (zh) * | 2010-04-15 | 2010-08-25 | 华中科技大学 | 一种面向家庭网络的数字版权证书管理系统 |
DE102011108003B4 (de) | 2011-07-19 | 2013-07-25 | Abb Technology Ag | Prozessleitsystem |
US20130091353A1 (en) * | 2011-08-01 | 2013-04-11 | General Instrument Corporation | Apparatus and method for secure communication |
EP2786607A1 (en) * | 2011-12-02 | 2014-10-08 | Entersect Technologies (Pty) Ltd. | Mutually authenticated communication |
US8862888B2 (en) * | 2012-01-11 | 2014-10-14 | King Saud University | Systems and methods for three-factor authentication |
US9467723B2 (en) * | 2012-04-04 | 2016-10-11 | Time Warner Cable Enterprises Llc | Apparatus and methods for automated highlight reel creation in a content delivery network |
US9053305B2 (en) * | 2012-12-10 | 2015-06-09 | Dell Products L.P. | System and method for generating one-time password for information handling resource |
US9819682B2 (en) * | 2013-03-15 | 2017-11-14 | Airwatch Llc | Certificate based profile confirmation |
-
2014
- 2014-03-25 KR KR1020157026365A patent/KR20150138209A/ko not_active Application Discontinuation
- 2014-03-25 CN CN201480018829.2A patent/CN105075219A/zh active Pending
- 2014-03-25 US US14/780,647 patent/US9961078B2/en active Active
- 2014-03-25 WO PCT/EP2014/055911 patent/WO2014154660A1/en active Application Filing
- 2014-03-25 JP JP2016504624A patent/JP2016521029A/ja active Pending
- 2014-03-25 EP EP14711989.5A patent/EP2979420B1/en active Active
Also Published As
Publication number | Publication date |
---|---|
WO2014154660A1 (en) | 2014-10-02 |
EP2979420A1 (en) | 2016-02-03 |
CN105075219A (zh) | 2015-11-18 |
US9961078B2 (en) | 2018-05-01 |
JP2016521029A (ja) | 2016-07-14 |
EP2979420B1 (en) | 2019-07-03 |
US20160057141A1 (en) | 2016-02-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9961078B2 (en) | Network system comprising a security management server and a home network, and method for including a device in the network system | |
US8532620B2 (en) | Trusted mobile device based security | |
US9892244B2 (en) | System and method for installing authentication credentials on a network device | |
US9325714B2 (en) | System and methods for access control based on a user identity | |
KR100820671B1 (ko) | 네트워크상에서의 디바이스에 대한 액세스 권한 설정과디바이스간의 인증을 위한 방법 및 장치 | |
US8800013B2 (en) | Devolved authentication | |
US20160050193A1 (en) | System and methods for secure communication in mobile devices | |
EP2544117A1 (en) | Method and system for sharing or storing personal data without loss of privacy | |
KR101686167B1 (ko) | 사물 인터넷 기기의 인증서 배포 장치 및 방법 | |
EP2692166B1 (en) | Authentication method and system | |
JP5602165B2 (ja) | ネットワーク通信を保護する方法および装置 | |
CN102970299A (zh) | 文件安全保护系统及其方法 | |
WO2013152159A1 (en) | System and method for automatic provisioning of managed devices | |
CN104247485A (zh) | 在通用自举架构中的网络应用功能授权 | |
JP2017085568A (ja) | 加入者宅内機器経由のサービスの安全なアクセスに対する方法及び装置 | |
KR20090054774A (ko) | 분산 네트워크 환경에서의 통합 보안 관리 방법 | |
KR101001197B1 (ko) | 로그인 제어 시스템 및 그 방법 | |
US11146536B2 (en) | Method and a system for managing user identities for use during communication between two web browsers | |
KR102053993B1 (ko) | 인증서를 이용한 사용자 인증 방법 | |
Jeong et al. | Secure user authentication mechanism in digital home network environments | |
TWI652594B (zh) | 用於登入的認證方法 | |
CN113079506A (zh) | 网络安全认证方法、装置及设备 | |
KR20080026022A (ko) | 정보 제공 방법, 클라이언트 인증 방법 및 drm 상호호환 시스템 | |
CN115152258A (zh) | 在内容分发网络中传输安全信息 | |
TW202230171A (zh) | 平台登入方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
WITN | Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid |