KR20190078701A - Method of bootstrapping of internet of thing device - Google Patents

Method of bootstrapping of internet of thing device Download PDF

Info

Publication number
KR20190078701A
KR20190078701A KR1020170171918A KR20170171918A KR20190078701A KR 20190078701 A KR20190078701 A KR 20190078701A KR 1020170171918 A KR1020170171918 A KR 1020170171918A KR 20170171918 A KR20170171918 A KR 20170171918A KR 20190078701 A KR20190078701 A KR 20190078701A
Authority
KR
South Korea
Prior art keywords
mobile device
value
ims
internet
secure channel
Prior art date
Application number
KR1020170171918A
Other languages
Korean (ko)
Other versions
KR102024376B1 (en
Inventor
최영준
민병권
진성민
Original Assignee
아주대학교산학협력단
주식회사 에스엠피쓰리
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 아주대학교산학협력단, 주식회사 에스엠피쓰리 filed Critical 아주대학교산학협력단
Priority to KR1020170171918A priority Critical patent/KR102024376B1/en
Publication of KR20190078701A publication Critical patent/KR20190078701A/en
Application granted granted Critical
Publication of KR102024376B1 publication Critical patent/KR102024376B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates

Abstract

A method of bootstrapping an Internet of Thing (IoT) device comprises: a step in which a mobile device reads a code attached to the IoT device to obtain a first public key, a first value, and a second value included in the code; a step which forms a first security channel performing encrypted communication by using, as a session key, a shared secret key generated based on the first public key, the first value, and the second value between the mobile device and the IoT device; a step in which the mobile device transmits authentication information stored in an IP multimedia services identity module (ISIM) of the mobile device to the IoT device through the first security channel; and a step in which the IoT device is registered to the IP multimedia subsystem (IMS) as one of services provided by the mobile device by using the authentication information. According to the present invention, the method of bootstrapping an Internet of Thing (IoT) device is capable of reducing manufacturing costs of the IoT device while effectively improving security of the IoT device.

Description

사물 인터넷 장치의 부트스트랩 방법 {METHOD OF BOOTSTRAPPING OF INTERNET OF THING DEVICE}METHOD OF BOOTSTRAPPING OF INTERNET OF THING DEVICE FIELD OF THE INVENTION [

본 발명은 사물 인터넷(Internet of Thing; IoT) 장치에 관한 것으로, 보다 상세하게는 사물 인터넷 장치의 부트스트랩(bootstrap) 방법에 관한 것이다.BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to an Internet of Thing (IoT) device, and more particularly, to a bootstrap method for Internet devices.

사물 인터넷(Internet of Thing; IoT)은 인터넷을 기반으로 모든 사물을 연결하여 사람과 사물, 사물과 사물 간의 정보를 상호 소통하는 지능형 기술 및 서비스를 말한다. 즉, 사물 인터넷은 인터넷에 연결된 모든 장치들을 하나의 시스템을 이용하여 통합적으로 관리할 수 있어 다양한 분야에서 사용되고 있다. 예를 들어, 가스/전력/수도/온수 사용량을 측정하는 미터기, 조명을 제어하는 조명 제어기, 에너지를 관리하는 에너지 관리기, 정보를 표시해주는 디스플레이기, 냉장고, 세탁기, 정수기, 전자레인지, 김치냉장고, 텔레비전, 에어컨, 및 오디오 등에 적용되어 사용될 수 있다.The Internet of Thing (IoT) is an intelligent technology and service that connects all objects based on the Internet and communicates information between people, things, things and things. In other words, the Internet of Things is being used in various fields because all the devices connected to the Internet can be managed integrally using one system. For example, there are meters that measure gas / electric power / water / hot water use, lighting controllers that control lighting, energy managers that manage energy, display devices that display information, refrigerators, washing machines, water purifiers, microwave ovens, Television, air conditioner, audio, and the like.

한편, 이러한 사물 인터넷 장치들은 인터넷을 이용하여 통합적으로 관리할 수 있다는 장점이 있으나, 외부에서 이러한 인터넷 망을 통해 사물 인터넷 장치들로 접근하여 사생활을 침해하거나 사물 인터넷 장치들의 제어 권한을 노리는 공격에 취약하다는 문제점이 있다.Meanwhile, such Internet devices are advantageous in that they can be managed integrally using the Internet. However, they are vulnerable to attacks that infringe on privacy by accessing Internet devices through the Internet from outside, There is a problem.

이러한 문제를 해결하기 위해, 종래에는 사물 인터넷 장치의 제조사로부터 직접 사물 인터넷 장치의 상태 정보를 제공 받아 사물 인터넷 장치의 이상을 판단하였다. 그러나 사용자가 가정 내에 설치된 사물 인터넷 장치들의 상태를 확인하기 위해서는 각각의 제조사에서 제공하는 별도의 관리자 어플리케이션을 통한 접근이 요구되기 때문에 모든 장치에 대하여 일괄적인 확인이 어렵다는 문제점이 있다.In order to solve this problem, in the past, the state of the object Internet apparatus was directly received from the manufacturer of the object Internet apparatus, and the abnormality of the object Internet apparatus was judged. However, in order to check the status of the Internet devices installed in the home, it is difficult for the user to collectively check all the devices because access is required through a separate manager application provided by each manufacturer.

상기와 같은 문제점을 해결하기 위한 본 발명의 일 목적은 사물 인터넷(Internet of Thing; IoT) 장치의 최초 설치 시에 사물 인터넷 장치와 서비스 제공 시스템 사이에 안전한 통신 채널을 형성할 수 있는 사물 인터넷 장치의 부트스트랩(bootstrap) 방법을 제공하는 것이다.It is an object of the present invention to solve the above problems and provide an object Internet apparatus capable of forming a secure communication channel between an object Internet apparatus and a service providing system at the time of initial installation of an Internet of Thing To provide a bootstrap method.

상술한 본 발명의 일 목적을 달성하기 위하여, 본 발명의 일 실시예에 따른 사물 인터넷 장치의 부트스트랩(bootstrap) 방법에서, 모바일 장치가 사물 인터넷 장치에 부착된 코드를 독출하여 상기 코드에 포함되는 제1 공개키, 제1 값, 및 제2 값을 획득하고, 상기 모바일 장치와 상기 사물 인터넷 장치 사이에 상기 제1 공개키, 상기 제1 값, 및 상기 제2 값에 기초하여 생성되는 공유 비밀키를 세션키(session key)로 사용하여 암호화 통신을 수행하는 제1 보안 채널을 형성하고, 상기 모바일 장치가 상기 모바일 장치의 ISIM(IP Multimedia Services Identity Module)에 저장된 인증 정보를 상기 제1 보안 채널을 통해 상기 사물 인터넷 장치에 전송하고, 상기 인증 정보를 사용하여 상기 사물 인터넷 장치를 상기 모바일 장치가 제공하는 서비스 중의 하나로 IMS(IP Multimedia Subsystem)에 등록한다.According to another aspect of the present invention, there is provided a method for bootstrapping an object Internet device in which a mobile device reads a code attached to the object Internet device, A first public key, a first public key, a first public key, a first public key, a first public key, a first public key, a first public key, a first public key, Key as a session key, and the mobile device transmits authentication information stored in the IP Multimedia Services Identity Module (ISIM) of the mobile device to the first security channel (IP Multimedia Subsystem) as one of the services provided by the mobile device, using the authentication information, Registers.

일 실시예에 있어서, 상기 코드는 QR코드(Quick Response Code)에 상응할 수 있다.In one embodiment, the code may correspond to a QR code (Quick Response Code).

일 실시예에 있어서, 상기 모바일 장치는 랜덤값을 임의로 선택하고, 상기 랜덤값, 상기 제1 공개키, 및 상기 제2 값에 기초하여 상기 공유 비밀키를 생성할 수 있다.In one embodiment, the mobile device may randomly select a random value, and generate the shared secret key based on the random value, the first public key, and the second value.

일 실시예에 있어서, 상기 모바일 장치와 상기 사물 인터넷 장치 사이에 상기 제1 공개키, 상기 제1 값, 및 상기 제2 값에 기초하여 생성되는 상기 공유 비밀키를 세션키로 사용하여 암호화 통신을 수행하는 상기 제1 보안 채널을 형성하는 방법은, 상기 모바일 장치가 랜덤값을 선택하는 단계, 상기 모바일 장치가 상기 랜덤값, 상기 제1 값, 및 상기 제2 값에 기초하여 제2 공개키를 계산하는 단계, 상기 모바일 장치가 상기 제1 공개키, 상기 랜덤값, 및 상기 제2 값에 기초하여 상기 공유 비밀키를 계산하는 단계, 상기 모바일 장치가 상기 제2 공개키를 상기 사물 인터넷 장치에 전송하는 단계, 상기 사물 인터넷 장치가 상기 제2 공개키, 미리 저장하고 있는 비밀값, 및 상기 제2 값에 기초하여 상기 공유 비밀키를 계산하는 단계를 포함할 수 있다.In one embodiment, an encrypted communication is performed using the shared secret key generated based on the first public key, the first value, and the second value between the mobile device and the Internet device as a session key Wherein the mobile device calculates a second public key based on the random value, the first value, and the second value, the method further comprising: , The mobile device calculating the shared secret key based on the first public key, the random value, and the second value, the mobile device sending the second public key to the matter Internet device And calculating the shared secret key based on the second public key, the previously stored secret value, and the second value.

상기 모바일 장치와 상기 사물 인터넷 장치 사이에 상기 제1 공개키, 상기 제1 값, 및 상기 제2 값에 기초하여 생성되는 상기 공유 비밀키를 세션키로 사용하여 암호화 통신을 수행하는 상기 제1 보안 채널을 형성하는 방법은, 상기 사물 인터넷 장치가 상기 제1 공개키를 상기 공유 비밀키로 암호화하여 검증값으로서 상기 모바일 장치에 전송하는 단계, 및 상기 모바일 장치가 상기 검증값을 상기 공유 비밀키로 복호화한 값과 상기 제1 공개키를 비교하여 상기 사물 인터넷 장치를 인증하는 단계를 더 포함할 수 있다.The first secure channel, which performs encrypted communication using the shared secret key, which is generated based on the first public key, the first value, and the second value, as a session key between the mobile device and the object Internet device, The method comprising the steps of: the object Internet device encrypting the first public key with the shared secret key and sending the encrypted first public key as a verification value to the mobile device; and the mobile device encrypting the verification value with the shared secret key And authenticating the object Internet device by comparing the first public key with the first public key.

일 실시예에 있어서, 상기 사물 인터넷 장치는 와이파이(Wireless Fidelity; Wi-Fi) 통신을 통해 상기 모바일 장치와 통신을 수행할 수 있다.In one embodiment, the Internet device is capable of communicating with the mobile device via Wi-Fi (Wi-Fi) communication.

일 실시예에 있어서, 상기 모바일 장치가 상기 사물 인터넷 장치에 전송하는 상기 인증 정보는 상기 모바일 장치의 상기 ISIM에 저장된 IMPI(IMS private user identity)를 포함할 수 있다.In one embodiment, the authentication information that the mobile device sends to the thing Internet device may comprise an IMS private user identity (IMPI) stored in the ISIM of the mobile device.

일 실시예에 있어서, 상기 사물 인터넷 장치는 상기 모바일 장치, 상기 사물 인터넷 장치, 및 상기 IMS 사이의 3자간 통신을 통해 상기 모바일 장치가 제공하는 서비스 중의 하나로 상기 IMS에 등록될 수 있다.In one embodiment, the Internet appliance may be registered with the IMS as one of the services provided by the mobile device via three-way communication between the mobile device, the Internet appliance, and the IMS.

일 실시예에 있어서, 상기 인증 정보를 사용하여 상기 사물 인터넷 장치를 상기 모바일 장치가 제공하는 서비스 중의 하나로 상기 IMS에 등록하는 방법은, 상기 사물 인터넷 장치가 상기 사물 인터넷 장치의 포트 번호를 상기 제1 보안 채널을 통해 상기 모바일 장치에 전송하는 단계, 및 상기 모바일 장치가 상기 ISIM에 저장된 IMPI(IMS private user identity), 상기 ISIM에 저장된 IMPU(IMS public user identity), 상기 사물 인터넷 장치의 IP 주소, 및 상기 포트 번호를 포함하는 제1 등록 요청 메시지를 상기 IMS에 전송하는 단계를 포함할 수 있다.In one embodiment, a method for registering the Internet appliance as one of the services provided by the mobile device using the authentication information may include registering the port number of the Internet appliance as the first (IMS private user identity) stored in the ISIM; an IMS public user identity (IMPU) stored in the ISIM; an IP address of the object Internet device; and And transmitting a first registration request message including the port number to the IMS.

상기 인증 정보를 사용하여 상기 사물 인터넷 장치를 상기 모바일 장치가 제공하는 서비스 중의 하나로 상기 IMS에 등록하는 방법은, 상기 사물 인터넷 장치가 상기 IMS로부터 도전값을 포함하는 검증 요청 메시지를 수신하는 단계, 상기 사물 인터넷 장치가 상기 도전값을 상기 제1 보안 채널을 통해 상기 모바일 장치에 전송하는 단계, 상기 모바일 장치가 상기 도전값 및 상기 모바일 장치와 상기 IMS가 공유하는 비밀키에 기초하여 응답값 및 세션키를 계산하는 단계, 상기 모바일 장치가 상기 응답값 및 상기 세션키를 상기 제1 보안 채널을 통해 상기 사물 인터넷 장치에 전송하는 단계, 상기 세션키를 사용하여 상기 사물 인터넷 장치와 상기 IMS 사이에 제2 보안 채널을 형성하는 단계, 상기 사물 인터넷 장치가 상기 응답값을 포함하는 제2 등록 요청 메시지를 상기 제2 보안 채널을 통해 상기 IMS에 전송하는 단계, 및 상기 사물 인터넷 장치가 상기 IMS로부터 승인 메시지를 상기 제2 보안 채널을 통해 수신하는 단계를 더 포함할 수 있다.The method for registering the Internet appliance as one of the services provided by the mobile device using the authentication information includes receiving a verification request message including the challenge value from the IMS, The object Internet device sending the challenge value to the mobile device over the first secure channel, the mobile device sending a response value based on the challenge value and a secret key shared by the mobile device and the IMS, , The mobile device sending the response value and the session key to the thing Internet device via the first secure channel, using the session key to send a second Forming a secure channel, the object Internet apparatus including a second registration request message including the response value, To the IMS over the second secure channel, and receiving the acknowledgment message from the IMS via the second secure channel.

상기 모바일 장치는 상기 모바일 장치와 상기 IMS 사이에 미리 형성된 제3 보안 채널을 통해 상기 제1 등록 요청 메시지를 상기 IMS에 전송할 수 있다.The mobile device may send the first registration request message to the IMS over a third secure channel previously established between the mobile device and the IMS.

상기 제2 보안 채널 및 상기 제3 보안 채널은 IPSec(Internet Protocol Security) 표준에 기초하여 동작할 수 있다.The second secure channel and the third secure channel may operate based on an Internet Protocol Security (IPSec) standard.

본 발명의 실시예들에 따른 사물 인터넷 장치의 부트스트랩 방법은 사물 인터넷 장치의 제조 비용은 감소시키면서도 사물 인터넷 장치의 보안성은 효과적으로 향상시킬 수 있다.The bootstrap method of the Internet appliance according to the embodiments of the present invention can effectively improve the security of the Internet appliance while reducing the manufacturing cost of the Internet appliance.

도 1은 본 발명의 일 실시예에 따른 통신 시스템을 나타내는 도면이다.
도 2는 본 발명의 일 실시예에 따른 사물 인터넷(Internet of Thing; IoT) 장치의 부트스트랩(bootstrap) 방법을 나타내는 순서도이다.
도 3은 도 2의 모바일 장치와 사물 인터넷 장치 사이에 제1 공개키, 제1 값, 및 제2 값에 기초하여 생성되는 공유 비밀키를 세션키(session key)로 사용하여 암호화 통신을 수행하는 제1 보안 채널을 형성하는 단계의 일 예를 나타내는 순서도이다.
도 4는 모바일 장치와 사물 인터넷 장치가 공유 비밀키를 생성하고, 공유 비밀키를 세션키로 사용하여 암호화 통신을 수행하는 제1 보안 채널을 형성하는 과정을 설명하기 위한 도면이다.
도 5는 도 1의 통신 시스템에 포함되는 IMS의 일 예를 나타내는 블록도이다.
도 6은 도 2의 모바일 장치와 사물 인터넷 장치가 모바일 장치의 ISIM(IP Multimedia Services Identity Module)에 저장된 인증 정보를 사용하여 사물 인터넷 장치를 모바일 장치가 제공하는 서비스 중의 하나로 IMS(IP Multimedia Subsystem)에 등록하는 단계의 일 예를 나타내는 순서도이다.
도 7은 사물 인터넷 장치, 모바일 장치, 및 IMS가 3자간 통신을 수행하여 사물 인터넷 장치와 IMS 사이에 제2 보안 채널을 형성함으로써 사물 인터넷 장치를 모바일 장치가 제공하는 서비스 중의 하나로 IMS에 등록하는 과정을 설명하기 위한 도면이다.1 is a diagram illustrating a communication system according to an embodiment of the present invention.
2 is a flowchart illustrating a bootstrap method of an Internet of Thing (IoT) device according to an embodiment of the present invention.
FIG. 3 is a flowchart illustrating a method of performing encrypted communication using a shared secret key generated based on a first public key, a first value, and a second value between a mobile device of FIG. 2 and a destination Internet device as a session key FIG. 8 is a flowchart showing an example of a step of forming a first secure channel. FIG.
4 is a diagram illustrating a process of forming a first secure channel for performing encrypted communication by using a shared secret key as a session key and generating a shared secret key by the mobile device and the object Internet device.
5 is a block diagram illustrating an example of an IMS included in the communication system of FIG.
FIG. 6 is a flow chart illustrating an operation of the mobile Internet device of FIG. 2 by using the authentication information stored in the ISIM Fig. 2 is a flowchart showing an example of a registration step. Fig.
7 is a flowchart illustrating a process of registering the object Internet device in the IMS as one of the services provided by the mobile device by forming a second secure channel between the object Internet device, the mobile device, and the IMS, Fig.

본문에 개시되어 있는 본 발명의 실시예들에 대해서, 특정한 구조적 내지 기능적 설명들은 단지 본 발명의 실시예를 설명하기 위한 목적으로 예시된 것으로, 본 발명의 실시예들은 다양한 형태로 실시될 수 있으며 본문에 설명된 실시예들에 한정되는 것으로 해석되어서는 아니 된다.For the embodiments of the invention disclosed herein, specific structural and functional descriptions are set forth for the purpose of describing an embodiment of the invention only, and it is to be understood that the embodiments of the invention may be practiced in various forms, The present invention should not be construed as limited to the embodiments described in Figs.

본 발명은 다양한 변경을 가할 수 있고 여러 가지 형태를 가질 수 있는바, 특정 실시예들을 도면에 예시하고 본문에 상세하게 설명하고자 한다. 그러나 이는 본 발명을 특정한 개시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.The present invention is capable of various modifications and various forms, and specific embodiments are illustrated in the drawings and described in detail in the text. It is to be understood, however, that the invention is not intended to be limited to the particular forms disclosed, but on the contrary, is intended to cover all modifications, equivalents, and alternatives falling within the spirit and scope of the invention.

제1, 제2 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로 사용될 수 있다. 예를 들어, 본 발명의 권리 범위로부터 이탈되지 않은 채 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다.The terms first, second, etc. may be used to describe various components, but the components should not be limited by the terms. The terms may be used for the purpose of distinguishing one component from another. For example, without departing from the scope of the present invention, the first component may be referred to as a second component, and similarly, the second component may also be referred to as a first component.

어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다. 구성요소들 간의 관계를 설명하는 다른 표현들, 즉 "~사이에"와 "바로 ~사이에" 또는 "~에 이웃하는"과 "~에 직접 이웃하는" 등도 마찬가지로 해석되어야 한다.It is to be understood that when an element is referred to as being "connected" or "connected" to another element, it may be directly connected or connected to the other element, . On the other hand, when an element is referred to as being "directly connected" or "directly connected" to another element, it should be understood that there are no other elements in between. Other expressions that describe the relationship between components, such as "between" and "between" or "neighboring to" and "directly adjacent to" should be interpreted as well.

본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 설시된 특징, 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.The terminology used in this application is used only to describe a specific embodiment and is not intended to limit the invention. The singular expressions include plural expressions unless the context clearly dictates otherwise. In the present application, the terms "comprise", "having", and the like are intended to specify the presence of stated features, integers, steps, operations, elements, components, or combinations thereof, , Steps, operations, components, parts, or combinations thereof, as a matter of principle.

다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미이다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미인 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.Unless otherwise defined, all terms used herein, including technical or scientific terms, have the same meaning as commonly understood by one of ordinary skill in the art to which this invention belongs. Terms such as those defined in commonly used dictionaries should be construed as meaning consistent with meaning in the context of the relevant art and are not to be construed as ideal or overly formal in meaning unless expressly defined in the present application .

이하, 첨부한 도면들을 참조하여, 본 발명의 바람직한 실시예를 보다 상세하게 설명하고자 한다. 도면상의 동일한 구성요소에 대해서는 동일한 참조부호를 사용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다.Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings. The same reference numerals are used for the same constituent elements in the drawings and redundant explanations for the same constituent elements are omitted.

도 1은 본 발명의 일 실시예에 따른 통신 시스템을 나타내는 도면이다.1 is a diagram illustrating a communication system according to an embodiment of the present invention.

도 1을 참조하면, 통신 시스템(10)은 사물 인터넷(Internet of Thing; IoT) 장치(100), 모바일(mobile) 장치(200), 및 IMS(IP Multimedia Subsystem)(300)를 포함한다.1, a communication system 10 includes an Internet of Thing (IoT) device 100, a mobile device 200, and an IMS (IP Multimedia Subsystem) 300.

사물 인터넷 장치(100) 및 모바일 장치(200)는 동일한 사용자에 의해 사용된다.The object Internet device 100 and the mobile device 200 are used by the same user.

예를 들어, 사물 인터넷 장치(100)는 모바일 장치(200)의 사용자가 거주하는 공간에 설치되어 상기 사용자에 의해 사용될 수 있다.For example, the object Internet device 100 may be installed in a space where a user of the mobile device 200 resides and used by the user.

사물 인터넷 장치(100)는 스마트 텔레비전, 스마트 냉장고, 스마트 세탁기, 스마트 에어컨, 스마트 스피커 등과 같이 통신 기능을 갖는 임의의 사물일 수 있다.The object Internet apparatus 100 may be any object having a communication function such as a smart television, a smart refrigerator, a smart washing machine, a smart air conditioner, a smart speaker, and the like.

일 실시예에 있어서, 사물 인터넷 장치(100)의 제조 비용의 증가를 억제하기 위해, 사물 인터넷 장치(100)는 와이파이(Wireless Fidelity; Wi-Fi) 통신 기능을 가지며, 와이파이 통신 기능 이외의 무선 통신 기능은 가지지 않을 수 있다.In order to suppress an increase in the manufacturing cost of the object Internet apparatus 100, the object Internet apparatus 100 has a wireless fidelity (Wi-Fi) communication function and performs wireless communication other than the Wi- Function may not be available.

이 경우, 사물 인터넷 장치(100)는 와이파이 통신을 통해 AP(Access Point)와 연결되고, 상기 AP는 인터넷 망을 통해 모바일 장치(200) 및 IMS(300)와 연결됨으로써, 사물 인터넷 장치(100)는 모바일 장치(200) 및 IMS(300)와 통신을 수행할 수 있다.In this case, the object Internet device 100 is connected to an AP (Access Point) via Wi-Fi communication, and the AP is connected to the mobile device 200 and the IMS 300 through the Internet network, Can communicate with the mobile device 200 and the IMS 300.

IMS(300)는 인터넷 프로토콜(Internet Protocol; IP)을 기반으로 음성, 오디오, 비디오, 및 데이터 등의 멀티미디어 서비스를 제공하는 국제 표준에 따른 시스템으로서, 모바일 장치(200)가 가입된 이동통신 사업자에 의해 운영될 수 있다.The IMS 300 is a system according to an international standard for providing multimedia services such as voice, audio, video, and data based on Internet Protocol (IP), and is a system in which a mobile device 200 Lt; / RTI >

따라서 모바일 장치(200)는 LTE(Long Term Evolution) 통신과 같은 이동 통신을 통해 IMS(300)와 통신을 수행할 수 있다.Accordingly, the mobile device 200 can perform communication with the IMS 300 through mobile communication such as LTE (Long Term Evolution) communication.

도 1에 도시된 바와 같이, 사물 인터넷 장치(100)와 모바일 장치(200)는 제1 보안 채널(SC1)을 형성하고, 제1 보안 채널(SC1)을 통해 안전하게 암호화 통신을 수행할 수 있다.As shown in FIG. 1, the object Internet device 100 and the mobile device 200 form a first secure channel SC1 and can securely perform encrypted communication over the first secure channel SC1.

사물 인터넷 장치(100)와 IMS(300)는 제2 보안 채널(SC2)을 형성하고, 제2 보안 채널(SC2)을 통해 안전하게 암호화 통신을 수행할 수 있다.The object Internet apparatus 100 and the IMS 300 form a second secure channel SC2 and can securely perform encrypted communication over the second secure channel SC2.

모바일 장치(200)와 IMS(300)는 제3 보안 채널(SC3)을 형성하고, 제3 보안 채널(SC3)을 통해 안전하게 암호화 통신을 수행할 수 있다.The mobile device 200 and the IMS 300 form a third secure channel SC3 and can securely perform encrypted communication over the third secure channel SC3.

도 1에 도시된 바와 같이, 모바일 장치(200)는 내부에 장착되는 범용 집적 회로 카드(Universal Integrated Circuit Card; UICC)(210)를 포함할 수 있다.As shown in FIG. 1, the mobile device 200 may include a universal integrated circuit card (UICC) 210 mounted therein.

또한, 범용 집적 회로 카드(210)는 모바일 장치(200)가 IMS(300)와 제3 보안 채널(SC3)을 형성하는 데에 필요한 정보를 저장하는 ISIM(IP Multimedia Services Identity Module)(220)을 포함할 수 있다.The general purpose integrated circuit card 210 also includes an IP Multimedia Services Identity Module (ISIM) 220 for storing information necessary for the mobile device 200 to form a third secure channel SC3 with the IMS 300 .

일 실시예에 있어서, 범용 집적 회로 카드(210)는 범용 가입자 인증 모듈(Universal Subscriber Identity Module; USIM)일 수 있다.In one embodiment, the general purpose integrated circuit card 210 may be a Universal Subscriber Identity Module (USIM).

사물 인터넷 장치(100)가 모바일 장치(200)의 사용자가 거주하는 공간에 설치되기 이전에, 모바일 장치(200)는 ISIM(220)에 저장된 정보를 사용하여 IMS(300)와 IMS-AKA(Authentication and Key Agreement) 과정을 수행함으로써 IMS(300)와 제3 보안 채널(SC3)을 미리 형성하고 IMS(300)에 등록(register)될 수 있다.The mobile device 200 uses the information stored in the ISIM 220 to establish a connection between the IMS 300 and the IMS-AKA (Authentication) 300 before the object Internet device 100 is installed in the space where the user of the mobile device 200 resides. the IMS 300 and the third secure channel SC3 may be formed in advance and registered in the IMS 300 by performing a Key Agreement process.

일 실시예에 있어서, 모바일 장치(200)와 IMS(300) 사이에 형성되는 제3 보안 채널(SC3)은 IPSec(Internet Protocol Security) 표준에 기초하여 동작할 수 있다.In one embodiment, the third secure channel SC3 formed between the mobile device 200 and the IMS 300 may operate based on the Internet Protocol Security (IPSec) standard.

일반적인 전자 장치가 ISIM에 저장된 정보를 사용하여 IMS와 IMS-AKA 과정을 수행함으로써 IMS와 보안 채널을 형성하고 IMS에 등록되는 방법은 공지된 기술이므로, 여기서는, 모바일 장치(200)가 ISIM(220)에 저장된 정보를 사용하여 IMS(300)와 제3 보안 채널(SC3)을 형성하는 방법에 대한 상세한 설명은 생략한다.Herein, since the mobile device 200 is connected to the ISIM 220, since a general electronic device forms a secure channel with the IMS and registers with the IMS by performing the IMS and IMS-AKA processes using the information stored in the ISIM, A detailed description of the method for forming the third secure channel SC3 using the information stored in the IMS 300 will be omitted.

한편, 사물 인터넷 장치(100)의 제조 시에, 사물 인터넷 장치(100)가 모바일 장치(200)와 제1 보안 채널(SC1)을 형성하는 데에 사용되는 값들을 저장하는 코드(110)가 사물 인터넷 장치(100)에 부착될 수 있다.On the other hand, in the manufacture of the object Internet apparatus 100, the code 110 for storing the values used for the object Internet apparatus 100 to form the first secure channel SC1 with the mobile apparatus 200, May be attached to the Internet device 100.

일 실시예에 있어서, 코드(110)는 QR코드(Quick Response Code)일 수 있다.In one embodiment, the code 110 may be a Quick Response Code (QR code).

다른 실시예에 있어서, 코드(110)는 바코드(Bar Code)일 수 있다.In another embodiment, the code 110 may be a bar code.

그러나, 본 발명은 이에 한정되지 않으며, 실시예에 따라서 코드(110)는 다양한 값들을 저장할 수 있는 임의의 형태의 코드일 수 있다.However, the present invention is not so limited, and according to an embodiment, the code 110 may be any form of code capable of storing various values.

일 실시예에 있어서, 코드(110)는 사물 인터넷 장치(100)의 외부 표면에 부착될 수 있다.In one embodiment, the code 110 may be attached to the exterior surface of the things Internet device 100.

그러나, 본 발명은 이에 한정되지 않으며, 실시예에 따라서 코드(110)는 사물 인터넷 장치(100)의 임의의 위치에 부착될 수 있다.However, the present invention is not limited thereto, and according to the embodiment, the code 110 may be attached to any location of the things Internet device 100. [

또한, 사물 인터넷 장치(100)의 제조 시에, 코드(110)에 포함된 값들은 사물 인터넷 장치(100)의 내부 저장 장치에 미리 저장될 수 있다.In addition, in manufacturing the object Internet apparatus 100, the values included in the code 110 may be stored in advance in the internal storage of the object Internet apparatus 100. [

사물 인터넷 장치(100)가 모바일 장치(200)의 사용자가 거주하는 공간에 최초로 설치될 때, 사물 인터넷 장치(100)는 본 발명에 따른 부트스트랩(bootstrap) 과정을 통해 모바일 장치(200)가 제공하는 서비스 중의 하나로 IMS(300)에 등록될 수 있다.When the object Internet apparatus 100 is first installed in a space in which the user of the mobile apparatus 200 resides, the object Internet apparatus 100 is connected to the mobile device 200 through the bootstrap process according to the present invention And may be registered in the IMS 300 as one of the services.

구체적으로, 사물 인터넷 장치(100)가 모바일 장치(200)의 사용자가 거주하는 공간에 최초로 설치될 때, 사물 인터넷 장치(100)와 모바일 장치(200)는 사물 인터넷 장치(100)에 부착된 코드(110)를 사용하여 제1 보안 채널(SC1)을 형성하고, 이후, 사물 인터넷 장치(100)는 모바일 장치(200)의 도움을 통해 IMS(300)와 제2 보안 채널(SC2)을 형성함으로써 사물 인터넷 장치(100)는 모바일 장치(200)가 제공하는 서비스 중의 하나로 IMS(300)에 등록될 수 있다.More specifically, when the object Internet apparatus 100 is first installed in a space where a user of the mobile apparatus 200 resides, the object Internet apparatus 100 and the mobile apparatus 200 transmit the code attached to the object Internet apparatus 100 The object Internet device 100 forms a first secure channel SC1 using the mobile device 200 and then forms the second secure channel SC2 with the help of the mobile device 200 The object Internet device 100 may be registered with the IMS 300 as one of the services provided by the mobile device 200.

사물 인터넷 장치(100)가 본 발명에 따른 부트스트랩 과정을 통해 모바일 장치(200)와 제1 보안 채널(SC1)을 형성하고, IMS(300)와 제2 보안 채널(SC2)을 형성하는 방법에 대한 상세한 설명은 도 2 내지 7을 참조하여 후술한다.A method in which the object Internet apparatus 100 forms the first secure channel SC1 with the mobile device 200 through the bootstrap process according to the present invention and forms the second secure channel SC2 with the IMS 300 A detailed description will be given later with reference to Figs. 2 to 7.

한편, 도 1에서 모바일 장치(200)는 스마트폰(smart phone)인 것으로 도시되어 있으나, 본 발명은 이에 한정되지 않는다. 실시예에 따라서 모바일 장치(200)는 태블릿 컴퓨터(tablet computer), 휴대폰(mobile phone), 개인 정보 단말기(personal digital assistant; PDA) 등과 같이 ISIM(220)을 포함하는 범용 집적 회로 카드(210)를 장착할 수 있는 임의의 모바일 장치일 수 있다.1, the mobile device 200 is shown as a smart phone, but the present invention is not limited thereto. The mobile device 200 may include a universal integrated circuit card 210 including an ISIM 220 such as a tablet computer, a mobile phone, a personal digital assistant (PDA) Or any mobile device capable of being mounted.

도 2는 본 발명의 일 실시예에 따른 사물 인터넷 장치의 부트스트랩(bootstrap) 방법을 나타내는 순서도이다.FIG. 2 is a flowchart illustrating a bootstrap method of a destination Internet device according to an embodiment of the present invention. Referring to FIG.

도 2에 도시된 사물 인터넷 장치의 부트스트랩 방법은 도 1의 통신 시스템(10)을 통해 수행될 수 있다.The bootstrap method of the Internet appliance shown in FIG. 2 can be performed through the communication system 10 of FIG.

이하, 도 1 및 2를 참조하여 사물 인터넷 장치(100)가 통신 시스템(10)에 최초로 설치될 때, 사물 인터넷 장치(100)가 IMS(300)와 안전한 통신을 수행하기 위한 보안 채널을 형성함으로써 IMS(300)에 등록되는 과정에 상응하는 사물 인터넷 장치(100)의 부트스트랩 방법에 대해 설명한다.1 and 2, when the object Internet apparatus 100 is installed in the communication system 10 for the first time, the object Internet apparatus 100 forms a secure channel for performing secure communication with the IMS 300 The bootstrap method of the object Internet device 100 corresponding to the process of registering in the IMS 300 will be described.

사물 인터넷 장치(100)의 제조 시에 사물 인터넷 장치(100)에 부착되는 코드(110)는 아래의 [수학식 1]을 만족하는 제1 공개키(R1), 제1 값(g), 및 제2 값(p)을 포함할 수 있다.The code 110 attached to the object Internet apparatus 100 at the time of manufacturing the object Internet apparatus 100 includes a first public key R1 satisfying the following formula 1 and a first value g, And may include a second value p.

[수학식 1][Equation 1]

R1 = gy mod pR1 = g y mod p

여기서, R1은 제1 공개키(R1)를 나타내고, g는 제1 값(g)을 나타내고, p는 제2 값(p)을 나타내고, y는 비밀값(y)을 나타내고, mod는 모듈로(modulo) 연산을 낸다.Here, R1 represents the first public key R1, g represents the first value (g), p represents the second value (p), y represents the secret value (y) (modulo) operation.

한편, 사물 인터넷 장치(100)의 제조 시에, 코드(110)에 포함된 제1 공개키(R1), 제1 값(g), 및 제2 값(p)은 사물 인터넷 장치(100)의 내부 저장 장치에 미리 저장될 수 있다.On the other hand, when manufacturing the object Internet device 100, the first public key R1, the first value g, and the second value p included in the code 110 are transmitted to the object Internet device 100 And can be stored in advance in the internal storage device.

또한, 비밀값(y) 역시 사물 인터넷 장치(100)의 제조 시에 사물 인터넷 장치(100)의 상기 내부 저장 장치에 미리 저장될 수 있다.The secret value y may also be stored in advance in the internal storage device of the object Internet device 100 at the time of manufacturing the object Internet device 100. [

그러나 비밀값(y)은 사물 인터넷 장치(100)의 상기 내부 저장 장치에만 저장될 뿐, 코드(110)에는 포함되지 않는다.However, the secret value y is stored only in the internal storage device of the object Internet device 100, but is not included in the code 110. [

도 2를 참조하면, 사물 인터넷 장치(100)가 통신 시스템(10)에 최초로 설치될 때, 모바일 장치(200)는 사물 인터넷 장치(100)에 부착된 코드(110)를 독출하여 코드(110)에 포함되는 제1 공개키(R1), 제1 값(g), 및 제2 값(p)을 획득할 수 있다(단계 S100).2, when the object Internet apparatus 100 is first installed in the communication system 10, the mobile apparatus 200 reads the code 110 attached to the object Internet apparatus 100, The first public key Rl, the first value g, and the second value p included in the public key Rl (step S100).

일 실시예에 있어서, 모바일 장치(200)는 카메라를 사용하여 사물 인터넷 장치(100)에 부착된 코드(110)를 촬영하고, 상기 촬영된 이미지를 분석하여 코드(110)에 포함되는 제1 공개키(R1), 제1 값(g), 및 제2 값(p)을 획득할 수 있다.In one embodiment, the mobile device 200 captures the code 110 attached to the things Internet device 100 using a camera, analyzes the captured image, and generates a first public < RTI ID = 0.0 > It is possible to obtain the key R1, the first value g, and the second value p.

이후, 모바일 장치(200)와 사물 인터넷 장치(100)는 제1 공개키(R1), 제1 값(g), 및 제2 값(p)에 기초하여 공유 비밀키(K)를 생성하고, 공유 비밀키(K)를 세션키(session key)로 사용하여 암호화 통신을 수행하는 제1 보안 채널(SC1)을 형성할 수 있다(단계 S200).The mobile device 200 and the thing Internet device 100 then generate the shared secret key K based on the first public key Rl, the first value g and the second value p, A first secure channel SC1 for performing encrypted communication using the shared secret key K as a session key may be formed (step S200).

일 실시예에 있어서, 공유 비밀키(K)는 모바일 장치(200)에 의해 임의로 선택되는 랜덤값(x)에 기초하여 생성될 수 있다.In one embodiment, the shared secret key K may be generated based on a random value (x) that is arbitrarily selected by the mobile device 200.

모바일 장치(200)와 사물 인터넷 장치(100)가 모바일 장치(200)에 의해 임의로 선택되는 랜덤값(x), 제1 공개키(R1), 제1 값(g), 및 제2 값(p)에 기초하여 공유 비밀키(K)를 생성하는 과정에 대해서는 이하 도 3 및 4를 참조하여 상세히 설명한다.The mobile device 200 and the thing Internet device 100 are configured to randomly select a random value x, a first public key R1, a first value g, and a second value p ) Will be described in detail with reference to FIGS. 3 and 4. FIG.

도 3은 도 2의 모바일 장치와 사물 인터넷 장치 사이에 제1 공개키, 제1 값, 및 제2 값에 기초하여 생성되는 공유 비밀키를 세션키로 사용하여 암호화 통신을 수행하는 제1 보안 채널을 형성하는 단계(S200)의 일 예를 나타내는 순서도이다.FIG. 3 illustrates a first secure channel for performing encrypted communication using a shared secret key generated based on a first public key, a first value, and a second value between the mobile device of FIG. 2 and the object Internet device as a session key (Step S200).

도 4는 모바일 장치와 사물 인터넷 장치가 공유 비밀키를 생성하고, 공유 비밀키를 세션키로 사용하여 암호화 통신을 수행하는 제1 보안 채널을 형성하는 과정을 설명하기 위한 도면이다.4 is a diagram illustrating a process of forming a first secure channel for performing encrypted communication by using a shared secret key as a session key and generating a shared secret key by the mobile device and the object Internet device.

도 3 및 4를 참조하면, 모바일 장치(200)는 사물 인터넷 장치(100)에 부착된 코드(110)를 독출하여 코드(110)에 포함되는 제1 공개키(R1), 제1 값(g), 및 제2 값(p)을 획득한 이후(단계 S100), 랜덤값(x)을 임의로 선택할 수 있다(단계 S210).3 and 4, the mobile device 200 reads the code 110 attached to the object Internet device 100 and generates a first public key R1, a first value g ) And the second value p (step S100), the random value x can be arbitrarily selected (step S210).

실시예에 따라서, 모바일 장치(200)는 다양한 알고리즘을 사용하여 랜덤값(x)을 선택할 수 있다.Depending on the embodiment, the mobile device 200 may select a random value x using various algorithms.

이후, 모바일 장치(200)는 랜덤값(x), 제1 값(g), 및 제2 값(p)에 기초하여 제2 공개키(R2)를 계산할 수 있다(단계 S220).The mobile device 200 may then calculate the second public key R2 based on the random value x, the first value g, and the second value p (step S220).

일 실시예에 있어서, 모바일 장치(200)는 아래의 [수학식 2]에 기초하여 제2 공개키(R2)를 계산할 수 있다.In one embodiment, the mobile device 200 may calculate the second public key R2 based on Equation (2) below.

[수학식 2]&Quot; (2) "

R2 = gx mod pR2 = g x mod p

여기서, R2는 제2 공개키(R2)를 나타낸다.Here, R2 represents the second public key R2.

또한, 모바일 장치(200)는 제1 공개키(R1), 랜덤값(x), 및 제2 값(p)에 기초하여 공유 비밀키(K)를 계산할 수 있다(단계 S230).In addition, the mobile device 200 may calculate the shared secret K based on the first public key Rl, the random value x, and the second value p (step S230).

일 실시예에 있어서, 모바일 장치(200)는 아래의 [수학식 3]에 기초하여 공유 비밀키(K)를 계산할 수 있다.In one embodiment, the mobile device 200 may calculate the shared secret K based on Equation (3) below.

[수학식 3]&Quot; (3) "

K = R1x mod pK = R1 x mod p

여기서, K는 공유 비밀키(K)를 나타낸다.Here, K represents a shared secret key (K).

한편, 도 3 및 4에는 모바일 장치(200)가 제2 공개키(R2)를 계산(단계 S220)한 이후에 공유 비밀키(K)를 계산(단계 S230)하는 것으로 도시되어 있으나, 본 발명은 이에 한정되지 않으며, 실시예에 따라서 모바일 장치(200)는 공유 비밀키(K)를 계산(단계 S230)한 이후에 제2 공개키(R2)를 계산(단계 S220)할 수도 있다.3 and 4 illustrate that the mobile device 200 calculates the shared secret key K (step S230) after calculating the second public key R2 (step S220), but the present invention is not limited thereto The mobile device 200 may calculate the second public key R2 (step S220) after calculating the shared secret key K (step S230) according to the embodiment.

모바일 장치(200)는 제2 공개키(R2) 및 공유 비밀키(K)를 계산한 이후, 제2 공개키(R2)를 사물 인터넷 장치(100)에 전송할 수 있다(단계 S240).After the mobile device 200 calculates the second public key R2 and the shared secret key K, the mobile device 200 may transmit the second public key R2 to the thing Internet device 100 (step S240).

사물 인터넷 장치(100)는 모바일 장치로부터 수신되는 제2 공개키(R2), 상기 내부 저장 장치에 미리 저장하고 있는 비밀값(y), 및 제2 값(p)에 기초하여 공유 비밀키(K)를 계산할 수 있다(단계 S250).The object Internet apparatus 100 transmits the shared secret key K (k) based on the second public key R2 received from the mobile device, the secret value y previously stored in the internal storage, and the second value p ) (Step S250).

[수학식 1], [수학식 2], 및 [수학식 3]을 정리하면, 공유 비밀키(K)는 아래의 [수학식 4]를 만족할 수 있다.In summary, the shared secret key K can satisfy Equation (4) below. ≪ EMI ID = 3.0 >

[수학식 4]&Quot; (4) "

K = R1x mod p = gxy mod p = R2y mod pK = R1 x mod p = g xy mod p = R2 y mod p

따라서 사물 인터넷 장치(100)는 아래의 [수학식 5]에 기초하여 공유 비밀키(K)를 계산할 수 있다.Therefore, the thing Internet device 100 can calculate the shared secret key K based on the following equation (5).

[수학식 5]&Quot; (5) "

K = R2y mod pK = R2 y mod p

따라서 사물 인터넷 장치(100)와 모바일 장치(200)는 동일한 값을 갖는 공유 비밀키(K)를 각각 생성함으로써 공유 비밀키(K)를 서로 공유할 수 있다.Therefore, the object Internet device 100 and the mobile device 200 can share the shared secret key K by generating a shared secret key K having the same value, respectively.

이후, 사물 인터넷 장치(100)는 모바일 장치(200)와 동일한 공유 비밀키(K)를 정상적으로 생성했음을 모바일 장치(200)에게 증명하기 위해, 상기 내부 저장 장치에 미리 저장하고 있는 제1 공개키(R1)를 공유 비밀키(K)로 암호화한 후, 상기 암호화된 값을 검증값(K(R1))으로서 모바일 장치(200)에 전송할 수 있다(단계 S260).Then, the object Internet device 100 transmits the first public key (K) stored in advance in the internal storage device to the mobile device 200 in order to verify to the mobile device 200 that the mobile device 200 has normally created the same shared secret key K R1) with the shared secret key K and then transmits the encrypted value as the verification value K (R1) to the mobile device 200 (step S260).

모바일 장치(200)는 공유 비밀키(K)를 사용하여 사물 인터넷 장치(100)로부터 수신되는 검증값(K(R1))을 복호화하여 복호화값을 생성하고, 상기 복호화값과 코드(110)로부터 독출된 제1 공개키(R1)를 비교하여 사물 인터넷 장치(100)를 인증할 수 있다(단계 S270).The mobile device 200 generates a decryption value by decrypting the verification value K (R1) received from the object Internet device 100 using the shared secret key K and decrypting the decryption value from the decryption value K The first public key R1 read out may be compared to authenticate the object Internet device 100 (step S270).

예를 들어, 상기 복호화값과 코드(110)로부터 독출된 제1 공개키(R1)가 일치하지 않는 경우, 모바일 장치(200)는 해킹 등과 같은 외부로부터의 공격이 발생한 것으로 판단하고, 사물 인터넷 장치(100)와의 통신을 중단할 수 있다.For example, if the decryption value does not match the first public key R1 read from the code 110, the mobile device 200 determines that an attack from the outside such as hacking has occurred, The communication with the terminal 100 can be interrupted.

이에 반해, 상기 복호화값과 코드(110)로부터 독출된 제1 공개키(R1)가 일치하는 경우, 모바일 장치(200)는 사물 인터넷 장치(100)와 공유 비밀키(K)를 정상적으로 공유했음을 확인하고, 사물 인터넷 장치(100)를 올바른 사물 인터넷 장치로서 인증할 수 있다.On the other hand, when the decryption value is identical to the first public key R1 read from the code 110, the mobile device 200 confirms that the shared secret key K is normally shared with the object Internet device 100 And authenticate the thing Internet device 100 as a correct thing Internet device.

모바일 장치(200)가 사물 인터넷 장치(100)를 올바른 사물 인터넷 장치로서 인증함으로써, 모바일 장치(200)와 사물 인터넷 장치(100) 사이에 공유 비밀키(K)를 세션키로 사용하여 암호화 통신을 수행하는 제1 보안 채널(SC1)이 형성될 수 있다.The mobile device 200 authenticates the object Internet device 100 as the correct object Internet device so that the encrypted communication is performed using the shared secret key K as the session key between the mobile device 200 and the object Internet device 100 The first secure channel SC1 may be formed.

사물 인터넷 장치(100)가 모바일 장치(200)와 보안 채널을 형성하기 위한 검증값들을 무선 통신을 통해 모바일 장치(200)로 전송하는 경우, 도청 공격(eavesdropping attack)과 같은 외부로부터의 공격으로 인해 사물 인터넷 장치(100)의 보안에 문제가 발생할 수 있다.When the object Internet device 100 transmits verification values for forming a secure channel with the mobile device 200 to the mobile device 200 through wireless communication, an external attack such as an eavesdropping attack A problem may arise in the security of the object Internet device 100. [

그러나, 도 3 및 4를 참조하여 상술한 바와 같이, 본 발명에 따른 사물 인터넷 장치(100)의 부트스트랩 방법에 따르면, 모바일 장치(200)는 사물 인터넷 장치(100)에 부착된 코드(110)를 독출하여 코드(110)에 포함되는 제1 공개키(R1), 제1 값(g), 및 제2 값(p)을 획득하므로, 도청 공격과 같은 외부로부터의 공격을 효과적으로 차단할 수 있다.However, as described above with reference to FIGS. 3 and 4, according to the bootstrap method of the object Internet apparatus 100 according to the present invention, the mobile apparatus 200 is configured to transmit the code 110 attached to the object Internet apparatus 100, And obtains the first public key R1, the first value g, and the second value p included in the code 110, thereby effectively blocking an attack from the outside such as an eavesdropping attack.

또한, 본 발명에 따른 사물 인터넷 장치(100)의 부트스트랩 방법에 따르면, 사물 인터넷 장치(100)에 부착된 코드(110)에 세션키를 직접 저장하지 않는다. 도 3 및 4를 참조하여 상술한 바와 같이, 모바일 장치(200)와 사물 인터넷 장치(100)는 코드(110)에 포함되는 제1 공개키(R1), 제1 값(g), 및 제2 값(p)과 모바일 장치(200)에 의해 임의로 선택되는 랜덤값(x)에 기초하여 공유 비밀키(K)를 생성하고, 공유 비밀키(K)를 세션키로 사용하여 암호화 통신을 수행하는 제1 보안 채널(SC1)을 형성한다. 따라서 모바일 장치(200)와 사물 인터넷 장치(100) 사이에 형성되는 제1 보안 채널(SC1)의 보안성은 더욱 향상될 수 있다.Also, according to the bootstrap method of the object Internet apparatus 100 according to the present invention, the session key is not directly stored in the code 110 attached to the object Internet apparatus 100. [ As described above with reference to Figures 3 and 4, the mobile device 200 and the thing Internet device 100 are configured to communicate with the first public key R1, the first value g, and the second public key R1, (K) based on a value (p) and a random value (x) arbitrarily selected by the mobile device (200), and performs an encrypted communication using the shared secret key (K) 1 security channel SC1. Therefore, the security of the first secure channel SC1 formed between the mobile device 200 and the object Internet device 100 can be further improved.

다시 도 2를 참조하면, 모바일 장치(200)와 사물 인터넷 장치(100) 사이에 제1 보안 채널(SC1)이 형성된 이후(단계 S200), 모바일 장치(200)는 모바일 장치의 ISIM(220)에 저장된 인증 정보를 제1 보안 채널(SC1)을 통해 사물 인터넷 장치(100)에 전송할 수 있다(단계 S300).Referring again to FIG. 2, after the first secure channel SC1 is established between the mobile device 200 and the object Internet device 100 (step S200), the mobile device 200 transmits a message to the ISIM 220 of the mobile device The stored authentication information may be transmitted to the matter Internet device 100 via the first secure channel SC1 (step S300).

도 3 및 4를 참조하여 상술한 바와 같이, 제1 보안 채널(SC1)의 세션키에 상응하는 공유 비밀키(K)는 모바일 장치(200)와 사물 인터넷 장치(100)만이 공유하고 있으므로, 모바일 장치(200)는 ISIM(220)에 저장된 상기 인증 정보를 제1 보안 채널(SC1)을 통해 사물 인터넷 장치(100)에 안전하게 전송할 수 있다.As described above with reference to FIGS. 3 and 4, since the shared secret key K corresponding to the session key of the first secure channel SC1 is shared only by the mobile device 200 and the object Internet device 100, The device 200 can securely transmit the authentication information stored in the ISIM 220 to the object Internet device 100 via the first secure channel SC1.

이후, 모바일 장치(200)와 사물 인터넷 장치(100)는 상기 인증 정보를 사용하여 사물 인터넷 장치(100)를 모바일 장치(200)가 제공하는 서비스 중의 하나로 IMS(300)에 등록할 수 있다(단계 S400).The mobile device 200 and the object Internet device 100 may register the object Internet apparatus 100 in the IMS 300 as one of the services provided by the mobile device 200 using the authentication information S400).

일 실시예에 있어서, 사물 인터넷 장치(100)는 사물 인터넷 장치(100), 모바일 장치(200), 및 IMS(300) 사이의 3자간 통신을 통해 IMS(300)와 제2 보안 채널(SC2)을 형성함으로써 모바일 장치(200)가 제공하는 서비스 중의 하나로 IMS(300)에 등록될 수 있다.In one embodiment, the things Internet device 100 is connected to the IMS 300 and the second secure channel SC2 via three-way communication between the object Internet device 100, the mobile device 200, and the IMS 300, The mobile device 200 can be registered in the IMS 300 as one of the services provided by the mobile device 200. [

즉, 사물 인터넷 장치(100)는 IMS(300)와 양자간 통신을 수행하여 IMS(300)와 제2 보안 채널(SC2)을 형성하는 것이 아니라, 사물 인터넷 장치(100), 모바일 장치(200), 및 IMS(300) 사이의 3자간 통신을 수행함으로써 모바일 장치(200)의 도움을 통해 IMS(300)와 제2 보안 채널(SC2)을 형성할 수 있다.That is, the object Internet apparatus 100 does not form the second secure channel SC2 with the IMS 300 by performing bilateral communication with the IMS 300, but may be configured to communicate with the object Internet apparatus 100, the mobile apparatus 200, (IMS) 300 and the second secure channel (SC2) with the help of the mobile device 200 by performing a three-way communication between the IMS 300 and the IMS 300.

사물 인터넷 장치(100)가 IMS(300)와 제2 보안 채널(SC2)을 형성함으로써 모바일 장치(200)가 제공하는 서비스 중의 하나로 IMS(300)에 등록되는 과정에 대해서는 이하 도 6 및 7을 참조하여 상세히 설명한다.The process of registering the object Internet device 100 in the IMS 300 as one of the services provided by the mobile device 200 by forming the second secure channel SC2 with the IMS 300 will be described with reference to FIGS. Will be described in detail.

도 5는 도 1의 통신 시스템에 포함되는 IMS의 일 예를 나타내는 블록도이다.5 is a block diagram illustrating an example of an IMS included in the communication system of FIG.

도 5에는 IMS(300)의 개략적인 구성이 도시된다.5 shows a schematic configuration of the IMS 300. As shown in FIG.

도 5를 참조하면, IMS(300)는 P-CSCF(Proxy Call Session Control Function)(310), S-CSCF(Serving Call Session Control Function)(320), 및 HSS(Home Subscriber Server)(330)를 포함할 수 있다.5, the IMS 300 includes a Proxy Call Session Control Function (P-CSCF) 310, a Serving Call Session Control Function (S-CSCF) 320, and a Home Subscriber Server (HSS) .

P-CSCF(310)는 사물 인터넷 장치(100) 및 모바일 장치(200)와 같이 IMS(300)의 가입자가 사용하는 전자 장치가 IMS(300)에 접속하기 위해 최초로 연결되는 접속 지점의 역할을 수행하는 서버를 나타낸다.The P-CSCF 310 acts as an access point to which an electronic device used by a subscriber of the IMS 300, such as the Internet device 100 and the mobile device 200, is first connected to the IMS 300 Lt; / RTI >

따라서 모바일 장치(200)와 IMS(300) 사이에 형성되는 제3 보안 채널(SC3)은 실질적으로 모바일 장치(200)와 IMS(300)의 P-CSCF(310) 사이에 형성될 수 있다.The third secure channel SC3 formed between the mobile device 200 and the IMS 300 may be substantially formed between the mobile device 200 and the P-CSCF 310 of the IMS 300. [

S-CSCF(320)는 사물 인터넷 장치(100) 및 모바일 장치(200)와 같이 IMS(300)의 가입자가 사용하는 전자 장치를 IMS(300)에 등록하고, IMS(300)와 등록된 전자 장치 사이의 세션(session)을 제어하는 역할을 수행하는 서버를 나타낸다.The S-CSCF 320 registers an electronic device used by the subscriber of the IMS 300, such as the object Internet device 100 and the mobile device 200, with the IMS 300, And a server for controlling a session between the client and the client.

HSS(330)는 IMS(300)에 가입된 가입자의 정보를 저장하는 데이터베이스를 나타낸다.The HSS 330 represents a database for storing information of subscribers subscribed to the IMS 300. [

IMS(300)는 P-CSCF(310), S-CSCF(320), 및 HSS(330) 이외에도 다양한 구성 요소들을 포함하나, IMS(300)는 국제 표준에 따른 시스템이므로, 여기서는 설명의 편의를 위해 P-CSCF(310), S-CSCF(320), 및 HSS(330) 이외의 구성 요소들에 대한 상세한 설명은 생략한다.The IMS 300 includes various components in addition to the P-CSCF 310, the S-CSCF 320, and the HSS 330, but since the IMS 300 is a system according to the international standard, The detailed description of the components other than the P-CSCF 310, the S-CSCF 320, and the HSS 330 will be omitted.

도 6은 도 2의 모바일 장치와 사물 인터넷 장치가 모바일 장치의 ISIM에 저장된 인증 정보를 사용하여 사물 인터넷 장치를 모바일 장치가 제공하는 서비스 중의 하나로 IMS에 등록하는 단계(S400)의 일 예를 나타내는 순서도이다.6 is a flowchart showing an example of a step S400 of registering the object Internet apparatus with the IMS as one of the services provided by the mobile apparatus using the authentication information stored in the ISIM of the mobile apparatus of Fig. 2 to be.

도 7은 사물 인터넷 장치, 모바일 장치, 및 IMS가 3자간 통신을 수행하여 사물 인터넷 장치와 IMS 사이에 제2 보안 채널을 형성함으로써 사물 인터넷 장치를 모바일 장치가 제공하는 서비스 중의 하나로 IMS에 등록하는 과정을 설명하기 위한 도면이다.7 is a flowchart illustrating a process of registering the object Internet device in the IMS as one of the services provided by the mobile device by forming a second secure channel between the object Internet device, the mobile device, and the IMS, Fig.

도 6 및 7을 참조하면, 모바일 장치(200)와 사물 인터넷 장치(100) 사이에 제1 보안 채널(SC1)이 형성된 이후(단계 S200), 모바일 장치(200)는 모바일 장치의 ISIM(220)에 저장된 상기 인증 정보를 제1 보안 채널(SC1)을 통해 사물 인터넷 장치(100)에 전송할 수 있다(단계 S300).6 and 7, after the first secure channel SC1 is established between the mobile device 200 and the Internet device 100 (step S200), the mobile device 200 transmits the ISIM 220 of the mobile device 200, To the object Internet apparatus 100 through the first secure channel SC1 (step S300).

일 실시예에 있어서, 도 7에 도시된 바와 같이, 모바일 장치(200)가 사물 인터넷 장치(100)에 전송하는 상기 인증 정보는 IMPI(IMS private user identity), 사물 인터넷 장치(100)에 상응하는 IMPU(IMS public user identity), 사물 인터넷 장치(100)와 모바일 장치(200)의 사용자의 홈 네트워크 도메인 네임(DOMAIN), 및 P-CSCF(310)의 주소(P-CSCF-IP)를 포함할 수 있다.7, the authentication information that the mobile device 200 sends to the things Internet device 100 includes an IMS private user identity (IMPI), a corresponding An IMS public user identity (IMPU), a home network domain name DOMAIN of the user of the mobile Internet device 100 and the mobile device 200, and an address P-CSCF-IP of the P-CSCF 310 .

IMS의 국제 표준에 정의된 바와 같이, 모바일 장치(200)의 ISIM(220)에 저장된 상기 IMPI는 모바일 장치(200)의 사용자에게 할당되는 고유 번호를 나타내는 것으로서, 모바일 장치(200) 및 사물 인터넷 장치(100)가 IMS(300)에 등록되는 과정에서 모바일 장치(200) 및 사물 인터넷 장치(100)의 사용자가 IMS(300)에 가입된 정상적인 사용자임을 인증하는 데에 사용된다.The IMPI stored in the ISIM 220 of the mobile device 200, as defined in the International Standard for IMS, represents the unique number assigned to the user of the mobile device 200, The mobile device 200 and the user of the object Internet device 100 are authenticated as a normal user subscribed to the IMS 300 in the process of registering the mobile device 100 in the IMS 300. [

또한, 상기 IMPU는 모바일 장치(200)가 제공하는 서비스들 각각을 나타내는 것으로서, 상기 IMPU에 상응하는 전자 장치의 주소로서 사용된다. 예를 들어, 사물 인터넷 장치(100)가 IMS(300)에 등록되는 경우, 사물 인터넷 장치(100)에 상응하는 IMPU는 HSS(330)에 저장되어 사물 인터넷 장치(100)의 주소로서 사용될 수 있다.The IMPU represents each of the services provided by the mobile device 200 and is used as an address of an electronic device corresponding to the IMPU. For example, when the object Internet apparatus 100 is registered in the IMS 300, the IMPU corresponding to the object Internet apparatus 100 may be stored in the HSS 330 and used as an address of the object Internet apparatus 100 .

이후, 사물 인터넷 장치(100)는 IMS(300)와 제2 보안 채널(SC2)을 형성할 때 사용될 사물 인터넷 장치(100)의 포트 번호(UE-PORT)를 제1 보안 채널(SC1)을 통해 모바일 장치(200)에 전송할 수 있다(단계 S410).Then, the object Internet apparatus 100 transmits a port number (UE-PORT) of the object Internet device 100 to be used when forming the second secure channel SC2 with the IMS 300 through the first secure channel SC1 To the mobile device 200 (step S410).

모바일 장치(200)는 ISIM(220)에 저장된 상기 IMPI, 사물 인터넷 장치(100)에 상응하는 상기 IMPU, 사물 인터넷 장치(100)의 IP 주소(UE-IP), 사물 인터넷 장치(100)로부터 수신되는 포트 번호(UE-PORT), 및 모바일 장치(200)의 사용자의 홈 네트워크 도메인 네임(DOMAIN)을 포함하는 제1 등록 요청 메시지(REGISTER1)를 IMS(300)에 전송할 수 있다(단계 S420).The mobile device 200 receives the IMPI stored in the ISIM 220, the IMPU corresponding to the object Internet device 100, the IP address (UE-IP) of the object Internet device 100, To the IMS 300, a first registration request message (REGISTER1) including a port number (UE-PORT) of the mobile device 200 and a home network domain name (DOMAIN) of the user of the mobile device 200 (step S420).

사물 인터넷 장치(100)의 IP 주소(UE-IP)가 제1 등록 요청 메시지(REGISTER1)에 포함되므로, IMS(300)는 제1 등록 요청 메시지(REGISTER1)에 응답하여 도전값(RAND)을 포함하는 검증 요청 메시지(AUTH_REQ)를 사물 인터넷 장치(100)에 전송할 수 있다(단계 S430).The IMS 300 includes the challenge value RAND in response to the first registration request message REGISTER1 since the IP address UE-IP of the object Internet device 100 is included in the first registration request message REGISTER1. To the object Internet apparatus 100 (step S430).

구체적으로, 사물 인터넷 장치(100) 및 모바일 장치(200)가 IMS(300)에 접속하기 위해 최초로 연결되는 접속 지점의 역할을 수행하는 P-CSCF(310)의 주소(P-CSCF-IP)는 모바일 장치(200)의 ISIM(220)에 저장되어 있으므로, 모바일 장치(200)는 ISIM(220)에 저장된 P-CSCF(310)의 주소(P-CSCF-IP)를 사용하여 제1 등록 요청 메시지(REGISTER1)를 IMS(300)의 P-CSCF(310)에 전송할 수 있다.Specifically, the address (P-CSCF-IP) of the P-CSCF 310, which acts as an access point to which the object Internet device 100 and the mobile device 200 are initially connected to access the IMS 300, CSCF-IP < / RTI > of P-CSCF 310 stored in ISIM 220, since mobile device 200 is stored in ISIM 220 of mobile device 200, (REGISTER1) to the P-CSCF (310) of the IMS (300).

상술한 바와 같이, 모바일 장치(200)와 P-CSCF(310) 사이에 제3 보안 채널(SC3)이 이미 형성되어 있으므로, 모바일 장치(200)는 제1 등록 요청 메시지(REGISTER1)를 제3 보안 채널(SC3)을 통해 P-CSCF(310)에 전송할 수 있다. 따라서 외부로부터의 공격에 대한 염려 없이, 제1 등록 요청 메시지(REGISTER1)는 모바일 장치(200)로부터 IMS(300)로 안전하게 전송될 수 있다.As described above, since the third secure channel SC3 is already formed between the mobile device 200 and the P-CSCF 310, the mobile device 200 transmits the first registration request message REGISTER1 to the third security To the P-CSCF 310 via the channel SC3. Therefore, the first registration request message REGISTER1 can be securely transmitted from the mobile device 200 to the IMS 300 without concern for an attack from the outside.

P-CSCF(310)가 모바일 장치(200)로부터 제1 등록 요청 메시지(REGISTER1)를 수신하는 경우, P-CSCF(310)는 제1 등록 요청 메시지(REGISTER1)에 포함되는 모바일 장치(200)의 사용자의 홈 네트워크 도메인 네임(DOMAIN)에 기초하여 모바일 장치(200)에 상응하는 S-CSCF(320)에 제1 등록 요청 메시지(REGISTER1)를 전달할 수 있다.When the P-CSCF 310 receives the first registration request message REGISTER1 from the mobile device 200, the P-CSCF 310 transmits the first registration request message REGISTER1 to the mobile device 200 included in the first registration request message REGISTER1 The first registration request message REGISTER1 to the S-CSCF 320 corresponding to the mobile device 200 based on the user's home network domain name DOMAIN.

S-CSCF(320) 및 HSS(330)는 제1 등록 요청 메시지(REGISTER1)에 기초하여 도전값(RAND), 검증 토큰(AUTN), 기대 응답값(XRES), 무결성(integrity) 검증 세션키(IK), 및 암호화 세션키(CK)를 생성할 수 있다.The S-CSCF 320 and the HSS 330 may transmit the challenge value RAND, the verification token AUTN, the expected response value XRES and the integrity verification session key (REGISTER1) based on the first registration request message REGISTER1 IK), and an encrypted session key (CK).

이후, S-CSCF(320)는 기대 응답값(XRES)을 내부적으로 저장하고, 도전값(RAND), 검증 토큰(AUTN), 무결성 검증 세션키(IK), 및 암호화 세션키(CK)를 P-CSCF(310)에 제공할 수 있다.The S-CSCF 320 internally stores the expected response value XRES and sends the challenge value RAND, the verification token AUTN, the integrity verification session key IK and the encrypted session key CK to P -CSCF < / RTI >

P-CSCF(310)는 S-CSCF(320)로부터 수신되는 무결성 검증 세션키(IK) 및 암호화 세션키(CK)를 사물 인터넷 장치(100)의 IP 주소(UE-IP) 및 포트 번호(UE-PORT)와 연관시켜 내부적으로 저장할 수 있다.The P-CSCF 310 transmits the integrity verification session key IK and the encrypted session key CK received from the S-CSCF 320 to the IP address UE-IP and the port number UE -PORT). ≪ / RTI >

또한, P-CSCF(310)는 사물 인터넷 장치(100)와 제2 보안 채널(SC2)을 형성할 때 사용될 P-CSCF(310)의 포트 번호 및 S-CSCF(320)로부터 수신되는 도전값(RAND)과 검증 토큰(AUTN)을 포함하는 검증 요청 메시지(AUTH_REQ)를 사물 인터넷 장치(100)에 전송할 수 있다(단계 S430).The P-CSCF 310 also receives the port number of the P-CSCF 310 to be used when forming the second secure channel SC2 with the object Internet device 100 and the port number of the P- RAND) and a verification token AUTN to the thing Internet device 100 (step S430).

사물 인터넷 장치(100)는 검증 요청 메시지(AUTH_REQ)에 포함되는 P-CSCF(310)의 포트 번호를 내부적으로 저장하고, 검증 요청 메시지(AUTH_REQ)에 포함되는 도전값(RAND)과 검증 토큰(AUTN)을 제1 보안 채널(SC1)을 통해 모바일 장치(200)에 전송할 수 있다(단계 S440).The object Internet apparatus 100 internally stores the port number of the P-CSCF 310 included in the validation request message AUTH_REQ and internally stores the port number of the P-CSCF 310 included in the validation request message AUTH_REQ and the challenge value RAND included in the validation request message AUTH_REQ, ) To the mobile device 200 via the first secure channel SC1 (step S440).

모바일 장치(200)는 ISIM(220)에 저장된 정보를 사용하여 검증 토큰(AUTN)을 인증할 수 있다.The mobile device 200 may authenticate the verification token AUTN using the information stored in the ISIM 220. [

검증 토큰(AUTN)의 인증에 성공하는 경우, 모바일 장치(200)는 도전값(RAND) 및 모바일 장치(200)와 IMS(300)가 공유하는 제3 보안 채널(SC3)의 비밀키에 기초하여 응답값(RES), 무결성 검증 세션키(IK), 및 암호화 세션키(CK)를 계산할 수 있다(단계 S450).If the authentication of the verification token AUTN is successful, the mobile device 200 is able to authenticate the mobile device 200 based on the challenge value RAND and the secret key of the third secure channel SC3 shared by the mobile device 200 and the IMS 300 A response value RES, an integrity verification session key IK, and an encrypted session key CK (step S450).

예를 들어, 모바일 장치는 모바일 장치(200)와 IMS(300)가 공유하는 제3 보안 채널(SC3)의 비밀키를 사용하여 도전값(RAND)에 대해 미리 정해진 연산들을 수행하여 응답값(RES), 무결성 검증 세션키(IK), 및 암호화 세션키(CK)를 계산할 수 있다.For example, the mobile device may perform predetermined operations on the challenge value RAND using the secret key of the third secure channel SC3 shared by the mobile device 200 and the IMS 300 to generate a response value RES ), An integrity verification session key (IK), and an encrypted session key (CK).

이후, 모바일 장치(200)는 응답값(RES), 무결성 검증 세션키(IK), 및 암호화 세션키(CK)를 제1 보안 채널(SC1)을 통해 사물 인터넷 장치(100)에 전송할 수 있다(단계 S460).The mobile device 200 may then send the response value RES, the integrity verification session key IK and the encrypted session key CK to the things Internet device 100 via the first secure channel SCl Step S460).

사물 인터넷 장치(100)는 모바일 장치(200)로부터 수신되는 무결성 검증 세션키(IK) 및 암호화 세션키(CK)를 사용하여 IMS(300)의 P-CSCF(310)와 제2 보안 채널(SC2)을 형성할 수 있다(단계 S470).CSCF 310 and the second secure channel SC2 of the IMS 300 using the integrity verification session key IK and the encrypted session key CK received from the mobile device 200. [ (Step S470).

구체적으로, 사물 인터넷 장치(100)와 IMS(300)의 P-CSCF(310)는 무결성 검증 세션키(IK) 및 암호화 세션키(CK)를 사용하여 사물 인터넷 장치(100)의 포트 번호(UE-PORT)와 P-CSCF(310)의 포트 번호를 통해 암호화 통신을 수행하는 제2 보안 채널(SC2)을 형성할 수 있다.Specifically, the P-CSCF 310 of the object Internet device 100 and the IMS 300 uses the integrity verification session key IK and the encrypted session key CK to determine the port number of the object Internet device 100 -PORT) and the port number of the P-CSCF (310).

일 실시예에 있어서, 사물 인터넷 장치(100)와 IMS(300) 사이에 형성되는 제2 보안 채널(SC2)은 IPSec(Internet Protocol Security) 표준에 기초하여 동작할 수 있다.In one embodiment, the second secure channel SC2, which is formed between the object Internet device 100 and the IMS 300, may operate based on the Internet Protocol Security (IPSec) standard.

이후, 사물 인터넷 장치(100)는 모바일 장치(200)로부터 수신되는 응답값(RES)을 포함하는 제2 등록 요청 메시지(REGISTER2)를 제2 보안 채널(SC2)을 통해 IMS(300)의 P-CSCF(310)에 전송할 수 있다(단계 S480).The object Internet apparatus 100 then transmits a second registration request message REGISTER2 containing a response value RES received from the mobile device 200 to the P-IMS 300 through the second secure channel SC2, CSCF 310 (step S480).

P-CSCF(310)는 제2 등록 요청 메시지(REGISTER2)를 S-CSCF(320)에 전달하고, S-CSCF(320)는 제2 등록 요청 메시지(REGISTER2)에 포함되는 응답값(RES)을 상기 기대 응답값(XRES)과 비교할 수 있다.The P-CSCF 310 delivers a second registration request message REGISTER2 to the S-CSCF 320 and the S-CSCF 320 sends a response value RES included in the second registration request message REGISTER2 And can be compared with the expected response value (XRES).

제2 등록 요청 메시지(REGISTER2)에 포함되는 응답값(RES)과 상기 기대 응답값(XRES)이 일치하는 경우, S-CSCF(320)는 사물 인터넷 장치(100)를 인증할 수 있다.The S-CSCF 320 may authenticate the object Internet device 100 when the response value RES included in the second registration request message REGISTER2 matches the expected response value XRES.

이 경우, S-CSCF(320)는 승인 메시지(OK)를 P-CSCF(310)에 제공하고, P-CSCF(310)는 승인 메시지(OK)를 제2 보안 채널(SC2)을 통해 사물 인터넷 장치(100)에 전송할 수 있다(단계 S490).In this case, the S-CSCF 320 provides an acknowledgment message (OK) to the P-CSCF 310 and the P-CSCF 310 sends an acknowledgment message (OK) To the device 100 (step S490).

또한, S-CSCF(320)는 제1 등록 요청 메시지(REGISTER1)에 포함되는 상기 IMPU를 모바일 장치(200)의 상기 IMPI와 연관시켜 HSS(330)에 저장함으로써, 사물 인터넷 장치(100)는 모바일 장치(200)가 제공하는 서비스 중의 하나로 IMS(300)에 등록될 수 있다.In addition, the S-CSCF 320 associates the IMPU included in the first registration request message (REGISTER1) with the IMPI of the mobile device 200 and stores the IMPU in the HSS 330, May be registered with the IMS 300 as one of the services provided by the device 200.

도 1 내지 7을 참조하여 상술한 바와 같이, 본 발명의 실시예들에 따른 사물 인터넷 장치(100)의 부트스트랩 방법에 따르면, 사물 인터넷 장치(100)가 모바일 장치(200)의 사용자가 거주하는 공간에 최초로 설치될 때, 사물 인터넷 장치(100)와 모바일 장치(200)는 사물 인터넷 장치(100)에 부착된 코드(110)를 사용하여 제1 보안 채널(SC1)을 형성하고, 이후, 사물 인터넷 장치(100)는 IMS(300)와 제3 보안 채널(SC3)을 이미 형성하고 있는 모바일 장치(200)의 도움을 통해 IMS(300)와 제2 보안 채널(SC2)을 형성함으로써 사물 인터넷 장치(100)는 모바일 장치(200)가 제공하는 서비스 중의 하나로 IMS(300)에 등록된다.As described above with reference to Figs. 1 to 7, according to the bootstrap method of the object Internet apparatus 100 according to the embodiments of the present invention, when the object Internet apparatus 100 detects that the user of the mobile apparatus 200 is resident The object Internet apparatus 100 and the mobile apparatus 200 form the first secure channel SC1 using the code 110 attached to the object Internet apparatus 100 and then transmit the object The Internet device 100 forms a second secure channel SC2 with the IMS 300 through the help of the mobile device 200 already forming the third secure channel SC3 with the IMS 300, (100) is registered with the IMS (300) as one of the services provided by the mobile device (200).

이와 같이, 사물 인터넷 장치(100)는 IMS(300)와 보안 채널을 형성하기 위한 ISIM을 포함하지 않으면서도, 모바일 장치(200)의 ISIM을 사용하여 IMS(300)와 안전하게 제2 보안 채널(SC2)을 형성함으로써 모바일 장치(200)가 제공하는 서비스 중의 하나로 IMS(300)에 등록될 수 있다.Thus, the object Internet apparatus 100 can securely communicate with the IMS 300 using the ISIM of the mobile device 200, without including the ISIM for forming a secure channel with the IMS 300, The mobile device 200 can be registered with the IMS 300 as one of the services provided by the mobile device 200. [

따라서 본 발명의 실시예들에 따른 사물 인터넷 장치(100)의 부트스트랩 방법을 통해 사물 인터넷 장치(100)의 제조 비용은 감소되면서도 사물 인터넷 장치(100)의 보안성은 효과적으로 향상될 수 있다.Therefore, through the bootstrap method of the object Internet device 100 according to the embodiments of the present invention, the manufacturing cost of the object Internet device 100 can be reduced, and the security of the object Internet device 100 can be effectively improved.

본 발명은 사물 인터넷(Internet of Thing; IoT) 장치의 보안성을 향상시키는 데에 유용하게 이용될 수 있다.INDUSTRIAL APPLICABILITY The present invention can be usefully used for improving the security of an Internet of Thing (IoT) device.

상술한 바와 같이, 본 발명의 바람직한 실시예를 참조하여 설명하였지만 해당 기술 분야에서 통상의 지식을 가진 자라면 하기의 특허청구범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.Although the preferred embodiments of the present invention have been disclosed for illustrative purposes, those skilled in the art will appreciate that various modifications, additions and substitutions are possible, without departing from the scope and spirit of the invention as disclosed in the accompanying claims. It will be understood that the invention may be modified and varied without departing from the scope of the invention.

10: 통신 시스템
100: 사물 인터넷 장치
110: 코드
200: 모바일 장치
210: 범용 집적 회로 카드
220: ISIM(IP Multimedia Services Identity Module)
300: IMS(IP Multimedia Subsystem)
310: P-CSCF(Proxy Call Session Control Function)
320: S-CSCF(Serving Call Session Control Function)
330: HSS(Home Subscriber Server)10: Communication system
100: Things Internet Devices
110: Code
200: mobile device
210: general purpose integrated circuit card
220: IP Multimedia Services Identity Module (ISIM)
300: IMS (IP Multimedia Subsystem)
310: Proxy Call Session Control Function (P-CSCF)
320: Serving Call Session Control Function (S-CSCF)
330: Home Subscriber Server (HSS)

Claims (12)

모바일 장치가 사물 인터넷 장치에 부착된 코드를 독출하여 상기 코드에 포함되는 제1 공개키, 제1 값, 및 제2 값을 획득하는 단계;
상기 모바일 장치와 상기 사물 인터넷 장치 사이에 상기 제1 공개키, 상기 제1 값, 및 상기 제2 값에 기초하여 생성되는 공유 비밀키를 세션키(session key)로 사용하여 암호화 통신을 수행하는 제1 보안 채널을 형성하는 단계;
상기 모바일 장치가 상기 모바일 장치의 ISIM(IP Multimedia Services Identity Module)에 저장된 인증 정보를 상기 제1 보안 채널을 통해 상기 사물 인터넷 장치에 전송하는 단계; 및
상기 인증 정보를 사용하여 상기 사물 인터넷 장치를 상기 모바일 장치가 제공하는 서비스 중의 하나로 IMS(IP Multimedia Subsystem)에 등록하는 단계를 포함하는 사물 인터넷 장치의 부트스트랩(bootstrap) 방법.The mobile device reads a code attached to the object Internet device to obtain a first public key, a first value, and a second value included in the code;
A first secret key generated based on the first public key, the first value, and the second value between the mobile device and the object Internet device as a session key, 1 secure channel;
Transmitting, by the mobile device, the authentication information stored in the IP Multimedia Services Identity Module (ISIM) of the mobile device to the destination Internet device via the first secure channel; And
And registering the object Internet apparatus in an IP Multimedia Subsystem (IMS) as one of services provided by the mobile apparatus using the authentication information. 제1 항에 있어서, 상기 코드는 QR코드(Quick Response Code)에 상응하는 사물 인터넷 장치의 부트스트랩 방법.The method according to claim 1, wherein the code corresponds to a QR code (Quick Response Code). 제1 항에 있어서, 상기 모바일 장치는 랜덤값을 임의로 선택하고, 상기 랜덤값, 상기 제1 공개키, 및 상기 제2 값에 기초하여 상기 공유 비밀키를 생성하는 사물 인터넷 장치의 부트스트랩 방법.2. The method of claim 1, wherein the mobile device randomly selects a random value, and generates the shared secret key based on the random value, the first public key, and the second value. 제1 항에 있어서, 상기 모바일 장치와 상기 사물 인터넷 장치 사이에 상기 제1 공개키, 상기 제1 값, 및 상기 제2 값에 기초하여 생성되는 상기 공유 비밀키를 세션키로 사용하여 암호화 통신을 수행하는 상기 제1 보안 채널을 형성하는 단계는,
상기 모바일 장치가 랜덤값을 선택하는 단계;
상기 모바일 장치가 상기 랜덤값, 상기 제1 값, 및 상기 제2 값에 기초하여 제2 공개키를 계산하는 단계;
상기 모바일 장치가 상기 제1 공개키, 상기 랜덤값, 및 상기 제2 값에 기초하여 상기 공유 비밀키를 계산하는 단계;
상기 모바일 장치가 상기 제2 공개키를 상기 사물 인터넷 장치에 전송하는 단계; 및
상기 사물 인터넷 장치가 상기 제2 공개키, 미리 저장하고 있는 비밀값, 및 상기 제2 값에 기초하여 상기 공유 비밀키를 계산하는 단계를 포함하는 사물 인터넷 장치의 부트스트랩 방법.The mobile communication method according to claim 1, further comprising: using the shared secret key generated based on the first public key, the first value, and the second value between the mobile device and the object Internet device as a session key to perform encrypted communication Wherein the step of forming the first secure channel comprises:
The mobile device selecting a random value;
The mobile device computing a second public key based on the random value, the first value, and the second value;
The mobile device computing the shared secret key based on the first public key, the random value, and the second value;
The mobile device sending the second public key to the thing Internet device; And
And the object Internet device calculating the shared secret key based on the second public key, a secret value previously stored, and the second value. 제4 항에 있어서, 상기 모바일 장치와 상기 사물 인터넷 장치 사이에 상기 제1 공개키, 상기 제1 값, 및 상기 제2 값에 기초하여 생성되는 상기 공유 비밀키를 세션키로 사용하여 암호화 통신을 수행하는 상기 제1 보안 채널을 형성하는 단계는,
상기 사물 인터넷 장치가 상기 제1 공개키를 상기 공유 비밀키로 암호화하여 검증값으로서 상기 모바일 장치에 전송하는 단계; 및
상기 모바일 장치가 상기 검증값을 상기 공유 비밀키로 복호화한 값과 상기 제1 공개키를 비교하여 상기 사물 인터넷 장치를 인증하는 단계를 더 포함하는 사물 인터넷 장치의 부트스트랩 방법.5. The method of claim 4, further comprising: performing an encrypted communication using the shared secret key generated based on the first public key, the first value, and the second value between the mobile device and the Internet device as a session key Wherein the step of forming the first secure channel comprises:
Encrypting the first public key with the shared secret key and sending the encrypted first public key to the mobile device as a verification value; And
Further comprising authenticating the Internet appliance by comparing the first public key with a value obtained by the mobile device decrypting the verification value with the shared secret key. 제1 항에 있어서, 상기 사물 인터넷 장치는 와이파이(Wireless Fidelity; Wi-Fi) 통신을 통해 상기 모바일 장치와 통신을 수행하는 사물 인터넷 장치의 부트스트랩 방법.The method according to claim 1, wherein the Internet device communicates with the mobile device via Wi-Fi communication. 제1 항에 있어서, 상기 모바일 장치가 상기 사물 인터넷 장치에 전송하는 상기 인증 정보는 상기 모바일 장치의 상기 ISIM에 저장된 IMPI(IMS private user identity)를 포함하는 사물 인터넷 장치의 부트스트랩 방법.The method of claim 1, wherein the authentication information transmitted by the mobile device to the Internet appliance comprises an IMS private user identity (IMPI) stored in the ISIM of the mobile device. 제1 항에 있어서, 상기 사물 인터넷 장치는 상기 모바일 장치, 상기 사물 인터넷 장치, 및 상기 IMS 사이의 3자간 통신을 통해 상기 모바일 장치가 제공하는 서비스 중의 하나로 상기 IMS에 등록되는 사물 인터넷 장치의 부트스트랩 방법.2. The Internet appliance according to claim 1, wherein the Internet appliance is connected to the IMS via a three-way communication between the mobile device, the Internet appliance, and the IMS, Way. 제1 항에 있어서, 상기 인증 정보를 사용하여 상기 사물 인터넷 장치를 상기 모바일 장치가 제공하는 서비스 중의 하나로 상기 IMS에 등록하는 단계는,
상기 사물 인터넷 장치가 상기 사물 인터넷 장치의 포트 번호를 상기 제1 보안 채널을 통해 상기 모바일 장치에 전송하는 단계; 및
상기 모바일 장치가 상기 ISIM에 저장된 IMPI(IMS private user identity), 상기 ISIM에 저장된 IMPU(IMS public user identity), 상기 사물 인터넷 장치의 IP 주소, 및 상기 포트 번호를 포함하는 제1 등록 요청 메시지를 상기 IMS에 전송하는 단계를 포함하는 사물 인터넷 장치의 부트스트랩 방법.The method of claim 1, wherein registering the Internet appliance as one of services provided by the mobile device using the authentication information comprises:
The object Internet device transmitting the port number of the object Internet device to the mobile device via the first secure channel; And
The mobile device sends a first registration request message including an IMS private user identity (IMPI) stored in the ISIM, an IMS public user identity (IMPU) stored in the ISIM, an IP address of the object Internet device, Lt; RTI ID = 0.0 > IMS. ≪ / RTI > 제9 항에 있어서, 상기 인증 정보를 사용하여 상기 사물 인터넷 장치를 상기 모바일 장치가 제공하는 서비스 중의 하나로 상기 IMS에 등록하는 단계는,
상기 사물 인터넷 장치가 상기 IMS로부터 도전값을 포함하는 검증 요청 메시지를 수신하는 단계;
상기 사물 인터넷 장치가 상기 도전값을 상기 제1 보안 채널을 통해 상기 모바일 장치에 전송하는 단계;
상기 모바일 장치가 상기 도전값 및 상기 모바일 장치와 상기 IMS가 공유하는 비밀키에 기초하여 응답값 및 세션키를 계산하는 단계;
상기 모바일 장치가 상기 응답값 및 상기 세션키를 상기 제1 보안 채널을 통해 상기 사물 인터넷 장치에 전송하는 단계;
상기 세션키를 사용하여 상기 사물 인터넷 장치와 상기 IMS 사이에 제2 보안 채널을 형성하는 단계;
상기 사물 인터넷 장치가 상기 응답값을 포함하는 제2 등록 요청 메시지를 상기 제2 보안 채널을 통해 상기 IMS에 전송하는 단계; 및
상기 사물 인터넷 장치가 상기 IMS로부터 승인 메시지를 상기 제2 보안 채널을 통해 수신하는 단계를 더 포함하는 사물 인터넷 장치의 부트스트랩 방법.10. The method of claim 9, wherein registering the Internet appliance to the IMS as one of services provided by the mobile device using the authentication information comprises:
Receiving the verification request message including the challenge value from the IMS;
Transmitting the challenge value to the mobile device via the first secure channel;
Calculating a response value and a session key based on the challenge value and the secret key shared by the mobile device and the IMS;
The mobile device sending the response value and the session key to the thing Internet device via the first secure channel;
Establishing a second secure channel between the Internet and the IMS using the session key;
Sending the second registration request message including the response value to the IMS through the second secure channel; And
Further comprising: the object Internet device receiving an acknowledgment message from the IMS over the second secure channel. 제10 항에 있어서, 상기 모바일 장치는 상기 모바일 장치와 상기 IMS 사이에 미리 형성된 제3 보안 채널을 통해 상기 제1 등록 요청 메시지를 상기 IMS에 전송하는 사물 인터넷 장치의 부트스트랩 방법.11. The method of claim 10, wherein the mobile device sends the first registration request message to the IMS over a third secure channel previously established between the mobile device and the IMS. 제11 항에 있어서, 상기 제2 보안 채널 및 상기 제3 보안 채널은 IPSec(Internet Protocol Security) 표준에 기초하여 동작하는 사물 인터넷 장치의 부트스트랩 방법.12. The method of claim 11, wherein the second secure channel and the third secure channel operate based on an Internet Protocol Security (IPSec) standard.
KR1020170171918A 2017-12-14 2017-12-14 Method of bootstrapping of internet of thing device KR102024376B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170171918A KR102024376B1 (en) 2017-12-14 2017-12-14 Method of bootstrapping of internet of thing device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170171918A KR102024376B1 (en) 2017-12-14 2017-12-14 Method of bootstrapping of internet of thing device

Publications (2)

Publication Number Publication Date
KR20190078701A true KR20190078701A (en) 2019-07-05
KR102024376B1 KR102024376B1 (en) 2019-09-23

Family

ID=67225398

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170171918A KR102024376B1 (en) 2017-12-14 2017-12-14 Method of bootstrapping of internet of thing device

Country Status (1)

Country Link
KR (1) KR102024376B1 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070116275A (en) * 2005-04-14 2007-12-07 노키아 코포레이션 Utilizing generic authentication architecture for mobile internet protocol key distribution
KR20100133476A (en) * 2008-04-10 2010-12-21 알카텔-루센트 유에스에이 인코포레이티드 Methods and apparatus for authentication and identity management using a public key infrastructure (pki) in an ip-based telephony environment
KR101688813B1 (en) * 2016-04-18 2016-12-22 (주)케이사인 Method and system for establishing relationship between iot device and owner
KR20170097143A (en) * 2014-12-18 2017-08-25 어페로, 인크. Internet of things platforms, apparatuses, and methods

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070116275A (en) * 2005-04-14 2007-12-07 노키아 코포레이션 Utilizing generic authentication architecture for mobile internet protocol key distribution
KR20100133476A (en) * 2008-04-10 2010-12-21 알카텔-루센트 유에스에이 인코포레이티드 Methods and apparatus for authentication and identity management using a public key infrastructure (pki) in an ip-based telephony environment
KR20170097143A (en) * 2014-12-18 2017-08-25 어페로, 인크. Internet of things platforms, apparatuses, and methods
KR101688813B1 (en) * 2016-04-18 2016-12-22 (주)케이사인 Method and system for establishing relationship between iot device and owner

Also Published As

Publication number Publication date
KR102024376B1 (en) 2019-09-23

Similar Documents

Publication Publication Date Title
US10284555B2 (en) User equipment credential system
US10742418B2 (en) Authentication method, authentication apparatus, and authentication system
JP5709322B2 (en) Authentication method, system and apparatus
CN100571134C (en) The method of authenticated user terminal in IP Multimedia System
CN101455053B (en) Authenticating an application
KR101485230B1 (en) Secure multi-uim authentication and key exchange
EP2347613B1 (en) Authentication in a communication network
EP2377337B1 (en) Service-based authentication to a network
US8726023B2 (en) Authentication using GAA functionality for unidirectional network connections
CN101030854B (en) Method and apparatus for inter-verifying network between multi-medium sub-systems
US8875236B2 (en) Security in communication networks
KR102369186B1 (en) How to perform multiple authentications within the service registration process
KR20070004131A (en) Subscriber identities
US9622022B2 (en) Master IMS terminal for sharing IMS-based service, slave IMS terminal for sharing IMS-based service, system for sharing IMS-based service, and sharing method
CN102196426A (en) Method, device and system for accessing IMS (IP multimedia subsystem) network
JP5931802B2 (en) Terminal authentication method and system in network
JP5342818B2 (en) Management device, registered communication terminal, unregistered communication terminal, network system, management method, communication method, and computer program.
US20150350899A1 (en) AUTHENTICATION METHOD OF VoLTE
CN103905405A (en) IMS user registration method and device and related equipment
EP2961208A1 (en) Method for accessing a service and corresponding application server, device and system
KR102024376B1 (en) Method of bootstrapping of internet of thing device
Sun et al. Efficient authentication and key agreement procedure in IP multimedia subsystem for UMTS
JP2009026215A (en) Verification processor, verification processing method, and verification processing system

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant