KR20180124817A - SYSTEM FOR SECURE IoT TERMINAL REMOTE ACCESS AND IP ADDRESS ALLOTING METHOD - Google Patents
SYSTEM FOR SECURE IoT TERMINAL REMOTE ACCESS AND IP ADDRESS ALLOTING METHOD Download PDFInfo
- Publication number
- KR20180124817A KR20180124817A KR1020180139412A KR20180139412A KR20180124817A KR 20180124817 A KR20180124817 A KR 20180124817A KR 1020180139412 A KR1020180139412 A KR 1020180139412A KR 20180139412 A KR20180139412 A KR 20180139412A KR 20180124817 A KR20180124817 A KR 20180124817A
- Authority
- KR
- South Korea
- Prior art keywords
- terminal
- internet
- address
- iot
- information
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H04L61/2015—
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/5014—Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Technology Law (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
본 발명은 안전한 사물 인터넷 단말 원격 접속 시스템 및 IP 주소 할당 방법에 관한 것이다.The present invention relates to a secure Internet terminal remote access system and an IP address assignment method.
사물 인터넷(Internet of Things, 이하 'IoT'라 통칭함)은 인터넷을 기반으로 모든 사물을 연결해 사람과 사물, 사물과 사물 간의 정보를 소통하는 지능형 기술 및 서비스를 말한다. Internet of Things (IoT) is an intelligent technology and service that connects all things based on the Internet and communicates information between people, things, things and things.
인터넷의 발전과 더불어 CCTV(Closed Circuit system Television), 스마트 TV 등 다양한 IoT 단말이 급격하게 증가하고 있다. IoT 단말 사용자는 인터넷을 통해서 언제, 어디서나 IoT 단말을 접속하고자 한다. Along with the development of the Internet, various IoT terminals such as CCTV (Closed Circuit System Television) and smart TV are rapidly increasing. IoT terminal users want to access IoT terminals anytime and anywhere via the Internet.
그러나 IoT 단말 사용자가 유무선 인터넷을 활용하여 외부에서 홈 네트워크에 있는 IoT 단말 원격 접속시 IP 주소를 사용한다. 그런데, 대부분의 IoT 단말 IP주소가 노출되어 악성 행위자(해커)가 이를 악용할 가능성이 높다. However, users of IoT terminal use IP address when remotely accessing IoT terminal in home network by using wired / wireless Internet. However, most IoT terminal IP addresses are exposed, and malicious agents (hackers) are likely to exploit them.
IoT 단말은 인터넷 사업자(Internet Service Provider, ISP)가 제공한 DHCP(Dynamic Host Configuration Protocol) 기반의 유동 IP 주소를 사용한다. 인터넷을 활용하여 IoT 단말 원격 접속시 반드시 유동 IP 주소를 알아야 한다. 유동 IP주소는 IoT 단말 온(ON)/오프(OFF)시 자동으로 변경되기 때문에 대부분의 IoT 사업자는 IoT 단말에 DDNS(Dynamic DNS)를 설정하여 사용한다. The IoT terminal uses a dynamic IP address based on Dynamic Host Configuration Protocol (DHCP) provided by an Internet Service Provider (ISP). When remote access to the IoT terminal is made using the Internet, it is necessary to know the dynamic IP address. Since the dynamic IP address is automatically changed when the IoT terminal is turned on / off, most IoT providers set and use DDNS (Dynamic DNS) to the IoT terminal.
IoT 단말은 자신의 IP 주소가 변경될 때 자동으로 DDNS 서버로 보내고, IoT단말 사용자는 DDNS 서버로 IoT 단말의 URL에 대한 IP 주소를 질의한 후 원격 접속한다.The IoT terminal automatically sends its IP address to the DDNS server when the IP address changes, and the IoT terminal user queries the IP address of the IoT terminal's URL to the DDNS server and remotely accesses it.
IoT 단말은 DDNS 설정시 유알엘(URL, Uniform Resource Locator)을 '호스트.도메인.com' 형식으로 사용하기 때문에 URL의 '호스트' 부분을 무작위로 대입하여 DDNS 서버로 질의하면 모든 IoT 단말의 IP 주소를 쉽게 찾아낼 수 있다. 이렇게 찾아낸 IP 주소를 악성 행위자가 스캔하여 취약점을 발췌한 후 IoT 단말을 해킹하여 불법적으로 악용한다.Since the IoT terminal uses the URL (Uniform Resource Locator) in the form of 'host.domain.com' when setting the DDNS, if you query the DDNS server by randomly assigning the 'host' part of the URL, the IP address of all IoT terminals It can be easily found. The malicious agent scans the IP address thus found, extracts the vulnerability, and illegally exploits it by hacking the IoT terminal.
그리고 최근 사이버 공격 및 해킹은 DDNS 변조 및 취약점을 이용하여 다양한 공격이 이루어지고 있다. 그리고 IoT 서비스가 폭발적으로 증가함에 따른 피해를 보는 이용자가 급증이 되고 있다. 따라서, 이에 대한 네크워크 기반의 단말 접근 제어가 절실히 필요하다.Recently, cyber attack and hacking are exploiting various attacks using DDNS modulation and vulnerability. The number of users who are suffering from explosive increase of IoT service is increasing rapidly. Therefore, a network-based terminal access control is urgently required.
따라서, 본 발명이 이루고자 하는 기술적 과제는 매체 접근 제어(Media Access Control, MAC) 어드레스를 기반으로 IoT 단말에는 외부 사용자가 쉽게 알수 없도록 새로운 독립망 IP 대역을 안전한 사물 인터넷 단말 원격 접속 시스템 및 그 방법, IP 주소 할당 방법을 제공하는 것이다.SUMMARY OF THE INVENTION Accordingly, the present invention has been made in view of the above problems, and it is an object of the present invention to provide a secure object Internet terminal remote access system and method thereof, a new independent network IP band to be easily known to an external user based on a Media Access Control (MAC) IP address assignment method.
본 발명의 하나의 특징에 따르면, 사물 인터넷 단말 원격 접속 시스템은 사용자 단말로부터 사물 인터넷 단말의 사용자 정보를 사전에 등록받고, 해당하는 서로 다른 하나 이상의 사물 인터넷 단말의 정보를 수집하여 사전에 등록받은 상기 사용자 정보와 매핑하여 저장하며, 상기 사용자 단말로부터 사물 인터넷 단말로의 접속 요청이 발생하면, 상기 사용자 단말의 사용자 정보에 매핑된 사물 인터넷 단말의 정보를 토대로 단말 접속 정보를 생성하는 인증 서버, 그리고 상기 인증 서버로부터 상기 단말 접속 정보를 수신하고, 상기 단말 접속 정보를 이용하여 상기 사용자 단말이 접속 요청한 사물 인터넷 단말로 상기 사용자 단말을 접속시키는 프록시 서버를 포함하고,According to an aspect of the present invention, a system for remotely accessing a thing Internet terminal includes: a user terminal for registering user information of a matter Internet terminal in advance from a user terminal, collecting information of the corresponding one or more matter Internet terminals, An authentication server for generating and storing terminal access information based on the information of the object Internet terminal mapped to the user information of the user terminal when a connection request from the user terminal to the object internet terminal occurs, And a proxy server for receiving the terminal connection information from the authentication server and connecting the user terminal to the object Internet terminal requested by the user terminal using the terminal connection information,
상기 사용자 단말이 접속을 요청한 사물 인터넷 단말의 정보가 상기 접속을요청한 사용자 단말에 매핑되어 있지 않은 경우, 상기 접속 요청은 허용되지 않는다.If the information of the object Internet terminal to which the user terminal has requested connection is not mapped to the user terminal requesting the connection, the connection request is not permitted.
상기 인증 서버는, The authentication server includes:
상기 사용자 단말에 매핑된 상기 하나 이상의 사물 인터넷 단말의 정보를 토대로 상기 사용자 단말이 접속 가능한 사물 인터넷 단말들로 구성된 사물 인터넷 단말 리스트를 생성하여 상기 사용자 단말로 전송하고, 상기 사물 인터넷 단말 리스트 상에서 상기 사용자 단말이 선택한 사물 인터넷 단말 선택 정보를 수신하면, 선택된 사물 인터넷 단말의 IP 주소 및 사용자 계정을 포함하는 상기 단말 접속 정보를 생성하여 상기 프록시 서버로 전송할 수 있다.A list of object Internet terminals including object Internet terminals capable of being connected to the user terminal based on the information of the one or more object internet terminals mapped to the user terminal and transmitting the list to the user terminal, Upon receiving the selected object Internet terminal selection information, the terminal can generate the terminal connection information including the IP address of the selected object Internet terminal and the user account, and transmit the generated terminal connection information to the proxy server.
상기 인증 서버는, The authentication server includes:
상기 사용자 단말이 접속하면, 하나 이상의 인증 수단을 이용하여 상기 사용자 단말 사용자 인증을 수행한 후, 상기 사용자 인증에 성공하면, 상기 사용자 단말에 매핑된 사물 인터넷 단말 정보를 검색하여 상기 사물 인터넷 단말 리스트를 생성할 수 있다.The user terminal authenticates the user terminal using one or more authentication means, and if the user authentication is successful, searches the object Internet terminal information mapped to the user terminal, Can be generated.
상기 프록시 서버는 통신망을 통해 홈 게이트웨이가 연결된 네트워크 종단장비와 연결되고, 상기 홈 게이트웨이는 복수의 서로 다른 사물 인터넷 단말과 연결되며, Wherein the proxy server is connected to a network terminal equipment connected to a home gateway through a communication network, the home gateway is connected to a plurality of different object Internet terminals,
상기 네트워크 종단장비로부터 상기 사물 인터넷 단말 각각의 IP 주소 및 단말 고유 정보를 수집하고, 상기 홈 게이트웨이로부터 상기 홈 게이트웨이가 저장하는 상기 사물 인터넷 단말 각각의 IP 주소 및 단말 고유 정보를 수집하여 상기 인증 서버로 전달하는 수집 서버를 더 포함하고,Collects the IP address and terminal unique information of each of the object Internet terminals from the network end equipment, collects the IP address and terminal unique information of each of the object internet terminals stored in the home gateway from the home gateway, A collection server for delivering the collected data to the server,
수집된 IP 주소 및 단말 고유 정보는 상기 사용자 단말에 매핑될 수 있다.The collected IP address and terminal unique information may be mapped to the user terminal.
상기 단말 고유 정보는, 맥 주소(MAC Address)일 수 있다.The terminal specific information may be a MAC address.
상기 수집 서버는,The collection server comprising:
상기 통신망에 연결된 동적 호스트 구성 프로토콜(DHCP, Dynamic Host Configuration Protocol) 서버로부터 상기 사물 인터넷 단말 각각의 IP 주소 및 단말 고유 정보를 수집하여 상기 인증 서버로 전달할 수 있다.The IP address and the terminal unique information of each of the object Internet terminals can be collected from the Dynamic Host Configuration Protocol (DHCP) server connected to the communication network and transmitted to the authentication server.
상기 접속 요청이 수신되면, 상기 접속 요청이 사전에 등록된 상기 프록시 서버로부터 수신된 것인지를 판단하고, 상기 프록시 서버가 아니라면 접속을 차단하며, 상기 프록시 서버라면, 상기 접속 요청을 상기 홈 게이트웨이를 거쳐 상기 사물 인터넷 단말로 전달하는 네트워크 종단장비를 더 포함할 수 있다.If the connection request is received, it is determined whether the connection request is received from the proxy server registered in advance. If the proxy server is not the proxy server, the connection is blocked. If the proxy server is the proxy server, To the Internet terminal of the object.
상기 사용자 단말과 상기 사물 인터넷 단말 간에는 암호화 데이터 통신이 수행된다.Encrypted data communication is performed between the user terminal and the object Internet terminal.
상기 홈 게이트웨이에 추가 연결된 사물 인터넷 단말의 정보를 사전에 등록된 정상적인 사물 인터넷 단말의 정보와 비교하여 추가 연결된 사물 인터넷 단말이 위조된 단말인지를 판단하고, 위조된 단말인 경우, 상기 네트워크 종단장비로 상기 위조된 단말의 접속을 즉시 차단시키기 위한 차단 명령을 전송하는 차단 서버를 더 포함하고,The information of the object Internet terminal further connected to the home gateway is compared with the information of the normal object Internet terminal registered in advance and it is judged whether the additional connected object Internet terminal is a fake terminal or not. Further comprising a blocking server for transmitting a blocking command for immediately blocking connection of the forged terminal,
상기 차단 서버는, 상기 통신망을 통해 상기 네트워크 종단장비와 연결될 수 있다.The shutdown server may be connected to the network end equipment through the communication network.
상기 차단 서버는, The shutdown server,
상기 추가 연결된 사물 인터넷 단말의 IP 주소 및 맥 주소와, 상기 정상적인 사물 인터넷 단말의 IP 주소 및 맥 주소를 서로 비교하여 위조된 단말 여부를 판단할 수 있다.It is possible to determine whether the terminal is a fake terminal by comparing the IP address and the MAC address of the additional connected object internet terminal and the IP address and the MAC address of the normal object internet terminal.
본 발명의 다른 특징에 따르면, 사물 인터넷 단말 원격 접속 시스템은 사용자 단말과 통신망을 통해 연결되고, 인터넷 사용 단말이 연결된 홈 게이트웨이, 그리고 상기 홈 게이트웨이에 연결되고, 상기 사용자 단말로부터 원격 접속되는 하나 이상의 사물 인터넷 단말을 포함하고,According to another aspect of the present invention, a object Internet terminal remote access system includes a home gateway connected to a user terminal through a communication network and connected to an Internet terminal, and a home gateway connected to the home gateway, An Internet terminal,
상기 홈 게이트웨이는,The home gateway comprises:
상기 인터넷 사용 단말과 상기 하나 이상의 사물 인터넷 단말에 IP 할당시 서로 구분된 IP 주소를 할당한다.An IP address allocated to each of the internet-enabled terminal and the one or more object Internet terminals is allocated.
*상기 홈 게이트웨이는, The home gateway includes:
IP 주소 할당 요청이 수신되면, 상기 IP 주소 할당 요청을 전송한 단말의 고유 정보를 토대로 상기 전송한 단말이 상기 사물 인터넷 단말인지 아닌지를 판단하고, 상기 사물 인터넷 단말로 판단되면 사전에 정의된 고유의 IP 대역을 할당할 수 있다.When the IP address assignment request is received, it is determined whether the transmitted terminal is the Internet terminal based on the unique information of the terminal that transmitted the IP address allocation request. If it is determined to be the Internet terminal, IP bandwidth can be allocated.
상기 사용자 단말 및 상기 통신망 사이에 위치하고, 상기 사물 인터넷 단말에 할당된 IP 주소 및 상기 사물 인터넷 단말의 단말 고유 정보를 수집하여 상기 사용자 단말의 정보와 매핑하며, 상기 사용자 단말과 매핑된 사물 인터넷 단말로의 접속만 허용하는 사물 인터넷 단말 매니지먼트 플랫폼을 더 포함할 수 있다.The IP address allocated to the Internet terminal and the terminal specific information of the Internet terminal are mapped to the information of the user terminal, The Internet terminal management platform of the Internet terminal management platform.
본 발명의 또 다른 특징에 따르면, 사물 인터넷 단말 원격 접속 시스템은 사용자 단말과 통신망을 통해 연결되고, 인터넷 사용 단말이 연결된 홈 게이트웨이에 연결되며, 상기 사용자 단말로부터 원격 접속되는 하나 이상의 사물 인터넷 단말, 그리고 상기 통신망에 연결되고, 상기 하나 이상의 사물 인터넷 단말로 IP를 할당하는 동적 호스트 구성 프로토콜(DHCP, Dynamic Host Configuration Protocol) 서버를 포함하고,According to another aspect of the present invention, an object Internet terminal remote access system includes at least one object Internet terminal connected to a user terminal through a communication network, connected to a home gateway connected to the Internet terminal, remotely connected to the user terminal, And a dynamic host configuration protocol (DHCP) server connected to the communication network and allocating an IP to the at least one object Internet terminal,
상기 동적 호스트 구성 프로토콜(DHCP) 서버는,The Dynamic Host Configuration Protocol (DHCP)
상기 인터넷 사용 단말과 상기 하나 이상의 사물 인터넷 단말에 IP 할당시 서로 구분된 IP 주소를 할당한다.An IP address allocated to each of the internet-enabled terminal and the one or more object Internet terminals is allocated.
상기 동적 호스트 구성 프로토콜(DHCP) 서버는,The Dynamic Host Configuration Protocol (DHCP)
상기 통신망을 통해 IP 주소 할당 요청이 수신되면, 상기 IP 주소 할당 요청을 전송한 단말의 고유 정보를 토대로 상기 전송한 단말이 상기 사물 인터넷 단말인지 아닌지를 판단하고, 상기 사물 인터넷 단말로 판단되면 사전에 정의된 고유의 IP 대역을 할당할 수 있다.When the IP address allocation request is received through the communication network, it is determined whether the transmitted terminal is the Internet terminal based on the unique information of the terminal that transmitted the IP address allocation request, It is possible to assign a defined unique IP band.
상기 사용자 단말 및 상기 통신망 사이에 위치하고, 상기 사물 인터넷 단말에 할당된 IP 주소 및 상기 사물 인터넷 단말의 단말 고유 정보를 수집하여 상기 사용자 단말의 정보와 매핑하며, 상기 사용자 단말과 매핑된 사물 인터넷 단말로의 접속만 허용하는 사물 인터넷 단말 매니지먼트 플랫폼을 더 포함할 수 있다.The IP address allocated to the Internet terminal and the terminal specific information of the Internet terminal are mapped to the information of the user terminal, The Internet terminal management platform of the Internet terminal management platform.
본 발명의 또 다른 특징에 따르면, 사물 인터넷 단말 원격 접속 방법은 사용자 단말 및 홈 네트워크에 연결된 네트워크 종단 장비 사이에 연결되는 사물 인터넷 단말 매니지먼트 플랫폼의 사물 인터넷 단말 원격 접속 방법으로서, 상기 사용자 단말로부터 사물 인터넷 단말의 사용자 정보를 사전에 등록받는 단계, 서로 다른 하나 이상의 사물 인터넷 단말의 정보를 수집하여 사전에 등록받은 상기 사용자 정보와 매핑하여 저장하는 단계, 상기 사용자 단말로부터 사물 인터넷 단말로의 접속 요청이 발생하면, 상기 사용자 단말의 사용자 정보에 매핑된 사물 인터넷 단말의 정보를 토대로 단말 접속 정보를 생성하는 단계, 상기 단말 접속 정보를 이용하여 상기 사용자 단말이 접속 요청한 사물 인터넷 단말로 상기 사용자 단말의 접속을 시도하는 단계, 그리고 상기 사용자 단말이 접속을 요청한 사물 인터넷 단말의 정보가 상기 접속을 요청한 사용자 단말에 매핑되어 있지 않은 경우, 상기 접속 요청을 불허하는 단계를 포함한다.According to another aspect of the present invention, there is provided a method for remotely connecting a user terminal to a user terminal, the method comprising the steps of: The method comprising the steps of: registering user information of a terminal in advance; collecting and storing information of one or more object Internet terminals, which are different from each other, with the user information registered in advance; Generating terminal access information based on the information of the object Internet terminal mapped to the user information of the user terminal, attempting to connect the user terminal to the object Internet terminal requested by the user terminal to access using the terminal access information Step, If the information of the object and the internet terminal requesting the user terminal is connected it is not mapped to the user equipment requesting the connection, and a step of second to the access request.
본 발명의 또 다른 특징에 따르면, IP 주소 할당 방법은 사용자 단말과 통신망을 통해 연결되고, 인터넷 사용 단말이 연결된 홈 게이트웨이가 IP 주소 할당 요청을 수신하는 단계, 상기 IP 주소 할당 요청을 전송한 단말의 고유 정보를 토대로 상기 전송한 단말이 인터넷 사용 단말인지 또는 사물 인터넷 단말인지 판단하는 단계, 그리고 상기 인터넷 사용 단말과 상기 하나 이상의 사물 인터넷 단말에 서로 구분된 IP 주소를 할당하는 단계를 포함한다.According to another aspect of the present invention, there is provided a method of assigning an IP address, the method comprising: receiving a request for an IP address assignment from a home gateway connected to a user terminal through a communication network; Determining whether the transmitted terminal is an Internet-based terminal or a destination Internet terminal on the basis of the unique information, and assigning IP addresses to the Internet-enabled terminal and the one or more Internet terminals.
본 발명의 또 다른 특징에 따르면, IP 주소 할당 방법은 동적 호스트 구성 프로토콜(DHCP, Dynamic Host Configuration Protocol) 서버가 IP 주소 할당 요청을 수신하는 단계, 상기 IP 주소 할당 요청을 전송한 단말의 고유 정보를 토대로 상기 전송한 단말이 인터넷 사용 단말인지 또는 사물 인터넷 단말인지 판단하는 단계, 그리고 상기 인터넷 사용 단말과 상기 하나 이상의 사물 인터넷 단말에 서로 구분된 IP 주소를 할당하는 단계를 포함한다.According to another aspect of the present invention, there is provided a method of assigning an IP address to a dynamic host configuration protocol (DHCP) server, the method comprising: receiving an IP address assignment request; Determining whether the transmitted terminal is an Internet-enabled terminal or a destination Internet terminal, and assigning IP addresses to the Internet-enabled terminal and the one or more Internet terminals.
본 발명의 실시예에 따르면, 인터넷을 활용하여 외부에서 IoT 단말로 원격 접속할 때 인가된 사용자만 접속하도록 제한하므로 호스트 도메인으로 IoT 단말의 IP 주소를 알아내더라도 사전 등록된 사용자가 아니면 IoT 단말로 접속이 허용되지 않아 종래의 IoT 단말 원격 접속 취약점을 개선할 수 있다. 따라서, 이러한 네트워크 기반의 안전한 IoT 단말 원격 접속 기술을 통해 IoT 단말 사용자가 집밖에서 언제, 어디서나 홈 네트워크에 있는 IoT 단말을 보안 위협이 없이 신뢰성 있는 접속을 통해 안전하게 사용이 가능하다. According to the embodiment of the present invention, when an external user accesses the IoT terminal remotely by using the Internet, only an authorized user is restricted from accessing the IP address of the IoT terminal. The conventional IoT terminal remote access vulnerability can be improved. Therefore, this network-based secure IoT terminal remote access technology enables IoT terminal users to safely use IoT terminals in home network whenever and wherever they are in the home through reliable connection without security threats.
또한, 악성 행위자가 IoT 단말을 접속하지 못하도록 IoT 단말 사용자를 네트워크 기반으로 인증하고, 인가된 사용자만 원격 접속 플랫폼의 프록시(Proxy) 서버를 통해서만 IoT 단말 접속이 가능토록 하고, 위조된 IoT 단말을 차단하고, 원격 접속시 도-감청을 하지 못하도록 차단이 가능하다. In addition, the malicious agent authenticates the user of the IoT terminal so that the malicious agent can not access the IoT terminal, and only the authorized user can access the IoT terminal only through the proxy server of the remote access platform, , And remote access can be blocked to prevent interception.
또한, IoT 단말 사용자가 다수의 IoT 단말 원격 접속시 원격 접속 가능한 단말 리스트를 제공하여 IoT 단말 사용자의 편리성을 제공한다.In addition, the IoT terminal provides a list of terminals that can be remotely accessed when a plurality of IoT terminals are remotely accessed, thereby providing convenience of IoT terminal users.
또한, IoT 단말의 IP 주소를 인터넷 사용 단말의 IP 주소와 구분하여 새로운 대역으로 할당하므로, IoT 단말이 포함된 홈 네트워크 자체를 독립된 망 형태로 구현이 가능하다. In addition, since the IP address of the IoT terminal is allocated to the new band by distinguishing it from the IP address of the Internet-enabled terminal, the home network including the IoT terminal can be implemented as an independent network.
도 1은 본 발명의 하나의 실시예에 따른 안전한 IoT 단말 원격 접속 시스템의 구성도이다.
도 2는 본 발명의 하나의 실시예에 따른 인증 과정을 나타낸 흐름도이다.
도 3은 본 발명의 하나의 실시예에 따른 IoT 단말 원격 접속 과정을 나타낸 흐름도이다.
도 4는 본 발명의 다른 실시예에 따른 안전한 IoT 단말 원격 접속을 위한 독립망 구성도이다.
도 5는 본 발명의 다른 실시예에 따른 DHCP 서버를 이용한 독립망 구성 과정을 나타낸 흐름도이다.
도 6은 본 발명의 다른 실시예에 따른 홈 게이트웨이를 이용한 독립망 구성 과정을 나타낸 흐름도이다.1 is a block diagram of a secure IoT terminal remote access system according to an embodiment of the present invention.
2 is a flowchart illustrating an authentication process according to an embodiment of the present invention.
3 is a flowchart illustrating an IoT terminal remote access process according to an embodiment of the present invention.
4 is an independent network diagram for remote IoT terminal remote access according to another embodiment of the present invention.
5 is a flowchart illustrating an independent network configuration process using a DHCP server according to another embodiment of the present invention.
6 is a flowchart illustrating an independent network configuration process using a home gateway according to another embodiment of the present invention.
아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings so that those skilled in the art can easily carry out the present invention. The present invention may, however, be embodied in many different forms and should not be construed as limited to the embodiments set forth herein. In order to clearly illustrate the present invention, parts not related to the description are omitted, and similar parts are denoted by like reference characters throughout the specification.
명세서 전체에서, 어떤 부분이 어떤 구성 요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성 요소를 제외하는 것이 아니라 다른 구성 요소를 더 포함할 수 있는 것을 의미한다.Throughout the specification, when an element is referred to as " comprising ", it means that it can include other elements as well, without excluding other elements unless specifically stated otherwise.
또한, 명세서에 기재된 "…부", "…모듈" 의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.Also, the terms of " part ", " ... module " in the description mean units for processing at least one function or operation, which may be implemented by hardware or software or a combination of hardware and software.
이하, 도면을 참조로 하여 본 발명의 실시예에 따른 안전한 사물 인터넷(Internet of things, 이하, 'IoT'라 통칭함) 단말 접속 시스템 및 IP 주소 할당 방법 에 대하여 상세히 설명한다.Hereinafter, a secure Internet connection (IoT) terminal access system and an IP address allocation method according to an embodiment of the present invention will be described in detail with reference to the drawings.
호스트 도메인을 이용하면 손쉽게 홈 네트워크내 IoT 단말의 IP 주소를 획득하여 외부에서 IoT 단말로 접속할 수 있었던 종래 문제를 해결하기 위한 방안으로, 두가지 실시예를 제시한다. Two embodiments are proposed to solve the conventional problem that the IP address of the IoT terminal in the home network can be easily obtained by using the host domain and can be connected to the IoT terminal from the outside.
하나의 실시예는 호스트 도메인으로 IoT 단말의 IP 주소를 알아내더라도 사전 등록된 사용자가 아니면 IoT 단말로 접속을 허용하지 않는 방식이다. 이러한 실시예에 대해 도 1~ 도 3을 통해 나타냈다.In one embodiment, even if the IP address of the IoT terminal is found by the host domain, the connection is not allowed to the IoT terminal unless it is a pre-registered user. Such an embodiment is shown in Figs. 1 to 3. Fig.
다른 실시예는 물리적 주소를 기반으로 IoT 단말에는 새로운 독립망 IP 대역으로 할당함으로써, 외부 사용자가 쉽게 IoT 단말의 IP 주소를 알 수 없도록 하는 것이다. 이를 나타낸 실시예가 도 4, 5, 6이다. 여기서, 물리적 주소는 MAC 주소(Media Access Control Address)일 수 있다. Another embodiment is to allocate the IoT terminal to a new independent network IP band based on the physical address so that an external user can not easily know the IP address of the IoT terminal. 4, 5, and 6, respectively. Here, the physical address may be a MAC address (Media Access Control Address).
이때, 도 4, 5, 6은 도 1, 2, 3에 포함되는 실시예로, 원격 접속 절차는 도 1, 2, 3과 동일하되 IoT 단말에 할당된 IP 주소의 할당 방식만 도 4, 5, 6에 나타난 방식으로 이루어질 수 있다.4, 5 and 6 are the embodiments included in FIGS. 1, 2 and 3. The remote access procedure is the same as FIGS. 1, 2 and 3 except that only the allocation method of the IP address assigned to the IoT terminal is shown in FIGS. , 6, respectively.
도 1은 본 발명의 하나의 실시예에 따른 안전한 IoT 단말 원격 접속 시스템의 구성도이다.1 is a block diagram of a secure IoT terminal remote access system according to an embodiment of the present invention.
도 1을 참조하면, 안전한 IoT 단말 원격 접속 시스템은 원격 사용자 단말(100), IoT 단말 매니지먼트 플랫폼(200), 통신망(300), 네트워크 종단장비(400), 홈 네트워크(500), 인터넷 사용 단말(600), DHCP(Dynamic Host Configuration Protocol) 서버(700)를 포함한다.1, a secure IoT terminal remote access system includes a
원격 사용자 단말(100)은 IoT 단말(503)의 사용자가 원격에서 IoT 단말(503)로 접속하고자 사용하는 단말이다. 원격 사용자 단말(100)은 휴대폰, 스마트 디바이스 등의 휴대가 가능한 단말과, PC, 노트북 등의 컴퓨터를 포함한다.The
원격 사용자 단말(100)은 자신의 IoT 단말 정보, 즉, 사용자 정보, IoT 단말의 ID 및 패스워드, IoT 단말(503)의 제품 종류ㅇ기종ㅇMAC 주소를 인증 서버(201)에 사전 등록한다. The
IoT 단말 매니지먼트 플랫폼(200)은 IoT 단말 원격 접속을 제어하기 위한 구성으로서, 인증 서버(201), 수집 서버(203), 데이터베이스(205), 프록시 서버(207) 및 차단 서버(209)를 포함한다. The IoT
인증 서버(201)는 사용자가 IoT 단말(503)로 원격 접속하고자 할 때 사용자 단말(100)을 인증한다. 인증 방식은 ID/PW 또는 OTP(One Time Password)를 포함하는 서로 다른 두 요소(2 Factor) 이상의 인증 수단을 사용할 수 있다.The
인증 서버(201)는 사용자 인증에 성공한 사용자 단말(100)로 접속 가능한 IoT 단말 리스트를 제공한다. The
인증 서버(201)는 IoT 단말 리스트 상에서 사용자가 원격 접속을 희망하는 IoT 단말을 클릭하면, 선택된 해당 IoT 단말(503)의 IP 주소, ID 및 패스워드를 포함하는 단말 접속 정보를 프록시(Proxy) 서버(205)로 전송한다.When the user clicks on the IoT terminal for remote access on the IoT terminal list, the
수집 서버(203)는 다양한 방식으로 IoT 단말 정보를 수집한다. 첫번째 방식으로 수집 서버(203)는 홈 게이트웨이(501)를 통해서 홈 게이트웨이(501)에 저장된 홈 네트워크(500) 내 IoT 단말 정보, 예를 들면, IP 주소 및 MAC 주소를 수집한다. The
두번째 방식으로 수집 서버(203)는 네트워크 종단장비(400)를 통해서 홈 게이트웨이(501)의 단말정보, 즉, IP 주소 및 MAC 주소를 수집한다. In the second method, the
세번째 방식으로 수집 서버(203)는 DHCP 서버(700)를 통해 IoT 단말(503)의 IP 주소 및 MAC 주소를 수집한다. In a third method, the
수집 서버(203)는 네트워크 종단장비(400), 홈 게이트웨(501), DHCP 서버(700)로부터 수집한 IoT 단말 정보를 사용자 단말(100)의 정보와 매핑하여 데이터베이스(205)에 저장한다. 수집 서버(203)는 홈 게이트웨이(501), 홈 네트워크 내부 IoT 단말(503)이 온(ON)/오프(OFF)되어 IP 주소가 변경되면 홈 게이트웨이(501)로부터 변경된 IP 주소를 수집하여 데이터베이스(205)에 즉시 갱신한다. The
프록시 서버(207)는 인증 서버(201)로부터 받은 단말 접속 정보, 예를들면, IP 주소, ID 및 패스워드를 이용하여 해당하는 IoT 단말(503)로 자동 접속한다. 자동 접속 방식은 싱글 사인 온(Single Sign On, 이하, 'SSO'라 통칭함) 방식일 수 있다. SSO 방식을 통해 사용자 단말(100)은 다수의 IoT 단말(503)로 접속이 편하다.The
이때, IoT 단말(503)이 사설 IP 주소를 사용하면 홈 게이트웨이(501)가 포트포워딩을 수행하여 프록시 서버(207)가 IoT 단말(503)로 접속 가능하게 된다.At this time, if the
차단 서버(209)는 사용자 몰래 IoT 단말 사용자 정보를 탈취하고자 하는 악의적인 사용자(800)가 IoT 단말정보(IP, MAC 등)를 위조하여 홈 네트워크에 설치시, 예를 들면, 홈 게이트웨이(501)에 추가 연결된 사물 인터넷 단말이 발생하면, 사전에 정상적으로 등록된 IoT 단말과 추가 연결된 사물 인터넷 단말의 정보를 비교한다. 이때, 비교 대상 정보는 IP 및 MAC이 될 수 있다. 추가 연결된 사물 인터넷 단말의 IP 형태나 MAC이 정상적으로 등록된 단말의 것과 다른 형태라면, 위조된 단말로 판단할 수 있다.The blocking
이처럼, 차단 서버(209)는 정상적으로 등록된 IoT 단말과 위조된 IoT 단말을 비교 분석하여 위조된 IoT 단말을 판별하고 네트워크 종단장비(400)로 차단 명령을 전송하여 위조된 IoT 단말을 즉시 차단한다.In this way, the blocking
통신망(300)은 통신 사업자가 제공하는 망으로서, 전세계 컴퓨터 및 네트워크가 연결된 인터넷망을 포함하는 넓은 개념이다.The
네트워크 종단장비(400)는 통신망(300)과 홈 게이트웨이(501) 사이에 위치하여 홈 게이트웨이(501)를 통신망(300)과 연결시켜 주는 기능을 수행한다. The
이때, 네트워크 종단장비(400)는 네트워크 비인가자가 IoT 단말(503)로 불법접근을 하지 못하도록 사전에 설정하여 프록시 서버(207)의 IP 주소, 서비스 포트만 IoT 단말(503)로 접속을 허용한다.At this time, the
네트워크 종단장비(400)는 수집 서버(203)로 홈 게이트웨이(501)의 단말정보, 즉, IP 주소 및 MAC 주소를 전송한다.The
홈 네트워크(500)에 포함되는 홈 게이트웨이(501)는 마찬가지로 홈 네트워크(500)에 포함되는 서로 다른 복수의 IoT 단말(503)과 유선 또는 무선으로 통신한다. 홈 게이트웨이(501)는 홈 네트워크(500)에 포함되는 인터넷 사용 단말(600)과도 유선 또는 무선으로 통신한다.The
홈 게이트웨이(501)는 DHCP 서버(700)로 주소 할당을 요청한다. 즉, 홈 게이트웨이(501)는 DHCP 서버(700)로 DHCP 요청 패킷을 전송하고, DHCP 서버(700)로부터 수신된 DHCP 응답 패킷으로부터 홈 게이트웨이(501)의 동적 IP 주소를 획득한다. The
홈 게이트웨이(501)는 IoT 단말(503)이 부팅되는 과정에서 당해 IoT 단말(503)로부터 수신되는 내부 IP 주소 할당 요청에 따라 임의의 내부 IP 주소를 당해 IoT 단말(503)로 할당한다. 그리고 홈 게이트웨이(501)의 내부 IP 주소를 IoT 단말(503)로 브로드캐스팅한다. 이때, 내부 IP 주소는 홈 네트워크 내에서 홈 게이트웨이와 IoT 단말(503)이 서로 데이터를 송수신하기 위해 각각 할당된 내부 주소이다. The
홈 게이트웨이(501)는 통신망(300)에 연결되기 위해 DHCP 서버(700)로부터 할당받은 공인 IP 주소와 홈 네트워크 상에서 IoT 단말(503)과 연동하기 위한 내부 IP를 모두 가진다. 여기서, DHCP 방식을 이용하여 내부 IP 주소를 임의의 IoT 단말(503)에 할당하는 방법은 당업자에게 자명한 사항이므로 이에 대한 설명은 생략한다. The
홈 게이트웨이(501)는 홈 게이트웨이(501)에 저장된 홈 네트워크(500) 내 IoT 단말 정보, 예를 들면, IP 주소 및 MAC 주소를 수집 서버(203)로 전송한다.The
IoT 단말(503)은 홈 네트워크(500)내 통신 장비로서, IoT 통신 칩이 내장된 가전 기기일 수 있다. 예컨대 CCTV(closed circuit system)(505), 냉장고(507), 스마트 TV(509) 및 세탁기(511)를 포함할 수 있다.The
인터넷 사용 단말(600)은 홈 게이트웨이(501)에 연결되는 홈 네트워크 내 단말로서, 홈 게이트웨이(501)를 통해 통신망(300)에 연결하는 댁내 단말이다. 컴퓨터, 노트북, 스마트 디바이스 등이 될 수 있다. The
DHCP 서버(700)는 동적 호스트 구성 프로토콜(DHCP) 규약에 따라 동적 IP 주소를 할당한다. DHCP 서버(700)는 할당한 동적 IP 주소 정보, 즉, IoT 단말(503)의 IP 주소 및 MAC 주소를 수집 서버(203)로 전송한다. The
이러한 네트워크 구성에 따르면, IoT 단말(503)에 동적 도메인 네임 시스템(Dynamic Domain Name System, DDNS)를 설정하지 않아도 수집 서버(203)가 IoT 단말(503)의 동적인 IP를 관리한다. 그리고 IoT 단말(503)이 통신망(300)에 접속시 IoT 단말 정보, 즉, IP 주소 및 MAC 주소, 네트워크 종단장비(400)의 IP 주소 및 물리적포트 등의 네트워크 정보를 자동으로 수집하여 인가된 사용자 단말(100)만 인터넷을 통해 안전하게 IoT 단말(503)을 접속할 수 있게 한다. 이러한 단말 접속 과정을 순차적으로 설명하면 도 2 및 도 3과 같다.According to this network configuration, the
먼저, 도 2는 본 발명의 하나의 실시예에 따른 인증 과정을 나타낸 흐름도이다.2 is a flowchart illustrating an authentication process according to an embodiment of the present invention.
도 2를 참조하면, 사용자 단말(100)이 인증 서버(201)로 접속하여 사전 등록을 요청한다(S101). 이때, 사전 등록 요청에는 사용자 계정, 사용자의 IoT 단말 정보(사용자, IoT 단말 ID/패스워드, 제품 종류, 기종, MAC 등)를 포함한다. Referring to FIG. 2, the
인증 서버(201)는 S101 단계에서 수신한 정보를 데이터베이스(205)에 등록한다(S103). The
수집 서버(203)는 네트워크 종단장비(400)를 거쳐 홈 게이트웨이(501)로부터 홈 네트워크 내 IoT 단말 정보를 수집한다(S105, S107). The
수집 서버(203)는 네트워크 종단장비(400)로부터 홈 네트워크 내 IoT 단말 정보를 수집한다(S109).The
수집 서버(203)는 DHCP 서버(700)로부터 IoT 단말(501) 각각의 MAC 별 IP 주소를 수집한다(S111).The
수집 서버(203)는 S107 단계, S109 단계, S111 단계에서 수집한 각각의 정보를 인증 서버(201)로 전달한다(S113). 이때, S107 단계, S109 단계, S111 단계가 수행된 이후, IP 주소 변경이 발생하면, 실시간으로 변경된 IP 주소의 갱신 업그레이드가 수행된다. 즉, 수집 서버(203)가 변경된 IP 주소를 수집하여 인증 서버(201)로 전달하여 데이터베이스(205)에 갱신되도록 한다.The
인증 서버(201)는 S113 단계에서 수집한 정보를 S103 단계에서 등록한 정보, 즉 사용자 단말(100)의 정보와 매핑하여 데이터베이스(205)에 저장한다(S115).The
다음, 도 3은 본 발명의 하나의 실시예에 따른 IoT 단말 원격 접속 과정을 나타낸 흐름도이다.3 is a flowchart illustrating an IoT terminal remote access procedure according to an embodiment of the present invention.
도 3을 참조하면, 사용자 단말(100)이 인증 서버(201)로 인증을 요청한다(S201). 이때, 인증 요청은 사용자 단말(100)이 IoT 매니지먼트 전용 어플리케이션을 실행하여 IoT 매니지먼트 플랫폼(200)으로 접속을 시도하면, 먼저 인증 서버(201)로 접속하여 인증을 요청하는 과정에서 수행될 수 있다.Referring to FIG. 3, the
인증 서버(201)는 사용자 단말(100)로부터 입력받거나 전송받은 인증 수단(예, ID/PW, OTP 등)을 이용한 인증 절차를 수행한 후, 인증 응답을 전송한다(S203).The
인증 서버(201)는 인증된 사용자 단말(100)의 사용자 계정에 매핑된 IoT 단말 정보를 검색한다(S205). 이때, 사용자 단말(100)의 단말 고유 정보, 예를 들면, IMSI 등에 매핑된 IoT 단말 정보를 검색할 수도 있다. The
인증 서버(201)는 검색한 매핑된 IoT 단말 정보를 토대로 사용자 단말(100)이 접속 가능한 IoT 단말 리스트를 생성(S207)하여 사용자 단말(100)로 전송한다(S209).The
사용자 단말(100)은 사용자가 접속을 원하는 IoT 단말을 선택(S211)하면, 선택한 정보를 인증 서버(201)로 전송한다(S213).The
인증 서버(201)는 선택된 IoT 단말의 IP 주소 및 ID/PW를 포함하는 단말 접속 정보를 생성(S215)하여 프록시 서버(207)로 전송한다(S217). 여기서, 단말 접속 정보는 데이터베이스(205)로부터 획득된다. 즉, S205 단계에서 검색된 단말 정보 중 사용자 단말(100)이 선택한 IoT 단말의 정보를 이용하여 단말 접속 정보가 생성된다.The
또한, 사용자 단말(100)은 S213 단계 이후 바로 선택된 IoT 단말로의 자동 접속을 시도한다(S219). 이때, 자동 접속 시도시 사용자 단말(100)은 먼저 프록시 서버(207)로 연결된다. In addition, the
프록시 서버(207)는 해당 IoT 단말(503)의 IP 주소를 이용하여 해당하는 네트워드 종단장비(400)로 사용자 단말(100)의 IoT 단말(503)로의 접속 요청을 전송한다(S221). 그런데, 만약 인증 서버(201)로부터 단말 접속 정보가 수신되지 않는다면, 즉, 접속을 요청한 사용자 단말(100)의 사전 등록 정보가 없거나, 사용자 단말(100)의 사용자 정보와 매핑된 IoT 단말(503)이 아닌 경우, 사용자 단말(100)의 접속 요청은 허용되지 않는다. 단말 접속 정보가 인증 서버(201)로부터 수신된 경우에 한해 사용자 단말(100)의 접속이 가능한 것이다.The
네트워크 종단장비(400)는 수신된 접속 요청이 사전에 설정된 프록시 서버(207)로부터 수신된 것인지를 판단한다(S223). The
이때, 사전에 설정된 프록시 서버(207)로부터 수신된 것이 아니라면, 접속을 차단한다(S225).At this time, if it is not received from the
반면, 사전에 설정된 프록시 서버(207)로부터 수신된 것이라면, 수신된 접속 요청을 해당하는 IoT 단말(503)로 전달한다(S227). 이때, 접속 요청은 홈 게이트웨이(501)가 수신하여 해당하는 IoT 단말(503)로 전달한다. On the other hand, if it is received from the
IoT 단말(503)은 접속 응답을 홈 게이트웨이(501), 네트워크 종단장비(400)를 거쳐 프록시 서버(207)로 전달한다(S229, S231).The
프록시 서버(207)는 수신된 접속 응답을 사용자 단말(100)로 전송한다(S233).The
IoT 단말 사용자가 인터넷을 통해 IoT 단말 원격접속시 악성 행위자에 의한 도감청을 방지하기 위해 사용자 단말(100)과 프록시 서버(207) 간에 그리고 프록시 서버(207)와 IoT 단말(503) 간에 암호화 데이터 통신을 수행한다(S235, S237).The
한편, 외부에서 IoT 단말(503)로 원천적으로 접근이 불가능하도록 IoT 단말(503)들을 별개의 독립망을 구성하여 보안을 강화할 수 있다. 이러한 방법에 대해 도 4, 5, 6을 참고하여 설명한다.On the other hand, the
먼저, 도 4는 본 발명의 다른 실시예에 따른 안전한 IoT 단말 원격 접속을 위한 독립망 구성도로서, 도 1에서 일부 구성만을 간략히 도시한 것이다.4 is an independent network diagram for remote IoT terminal remote access according to another embodiment of the present invention.
도 4를 참조하면, 홈 게이트웨이(501)에는 인터넷 사용 단말(600)과 IoT 단말(503)이 연결되어 있다. 홈 게이트웨이(501)는 통신망(300)에 연결되어 있다. 통신망(300)에는 IoT 단말 매니지먼트 플랫폼(200) 및 DHCP 서버(700)가 연결되어 있다.Referring to FIG. 4, an Internet-enabled
이때, 인터넷 사용자와 같이 외부에서 IoT 단말(503)로 원천적으로 접근이 불가능하도록 IoT 단말(503)을 별개의 독립망을 구성한다. 즉, IoT 단말 매니지먼트 플랫폼(200) 및 IoT 단말(503)을 별개의 독립망으로 구현한다.At this time, the
하나의 실시예에 따르면, DHCP 서버(700)를 이용하여 독립망을 구현하는 것으로서, IP 할당시 인터넷 사용 단말(600)에는 공인 IP를 할당하고, IoT 단말(503)에는 별도의 독립망 IP를 할당하는 것이다. 이러한 실시예에 대해 도 5를 참고하여 설명한다.According to one embodiment, an independent network is implemented using the
도 5는 본 발명의 다른 실시예에 따른 DHCP 서버를 이용한 독립망 구성 과정을 나타낸 흐름도이다.5 is a flowchart illustrating an independent network configuration process using a DHCP server according to another embodiment of the present invention.
도 5를 참조하면, 인터넷 사용 단말(600), IoT 단말(503) 각각이 DHCP 서버(700)로 IP 할당을 요청한다(S301, S303).Referring to FIG. 5, each of the internet-enabled
DHCP 서버(700)는 IP 할당 요청을 전송한 단말의 고유 식별자, 예를 들면, MAC 어드레스를 확인한다(S305). MAC 어드레스를 토대로 IP 할당 요청을 전송한 단말이 정해진 조건을 충족하는지 판단한다(S307). 즉, MAC 어드레스를 토대로 판단 결과 IP 할당 요청을 전송한 단말이 IoT 단말(503)로 판단되면, 독립망 IP를 할당(S309)하고 할당한 IP를 IoT 단말(503)로 전송한다(S311). 이때, DHCP 서버(700)는 별도의 IP 대역을 설정하고, IoT 단말(503)에는 별도의 IP 대역에 포함되는 IP 주소를 할당한다. The
반면, DHCP 서버(700)는 MAC 어드레스를 토대로 판단 결과, IP 할당 요청을 전송한 단말이 IoT 단말(503)이 아니라면, 인터넷 접속용 IP, 예컨대 공인 IP를 할당한다(S313). 그리고 할당한 IP를 인터넷 사용 단말(600)로 전송한다(S315).On the other hand, if the terminal transmitting the IP allocation request is not the
한편, 다른 실시예에 따르면, 홈 게이트웨이(501)를 이용하여 독립망을 구현하는 것으로서, IP 할당시 인터넷 사용 단말(600)에는 공인 IP를 할당하고, IoT 단말(503)에는 별도의 독립망 IP를 할당하는 것이다. 이러한 실시예에 대해 도 6을 참고하여 설명한다.According to another embodiment of the present invention, an independent network is implemented using the
도 6은 본 발명의 다른 실시예에 따른 홈 게이트웨이를 이용한 독립망 구성 과정을 나타낸 흐름도이다.6 is a flowchart illustrating an independent network configuration process using a home gateway according to another embodiment of the present invention.
도 6을 참조하면, 인터넷 사용 단말(600), IoT 단말(503) 각각이 홈 게이트웨이(501)로 IP 할당을 요청한다(S401, S403).Referring to FIG. 6, each of the internet-enabled
홈 게이트웨이(501)는 IP 할당 요청을 전송한 단말의 고유 식별자, 예를 들면, MAC 어드레스를 확인한다(S405). MAC 어드레스를 토대로 IP 할당 요청을 전송한 단말이 정해진 조건을 충족하는지 판단한다(S407). 즉, MAC 어드레스를 토대로 판단 결과 IP 할당 요청을 전송한 단말이 IoT 단말(503)로 판단되면, 독립망 IP를 할당(S409)하고 할당한 IP를 IoT 단말(503)로 전송한다(S411). 이때, 홈 게이트웨이(501)는 별도의 IP 대역을 설정하고, IoT 단말(503)에는 별도의 IP 대역에 포함되는 IP 주소를 할당한다. The
반면, 홈 게이트웨이(501)는 MAC 어드레스를 토대로 판단 결과, IP 할당 요청을 전송한 단말이 IoT 단말(503)이 아니라면, 인터넷 접속용 IP, 예컨대 공인 IP를 할당한다(S413). 그리고 할당한 IP를 인터넷 사용 단말(600)로 전송한다(S415).On the other hand, if it is determined that the terminal that transmitted the IP allocation request is not the
이상에서 설명한 본 발명의 실시예는 장치 및 방법을 통해서만 구현이 되는 것은 아니며, 본 발명의 실시예의 구성에 대응하는 기능을 실현하는 프로그램 또는 그 프로그램이 기록된 기록 매체를 통해 구현될 수도 있다. The embodiments of the present invention described above are not implemented only by the apparatus and method, but may be implemented through a program for realizing the function corresponding to the configuration of the embodiment of the present invention or a recording medium on which the program is recorded.
이상에서 본 발명의 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed exemplary embodiments, It belongs to the scope of right.
Claims (10)
상기 홈 게이트웨이에 연결되고, 상기 사용자 단말로부터 원격 접속되는 하나 이상의 사물 인터넷 단말을 포함하고,
상기 홈 게이트웨이는,
상기 인터넷 사용 단말과 상기 하나 이상의 사물 인터넷 단말에 IP 할당시 서로 구분된 IP 주소를 할당하는 사물 인터넷 단말 원격 접속 시스템.A home gateway connected to the user terminal through a communication network and connected to the Internet terminal, and
And one or more destination Internet terminals connected to the home gateway and remotely connected to the user terminal,
The home gateway comprises:
And allocates IP addresses differentiated when allocating IP to the Internet-enabled terminal and the at least one Internet point.
상기 홈 게이트웨이는,
IP 주소 할당 요청이 수신되면, 상기 IP 주소 할당 요청을 전송한 단말의 고유 정보를 토대로 상기 전송한 단말이 상기 사물 인터넷 단말인지 아닌지를 판단하고, 상기 사물 인터넷 단말로 판단되면 사전에 정의된 고유의 IP 대역을 할당하는 사물 인터넷 단말 원격 접속 시스템.The method according to claim 1,
The home gateway comprises:
When the IP address assignment request is received, it is determined whether the transmitted terminal is the Internet terminal based on the unique information of the terminal that transmitted the IP address allocation request. If it is determined to be the Internet terminal, An Internet terminal remote access system that allocates IP bandwidths.
상기 사용자 단말 및 상기 통신망 사이에 위치하고, 상기 사물 인터넷 단말에 할당된 IP 주소 및 상기 사물 인터넷 단말의 단말 고유 정보를 수집하여 상기 사용자 단말의 정보와 매핑하며, 상기 사용자 단말과 매핑된 사물 인터넷 단말로의 접속만 허용하는 사물 인터넷 단말 매니지먼트 플랫폼
을 더 포함하는 사물 인터넷 단말 원격 접속 시스템.3. The method of claim 2,
The IP address allocated to the Internet terminal and the terminal specific information of the Internet terminal are mapped to the information of the user terminal, Internet terminal management platform
Further comprising: an Internet terminal remote access system.
상기 통신망에 연결되고, 상기 하나 이상의 사물 인터넷 단말로 IP를 할당하는 동적 호스트 구성 프로토콜(DHCP, Dynamic Host Configuration Protocol) 서버를 포함하고,
상기 동적 호스트 구성 프로토콜(DHCP) 서버는,
상기 인터넷 사용 단말과 상기 하나 이상의 사물 인터넷 단말에 IP 할당시 서로 구분된 IP 주소를 할당하는 사물 인터넷 단말 원격 접속 시스템.One or more destination Internet terminals connected to a user terminal through a communication network, connected to a home gateway connected to the Internet terminal, remotely connected to the user terminal, and
And a dynamic host configuration protocol (DHCP) server connected to the communication network and allocating an IP to the at least one object Internet terminal,
The Dynamic Host Configuration Protocol (DHCP)
And allocates IP addresses differentiated when allocating IP to the Internet-enabled terminal and the at least one Internet point.
상기 동적 호스트 구성 프로토콜(DHCP) 서버는,
상기 통신망을 통해 IP 주소 할당 요청이 수신되면, 상기 IP 주소 할당 요청을 전송한 단말의 고유 정보를 토대로 상기 전송한 단말이 상기 사물 인터넷 단말인지 아닌지를 판단하고, 상기 사물 인터넷 단말로 판단되면 사전에 정의된 고유의 IP 대역을 할당하는 사물 인터넷 단말 원격 접속 시스템.5. The method of claim 4,
The Dynamic Host Configuration Protocol (DHCP)
When the IP address allocation request is received through the communication network, it is determined whether the transmitted terminal is the Internet terminal based on the unique information of the terminal that transmitted the IP address allocation request, An Internet terminal remote access system that allocates a defined unique IP band.
상기 사용자 단말 및 상기 통신망 사이에 위치하고, 상기 사물 인터넷 단말에 할당된 IP 주소 및 상기 사물 인터넷 단말의 단말 고유 정보를 수집하여 상기 사용자 단말의 정보와 매핑하며, 상기 사용자 단말과 매핑된 사물 인터넷 단말로의 접속만 허용하는 사물 인터넷 단말 매니지먼트 플랫폼
을 더 포함하는 사물 인터넷 단말 원격 접속 시스템.6. The method of claim 5,
The IP address allocated to the Internet terminal and the terminal specific information of the Internet terminal are mapped to the information of the user terminal, Internet terminal management platform
Further comprising: an Internet terminal remote access system.
상기 IP 주소 할당 요청을 전송한 단말의 고유 정보를 토대로 상기 전송한 단말이 인터넷 사용 단말인지 또는 사물 인터넷 단말인지 판단하는 단계, 그리고
상기 인터넷 사용 단말 및 적어도 하나의 사물 인터넷 단말에게 서로 구분된 IP 주소를 할당하는 단계
를 포함하는 IP 주소 할당 방법.A step of receiving an IP address allocation request by a home gateway connected to a user terminal through a communication network and connected to the Internet-enabled terminal,
Determining whether the transmitted terminal is an Internet-enabled terminal or a destination Internet terminal based on unique information of the terminal that transmitted the IP address allocation request; and
Assigning IP addresses to the internet terminal and at least one Internet point of interest
Gt; IP < / RTI >
상기 IP 주소를 할당하는 단계는,
상기 사물 인터넷 단말로 판단되면 사전에 정의된 고유의 IP 대역을 할당하는 IP 주소 할당 방법.8. The method of claim 7,
Wherein the assigning of the IP address comprises:
And allocating a predefined unique IP band when it is determined to be the Internet terminal.
상기 IP 주소 할당 요청을 전송한 단말의 고유 정보를 토대로 상기 전송한 단말이 인터넷 사용 단말인지 또는 사물 인터넷 단말인지 판단하는 단계, 그리고
상기 인터넷 사용 단말 및 적어도 하나의 사물 인터넷 단말에게 서로 구분된 IP 주소를 할당하는 단계
를 포함하는 IP 주소 할당 방법.A dynamic host configuration protocol (DHCP) server receiving an IP address assignment request,
Determining whether the transmitted terminal is an Internet-enabled terminal or a destination Internet terminal based on unique information of the terminal that transmitted the IP address allocation request; and
Assigning IP addresses to the internet terminal and at least one Internet point of interest
Gt; IP < / RTI >
상기 IP 주소를 할당하는 단계는,
상기 사물 인터넷 단말로 판단되면 사전에 정의된 고유의 IP 대역을 할당하는 IP 주소 할당 방법.10. The method of claim 9,
Wherein the assigning of the IP address comprises:
And allocating a predefined unique IP band when it is determined to be the Internet terminal.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020180139412A KR20180124817A (en) | 2018-11-13 | 2018-11-13 | SYSTEM FOR SECURE IoT TERMINAL REMOTE ACCESS AND IP ADDRESS ALLOTING METHOD |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020180139412A KR20180124817A (en) | 2018-11-13 | 2018-11-13 | SYSTEM FOR SECURE IoT TERMINAL REMOTE ACCESS AND IP ADDRESS ALLOTING METHOD |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020150103950A Division KR102010488B1 (en) | 2015-07-22 | 2015-07-22 | SYSTEM AND METHOD FOR SECURE IoT TERMINAL REMOTE ACCESS AND IP ADDRESS ALLOTING METHOD |
Publications (1)
Publication Number | Publication Date |
---|---|
KR20180124817A true KR20180124817A (en) | 2018-11-21 |
Family
ID=64602679
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020180139412A KR20180124817A (en) | 2018-11-13 | 2018-11-13 | SYSTEM FOR SECURE IoT TERMINAL REMOTE ACCESS AND IP ADDRESS ALLOTING METHOD |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR20180124817A (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20210155244A (en) * | 2020-06-15 | 2021-12-22 | 주식회사 시옷 | A method of secure monitoring for multi network devices |
-
2018
- 2018-11-13 KR KR1020180139412A patent/KR20180124817A/en not_active Application Discontinuation
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20210155244A (en) * | 2020-06-15 | 2021-12-22 | 주식회사 시옷 | A method of secure monitoring for multi network devices |
WO2021256577A1 (en) * | 2020-06-15 | 2021-12-23 | 주식회사시옷 | Method for diagnosing security of multi-network device |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR102010488B1 (en) | SYSTEM AND METHOD FOR SECURE IoT TERMINAL REMOTE ACCESS AND IP ADDRESS ALLOTING METHOD | |
KR101910605B1 (en) | System and method for controlling network access of wireless terminal | |
US9596097B2 (en) | Apparatus and method for transferring network access information of smart household appliances | |
KR101769472B1 (en) | Network system and control method for the same | |
US20190239068A1 (en) | Registration of an Internet of Things (IoT) Device Using a Physically Uncloneable Function | |
US9894630B2 (en) | ADSS enabled global roaming system | |
US9215234B2 (en) | Security actions based on client identity databases | |
WO2019040662A1 (en) | Uncloneable registration of an internet of things (iot) device in a network | |
CA2388628A1 (en) | Systems and methods for providing dynamic network authorization, authentication and accounting | |
JP6079394B2 (en) | Certificate generation method, certificate generation apparatus, information processing apparatus, communication device, and program | |
WO2017219748A1 (en) | Method and device for access permission determination and page access | |
CN104052829A (en) | Adaptive name resolution | |
CN110366173A (en) | A kind of method that realizing terminal equipment access network and gateway | |
JP6056970B2 (en) | Information processing apparatus, terminal, information processing system, and information processing method | |
KR20180124817A (en) | SYSTEM FOR SECURE IoT TERMINAL REMOTE ACCESS AND IP ADDRESS ALLOTING METHOD | |
US20090213752A1 (en) | Detecting Double Attachment Between a Wired Network and At Least One Wireless Network | |
WO2011023228A1 (en) | Identity management system | |
KR100478535B1 (en) | System and method for preventing non-certified users from connecting to the internet and network, by using DHCP | |
KR20090014625A (en) | Authentication system and method in network having private network | |
JP2004078280A (en) | Remote access mediation system and method | |
EP3869729B1 (en) | Wireless network security system and method | |
KR20220121320A (en) | System for authenticating user and device totally and method thereof | |
KR101160903B1 (en) | Blacklist extracting system and method thereof | |
KR20170141207A (en) | How to Protect Connected Devices on the Network | |
CN114710302A (en) | Internet access control method and control device thereof |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A107 | Divisional application of patent | ||
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E601 | Decision to refuse application |