KR20190115489A - 보안기술을 활용한 iot기기 보안인증 시스템 - Google Patents

보안기술을 활용한 iot기기 보안인증 시스템

Info

Publication number
KR20190115489A
KR20190115489A KR1020180028921A KR20180028921A KR20190115489A KR 20190115489 A KR20190115489 A KR 20190115489A KR 1020180028921 A KR1020180028921 A KR 1020180028921A KR 20180028921 A KR20180028921 A KR 20180028921A KR 20190115489 A KR20190115489 A KR 20190115489A
Authority
KR
South Korea
Prior art keywords
security authentication
iot device
data
request data
authentication data
Prior art date
Application number
KR1020180028921A
Other languages
English (en)
Inventor
강승식
Original Assignee
주식회사 알티웍스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 알티웍스 filed Critical 주식회사 알티웍스
Priority to KR1020180028921A priority Critical patent/KR20190115489A/ko
Publication of KR20190115489A publication Critical patent/KR20190115489A/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

IoT기기 보안인증기술에 관한 것으로, 자세하게는 간소화된 보안인증데이터를 활용하여 IoT기기를 보안인증하는 방법에 관한 것이다.

Description

보안기술을 활용한 IOT기기 보안인증 시스템{IOT equipment certification system utilizing security technology}
본 발명은 보안기술을 활용한 IoT기기 보안인증기술에 관한 것으로, 정보보안기능을 활용하여 IoT기기를 보안인증하는 시스템에 관한 것이다. IoT기기 보안인증방법은 IoT기기 보안인증 관리기기가 보안인증데이터 요청데이터를 암호화하는 보안인증데이터 요청데이터 암호화 단계, IoT기기 보안인증관리 기기가 암호화 보안인증데이터 요청데이터를 IoT기기 보안인증서버 기기로 송신하는 암호화 보안인증데이터 요청데이터 송신 단계, IoT기기 보안인증서버 기기가 수신한 암호화 보안인증데이터 요청데이터를 복호화 단계, IoT기기 보안인증서버 기기는 보안인증데이터 요청데이터에 따라 보안인증데이터를 생성 단계, IoT기기 보안인증서버 기기가 생성한 보안인증데이터에 서명하여 서명된 보안인증데이터를 생성하는 단계, IoT기기 보안인증서버 기기가 서명된 보안인증데이터 암호화 단계, IoT기기 보안인증관리 기기가 암호화 서명된 보안인증데이터를 IoT기기 보안인증서버 기기로부터 수신하는 암호화 보안인증데이터 수신 단계, IoT기기 보안인증관리 기기가 암호화 서명된 보안인증데이터를 복호화하는 암호화 서명된 보안인증데이터 복호화 단계, IoT기기 보안인증관리 기기가 서명된 보안인증데이터를 확인하여 IoT기기로 보안인증데이터 저장 요청데이터를 송신하는 요청데이터 송신 단계와 IoT기기가 수신한 서명된 보안인증데이터를 저장하고 보안인증데이터 저장 응답 신호를 IoT기기 보안인증관리 기기로 송신하는 보안인증데이터 저장 응답 신호송신 단계를 포함한다.
정보보안의 급속한 발전에도 불구하고, 보안사고는 급증하고 있다. 따라서 사물인터넷(IoT, Internet of Things)기기의 보안을 확보하여 안전하고 안정적인 활용을 위해서는 보안기능이 부가된 시스템이 필요하다. IoT기기 활용함에 있어 운영자, 기기, 콘텐츠, 서비스 등이 네트워크상에서 상호 연결 된다. 이 상호 연결과정에서 사물 인터넷의 아이디 확인, 보안인증 및 통합정보 관리를 통한 사물인터넷 기기로의 접근제어관리가 필요하다. 공개키 기반에 기초한 기기 보안인증은 네트워크 그리고 기기와 같은 환경에서 자유롭게 어플리케이션 층에서 보안이 이루어진다, 그러므로 공개키 기반에서 기기 보안인증은 사물 인터넷 환경에서 기기 확인의 가장 적절한 시스템이다.
그러나 공개키 기반에서 IoT기기 보안인증을 위해서는, 기기는 전자서명을 하고 확인할 수 있는 산술연산 기기가 있어야 하는데, 제한된 자원을 갖고 있는 IOT 기기에 적용하는 것은 어렵기 때문에, IOT 기기 보안인증에 사용되는 보안인증데이터에 포함된 정보를 최소화하여 기기의 크기 및 하드웨어의 성능에 관계없이 기기에 저장된 보안인증데이터를 통해 보안인증할 수 있는 방법이 필요하다.
본 발명이 해결하고자 하는 주요과제는 간편한 보안인증데이터를 활용하여 하드웨어 성능이 낮은 IoT기기의 보안인증을 쉽게 하는 것이고,
그리고 IoT기기가 통신하는 대상에 대한 정보인 클라이언트 타입 정보와 IoT기기가 임의로 생성한 값을 해시함수를 통해 산출한 값을 통해 IoT기기와 IoT기기로 보안인증데이터 발급을 중계하는 기기간에 보안인증이 이루어지도록 하는 것이다.
제안된 발명이 해결하고자 하는 또 다른 과제는 IoT기기와 IoT기기로의 보안인증데이터 발급을 중계하는 기기간에 송수신하는 신호를 초기값 또는 난수 값인 에드값과 키값을 통해 암호화 및 복호화하는 것이다.
IoT기기 보안인증방법은 IoT기기 보안인증관리 기기가 보안인증데이터 요청데이터를 암호화하는 보안인증데이터 요청데이터 암호화 단계, IoT기기 보안인증관리 기기가 암호화 보안인증데이터 요청데이터를 IoT기기 보안인증서버 기기로 송신하는 암호화 보안인증데이터 요청데이터 송신 단계, IoT기기 보안인증서버 기기가 수신한 암호화 보안인증데이터 요청데이터를 복호화하는 암호화 보안인증데이터 요청데이터 복호화 단계, IoT기기 보안인증서버 기기는 보안인증데이터 요청데이터에 따라 보안인증데이터를 생성하는 보안인증데이터 생성 단계, IoT기기 보안인증서버 기기가 생성한 보안인증데이터에 서명하여 서명된 보안인증데이터를 생성하는 서명된 보안인증데이터 생성 단계, IoT기기 보안인증서버 기기가 서명된 보안인증데이터를 암호화하는 서명된 보안인증데이터 암호화 단계, IoT기기 보안인증관리 기기가 암호화 서명된 보안인증데이터를 IoT기기 보안인증서버 기기로부터 수신하는 암호화 서명된 보안인증데이터 수신 단계, IoT기기 보안인증관리 기기가 암호화 서명된 보안인증데이터를 복호화하는 암호화 서명된 보안인증데이터 복호화 단계, IoT기기 보안인증관리 기기가 서명된 보안인증데이터를 확인하여 IoT기기로 보안인증데이터 저장 요청데이터를 송신하는 보안인증데이터저장 요청데이터 송신 단계 및 IoT기기가 수신한 서명된 보안인증데이터를 저장하고 보안인증데이터 저장 응답 신호를 IoT기기 보안인증관리 기기로 송신하는 보안인증데이터 저장 응답 신호송신 단계가 포함된다. 보안인증데이터는 순차 번호, 고유 아이디, 난수, 트랜잭션 아이디, 유효 시간, 유효횟수, 접근제어 정책, 암호화 알고리즘 중 적어도 하나를 포함하는 것을 특징으로 한다.
IoT기기 보안인증방법은 보안인증데이터 요청데이터 암호화 단계 이전에, IoT기기 관리 기기가 IoT기기 내부에 있는 보안인증정보를 수신하는 IoT기기 보안인증정보 수신 단계와 IoT기기 관리 기기가 IoT기기의 근거리 무선 통신 접속을 허용하는 근거리 무선 통신 접속 단계가 포함된다.
IoT기기 정보 수신 단계는 IoT기기 보안인증관리 기기가 IoT기기로 IoT기기 보안인증정보 요청데이터를 송신하는 IoT기기 보안인증정보 요청데이터 송신 단계, IoT기기가 IoT기기 보안인증관리기기로 IoT기기 보안인증정보 응답 신호를 송신하는 IoT기기 보안인증정보 응답 신호송신 단계, IoT기기 보안인증관리 기기가 IoT기기로 IoT기기 보안칩 버전 요청데이터를 송신하는 IoT기기 보안칩 버전 요청데이터 송신 단계 및 IoT기기가 IoT기기 보안인증관리 기기로 IoT기기 보안칩 버전 응답 신호를 송신하는 IoT기기 보안칩 버전 응답 신호송신 단계를 포함한다.
IoT기기 보안인증정보 요청데이터 송신 단계는, IoT기기 보안인증관리 기기가 전자기기 보안인증정보 요청데이터 송신 신호에 포함된 데이터와 초기값인 에드값을 더한 결과에 초기값인 키값과논리 연산을 취하여 암호화하고, 암호화 IoT기기 보안인증정보 요청데이터를 송신한다.
IoT기기 보안인증정보 응답 신호송신 단계는 IoT기기가 IoT기기 보안인증정보 응답신호에 포함된 데이터와 초기값인 에드값을 더한 결과에 초기값인 키값과 논리 연산을 취하여 암호화하고, 암호화 IoT기기 보안인증정보 응답 신호를 송신한다.
IoT기기 보안칩 버전 요청데이터 송신 단계는 IoT기기 보안인증관리 기기가 IoT기기 보안칩 버전 요청데이터 송신 신호에 포함된 데이터와 IoT기기 보안인증정보 응답 신호에 포함된 에드값을 더한 결과에 IoT기기 보안인증정보 응답 신호에 포함된 키값과 논리 연산을 취하여 암호화하고, 암호화 IoT기기 보안칩 버전 요청데이터를 송신한다.
IoT기기 보안칩 버전 응답 신호송신 단계는 IoT기기가 IoT기기 보안칩 버전 응답신호에 포함된 데이터와 IoT기기 보안인증정보 응답 신호에 포함된 에드값을 더한 결과에 IoT기기 보안인증정보 응답신호에 포함된 키값과 논리 연산을 취하여 암호화하고, 암호화 IoT기기 보안칩 버전 응답 신호를 송신한다.
제안한 발명은 단순화된 보안인증데이터를 활용하여 IoT기기의 보안인증을 용이하게 한다. 즉 IoT기기가 통신하는 대상인 클라이언트 타입 정보와 IoT기기가 임의로 생성한 값을 해시함수를 통해 산출한 값을 통해 IoT기기와 IoT기기로의 보안인증데이터 발급을 중계하는 기기간에 보안인증이 이루어지도록 함으로써 보안유지가 되도록하여 정보유출을 방지할 수 있다.
또 제안된 발명은 IoT기기와 IoT기기로의 보안인증데이터 발급을 중계하는 기기간에 송수신하는 신호를 초기값 또는 난수 값인 에드 값과 키값을 통해 암호화 및 복호화를 한다.
그림1은 본 발명에 따른 IoT기기 보안인증흐름도이다.
그림2는 본 발명에 따른 IoT기기와 IoT기기 보안인증관리 기기 및 IoT기기 보안인증서버간 보안인증흐름도이다.
그림3은 본 발명에 따른 보안인증정보이다.
그림4는 본 발명에 따른 IoT기기 보안인증정보 수신 흐름도이다.
그림5는 본 발명에 따른 IoT기기와 IoT기기 보안인증관리 기기간 동작 흐름도이다.
그림6은 본 발명에 따른 무선통신 흐름도이다.
그림7은 본 발명에 따른 IoT기기와 IoT기기 보안인증관리 기기간 무선통신 흐름도이다.
그림8은 IoT기기(100)와 IoT기기 보안인증관리 기기(110)간의 근거리 무선 통신 접속 단계(S420)의 동작 과정을 설명하기 위한 흐름도이다.
그림9는 본 발명에 따른 IoT기기 보안인증관리 기기의 구성도이다.
그림1은 본 발명에 따른 IoT기기(100) 보안인증 흐름도이다.
IoT기기(100) 보안인증방법은 보안인증데이터 요청데이터 암호화 단계(S110), 암호화 보안인증데이터 요청데이터 송신 단계(S120), 암호화 보안인증데이터 요청데이터 복호화 단계(S130), 보안인증데이터 생성 단계(S140), 서명된 보안인증데이터 생성 단계(S150), 서명된 보안인증데이터 암호화 단계(S160), 암호화 서명된 보안인증데이터 수신 단계(S170), 암호화 서명된 보안인증데이터 복호화 단계(S180), 서명된 보안인증데이터 송신 단계, 보안인증데이터 저장 응답 신호송신 단계를 포함한다.
본 발명에 있어서, 보안인증데이터 요청데이터 암호화 단계(S110)는 IoT기기 보안인증관리 기기(110)가 보안인증데이터요청데이터를 암호화한다. 보안인증데이터 요청데이터 암호화 단계(S110)는 보안인증데이터 요청데이터 자체를 암호화 하는단계이다. 보안인증데이터 요청데이터에는 후술할 IoT기기(100)에 대한 정보가 포함되어 있기에 보안상의 이유로 보안인증데이터 요청데이터 자체를 암호화한다. IoT기기 보안인증관리 기기(110)는 IoT기기(100)를 보안인증하는 보안인증데이터를 IoT기기 보안인증서버(120) 기기로부터 발급받는 절차를 중계한다. 즉, IoT기기 보안인증관리 기기(110)는 IoT기기 보안인증서버(120) 기기로부터 보안인증데이터를 수신하여 IoT기기(100)로 송신한다. IoT기기보안인증관리 기기(110)는 예를 들어, 핸드폰, 노트북 등의 단말이다. 단말에 설치된 어플리케이션을 통해 전자기기(100)와 IoT기기 보안인증서버(120) 기기를 중계하여 IoT기기(100)가 서명된 보안인증데이터를 수신하여 저장할 수 있도록 한다.
보안인증데이터 요청데이터는 메시지 타입, 메시지 길이, 순차 번호, 게이트웨이 아이디, 고유 아이디, IoT기기(100) 비밀번호 중 적어도 하나를 포함한다. 메시지 타입, 메시지 길이, 순차 번호, 게이트웨이 아이디, 고유 아이디, IoT기기(100) 비밀번호는 보안인증데이터 요청데이터가 포함하는 정보들이다.
메시지 타입은 모든 요청데이터 또는 응답 신호의 첫번째 바이트에 설정되는 값으로 보안인증데이터 요청데이터의 타입이 무엇인지 식별해주는 값이다. 여기서, 메시지 타입은 신호의 유형이다. 즉, 보안인증데이터 요청데이터의 첫 번째 바이트에 설정되는 값으로, 위의 값에 따라 신호의 유형이 구별된다. 예를 들어 보안인증데이터 요청데이터의 메시지 타입은 qw06이다. qw06값이 신호의 첫번째 바이트로 설정된 신호를 수신하는 IoT기기 보안인증관리 기기는, 위의 신호를 보안인증데이터 요청데이터라고 인식할 수 있다.
메시지 길이는 전체 메시지 사이즈에서 메시지 타입과 메시지 길이를 뺀 메시지 사이즈이다. 보안인증데이터 요청데이터는 메시지 타입 및 메시지 길이를 포함하여 다른 여러 정보를 포함한다고 전술하였다. 여기서, 메시지 길이는 보안인증데이터 요청데이터가 포함하는 모든 정보의 사이즈, 즉 크기에서 메시지 타입에 해당하는 사이즈 및 메시지 길이에 해당하는 사이즈를 뺀 사이즈이다. 메시지 타입의 크기가 1바이트이고, 메시지 길이 자체의 크기가 4바이트 이고, 전체 메시지의 크기가 85바이트라면, 메시지 길이는 80바이트가 된다. 여기서, 전체 메시지의 크기는 보안인증데이터 요청데이터의 크기이다.
순차 번호는 IoT기기(100)의 고유 번호이다. IoT기기 보안인증관리 기기(110)와 근거리 무선 통신 또는 유선 통신을 할 수 있는 IoT기기(100)마다 하나의 고유 번호를 포함한다. IoT기기 보안인증관리 기기(110)는 후술할 보안인증데이터 요청데이터 암호화 단계(S110) 이전 단계에서 IoT기기(100)의 고유 번호인 순차 번호를 수신하여 저장한다. IoT기기 보안인증관리 기기(110)는 저장하고 있는 순차 번호가 포함된 보안인증데이터 요청데이터를 생성한다.
게이트 웨이 아이디는 IoT기기(100)와 근거리 무선 통신 또는 유선 통신하는 게이트웨이의 아이디이다. IoT기기(100)가 IoT기기 보안인증서버(120) 기기가 생성한 서명된 보안인증데이터를 저장한 후, IoT기기(100)는 서명된 보안인증데이터를 통해 게이트웨이로부터 보안인증 받는다. 게이트웨이는 지역별로 설치된다. 예를 들어 게이트 웨이는 특정 건물에 설치되고, IoT기기(100)가 위의 특정 건물에서 게이트웨이와 통신하기 위해서는 게이트웨이로부터 보안인증을 받아야 한다. 게이트웨이 아이디는 IoT기기(100)가 사용될 공간에서 IoT기기(100)와 통신하는게이트웨이의 아이디다.
고유 아이디는 IoT기기(100) 내부에 장착된 보안칩의 아이디이다. 고유 아이디는 IoT기기(100)가 생성하는정보이다. 고유 아이디는 보안칩이 장착된 IoT기기(100)의 순차 번호에 Salt를 적용한 결과에 해시를 취한 결과이다. IoT기기(100) 마다 고유 번호인 순차 번호가 있음은 전술하였다. Salt는 사용자가 설정한 값으로 순차 번호와 고유 아이디의 관련성이 노출되지 않도록 하기 위한 값이다. Salt를 적용한 다는 것은 순차 번호에 사용자가 지정한 값, 예를 들면, Salt값인 '1234'를 순차 번호와 논리 연산을 한다는 것이다.
Salt값과 순차 번호를 논리 연산 한 결과에 해시 함수를 취한 결과가 고유 아이디이다. 논리 연산은 and, or, xor, nand 중 적어도 하나이다.
IoT기기(100) 비밀번호는 후술할 보안인증데이터 저장 응답 신호송신 단계에서, IoT기기(100)가 수신한 서명된 보안인증데이터를 저장할 때 입력해야 하는 값이다. IoT기기(100)는 서명된 보안인증데이터의 저장시 보안인증데이터 요청데이터에 포함된 IoT기기(100) 비밀번호와 동일한 비밀번호를 입력해야, 서명된 보안인증데이터를 저장할 수 있다.
본 발명에 있어서, 암호화 보안인증데이터 요청데이터 송신 단계(S120)는 IoT기기 보안인증관리 기기(110)가 암호화 보안인증데이터 요청데이터를 IoT기기 보안인증서버(120) 기기로 송신한다. 보안인증데이터 요청데이터에 대한 자세한 설명은 전술하였다.
본 발명에 있어서, 암호화 보안인증데이터 요청데이터 복호화 단계(S130)는 IoT기기 보안인증서버(120) 기기가 수신한 암호화 보안인증데이터 요청데이터를 복호화 한다. IoT기기 보안인증서버(120) 기기는 복호화 한 암호화 보안인증데이터 요청데이터에 포함된 메시지 타입을 통해 IoT기기 보안인증관리 기기(110)가 송신한 신호는 보안인증데이터를 요청하는 신호임을 인식한다.
본 발명에 있어서, 보안인증데이터 생성 단계(S140)는 IoT기기 보안인증서버(120) 기기는 보안인증데이터 요청데이터에 따라 보안인증데이터를 생성한다. IoT기기 보안인증서버(120) 기기는 IoT기기 보안인증관리 기기(110)가 송신한 보안인증데이터 요청데이터에 포함된 일부 정보가 포함된 보안인증데이터를 생성한다. IoT기기 보안인증서버(120) 기기는 보안인증데이터를 생성하는 기기다. IoT기기 보안인증서버(120) 기기는 보안인증데이터를 생성할 자격을 갖춘 기관의 서버 기기이다. 보안인증데이터가 포함하는 구체적인 정보에 대한 자세한 설명은 후술한다.
본 발명에 있어서, 서명된 보안인증데이터 생성 단계(S150)는 IoT기기 보안인증서버(120) 기기가 생성한 보안인증데이터에 서명하여 서명된 보안인증데이터를 생성한다. IoT기기 보안인증서버(120) 기기가 생성한 보안인증데이터 자체가 복제될수 있기 때문에 IoT기기 보안인증서버(120) 기기는 보안인증데이터에 서명한다. 서명된 보안인증데이터는 IoT기기 보안인증서버(120) 기기가 직접 생성한 보안인증데이터라는 것을 의미한다. IoT기기 보안인증서버(120) 기기가 보안인증데이터에서명한다는 것은 보안인증데이터가 서명 관련 데이터를 포함한다는 것을 의미한다.
본 발명에 있어서, 서명된 보안인증데이터 암호화 단계(S160)는 IoT기기 보안인증서버(120) 기기가 서명된 보안인증데이터를 암호화한다. IoT기기 보안인증서버(120) 기기는 보안인증데이터에 포함된 암호화 알고리즘으로 서명된 보안인증데이터를 암호화 한다. 보안을 위해 서명된 보안인증데이터는 암호화 되어 관리된다.
본 발명에 있어서, 암호화 서명된 보안인증데이터 수신 단계(S170)는 IoT기기 보안인증관리 기기(110)가 암호화 서명된 보안인증데이터를 IoT기기 보안인증서버(120) 기기로부터 수신한다. 암호화 서명된 보안인증데이터 수신 단계(S170)에서 IoT기기 보안인증관리 기기(110)는 서명된 보안인증데이터에 나아가, 결과 데이터, 보안인증데이터 크기, 해시를 취한 IoT기기(100) 비밀번호도 수신한다. 결과 데이터는 IoT기기 보안인증서버(120) 기기가 IoT기기 보안인증관리 기기(110)로부터 암호화 보안인증데이터 요청데이터를 오류 없이 수신했는지를 나타내는 값이다. 보안인증데이터크기는 보안인증데이터 자체의 사이즈를 의미한다. 보안인증데이터의 크기는 예를 들면 1000 바이트다. 해시를 취한 IoT기기(100) 비밀번호는 전술한 IoT기기(100) 비밀번호에 해시함수를 취한 결과이다. IoT기기(100) 비밀번호 자체의 도난을 방지하기 위해 해시를 취해서 IoT기기 보안인증서버(120) 기기가 송신한다.
본 발명에 있어서, 암호화 서명된 보안인증데이터 복호화 단계(S180)는 IoT기기 보안인증관리 기기(110)가 암호화 서명된 보안인증데이터를 복호화 한다. 보안인증데이터 자체에는 보안인증데이터가 어떻게 암호화 되어 있는 지의 정보인 암호화 알고리즘을 포함하기 때문에, 위의 암호화 알고리즘을 활용하여 암호화 서명된 보안인증데이터를 복호화 한다.
본 발명에 있어서, 보안인증데이터 저장 요청데이터 송신 단계(S191)는 IoT기기 보안인증관리 기기(110)가 서명된 보안인증데이터를 확인하여 IoT기기(100)로 보안인증데이터 저장 요청데이터를 송신한다. 서명된 보안인증데이터를 확인하는 것은 IoT기기 보안인증관리 기기(110)가 보안인증데이터에 포함된 정보와 보안인증데이터 요청데이터에 포함된 정보를 비교하는 것이다. 예를 들어 보안인증데이터 요청데이터와 보안인증데이터는 모두 고유 아이디를 포함하는데, 고유 아이디가 동일한지를 확인하는 것이다.
보안인증데이터 저장 요청데이터는 메시지 타입, 메시지 길이, 보안인증데이터 크기, 보안인증데이터, IoT기기(100) 정보 요청명령 정보, IoT기기(100) 비밀번호, 해시를 취한 IoT기기(100) 비밀번호, 및 세션 아이디를 포함한다.
메시지 타입은 모든 요청데이터 또는 응답 신호의 첫번째 바이트에 설정되는 값으로 보안인증데이터 요청데이터의 타입이 무엇인지 식별해주는 값이다. 여기서, 메시지 타입은 신호의 유형이다. 즉, 보안인증데이터 저장 요청데이터의첫 번째 바이트에 설정되는 값으로, 위의 값에 따라 신호의 유형이 구별된다. 예를 들어 보안인증데이터 저장 요청데이터의 메시지 타입은 qw07이다. qw07값이 신호의 첫번째 바이트로 설정된 신호를 수신하는 IoT기기(100)는 위의 신호를 보안인증데이터 저장 요청데이터라고 인식할 수 있다. 보안인증데이터 크기는 보안인증서 자체의 용량으로 예를 들면 보안인증데이터 크기는 1000 바이트다.
그림2는 IoT기기(100)와 IoT기기 보안인증관리 기기(110) 및 IoT기기 보안인증서버(120) 기기의 IoT기기(100) 보안인증방법의 동작 과정을 설명하기 위한 흐름도이다.
본 발명에 있어서, 보안인증데이터 요청데이터 암호화 단계(S110)는 IoT기기 보안인증관리 기기(110)가 보안인증데이터 요청데이터를 암호화한다. 보안인증데이터 요청데이터 암호화 단계(S110)는 보안인증데이터 요청데이터 자체를 암호화 하는 단계이다. 보안인증데이터 요청데이터에는 후술할 IoT기기(100)에 대한 정보가 포함되어 있기에 보안상의 이유로 보안인증데이터 요청데이터 자체를 암호화한다. IoT기기 보안인증관리 기기(110)는 IoT기기(100)를 보안인증하는 보안인증데이터를 IoT기기 보안인증서버(120) 기기로부터 발급받는 절차를 중계한다. 즉, IoT기기 보안인증관리 기기(110)는 IoT기기 보안인증서버(120) 기기로부터 보안인증데이터를 수신하여 IoT기기(100)로 송신한다. IoT기기보안인증관리 기기(110)는 예를 들어, 핸드폰, 노트북 등의 단말이다. 단말에 설치된 어플리케이션을 통해 IoT기기(100)와 IoT기기 보안인증서버(120) 기기를 중계하여 IoT기기(100)가 서명된 보안인증데이터를 수신하여 저장할 수 있도록 한다.
보안인증데이터 요청데이터는 메시지 타입, 메시지 길이, 순차 번호, 게이트웨이 아이디, 고유 아이디, IoT기기(100) 비밀번호를 포함한다. 메시지 타입, 메시지 길이, 순차 번호, 게이트웨이 아이디, 고유 아이디, IoT기기(100) 비밀번호는 보안인증데이터 요청데이터가 포함하는 정보들이다.
메시지 타입은 모든 요청데이터 또는 응답 신호의 첫번째 바이트에 설정되는 값으로 보안인증데이터 요청데이터의 타입이 무엇인지 식별해주는 값이다. 여기서, 메시지 타입은 신호의 유형이다. 즉, 보안인증데이터 요청데이터의 첫 번째 바이트에 설정되는 값으로, 위의 값에 따라 신호의 유형이 구별된다.
메시지 길이는 전체 메시지 사이즈에서 메시지 타입과 메시지 길이를 뺀 메시지 사이즈이다. 보안인증데이터 요청데이터는 메시지 타입 및 메시지 길이를 포함하여 다른 여러 정보를 포함한다고 전술하였다. 여기서, 메시지 길이는 보안인증데이터 요청데이터가 포함하는 모든 정보의 사이즈, 즉 크기에서 메시지 타입에 해당하는 사이즈 및 메시지 길이에 해당하는 사이즈를 뺀 사이즈이다.
순차 번호는 IoT기기(100)의 고유 번호이다. IoT기기 보안인증관리 기기(110)와 근거리 무선 통신 또는유선 통신을 할 수 있는 IoT기기(100)마다 하나의 고유 번호를 포함한다. IoT기기 보안인증관리 기기(110)는 후술할 보안인증데이터 요청데이터 암호화 단계(S110) 이전 단계에서 IoT기기(100)의 고유 번호인 순차 번호를수신하여 저장한다. IoT기기 보안인증관리 기기(110)는 저장하고 있는 순차 번호가 포함된 보안인증데이터 요청데이터를 생성한다.
게이트 웨이 아이디는 IoT기기(100)와 근거리 무선 통신 또는 유선 통신하는 게이트웨이의 아이디이다. IoT기기(100)가 IoT기기 보안인증서버(120) 기기가 생성한 서명된 보안인증데이터를 저장한 후, IoT기기(100)는 서명된보안인증데이터를 통해 게이트웨이로부터 보안인증 받는다. 게이트웨이는 지역별로 설치된다. 예를 들어 게이트 웨이는특정 건물에 설치되고, IoT기기(100)가 위의 특정 건물에서 게이트웨이와 통신하기 해서는 게이트웨이로부터 보안인증을 받아야 한다. 게이트웨이 아이디는 IoT기기(100)가 사용될 공간에서 IoT기기(100)와 통신하는 게이트웨이의 아이디다.
고유 아이디는 IoT기기(100) 내부에 장착된 보안칩의 아이디이다. 고유 아이디는 IoT기기(100)가 생성하는 정보이다. 고유 아이디는 보안칩이 장착된 IoT기기(100)의 순차 번호에 Salt를 적용한 결과에 해시를 취한 결과이다. IoT기기(100) 마다 고유 번호인 순차 번호가 있음은 전술하였다. Salt는 사용자가 설정한 값으로 순차 번호와 고유 아이디의 관련성이 노출되지 않도록 하기 위한 값이다. Salt를 적용한 다는 것은 순차 번호에 사용자가 지정한 값, 예를 들면, Salt값인 '1234'를 순차 번호와 논리 연산을 한다는 것이다. Salt값과 순차 번호를 논리 연산 한 결과에 해시를 취한 결과가 고유 아이디이다.
IoT기기(100) 비밀번호는 후술할 보안인증데이터 저장 응답 신호송신 단계에서, IoT기기(100)가 수신한 서명된 보안인증데이터를 저장할 때 입력해야 하는 값이다. IoT기기(100)는 서명된 보안인증데이터의 저장시 보안인증데이터 요청데이터에 포함된 IoT기기(100) 비밀번호와 동일한 비밀번호를 입력해야, 서명된 보안인증데이터를 저장할 수 있다.
본 발명에 있어서, 암호화 보안인증데이터 요청데이터 송신 단계(S120)는 IoT기기 보안인증관리 기기(110)가 암호화 보안인증데이터 요청데이터를 IoT기기 보안인증서버(120) 기기로 송신한다. 보안인증데이터 요청데이터에 대한 자세한 설명은 전술하였다.
그림3은 본 발명에 따른 보안인증데이터가 포함하는 정보를 도시한다.
본 발명에 있어서, 보안인증데이터는 순차 번호, 고유 아이디, 난수, 트랜잭션 아이디, 유효 시간, 유효 횟수, 접근제어 정책, 암호화 알고리즘을 포함하는 것을 특징으로 한다. 즉, 보안인증데이터는 복수의 정보를 포함하되, 복수의 정보는 순차 번호, 고유 아이디, 난수, 트랜잭션 아이디, 유효 시간, 유효 횟수, 접근제어 정책, 암호화 알고리즘이다.
순차 번호는 IoT기기(100)의 고유 번호이다. IoT기기 보안인증관리 기기(110)와 근거리 무선 통신 또는 유선 통신을 할 수 있는 IoT기기(100)마다 하나의 고유 번호를 포함한다. IoT기기 보안인증관리 기기(110)는 후술할 보안인증데이터 요청데이터 암호화 단계(S110) 이전 단계에서 IoT기기(100)의 고유 번호인 순차 번호를 수신하여 저장한다. IoT기기 보안인증관리 기기(110)는 저장하고 있는 순차 번호가 포함된 보안인증데이터 요청데이터를 생성한다.
고유 아이디는 IoT기기(100) 내부에 장착된 보안칩의 아이디이다. 고유 아이디는 IoT기기(100)가 생성하는 정보이다. 고유 아이디는 보안칩이 장착된 IoT기기(100)의 순차 번호에 Salt를 적용한 결과에 해시를 취한 결과이다. IoT기기(100) 마다 고유 번호인 순차 번호가 있음은 전술하였다. Salt는 사용자가 설정한 값으로 순차 번호와 고유 아이디의 관련성이 노출되지 않도록 하기 위한 값이다. Salt를 적용한 다는 것은 순차 번호에 사용자가 지정한 값, 예를 들면, "1234"를 순차 번호와 논리 연산을 한다는 것이다. Salt값과순차 번호를 논리 연산 한 결과에 해시를 취한 결과가 고유 아이디이다.
트랜잭션 아이디는 위의 트랜잭션 아이디를 포함하는 신호를 IoT기기 보안인증서버(120) 기기가 몇번째로 수신한 신호인지를 의미하는 아이디이다. IoT기기 보안인증서버(120) 기기는 하나 이상의 IoT기기 보안인증관리 기기(110)와 통신하여 보안인증데이터를 생성한다. IoT기기 보안인증서버(120) 기기는 복수의 IoT기기 보안인증관리 기기(110)로부터 암호화 보안인증데이터 요청데이터를 한번 이상 수신할 수 있다. IoT기기 보안인증서버(120) 기기가 암호화 보안인증데이터 요청데이터를 통해 보안인증데이터 요청을 받는 횟수는 적어도 한번 이상이다. IoT기기 보안인증서버(120) 기기는 암호화 보안인증데이터 요청데이터가 수신된 순서에 따라 트랜잭션 아이디를 생성하여, 트랜잭션 아이디가 포함된 보안인증데이터를 생성한다. 유효 시간은 보안인증데이터의 유효 기간이다. IoT기기 보안인증서버(120) 기기는 IoT기기(100)의 종류 및 사용될 위치에 따라 유효 시간을 다양하게 설정할 수 있다. 서명된 보안인증데이터가 IoT기기(100)에 저장된 시점을 기산점으로 하여 유효 시간만큼 IoT기기(100)를 사용할 수 있는 것이다.
접근제어 정책은 IoT기기(100)를 어떤 게이트웨이와 연결할 수 있는지에 대한 정보이다. IoT기기(100)별로 모든 게이트웨이와 통신할 수 있는 IoT기기(100), 특정 게이트웨이와만 연결할 수 있는 IoT기기(100)로 구별될 수 있다. 접근제어 정책 정보에는 예를 들어, IoT기기(100)가 접속 가능한 또는 접속 불가능한 게이트우에이의 아이디가 포함될 수 있다.
암호화 알고리즘은 IoT기기 보안인증서버(120) 기기가 서명된 보안인증데이터를 암호활 할 때 어떤 암호화 알고리즘을 통해 암호화 했는지를 나타내는 정보이다. IoT기기 보안인증관리 기기(110)는 보안인증데이터에 포함된 암호화 알고리즘을 통해 암호화 서명된 보안인증데이터를 복호화한다.
본 발명에 따른 보안인증데이터는 종래의 보안인증데이터와 달리 IoT기기(100)를 보안인증하기 위해 필요한 최소한의 정보만 을 포함하되, 종래의 보안인증데이터와 구별되는 정보인 유효 시간 및 유효 횟수를 포함한다.
그림4는 본 발명에 따른 IoT기기(100) 보안인증방법의 흐름을 도시한다.
IoT기기(100) 보안인증방법은 보안인증데이터 요청데이터 암호화 단계(S110) 이전에 IoT기기(100)보안인증정보 수신 단계(S410) 및 근거리 무선 통신 접속 단계(S420)를 더 포함할 수 있다. 그림1 에 도시된 IoT기기(100) 보안인증방법은 IoT기기(100)가 IoT기기 보안인증서버(120)로부터 보안인증데이터를 발급받는 과정의 흐름을 도시한 것이다. IoT기기(100)가 IoT기기 보안인증서버(120)로부터 보안인증데이터를 발급 받기 전에 IoT기기(100)는 IoT기기 보안인증관리 기기(110)와 무선 통신을 해야한다. 즉, 그림4에 도시된 흐름도는 그림1에 따라 IoT기기(100)가 보안인증데이터를 부여 받기 전에 IoT기기(100)가 IoT기기 보안인증관리 기기(110)에 접속하는 과정을 도시하는 것이다.
본 발명에 있어서, IoT기기(100) 보안인증정보 수신 단계(S410)는 IoT기기(100) 관리 기기가 IoT기기(100) 내부에 장착된 보안인증정보를 수신한다. 이에 대한 상세한 과정은 후술한다.
본 발명에 있어서, 근거리 무선 통신 접속 단계(S420)는 IoT기기(100) 관리 기기가 IoT기기(100)의 근거리 무선 통신 접속을 허용한다. 후술할 IoT기기(100) 정보 요청데이터에 포함된 IoT기기(100) 정보 요청명령 정보와 IoT기기(100)가 생성한 IoT기기(100) 정보 요청 명령 정보가 일치하는 경우, IoT기기 보안인증관리 기기(110)는 IoT기기(100)의 근거리 무선 통신 접속을 허용한다.
그림5는 본 발명에 따른 IoT기기(100) 보안인증정보 수신 단계(S410)의 구체적인 흐름을 도시한다.
IoT기기(100) 정보 수신 단계는 IoT기기(100) 보안인증정보 요청데이터 송신 단계(S510), 전자기기(100) 보안인증정보 응답 신호송신 단계(S520), IoT기기(100) 보안칩 버전 요청데이터 송신 단계(S530), IoT기기(100) 보안칩 버전 요청데이터 송신 단계(S530), IoT기기(100) 보안칩 버전 응답 신호송신 단계(S540)를 포함한다.
본 발명에 있어서, IoT기기(100) 보안인증정보 요청데이터 송신 단계(S510)는 IoT기기 보안인증관리 기기(110)가 IoT기기(100)로 IoT기기(100) 보안인증정보 요청데이터를 송신한다. IoT기기(100) 보안인증정보 요청데이터는 메시지타입, 체크 아이디 및 기타 정보를 포함한다.
메시지 타입은 모든 요청데이터 또는 응답 신호의 첫 번째 바이트에 설정되는 값으로 IoT기기(100) 보안인증정보 요청데이터의 타입이 무엇인지 식별해주는 값이다. 여기서, 메시지 타입은 신호의 유형이다. 즉, IoT기기(100)보안인증정보 요청데이터의 첫 번째 바이트에 설정되는 값으로, 위의 값에 따라 신호의 유형이 구별된다. 예를 들어 IoT기기(100) 보안인증정보 요청데이터의 메시지 타입은 qwE0이다. qwE0값이 신호의 첫번째 바이트로 설정된 신호를 수신하는 IoT기기(100)는, 위의 신호를 IoT기기(100) 보안인증정보 요청데이터라고 인식할 수 있다.
체크 아이디는 IoT기기 보안인증관리 기기(110)의 명칭에 현재 시간을 더한 값과 Salt값을 논리 연산한 결과에 해시함수를 취해서 산출된 아이디이다. 즉, IoT기기 보안인증관리 기기(110)는 Hash(Salt | IoT기기 보안인증관리 기기(110) 명칭, 현재 시간)을 통해 체크 아이디를 산출한다.
그림6은 IoT기기(100)와 IoT기기 보안인증관리 기기(110)간의 IoT기기(100) 보안인증정보 수신 단계(S410)의 동작 과정을 설명하기 위한 흐름도이다.
본 발명에 있어서, IoT기기(100) 보안인증정보 요청데이터 송신 단계(S510)는 IoT기기 보안인증관리 기기(110)가 IoT기기(100)로 IoT기기(100) 보안인증정보 요청데이터를 송신한다. IoT기기(100) 보안인증정보 요청데이터는 메시지타입, 체크 아이디 및 기타 정보를 포함한다.
메시지 타입은 모든 요청데이터 또는 응답 신호의 첫 번째 바이트에 설정되는 값으로 IoT기기(100) 보안인증정보 요청데이터의 타입이 무엇인지 식별해주는 값이다. 여기서, 메시지 타입은 신호의 유형이다. 즉, IoT기기(100)보안인증정보 요청데이터의 첫 번째 바이트에 설정되는 값으로, 위의 값에 따라 신호의 유형이 구별된다. 예를 들어IoT기기(100) 보안인증정보 요청데이터의 메시지 타입은 qwE0이다. qwE0값이 신호의 첫번째 바이트로 설정된 신호를 수신하는 IoT기기(100)는, 위의 신호를 IoT기기(100) 보안인증정보 요청데이터라고 인식할 수 있다.
체크 아이디는 IoT기기 보안인증관리 기기(110)의 명칭에 현재 시간을 더한 [0142] 값과 Salt값을 논리연산한 결과에해시함수를 취해서 산출된 아이디이다. 즉, IoT기기 보안인증관리 기기(110)는 Hash(Salt | IoT기기 보안인증관리 기기(110) 명칭, 현재 시간)을 통해 체크 아이디를 산출한다.
기타 정보에는 IoT기기 보안인증관리 기기(110)의 명칭 및 현재 시간을 포함한다.
본 발명에 있어서, IoT기기(100) 보안인증정보 응답 신호송신 단계(S520)는 IoT기기(100)가 IoT기기 보안인증관리 기기(110)로 IoT기기(100) 보안인증정보 응답 신호를 송신한다. IoT기기(100) 보안인증정보 응답 신호는 메시지 타입, 체크 아이디 및 기타 정보를 포함한다.
메시지 타입은 모든 요청데이터 또는 응답 신호의 첫 번째 바이트에 설정되는 값으로 IoT기기(100) 보안인증정보 응답 신호의 타입이 무엇인지 식별해주는 값이다. 여기서, 메시지 타입은 신호의 유형이다. 즉, IoT기기(100)보안인증정보 응답 신호의 첫 번째 바이트에 설정되는 값으로, 위의 값에 따라 신호의 유형이 구별된다. 예를 들어IoT기기(100) 보안인증정보 응답 신호의 메시지 타입은 qwE0이다. qwE0값이 신호의 첫번째 바이트로 설정된 신호를 수신하는 IoT기기 보안인증관리 기기(110)는, 위의 신호를 IoT기기(100) 보안인증정보 응답 신호라고 인식할수 있다.
체크 아이디는 Salt값, 순차 번호, 에드 값 및 키값을 논리 연산한 결과에 해시함수를 취해서 산출된 아이디이다. 즉, IoT기기(100)는 Hash(Salt값 |순차 번호 |에드 값 |키값)을 통해 체크 아이디를 산출한다. 여기서 에드 값 및 키값은 IoT기기(100)가 생성한 난수 값이다.
본 발명에 있어서, IoT기기(100) 보안칩 버전 요청데이터 송신 단계(S530)는 IoT기기 보안인증관리 기기(110)가IoT기기(100)로 IoT기기(100) 보안칩 버전 요청데이터를 송신한다.
메시지 타입은 모든 요청데이터 또는 응답 신호의 첫 번째 바이트에 설정되는 값으로 IoT기기(100) 보안인증정보 요청데이터의 타입이 무엇인지 식별해주는 값이다. 여기서, 메시지 타입은 신호의 유형이다. 즉, IoT기기(100)보안칩 버전 요청데이터의 첫 번째 바이트에 설정되는 값으로, 위의 값에 따라 신호의 유형이 구별된다. 예를 들어IoT기기(100) 보안칩 버전 요청데이터의 메시지 타입은 qwE1이다. qwE1값이 신호의 첫번째 바이트로 설정된 신호를 수신하는 IoT기기(100)는, 위의 신호를 IoT기기(100) 보안칩 버전 요청데이터라고 인식할 수 있다.
체크 아이디는 Salt값, IoT기기 보안인증관리 기기(110)의 명칭, 버전, 현재 시간을 논리 연산 한 결과에 해시함수를 취해서 산출된 아이디이다. 즉, IoT기기 보안인증관리 기기(110)는 Hash(Salt값 | IoT기기 보안인증관리 기기(110) 명칭 | 버전 |현재 시간)을 통해 체크 아이디를 산출한다. 버전은 IoT기기(100) 보안인증방법의 버전이다. 예를 들어, 현재 버전은 0.1이다.
본 발명에 있어서, IoT기기(100) 보안칩 버전 응답 신호송신 단계(S540)는 IoT기기(100)가 IoT기기 보안인증관리 기기(110)로 IoT기기(100) 보안칩 버전 응답 신호를 송신한다. IoT기기(100) 보안칩 버전 응답 신호는 메시지 타입, 체크 아이디 및 기타 정보를 포함한다.
메시지 타입은 모든 요청데이터 또는 응답 신호의 첫 번째 바이트에 설정되는 값으로 IoT기기(100) 보안칩 버전 응답 신호의 타입이 무엇인지 식별해주는 값이다. 여기서, 메시지 타입은 신호의 유형이다. 즉, IoT기기(100)보안칩 버전 응답 신호의 첫 번째 바이트에 설정되는 값으로, 위의 값에 따라 신호의 유형이 구별된다. 예를 들어 IoT기기(100) 보안인증정보 응답 신호의 메시지 타입은 qwE1이다. qwE1값이 신호의 첫번째 바이트로 설정된 신호를 수신하는 IoT기기 보안인증관리 기기(110)는, 위의 신호를 IoT기기(100) 보안칩 버전 응답 신호라고 인식할 수 있다.
체크 아이디는 Salt값, 순차 번호, 버전을 논리 연산한 결과에 해시함수를 취해서 산출된 아이디이다. 즉, IoT기기(100)는 Hash(Salt값 |순차 번호 |버전)을 통해 체크 아이디를 산출한다. 여기서 버전은 IoT기기(100) 보안칩 버전요청데이터 송신 단계에서 IoT기기(100) 보안칩 버전 요청데이터가 포함하는 버전과 동일하다. Salt값은 IoT기기(100) 또는 IoT기기 보안인증관리 기기(110)가 설정하는 값으로 자유롭게 설정될 수 있다.
본 발명에 있어서, IoT기기(100) 보안인증정보 요청데이터 송신 단계(S510)는 IoT기기 보안인증관리 기기(110)가 IoT기기(100) 보안인증정보 요청데이터 송신 신호에 포함된 데이터와 초기값인 에드값을 더한 결과에 초기값인 키값과 논리 연산을 취하여 암호화하고, 암호화 IoT기기(100) 보안인증정보 요청데이터를 송신한다.
IoT기기 보안인증관리 기기(110)는 IoT기기(100) 보안인증정보 요청데이터를 [0157] 암호화하는데 전술한 방법으로 암호화하여 IoT기기(100)로 송신한다. 즉, IoT기기 보안인증관리 기기(110)는 (IoT기기(100) 보안인증정보 요청데이터에 포함된 데이터 + 에드 값) 논리 연산 키값이라는 연산을 통해 IoT기기(100) 보안인증정보 요청데이터에 포함된 데이터를 암호화 한다. IoT기기(100) 보안인증정보 요청데이터에 포함된 데이터를 암호화 한 것은 IoT기기(100)보안인증정보 요청데이터를 암호화 한 것과 같은 의미이다. 여기서 에드 값 및 키값은 초기값이다.
IoT기기(100)는 IoT기기(100) 보안인증정보 응답 신호를 암호화하는데 전술한 방법으로 암호화하여 IoT기기 보안인증관리 기기(110)로 송신한다. 즉, IoT기기 보안인증관리 기기(110)는 (IoT기기(100) 보안인증정보 응답 신호에 포함된 데이터 + 에드 값) 논리 연산 키값이라는 연산을 통해 IoT기기(100) 보안인증정보 요청데이터에 포함된 데이터를 암호화 한다. IoT기기(100) 보안인증정보 응답 신호에 포함된 데이터를 암호화 한 것은 IoT기기(100)보안인증정보 응답 신호를 암호화 한 것과 같은 의미이다. 여기서 에드 값 및 키값은 IoT기기(100)가 생성한 난수 값이다. 암호화 IoT기기(100) 보안인증정보 응답 신호를 수신한 IoT기기 보안인증관리 기기(110)는 암호화 IoT기기(100) 보안인증정보 응답 신호를 복호화 한다. 암호화 IoT기기(100) 보안인증정보 응답 신호에 포함된 데이터와 키값을 논리 연산하고 에드 값을 빼서 IoT기기(100) 보안인증정보 응답 신호가 포함하는 데이터를 산출한다. 즉,(암호화 IoT기기(100) 보안인증정보 응답 신호에 포함된 데이터 논리 연산 키값) - 에드 값 이란 연산을 통해 IoT기기 보안인증관리 기기(110)는 IoT기기(100) 보안인증정보 응답 신호에 포함된 데이터를 얻는다. IoT기기보안인증관리 기기(110)는 IoT기기(100)가 송신한 IoT기기(100) 보안인증정보 응답 신호에 포함된 에드 값 및 키값을 수신하기에 에드값 및 키값을 통해 복호화할 수 있다.
그림7은 본 발명에 따른 근거리 무선 통신 접속 단계(S420)의 구체적인 흐름을 도시한다.
근거리 무선 통신 접속 단계(S420)는 임의값 요청데이터 송신 단계(S710), 임의값 요청데이터 송신 단계(S720), IoT기기(100) 정보 요청데이터 송신 단계(S730), IoT기기(100) 정보 응답 신호송신 단계(S740)를 포함한다.
본 발명에 있어서, 임의값 요청데이터 송신 단계(S710)는 IoT기기 보안인증관리 기기(110)가 IoT기기(100)로 임의값(Nounce) 요청데이터를 송신한다. 임의 값 요청데이터는 메시지 타입, 메시지 길이, 클라이언트 타입, 버전을 포함한다.
메시지 타입은 모든 요청데이터 또는 응답 신호의 첫번째 바이트에 설정되는 값으로 임의값 요청데이터의 타입이 무엇인지 식별해주는 값이다. 여기서, 메시지 타입은 신호의 유형이다. 즉, 임의값 요청데이터의 첫 번째 바이트에 설정되는 값으로, 위의 값에 따라 신호의 유형이 구별된다. 예를 들어 임의값 요청데이터의 메시지 타입은 qwa1이다. qwa1값이 신호의 첫번째 바이트로 설정된 신호를 수신하는 IoT기기(100)는, 위의 신호를 임의값 요청데이터라고 인식할 수 있다.
메시지 길이는 전체 메시지 사이즈에서 메시지 타입과 메시지 길이를 뺀 메시지 사이즈이다. 여기서 사이즈는 크기이다. 임의값 요청데이터는 메시지 타입 및 메시지 길이를 포함하여 다른 여러 정보를 포함 한다고 전술하였다. 여기서, 메시지 길이는 임의 값 요청데이터가 포함하는 모든 정보의 사이즈, 즉 크기에서 메시지 타입에 해당하는 사이즈 및 메시지 길이에 해당하는 사이즈를 뺀 사이즈이다. 메시지 타입의 크기가 1바이트이고, 메시지 길이 자체의 크기가 4바이트 이고, 전체 메시지의 크기가 85바이트라면, 메시지 길이는 80바이트가 된다. 여기서, 전체 메시지의 크기는 임의 값 요청데이터의 크기이다.
클라이언트 타입은 클라이언트 종류에 대한 정보이다. 클라이언트 종류는 예를 들어 게이트웨이 또는 IoT기기 보안인증관리 기기(110)이다. 클라이언트가 게이트웨이라면 클라이언트 타입은 qw00000001이다. 클라이언트가 IoT기기 보안인증관리 기기(110)라면 클라이언트 타입은 qw00000002이다.
본 발명에 있어서, 임의값 요청데이터 송신 단계(S720)는 IoT기기(100)가 임의값 응답 신호를 생성하여 임의 값 응답 신호를 IoT기기 보안인증관리 기기(110)로 송신한다. 임의값 응답 신호는 메시지 타입, 메시지 길이, 결과 데이터 및 임의값을 포함한다.
메시지 타입은 모든 요청데이터 또는 응답 신호의 첫번째 바이트에 설정되는 값으로 임의값 응답 신호의 타입이 무엇인지 식별해주는 값이다. 여기서, 메시지 타입은 신호의 유형이다. 즉, 임의값 응답 신호의 첫 번째 바이트에 설정되는 값으로, 위의 값에 따라 신호의 유형이 구별된다. 예를 들어 임의값 응답 신호의 메시지 타입은 qwc1이다. qwc1값이 신호의 첫번째 바이트로 설정된 신호를 수신하는 IoT기기(100)는, 위의 신호를 임의값 응답 신호라고 인식할 수 있다.
100: IoT기기
110: IoT기기 보안인증관리 기기
111: 통신부
120: IoT기기 보안인증서버
121: 보안인증데이터 요청데이터 암호화부
122: 암호화 보안인증데이터 요청데이터 송신부
123: 암호화 서명된 보안인증데이터 수신부
124: 암호화 서명된 보안인증데이터 복호화부
125: 보안인증데이터 저장 요청데이터 송신부
126: 제어부
130: IoT기기 보안인증정보 수신부
131: IoT기기 보안인증정보 응답 신호수신부
132: IoT기기 보안칩 버전 응답 신호수신부
140: 근거리 무선 통신 접속 허용부
141: 임의값 응답 신호수신부
142: IoT기기 정보 응답 신호수신부
120: IoT기기 보안인증서버

Claims (6)

  1. IoT기기 보안인증관리 기기가 보안인증데이터 요청데이터를 암호화하는 단계;
    IoT기기 보안인증관리 기기가 암호화 보안인증데이터 요청데이터를 IoT기기 보안인증서버 기기로 송신하는 암호화 보안인증데이터 송신 단계;
    IoT기기 보안인증서버 기기가 수신한 암호화 보안인증데이터 요청데이터를 복호화하는 요청데이터 복호화 단계;
    IoT기기 보안인증서버 기기가 보안인증데이터 요청데이터에 따라 보안인증데이터를 생성하는 보안인증데이터 생성 단계;
    IoT기기 보안인증서버 기기가 서명된 보안인증데이터를 암호화하는 서명된 보안인증데이터 암호화 단계;
    IoT기기 보안인증관리 기기가 암호화 서명된 보안인증데이터를 IoT기기 보안인증서버 기기로부터 수신하는 암호화 서명된 보안인증데이터 수신 단계;
    IoT기기 보안인증관리 기기가 암호화 서명된 보안인증데이터를 복호화하는 암호화 서명된 보안인증데이터 복호화 단계;
    IoT기기 보안인증관리 기기가 서명된 보안인증데이터를 확인하여 IoT기기로 보안인증데이터 저장 요청데이터를 송신하는 보안인증데이터 저장 요청데이터 송신 단계; 와
    IoT기기가 수신한 서명된 보안인증데이터를 저장하고 보안인증데이터 저장 응답 신호를 IoT기기 보안인증관리 기기로 송신하는 보안인증데이터 저장 응답 신호송신 단계; 를 포함하며,
    보안인증데이터는, 순차번호, 고유 아이디, 난수, 트랜잭션 아이디, 유효 시간, 유효 횟수, 접근제어 정책, 암호화 알고리즘을 포함하고 순차 번호는 IoT기기의 고유 번호이며, 위의 고유 아이디는 고유 아이디는 보안칩이 장착된 IoT기기의 순차 번호에 Salt를 적용한 결과에 해시를 취한 결과이고, 트랜잭션 아이디는 위의 트랜잭션 아이디를 포함하는 신호를 IoT기기 보안인증서버가 몇번째로 수신한 신호인지를 의미하는 아이디이며, 유효 횟수는 서명된 보안인증데이터가 저장된 IoT기기가 특정 위치에서 사용되기 위해 특정 위치에 설치된 게이트웨이와 통신할 때 최대 통신 횟수로 5회이며, 접근제어는 IoT기기가 어떤 게이트웨이와 연결할 수 있는지에 대한 정보이고, 보안인증데이터 요청데이터 암호화 단계 이전에, IoT기기 관리 기기가 IoT기기 내부에 장착된 보안인증정보를 수신하는 IoT기기 정보 수신 단계와 IoT기기 관리 기기가 IoT기기의 근거리 무선 통신 접속을 허용하는 근거리 무선 통신 접속 단계를 포함하며,
    IoT기기 정보 수신 단계는, IoT기기가 IoT기기 보안인증관리 기기로 IoT기기 보안인증정보 응답 신호를 송신하는 IoT기기 보안인증정보 응답신호 송신 단계;를 포함하며,
    IoT기기 보안인증정보 응답 신호는 메시지 타입, 체크 아이디 및 기타 정보를 포함하고, 위의 체크 아이디는 Salt값, 순차 번호, 에드 값 및 키값을 논리 연산한 결과에 해시함수를 취해서 산출된 아이디이며,
    기타 정보는 순차번호, 에드값 및 키값을 포함하는 IoT기기 보안인증방법.
  2. 제 1 항에 있어서, 위의 IoT기기 보안인증정보 수신 단계는, IoT기기 보안인증관리 기기가 IoT기기로 IoT기기 보안인증정보 요청데이터를 송신하는 IoT기기 보안인증정보 요청데이터 송신 단계; IoT기기 보안인증관리 기기가 IoT기기로 IoT기기 보안칩 버전 요청데이터를 송신하는 IoT기기 보안칩 버전 요청데이터 송신 단계; IoT기기가 IoT기기 보안인증관리 기기로 IoT기기 보안칩 버전 응답 신호를 송신하는 IoT기기 보안칩 버전 응답신호송신 단계를 포함하는 IoT기기 보안인증방법.
  3. 제 2 항에 있어서, 위의 IoT기기 보안인증정보 요청데이터 송신 단계는, IoT기기 보안인증관리 기기가 IoT기기 보안인증정보 요청데이터에 포함된 데이터와 초기값인 에드값을 더한 결과에 초기값인 키값과 논리 연산을 취하여 암호화하고, 암호화 IoT기기 보안인증정보 요청데이터를 송신하는 IoT기기 보안인증방법.
  4. 제 2 항에 있어서, 위의 IoT기기 보안인증정보 응답 신호송신 단계는, IoT기기가 IoT기기 보안인증정보 응답 신호에 포함된 데이터와 초기값인 에드값을 더한 결과에 초기값인 키값과 논리연산을 취하여 암호화하고, 암호화 IoT기기 보안인증정보 응답 신호를 송신하는 IoT기기 보안인증방법.
  5. 제 2 항에 있어서, 위의 IoT기기 보안칩 버전 요청데이터 송신 단계는, IoT기기 보안인증관리 기기가 IoT기기 보안칩 버전 요청데이터에 포함된 데이터와 IoT기기 보안인증정보 응답 신호에 포함된 에드값을 더한 결과에 IoT기기 보안인증정보 응답 신호에 포함된 키값과 논리 연산을 취하여 암호화하고, 암호화 IoT기기 보안칩 버전 요청데이터를 송신하는 IoT기기 보안인증방법.
  6. 제 2 항에 있어서, 위의 IoT기기 보안칩 버전 응답 신호송신 단계는, IoT기기가 IoT기기 보안칩 버전 응답 신호에 포함된 데이터와 IoT기기 보안인증정보 응답 신호에 포함된 에드값을 더한 결과에 IoT기기 보안인증정보 응답 신호에 포함된 키값과 논리 연산을 취하여 암호화하고, 암호화 IoT기기 보안칩 버전 응답 신호를 송신하는 IoT기기 보안인증방법.
KR1020180028921A 2018-03-13 2018-03-13 보안기술을 활용한 iot기기 보안인증 시스템 KR20190115489A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180028921A KR20190115489A (ko) 2018-03-13 2018-03-13 보안기술을 활용한 iot기기 보안인증 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180028921A KR20190115489A (ko) 2018-03-13 2018-03-13 보안기술을 활용한 iot기기 보안인증 시스템

Publications (1)

Publication Number Publication Date
KR20190115489A true KR20190115489A (ko) 2019-10-14

Family

ID=68171596

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180028921A KR20190115489A (ko) 2018-03-13 2018-03-13 보안기술을 활용한 iot기기 보안인증 시스템

Country Status (1)

Country Link
KR (1) KR20190115489A (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102161647B1 (ko) 2020-03-06 2020-10-05 주식회사그린존시큐리티 IoT 디바이스의 데이터 전송을 보안하기 위한 장치 및 이를 위한 방법
KR20220042016A (ko) 2020-09-25 2022-04-04 주식회사그린존시큐리티 IoT 디바이스들의 데이터 전송 시간을 기초로 접근을 제어하기 위한 장치 및 이를 위한 방법

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102161647B1 (ko) 2020-03-06 2020-10-05 주식회사그린존시큐리티 IoT 디바이스의 데이터 전송을 보안하기 위한 장치 및 이를 위한 방법
KR20220042016A (ko) 2020-09-25 2022-04-04 주식회사그린존시큐리티 IoT 디바이스들의 데이터 전송 시간을 기초로 접근을 제어하기 위한 장치 및 이를 위한 방법

Similar Documents

Publication Publication Date Title
CN109495274B (zh) 一种去中心化智能锁电子钥匙分发方法及系统
CN110690956B (zh) 双向认证方法及系统、服务器和终端
CN113691502A (zh) 通信方法、装置、网关服务器、客户端及存储介质
CN111159684A (zh) 一种基于浏览器的安全防护系统和方法
JP2014006691A (ja) デバイス認証方法及びシステム
CN109379345B (zh) 敏感信息传输方法及系统
KR102135710B1 (ko) 하드웨어 보안 모듈
KR20120072032A (ko) 모바일 단말의 상호인증 시스템 및 상호인증 방법
CN110519222B (zh) 基于一次性非对称密钥对和密钥卡的外网接入身份认证方法和系统
CN116244750A (zh) 一种涉密信息维护方法、装置、设备及存储介质
CN115473655A (zh) 接入网络的终端认证方法、装置及存储介质
CN1612522B (zh) 无需知晓机密验证数据的基于质询的验证
CN105554008A (zh) 用户终端、认证服务器、中间服务器、系统和传送方法
KR20190115489A (ko) 보안기술을 활용한 iot기기 보안인증 시스템
KR101836211B1 (ko) 전자 기기 인증 매니저 장치
CN116599719A (zh) 一种用户登录认证方法、装置、设备、存储介质
CN114338091B (zh) 数据传输方法、装置、电子设备及存储介质
KR102053993B1 (ko) 인증서를 이용한 사용자 인증 방법
CN116318637A (zh) 设备安全入网通信的方法和系统
CN112437436B (zh) 一种身份认证方法及装置
CN111698263B (zh) 一种北斗卫星导航数据的传输方法和系统
CN114258013B (zh) 数据加密方法、设备和存储介质
CN112069487B (zh) 一种基于物联网的智能设备网络通讯安全实现方法
KR101790121B1 (ko) 전자 기기 인증 방법 및 시스템
JP2022522555A (ja) セミトラステッドな中継者を使用したセキュアなメッセージ受け渡し

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application