KR20160099256A - Authentication server for authentication of the device in IoT based smart work environment, method thereof and system - Google Patents

Authentication server for authentication of the device in IoT based smart work environment, method thereof and system Download PDF

Info

Publication number
KR20160099256A
KR20160099256A KR1020150021476A KR20150021476A KR20160099256A KR 20160099256 A KR20160099256 A KR 20160099256A KR 1020150021476 A KR1020150021476 A KR 1020150021476A KR 20150021476 A KR20150021476 A KR 20150021476A KR 20160099256 A KR20160099256 A KR 20160099256A
Authority
KR
South Korea
Prior art keywords
intelligent device
authentication
value
authentication server
service
Prior art date
Application number
KR1020150021476A
Other languages
Korean (ko)
Inventor
문종식
권혁찬
김신효
안개일
이석준
정도영
정병호
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020150021476A priority Critical patent/KR20160099256A/en
Publication of KR20160099256A publication Critical patent/KR20160099256A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Telephonic Communication Services (AREA)

Abstract

Disclosed are an authentication server, an authentication method, and a system for authenticating a device in an Internet of things (IoT)-based smart work environment, which authenticate and authorize an intelligent or non-intelligent device in an IoT-based smart work environment. An authentication server for providing a first service to an intelligent device over a first network in an IoT-based smart work environment according to an aspect of the present invention comprises: a communication unit which receives an identification value of an intelligent device and a first one-time password, generated in the intelligent device, from the intelligent device; an authentication unit which generates a second one-time password for authentication of the first one-time password, and performs a process of authenticating the intelligent device by comparing the first one-time password with the second one-time password; and a generation unit which generates an approval ticket to approve the use of a first service according to an authentication result of the authentication unit, and issues the generated authorization ticket to the intelligent device.

Description

IoT 기반 스마트 워크 환경에서 디바이스 인증을 위한 인증 서버, 인증 방법 및 시스템{Authentication server for authentication of the device in IoT based smart work environment, method thereof and system}Technical Field [0001] The present invention relates to an authentication server, an authentication method, and a system for device authentication in an IoT-based smart work environment,

본 발명은 사물 인터넷(Internet of Things, IoT) 기술에 관한 것으로, 특히 IoT 기반 스마트 워크 환경에서 지능형 디바이스 및 비지능형 디바이스 각각을 인증 및 인가하는 기술에 관한 것이다.
BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to Internet of Things (IoT) technology, and more particularly, to a technology for authenticating and authenticating each of an intelligent device and a non-intelligent device in an IoT-based smart work environment.

네트워크 및 스마트 디바이스의 발전과 다양한 서비스 분야의 기술이 융합되어 사물 인터넷(Internet Of Thing, IoT) 기반의 스마트 워크 환경으로 빠르게 변화되고 있다. 이에 따라, 기존의 네트워크 인프라는 점차적으로 스마트 워크 환경에서 스마트 홈 네트워크 및 오피스 네트워크 플랫폼으로 발전하고 있다. The development of network and smart devices and the convergence of technologies in various service fields are rapidly changing to a smart work environment based on Internet Of Thing (IOT). Accordingly, the existing network infrastructure is gradually evolving from a smart work environment to a smart home network and an office network platform.

그 중 스마트 오피스 네트워크 플랫폼은 유선 환경뿐만 아니라 무선 네트워크 환경으로 발전하고 있다. 현재 스마트 홈 네트워크 및 오피스 네트워크 환경이 집약되어 통합 서비스를 제공하는 방향으로 많은 연구가 진행되고 있다. 이에 따른, IoT 기반의 스마트 워크 환경으로의 진화는 다양한 서비스 도메인에서 디바이스 이동이 증가될 것이며, 스마트 워크 디바이스 간의 협업에 의한 새로운 서비스가 증가할 것이다.Among them, smart office network platform is evolving into wireless network environment as well as wired environment. Currently, many researches are being conducted to integrate smart home network and office network environment to provide integrated services. Accordingly, the evolution to IoT-based smart work environment will increase device movement in various service domains, and new services by collaboration among smart work devices will increase.

IoT 기반의 스마트 워크 환경은 수많은 디바이스가 연결되고, 무선 네트워크 기반으로 동작하기 때문에, 다양한 보안 위협의 발생 가능성이 증가하며, 네트워크에 대한 불법적인 접근이 가능하다. 따라서, 디바이스에 대한 안전성 확인을 통해 스마트 워크 환경에서 비인가 디바이스의 서비스 이용을 차단하고, 정당한 디바이스만 접근 가능해야 한다. 즉, 다양한 보안 기술을 스마트 워크 환경에 적용하여, 정당한 디바이스를 통해서만 안전하고 효율적인 서비스를 제공받을 수 있게 하는 한 단계 강화된 보안의 필요성이 제기되고 있다.IoT-based smart work environment increases the possibility of various security threats, and illegal access to network is possible because many devices are connected and operated based on wireless network. Therefore, it is necessary to block the use of unauthorized devices in the smart work environment by checking the safety of the devices, and access only legitimate devices. In other words, there is a need for a step-up security that enables various security technologies to be applied to a smart work environment and to provide safe and efficient services only through legitimate devices.

기존의 디바이스 인증/인가 기술은 단일 도메인의 디바이스 간 상호인증을 위해 공인인증 기관을 통해 인증을 제공하거나, ID/PW를 이용하여 인증을 제공하는 등의 방식이 있다. 그러나 IoT 기반의 스마트 워크 환경과 같은 멀티 도메인 환경을 위해서, 추가적인 디바이스 인증/인가 기술의 개발이 필요하다. 또한, 기존의 디바이스 인증/인가 기술을 센서 디바이스에 응용하기에는 연산량 등의 문제가 발생할 수 있으며, 서버를 활용한 KEY 혹은 인증서 확인 방식은 모든 사물이 연결되는 IoT 환경에는 맞지 않는다.
The existing device authentication / authorization technology provides authentication through a public certification authority for mutual authentication between devices in a single domain, or provides authentication using an ID / PW. However, for multi-domain environments like IoT-based smart work environment, it is necessary to develop additional device authentication / authorization technology. In addition, the existing device authentication / authorization technology may cause problems such as the amount of computation to be applied to the sensor device, and the KEY or certificate verification method using the server does not fit the IoT environment in which all objects are connected.

본 발명은 IoT 기반의 스마트 워크 환경에서 지능형 디바이스 및 비지능형 디바이스를 인증 및 인가하는 기술적 방안을 제공함을 목적으로 한다.
An object of the present invention is to provide a technical solution for authenticating and authenticating an intelligent device and a non-intelligent device in an IoT-based smart work environment.

전술한 과제를 달성하기 위한 본 발명의 일 양상에 따른 IoT(Internet of Thing) 기반의 스마트 워크 환경에서 지능형 디바이스에 제1 네트워크를 통해 제1 서비스를 제공하는 인증 서버는 상기 지능형 디바이스로부터 상기 지능형 디바이스의 식별값과 상기 지능형 디바이스에서 생성된 제1 임시 암호값을 수신하는 통신부, 상기 제1 임시 암호값을 인증하기 위한 제2 임시 암호값을 생성하고, 상기 제1 임시 암호값과 상기 제2 임시 암호값을 비교하여 상기 지능형 디바이스에 대한 인증 과정을 수행하는 인증부, 및 상기 인증부의 인증 결과에 따라, 상기 제1 서비스 이용을 인가하는 인가 티켓을 생성하고, 상기 생성된 인가 티켓을 상기 지능형 디바이스에게 발행하는 생성부를 포함한다. According to an aspect of the present invention, an authentication server for providing a first service to an intelligent device through a first network in an IoT (Internet of Thing) -based smart work environment includes an intelligent device A first temporary cryptographic value for authenticating the first temporary cryptographic value, and a second temporary cryptographic value for authenticating the first temporary cryptographic value, wherein the first temporary cryptographic value and the second temporary cryptographic value, And an authentication unit configured to compare the generated authentication ticket with the authentication value of the intelligent device, and generate an authentication ticket for authenticating the use of the first service according to an authentication result of the authentication unit, And the like.

한편, 전술한 과제를 달성하기 위한 본 발명의 다른 양상에 따른 IoT(Internet of Thing) 기반의 스마트 워크 환경에서 디바이스를 인증하는 인증 서버의 동작 방법은 상기 지능형 디바이스가 제1 네트워크를 통해 제공되는 제1 서비스를 이용하고자 하는 경우, 상기 지능형 디바이스로부터 상기 지능형 디바이스의 식별값과 상기 지능형 디바이스에서 생성된 제1 임시 암호값을 수신하는 단계, 상기 제1 임시 암호값을 인증하기 위한 제2 임시 암호값을 생성하고, 상기 제1 임시 암호값과 상기 제2 임시 암호값을 비교하여 상기 지능형 디바이스에 대한 인증 과정을 수행하는 단계, 상기 인증 결과에 따라, 상기 제1 서비스 이용을 인가하는 인가 티켓을 생성하고, 상기 생성된 인가 티켓을 상기 지능형 디바이스에게 발행하는 단계, 및 상기 지능형 디바이스의 식별값과 상기 생성된 인가 티켓을 상기 제1 서비스를 제공하는 제1 서비스 디바이스에 브로드캐스트하는 단계를 포함한다. According to another aspect of the present invention, there is provided an operation method of an authentication server for authenticating a device in an IoT (Internet of Thing) based smart work environment, the method comprising: 1 service, the method comprising: receiving from the intelligent device an identification value of the intelligent device and a first temporary cipher value generated in the intelligent device; and receiving a second temporary cipher value for authenticating the first temporary cipher value Comparing the first temporary cipher value with the second temporary cipher value to perform an authentication process for the intelligent device, generating an authorization ticket for authorizing the use of the first service according to the authentication result, Issuing the generated authorization ticket to the intelligent device, and identifying the intelligent device And broadcasting the generated authorization ticket to the first service device providing the first service.

다른 한편, 전술한 과제를 달성하기 위한 본 발명의 다른 양상에 따른 스마트 워크 환경에서의 디바이스 인증/인가 시스템은 지능형 디바이스로부터 수신되는 임시 암호값을 이용하여 상기 지능형 디바이스에 대한 인증 과정을 수행하고, 상기 인증 결과에 따라 인가 티켓을 생성하고, 생성된 상기 인가 티켓을 상기 지능형 디바이스에 전송하며, 상기 지능형 디바이스의 식별값과 상기 생성된 인가 티켓을 제1 서비스를 제공하는 제1 서비스 디바이스에 브로드캐스트하는 제1 인증 서버, 및 상기 임시 암호값을 상기 제1 인증 서버에 전송하여 인증을 요청하고, 상기 제1 인증 서버로부터 전송되는 상기 인가 티켓을 상기 제1 서비스 디바이스에 제시하여 상기 제1 서비스를 이용하는 지능형 디바이스를 포함한다.
According to another aspect of the present invention, there is provided a device authentication / authorization system in a smart work environment, which performs an authentication process on the intelligent device using a temporary encryption value received from the intelligent device, Generating an authorization ticket according to the authentication result, transmitting the generated authorization ticket to the intelligent device, broadcasting the generated authorization ticket and the identification value of the intelligent device to a first service device providing the first service, The first authentication server transmits the temporary encryption value to the first authentication server to request authentication, and presents the authorization ticket transmitted from the first authentication server to the first service device, And an intelligent device that uses it.

본 발명의 실시예에 따르면 사내에서 사외로 이동함에 따른 인증 및 경량화된 인증/인가 방식을 위하여, 아이디 기반 공개키 방식과 경량 암호방식 사용함으로써, IoT 기반 스마트 워크 환경에서 오피스 클라우드 인증 서버와의 통신량 및 오버헤드를 감소 시킬 수 있으며, 안전성과 효율성을 제공할 수 있다. According to the embodiment of the present invention, by using the ID-based public key method and the lightweight cryptographic method for authentication and lightweight authentication / authorization according to movement from inside to the outside of the company, the communication amount with the office cloud authentication server in the IoT- And overhead can be reduced, and safety and efficiency can be provided.

또한, 본 발명의 실시예에 따르면 디바이스의 네트워크 이동 시 보안 연결을 재수립하지 않고 기 발급받은 인가 티켓을 이용하여 서비스를 제공하며, 자원 제약적인 디바이스에서도 인가 티켓 기반으로 서비스 이용함으로써, 연산량 및 통신량이 감소된다. In addition, according to the embodiment of the present invention, a service is provided using a previously issued grant ticket without reestablishing a security connection when moving a network of a device, and a service is provided based on an authorization ticket even in a resource- .

아울러, IoT 기반 서비스 환경이 신성장동력 서비스 산업으로 인식되고 있고, 관련시장의 급격한 성장 예상되기 때문에 여러 분야에 적용이 가능하다.
In addition, IoT-based service environment is recognized as a new growth engine service industry, and the related market is expected to grow rapidly.

도 1은 본 발명의 실시예에 따른 IoT 기반 스마트 워크 환경에서의 지능형 디바이스 인증 및 인가 시스템을 설명을 위한 도면.
도 2는 본 발명의 실시예에 따른 IoT 기반 스마트 워크 환경에서 지능형 디바이스를 인증하기 위한 인증 서버의 블록도.
도 3은 본 발명의 실시예에 따라 사내 오피스 네트워크를 통해 제공되는 사내 서비스를 이용하고자 하는 지능형 디바이스를 인증 및 인가하는 방식 프로토콜을 예시한 도면.
도 4는 본 발명의 실시예에 따라 사외 오피스 네트워크를 통해 제공되는 사외 서비스를 이용하고자 하는 지능형 디바이스를 인증 및 인가하는 방식 프로토콜을 예시한 도면.
도 5는 본 발명의 실시예에 따른 IoT 기반 스마트 워크 환경에서 비지능형 디바이스를 인증 및 인가하는 시스템의 전제 동작 흐름을 예시한 도면.
도 6은 본 발명의 실시예에 따라 사내 오피스 네트워크를 통해 서비스를 이용하고자 하는 비지능형 디바이스를 인증 및 인가하는 방식 프로토콜을 예시한 도면.1 is a diagram for explaining an intelligent device authentication and authorization system in an IoT-based smart work environment according to an embodiment of the present invention;
2 is a block diagram of an authentication server for authenticating an intelligent device in an IoT-based smart work environment according to an embodiment of the present invention;
FIG. 3 illustrates a method protocol for authenticating and authenticating an intelligent device using an in-house service provided through an in-house office network according to an exemplary embodiment of the present invention;
4 is a diagram illustrating a method protocol for authenticating and authenticating an intelligent device to use an out-of-service service provided through an outside office network according to an exemplary embodiment of the present invention;
5 is a diagram illustrating a general operation flow of a system for authenticating and authenticating a non-intelligent device in an IoT-based smart work environment according to an embodiment of the present invention.
FIG. 6 illustrates a method protocol for authenticating and authenticating a non-intelligent device that intends to use a service through an in-house office network according to an embodiment of the present invention.

본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 기재에 의해 정의된다. 한편, 본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 또는 "포함하는(comprising)"은 언급된 구성요소, 단계, 동작 및/또는 소자 이외의 하나 이상의 다른 구성요소, 단계, 동작 및/또는 소자의 존재 또는 추가를 배제하지 않는다.BRIEF DESCRIPTION OF THE DRAWINGS The advantages and features of the present invention, and the manner of achieving them, will be apparent from and elucidated with reference to the embodiments described hereinafter in conjunction with the accompanying drawings. The present invention may, however, be embodied in many different forms and should not be construed as being limited to the embodiments set forth herein. Rather, these embodiments are provided so that this disclosure will be thorough and complete, and will fully convey the scope of the invention to those skilled in the art. And is provided to fully convey the scope of the invention to those skilled in the art, and the present invention is defined by the claims. It is to be understood that the terminology used herein is for the purpose of describing particular embodiments only and is not intended to be limiting of the invention. In the present specification, the singular form includes plural forms unless otherwise specified in the specification. It is noted that " comprises, " or "comprising," as used herein, means the presence or absence of one or more other components, steps, operations, and / Do not exclude the addition.

이하, 본 발명의 바람직한 실시예를 첨부된 도면들을 참조하여 상세히 설명한다. 우선 각 도면의 구성요소들에 참조부호를 부가함에 있어서, 동일한 구성요소들에 대해서는 비록 다른 도면상에 표시되더라도 가급적 동일한 부호를 부여하고 또한, 본 발명을 설명함에 있어, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있는 경우에는 그 상세한 설명은 생략한다.
Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings. In the drawings, like reference numerals refer to like elements throughout. In the drawings, like reference numerals are used to denote like elements throughout. In the following description of the present invention, Detailed explanations of the detailed description will be omitted when the gist of the present invention can be obscured.

본 발명은 인터넷을 기반으로 모든 사물을 연결하여 사람과 사물, 사물과 사물 간의 정보를 상호 소통하는 지능형 기술 및 서비스인 IoT(Internet of Thing, 사물인터넷) 기반의 스마트 워크 환경에서 사물인증을 이용한 지능형 디바이스와 비지능형 디바이스의 인증/인가 방법에 관한 것이다. 여기서, 지능형 디바이스는 스마트패드, 노트북 등 연산능력 및 컴퓨팅 파워가 충분한 디바이스를 의미한다. 비지능형 디바이스는 지능형 디바이스와 연결되며, 저전력의 연산능력이 낮은 디바이스를 의미한다.The present invention relates to a smart work environment based on IoT (Internet of Thing), an intelligent technology and service that connects all objects based on the Internet and communicates information between people, objects, objects and objects, The present invention relates to a method of authenticating a device and a non-intelligent device. Here, an intelligent device refers to a device having sufficient computing power and computing power, such as a smart pad and a notebook. A non-intelligent device refers to a device that is connected to an intelligent device and that has low-power, low-compute power.

예컨대, IoT 기반 스마트 워크 환경에서 지능형 디바이스가 사내 서비스를 이용하기 위한 인가 티켓을 인증 서버로부터 발급받고, 발급받은 인가 티켓을 이용하여 사내 오피스 네트워크를 통해 제공되는 사내 서비스를 이용하는 경우가 있다. 또한, 지능형 디바이스가 사전에 발급받은 인가 티켓을 이용하여 사외 오피스 네트워크를 통해 제공되는 사외 서비스를 이용하는 경우도 있다.For example, in an IoT-based smart work environment, an intelligent device may issue an authorization ticket for using an in-house service from an authentication server and use an in-house service provided through an in-house office network using the issued authorization ticket. In some cases, an intelligent device may use an external service provided through an external office network using a pre-issued authorization ticket.

도 1은 본 발명의 실시예에 따른 IoT 기반 스마트 워크 환경에서의 디바이스 인증 시스템의 전체 동작 흐름을 예시한 도면이다. 도 1에 도시된 바와 같이, 본 발명의 실시예에 따른 디바이스 인증 시스템(100)에서 지능형 디바이스(110)는 사내 클라우드 인증 서버(Internal Cloud Authentication Server)(120)(제1 인증 서버)로부터 인증(Authentication)을 받고 인가 티켓 및 인가 토큰(Ticket Issue)을 발급 받는다(S110). 인가 티켓을 발급받은 지능형 디바이스(110)는 사내 오피스 네트워크(제1 네트워크)로 연결된 다른 디바이스(Other Device)(사내 서비스 디바이스)(130)(제1 서비스 디바이스)에게 인가 티켓을 제시하고, 사내 서비스 디바이스(130)에서 제공하는 사내 서비스(제1 서비스)를 이용한다(S120).1 is a diagram illustrating an overall operation flow of a device authentication system in an IoT-based smart work environment according to an embodiment of the present invention. 1, in the device authentication system 100 according to the embodiment of the present invention, the intelligent device 110 receives authentication (authentication) from an internal cloud authentication server 120 (first authentication server) And receives an authorization ticket and an authorization token (Ticket Issue) (S110). The intelligent device 110 issuing the authorization ticket presents an authorization ticket to another device (in-house service device) 130 (first service device) connected to the in-office office network (first network) In-house service (first service) provided by the device 130 (S120).

한편, 사내 오피스 네트워크를 통해 사내 서비스를 제공받던 지능형 디바이스(110)가 사외 오피스 네트워크로 이동(Roaming)하는 경우가 있다(S130). 예컨대, 지능형 디바이스(110)의 사용자(소유자)가 사내에서 사외로 이동(출장)하거나 본사에서 지사로 파견될 경우일 수 있다. 이 경우, 본 발명의 실시예에 따른 IoT 기반 스마트 워크 환경에서의 지능형 디바이스 인증 및 인가 시스템은 사내에서 받은 인증 및 인가를 기반으로 사외 오피스 네트워크를 통해 제공되는 사외 서비스를 지속적으로 제공받을 수 있도록 한다.Meanwhile, there is a case where the intelligent device 110 that has received in-house service through the in-house office network roams to the outside office network (S130). For example, the user (owner) of the intelligent device 110 may be moved out of the office (traveling) or dispatched from the head office to the branch office. In this case, the intelligent device authentication and authorization system in the IoT-based smart work environment according to the embodiment of the present invention can continuously receive the external service provided through the external office network based on authentication and authorization received in-house .

예컨대, 지능형 디바이스(110)는 사외 오피스 네트워크(제2 네트워크)를 통해 제공되는 사외 서비스(제2 서비스)를 이용하고자 할 경우, 이전에 사내 클라우드 인증 서버(120)로부터 발급받은 인가 티켓(Authorization Ticket)을 사외 클라우드 인증 서버(External Cloud Authentication Server)(140)(제2 인증 서버)에게 전송하여 인증을 받는다(S140). 이때, 사외 클라우드 인증 서버(140)는 지능형 디바이스(110)에서 전송한 인가 티켓(Authorization Ticket)을 사내 클라우드 인증 서버(120)에 전송하여 지능형 디바이스(110)가 인증된 것인지 확인할 수 있다(S150).For example, when the intelligent device 110 wants to use an outside service (second service) provided through the outside office network (second network), the intelligent device 110 transmits an Authorization Ticket To the external cloud authentication server 140 (second authentication server) to be authenticated (S140). At this time, the external cloud authentication server 140 can confirm whether the intelligent device 110 is authenticated by transmitting an authorization ticket transmitted from the intelligent device 110 to the in-house cloud authentication server 120 (S150) .

인증된 지능형 디바이스(110)인 것으로 확인되면, 지능형 디바이스(110)는 인가 티켓을 사외 서비스 디바이스(150)에 제시하여 사외 오피스 네트워크를 통해 제공하는 사외 서비스를 이용할 수 있다(S160).If it is determined that the authenticated intelligent device 110 is authentic, the intelligent device 110 may present an authorization ticket to the external service device 150 and use the external service provided through the external office network (S160).

이를 위해, 본 발명의 실시예에 따른 IoT 기반 스마트 워크 환경에서 지능형 디바이스(110)의 인증을 위한 사내 클라우드 인증 서버(120)는 도 2에 도시된 바와 같이 통신부(121), 인증부(122) 및 생성부(123)를 포함한다.The in-house cloud authentication server 120 for authentication of the intelligent device 110 in the IoT-based smart work environment according to the embodiment of the present invention includes a communication unit 121, an authentication unit 122, And a generation unit 123.

통신부(121)는 사내 클라우드 인증 서버(120)와 지능형 디바이스(110) 간의 데이터 통신을 한다. 예컨대, 지능형 디바이스(110)가 사내 네트워크를 통해 제공되는 사내 서비스를 이용하고자 하는 경우, 통신부(121)는 지능형 디바이스(110)로부터 지능형 디바이스(110)의 식별값과 지능형 디바이스(110)에서 생성된 제1 임시 암호값을 수신한다. The communication unit 121 performs data communication between the in-house cloud authentication server 120 and the intelligent device 110. For example, when the intelligent device 110 desires to use the in-house service provided through the intra-company network, the communication unit 121 acquires the identification value of the intelligent device 110 from the intelligent device 110, And receives the first temporary encryption value.

인증부(122)는 지능형 디바이스(110)로부터 수신된 제1 임시 암호값을 인증하기 위한 제2 임시 암호값을 생성하고, 상기 제1 임시 암호값과 상기 제2 임시 암호값을 비교하여 지능형 디바이스(110)에 대한 인증 과정을 수행한다. The authentication unit 122 generates a second temporary encryption value for authenticating the first temporary encryption value received from the intelligent device 110, compares the first temporary encryption value and the second temporary encryption value, (110). ≪ / RTI >

생성부(123)는 인증부(122)의 인증 결과에 따라, 사내 서비스 이용을 인가하는 인가 티켓을 생성하고, 생성된 인가 티켓을 통신부(121)를 통해 지능형 디바이스(110)에게 발행한다. The generating unit 123 generates an authorization ticket for authorizing the use of the in-house service according to the authentication result of the authentication unit 122 and issues the generated authorization ticket to the intelligent device 110 via the communication unit 121. [

만약, 지능형 디바이스(110)가 사외 오피스 네트워크를 통해 제공되는 사외 서비스를 이용하고자 하는 경우, 통신부(121)는 사외 클라우드 인증 서버(140)로부터 지능형 디바이스(110)의 식별값과 인가 티켓을 수신한다. 여기서, 인가 티켓은 지능형 디바이스(110)로부터 수신된 것으로서, 이전에 사내 서비스 이용 시 발급받아 지능형 디바이스(110)에 저장된 것이다.If the intelligent device 110 desires to use an outside service provided through the outside office network, the communication unit 121 receives the identification value of the intelligent device 110 and the authorization ticket from the outside cloud authentication server 140 . Here, the authorization ticket is received from the intelligent device 110, and is stored in the intelligent device 110 when it is previously issued when using the in-house service.

인증부(122)는 사외 클라우드 인증 서버(140)로부터 수신된 인가 티켓과 지능형 디바이스(110)의 식별값을 이용하여 인가 티켓을 전송한 지능형 디바이스(110)를 인증하고, 인증 결과를 사외 클라우드 인증 서버(140)로 전송한다. The authentication unit 122 authenticates the intelligent device 110 that transmitted the authentication ticket using the authentication ticket received from the external cloud authentication server 140 and the identification value of the intelligent device 110 and transmits the authentication result to the external cloud authentication To the server (140).

이하, 도 3을 참조하여 본 발명의 실시예에 따라 사내 오피스 네트워크를 통해 제공되는 사내 서비스를 이용하고자 하는 지능형 디바이스(110)를 인증 및 인가하는 과정에 대해서 구체적으로 설명한다. 도 3은 본 발명의 실시예에 따라 사내 오피스 네트워크를 통해 제공되는 사내 서비스를 이용하고자 하는 지능형 디바이스를 인증 및 인가하는 방식 프로토콜을 예시한 도면이다.Hereinafter, a process of authenticating and authenticating an intelligent device 110 using an in-house service provided through an in-house office network according to an embodiment of the present invention will be described in detail with reference to FIG. 3 is a diagram illustrating a method protocol for authenticating and authenticating an intelligent device to use an in-house service provided through an in-house office network according to an embodiment of the present invention.

먼저, 지능형 디바이스(110)는 사내 클라우드 인증 서버(120)와 서로 사전에 공유한 대칭키(KS) 및 식별값(아이디)(ID_Intelligent_Device)를 입력값으로 아이디 기반 제1 공개키(KU_Intelligent device) 및 제1 개인키(KR_Intelligent device) 쌍을 생성한다(S311). First, the intelligent device 110 uses an ID-based first public key (KU_Intelligent device) as an input value and a symmetric key (KS) and an identification value (ID_Intelligent_Device) that are previously shared with the in- And generates a first private key (KR_Intelligent device) pair (S311).

또한, 지능형 디바이스(110)는 지능형 디바이스(110)의 일련번호(PIN), 사용자와 사내 클라우드 인증 서버(120)가 공유한 대칭키(KS), 카운터값(CT) 및 시간값(TS)를 이용하여 제1 임시 암호값(OTP)을 생성한다(S312). The intelligent device 110 also receives the serial number PIN of the intelligent device 110, the symmetric key KS shared by the user and the on-premises cloud authentication server 120, the counter value CT and the time value TS To generate a first temporary encryption value (OTP) (S312).

이와 마찬가지로, 사내 클라우드 인증 서버(120)의 인증부(122)는 지능형 디바이스(110)와 서로 사전에 공유한 대칭키(KS) 및 식별값(ID_Auth_Server)을 입력값으로 아이디 기반 제2 공개키(KU_Auth_Server) 및 제2 개인키(KR_Auth_Server)를 생성한다(S313). Similarly, the authentication unit 122 of the in-house cloud authentication server 120 receives the symmetric key KS and the identification value ID_Auth_Server, which are pre-shared with the intelligent device 110, KU_Auth_Server) and a second private key KR_Auth_Server (S313).

또한, 사내 클라우드 인증 서버(120)의 인증부(122)는 사전에 공유된 지능형 디바이스(110)의 일련번호(PIN), 사용자와 사내 클라우드 인증 서버(120)가 공유한 대칭키(KS), 카운터값(CT) 및 시간값(TS)을 이용하여 지능형 디바이스(110)와는 별개로 제2 임시 암호값(OTP')을 생성한다(S314).The authentication unit 122 of the in-house cloud authentication server 120 receives the serial number PIN of the previously shared intelligent device 110, the symmetric key KS shared by the user and the in-house cloud authentication server 120, The second temporary encryption value OTP 'is generated separately from the intelligent device 110 using the counter value CT and the time value TS (S314).

여기서, 지능형 디바이스(110)와 사내 클라우드 인증 서버(120) 간에 공유된 대칭키(KS) 및 동기화값은 등록 시 분배 및 설정될 수 있으며, 대칭키(KS)는 안전성을 위해 일정한 주기로 갱신된다.Here, the symmetric key KS and the synchronization value shared between the intelligent device 110 and the in-house cloud authentication server 120 can be distributed and set at the time of registration, and the symmetric key KS is updated at regular intervals for safety.

지능형 디바이스(110)는 사내 클라우드 인증 서버(120)로 인증 요청을 위한 인증 요청 정보를 전송한다(S315). The intelligent device 110 transmits authentication request information for authentication request to the in-house cloud authentication server 120 (S315).

여기서, 인증 요청 정보는 지능형 디바이스(110)에서 생성된 제1 임시 암호값(OTP)과 지능형 디바이스(110)의 식별값(ID_Intelligent_Device)을 포함하며, 사전에 공유된 제2 공개키(KU_Auth_Server)를 이용하여 암호화되어 전송된다.Here, the authentication request information includes a first temporary password value (OTP) generated by the intelligent device 110 and an identification value (ID_Intelligent_Device) of the intelligent device 110, and a second public key (KU_Auth_Server) And transmitted.

사내 클라우드 인증 서버(120)의 인증부(122)는 통신부(121)를 통해 지능형 디바이스(110)로부터 전송받은 인증 요청 정보에 포함된 제1 임시 암호값(OTP)과 단계 S313에서 생성된 제2 임시 암호값(OTP')을 비교하여 인증 동작을 수행한다(S316).The authentication unit 122 of the in-house cloud authentication server 120 receives the first temporary encryption value OTP included in the authentication request information transmitted from the intelligent device 110 via the communication unit 121 and the second temporary encryption value OTP included in the second And compares the temporary encryption value (OTP ') to perform an authentication operation (S316).

만약, 제1 임시 암호값(OTP)과 제2 임시 암호값(OTP')이 동일하면, 사내 클라우드 인증 서버(120)의 생성부(123)는 인증 요청에 대응하여 인가 토큰(인가값)(Authorization Value)과 인가 티켓(Authorization Ticket)을 생성하여 등록한다(S317). If the first provisional encryption value OTP and the second provisional encryption value OTP 'are the same, the generating unit 123 of the in-house cloud authentication server 120 generates an authorization token (authorization value) An Authorization Value and an Authorization Ticket are generated and registered (S317).

예컨대, 사내 클라우드 인증 서버(120)의 생성부(123)는 제2 개인키(KR_Auth_Server), 대칭키(KS) 및 지능형 디바이스(110)의 식별값(ID_Intelligent_Device)과, 겹선형 사상(bilinear pairings)(e) 함수를 이용하여 인가 토큰(Authorization Value)을 생성한다. 또한, 사내 클라우드 인증 서버(120)의 생성부(123)는 지능형 디바이스(110)의 식별값(ID_Intelligent_Device)과 사내 클라우드 인증 서버(120)의 식별값(ID_Auth_Server)을 이용하여 인가 티켓(Authorization Ticket)을 생성한다. 아울러, 사내 클라우드 인증 서버(120)의 생성부(123)는 생성된 인가값(Authorization Value)을 충돌성이 없는 안전한 일방향 해쉬 함수의 형태로 등록(Sign_Auth_Server[h(Authorization Value)])한다. For example, the generating unit 123 of the in-house cloud authentication server 120 generates the identification value (ID_Intelligent_Device) of the second private key KR_Auth_Server, the symmetric key KS and the intelligent device 110 and the bilinear pairings, (e) Create an authorization token using the function. The generating unit 123 of the in-house cloud authentication server 120 generates an Authorization Ticket using the ID_Intelligent_Device of the intelligent device 110 and the ID_Auth_Server of the in-house cloud authentication server 120, . In addition, the generator 123 of the in-house cloud authentication server 120 registers the created authorization value in the form of a secure one-way hash function having no collision (Sign_Auth_Server [h (Authorization Value)].

사내 클라우드 인증 서버(120)의 생성부(123)는 인증 요청에 대응하여 인증 완료 정보를 통신부(121)를 통해 지능형 디바이스(110)로 전송한다(S318). The generating unit 123 of the in-house cloud authentication server 120 transmits authentication completion information to the intelligent device 110 via the communication unit 121 in response to the authentication request (S318).

여기서, 인증 완료 정보에는 사내 클라우드 인증 서버(120)에서 생성된 인가 토큰(Authorization Value)과 인가 티켓(Authorization Ticket)이 포함된다. Here, the authentication completion information includes an authorization value and an authorization ticket generated in the in-house cloud authentication server 120.

또한, 사내 클라우드 인증 서버(120)의 생성부(123)는 생성된 인가 티켓(Authorization Ticket)과 지능형 디바이스(110)의 식별값(ID_Intelligent_Device)을 통신부(121)를 통해 사내 서비스를 제공하는 사내 서비스 디바이스(130)에게 브로드캐스트한다(S319). The generating unit 123 of the in-house cloud authentication server 120 transmits the generated authorization ticket and the identification value (ID_Intelligent_Device) of the intelligent device 110 to the in-house service And broadcasts it to the device 130 (S319).

이때, 사내 클라우드 인증 서버(120)의 생성부(123)는 사내 클라우드 인증 서버(120)와 사내 서비스 디바이스(130) 사이의 세션키(Service Key)를 이용하여 브로드캐스트할 수 있다. At this time, the generator 123 of the in-house cloud authentication server 120 can broadcast using the service key between the in-house cloud authentication server 120 and the in-house service device 130.

지능형 디바이스(110)는 사내 클라우드 인증 서버(120)로부터 수신된 인증 완료 정보를 검증한다(S320). The intelligent device 110 verifies the authentication completion information received from the in-house cloud authentication server 120 (S320).

예컨대, 지능형 디바이스(110)는 제1 개인키(KR_Intelligent device)와, 대칭키(KS) 및 사내 클라우드 인증 서버(120)의 식별값(ID_Auth_Server)과, 겹선형 사상(e)을 이용하여 별도의 인가값(Authorization Value’)를 생성한다. 지능형 디바이스(110)는 별도로 생성된 인가값(Authorization Value’)과 사내 클라우드 인증 서버(120)로부터 전송받은 인증 완료 정보에 포함된 인가 토큰(Authorization Value)을 비교하여 검증한다. For example, the intelligent device 110 uses a first private key (KR_Intelligent device), a symmetric key KS, an identification value (ID_Auth_Server) of the in-house cloud authentication server 120, And generates an authorization value. The intelligent device 110 compares and verifies the Authorization Value separately generated with the Authorization Value included in the authentication completion information transmitted from the in-house cloud authentication server 120.

검증이 완료되면, 지능형 디바이스(110)는 사내 클라우드 인증 서버(120)로부터 수신된 인증 완료 정보에 포함된 인가 티켓(Authorization Ticket)을 사내 서비스 디바이스(130)에게 제시하여, 사내 서비스 디바이스(130)에서 제공하는 서비스를 제공받을 수 있다.When the verification is completed, the intelligent device 110 presents an Authorization Ticket included in the authentication completion information received from the in-house cloud authentication server 120 to the in-house service device 130, And the like.

이와 같은 과정을 통해, 지능형 디바이스(110)는 사내 서비스를 이용하고자 할 때마다 사내 클라우드 인증 서버(120)를 통해 인증 과정을 수행하지 않고, 기 발행된 인가 티켓(Authorization Ticket)을 사내 서비스 디바이스(130)에 제공함으로써, 인증 및 인가 과정을 위한 연산량 및 통신량을 감소할 수 있다.Through this process, the intelligent device 110 does not perform the authentication process through the on-premise cloud authentication server 120 every time it intends to use the in-house service, and transmits the issued authorization ticket to the intra-company service device 130, it is possible to reduce the amount of computation and the amount of communication for the authentication and authorization process.

이하, 도 4를 참조하여 본 발명의 실시예에 따라 사외 오피스 네트워크를 통해 제공되는 사외 서비스를 이용하고자 하는 지능형 디바이스(110)를 인증 및 인가하는 과정에 대해서 구체적으로 설명한다. 도 4는 본 발명의 실시예에 따라 사외 오피스 네트워크를 통해 제공되는 사외 서비스를 이용하고자 하는 지능형 디바이스를 인증 및 인가하는 방식 프로토콜을 예시한 도면이다.Hereinafter, a process of authenticating and authenticating an intelligent device 110 using an outside service provided through an outside office network according to an embodiment of the present invention will be described in detail with reference to FIG. 4 is a diagram illustrating a method protocol for authenticating and authenticating an intelligent device to use an external service provided through an external office network according to an embodiment of the present invention.

먼저, 지능형 디바이스(110)는 사외 오피스 네트워크를 통해 사외 서비스를 이용하기 위한 인증 요청을 위해, 인증 요청 정보를 사외 클라우드 인증 서버(140)에 전송한다(S411). First, the intelligent device 110 transmits the authentication request information to the external cloud authentication server 140 in order to request an authentication for using the external service through the external office network (S411).

이때, 인증 요청 정보에는 지능형 디바이스(110)의 식별값(ID_Intelligent_Device), 사내 클라우드 인증 서버(120)의 식별값(ID_Auth_Server) 및 이전에 사내 클라우드 인증 서버(120)로부터 발급받은 인가 티켓이 포함된다.At this time, the authentication request information includes an identification value (ID_Intelligent_Device) of the intelligent device 110, an identification value (ID_Auth_Server) of the in-house cloud authentication server 120, and an authorization ticket previously issued from the in-house cloud authentication server 120.

지능형 디바이스(110)로부터 인증 요청 정보를 수신한 사외 클라우드 인증 서버(140)는 지능형 디바이스(110)의 식별값(ID_Intelligent_Device)과 인가 티켓을 사내 클라우드 인증 서버(120)에게 전송한다(S412). The external cloud authentication server 140 receiving the authentication request information from the intelligent device 110 transmits the identification value ID_Intelligent_Device of the intelligent device 110 and the authorization ticket to the in-house cloud authentication server 120 (S412).

지능형 디바이스(110)의 식별값(ID_Intelligent_Device)과 인가 티켓을 사외 클라우드 인증 서버(140)로부터 수신한 사내 클라우드 인증 서버(120)의 인증부(122)는 지능형 디바이스(110)의 검증 동작을 수행하고, 검증 완료 여부에 따라 검증 완료 정보를 통신부(121)를 통해 사외 클라우드 인증 서버(140)에 전송한다.The authentication unit 122 of the in-house cloud authentication server 120 receiving the identification value (ID_Intelligent_Device) of the intelligent device 110 and the authorization ticket from the external cloud authentication server 140 performs the verification operation of the intelligent device 110 And transmits the verification completion information to the external cloud authentication server 140 through the communication unit 121 according to whether the verification is completed or not.

사내 클라우드 인증 서버(120)로부터 검증 완료 정보(Sign_Auth_Server[Authorization Ticket])를 수신하면(S413), 사외 클라우드 인증 서버(140)는 인증 요청한 지능형 디바이스(110)를 인증된 디바이스로 등록할 수 있다. Upon receiving verification completion information (Sign_Auth_Server [Authorization Ticket]) from the in-house cloud authentication server 120 (S413), the outside cloud authentication server 140 can register the intelligent device 110 requested for authentication as an authenticated device.

또한, 사외 클라우드 인증 서버(140)는 인가 티켓(Authorization Ticket)과 지능형 디바이스(110)의 식별값(ID_Intelligent_Device)을 사외 서비스를 제공하는 사외 서비스 디바이스(150)에게 브로드캐스트한다(S414). In addition, the external cloud authentication server 140 broadcasts an authorization ticket and an identification value (ID_Intelligent_Device) of the intelligent device 110 to the external service device 150 providing the external service (S414).

이때, 사외 클라우드 인증 서버(140)는 사외 클라우드 인증 서버(140)와 사외 서비스 디바이스(150) 사이의 세션키(Service Key)를 이용하여 브로드캐스트할 수 있다.At this time, the external cloud authentication server 140 can broadcast using the service key between the external cloud authentication server 140 and the external service device 150.

이와 같이, 본 발명의 실시예에 따른 지능형 디바이스 인증 및 인가 방법은 오피스 네트워크에서 노트북 및 스마트 패드 등과 같이 컴퓨팅 파워 및 연산 능력이 우수한 지능형 디바이스에서 서비스를 안전하고 효율적으로 이용할 수 있는 방식이다. 또한, 본 발명의 실시예에 따른 지능형 디바이스는 사내 및 사외 서비스를 이용할 시, 사내 및 사외 클라우드 인증 서버에 인증을 요청하지 않고 서비스를 제공하는 사내 및 사외 서비스 디바이스에 이전에 발급받은 인가 티켓을 제시함으로써, 인증 받을 수 있다. As described above, the intelligent device authentication and authentication method according to the embodiment of the present invention can securely and efficiently utilize services in an intelligent device having excellent computing power and computing power such as a notebook computer and a smart pad in an office network. In addition, the intelligent device according to the embodiment of the present invention does not request authentication to the in-house and external cloud authentication servers when using in-house and out-of-home services, and presents previously issued authorization tickets to in- Thereby enabling authentication.

다른 한편, 지능형 디바이스 외에 연산능력 및 컴퓨팅 파워가 부족한 비지능형 디바이스를 이용하여 서비스를 제공받고자 하는 경우, 본 발명의 다른 실시예에 따른 IoT 기반 스마트 워크 환경에서의 디바이스 인증 및 인가 시스템은 비지능형 디바이스에서 서비스를 제공받을 수 있도록 한다. On the other hand, in a case where a service is desired to be provided using a non-intelligent device lacking computing power and computing power in addition to an intelligent device, a device authentication and authorization system in an IoT-based smart work environment according to another embodiment of the present invention, So that the service can be provided.

예컨대, 본 발명의 실시예에 따른 IoT 기반 스마트 워크 환경에서의 디바이스 인증 및 인가 시스템은 3T_Auth(Things/Ticket/Token Authentication)를 이용한 인증 및 인가 방법을 통해, 지능형 디바이스(110)에서 사내 오피스 네트워크를 통해 인증을 요청 및 비지능형 디바이스용 인가 티켓을 발급받으며, 발급 받은 비지능형 디바이스용 인가 티켓을 기반으로 비지능형 디바이스(160)에서 서비스를 제공받을 수 있다.For example, the device authentication and authorization system in the IoT-based smart work environment according to the embodiment of the present invention can access the in-house office network through the authentication and authorization method using 3T_Auth (Things / Ticket / Token Authentication) The non-intelligent device 160 can receive the authentication request and the authentication ticket for the non-intelligent device and receive the service from the non-intelligent device 160 based on the issued authorization ticket for the non-intelligent device.

도 5는 본 발명의 실시예에 따른 IoT 기반 스마트 워크 환경에서 비지능형 디바이스를 인증 및 인가하는 시스템의 전체 동작 흐름을 예시한 도면이다. 5 is a diagram illustrating an overall operation flow of a system for authenticating and authenticating a non-intelligent device in an IoT-based smart work environment according to an embodiment of the present invention.

디바이스 인증 시스템(100)에서 지능형 디바이스(110)는 사내 클라우드 인증 서버(120)로부터 인증(Authentication)을 받고 비지능형 디바이스(160)용 인가 티켓 및 인가 토큰(Ticket Issue)을 발급 받는다(S510). 사내 클라우드 인증 서버(120)는 비지능형 디바이스(160)을 위한 인가 티켓을 생성하여 지능형 디바이스(110)에게 전송한다.In the device authentication system 100, the intelligent device 110 receives authentication from the in-house cloud authentication server 120 and receives an authorization ticket for the non-intelligent device 160 and an authorization token (Ticket Issue) (S510). The in-house cloud authentication server 120 generates an authorization ticket for the non-intelligent device 160 and transmits the authorization ticket to the intelligent device 110.

또한, 사내 클라우드 인증 서버(120)는 생성된 비지능형 디바이스(160)용 인가 티켓의 정보를 사내 오피스 네트워크로 연결된 사내 서비스 디바이스(Other Device)(150)에 브로드캐스트한다(S520).In addition, the in-house cloud authentication server 120 broadcasts information of the generated authentication ticket for the non-intelligent device 160 to an in-house service device 150 connected to the in-house office network (S520).

인가 티켓을 발급 받은 지능형 디바이스(110)는 발급된 비지능형 디바이스용 인가 티켓을 검증하고, 비지능형 디바이스(160)에게 인가 티켓을 분배한다(S530). The intelligent device 110 that issued the authorization ticket verifies the authorization ticket for the issued non-intelligent device and distributes the authorization ticket to the non-intelligent device 160 (S530).

인가 티켓을 분배 받은 비지능형 디바이스(160)는 분배 받은 인가 티켓을 사내 서비스 디바이스(130)에 제시하여, 사내 서비스 디바이스(130)에서 제공하는 서비스를 제공받을 수 있다(S540). 이때, 지능형 디바이스(110) 또한 자신에게 기 발급된 인가 티켓(비지능형 디바이스용 인가 티켓)을 사내 서비스 디바이스(150)에 제시하여 서비스를 제공받을 수 있다.The non-intelligent device 160 having received the authorization ticket presents the distributed authorization ticket to the in-house service device 130 to receive the service provided by the in-house service device 130 at step S540. At this time, the intelligent device 110 may also be provided with a service by presenting an authorization ticket (non-intelligent device authorization ticket) previously issued to the intelligent device 110 to the in-house service device 150.

이를 위해, 본 발명의 실시예에 따른 사내 클라우드 인증 서버(120)의 통신부(121)는 지능형 디바이스(110)로부터 지능형 디바이스(110)의 식별값, 제1 임시 암호값과 함께 비지능형 디바이스(160)의 식별값을 더 수신한다. 사내 클라우드 인증 서버(120)의 인증부(122)에서는 제1 임시 암호값을 확인하여 지능형 디바이스(110)에 대한 인증 과정을 수행한다. 사내 클라우드 인증 서버(120)의 생성부(123)는 인증부(122)의 인증 결과 지능형 디바이스(110)가 인증되면, 비지능형 디바이스용 인가 티켓을 생성하여 통신부(121)를 통해 지능형 디바이스(110)에 전송한다.The communication unit 121 of the in-house cloud authentication server 120 according to the embodiment of the present invention transmits the identification value of the intelligent device 110 from the intelligent device 110 to the non-intelligent device 160 ) Of the mobile station. The authentication unit 122 of the in-house cloud authentication server 120 confirms the first temporary encryption value and performs the authentication process for the intelligent device 110. [ When the authentication unit 122 of the in-house cloud authentication server 120 authenticates the intelligent device 110, the authentication unit 122 generates an authentication ticket for the non-intelligent device and transmits the authentication ticket to the intelligent device 110 .

이하, 도 6을 참조하여 본 발명의 실시예에 따라 사내 오피스 네트워크로 연결된 사내 서비스 디바이스에서 제공하는 서비스를 이용하고자 하는 비지능형 디바이스(160)를 인증 및 인가하는 과정에 대해서 구체적으로 설명한다. 도 6은 본 발명의 실시예에 따라 사내 오피스 네트워크를 통해 서비스를 이용하고자 하는 비지능형 디바이스를 인증 및 인가하는 방식 프로토콜을 예시한 도면이다.Hereinafter, a process of authenticating and authenticating the non-intelligent device 160 to use a service provided by an in-house service device connected through an in-house office network according to an embodiment of the present invention will be described in detail with reference to FIG. 6 is a diagram illustrating a method protocol for authenticating and applying a non-intelligent device to use a service through an in-house office network according to an embodiment of the present invention.

지능형 디바이스(110)는 사내 클라우드 인증 서버(120)로 인증 요청 정보를 전송하여 비지능형 디바이스(160)에 대한 인가를 요청한다(S610). The intelligent device 110 sends authentication request information to the in-house cloud authentication server 120 to request authorization to the non-intelligent device 160 (S610).

이때, 비지능형 디바이스(non-Intelligent Device, NID)는 복수개일 수 있으며, 인증 요청 정보에는 지능형 디바이스(110)의 식별값(ID_Intelligent_Device), 복수의 비지능형 디바이스(160) 각각의 식별값(ID_NID_1|| ID_NID_2||…||ID_NID_n||) 리스트 정보 및 제1 임시 암호값(OTP)를 사내 클라우드 인증 서버(120)에 전송한다. 여기서, 제1 임시 암호값(OTP)는 지능형 디바이스(110)의 일련번호(PIN), 사용자와 사내 클라우드 인증 서버(120)가 공유한 대칭키(KS), 카운터값(CT) 및 시간값(TS)를 이용하여 지능형 디바이스(110)에서 생성된 값이다.At this time, there may be a plurality of non-intelligent devices (NID), and authentication request information includes an identification value (ID_Intelligent_Device) of the intelligent device 110, identification values (ID_NID_1 | ID_NID_2 || ... ... ID_NID_n ||) list information and the first temporary password value (OTP) to the in-house cloud authentication server 120. Here, the first temporary password value (OTP) includes a serial number PIN of the intelligent device 110, a symmetric key KS shared by the user and the on-premises cloud authentication server 120, a counter value CT, TS) < / RTI >

인증 요청 정보를 수신한 사내 클라우드 인증 서버(120)는 기 생성된 제2 임시 암호값(OTP')과 인증 요청 정보에 포함된 제1 인증 값(OTP)을 비교하여 인증 동작을 수행한다(S620). Upon receiving the authentication request information, the in-house cloud authentication server 120 compares the generated second provisional encryption value OTP 'with the first authentication value OTP included in the authentication request information to perform the authentication operation (S620 ).

이때, 제2 임시 암호값(OTP')는 사전에 공유된 지능형 디바이스(110)의 일련번호(PIN), 사용자와 사내 클라우드 인증 서버(120)가 공유한 대칭키(KS), 카운터값(CT) 및 시간값(TS)를 이용하여 지능형 디바이스(110)와는 별개로 생성한 값이다.The second temporary password value OTP 'includes a serial number PIN of the previously shared intelligent device 110, a symmetric key KS shared by the user and the on-premise cloud authentication server 120, a counter value CT ) And a time value (TS), which are generated separately from the intelligent device 110.

만약, 제1 임시 암호값(OTP)와 제2 임시 암호값(OTP')가 동일하면, 사내 클라우드 인증 서버(120)는 비지능형 디바이스용 인가 토큰(NID Authorization Value)과 비지능형 디바이스용 인가 티켓(NID Authorization Ticket)을 생성한다(S630). If the first temporary password value (OTP) and the second temporary password value (OTP ') are the same, the intra-company cloud authentication server 120 transmits the NID authorization value for the non-intelligent device and the non- (NID Authorization Ticket) (S630).

이때, 사내 클라우드 인증 서버(120)는 제2 개인키(KR_Auth_Server), 대칭키(KS) 및 복수의 비지능형 디바이스(160)의 식별값(ID_NID_1, ID_NID_2, …, ID_NID_n)과, 겹선형 사상(bilinear pairings)(e)을 이용하여 비지능형 디바이스용 인가 토큰(Authorization Value)을 생성한다. At this time, the in-house cloud authentication server 120 transmits the identification values ID_NID_1, ID_NID_2, ..., ID_NID_n of the second private key KR_Auth_Server, the symmetric key KS and the plurality of non-intelligent devices 160, bilinear pairings) (e) to generate an authorization token for the non-intelligent device.

또한, 사내 클라우드 인증 서버(120)는 지능형 디바이스(110)의 식별값(ID_Intelligent_Device)과 사내 클라우드 인증 서버(120)의 식별값(ID_Auth_Server)을 이용하여 비지능형 디바이스용 인가 티켓(NID Authorization Ticket)을 생성한다. 아울러, 사내 클라우드 인증 서버(120)는 생성된 인가값(NID Authorization Value)을 충돌성이 없는 안전한 일방향 해쉬 함수의 형태로 등록(Sign_Auth_Server[h(NID Authorization Value)])한다.In addition, the in-house cloud authentication server 120 uses the ID_Intelligent_Device of the intelligent device 110 and the ID_Auth_Server of the in-house cloud authentication server 120 to obtain a NID Authorization Ticket . In addition, the in-house cloud authentication server 120 registers the generated NID Authorization Value in the form of a secure one-way hash function without collision (Sign_Auth_Server [h (NID Authorization Value)]).

사내 클라우드 인증 서버(120)는 생성된 비지능형 디바이스용 인가 토큰(NID Authorization Value)과 비지능형 디바이스용 인가 티켓(NID Authorization Ticket)을 지능형 디바이스(110)로 전송한다(S640). The in-house cloud authentication server 120 transmits the generated NID Authorization Value and the NID Authorization Ticket to the intelligent device 110 (S640).

이때, 사내 클라우드 인증 서버(120)는 생성된 비지능형 디바이스용 인가 티켓(NID Authorization Ticket)과 비지능형 디바이스(160)의 식별값(ID_NID_1, ID_NID_2, …, ID_NID_n))을 서비스를 제공하는 사내 서비스 디바이스(130)에게 브로드캐스트할 수 있다. At this time, the in-house cloud authentication server 120 transmits the generated non-intelligent device authorization ticket and the identification values (ID_NID_1, ID_NID_2, ..., ID_NID_n) of the non-intelligent device 160 to the in-house service To the device 130. < RTI ID = 0.0 >

지능형 디바이스(110)는 사내 클라우드 인증 서버(120)로부터 수신된 비지능형 디바이스용 인가 티켓(NID Authorization Ticket)을 다수의 비지능형 디바이스(160) 각각에게 분배한다(S650). The intelligent device 110 distributes the NID Authorization Ticket received from the in-house cloud authentication server 120 to each of the plurality of non-intelligent devices 160 (S650).

여기서, 지능형 디바이스(110)는 비지능형 디바이스 식별값 리스트 정보에 포함된 복수의 비지능형 디바이스(160)(NID_1, NID_2, ID_NID_n)에만 비지능형 디바이스용 인가 티켓(NID Authorization Ticket)을 분배할 수 있다. Here, the intelligent device 110 may distribute a NID Authorization Ticket only to a plurality of non-intelligent devices 160 (NID_1, NID_2, ID_NID_n) included in the non-intelligent device identification list information .

이때, 지능형 디바이스(110)는 사내 클라우드 인증 서버(120)로부터 수신된 정보(비지능형 디바이스용 인가 토큰 및 인가 티켓)을 검증한 후, 비지능형 디바이스용 인가 티켓(NID Authorization Ticket)을 분배할 수 있다. 예컨대, 지능형 디바이스(110)는 도 3의 단계 S320과 동일한 방법으로 검증 동작을 수행할 수 있으며, 이에 대한 구체적인 설명은 생략한다. At this time, the intelligent device 110 can verify the information (the authorization token and authorization ticket for the non-intelligent device) received from the in-house cloud authentication server 120 and distribute the NID Authorization Ticket have. For example, the intelligent device 110 can perform the verification operation in the same manner as in step S320 of FIG. 3, and a detailed description thereof will be omitted.

비지능형 디바이스(160)는 분배 받은 비지능형 디바이스용 인가 티켓(NID Authorization Ticket)을 사내 서비스 디바이스(130)에게 제시하여, 사내 서비스 디바이스(130)에서 제공하는 사내 서비스를 제공받을 수 있다. The non-intelligent device 160 can present the distributed NID Authorization Ticket to the in-house service device 130 to receive the in-house service provided by the in-house service device 130. [

이와 같이, 본 발명의 실시예에 따르면 사내에서 사외로 이동함에 따른 인증 및 경량화된 인증/인가 방식을 위하여, 아이디 기반 공개키 방식과 경량 암호방식 사용함으로써, IoT 기반 스마트 워크 환경에서 오피스 클라우드 인증 서버와의 통신량 및 오버헤드를 감소 시킬 수 있으며, 안전성과 효율성을 제공할 수 있다. As described above, according to the embodiment of the present invention, by using the ID-based public key method and the lightweight cryptographic method for authentication and lightweight authentication / It is possible to reduce the amount of communication and overhead with the mobile communication terminal, and to provide safety and efficiency.

또한, 본 발명의 실시예에 따르면 디바이스의 네트워크 이동 시 보안 연결을 재 수립하지 않고, 인가 티켓을 이용하여 서비스를 제공하며, 자원 제약적인 디바이스에서 인가 티켓 기반으로 서비스 이용함으로써, 연산량 및 통신량이 감소된다. Also, according to the embodiment of the present invention, a service is provided using an authorization ticket without re-establishing a security connection when moving a network of a device, and a service is used based on an authorization ticket in a resource- do.

아울러, IoT 기반 서비스 환경이 신성장동력 서비스 산업으로 인식되고 있고, 관련시장의 급격한 성장 예상되기 때문에 여러 분야에 적용이 가능하다.
In addition, IoT-based service environment is recognized as a new growth engine service industry, and the related market is expected to grow rapidly.

이상, 본 발명의 바람직한 실시예를 통하여 본 발명의 구성을 상세히 설명하였으나, 본 발명이 속하는 기술분야의 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 본 명세서에 개시된 내용과는 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다. 본 발명의 보호범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구의 범위 그리고 그 균등 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.
While the present invention has been described in connection with what is presently considered to be practical exemplary embodiments, it is to be understood that the invention is not limited to the disclosed embodiments, but, on the contrary, It is to be understood that the invention may be embodied in other specific forms. It is therefore to be understood that the above-described embodiments are illustrative in all aspects and not restrictive. The scope of the present invention is defined by the appended claims rather than the detailed description, and all changes or modifications derived from the scope of the claims and their equivalents shall be construed as being included within the scope of the present invention.

100 : 디바이스 인증 시스템
110 : 지능형 디바이스 120 : 사내 클라우드 인증 서버
121 : 통신부 122 : 인증부
123 : 생성부 130 : 사내 서비스 디바이스
140 : 사외 클라우드 인증 서버 150 : 사외 서비스 디바이스
160 : 비지능형 디바이스100: Device authentication system
110: intelligent device 120: in-house cloud authentication server
121: communication unit 122: authentication unit
123: generating unit 130: in-house service device
140: an off-site cloud authentication server 150: an off-site service device
160: Non-intelligent device

Claims (17)

IoT(Internet of Thing) 기반의 스마트 워크 환경에서 지능형 디바이스에 제1 네트워크를 통해 제1 서비스를 제공하는 인증 서버에 있어서,
상기 지능형 디바이스로부터 상기 지능형 디바이스의 식별값과 상기 지능형 디바이스에서 생성된 제1 임시 암호값을 수신하는 통신부;
상기 제1 임시 암호값을 인증하기 위한 제2 임시 암호값을 생성하고, 상기 제1 임시 암호값과 상기 제2 임시 암호값을 비교하여 상기 지능형 디바이스에 대한 인증 과정을 수행하는 인증부; 및
상기 인증부의 인증 결과에 따라, 상기 제1 서비스 이용을 인가하는 인가 티켓을 생성하고, 상기 생성된 인가 티켓을 상기 지능형 디바이스에게 발행하는 생성부;
를 포함하는 IoT 기반의 스마트 워크 환경에서 디바이스 인증을 위한 인증 서버.
An authentication server for providing a first service to an intelligent device through a first network in a smart work environment based on Internet of Thing (IoT)
A communication unit for receiving an identification value of the intelligent device from the intelligent device and a first temporary cipher value generated in the intelligent device;
An authentication unit for generating a second temporary encryption value for authenticating the first temporary encryption value and comparing the first temporary encryption value and the second temporary encryption value to perform an authentication process for the intelligent device; And
A generating unit for generating an authorization ticket for authorizing use of the first service according to an authentication result of the authentication unit and for issuing the generated authorization ticket to the intelligent device;
The authentication server for device authentication in IoT - based smart work environment.
제1항에 있어서, 상기 생성부는,
상기 지능형 디바이스의 식별값과 상기 생성된 인가 티켓을 상기 제1 서비스를 제공하는 제1 서비스 디바이스에 브로드캐스트하는 것
인 IoT기반의 스마트 워크 환경에서 디바이스 인증을 위한 인증 서버.
The apparatus according to claim 1,
Broadcasting the identification value of the intelligent device and the generated authorization ticket to a first service device providing the first service
Authentication server for device authentication in IoT based smart work environment.
제1항에 있어서,
상기 제1 임시 암호값은 상기 지능형 디바이스의 일련번호, 상기 인증부와 서로 사전에 공유된 대칭키, 카운터값 및 시간값을 이용하여 생성된 것이며,
상기 인증부는,
상기 지능형 디바이스와 사전에 공유된 상기 지능형 디바이스의 일련번호와 상기 대칭키, 상기 카운터값 및 상기 시간값을 이용하여 제2 임시 암호값을 생성하는 것
인 IoT기반의 스마트 워크 환경에서 디바이스 인증을 위한 인증 서버.
The method according to claim 1,
Wherein the first temporary encryption value is generated using a serial number of the intelligent device, a symmetric key previously shared with the authentication unit, a counter value, and a time value,
Wherein,
Generating a second temporary cipher value using the serial number of the intelligent device previously shared with the intelligent device and the symmetric key, the counter value and the time value
Authentication server for device authentication in IoT based smart work environment.
제1항에 있어서, 상기 생성부는,
상기 지능형 디바이스와 서로 사전에 공유된 대칭키와 상기 지능형 디바이스의 식별값을 이용하여 인가 토큰을 더 생성하여 상기 지능형 디바이스에게 전송하는 것
인 IoT기반의 스마트 워크 환경에서 디바이스 인증을 위한 인증 서버.
The apparatus according to claim 1,
Further generating an authorization token using the symmetric key pre-shared with the intelligent device and the identification value of the intelligent device and transmitting the authorization token to the intelligent device
Authentication server for device authentication in IoT based smart work environment.
제4항에 있어서, 상기 지능형 디바이스는,
개인키, 상기 대칭키 및 상기 인증 서버의 식별값을 이용하여 인가값을 생성하고, 상기 인가값과 상기 인가 토큰을 비교하여 상기 인가 티켓을 검증한 후, 상기 제1 서비스를 제공하는 제1 오피스 디바이스에게 상기 인가 티켓을 제시하여 상기 제1 서비스를 이용하는 것
인 IoT기반의 스마트 워크 환경에서 디바이스 인증을 위한 인증 서버.
5. The method of claim 4,
A second authentication module for generating an authorization value using the private key, the symmetric key and the identification value of the authentication server, verifying the authorization ticket by comparing the authorization value with the authorization token, Presenting the authorization ticket to the device and using the first service
Authentication server for device authentication in IoT based smart work environment.
제1항에 있어서,
상기 지능형 디바이스가 제2 네트워크를 통해 제공되는 제2 서비스를 이용하고자 하는 경우,
상기 통신부는,
상기 지능형 디바이스에서 전송한 상기 지능형 디바이스의 식별값과 인가 티켓을 타 인증 서버로부터 수신하며,
상기 인증부는,
상기 수신된 인가 티켓과 상기 생성된 인가 티켓을 비교하여 상기 지능형 디바이스를 인증하는 것
인 IoT기반의 스마트 워크 환경에서 디바이스 인증을 위한 인증 서버.
The method according to claim 1,
When the intelligent device wants to use the second service provided through the second network,
Wherein,
Receiving an identification value of the intelligent device transmitted from the intelligent device and an authorization ticket from another authentication server,
Wherein,
Authenticating the intelligent device by comparing the received authorization ticket with the generated authorization ticket
Authentication server for device authentication in IoT based smart work environment.
제1항에 있어서,
상기 지능형 디바이스와 연결된 비지능형 디바이스가 상기 제1 서비스를 이용하고자 하는 경우,
상기 통신부는,
상기 지능형 디바이스로부터 상기 비지능형 디바이스의 식별값을 더 수신하며,
상기 생성부는,
상기 인증부에서의 상기 지능형 디바이스에 대한 인증 결과에 따라, 비지능형 디바이스용 인가 티켓을 더 생성하여 상기 지능형 디바이스에 전송하는 것
인 IoT기반의 스마트 워크 환경에서 디바이스 인증을 위한 인증 서버.
The method according to claim 1,
When a non-intelligent device connected to the intelligent device wants to use the first service,
Wherein,
Further receiving an identification value of the non-intelligent device from the intelligent device,
Wherein the generation unit comprises:
Generating an authorization ticket for the non-intelligent device and transmitting the authorization ticket for the non-intelligent device to the intelligent device in accordance with the authentication result of the intelligent device in the authentication unit
Authentication server for device authentication in IoT based smart work environment.
제7항에 있어서, 상기 생성부는,
상기 제1 서비스를 제공하는 제1 서비스 디바이스에 상기 비지능형 디바이스의 식별값과 상기 비지능형 디바이스용 인가 티켓을 브로드캐스트하는 것이며,
상기 비지능형 디바이스는,
상기 지능형 디바이스로부터 분배 받은 상기 비지능형 디바이스용 인가 티켓을 상기 제1 서비스 디바이스에게 제시하여 상기 제1 서비스를 이용하는 것
인 IoT기반의 스마트 워크 환경에서 디바이스 인증을 위한 인증 서버.
8. The apparatus according to claim 7,
And broadcast the identification value of the non-intelligent device and the authorization ticket for the non-intelligent device to the first service device providing the first service,
The non-intelligent device includes:
Presenting the authorization ticket for the non-intelligent device distributed from the intelligent device to the first service device and using the first service
Authentication server for device authentication in IoT based smart work environment.
제7항에 있어서, 상기 생성부는,
상기 지능형 디바이스와 서로 사전에 공유된 대칭키와 상기 비지능형 디바이스의 식별값을 이용하여 비지능형 디바이스용 인가 토큰을 생성하고,
상기 지능형 디바이스의 식별값과 자신의 식별값을 이용하여 상기 비지능형 디바이스용 인가 티켓을 생성하며, 생성된 상기 비지능형 디바이스용 인가 토큰과 상기 비지능형 디바이스용 인가 티켓을 상기 지능형 디바이스에 전송하는 것
인 IoT기반의 스마트 워크 환경에서 디바이스 인증을 위한 인증 서버.
8. The apparatus according to claim 7,
Generating an authorization token for the non-intelligent device using the symmetric key pre-shared with the intelligent device and the identification value of the non-intelligent device,
Generating an authorization ticket for the non-intelligent device using the identification value of the intelligent device and its identification value, and transmitting the generated authorization ticket for the non-intelligent device and the authorization ticket for the non-intelligent device to the intelligent device
Authentication server for device authentication in IoT based smart work environment.
IoT(Internet of Thing) 기반의 스마트 워크 환경에서 지능형 디바이스를 인증하는 인증 서버의 동작 방법에 있어서,
상기 지능형 디바이스가 제1 네트워크를 통해 제공되는 제1 서비스를 이용하고자 하는 경우,
상기 지능형 디바이스로부터 상기 지능형 디바이스의 식별값과 상기 지능형 디바이스에서 생성된 제1 임시 암호값을 수신하는 단계;
상기 제1 임시 암호값을 인증하기 위한 제2 임시 암호값을 생성하고, 상기 제1 임시 암호값과 상기 제2 임시 암호값을 비교하여 상기 지능형 디바이스에 대한 인증 과정을 수행하는 단계;
상기 인증 결과에 따라, 상기 제1 서비스 이용을 인가하는 인가 티켓을 생성하고, 상기 생성된 인가 티켓을 상기 지능형 디바이스에게 발행하는 단계; 및
상기 지능형 디바이스의 식별값과 상기 생성된 인가 티켓을 상기 제1 서비스를 제공하는 제1 서비스 디바이스에 브로드캐스트하는 단계;
를 포함하는 IoT 기반의 스마트 워크 환경에서 디바이스 인증 방법.
A method of operating an authentication server for authenticating an intelligent device in a smart work environment based on Internet of Thing (IoT)
When the intelligent device wants to use the first service provided through the first network,
Receiving an identification value of the intelligent device from the intelligent device and a first temporary cryptographic value generated in the intelligent device;
Generating a second temporary encryption value for authenticating the first temporary encryption value and comparing the first temporary encryption value and the second temporary encryption value to perform an authentication process for the intelligent device;
Generating an authorization ticket authorizing the use of the first service according to the authentication result, and issuing the generated authorization ticket to the intelligent device; And
Broadcasting an identification value of the intelligent device and the generated authorization ticket to a first service device providing the first service;
A device authentication method in an IoT-based smart work environment.
제10항에 있어서,
상기 지능형 디바이스가 제2 네트워크를 통해 제공되는 제2 서비스를 이용하고자 하는 경우,
상기 지능형 디바이스에서 전송한 상기 지능형 디바이스의 식별값과 인가 티켓을 제2 인증 서버로부터 수신하는 단계;
상기 수신된 인가 티켓과 상기 생성된 인가 티켓을 비교하여 상기 지능형 디바이스를 인증하는 단계; 및
상기 인증 결과를 상기 제2 인증 서버로 전송하는 단계;
를 더 포함하는 IoT 기반의 스마트 워크 환경에서 디바이스 인증 방법.
11. The method of claim 10,
When the intelligent device wants to use the second service provided through the second network,
Receiving an identification value and an authorization ticket of the intelligent device transmitted from the intelligent device from a second authentication server;
Authenticating the intelligent device by comparing the received authorization ticket with the generated authorization ticket; And
Transmitting the authentication result to the second authentication server;
A device authentication method in an IoT-based smart work environment.
제10항에 있어서,
상기 지능형 디바이스와 연결된 비지능형 디바이스가 상기 제1 서비스를 이용하고자 하는 경우,
상기 지능형 디바이스로부터 상기 지능형 디바이스의 식별값과 상기 비지능형 디바이스의 식별값을 수신하는 단계;
상기 지능형 디바이스의 식별값과 자신의 식별값을 이용하여 상기 비지능형 디바이스용 인가 티켓을 더 생성하는 단계;
생성된 상기 비지능형 디바이스용 인가 티켓을 상기 지능형 디바이스로 전송하는 단계; 및
상기 제1 서비스 디바이스에 상기 비지능형 디바이스의 식별값과 상기 비지능형 디바이스용 인가 티켓을 브로드캐스트하는 단계;
를 더 포함하는 IoT 기반의 스마트 워크 환경에서 디바이스 인증 방법.
11. The method of claim 10,
When a non-intelligent device connected to the intelligent device wants to use the first service,
Receiving an identification value of the intelligent device and an identification value of the non-intelligent device from the intelligent device;
Further generating an authorization ticket for the non-intelligent device using the identification value of the intelligent device and its identification value;
Transmitting the generated authorization ticket for the non-intelligent device to the intelligent device; And
Broadcasting the identification value of the non-intelligent device and the authorization ticket for the non-intelligent device to the first service device;
A device authentication method in an IoT-based smart work environment.
지능형 디바이스로부터 수신되는 임시 암호값을 이용하여 상기 지능형 디바이스에 대한 인증 과정을 수행하고, 상기 인증 결과에 따라 인가 티켓을 생성하고, 생성된 상기 인가 티켓을 상기 지능형 디바이스에 전송하며, 상기 지능형 디바이스의 식별값과 상기 생성된 인가 티켓을 제1 서비스를 제공하는 제1 서비스 디바이스에 브로드캐스트하는 제1 인증 서버; 및
상기 임시 암호값을 상기 제1 인증 서버에 전송하여 인증을 요청하고, 상기 제1 인증 서버로부터 전송되는 상기 인가 티켓을 상기 제1 서비스 디바이스에 제시하여 상기 제1 서비스를 이용하는 지능형 디바이스;
를 포함하는 스마트 워크 환경에서의 디바이스 인증 시스템.
An authentication process for the intelligent device is performed using a temporary encryption value received from the intelligent device, an authentication ticket is generated according to the authentication result, the generated authentication ticket is transmitted to the intelligent device, A first authentication server for broadcasting an identification value and the generated authorization ticket to a first service device providing a first service; And
An intelligent device that transmits the temporary encryption value to the first authentication server to request authentication, presents the authorization ticket transmitted from the first authentication server to the first service device and uses the first service;
A device authentication system in a smart work environment.
제13항에 있어서,
상기 지능형 디바이스는,
상기 지능형 디바이스의 일련번호, 상기 제1 인증 서버와 서로 사전에 공유된 대칭키, 카운터값 및 시간값을 이용하여 제1 임시 암호값을 생성하며,
상기 제1 인증 서버는,
상기 지능형 디바이스와 사전에 공유된 상기 지능형 디바이스의 일련번호와 상기 대칭키, 상기 카운터값 및 상기 시간값을 이용하여 제2 임시 암호값을 생성하고, 상기 지능형 디바이스로부터 수신되는 상기 제1 임시 암호값과 상기 제2 임시 암호값을 비교하여 상기 인증 과정을 수행하는 것
인 스마트 워크 환경에서의 디바이스 인증 시스템.
14. The method of claim 13,
The intelligent device comprising:
Generating a first temporary cipher value using the serial number of the intelligent device, a symmetric key, a counter value, and a time value pre-shared with the first authentication server,
Wherein the first authentication server comprises:
Generating a second temporary cipher value using the serial number of the intelligent device previously shared with the intelligent device and the symmetric key, the counter value and the time value, and generating the first temporary cipher value And comparing the second temporary encryption value with the second temporary encryption value to perform the authentication process
A device authentication system in a smart work environment.
제13항에 있어서,
상기 제1 인증 서버는,
상기 지능형 디바이스와 서로 사전에 공유된 대칭키와 상기 지능형 디바이스의 식별값을 이용하여 인가 토큰을 생성하고,
상기 지능형 디바이스는,
상기 대칭키와 상기 제1 인증 서버와 서로 사전에 공유된 상기 제1 인증 서버의 식별값을 이용하여 인가값을 생성하며, 상기 제1 인증 서버로부터 수신되는 상기 인가 토큰과 상기 생성된 인가값을 비교하여 상기 인가 티켓을 검증하는 것
인 스마트 워크 환경에서의 디바이스 인증 시스템.
14. The method of claim 13,
Wherein the first authentication server comprises:
Generating an authorization token using the symmetric key pre-shared with the intelligent device and the identification value of the intelligent device,
The intelligent device comprising:
Generates an authorization value using the symmetric key and the identification value of the first authentication server previously shared with the first authentication server, and transmits the authorization token received from the first authentication server and the generated authorization value And verifying the authorization ticket by comparing
A device authentication system in a smart work environment.
제13항에 있어서,
상기 지능형 디바이스가 제2 네트워크를 통해 제공되는 제2 서비스를 이용하고자 하는 경우,
상기 지능형 디바이스로부터 수신되는 인가 티켓을 상기 제1 인증 서버에 전송하고, 상기 제1 인증 서버에서 상기 인가 티켓이 검증된 것으로 확인되면, 상기 지능형 디바이스의 식별값과 상기 인가 티켓을 상기 제2 서비스를 제공하는 제2 서비스 디바이스에게 브로드캐스트하는 제2 인증 서버;
를 더 포함하는 스마트 워크 환경에서의 디바이스 인증 시스템.
14. The method of claim 13,
When the intelligent device wants to use the second service provided through the second network,
Transmitting an authorization ticket received from the intelligent device to the first authentication server and verifying that the authorization ticket has been verified in the first authentication server, A second authentication server for broadcasting to a second providing service device;
The device authentication system further comprising:
제13항에 있어서,
상기 지능형 디바이스와 연결된 비지능형 디바이스가 상기 제1 네트워크를 통해 상기 제1 서비스 디바이스에서 제공하는 서비스를 이용하고자 하는 경우,
상기 제1 인증 서버는,
상기 지능형 디바이스로부터 수신되는 상기 지능형 디바이스의 식별값, 임시 암호값 및 상기 비지능형 디바이스의 식별값을 이용하여 인증 과정을 수행하며, 상기 인증 결과에 따라 비지능형 디바이스용 인가 티켓을 더 생성하여 상기 지능형 디바이스에 전송하는 것이며,
상기 지능형 디바이스는,
자신의 식별값, 상기 임시 암호값 및 상기 비지능형 디바이스의 식별값을 상기 제1 인증 서버에 전송하여 인증을 요청하고, 상기 제1 인증 서버에서 생성된 상기 비지능형 디바이스용 인가 티켓을 수신하여 상기 비지능형 디바이스에게 분배하는 것
인 스마트 워크 환경에서의 디바이스 인증 시스템.
14. The method of claim 13,
When the non-intelligent device connected to the intelligent device wants to use the service provided by the first service device through the first network,
Wherein the first authentication server comprises:
Performing an authentication process using an identification value of the intelligent device, a temporary cipher value, and an identification value of the non-intelligent device received from the intelligent device, generating a ticket for non-intelligent devices according to the authentication result, Device,
The intelligent device comprising:
Requesting authentication of the non-intelligent device by transmitting its identification value, the temporary cipher value, and the identification value of the non-intelligent device to the first authentication server, receiving the non-intelligent device authorization ticket generated by the first authentication server, Distributing to non-intelligent devices
A device authentication system in a smart work environment.
KR1020150021476A 2015-02-12 2015-02-12 Authentication server for authentication of the device in IoT based smart work environment, method thereof and system KR20160099256A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150021476A KR20160099256A (en) 2015-02-12 2015-02-12 Authentication server for authentication of the device in IoT based smart work environment, method thereof and system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150021476A KR20160099256A (en) 2015-02-12 2015-02-12 Authentication server for authentication of the device in IoT based smart work environment, method thereof and system

Publications (1)

Publication Number Publication Date
KR20160099256A true KR20160099256A (en) 2016-08-22

Family

ID=56854784

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150021476A KR20160099256A (en) 2015-02-12 2015-02-12 Authentication server for authentication of the device in IoT based smart work environment, method thereof and system

Country Status (1)

Country Link
KR (1) KR20160099256A (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018097395A1 (en) * 2016-11-23 2018-05-31 부산대학교 산학협력단 System and method for tree-based simultaneous authentication of multiple internet of things devices
KR20190053336A (en) * 2017-11-10 2019-05-20 서울과학기술대학교 산학협력단 Device authentication method and system in the Internet of Things Network
US10693878B2 (en) 2017-04-26 2020-06-23 Cisco Technology, Inc. Broker-coordinated selective sharing of data
US11303439B2 (en) 2018-12-26 2022-04-12 Penta Security Systems Inc. Method of and device for performing authentication using hardware security module in oneM2M environment

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018097395A1 (en) * 2016-11-23 2018-05-31 부산대학교 산학협력단 System and method for tree-based simultaneous authentication of multiple internet of things devices
US10693878B2 (en) 2017-04-26 2020-06-23 Cisco Technology, Inc. Broker-coordinated selective sharing of data
US11411957B2 (en) 2017-04-26 2022-08-09 Cisco Technology, Inc. Broker-coordinated selective sharing of data
KR20190053336A (en) * 2017-11-10 2019-05-20 서울과학기술대학교 산학협력단 Device authentication method and system in the Internet of Things Network
US11303439B2 (en) 2018-12-26 2022-04-12 Penta Security Systems Inc. Method of and device for performing authentication using hardware security module in oneM2M environment

Similar Documents

Publication Publication Date Title
CN110637328B (en) Vehicle access method based on portable equipment
US10243742B2 (en) Method and system for accessing a device by a user
CN108551455B (en) Configuration method and device of smart card
CN104753881B (en) A kind of WebService safety certification access control method based on software digital certificate and timestamp
WO2018049656A1 (en) Blockchain-based identity authentication method, device, node and system
WO2017028593A1 (en) Method for making a network access device access a wireless network access point, network access device, application server, and non-volatile computer readable storage medium
CN108141444B (en) Improved authentication method and authentication device
US20050287985A1 (en) Using a portable security token to facilitate public key certification for devices in a network
CN103731756A (en) Smart home remote security access control implementation method based on smart cloud television gateway
CN110189442A (en) Authentication method and device
KR20160112895A (en) Method and apparatus for performing secure bluetooth communication
CN103685323A (en) Method for realizing intelligent home security networking based on intelligent cloud television gateway
US20160357954A1 (en) Method for controlling access to a production system of a computer system not connected to an information system of said computer system
CN103634265B (en) Method, equipment and the system of safety certification
US8831225B2 (en) Security mechanism for wireless video area networks
US20220166802A1 (en) Method and Apparatus for Policy-Based Management of Assets
CN106713279A (en) Video terminal identity authentication system
CN101772024A (en) User identification method, device and system
KR20110083886A (en) Apparatus and method for other portable terminal authentication in portable terminal
KR20160099256A (en) Authentication server for authentication of the device in IoT based smart work environment, method thereof and system
CN108964896A (en) A kind of Kerberos identity authorization system and method based on group key pond
CN108965342A (en) The method for authenticating and system of request of data side's access data source
US20220400015A1 (en) Method and device for performing access control by using authentication certificate based on authority information
CN108259486B (en) End-to-end key exchange method based on certificate
CN108933665A (en) Lightweight V2I group communications identities indentification protocol applies the method in VANETs

Legal Events

Date Code Title Description
WITN Withdrawal due to no request for examination