KR20180138349A - 동적 세션키 생성을 위한 사물인터넷 단말 장치 및 동적 세션키 생성 방법 - Google Patents

동적 세션키 생성을 위한 사물인터넷 단말 장치 및 동적 세션키 생성 방법 Download PDF

Info

Publication number
KR20180138349A
KR20180138349A KR1020170078466A KR20170078466A KR20180138349A KR 20180138349 A KR20180138349 A KR 20180138349A KR 1020170078466 A KR1020170078466 A KR 1020170078466A KR 20170078466 A KR20170078466 A KR 20170078466A KR 20180138349 A KR20180138349 A KR 20180138349A
Authority
KR
South Korea
Prior art keywords
session key
dynamic session
message
authentication
mutual authentication
Prior art date
Application number
KR1020170078466A
Other languages
English (en)
Inventor
한진희
김대원
김영세
문용혁
윤승용
임재덕
김정녀
전용성
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020170078466A priority Critical patent/KR20180138349A/ko
Publication of KR20180138349A publication Critical patent/KR20180138349A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3273Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/002Countermeasures against attacks on cryptographic mechanisms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)

Abstract

동적 세션키 생성을 위한 사물인터넷 단말 장치 및 동적 세션키 생성 방법이 개시된다. 본 발명의 일실시예에 따른 동적 세션키 생성 방법은 동적 세션키 생성을 위한 사물인터넷 단말 장치를 이용하는 동적 세션키 생성 방법에 있어서, 제1 사물인터넷 단말 장치와 제2 사물인터넷 단말 장치가, 인증 파라미터를 생성하기 위하여 상호 인증을 수행하는 단계; 상기 제1 사물인터넷 단말 장치 및 제2 사물인터넷 단말 장치가, 사전에 공유한 사전 공유 비밀키와 상기 인증 파라미터를 이용하여 동적 세션키를 생성하는 단계 및 상기 제1 사물인터넷 단말 장치 및 제2 사물인터넷 단말 장치가, 상기 동적 세션키를 이용하여 중요 정보를 암호화한 메시지를 송수신하는 단계를 포함한다.

Description

동적 세션키 생성을 위한 사물인터넷 단말 장치 및 동적 세션키 생성 방법 {IoT TERMINAL APPARATUS FOR GENERATING DYNAMIC SESSION KEY AND METHOD FOR USING THE SAME}
본 발명은 사물인터넷 기술에 관한 것으로, 보다 상세하게는 사물인터넷 환경에서의 사물인터넷 단말 장치 간 상호 인증 및 세션키 생성 기술에 관한 것이다.
사물인터넷 환경에서는 지능화된 사물들이 다양한 네트워크를 통해 연결되어 사람과 사물, 사물과 사물간에 상호 소통하며 지능적인 서비스를 제공할 수 있다. 또한, 사물인터넷은 최근 모바일, 클라우드, 빅데이터 기술 등과 융합하여 초연결 사회를 이룰 수 있는 유망기술로 각광받고 있다. 하지만, 사물인터넷 서비스가 점차 확대되어 감에 따라 다양한 디바이스 간 통신, 이기종 네트워크 간 연동 시 디바이스 간 악성코드 전이 및 공격 위협 증가, 크로스 네트워크 디바이스로의 피해 확산 등 다양한 보안 위협 발생 가능성을 고려해야 한다.
사물인터넷 디바이스 간 상호 인증 기술은 다양한 형태의 하드웨어 사양과 보안 수준을 갖는 사물인터넷 디바이스들이 인터넷을 통해 연결되어 운영되는 사물인터넷 환경 특성을 고려해야 한다. 하지만 사물인터넷 특성을 반영한 상호 인증 기술은 현재 개발 초기단계로, 경량 인증 프로토콜, 경량 인증 프로토콜 기반 경량 디바이스 간 상호 인증 기술 및 안전한 M2M 통신을 위한 상호 인증 및 키 교환 프로토콜 개발 등의 연구가 진행되고 있으나 대부분 논문 수준으로 구현되어 있고 실제 서비스 환경에 적용하기에는 아직 미비한 상태이다.
최근 제안되고 있는 사물인터넷 디바이스 간 경량 상호 인증 프로토콜을 살펴보면, 두 디바이스 간 사전에 공유된 비밀키를 기반으로 난수 및 인증 파라미터를 상호 교환한 뒤 두 디바이스에 정의된 인증 알고리즘 절차에 따라 상호 인증을 수행하고, 상호 인증이 완료되면 세션키를 생성하여 세션이 종료될 때까지 세션을 통해 송수신되는 데이터를 암호화하여 보호할 수 있도록 설계되어 있다.
사전 공유 비밀키 기반 상호 인증 방식에서는 두 디바이스 간 사전 공유 비밀키는 디바이스 등록 시점에 관리 서버 혹은 게이트웨이를 통해 안전하게 각 디바이스로 분배하여 사용함을 가정한다. 하지만, 디바이스 초기에 분배되는 사전 공유 비밀키를 일정 기간이 지난 후 다른 값으로 변경하고자 할 경우, 관리 서버나 게이트웨이가 별도의 키 관리 서버 또는 별도의 키 관리 프로토콜을 사용하여 새로운 비밀키 값을 디바이스에 분배하는 과정이 추가적으로 필요하게 된다.
또한, 상호 인증 후 두 디바이스 간 사용되는 세션의 생명 주기 값이 높게 설정되어 있고 세션이 종료될 때까지 하나의 세션키를 이용하여 두 디바이스 간 데이터 암호화를 빈번하게 수행하게 될 경우 외부 공격으로 인해 세션키가 유출될 수 있는 위험성이 높아지게 된다.
따라서, 보다 편리하고 안전한 사물인터넷 디바이스 간 상호 인증을 위해 관리서버나 게이트웨이가 별도의 키 관리 서버나 키 관리 프로토콜을 사용하지 않고 디바이스의 사전 공유 비밀키를 안전하게 분배할 수 있는 편리하고 효율적인 방법 및 두 디바이스 간 사용되는 세션키의 외부 유출 위험성을 최소화할 수 있는 안전한 세션키 운용 방법이 필요하다.
한편, 한국등록특허 제 10-1452124 호“사물간 통신 네트워크에서 암호화 기반 기기 인증 및 세션키 생성 방법”는 상호 인증에 이용되었던 난수 값을 이용하여 세션키를 생성하여 공유하므로 세션키 공유를 위한 새로운 파라미터의 교환이나 추가적인 방법이 요구되지 않아 상호 인증 및 세션키 공유 절차를 간소화한 세션키 생성 방법에 관하여 개시하고 있다.
본 발명은 별도의 키 관리 서버 또는 별도의 키 관리 프로토콜 없이, 디바이스 간 편리하고 안전하게 보안 정책 또는 사전 공유 비밀키를 업데이트하는 것을 목적으로 한다.
또한, 본 발명은 업데이트 된 보안 정책 또는 사전 공유 비밀키를 기반으로 디바이스 간 상호 인증을 수행하는 것을 목적으로 한다.
또한, 본 발명은 외부 공격으로부터 세션키의 외부 노출 위험성을 최소화하는 것을 목적으로 한다.
상기한 목적을 달성하기 위한 본 발명의 일실시예에 따른 동적 세션키 생성장치는 인증 파라미터를 생성하기 위하여 사물인터넷 단말 장치들 간에 상호 인증을 수행하는 상호 인증 처리부; 상기 사물인터넷 단말 장치들 간에 사전 공유된 사전 공유 비밀키와 상기 인증 파라미터를 이용하여 동적 세션키를 생성하는 동적 세션키 관리부 및 상기 동적 세션키를 이용하여 중요 정보를 암호화한 메시지를 송수신하는 암호화 데이터 처리부를 포함한다.
이 때, 상기 상호 인증 처리부는 상기 사물인터넷 단말 장치들이 생성한 난수들을 이용하여 상기 인증 파라미터를 생성할 수 있다.
이 때, 상기 상호 인증 처리부는 상기 사전 공유 비밀키를 이용하여 상기 인증 파라미터를 암호화한 상호 인증 메시지를 이용하여 상호 인증을 수행할 수 있다.
이 때, 상기 상호 인증 처리부는 상기 상호 인증 메시지를 상기 사전 공유 비밀키를 이용하여 복호화한 후 상기 인증 파라미터를 검증할 수 있다.
이 때, 상기 동적 세션키 관리부는 상기 인증 파라미터와 상기 사전 공유 비밀키를 입력 파라미터로 하여 블록 암호 알고리즘의 CTR(카운터, Counter) 모드를 수행하기 위해 필요한 파라미터를 생성할 수 있다.
이 때, 상기 블록 암호 알고리즘은 상기 CTR 모드를 제공하는 AES, ARIA 및 LEA 중 어느 하나에 상응할 수 있다.
이 때, 상기 동적 세션키 관리부는 상기 입력 파라미터를 구성하는 상기 난수들을 조합하여 상기 블록 암호 알고리즘의 CTR 모드 입력 인자인 카운터 블록을 구성할 수 있다.
이 때, 상기 동적 세션키 관리부는 상기 카운터 블록과 상기 사전 공유 비밀키를 이용하여 상기 블록 암호 알고리즘의 ECB(Electronic Code Book) 모드를 수행하여 상기 동적 세션키를 생성할 수 있다.
이 때, 상기 암호화 데이터 처리부는 수신한 암호화한 메시지를 상기 동적 세션키를 이용하여 복호화하여 복호화된 메시지의 종류를 판단할 수 있다.
이 때, 상기 암호화 데이터 처리부는 상기 복호화된 메시지의 종류가 업데이트 메시지인 경우, 상기 업데이트 메시지를 분석한 결과를 이용하여 업데이트가 필요한 정보에 대한 업데이트를 수행할 수 있다.
또한, 상기한 목적을 달성하기 위한 본 발명의 일실시예에 따른 동적 세션키 생성 방법은 동적 세션키 생성을 위한 사물인터넷 단말 장치를 이용하는 동적 세션키 생성 방법에 있어서, 제1 사물인터넷 단말 장치와 제2 사물인터넷 단말 장치가, 인증 파라미터를 생성하기 위하여 상호 인증을 수행하는 단계; 상기 제1 사물인터넷 단말 장치 및 제2 사물인터넷 단말 장치가, 사전에 공유한 사전 공유 비밀키와 상기 인증 파라미터를 이용하여 동적 세션키를 생성하는 단계 및 상기 제1 사물인터넷 단말 장치 및 제2 사물인터넷 단말 장치가, 상기 동적 세션키를 이용하여 중요 정보를 암호화한 메시지를 송수신하는 단계를 포함한다.
이 때, 상기 상호 인증을 수행하는 단계는 상기 제1 사물인터넷 단말 장치와 상기 제2 사물인터넷 단말 장치가 생성한 난수들을 이용하여 상기 인증 파라미터를 생성할 수 있다.
이 때, 상기 상호 인증을 수행하는 단계는 상기 사전 공유 비밀키를 이용하여 상기 인증 파라미터를 암호화한 상호 인증 메시지를 이용하여 상호 인증을 수행할 수 있다.
이 때, 상기 상호 인증을 수행하는 단계는 상기 상호 인증 메시지를 상기 사전 공유 비밀키를 이용하여 복호화한 후 상기 인증 파라미터를 검증할 수 있다.
이 때, 상기 동적 세션키를 생성하는 단계는 상기 인증 파라미터와 상기 사전 공유 비밀키를 입력 파라미터로 하여 블록 암호 알고리즘의 CTR(카운터, Counter) 모드를 수행하기 위해 필요한 파라미터를 생성할 수 있다.
이 때, 상기 블록 암호 알고리즘은 상기 CTR 모드를 제공하는 AES, ARIA 및 LEA 중 어느 하나에 상응할 수 있다.
이 때, 상기 동적 세션키를 생성하는 단계는 상기 입력 파라미터를 구성하는 상기 난수들을 조합하여 상기 블록 암호 알고리즘의 CTR 모드 입력 인자인 카운터 블록을 구성할 수 있다.
이 때, 상기 동적 세션키를 생성하는 단계는 상기 카운터 블록과 상기 사전 공유 비밀키를 이용하여 상기 블록 암호 알고리즘의 ECB(Electronic Code Book) 모드를 수행하여 상기 동적 세션키를 생성할 수 있다.
이 때, 상기 암호화한 메시지를 송수신하는 단계는 수신한 암호화한 메시지를 상기 동적 세션키를 이용하여 복호화하여 복호화된 메시지의 종류를 판단할 수 있다.
이 때, 상기 암호화한 메시지를 송수신하는 단계는 상기 복호화된 메시지의 종류가 업데이트 메시지인 경우, 상기 업데이트 메시지를 분석한 결과를 이용하여 업데이트가 필요한 정보에 대한 업데이트를 수행할 수 있다.
본 발명은 별도의 키 관리 서버 또는 별도의 키 관리 프로토콜 없이, 디바이스 간 편리하고 안전하게 보안 정책 또는 사전 공유 비밀키를 업데이트할 수 있다.
또한, 본 발명은 업데이트 된 보안 정책 또는 사전 공유 비밀키를 기반으로 디바이스 간 상호 인증을 수행할 수 있다.
또한, 본 발명은 외부 공격으로부터 세션키의 외부 노출 위험성을 최소화할 수 있다.
도 1은 본 발명의 일실시예에 따른 사물인터넷 환경에서의 디바이스 간 연결 구성을 나타낸 도면이다.
도 2는 본 발명의 일실시예에 따른 사물인터넷 단말 장치를 나타낸 블록도이다.
도 3은 도 2에 도시된 암호화 데이터 처리부의 일 예를 세부적으로 나타낸 블록도이다.
도 4는 본 발명의 일실시예에 따른 동적 세션키 생성 방법을 나타낸 동작흐름도이다.
도 5는 본 발명의 일실시예에 따른 동적 세션키 생성 방법을 보다 상세하게 나타낸 시퀀스 다이어그램이다.
도 6은 본 발명의 일실시예에 따른 컴퓨터 시스템을 나타낸 블록도이다.
본 발명을 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다. 여기서, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능, 및 구성에 대한 상세한 설명은 생략한다. 본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. 따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.
명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성 요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.
또한, 명세서에 기재된 "...부", "...기", "모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.
이하 설명되는 본 발명은 상호 인증이 완료된 후, 적어도 두 개의 사물인터넷 단말 장치(사물인터넷 디바이스) 간 상호 인증에 사용된 인증 파라미터와 사전 공유된 비밀키를 조합하여 동적 세션키를 생성할 수 있고, 생성된 동적 세션키를 이용하여 디바이스 간에 서로 공유하는 중요 정보(비밀키 또는 보안 정책 등)의 업데이트 및 데이터 암호화/복호화 기능을 제공하는 기술에 관한 것이다.
이하, 본 발명에 따른 바람직한 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.
도 1은 본 발명의 일실시예에 따른 사물인터넷 환경에서의 디바이스 간 연결 구성을 나타낸 도면이다.
도 1을 참조하면, 본 발명의 일실시예에 따른 사물인터넷 환경에서는 다양한 모바일 디바이스 및 센서들(10-1 내지 10-7)이 게이트웨이(30, 40)를 통해 인터넷(20)에 연결될 수 있다.
또한, 스마트폰(50) 및 IP 카메라(60)와 같은 사물인터넷 디바이스는 유선 또는 무선망을 통해 인터넷(20)에 직접 연결되어 클라우드 서버(70) 또는 서비스 사업자 서버와의 연동을 통해 다양한 형태의 서비스를 사용자에게 제공할 수 있다.
사용자에게 사물인터넷 환경 기반 서비스를 안전하게 제공하기 위하여, 클라우드 서버(70) 또는 서비스 제공 서버는 사물인터넷 디바이스와 인증을 수행할 수 있다.
클라우드 서버(70) 또는 서비스 제공 서버와 사물인터넷 디바이스 간 인증이 성공적으로 완료된 후에는 안전한 세션을 생성할 수 있고, 세션키를 이용하여 송수신하는 데이터를 암호화함으로써 데이터에 기밀성을 부여할 수 있다.
이러한 사물인터넷 디바이스 간 상호 인증 과정에서 두 사물인터넷 디바이스 간에 사용되는 사전 공유 비밀키를 안전하게 배포하기 위하여, 관리 서버나 게이트웨이는 키 관리 서버 또는 키 관리 프로토콜을 별도로 운영할 수도 있다.
도 2는 본 발명의 일실시예에 따른 사물인터넷 단말 장치를 나타낸 블록도이다. 도 3은 도 2에 도시된 암호화 데이터 처리부의 일 예를 세부적으로 나타낸 블록도이다.
도 2를 참조하면, 본 발명의 일실시예에 따른 사물인터넷 단말 장치(100)는 상호 인증 처리부(110), 안전 저장부(120), 동적 세션키 관리부(130) 및 암호화 데이터 처리부(140)를 포함한다.
상호 인증 처리부(110)는 상호 인증을 하고자 하는 상대 사물인터넷 단말 장치와 상호 인증을 수행할 수 있다.
이 때, 상호 인증 처리부(110)는 인증 파라미터와 상기 안전 저장부(120)에 저장된 사전 공유 비밀키를 이용하여 상호 인증을 수행할 수 있다.
이 때, 상호 인증 처리부(110)는 인증 파라미터를 생성할 수 있다.
인증 파라미터는 인증 알고리즘에 따라 다양한 형태의 데이터에 상응할 수 있다.
예를 들어, 상호 인증 처리부(110)는 자신이 생성한 제1 난수와 상대 사물인터넷 단말 장치로부터 수신한 제2 난수를 인증 파라미터로 생성할 수 있다.
이 때, 상호 인증 처리부(110)는 일례로 사전 공유 비밀키를 이용하여 제1 난수를 암호화한 제1 상호 인증 메시지를 다른 사물인터넷 단말 장치에게 송신할 수 있다.
이 때, 다른 사물인터넷 단말 장치는 수신한 제1 상호 인증 메시지를 사전 공유 비밀키를 이용하여 복호화하여 사물인터넷 단말 장치(100)의 인증을 수행할 수 있다.
이 때, 다른 사물인터넷 단말 장치는 일례로 사전 공유 비밀키를 이용하여 제2 난수를 암호화한 제2 상호 인증 메시지를 사물인터넷 단말 장치(100)에게 송신할 수 있다.
이 때, 상호 인증 처리부(110)는 수신한 제2 상호 인증 메시지를 사전 공유 비밀키를 이용하여 복호화하여 다른 사물인터넷 단말 장치의 인증을 수행할 수 있다.
이 때, 상호 인증된 사물인터넷 단말 장치(100)와 다른 사물인터넷 단말 장치는 서로 동일한 인증 파라미터인 제1 난수와 제2 난수를 획득할 수 있다.
이 때, 상호 인증 처리부(110)는 상호 인증을 성공적으로 수행한 이후에 상기 동적 세션키 관리부(130)에 상호 인증에 사용된 인증 파라미터를 전달하여 동적 세션키 생성을 요청할 수 있다.
안전 저장부(120)는 상호 인증을 수행하고자 하는 사물인터넷 단말 장치 간에 사전에 공유된 사전 공유 비밀키와 중요 정보에 상응하는 보안 정책을 저장할 수 있다.
이 때, 안전 저장부(120)는 사물인터넷 단말 장치에서 보안이 필요한 각종 데이터 및 중요 정보를 저장할 수 있다.
이 때, 안전 저장부(120)는 암호화 데이터 처리부(140)로부터 업데이트 데이터를 수신하여 저장하고 있는 데이터를 업데이트 할 수 있다.
동적 세션키 관리부(130)는 상기 상호 인증 처리부(110)로부터 전달 받은 인증 파라미터와 상기 안전 저장부(120)에 저장된 사전 공유 비밀키를 이용하여 동적 세션키를 생성할 수 있다.
예를 들어, 동적 세션키 관리부(130)는 제1 난수, 제2 난수 및 사전 공유 비밀키를 입력 파라미터로 하여 블록 암호 알고리즘의 CTR(Counter) 모드를 수행하기 위해 필요한 파라미터를 생성할 수 있다.
이 때, 블록 암호 알고리즘은 CTR 모드를 제공하는 AES, ARIA 및 LEA 등에 상응할 수 있다.
이 때, 동적 세션키 관리부(130)는 제1 난수와 제2 난수를 조합하여 블록 암호 알고리즘의 CTR 모드 입력 인자인 카운터 블록을 구성할 수 있다.
이 때, 동적 세션키 관리부(130)는 카운터 블록과 사전 공유 비밀키를 이용하여 블록 암호 알고리즘의 ECB(Electronic Code Book) 모드를 수행하여 동적 세션키를 생성할 수 있다.
또한, 동적 세션키 관리부(130)는 동적 세션키 생성 요청이 있을 때마다, 동적 세션키를 생성하여 전달하고, 동적 세션키의 요청 횟수를 저장할 수 있다.
따라서, 동적 세션키는 암호화 기능을 사용할 때마다 매번 세션키 값이 달라지게 되어 외부 공격으로 인한 세션키 노출 위험성을 최소화할 수 있다.
이 때, 동적 세션키 관리부(130)는 기타 동적 세션키 관리에 필요한 기능을 수행할 수도 있다.
암호화 데이터 처리부(140)는 동적 세션키를 이용하여 데이터를 암호화하여 다른 사물인터넷 단말 장치에게 암호화한 메시지를 송신할 수 있고, 다른 사물인터넷 단말 장치로부터 동적 세션키를 이용하여 암호화한 메시지를 수신할 수도 있다.
도 3을 참조하면, 암호화 데이터 처리부(140)는 암호화 데이터 송수신부(141), 데이터 업데이트부(142) 및 데이터 암호화부(143)를 포함할 수 있다.
암호화 데이터 송수신부(141)는 동적 세션키를 이용하여 암호화한 메시지를 다른 사물인터넷 단말 장치에게 송신할 수 있고, 다른 사물인터넷 단말 장치로부터 동적 세션키를 이용하여 암호화한 메시지를 수신 할 수도 있다.
이 때, 암호화 데이터 송수신부(141)는 수신한 암호화한 메시지를 동적 세션키를 이용하여 복호화할 수 있다.
이 때, 암호화 데이터 송수신부(141)는 복호화된 데이터가 업데이트에 관련된 데이터인지, 일반적인 데이터인지 판단할 수 있다.
이 때, 암호화 데이터 송수신부(141)는 복호화된 데이터가 업데이트 데이터인 경우, 데이터 업데이트부(142)에 전달할 수 있고, 일반적인 데이터인 경우, 데이터 암호화부(143)에 전달할 수 있다.
데이터 업데이트부(142)는 동적 세션키를 이용하여 업데이트가 필요한 중요 정보를 암호화할 수 있다.
또한, 데이터 업데이트부(142)는 암호화 데이터 송수신부(141)로부터 전달 받은 복호화된 업데이트 데이터를 분석하여 분석한 정보와 복호화된 업데이트 데이터를 안전 저장부(120)에 전달할 수 있다.
예를 들어, 중요 정보인 업데이트 데이터는 두 사물인터넷 단말 장치가 사전에 공유한 사전 공유 비밀키, 접근 제어 정보 및 보안 리스트를 포함하는 보안 정책 등에 상응할 수 있다.
이 때, 데이터 업데이트부(142)는 업데이트 데이터를 이용하여 중요 정보의 업데이트를 요청 하기 위한 중요 정보 업데이트 요청 메시지를 생성할 수 있다.
이 때, 데이터 업데이트부(142)는 중요 정보 업데이트 메시지의 헤더를 중요 정보 특성에 맞게 2바이트 메시지 헤더 값으로 정의할 수 있다.
예를 들어, 데이터 업데이트부(142)는 업데이트 데이터가 비밀키 인 경우, 2바이트 메시지 헤더 값을 0x11AA로 정의할 수 있고, 업데이트 데이터가 보안 정책인 경우, 2바이트 메시지 헤더 값을 0x11BB로 정의할 수 있다.
이 때, 데이터 업데이트부(142)는 생성한 중요 정보 업데이트 메시지를 암호화 데이터 송수신부(141)에 전달할 수 있다.
이 때, 암호화 데이터 송수신부(141)는 전달 받은 중요 정보 업데이트 메시지를 다른 사물인터넷 단말 장치에게 송신할 수 있다.
또한, 데이터 업데이트부(142)는 사전 공유 비밀키와 보안 정책 외에도 두 사물 인터넷 단말 장치 간에 공유가 필요한 다양한 데이터의 업데이트를 위해 중요 정보 업데이트 메시지를 생성할 수도 있다.
데이터 암호화부(143)는 동적 세션키를 이용하여 일반적인 데이터를 암호화할 수 있다.
또한, 데이터 암호화부(143)는 암호화 데이터 송수신부(141)로부터 전달 받은 복호화된 일반적인 데이터를 분석하여 분석한 정보와 복호화된 일반적인 데이터를 안전 저장부(120)에 전달할 수 있다.
장치 관리부(150)는 사물인터넷 단말 장치(100)의 종류에 따라 고유 기능을 수행하는 구성 요소들(유닛 및 모듈 등)을 추가로 포함할 수 있다.
예를 들어, 장치 관리부(150)는 사물인터넷 단말 장치(100)가 스마트폰(50)에 상응하는 경우, 스마트폰(50)의 기능을 수행하기 위한 구성 요소들을 포함할 수 있으며, 사물인터넷 단말 장치(100)가 IP 카메라(60)에 상응하는 경우, IP 카메라(60)의 기능을 수행하기 위한 구성 요소들을 추가로 포함할 수도 있다.
도 4는 본 발명의 일실시예에 따른 동적 세션키 생성 방법을 나타낸 동작흐름도이다.
도 4를 참조하면, 본 발명의 일실시예에 따른 동적 세션키 생성 방법은 상호 인증을 수행할 수 있다(S160).
즉, 단계(S160)는 제1 사물인터넷 단말 장치(100-1)와 제2 사물인터넷 단말 장치(100-2)가 인증 파라미터의 생성을 위하여 상호 인증을 수행할 수 있다.
이 때, 단계(S160)는 인증 파라미터와 사물인터넷 단말 장치들 간에 사전에 공유된 사전 공유 비밀키를 이용하여 상호 인증을 수행할 수 있다.
이 때, 단계(S160)는 인증 파라미터를 생성할 수 있다.
인증 파라미터는 인증 알고리즘에 따라 다양한 형태의 데이터에 상응할 수 있다.
예를 들어, 단계(S160)는 제1 사물인터넷 단말 장치(100-1)가 생성한 제1 난수와 제2 사물인터넷 단말 장치(100-2) 로부터 수신한 제2 난수를 인증 파라미터로 생성할 수 있다.
이 때, 단계(S160)는 일례로 제1 사물인터넷 단말 장치(100-1)가 사전 공유 비밀키를 이용하여 제1 난수를 암호화한 제1 상호 인증 메시지를 제2 사물인터넷 단말 장치(100-2)에게 송신할 수 있다.
이 때, 단계(S160)는 제2 사물인터넷 단말 장치(100-2)가 수신한 제1 상호 인증 메시지를 사전 공유 비밀키를 이용하여 복호화하여 제1 사물인터넷 단말 장치(100-1)의 인증을 수행할 수 있다.
이 때, 단계(S160)는 일례로 제2 사물인터넷 단말 장치(100-2)가 사전 공유 비밀키를 이용하여 제2 난수를 암호화한 제2 상호 인증 메시지를 제1 사물인터넷 단말 장치(100-1)에게 송신할 수 있다.
이 때, 단계(S160)는 제1 사물인터넷 단말 장치(100-1)가 수신한 제2 상호 인증 메시지를 사전 공유 비밀키를 이용하여 복호화하여 제2 사물인터넷 단말 장치(100-2)의 인증을 수행할 수 있다.
이 때, 단계(S160)는 상호 인증된 제1 사물인터넷 단말 장치(100-1)와 제2 사물인터넷 단말 장치(100-2)가 서로 동일한 인증 파라미터인 제1 난수와 제2 난수를 획득할 수 있다.
이 때, 단계(S160)는 상호 인증을 성공적으로 수행한 이후에 상호 인증에 사용된 인증 파라미터를 이용하여 동적 세션키의 생성을 요청할 수 있다.
또한, 본 발명의 일실시예에 따른 동적 세션키 생성 방법은 동적 세션키를 생성할 수 있다(S170).
즉, 단계(S170)는 인증 파라미터와 사전에 공유된 사전 공유 비밀키를 이용하여 동적 세션키를 생성할 수 있다.
예를 들어, 단계(S170)는 제1 난수, 제2 난수 및 사전 공유 비밀키를 입력 파라미터로 하여 블록 암호 알고리즘의 CTR(Counter) 모드를 수행하기 위해 필요한 파라미터를 생성할 수 있다.
이 때, 블록 암호 알고리즘은 CTR 모드를 제공하는 AES, ARIA 및 LEA 등에 상응할 수 있다.
이 때, 단계(S170)는 제1 난수와 제2 난수를 조합하여 블록 암호 알고리즘의 CTR 모드 입력 인자인 카운터 블록을 구성할 수 있다.
이 때, 단계(S170)는 카운터 블록과 사전 공유 비밀키를 이용하여 블록 암호 알고리즘의 ECB(Electronic Code Book) 모드를 수행하여 동적 세션키를 생성할 수 있다.
또한, 단계(S170)는 동적 세션키 생성 요청이 있을 때마다, 동적 세션키를 생성하여 전달하고, 동적 세션키의 요청 횟수를 저장할 수 있다.
따라서, 동적 세션키는 암호화 기능을 사용할 때마다 매번 세션키 값이 달라지게 되어 외부 공격으로 인한 세션키 노출 위험성을 최소화할 수 있다.
이 때, 단계(S170)는 기타 동적 세션키 관리에 필요한 기능을 수행할 수도 있다.
또한, 본 발명의 일실시예에 따른 동적 세션키 생성 방법은 암호화 메시지를 전송할 수 있다(S180).
즉, 단계(S180)는 제1 사물인터넷 단말 장치(100-1)가 동적 세션키를 이용하여 데이터를 암호화한 메시지를 제2 사물인터넷 단말 장치(100-2)에게 송신할 수 있고, 제2 사물인터넷 단말 장치(100-2)로부터 동적 세션키를 이용하여 암호화한 메시지를 제1 사물인터넷 단말 장치(100-1)가 수신할 수도 있다.
이 때, 단계(S180)는 동적 세션키를 이용하여 데이터를 암호화한 메시지를 생성할 수 있다.
이 때, 단계(S180)는 업데이트 데이터를 이용하여 중요 정보의 업데이트를 요청 하기 위한 중요 정보 업데이트 요청 메시지를 생성할 수 있다.
예를 들어, 중요 정보인 업데이트 데이터는 제1 사물인터넷 단말 장치(100-1)와 제2 사물인터넷 단말 장치(100-2)가 사전에 공유한 사전 공유 비밀키, 접근 제어 정보 및 보안 리스트를 포함하는 보안 정책 등에 상응할 수 있다.
이 때, 단계(S180)는 중요 정보 업데이트 메시지의 헤더를 중요 정보 특성에 맞게 2바이트 메시지 헤더 값으로 정의할 수 있다.
예를 들어, 단계(S180)는 업데이트 데이터가 비밀키 인 경우, 2바이트 메시지 헤더 값을 0x11AA로 정의할 수 있고, 업데이트 데이터가 보안 정책인 경우, 2바이트 메시지 헤더 값을 0x11BB로 정의할 수 있다.
또한, 단계(S180)는 사전 공유 비밀키와 보안 정책 외에도 두 사물 인터넷 단말 장치 간에 공유가 필요한 다양한 데이터의 업데이트를 위해 중요 정보 업데이트 메시지를 생성할 수도 있다.
이 때, 단계(S180)는 동적 세션키를 이용하여 일반적인 데이터를 암호화한 메시지를 생성할 수도 있다.
또한, 단계(S180)는 수신한 암호화된 메시지를 동적 세션키를 이용하여 복호화할 수 있다.
이 때, 단계(S180)는 복호화된 데이터가 업데이트에 관련된 데이터인지, 일반적인 데이터인지 판단할 수 있다.
이 때, 단계(S180)는 복호화된 데이터가 업데이트 데이터인 경우, 복호화된 업데이트 데이터를 분석하여 분석한 정보와 복호화된 업데이트 데이터를 이용하여 업데이트가 필요한 중요 정보를 업데이트 할 수 있다.
이 때, 단계(S180)는 복호화된 데이터가 일반적인 데이터인 경우, 복호화된 일반적인 데이터를 분석하여 분석한 정보와 복호화된 일반적인 데이터를 저장할 수 있다.
도 5는 본 발명의 일실시예에 따른 동적 세션키 생성 방법을 보다 상세하게 나타낸 시퀀스 다이어그램이다.
도 5를 참조하면, 본 발명의 일실시예에 따른 동적 세션키 생성 방법은 먼저 제1 상호 인증 메시지를 생성할 수 있다(S210).
즉, 단계(S210)는 제1 사물 인터넷 단말 장치(100-1)가 일례로 사전 공유 비밀키를 이용하여 제1 난수를 암호화한 제1 상호 인증 메시지를 생성할 수 있다.
이 때, 단계(S210)는 제1 사물 인터넷 단말 장치(100-1)가 제1 난수를 생성할 수 있다.
이 때, 사전 공유 비밀키는 제1 사물인터넷 단말 장치(100-1)와 제2 사물인터넷 단말 장치(100-1) 사이에서 사전에 공유된 비밀키에 상응할 수 있다.
또한, 본 발명의 일실시예에 따른 동적 세션키 생성 방법은 제1 상호 인증 메시지를 전송할 수 있다(S220).
즉, 단계(S220)는 제1 사물인터넷 단말 장치(100-1)가 제1 상호 인증 메시지를 제2 사물인터넷 단말 장치(100-2)에게 전송할 수 있다.
이 때, 단계(S220)는 제2 사물인터넷 단말 장치(100-2)가 수신한 제1 상호 인증 메시지를 사전 공유 비밀키를 이용하여 복호화할 수 있다.
이 때, 단계(S220)는 제2 사물 인터넷 단말 장치(100-2)가 제1 상호 인증 메시지를 복호화하여 제1 사물 인터넷 단말 장치(100-1)의 인증을 수행할 수 있고, 제1 사물 인터넷 단말 장치(100-1)가 생성한 제1 난수를 획득할 수 있다.
또한, 본 발명의 일실시예에 따른 동적 세션키 생성 방법은 제2 상호 인증 메시지를 생성할 수 있다(S230).
즉, 단계(S230)는 제2 사물 인터넷 단말 장치(100-2)가 일례로 사전 공유 비밀키를 이용하여 제2 난수를 암호화한 제2 상호 인증 메시지를 생성할 수 있다.
이 때, 단계(S230)는 제2 사물 인터넷 단말 장치(100-2)가 제2 난수를 생성할 수 있다.
또한, 본 발명의 일실시예에 따른 동적 세션키 생성 방법은 제2 상호 인증 메시지를 전송할 수 있다(S240).
즉, 단계(S240)는 제2 사물인터넷 단말 장치(100-2)가 제2 상호 인증 메시지를 제1 사물인터넷 단말 장치(100-1)에게 전송할 수 있다.
이 때, 단계(S240)는 제1 사물인터넷 단말 장치(100-1)가 수신한 제2 상호 인증 메시지를 사전 공유 비밀키를 이용하여 복호화할 수 있다.
이 때, 단계(S240)는 제1 사물 인터넷 단말 장치(100-1)가 제2 상호 인증 메시지를 복호화하여 제2 사물 인터넷 단말 장치(100-2)의 인증을 수행할 수 있고, 제2 사물 인터넷 단말 장치(100-1)가 생성한 제2 난수를 획득할 수 있다.
또한, 본 발명의 일실시예에 따른 동적 세션키 생성 방법은 동적 세션키를 생성할 수 있다(S250, S260).
즉, 단계(S250, S260)는 제1 사물인터넷 단말 장치(100-1)와 제2 사물인터넷 단말 장치(100-2)가 인증 파라미터와 사전 공유 비밀키를 이용하여 동적 세션키를 생성할 수 있다.
이 때, 단계(S250, S260)는 제1 사물인터넷 단말 장치(100-1)와 제2 사물인터넷 단말 장치(100-2)가 서로 획득한 제1 난수, 제2 난수를 이용하여 동일한 인증 파라미터를 생성할 수 있다.
인증 파라미터는 인증 알고리즘에 따라 다양한 형태의 데이터에 상응할 수 있다.
예를 들어, 단계(S250, S260)는 제1 난수, 제2 난수 및 사전 공유 비밀키를 입력 파라미터로 하여 블록 암호 알고리즘의 CTR(Counter) 모드를 수행하기 위해 필요한 파라미터를 생성할 수 있다.
이 때, 블록 암호 알고리즘은 CTR 모드를 제공하는 AES, ARIA 및 LEA 등에 상응할 수 있다.
이 때, 단계(S250, S260)는 제1 난수와 제2 난수를 조합하여 블록 암호 알고리즘의 CTR 모드 입력 인자인 카운터 블록을 구성할 수 있다.
이 때, 단계(S250, S260)는 카운터 블록과 사전 공유 비밀키를 이용하여 블록 암호 알고리즘의 ECB(Electronic Code Book) 모드를 수행하여 동적 세션키를 생성할 수 있다.
또한, 단계(S250, S260)는 동적 세션키 생성 요청이 있을 때 마다, 동적 세션키를 생성하여 전달하고, 동적 세션키의 요청 횟수를 저장할 수 있다.
따라서, 동적 세션키는 암호화 기능을 사용할 때마다 매번 세션키 값이 달라지게 되어 외부 공격으로 인한 세션키 노출 위험성을 최소화할 수 있다.
이 때, 단계(S250, S260)는 기타 동적 세션키 관리에 필요한 기능을 수행할 수도 있다.
또한, 본 발명의 일실시예에 따른 동적 세션키 생성 방법은 제1 암호화 메시지를 전송할 수 있다(S270).
즉, 단계(S270)는 제1 사물인터넷 단말 장치(100-1)가 동적 세션키를 이용하여 데이터를 암호화한 제1 암호화 메시지를 제2 사물인터넷 단말 장치(100-2)에게 전송할 수 있다.
이 때, 단계(S270)는 제1 사물인터넷 단말 장치(100-1)가 업데이트 데이터를 이용하여 제1 암호화 메시지를 생성할 수 있다.
이 때, 단계(S270)는 업데이트 데이터를 이용하여 중요 정보의 업데이트를 요청하기 위한 중요 정보 업데이트 요청 메시지를 제1 암호화 메시지로 생성할 수 있다.
예를 들어, 중요 정보인 업데이트 데이터는 제1 사물인터넷 단말 장치(100-1)와 제2 사물인터넷 단말 장치(100-2)가 사전에 공유한 사전 공유 비밀키, 접근 제어 정보 및 보안 리스트를 포함하는 보안 정책 등에 상응할 수 있다.
이 때, 단계(S270)는 중요 정보 업데이트 메시지의 헤더를 중요 정보 특성에 맞게 2바이트 메시지 헤더 값으로 정의할 수 있다.
예를 들어, 단계(S270)는 업데이트 데이터가 비밀키 인 경우, 2바이트 메시지 헤더 값을 0x11AA로 정의할 수 있고, 업데이트 데이터가 보안 정책인 경우, 2바이트 메시지 헤더 값을 0x11BB로 정의할 수 있다.
또한, 단계(S270)는 사전 공유 비밀키와 보안 정책 외에도 두 사물 인터넷 단말 장치 간에 공유가 필요한 다양한 데이터의 업데이트를 위해 중요 정보 업데이트 메시지를 생성할 수도 있다.
이 때, 단계(S270)는 동적 세션키를 이용하여 일반적인 데이터를 암호화한 메시지를 생성할 수도 있다.
또한, 본 발명의 일실시예에 따른 동적 세션키 생성 방법은 제1 암호화 메시지를 복호화할 수 있다(S280).
즉, 단계(S280)는 제2 사물인터넷 단말 장치(100-2)가 수신한 제1 암호화 메시지를 동적 세션키를 이용하여 복호화할 수 있다.
이 때, 단계(S280)는 복호화된 데이터가 업데이트에 관련된 데이터인지, 일반적인 데이터인지 판단할 수 있다.
이 때, 단계(S280)는 복호화된 데이터가 업데이트 데이터인 경우, 복호화된 업데이트 데이터를 분석하여 분석한 정보와 복호화된 업데이트 데이터를 이용하여 업데이트가 필요한 중요 정보를 업데이트 할 수 있다.
이 때, 단계(S280)는 복호화된 데이터가 일반적인 데이터인 경우, 복호화된 일반적인 데이터를 분석하여 분석한 정보와 복호화된 일반적인 데이터를 저장할 수 있다.
또한, 본 발명의 일실시예에 따른 동적 세션키 생성 방법은 제2 암호화 메시지를 전송할 수 있다(S290).
즉, 단계(S290)는 제2 사물인터넷 단말 장치(100-2)가 동적 세션키를 이용하여 데이터를 암호화한 제2 암호화 메시지를 제1 사물인터넷 단말 장치(100-1)에게 전송할 수 있다.
이 때, 단계(S290)는 제2 사물인터넷 단말 장치(100-2)가 업데이트 데이터를 이용하여 제2 암호화 메시지를 생성할 수 있다.
이 때, 단계(S290)는 업데이트 데이터를 이용하여 중요 정보의 업데이트를 요청 하기 위한 중요 정보 업데이트 요청 메시지를 제2 암호화 메시지로 생성할 수 있다.
예를 들어, 중요 정보인 업데이트 데이터는 제1 사물인터넷 단말 장치(100-1)와 제2 사물인터넷 단말 장치(100-2)가 사전에 공유한 사전 공유 비밀키, 접근 제어 정보 및 보안 리스트를 포함하는 보안 정책 등에 상응할 수 있다.
이 때, 단계(S290)는 중요 정보 업데이트 메시지의 헤더를 중요 정보 특성에 맞게 2바이트 메시지 헤더 값을 정의할 수 있다.
예를 들어, 단계(S290)는 업데이트 데이터가 비밀키 인 경우, 2바이트 메시지 헤더 값을 0x11AA로 정의할 수 있고, 업데이트 데이터가 보안 정책인 경우, 2바이트 메시지 헤더 값을 0x11BB로 정의할 수 있다.
또한, 단계(S290)는 사전 공유 비밀키와 보안 정책 외에도 두 사물 인터넷 단말 장치 간에 공유가 필요한 다양한 데이터의 업데이트를 위해 중요 정보 업데이트 메시지를 생성할 수도 있다.
이 때, 단계(S290)는 동적 세션키를 이용하여 일반적인 데이터를 암호화한 메시지를 생성할 수도 있다.
또한, 본 발명의 일실시예에 따른 동적 세션키 생성 방법은 제2 암호화 메시지를 복호화할 수 있다(S300).
즉, 단계(S300)는 제1 사물인터넷 단말 장치(100-1)가 수신한 제2 암호화 메시지를 동적 세션키를 이용하여 복호화할 수 있다.
이 때, 단계(S300)는 복호화된 데이터가 업데이트에 관련된 데이터인지, 일반적인 데이터인지 판단할 수 있다.
이 때, 단계(S300)는 복호화된 데이터가 업데이트 데이터인 경우, 복호화된 업데이트 데이터를 분석하여 분석한 정보와 복호화된 업데이트 데이터를 이용하여 업데이트가 필요한 중요 정보를 업데이트 할 수 있다.
이 때, 단계(S300)는 복호화된 데이터가 일반적인 데이터인 경우, 복호화된 일반적인 데이터를 분석하여 분석한 정보와 복호화된 일반적인 데이터를 저장할 수 있다.
도 6은 본 발명의 일실시예에 따른 컴퓨터 시스템을 나타낸 블록도이다.
도 6을 참조하면, 본 발명의 실시예는 컴퓨터로 읽을 수 있는 기록매체와 같은 컴퓨터 시스템(1100)에서 구현될 수 있다.
즉, 본 발명의 일실시예에 따른 사물인터넷 단말 장치(100)는 도 6에 도시된 컴퓨터 시스템(1100)을 포함할 수 있고, 사물인터넷 단말 장치(100)가 컴퓨터 시스템(1100)에 상응할 수도 있다. 도 6에 도시된 바와 같이, 컴퓨터 시스템(1100)은 버스(1120)를 통하여 서로 통신하는 하나 이상의 프로세서(1110), 메모리(1130), 사용자 인터페이스 입력 장치(1140), 사용자 인터페이스 출력 장치(1150) 및 스토리지(1160)를 포함할 수 있다. 또한, 컴퓨터 시스템(1100)은 네트워크(1180)에 연결되는 네트워크 인터페이스(1170)를 더 포함할 수 있다. 프로세서(1110)는 중앙 처리 장치 또는 메모리(1130)나 스토리지(1160)에 저장된 프로세싱 인스트럭션들을 실행하는 반도체 장치일 수 있다. 메모리(1130) 및 스토리지(1160)는 다양한 형태의 휘발성 또는 비휘발성 저장 매체일 수 있다. 예를 들어, 메모리는 ROM(1131)이나 RAM(1132)을 포함할 수 있다.
즉, 본 발명의 일실시예에 따른 동적 세션키 생성을 위한 사물인터넷 단말 장치 및 동적 세션키 생성 방법은 두 사물인터넷 단말 장치가 동일하게 생성한 인증 파라미터와 사전에 공유한 사전 공유 비밀키를 이용하여 동적 세션키를 생성하기 때문에 별도의 세션 키 입력 파라미터를 필요로 하지 않는다.
또한, 본 발명의 일실시예에 따른 동적 세션키 생성을 위한 사물인터넷 단말 장치 및 동적 세션키 생성 방법은 별도의 키 관리 서버나 키 관리 프로토콜 없이도 동적 세션키를 이용하여 중요 정보(비밀키 또는 보안 정책 등)를 암호화하여 배포한 후 안전하게 업데이트할 수 있는 장점을 제공할 수 있다.
이상에서와 같이 본 발명에 따른 동적 세션키 생성을 위한 사물인터넷 단말 장치 및 동적 세션키 생성 방법은 상기한 바와 같이 설명된 실시예들의 구성과 방법이 한정되게 적용될 수 있는 것이 아니라, 상기 실시예들은 다양한 변형이 이루어질 수 있도록 각 실시예들의 전부 또는 일부가 선택적으로 조합되어 구성될 수도 있다.
10-1 ~ 10-7: 모바일 디바이스 및 센서들
20: 인터넷 30, 40: 게이트웨이
50: 스마트폰 60: IP 카메라
70: 클라우드 서버 100: 사물인터넷 단말 장치
110: 상호 인증 처리부 120: 안전 저장부
130: 동적 세션키 관리부 140: 암호화 데이터 처리부
150: 장치 관리부
1100: 컴퓨터 시스템 1110: 프로세서
1120: 버스 1130: 메모리
1131: 롬 1132: 램
1140: 사용자 인터페이스 입력 장치
1150: 사용자 인터페이스 출력 장치
1160: 스토리지 1170: 네트워크 인터페이스
1180: 네트워크

Claims (20)

  1. 인증 파라미터를 생성하기 위하여 사물인터넷 단말 장치들 간 상호 인증을 수행하는 상호 인증 처리부;
    상기 사물인터넷 단말 장치들 간 사전에 공유된 사전 공유 비밀키와 상기 인증 파라미터를 이용하여 동적 세션키를 생성하는 동적 세션키 관리부; 및
    상기 동적 세션키를 이용하여 중요 정보를 암호화한 메시지를 송수신하는 암호화 데이터 처리부;
    를 포함하는 것을 특징으로 하는 사물인터넷 단말 장치.
  2. 청구항 1에 있어서,
    상기 상호 인증 처리부는
    상기 사물인터넷 단말 장치들이 생성한 난수들을 이용하여 상기 인증 파라미터를 생성하는 것을 특징으로 하는 사물인터넷 단말 장치.
  3. 청구항 2에 있어서,
    상기 상호 인증 처리부는
    상기 사전 공유 비밀키를 이용하여 상기 인증 파라미터들을 암호화한 상호 인증 메시지를 이용하여 상호 인증을 수행하는 것을 특징으로 하는 사물인터넷 단말 장치.
  4. 청구항 3에 있어서,
    상기 상호 인증 처리부는
    상기 상호 인증 메시지를 상기 사전 공유 비밀키를 이용하여 복호화한 후 상기 인증 파라미터를 검증하는 것을 특징으로 하는 사물인터넷 단말 장치.
  5. 청구항 1에 있어서,
    상기 동적 세션키 관리부는
    상기 인증 파라미터와 상기 사전 공유 비밀키를 입력 파라미터로 하여 블록 암호 알고리즘의 CTR(카운터, Counter) 모드를 수행하기 위해 필요한 파라미터를 생성하는 것을 특징으로 하는 사물인터넷 단말 장치.
  6. 청구항 5에 있어서,
    상기 블록 암호 알고리즘은
    상기 CTR 모드를 제공하는 AES, ARIA 및 LEA 중 어느 하나에 상응하는 것을 특징으로 하는 사물인터넷 단말 장치.
  7. 청구항 5에 있어서,
    상기 동적 세션키 관리부는
    상기 입력 파라미터를 구성하는 상기 난수들을 조합하여 상기 블록 암호 알고리즘의 CTR 모드 입력 인자인 카운터 블록을 구성하는 것을 특징으로 하는 사물인터넷 단말 장치.
  8. 청구항 5에 있어서,
    상기 동적 세션키 관리부는
    상기 카운터 블록과 상기 사전 공유 비밀키를 이용하여 상기 블록 암호 알고리즘의 ECB(Electronic Code Book) 모드를 수행하여 상기 동적 세션키를 생성하는 것을 특징으로 하는 사물인터넷 단말 장치.
  9. 청구항 1에 있어서,
    상기 암호화 데이터 처리부는
    수신한 암호화한 메시지를 상기 동적 세션키를 이용하여 복호화하여 복호화된 메시지의 종류를 판단하는 것을 특징으로 하는 사물인터넷 단말 장치.
  10. 청구항 9에 있어서,
    상기 암호화 데이터 처리부는
    상기 복호화된 메시지의 종류가 업데이트 메시지인 경우, 상기 업데이트 메시지를 분석한 결과를 이용하여 업데이트가 필요한 정보에 대한 업데이트를 수행하는 것을 특징으로 하는 사물인터넷 단말 장치.
  11. 동적 세션키 생성을 위한 사물인터넷 단말 장치를 이용하는 동적 세션키 생성 방법에 있어서,
    제1 사물인터넷 단말 장치와 제2 사물인터넷 단말 장치가, 인증 파라미터를 생성하기 위하여 상호 인증을 수행하는 단계;
    상기 제1 사물인터넷 단말 장치 및 제2 사물인터넷 단말 장치가, 사전에 공유한 사전 공유 비밀키와 상기 인증 파라미터를 이용하여 동적 세션키를 생성하는 단계; 및
    상기 제1 사물인터넷 단말 장치 및 제2 사물인터넷 단말 장치가, 상기 동적 세션키를 이용하여 중요 정보를 암호화한 메시지를 송수신하는 단계;
    를 포함하는 것을 특징으로 하는 동적 세션키 생성 방법.
  12. 청구항 11에 있어서,
    상기 상호 인증을 수행하는 단계는
    상기 제1 사물인터넷 단말 장치와 상기 제2 사물인터넷 단말 장치가 생성한 난수들을 이용하여 상기 인증 파라미터를 생성하는 것을 특징으로 하는 동적 세션키 생성 방법.
  13. 청구항 12에 있어서,
    상기 상호 인증을 수행하는 단계는
    상기 사전 공유 비밀키를 이용하여 상기 난수들을 암호화한 상호 인증 메시지를 이용하여 상호 인증을 수행하는 것을 특징으로 하는 동적 세션키 생성 방법.
  14. 청구항 12에 있어서,
    상기 상호 인증을 수행하는 단계는
    상기 상호 인증 메시지를 상기 사전 공유 비밀키를 이용하여 복호화한 후 상기 인증 파라미터를 검증하는 것을 특징으로 하는 동적 세션키 생성 방법.
  15. 청구항 11에 있어서,
    상기 동적 세션키를 생성하는 단계는
    상기 인증 파라미터와 상기 사전 공유 비밀키를 입력 파라미터로 하여 블록 암호 알고리즘의 CTR(카운터, Counter) 모드를 수행하기 위해 필요한 파라미터를 생성하는 것을 특징으로 하는 동적 세션키 생성 방법.
  16. 청구항 15에 있어서,
    상기 블록 암호 알고리즘은
    상기 CTR 모드를 제공하는 AES, ARIA 및 LEA 중 어느 하나에 상응하는 것을 특징으로 하는 동적 세션키 생성 방법.
  17. 청구항 15에 있어서,
    상기 동적 세션키를 생성하는 단계는
    상기 입력 파라미터를 구성하는 상기 난수들을 조합하여 상기 블록 암호 알고리즘의 CTR 모드 입력 인자인 카운터 블록을 구성하는 것을 특징으로 하는 동적 세션키 생성 방법.
  18. 청구항 15에 있어서,
    상기 동적 세션키를 생성하는 단계는
    상기 카운터 블록과 상기 사전 공유 비밀키를 이용하여 상기 블록 암호 알고리즘의 ECB(Electronic Code Book) 모드를 수행하여 상기 동적 세션키를 생성하는 것을 특징으로 하는 동적 세션키 생성 방법.
  19. 청구항 11에 있어서,
    상기 암호화한 메시지를 송수신하는 단계는
    수신한 암호화한 메시지를 상기 동적 세션키를 이용하여 복호화하여 복호화된 메시지의 종류를 판단하는 것을 특징으로 하는 동적 세션키 생성 방법.
  20. 청구항 19에 있어서,
    상기 암호화한 메시지를 송수신하는 단계는
    상기 복호화된 메시지의 종류가 업데이트 메시지인 경우, 상기 업데이트 메시지를 분석한 결과를 이용하여 업데이트가 필요한 정보에 대한 업데이트를 수행하는 것을 특징으로 하는 동적 세션키 생성 방법.
KR1020170078466A 2017-06-21 2017-06-21 동적 세션키 생성을 위한 사물인터넷 단말 장치 및 동적 세션키 생성 방법 KR20180138349A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170078466A KR20180138349A (ko) 2017-06-21 2017-06-21 동적 세션키 생성을 위한 사물인터넷 단말 장치 및 동적 세션키 생성 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170078466A KR20180138349A (ko) 2017-06-21 2017-06-21 동적 세션키 생성을 위한 사물인터넷 단말 장치 및 동적 세션키 생성 방법

Publications (1)

Publication Number Publication Date
KR20180138349A true KR20180138349A (ko) 2018-12-31

Family

ID=64959808

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170078466A KR20180138349A (ko) 2017-06-21 2017-06-21 동적 세션키 생성을 위한 사물인터넷 단말 장치 및 동적 세션키 생성 방법

Country Status (1)

Country Link
KR (1) KR20180138349A (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110113207A (zh) * 2019-05-08 2019-08-09 广州创想云科技有限公司 一种基于物联网的协议更新方法、装置、设备和存储介质
CN111541642A (zh) * 2020-03-17 2020-08-14 广州亚美智造科技有限公司 基于动态秘钥的蓝牙加密通信方法、装置和计算机设备
CN116708031A (zh) * 2023-08-04 2023-09-05 晟安信息技术有限公司 一种can总线数据通讯安全配置方法及系统

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110113207A (zh) * 2019-05-08 2019-08-09 广州创想云科技有限公司 一种基于物联网的协议更新方法、装置、设备和存储介质
CN111541642A (zh) * 2020-03-17 2020-08-14 广州亚美智造科技有限公司 基于动态秘钥的蓝牙加密通信方法、装置和计算机设备
CN111541642B (zh) * 2020-03-17 2022-06-14 广州亚美智造科技有限公司 基于动态秘钥的蓝牙加密通信方法和装置
CN116708031A (zh) * 2023-08-04 2023-09-05 晟安信息技术有限公司 一种can总线数据通讯安全配置方法及系统
CN116708031B (zh) * 2023-08-04 2023-11-03 晟安信息技术有限公司 一种can总线数据通讯安全配置方法及系统

Similar Documents

Publication Publication Date Title
JP7119040B2 (ja) データ伝送方法、装置およびシステム
US9935954B2 (en) System and method for securing machine-to-machine communications
US11271730B2 (en) Systems and methods for deployment, management and use of dynamic cipher key systems
US10567165B2 (en) Secure key transmission protocol without certificates or pre-shared symmetrical keys
US20200259647A1 (en) Quantum-augmentable hybrid encryption system and method
CN103763315B (zh) 一种应用于移动设备云存储的可信数据存取控制方法
EP3476078B1 (en) Systems and methods for authenticating communications using a single message exchange and symmetric key
US11736304B2 (en) Secure authentication of remote equipment
JP2012050066A (ja) セキュアなフィールドプログラマブルゲートアレイ(fpga)アーキテクチャ
US7266705B2 (en) Secure transmission of data within a distributed computer system
EP3570487B1 (en) Private key generation method, device and system
KR20180130203A (ko) 사물인터넷 디바이스 인증 장치 및 방법
Rizzardi et al. Analysis on functionalities and security features of Internet of Things related protocols
KR20180138349A (ko) 동적 세션키 생성을 위한 사물인터넷 단말 장치 및 동적 세션키 생성 방법
CN112839062A (zh) 夹杂鉴权信号的端口隐藏方法和装置、设备
CN113273235B (zh) 建立安全通信会话的方法和系统
Chitroub et al. Securing mobile iot deployment using embedded sim: Concerns and solutions
US20220345298A1 (en) Systems and methods for providing signatureless, confidential and authentication of data during handshake for classical and quantum computing environments
KR20190115489A (ko) 보안기술을 활용한 iot기기 보안인증 시스템
CN112751664A (zh) 一种物联网组网方法、装置和计算机可读存储介质
Díaz et al. Integrating an optimised PUF-based authentication scheme in OSCORE
Patalbansi Secure Authentication and Security System for Mobile Devices in Mobile Cloud Computing
EP4088438A1 (en) Provision of digital content via a communication network
CN117749474A (zh) 地址密文的存储方法和装置、存储介质及电子装置
CN118157943A (zh) 基于文件访问系统的访问方法、装置、设备和介质