KR20180114341A - IoT 디바이스 암호화 시스템 및 방법 - Google Patents

IoT 디바이스 암호화 시스템 및 방법 Download PDF

Info

Publication number
KR20180114341A
KR20180114341A KR1020170045946A KR20170045946A KR20180114341A KR 20180114341 A KR20180114341 A KR 20180114341A KR 1020170045946 A KR1020170045946 A KR 1020170045946A KR 20170045946 A KR20170045946 A KR 20170045946A KR 20180114341 A KR20180114341 A KR 20180114341A
Authority
KR
South Korea
Prior art keywords
iot
key
secret key
management server
message
Prior art date
Application number
KR1020170045946A
Other languages
English (en)
Inventor
김정하
Original Assignee
주식회사 나우소프트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 나우소프트 filed Critical 주식회사 나우소프트
Priority to KR1020170045946A priority Critical patent/KR20180114341A/ko
Publication of KR20180114341A publication Critical patent/KR20180114341A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/12Details relating to cryptographic hardware or logic circuitry
    • H04L2209/122Hardware reduction or efficient architectures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 IoT 디바이스, IoT 게이트웨이, 디바이스 관리서버 및 IoT 서비스 서버를 포함하는 IoT 디바이스 암호화 시스템 및 방법에 관한 것으로서, 디바이스 관리서버에서 시스템 공통정보와 비밀키를 할당 및 분배하여 디바이스 관리서버에 의한 독립적인 암호화 정보 관리정책이 가능하도록 하고, 시스템 공통정보와 비밀키의 노출 또는 분실 위험에 대하여 수시 또는 주기적으로 변경하여 보안을 확보하는 것을 특징으로 한다.

Description

IoT 디바이스 암호화 시스템 및 방법{ENCRYPTION SYSTEM OF IOT DEVICE AND METHOD USING THE SAME}
본 발명은 IoT 디바이스 암호화 시스템 및 방법에 관한 것으로서, 더욱 상세하게는 제한적인 컴퓨팅 자원을 가지는 경량화된 IoT 디바이스에서의 암호화를 위한 기술이다.
사물(device, machine)들이 유무선 인터넷으로 연결되는 IoT(Internet of Things) 시대를 맞아 스마트홈, 원격제어, 무선 검침, 재난 안전 등 다양한 분야에서 서비스되고 있으며, IoT 디바이스는 전 세계적으로 2011년에 20억대를 넘었으며 2020년에는 120억대 이상으로 기하급수적으로 증가할 것으로 예측되고 있다.
IoT를 비롯하여 M2M(Machine to Machine) 및 WoT(Web of Things)를 포함하는 디바이스 간 통신 네트워크의 경우 기밀성이 보장되어야 하고, 디바이스 간 통신 네트워크를 구성하는 각종 디바이스들 간의 안전한 인증이 사전에 이루어져야 한다.
IoT 디바이스 인증을 위해, PSK(Pre-Shared Key)를 이용한 DTLS(Datagram Transport Layer Security) 프로토콜의 적용을 고려하는 방법이 제안된 바 있다. 그러나 DTLS는 데이터 기밀성, 무결성, 사용자 인증 등을 제공하는 보안 프로토콜로서 인증 및 세션키 분배과정에서 많은 핸드쉐이킹 메시지가 요구되므로, 저전력, 저사양 등의 제한적인 컴퓨팅 자원의 환경 특성을 갖는 디바이스 간 통신 네트워크에는 적합하지 않다는 문제점이 있다.
특허문헌 1에는 IoT 환경에서 공개키 배포를 이용한 HTTP 기반의 정보 보안 장치를 제시하고 있으나, SDK를 이용한 공개키 배포는 고정된 공개키의 사용으로 공개키의 노출 시 보안에 취약해지는 문제점이 있다.
1. 한국공개특허 제10-2016-0028230
상기와 같은 문제점을 해결하기 위해 본 발명은 제한적인 컴퓨팅 자원을 가지는 경량화된 IoT 디바이스와 디바이스 관리서버 또는 IoT 서비스 서버간의 통신 네트워크에 적용 가능한 암호화 방법을 제공하고자 한다.
본 발명은 디바이스 관리서버에 의해 임의로 시스템 공통정보의 변경과 분배 절차를 개별, 그룹별 및 시스템 전체 IoT 디바이스 중 하나의 단위로도 가능하게 하는 방법을 제공하고자 한다.
본 발명은 디바이스 관리서버에 의해 IoT 디바이스의 비밀키 변경과 배포 방법을 개별 IoT 디바이스 단위로 제공하고자 한다.
본 발명은 IEEE802.11ah 기반의 무선통신을 통하여 IoT 디바이스의 암호화를 위한 시스템 공통정보를 방송하는 방법 및 시스템 공통정보에 기반하여 할당된 비밀키로 메시지나 데이터를 암호화하는 방법을 제공함으로써, IoT 디바이스에 대한 악의적인 해킹과 비밀키 분실에 효율적으로 대응하고자 한다.
상기의 해결하고자 하는 과제를 위한 본 발명에 따른 IoT 디바이스 암호화 시스템은, IEEE802.11ah 기반의 무선통신을 사용하여 IoT 게이트웨이와 통신하는 IoT 디바이스; 디바이스 관리서버로부터 디바이스 관리서버 IP, 암호화 알고리즘 방식 및 비밀키 크기에 대한 정보 중 하나 이상을 포함하는 시스템 공통정보를 수신하고, IoT 디바이스로 시스템 공통정보를 비콘을 통하여 방송하는 IoT 게이트웨이; 상기 IoT 게이트웨이로 시스템 공통정보를 수시 또는 주기적으로 변경하여 분배하는 디바이스 관리서버 및 상기 디바이스 관리서버로부터 IoT 디바이스 정보를 수신하여 등록하고, IoT 디바이스의 데이터를 수집하여 처리하는 IoT 서비스 서버를 포함하여, 상기 시스템 공통정보가 메시지와 데이터의 암호화 송수신을 위해 사용되는 것을 특징으로 한다.
상기 디바이스 관리서버는 개별, 그룹별 및 시스템 전체 IoT 디바이스 중 하나의 단위로 시스템 공통정보를 변경 및 분배하는 것을 특징으로 할 수 있다.
상기 디바이스 관리서버는 설정된 조건이 발생하면 비밀키를 변경하여 배포하고, IoT 디바이스의 비밀키 변경과 배포를 개별 IoT 디바이스 단위로 유지하는 것을 특징으로 할 수 있다.
상기 IoT 디바이스는 시스템 공통정보와 비밀키를 사용하여 메시지나 데이터를 암호화하는 것을 특징으로 할 수 있다.
상기 디바이스 관리서버는 UDP(User Datagram Protocol)를 사용하여 IoT 서비스 서버, IoT 게이트웨이 및 IoT 디바이스와의 메시지 통신을 수행하는 것을 특징으로 할 수 있다.
본 발명에 따른 IoT 디바이스 암호화 시스템을 이용한 인증방법은, IoT 게이트웨이가 부팅되면 디바이스 관리서버로 시스템 공통정보 요구 메시지를 전송하여 IoT 디바이스로 방송할 시스템 공통정보를 요구하는 단계; IoT 게이트웨이가 디바이스 관리서버로부터 시스템 공통정보 보고 메시지를 수신하면 수신된 메시지의 시스템 공통정보를 IoT 디바이스에게 주기적으로 방송되는 비콘의 페이로드에 포함하여 전송하는 단계 및 상기 IoT 디바이스가 비콘을 수신하여 비콘의 시스템 공통정보를 저장하는 단계를 포함하여, 상기 IoT 디바이스가 메시지와 데이터의 암호화를 위해 시스템 공통정보를 사용하는 것을 특징으로 한다.
상기 디바이스 관리서버는 시스템 공통정보의 변경이 발생하면 IoT 게이트웨이로 시스템 공통정보 지시 메시지를 전송하여 변경된 시스템 공통정보의 변경등록을 요구하고, 상기 IoT 게이트웨이는 시스템 공통정보의 변경등록이 완료되면 디바이스 관리서버로 시스템 공통정보 완료 메시지를 전송하고, IoT 디바이스로 변경된 시스템 공통정보를 비콘의 페이로드에 포함하여 방송하는 것을 특징으로 할 수 있다.
상기 IoT 디바이스는 부팅시 비밀키가 미할당 상태이면 자신의 MAC 주소를 EK_c(Current Encryption Key, 현재 비밀키)로 사용하여 키할당 요구 메시지를 암호화하고, 디바이스 관리서버로 암호화된 키할당 요구 메시지를 전송하여 비밀키 할당을 요구하며, 상기 디바이스 관리서버는 EK_c를 사용하여 키할당 요구 메시지를 복호화하고, 난수의 비밀키를 생성하며, EK_c를 EK_p(Previous Encryption Key, 이전 비밀키)로 변경하고, 난수의 비밀키를 EK_c로 저장하며, 난수 비밀키 기반의 EK_c 및 IoT 서비스 서버 IP를 포함하는 키할당 응답 메시지를 구성하고, EK_p를 사용하여 키할당 응답 메시지를 암호화하며, IoT 디바이스로 암호화된 키할당 응답 메시지를 전송하는 것을 특징으로 할 수 있다.
상기 IoT 디바이스는 MAC 주소 기반의 EK_c를 사용하여 키할당 응답 메시지를 복호화하고, MAC 주소 기반의 EK_c를 EK_p로 변경하며, 키할당 응답 메시지에 포함된 난수 비밀키 기반의 EK_c 및 IoT 서비스 서버 IP를 저장하고, 난수 비밀키 기반의 EK_c를 사용하여 키할당 확인 메시지를 암호화하며, 디바이스 관리서버로 키할당 확인 메시지를 전송하고, 상기 디바이스 관리서버는 난수 비밀키 기반의 EK_c를 사용하여 키할당 확인 메시지를 복호화하고, IoT 서비스 서버로 IoT 디바이스 정보가 변경되었음을 알려주기 위해 난수 비밀키 기반의 EK_c를 포함한 정보등록 지시 메시지를 전송하며, 상기 IoT 서비스 서버는 정보등록 지시 메시지에 포함된 난수 비밀키 기반의 EK_c를 저장하고, 디바이스 관리서버로 IoT 디바이스 정보등록이 완료되었음을 통보하기 위해 정보등록 완료 메시지를 전송할 수 있다.
상기 디바이스 관리서버는 디바이스 관리자에 의한 비밀키 변경 요청이 있거나, IoT 디바이스로부터 비밀키 유효기간 만료로 인한 키할당 요구 메시지를 수신하면, 난수의 비밀키를 생성하고, IoT 디바이스에서 사용 중인 비밀키 또는 유효기간이 만료된 비밀키인 EK_c를 EK_p로 변경하며, 난수의 비밀키를 EK_c로 저장하고, 난수 비밀키 기반의 EK_c를 포함하는 키등록 지시 메시지를 구성하며, EK_p를 사용하여 키등록 지시 메시지를 암호화하고, IoT 디바이스로 암호화된 키등록 지시 메시지를 전송하며, 상기 IoT 디바이스는 사용 중인 비밀키 또는 유효기간이 만료된 비밀키인 EK_c를 사용하여 키등록 지시 메시지를 복호화하고, 사용 중인 비밀키 또는 유효기간이 만료된 비밀키인 EK_c를 EK_p로 변경하며, 난수의 비밀키를 EK_c로 저장하고, 난수의 비밀키 기반의 EK_c를 사용하여 키등록 완료 메시지를 암호화하며, 디바이스 관리서버로 암호화된 키등록 완료 메시지를 전송하는 것을 특징으로 할 수 있다.
상기 디바이스 관리서버는 난수의 비밀키 기반의 EK_c를 사용하여 키할당 확인 메시지를 복호화하고, IoT 서비스 서버로 IoT 디바이스 정보가 변경되었음을 알려주기 위해 난수의 비밀키 기반의 EK_c를 포함한 정보등록 지시 메시지를 전송하며, 상기 IoT 서비스 서버는 정보등록 지시 메시지에 포함된 난수의 비밀키 기반의 EK_c를 저장하고, 디바이스 관리서버로 IoT 디바이스 정보등록이 완료되었음을 통보하기 위해 정보등록 완료 메시지를 전송하는 것을 특징으로 할 수 있다.
상기 IoT 디바이스는 시스템 공통정보와 디바이스 관리서버에서 할당받은 EK_c를 사용하여 데이터를 암호화하고, IoT 서버로 암호화된 데이터를 전송하며, 상기 IoT 서버는 EK_c를 사용하여 데이터를 복호화하고, 복호화된 데이터를 처리하는 것을 특징으로 할 수 있다.
상기 IoT 서비스 서버는 IoT 디바이스로 종단간(end-to-end) 연결을 위해 킵 얼라이브 요구 메시지를 구성하여 전송하고, 상기 IoT 디바이스는 IoT 서비스 서버로 킵 얼라이브 응답 메시지를 구성하여 전송하는 것을 특징으로 할 수 있다.
상기 IoT 서비스 서버는 디바이스 관리서버에서 할당받은 EK_c를 사용하여 데이터를 암호화하고, IoT 디바이스로 암호화된 데이터를 전송하며, 상기 IoT 디바이스는 EK_c 사용하여 데이터를 복호화하고, 복호화된 데이터를 처리하는 것을 특징으로 할 수 있다.
본 발명은 IEEE802.11.ah 기반의 사물인터넷 환경에서 IoT 디바이스를 제어할 수 있고, IoT 디바이스와 디바이스 관리서버 또는 IoT 서비스 서버 간의 통신 네트워크에 적용 가능한 암호화 방법을 제공할 수 있다.
본 발명은 IoT 게이트웨이에서 비콘의 페이로드에 암호화 정보 중 하나인 시스템 공통정보를 포함하여 방송함으로써, 암호화 정보 전달이 용이하고 즉시성이 있다.
본 발명은 디바이스 관리서버에 의해 임의로 시스템 공통정보의 변경과 분배 절차를 개별, 그룹별 및 시스템 전체 IoT 디바이스 중 하나의 단위로도 가능하고, 수시 또는 주기적으로 시스템 공통정보를 변경함으로써, IoT 디바이스에 대한 악의적인 해킹에 효율적으로 대응할 수 있다.
본 발명은 디바이스 관리서버에서 UDP에 기반하여 코드 사이즈가 줄여져 용량이 작아진 비밀키를 포함하는 메시지를 IoT 디바이스로 전송함으로써, 제한적인 컴퓨팅 자원을 가지는 IoT 디바이스의 부담을 줄일 수 있다.
본 발명은 디바이스 관리서버에서 시스템 공통정보와 비밀키를 할당 및 분배하여 디바이스 관리서버에 의한 독립적인 암호화 정보 관리정책이 가능하도록 제공할 수 있고, 시스템 공통정보와 비밀키의 노출 또는 분실 위험에 대하여 수시 또는 주기적으로 변경으로 해킹 등에 효율적으로 대처할 수 있다.
본 발명은 시스템 공통정보를 방송하고, 비밀키를 포함하는 메시지를 전송함으로써, 암호화 정보 전달을 2단계로 분리 운용할 수 있고, 암호화 정보 전달이 2단계로 분리 운용되어 암호화 정보의 해킹 위험을 분산시킬 수 있다.
본 발명은 IoT 디바이스의 초기 부팅 또는 재부팅되면 IoT 디바이스의 MAC 주소를 비밀키로 사용하여 비밀키 배포를 위한 추가적인 절차를 수행하지 않아도 IoT 디바이스와 디바이스 관리서버간의 안전한 보안통신이 이루어질 수 있다.
본 발명은 제한적인 컴퓨팅 자원을 가지는 경량화된 IoT 디바이스에서 암호화 알고리즘 방식을 선택하고, 비밀키 크기를 변경하여 암호화 정보 누출 등에 유연하게 대처할 수 있다.
본 발명은 IoT 디바이스의 비밀키 변경과 배포를 개별 IoT 디바이스 단위로 유지하고, 비밀키 변경과 배포가 디바이스 서비스 연결 이전에 완료되어 서비스 중에 비밀키 변경과 배포를 위한 메시지 송수신 절차가 발생하지 않으며, 세션 단위의 추가적 비밀키 변경과 배포를 위한 절차가 필요 없어 IoT 디바이스 암호화 방법을 경량화할 수 있다.
본 발명은 IoT 디바이스의 절전모드 상태에서 IoT 게이트웨이로부터 킵 얼라이브 메시지의 웨이크업 신호를 수신함으로써, IoT 디바이스의 사용전력을 감소시켜 배터리에 의존하는 경량화된 IoT 디바이스가 효율적으로 전력을 사용할 수 있다.
도 1은 도 1은 본 발명에 따른 IoT 디바이스 암호화 시스템의 네트워크 구조를 도시한 것이다.
도 2는 IoT 게이트웨이가 부팅 후 디바이스 관리서버로 시스템 공통정보를 요구하는 절차도이다.
도 3은 시스템 공통정보가 변경되면 디바이스 관리서버가 IoT 게이트웨이로 시스템 공통정보를 분배하는 절차도이다.
도 4는 IoT 디바이스가 부팅 시 키할당을 요구하는 절차도이다.
도 5는 디바이스 관리서버에 의한 키할당 및 분배하는 절차도이다.
도 6은 IoT 디바이스에서 IoT 서비스 서버로 암호화된 데이터를 전송하는 절차도이다.
도 7은 IoT 서비스 서버에서 IoT 디바이스로 암호화된 데이터를 전송하는 절차도이다.
이하 첨부 도면들 및 첨부 도면들에 기재된 내용들을 참조하여 본 발명의 실시예를 상세하게 설명하지만, 본 발명이 실시예에 의해 제한되거나 한정되는 것은 아니다.
도 1은 본 발명에 따른 IoT 디바이스 암호화 시스템의 네트워크 구조를 도시한 것으로서, 암호화 시스템은 IoT 디바이스, IoT 게이트웨이, 디바이스 관리서버 및 IoT 서비스 서버를 포함한다.
IoT 디바이스는 센서 네트워크를 구성하는 각종 센서나 이동단말기 등 사물인터넷으로 연결되는 모든 기기(device, machine)를 총칭하는 것으로 디바이스로 약칭한다. IoT 디바이스는 IEEE802.11ah 기반의 무선통신을 사용하여 IoT 게이트웨이와의 통신을 수행한다.
IEEE802.11ah는 기존 무선랜 Wi-Fi 기술과 호환되고, 무선랜에서의 사물인터넷을 위한 저전력 장거리 무선통신 기술이다. IEEE802.11ah는 낮은 주파수 대역인 900MHz 밴드를 이용하여 기존 2.4GHz나 5GHz를 사용하는 무선랜과 대비하여 주파수 대역이 낮아 전송거리가 1km에 이를 정도로 통신거리의 범위가 넓고, 데이터 전송속도는 최소 100kbps 이상이지만 기존 무선랜에 비해 전력소모량이 적은 무선통신 기술이다.
IoT 게이트웨이는 IEEE802.11ah 기반의 무선통신을 사용하여 IoT 디바이스와의 통신을 수행하고, 공중 인터넷망을 통하여 IoT 서비스 서버와 디바이스 관리서버와의 통신을 수행한다.
IoT 게이트웨이는 디바이스 관리서버로부터 디바이스 관리서버 IP, 암호화 알고리즘 방식 및 비밀키 크기에 대한 정보 중 하나 이상을 포함하는 시스템 공통정보를 수신하고, IoT 디바이스로 시스템 공통정보를 비콘을 통하여 방송한다.
디바이스 관리서버는 공중 인터넷망에 접속되어 시스템 공통정보와 비밀키에 대한 메시지 생성 및 배포를 주도하고, UDP(User Datagram Protocol)를 사용하여 IoT 서비스 서버, IoT 게이트웨이 및 IoT 디바이스와의 메시지 통신을 수행한다.
본 발명은 디바이스 관리서버에서 UDP에 기반하여 코드 사이즈가 줄여져 용량이 작아진 비밀키를 포함하는 메시지를 IoT 디바이스로 전송함으로써, 제한적인 컴퓨팅 자원을 가지는 IoT 디바이스의 부담을 줄일 수 있다.
디바이스 관리서버는 IoT 게이트웨이로 시스템 공통정보를 수시 또는 주기적으로 변경하여 분배한다. 디바이스 관리서버는 개별, 그룹별 및 시스템 전체 IoT 디바이스 중 하나의 단위로 시스템 공통정보를 변경 및 분배할 수 있다.
디바이스 관리서버는 IoT 디바이스의 초기 부팅, 재부팅, 디바이스 관리자에 의한 비밀키 변경 요청 또는 비밀키 유효기간 만료가 있으면 비밀키를 생성하고, 생성된 비밀키를 포함하는 메시지를 IoT 디바이스와 IoT 서비스 서버로 전송한다.
본 발명은 디바이스 관리서버에 의해 임의로 시스템 공통정보의 변경과 분배 절차를 개별, 그룹별 및 시스템 전체 IoT 디바이스 중 하나의 단위로도 가능하고, 수시 또는 주기적으로 시스템 공통정보를 변경함으로써, IoT 디바이스에 대한 악의적인 해킹에 효율적으로 대응할 수 있다.
본 발명은 디바이스 관리서버에서 시스템 공통정보와 비밀키를 할당 및 분배하여 디바이스 관리서버에 의한 독립적인 암호화 정보 관리정책이 가능함으로써, 시스템 공통정보와 비밀키의 노출 또는 분실 위험에 대하여 수시 또는 주기적으로 변경으로 해킹 등에 효율적으로 대처할 수 있다.
IoT 서비스 서버는 디바이스 관리서버로부터 IoT 디바이스 정보를 수신하여 등록하고, IoT 디바이스의 데이터를 수집하여 처리하며, IoT 디바이스를 이용한 다양한 응용 서비스, 웹 서비스 및 DB 서비스 등을 수행한다.
본 발명에서 비밀키는 메시지나 데이터의 암호화 및 복호화를 위한 대칭키이다. 시스템 공통정보는 메시지와 데이터의 암호화 송수신을 위해 사용되는 것이고, 디바이스 관리서버 IP, 암호화 알고리즘 방식 및 비밀키 크기에 대한 정보 중 하나 이상을 포함한다.
암호화 알고리즘 방식은 AES(Advanced Encryption Standard), ARIA(Academy Research Institute Agency), HIGHT(HIGh security and light weigHT) 및 LEA (Lightweight Encryption Algorithm) 를 포함할 수 있고, 비밀키 크기는 64, 128, 192 및 256비트로 구분될 수 있다. 디바이스 관리서버는 암호화 알고리즘 방식과 비밀키 크기를 수시 또는 주기적으로 변경한다.
본 발명은 제한적인 컴퓨팅 자원을 가지는 경량화된 IoT 디바이스에서 암호화 알고리즘 방식을 선택하고, 비밀키 크기를 변경하여 암호화 정보 누출 등에 유연하게 대처할 수 있다.
IoT 디바이스는 IoT 서비스 서버와의 통신을 수행할 때 시스템 공통정보와 디바이스 관리서버에서 할당된 비밀키를 사용하여 송수신 데이터를 암복호화할 수 있다.
도 2는 IoT 게이트웨이가 부팅 후 디바이스 관리서버로 시스템 공통정보를 요구하는 절차도로서, IoT 게이트웨이는 초기 부팅 또는 재부팅되면 부팅절차를 완료하고, 디바이스 관리서버로 시스템 공통정보 요구 메시지를 전송하여 IoT 디바이스로 방송할 시스템 공통정보를 요구한다.
IoT 디바이스는 IoT 게이트웨이로부터 시스템 공통정보 요구 메시지를 수신하고, IoT 게이트웨이로 시스템 공통정보를 포함하는 시스템 공통정보 보고 메시지를 전송한다.
IoT 게이트웨이는 디바이스 관리서버로부터 시스템 공통정보 보고 메시지를 수신하면 수신된 메시지의 시스템 공통정보를 IoT 디바이스에게 주기적으로 방송되는 비콘의 페이로드에 포함하여 전송한다.
IoT 디바이스는 비콘을 수신하여 비콘의 시스템 공통정보를 저장하고, 메시지와 데이터의 암호화를 위해 시스템 공통정보를 사용한다.
본 발명은 IoT 게이트웨이에서 비콘의 페이로드에 암호화 정보 중 하나인 시스템 공통정보를 포함하여 방송함으로써, 암호화 정보 전달이 용이하고 즉시성이 있다.
도 3은 시스템 공통정보가 변경되면 디바이스 관리서버가 IoT 게이트웨이로 시스템 공통정보를 분배하는 절차도로서, 디바이스 관리서버는 시스템 공통정보의 변경이 발생하면 IoT 게이트웨이로 시스템 공통정보 지시 메시지를 전송하여 변경된 시스템 공통정보의 변경등록을 요구한다.
IoT 게이트웨이는 시스템 공통정보의 변경등록이 완료되면 디바이스 관리서버로 시스템 공통정보 완료 메시지를 전송하고, IoT 디바이스로 변경된 시스템 공통정보를 비콘의 페이로드에 포함하여 방송한다.
IoT 디바이스는 비콘을 수신하여 비콘의 시스템 공통정보를 저장하고, 메시지와 데이터의 암호화를 위해 시스템 공통정보를 사용한다.
디바이스 관리서버는 설정된 조건이 발생하면 비밀키를 변경하여 배포하고, IoT 디바이스의 비밀키 변경과 배포를 개별 IoT 디바이스 단위로 유지한다. 설정된 조건은 IoT 디바이스의 초기 부팅, 재부팅, 디바이스 관리자에 의한 비밀키 변경 요청 및 비밀키 유효기간 만료이다.
도 4는 IoT 디바이스가 부팅 시 키할당을 요구하는 절차도로서, IoT 디바이스는 부팅시 비밀키가 미할당 상태이면 자신의 MAC 주소를 EK_c(Current Encryption Key, 현재 비밀키)로 사용하여 키할당 요구 메시지를 암호화하고, 디바이스 관리서버로 암호화된 키할당 요구 메시지를 전송하여 비밀키 할당을 요구한다. 즉 IoT 디바이스는 디바이스 관리서버로부터 비밀키를 할당받지 못하였으므로, 자신의 MAC 주소를 EK_c로 지정하여 키할당 요구 메시지를 암호화한다.
예를 들어 IoT 디바이스는 IoT 게이트웨이로부터 디바이스 관리서버 IP, LEA 암호화 알고리즘 방식 및 128비트인 비밀키 크기에 대한 정보를 포함하는 시스템 공통정보를 수신하면, 키할당 요구 메시지의 타입 및 길이를 구성하고, 자신의 MAC 주소를 EK_c로 저장하며, 128비트 EK_c를 비밀키로 LEA 암호화 알고리즘을 적용하여 키할당 요구 메시지를 암호화하고, 암호화된 키할당 요구 메시지를 UDP 패킷의 페이로드에 실어 디바이스 관리서버로 전송한다.
디바이스 관리서버는 EK_c를 사용하여 키할당 요구 메시지를 복호화하고, 난수의 비밀키를 생성하며, EK_c를 EK_p(Previous Encryption Key, 이전 비밀키)로 변경하고, 난수의 비밀키를 EK_c로 저장하며, 난수 비밀키 기반의 EK_c 및 IoT 서비스 서버 IP를 포함하는 키할당 응답 메시지를 구성하고, EK_p를 사용하여 키할당 응답 메시지를 암호화하며, IoT 디바이스로 암호화된 키할당 응답 메시지를 전송한다.
IoT 디바이스는 MAC 주소 기반의 EK_c를 사용하여 키할당 응답 메시지를 복호화하고, MAC 주소 기반의 EK_c를 EK_p로 변경하며, 키할당 응답 메시지에 포함된 난수 비밀키 기반의 EK_c 및 IoT 서비스 서버 IP를 저장하고, 난수 비밀키 기반의 EK_c를 사용하여 키할당 확인 메시지를 암호화하며, 디바이스 관리서버로 키할당 확인 메시지를 전송한다.
디바이스 관리서버는 난수 비밀키 기반의 EK_c를 사용하여 키할당 확인 메시지를 복호화하고, IoT 서비스 서버로 IoT 디바이스 정보가 변경되었음을 알려주기 위해 난수 비밀키 기반의 EK_c를 포함한 정보등록 지시 메시지를 전송한다.
IoT 서비스 서버는 정보등록 지시 메시지에 포함된 난수 비밀키 기반의 EK_c를 저장하고, 디바이스 관리서버로 IoT 디바이스 정보등록이 완료되었음을 통보하기 위해 정보등록 완료 메시지를 전송한다.
본 발명은 IoT 디바이스의 초기 부팅 또는 재부팅되면 IoT 디바이스의 MAC 주소를 비밀키로 사용하여 비밀키 배포를 위한 추가적인 절차를 수행하지 않아도 IoT 디바이스와 디바이스 관리서버간의 안전한 보안통신이 이루어질 수 있다.
도 5는 디바이스 관리서버에 의한 키할당 및 분배하는 절차도로서, 디바이스 관리서버는 디바이스 관리자에 의한 비밀키 변경 요청이 있거나, IoT 디바이스로부터 비밀키 유효기간 만료로 인한 키할당 요구 메시지를 수신하면, 난수의 비밀키를 생성하고, IoT 디바이스에서 사용 중인 비밀키 또는 유효기간이 만료된 비밀키인 EK_c를 EK_p로 변경하며, 난수의 비밀키를 EK_c로 저장하고, 난수 비밀키 기반의 EK_c를 포함하는 키등록 지시 메시지를 구성하며, EK_p를 사용하여 키등록 지시 메시지를 암호화하고, IoT 디바이스로 암호화된 키등록 지시 메시지를 전송한다.
IoT 디바이스는 사용 중인 비밀키 또는 유효기간이 만료된 비밀키인 EK_c를 사용하여 키등록 지시 메시지를 복호화하고, 사용 중인 비밀키 또는 유효기간이 만료된 비밀키인 EK_c를 EK_p로 변경하며, 난수의 비밀키를 EK_c로 저장하고, 난수의 비밀키 기반의 EK_c를 사용하여 키등록 완료 메시지를 암호화하며, 디바이스 관리서버로 암호화된 키등록 완료 메시지를 전송한다.
디바이스 관리서버는 난수의 비밀키 기반의 EK_c를 사용하여 키할당 확인 메시지를 복호화하고, IoT 서비스 서버로 IoT 디바이스 정보가 변경되었음을 알려주기 위해 난수의 비밀키 기반의 EK_c를 포함한 정보등록 지시 메시지를 전송한다.
IoT 서비스 서버는 정보등록 지시 메시지에 포함된 난수의 비밀키 기반의 EK_c를 저장하고, 디바이스 관리서버로 IoT 디바이스 정보등록이 완료되었음을 통보하기 위해 정보등록 완료 메시지를 전송한다.
본 발명은 IoT 디바이스의 비밀키 변경과 배포를 개별 IoT 디바이스 단위로 유지하고, 비밀키 변경과 배포가 디바이스 서비스 연결 이전에 완료되어 서비스 중에 비밀키 변경과 배포를 위한 메시지 송수신 절차가 발생하지 않으며, 세션 단위의 추가적 비밀키 변경과 배포를 위한 절차가 필요 없어 IoT 디바이스 암호화 방법을 경량화할 수 있다.
도 6은 IoT 디바이스에서 IoT 서비스 서버로 암호화된 데이터를 전송하는 절차도로서, IoT 디바이스는 시스템 공통정보와 디바이스 관리서버에서 할당받은 EK_c를 사용하여 데이터를 암호화하고, IoT 서버로 암호화된 데이터를 전송한다.
예를 들어 IoT 디바이스는 실내온도를 센싱하는 디바이스이면 실내온도 센서 데이터를 IoT 서비스 서버에 전송하기 위해 시스템 공통정보와 비밀키를 이용한다. IoT 디바이스는 IoT 게이트웨이로부터 LEA 암호화 알고리즘 방식과 128비트인 비밀키 크기에 대한 정보를 포함하는 시스템 공통정보를 수신하면, 128비트 EK_c를 비밀키로 LEA 암호화 알고리즘을 적용하여 실내온도 센서 데이터를 암호화하고, 암호화된 실내온도 센서 데이터를 UDP 패킷의 페이로드에 실어 IoT 서비스 서버로 전송한다.
IoT 서버는 IoT 서버는 EK_c를 사용하여 데이터를 복호화하고, 복호화된 데이터를 처리한다.
도 7은 IoT 서비스 서버에서 IoT 디바이스로 암호화된 데이터를 전송하는 절차도로서, IoT 서비스 서버는 IoT 디바이스로 종단간(end-to-end) 연결을 위해 킵 얼라이브 요구 메시지를 구성하여 전송하고, IoT 디바이스는 IoT 서비스 서버로 킵 얼라이브 응답 메시지를 구성하여 전송한다.
본 발명은 IoT 디바이스의 절전모드 상태에서 IoT 게이트웨이로부터 킵 얼라이브 메시지의 웨이크업 신호를 수신함으로써, IoT 디바이스의 사용전력을 감소시켜 배터리에 의존하는 경량화된 IoT 디바이스가 효율적으로 전력을 사용할 수 있다.
IoT 서비스 서버는 디바이스 관리서버에서 할당받은 EK_c를 사용하여 데이터를 암호화하고, IoT 디바이스로 암호화된 데이터를 전송한다. IoT 디바이스는 EK_c 사용하여 데이터를 복호화하고, 복호화된 데이터를 처리한다.

Claims (14)

  1. IEEE802.11ah 기반의 무선통신을 사용하여 IoT 게이트웨이와 통신하는 IoT 디바이스;
    디바이스 관리서버로부터 디바이스 관리서버 IP, 암호화 알고리즘 방식 및 비밀키 크기에 대한 정보 중 하나 이상을 포함하는 시스템 공통정보를 수신하고, IoT 디바이스로 시스템 공통정보를 비콘을 통하여 방송하는 IoT 게이트웨이;
    상기 IoT 게이트웨이로 시스템 공통정보를 수시 또는 주기적으로 변경하여 분배하는 디바이스 관리서버 및
    상기 디바이스 관리서버로부터 IoT 디바이스 정보를 수신하여 등록하고, IoT 디바이스의 데이터를 수집하여 처리하는 IoT 서비스 서버를 포함하여,
    상기 시스템 공통정보가 메시지와 데이터의 암호화 송수신을 위해 사용되는 것을 특징으로 하는 IoT 디바이스 암호화 시스템.
  2. 제1항에 있어서,
    상기 디바이스 관리서버는 개별, 그룹별 및 시스템 전체 IoT 디바이스 중 하나의 단위로 시스템 공통정보를 변경 및 분배하는 것을 특징으로 하는 IoT 디바이스 암호화 시스템.
  3. 제1항에 있어서,
    상기 디바이스 관리서버는 설정된 조건이 발생하면 비밀키를 변경하여 배포하고, IoT 디바이스의 비밀키 변경과 배포를 개별 IoT 디바이스 단위로 유지하는 것을 특징으로 하는 IoT 디바이스 암호화 시스템.
  4. 제1항에 있어서,
    상기 IoT 디바이스는 시스템 공통정보와 비밀키를 사용하여 메시지나 데이터를 암호화하는 것을 특징으로 하는 IoT 디바이스 암호화 시스템.
  5. 제1항에 있어서,
    상기 디바이스 관리서버는 UDP(User Datagram Protocol)를 사용하여 IoT 서비스 서버, IoT 게이트웨이 및 IoT 디바이스와의 메시지 통신을 수행하는 것을 특징으로 하는 IoT 디바이스 암호화 시스템.
  6. 제1항 내지 제5항 중 어느 한 항의 IoT 디바이스 암호화 시스템을 이용한 인증방법에 있어서,
    IoT 게이트웨이가 부팅되면 디바이스 관리서버로 시스템 공통정보 요구 메시지를 전송하여 IoT 디바이스로 방송할 시스템 공통정보를 요구하는 단계;
    IoT 게이트웨이가 디바이스 관리서버로부터 시스템 공통정보 보고 메시지를 수신하면 수신된 메시지의 시스템 공통정보를 IoT 디바이스에게 주기적으로 방송되는 비콘의 페이로드에 포함하여 전송하는 단계 및
    상기 IoT 디바이스가 비콘을 수신하여 비콘의 시스템 공통정보를 저장하는 단계를 포함하여,
    상기 IoT 디바이스가 메시지와 데이터의 암호화를 위해 시스템 공통정보를 사용하는 것을 특징으로 하는 IoT 디바이스 암호화 방법.
  7. 제6항에 있어서,
    상기 디바이스 관리서버는 시스템 공통정보의 변경이 발생하면 IoT 게이트웨이로 시스템 공통정보 지시 메시지를 전송하여 변경된 시스템 공통정보의 변경등록을 요구하고,
    상기 IoT 게이트웨이는 시스템 공통정보의 변경등록이 완료되면 디바이스 관리서버로 시스템 공통정보 완료 메시지를 전송하고, IoT 디바이스로 변경된 시스템 공통정보를 비콘의 페이로드에 포함하여 방송하는 것을 특징으로 하는 IoT 디바이스 암호화 방법.
  8. 제6항에 있어서,
    상기 IoT 디바이스는 부팅시 비밀키가 미할당 상태이면 자신의 MAC 주소를 EK_c(Current Encryption Key, 현재 비밀키)로 사용하여 키할당 요구 메시지를 암호화하고, 디바이스 관리서버로 암호화된 키할당 요구 메시지를 전송하여 비밀키 할당을 요구하며,
    상기 디바이스 관리서버는 EK_c를 사용하여 키할당 요구 메시지를 복호화하고, 난수의 비밀키를 생성하며, EK_c를 EK_p(Previous Encryption Key, 이전 비밀키)로 변경하고, 난수의 비밀키를 EK_c로 저장하며, 난수 비밀키 기반의 EK_c 및 IoT 서비스 서버 IP를 포함하는 키할당 응답 메시지를 구성하고, EK_p를 사용하여 키할당 응답 메시지를 암호화하며, IoT 디바이스로 암호화된 키할당 응답 메시지를 전송하는 것을 특징으로 하는 IoT 디바이스 암호화 방법.
  9. 제8항에 있어서,
    상기 IoT 디바이스는 MAC 주소 기반의 EK_c를 사용하여 키할당 응답 메시지를 복호화하고, MAC 주소 기반의 EK_c를 EK_p로 변경하며, 키할당 응답 메시지에 포함된 난수 비밀키 기반의 EK_c 및 IoT 서비스 서버 IP를 저장하고, 난수 비밀키 기반의 EK_c를 사용하여 키할당 확인 메시지를 암호화하며, 디바이스 관리서버로 키할당 확인 메시지를 전송하고,
    상기 디바이스 관리서버는 난수 비밀키 기반의 EK_c를 사용하여 키할당 확인 메시지를 복호화하고, IoT 서비스 서버로 IoT 디바이스 정보가 변경되었음을 알려주기 위해 난수 비밀키 기반의 EK_c를 포함한 정보등록 지시 메시지를 전송하며,
    상기 IoT 서비스 서버는 정보등록 지시 메시지에 포함된 난수 비밀키 기반의 EK_c를 저장하고, 디바이스 관리서버로 IoT 디바이스 정보등록이 완료되었음을 통보하기 위해 정보등록 완료 메시지를 전송하는 것을 특징으로 하는 IoT 디바이스 암호화 방법.
  10. 제6항에 있어서,
    상기 디바이스 관리서버는 디바이스 관리자에 의한 비밀키 변경 요청이 있거나, IoT 디바이스로부터 비밀키 유효기간 만료로 인한 키할당 요구 메시지를 수신하면, 난수의 비밀키를 생성하고, IoT 디바이스에서 사용 중인 비밀키 또는 유효기간이 만료된 비밀키인 EK_c를 EK_p로 변경하며, 난수의 비밀키를 EK_c로 저장하고, 난수 비밀키 기반의 EK_c를 포함하는 키등록 지시 메시지를 구성하며, EK_p를 사용하여 키등록 지시 메시지를 암호화하고, IoT 디바이스로 암호화된 키등록 지시 메시지를 전송하며,
    상기 IoT 디바이스는 사용 중인 비밀키 또는 유효기간이 만료된 비밀키인 EK_c를 사용하여 키등록 지시 메시지를 복호화하고, 사용 중인 비밀키 또는 유효기간이 만료된 비밀키인 EK_c를 EK_p로 변경하며, 난수의 비밀키를 EK_c로 저장하고, 난수의 비밀키 기반의 EK_c를 사용하여 키등록 완료 메시지를 암호화하며, 디바이스 관리서버로 암호화된 키등록 완료 메시지를 전송하는 것을 특징으로 하는 IoT 디바이스 암호화 방법.
  11. 제10항에 있어서,
    상기 디바이스 관리서버는 난수의 비밀키 기반의 EK_c를 사용하여 키할당 확인 메시지를 복호화하고, IoT 서비스 서버로 IoT 디바이스 정보가 변경되었음을 알려주기 위해 난수의 비밀키 기반의 EK_c를 포함한 정보등록 지시 메시지를 전송하며,
    상기 IoT 서비스 서버는 정보등록 지시 메시지에 포함된 난수의 비밀키 기반의 EK_c를 저장하고, 디바이스 관리서버로 IoT 디바이스 정보등록이 완료되었음을 통보하기 위해 정보등록 완료 메시지를 전송하는 것을 특징으로 하는 IoT 디바이스 암호화 방법.
  12. 제6항에 있어서,
    상기 IoT 디바이스는 시스템 공통정보와 디바이스 관리서버에서 할당받은 EK_c를 사용하여 데이터를 암호화하고, IoT 서버로 암호화된 데이터를 전송하며,
    상기 IoT 서버는 EK_c를 사용하여 데이터를 복호화하고, 복호화된 데이터를 처리하는 것을 특징으로 하는 IoT 디바이스 암호화 방법.
  13. 제6항에 있어서,
    상기 IoT 서비스 서버는 IoT 디바이스로 종단간(end-to-end) 연결을 위해 킵 얼라이브 요구 메시지를 구성하여 전송하고,
    상기 IoT 디바이스는 IoT 서비스 서버로 킵 얼라이브 응답 메시지를 구성하여 전송하는 것을 특징으로 하는 IoT 디바이스 암호화 방법.
  14. 제13항에 있어서,
    상기 IoT 서비스 서버는 디바이스 관리서버에서 할당받은 EK_c를 사용하여 데이터를 암호화하고, IoT 디바이스로 암호화된 데이터를 전송하며,
    상기 IoT 디바이스는 EK_c 사용하여 데이터를 복호화하고, 복호화된 데이터를 처리하는 것을 특징으로 하는 IoT 디바이스 암호화 방법.
KR1020170045946A 2017-04-10 2017-04-10 IoT 디바이스 암호화 시스템 및 방법 KR20180114341A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170045946A KR20180114341A (ko) 2017-04-10 2017-04-10 IoT 디바이스 암호화 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170045946A KR20180114341A (ko) 2017-04-10 2017-04-10 IoT 디바이스 암호화 시스템 및 방법

Publications (1)

Publication Number Publication Date
KR20180114341A true KR20180114341A (ko) 2018-10-18

Family

ID=64132954

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170045946A KR20180114341A (ko) 2017-04-10 2017-04-10 IoT 디바이스 암호화 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR20180114341A (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20200052465A (ko) * 2018-10-31 2020-05-15 (주)성일이노텍 사물인터넷 게이트웨이 및 이의 암호화 데이터 처리 방법

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160028230A (ko) 2014-09-03 2016-03-11 (주)헤리트 IoT 환경에서 공개키 배포를 이용한 정보 보안 장치 및 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160028230A (ko) 2014-09-03 2016-03-11 (주)헤리트 IoT 환경에서 공개키 배포를 이용한 정보 보안 장치 및 방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20200052465A (ko) * 2018-10-31 2020-05-15 (주)성일이노텍 사물인터넷 게이트웨이 및 이의 암호화 데이터 처리 방법

Similar Documents

Publication Publication Date Title
KR101826936B1 (ko) 주소지정 식별자를 할당하는 방법, 액세스 포인트, 스테이션 및 통신 시스템
KR102142576B1 (ko) 단말간 통신을 위한 탐색 방법 및 장치
US20190123909A1 (en) End-to-End Service Layer Authentication
US11765577B2 (en) Identity obscuration for a wireless station
US9264881B2 (en) Methods and apparatus for enhanced system access control for peer-to-peer wireless communication networks
US20080292105A1 (en) Lightweight key distribution and management method for sensor networks
US20180288013A1 (en) End-to-end secured communication for mobile sensor in an iot network
EP3063974A1 (en) System and method for integrated mesh authentication and association
TW201637469A (zh) 使用再關聯物件的無線網路快速認證/關聯
Deininger et al. Security vulnerabilities and solutions in mobile WiMAX
Avoine et al. Rescuing LoRaWAN 1.0
US11297496B2 (en) Encryption and decryption of management frames
Gündoğan et al. Content object security in the internet of things: challenges, prospects, and emerging solutions
KR101789264B1 (ko) 경량화된 사물인터넷 디바이스 인증 시스템 및 방법
US7969933B2 (en) System and method for facilitating a persistent application session with anonymity between a mobile host and a network host
US11463870B2 (en) Wireless mesh network
KR20180114341A (ko) IoT 디바이스 암호화 시스템 및 방법
JP6163880B2 (ja) 通信装置、通信システム及び通信方法
IL254758B (en) Method, equipment and computer software product for code encryption
US20090080660A1 (en) Processorless media access control architecture for wireless communication
Tomai et al. Issues in WiFi networks
CN113194471A (zh) 基于区块链网络的无线网络接入方法、装置和终端

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application