KR20190088099A - Apparatus and method for preventing forgery of data using hardware security module - Google Patents

Apparatus and method for preventing forgery of data using hardware security module Download PDF

Info

Publication number
KR20190088099A
KR20190088099A KR1020180000079A KR20180000079A KR20190088099A KR 20190088099 A KR20190088099 A KR 20190088099A KR 1020180000079 A KR1020180000079 A KR 1020180000079A KR 20180000079 A KR20180000079 A KR 20180000079A KR 20190088099 A KR20190088099 A KR 20190088099A
Authority
KR
South Korea
Prior art keywords
data
forgery
hardware security
falsification
security module
Prior art date
Application number
KR1020180000079A
Other languages
Korean (ko)
Other versions
KR102049889B1 (en
Inventor
정찬의
정우성
Original Assignee
디노플러스 (주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 디노플러스 (주) filed Critical 디노플러스 (주)
Priority to KR1020180000079A priority Critical patent/KR102049889B1/en
Publication of KR20190088099A publication Critical patent/KR20190088099A/en
Application granted granted Critical
Publication of KR102049889B1 publication Critical patent/KR102049889B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/73Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information by creating or determining hardware identification, e.g. serial numbers
    • AHUMAN NECESSITIES
    • A01AGRICULTURE; FORESTRY; ANIMAL HUSBANDRY; HUNTING; TRAPPING; FISHING
    • A01KANIMAL HUSBANDRY; CARE OF BIRDS, FISHES, INSECTS; FISHING; REARING OR BREEDING ANIMALS, NOT OTHERWISE PROVIDED FOR; NEW BREEDS OF ANIMALS
    • A01K1/00Housing animals; Equipment therefor
    • A01K1/02Pigsties; Dog-kennels; Rabbit-hutches or the like
    • A01K1/035Devices for use in keeping domestic animals, e.g. fittings in housings or dog beds
    • AHUMAN NECESSITIES
    • A01AGRICULTURE; FORESTRY; ANIMAL HUSBANDRY; HUNTING; TRAPPING; FISHING
    • A01KANIMAL HUSBANDRY; CARE OF BIRDS, FISHES, INSECTS; FISHING; REARING OR BREEDING ANIMALS, NOT OTHERWISE PROVIDED FOR; NEW BREEDS OF ANIMALS
    • A01K1/00Housing animals; Equipment therefor
    • A01K1/0047Air-conditioning, e.g. ventilation, of animal housings
    • A01K1/0052Arrangement of fans or blowers
    • AHUMAN NECESSITIES
    • A01AGRICULTURE; FORESTRY; ANIMAL HUSBANDRY; HUNTING; TRAPPING; FISHING
    • A01KANIMAL HUSBANDRY; CARE OF BIRDS, FISHES, INSECTS; FISHING; REARING OR BREEDING ANIMALS, NOT OTHERWISE PROVIDED FOR; NEW BREEDS OF ANIMALS
    • A01K1/00Housing animals; Equipment therefor
    • A01K1/0047Air-conditioning, e.g. ventilation, of animal housings
    • A01K1/0076Arrangement of heaters or heat exchangers
    • AHUMAN NECESSITIES
    • A01AGRICULTURE; FORESTRY; ANIMAL HUSBANDRY; HUNTING; TRAPPING; FISHING
    • A01KANIMAL HUSBANDRY; CARE OF BIRDS, FISHES, INSECTS; FISHING; REARING OR BREEDING ANIMALS, NOT OTHERWISE PROVIDED FOR; NEW BREEDS OF ANIMALS
    • A01K1/00Housing animals; Equipment therefor
    • A01K1/0047Air-conditioning, e.g. ventilation, of animal housings
    • A01K1/0082Water misting or cooling systems
    • AHUMAN NECESSITIES
    • A01AGRICULTURE; FORESTRY; ANIMAL HUSBANDRY; HUNTING; TRAPPING; FISHING
    • A01KANIMAL HUSBANDRY; CARE OF BIRDS, FISHES, INSECTS; FISHING; REARING OR BREEDING ANIMALS, NOT OTHERWISE PROVIDED FOR; NEW BREEDS OF ANIMALS
    • A01K1/00Housing animals; Equipment therefor
    • A01K1/02Pigsties; Dog-kennels; Rabbit-hutches or the like
    • A01K1/035Devices for use in keeping domestic animals, e.g. fittings in housings or dog beds
    • A01K1/0353Dog beds
    • AHUMAN NECESSITIES
    • A01AGRICULTURE; FORESTRY; ANIMAL HUSBANDRY; HUNTING; TRAPPING; FISHING
    • A01KANIMAL HUSBANDRY; CARE OF BIRDS, FISHES, INSECTS; FISHING; REARING OR BREEDING ANIMALS, NOT OTHERWISE PROVIDED FOR; NEW BREEDS OF ANIMALS
    • A01K29/00Other apparatus for animal husbandry
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures

Abstract

The present invention relates to a data forgery prevention apparatus using a hardware security module and a method thereof which use a hardware security module in a gateway used for an internet-of-things (IoT) environment of an apartment house and an ordinary house to prevent forgery of specific data (for example, identification information) to strengthen security in the gateway. The data forgery prevention apparatus using a hardware security module comprises a gateway to provide a data interface between a smart home device used in an IoT environment and a server to control the smart home device. The gateway includes: a hardware security module to predefine a list of specific data to be protected from forgery and an original value of the data to store the list and the original value as a specific data list, and verify forgery of the specific data when accessing the specific data in a data processing process; and a central processing module which has a verification program for forgery verification of the specific data therein, and controls verification of forgery of the specific data via connection to the hardware security module in the data processing process.

Description

하드웨어 보안 모듈을 이용한 데이터 위변조 방지장치 및 그 방법{Apparatus and method for preventing forgery of data using hardware security module}[0001] Apparatus and method for preventing forgery of data using a hardware security module [0002]

본 발명은 하드웨어 보안 모듈을 이용한 데이터 위변조 방지장치 및 그 방법에 관한 것으로, 특히 공동 주택 및 일반 주택의 사물인터넷(IoT; Internet of Things) 환경을 위해 사용되는 게이트웨이(Gateway)에서 하드웨어 보안 모듈을 이용하여 특정 데이터(예를 들어, 식별정보)의 위변조를 방지하여 게이트웨이 내부 보안성을 강화하도록 한 하드웨어 보안 모듈을 이용한 데이터 위변조 방지장치 및 그 방법에 관한 것이다.The present invention relates to an apparatus and method for preventing forgery of data using a hardware security module, and more particularly, to a system and method for preventing forgery of data by using a hardware security module in a gateway used for Internet of Things (IoT) The present invention relates to an apparatus and method for preventing data forgery prevention using a hardware security module that prevents forgery and falsification of specific data (for example, identification information) to enhance internal security of a gateway.

공동 주택이나 일반 주택 등에서 스마트 홈 구현 시스템을 위한 사물인터넷 환경에서 사용되는 기기들은 여러 형태의 취약점으로 인한 보안 위협에 노출되기 쉽고, 이로 인한 피해가 크기 때문에 보안 요구 수준이 높아지고 있다. 사물인터넷 환경에서 사용되는 기기들의 보안 요소는 크게 전송 보안과 기기 보안으로 구분할 수 있다. 전송 보안은 송신 단과 수신 단 간의 데이터 암호화/복호화 기술이 적용되며, 기기 보안은 기기 내부에 저장하는 데이터의 위변조, 기기 관리를 위해 필요한 관리 데이터의 위변조, 기기의 기능을 수행하는 펌웨어의 위변조 방지를 위해 적용된다. 전송 보안은 인터넷의 발달에 따라 네트워크 계층에 따른 다양한 보안 기술이 제시되었지만, 기기 자체의 보안은 상대적으로 보안 요구가 낮았으나, 최근에 사물인터넷 환경에서 사용되는 기기들의 개발에 따라 기기 자체의 보안이 중요함에 따라 높은 보안성이 요구되고 있다.Objects for Smart Home Implementation System in Apartment, House, etc. The devices used in the Internet environment are vulnerable to security threats caused by various types of vulnerabilities, and the security requirements are rising because of the large damage. Objects The security elements of devices used in the Internet environment can be divided into transmission security and device security. In the transmission security, data encryption / decryption technology is applied between the transmitting end and the receiving end. Device security is used to forgery and falsify the data stored in the device, forgery of the management data necessary for device management, . Although the security of the device itself is relatively low, the security of the device itself has been low. However, recently, the security of the device itself due to the development of the devices used in the Internet environment High security is required as it is important.

게이트웨이 자체의 보안성 강화를 위해 하드웨어 보안 모듈을 이용한 선행 기술을 살펴보면 하기의 <특허문헌 1> 내지 <특허문헌 5> 와 같다.Prior arts using a hardware security module to enhance the security of the gateway itself are the same as those of the following Patent Documents 1 to 5.

<특허문헌 1> 에 개시된 선행기술은 컴퓨팅 자원이 없거나 부족한 레거시 단말이라 할지라도 근거리 네트워크에 접속할 수 있다면 P2P 네트워크상의 보안 그룹에 참여하여 보안 통신을 구현하도록 한 기술이다. 기기들의 식별정보를 포함하는 정보들의 보안을 제공하는 장치로 게이트웨이를 제공하고 있으나, 보안을 위한 별도의 하드웨어 모듈을 포함하지 않는 기술이다.The prior art disclosed in Patent Document 1 is a technology for implementing secure communication by participating in a security group on a P2P network if a legacy terminal having no or little computing resources can access a local area network. A gateway is provided as an apparatus that provides security of information including identification information of devices, but is a technology that does not include a separate hardware module for security.

또한, <특허문헌 2> 및 <특허문헌 3> 에 개시된 선행기술(등록번호, 10-1760092, 10-1760095) 은 IP 카메라에서 촬영한 영상을 암호화된 영상으로 변환하기 위해 필요한 복수의 암호키를 포함하는 하드웨어 보안모듈을 이용하고, 이들 암호키 중 하나를 임의로 선택하여 사용하는 방식으로, 하드웨어 보안모듈 내 암호키를 주기적으로 변경하여 생성하는 방식으로, 하드웨어 보안모듈을 이용한 보안성을 향상한다.The prior art (Registration No., 10-1760092, 10-1760095) disclosed in Patent Document 2 and Patent Document 3 has a configuration in which a plurality of encryption keys required for converting an image captured by an IP camera into an encrypted image And the security key using the hardware security module is improved by periodically changing the encryption key in the hardware security module in such a manner that one of the encryption keys is arbitrarily selected and used.

또한, <특허문헌 4> 에 개시된 선행기술은 데이터 수집장치 내에 하드웨어 보안모듈을 내장하고, 검침 데이터의 송수신 과정에서 하드웨어 보안모듈을 이용하여 암호화/복호화하는 것으로, 특히 USIM 타입의 칩을 이용한다.In the prior art disclosed in Patent Document 4, a hardware security module is built in a data collecting device, and encryption / decryption is performed using a hardware security module in the process of transmitting and receiving meter reading data, and in particular a USIM type chip is used.

또한, <특허문헌 5> 에 개시된 선행기술은 단말에 하드웨어 보안모듈을 내장하고, 단말을 사용하는 사용자 인증 정보를 하드웨어 보안모듈에 저장한 후, 하드웨어 보안모듈에 저장된 사용자 인증 정보를 변경하여 업데이트가 필요할 경우, 단말로부터 전달받은 업데이트할 사용자 인증 정보와 하드웨어 보안모듈에 기저장된 사용자 인증 정보를 비교하여 일치하면 업데이트를 하여. 보안성을 향상하는 기술이다.In the prior art disclosed in Patent Document 5, a hardware security module is built in a terminal, user authentication information using a terminal is stored in a hardware security module, and then the user authentication information stored in the hardware security module is changed to update If necessary, the user authentication information to be updated received from the terminal is compared with the user authentication information previously stored in the hardware security module. It is a technology to improve security.

대한민국 공개특허 10-2010-0062859(2010.06.10. 공개)(보안 통신 시스템과 이를 위한 게이트웨이 장치 및 그 운영방법)Korean Patent Laid-Open No. 10-2010-0062859 (published Jun. 10, 2010) (Secure communication system, gateway device and method for operating the same) 대한민국 등록특허 10-1760092(2017.07.21. 공고)(하드웨어 보안모듈을 이용한 CCTV 보안강화 장치 및 그 방법)Korean Registered Patent No. 10-1760092 (Announcement 2017.07.21) (CCTV Security Enhancement Device and Method Using Hardware Security Module) 대한민국 등록특허 10-1760095(2017.08.01. 공고)(암호키 기반의 하드웨어 보안모듈을 이용한 CCTV 보안 감시 장치 및 그 방법)Korean Patent Registration No. 10-1760095 (Announcement 2017.08.01) (CCTV Security Monitoring Device Using Cryptographic Key-based Hardware Security Module and Method Thereof) 대한민국 등록특허 10-1512502(2015.04.16. 공고)(하드웨어 보안모듈이 적용된 AMI 보안 시스템)Korean Registered Patent No. 10-1512502 (Announcement 2014.04.16) (AMI Security System with Hardware Security Module) 대한민국 공개특허 10-2016-0098756(2016.08.19. 공개)(하드웨어 보안모듈, 상기 하드웨어 보안모듈에 저장된 무결성 검증 값을 업데이트하는 방법, 상기 하드웨어 보안 모듈을 이용하여 단말에 저장된 프로그램을 업데이트하는 방법)A method for updating an integrity verification value stored in the hardware security module, a method for updating a program stored in the terminal using the hardware security module, and a method for updating the integrity verification value stored in the terminal using the hardware security module are disclosed in Korean Patent Application Publication No. 10-2016-0098756

그러나 상기와 같은 종래기술들은 하드웨어 보안모듈을 이용할 경우 주기적으로 암호키를 변경 및 생성하는 불편함이 있으며, USIM 타입과 같은 별도의 칩을 이용해야 하므로 시스템 구현 비용이 복잡하거나 구현 비용이 많이 소요되며, 게이트웨이 내에서의 한정적으로 특정 데이터의 위변조를 방지하는 것은 불가능한 단점이 있다.However, the above conventional techniques have the inconvenience of changing and generating the encryption key periodically when using the hardware security module, and the system implementation cost is complicated or the implementation cost is high because a separate chip such as the USIM type is used. , There is a disadvantage that it is impossible to prevent forgery and falsification of specific data in the gateway in a limited manner.

따라서 본 발명은 상기와 같은 종래기술에서 발생하는 제반 문제점을 해결하기 위해서 제안된 것으로서, 공동 주택 및 일반 주택의 사물인터넷(IoT; Internet of Things) 환경을 위해 사용되는 게이트웨이(Gateway)에서 하드웨어 보안 모듈을 이용하여 특정 데이터(예를 들어, 식별정보)의 위변조를 방지하여 게이트웨이 내부 보안성을 강화하도록 한 하드웨어 보안 모듈을 이용한 데이터 위변조 방지장치 및 그 방법을 제공하는 데 그 목적이 있다.SUMMARY OF THE INVENTION Accordingly, the present invention has been made to solve the above-mentioned problems occurring in the prior art, and it is an object of the present invention to provide a hardware security module (hereinafter referred to as &quot; hardware security module &quot;) in a gateway used for Internet of Things (IoT) The present invention is directed to a data forgery prevention apparatus and method using a hardware security module that prevents forgery and falsification of specific data (e.g., identification information) by using a hardware security module.

본 발명의 다른 목적은 사물인터넷 기기들과 통신할 수 있게 구성되며, 시스템 자원이 매우 제한적인 환경에서도 게이트웨이의 내부에서 처리되는 중용한 데이터가 저장, 탐색, 전송 처리되는 과정에서 발생할 수 있는 위변조에 의한 보안사고를 방지하도록 한 하드웨어 보안 모듈을 이용한 데이터 위변조 방지장치 및 그 방법을 제공하는 것이다.It is another object of the present invention to provide a method and system for communicating with object Internet devices, which are capable of communicating with object Internet devices, The present invention provides a data forgery prevention device and a method thereof using a hardware security module that prevents a security incident caused by a security attack.

상기한 바와 같은 목적을 달성하기 위하여, 본 발명에 따른 하드웨어 보안 모듈을 이용한 데이터 위변조 방지장치는 사물인터넷 환경에서 사용되는 스마트 홈 기기와 스마트 홈 기기의 제어를 위한 서버 간의 데이터를 인터페이스 해주는 게이트웨이를 포함하고,In order to accomplish the above object, a data forgery prevention apparatus using a hardware security module according to the present invention includes a smart home device used in an object Internet environment and a gateway for interfacing data between a server for controlling a smart home device and,

상기 게이트웨이는 위변조로부터 보호해야 하는 특정 데이터의 리스트와 데이터의 원본 값을 미리 정의하여 특정 데이터 리스트로 저장하고, 데이터 처리과정에서 상기 특정 데이터의 접근 시 상기 특정 데이터의 위변조에 대해 검증하는 하드웨어 보안모듈; 특정 데이터의 위변조 검증을 위한 검증 프로그램을 내장하고, 데이터 처리과정에서 상기 하드웨어 보안모듈과 연동을 통해 특정 데이터의 위변조의 검증을 제어하는 중앙처리모듈을 포함하는 것을 특징으로 한다.The gateway is a hardware security module that predefines a list of specific data to be protected from forgery and falsification and an original value of data to store in a specific data list and verifies the forgery and falsification of the specific data when accessing the specific data ; And a central processing module which incorporates a verification program for forgery verification of specific data and controls verification of forgery and falsification of specific data through interlocking with the hardware security module during data processing.

상기에서 특정 데이터는 위변조로부터 보호하기 위해 미리 정의되는 식별정보인 것을 특징으로 한다.In this case, the specific data is identification information that is defined in advance to protect against forgery and falsification.

상기에서 하드웨어 보안모듈은 위변조 검증이 요청되는 데이터가 미리 정의된 특정 데이터 리스트에 존재하는지를 검색하여 위변조 인증을 수행하거나, 위변조 검증이 요청되는 데이터를 원본 데이터와 비교하여 위변조 여부를 판별하는 것을 특징으로 한다.The hardware security module performs forgery authentication by searching whether the data requested for forgery verification is present in a predefined specific data list or compares the data requested for forgery verification with original data to determine whether the data is forged or not. do.

상기에서 중앙처리모듈은 게이트웨이에서 실행되는 프로그램에 대해서도 상기 하드웨어 보안모듈과 연동하여 위변조에 의한 검증을 수행하는 것을 특징으로 한다.In this case, the central processing module also performs a verification by forgery of the program executed in the gateway in cooperation with the hardware security module.

상기에서 중앙처리모듈은 메모리에 데이터를 저장하거나 검색이 발생하면, 상기 하드웨어 보안모듈과 연동하여 특정 데이터의 위변조를 검증하는 것을 특징으로 한다.The central processing module, when data is stored in the memory or a search is generated, is interlocked with the hardware security module to verify forgery of specific data.

상기에서 게이트웨이는 상기 스마트 홈 기기와 데이터를 무선으로 전송하는 무선 통신 모듈을 더 포함하고,Wherein the gateway further comprises a wireless communication module for wirelessly transmitting data to the smart home device,

상기 중앙처리모듈은 상기 무선 통신 모듈에서 상기 데이터의 전송이 발생하면, 상기 하드웨어 보안모듈과 연동하여 특정 데이터의 위변조를 검증하는 것을 특징으로 한다.The central processing module verifies the forgery and corruption of specific data in conjunction with the hardware security module when the data transmission is generated in the wireless communication module.

상기에서 게이트웨이는 상기 서버와 데이터를 유선으로 전송하는 유선 통신 모듈을 더 포함하고,Wherein the gateway further comprises a wired communication module for transmitting wired data to the server,

상기 중앙처리모듈은 상기 유선 통신 모듈에서 데이터의 전송이 발생하면, 상기 하드웨어 보안모듈과 연동하여 특정 데이터의 위변조를 검증하는 것을 특징으로 한다.The central processing module verifies the forgery and corruption of specific data by interworking with the hardware security module when data transmission occurs in the wired communication module.

상기에서 게이트웨이는 전원의 공급과 차단을 결정하는 전원부를 더 포함하고,The gateway further comprises a power supply unit for determining supply and cutoff of power supply,

상기 중앙처리모듈은 상기 전원부와 전원 공급 및 차단 데이터의 전송이 발생하면, 상기 하드웨어 보안모듈과 연동하여 특정 데이터의 위변조를 검증하는 것을 특징으로 한다.And the central processing module verifies the forgery and corruption of specific data in conjunction with the hardware security module when transmission of power supply and interruption data to the power supply unit occurs.

상기한 바와 같은 목적을 달성하기 위하여, 본 발명에 따른 하드웨어 보안 모듈을 이용한 데이터 위변조 방지방법은, 사물인터넷 환경에서 사용되는 스마트 홈 기기와 스마트 홈 기기의 제어를 위한 서버 간의 데이터를 인터페이스 해주는 게이트웨이에서 위변조를 방지하기 위한 방법으로서,In order to achieve the above object, a method for preventing forgery of data using a hardware security module according to the present invention is a method for preventing forgery of data using a smart home device used in an object Internet environment and a gateway for interfacing data between a server for controlling a smart home device As a method for preventing forgery and falsification,

(a) 상기 게이트웨이의 하드웨어 보안 모듈에서 위변조로부터 보호해야 하는 특정 데이터의 리스트와 데이터의 원본 값을 미리 정의하여 특정 데이터 리스트로 저장하고, 상기 게이트웨이의 중앙처리모듈에서 데이터 처리가 발생하면 데이터 처리 유형을 분석하는 단계; (b) 상기 중앙처리모듈에서 상기 데이터 처리 유형이 위변조 방지를 위한 유형인지를 확인하는 단계; (c) 상기 중앙처리모듈에서 상기 (b)단계의 확인 결과 위변조 방지를 위한 데이터 유형이면, 발생한 데이터를 검증하는 단계; (d) 상기 (c)단계의 검증 결과, 특정 데이터 위변조이면 특정 데이터의 위변조 감지를 통보하는 단계; (e) 상기 (c)단계의 검증 결과, 특정 데이터의 인증이 이루어지면 해당 데이터를 처리하는 단계를 포함하는 것을 특징으로 한다.(a) a list of specific data to be protected from forgery and falsification by the hardware security module of the gateway and an original value of data are defined in advance and stored as a specific data list, and when data processing is performed in the central processing module of the gateway, Lt; / RTI &gt; (b) confirming in the central processing module whether the data processing type is a type for forgery prevention; (c) if the central processing module is a data type for forgery prevention as a result of the checking in the step (b), verifying the generated data; (d) notifying detection of forgery and falsification of specific data if the data forgery is a result of the verification in the step (c); (e) processing the data when authentication of the specific data is performed as a result of the checking in the step (c).

상기에서 (a)단계의 데이터 처리 유형은 처리 데이터가 메모리에 접근하여 저장 또는 검색이 요청되는 데이터, 또는 무선 통신 모듈 또는 유선 통신 모듈에 접속하여 전송되는 데이터, 또는 전원 모듈에 접근하여 전원의 공급 또는 차단을 조작하는 데이터를 포함하는 것을 특징으로 한다.The data processing type of the step (a) may include data in which processing data is accessed to store or retrieve data, data transmitted in connection with a wireless communication module or a wired communication module, Or data for manipulating interception.

상기에서 (c)단계는 상기 중앙처리모듈에서 발생한 데이터가 저장 또는 검색 또는 전송되는 데이터이거나 전원 모듈에 접근하여 전원의 공급 또는 차단을 조작하는 데이터이면, 상기 하드웨어 보안모듈과 연동을 통해 특정 데이터의 위변조를 검증하는 것을 특징으로 한다.If the data generated in the central processing module is data to be stored, retrieved, or transmitted, or is a data accessing the power module to manipulate supply or cutoff of power, the step (c) And the forgery and falsification is verified.

본 발명에 따르면 사물인터넷 환경에서 사용되는 게이트웨이 내부에서 데이터가 처리되는 과정에서의 위변조에 대한 보안사고를 미리 예방할 수 있는 효과가 있다.According to the present invention, security incidents against forgery and corruption in the process of processing data in the gateway used in the object Internet environment can be prevented in advance.

또한, 본 발명에 따르면 게이트웨이 내부에서 처리되는 데이터뿐만 아니라 게이트웨이에서 실행되는 프로그램의 위변조에 의한 오류, 보안 침해 등도 방지할 수 있는 효과가 있다.In addition, according to the present invention, not only the data processed in the gateway, but also the error caused by forgery and alteration of the program executed in the gateway, security breach, and the like can be prevented.

또한, 본 발명에 따르면 사물인터넷 환경과 같이 시스템 자원이 매우 제한적인 환경에서도 게이트웨이의 하드웨어 보안모듈을 이용하여 다양한 스마트 홈 단말기의 보안성을 향상할 수 있는 효과가 있다.Also, according to the present invention, it is possible to improve the security of various smart home terminals using a hardware security module of a gateway even in an environment where system resources are very limited, such as a thing Internet environment.

도 1은 본 발명에 따른 하드웨어 보안 모듈을 이용한 데이터 위변조 방지장치의 블록 구성도,
도 2는 본 발명에 따른 하드웨어 보안 모듈을 이용한 데이터 위변조 방지방법을 보인 흐름도.1 is a block diagram of a data forgery prevention apparatus using a hardware security module according to the present invention;
2 is a flowchart illustrating a method for preventing forgery of data using a hardware security module according to the present invention.

이하 본 발명의 바람직한 실시 예에 따른 하드웨어 보안 모듈을 이용한 데이터 위변조 방지장치 및 그 방법을 첨부된 도면을 참조하여 상세하게 설명한다.DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Hereinafter, a data forgery prevention apparatus and method using a hardware security module according to a preferred embodiment of the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명의 바람직한 실시 예에 따른 하드웨어 보안 모듈을 이용한 데이터 위변조 방지장치의 블록 구성도로서, 사물인터넷 환경에서 사용되는 스마트 홈 기기(200), 스마트 홈 기기(200)의 제어를 위한 서버(300), 상기 스마트 홈 기기(200)와 서버(300) 간의 데이터를 인터페이스 해주는 게이트웨이(200)를 포함한다.FIG. 1 is a block diagram of a data forgery prevention apparatus using a hardware security module according to a preferred embodiment of the present invention. FIG. 1 is a block diagram of a smart fork device 200 used in an object Internet environment, And a gateway 200 for interfacing data between the smart home appliance 200 and the server 300.

상기 게이트웨이(100)는 위변조로부터 보호해야 하는 특정 데이터의 리스트와 데이터의 원본 값을 미리 정의하여 특정 데이터 리스트로 저장하고, 데이터 처리과정에서 상기 특정 데이터의 접근 시 상기 특정 데이터의 위변조에 대해 검증하는 하드웨어 보안모듈(120), 특정 데이터의 위변조 검증을 위한 검증 프로그램을 내장하고, 데이터 처리과정에서 상기 하드웨어 보안모듈(120)과 연동을 통해 특정 데이터의 위변조의 검증을 제어하는 중앙처리모듈(110), 상기 스마트 홈 기기(200)와 데이터를 무선으로 전송하는 무선 통신 모듈(140), 상기 서버(300)와 데이터를 유선으로 전송하는 유선 통신 모듈(150), 전원의 공급과 차단을 결정하는 전원부(160), 상기 중앙처리모듈(110)에서 실행되는 프로그램들에 의해 처리되는 데이터를 저장(write)하거나, 이미 저장되어 있는 데이터의 검색(read) 기능을 제공하는 메모리(130)를 포함한다.The gateway 100 predefines a list of specific data to be protected from forgery and falsification and an original value of data and stores the data in a specific data list and verifies the forgery and falsification of the specific data when accessing the specific data A central processing module 110 that incorporates a hardware security module 120, a verification program for forgery verification of specific data and controls verification of forgery and falsification of specific data through interlocking with the hardware security module 120 during data processing, A wireless communication module 140 for wirelessly transmitting data to the smart home appliance 200, a wired communication module 150 for transmitting the data to the server 300 by wire, a power source (160), data to be processed by the programs executed by the central processing module (110), or may be stored And a memory 130 that provides a function of reading data.

상기 하드웨어 보안모듈(120)은 위변조 검증이 요청되는 데이터가 미리 정의된 특정 데이터 리스트에 존재하는지를 검색하여 위변조 인증을 수행하거나, 위변조 검증이 요청되는 데이터를 원본 데이터와 비교하여 위변조 여부를 판별하는 것이 바람직하다.The hardware security module 120 determines whether forgery or falsification is performed by performing forgery authentication by searching whether data forgery-proof verification is requested exists in a predefined specific data list or by comparing data forgery verification verification with original data desirable.

또한, 상기 중앙처리모듈(110)은 게이트웨이(100)에서 실행되는 프로그램에 대해서도 상기 하드웨어 보안모듈(120)과 연동하여 위변조에 의한 검증을 수행하는 것이 바람직하다.In addition, the central processing module 110 preferably performs a verification for a program executed in the gateway 100 in conjunction with the hardware security module 120 by forgery or falsification.

더욱 바람직하게, 상기 중앙처리모듈(110)은 메모리(130)에 데이터를 저장하거나 데이터의 검색이 발생하거나, 상기 무선 통신 모듈(140)에서 데이터의 전송이 발생하거나, 상기 유선 통신 모듈(150)에서 데이터의 전송이 발생하거나, 상기 전원부(160)에 전원 공급 및 차단 데이터의 전송이 발생하면, 상기 하드웨어 보안모듈(120)과 연동하여 특정 데이터의 위변조를 검증한다.More preferably, the central processing module 110 stores data in the memory 130, retrieves data, or transfers data in the wireless communication module 140, And if the power supply to the power supply unit 160 and the transmission of the cutoff data occur, the forgery and falsification of specific data is interlocked with the hardware security module 120.

이와 같이 구성된 본 발명에 따른 하드웨어 보안 모듈을 이용한 데이터 위변조 방지장치의 동작을 구체적으로 설명하면 다음과 같다.The operation of the data forgery prevention apparatus using the hardware security module according to the present invention will now be described in detail.

먼저, 스마트 홈 기기(200)와 서버(300) 간의 데이터 처리 도중에 특정 데이터의 위변조를 방지하기 위해서, 사전에 하드웨어 보안모듈(120)에 위변조를 방지하기 위한 특정 데이터를 정의하여 특정 데이터 리스트를 등록하고, 특정 데이터의 원본 값(원본 데이터)을 저장해 놓는다.First, in order to prevent forgery and falsification of specific data during data processing between the smart home appliance 200 and the server 300, specific data for preventing forgery and falsification is defined in the hardware security module 120 in advance and a specific data list is registered And stores the original value (original data) of the specific data.

여기서 특정 데이터는 위변조로부터 보호하기 위해 미리 정의되는 데이터로서, "식별정보"라고 할 수 있다. 식별정보는 사용자에 의해 등록 가능하다.Here, the specific data is predefined data for protecting against forgery and falsification, and may be referred to as "identification information ". The identification information can be registered by the user.

위변조 방지를 위해 식별정보를 등록해 놓은 상태에서, 중앙 처리 모듈(110)은 게이트웨이(100) 내에서 다양한 프로그램(실행 프로그램)이 실행되면, 이러한 프로그램들에 의해 처리되는 데이터의 위변조를 검증하기 위한 위변조 검증 프로그램을 실행하여, 데이터 위변조를 검증한다.When various programs (execution programs) are executed in the gateway 100 while the identification information is registered for the purpose of prevention of forgery and falsification, the central processing module 110 executes a program for verifying forgery of data processed by such programs Execute the forgery verification program to verify the forgery of data.

예컨대, 실행되는 프로그램들에 의해 데이터를 처리하는 도중에 실행되는 프로그램이 메모리(130)에 접근하여 데이터를 저장하거나 데이터의 검색을 수행하면, 특정 데이터의 위변조를 검증한다.For example, when a program executed while data is being processed by executed programs accesses the memory 130 to store data or perform data retrieval, it verifies forgery of specific data.

특정 데이터의 위변조 검증은 상기 하드웨어 보안모듈(120)과 연동을 통해 이루어진다. 즉, 위변조를 방지하기 위한 검증 프로그램을 실행한 상태에서, 메모리(130)에 데이터 저장이나 검색 요청이 발생하면, 상기 하드웨어 보안모듈(120)과 연동을 통해 발생한 데이터 또는 검색 요청되는 데이터의 위변조를 검증한다.And forgery verification of specific data is performed in cooperation with the hardware security module 120. That is, when a data storage or retrieval request is generated in the memory 130 while the verification program for preventing forgery and falsification is executed, the data generated through interlocking with the hardware security module 120 or the forgery / Verify.

상기 하드웨어 보안모듈(120)은 상기 중앙 처리 모듈(110)로부터 데이터의 위변조의 검증 요청이 발생하면, 검증이 요청되는 데이터가 미리 정의된 특정 데이터 리스트에 존재하는지를 검색하여, 요청 데이터가 특정 데이터 리스트에 존재하면 인증 값(verified value)을 출력하고, 특정 데이터 리스트에 존재하지 않으면 부인 값(denied value)을 출력한다. 또한, 요청 데이터가 특정 데이터 리스트에 존재할 경우, 특정 데이터와 원본 데이터를 비교하여 동일하면 인증 값을 상이하면 부인 값을 상기 중앙 처리 모듈(110)에 전달한다.When a request for verification of forgery of data occurs from the central processing module 110, the hardware security module 120 searches whether the data to be verified exists in a predefined specific data list, And outputs a verified value if it is present in the specific data list and outputs a denied value if it does not exist in the specific data list. If the request data is present in the specific data list, the specific data is compared with the original data, and if the same is the same, if the same value is different, the dummy value is transmitted to the central processing module 110.

중앙 처리 모듈(110)은 상기 하드웨어 보안 모듈(120)과 연동하여, 데이터의 위변조를 검증한 결과, 인증 값과 위변조가 없는 검증 결과가 발생하면, 발생한 데이터를 정상적으로 처리한다. 이와는 달리, 데이터의 위변조를 검증한 결과 부인 값이 발생하거나 위변조가 발생한 것으로 검증 결과가 수신되면, 특정 데이터(식별정보)의 위변조로 판단을 하고, 식별정보 위변조 감지를 통보한다. 여기서 식별정보 위변조 감지 통보는 표시장치를 통해 식별정보 위변조 감지를 통보해주거나, 식별정보 위변조 감지 정보를 메시지 형태로 생성하여 미리 등록한 사용자 단말기로 자동 발송해주는 것도 가능하다.The central processing module 110, in cooperation with the hardware security module 120, verifies the forgery and corruption of the data. As a result, when the authentication result and the verification result without fake and tamper are generated, the central processing module 110 normally processes the generated data. Alternatively, when a verification result is received that a discrepancy has occurred or a forgery or falsification has occurred as a result of verifying the forgery or falsification of data, it is determined that the specific data (identification information) is forged or falsified and the detection of forgery of the identification information is notified. Here, the identification information forgery detection notification may notify detection of forgery of the identification information through the display device, or may generate the identification information forgery detection information in the form of a message and automatically send it to the registered user terminal.

이러한 과정을 통해, 메모리(130)에 데이터를 저장하거나 저장된 데이터를 검색할 경우, 위변조 유무의 검증과 위변조를 방지할 수 있게 되는 것이다.In this way, when data is stored in the memory 130 or stored data is searched, it is possible to prevent the forgery and falsification and to prevent forgery and falsification.

또한, 상기 무선 통신 모듈(140)에서 데이터의 전송이 발생하거나, 상기 유선 통신 모듈(150)에서 데이터의 전송이 발생하면, 특정 데이터의 위변조를 검증한다.In addition, when data transmission occurs in the wireless communication module 140 or data transmission occurs in the wired communication module 150, the forgery / falsification of specific data is verified.

특정 데이터의 위변조 검증은 상기 하드웨어 보안모듈(120)과 연동을 통해 이루어진다. 즉, 위변조를 방지하기 위한 검증 프로그램을 실행한 상태에서, 상기 무선 통신 모듈(140)에서 데이터의 전송이 발생하거나, 상기 유선 통신 모듈(150)에서 데이터의 전송이 발생하면, 상기 하드웨어 보안모듈(120)과 연동을 통해 발생한 데이터의 위변조를 검증한다.And forgery verification of specific data is performed in cooperation with the hardware security module 120. That is, when data transmission occurs in the wireless communication module 140 or transmission of data occurs in the wired communication module 150 while the verification program for preventing forgery and falsification is executed, the hardware security module 120) to verify the forgery and corruption of the data.

상기 하드웨어 보안모듈(120)은 상기 중앙 처리 모듈(110)로부터 데이터의 위변조의 검증 요청이 발생하면, 검증이 요청되는 데이터가 미리 정의된 특정 데이터 리스트에 존재하는지를 검색하여, 요청 데이터가 특정 데이터 리스트에 존재하면 인증 값(verified value)을 출력하고, 특정 데이터 리스트에 존재하지 않으면 부인 값(denied value)을 출력한다. 또한, 요청 데이터가 특정 데이터 리스트에 존재할 경우, 특정 데이터와 원본 데이터를 비교하여 동일하면 인증 값을 상이하면 부인 값을 상기 중앙 처리 모듈(110)에 전달한다.When a request for verification of forgery of data occurs from the central processing module 110, the hardware security module 120 searches whether the data to be verified exists in a predefined specific data list, And outputs a verified value if it is present in the specific data list and outputs a denied value if it does not exist in the specific data list. If the request data is present in the specific data list, the specific data is compared with the original data, and if the same is the same, if the same value is different, the dummy value is transmitted to the central processing module 110.

중앙 처리 모듈(110)은 상기 하드웨어 보안 모듈(120)과 연동하여, 데이터의 위변조를 검증한 결과, 인증 값과 위변조가 없는 검증 결과가 발생하면, 발생한 데이터를 정상적으로 처리한다. 이와는 달리, 데이터의 위변조를 검증한 결과 부인 값이 발생하거나 위변조가 발생한 것으로 검증 결과가 수신되면, 특정 데이터(식별정보)의 위변조로 판단을 하고, 식별정보 위변조 감지를 통보한다. 여기서 식별정보 위변조 감지 통보는 표시장치를 통해 식별정보 위변조 감지를 통보해주거나, 식별정보 위변조 감지 정보를 메시지 형태로 생성하여 미리 등록한 사용자 단말기로 자동 발송해주는 것도 가능하다.The central processing module 110, in cooperation with the hardware security module 120, verifies the forgery and corruption of the data. As a result, when the authentication result and the verification result without fake and tamper are generated, the central processing module 110 normally processes the generated data. Alternatively, when a verification result is received that a discrepancy has occurred or a forgery or falsification has occurred as a result of verifying the forgery or falsification of data, it is determined that the specific data (identification information) is forged or falsified and the detection of forgery of the identification information is notified. Here, the identification information forgery detection notification may notify detection of forgery of the identification information through the display device, or may generate the identification information forgery detection information in the form of a message and automatically send it to the registered user terminal.

이러한 과정을 통해, 무선 통신 모듈(140)에서 데이터가 발생하거나 유선 통신 모듈(150)에서 데이터가 발생하면, 특정 데이터의 위변조 유무의 검증과 위변조를 방지할 수 있게 되는 것이다.Through this process, when data is generated in the wireless communication module 140 or data is generated in the wired communication module 150, it is possible to prevent the forgery and falsification of specific data and to prevent forgery and corruption.

또한, 상기 전원부(160)에 전원 공급 및 차단 데이터가 발생하면, 상기 하드웨어 보안모듈(120)과 연동하여 특정 데이터의 위변조를 검증한다.In addition, when the power supply and cutoff data is generated in the power supply unit 160, the forgery and falsification of specific data is verified in conjunction with the hardware security module 120.

특정 데이터의 위변조 검증은 상기 하드웨어 보안모듈(120)과 연동을 통해 이루어진다. 즉, 위변조를 방지하기 위한 검증 프로그램을 실행한 상태에서, 상기 전원부(160)에 전원 공급 또는 차단 데이터가 발생하면, 상기 하드웨어 보안모듈(120)과 연동을 통해 발생한 데이터의 위변조를 검증한다.And forgery verification of specific data is performed in cooperation with the hardware security module 120. That is, if a power supply or shutdown data is generated in the power supply unit 160 while a verification program for preventing forgery and falsification is executed, the forgery and falsification of data generated through interlocking with the hardware security module 120 is verified.

상기 하드웨어 보안모듈(120)은 상기 중앙 처리 모듈(110)로부터 데이터의 위변조의 검증 요청이 발생하면, 검증이 요청되는 데이터(전원 공급 데이터, 전원 차단 데이터)가 미리 정의된 특정 데이터 리스트에 존재하는지를 검색하여, 요청 데이터가 특정 데이터 리스트에 존재하면 인증 값(verified value)을 출력하고, 특정 데이터 리스트에 존재하지 않으면 부인 값(denied value)을 출력한다. 또한, 요청 데이터가 특정 데이터 리스트에 존재할 경우, 특정 데이터와 원본 데이터를 비교하여, 동일하면 인증 값을 상이하면 부인 값을 상기 중앙 처리 모듈(110)에 전달한다.When the hardware security module 120 receives a request for verification of forgery or falsification of data from the central processing module 110, the hardware security module 120 determines whether data (power supply data, power-off data) to be verified exists in a predefined specific data list And outputs an authenticated value if the requested data exists in the specific data list, and outputs a denied value if the requested data does not exist in the specified data list. If the requested data exists in the specific data list, the specific data is compared with the original data. If the requested data is the same, if the same data is different, the non-inserted value is transmitted to the central processing module 110.

중앙 처리 모듈(110)은 상기 하드웨어 보안 모듈(120)과 연동하여, 데이터의 위변조를 검증한 결과, 인증 값과 위변조가 없는 검증 결과가 발생하면, 발생한 데이터를 정상적으로 처리한다. 이와는 달리, 데이터의 위변조를 검증한 결과 부인 값이 발생하거나 위변조가 발생한 것으로 검증 결과가 수신되면, 특정 데이터(식별정보)의 위변조로 판단을 하고, 식별정보 위변조 감지를 통보한다. 여기서 식별정보 위변조 감지 통보는 표시장치를 통해 식별정보 위변조 감지를 통보해주거나, 식별정보 위변조 감지 정보를 메시지 형태로 생성하여 미리 등록한 사용자 단말기로 자동 발송해주는 것도 가능하다.The central processing module 110, in cooperation with the hardware security module 120, verifies the forgery and corruption of the data. As a result, when the authentication result and the verification result without fake and tamper are generated, the central processing module 110 normally processes the generated data. Alternatively, when a verification result is received that a discrepancy has occurred or a forgery or falsification has occurred as a result of verifying the forgery or falsification of data, it is determined that the specific data (identification information) is forged or falsified and the detection of forgery of the identification information is notified. Here, the identification information forgery detection notification may notify detection of forgery of the identification information through the display device, or may generate the identification information forgery detection information in the form of a message and automatically send it to the registered user terminal.

이러한 과정을 통해, 전원부(160)에 전원 공급이나 차단 데이터가 발생하면, 특정 데이터의 위변조 유무의 검증과 위변조를 방지할 수 있게 되는 것이다.Through this process, if power supply or cutoff data is generated in the power supply unit 160, verification of forgery or falsification of specific data and forgery and falsification can be prevented.

도 2는 본 발명에 따른 하드웨어 보안 모듈을 이용한 데이터 위변조 방지방법을 보인 흐름도로서, (a) 도 1의 게이트웨이(100)의 하드웨어 보안 모듈(120)에서 위변조로부터 보호해야 하는 특정 데이터의 리스트와 데이터의 원본 값을 미리 정의하여 특정 데이터 리스트로 저장하고, 상기 게이트웨이(100)의 중앙처리모듈(110)에서 데이터 처리가 발생하면 데이터 처리 유형을 분석하는 단계(S10 ~ S20), (b) 상기 중앙처리모듈(110)에서 상기 데이터 처리 유형이 위변조 방지를 위한 유형인지를 확인하는 단계(S30), (c) 상기 중앙처리모듈(110)에서 상기 (b)단계의 확인 결과 위변조 방지를 위한 데이터 유형이면, 발생한 데이터를 검증하는 단계(S40), (d) 상기 (c)단계의 검증 결과, 특정 데이터 위변조이면 특정 데이터의 위변조 감지를 통보하는 단계(S50), 및 (e) 상기 (c)단계의 검증 결과, 특정 데이터의 인증이 이루어지면 해당 데이터를 처리하는 단계(S60)를 포함한다.FIG. 2 is a flowchart illustrating a method for preventing forgery of data using a hardware security module according to an embodiment of the present invention. Referring to FIG. 2, a hardware security module 120 of the gateway 100 shown in FIG. (S10 to S20) of analyzing a data processing type when data processing is performed in the central processing module 110 of the gateway 100, (b) (S30) of confirming whether the data processing type is a type for forgery prevention in the processing module 110, (c) if the data type for preventing forgery prevention is determined in the step (b) A step S50 of verifying the forgery and falsification of the specific data if the data forgery is the result of the verification in the step (c), and (e) A verification result, and a step (S60) which is made of a specific authentication data when processing the data.

이와 같이 구성된 본 발명에 따른 하드웨어 보안 모듈을 이용한 데이터 위변조 방지방법을 구체적으로 설명하면 다음과 같다.A method for preventing forgery of data using the hardware security module according to the present invention will now be described in detail.

먼저, 게이트웨이(100)의 하드웨어 보안 모듈(120)에서 위변조로부터 보호해야 하는 특정 데이터의 리스트와 데이터의 원본 값을 미리 정의하여 특정 데이터 리스트로 저장한다.First, the hardware security module 120 of the gateway 100 defines in advance a list of specific data to be protected from forgery and alteration and an original value of data, and stores the list in a specific data list.

여기서 특정 데이터는 위변조로부터 보호하기 위해 미리 정의되는 데이터로서, "식별정보"라고 할 수 있다. 식별정보는 사용자에 의해 등록 가능하다.Here, the specific data is predefined data for protecting against forgery and falsification, and may be referred to as "identification information ". The identification information can be registered by the user.

위변조 방지를 위해 식별정보를 등록해 놓은 상태에서, 중앙 처리 모듈(110)은 게이트웨이(100) 내에서 다양한 프로그램(실행 프로그램)이 실행되면, 이러한 프로그램들에 의해 처리되는 데이터의 위변조를 검증하기 위한 위변조 검증 프로그램을 실행하여, 데이터 위변조를 검증한다.When various programs (execution programs) are executed in the gateway 100 while the identification information is registered for the purpose of prevention of forgery and falsification, the central processing module 110 executes a program for verifying forgery of data processed by such programs Execute the forgery verification program to verify the forgery of data.

예컨대, 중앙처리모듈(110)에서 데이터 처리가 발생하면(S10), 단계 S20 내지 S30에서 데이터 처리 유형을 분석한다. 여기서 데이터 처리 유형 분석은 처리 데이터가 메모리에 접근하여 저장 또는 검색이 요청되는 데이터, 또는 무선 통신 모듈 또는 유선 통신 모듈에 접속하여 전송되는 데이터, 또는 전원 모듈에 접근하여 전원의 공급 또는 차단을 조작하는 데이터일 경우, 특정 데이터의 위변조를 검증하는 데이터 유형이라고 판단한다.For example, when data processing is performed in the central processing module 110 (S10), the data processing type is analyzed in steps S20 to S30. Herein, the data processing type analysis is a process in which the processing data is accessed to access data to be stored or retrieved, or data to be connected to a wireless communication module or a wired communication module, or to access a power module, In the case of data, it is judged to be a data type for verifying forgery or falsification of specific data.

상기 판단 결과, 데이터 처리 유형이 메모리에 데이터를 저장 또는 저장된 데이터의 검색이거나, 무선 통신 모듈(140) 또는 유선 통신 모듈(150)에서 전송되는 데이터이거나, 전원부(160)에 접근하여 전원의 공급 또는 차단을 조작하는 데이터이면, 단계 S40으로 이동하여 상기 하드웨어 보안모듈(120)과 연동을 통해 특정 데이터의 위변조를 검증한다.As a result of the determination, if the data processing type is data stored in the memory or retrieved data, data transmitted from the wireless communication module 140 or the wired communication module 150, If it is the data to operate the interception, the process proceeds to step S40, and the interlocking with the hardware security module 120 verifies the forgery and corruption of the specific data.

예컨대, 하드웨어 보안모듈(120)은 상기 중앙 처리 모듈(110)로부터 데이터의 위변조의 검증 요청이 발생하면, 검증이 요청되는 데이터(저장 데이터, 검색 데이터, 전송 데이터, 전원 공급 데이터, 전원 차단 데이터)가 미리 정의된 특정 데이터 리스트에 존재하는지를 검색하여, 요청 데이터가 특정 데이터 리스트에 존재하면 인증 값(verified value)을 출력하고, 특정 데이터 리스트에 존재하지 않으면 부인 값(denied value)을 출력한다. 또한, 요청 데이터가 특정 데이터 리스트에 존재할 경우, 특정 데이터와 원본 데이터를 비교하여, 동일하면 인증 값을 상이하면 부인 값을 상기 중앙 처리 모듈(110)에 전달한다.For example, when a request for verification of forgery of data is generated from the central processing module 110, the hardware security module 120 generates data (storage data, search data, transmission data, power supply data, And outputs a verified value if the request data is present in the specific data list and outputs a denied value if the request data does not exist in the specific data list. If the requested data exists in the specific data list, the specific data is compared with the original data. If the requested data is the same, if the same data is different, the non-inserted value is transmitted to the central processing module 110.

상기 중앙 처리 모듈(110)은 상기 하드웨어 보안 모듈(120)과 연동하여, 데이터의 위변조를 검증한 결과, 인증 값과 위변조가 없는 검증 결과가 발생하면, 단계 S60으로 이동하여 발생한 데이터를 정상적으로 처리한다. The central processing module 110, in cooperation with the hardware security module 120, verifies the forgery and corruption of the data. If the authentication result and the verification result without the fake or falsified data are generated, the central processing module 110 proceeds to step S60 and normally processes the generated data .

이와는 달리, 데이터의 위변조를 검증한 결과 부인 값이 발생하거나 위변조가 발생한 것으로 검증 결과가 수신되면, 단계 S50으로 이동하여 특정 데이터(식별정보)의 위변조로 판단을 하고, 식별정보 위변조 감지를 통보한다. 여기서 식별정보 위변조 감지 통보는 표시장치를 통해 식별정보 위변조 감지를 통보해주거나, 식별정보 위변조 감지 정보를 메시지 형태로 생성하여 미리 등록한 사용자 단말기로 자동 발송해주는 것도 가능하다.Alternatively, if a verification result is received that a discrepancy has occurred or a forgery or falsification has occurred as a result of verifying the forgery and alteration of the data, the process proceeds to step S50 to determine that the specific data (identification information) is fake and tampered, . Here, the identification information forgery detection notification may notify detection of forgery of the identification information through the display device, or may generate the identification information forgery detection information in the form of a message and automatically send it to the registered user terminal.

이러한 과정을 통해, 특정 프로그램이 실행되어 메모리의 데이터 저장 또는 검색이 발생하거나, 무선 통신 모듈에 데이터 전송이 발생하거나, 유선 통신 모듈에 데이터 전송이 발생하거나, 전원부에 접근하여 전원 공급이나 차단 데이터가 발생하면, 특정 데이터의 위변조 유무의 검증과 위변조를 방지할 수 있게 되는 것이다.Through such a process, a specific program is executed to cause memory data storage or retrieval, data transmission to the wireless communication module, data transmission to the wired communication module, or access to the power supply, It is possible to prevent the forgery and falsification of the verification of the forgery and falsification of the specific data.

이상 본 발명자에 의해서 이루어진 발명을 상기 실시 예에 따라 구체적으로 설명하였지만, 본 발명은 상기 실시 예에 한정되는 것은 아니고 그 요지를 이탈하지 않는 범위에서 여러 가지로 변경 가능한 것은 이 기술분야에서 통상의 지식을 가진 자에게 자명하다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed exemplary embodiments, but, on the contrary, It is obvious to those who have.

본 발명은 사물인터넷 환경의 스마트 홈 기기와 서버 간에 게이트웨이를 구비하여 데이터를 인터페이스 할 때 식별정보와 같은 특정 데이터의 위변조를 방지하기 위한 기술에 적용된다.The present invention is applied to a technique for preventing forgery and falsification of specific data such as identification information when a smart home device and a server in a Internet environment for objects are provided with a gateway to interface data.

100: 게이트웨이
110: 중앙 처리 모듈
120: 하드웨어 보안모듈
130: 메모리
140: 무선 통신 모듈
150: 유선 통신 모듈
160: 전원부
200: 스마트 홈 기기
300: 서버100: Gateway
110: central processing module
120: Hardware security module
130: memory
140: Wireless communication module
150: Wired communication module
160:
200: Smart home devices
300: server

Claims (11)

사물인터넷 환경에서 사용되는 스마트 홈 기기와 스마트 홈 기기의 제어를 위한 서버 간의 데이터를 인터페이스 해주는 게이트웨이를 포함하고,
상기 게이트웨이는 위변조로부터 보호해야 하는 특정 데이터의 리스트와 데이터의 원본 값을 미리 정의하여 특정 데이터 리스트로 저장하고, 데이터 처리과정에서 상기 특정 데이터의 접근 시 상기 특정 데이터의 위변조에 대해 검증하는 하드웨어 보안모듈; 및
상기 특정 데이터의 위변조 검증을 위한 검증 프로그램을 내장하고, 데이터 처리과정에서 상기 하드웨어 보안모듈과 연동을 통해 특정 데이터의 위변조의 검증을 제어하는 중앙처리모듈을 포함하는 것을 특징으로 하는 하드웨어 보안 모듈을 이용한 데이터 위변조 방지장치.
And a gateway for interfacing data between the smart home device used in the object Internet environment and the server for controlling the smart home device,
The gateway is a hardware security module that predefines a list of specific data to be protected from forgery and falsification and an original value of data to store in a specific data list and verifies the forgery and falsification of the specific data when accessing the specific data ; And
And a central processing module that includes a verification program for forgery verification of the specific data and controls verification of forgery and falsification of specific data through interlocking with the hardware security module during data processing. Data forgery prevention device.
청구항 1에서, 상기 특정 데이터는 위변조로부터 보호하기 위해 미리 정의되는 식별정보인 것을 특징으로 하는 하드웨어 보안 모듈을 이용한 데이터 위변조 방지장치.
The apparatus according to claim 1, wherein the specific data is identification information predefined for protection against forgery and falsification.
청구항 1에서, 상기 하드웨어 보안모듈은 위변조 검증이 요청되는 데이터가 미리 정의된 특정 데이터 리스트에 존재하는지를 검색하여 위변조 인증을 수행하거나, 위변조 검증이 요청되는 데이터를 원본 데이터와 비교하여 위변조 여부를 판별하는 것을 특징으로 하는 하드웨어 보안 모듈을 이용한 데이터 위변조 방지장치.
The hardware security module determines whether forgery or falsification is performed by comparing whether data forgery verification is requested in the predetermined data list and forgery verification or comparing the data forgery verification with the original data The data forgery prevention device using the hardware security module.
청구항 1에서, 상기 중앙처리모듈은 게이트웨이에서 실행되는 프로그램에 대해서도 상기 하드웨어 보안모듈과 연동하여 위변조에 의한 검증을 수행하는 것을 특징으로 하는 하드웨어 보안 모듈을 이용한 데이터 위변조 방지장치.
The apparatus according to claim 1, wherein the central processing module also performs a forgery-proof verification of a program executed in a gateway in cooperation with the hardware security module.
청구항 1에서, 상기 중앙처리모듈은 메모리에 데이터를 저장하거나 검색이 발생하면, 상기 하드웨어 보안모듈과 연동하여 특정 데이터의 위변조를 검증하는 것을 특징으로 하는 하드웨어 보안 모듈을 이용한 데이터 위변조 방지장치.
The apparatus for preventing forgery prevention of data using a hardware security module according to claim 1, wherein the central processing module verifies the forgery or falsification of specific data in association with the hardware security module when data is stored in the memory or a search is made.
청구항 1에서, 상기 게이트웨이는 상기 스마트 홈 기기와 데이터를 무선으로 전송하는 무선 통신 모듈을 더 포함하고,
상기 중앙처리모듈은 상기 무선 통신 모듈에서 상기 데이터의 전송이 발생하면, 상기 하드웨어 보안모듈과 연동하여 특정 데이터의 위변조를 검증하는 것을 특징으로 하는 하드웨어 보안 모듈을 이용한 데이터 위변조 방지장치.
The gateway according to claim 1, further comprising a wireless communication module for wirelessly transmitting data with the smart home device,
Wherein the central processing module verifies the forgery and falsification of specific data in cooperation with the hardware security module when the data transmission is generated in the wireless communication module.
청구항 1에서, 상기 게이트웨이는 상기 서버와 데이터를 유선으로 전송하는 유선 통신 모듈을 더 포함하고,
상기 중앙처리모듈은 상기 유선 통신 모듈에서 데이터의 전송이 발생하면, 상기 하드웨어 보안모듈과 연동하여 특정 데이터의 위변조를 검증하는 것을 특징으로 하는 하드웨어 보안 모듈을 이용한 데이터 위변조 방지장치.
The method of claim 1, wherein the gateway further comprises a wired communication module for transmitting wired data to the server,
Wherein the central processing module verifies the forgery and falsification of specific data in cooperation with the hardware security module when data transmission is generated in the wired communication module.
청구항 1에서, 상기 게이트웨이는 전원의 공급과 차단을 결정하는 전원부를 더 포함하고,
상기 중앙처리모듈은 상기 전원부와 전원 공급 및 차단 데이터의 전송이 발생하면, 상기 하드웨어 보안모듈과 연동하여 특정 데이터의 위변조를 검증하는 것을 특징으로 하는 하드웨어 보안 모듈을 이용한 데이터 위변조 방지장치.
The gateway according to claim 1, further comprising a power supply unit for determining supply and cutoff of power supply,
Wherein the central processing module verifies the forgery and falsification of specific data in conjunction with the hardware security module when transmission of power supply and interruption data to the power supply unit occurs.
사물인터넷 환경에서 사용되는 스마트 홈 기기와 스마트 홈 기기의 제어를 위한 서버 간의 데이터를 인터페이스 해주는 게이트웨이에서 위변조를 방지하기 위한 방법으로서,
(a) 상기 게이트웨이의 하드웨어 보안 모듈에서 위변조로부터 보호해야 하는 특정 데이터의 리스트와 데이터의 원본 값을 미리 정의하여 특정 데이터 리스트로 저장하고, 상기 게이트웨이의 중앙처리모듈에서 데이터 처리가 발생하면 데이터 처리 유형을 분석하는 단계;
(b) 상기 중앙처리모듈에서 상기 데이터 처리 유형이 위변조 방지를 위한 유형인지를 확인하는 단계;
(c) 상기 중앙처리모듈에서 상기 (b)단계의 확인 결과 위변조 방지를 위한 데이터 유형이면, 발생한 데이터를 검증하는 단계;
(d) 상기 (c)단계의 검증 결과, 특정 데이터 위변조이면 특정 데이터의 위변조 감지를 통보하는 단계; 및
(e) 상기 (c)단계의 검증 결과, 특정 데이터의 인증이 이루어지면 해당 데이터를 처리하는 단계를 포함하는 것을 특징으로 하는 하드웨어 보안 모듈을 이용한 데이터 위변조 방지방법.
A method for preventing forgery and falsification in a gateway for interfacing data between a smart home device used in an object Internet environment and a server for controlling a smart home device,
(a) a list of specific data to be protected from forgery and falsification by the hardware security module of the gateway and an original value of data are defined in advance and stored as a specific data list, and when data processing is performed in the central processing module of the gateway, Lt; / RTI &gt;
(b) confirming in the central processing module whether the data processing type is a type for forgery prevention;
(c) if the central processing module is a data type for forgery prevention as a result of the checking in the step (b), verifying the generated data;
(d) notifying detection of forgery and falsification of specific data if the data forgery is a result of the verification in the step (c); And
(e) processing the data when authentication of the specific data is performed as a result of the verification in the step (c), wherein the data forgery prevention is performed using the hardware security module.
청구항 9에서, 상기 (a)단계의 데이터 처리 유형은 처리 데이터가 메모리에 접근하여 저장 또는 검색이 요청되는 데이터, 또는 무선 통신 모듈 또는 유선 통신 모듈에 접속하여 전송되는 데이터, 또는 전원 모듈에 접근하여 전원의 공급 또는 차단을 조작하는 데이터를 포함하는 것을 특징으로 하는 하드웨어 보안 모듈을 이용한 데이터 위변조 방지방법.
[12] The method of claim 9, wherein the data processing type of step (a) is a data processing type in which the processing data is accessed to access data to be stored or retrieved, or data to be transmitted to and from a wireless communication module or a wired communication module, And data for manipulating supply or cutoff of the power supply.
청구항 9에서, 상기 (c)단계는 상기 중앙처리모듈에서 발생한 데이터가 저장 또는 검색 또는 전송되는 데이터이거나 전원 모듈에 접근하여 전원의 공급 또는 차단을 조작하는 데이터이면, 상기 하드웨어 보안모듈과 연동을 통해 특정 데이터의 위변조를 검증하는 것을 특징으로 하는 하드웨어 보안 모듈을 이용한 데이터 위변조 방지방법.







The method of claim 9, wherein, if the data generated in the central processing module is data to be stored, retrieved, or transmitted, or is data that accesses a power module and operates to supply or cut off power, And verifying the forgery and falsification of specific data.







KR1020180000079A 2018-01-02 2018-01-02 Apparatus and method for preventing forgery of data using hardware security module KR102049889B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180000079A KR102049889B1 (en) 2018-01-02 2018-01-02 Apparatus and method for preventing forgery of data using hardware security module

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180000079A KR102049889B1 (en) 2018-01-02 2018-01-02 Apparatus and method for preventing forgery of data using hardware security module

Publications (2)

Publication Number Publication Date
KR20190088099A true KR20190088099A (en) 2019-07-26
KR102049889B1 KR102049889B1 (en) 2019-11-28

Family

ID=67469642

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180000079A KR102049889B1 (en) 2018-01-02 2018-01-02 Apparatus and method for preventing forgery of data using hardware security module

Country Status (1)

Country Link
KR (1) KR102049889B1 (en)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20100062859A (en) 2008-12-01 2010-06-10 한국전자통신연구원 Security communication system, gateway apparatus and operating method for the same
KR20130045428A (en) * 2011-10-26 2013-05-06 창신정보통신(주) Elliptic curve cryptography-based modification detection system for sensor nodes
KR101512502B1 (en) 2013-12-19 2015-04-16 한전케이디엔 주식회사 Ami security system applied with hardware security module
KR20160098756A (en) 2015-02-11 2016-08-19 한국전자통신연구원 Hardware secure module, method for updating integrity check value stored in the hardware secure module and program stored in terminal by the hardware secure module
KR101760092B1 (en) 2016-05-09 2017-07-21 주식회사에스에이티 Apparatus for security enhancement in closed circuit television using hardware security module and the method by using the same
KR101760095B1 (en) 2017-01-06 2017-08-01 주식회사에스에이티 An apparatus for security surveillance in closed circuit television based-on encryption key using hardware security module and method by using the same
KR101795457B1 (en) * 2016-09-27 2017-11-10 시큐리티플랫폼 주식회사 Method of initializing device and method of updating firmware of device having enhanced security function

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20100062859A (en) 2008-12-01 2010-06-10 한국전자통신연구원 Security communication system, gateway apparatus and operating method for the same
KR20130045428A (en) * 2011-10-26 2013-05-06 창신정보통신(주) Elliptic curve cryptography-based modification detection system for sensor nodes
KR101512502B1 (en) 2013-12-19 2015-04-16 한전케이디엔 주식회사 Ami security system applied with hardware security module
KR20160098756A (en) 2015-02-11 2016-08-19 한국전자통신연구원 Hardware secure module, method for updating integrity check value stored in the hardware secure module and program stored in terminal by the hardware secure module
KR101760092B1 (en) 2016-05-09 2017-07-21 주식회사에스에이티 Apparatus for security enhancement in closed circuit television using hardware security module and the method by using the same
KR101795457B1 (en) * 2016-09-27 2017-11-10 시큐리티플랫폼 주식회사 Method of initializing device and method of updating firmware of device having enhanced security function
KR101760095B1 (en) 2017-01-06 2017-08-01 주식회사에스에이티 An apparatus for security surveillance in closed circuit television based-on encryption key using hardware security module and method by using the same

Also Published As

Publication number Publication date
KR102049889B1 (en) 2019-11-28

Similar Documents

Publication Publication Date Title
CN112217835B (en) Message data processing method and device, server and terminal equipment
US9979726B2 (en) System and method for web application security
CN102414689B (en) For improvement of the method and apparatus of code and data signing
US9294489B2 (en) Method and apparatus for detecting an intrusion on a cloud computing service
CN101444063B (en) Secure time functionality for a wireless device
US20030074567A1 (en) Mehod and system for detecting a secure state of a computer system
US8949995B2 (en) Certifying server side web applications against security vulnerabilities
CN107154939B (en) Data tracking method and system
CN110138731B (en) Network anti-attack method based on big data
KR101496318B1 (en) Apparatus and method for providing security in remote digital forensics
CN113254964A (en) Log security certificate storage method and device, electronic equipment and storage medium
US10635839B2 (en) Fixed-location IoT device for protecting secure storage access information and method for protecting secure storage access information of fixed-location IoT device
CN113542339A (en) Electric power Internet of things safety protection design method
CN107548542B (en) User authentication method with enhanced integrity and security
CN117155716B (en) Access verification method and device, storage medium and electronic equipment
US11658996B2 (en) Historic data breach detection
CN112422527B (en) Threat assessment system, method and device for substation power monitoring system
KR102542213B1 (en) Real-time encryption/decryption security system and method for data in network based storage
CN111800390A (en) Abnormal access detection method, device, gateway equipment and storage medium
CN108900595B (en) Method, device and equipment for accessing data of cloud storage server and computing medium
KR102049889B1 (en) Apparatus and method for preventing forgery of data using hardware security module
CN113608907B (en) Database auditing method, device, equipment, system and storage medium
JP5743822B2 (en) Information leakage prevention device and restriction information generation device
CN103971065A (en) Method and device used for preventing data tampering
CN110995658A (en) Gateway protection method, device, computer equipment and storage medium

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right