KR20230037314A - IoT 기반 멀티 프레임워크 스마트 조명 시스템을 위한 화이트리스트 보안 방법 및 시스템 - Google Patents
IoT 기반 멀티 프레임워크 스마트 조명 시스템을 위한 화이트리스트 보안 방법 및 시스템 Download PDFInfo
- Publication number
- KR20230037314A KR20230037314A KR1020210120482A KR20210120482A KR20230037314A KR 20230037314 A KR20230037314 A KR 20230037314A KR 1020210120482 A KR1020210120482 A KR 1020210120482A KR 20210120482 A KR20210120482 A KR 20210120482A KR 20230037314 A KR20230037314 A KR 20230037314A
- Authority
- KR
- South Korea
- Prior art keywords
- tls
- devices
- dtls
- whitelist
- network
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 9
- 238000012795 verification Methods 0.000 claims 1
- 238000004891 communication Methods 0.000 abstract description 14
- 238000005265 energy consumption Methods 0.000 abstract description 10
- 238000007726 management method Methods 0.000 description 8
- 239000008186 active pharmaceutical agent Substances 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 102100031920 Dihydrolipoyllysine-residue succinyltransferase component of 2-oxoglutarate dehydrogenase complex, mitochondrial Human genes 0.000 description 1
- 101000992065 Homo sapiens Dihydrolipoyllysine-residue succinyltransferase component of 2-oxoglutarate dehydrogenase complex, mitochondrial Proteins 0.000 description 1
- 239000011692 calcium ascorbate Substances 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 238000001773 deep-level transient spectroscopy Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000002474 experimental method Methods 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16Y—INFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
- G16Y30/00—IoT infrastructure
- G16Y30/10—Security thereof
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Small-Scale Networks (AREA)
Abstract
IoT 기반의 멀티 프레임워크 스마트 조명 시스템을 위한 화이트리스트 보안 방식과 시스템을 제공한다. 네트워크의 통신은 TLS/DTLS 호환 장치의 경우 전송 계층 보안(TLS) 및 데이터그램 전송 계층 보안(DTLS) 또는 TLS/DTLS 호환 장치의 경우 대칭 암호화를 통해 보호된다. 스마트 조명 시스템 관리자의 액세스를 제한하기 위해 장치 화이트리스트가 유지된다. 액세스 제어를 위해 TLS/DTLS 비호환 장치에 대칭 키가 사용되는 TLS/DTLS 호환 장치에 클라이언트 인증 키가 사용된다. 또한 하드웨어 리소스, 네트워크 제약 조건 및 에너지 소비와 같은 장치의 다양한 기능을 기반으로 화이트리스트 TLS/DTLS 구성 및 키가 작성된다. 그러면 정책 구성과 TLS 인증 키/해시 키가 모두 화이트리스트의 장치에만 배포된다. 따라서 정보가 등록된 장치만 연결을 만들 수 있으며, 네트워크의 교환된 데이터는 암호화된다. 또한 보안을 강화하기 위해 분산 프로토콜은 네트워크의 모든 노드에 대한 정책 세트와 키를 주기적으로 갱신하도록 설계되었다.
Description
시스템 공개는 일반적으로 주거, 산업, 상업, 대중교통 등 다양한 공간에 조명을 배치하는 IoT 기반 멀티프레임 스마트 조명 시스템 확보와 관련이 있다. 또한 모든 기기(소프트웨어/펌웨어/하드웨어)를 완벽하게 관리의 권한을 가진 관리자/회사에 의해 시스템이 운영되어야 한다.
일반적으로, 4차산업과 IoT 기기가 발달함에 따라 IoT 네트워크의 보안이 매우 중요하다. 스마트시티용 IoT 기반 지능형 조명 시스템은 다양한 공간과 배치에 적용할 수 있다. 하지만 IoT 기반 멀티 프레임워크 (multi-frameworks) 보안 솔루션은 부족하다. 스마트 조명 시스템의 장치는 윈도우, 리눅스, 안드로이드, 임베디드 (embedded) OS 와 같은 여러 OS 시스템을 사용할 뿐만 아니라 리소스 요구 사항(하드웨어 기능, 네트워크 제약 및 에너지 소비)이 다르다. 통신 프로토콜도 LAN, PLC(power line communication) 등 유선부터 와이파이, 블루투스, 지그비 (ZigBee), 오픈스레드 (OpenThread), LTE 등 무선까지 다양하다. 스마트 조명 시스템은 플랫폼이 다양하기 때문에 시스템 내 모든 기기에 동일한 보안 구성을 적용하기는 어렵다. 장치는 하드웨어 기능, 네트워크 제약 및 에너지 소비와 같은 기준에 따라 범주로 나눌 수 있다. 예를 들어 네트워크에서 전력을 사용하는 서버/라우터는 배터리가 장착된 IoT 장치에 비해 하드웨어 성능이 높다.
한편, Transport Layer Security (TLS)는 네트워크에서 통신을 보호하는데 널리 사용된다. TLS가 Transmission Control Protocol (TCP)에 적용되고 User Datagram Protocol (UDP) 통신을 보호하기 위해 DTLS(Datagram Transport Layer Security)를 적용한다. 알고리즘 집합인 암호 집합 (cipher suite)은 TLS 및 DTLS에서 사용된다. 각 TLS 버전에 대해 보안 알고리즘을 추가하고 안전하지 않은 것으로 식별된 알고리즘을 제거하여 프로토콜 버전을 기반으로 적절한 암호 그룹 목록이 생성된다.
일반적으로 장치에 지원되는 TLS/DLTS 버전 및 암호 목록이 미리 구성된다. 그러나 이전 TLS/DTLS 버전 및 취약한 암호 그룹 (cipher suite)을 계속 사용할 수 있다. 또한 암호 목록은 네트워크의 서비스 품질(Quality of Service)과 장치의 에너지 소비에 영향을 미친다. 예를 들어, 복잡한 암호 제품군은 시스템의 보안을 강화할 수 있지만 에너지 소비량과 네트워크 오버헤드는 더 높을 수 있다.
스마트 조명 시스템은 보통 정부나 기업/가족이 관리하므로 프라이버시에 대한 우려가 높다. 예를 들어, 시스템에 액세스하기 위해 서버에 연결할 수 있는 앱이 있으면 안전하지 않다. 따라서 잠재적인 공격을 줄이려면 액세스 제한이 필요하다. 시스템에서 연결할 수 있는 장치의 화이트리스트는 연결 액세스를 제한하기 위해 효율적이다. 우선, 본 발명이 적용된 스마트 조명 시스템에서는 관리자가 하드웨어, 소프트웨어, 펌웨어를 포함한 모든 기기를 관리하고 제어할 수 있다는 점에 유의해야 한다. 따라서 시스템의 관리자가 사전 등록된 장치 화이트리스트를 쉽게 유지 관리할 수 있다.
본 발명은 상기의 문제를 해결하기 위해 제안되었으며, 관리자가 유지 관리하는 화이트리스트에 근거하여 통신 및 접근 제어를 확보할 수 있는 보안 솔루션을 제공하는 것이 본 발명의 목적이다.
이 발명의 또 다른 목적은 TLS/DTLS 및 대칭 키의 암호 모음과 같은 암호화 알고리즘의 보안 구성을 제공하는 것이다.
이 발명의 또 다른 목적은 IP 기반 및 비 IP 기반 장치 모두에 대해 네트워크의 모든 장치에 보안 구성을 주기적으로 배포하는 방법을 제공하는 것이다.
이 발명의 한 가지 측면은 화이트리스트 기반 액세스 제어를 사용하여 스마트 조명 시스템의 장치 간 연결을 확인하는 것이다. 관리자에게는 네트워크에서 장치를 추가, 수정 또는 제거할 수 있는 모든 권한이 있다. 등록된 장치 목록은 관리자가 시스템을 작동하면 업데이트된다. 따라서 등록된 목록에 있는 장치만 네트워크에 있는 다른 장치/서버에 연결할 수 있다. 장치는 최종 사용자가 아닌 관리자가 관리한다. 이는 최종 사용자가 직접 기기를 구입해 시스템에 통합하는 일반 IoT 네트워크와는 다르다.
여기서, 보안 구성은 네트워크 제약, 하드웨어 성능 및 에너지 소비와 같은 기준을 고려하여 시스템의 각 장치 범주에 최적화된다. 또한 충분히 강력한 암호화 알고리즘만 사용하고 보안되지 않은 암호화 취약점을 제거한다. 이 경우 개발자는 암호화 알고리즘 설정을 지원할 수 있는 전송 계층 보안 API 또는 암호화/암호 해독 API를 사용해야 한다.
로컬 서버는 네트워크의 장치에 정책 세트 또는 키를 제공하도록 구축되는 것이 좋다. IP 기반 디바이스의 경우 이 서버는 등록된 디바이스 목록에서 추출된 IP 주소로 정책 세트/키를 디바이스의 저장 경로로 직접 전송한다. 스마트 조명 장치와 같은 비 IP 기반 장치의 경우 보안 구성을 배포하기 위한 홉 카운트 기반 프로토콜이 제안된다.
상기 발명을 이용한 스마트 조명 시스템에 따르면, 관리자가 사전에 명시적으로 허용한 화이트리스트에 등록된 기기만 네트워크에 접속할 수 있다. 따라서 알 수 없는 장치에서 발생할 수 있는 연결 위험을 방지할 수 있는 장점이 있다. 최종 사용자가 직접 등록해야 하는 경우, 최종 사용자가 불편을 겪을 수 있다. 다만 사업 참여 기업이 기기를 개발하고 관리자가 시스템을 완벽하게 제어할 수 있는 스마트 조명에서는 기기 목록 관리가 필요하고 공통적이다.
또한, 이 발명에 따르면 최적화된 보안 구성이 네트워크 내 각 장치에 분산되어 처리 능력, 네트워크 서비스 품질, 에너지 소비, 각 장치의 보안 수준 간의 균형 잡힌 성능을 달성할 수 있다. 따라서 최적의 보안 정책을 선택하기 위해, 해당 보안 구성을 사용할 때 사이버 공격 및 네트워크 및 에너지 소비의 QoS(Quality of Service)를 평가하는 몇 가지 실험을 진행할 수 있다.
또한, 이 발명품에 따르면, 보안/구성 키의 재 배포 방법은 키의 유출이나 암호 해독을 방지하는 것을 목표로 한다. 또한 통신은 TLS/DTLS 또는 적절한 암호화/암호 해독을 통해 암호, 인증 정보와 같은 개인 및 중요한 정보를 보호한다.
도 1은 주거, 상업, 산업, 실외 등 4개의 공간이 있는 IoT 기반 멀티 프레임워크 장치를 갖춘 스마트 조명 시스템의 예를 보여준다.
도 2는 네트워크에 TLS/DTLS 호환 장치가 있는 거주 공간을 위해 배치된 스마트 조명 시스템의 예를 보여준다.
도 3은 무선 통신이 가능한 IoT 기반 장치(Zigbee, Bluetooth, WIFI)를 그룹 ID와 장치 유형별로 분류한 네트워크 위상의 예를 보여준다.
도 4는 네트워크에서 장치의 그룹 ID를 그림 3으로 결정하는 것을 목표로 하는 알고리즘을 보여준다.
도 5는 IP 기반 장치가 DTLS/TLS 정책 세트 및 TLS 클라이언트 인증 키를 전송하기 위해 연결된 네트워크 토폴로지의 예를 보여준다.
도 2는 네트워크에 TLS/DTLS 호환 장치가 있는 거주 공간을 위해 배치된 스마트 조명 시스템의 예를 보여준다.
도 3은 무선 통신이 가능한 IoT 기반 장치(Zigbee, Bluetooth, WIFI)를 그룹 ID와 장치 유형별로 분류한 네트워크 위상의 예를 보여준다.
도 4는 네트워크에서 장치의 그룹 ID를 그림 3으로 결정하는 것을 목표로 하는 알고리즘을 보여준다.
도 5는 IP 기반 장치가 DTLS/TLS 정책 세트 및 TLS 클라이언트 인증 키를 전송하기 위해 연결된 네트워크 토폴로지의 예를 보여준다.
도1은 여러 공간이 있는 IoT 기반 멀티 프레임워크 조명 시스템 (100)의 예를 보여준다. 스마트조명은 스마트시티에 주로 적용되기 때문에 거주 (104), 상업 (105), 산업 (106), 실외(107) 등 다양한 공간과 환경에 조명시스템 (100)을 구현한다. 공간마다 사용자 및 시스템 요구사항이 다르다. 거주 공간 (104)는 지그비, 와이파이, 블루투스 (108)을 주요 통신으로 사용할 수 있다. 상업은(105) 오픈스레드 및 와이파이를(109) 사용할 수 있다. 한편, 산업(106)에서는 블루투스와 와이파이 (110)이 사용된다. 넓은 지역에 가로등이 많이 배치되는 옥외 (107)의 경우, 전력선 통신(PLC)과 LTE (111)을 사용하여 데이터를 전송한다. 스마트조명시스템 (100)에는 종합센터 (Total Operation Center) (101)과 시스템 내 스마트센서가 수집한 데이터를 활용하기 위한 클라우드 서비스 (102)도 포함돼 있다.
주거공간 104의 경우 주택이나 아파트에 스마트 조명을 구현한다. 최종 사용자는 스마트 리모콘 115 또는 사용자 장치 116에서 원격 스마트 라이트 113까지의 애플리케이션을 사용할 수 있다. 로컬 네트워크는 스마트 게이트웨이/미터링 게이트웨이 114에 의해 생성된다. 스마트 게이트웨이/계량 게이트웨이 114는 스마트 라이트 113, 스마트 리모콘 115, 사용자 기기 116, 로컬 서버 112 사이에서 패키지 송수신 및 제어 데이터/에너지 소비 데이터를 중간으로 사용한다. 마지막으로, 로컬 관리 서버 112에서 수집된 데이터를 토털 운영 센터 101 또는 클라우드 서비스 102로 전송하여 토털 관리/데이터 관리/AI/빅데이터 애플리케이션을 지원한다. 이와 유사하게, 105몰, 106공장, 107외곽에서 수집된 정보는 그들의 지역 관리 서버로 보내질 것이다. 이러한 데이터는 보다 효과적인 유용한 작업을 위해 종합센터101 및 클라우드 서비스 102에도 전송될 예정이다.
기기가 많은 스마트 조명 시스템에서는 보안을 위해 관리자가 관리하지 않는 기기의 접근을 제한하는 것이 중요하다. 따라서 모든 장치가 권한 없이 서버에 연결할 수 있는 것은 아니다. 관리 서버는 장치 정보(예: 장치 ID, MAC 주소)에 따라 장치의 화이트리스트를 유지한다.
네트워크에 TLS/DTLS(TLS/DTLS 호환 장치)를 지원하는 장치와 TLS/DTLS(TLS/DTLS 호환되지 않는 장치)를 지원하지 않는 다른 장치가 포함되어 있다고 가정한다. 네트워크상의 많은 장치에 액세스하기 위해 공유 자격 증명을 사용할 수 있는 인증 공격을 방지하기 위해 인증 키가 정기적으로 갱신되고 다시 배포된다(예: 2주). DTLS/TLS가 호환되지 않는 장치의 경우 각 장치가 인증을 위해 "키"를 사용해야 한다. TLS가 아닌 장치에는 복잡한 암호화 알고리즘을 사용할 수 있는 충분한 계산 능력이 없기 때문에 장치 간(예: 클라이언트와 서버) 인증에 보안 키가 사용된다.
TLS는 TCP 통신에 사용되고 DTLS는 UDP 통신에 사용되며, 상용 제품에서 해당 서버는 모든 TLS 통신(즉, TLS v1.0, TLS v1.1, TLS v1.1, TLS v1.3)을 지원 (TLS v1.0 및 v1.1은 스마트 조명 시스템에서 지원되지 않음) 한다. 낮은 버전의 TLS의 경우 취약성으로 인해 지원하지 않는 것이 좋다. 현재 발명 등록 당시 TLS 최신 버전은 1.3, DTLS 버전은 1.2(DTLS 버전 1.3 개발 중)이다.
스마트 조명 시스템의 소프트웨어/펌웨어를 완벽하게 제어할 수 있다고 가정한다. 전송 계층 보안의 화이트리스트 기반 정책 구성은 TLS/DTLS 및 TLS/DTLS 암호 그룹이다. 본 발명은 현재의 시점에서 TLS v1.2 및 TLS v1.3만 지원하며, 보안이 강력한 최 상위 버전을 지원한다.
또한 각 TLS 버전에 대해 지원되는 암호 그룹 집합만 선택되고, 암호 제품군의 선택도 장치의 성능에 따라 달라진다. 예를 들어, 관리 서버와 같이 성능이 뛰어난 장치의 경우 복잡한/높은 보안 암호 그룹을 사용하는 것이 좋다. TLS/DTLS가 구현되는 단순 IoT 디바이스에는 복잡한 낮은 암호 집합만 사용된다.
예를 들어 TLS v1.3의 경우 아래의 두 개의 암호 그룹 {TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384}만 지원된다. TLS v1.2의 경우 {TLS_DHE_RSA_WITH_AES_128_GCM_SHA256; TLS_ECDHE_RSA_WITH_128_GCM_SHA256; TLS_DHE_RSA_WITH_S256; TLS_RSA_RSA256이 지원된다.
TLS 버전, TLS 암호 그룹 집합과 같은 TLS 정책은 다음 장에서 설명하는 주기적 분산 프로토콜을 통해 네트워크의 모든 장치에 배포된다.
도 2는 DTLS/TLS 호환 장치가 있는 스마트 조명 시스템 200의 예를 보여준다. 볼 수 있듯이, 기기가 다양하기 때문에 최신 DTLS/TLS 버전을 모두 적용할 수는 없다. 따라서 하드웨어 리소스, 네트워크 제약 및 에너지 소비량을 고려하여 지원 가능한 DTLS/TLS 버전 및 암호 그룹을 장치의 정보와 테스트 후에 의해 정의한다.
예를 들어 스마트 조명 1(SL1) 201에는 LED 206과 스마트 센서 207이 포함되어 있다. SL1 201은 SL2 202 및 SL5 205 by DTLS 버전 1로 데이터를 보호했다. SL2 202에서 스마트 미터 게이트웨이 209는 TLSv1.2 및 DTLS v1.2를 사용하여 데이터를 교환하는 반면 스마트 조명 게이트웨이 208은 보안을 위해 TLSv1.3 및 DTLSv1.2를 사용한다. 마찬가지로 SL3 203의 브로커 210과 SL4 204의 조명 관리 서버 211도 TLSv1.2 및 TLS v1.3을 모두 지원한다. 또한 스마트 미터링 게이트웨이 209와 벽면 패드 213에 사용되는 TLSv1.2가 벽면 패드 213의 Android OS와 스마트 미터 게이트웨이 209의 임베디드 OS 등 두 가지 플랫폼에 적용된다.
따라서 지원되는 TLS 버전은 다중 프레임워크로 인해 일관될 수 없다. 프로젝트 관리자는 적합한 TLS/DTLS 버전 및 암호 그룹을 고려하고 선택해야 한다.
도3은 라우팅에 IP 주소를 사용하지 않는 IoT 장치로 데이터(TLS 키/해시 키)를 전송하는 데 사용되는 네트워크 구조의 예를 보여준다. 무선 IoT 네트워크(지그비, 스레드, 와이파이, BLE 메시)에만 적용되는 프로토콜이다.
프로토콜에는 다음 두 단계가 포함된다.
1단계: 서버가 네트워크 토폴로지 정보를 수집한다.
2단계: 정책 세트 및/또는 키가 네트워크의 클라이언트에 배포된다. 화이트리스트에 있는 장치만 정책 구성 및 키가 전송된다.
1단계에서 네트워크 토폴로지 정보에는 장치 ID, 그룹 ID 및 노드의 인접 장치가 포함된다. 장치 ID는 제품의 고유 번호이다. 그룹 ID는 싱크의 멀티 홉 카운트 수이며, 이로부터 네트워크 배치를 상세하게 그릴 수 있다.
그림 3에서 볼 수 있듯이 네트워크 토폴로지 300에는 정책 세트/키 배포 서버 301과 7개의 노드가 포함된다. 장치 309의 화이트리스트는 서버 301에 유지된다. 서버 301의 그룹 ID는 0이다. 그룹 1의 노드는 서버 301의 1홉 수를 가진 노드이다. 노드 E302, B303, A304 및 노드 C305는 그룹 1에 있다. 노드 B 306, A 307, D 308의 그룹 ID는 2이다. 각 노드에는 고유한 장치 ID가 있으며, 노드 D308에는 7과 동일한 장치 ID가 있다. 노드의 그룹 ID를 할당하는 알고리즘은 그림 4에 나와 있다.
2단계에서는 정책 세트 및/또는 보안 키가 정책/키 배포 서버에 유지되는 화이트리스트에 등록된 모든 노드에 배포된다. 예를 들어 정책 집합에는 다음과 같은 정보가 포함된다.
| No. | Fields | Value |
| 1 | TLS protocol | 0: no support1: TLS 10: DTLS |
| 2 | TLS version | 0: 1.21: 1.3 |
| 3 | Cipher number | 1-100 |
| 4 | Cipher list | E.g., c0 0a - TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA |
TLS/DTLS 호환 장치의 경우 클라이언트 인증에서 클라이언트 인증의 공용 키를 사용하여 데이터 암호를 해독한다(이 절차는 TLS 핸드쉐이크 (handshake) 프로토콜에서 처리됨). 클라이언트 키는 TLS 표준에 따라 만들어진다.
도 4는 IoT 디바이스에서 노드의 그룹 ID를 결정하는 알고리즘의 흐름도를 보여준다. 처음에는 배포 서버의 그룹 ID(싱크)가 0에 할당된다. 다른 그룹의 그룹 ID 초기화가 무한대로 설정된다. 이 단계에서는 모든 노드가 활성 상태이고 절전 모드가 아니며, 싱크대와 다른 기기들은 그들의 단체 아이디로 인사 메시지를 브로드캐스트 한다. 노드가 Hello 메시지를 수신하면 수신된 그룹 ID와 현재 그룹 ID를 비교한다. 그룹 ID가 i(i > 0)인 노드 A가 그룹 ID가 j인 노트 B의 hello 메시지를 수신한다고 가정한다. 그런 다음 노드 A의 그룹 ID는 다음과 같이 계산된다.
도 5는 IP 기반 장치의 네트워크 토폴로지 500의 예를 보여준다. IP 기반 장치이므로 배포에서 IP 주소를 기반으로 보안 정책과 키를 직접 보낼 수 있다. 그런 다음 이러한 장치는 향후 통신에 사용할 구성 및 키를 저장한다. 예를 들어 정책/키 배포 서버 503은 관리자가 모든 장치의 IP 주소 목록을 유지 관리한다. 따라서 클라이언트 501, 502, 504 또는 505가 요청을 보낼 때 서버 503은 정책/키를 그들에게 배포하며 패킷은 TCP/UDP로 보낼 수 있다.
101: 통합관제 (Total Operation Center - TOC)
102: 클라우드 서비스 (Cloud Services)
112: 로컬 관리 서버 (Local Management Server)
104: 주거공간
105: 상업공간
106: 산업공간
107: 실외공간
113: 스마트 조명 (Inteligent Lighting Device)
114: 스마트 게이트웨이/미터링 게이트웨이 (Smart Gateway/Metering Gateway)
115: 스마트 리모콘 (Smart Remote)
116: 사용자 기기 (User Device)
207: 스마트 센서 (Smart Sensor)
210: 브로커 (MQTT Brocker)
212: 스마트 컨트롤러 (Smart Controller)
213: 월패드 (Wall-pad): 벽에 부착된 안드로이드 테이블
214: 모바일 앱 (Mobile application)
102: 클라우드 서비스 (Cloud Services)
112: 로컬 관리 서버 (Local Management Server)
104: 주거공간
105: 상업공간
106: 산업공간
107: 실외공간
113: 스마트 조명 (Inteligent Lighting Device)
114: 스마트 게이트웨이/미터링 게이트웨이 (Smart Gateway/Metering Gateway)
115: 스마트 리모콘 (Smart Remote)
116: 사용자 기기 (User Device)
207: 스마트 센서 (Smart Sensor)
210: 브로커 (MQTT Brocker)
212: 스마트 컨트롤러 (Smart Controller)
213: 월패드 (Wall-pad): 벽에 부착된 안드로이드 테이블
214: 모바일 앱 (Mobile application)
Claims (6)
- IoT 기반 멀티 프레임워크 스마트 조명 시스템을 위한 화이트리스트 보안 방법, 구성 방법:
전송 계층 보안(transport layer security - TLS) 및 대칭 암호화 알고리즘에 적용되는 암호화 정책 구성의 화이트리스트 결정; 및
시스템의 관리자가 장치 화이트리스트에 유지되는 장치에 정책 구성 및 인증 키를 전달하는 배포 방법 설계.
- 제1항에 있어서,
스마트 조명 시스템은 다음과 같이 구성된다:
IoT 기반 멀티 프레임워크 장치를 갖춘 주거, 쇼핑몰, 공장 및 실외와 같은 여러 공간을 포함하는 스마트 조명 시스템, 및
다양한 IoT 장치 및 서버, 스마트 게이트웨이, 다양한 하드웨어 규격 및 네트워크 제약 조건의 미터링 게이트웨이; 및
장치는 관리자가 관리한다, 즉, 사용자가 직접 장치를 시스템에 통합할 수 없다.
- 장치가 TLS/DTLS 호환 장치와 TLS/DTLS 호환되지 않는 장치의 두 가지 범주로 분류되는 제2항에 장치:
하드웨어 리소스 및 지원되는 프레임워크의 제한으로 인해 TLS/DTLS를 적용할 수 없는 TLS/DTLS 호환되지 않는 장치; 및
버전 및 암호 그룹 목록이 변형될 수 있는 TLS/DTLS를 지원할 수 있는 TLS/DTLS 호환 장치는 지원되는 프레임워크에 따라 다르다.
- 제1항의 암호화 정책 구성 화이트리스트는 다음으로 구성된다:
TLS/DTLS 호환 장치의 TLS/DTLS 버전 및 암호 모음 목록; 및
TLS/DTLS 비호환 장치에 대한 대칭 암호화 알고리즘.
- 제1항 있어서,
관리되는 장치의 화이트리스트는 다음으로 구성됩니다.
연결 확인을 위한 TLS 인증 키/대칭 키를 만드는 데 사용되는 장치 ID, 장치 범주, MAC 주소 등과 같은 장치의 특정 정보(예: 화이트리스트에 있는 장치만 서버에 연결할 수 있음).
- 로컬 정책/키 배포 서버 정책/키를 IP 기반 장치와 비 IP 기반 장치 모두에 전달하는 제1항의 암호화 구성 및 인증 키 배포 방법:
IP 기반 디바이스의 경우 클라이언트에서 IP 주소 및 미리 결정된 경로를 통해 구성 파일이 디바이스로 배포된다; 및
비 IP 기반 장치의 경우 정책/키 배포 서버는 홉 카운트를 기반으로 장치의 그룹 ID를 결정하는 프로토콜을 구현한 다음, 클라이언트에 구성 파일을 전달하는 그룹 기반 홉 카운트 라우팅 프로토콜을 구축한다.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020210120482A KR102581174B1 (ko) | 2021-09-09 | 2021-09-09 | IoT 기반 멀티 프레임워크 스마트 조명 시스템을 위한 화이트리스트 보안 방법 및 시스템 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020210120482A KR102581174B1 (ko) | 2021-09-09 | 2021-09-09 | IoT 기반 멀티 프레임워크 스마트 조명 시스템을 위한 화이트리스트 보안 방법 및 시스템 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20230037314A true KR20230037314A (ko) | 2023-03-16 |
| KR102581174B1 KR102581174B1 (ko) | 2023-09-21 |
Family
ID=85985305
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020210120482A KR102581174B1 (ko) | 2021-09-09 | 2021-09-09 | IoT 기반 멀티 프레임워크 스마트 조명 시스템을 위한 화이트리스트 보안 방법 및 시스템 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR102581174B1 (ko) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20150016458A (ko) * | 2013-08-02 | 2015-02-12 | 한국전자통신연구원 | 무선 센서 네트워크에서의 전송 스케줄링 방법 및 그 장치 |
| KR20190033412A (ko) * | 2017-09-21 | 2019-03-29 | 삼성전자주식회사 | 사물인터넷 시스템의 운영 방법 |
| KR20190048587A (ko) * | 2017-10-31 | 2019-05-09 | 한국전자통신연구원 | 사물인터넷 장치의 원격 보안 방법 및 이를 위한 장치 |
| KR102210670B1 (ko) * | 2014-06-20 | 2021-02-02 | 삼성전자 주식회사 | 게이트웨이에 장치를 등록하는 방법 및 장치 |
-
2021
- 2021-09-09 KR KR1020210120482A patent/KR102581174B1/ko active IP Right Grant
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20150016458A (ko) * | 2013-08-02 | 2015-02-12 | 한국전자통신연구원 | 무선 센서 네트워크에서의 전송 스케줄링 방법 및 그 장치 |
| KR102210670B1 (ko) * | 2014-06-20 | 2021-02-02 | 삼성전자 주식회사 | 게이트웨이에 장치를 등록하는 방법 및 장치 |
| KR20190033412A (ko) * | 2017-09-21 | 2019-03-29 | 삼성전자주식회사 | 사물인터넷 시스템의 운영 방법 |
| KR20190048587A (ko) * | 2017-10-31 | 2019-05-09 | 한국전자통신연구원 | 사물인터넷 장치의 원격 보안 방법 및 이를 위한 장치 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR102581174B1 (ko) | 2023-09-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Shang et al. | Named data networking of things | |
| US10863234B2 (en) | System and method for secure appliance operation | |
| Unwala et al. | Thread: An iot protocol | |
| CN113765715A (zh) | 用于iot装置的分散式数据存储和处理 | |
| US20070109983A1 (en) | Method and System for Managing Access to a Wireless Network | |
| US10951622B2 (en) | Device for use in a network | |
| US10470102B2 (en) | MAC address-bound WLAN password | |
| Unwala et al. | IoT security: ZWave and thread | |
| US9326144B2 (en) | Restricting broadcast and multicast traffic in a wireless network to a VLAN | |
| US20180288618A1 (en) | Bootstrapping in a secure wireless network | |
| US20180359799A1 (en) | Multi-connection access point | |
| US20190372973A1 (en) | Device onboarding with automatic ipsk provisioning in wireless networks | |
| Bergmann et al. | Secure bootstrapping of nodes in a CoAP network | |
| JP6717468B2 (ja) | セキュアな機器動作のためのシステムおよび方法 | |
| WO2021031055A1 (zh) | 通信方法及装置 | |
| WO2016078375A1 (zh) | 数据传送方法及装置 | |
| KR102581174B1 (ko) | IoT 기반 멀티 프레임워크 스마트 조명 시스템을 위한 화이트리스트 보안 방법 및 시스템 | |
| Nguyen et al. | An SDN-based connectivity control system for Wi-Fi devices | |
| Gao et al. | SecT: A lightweight secure thing-centered IoT communication system | |
| WO2021135485A1 (zh) | 一种访问控制方法、装置及系统 | |
| US10798572B2 (en) | System and method for secure appliance operation | |
| WO2023080278A1 (en) | Whitelisting security method and system for iot-based multi-framework smart lighting system | |
| US20190238447A1 (en) | Systems and Methods Implementing an Autonomous Network Architecture and Protocol | |
| US20230084085A1 (en) | Selective network access based on trust level | |
| Sujathakumari et al. | A theoretical survey on MAC address blacklisting |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant |