KR20230112819A - 가상 블록체인에 기반한 신원 기반 보안 기법을 이용한 IoT 기기용 게이트웨이의 보안 구축 시스템 및 방법 - Google Patents

가상 블록체인에 기반한 신원 기반 보안 기법을 이용한 IoT 기기용 게이트웨이의 보안 구축 시스템 및 방법 Download PDF

Info

Publication number
KR20230112819A
KR20230112819A KR1020220008907A KR20220008907A KR20230112819A KR 20230112819 A KR20230112819 A KR 20230112819A KR 1020220008907 A KR1020220008907 A KR 1020220008907A KR 20220008907 A KR20220008907 A KR 20220008907A KR 20230112819 A KR20230112819 A KR 20230112819A
Authority
KR
South Korea
Prior art keywords
electronic device
digital electronic
virtual
gateway
security
Prior art date
Application number
KR1020220008907A
Other languages
English (en)
Inventor
송성면
이상지
박진하
Original Assignee
주식회사 푸시풀
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 푸시풀 filed Critical 주식회사 푸시풀
Priority to KR1020220008907A priority Critical patent/KR20230112819A/ko
Priority to PCT/KR2023/000826 priority patent/WO2023140595A1/ko
Publication of KR20230112819A publication Critical patent/KR20230112819A/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y30/00IoT infrastructure
    • G16Y30/10Security thereof
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명에 따른 가상 블록체인 기반의 신원 기반 보안 기법을 이용한 게이트웨이의 보안 구축 시스템은, 가상 블록체인 기반의 신원 기반 보안 기법을 이용하는 게이트웨이의 보안 구축 시스템에 있어서, 유무선 통신 모듈; 상기 게이트웨이에 식별자(ID), 개인키 정보를 포함하는 속성 정보를 가진 적어도 하나 이상의 가상 노드를 형성하고, 미리 정해진 합의 알고리즘에 따라 상기 가상 노드 간에 합의가 이루어진 트랜잭션 데이터 블록을 상기 가상 노드에 분산 원장으로 저장 관리하도록 이루어지는 가상 블록체인 구성부; 상기 가상 노드와 이웃하는 가상 노드들 간에 네트워크로 연결되는 가상 블록체인 망: 및 상기 신원 기반 보안 기법을 이용하는 디지털 전자 기기와 인증과 인가를 통한 접근 제어를 포함하는 보안 기능을 수행하는 보안 모듈을 포함한다.

Description

가상 블록체인에 기반한 신원 기반 보안 기법을 이용한 IoT 기기용 게이트웨이의 보안 구축 시스템 및 방법{SECURITY CONSTRUCTION SYSTEM OF GATEWAY FOR IoT DEVICES BY USING IDENTITY-BASED CRYPTOGRAPHY BASED ON VIRTUAL BLOCKCHAIN AND ITS METHOD}
본 발명은 가상 블록체인에 기반한 신원 기반 보안 기법(Identity-Based Cryptography, IBC)을 이용한 IoT 기기용 게이트웨이의 보안 구축 방법 및 IoT 기기용 게이트웨이의 보안 구축 시스템에 관한 것으로, 더욱 상세하게는 가상 블록체인(VB, Virtual Blockchain)에 기반한 신원 기반 보안 기법(IBC)을 이용하여 IoT 기기와 IoT 게이트웨이 간에 인증 및 인가(Authentication/Authorization)를 통한 접근 제어 및 암호화 통신을 구현함으로써 연산 능력이 부족한 IoT 기기의 통신 보안을 구축하고, 이들 IoT 기기와 데이터 및 사용자 접근 제어 관리 등에 있어 해킹 위협으로부터 IoT 기기, 게이트웨이 및 데이터를 보호할 수 있어 정보 보안을 극대화할 수 있는, 가상 블록체인에 기반한 신원 기반 보안 기법을 이용한 IoT 기기용 게이트웨이의 보안 구축 시스템 및 방법에 관한 것이다.
최근 사물인터넷(IoT) 시대를 맞이하여, IoT 기기들이 급격하게 늘어나고 있다. 이에 따라 IoT 기술을 통해 모든 종류의 물리적 개체와 가상 개체, 특히 그동안은 전혀 생각하지도 못했던 대상들이 인터넷에 연결될 것이다. 인터넷에 연결될 대상은 도어록, 체온계, 냉장고, 전구, 공기청정기, 세탁기 등 가정용 기기에서 각종 산업용 자산, 웨어러블(Wearable) 기기, 스마트 기기, 스마트 시티 등의 물리적인 개체와 IoT 게이트웨이 등의 장치에 소프트웨어로 구현하는 가상적인 개체를 포함하여 모든 것을 포함한다.
IoT는 통신 기능을 갖는 유형 또는 무형의 장치들에 네트워크를 연결해 정보를 공유하고 다양한 서비스를 제공할 수 있도록 하는 기술이다. IoT 환경하에서의 제품 및 서비스는 지속적으로 발전하고 있다.
한편, 네트워크를 구성함에 있어서 게이트웨이(Gateway)는 컴퓨터 네트워크에서 서로 다른 통신망이나 프로토콜을 사용하는 네트워크 간의 통신을 가능하게 하는 컴퓨터나 소프트웨어를 말하는 것으로, 다른 네트워크로 들어가는 입구 역할을 하는 네트워크 포인트이다. 다시 말해서, 게이트웨이는 종류가 다른 네트워크 간의 통로 역할을 하는 장치이며 서로 다른 네트워크 상의 통신 프로토콜(Protocol)을 적절히 변환해주는 역할을 한다.
게이트웨이는 하나 이상의 프로토콜을 사용하여 통신한다는 면에서 라우터, 스위치와는 구별되며 OSI 참조 모델의 7계층 가운데 어느 계층에서도 동작이 가능하므로 전송방식이 다른 통신망도 흡수함으로써 서로 다른 기종끼리 접속을 가능하게 한다.
게이트웨이의 가장 잘 알려진 예는 유선 랜(LAN)이나 무선 랜을 인터넷이나 다른 원거리 통신망(WAN)에 연결하는 것이다. 이 경우 게이트웨이는 랜을 제공자가 지정하는 네트워크에 연결함으로써 소정의 장치를 인터넷에 연결할 수 있게 된다.
기존의 PC, 노트북, 스마트폰, 태블릿 등과 같이 고성능 연산 능력을 갖는 기기들에 연결되는 게이트웨이는 이들 기기를 단순히 인터넷에 연결하는 역할을 수행하였다. 반면, 이제는 연산 능력이 매우 떨어지는 저사양 및 저가의 소형 IoT 기기들이 대거 게이트웨이에 연결되고, 양방향 데이터 통신을 위해 중계 기능을 수행하는 IoT 게이트웨이가 서버와 사용자 단말기를 연결하기 위해 데이터 전송 프로토콜 변환 기능을 수행하면서 기존의 게이트웨이와는 다른 역할을 담당하게 되었다.
IoT 기기들은 대부분 무선 인터페이스를 통해 휴대폰이나 게이트웨이와 통신을 하게 되는데, 종래의 게이트웨이는 기존의 PC, 노트북, 스마트폰, 태블릿 등과 비교하여 연산 능력이 떨어지고, 동일 수준의 해킹 공격에 의해 무너질 가능성이 매우 높다.
IoT 기기는 손목워치나 건강용 웨어러블 기기, CCTV처럼 많은 개인정보를 가지거나, 산업용의 경우 해킹을 당하게 되면, 커다란 재해가 생길 수도 있다. 그렇다고 기존과 비교도 되지 않을 만큼 엄청난 숫자의 IoT 기기들을 모두 PC, 노트북, 스마트폰, 태블릿 등과 같이 고성능 기기로 만들 수 없기 때문에, 상당 부분의 보안 성능을 게이트웨이가 담당해 주어야 하며 이에 대한 연구와 개발이 이루어지고 있다.
이와 관련하여 IoT의 사용과 관련한 보안 기술의 연구와 개발이 이루어지고 있으나, IoT의 보안 관제 시스템의 개발은 아직 미흡한 상태이다.
구체적으로, 현재의 암호 기술은 크게 대칭 키(Symmetric Key) 기술과 비대칭 키(Asymmetric Key) 기술로 나눌 수 있다. 대칭 키 기술은 암호화 키와 복호화 키가 동일한 방식으로 대체로 키 길이가 짧고 수행 시간이 빠른 장점이 있으나 네트워크를 통해 상대방에게 키를 전달해야 하며 이 과정에서 해킹을 당할 수 있는 단점이 있다. 비대칭 키 기술은 암호화를 위한 공개키와 복호화를 위한 개인키(또는 비밀키)가 서로 다른 방식으로 네트워크를 통해 개인키를 상대방에게 전달하는 것을 회피할 수 있는 장점이 있으나 동일한 성능을 위해 대칭 키에 비해 키 길이가 길고 처리속도가 느린 단점이 있다.
또한 기존의 비대칭 키 기술 중 인증서 기반의 공개키 기반 구조(PKI, Public Key Infrastructure)는 공개키와 개체의 신원 정보(Identity)를 연계하기 위해 제3의 인증기관(CA, Certification Authority)에 의존하고 당사자가 인증기관(CA)을 통해 인증할 필요가 있는 경우 방대한 양의 네트워크 정보 유통을 개시시키는 대용량의 온라인 인증 데이터베이스(예, 경량 디렉토리 접근 프로토콜(LDAP, Lightweight Directory Access Protocol) 기반의 인증 데이터베이스) 지원이 필요한 단점이 있다. 만일, 중앙집중식의 인증기관(CA)에서 보안이 취약해지는 상황이 발생하는 경우 시스템 전체의 보안에 부정적인 영향을 미치는 단일실패점(Single Point of Failure)이 될 수 있다.
인증서 기반의 공개키 기반 구조(PKI)가 지닌 문제점을 해결하기 위해 어떤 독립 개체의 신원 정보(Identity)를 공개키로 이용하는 새로운 방식의 비대칭 키 기술인 신원 기반 보안 기법(IBC, Identity Based Cryptography)을 적용한 보안 시스템은 개인키 생성기(PKG, Private Key Generator)의 초기 설정 단계에서 보안 시스템에 공통적으로 적용하는 시스템 파라미터(SysParam, System Parameters)를 선택하여 설정하고 마스터 비밀키(MSK, Master Secret Key)를 생성하여 개인키 생성기(PKG)에 안전하게 저장 관리하며, 시스템 파라미터(SysParam)와 마스터 비밀키(MSK)를 이용하여 마스터 공개키(MPK, Master Public Key)를 유도할 수 있다.
또한 개인키 생성기(PKG)는 시스템 파라미터(SysParam)와 마스터 공개키(MPK)가 구성 요소로 결합되어 이루어진 공개 파라미터(PubParam, Public Parameters)를 구성하여 해당 보안 시스템을 이용하는 개체들과 공유하며, 각각의 개체를 고유하게 식별하기 위해 사전에 등록된 개체 식별자(ID, Identifier)와 공개 파라미터(PubParam) 및 마스터 비밀키(MSK)를 이용하여 개체 ID 기반의 개인(비밀) 키(PRK, Private Key)를 생성하여 해당 개체에 안전하게 제공하고, 해당 개체는 제공받은 개인키(PRK)를 안전하게 저장 관리한다.
개체 ID와 공개 파라미터(PubParam)를 획득한 어떤 개체든지 해당 개체 ID 기반의 공개키(PUK, Public Key)를 유도할 수 있도록 구현됨으로써 개체 ID가 해당 개체의 공개키(PUK)로 이용 가능하고, 특정 개체의 신원 정보(Identity)에 속하는 개체 ID가 공개키(PUK)로 대신 이용되는 경우 기존의 인증기관(CA) 기반 공개키 기반 구조(PKI)와 달리 제3 인증기관(CA)의 인증서가 불필요하다는 장점이 있다, 특히 통신 대역폭이 좁고 전송 데이터 패킷 단위가 작은 개인 영역 네트워크(PAN, Personal Area Network)에 접속되는 기기 수가 증가하는 추세를 따라 적절한 수준의 보안 성능을 유지하는 것이 중요한 사물인터넷에서, 신원 기반 보안 기법(IBC)은 간단한 키 관리 방식과 효율적인 보안 구현 및 적용이 가능한 바람직한 기술이다.
한편, 종래의 신원 기반 암호화(IBC) 시스템에서는 사용자 단말기와 IoT 기기 및 게이트웨이를 포함하는 임의 개체의 개인키(PRK)를 생성하기 위한 중앙집중식 개인키 생성기(PKG)가 필요하며, 개인키 생성기(PKG)는 임의 개체의 개인키(PRK)를 생성하여 제공되는 그 개인키(PRK)를 알고 있으므로 모든 개체는 개인키 생성기(PKG)가 자신의 개인키(PRK)를 오용하지 않을 것이라는 신뢰를 가져야 한다. 따라서 종래의 신원 기반 보안(IBC) 시스템은 기존의 제3의 인증기관(CA) 기반 공개키 기반 구조(PKI)의 단일실패점(Single Point of Failure)과 유사한 약점을 지닌다.
종래의 신원 기반 보안(IBC) 시스템이 지닌 약점인 중앙 집중화 및 단일실패점을 해소하기 위해 분산 원장 기술을 이용한 블록체인 기반의 신원 기반 보안(IBC) 시스템을 구성하고 각 개체가 개인키(PRK)를 직접 생성하도록 개인키 생성기(PKG)에 대해 사용자 중심으로 분산된 권한(Distributed Authority)을 부여하는 방식으로 구현할 필요가 있다. 또한 임의 개체가 계산 역량, 저장 공간 등의 제약 조건으로 인하여 직접 자신의 개인키(PRK)를 생성하지 못하는 IoT 기기인 경우 신뢰할 수 있는 다른 개체(일례로, 해당 IoT 기기의 소유자 등)에 위임할 필요가 있다.
한편, 종래의 블록체인 기반의 신원 기반 보안(IBC) 시스템에 적용된 블록체인 기술은 다수의 물리적 개체가 노드로 참여하고 인터넷과 같은 물리적 네트워크로 연결된 통상의 블록체인(PB, Physical Blockchain) 기술이다. 일례로 단독 가옥, 창고 등의 개별 출입관리시스템인 경우 블록체인 네트워크에 연결된 노드 수가 IoT 게이트웨이 1개와 디지털 도어록 1개 내지 수개에 불과한 경우 블록체인의 해킹방지 효과는 크게 기대하기 어렵다. 더구나 출입관리시스템이 실시간으로 작동하거나 지연 시간에 민감한 서비스라는 특성을 고려하면, IoT 게이트웨이에 연결된 블록체인 네트워크가 고장 나거나 불안정한 상태에서 통신 두절 또는 지연으로 외부 노드 간에 합의 알고리즘, 디지털 서명의 검증, 인증, 인가 등의 보안 기능이 원활하게 이루어지지 않는 경우 디지털 도어록의 작동 불능 또는 장시간 지연 등의 장애 상황이 발생할 수 있으므로 상용화 및 확산에 심각한 걸림돌이 될 수 있다.
대한민국 등록특허공보 10-1997673(2019.07.08. 공고) 대한민국 등록특허공보 10-1769442(2017.08.30. 공고) 대한민국 공개특허공보 10-2019-0136364(2019.12.10. 공개) 대한민국 공개특허공보 10-2011-0060859(2011.06.08. 공개)
상기한 종래의 문제점을 해결하기 위하여 안출된 본 발명은, IoT 기기 및 게이트웨이 내부에 다수의 가상 개체를 형성하여 가상 노드로 하고 이들 가상 노드들 간에 블록체인 망을 구성함으로써 형성되는 가상 블록체인(VB)에 기반한 신원 기반 보안 기법(IBC)을 이용하여, 중앙집중식 제3의 인증기관(CA) 또는 중앙집중식 개인키 생성기(PKG) 개입 없이 IoT 기기와 IoT 게이트웨이 당사자 간에 인증/인가를 통한 접근제어 및 통신 보안을 구현함으로써 연산 능력이 부족한 IoT 기기의 통신 보안을 구축하고, IoT 기기 및 게이트웨이와 데이터를 해킹 위협으로부터 보호할 수 있어 정보 보안을 극대화할 수 있는, 가상 블록체인(VB)에 기반한 신원 기반 보안 기법(IBC)을 이용한 IoT 기기용 게이트웨이의 보안 구축 시스템 및 방법을 제공하는 데에 목적이 있다.
본 발명의 해결 과제는 이상에서 언급한 것들에 한정되지 않으며, 언급되지 아니한 다른 해결 과제들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
본 발명에 따른 가상 블록체인 기반의 신원 기반 보안 기법을 이용한 게이트웨이의 보안 구축 시스템은, 가상 블록체인 기반의 신원 기반 보안 기법을 이용하는 게이트웨이의 보안 구축 시스템에 있어서, 유무선 통신 모듈; 상기 게이트웨이에 식별자(ID), 개인키 정보를 포함하는 속성 정보를 가진 적어도 하나 이상의 가상 노드를 형성하고, 미리 정해진 합의 알고리즘에 따라 상기 가상 노드 간에 합의가 이루어진 트랜잭션 데이터 블록을 상기 가상 노드에 분산 원장으로 저장 관리하도록 이루어지는 가상 블록체인 구성부; 상기 가상 노드와 이웃하는 가상 노드들 간에 네트워크로 연결되는 가상 블록체인 망: 및 상기 신원 기반 보안 기법을 이용하는 디지털 전자 기기와 인증과 인가를 통한 접근 제어를 포함하는 보안 기능을 수행하는 보안 모듈을 포함한다.
바람직하게는, 상기 보안 모듈은, 개인키 생성기로부터 제공되는 게이트웨이 개인키(PRK_GW)와 공개 파라미터(PubParam) 그리고 게이트웨이 식별자(ID)를 저장하고, 상기 개인키 생성기는, 보안 계산을 위해 적용할 시스템 파라미터(SysParam)를 설정하고, 소정의 마스터 비밀키(MSK)와 상기 시스템 파라미터(SysParam)를 이용하여 마스터 공개키(MPK)를 유도하고, 상기 시스템 파라미터(SysParam)와 상기 마스터 공개키(MPK)를 결합하여 이루어진 공개 파라미터(PubParam)를 생성하고, 상기 가상 블록체인 망에 연결된 디지털 전자 기기에 상기 공개 파라미터(PubParam)를 배포하고, 상기 디지털 전자 기기에 대하여 식별자(ID) 기반의 개인키(PRK)를 생성하여 제공할 수 있다.
바람직하게는, 상기 디지털 전자 기기는, 상기 디지털 전자 기기의 식별자(ID), 및 상기 공개 파라미터(PubParam)를 포함하는 트랜잭션 데이터 블록을 구성하여 상기 가상 노드에 배포하고, 상기 가상 노드에 배포된 상기 트랜잭션 데이터 블록에 대해 정해진 합의 알고리즘에 따라 상기 트랜잭션 데이터 블록의 합의 여부를 판단하고, 상기 가상 노드의 분산 원장에 상기 트랜잭션 데이터 블록을 저장할 수 있다.
바람직하게는, 상기 디지털 전자 기기는, 해당 디지털 전자 기기의 식별자(ID) 및 식별자(ID) 기반의 디지털 전자 기기 개인키(PRK)를 이용하여 상호 간 접속 요청 및 검증을 통해 상호 연결되는 디바이스 접근 제어를 수행하고, 상기 디바이스 접근 제어는 피접속 디지털 전자 기기의 식별자, 공개 파라미터 및 자신의 개인키를 이용하여 생성될 수 있다.
바람직하게는, 상기 개인키 생성기는, 무작위 난수를 생성하여 비밀 파라미터로 설정하는 기능; 상기 비밀 파라미터에 기반하여 마스터 비밀키를 생성하는 기능; 상기 마스터 비밀키와 소정의 시스템 파라미터를 이용하여 마스터 공개키를 유도하는 기능; 및 상기 시스템 파라미터와 상기 마스터 공개키가 결합된 공개 파라미터와 상기 마스터 비밀키를 상기 보안 모듈에 저장하는 기능을 수행할 수 있다.
바람직하게는, 상기 디지털 전자 기기는 무작위 비밀수 1을 생성하고, 자신의 개인키로 상기 무작위 비밀수 1에 대하여 서명하여 디지털 전자 기기 서명을 생성하고, 상기 무작위 비밀수 1, 디지털 전자 기기 식별자, 및 상기 디지털 전자 기기 서명을 이용하여 상기 접속 요청 메시지를 구성하고, 피접속 디지털 전자 기기의 식별자(ID)와 공개 파라미터를 이용하여 암호화하고, 상기 피접속 디지털 전자 기기로 암호화된 접속 요청 메시지를 전송하고, 상기 피접속 디지털 전자 기기는 상기 암호화된 접속 요청 메시지를 자신의 개인키를 이용하여 복호화하고, 복호화된 접속 요청 메시지를 구성하는 디지털 전자 기기 식별자를 이용하여 디지털 전자 기기 서명을 복호화한 결과값과 상기 무작위 비밀수 1을 비교하여 인증을 검증할 수 있다.
바람직하게는, 상기 검증이 통과되면, 상기 피접속 디지털 전자 기기는 무작위 비밀수 2를 생성하고, 자신의 개인키로 상기 무작위 비밀수 2에 대해 서명하여 피접속 디지털 전자 기기 서명을 생성하고, 상기 무작위 비밀수 2, 게이트웨이 식별자, 피접속 디지털 전자 기기 서명으로 검증 결과 메시지를 구성하고, 상기 디지털 전자기기 식별자와 공개 파라미터를 이용하여 암호화하고 전송할 수 있다.
바람직하게는, 상기 디지털 전자 기기는, 자신의 개인키를 이용하여 송신 메시지에 서명하여 디지털 전자 기기 서명을 생성하고, 상기 송신 메시지, 디지털 전자 기기 서명, 디지털 전자 기기 식별자, 및 시변적 파라미터를 이용하여 접속 요청 토큰을 생성하고, 피접속 디지털 전자 기기의 식별자와 공개 파라미터를 이용하여 암호화하고 암호화된 접속 요청 토큰을 상기 피접속 디지털 전자 기기로 전송할 수 있다.
바람직하게는, 상기 피접속 디지털 전자 기기는, 상기 암호화된 접속 요청 토큰을 자신의 개인키를 이용하여 복호화하고, 상기 접속 요청 토큰의 시변적 파라미터의 유효성을 판단하고, 상기 접속 요청 토큰의 디지털 전자 기기 서명의 유효성을 검증하고, 상기 접속 요청 토큰의 시변적 파라미터의 최신성을 검증할 수 있다.
바람직하게는, 상기 통신 모듈은, BLE, Z-Wave, Zigbee를 포함하는 개인 영역 통신망(PAN) 통신 프로토콜 중 적어도 한 가지 이상을 지원하거나, LoRa, Sigfox, NB-IoT를 포함하는 저전력 광역 통신망(LPWAN) 통신 프로토콜 중 적어도 한 가지 이상을 포함하거나, WiFi, Ethernet를 포함하는 근거리 통신망(LAN) 통신 프로토콜 중 적어도 한 가지 이상을 포함하거나, RS-232, RS-485를 포함하는 직렬 통신 프로토콜 중 적어도 한 가지 이상을 포함한다.
또한, 본 발명에 따른 가상 블록체인 기반의 신원 기반 보안 기법을 이용한 게이트웨이의 보안 구축 방법은, 가상 블록체인 기반의 신원 기반 보안 기법을 이용하는 게이트웨이의 보안 구축 방법에 있어서, 개인키 생성기(PKG)가 시스템 파라미터(SysParam)와 마스터 공개키(MPK)를 결합하여 이루어진 공개 파라미터(PubParam)를 생성하고, 상기 신원 기반 보안 기법을 이용하는 디지털 전자 기기에 상기 공개 파라미터(PubParam)를 배포하는 단계; 상기 디지털 전자 기기는 문자열(string) 형식의 디지털 전자 기기 식별자(ID)를 ID 등록 서버(IPS)에 등록하는 단계; 상기 가상 블록체인이 구현된 디지털 전자 기기는 상기 공개 파라미터, 및 디지털 전자 기기 식별자를 포함하는 트랜잭션 데이터 블록을 구성하고, 가상 블록체인 노드에 배포하여 정해진 합의 알고리즘에 따라 트랜잭션 데이터 블록의 합의 여부를 판단하는 단계; 및 합의가 이루어진 상기 트랜잭션 데이터 블록을 상기 가상 블록체인이 구현된 디지털 전자 기기에 배포하여 분산원장으로 저장하는 단계를 포함한다.
바람직하게는, 상기 디지털 전자 기기는 디바이스 접근 제어 단계를 더 수행하고, 상기 디바이스 접근 제어 단계는, 상기 디지털 전자 기기가 무작위 비밀수 1을 생성하고, 자신의 개인키로 상기 무작위 비밀수 1에 대하여 서명하여 디지털 전자 기기 서명을 생성하고, 상기 무작위 비밀수 1, 디지털 전자 기기 식별자, 및 상기 디지털 전자 기기 서명으로 상기 접속 요청 메시지를 구성하여 피접속 디지털 전자 기기의 식별자 및 공개 파라미터를 이용하여 암호화하고 암호화된 접속 요청 메시지를 전송하는 단계; 및 상기 피접속 디지털 전자 기기는 상기 암호화된 접속 요청 메시지를 자신의 개인키를 이용하여 복호화하고, 복호화된 접속 요청 메시지를 구성하는 디지털 전자 기기 식별자 및 공개 파라미터를 이용하여 디지털 전자 기기 서명을 복호화한 결과값과 상기 무작위 비밀수 1을 비교하여 인증을 검증하는 단계를 포함한다.
바람직하게는, 상기 검증이 통과되면, 상기 피접속 디지털 전자 기기는 무작위 비밀수 2를 생성하고, 자신의 개인키로 상기 무작위 비밀수 2에 대해 서명하여 피접속 디지털 전자 기기 서명을 생성하고, 상기 무작위 비밀수 2, 피접속 디지털 전자 기기 식별자, 피접속 디지털 전자 기기 서명으로 검증 결과 메시지를 구성하고, 디지털 전자 기기 식별자 및 공개 파라미터를 이용하여 암호화하고 상기 디지털 전자 기기로 암호화된 검증 결과 메시지를 전송하는 단계를 더 포함할 수 있다.
바람직하게는, 상기 디지털 전자 기기는, 특정 송신 메시지에 자신의 개인키(PRK)로 서명하여 디지털 전자 기기 서명을 생성하고, 상기 송신 메시지, 디지털 전자 기기 서명 및 시변적 파라미터(TVP)를 이용하여 접속 요청 토큰을 생성하여 상기 피접속 디지털 전자 기기의 식별자와 상기 공개 파라미터를 이용하여 상기 접속 요청 토큰을 암호화하고 피접속 디지털 전자 기기로 전송하는 단계를 더 포함할 수 있다.
바람직하게는, 상기 피접속 디지털 전자 기기는, 상기 암호화한 접속 요청 토큰을 수신하여 자신의 개인키로 복호화하고, 상기 접속 요청 토큰의 시변적 파라미터의 유효성을 판단하고, 상기 접속 요청 토큰의 디지털 전자 기기 서명의 유효성을 검증하고, 상기 접속 요청 토큰의 시변적 파라미터의 최신성을 검증하는 단계를 더 포함할 수 있다.
본 발명에 따른 가상 블록체인에 기반한 신원 기반 보안 기법을 이용한 IoT 기기용 게이트웨이의 보안 구축 방법은 다음과 같은 효과를 제공한다.
첫째, 중앙집중식의 제3의 인증기관(CA)이 발행하는 인증서가 불필요한 본 발명은 신원 기반 보안 기법(IBC)을 가상 블록체인 기반으로 구현함으로써 게이트웨이와 IoT 기기 당사자 간에 신속하고 안전한 인증 및 인가를 통한 접근제어가 가능하므로 P2P 분산화가 구현된다. 특히 개인키 생성기(PKG)에 대하여 사용자 중심으로 분산된 권한이 부여되는 경우 상기 권한을 부여받은 사용자(또는 관리자)가 소유(또는 관리)하는 게이트웨이와 IoT 기기를 포함하는 디바이스(예, 디지털 도어록, IoT 센서, 사용자 스마트폰 등) 개인키(PRK)를 제3의 인증기관(CA)에 의존하지 않고 사용자 스스로 생성하여 비공개로 안전하게 저장 관리함으로써 기존의 인증기관(CA) 기반 PKI의 단일실패점(Single Point of Failure)과 유사한 문제를 해결할 수 있다.
둘째, 본 발명은 인터넷과 같은 외부의 물리적 통신망에 연결되는 통상의 블록체인과 달리 게이트웨이 내부에 구현되는 가상 블록체인 망에 연결된 신뢰할 수 있는 가상 노드 간에 처리 속도가 빠른 합의 알고리즘(예, PBFT, PoA, 정책 기반 알고리즘 등)을 적용하는 경우 신속하게 트랜잭션의 승인 여부를 결정하므로 인터넷과 같은 물리적 통신망의 고장 또는 장애로 인한 작동 불능 또는 장시간 지연 등의 문제가 발생하지 않고 IoT 기기(예, 디지털 도어록)와 게이트웨이가 연결된 출입관리시스템과 같은 실시간 응용시스템 또는 시간 지연에 민감한 보안 시스템에 블록체인 기술을 실효적으로 적용 가능하다.
셋째, 본 발명은 게이트웨이와 IoT 기기에 기상 블록체인 기반의 신원 기반 보안(IBC) 기법을 함께 적용함으로써, 연산처리 속도가 낮은 저사양, 소형, 저전력, 저가의 IoT 기기에 비인가자의 접근을 게이트웨이와 연계하여 신속하고 효율적으로 사전에 차단하고 해킹을 방지하는 등 통상의 블록체인 수준의 강화된 보안성을 상대적으로 취약한 IoT 기기에 적용할 수 있다.
넷째, 본 발명은 통상의 블록체인 기술과 달리 가상 블록체인 기술을 활용하여 외부에 노드로 연결되는 물리적인 개체가 전혀 없이 독립된 게이트웨이 단독으로 운영되는 경우에도 내부에 구현된 다수의 가상 노드에 통상의 블록체인 수준의 비인가자 접근을 방지할 수 있는 보안성을 확보할 수 있으므로, 단독 가옥의 스마트홈 게이트웨이, 사무실, 창고 등의 출입관리시스템의 게이트웨이, 개인 단말기(스마트폰, 태블릿. 스마트위치, 노트북, PC 등)의 비인가자 접근제어 게이트웨이, 처리 시간 지연이 문제가 되는 자율주행자동차 등의 엣지(Edge) 게이트웨이, 데이터가 집중되는 클라우드의 게이트웨이, 통신이 열악한 전시 작전에 투입된 군 장비 등 통상의 블록체인 망 연결이 어려운 환경에서 독립적으로 운영되는 다양한 장비에 확대 적용할 수 있다.
다섯째, 가상 블록체인이 내장형으로 구현된 IoT 게이트웨이가 실제 개체들이 연결되는 통상의 블록체인 네트워크(메인넷)의 노드로 연결되는 이중 블록체인 기반의 IoT 플랫폼을 구축하는 경우 통상의 블록체인 네트워크(메인넷)이 고장 나거나 불안정한 상황이 감지되면, 가상 블록체인 내장형 IoT 게이트웨이는 안전 모드(Safe Mode)로 전환하여 내부의 가상 블록체인 네트워크를 이용하여 신속하고 안전한 인증 인가 등의 보안 서비스를 통해 비인가자의 접근을 차단하고 해킹과 프라이버시 침해를 방지할 수 있다.
본 발명의 효과는 이상에서 언급된 것들에 한정되지 않으며, 언급되지 아니한 다른 해결과제들은 아래의 기재로부터 당업자에게 명확하게 이해되어 질 수 있을 것이다.
도 1은 본 발명의 일실시예에 따른 가상 블록체인에 기반한 IoT 기기용 게이트웨이의 보안 구축 시스템 개략도,
도 2는 본 발명의 일실시예에 따른 가상 블록체인에 기반하여 도커 컨테이너 가상화 방식으로 구현되는 게이트웨이 구성도,
도 3은 본 발명의 일실시예에 따른 가상 블록체인이 탑재된 게이트웨이가 통상의 블록체인 노드로 연결되는 이중 블록체인 플랫폼 구조도,
도 4는 본 발명의 일실시예에 따른 가상 블록체인에 기반한 신원 기반 보안기법을 이용한 IoT 기기용 게이트웨이 보안 구축 흐름도,
도 5는 본 발명의 일실시예에 따른 가상 블록체인에 기반한 신원 기반 보안 기법을 이용한 IoT 기기용 게이트웨이 보안 구축을 위한 마스터 키 생성 절차도,
도 6는 본 발명의 일실시예에 따른 가상 블록체인에 기반한 신원 기반 보안기법을 이용한 IoT 기기와 게이트웨이 간 접속요청 및 검증 절차도, 및
도 7은 본 발명의 일실시예에 따른 게이트웨이에서의 IoT 기기의 접속요청 토큰 검증 절차도이다.
본 발명의 추가적인 목적들, 특징들 및 장점들은 다음의 상세한 설명 및 첨부도면으로부터 보다 명료하게 이해될 수 있다.
본 발명의 상세한 설명에 앞서, 본 발명은 다양한 변경을 도모할 수 있고, 여러 가지 실시 예를 가질 수 있는바, 아래에서 설명되고 도면에 도시된 예시들은 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.
본 명세서에서 사용한 용어는 단지 특정한 실시 예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도는 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 명세서에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
또한, 명세서에 기재된 "...부", "...유닛", "...모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.
또한, 첨부 도면을 참조하여 설명함에 있어, 도면 부호에 관계없이 동일한 구성 요소는 동일한 참조부호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다. 본 발명을 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다.
또한, 본원 명세서 전체에서, 어떤 단계가 다른 단계와 "상에" 또는 "전에" 위치하고 있다고 할 때, 이는 어떤 단계가 다른 단계와 직접적 시계열적인 관계에 있는 경우 뿐만 아니라, 각 단계 후의 혼합하는 단계와 같이 두 단계의 순서에 시계열적 순서가 바뀔 수 있는 간접적 시계열적 관계에 있는 경우와 동일한 권리를 포함한다.
이하, 본 발명의 바람직한 실시 예에 따른 본 발명에 따른 가상 블록체인에 기반한 신원 기반 보안 기법을 이용한 IoT 기기용 게이트웨이의 보안 구축 방법 및 IoT 기기용 게이트웨이의 보안 구축 시스템에 대하여 첨부 도면을 참조하여 상세히 설명한다.
이하에서는 IoT 기기는 디지털 도어록에 적용하고 개인 영역 통신망(PAN)은 BLE(Bluetooth Low Energy)에 적용하여 설명하기로 한다.
도 1은 본 발명의 일실시예에 따른 가상 블록체인에 기반한 IoT 기기용 게이트웨이의 보안 구축 시스템 개략도이다.
도 1에 나타낸 바와 같이, 본 발명에 따른 가상 블록체인에 기반한 신원 기반 보안 기법을 이용한 게이트웨이(100)의 보안 구축 시스템은, 크게 통신모듈(110); 가상 블록체인 구성부(120); 가상 블록체인 망(130); 보안 모듈(140); 및 데이터 저장부(150)를 포함한다.
통신모듈(110)은 게이트웨이(100)에 구비되고 IoT 기기(200)와 유무선 통신한다. 한편, 본 발명의 일실시예에 따른 통신 모듈은, BLE, Z-Wave, Zigbee를 포함하는 개인 영역 통신망(PAN) 통신 프로토콜 중 한 가지 이상을 지원할 수 있다. 또한, 본 발명의 다른 실시예에 따른 통신 모듈은, LoRa, Sigfox, NB-IoT를 포함하는 저전력 광역 통신망(LPWAN) 통신 프로토콜 중 한 가지 이상을 포함할 수 있다. 또한, 본 발명의 또 다른 실시예에 따른 통신 모듈은, WiFi, Ethernet를 포함하는 근거리 통신망(LAN) 통신 프로토콜 중 한 가지 이상을 포함할 수 있다. 또한, 본 발명의 또 다른 실시예에 따른 상기 통신 모듈은, RS-232, RS-485를 포함하는 직렬 통신 프로토콜 중 한 가지 이상을 포함할 수 있다.
가상 블록체인 구성부(120)는 IoT 기기(200)에 대한 가상 노드(소프트웨어 가상 노드)를 게이트웨이(100)에 형성시키며, 상기 가상 노드 간을 P2P 네트워크로 연결하여 가상 블록체인 망(130)을 형성시켜 게이트웨이 식별자(ID_Gateway), 게이트웨이 속성정보(Attributes_Gateway), IoT 기기 식별자(ID_Device), IoT 기기 속성정보(Attributes_Device), 공개 파라미터(PubParam), IoT 기기(200)로부터의 데이터, 이벤트 정보, 사용자(접속자) 정보 중 적어도 어느 하나가 암호화되어 가상 블록체인 망의 가상 노드에 분산 원장(가상 블록체인)으로 저장 관리한다.
한편, 가상 블록체인 구성부(120)는 공통적으로 필요한 소정의 요구 조건을 만족하도록 가상 노드를 형성하고 블록체인 망으로 연결한다. 여기서, 소정의 요구 조건이라 함은 ID 기반 보안(IBC) 기법 관련 기능 수행, 합의 알고리즘 수행, 분산원장으로 블록체인 저장 등일 수 있다.
그리고 가상 블록체인 구성부(120)는, 미리 설정된 숫자(개수)의 가상 노드를 형성하고 필요 시 신규로 가상 노드를 생성하여 추가하거나 비활성화 상태의 가상 노드를 활성화시켜 가상 노드를 추가할 수 있다.
예시적으로, 가상 블록체인 구성부(120)는 가상 블록체인을 형성함에 있어 가상머신(VM, Virtual Machine) 방식 또는 도커 컨테이너(Docker Container) 가상화 방식을 통해 가상 블록체인을 형성할 수 있으며, 바람직하게는 도커 컨테이너 가상화 방식이 적용되어 형성하는 것이 바람직하다.
구체적으로, 가상 블록체인 구성부(120)는, 하이퍼바이저(Hypervisor)를 사용하는 일반적인 가상머신(VM) 방식으로 가상 블록체인을 구현할 수 있다. 이 가상머신 방식은 서버, PC와 데스크톱, 임베디드 시스템(예, 스마트폰, IoT 게이트웨이) 등에 사용되는 하이퍼바이저(가상화를 전담하는 소프트웨어)를 설치하고 그 위에 애플리케이션(Application) 구동 환경별로 게스트 운영체제(Operating System, OS)가 설치되어 가상화하는 방식으로 구현될 수 있다.
또는, 가상 블록체인 구성부(120)는, 가상 블록체인은 서버, PC와 데스크톱, 임베디드 시스템(예, 스마트폰, IoT 게이트웨이) 등에서 동일 호스트 운영체제(OS) 상에 컨테이너를 관리하는 플랫폼(소프트웨어)인 도커(Docker)가 설치되고 그 위에 각각의 격리된 구조의 컨테이너가 응용 프로그램(예, 가상 블록체인을 지원하는 App 등)과 구동 환경(예, 호스트 운영제체(OS)와 커널을 공유하는 가상화된 운영체제(OS) 등)으로 구성되는 도커 컨테이너 가상화 방식으로 가상 블록체인을 구현할 수 있다. 이 도커 컨테이너 가상화 방식은 크기가 MB(메가 바이트) 단위로 작아질 수 있어 가상화되는 소프트웨어 노드(가상 노드)의 숫자(또는 개수)를, 하나의 프로세싱에 구현하는 가상머신(VM)에 비해 획기적으로 늘릴 수 있고 컨테이너에 부팅이 필요한 별도의 운영체제(OS)가 없어서 가볍고 빨라서 바람직하다.
한편 가상 블록체인 구성부(120)는 상기 가상머신 방식 및 도커 컨테이너 가상화 방식 이외에도, 여하의 가상화 방식을 통한 가상 블록체인이 적용될 수 있음을 물론이다.
가상 블록체인 구성부(120)는 보안 모듈(140)로부터 제공받은 게이트웨이 ID(ID_G/W)와 공개 파라미터(PubParam)를 포함하여 가상 노드에 분산원장으로 저장하고 공유할 필요가 있는 트랜잭션 데이터를 블록으로 구성하고, 해당 게이트웨이(100) 내 가상 블록체인 망(130)에 연결된 가상 노드에 상기 블록을 배포하여 미리 정해진 합의 알고리즘에 따라 합의가 이루어진 경우, 해당 블록은 가상 블록체인 망(130)에 연결된 모든 가상 노드 간에 공유되도록 배포되고 블록체인 분산원장으로 저장 관리된다. 여기서, 본 발명에 따른 합의 알고리즘은 토큰 기반 합의 프로토콜, 경량 암호 합의 프로토콜, 가변 암호 합의 프로토콜, 정책 기반 합의 프로토콜 중 어느 하나 또는 이들의 결합을 이용하여 블록을 구성하는 트랜잭션의 유효성을 입증하는 프로토콜을 포함할 수 있다.
가상 블록체인 망(130)은 가상 블록체인 구성부(120)를 통해 생성된 다수의 가상 노드 간에 P2P 네트워크로 연결되는 방식으로 이루어질 수 있다. 여기서, 가상 노드는 적어도 트랜잭션 데이터로 구성되는 블록에 대해 정해진 합의 알고리즘을 수행하는 응용 프로그램과 합의가 이루어진 블록을 분산원장으로 저장 관리하는 메모리에 의해 구현될 수 있다. 예컨대, 가상 블록체인 망(130)은 게이트웨이(100)에 미리 가상 노드 131, 132, 133(미리 설정된 수의 가상 노드)를 형성하고, 필요 시 가상 노드 134, 135(추가 형성된 가상 노드)가 추가되어 구성되며, 미리 설정된 가상 노드와 추가 노드를 가상 블록체인 망으로 연결하도록 이루어진다.
보안 모듈(140)은 블록체인 기반의 신원 기반 보안 기법(IBC)에 따른 보안 기능을 수행하기 위한 것으로, IoT 기기(200)와 게이트웨이(100) 간에 신원 기반 보안 기법으로 인증, 인가, 디지털 서명, 검증, 암호화, 복호화 등의 보안 기능을 수행한다.
보안 모듈(140)은 게이트웨이 개인키(PRK_G/W), 게이트웨이 ID(ID_G/W)와 공개 파라미터(PubParam)를 저장 관리하고, 게이트웨이 ID(ID_G/W)와 공개 파라미터(PubParam)를 정해진 절차에 따라 해당 게이트웨이(100) 내 가상 블록체인 망(130)에 연결된 모든 가상 노드에 블록체인 분산원장으로 저장 관리하고, 공유될 수 있도록 가상 블록체인 구성부(120)에 제공한다.
또한, 보안 모듈(140)은 게이트웨이 ID(ID_G/W), 게이트웨이 개인키(PRK_G/W) 및 공개 파라미터(PubParam)을 이용하여 디지털 서명 및 검증, 데이터의 암호화 및 복호화, 디바이스 접근제어(Access Control) 등의 보안 서비스를 제공한다.
데이터 저장부(150)는 가상 블록체인의 분산원장에 저장할 필요가 없거나 저장이 어려운 데이터, 분산원장에 저장된 데이터 중 백업(backup)이 필요한 데이터 등을 저장 및 관리한다.
한편, 게이트웨이는, 개인 영역 네트워크(PAN), 저전력 광역 네트워크(LPWAN), WiFi, 이더넷(Ethernet)을 포함하는 통신 프로토콜의 일부 또는 전부를 지원하는 인터페이스를 갖춘 스마트폰, 태블릿 컴퓨터, PC, 노트북 등을 포함하는 스마트 기기에 구현될 수 있다.
도 2는 본 발명의 일실시예에 따른 가상 블록체인에 기반하여 도커 컨테이너 가상화 방식으로 구현되는 게이트웨이 구성도로서, 도커 컨테이너 가상화 방식으로 구현되는 게이트웨이(100)는 각각의 컨테이너에 포함된 App(A, B, C, D, E, F)을 통해 가상 블록체인 망(130)에 연결되는 가상 노드로서의 트랜잭션 데이터 블록에 대해 미리 정해진 합의 알고리즘을 실행하고, 합의된 블록을 분산원장으로 저장 및 관리할 수 있다.
도 3은 본 발명의 일실시예에 따른 가상 블록체인이 탑재된 게이트웨이가 통상의 블록체인 노드로 연결되는 이중 블록체인 플랫폼 구조도이다.
본 발명의 일 실시예에 따르면, 스마트 홈 시스템이 구비된 개별 주택에서 디지털 도어록, 월패드, 가전제품 등의 IoT 기기가 개인 영역 네트워크(PAN: BLE, Z-Wave, Zigbee 등)를 통해 연결되고, 사용자 스마트폰 등이 LAN(예: WiFi 등)으로 연결되는 홈 게이트웨이에 가상 블록체인이 내장되어 구현되고, 가상 블록체인이 구현된 복수의 홈 게이트웨이가 통상의 블록체인 네트워크(메인넷)의 노드로 연결되는 아파트 단지의 경우 이중 블록체인 기반으로 이루어질 수 있다.
가상 블록체인은 클라우드(Cloud)와 포그(Fog) 및 엣지(Edge), 서버, PC 및 데스크톱, 임베디드 디바이스(스마트폰, 태블릿 컴퓨터, IoT 게이트웨이 등) 내부에 가상머신(VM) 또는 도커 컨테이너 방식의 가상화 기술을 적용하여 복수의 가상 노드를 형성하고, 가상 노드 간에 P2P 네트워크로 연결되는 방식으로 이루어질 수 있다.
통상의 블록체인은 게이트웨이, PC, 스마트폰 등 거래에 참여하는 각각의 노드(통상 노드)가 인터넷(P2P 네트워크)으로 연결되는 방식으로 이루어져 상기 노드 간에 서로의 거래 내역을 확인하고 원장을 암호화하고 블록으로 만들어 체인화하여(블록체인화) 보관하는 방식으로 데이터의 해킹을 불가능하게 한다.
이와 같은 통상의 블록체인은 다음과 같은 문제점이 있다.
첫째, 인터넷이 고장 나거나, 인터넷이 없는 외딴 지역 등에서는 사용할 수 없으며, 둘째, 거래 시에 많은 시간이 걸리거나 타인의 거래 내역을 모두 보관해야 하며, 셋째, 비록 암호화되어 있지만 개인 정보를 수많은 타인이 보관하고 볼 가능성 등의 한계가 있다.
이에 반하여, 본 발명에서는 가상 블록체인을 각각의 기기 내에 소프트웨어 방식(가능 노드)으로 구현하여 인터넷이 없거나 고장나더라도 블록체인의 보안 특성을 여전히 활용할 수 있으며, 게이트웨이에 접근하는 IoT 기기에 대한 인증/인가, 거래 시간, 메모리, 개인 정보 공유 등에 대한 문제도 해결할 수 있게 된다.
본 발명의 일실시예에 따르면, 보안 시스템의 초기 설정 단계에서 개인키 생성기(PKG)는 보안 시스템에 적용할 시스템 파라미터(SysParam)를 선택하여 설정하고, 무작위 비밀 파라미터(SecParam)를 기반으로 마스터 비밀키(MSK)를 생성하며, 미리 설정된 시스템 파라미터(SysParam)와 마스터 비밀키(MSK)를 이용하여 마스터 공개키(MPK)를 유도한다. 이어서 개인키 생성기(PKG)는 사전에 설정된 시스템 파라미터(SysParam) 및 마스터 공개키(MPK)가 구성 요소로 결합되어 이루어진 공개 파라미터(PubParam)와 마스터 비밀키(MSK) 및 사용자(게이트웨이 소유자 또는 관리자)에 의해 등록된 게이트웨이 ID(ID_G/W)를 이용하여 ID 기반의 게이트웨이 개인키(PRK_G/W)를 미리 정해진 개인키 생성 알고리즘에 따라 생성하고 게이트웨이에 제공하고, 게이트웨이는 개인키 생성기(PKG)로부터 제공받은 생성된 게이트웨이 개인키(PRK_G/W)를 게이트웨이 ID(ID_G/W) 및 공개 파라미터(PubParam)과 함께 보안 모듈(140)에 저장하여 보관한다.
도 4는 본 발명에 따른 가상 블록체인에 기반한 신원 기반 보안 기법을 이용한 IoT 기기용 게이트웨이의 보안 구축 흐름도로서, 보안 구축 방법은 다음과 같다.
개인키 생성기(PKG)는 보안 시스템 또는 기능들의 집합 또는 수학적 영역의 기법들의 집합으로부터 소정의 보안 시스템 또는 기능을 선택하는 것을 포함하여 보안 계산을 위해 적용할 시스템 파라미터(SysParam)를 설정한다(S410). 여기서, 본 발명의 일실시예에 따르면, 개인키 생성기(PKG)는 서버 내에 탑재될 수 있다. 또한, 본 발명의 다른 실시예에 따르면, 사용자(또는 관리자) 중심의 분산된 권한(Distributed Authority)이 부여된 경우, 개인키 생성기(PKG)는 관리자 단말기(예: 스마트폰, PC 등)에 탑재될 수 있다.
개인키 생성기(PKG)는 소정의 마스터 비밀키 생성 알고리즘에 따라 마스터 비밀키(MSK)를 생성하며, 마스터 비밀키(MSK)와 시스템 파라미터(SysParam)를 이용하여 마스터 공개키(MPK)를 유도한다(S420).
개인키 생성기(PKG)는 시스템 파라미터(SysParam)와 마스터 공개키(MPK)를 결합하여 이루어진 공개 파라미터(PubParam)를 생성하고, 본 발명에 따른 신원 기반 보안 기법(IBC)을 이용하는 디지털 전자 기기에 공개 파라미터(PubParam)를 배포한다(S430). 여기서, 디지털 전자 기기라 함은 신원 기반 보안(IBC) 서비스를 이용하는 클라우드(Cloud), 포그(Fog), 엣지(Edge), 서버, PC, 데스크톱, 임베디드 디바이스(스마트폰, 태블릿 컴퓨터 등), IoT 기기 그리고 게이트웨이를 포함하는 개념으로 이해되어야 한다. 또한 개인키 생성기(PKG)는 상기 공개 파라메터를 제공하기 위해 구비된 서버에서 보안이 구비된 통신망을 통해 안전하게 다운 받을 수 있도록 저장하고 공지하는 방식으로 배포할 수 있다.
디지털 전자 기기는 자신을 고유하게 식별할 수 있는 문자열(string) 형식의 식별자(ID)를 ID 등록 서버(IPS)에 등록한다(S440). 여기서 ID 등록 서버(IPS)는 상기 개인키 생성기(PKG)에 통합되는 방식으로 구현될 수 있다.
개인키 생성기(PKG)는 소정의 개인키 생성 알고리즘에 따라 해당 디지털 전자 기기에 대하여 ID 기반의 개인키(PRK)를 생성하여 제공하고, 해당 디지털 전자 기기의 보안 모듈(140)은 ID 기반의 개인키(PRK)를 저장한다(S450). 여기서, 소정의 개인키 생성 알고리즘은, 마스터 비밀키(MSK), 디지털 전자 기기 식별자(ID) 그리고 공개 파라미터(PubParam)를 이용하여 정해진다.
디지털 전자 기기 간에 해당 디지털 전자 기기의 식별자(ID), 공개 파라미터(PubParam) 및 ID 기반의 디지털 전자 기기 개인키(PRK)를 이용하여 상호 간에 접속 요청 및 검증을 통해 상호 연결되는 접근 제어(Access Control)를 수행한다. 예컨대, IoT 기기(200)는 게이트웨이(100)에 접속 요청 메시지(Access Request Message)를 전송하여 접속을 요청하고, 게이트웨이(100)는 검증을 수행한다(S460).
가상 블록체인이 구현된 디지털 전자 기기는 트랜잭션 데이터 블록을 구성하고, 가상 블록체인 노드에 배포하여 정해진 합의 알고리즘을 통해 트랜잭션 데이터 블록의 합의 여부를 판단한다(S470). 여기서, 트랜잭션 데이터 블록은 디지털 전자 기기 식별자(ID), 공개 파라미터(PubParam), 해당 공개 파라미터의 배포와 저장 등의 이벤트 관련 정보, 및 IoT 기기와 게이트웨이 간 접근 제어를 포함하는 이벤트 관련 정보 중 적어도 하나를 포함한다.
트랜잭션 데이터 블록에 대하여 합의가 이루어지면, 가상블록체인 망에 가상 노드의 분산 원장에 합의가 이루어진 트랜잭션 데이터 블록을 저장하여 공유한다(S480).
한편, 본 발명의 일실시예에 따르면, 디지털 전자 기기가 IoT 기기일 때, 피접속 디지털 전자 기기는 게이트웨이일 수 있다. 또한, 본 발명의 다른 실시예에 따르면, 디지털 전자 기기가 게이트웨이일 때, 피접속 디지털 전자 기기는 IoT 기기일 수 있다. 또한, 본 발명의 또 다른 실시예에 따르면, 디지털 전자 기기가 IoT 기기일 때, 피접속 디지털 전자 기기는 IoT 기기일 수 있다.
여기서, 개인키 생성기(PKG)가 공개 파라미터 및 개인키를 제공하는 대상은 가상 블록체인의 구현 여부와 무관하게 신원 기반 보안 기법(IBC)을 이용하는 모든 디지털 전자 기기이고, 트랜잭션 데이터 블록이 가상 노드에 배포되는 대상은 가상 블록체인이 구현된 디지털 전자 기기이다.
도 5는 본 발명의 일실시예에 따른 가상 블록체인에 기반한 신원 기반 보안 기법을 이용한 IoT 기기용 게이트웨이 보안 구축을 위한 마스터 키 생성 절차도로서, 마스터 키 생성 단계(S420)는 다음과 같다.
개인키 생성기(PKG)는 무작위 난수(Random Number)를 생성하여 비밀 파라미터(SecParam)로 설정한다(S421).
개인키 생성기(PKG)는 비밀 파라미터(SecParam)를 기반으로 정해진 알고리즘에 따라 마스터 비밀키(MSK)를 생성한다(S422).
개인키 생성기(PKG)는 마스터 비밀키(MSK)와 소정의 시스템 파라미터(SysParam)를 이용하여 마스터 공개키(MPK)를 유도한다(S423).
개인키 생성기(PKG)는 시스템 파라미터(SysParam)와 마스터 공개키(MPK)가 결합되어 구성되는 공개 파라미터(PubParam)와 마스터 비밀키(MSK)를 보안 모듈(140, SecM)에 저장한다(S424).
도 6은 본 발명의 일실시예에 따른 가상 블록체인에 기반한 신원 기반 보안기법을 이용한 IoT 기기와 게이트웨이 간 접속 요청 및 검증 절차도로서, 본 발명의 일실시예에 따른 디바이스 접근제어 단계(460)는 다음과 같다.
IoT 기기(200)가 게이트웨이(100)에 접속하고자 접속 요청 메시지(Access Request Message)를 구성하기 위한 무작위 비밀수 1(RS1, Random Secret Number 1)을 생성한다(S461).
IoT 기기(200)가 자신의 IoT 기기 개인키(PRK_IoT)로 무작위 비밀수 1(RS1)에 대해 서명한다(S462).
IoT 기기(200)가 무작위 비밀수 1(RS1), IoT 기기 식별자(ID_IoT), 및 IoT 기기 서명(IoT Sign.)으로 접속 요청 메시지(Access Request Message)를 구성하고, 게이트웨이 식별자(ID_G/W)와 사전에 공유된 공개 파라미터(PubParam)을 이용하여 미리 정해진 알고리즘에 따라 접속 요청 메시지(Access Request Message)를 암호화하고(S463), 암호화된 접속 요청 메시지(Encrypted Access Request Message)를 게이트웨이(100)로 전송한다(S464).
암호화된 접속 요청 메시지(Encrypted Access Request Message)를 수신하면, 게이트웨이(100)는 암호화된 접속 요청 메시지(Encrypted Access Request Message)를 복호화하여 검증한다(S465). 구체적으로, 게이트웨이(100)는 자신의 개인키(PRK_G/W)를 이용하여 암호화된 접속 요청 메시지(Encrypted Access Request Message)를 복호화하고, 복호화된 접속 요청 메시지(Decrypted Access Request Message)를 구성하는 IoT 기기 식별자(ID_IoT)를 이용하여 IoT 기기 서명(IoT Sign.)을 복호화한 결과값(Decrypted Result)과 무작위 비밀수 1(RS1)을 비교한다. 복호화한 결과값(Decrypted Result)과 무작위 비밀수 1(RS1)이 일치하면 IoT 기기(200)를 인증하고, 복호화한 결과값(Decrypted Result)과 무작위 비밀수 1(RS1)이 불일치하면 인증을 거부한다.
IoT 기기로부터의 접속 요청이 검증을 통과하면, 게이트웨이(100)는 별도의 무작위 비밀수 2(RS2)를 생성하고(S466), 자신의 개인키(PRK_G/W)로 무작위 비밀수 2(RS2)에 대해 서명한다(S467).
이후, 게이트웨이(100)는 무작위 비밀수 2(RS2), 게이트웨이 식별자(ID_G/W), 및 게이트웨이 서명(G/W Sign.)으로 검증 결과 메시지(Verification Result Message)를 구성하고, IoT 기기 식별자(ID_IoT)와 사전에 공유된 공개 파라미터(PubParam)을 이용하여 정해진 알고리즘에 따라 검증 결과 메시지(Verification Result Message)를 암호화한다(S468).
게이트웨이(100)는 암호화된 검증 결과 메시지(Encrypted Verification Result Message)를 IoT 기기(200)로 전송한다(S469).
만일 IoT 기기로부터의 접속 요청이 검증을 통과하지 못한 경우, 게이트웨이(100)가 검증 실패를 통보하는 검증 결과 메시지(Verification Result Message)를 구성하고(S468), IoT 기기 식별자(ID_IoT)와 사전에 공유된 공개 파라미터(PubParam)을 이용하여 정해진 알고리즘에 따라 검증 결과 메시지(Verification Result Message)를 암호화하고, 암호화된 검증 결과 메시지(Encrypted Verification Result Message)를 IoT 기기(200)로 전송한다(S469).
이후, IoT 기기(200)는 상기와 동일한 절차에 따라 게이트웨이(100)의 디지털 서명을 검증함으로써, 게이트웨이와 IoT 기기 당사자 간에 쌍방 인증이 이루어질 수 있다.
도 7은 본 발명의 일실시예에 따른 IoT 기기의 시변적 파라메터(TVP)를 포함하는 접속 요청 토큰 전송 및 게이트웨이에서의 IoT 기기의 접속요청 토큰을 검증하기 위한 절차도로서, 게이트웨이가 수신한 IoT 기기의 접속요청 토큰을 검증하는 프로토콜을 단계별로 기술한다. 여기서, 접속요청 토큰은 신원 기반 보안 기법을 이용하여 IoT 기기가 게이트웨이에 접속하고 이후에 주고 받는 메시지의 암호화, 복호화 및 인증을 위한 비밀키(SecKey)를 생성하기 위한 무작위 비밀수를 공유하기 위해 전송할 때에 사용된다.
IoT 기기(200)는 필요한 길이의 무작위 비밀수(RS)를 생성한다(S501).
IoT 기기(200)는 IoT 기기 개인키(PRK_IoT)를 이용하여 사전에 정해진 신원 기반 서명(IBS, Identity Based Signature) 알고리즘에 따라 상기 무작위 비밀수(RS)에 서명하여 IoT 기기 서명을 생성한다(S502).
IoT 기기(200)는 무작위 비밀수(RS), IoT 기기 서명, IoT 기기 식별자(ID_IoT), 시변적 파라미터(TVP, Time Variant Parameter)(예를 들면, 타임 스탬프(Time Stamp) 또는 순차 번호 등), 및 소정의 문자열 정보2(Text2)가 결합된 송신용 토큰(KTA, Knowledge To Action)을 생성한다(S503). 여기서, 접속요청 토큰(KTA)은 무작위 비밀수(RS), IoT 기기 서명, IoT 기기 식별자(ID_IoT), 시변적 파라미터(TVP), 및 소정의 문자열 정보2(Text2)가 순차로 결합되어 이루어질 수 있다.
IoT 기기(200)는 상대방 게이트웨이 식별자(ID_G/W)와 공개 파라미터(PubParam)을 이용하여 상기 접속 요청 토큰(KTA)를 암호화하고 암호화한 접속 요청 토큰(Encrypted KTA)을 게이트웨이(100)로 전송한다(S504).
게이트웨이(100)는 상기 암호화한 접속 요청 토큰(Encrypted KTA)를 수신 후 자신의 개인키(PRK_G/W)를 이용하여 복호화한다(S505).
게이트웨이(100)는 접속 요청 토큰(KTA)의 시변적 파라미터(TVP)의 유효성을 판단하여 유효하지 않으면, 접속 요청 토큰을 거절한다(S506). 구체적으로, 본 발명의 일실시예에 따르면, 접속 요청 토큰(KTA)에 포함된 시변적 파라미터(TVP)가 타임 스탬프인 경우 유효시간 범위 내인지를 판단하여 벗어나면 토큰(KTA)을 거절할 수 있다. 또한, 본 발명의 다른 실시예에 따르면, IoT 기기 ID(ID_IoT)를 다른 수단으로 획득할 수 있고 접속 요청 토큰(KTA)에 포함된 시변적 파라미터(TVP)가 순차 번호인 경우 게이트웨이(100)가 보유한 순차번호보다 크지 않으면 토큰을 거절할 수 있다.
게이트웨이(100)는 IoT 기기 ID(ID_IoT)를 다른 수단으로 획득할 수 있는 경우 IoT 기기 ID(ID_IoT)와 공개 파라미터(PubParam)을 이용하여 사전에 정해진 검증 프로토콜에 따라 접속 요청 토큰에 포함된 서명(Sign.)의 유효성을 검증하고, 서명이 유효하지 않으면, 접속 요청 토큰(KTA)을 거절한다(S507).
게이트웨이(100)는 접속 요청 토큰(KTA)에 포함된 시변적 파라미터(TVP)의 최신성을 검증한다(S508). 구체적으로, TVP가 순차번호인 경우 TVP가 최신 번호이면 서명을 검증하고, 최신 번호가 아니면 접속 요청 토큰(KTA)을 거절한다(S508).
상기 모든 검증 단계를 통과하면, 게이트웨이(100)는 상기 무작위 비밀수(RS)를 이용하여 사전에 정해진 키 유도 함수(KDF, Key Derivation Function)에 따라 암호화, 복호화 및 메시지 인증을 위한 비밀키(SecKey)를 생성한다(S509).
이상에서 설명한 바와 같은 본 발명에 따른 가상 블록체인에 기반한 신원 기반 보안 기법을 이용한 IoT 기기용 게이트웨이의 보안 구축 방법 및 IoT 기기용 게이트웨이의 보안 구축에 의하면, 게이트웨이와 IoT 기기 간에 암호화 통신을 가능하게 하여 각종 보안성을 확보하는 소프트웨어를 구축할 수 없는 IoT 기기의 통신 보안을 구현할 수 있고, IoT 기기의 ID 등록, 데이터 및 사용자 접근 제어 및 관리 등에 있어 해킹 위협으로부터 IoT 기기와 데이터를 보호할 수 있으며, 블록체인의 고유한 특성중 하나인 보안성의 증대 특성을 IoT 기기에 적용할 수 있어 날로 높아지는 해킹의 위협으로부터 사용자와 정보를 보호할 수 있는 이점이 있다.
상기한 바와 같은 실시 예들은 비록 한정된 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기를 기초로 다양한 기술적 수정 및 변형을 적용할 수 있다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.
본 명세서에서 설명되는 실시 예와 첨부된 도면은 본 발명에 포함되는 기술적 사상의 일부를 예시적으로 설명하는 것에 불과하다. 따라서, 본 명세서에 개시된 실시 예는 본 발명의 기술적 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이므로, 이러한 실시 예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아님은 자명하다. 본 발명의 명세서 및 도면에 포함된 기술적 사상의 범위 내에서 당업자가 용이하게 유추할 수 있는 변형 예와 구체적인 실시 예는 모두 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
100: 게이트웨이
110: 통신모듈
120: 가상 블록체인 구성부
130: 가상 블록체인 망
140: 보안 모듈
150: 데이터 저장부

Claims (15)

  1. 가상 블록체인 기반의 신원 기반 보안 기법을 이용하는 게이트웨이의 보안 구축 시스템에 있어서,
    유무선 통신 모듈;
    상기 게이트웨이에 식별자(ID), 개인키 정보를 포함하는 속성 정보를 가진 적어도 하나 이상의 가상 노드를 형성하고, 미리 정해진 합의 알고리즘에 따라 상기 가상 노드 간에 합의가 이루어진 트랜잭션 데이터 블록을 상기 가상 노드에 분산 원장으로 저장 관리하도록 이루어지는 가상 블록체인 구성부;
    상기 가상 노드와 이웃하는 가상 노드들 간에 네트워크로 연결되는 가상 블록체인 망: 및
    상기 신원 기반 보안 기법을 이용하는 디지털 전자 기기와 인증과 인가를 통한 접근 제어를 포함하는 보안 기능을 수행하는 보안 모듈
    을 포함하는 가상 블록체인 기반의 신원 기반 보안 기법을 이용한 게이트웨이의 보안 구축 시스템.
  2. 청구항 1에 있어서,
    상기 보안 모듈은, 개인키 생성기로부터 제공되는 게이트웨이 개인키(PRK_GW)와 공개 파라미터(PubParam) 그리고 게이트웨이 식별자(ID)를 저장하고,
    상기 개인키 생성기는, 보안 계산을 위해 적용할 시스템 파라미터(SysParam)를 설정하고, 소정의 마스터 비밀키(MSK)와 상기 시스템 파라미터(SysParam)를 이용하여 마스터 공개키(MPK)를 유도하고, 상기 시스템 파라미터(SysParam)와 상기 마스터 공개키(MPK)를 결합하여 이루어진 공개 파라미터(PubParam)를 생성하고, 상기 가상 블록체인 망에 기반한 신원 기반 보안 기법을 이용하는 디지털 전자 기기에 상기 공개 파라미터(PubParam)를 배포하고, 상기 디지털 전자 기기에 대하여 식별자(ID) 기반의 개인키(PRK)를 생성하여 제공하는 것
    을 특징으로 하는 가상 블록체인 기반의 신원 기반 보안 기법을 이용한 게이트웨이의 보안 구축 시스템.
  3. 청구항 2에 있어서, 상기 디지털 전자 기기는,
    상기 디지털 전자 기기의 식별자(ID), 및 상기 공개 파라미터(PubParam)를 포함하는 트랜잭션 데이터 블록을 구성하여 상기 가상 노드에 배포하고,
    상기 가상 노드에 배포된 상기 트랜잭션 데이터 블록에 대해 정해진 합의 알고리즘에 따라 상기 트랜잭션 데이터 블록의 합의 여부를 판단하고, 상기 가상 노드의 분산 원장에 상기 트랜잭션 데이터 블록을 저장하는 것
    을 특징으로 하는 가상 블록체인 기반의 신원 기반 보안 기법을 이용한 게이트웨이의 보안 구축 시스템.
  4. 청구항 3에 있어서, 상기 디지털 전자 기기는,
    해당 디지털 전자 기기의 식별자(ID) 및 식별자(ID) 기반의 디지털 전자 기기 개인키(PRK)를 이용하여 상호 간 접속 요청 및 검증을 통해 상호 연결되는 디바이스 접근 제어를 수행하고,
    상기 디바이스 접근 제어는 피접속 디지털 전자 기기의 식별자, 공개 파라미터 및 자신의 개인키를 이용하여 생성되는 것을 특징으로 하는 가상 블록체인 기반의 신원 기반 보안 기법을 이용한 게이트웨이의 보안 구축 시스템.
  5. 청구항 2에 있어서, 상기 개인키 생성기는,
    무작위 난수를 생성하여 비밀 파라미터로 설정하는 기능;
    상기 비밀 파라미터에 기반하여 마스터 비밀키를 생성하는 기능;
    상기 마스터 비밀키와 소정의 시스템 파라미터를 이용하여 마스터 공개키를 유도하는 기능; 및
    상기 시스템 파라미터와 상기 마스터 공개키가 결합된 공개 파라미터와 상기 마스터 비밀키를 상기 보안 모듈에 저장하는 기능
    을 수행하는 가상 블록체인 기반의 신원 기반 보안 기법을 이용한 게이트웨이의 보안 구축 시스템.
  6. 청구항 3에 있어서,
    상기 디지털 전자 기기는 무작위 비밀수 1을 생성하고, 자신의 개인키로 상기 무작위 비밀수 1에 대하여 서명하여 디지털 전자 기기 서명을 생성하고, 상기 무작위 비밀수 1, 디지털 전자 기기 식별자, 및 상기 디지털 전자 기기 서명을 이용하여 상기 접속 요청 메시지를 구성하고, 피접속 디지털 전자 기기의 식별자(ID)와 공개 파라미터를 이용하여 암호화하고 상기 피접속 디지털 전자 기기로 암호화된 접속 요청 메시지를 전송하고,
    상기 피접속 디지털 전자 기기는 상기 암호화된 접속 요청 메시지를 자신의 개인키를 이용하여 복호화하고, 복호화된 접속 요청 메시지를 구성하는 디지털 전자 기기 식별자를 이용하여 디지털 전자 기기 서명을 복호화한 결과값과 상기 무작위 비밀수 1을 비교하여 인증을 검증하는 것
    을 특징으로 하는 가상 블록체인 기반의 신원 기반 보안 기법을 이용한 게이트웨이의 보안 구축 시스템.
  7. 청구항 6에 있어서,
    상기 검증이 통과되면, 상기 피접속 디지털 전자 기기는 무작위 비밀수 2를 생성하고, 자신의 개인키로 상기 무작위 비밀수 2에 대해 서명하여 피접속 디지털 전자 기기 서명을 생성하고, 상기 무작위 비밀수 2, 게이트웨이 식별자, 피접속 디지털 전자 기기 서명으로 검증 결과 메시지를 구성하고, 상기 디지털 전자기기 식별자와 공개 파라미터를 이용하여 암호화하고 전송하는 것
    을 특징으로 하는 가상 블록체인 기반의 신원 기반 보안 기법을 이용한 게이트웨이의 보안 구축 시스템.
  8. 청구항 2에 있어서, 상기 디지털 전자 기기는,
    자신의 개인키를 이용하여 송신 메시지에 서명하여 디지털 전자 기기 서명을 생성하고, 상기 송신 메시지, 디지털 전자 기기 서명, 디지털 전자 기기 식별자, 및 시변적 파라미터를 이용하여 접속 요청 토큰을 생성하고, 피접속 디지털 전자 기기의 식별자와 공개 파라미터를 이용하여 암호화하고 암호화된 접속 요청 토큰을 상기 피접속 디지털 전자 기기로 전송하는 것
    을 특징으로 하는 가상 블록체인 기반의 신원 기반 보안 기법을 이용한 게이트웨이의 보안 구축 시스템.
  9. 청구항 8에 있어서, 상기 피접속 디지털 전자 기기는,
    상기 암호화된 접속 요청 토큰을 자신의 개인키를 이용하여 복호화하고,
    상기 접속 요청 토큰의 시변적 파라미터의 유효성을 판단하고,
    상기 접속 요청 토큰의 디지털 전자 기기 서명의 유효성을 검증하고,
    상기 접속 요청 토큰의 시변적 파라미터의 최신성을 검증하는 것
    을 특징으로 하는 가상 블록체인 기반의 신원 기반 보안 기법을 이용한 게이트웨이의 보안 구축 시스템.
  10. 청구항 1에 있어서,
    상기 통신 모듈은, BLE, Z-Wave, Zigbee를 포함하는 개인 영역 통신망(PAN) 통신 프로토콜 중 적어도 한 가지 이상을 지원하거나, LoRa, Sigfox, NB-IoT를 포함하는 저전력 광역 통신망(LPWAN) 통신 프로토콜 중 적어도 한 가지 이상을 포함하거나, WiFi, Ethernet를 포함하는 근거리 통신망(LAN) 통신 프로토콜 중 적어도 한 가지 이상을 포함하거나, RS-232, RS-485를 포함하는 직렬 통신 프로토콜 중 적어도 한 가지 이상을 포함하는 가상 블록체인 기반의 신원 기반 보안 기법을 이용한 게이트웨이의 보안 구축 시스템.
  11. 가상 블록체인 기반의 신원 기반 보안 기법을 이용하는 게이트웨이의 보안 구축 방법에 있어서,
    개인키 생성기(PKG)가 시스템 파라미터(SysParam)와 마스터 공개키(MPK)를 결합하여 이루어진 공개 파라미터(PubParam)를 생성하고, 상기 신원 기반 보안 기법을 이용하는 디지털 전자 기기에 상기 공개 파라미터(PubParam)를 배포하는 단계;
    상기 디지털 전자 기기는 문자열(string) 형식의 디지털 전자 기기 식별자(ID)를 ID 등록 서버(IPS)에 등록하는 단계;
    상기 가상 블록체인이 구현된 디지털 전자 기기는 상기 공개 파라미터, 및 디지털 전자 기기 식별자를 포함하는 트랜잭션 데이터 블록을 구성하고, 가상 블록체인 노드에 배포하여 정해진 합의 알고리즘에 따라 트랜잭션 데이터 블록의 합의 여부를 판단하는 단계; 및
    합의가 이루어진 상기 트랜잭션 데이터 블록을 상기 가상 블록체인이 구현된 디지털 전자 기기에 배포하여 분산원장으로 저장하는 단계
    를 포함하는 가상 블록체인 기반의 신원 기반 보안 기법을 이용한 게이트웨이의 보안 구축 방법.
  12. 청구항 11에 있어서,
    상기 디지털 전자 기기는 디바이스 접근 제어 단계를 더 수행하고,
    상기 디바이스 접근 제어 단계는,
    상기 디지털 전자 기기가 무작위 비밀수 1을 생성하고, 자신의 개인키로 상기 무작위 비밀수 1에 대하여 서명하여 디지털 전자 기기 서명을 생성하고, 상기 무작위 비밀수 1, 디지털 전자 기기 식별자, 및 상기 디지털 전자 기기 서명으로 상기 접속 요청 메시지를 구성하여 피접속 디지털 전자 기기의 식별자 및 공개 파라미터를 이용하여 암호화하고 암호화된 접속 요청 메시지를 전송하는 단계; 및
    상기 피접속 디지털 전자 기기는 상기 암호화된 접속 요청 메시지를 자신의 개인키를 이용하여 복호화하고, 복호화된 접속 요청 메시지를 구성하는 디지털 전자 기기 식별자 및 공개 파라미터를 이용하여 디지털 전자 기기 서명을 복호화한 결과값과 상기 무작위 비밀수 1을 비교하여 인증을 검증하는 단계
    를 포함하는 가상 블록체인 기반의 신원 기반 보안 기법을 이용한 게이트웨이의 보안 구축 방법.
  13. 청구항 12에 있어서,
    상기 검증이 통과되면, 상기 피접속 디지털 전자 기기는 무작위 비밀수 2를 생성하고, 자신의 개인키로 상기 무작위 비밀수 2에 대해 서명하여 피접속 디지털 전자 기기 서명을 생성하고, 상기 무작위 비밀수 2, 피접속 디지털 전자 기기 식별자, 피접속 디지털 전자 기기 서명으로 검증 결과 메시지를 구성하고, 디지털 전자 기기 식별자 및 공개 파라미터를 이용하여 암호화하고 상기 디지털 전자 기기로 암호화된 검증 결과 메시지를 전송하는 단계
    를 더 포함하는 가상 블록체인 기반의 신원 기반 보안 기법을 이용한 게이트웨이의 보안 구축 방법.
  14. 청구항 12에 있어서, 상기 디지털 전자 기기는,
    특정 송신 메시지에 자신의 개인키(PRK)로 서명하여 디지털 전자 기기 서명을 생성하고, 상기 송신 메시지, 디지털 전자 기기 서명 및 시변적 파라미터(TVP)를 이용하여 접속 요청 토큰을 생성하여 상기 피접속 디지털 전자 기기의 식별자와 상기 공개 파라미터를 이용하여 상기 접속 요청 토큰을 암호화하고 피접속 디지털 전자 기기로 전송하는 단계
    를 더 포함하는 가상 블록체인 기반의 신원 기반 보안 기법을 이용한 게이트웨이의 보안 구축 방법.
  15. 청구항 14에 있어서, 상기 피접속 디지털 전자 기기는,
    상기 암호화한 접속 요청 토큰을 수신하여 자신의 개인키로 복호화하고, 상기 접속 요청 토큰의 시변적 파라미터의 유효성을 판단하고, 상기 접속 요청 토큰의 디지털 전자 기기 서명의 유효성을 검증하고, 상기 접속 요청 토큰의 시변적 파라미터의 최신성을 검증하는 단계를 더 포함하는 가상 블록체인 기반의 신원 기반 보안 기법을 이용한 게이트웨이의 보안 구축 방법.
KR1020220008907A 2022-01-21 2022-01-21 가상 블록체인에 기반한 신원 기반 보안 기법을 이용한 IoT 기기용 게이트웨이의 보안 구축 시스템 및 방법 KR20230112819A (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020220008907A KR20230112819A (ko) 2022-01-21 2022-01-21 가상 블록체인에 기반한 신원 기반 보안 기법을 이용한 IoT 기기용 게이트웨이의 보안 구축 시스템 및 방법
PCT/KR2023/000826 WO2023140595A1 (ko) 2022-01-21 2023-01-18 가상 블록체인에 기반한 신원 기반 보안 기법을 이용한 iot 기기용 게이트웨이의 보안 구축 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020220008907A KR20230112819A (ko) 2022-01-21 2022-01-21 가상 블록체인에 기반한 신원 기반 보안 기법을 이용한 IoT 기기용 게이트웨이의 보안 구축 시스템 및 방법

Publications (1)

Publication Number Publication Date
KR20230112819A true KR20230112819A (ko) 2023-07-28

Family

ID=87348980

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020220008907A KR20230112819A (ko) 2022-01-21 2022-01-21 가상 블록체인에 기반한 신원 기반 보안 기법을 이용한 IoT 기기용 게이트웨이의 보안 구축 시스템 및 방법

Country Status (2)

Country Link
KR (1) KR20230112819A (ko)
WO (1) WO2023140595A1 (ko)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20110060859A (ko) 2009-11-30 2011-06-08 (주)대성정보기술 통합 보안 게이트웨이 장치
KR101769442B1 (ko) 2015-10-14 2017-08-30 주식회사 윈스 사물 인터넷 게이트웨이를 활용한 보안 관제 방법 및 시스템
KR101997673B1 (ko) 2018-12-06 2019-07-08 주식회사 푸시풀시스템 가상 블록체인을 갖는 듀얼 블록체인 기반의 디지털 전자기기
KR20190136364A (ko) 2018-05-30 2019-12-10 삼성에스디에스 주식회사 이기종 블록체인 플랫폼 간 데이터 연계 방법 및 이를 수행하기 위한 게이트웨이 장치

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10924466B2 (en) * 2017-07-28 2021-02-16 SmartAxiom, Inc. System and method for IOT security
US11212084B2 (en) * 2018-07-21 2021-12-28 Fundacja “Blockchain Development Foundation” System and a method for signing transactions using air-gapped private keys
KR20200113103A (ko) * 2019-03-22 2020-10-06 주식회사 블록체인시스템 가상 블록체인을 갖는 듀얼 블록체인 기반의 전자기기 운용 방법 및 전자기기 시스템
KR102037848B1 (ko) * 2019-03-27 2019-10-29 주식회사 푸시풀시스템 가상 블록체인을 갖는 듀얼 블록체인 기반의 디지털 전자기기 운용 방법
KR102472471B1 (ko) * 2020-01-10 2022-11-29 동서대학교 산학협력단 블록체인을 기반으로 한 IoT 디바이스 접근 제어 방법

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20110060859A (ko) 2009-11-30 2011-06-08 (주)대성정보기술 통합 보안 게이트웨이 장치
KR101769442B1 (ko) 2015-10-14 2017-08-30 주식회사 윈스 사물 인터넷 게이트웨이를 활용한 보안 관제 방법 및 시스템
KR20190136364A (ko) 2018-05-30 2019-12-10 삼성에스디에스 주식회사 이기종 블록체인 플랫폼 간 데이터 연계 방법 및 이를 수행하기 위한 게이트웨이 장치
KR101997673B1 (ko) 2018-12-06 2019-07-08 주식회사 푸시풀시스템 가상 블록체인을 갖는 듀얼 블록체인 기반의 디지털 전자기기

Also Published As

Publication number Publication date
WO2023140595A1 (ko) 2023-07-27

Similar Documents

Publication Publication Date Title
EP3593482B1 (en) Secure de-centralized domain name system
KR102369647B1 (ko) 두 장치 간의 신뢰 확립 기법
US20190034936A1 (en) Approving Transactions from Electronic Wallet Shares
EP3308495B1 (en) System, apparatus and method for group key distribution for a network
US20190034917A1 (en) Tracking an Electronic Wallet Using Radio Frequency Identification (RFID)
US20190034920A1 (en) Contextual Authentication of an Electronic Wallet
WO2018112946A1 (zh) 注册及授权方法、装置及系统
WO2016011827A1 (zh) 基于数字证书的信息安全实现方法及系统
EP3656103B1 (en) Data communication system and method
CN105516980A (zh) 一种基于Restful架构的无线传感器网络令牌认证方法
JP2017525236A (ja) 増強メディア・プラットフォームによる通信の安全確保
JP2018041224A (ja) ソフトウェア更新システム
CN113783686A (zh) 一种基于区块链的sdn及nfv网络安全管理系统及方法
KR20220072657A (ko) 가상 블록체인이 결합된 이중 블록체인에 기반한 IoT 기기 플랫폼 보안 구축 방법 및 IoT 기기 플랫폼 보안 구축 시스템
Faisal et al. Cyber security and key management issues for internet of things: Techniques, requirements, and challenges
KR20220072659A (ko) 가상 블록체인에 기반한 신원 기반 암호화 기법을 이용한 IoT 기기용 게이트웨이의 보안 구축 방법
Badar et al. Secure authentication protocol for home area network in smart grid-based smart cities
KR20230112819A (ko) 가상 블록체인에 기반한 신원 기반 보안 기법을 이용한 IoT 기기용 게이트웨이의 보안 구축 시스템 및 방법
Frimpong et al. Footsteps in the fog: Certificateless fog-based access control
Kraxberger et al. Trusted identity management for overlay networks
CN117879819B (zh) 密钥管理方法、装置、存储介质、设备及算力服务系统
Gupta et al. Security mechanisms of Internet of things (IoT) for reliable communication: a comparative review
Kahvazadeh Security architecture for Fog-To-Cloud continuum system
Varghane et al. Intrusion detection, secure protocol and network creation for spontaneous wireless ad hoc network
JP7433620B1 (ja) 通信方法、通信装置及びコンピュータプログラム

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right