KR20190001147A - 클라우드 서비스에서 IoT 디바이스들이 포함된 네트워크의 보안 향상 방법 및 이를 이용하는 장치 - Google Patents

클라우드 서비스에서 IoT 디바이스들이 포함된 네트워크의 보안 향상 방법 및 이를 이용하는 장치 Download PDF

Info

Publication number
KR20190001147A
KR20190001147A KR1020170080679A KR20170080679A KR20190001147A KR 20190001147 A KR20190001147 A KR 20190001147A KR 1020170080679 A KR1020170080679 A KR 1020170080679A KR 20170080679 A KR20170080679 A KR 20170080679A KR 20190001147 A KR20190001147 A KR 20190001147A
Authority
KR
South Korea
Prior art keywords
vlan
user device
network
password
iot devices
Prior art date
Application number
KR1020170080679A
Other languages
English (en)
Other versions
KR102022855B1 (ko
Inventor
민덕기
러스탐
Original Assignee
건국대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 건국대학교 산학협력단 filed Critical 건국대학교 산학협력단
Priority to KR1020170080679A priority Critical patent/KR102022855B1/ko
Publication of KR20190001147A publication Critical patent/KR20190001147A/ko
Application granted granted Critical
Publication of KR102022855B1 publication Critical patent/KR102022855B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/35Switches specially adapted for specific applications
    • H04L49/354Switches specially adapted for specific applications for supporting virtual local area networks [VLAN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 클라우드 서비스에서 IoT 디바이스를 포함하는 네트워크의 보안 향상 방법 및 이를 이용하는 장치에 관한 발명이며, 본 발명의 일 실시예에 따른 IoT 디바이스들이 포함된 네트워크의 보안 향상 방법은 복수의 VLAN 중 하나의 VLAN인 제1 VLAN에 사용자 디바이스를 연결시키는 단계, 복수의 VLAN 중 하나의 VLAN인 제2 VLAN에 사용자 디바이스를 연결시킬지에 대한 여부를 결정하는 단계, 사용자 디바이스를 제2 VLAN에 연결시키는 것으로 결정한 경우, 제1 VLAN과 사용자 디바이스와의 연결을 해제하는 단계 및 제2 VLAN에 사용자 디바이스를 연결시키는 단계를 포함하며, 보안이 향상된 네트워크 관리를 도모할 수 있는 효과가 있다.

Description

클라우드 서비스에서 IoT 디바이스들이 포함된 네트워크의 보안 향상 방법 및 이를 이용하는 장치{METHOD FOR IMPROVING SECURITY OF NETWORK WITH IOT DEVICES IN CLOUD SERVICES AND APPARATUS USING THE SAME}
본 발명은 클라우드 서비스에서 IoT 디바이스들이 포함된 네트워크의 보안 향상 방법 및 이를 이용하는 장치에 관한 것이다.
최근 클라우스 서비스를 이용한 각종 컨텐츠의 사용이 이루어지고 있다. 클라우스 서비스란 사진, 문서, 동영상 등 각종 컨텐츠를 개인 PC가 아닌 클라우스 서버에 저장한 뒤 인터넷으로 클라우스 서버에 접속하여 노트북, 스마트폰 등 다양한 기기로 이용할 수 있는 서비스를 의미한다. 사용자는 인터넷에 접속하기만 하면 저장한 소프트웨어 및 데이터를 클라우스 서비스를 통하여 이용할 수 있다.
나아가 클라우드와 연동가능한 하나의 네트워크 상에는 그 네트워크에 접속한 복수의 IoT(Internet of Things) 디바이스가 존재할 수 있다. 예를 들면, 홈 네트워크 상에는 전구, 온도관리시스템, 도어락, 금고 등의 다양한 IoT 디바이스가 접속할 수 있다. 디바이스의 사용자는 홈 네트워크에 접속하여 네트워크에서 상기 IoT 디바이스들을 관리하고 통제할 수 있다.
VLAN(Virtual Local Area Network)은 가상 근거리 통신망으로서 하나의 네트워크를 가상의 복수의 네트워크로 분할한 네트워크를 의미한다. VLAN 기술을 통해 네트워크 관리자는 새로운 케이블을 실행하거나 현재의 네트워크 인프라를 크게 변형하지 않고도 요구에 맞게 네트워크를 분할할 수 있다.
VLAN을 기반으로 구축된 네트워크 상에 접속한 디바이스는 네트워크 에서 접근할 수 있는 다른 디바이스를 관리하고 통제할 수 있는데, 이때, 네트워크 상에 접속한 여러 디바이스는 동일한 관리 및 통제 권한을 가질 수 있다.
[관련기술문헌]
가상랜을 이용하여 사내 단말의 보안을 관리하는 사내 보안 관리 장치, 사내 보안 관리 시스템 및 사내 보안 관리 방법 (특허공개번호 제 10-2017-0007075 호).
홈 네트워크에 손님으로서 접속한 게스트 디바이스에 홈 네트워크에서 관리 및 통제할 수 있는 디바이스들 중 도어락 또는 금고와 같이 높은 수준의 보안이 요구되는 IoT 디바이스에 대한 관리 및 통제 권한을 부여하는 것은 보안상 부적절할 수 있다. 도어락 또는 금고 등의 높은 보안 등급이 요구되는 IoT 디바이스의 경우, 게스트 디바이스가 아닌 가족의 주요 구성원만이 관리 및 통제할 수 있을 경우 보안성이 유지될 수 있다. 따라서, 네트워크 상에 접속한 여러 디바이스 모두 동일한 관리 및 통제 권한을 갖는다면 네트워크 보안상 문제를 야기할 수 있다.
본 발명의 발명자들은 VLAN에 접속할 수 있는 권한에 레벨을 두어 상위 레벨의 VLAN에 접속하기 위해 인증 절차를 도입함으로써, 보안이 향상된 네트워크 관리를 도모할 수 있다는 점을 인지하였다.
이에, 본 발명이 해결하고자 하는 과제는 상이한 레벨을 갖는 복수의 VLAN을 두어 디바이스가 다른 VLAN과 연결될 때 인증 절차를 수행하는, IoT 디바이스들이 포함된 네트워크의 보안 향상 방법 및 이를 이용하는 장치를 제공하는 것이다.
본 발명이 해결하고자 하는 다른 과제는 별도의 인증 수단을 이용하여 하나의 VLAN에서 다른 VLAN으로 연결되는 경우 상이한 범위의 IoT 디바이스에 대한 액세스 권한이 허용되는 IoT 디바이스들이 포함된 네트워크의 보안 향상 방법 및 이를 이용하는 장치를 제공하는 것이다.
본 발명의 과제들은 이상에서 언급한 과제들로 제한되지 않으며, 언급되지 않은 또 다른 과제들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
전술한 바와 같은 과제를 해결하기 위하여 본 발명의 일 실시예에 따른 IoT 디바이스들이 포함된 네트워크의 보안 향상 방법은 복수의 VLAN 중 하나의 VLAN인 제1 VLAN에 사용자 디바이스를 연결시키는 단계, 복수의 VLAN 중 하나의 VLAN인 제2 VLAN에 사용자 디바이스를 연결시킬지에 대한 여부를 결정하는 단계, 사용자 디바이스를 제2 VLAN에 연결시키는 것으로 결정한 경우, 제1 VLAN과 사용자 디바이스와의 연결을 해제하는 단계 및 제2 VLAN에 사용자 디바이스를 연결시키는 단계를 포함한다.
본 발명의 다른 특징에 따르면, 제1 VLAN에 사용자 디바이스를 연결시키는 단계 전에, 임시 VLAN에 사용자 디바이스를 연결시키는 단계를 더 포함하며, 임시 VLAN에 사용자 디바이스를 연결시키는 단계는, 사용자 디바이스를 네트워크에 최초로 연결시키는 경우에 수행할 수 있다.
본 발명의 또 다른 특징에 따르면, 임시 VLAN에 사용자 디바이스를 연결시키는 단계 후, 제1 VLAN에 사용자 디바이스를 연결시키는 단계 전에, 제1 VLAN의 식별자 및 제1 VLAN의 비밀번호를 사용자 디바이스에 전송하는 단계를 더 포함하며, 제1 VLAN에 사용자 디바이스를 연결시키는 단계는, 사용자 디바이스로부터 제1 VLAN과의 연결 요청을 수신하는 단계, 사용자 디바이스로부터 제1 VLAN의 입력 비밀번호를 수신하는 단계 및 제1 VLAN의 비밀번호와 제1 VLAN의 입력 비밀번호의 동일 여부를 결정하는 단계를 포함하며, 제1 VLAN에 사용자 디바이스를 연결시키는 단계는, 제1 VLAN의 비밀번호와 제1 VLAN의 입력 비밀번호가 동일한 경우에만 수행될 수 있다.
본 발명의 또 다른 특징에 따르면, 제2 VLAN에 사용자 디바이스를 연결시키는 것으로 결정한 경우, 결정하는 단계 후, 제1 VLAN과 사용자 디바이스와의 연결을 해제하는 단계 전에, 제2 VLAN의 식별자 및 제2 VLAN의 비밀번호를 사용자 디바이스에 전송하는 단계를 더 포함하며, 제2 VLAN에 사용자 디바이스를 연결시키는 단계는, 사용자 디바이스로부터 제2 VLAN과의 연결 요청을 수신하는 단계, 사용자 디바이스로부터 제2 VLAN의 입력 비밀번호를 수신하는 단계 및 제2 VLAN의 비밀번호와 제2 VLAN의 입력 비밀번호의 동일 여부를 결정하는 단계를 포함하며, 제2 VLAN에 사용자 디바이스를 연결시키는 단계는, 제2 VLAN의 비밀번호와 제2 VLAN의 입력 비밀번호가 동일한 경우에만 수행될 수 있다.
본 발명의 또 다른 특징에 따르면, 제2 VLAN에 사용자 디바이스를 연결시킬지에 대한 여부를 결정하는 단계는, 제1 인증 수단을 수신하는 단계, 사용자 디바이스로부터 제2 인증 수단을 수신하는 단계 및 제1 인증 수단 및 제2 인증 수단이 동일한지에 대한 여부를 결정하는 단계를 포함하며, 제1 인증 수단 및 제2 인증 수단이 동일한 경우에만, 제2 VLAN에 사용자 디바이스를 연결시킨다고 결정할 수 있다.
본 발명의 또 다른 특징에 따르면, 제2 VLAN에 사용자 디바이스를 연결시킬지에 대한 여부를 결정하는 단계는, 상기 사용자 디바이스의 상기 제2 VLAN에 대한 연결의 허용을 상기 연결을 허용할 수 있는 권한이 있는 디바이스로부터 수신하는 단계를 포함할 수 있다.
본 발명의 또 다른 특징에 따르면, 복수의 VLAN은 접근 가능한 디바이스의 범위에 대한 레벨을 각각 상이하게 가지며, 제1 VLAN은 제2 VLAN보다 하위 레벨이고, 제2 VLAN의 접근 가능한 디바이스의 범위는 제1 VLAN의 접근 가능한 디바이스의 범위을 포함할 수 있다.
본 발명의 또 다른 특징에 따르면, 복수의 VLAN 중 제1 VLAN과 사용자 디바이스를 연결시킨 경우, 제2 VLAN의 식별자를 사용자 디바이스로부터 검색 불가능하게 설정할 수 있다.
본 발명의 또 다른 특징에 따르면, IoT 디바이스들이 포함된 네트워크의 보안 향상 장치는 복수의 VLAN 중 하나의 VLAN인 제1 VLAN에 사용자 디바이스를 연결시키도록 구성된 연결부, 데이터 및 정보를 저장하도록 구성된 저장부 및 제2 VLAN에 사용자 디바이스를 연결시킬지에 대한 여부를 결정하도록 구성된 제어부를 포함하며, 연결부는, 제어부가 사용자 디바이스를 제2 VLAN에 연결시키는 것으로 결정한 경우, 제1 VLAN과 사용자 디바이스와의 연결을 해제하고, 복수의 VLAN 중 하나의 VLAN 인 제2 VLAN에 사용자 디바이스를 연결시키도록 더 구성될 수 있다.
본 발명의 또 다른 특징에 따르면, 연결부는, 제1 VLAN에 사용자 디바이스를 연결시키기 전에, 임시 VLAN에 사용자 디바이스를 연결시키도록 더 구성되며, 임시 VLAN에 사용자 디바이스를 연결시키는 것은, 사용자 디바이스를 네트워크에 최초로 연결시키는 경우에 수행할 수 있다.
본 발명의 또 다른 특징에 따르면, 제어부는, 연결부가 임시 VLAN에 사용자 디바이스를 연결시킨 후, 제1 VLAN에 사용자 디바이스를 연결시키기 전에, 제1 VLAN의 식별자 및 제1 VLAN의 비밀번호를 사용자 디바이스에 전송하며, 제1 VLAN에 사용자 디바이스를 연결시키는 것은, 사용자 디바이스로부터 제1 VLAN과의 연결 요청을 수신하고, 사용자 디바이스로부터 제1 VLAN의 입력 비밀번호를 수신하고, 제1 VLAN의 비밀번호와 제1 VLAN의 입력 비밀번호의 동일 여부를 결정하도록 더 구성되며, 연결부는, 제1 VLAN에 사용자 디바이스를 연결시키는 것은, 제1 VLAN의 비밀번호와 제1 VLAN의 입력 비밀번호가 동일한 경우에만 수행하도록 더 구성될 수 있다.
본 발명의 또 다른 특징에 따르면, 제어부는, 제2 VLAN에 사용자 디바이스를 연결시키는 것으로 결정한 경우, 결정한 후, 제1 VLAN과 사용자 디바이스와의 연결을 해제하기 전에, 제2 VLAN의 식별자 및 제2 VLAN의 비밀번호를 사용자 디바이스에 전송하며, 제2 VLAN에 사용자 디바이스를 연결시키는 것은, 사용자 디바이스로부터 제2 VLAN과의 연결 요청을 수신하고, 사용자 디바이스로부터 제2 VLAN의 입력 비밀번호를 수신하고, 제2 VLAN의 비밀번호와 제2 VLAN의 입력 비밀번호의 동일 여부를 결정하도록 더 구성되며, 연결부는, 제2 VLAN에 사용자 디바이스를 연결시키는 것은, 제2 VLAN의 비밀번호와 제2 VLAN의 입력 비밀번호가 동일한 경우에만 수행하도록 더 구성될 수 있다.
본 발명의 또 다른 특징에 따르면, 제어부는, 제2 VLAN에 사용자 디바이스를 연결시킬지에 대한 여부를 결정하는 것은, 제1 인증 수단을 수신하고, 사용자 디바이스로부터 제2 인증 수단을 수신하고, 제1 인증 수단 및 제2 인증 수단이 동일한지에 대한 여부를 결정하며, 제1 인증 수단 및 제2 인증 수단이 동일한 경우에만, 제2 VLAN에 사용자 디바이스를 연결시킨다고 결정하도록 더 구성될 수 있다.
본 발명의 또 다른 특징에 따르면, 제어부는, 제2 VLAN에 사용자 디바이스를 연결시킬지에 대한 여부를 결정하는 것은, 제2 VLAN에 사용자 디바이스에 대한 연결 요청에 응답하여 제2 VLAN에 사용자 디바이스에 대한 연결의 허용을 상기 연결을 허용할 수 있는 권한이 있는 디바이스로부터 수신하도록 더 구성될 수 있다.
본 발명의 또 다른 특징에 따르면, 복수의 VLAN은 접근 가능한 디바이스의 범위에 대한 레벨을 각각 상이하게 가지며, 제1 VLAN은 제2 VLAN보다 하위 레벨이고, 제2 VLAN의 접근 가능한 디바이스의 범위는 제2 VLAN의 접근 가능한 디바이스의 범위을 포함할 수 있다.
기타 실시예의 구체적인 사항들은 상세한 설명 및 도면들에 포함되어 있다.
본 발명은 상이한 레벨을 갖는 복수의 VLAN을 두어 다른 VLAN과 연결시킬 때 인증 절차를 수행함으로써, IoT 디바이스들이 포함된 네트워크에 대한 보안이 향상될 수 있다.
본 발명에 따른 효과는 이상에서 예시된 내용에 의해 제한되지 않으며, 더욱 다양한 효과들이 본 명세서 내에 포함되어 있다.
도 1은 본 발명의 일 실시예에 따른 IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 및 디바이스의 관계를 설명하기 위한 개략도이다.
도 2는 본 발명의 일 실시예에 따른 IoT 디바이스들이 포함된 네트워크의 보안 향상 장치의 개략적인 구성을 도시한 블록도이다.
도 3은 본 발명의 일 실시예에 따른 IoT 디바이스들이 포함된 네트워크의 보안 향상 방법을 설명하기 위한 순서도이다.
도 4a는 본 발명의 다른 실시예에 따른 IoT 디바이스들이 포함된 네트워크의 보안 향상 방법을 설명하기 위한 순서도이다.
도 4b는 본 발명의 다른 실시예에 따른 IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 및 디바이스의 관계를 설명하기 위한 개략도이다.
도 5a는 본 발명의 또 다른 실시예에 따른 IoT 디바이스들이 포함된 네트워크의 보안 향상 방법을 설명하기 위한 순서도이다.
도 5b는 본 발명의 또 다른 실시예에 따른 IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 및 디바이스의 관계를 설명하기 위한 개략도이다.
도 6a는 본 발명의 다양한 실시예에 따른 IoT 디바이스들이 포함된 네트워크의 보안 향상 방법을 설명하기 위한 순서도이다.
도 6b는 본 발명의 다양한 실시예에 따른 IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 및 디바이스의 관계를 설명하기 위한 개략도이다.
도 7a는 본 발명의 다양한 실시예에 따른 IoT 디바이스들이 포함된 네트워크의 보안 향상 방법을 설명하기 위한 순서도이다.
도 7b는 본 발명의 다양한 실시예에 따른 IoT 디바이스들이 포함된 네트워크의 보안 향상 방법을 설명하기 위한 순서도이다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하며, 본 발명이 속하는 기술분야에서 통상의 지식을 갖는 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다.
본 발명의 실시예를 설명하기 위한 도면에 개시된 형상, 크기, 비율, 각도, 개수 등은 예시적인 것이므로 본 발명이 도시된 사항에 한정되는 것은 아니다. 또한, 본 발명을 설명함에 있어서, 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 상세한 설명은 생략한다. 본 명세서 상에서 언급된 '포함한다', '갖는다', '이루어진다' 등이 사용되는 경우 '~만'이 사용되지 않는 이상 다른 부분이 추가될 수 있다. 구성요소를 단수로 표현한 경우에 특별히 명시적인 기재 사항이 없는 한 복수를 포함하는 경우를 포함한다.
구성요소를 해석함에 있어서, 별도의 명시적 기재가 없더라도 오차 범위를 포함하는 것으로 해석한다.
비록 제1, 제2 등이 다양한 구성요소들을 서술하기 위해서 사용되나, 이들 구성요소들은 이들 용어에 의해 제한되지 않는다. 이들 용어들은 단지 하나의 구성요소를 다른 구성요소와 구별하기 위하여 사용하는 것이다. 따라서, 이하에서 언급되는 제1 구성요소는 본 발명의 기술적 사상 내에서 제2 구성요소일 수도 있다.
명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.
도면에서 나타난 각 구성의 크기 및 두께는 설명의 편의를 위해 도시된 것이며, 본 발명이 도시된 구성의 크기 및 두께에 반드시 한정되는 것은 아니다.
본 발명의 여러 실시예들의 각각 특징들이 부분적으로 또는 전체적으로 서로 결합 또는 조합 가능하며, 당업자가 충분히 이해할 수 있듯이 기술적으로 다양한 연동 및 구동이 가능하며, 각 실시예들이 서로에 대하여 독립적으로 실시 가능할 수도 있고 연관 관계로 함께 실시 가능할 수도 있다.
이하, 첨부된 도면을 참조하여 본 발명의 다양한 실시예들을 상세히 설명한다.
도 1은 본 발명의 일 실시예에 따른 IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 및 디바이스의 관계를 설명하기 위한 개략도이다.
도 1을 참조하면, IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 는 무선 통신이 가능하도록 사용자 디바이스 (200) 를 네트워크 통신망에 연결시키는 장치이다. IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 는 네트워크 간의 연결점에 위치하여 송신정보에 담긴 수신처의 주소를 분석하여 적절한 통신경로를 선택하고, 송신정보를 다른 통신망에 전달해주는 장치이다. IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 는 서로 다른 프로토콜로 운영되는 통신망에서 정보를 전송하기 위해 경로를 설정하는 역할을 제공할 수도 있다. 또한, 복수의 VLAN을 생성하고, 각각의 VLAN에 연결된 디바이스로부터 정보를 수신하거나, 상기 디바이스로 정보를 송신할 수 있다. 그러나, IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 는 이에 제한되지 않고, 패킷을 감시할 수 있는 보안 기능, 패킷을 카피하여 별도의 저장장치에 저장시키는 기능 등을 수행하도록 더 구성될 수도 있다. 도 1을 참조하면, 사용자 디바이스 (200) 는 IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 를 사용하는 사용자의 디바이스로서, 예를 들면, 도 1에 도시된 바와 같이 스마트폰일 수 있다. 그러나, 이에 제한되지 않으며, 다양한 디바이스일 수 있다.
도 1을 참조하면, IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 는 복수의 VLAN을 생성하고 관리할 수 있다. VLAN 은 가상 근거리 통신망으로서 물리적으로 구애받지 않고 가상으로 생성된 통신망을 의미한다. 도 1에 도시된 임시 VLAN (300), 제1 VLAN (310), 제2 VLAN (320) 은 복수의 VLAN 중 각각 구별되는 하나의 VLAN을 의미한다. 원의 형태로 도시된 임시 VLAN (300), 제1 VLAN (310), 제2 VLAN (320) 에 있어, 각각의 원은 해당되는 VLAN에서 접근 가능한 디바이스를 포함할 수 있다. 이에 대한 자세한 설명은 도 3에서 후술한다.
도 2는 본 발명의 일 실시예에 따른 IoT 디바이스들이 포함된 네트워크의 보안 향상 장치의 개략적인 구성을 도시한 블록도이다. 설명의 편의를 위해 도 1을 참조하여 설명한다. 도 2를 참조하면, IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 는 제어부 (110), 연결부 (120) 및 저장부 (130) 를 포함할 수 있다.
IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 의 제어부 (110) 는 IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 에서 외부 장치와 통신하고, 각종 기능을 수행할 수 있다. 제어부 (110) 는 프로세서와 통신부를 포함할 수 있다. 프로세서는 제어부 (110) 에서 각종 기능을 수행할 수 있고, 통신부는 IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 와 외부 기기 사이에서 정보를 송신하거나 수신할 수 있다.
구체적으로, 제어부 (110) 의 통신부는 VLAN의 식별자 및 VLAN의 비밀번호를 사용자 디바이스 (200) 에 전송할 수 있고, 사용자 디바이스 (200) 로부터 VLAN과의 연결 요청 및 VLAN의 입력 비밀번호를 수신할 수 있으며, 제1 인증 수단을 수신하고, 사용자 디바이스로부터 제2 인증 수단을 수신할 수 있다. 또한, 통신부는 제2 VLAN (320) 에 사용자 디바이스 (200) 에 대한 연결의 요청을 수신할 수 있다.
제어부 (110) 의 프로세서는 제2 VLAN (320) 에 사용자 디바이스 (200) 를 연결시킬지에 대한 여부를 결정하고, 제1 VLAN (310) 과 사용자 디바이스와의 연결을 해제할 수 있다. 또한, 프로세서는 VLAN의 비밀번호와 VLAN의 입력 비밀번호의 동일 여부를 결정할 수 있다. 프로세서는 제1 인증 수단 및 제2 인증 수단의 동일 여부를 결정할 수 있고, 사용자 디바이스 (200) 가 제1 VLAN (310)에 연결된 경우, 제2 VLAN (320)의 식별자를 사용자 디바이스 (200) 로부터 검색 불가능하게 설정할 수 있다.
제어부 (110) 는 위의 기능들을 수행하기 위하여 프로세서와 통신부의 구성을 각각 나누어서 별개의 구성으로 포함할 수 있다. 그러나, 이에 제한되지 않고, 프로세서와 통신부가 하나의 구성으로 통합되어 제어부 (110) 내에서 기능할 수 있다. 즉, 통신부와 프로세서는 각각 서로 분리되어 기능을 수행할 수 있으나, 제어부 (110) 로 통합되어 통신부와 프로세서의 모든 기능을 제어부 (110) 가 수행할 수도 있다.
IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 의 연결부 (120) 는 사용자 디바이스 (200) 를 무선 통신이 가능하도록 네트워크에 연결시킬 수 있다. 구체적으로, 연결부 (120) 는 사용자 디바이스를 복수의 VLAN 중 하나의 VLAN 인 임시 VLAN (300), 제1 VLAN (310) 또는 제2 VLAN (320) 에 연결시킬 수 있다. 연결부 (120) 는 VLAN의 비밀번호와 VLAN의 입력 비밀번호가 동일한 경우에만 사용자 디바이스 (200) 를 VLAN에 연결시킬 수 있다.
IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 의 저장부 (130) 는 IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 의 각종 데이터를 저장할 수 있다. 구체적으로 저장부 (130) 는 IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 의 제어부 (110) 가 수신한 정보를 저장할 수 있다.
IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 의 구성 요소는 이에 제한되지 않고, IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 의 기능을 수행하기 위해 필요한 다른 구성들을 추가적으로 포함할 수 있다.
또한, IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 의 제어부 (110), 연결부 (120) 및 저장부 (130) 는 데이터 및 신호를 서로 교환할 수 있다. 구체적으로, 제어부 (110) 는 연결부 (120) 및 저장부 (130) 로부터 데이터 및 신호를 전달받을 수 있으며, 이를 처리한 결과 데이터 및 신호를 제어부 (110) 를 제외한 다른 구성 요소로 전달할 수 있다. 연결부 (120) 는 제어부 (110) 로부터 데이터 및 신호를 수신하고, 사용자 디바이스 (200) 의 VLAN과의 연결 상태에 대한 각종 정보를 다른 구성 요소에 전달할 수 있다. 저장부 (130) 는 다른 구성 요소에서 처리한 각종 정보를 수신하여 저장할 수 있으며, 저장하고 있는 정보를 다른 구성 요소에게 전달할 수 있다. IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 의 각 구성 요소의 데이터 및 신호의 교환은 이에 제한되지 않으며, 필요에 따라 다양한 방법으로 교환이 이루어질 수 있다.
도 3은 본 발명의 일 실시예에 따른 IoT 디바이스들이 포함된 네트워크의 보안 향상 방법을 설명하기 위한 순서도이다. 설명의 편의를 위해 도 1 내지 도 2를 참조하여 설명한다.
먼저, IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 는 제1 VLAN (310) 에 사용자 디바이스 (200) 를 연결시킬 수 있다 (S300). 구체적으로, IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 의 연결부 (120) 는 제1 VLAN (310) 에 사용자 디바이스 (200) 를 연결시킬 수 있으며, 제1 VLAN (310) 에 연결된 사용자 디바이스 (200) 는 제1 VLAN (310) 에 연결되어 있는 다른 디바이스를 제어할 수 있는 권한을 가질 수 있다.
이어서, IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 는 복수의 VLAN 중 하나인 제2 VLAN (320) 에 사용자 디바이스 (200) 를 연결시킬지 여부를 결정할 수 있다 (S310). 제2 VLAN (320) 과 제1 VLAN (310) 은 사용자 디바이스 (200) 의 신뢰 수준에 따라 각각의 VLAN에서 접근 가능한 디바이스의 범위에 대한 레벨을 상이하게 가질 수 있다. 사용자 디바이스 (200) 의 신뢰 수준에 따라 VLAN에 접근 가능한 디바이스의 범위에 대한 레벨을 다르게 갖는다는 것은, 사용자 디바이스 (200) 가 해당 VLAN에 연결된 다른 디바이스를 제어할 수 있는 권한을 가질 수 있는 신뢰 수준을 지녔는지 판단하여, 해당 VLAN에 접근 가능한 디바이스의 범위에 대한 레벨에 해당되는 사용자 디바이스 (200) 만을 해당 VLAN에 연결시킨다는 것을 의미할 수 있다. 또한, 제1 VLAN (310) 은 제2 VLAN (320) 보다 하위 레벨이며, 제2 VLAN (320) 의 접근 가능한 디바이스의 범위는 제1 VLAN (310) 의 접근 가능한 디바이스의 범위를 포함할 수 있다. 구체적으로, 제1 VLAN (310) 보다 더 높은 신뢰 수준을 갖는 사용자 디바이스 (200) 는 제1 VLAN (310) 보다 상위 레벨인 제2 VLAN (320) 에 연결될 수 있고, 제2 VLAN (320) 에 연결된 사용자 디바이스 (320) 는 제1 VLAN (310) 에 연결되었을 때 제어할 수 있었던 디바이스들과 더불어 제2 VLAN (320) 에 연결된 다른 새로운 디바이스들 또한 제어할 수 있을 수 있다. 즉, 상위 레벨의 VLAN에 연결시키기 위해서 사용자 디바이스 (200) 는 연결시킬 수 있을지에 대한 여부를 제어부 (110) 에 의해 판단받아야 하며, 연결시킬 수 있다고 제어부 (110) 가 결정한 경우에만 더 많은 권한을 갖는 상위 VLAN에 연결될 수 있는 것이다.
예를 들면, 도 1에 도시된 바와 같이, IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 는 임시 VLAN (300), 제1 VLAN (310), 제2 VLAN (320) 모두에 속할 수 있는 범위인 모든 원의 중앙에 위치할 수 있으며, 이는 IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 가 상기 복수의 VLAN을 생성하고 관리하는 장치라는 것을 의미할 수 있다. 도어락 (310a), 온도조절장치 (310b), IoT전구 (310c) 는 제1 VLAN (310) 에서 접근 가능한 디바이스를 의미할 수 있다. 또한, 시크릿박스 (320a) 는 금고 또는 비밀정보를 보관하는 장치로서 제2 VLAN (320) 에서 접근 가능한 디바이스를 의미할 수 있다. IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 는 사용자 디바이스 (200) 를 복수의 VLAN 중 하나의 VLAN에 연결시킬 수 있다. 즉, IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 는 사용자 디바이스 (200) 를 임시 VLAN (300), 제1 VLAN (310) 또는 제2 VLAN (320) 에 연결시킬 수 있으며, 사용자 디바이스 (200) 는 연결된 VLAN에서 접근 가능한 디바이스를 제어할 수 있는 권한을 가질 수 있다. 도 1을 참조하면, 임시 VLAN (300) 은 제1 VLAN (310)에 포함되어 있는 원이며, 제1 VLAN (310) 은 제2 VLAN (320) 에 포함되어 있는 원으로 도시된 것을 확인할 수 있다. 이는 각 VLAN 의 포함관계를 시각적으로 도시한 것이다. 즉, 제1 VLAN (310) 과 연결시킨 사용자 디바이스 (200) 는 제1 VLAN (310) 에서 접근 가능한 디바이스 이외에 임시 VLAN (300) 에서 접근 가능한 디바이스도 제어할 수 있는 권한을 가질 수 있다. 이는 제1 VLAN (310) 은 임시 VLAN (300) 보다 상위 레벨의 VLAN 이며, 제2 VLAN (320) 은 제1 VLAN (310) 보다 상위 레벨의 VLAN 임을 의미할 수 있다. 제2 VLAN (320) 과 연결시킨 사용자 디바이스 (200) 는 제1 VLAN (310) 및 임시 VLAN (300) 에서 접근 가능한 디바이스도 제어할 수 있는 권한을 가질 수 있다. 예를 들면, IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 가 사용자 디바이스 (200) 를 제1 VLAN (310) 에 연결시킨 경우, 사용자 디바이스 (200) 는 도어락 (310a), 온도조절장치 (310b), IoT전구 (310c) 를 제어할 수 있는 권한을 가질 수 있다. 만약, IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 가 사용자 디바이스 (200) 를 제2 VLAN (320) 에 연결시킨 경우, 사용자 디바이스 (200) 는 시크릿박스 (320a), 도어락 (310a), 온도조절장치 (310b), IoT전구 (310c) 를 모두 제어할 수 있는 권한을 가질 수 있다. 따라서, 제어부 (110) 는 해당 VLAN에 사용자 디바이스 (200) 를 연결시킬지 여부를 결정함으로써 (S300), 상기 신뢰수준을 사용자 디바이스 (200) 가 만족하는지 결정하는 할 수 있다. 이에 따라, 사용자 디바이스 (200) 가 제1 VLAN (310) 에 연결된 후, IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 의 제어부 (110) 는 제2 VLAN (320) 에 사용자 디바이스 (200) 를 연결시킬지 여부를 결정한 뒤에, 상기 결정에 따라 사용자 디바이스 (200) 를 제2 VLAN (320) 에 연결시킬 수 있다.
도 3에 도시된 바와 같이, IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 의 제어부 (110) 는 제2 VLAN (320) 에 사용자 디바이스 (200) 를 연결시키지 않는다고 결정한 경우, 제1 VLAN (310) 에 사용자 디바이스 (200) 를 연결시키는 단계 (S300) 로 되돌아 갈 수 있다. 그리고, 사용자 디바이스 (200) 는 제1 VLAN (310) 에 연결된 상태를 유지할 수 있다.
이어서, IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 는 제1 VLAN (310) 과 사용자 디바이스 (200) 의 연결을 해제할 수 있다 (S320). 구체적으로, IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 의 제어부 (110) 가 제2 VLAN (320) 에 사용자 디바이스 (200) 를 연결시킬 수 있다고 결정한 경우, 제어부 (110) 는 제1 VLAN (310) 과 사용자 디바이스 (200) 의 연결을 해제할 수 있다. 제어부 (110) 가 제1 VLAN (310) 과 사용자 디바이스 (200) 와의 연결을 해제하는 것은 제2 VLAN (320) 과 사용자 디바이스 (200) 를 연결시키기 위한 전 단계로서 수행하는 것이다. 즉, 사용자 디바이스 (200) 와 제1 VLAN (310) 과의 연결을 해제한 후, 제어부 (110) 는 사용자 디바이스 (200) 를 제2 VLAN (320) 에 연결시킬 수 있다.
이어서, IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 는 제2 VLAN (320) 과 사용자 디바이스 (200) 를 연결시킬 수 있다 (S330). 구체적으로, IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 의 연결부 (120) 는 사용자 디바이스 (200) 를 제2 VLAN (320) 에 연결시킬 수 있으며, 이에 따라, 사용자 다비이스 (200) 는 제2 VLAN (320) 에 연결된 다른 디바이스를 제어할 수 있는 권한을 가질 수 있다.
하나의 네트워크에 연결되어 있는 복수의 디바이스는 각각의 제어할 수 있는 권한의 수준에 차이가 있을 수 있다. 예를 들면, 홈 네트워크에는 도어락, 온도제어장치, 가스렌지, CCTV, 금고 등의 시크릿박스 등이 존재할 수 있다. 상기 디바이스들은 네트워크에 연결되어 있는 사용자 디바이스에 의해 제어될 수 있다. 이때, 상기 디바이스 중 가스렌지, CCTV, 시크릿 박스 등의 높은 신뢰 수준을 필요로 하는 디바이스의 제어 권한은 집안의 손님이 사용하는 디바이스에게 할당하지 않고, 비교적 낮은 신뢰 수준을 필요로 하는 온도제어장치, 도어락 등의 디바이스의 제어 권한은 손님의 디바이스에게 할당하는 것이 요구될 수 있다. 이에 반해, 집안의 주인과 같은 높은 신뢰수준을 갖는 사용자의 디바이스의 경우, 가스렌지, CCTV, 시크릿박스 등을 모두 포함하는 홈 네트워크에 존재하는 모든 디바이스를 제어할 수 있는 권한을 부여하는 것이 타당할 수 있다. 이렇게 신뢰 수준이 상이할 수 있는 하나의 네트워크 내에 존재하는 다양한 디바이스를 하나의 제어할 수 있는 권한에 따라 분류하는 것은 보안상의 문제점을 야기할 수 있다. 구체적으로, 네트워크를 복수가 아닌 하나로 두고, 모든 디바이스를 상기 네트워크에 접속시킨다면 앞서 설명한 예처럼 집 주안과 손님이 갖는 상이한 신뢰 수준를 고려할 수 없게 될 수 있다. 또한, 복수의 VLAN을 구성하여 네트워크에 연결된 디바이스를 요구되는 신뢰 수준에 맞는 VLAN에 연결시킨다고 할지라도, 다른 VLAN으로 연결시킬지 여부를 결정하는 단계를 거치지 않는다면 보안상 위험한 사용자 디바이스에 CCTV, 시크릿박스 등의 디바이스를 제어할 수 있는 권한을 부여하게 될 수 있어, 보안상에 위험을 초래할 수 있다.
따라서, 본 발명의 일 실시예에 의한 IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 는 복수의 VLAN을 두어 제1 VLAN (310) 에 사용자 디바이스 (200) 를 연결시키고, 제2 VLAN (320) 에 사용자 디바이스 (200) 를 연결시킬지 여부를 결정하고, 연결시킨다고 결정한 경우에만 제2 VLAN (320) 에 사용자 디바이스 (200) 를 연결함으로써, 사용자 디바이스 (200) 의 신뢰 수준에 따라 연결시킬 수 있는 VLAN을 결정하며, 제2 VLAN (320) 에 연결시킬지 여부를 결정하여 네트워크 관리에 있어서 보안을 강화할 수 있는 효과가 있다.
도 4a는 본 발명의 다른 실시예에 따른 IoT 디바이스들이 포함된 네트워크의 보안 향상 방법을 설명하기 위한 순서도이다. 도 4b는 본 발명의 다른 실시예에 따른 IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 및 디바이스의 관계를 설명하기 위한 개략도이다. 설명의 편의를 위해 도 1 내지 도 3을 참조하여 설명하며, 중복되는 설명은 생략한다.
도 4a를 참조하면, 먼저, IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 는 제1 VLAN (310) 에 사용자 디바이스 (200) 를 연결시키는 단계 (S410) 전에, 임시 VLAN (300) 에 사용자 디바이스 (200) 를 연결시킬 수 있다 (S400). 임시 VLAN (300) 은 복수의 VLAN 중 하나의 VLAN 일 수 있으며, 상기 사용자 디바이스 (200) 를 임시 VLAN (300) 에 연결시키는 단계는 사용자 디바이스 (200) 를 네트워크에 최초로 연결시키는 경우에 수행하는 단계일 수 있다. 임시 VLAN (300) 은 네트워크에 최초로 연결되는 인증되지 않거나 보안상 의심스러운 디바이스를 네트워크 내에 보관하는데 사용할 수 있다. IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 의 연결부 (120) 는 네트워크에 최초로 연결시키는 사용자 디바이스 (200) 를 임시 VLAN (300) 에 연결시킬 수 있으며, IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 의 제어부 (110) 는 IDS (침입 탐지 시스템) 등의 보안 시스템을 통하여 지속적으로 임시 VLAN (300) 에 연결된 사용자 디바이스 (200) 를 보안상 감시할 수 있다.
IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 의 제어부 (110) 는 임시 VLAN (300) 에 연결시킨 사용자 디바이스 (200) 를 제1 VLAN (310) 에 연결시킬지 여부를 결정할 수 있으며, 상기 결정은 사용자 디바이스 (200) 에게 인증 수단을 전달하고, 사용자 디바이스 (200) 로부터 인증 수단을 수신하여, 수신한 인증 수단과 전달한 인증 수단의 동일 여부를 결정하는 과정을 통하여 이루어 질 수 있다. 그러나, 사용자 디바이스 (200) 를 제1 VLAN (310) 에 연결시킬지 여부를 결정하는 방법은 이에 제한되지 않으며, 필요에 따라 다양한 방법으로 이루어 질 수 있다.
도 4b를 참조하면, 사용자 디바이스 (200) 는 임시 VLAN (300) 의 영역에 해당되는 원 안에 포함되는 것을 확인할 수 있다. 구체적으로, IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 는 사용자 디바이스 (200) 를 임시 VLAN (300) 에 연결시키고, 보안상 문제가 존재하는지 확인할 수 있다. 사용자 디바이스 (200) 는 임시 VLAN (300) 에 연결된 다른 디바이스를 제어할 수 있는 권한을 가질 수 있다.
도 4a를 참조하면, 이어서, IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 는 제1 VLAN (310) 에 사용자 디바이스 (200) 를 연결시킬 수 있으며 (S410), 이하의 모든 단계 (S410 내지 S440) 는 도 3 의 단계 (S300 내지 S 330) 과 실질적으로 동일한 바, 설명은 생략한다.
네트워크에 연결시키는 디바이스 중 최초로 네트워크에 연결시키는 디바이스의 경우, 상기 디바이스가 보안상 위험한 악성 디바이스에 속하는지 검사할 필요가 존재한다. 즉, 신규 디바이스에 속하면서 보안상 인증되지 않은 장치를 주요 VLAN 에 연결시킨다면, 악성 디바이스를 구별하지 못하는 바, 보안에 취약한 네트워크 관리가 이루어질 수 있어 문제될 수 있다.
따라서, 본 발명의 다른 실시예에 따른 IoT 디바이스들이 포함된 네트워크의 보안 향상 방법 및 이를 이용하는 장치 (100) 는 제1 VLAN (310) 에 사용자 디바이스 (200) 를 연결시키기 전에 임시 VLAN (300) 에 사용자 디바이스 (200) 를 연결시켜, 상기 네트워크에 최초로 연결시키는 사용자 디바이스 (200) 를 보안상 검사할 수 있다. 이에 따라, 악성 디바이스의 네트워크 연결을 예방할 수 있으며, 무해한 장치만을 제1 VLAN (310) 및 제 2 VLAN (320) 등의 주요 VLAN 에 연결시키도록 허용할 수 있다. 즉, 신규하고 인증되지 않은 사용자 디바이스 (200) 를 임시 VLAN (300) 에 연결시켜 보안에 더욱 강화된 네트워크 관리를 도모할 수 있는 효과가 있다.
도 5a는 본 발명의 또 다른 실시예에 따른 IoT 디바이스들이 포함된 네트워크의 보안 향상 방법을 설명하기 위한 순서도이다. 도 5b는 본 발명의 또 다른 실시예에 따른 IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 및 디바이스의 관계를 설명하기 위한 개략도이다. 설명의 편의를 위해 도 1 내지 도 4b를 참조하여 설명하며, 중복되는 설명은 생략한다.
도 5a를 참조하면, 먼저, IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 는 임시 VLAN (300) 에 사용자 디바이스 (200) 를 연결시킬 수 있다 (S500). 이 단계 (S500) 도 4a 의 단계 (S400) 과 실질적으로 동일한 바, 설명은 생략한다.
이어서, IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 는 제1 VLAN의 식별자 및 제1 VLAN의 비밀번호를 사용자 디바이스 (200) 에 전송할 수 있다 (S510). VLAN의 식별자는 무선 통신 네트워크의 명칭으로서 하나의 네트워크를 다른 네트워크와 구별할 수 있는 식별자이다. 즉, 제1 VLAN의 식별자는 복수의 VLAN 중 제1 VLAN (310) 을 다른 VLAN 과 구별할 수 있는 식별자를 의미할 수 있다. IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 의 제어부 (110) 는 사용자 디바이스 (200) 를 제1 VLAN (310) 에 연결시키기 위해 제1 VLAN의 식별자를 사용자 디바이스 (200) 에 전송할 수 있다. VLAN의 비밀번호는 VLAN에 접속하기 위해 입력해야 하는 비밀번호로서 VLAN의 식별자에 대응하여 존재할 수 있다. IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 의 제어부 (110) 는 사용자 디바이스 (200) 에 제1 VLAN의 비밀번호를 전송하여 추후 사용자 디바이스 (200) 를 제1 VLAN (310) 에 연결시킬 수 있게 할 수 있다.
이어서, IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 는 사용자 디바이스 (200) 로부터 제1 VLAN과의 연결 요청을 수신할 수 있다 (S520). 상기 사용자 디바이스 (200) 로부터 제1 VLAN과의 연결 요청을 수신하는 단계 (S520) 부터 제1 VLAN의 비밀번호와 제1 VLAN의 입력 비밀번호의 동일 여부를 결정하는 단계 (S540) 는 도 3에서 설명한 제1 VLAN에 사용자 디바이스를 연결시키는 단계 (S300) 에 포함될 수 있다.
구체적으로, IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 의 제어부 (110) 는 사용자 디바이스 (200) 로부터 전 단계에서 전송한 VLAN의 식별자에 대응하는 VLAN과의 연결 요청을 수신할 수 있다. 즉, 사용자 디바이스 (200) 는 전 단계에서 수신한 제1 VLAN의 식별자에 대응하는 제1 VLAN에 연결시키고자 할 경우, 제1 VLAN (310) 과의 연결 요청을 송신하며, 상기 제1 VLAN (310) 과의 연결 요청을 IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 의 제어부 (110) 는 수신할 수 있다.
이어서, IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 는 사용자 디바이스 (200) 로부터 제1 VLAN의 입력 비밀번호를 수신할 수 있다 (S530). IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 의 제어부 (110) 는 사용자 디바이스 (200) 로부터 전 단계에서 연결 요청된 네트워크인 제1 VLAN (310) 에 대응하는 제1 VLAN의 비밀번호를 수신할 수 있다. 이는 IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 가 사용자 디바이스 (200) 에 제1 VLAN의 비밀번호를 이미 전송했기 때문이며, 사용자 디바이스 (200) 는 수신한 제1 VLAN의 비밀번호를 그대로 IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 에 전송할 수 있다. 제1 VLAN의 입력 비밀번호와 제1 VLAN의 비밀번호는 동일한 것으로 기대되지만, 사용자 디바이스 (200) 의 오류 등으로 동일하지 않은 비밀번호가 제1 VLAN의 입력 비밀번호로서 수신될 수 있기 때문에, 제1 VLAN의 입력 비밀번호와 제1 VLAN의 비밀번호로 용어를 구분할 수 있다.
이어서, IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 는 제1 VLAN의 비밀번호와 제1 VLAN의 입력 비밀번호의 동일 여부를 결정할 수 있다 (S540).
구체적으로, IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 의 제어부 (110) 는 제1 VLAN의 비밀번호와 사용자 디바이스 (200) 로부터 수신한 제1 VLAN의 입력 비밀번호의 동일 여부를 판단할 수 있다. 사용자 디바이스 (200) 는 IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 가 전송한 제1 VLAN의 비밀번호를 그대로 IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 로 전송할 것으로 기대될 수 있다. 따라서 제1 VLAN의 비밀번호와 제1 VLAN의 입력 비밀번호는 동일한 것을 기대될 수 있다. 그러나, 사용자 디바이스 (200) 의 오류 등에 의하여, IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 는 제1 VLAN의 비밀번호와 동일하지 않은 제1 VLAN의 입력 비밀번호를 사용자 디바이스 (200) 로부터 수신할 수 있다. 만약, IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 가 제1 VLAN의 비밀번호 및 제1 VLAN의 입력 비밀번호가 동일하지 않다고 결정한 경우, 임시 VLAN (300) 에 사용자 디바이스 (200) 를 연결시키는 단계 (S500) 를 다시 수행할 수 있다.
이어서, IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 는 제1 VLAN에 사용자 디바이스를 연결시킬 수 있다 (S550). 구체적으로, IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 의 제어부 (110) 는 제1 VLAN의 비밀번호와 제1 VLAN의 입력 비밀번호가 동일한 경우에만, 제1 VLAN (310) 에 사용자 디바이스 (200) 를 연결시킬 수 있다. 상기 제1 VLAN (310) 에 사용자 디바이스 (200) 를 연결시키는 단계 (S550) 및 이하의 단계 (S560 내지 S580) 는 도 3의 단계 (S300 내지 S330) 와 실질적으로 동일한 바, 설명은 생략한다.
도 5b를 참조하면, 사용자 디바이스 (200) 는 제1 VLAN (310) 의 영역에 속할 수 있다. 앞서 설명한 바와 같이 IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 가 제1 VLAN (310) 에 사용자 디바이스 (200) 를 연결시킨 경우, 도 5b에 도시된 바와 같이, 사용자 디바이스 (200) 는 제1 VLAN (310) 에서 접근 가능한 디바이스를 제어할 수 있는 권한을 가질 수 있다. 예를 들면, 제1 VLAN (310) 에서 접근 가능한 디바이스인 도어락 (310a), 온도조절장치 (310b) 및 IoT전구 (310c) 를 제어할 수 있는 권한을 사용자 디바이스 (200) 는 가질 수 있다. 또한, 제1 VLAN (310) 보다 하위 레벨인 임시 VLAN (300) 에서 접근 가능한 디바이스를 제어할 수 있는 권한도 사용자 디바이스 (200) 는 가질 수 있을 수 있다. 다만, 제1 VLAN (310) 보다 상위 레벨인 제2 VLAN (320) 에서 접근 가능한 디바이스인 시크릿박스 (320a) 를 제어할 수 있는 권한은 가질 수 없을 수 있다. 즉, 제2 VLAN (320) 의 접근 가능한 디바이스의 범위는 제1 VLAN (310) 의 접근 가능한 디바이스의 범위를 포함하지만, 그 역은 가능하지 않을 수 있기 때문이다.
도 6a는 본 발명의 다양한 실시예에 따른 IoT 디바이스들이 포함된 네트워크의 보안 향상 방법을 설명하기 위한 순서도이다. 도 6b는 본 발명의 다양한 실시예에 따른 IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 및 디바이스의 관계를 설명하기 위한 개략도이다.
도 6a를 참조하면, 먼저, IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 는 제1 VLAN (310) 에 사용자 디바이스 (200) 를 연결시킬 수 있다 (S600). 이어서, IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 는 제2 VLAN (320) 에 사용자 디바이스 (200) 를 연결시킬 지 여부를 결정할 수 있다 (S610). 상기 두 단계 (S600, S610) 는 도 3의 단계 (S300, S310) 와 실질적으로 동일한 바 생략한다.
이어서, IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 는 제2 VLAN의 식별자 및 제2 VLAN의 비밀번호를 사용자 디바이스 (200) 에 전송할 수 있다 (S620). 제2 VLAN의 식별자는 복수의 VLAN 중 제2 VLAN (320) 을 다른 VLAN 과 구별할 수 있는 식별자를 의미할 수 있다. 즉, 도 5a에서 설명한 제1 VLAN의 식별자와 구별되는 식별자를 의미할 수 있다. IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 의 제어부 (110) 는 사용자 디바이스 (200) 를 제2 VLAN (310) 에 연결시키기 위해 제2 VLAN의 식별자를 사용자 디바이스 (200) 에 전송할 수 있다. IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 의 제어부 (110) 는 사용자 디바이스 (200) 에 제2 VLAN의 비밀번호를 전송하여 추후 사용자 디바이스 (200) 를 제2 VLAN (310) 에 연결시킬 수 있게 할 수 있다.
이어서, IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 는 제1 VLAN (310) 과 사용자 디바이스 (200) 의 연결을 해제할 수 있다 (S630). IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 의 제어부 (110) 는 제1 VLAN (310) 과 사용자 디바이스 (200) 의 연결을 해제할 수 있으며, 상기 연결의 해제는 이이서 수행할 제2 VLAN (320) 에 사용자 디바이스 (200) 를 연결시키는 단계를 위해서 이루어지는 것이다. 제1 VLAN (310) 과 사용자 디바이스 (200) 의 연결의 해제 단계 (S630) 는 도 3의 단계 (S320) 과 실질적으로 동일한 바, 설명을 생략한다.
이어서, IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 는 사용자 디바이스 (200) 로부터 제2 VLAN과의 연결 요청을 수신할 수 있다 (S640). 상기 사용자 디바이스 (200) 로부터 제2 VLAN과의 연결 요청을 수신하는 단계 (S640) 부터 제2 VLAN의 비밀번호와 제2 VLAN의 입력 비밀번호의 동일 여부를 결정하는 단계 (S660) 는 도 3에서 설명한 제2 VLAN에 사용자 디바이스를 연결시키는 단계 (S330) 에 포함될 수 있다.
구체적으로, 사용자 디바이스 (200) 는 전 단계에서 수신한 제2 VLAN의 식별자에 대응하는 제2 VLAN에 연결시키고자 할 경우, 제2 VLAN (320) 과의 연결 요청을 송신하며, 상기 제2 VLAN (320) 과의 연결 요청을 IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 의 제어부 (110) 는 수신할 수 있다.
이어서, IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 는 사용자 디바이스 (200) 로부터 제2 VLAN의 입력 비밀번호를 수신할 수 있다 (S650). IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 의 제어부 (110) 는 사용자 디바이스 (200) 로부터 전 단계에서 연결 요청된 네트워크인 제2 VLAN (320) 에 대응하는 제2 VLAN의 비밀번호를 수신할 수 있다. 이는 IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 가 사용자 디바이스 (200) 에 제2 VLAN의 비밀번호를 이미 전송했기 때문이며, 사용자 디바이스 (200) 는 수신한 제2 VLAN의 비밀번호를 그대로 IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 에 전송할 수 있다. 제2 VLAN의 입력 비밀번호와 제2 VLAN의 비밀번호는 동일한 것으로 기대되지만, 사용자 디바이스 (200) 의 오류 등으로 동일하지 않은 비밀번호가 제2 VLAN의 입력 비밀번호로서 수신될 수 있기 때문에, 제2 VLAN의 입력 비밀번호와 제2 VLAN의 비밀번호로 용어를 구분할 수 있다.
이어서, IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 는 제2 VLAN의 비밀번호와 제2 VLAN의 입력 비밀번호의 동일 여부를 결정할 수 있다 (S660).
구체적으로, IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 의 제어부 (110) 는 제2 VLAN의 비밀번호와 사용자 디바이스 (200) 로부터 수신한 제2 VLAN의 입력 비밀번호의 동일 여부를 판단할 수 있다. 사용자 디바이스 (200) 는 IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 가 전송한 제2 VLAN의 비밀번호를 그대로 IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 로 전송할 것으로 기대될 수 있다. 따라서 제2 VLAN의 비밀번호와 제2 VLAN의 입력 비밀번호는 동일한 것을 기대될 수 있다. 그러나, 사용자 디바이스 (200) 의 오류 등에 의하여, IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 는 제2 VLAN의 비밀번호와 동일하지 않은 제2 VLAN의 입력 비밀번호를 사용자 디바이스 (200) 로부터 수신할 수 있다. 만약, IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 가 제2 VLAN의 비밀번호 및 제2 VLAN의 입력 비밀번호가 동일하지 않다고 결정한 경우, 제2 VLAN의 식별자 및 제2 VLAN의 비밀번호를 사용자 디바이스 (200) 에 전송하는 단계 (S620) 로 되돌아갈 수 있다.
이어서, IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 는 제2 VLAN에 사용자 디바이스를 연결시킬 수 있다 (S670). 구체적으로, IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 의 제어부 (110) 는 제2 VLAN의 비밀번호와 제2 VLAN의 입력 비밀번호가 동일한 경우에만, 제2 VLAN (320) 에 사용자 디바이스 (200) 를 연결시킬 수 있다. 상기 제2 VLAN (320) 에 사용자 디바이스 (200) 를 연결시키는 단계 (S670) 는 도 3의 단계 (S430) 과 실질적으로 동일한 바, 설명을 생략한다.
도 6b를 참조하면, 사용자 디바이스 (200) 는 제2 VLAN (320) 의 영역에 속할 수 있다. 앞서 설명한 바와 같이 IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 가 제2 VLAN (320) 에 사용자 디바이스 (200) 를 연결시킨 경우, 사용자 디바이스 (200) 는 제2 VLAN (320) 에서 접근 가능한 디바이스를 제어할 수 있는 권한을 가질 수 있다. 예를 들면, 도 6b에 도시된 바와 같이, 제2 VLAN (320) 에서 접근 가능한 디바이스인 시크릿박스 (320a) 를 제어할 수 있는 권한을 사용자 디바이스 (200) 는 가질 수 있다. 또한, 제2 VLAN (320) 보다 하위 레벨인 임시 VLAN (300) 및 제1 VLAN (310) 에서 접근 가능한 디바이스를 제어할 수 있는 권한도 사용자 디바이스 (200) 는 가질 수 있을 수 있다. 즉, 사용자 디바이스 (200) 는 제2 VLAN (320) 에서 접근 가능한 디바이스인 시크릿박스 (320a) 이외에, 제1 VLAN (310) 에서 접근 가능한 디바이스인 도어락 (310a), 온도제어장치 (310b) 및 IoT전구 (310c) 를 제어할 수 있는 권한을 가질 수 있다. 이는 제1 VLAN (310) 이 제2 VLAN (320) 의 하위 레벨의 VLAN 인 것에 기인할 수 있다.
도 7a는 본 발명의 다양한 실시예에 따른 IoT 디바이스들이 포함된 네트워크의 보안 향상 방법을 설명하기 위한 순서도이다.
먼저, IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 는 제1 VLAN (310) 에 사용자 디바이스 (200) 를 연결시킬 수 있다 (S700). 상기 제1 VLAN (310) 에 사용자 디바이스 (200) 를 연결시키는 단계 (S700) 는 도 3의 단계 (S300) 과 실질적으로 동일한 바, 설명은 생략한다.
IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 는 제1 인증 수단을 수신할 수 있다 (S710). 인증 수단이란, 사용자 디바이스 (200) 를 제2 VLAN (320) 에 연결시킬지에 대한 여부를 결정하기 위해 사용자 디바이스 (200) 를 인증하기 위한 수단이다. 인증 수단은, 사용자 디바이스 (200) 의 명칭, 일련번호, 버전, 서비스 포트 번호, 제조자, 제조 위치, 제조 날짜 중 적어도 하나에 기초하여 생성될 수 있다. 그러나, 이에 제한되지 않고 사용자 디바이스 (200) 와 관련된 다양한 정보에 기초하여 생성될 수 있다.
구체적으로, 인증 수단은 사용자 디바이스 (200) 의 신원 정보를 제공하는 역할을 할 수 있으며, 특정 인증 기관에서 발행되고 관리될 수 있다. 예를 들면, 사용자 디바이스 (200) 을 공장에서 만들어 내는 과정에서 인증 수단은 처음 발행될 수 있으며, 각각의 사용자 디바이스 (200) 에게 고유의 인증 수단이 부여될 수 있다. 상기 인증 수단은 인증 기관에서 관리될 수 있으며, 사용자 디바이스 (200) 를 구매할 때, 인증 기관으로부터 사용자 디바이스 (200) 를 구매한 사용자의 IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 에 전송될 수 있다. 즉, 사용자 디바이스 (200) 를 구매했을 경우, IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 는 제1 인증 수단을 인증 기관으로부터 수신할 수 있다. 그러나, 제1 인증 수단의 수신은 인증 기관으로부터의 수신에 제한되지 않으며, 필요에 따라 다양한 경로를 통한 수신으로 이루어질 수 있다. 예를 들면, 사용자 디바이스 (200) 를 디바이스 판매처에서 구매한 것이 아닌 다른 경로를 통하여 입수한 경우, 인증 기관으로부터의 제1 인증 수단의 수신은 이루어지지 않을 수도 있다. 이러한 경우, 인증 기관이 아닌 다른 특정 기관에서 메시지의 형태로 제1 인증 수단은 수신될 수 있으며, 사용자 디바이스 (200) 의 사용자에 의해 수동으로 입력되는 형태로 IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 에 수신될 수 있다. 또는, IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 는 QR 코드를 읽는 형식으로 제1 인증 수단을 수신할 수도 있다.
이어서, IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 의 제어부 (110) 는 사용자 디바이스 (200) 로부터 제2 인증 수단을 수신할 수 있다 (S720). 제1 인증 수단 및 제2 인증 수단은 사용자 디바이스 (200) 가 공장에서 생산되는 때에 만들어 질 수 있으며, 제1 인증 수단은 인증 기관에서 관리되어 앞서 설명한 바와 같이 IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 가 인증 기관으로부터 수신할 수 있다. 제2 인증 수단은 제1 인증 수단과 함께 만들어졌기 때문에 동일한 인증 수단일 것으로 기대되며, 제2 인증 수단은 사용자 디바이스 (200) 저장되어 있을 수 있다. IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 는 사용자 디바이스 (200) 로부터 제2 인증 수단을 수신할 수 있으나, 수신하는 방법은 이에 제한되지 않으며, 필요에 따라 다양한 방법으로 제2 인증 수단을 수신할 수 있다.
이어서, IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 는 제1 인증 수단 및 제2 인증 수단의 동일 여부를 결정할 수 있다 (S730).
제1 인증 수단 및 제2 인증 수단은 사용자 디바이스 (200) 가 공장에서 만들어질 때 동시에 생성되기 때문에 동일한 인증 수단일 것으로 기대될 수 있다. IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 의 제어부 (110) 는 제1 인증 수단 및 제2 인증 수단의 동일 여부를 결정할 수 있으며, 동일하지 않을 경우, 제1 VLAN (310) 에 사용자 디바이스 (200) 를 연결시키는 단계 (S700) 로 되돌아갈 수 있다. 이는, 제1 인증 수단 및 제2 인증 수단이 상이한 경우, 사용자 디바이스 (200) 를 제2 VLAN (320) 에 연결시키지 않는다고 IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 가 결정했다는 것을 의미할 수 있기 때문이다.
이어서, IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 가 제1 인증 수단 및 제2 인증 수단이 동일하다고 결정한 경우, IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 는 제1 VLAN (310) 과 사용자 디바이스 (200) 의 연결을 해제할 수 있다 (S740). 이어서, 제2 VLAN (320) 과 사용자 디바이스 (200) 를 연결시킬 수 있다 (S750). 상기 두 단계 (S740, S750) 는 도 3의 단계 (S320, S330) 과 실질적으로 동일한 바, 설명은 생략한다.
제1 인증 수단 및 제2 인증 수단의 동일 여부를 결정하고 상기 결정에 따라 제2 VLAN에 사용자 디바이스를 연결시킬지 여부를 결정하지 않고, 무분별하게 사용자 디바이스를 제2 VLAN 에 연결시킨다면, 보안상의 문제가 발생할 수 있다. 예를 들면, 제2 VLAN 에서 접근할 수 있는 디바이스로서 CCTV나 시크릿 박스 등의 금고가 존재할 수 있으며, 무분별하게 상기 디바이스로의 접근을 허용할 경우, 중요 정보가 노출되는 등 보안상의 문제가 발생할 수 있다. 홈 네트워크의 경우, 집안에 존재하는 사용자 디바이스의 경우 문제가 심각하지 않을 수 있으나, 나아가, 집안에 존재하지 않지만 홈 네트워크의 수신 범위 내에 존재하는 디바이스가 네트워크에 접근할 수 있다. 상위 레벨의 VLAN에 디바이스를 연결시킬지 여부를 결정하는 인증 수단이 존재하지 않는다면 집안에 존재하지 않는 디바이스가 네트워크에 쉽게 연결될 수 있으며, 이에 따라, 집안에 존재하지 않는 위험 디바이스는 상위 레벨의 VLAN 의 네트워크 정보나, 네트워크 관리자의 개인 정보를 획득할 수 있다.
이에 본 발명의 또 다른 실시예에 의한 IoT 디바이스들이 포함된 네트워크의 보안 향상 방법 및 이를 이용하는 장치 (100) 는, 인증 수단을 이용하여 사용자 디바이스를 상위 레벨의 VLAN에 연결시킬지 여부를 결정함에 따라, 외부 위험 디바이스의 상위 레벨의 VLAN에의 연결을 차단하여, 보안이 향상된 네트워크 관리를 제공할 수 있는 효과가 있다. 구체적으로, 인증 수단은 사용자 디바이스 (200) 가 공장에서 만들어질 당시에 생성되는 것인 바, 중간의 유통 과정이나 사용자 디바이스 (200) 를 사용하는 과정에서 변동되지 않는 고유의 인증 수단일 수 있다. 상기 고유한 인증 수단을 IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 는 수신하고 저장할 수 있다. 추후 사용자 디바이스 (200) 를 제2 VLAN (320) 에 연결시킬지 여부를 결정하는 단계에서, 제2 인증 수단과 사용자 디바이스 (200) 에서 수신한 제1 인증 수단을 비교함에 따라, 보다 안정적이고 보안이 강화된 연결 여부의 결정을 수행할 수 있을 것이다.
도 7b는 본 발명의 다양한 실시예에 따른 IoT 디바이스들이 포함된 네트워크의 보안 향상 방법을 설명하기 위한 순서도이다.
먼저, IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 는 제1 VLAN (310) 에 사용자 디바이스 (200) 를 연결시킬 수 있다 (S800). 상기 제1 VLAN (310) 에 사용자 디바이스 (200) 를 연결시키는 단계 (S800) 는 도 3의 단계 (S300) 과 실질적으로 동일한 바, 설명은 생략한다.
이어서, IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 는 사용자 디바이스 (200) 의 제2 VLAN (320) 에 대한 연결의 허용을 연결을 허용할 수 있는 권한이 있는 디바이스로부터 수신할 수 있다 (S810). IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 는 사용자 디바이스 (200) 를 제2 VLAN (320) 에 연결시킬지 여부를 결정할 때에, 사용자 디바이스 (200) 의 제2 VLAN (320) 에 대한 연결을 허용하는 신호를 상기 연결을 허용할 수 있는 권한이 있는 디바이스로부터 수신함에 따라 연결시킨다고 결정할 수 있다. 사용자 디바이스 (200) 는 IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 의 제어부 (110) 에 제2 VLAN (320) 에 연결시키고자 하는 입력을 송신하고, 상기 입력을 제어부 (110) 는 수신할 수 있다. 상기 수신한 입력에 대응하여, 제어부 (110) 는 사용자 디바이스 (200) 의 제2 VLAN (320) 에 대한 연결을 허용하는 상기 연결을 허용할 수 있는 권한이 있는 디바이스로부터 신호를 수신할 수 있다. 연결을 허용하는 상기 신호는 임의의 연결을 허용할 수 있는 디바이스로부터 수신될 수 있으며, IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 의 사용자의 입력의 형태로 수신될 수 있다. 그러나, 이에 제한되지 않으며, 사용자 디바이스 (200) 의 제2 VLAN (320) 에 대한 연결을 허용하는 신호는 필요에 따라 다양한 형태로 수신될 수 있다.
이어서, IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 는 제1 VLAN (310) 과 사용자 디바이스 (200) 의 연결을 해제할 수 있다 (S820). 이어서, IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 는 제2 VLAN (320) 과 사용자 디바이스 (200) 를 연결시킬 수 있다 (S830). 상기 두 단계 (S820, S830) 는 도 3의 단계 (S320, S330) 와 실질적으로 동일한 바, 설명은 생략한다.
도 7b를 참조하면, IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 는 사용자 디바이스 (200) 의 제2 VLAN (320) 에 대한 연결의 허용을 수신 (S810) 에 따라 제2 VLAN (320) 에 사용자 디바이스 (200) 를 연결시킬지에 대한 여부를 결정할 수 있다. 이는 도 7a 에서 설명한 인증 수단의 동일 여부를 판단하여 상기 연결시킬지 여부를 결정하는 방법과 다른 방법임을 알 수 있다.
본 발명의 또 다른 실시예에 의한 IoT 디바이스들이 포함된 네트워크의 보안 향상 방법 및 이를 이용하는 장치 (100) 는, 사용자 디바이스의 제2 VLAN 에 대한 연결의 허용을 수신함에 따라, 제2 VLAN 에 사용자 디바이스를 연결시킬지에 대한 여부를 결정함에 따라, 보다 간단한 방법으로 상기 연결 여부를 결정할 수 있으며, 보안이 향상된 네트워크 관리를 제공할 수 있는 효과가 있다. 구체적으로, 사용자 디바이스 (200) 의 제2 VLAN (320) 에 대한 연결을 허용하는 입력을 상기 연결을 허용할 수 있는 권한이 있는 디바이스로부터 수신함에 따라 사용자 디바이스 (200) 를 제2 VLAN (320) 에 연결시킬지 여부를 결정하는 것은, 사용자 디바이스 (200) 의 인증 수단이 존재하지 않을 경우에 더욱 효과적으로 적용될 수 있다. 예를 들면, 사용자 디바이스 (200) 를 만들 때에 인증 수단이 부여되지 않을 수 있으며, 부여되었더라도 오류 등에 의하여 제2 인증 수단이 IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 에 수신되지 않을 수 있다. 즉, 도 7a에서 설명한 제2 인증 수단의 수신 단계 (S720) 가 수행되지 않을 수 있다. 이 경우에, IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 및 사용자 디바이스 (200) 이외의 다른 디바이스로부터 혹은 IoT 디바이스들이 포함된 네트워크의 보안 향상 장치 (100) 의 사용자로부터 사용자 디바이스 (200) 의 제2 VLAN (320) 에 대한 연결의 허용 입력을 수신할 수 있다. 이에 따라, 더욱 간단한 방법으로 확실하게 사용자 디바이스 (200) 를 제2 VLAN (320) 에 연결시킬지 여부를 결정할 수 있는바, 보안이 향상된 네트워크 관리를 제공할 수 있는 효과가 있다.
이상 첨부된 도면을 참조하여 본 발명의 실시예들을 더욱 상세하게 설명하였으나, 본 발명은 반드시 이러한 실시예로 국한되는 것은 아니고, 본 발명의 기술사상을 벗어나지 않는 범위 내에서 다양하게 변형실시될 수 있다. 따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 그러므로, 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
100 : IoT 디바이스들이 포함된 네트워크의 보안 향상 장치
110 : 제어부
120 : 연결부
130 : 저장부
200 : 사용자 디바이스
300 : 임시 VLAN
310 : 제1 VLAN
310a : 도어락
310b : 온도제어장치
310c : IoT전구
320 : 제2 VLAN
320a : 시크릿박스

Claims (15)

  1. 복수의 VLAN 중 하나의 VLAN인 제1 VLAN에 사용자 디바이스를 연결시키는 단계;
    상기 복수의 VLAN 중 하나의 VLAN인 제2 VLAN에 상기 사용자 디바이스를 연결시킬지에 대한 여부를 결정하는 단계;
    상기 사용자 디바이스를 상기 제2 VLAN에 연결시키는 것으로 결정한 경우, 상기 제1 VLAN과 상기 사용자 디바이스와의 연결을 해제하는 단계; 및
    상기 제2 VLAN에 상기 사용자 디바이스를 연결시키는 단계를 포함하는, 네트워크 보안 향상 방법.
  2. 제1항에 있어서,
    상기 제1 VLAN에 상기 사용자 디바이스를 연결시키는 단계 전에,
    임시 VLAN에 상기 사용자 디바이스를 연결시키는 단계를 더 포함하며,
    상기 임시 VLAN에 상기 사용자 디바이스를 연결시키는 단계는, 상기 사용자 디바이스를 상기 네트워크에 최초로 연결시키는 경우에 수행하는, 네트워크 보안 향상 방법.
  3. 제2항에 있어서,
    상기 임시 VLAN에 상기 사용자 디바이스를 연결시키는 단계 후, 상기 제1 VLAN에 사용자 디바이스를 연결시키는 단계 전에,
    상기 제1 VLAN의 식별자 및 상기 제1 VLAN의 비밀번호를 상기 사용자 디바이스에 전송하는 단계를 더 포함하며,
    상기 제1 VLAN에 상기 사용자 디바이스를 연결시키는 단계는,
    상기 사용자 디바이스로부터 상기 제1 VLAN과의 연결 요청을 수신하는 단계;
    상기 사용자 디바이스로부터 상기 제1 VLAN의 입력 비밀번호를 수신하는 단계; 및
    상기 제1 VLAN의 비밀번호와 상기 제1 VLAN의 입력 비밀번호의 동일 여부를 결정하는 단계를 포함하며,
    상기 제1 VLAN에 상기 사용자 디바이스를 연결시키는 단계는,
    상기 제1 VLAN의 비밀번호와 상기 제1 VLAN의 입력 비밀번호가 동일한 경우에만 수행되는, 네트워크 보안 향상 방법.
  4. 제1항에 있어서,
    상기 제2 VLAN에 상기 사용자 디바이스를 연결시키는 것으로 결정한 경우, 상기 결정하는 단계 후, 상기 제1 VLAN과 상기 사용자 디바이스와의 연결을 해제하는 단계 전에,
    상기 제2 VLAN의 식별자 및 상기 제2 VLAN의 비밀번호를 상기 사용자 디바이스에 전송하는 단계를 더 포함하며,
    상기 제2 VLAN에 사용자 디바이스를 연결시키는 단계는,
    상기 사용자 디바이스로부터 상기 제2 VLAN과의 연결 요청을 수신하는 단계;
    상기 사용자 디바이스로부터 상기 제2 VLAN의 입력 비밀번호를 수신하는 단계; 및
    상기 제2 VLAN의 비밀번호와 상기 제2 VLAN의 입력 비밀번호의 동일 여부를 결정하는 단계를 포함하며,
    상기 제2 VLAN에 상기 사용자 디바이스를 연결시키는 단계는,
    상기 제2 VLAN의 비밀번호와 상기 제2 VLAN의 입력 비밀번호가 동일한 경우에만 수행되는, 네트워크 보안 향상 방법.
  5. 제1항에 있어서,
    상기 제2 VLAN에 상기 사용자 디바이스를 연결시킬지에 대한 여부를 결정하는 단계는,
    제1 인증 수단을 수신하는 단계;
    상기 사용자 디바이스로부터 제2 인증 수단을 수신하는 단계; 및
    상기 제1 인증 수단 및 상기 제2 인증 수단이 동일한지에 대한 여부를 결정하는 단계를 포함하며,
    상기 제1 인증 수단 및 상기 제2 인증 수단이 동일한 경우에만, 상기 제2 VLAN에 상기 사용자 디바이스를 연결시킨다고 결정하는, 네트워크 보안 향상 방법.
  6. 제1항에 있어서,
    상기 제2 VLAN에 상기 사용자 디바이스를 연결시킬지에 대한 여부를 결정하는 단계는,
    상기 사용자 디바이스의 상기 제2 VLAN에 대한 연결의 허용을 상기 연결을 허용할 수 있는 권한이 있는 디바이스로부터 수신하는 단계를 포함하는, 네트워크 보안 향상 방법.
  7. 제1항에 있어서,
    상기 복수의 VLAN은 접근 가능한 디바이스의 범위에 대한 레벨을 각각 상이하게 가지며,
    상기 제1 VLAN은 상기 제2 VLAN보다 하위 레벨이고,
    상기 제2 VLAN의 접근 가능한 디바이스의 범위는 상기 제1 VLAN의 접근 가능한 디바이스의 범위을 포함하는, 네트워크 보안 향상 방법.
  8. 제7항에 있어서,
    상기 복수의 VLAN 중 상기 제1 VLAN과 상기 사용자 디바이스를 연결시킨 경우,
    상기 제2 VLAN의 식별자를 상기 사용자 디바이스로부터 검색 불가능하게 설정하는, 네트워크 보안 향상 방법.
  9. 복수의 VLAN 중 하나의 VLAN인 제1 VLAN에 사용자 디바이스를 연결시키도록 구성된 연결부;
    데이터 및 정보를 저장하도록 구성된 저장부; 및
    상기 제2 VLAN에 상기 사용자 디바이스를 연결시킬지에 대한 여부를 결정하도록 구성된 제어부를 포함하며,
    상기 연결부는, 상기 제어부가 상기 사용자 디바이스를 상기 제2 VLAN에 연결시키는 것으로 결정한 경우, 상기 제1 VLAN과 상기 사용자 디바이스와의 연결을 해제하고, 상기 복수의 VLAN 중 하나의 VLAN 인 제2 VLAN에 상기 사용자 디바이스를 연결시키도록 더 구성된, 네트워크 보안 향상 장치.
  10. 제9항에 있어서,
    상기 연결부는,
    상기 제1 VLAN에 상기 사용자 디바이스를 연결시키기 전에, 임시 VLAN에 상기 사용자 디바이스를 연결시키도록 더 구성되며,
    상기 임시 VLAN에 상기 사용자 디바이스를 연결시키는 것은, 상기 사용자 디바이스를 상기 네트워크에 최초로 연결시키는 경우에 수행하는, 네트워크 보안 향상 장치.
  11. 제10항에 있어서,
    상기 제어부는,
    상기 연결부가 상기 임시 VLAN에 상기 사용자 디바이스를 연결시킨 후, 상기 제1 VLAN에 사용자 디바이스를 연결시키기 전에,
    상기 제1 VLAN의 식별자 및 상기 제1 VLAN의 비밀번호를 상기 사용자 디바이스에 전송하며,
    상기 제1 VLAN에 상기 사용자 디바이스를 연결시키는 것은,
    상기 사용자 디바이스로부터 상기 제1 VLAN과의 연결 요청을 수신하고,
    상기 사용자 디바이스로부터 상기 제1 VLAN의 입력 비밀번호를 수신하고,
    상기 제1 VLAN의 비밀번호와 상기 제1 VLAN의 입력 비밀번호의 동일 여부를 결정하도록 더 구성되며,
    상기 연결부는,
    상기 제1 VLAN에 상기 사용자 디바이스를 연결시키는 것은,
    상기 제1 VLAN의 비밀번호와 상기 제1 VLAN의 입력 비밀번호가 동일한 경우에만 수행하도록 더 구성된, 네트워크 보안 향상 장치.
  12. 제9항에 있어서,
    상기 제어부는,
    상기 제2 VLAN에 상기 사용자 디바이스를 연결시키는 것으로 결정한 경우, 상기 결정한 후, 상기 제1 VLAN과 상기 사용자 디바이스와의 연결을 해제하기 전에,
    상기 제2 VLAN의 식별자 및 상기 제2 VLAN의 비밀번호를 상기 사용자 디바이스에 전송하며,
    상기 제2 VLAN에 사용자 디바이스를 연결시키는 것은,
    상기 사용자 디바이스로부터 상기 제2 VLAN과의 연결 요청을 수신하고,
    상기 사용자 디바이스로부터 상기 제2 VLAN의 입력 비밀번호를 수신하고,
    상기 제2 VLAN의 비밀번호와 상기 제2 VLAN의 입력 비밀번호의 동일 여부를 결정하도록 더 구성되며,
    상기 연결부는,
    상기 제2 VLAN에 상기 사용자 디바이스를 연결시키는 것은,
    상기 제2 VLAN의 비밀번호와 상기 제2 VLAN의 입력 비밀번호가 동일한 경우에만 수행하도록 더 구성된, 네트워크 보안 향상 장치.
  13. 제9항에 있어서,
    상기 제어부는,
    제2 VLAN에 상기 사용자 디바이스를 연결시킬지에 대한 여부를 결정하는 것은,
    제1 인증 수단을 수신하고,
    상기 사용자 디바이스로부터 제2 인증 수단을 수신하고,
    상기 제1 인증 수단 및 상기 제2 인증 수단이 동일한지에 대한 여부를 결정하며,
    상기 제1 인증 수단 및 상기 제2 인증 수단이 동일한 경우에만, 상기 제2 VLAN에 상기 사용자 디바이스를 연결시킨다고 결정하도록 더 구성된, 네트워크 보안 향상 장치.
  14. 제9항에 있어서,
    상기 제어부는,
    상기 제2 VLAN에 상기 사용자 디바이스를 연결시킬지에 대한 여부를 결정하는 것은,
    상기 제2 VLAN에 상기 사용자 디바이스에 대한 연결 요청에 응답하여 상기 제2 VLAN에 상기 사용자 디바이스에 대한 연결의 허용을 상기 연결을 허용할 수 있는 권한이 있는 디바이스로부터 수신하도록 더 구성된, 네트워크 보안 향상 장치.
  15. 제9항에 있어서,
    상기 복수의 VLAN은 접근 가능한 디바이스의 범위에 대한 레벨을 각각 상이하게 가지며,
    상기 제1 VLAN은 상기 제2 VLAN보다 하위 레벨이고,
    상기 제2 VLAN의 접근 가능한 디바이스의 범위는 상기 제2 VLAN의 접근 가능한 디바이스의 범위을 포함하는, 네트워크 보안 향상 장치.
KR1020170080679A 2017-06-26 2017-06-26 클라우드 서비스에서 IoT 디바이스들이 포함된 네트워크의 보안 향상 방법 및 이를 이용하는 장치 KR102022855B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170080679A KR102022855B1 (ko) 2017-06-26 2017-06-26 클라우드 서비스에서 IoT 디바이스들이 포함된 네트워크의 보안 향상 방법 및 이를 이용하는 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170080679A KR102022855B1 (ko) 2017-06-26 2017-06-26 클라우드 서비스에서 IoT 디바이스들이 포함된 네트워크의 보안 향상 방법 및 이를 이용하는 장치

Publications (2)

Publication Number Publication Date
KR20190001147A true KR20190001147A (ko) 2019-01-04
KR102022855B1 KR102022855B1 (ko) 2019-09-19

Family

ID=65018127

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170080679A KR102022855B1 (ko) 2017-06-26 2017-06-26 클라우드 서비스에서 IoT 디바이스들이 포함된 네트워크의 보안 향상 방법 및 이를 이용하는 장치

Country Status (1)

Country Link
KR (1) KR102022855B1 (ko)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160381030A1 (en) * 2015-06-23 2016-12-29 Symantec Corporation Router Based Securing of Internet of Things Devices on Local Area Networks
US20170063807A1 (en) * 2015-08-26 2017-03-02 Tatung University Method for automatically establishing wireless connection, gateway device and client device for internet of things using the same

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160381030A1 (en) * 2015-06-23 2016-12-29 Symantec Corporation Router Based Securing of Internet of Things Devices on Local Area Networks
US20170063807A1 (en) * 2015-08-26 2017-03-02 Tatung University Method for automatically establishing wireless connection, gateway device and client device for internet of things using the same

Also Published As

Publication number Publication date
KR102022855B1 (ko) 2019-09-19

Similar Documents

Publication Publication Date Title
US20200304999A1 (en) Integrated physical and logical security management via a portable device
US8683059B2 (en) Method, apparatus, and computer program product for enhancing computer network security
KR100820671B1 (ko) 네트워크상에서의 디바이스에 대한 액세스 권한 설정과디바이스간의 인증을 위한 방법 및 장치
US10139789B2 (en) System and method for access decision evaluation for building automation and control systems
BRPI0419244B1 (pt) “método e sistema de acesso remoto para capacitar um usuário a acessar remotamente um equipamento terminal ”
US20060080734A1 (en) Method and home network system for authentication between remote terminal and home network using smart card
EP1760988A1 (en) Multi-level and multi-factor security credentials management for network element authentication
US20210243188A1 (en) Methods and apparatus for authenticating devices
KR20150053912A (ko) 서버에 클라이언트를 등록하기 위한 방법 및 디바이스들
JP2016521029A (ja) セキュリティ管理サーバおよびホームネットワークを備えるネットワークシステム、およびそのネットワークシステムにデバイスを含めるための方法
EP2741465A1 (en) Method and device for managing secure communications in dynamic network environments
KR20060044494A (ko) 인증 서버와 연동되는 네트워크 관리 시스템 및 네트워크관리 서버
KR20170054260A (ko) 고객 댁내 장비를 통한 서비스의 보안 액세스를 위한 방법 및 장치
US10298588B2 (en) Secure communication system and method
KR20070009490A (ko) 아이피 주소 기반 사용자 인증 시스템 및 방법
JP4775154B2 (ja) 通信システム、端末装置、プログラム、及び、通信方法
CN112335215A (zh) 用于将终端设备联接到可联网的计算机基础设施中的方法
KR102022855B1 (ko) 클라우드 서비스에서 IoT 디바이스들이 포함된 네트워크의 보안 향상 방법 및 이를 이용하는 장치
KR20180131765A (ko) 관리자 모드 네트워크 접속관리시스템 및 접속 방법
Jeong et al. Secure user authentication mechanism in digital home network environments
KR101160903B1 (ko) 네트워크 식별자 분류 시스템 및 그 방법
KR20210123811A (ko) 토큰 기반 계층적 접속 제어 장치 및 방법
KR20120096742A (ko) 빌딩 에너지 통합 관제 장치 및 방법
AU2020250279A1 (en) Systems And Methods For Receiving And Transmitting Communication Signals
JP2007287097A (ja) アクセス制御システム及び方法

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right