KR20180085305A - IoT 게이트웨이 - Google Patents

IoT 게이트웨이 Download PDF

Info

Publication number
KR20180085305A
KR20180085305A KR1020170008858A KR20170008858A KR20180085305A KR 20180085305 A KR20180085305 A KR 20180085305A KR 1020170008858 A KR1020170008858 A KR 1020170008858A KR 20170008858 A KR20170008858 A KR 20170008858A KR 20180085305 A KR20180085305 A KR 20180085305A
Authority
KR
South Korea
Prior art keywords
file
gateway
iot
packet
rti
Prior art date
Application number
KR1020170008858A
Other languages
English (en)
Other versions
KR101969815B1 (ko
Inventor
김찬례
Original Assignee
콘텔라 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 콘텔라 주식회사 filed Critical 콘텔라 주식회사
Priority to KR1020170008858A priority Critical patent/KR101969815B1/ko
Publication of KR20180085305A publication Critical patent/KR20180085305A/ko
Application granted granted Critical
Publication of KR101969815B1 publication Critical patent/KR101969815B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0654Management of faults, events, alarms or notifications using network fault recovery
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0695Management of faults, events, alarms or notifications the faulty arrangement being the maintenance, administration or management system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0823Errors, e.g. transmission errors
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Theoretical Computer Science (AREA)
  • Environmental & Geological Engineering (AREA)
  • Medical Informatics (AREA)
  • Bioethics (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 IoT 보안 시스템에 관한 것으로, 보다 상세하게 IoT 보안 시스템의 IoT 게이트웨이는, 파일 식별정보를 정의하고 게이트웨이 운영에 필요한 파일을 정의된 식별정보 항목에 따라 정렬하여 파일목록을 생성하는 파일 관리부; 및 게이트웨이 운영에 필요한 파일과 상기 파일목록을 저장하는 데이터베이스;를 포함하고 상기 파일 관리부는 게이트웨이에 배포된 파일을 상기 파일목록과 비교하여 파일 이상상태를 감지하는 것을 특징으로 한다.

Description

IoT 게이트웨이{IoT Gateway}
본 발명은 IoT 보안 시스템에 관한 것으로, 보다 상세하게는 IoT 게이트웨이에 저장되는 파일 및 IoT 게이트웨이에서 송수신되는 패킷을 진단하여 보안을 유지하는 IoT 게이트웨이에 관한 것이다.
최근, 정보통신 기술의 비약적인 발전에 따라 사물인터넷(IoT, Internet of Things) 기술에 대한 관심 및 수요가 급격히 증가하는 추세이다. 이러한 사물인터넷(IoT)은 이를 바라보는 관점에 따라 다양한 방식으로 정의될 수 있다. 그러나, 본질적으로 IoT가 인터넷을 기반으로 다양한 사물들에게까지 네트워크 연결을 제공함으로써 사람과 사물, 사물과 사물 간의 통신을 가능하게 하는 지능형 정보통신 기술 내지 서비스에 해당함은 분명한 사실이다.
한편, IoT 기술 분야의 급격한 성장세에도 불구하고, 사물인터넷은 이기종의 다수의 장치가 비정형화된 네트워크로 구성되어 있어 정보 유출과 같은 보안 위협이 도처에서 도사리고 있는 것이 현실이다.
종래의 IT 환경에서 IT 기기들의 네트워크는 정형화되고 표준화되어 있어 해킹이나 정보 유출과 같은 사이버 보안에 대해 관리체계 및 대비체계가 정립되어 있다. 그러나 사물인터넷 기술 분야는 그 장치의 리소스 혹은 네트워크의 구조적 관점에서 보안의 사각지대에 있는 것이 사실이다. 이러한 보안의 사각지대가 존재하는 서비스 인프라가 현존하는 산업 전반에 적용될 경우 산업 기밀 정보 유출과 같은 산업보안 위협을 발생시킬 수 있으며, 이는 산업 전반의 국가적 경쟁력을 위협하는 결과를 초래하게 될 것이다.
상기의 문제를 해결하기 위해서 학계 및 산업계에서는 사물인터넷의 보안 강화에 연구 및 기술 개발이 꾸준히 이루어지고 있다. 하지만, 종래의 연구들이 사물인터넷 네트워크 자체의 보안을 강화하는 방안이나, 제한된 리소스를 가진 사물인터넷 센서(IoT 센서)에 대한 보안 모듈을 개발하는데 제한되어 있고, 네트워크 게이트웨이(Gateway, GW, 이하 IoT 게이트웨이) 보안을 위한 연구개발은 미약한 실정이다.
IoT 게이트웨이에는 관리자가 설정한 각종 프로그램 파일이 설치되어 있다. 따라서, IoT 게이트웨이 내에 스니핑이나, 스푸핑 기능이 있는 악성코드가 침투하는 경우, 비록 상기 사물인터넷 센서에서 데이터를 암호화하여 IoT 게이트웨이로 전송하더라도, IoT 게이트웨이 내에서 직접 복호화 키를 가지고 복호화하는 것은, 상기 복호화 키가 악성 코드에 노출될 수 있기 때문에 결국 데이터의 내용을 알 수 있게 되는 문제점이 있다.
따라서, 사물인터넷 환경 전체의 보안강화와 관련하여 사물인터넷 네트워크 및 사물인터넷 센서 자체의 보안뿐만 아니라 IoT 게이트웨이 자체에 관한 보안 강화의 필요성이 크다.
대한민국 공개특허공보 제10-2016-0146090호 "스마트홈 시스템에서의 통신방법 및 그 장치"
앞서 본 종래 기술의 문제점을 해결하기 위하여 안출된 것으로,
본 발명의 목적은, 관리자에 의해 게이트웨이에 설치된 각종 파일과 사물인터넷 시스템 운영상 정형화된 패킷 이외의 나머지 파일이나 패킷을 감지하여 이상상태를 확인하고 이상상태를 처리하는 IoT 게이트웨이를 제공하는 것이다.
본 발명의 다른 목적은, 이상상태에서 자기보정기능을 적용하고 자기보정으로도 회복되지 않는 경우에만 셧다운 기능을 수행하여 사물인터넷 보안을 효율적으로 관리하는 IoT 게이트웨이를 제공하는 것이다.
본 발명은 앞서 본 목적을 달성하기 위하여 다음과 같은 실시예에 의해 구현된다.
일 측면에 따른 사물인터넷(IoT) 보안 시스템의 IoT 게이트웨이에 있어서, IoT 게이트웨이는, 파일 식별정보를 정의하고 게이트웨이 운영에 필요한 파일을 정의된 식별정보 항목에 따라 정렬하여 파일목록을 생성하는 파일 관리부; 및 게이트웨이 운영에 필요한 파일과 상기 파일목록을 저장하는 데이터베이스;를 포함하고 상기 파일 관리부는 게이트웨이에 배포된 파일을 상기 파일목록과 비교하여 파일 이상상태를 감지하는 것을 특징으로 한다.
상기 파일 이상상태는, 게이트웨이에 배포된 파일을 상기 파일 목록과 비교한 결과 기존파일 변경, 새로운 파일 추가 및 기존파일 삭제 중 적어도 하나 이상에 해당하여 보안상 이슈가 발생한 상태인 것을 특징으로 한다.
상기 IoT 게이트웨이는, 게이트웨이의 보안상태를 관리하는 게이트웨이 보안부;를 더 포함하고, 상기 게이트웨이 보안부는, 상기 파일 관리부로부터 파일 이상상태를 전송받는 경우 IoT 관리서버로 파일 이상상태 알림 메시지를 전송하는 이상상태 알림모듈;을 포함하는 것을 특징으로 한다.
상기 게이트웨이 보안부는, 상기 파일 관리부로부터 파일 이상상태를 전송받는 경우 이상상태로 판단된 파일을 분석하여 알고리즘에 따라 파일이 정상상태가 되도록 복구하는 자기회복 모듈;을 더 포함하는 것을 특징으로 한다.
상기 게이트웨이 보안부는, 상기 파일 관리부로부터 파일 이상상태를 전송받는 경우 게이트웨이 시스템을 폐쇄하여 IoT 관리서버로 연결되는 네트워크를 차단하는 셧다운 모듈;을 더 포함하는 것을 특징으로 한다.
상기 IoT 게이트웨이는, 상기 게이트웨이 보안부의 실행으로도 파일이 정상상태로 복구되지 않는 것으로 판단되는 경우에만 상기 셧다운 모듈이 실행되도록 제어하는 제어부;를 더 포함하는 것을 특징으로 한다.
다른 측면에서, 사물인터넷(IoT) 보안 시스템의 IoT 게이트웨이에 있어서, IoT 게이트웨이는, 게이트웨이 기능 수행시 네트워크를 통해 송수신되는 규격화된 트래픽 패킷에 대한 식별정보를 정의하고 트래픽 패킷을 정의된 식별정보 항목에 따라 정렬하여 패킷목록을 생성하는 트래픽 관리부; 및 상기 패킷목록을 저장하는 데이터베이스;를 포함하고 상기 트래픽 관리부는 게이트웨이에 네트워크를 통해 송수신 되는 트래픽 패킷을 상기 패킷목록과 비교하여 패킷 이상상태를 감지하는 것을 특징으로 한다.
상기 패킷 이상상태는, 네트워크를 통해 송수신되는 트래픽 패킷을 상기 패킷목록과 비교한 결과 기존패킷 변경, 새로운 패킷 추가 및 기존패킷 삭제 중 적어도 하나 이상에 해당하여 보안상 이슈가 발생한 상태인 것을 특징으로 한다.
상기 IoT 게이트웨이는, 파일 식별정보를 정의하고 게이트웨이 운영에 필요한 파일을 정의된 식별정보 항목에 따라 정렬하여 파일목록을 생성하는 파일 관리부;를 더 포함하고 상기 파일 관리부는 게이트웨이에 배포된 파일을 상기 파일목록과 비교하여 파일의 이상상태를 감지하는 것을 특징으로 한다.
상기 파일의 이상상태는, 이트웨이에 배포된 파일을 상기 파일 목록과 비교한 결과 기존파일 변경, 새로운 파일 추가 및 기존파일 삭제 중 적어도 하나 이상에 해당하여 보안상 이슈가 발생한 상태인 것을 특징으로 한다.
상기 IoT 게이트웨이는, 게이트웨이의 보안상태를 관리하는 게이트웨이 보안부;를 더 포함하고, 상기 게이트웨이 보안부는, 상기 파일 관리부 또는 상기 트래픽 관리부로부터 이상상태를 전송받는 경우 IoT 관리서버로 이상상태 알림 메시지를 전송하는 이상상태 알림모듈;을 포함하는 것을 특징으로 한다.
상기 게이트웨이 보안부는, 상기 파일 관리부로부터 파일 이상상태를 전송받는 경우 이상상태로 판단된 파일을 분석하여 알고리즘에 따라 파일이 정상상태가 되도록 복구하거나 상기 트래픽 관리부로부터 패킷 이상상태를 전송받는 경우 이상상태로 판단된 패킷을 삭제하는 자기회복 모듈;을 더 포함하는 것을 특징으로 한다.
상기 게이트웨이 보안부는, 상기 파일 관리부 또는 상기 트래픽 관리부로부터 이상상태를 전송받는 경우 게이트웨이 시스템을 폐쇄하여 IoT 관리서버로 연결되는 네트워크를 차단하는 셧다운 모듈;을 더 포함하는 것을 특징으로 한다.
상기 IoT 게이트웨이는, 상기 자기회복 모듈의 실행으로도 파일이 정상상태로 복구되지 않거나 최초 설정된 규격화된 트래픽 패킷 이외 이상상태의 패킷이 여전히 존재하는 것으로 판단되는 경우에만 상기 셧다운 모듈이 실행되도록 제어하는 제어부;를 더 포함하는 것을 특징으로 한다.
본 발명은 앞서 본 구성에 의하여 다음과 같은 효과를 가진다.
본 발명은, 관리자에 의해 게이트웨이에 설치된 각종 파일과 사물인터넷 시스템 운영상 정형화된 패킷을 기준으로 간단히 게이트웨이에 배포된 파일이나 패킷이 다른지 만을 비교하여 이상상태를 판단하므로, 외부 악성코드 종류를 구별하여 확인하는 노력이 필요하지 않고 다양한 형태로 변이된 악성코드로부터 침입받더라도 사물인터넷 시스템을 방어할 수 있는 효과가 있다.
본 발명은, 다양한 형태로 변이된 악성코드 정보를 저장하지 않고 관리자에 의해 게이트웨이에 설치된 각종 파일과 사물인터넷 시스템 운영상 정형화된 패킷 정보만을 데이터베이스에 저장하므로, 저장 정보량을 줄여 경제적인 효과를 기대할 수 있다.
본 발명은, 이상상태에서 자기보정기능을 적용하고 자기보정으로도 회복되지 않는 경우에만 셧다운 기능을 수행하므로 사물인터넷 보안을 효율적으로 관리할 수 있는 효과를 기대할 수 있다.
도 1은 일 실시예에 따른 사물인터넷(IoT, Internet of Things) 시스템을 개략적으로 보여주는 블럭도이다.
도 2는 도 1의 게이트웨이를 자세하게 설명하는 블럭도이다.
도 3은 일 실시예에 따른 식별정보 항목에 기초하여 정렬된 파일목록을 보여주는 개념도이다.
이하, 본 발명의 실시 예를 첨부된 도면들을 참조하여 더욱 상세하게 설명한다. 본 발명의 실시 예는 여러 가지 형태로 변형할 수 있으며, 본 발명의 범위가 아래의 실시 예들로 한정되는 것으로 해석되어서는 안 된다. 본 실시 예는 당업계에서 평균적인 지식을 가진 자에게 본 발명을 더욱 완전하게 설명하기 위해 제공되는 것이다. 또한, 본 발명의 도면과 명세서에서 특정한 용어들이 사용되었으나, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미 한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다. 그러므로 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서 본 발명의 진정한 기술적 보호범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.
그러면 도면을 참고하여 본 발명의 IoT 게이트웨이의 보안관리장치에 대하여 상세하게 설명한다.
도 1은 일 실시예에 따른 사물인터넷(IoT, Internet of Things) 시스템을 개략적으로 보여주는 블럭도이다.
도 1을 참고하면, 사물인터넷 시스템은 IoT 센서(10), 게이트웨이(20), 그리고 IoT 관리서버(30)를 포함할 수 있다. 사물인터넷 시스템은 다양한 서비스를 제공하는 장소에서 이용될 수 있다. 예를 들어, 호텔과 같은 숙박시설, 빌딩, 병원, 식당, 사무실 또는 가정집 등에 상기 시스템이 적용될 수 있다.
IoT 센서(10)는 댁내 기기들에 결합하여 사물환경 정보를 센싱하고 센서 네트워크를 통해 센싱한 정보를 게이트웨이(20)로 전달할 수 있다. IoT 센서(10)가 전송하는 데이터는 자신이 감지 또는 계측한 센싱 정보, 기기 내부에 저장된 정보, 기기의 종류나 넘버를 나타내는 기기 고유 정보 등에 해당될 수 있다. 또한, IoT 센서(10)는 무선 전송을 위해 Wi-Fi, Zigbee, Bluetooth, SUN 등의 방식을 사용할 수 있다.
여기서, 댁내 기기들은 사용자 편의를 위하여 복수의 구역을 이용하는 다양한 목적을 가진 장치들로 구현될 수 있다. 예를 들어, 댁내 기기들은 온도 조절 기기, 에어컨, 히터, 냉장고, 조명 장치, 취사 장치, 식기 세척기, 세탁기, 로봇 청소기, TV 등 다양한 목적의 기기가 될 수 있다.
또한, IoT 센서(10)는 AP(Access Point) 장치를 포함할 수 있다. 댁내 AP는 댁내 무선 인터넷 공유기 등으로, 댁내의 무선 LAN(Local Area Network)에서 기지국 역할을 하는 소출력 무선 기기에 해당하는 것이다. 이러한 댁내 AP는 유선 네트워크를 무선 네트워크로 확장시켜주는 역할을 수행한다.
게이트웨이(20)는 IoT 센서(10)와 유선 통신 또는 무선 통신으로 연결되어 제어에 필요한 정보를 주고받을 수 있다. 또한, 게이트웨이(20)는 IoT 관리서버(30)와 유선 통신 또는 무선 통신으로 연결되어 IoT 센서(10)의 제어에 필요한 정보를 주고받을 수 있다.
예를 들어, 게이트웨이(20)는 댁내의 온도 조절 기기로부터 댁내의 온도를 획득하고, 획득된 온도를 IoT 관리서버(30)로 전송할 수 있다. 또는, 게이트웨이(20)는 댁내의 온도 조절 기기를 제어하는 사용자 입력정보를 획득하고, 획득된 사용자 입력정보를 IoT 관리서버(30)로 전송할 수 있다.
일 실시예에 따라, 게이트웨이(20)는 IoT 센서(10)를 제어하고 관리하는 등 게이트웨이(20) 운영에 필요한 각종 프로그램 파일을 저장할 수 있으며, 외부 공격으로부터 게이트웨이(20)를 방어하기 위한 'IoT 게이트웨이의 보안관리장치'를 포함할 수 있다. IoT 게이트웨이의 보안관리장치는 이하, 도 2에서 상세하게 설명한다.
IoT 관리서버(30)는 사물인터넷 시스템이 동작하기 위해 필요한 정보를 각 장치로부터 수신하여 저장하고, 각 장치에게 전송할 수 있다. 즉, IoT 관리서버(30)는 게이트웨이(20)와 유선 통신 또는 무선 통신으로 연결되어 필요한 정보를 주고 받을 수 있다. 예를 들어, 상기 IoT 관리서버(30)는 IoT 센서(10)를 제어할 설정 값을 게이트웨이(20)를 통하여 IoT 센서(10)로 전송할 수 있다.
도 2는 도 1의 게이트웨이를 자세하게 설명하는 블럭도이다.
도 2를 참고하면, 게이트웨이(20)는 파일 관리부(21), 트래픽 관리부(23), 게이트웨이 보안부(25), 제어부(27), 그리고 데이터베이스(29)를 포함할 수 있으며, 상기 구성을 포함하여 사물인터넷(IoT) 시스템의 보안을 강화할 수 있다. 여기서, 게이트웨이(20)는 IoT 게이트웨이로 명명할 수 있다.
파일 관리부(21)는 파일 식별정보 관리모듈(211), 그리고 파일 이상상태 감지모듈(213)을 포함하여, 게이트웨이(20)에 배포되는 각종 파일의 이상상태를 주기적으로 감지할 수 있다.
파일 식별정보 관리모듈(211)은 파일 식별정보를 정의하고 게이트웨이(20) 운영에 필요한 파일을 정의된 식별정보 항목에 따라 정렬하여 파일목록을 생성할 수 있다. 여기서, 게이트웨이(20) 운영에 필요한 파일은 사용자에 의해 설치된 파일에 대응하며, 예를 들어, OS(operating system)부터 각종 제어 프로그램 파일로 구현될 수 있다. 따라서, 파일목록은 관리자에 의해 설치된 파일에 대한 목록이다.
파일 이상상태 감지모듈(213)은 게이트웨이(20)에 배포된 파일을 상기 파일목록과 비교하여 파일 이상상태를 감지할 수 있다. 여기서, 게이트웨이(20)에 배포된 파일은 현재 게이트웨이(20) 내에 존재하는 파일로, 사용자에 의해 게이트웨이(20)에 설치된 파일과 동일할 수 있다. 그러나, 해커나 외부 장치 등의 공격으로 인해 파일이 변경되는 경우, 게이트웨이(20)에 배포된 파일은 사용자에 의해 설치된 파일과 내용 또는 종류가 상이할 수도 있다.
상기 파일 이상상태는 게이트웨이(20)에 배포된 파일을 상기 파일 목록과 비교한 결과 기존파일 변경, 새로운 파일 추가 및 기존파일 삭제 중 적어도 하나 이상에 해당하여 보안상 이슈가 발생한 상태인 것으로 정의한다.
트래픽 관리부(23)는 규격패킷 식별정보 관리모듈(231), 그리고 패킷 이상상태 감지모듈(233)을 포함하여, 게이트웨이(20)로 송수신 되는 패킷들의 이상상태를 주기적으로 감지할 수 있다.
규격패킷 식별정보 관리모듈(231)은 게이트웨이(20)가 사용자 설정에 따라 정해진 기능을 수행할 때, 네트워크를 통해 송수신되는 규격화된 트래픽 패킷에 대한 식별정보를 정의할 수 있다. 여기서, 규격화된 트래픽 패킷은 사물인터넷 시스템의 기능 수행시 네트워크를 통해 송수신되는 패킷으로, 정형화되어 미리 약속된 패킷 형태로 정의한다. 식별정보는 패킷 형태를 확인할 수 있는 지표(index)이다. 또한, 상기 네트워크는 도 1을 참고하면, 센서 네트워크 또는 서버 네트워크를 포함할 수 있다.
또한, 규격패킷 식별정보 관리모듈(231)은 규격화된 트래픽 패킷을 정의된 식별정보 항목에 따라 정렬하여 패킷목록을 생성할 수 있다. 따라서, 상기 패킷목록은 규격화된 트래픽 패킷에 대한 목록이다.
패킷 이상상태 감지모듈(233)는 게이트웨이(20)에 네트워크를 통해 송수신 되는 트래픽 패킷을 상기 패킷목록과 비교하여 패킷 이상상태를 감지할 수 있다. 도 1을 참고하면, 네트워크를 통해 송수신되는 패킷은 선서 네트워크 또는 서버 네트워크를 통해 송수신되는 패킷으로, 관리자에 의해 규격화된 트래픽 패킷과 동일할 수 있다. 그러나, 해커나 외부 장치 등의 공격으로 인해 패킷이 변경되거나 악성코드에 감염된 패킷이 존재하는 경우, 네트워크를 통해 송수신되는 패킷은 규격화된 트래픽 패킷과 상이할 수도 있다.
상기 패킷 이상상태는 네트워크를 통해 송수신되는 트래픽 패킷을 패킷목록과 비교한 결과 기존패킷 변경, 새로운 패킷 추가 및 기존패킷 삭제 중 적어도 하나 이상에 해당하여 보안상 이슈가 발생한 상태인 것으로 정의한다.
게이트웨이 보안부(25)는 이상상태 알림모듈(251), 자기회복 모듈(253), 그리고 셧다운 모듈(255)를 포함하여, 게이트웨이(20)의 보안상태를 관리할 수 있다.
이상상태 알림모듈(251)은 파일 관리부(21) 또는 트래픽 관리부(23)로부터 이상상태를 전송받는 경우 IoT 관리서버(30)로 이상상태 알림 메시지를 전송할 수 있다. 따라서, IoT 관리서버(30)는 주기적으로 게이트웨이(20)를 모니터링 할 수 있고 필요한 제어신호를 게이트웨이(20)를 전송할 수 있다.
자기회복 모듈(253)은 파일 관리부(21)로부터 파일 이상상태를 전송받는 경우 이상상태로 판단된 파일을 분석하여 알고리즘에 따라 파일이 정상상태가 되도록 복구할 수 있다. 또한, 자기회복 모듈(253)은 트래픽 관리부(23)로부터 패킷 이상상태를 전송받는 경우 이상상태로 판단된 패킷을 삭제하여 스스로 정상상태로 회복할 수 있다.
셧다운 모듈(255)은 파일 관리부(21) 또는 트래픽 관리부(23)로부터 이상상태를 전송받는 경우 게이트웨이(20)를 폐쇄하여 IoT 관리서버(30)로 연결되는 서버 네트워크를 차단할 수 있다. 또한, 셧다운 모듈(255)은 IoT 센서(10)로 연결되는 센서 네트워크를 차단할 수 있다.
이렇게, 일시예에 따라 셧다운 모듈(255)을 포함함으로써, 게이트웨이(20)에 침입한 다양한 형태의 외부 침입 프로그램(ex, 악성코드)이나 패킷이 네트워크를 통해 IoT 센서(10)나 IoT 관리서버(30)로 퍼져 나가는 것을 예방할 수 있다.
제어부(27)는 게이트웨이(20) 운영에 전반적으로 관여하여 제어하며, 일 실시예에 따라, 자기회복 모듈(253) 및 셧다운 모듈(255)의 작동을 제어할 수 있다. 보다 상세하게 설명하면, 제어부(27)는 자기회복 모듈(253) 및 셧다운 모듈(255)을 동시에 실행시킬 수도 있고, 선택적으로 실행시킬 수도 있다.
제어부(27)는 자기회복 모듈(253)의 실행으로도 파일이 정상상태로 복구되지 않거나 최초 설정된 규격화된 트래픽 패킷 이외 이상상태의 패킷이 여전히 존재하는 것으로 판단되는 경우에만 셧다운 모듈(255)이 실행되도록 제어하는 실시예를 포함한다.
이는, 일단, 셧다운(shutdown)된 게이트웨이(20)를 복구하는데 시간, 노력, 비용이 발생하므로, 우선, 자기 복구를 시도하고 자기복구로 회복되지 않는 경우에 비로소 IoT 센서(10)나 IoT 관리서버(30)를 보호하기 위한 최후방안으로 게이트웨이(20)를 폐쇄하도록 제어하여 보안 시스템의 효율성을 도모하기 위함이다.
도 3은 일 실시예에 따른 식별정보 항목에 기초하여 정렬된 파일목록을 보여주는 개념도이다.
데이터베이스(29)는 게이트웨이(20) 운영에 필요한 파일, 파일목록, 및 패킷목록 등을 저장할 수 있다.
도 3은, 일 실시예에 따라, 게이트웨이(20) 운영에 필요한 파일을 정의된 식별정보 항목에 따라 정렬하여 생성된 파일목록을 보여준다. 도 3을 참고하면, 파일이름, 권한, owner/group, 크기(size) 등이 식별정보 항목에 해당한다.
본 명세서는 많은 특징을 포함하는 반면, 그러한 특징은 본 발명의 범위 또는 특허청구범위를 제한하는 것으로 해석되어서는 안 된다. 또한, 본 명세서에서 개별적인 실시예에서 설명된 특징들은 단일 실시예에서 결합되어 구현될 수 있다. 반대로, 본 명세서에서 단일 실시예에서 설명된 다양한 특징들은 개별적으로 다양한 실시예에서 구현되거나, 적절히 결합되어 구현될 수 있다.
도면에서 동작들이 특정한 순서로 설명되었으나, 그러한 동작들이 도시된 바와 같은 특정한 순서로 수행되는 것으로, 또는 일련의 연속된 순서, 또는 원하는 결과를 얻기 위해 모든 설명된 동작이 수행되는 것으로 이해되어서는 안 된다. 특정 환경에서 멀티태스킹 및 병렬 프로세싱이 유리할 수 있다. 아울러, 상술한 실시예에서 다양한 시스템 구성요소의 구분은 모든 실시예에서 그러한 구분을 요구하지 않는 것으로 이해되어야 한다. 상술한 프로그램 구성요소 및 시스템은 일반적으로 단일 소프트웨어 제품 또는 멀티플 소프트웨어 제품에 패키지로 구현될 수 있다.
상술한 바와 같은 본 발명의 방법은 프로그램으로 구현되어 컴퓨터로 읽을 수 있는 형태로 기록매체(시디롬, 램, 롬, 플로피 디스크, 하드 디스크, 광자기 디스크 등)에 저장될 수 있다. 이러한 과정은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있으므로 더 이상 상세히 설명하지 않기로 한다.
이상에서 설명한 본 발명은, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하므로 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니다.
10: IoT 센서 20: 게이트웨이
21: 파일 관리부 23: 트래픽 관리부
25: 게이트웨이 보안부 27: 제어부
29: 데이터베이스 30: IoT 관리서버

Claims (14)

  1. 사물인터넷(IoT) 보안 시스템의 IoT 게이트웨이에 있어서,
    파일 식별정보를 정의하고 게이트웨이 운영에 필요한 파일을 정의된 식별정보 항목에 따라 정렬하여 파일목록을 생성하는 파일 관리부; 및
    게이트웨이 운영에 필요한 파일과 상기 파일목록을 저장하는 데이터베이스;를 포함하고
    상기 파일 관리부는 게이트웨이에 배포된 파일을 상기 파일목록과 비교하여 파일 이상상태를 감지하는 것을 특징으로 하는 IoT 게이트웨이.
  2. 제1항에서, 상기 파일 이상상태는
    게이트웨이에 배포된 파일을 상기 파일 목록과 비교한 결과 기존파일 변경, 새로운 파일 추가 및 기존파일 삭제 중 적어도 하나 이상에 해당하여 보안상 이슈가 발생한 상태인 것을 특징으로 하는 IoT 게이트웨이.
  3. 제2항에서,
    게이트웨이의 보안상태를 관리하는 게이트웨이 보안부;를 더 포함하고,
    상기 게이트웨이 보안부는,
    상기 파일 관리부로부터 파일 이상상태를 전송받는 경우 IoT 관리서버로 파일 이상상태 알림 메시지를 전송하는 이상상태 알림모듈;
    을 포함하는 것을 특징으로 하는 IoT 게이트웨이.
  4. 제3항에서, 상기 게이트웨이 보안부는,
    상기 파일 관리부로부터 파일 이상상태를 전송받는 경우 이상상태로 판단된 파일을 분석하여 알고리즘에 따라 파일이 정상상태가 되도록 복구하는 자기회복 모듈;
    을 더 포함하는 것을 특징으로 하는 IoT 게이트웨이.
  5. 제3항에서, 상기 게이트웨이 보안부는,
    상기 파일 관리부로부터 파일 이상상태를 전송받는 경우 게이트웨이 시스템을 폐쇄하여 IoT 관리서버로 연결되는 네트워크를 차단하는 셧다운 모듈;
    을 더 포함하는 것을 특징으로 하는 IoT 게이트웨이.
  6. 제3항에서,
    상기 게이트웨이 보안부의 실행으로도 파일이 정상상태로 복구되지 않는 것으로 판단되는 경우에만 상기 셧다운 모듈이 실행되도록 제어하는 제어부;
    를 더 포함하는 것을 특징으로 하는 IoT 게이트웨이.
  7. 사물인터넷(IoT) 보안 시스템의 IoT 게이트웨이에 있어서,
    게이트웨이 기능 수행시 네트워크를 통해 송수신되는 규격화된 트래픽 패킷에 대한 식별정보를 정의하고 트래픽 패킷을 정의된 식별정보 항목에 따라 정렬하여 패킷목록을 생성하는 트래픽 관리부; 및
    상기 패킷목록을 저장하는 데이터베이스;를 포함하고
    상기 트래픽 관리부는 게이트웨이에 네트워크를 통해 송수신 되는 트래픽 패킷을 상기 패킷목록과 비교하여 패킷 이상상태를 감지하는 것을 특징으로 하는 IoT 게이트웨이의 보안관리장치.
  8. 제7항에서, 상기 패킷 이상상태는
    네트워크를 통해 송수신되는 트래픽 패킷을 상기 패킷목록과 비교한 결과 기존패킷 변경, 새로운 패킷 추가 및 기존패킷 삭제 중 적어도 하나 이상에 해당하여 보안상 이슈가 발생한 상태인 것을 특징으로 하는 IoT 게이트웨이.
  9. 제8항에서,
    파일 식별정보를 정의하고 게이트웨이 운영에 필요한 파일을 정의된 식별정보 항목에 따라 정렬하여 파일목록을 생성하는 파일 관리부;를 더 포함하고
    상기 파일 관리부는 게이트웨이에 배포된 파일을 상기 파일목록과 비교하여 파일의 이상상태를 감지하는 것을 특징으로 하는 IoT 게이트웨이.
  10. 제9항에서, 상기 파일의 이상상태는
    게이트웨이에 배포된 파일을 상기 파일 목록과 비교한 결과 기존파일 변경, 새로운 파일 추가 및 기존파일 삭제 중 적어도 하나 이상에 해당하여 보안상 이슈가 발생한 상태인 것을 특징으로 하는 IoT 게이트웨이.
  11. 제10항에서,
    게이트웨이의 보안상태를 관리하는 게이트웨이 보안부;를 더 포함하고,
    상기 게이트웨이 보안부는,
    상기 파일 관리부 또는 상기 트래픽 관리부로부터 이상상태를 전송받는 경우 IoT 관리서버로 이상상태 알림 메시지를 전송하는 이상상태 알림모듈;
    을 포함하는 것을 특징으로 하는 IoT 게이트웨이.
  12. 제11항에서, 상기 게이트웨이 보안부는,
    상기 파일 관리부로부터 파일 이상상태를 전송받는 경우 이상상태로 판단된 파일을 분석하여 알고리즘에 따라 파일이 정상상태가 되도록 복구하거나 상기 트래픽 관리부로부터 패킷 이상상태를 전송받는 경우 이상상태로 판단된 패킷을 삭제하는 자기회복 모듈;
    을 더 포함하는 것을 특징으로 하는 IoT 게이트웨이.
  13. 제12항에서, 상기 게이트웨이 보안부는,
    상기 파일 관리부 또는 상기 트래픽 관리부로부터 이상상태를 전송받는 경우 게이트웨이 시스템을 폐쇄하여 IoT 관리서버로 연결되는 네트워크를 차단하는 셧다운 모듈;
    을 더 포함하는 것을 특징으로 하는 IoT 게이트웨이.
  14. 제13항에서,
    상기 자기회복 모듈의 실행으로도 파일이 정상상태로 복구되지 않거나 최초 설정된 규격화된 트래픽 패킷 이외 이상상태의 패킷이 여전히 존재하는 것으로 판단되는 경우에만 상기 셧다운 모듈이 실행되도록 제어하는 제어부;
    를 더 포함하는 것을 특징으로 하는 IoT 게이트웨이.
KR1020170008858A 2017-01-18 2017-01-18 IoT 게이트웨이 KR101969815B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170008858A KR101969815B1 (ko) 2017-01-18 2017-01-18 IoT 게이트웨이

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170008858A KR101969815B1 (ko) 2017-01-18 2017-01-18 IoT 게이트웨이

Publications (2)

Publication Number Publication Date
KR20180085305A true KR20180085305A (ko) 2018-07-26
KR101969815B1 KR101969815B1 (ko) 2019-04-17

Family

ID=63047915

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170008858A KR101969815B1 (ko) 2017-01-18 2017-01-18 IoT 게이트웨이

Country Status (1)

Country Link
KR (1) KR101969815B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20200017590A (ko) 2018-07-27 2020-02-19 에스피테크놀러지 주식회사 IoT(Internet Of Things) 통신 시스템 및 그 제어방법
KR102119374B1 (ko) 2019-11-25 2020-06-05 한국인터넷진흥원 IoT 디바이스의 비정상 행위 대응 방법 및 장치
KR102181943B1 (ko) * 2020-09-14 2020-11-23 (주)엠티커뮤니케이션 게이트웨이 기반 모니터링 시스템

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20200049558A (ko) 2018-10-31 2020-05-08 젤릭스 주식회사 플랫폼이 구현된 스마트 게이트웨이 및 이를 이용한 에너지 거래 방법

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20080057917A (ko) * 2006-12-21 2008-06-25 주식회사 레드게이트 보안 커널과 연계한 실시간 무결성 점검 및 추적 방법
KR20150017385A (ko) * 2012-09-17 2015-02-16 텐센트 테크놀로지(센젠) 컴퍼니 리미티드 시스템 파일을 수리하기 위한 시스템 및 방법
KR101679578B1 (ko) * 2015-05-27 2016-11-25 주식회사 윈스 IoT 보안을 위한 제어 서비스 제공 장치 및 방법
KR20160146090A (ko) 2015-06-11 2016-12-21 아주대학교산학협력단 스마트홈 시스템에서의 통신 방법 및 그 장치

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20080057917A (ko) * 2006-12-21 2008-06-25 주식회사 레드게이트 보안 커널과 연계한 실시간 무결성 점검 및 추적 방법
KR20150017385A (ko) * 2012-09-17 2015-02-16 텐센트 테크놀로지(센젠) 컴퍼니 리미티드 시스템 파일을 수리하기 위한 시스템 및 방법
KR101679578B1 (ko) * 2015-05-27 2016-11-25 주식회사 윈스 IoT 보안을 위한 제어 서비스 제공 장치 및 방법
KR20160146090A (ko) 2015-06-11 2016-12-21 아주대학교산학협력단 스마트홈 시스템에서의 통신 방법 및 그 장치

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20200017590A (ko) 2018-07-27 2020-02-19 에스피테크놀러지 주식회사 IoT(Internet Of Things) 통신 시스템 및 그 제어방법
KR102119374B1 (ko) 2019-11-25 2020-06-05 한국인터넷진흥원 IoT 디바이스의 비정상 행위 대응 방법 및 장치
KR102181943B1 (ko) * 2020-09-14 2020-11-23 (주)엠티커뮤니케이션 게이트웨이 기반 모니터링 시스템

Also Published As

Publication number Publication date
KR101969815B1 (ko) 2019-04-17

Similar Documents

Publication Publication Date Title
US9853999B2 (en) Context-aware knowledge system and methods for deploying deception mechanisms
Ciholas et al. The security of smart buildings: a systematic literature review
KR101969815B1 (ko) IoT 게이트웨이
US8555381B2 (en) Cloud computing as a security layer
Wendzel et al. Cyber security of smart buildings
US10863234B2 (en) System and method for secure appliance operation
US10097572B1 (en) Security for network computing environment based on power consumption of network devices
US20120066764A1 (en) Method and apparatus for enhancing security in a zigbee wireless communication protocol
Saxena et al. Analysis of security attacks in a smart home networks
KR20160006915A (ko) 사물인터넷 관리 방법 및 장치
Möllers et al. Short paper: Extrapolation and prediction of user behaviour from wireless home automation communication
Mbarek et al. Trust-based authentication for smart home systems
CN110365559B (zh) 用于安全设备操作的系统和方法
Yassein et al. Evaluation of security regarding Z-Wave wireless protocol
US11349882B2 (en) Connecting devices to the cloud
Desamsetti Internet of Things (IoT) Technology for Use as Part of the Development of Smart Home Systems
EP3018878B1 (en) Firewall based prevention of the malicious information flows in smart home
KR102295348B1 (ko) 운영 기술 데이터의 보안 위협 분석 및 탐지 방법
US10798572B2 (en) System and method for secure appliance operation
HA Investigation on intrusion detection systems in IoT
Pancaroglu et al. An analysis of the current state of security in the Internet of Things
CN112859620B (zh) 安全防护方法、装置、智能家居系统和计算机可读介质
Samara et al. Using Security Centre in Indoor Internet of Things
Seffer The Internet of Things: Addressing the risks of smart homes: An analysis of Internet of Things-based smart homes from a security standpoint
Sadikin et al. INVESTIGATION AND PENETRATION OF DIGITAL ATTACKS ON ZIGBEE-BASED IOT SYSTEMS

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant