WO2017209467A1 - IoT 환경에서 P2P 데이터 보안 서비스 제공 방법 및 장치 - Google Patents

IoT 환경에서 P2P 데이터 보안 서비스 제공 방법 및 장치 Download PDF

Info

Publication number
WO2017209467A1
WO2017209467A1 PCT/KR2017/005577 KR2017005577W WO2017209467A1 WO 2017209467 A1 WO2017209467 A1 WO 2017209467A1 KR 2017005577 W KR2017005577 W KR 2017005577W WO 2017209467 A1 WO2017209467 A1 WO 2017209467A1
Authority
WO
WIPO (PCT)
Prior art keywords
group
authentication
key
server
certificate
Prior art date
Application number
PCT/KR2017/005577
Other languages
English (en)
French (fr)
Inventor
조미성
정병관
Original Assignee
주식회사 알티캐스트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 알티캐스트 filed Critical 주식회사 알티캐스트
Priority to EP17806960.5A priority Critical patent/EP3468133B1/en
Publication of WO2017209467A1 publication Critical patent/WO2017209467A1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/065Network architectures or network communication protocols for network security for supporting key management in a packet data network for group communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • H04L9/0833Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/104Peer-to-peer [P2P] networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/51Discovery or management thereof, e.g. service location protocol [SLP] or web services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Abstract

본 발명은 IoT 환경에서 P2P 데이터 보안 서비스 제공 방법 및 장치를 개시한다. 본 발명에 따르면, 복수의 디바이스와 네트워크를 통해 연결되는 IoT 플랫폼에서 디바이스 간 P2P 데이터 보안 서비스를 제공하는 방법으로서, 제1 디바이스의 인증서 및 고유키를 이용하여 상기 제1 디바이스를 인증하는 단계; 인증이 완료되면, E2E(end-to-end) 세션 키를 교환을 통해 보안 채널을 형성하고 상기 제1 디바이스에 그룹 아이디 및 그룹 키를 할당하는 단계; 및 상기 제1 디바이스에 의해 요청된 제2 디바이스에 상기 그룹 아이디 및 그룹 키를 할당하는 단계를 포함하는 IoT 환경에서 P2P 데이터 보안 서비스 제공 방법이 제공된다.

Description

IoT 환경에서 P2P 데이터 보안 서비스 제공 방법 및 장치
본 발명은 IoT 환경에서 P2P 데이터 보안 서비스 제공 방법 및 장치에 관한 것이다.
사물 인터넷(Internet of Things, IoT)은 각종 사물에 센서와 통신 기능을 내장하여 인터넷에 연결하는 기술을 의미한다. 여기서 사물이란 가전제품, 모바일 단말, 웨어러블 컴퓨터 등 다양한 임베디드 장치가 된다.
사물 인터넷에 연결되는 사물들은 자신을 구별할 수 있는 유일한 IP를 가지고 인터넷에 연결되어야 하며, 외부 환경으로부터의 데이터 취득을 위해 센서를 내장할 수 있다.
근래에 사용자가 소지하고 있는 모바일 단말에 어플리케이션을 설치하여 댁내 다양한 기기를 제어할 수 있도록 지원하고 있다.
상기한 바와 같이, IoT 기술은 모든 사물이 네트워크를 통해 연결되어 제어가 가능한 편리한 점을 제공하기도 하지만, 사물이 해킹의 대상이 될 수 있어 보안 문제가 필수적으로 해결되어야 한다.
여기서 보안은, E2E(End to End) 기반 IoT 환경에서 P2P(Peer to Peer) 간의 데이터를 보호하는 것을 의미한다.
IoT 환경에서 보안을 유지하기 위해 모바일 단말 및 각 가전제품이 인증 서버와 연동하여 인증을 수행하게 되면 P2P 통신 연결 시 인증 서버와 연결이 필요하므로 매우 비효율적인 문제가 있었다.
또한, 가전제품이 실질적으로 인터넷과 연결되지 않은 경우가 다수 존재하여 인증 서버에 접속하지 못하는 문제점이 있다.
상기한 바와 같은 종래기술의 문제점을 해결하기 위해, 본 발명에서는 IoT 환경에서 효율적으로 보안을 유지하면서 통신할 수 있도록 하는 IoT 환경에서 P2P 데이터 보안 서비스 제공 방법 및 장치를 제안하고자 한다.
본 발명의 다른 목적들은 하기의 실시예를 통해 당업자에 의해 도출될 수 있을 것이다.
상기한 목적을 달성하기 위해 본 발명의 바람직한 일 실시예에 따르면, 복수의 디바이스와 네트워크를 통해 연결되는 IoT 플랫폼에서 디바이스 간 P2P 데이터 보안 서비스를 제공하는 방법으로서, 제1 디바이스의 인증서 또는 고유키 중 적어도 하나를 이용하여 상기 제1 디바이스를 인증하는 단계; 상기 제1 디바이스의 인증이 완료되면, 상기 제1 디바이스와 보안 채널을 형성하고 상기 제1 디바이스에 그룹 아이디 및 그룹 키를 할당하는 단계; 및 상기 제1 디바이스에 의해 요청된 제2 디바이스에 상기 그룹 아이디 및 그룹 키를 할당하는 단계를 포함하는 IoT 환경에서 P2P 데이터 보안 서비스 제공 방법이 제공된다.
상기 제1 디바이스에 그룹 아이디 및 그룹 키를 할당하는 단계는 E2E(end-to-end) 세션 키 교환을 통해 수행될 수 있다.
상기 제2 디바이스에 상기 그룹 아이디 및 그룹 키를 할당하는 단계는, 상기 제2 디바이스가 상기 제1 디바이스로부터 전송된 토큰(token)을 통해 상기 IoT 플랫폼에 접속하는 경우에 수행될 수 있다.
상기 제1 디바이스 및 상기 제2 디바이스는, 상기 그룹 키를 통해 암호화된 인증 데이터를 송수신하고, 상기 암호화된 인증 데이터가 복호화되면 상호간의 가상 디바이스 아이디를 저장하며, 상기 가상 디바이스 아이디 저장 이후, P2P 세션 키 교환을 통해 보안 채널을 형성할 수 있다.
상기 그룹 아이디는 마스터 그룹 아이디이며, 상기 제1 디바이스의 권한 설정 변경에 의해 제3 디바이스의 상기 제2 디바이스 제어를 위한 서브 그룹이 설정될 수 있다.
상기 제1 디바이스의 인증 단계에 선행하여, 서비스 프로바이더의 서버에 접속한 제1 디바이스로부터 상기 서버가 상기 제1 디바이스에 제공한 토큰을 검증하는 단계; 및 상기 토큰 검증이 완료되면 상기 제1 디바이스로 상기 인증서를 전송하는 단계를 포함할 수 있다.
상기 IoT 플랫폼은 상기 제1 디바이스를 인증하는 인증 서버 및 상기 제1 디바이스로 인증서를 전송하는 인증서 다운로드 서버를 포함할 수 있다.
상기 제2 디바이스는 제조 과정에서 미리 할당되거나 상기 IoT 플랫폼과의 프로비저닝을 통해 제공된 인증서를 저장할 수 있다.
상기 제1 디바이스는 모바일 단말 또는 홈 서버이며, 상기 제2 디바이스는 상기 모바일 단말 또는 홈 서버에 의해 제어되는 댁내에 위치한 복수의 디바이스일 수 있다.
본 발명의 다른 측면에 따르면, 상기한 방법을 수행하기 위한 일련의 명령을 포함하는 매체에 저장된 컴퓨터 프로그램이 제공된다.
본 발명의 또 다른 측면에 따르면, 복수의 디바이스와 네트워크를 통해 연결되는 장치로서, 프로세서; 및 상기 프로세서에 의해 연결된 메모리를 포함하되, 상기 메모리는, 제1 디바이스와 인증서 및 고유키 중 적어도 하나를 교환하여 상기 제1 디바이스를 인증하고, 인증이 완료되면, 상기 제1 디바이스와 보안 채널이 형성되도록 하고, 상기 제1 디바이스에 그룹 아이디 및 그룹 키를 할당하고, 상기 제1 디바이스에 의해 요청된 제2 디바이스에 상기 그룹 아이디 및 그룹 키를 할당하도록, 상기 프로세서에 의해 실행 가능한 프로그램 명령어들을 저장하는 IoT 환경에서 P2P 데이터 보안 서비스 제공 장치가 제공된다.
본 발명의 또 다른 측면에 따르면, 네트워크를 통해 인증 서버와 연결되는 IoT 환경에서 디바이스 장치로서, 프로세서; 및 상기 프로세서에 의해 연결된 메모리를 포함하되, 상기 메모리는, 미리 저장된 인증서 및 고유키 중 적어도 하나를 통해 상기 인증 서버로부터 인증을 받고, 인증이 완료되면, 상기 인증 서버와 보안 채널이 형성되도록 하고, 상기 인증 서버로부터 수신된 그룹 아이디 및 그룹 키를 수신하여 저장하고, 다른 디바이스가 상기 인증 서버로부터 상기 그룹 아이디 및 그룹 키를 할당 받기 위해 상기 다른 디바이스로 토큰을 전송하도록, 상기 프로세서에 의해 실행 가능한 프로그램 명령어들을 저장하는 IoT 환경에서 디바이스 장치가 제공된다.
본 발명에 따르면, 인증 서버에 의해 인증 완료된 디바이스에 대해 그룹 키를 도입하여 간편한 방법으로 IoT 환경에서 P2P 데이터 보안을 유지할 수 있는 장점이 있다.
도 1은 본 발명의 바람직한 일 실시예에 따른 IoT 환경에서 P2P 데이터 보안 서비스 제공 시스템 구성을 도시한 도면이다.
도 2는 본 발명의 일 실시예에 따른 디바이스에 인증서를 할당하는 과정을 도시한 흐름도이다.
도 3은 본 발명의 일 실시예에 따른 그룹 아이디 할당 과정을 도시한 흐름도이다.
도 4는 본 발명의 일 실시예에 따른 서로 다른 디바이스간 P2P 세션 설정 과정을 도시한 흐름도이다.
도 5는 본 발명의 일 실시예에 따른 서브 그룹 설정 과정을 도시한 흐름도이다.
도 6은 본 발명의 일 실시예에 따른 인증 서버의 상세 구성을 도시한 도면이다.
도 7은 본 발명의 일 실시예에 따른 디바이스의 상세 구성을 도시한 도면이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다.
이하에서, 본 발명에 따른 실시예들을 첨부된 도면을 참조하여 상세하게 설명한다.
도 1은 본 발명의 바람직한 일 실시예에 따른 IoT 환경에서 P2P 데이터 보안 서비스 제공 시스템의 구성을 도시한 도면이다.
도 1에 도시된 바와 같이, 본 실시예에 따른 시스템은 인증 서버(100), 프로비저닝 서버(102), 인증서 다운로드 서버(104) 및 인증서 발급 서버(106)를 포함할 수 있다.
본 명세서에서는 상기한 복수의 서버가 IoT 환경에서 개별 디바이스간 통신 보안을 위한 서비스를 제공한다는 점에서 IoT 플랫폼으로 정의한다.
도 1에서는 IoT 플랫폼이 복수의 서버로 이루어진 것으로 도시하였으나, 이는 일예에 불과할 뿐, 단일 서버가 P2P 데이터 보안 서비스를 제공하는 것도 본 발명의 범주에 포함될 수 있다.
여기서, IoT 플랫폼 중 인증 서버(100) 및 인증서 다운로드 서버(104)는 네트워크를 통해 디바이스(108)와 연결된다. 네트워크는 유무선 인터넷망, 이동 통신망 등을 모두 포함할 수 있다.
인증 서버(100)는 접속된 디바이스의 인증 과정을 수행하며, 인증서를 갖는 디바이스에 가상 디바이스 아이디(virtual device id), 그룹 아이디(group id) 및 그룹 키를 할당한다.
프로비저닝 서버(102)는 가입자/디바이스 관리를 수행하며, 각 디바이스에 할당되는 인증서를 관리한다.
인증서 다운로드 서버(104)는 인증 서버(100)와 연동하여 검증(verification)이 완료된 디바이스로 인증서를 전송한다.
바람직하게, 아이디/패스워드를 통해 서비스 프로바이더(예를 들어, 웹 포털 사업자 서버)에 디바이스(108)가 로그인되면, 인증서 다운로드 서버(104)는 디바이스(108)가 인증 서버(100)로부터 전송 받은 토큰을 통해 디바이스(108)의 검증을 수행한다.
인증서 발급 서버(106)는 프로비저닝 서버(102)와 연동하여 특정 디바이스를 위한 인증서를 발급한다.
본 발명의 바람직한 일 실시예에 따르면, 인증 서버(100)는 제1 디바이스(108-1)가 다른 제2 디바이스(108-2)와의 그룹 설정을 요청하는 경우, 제2 디바이스(108-2)에 가상 디바이스 아이디를 할당하고 또한 제1 디바이스(108-1)에 할당한 것과 동일한 그룹 아이디 및 그룹 키를 할당한다.
본 발명의 바람직한 일 실시예에 따르면, 동일한 그룹 아이디 및 그룹 키를 할당 받은 복수의 디바이스들은 P2P 데이터 교환 시 인증 서버(100)에 접속할 필요 없이 그룹 아이디에 대한 그룹 키를 이용하여 상호간 인증을 수행하고 보안 채널을 형성한다.
본 실시예에 따른 제1 디바이스(108-1)는 어플리케이션이 설치되며 네트워크 연결이 가능한 모바일 단말, 노트북, 태블릿 PC 또는 데스크탑 PC일 수 있다.
제2 디바이스(108-2)는 댁내 가전제품 및 기타 전자/전기 기기를 포함할 수 있다.
이하에서는 도면을 참조하여 IoT 환경에서 P2P 데이터 보안 서비스를 제공하는 과정을 상세하게 설명한다.
도 2는 본 발명의 일 실시예에 따른 디바이스에 인증서를 할당하는 과정을 도시한 흐름도이다.
도 2를 참조하면, 디바이스(108)는 아이디 및 패스워드를 서비스 프로바이더로 전송한다(단계 200).
예를 들어, 서비스 프로바이더는 포털 서비스를 제공하는 사업자(예를 들어, NAVER, GOOGLE 등)의 웹서버일 수 있다. 그러나, 이에 한정됨이 없어 서비스 프로바이더는 모바일 단말이 어플리케이션을 통해 접속하는 서버일 수도 있다.
서비스 프로바이더는 아이디/패스워드가 미리 등록된 사용자의 정보와 일치하는 경우, 토큰(token)을 포함하는 인증 응답을 디바이스(108)로 전송한다(단계 202).
이후, 디바이스(108)와 인증서 다운로드 서버(104)는 토큰을 통해 보안 채널(Secure channel)을 형성한다(단계 204).
인증서 다운로드 서버(104)는 서비스 프로바이더로 토큰 검증을 요청하고(단계 206), 서비스 프로바이더는 검증 결과를 인증서 다운로드 서버(104)로 전송한다(단계 208).
토큰 검증이 완료되는 경우, 디바이스(108)는 인증서 다운로드 서버(104)로 인증서를 요청하고(단계 210), 인증서 다운로드 서버(104)는 인증서 발급 서버(106)에서 발급된 인증서를 전송한다(단계 212).
이후, 디바이스(108)는 인증서를 저장한다(단계 214).
도 2는 인증서가 미리 저장되는 않은 디바이스(108)가 수행하는 과정으로서, 디바이스가 모바일 단말인 경우에는 서비스 프로바이더에 로그인된 경우에 인증서 다운로드 절차가 수행될 수 있다.
도 3은 본 발명의 일 실시예에 따른 그룹 아이디 할당 과정을 도시한 흐름도이다.
도 3의 디바이스는 도 2의 과정을 통해 인증서를 저장하거나 또는 제조 과정에서 인증서가 미리 탑재된 디바이스일 수 있다.
도 3에서 IoT 플랫폼은 인증 서버(100)일 수 있다.
도 3을 참조하면, 디바이스(108)와 인증 서버(100)는 인증 및 세션 관리를 수행한다.
보다 상세하게, 인증 서버(100)는 도 2의 과정을 통해 디바이스(108)가 미리 저장한 인증서 및 고유키 중 적어도 하나를 이용하여 디바이스(108)에 대한 인증을 수행한다(단계 300).
인증 서버(100)는 디바이스(108)에 대한 인증이 완료되면 디바이스(108)로 가상 디바이스 아이디(virtual device id)를 전송한다(단계 302).
디바이스(108)는 할당된 가상 디바이스 아이디를 저장한다(단계 304).
이후, 인증 서버(100)와 디바이스(108)는 E2E 세션키 교환을 통해 보안 채널을 형성한다(단계 306).
단계 306은 인증 서버(100)와 디바이스(108)가 데이터를 E2E 세션키로 암호화하여 송수신하는 것을 의미한다.
보안 채널 형성 후, 인증 서버(100)는 디바이스(108)로 그룹 아이디를 전송한다(단계 308).
디바이스(108)는 인증 서버(100)로부터 암호화되어 전송된 그룹 아이디를 E2E 세션키를 통해 복호화하여 저장한다(단계 310).
다음으로 인증 서버(100)와 디바이스(108)는 그룹 키를 교환한다(단계 312). 여기서, 그룹 키는 서로 다른 디바이스가 동일한 그룹에 속하는지를 판단하기 위한 키로서, 디바이스 상호간 인증을 위해 사용된다.
단계 312에서, 인증 서버(100)는 그룹 키를 디바이스(108)로 전송하고, 디바이스(108)는 그룹 키를 저장한다.
본 실시예에 따르면, 디바이스(108)가 사용자가 소지한 모바일 단말인 경우, 인증서가 미리 저장된 모바일 단말이 인증 서버(100)에 접속하여 그룹 아이디 및 그룹 키를 할당 받을 수 있다.
한편, 디바이스(108)가 댁내에 설치된 가전 제품인 경우, 디바이스(108)는 그룹 아이디를 이미 할당 받은 모바일 단말로부터 토큰을 전송받고, 해당 토큰을 통해 인증 서버(100)에 접속하여 모바일 단말과 동일한 그룹 아이디를 할당 받을 수 있다.
토큰을 통한 그룹 아이디 할당 과정은 모바일 단말을 통한 요청에 의해서뿐만 아니라, 댁내 가전 제품과 연결된 마스터 디바이스(예를 들어, 홈 서버)의 요청에 의해 이루어질 수도 있다.
도 4는 본 발명의 일 실시예에 따른 서로 다른 디바이스간 P2P 세션 설정 과정을 도시한 흐름도이다.
도 4는 인증 서버(100)에 의해 사전에 인증이 완료되고, 또한 가상 디바이스 아이디 및 그룹 아이디를 할당 받은 디바이스간에 수행되는 과정을 도시한 것이다.
도 4를 참조하면, 제1 디바이스(108-1)와 제2 디바이스(108-2)는 가상 디바이스 아이디를 교환한다(단계 400).
또한, 제1 디바이스(108-1)와 제2 디바이스(108-2)는 그룹 아이디를 교환한다(단계 402).
단계 402에서, 제1 디바이스(108-1)는 인증 데이터를 미리 저장된 그룹 아이디에 상응하는 제1 그룹 키를 통해 암호화하여 제2 디바이스(108-2)로 전송하고, 제2 디바이스(108-2)는 자신의 그룹 아이디에 상응하는 제2 그룹 키를 통해 수신된 인증 데이터를 복호화한다. 여기서 인증 데이터는 랜덤하게 생성된 난수일 수 있다.
복호화가 이루어지는 경우, 제2 디바이스(108)는 제1 디바이스(108-1)의 가상 디바이스 아이디를 저장한다(단계 404).
또한, 단계 402에서 제2 디바이스(108-2)는 제2 그룹 키로 인증 데이터를 암호화하여 제1 디바이스(108-1)로 전송한다.
제1 디바이스(108-1)가 제1 그룹 키를 이용하여 암호화된 인증 데이터를 복호화하면 제2 디바이스(108-2)의 가상 디바이스 아이디를 저장한다(단계 406).
즉, 제1 디바이스(108-1)와 제2 디바이스(108-2)가 동일한 그룹에 속하면 제1 그룹 키 및 제2 그룹 키가 동일하므로, 각자의 그룹 키로 인증 데이터를 복호화할 수 있다.
상기한 과정을 통해 제1 및 제2 디바이스(108-1 및 106-2) 상호간에 인증이 완료된다.
상호간 인증이 완료된 이후, 제1 디바이스(108-1) 및 제2 디바이스(108-2)는 P2P 세션 키를 교환한다(단계 408).
여기서 P2P 세션 키는 상호 간에 데이터를 송수신할 때 암호화 및 복호화를 위해 사용되는 키로써, 이를 통해 제1 디바이스(108-1) 및 제2 디바이스(108-2) 사이에 P2P 데이터의 보안이 유지될 수 있다.
본 발명의 바람직한 일 실시예에 따르면, 제1 디바이스(108-1)가 제2 디바이스(108-2)와의 그룹 설정을 인증 서버(100)에 요청함에 따라 생성된 그룹 아이디는 마스터 그룹 아이디일 수 있으며, 제1 디바이스(108-1)는 제2 디바이스(108-2)를 제어하는 마스터 디바이스로 정의된다. 그러나, 제1 디바이스(108-1) 외에 다른 사용자의 제3 디바이스(108-3)가 제2 디바이스(108-2)를 제어하도록 지원할 수 있다.
도 5는 본 발명의 일 실시예에 따른 서브 그룹 설정 과정을 도시한 흐름도이다.
도 5는 다른 사용자의 제3 디바이스(108-3)와 제1 디바이스(108-1)와 동일한 그룹으로 설정된 제2 디바이스(108-2) 간에 서브 그룹을 설정하는 과정이다.
도 5의 과정은 제1 디바이스(108-1)가 다른 사용자의 요청에 따라 제2 디바이스(108-2)의 권한 설정을 변경하는 경우에 수행된다. 또한, 제3 디바이스(108-3)은 도 2의 과정을 통해 인증서를 저장하고, 도 3의 과정을 통해 그룹 아이디 및 그룹 키를 할당 받은 상태일 수 있다.
본 발명의 일 실시예에 따르면, 제1 디바이스(108-1)와 제2 디바이스(108-2)가 동일한 그룹으로 설정되는 경우, “서브 그룹 허용 안함”이 디폴트로 권한 설정될 수 있다.
여기서, 권한 설정 변경은 제1 디바이스(108-1)의 사용자가 제2 디바이스(108-2)에 대해 “서브 그룹 허용”으로 권한 설정을 변경하는 것을 의미한다.
도 5를 참조하면, 제3 디바이스(108-3)는 제2 디바이스(108-2)로 초기 접속 정보를 전송한다(단계 500).
단계 500의 초기 접속 정보는 제3 디바이스 아이디, 제3 디바이스의 시리얼 넘버, Pre-shared long term secret key 의 유효성 검사 정보(E(Kps, xxxx)), 디바이스 고유 개인키에 대한 유효성 검사 정보(E(Kp, yyyy))를 포함할 수 있다.
제2 디바이스(108-2)는 초기 접속 정보에 대한 응답을 전송한다(단계 502).
이후, 제3 디바이스(108-3)는 제2 디바이스(108-2)로 그룹 아이디를 포함하는 그룹 조인 요청을 전송한다(단계 504).
제2 디바이스(108-2)는 그룹 조인 요청에 대한 응답을 전송한다(단계 506).
다음으로, 제3 디바이스(108-3)는 제2 디바이스(108-2)로 그룹 키를 전송하고(단계 508), 제2 디바이스(108-2)는 제3 디바이스(108-3)로 이에 대한 응답을 전송한다(단계 510).
도 5의 과정을 통해 제3 디바이스(108-3)가 제2 디바이스(108-2)의 제어를 위한 서브 그룹이 설정된 이후, 제1 디바이스(108-3)의 사용자는 제3 디바이스(108-3) 외에 타 디바이스가 서브 그룹으로 설정되는 것을 제한하기 위하여 제2 디바이스(108-2)에 대해 “서브 그룹 허용 안함”으로 권한 설정을 변경한다.
제3 디바이스(108-3)가 서브 디바이스로써 제2 디바이스(108-2)를 제어할 경우, 마스터 디바이스와 제어할 수 있는 기능이 제한적일 수 있다. 예를 들어, 제2 디바이스(108-2)가 도어락인 경우, 제3 디바이스(108-3)는 도어락의 기본 기능(예를 들어, 온/오프 기능)만 제어할 수 있고, 비밀번호 변경이나 지문 변경, 그 외 도어락의 기능들에 대해서는 제어 권한이 없을 수 있다.
만약, 더 많은 제어 권한을 얻고자 할 경우에는 제1 디바이스(108-1)가 제2 디바이스(108-2)에 대한 “서브 그룹 허용”과 함께 특정 기능들에 대한 제어 권한을 선택적으로 허용할 수도 있다.
도 6은 본 발명의 일 실시예에 따른 인증 서버의 상세 구성을 도시한 도면이다.
도 6을 참조하면, 본 실시예에 따른 인증 서버(100)는 통신부(600), 프로세서(602) 및 메모리(604)를 포함할 수 있다.
통신부(600)는 디바이스(108)로부터 디바이스의 고유키를 통해 암호화된 데이터를 수신하고, 디바이스 인증이 완료되는 경우, 가상 디바이스 아이디, 그룹 아이디 및 그룹 키를 전송한다.
프로세서(602)는 컴퓨터 프로그램을 실행할 수 있는 CPU(central processing unit)나 그밖에 가상 머신 등을 포함할 수 있다.
메모리(604)는 고정식 하드 드라이브나 착탈식 저장 장치와 같은 불휘발성 저장 장치를 포함할 수 있다. 착탈식 저장 장치는 컴팩트 플래시 유닛, USB 메모리 스틱 등을 포함할 수 있다. 메모리(604)는 각종 랜덤 액세스 메모리와 같은 휘발성 메모리도 포함할 수 있다.
이와 같은 메모리(604)에는 프로세서(602)에 의해 실행 가능한 프로그램 명령어들이 저장된다.
보다 상세하게, 인증 서버(100)의 메모리(604)에는 제1 디바이스(108-1)와 인증서 및 고유키를 교환하여 제1 디바이스(108-1)를 인증하고, 인증이 완료되면, E2E(end-to-end) 세션 키를 교환을 통해 보안 채널이 형성되도록 하고, 제1 디바이스(108-1)에 그룹 아이디 및 그룹 키를 할당하도록 하는 프로그램 명령어들이 저장된다.
또한, 메모리(604)에는 제1 디바이스(108-1)에 의해 요청된 다른 디바이스(제2 디바이스, 106-2) 에 상기한 그룹 아이디 및 그룹 키를 할당하도록 하는 프로그램 명령어들이 저장된다.
여기서, 제2 디바이스(108-2)로의 그룹 아이디 및 그룹 키 할당은 제1 디바이스(108-1)가 전송한 토큰을 통해 제2 디바이스(108-2)가 인증 서버(100)에 접속하는 경우에 수행될 수 있다.
도 7은 본 발명의 일 실시예에 따른 디바이스의 상세 구성을 도시한 도면이다.
도 7을 참조하면, 본 실시예에 따른 디바이스는 통신부(700), 프로세서(702), 메모리(704) 및 저장부(706)를 포함할 수 있다.
통신부(700)는 인증 서버(100)와 통신하여 인증 절차가 수행될 수 있도록 하며, 또한, 다른 디바이스와 데이터를 송수신한다.
프로세서(702)는 IoT 환경에서 P2P 데이터 보안에 관한 전반적인 제어 과정을 수행한다.
디바이스의 메모리(704)에는 저장부(706)에 저장된 인증서 및 고유키를 통해 인증 서버(100)로 인증을 위한 정보가 전송되도록 하고, 인증이 완료되면, E2E(end-to-end) 세션 키를 교환을 통해 보안 채널이 형성되도록 하고, 인증 서버(100)로부터 수신된 제1 그룹 아이디 및 제1 그룹 키가 저장부(706)에 저장되도록 하는 프로그램 명령어들이 저장된다.
또한, 디바이스의 메모리(706)에는 다른 디바이스(제2 디바이스, 106-2)가 인증 서버(100)로부터 제1 그룹 아이디 및 제1 그룹 키를 할당 받기 위해 제2 디바이스로 토큰이 전송되도록 하는 프로그램 명령어들이 저장된다.
이상과 같이 본 발명에서는 구체적인 구성 요소 등과 같은 특정 사항들과 한정된 실시예 및 도면에 의해 설명되었으나 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상적인 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다. 따라서, 본 발명의 사상은 설명된 실시예에 국한되어 정해져서는 아니되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등하거나 등가적 변형이 있는 모든 것들은 본 발명 사상의 범주에 속한다고 할 것이다.

Claims (13)

  1. 복수의 디바이스와 네트워크를 통해 연결되는 IoT 플랫폼에서 디바이스 간 P2P 데이터 보안 서비스를 제공하는 방법으로서,
    제1 디바이스의 인증서 또는 고유키 중 적어도 하나를 이용하여 상기 제1 디바이스를 인증하는 단계;
    상기 제1 디바이스의 인증이 완료되면, 상기 제1 디바이스와 보안 채널을 형성하고 상기 제1 디바이스에 그룹 아이디 및 그룹 키를 할당하는 단계; 및
    상기 제1 디바이스에 의해 요청된 제2 디바이스에 상기 그룹 아이디 및 그룹 키를 할당하는 단계를 포함하는 IoT 환경에서 P2P 데이터 보안 서비스 제공 방법.
  2. 제1항에 있어서,
    상기 제1 디바이스에 그룹 아이디 및 그룹 키를 할당하는 단계는 E2E(end-to-end) 세션 키 교환을 통해 수행되는 IoT 환경에서 P2P 데이터 보안 서비스 제공 방법.
  3. 제1항에 있어서,
    상기 제2 디바이스에 상기 그룹 아이디 및 그룹 키를 할당하는 단계는,
    상기 제2 디바이스가 상기 제1 디바이스로부터 전송된 토큰(token)을 통해 상기 IoT 플랫폼에 접속하는 경우에 수행되는 IoT 환경에서 P2P 데이터 보안 서비스 제공 방법.
  4. 제1항에 있어서,
    상기 제1 디바이스 및 상기 제2 디바이스는, 상기 그룹 키를 통해 암호화된 인증 데이터를 송수신하고, 상기 암호화된 인증 데이터가 복호화되면 상호간의 가상 디바이스 아이디를 저장하며, 상기 가상 디바이스 아이디 저장 이후, P2P 세션 키 교환을 통해 보안 채널을 형성하는 IoT 환경에서 P2P 데이터 보안 서비스 제공 방법.
  5. 제1항에 있어서,
    상기 그룹 아이디는 마스터 그룹 아이디이며, 상기 제1 디바이스의 권한 설정 변경에 의해 제3 디바이스의 상기 제2 디바이스 제어를 위한 서브 그룹이 설정되는 IoT 환경에서 P2P 데이터 보안 서비스 제공 방법.
  6. 제1항에 있어서,
    상기 제1 디바이스의 인증 단계에 선행하여,
    서비스 프로바이더의 서버에 접속한 제1 디바이스로부터 상기 서버가 상기 제1 디바이스에 제공한 토큰을 검증하는 단계; 및
    상기 토큰 검증이 완료되면 상기 제1 디바이스로 상기 인증서를 전송하는 단계를 포함하는 IoT 환경에서 P2P 데이터 보안 서비스 제공 방법.
  7. 제1항에 있어서,
    상기 IoT 플랫폼은 상기 제1 디바이스를 인증하는 인증 서버 및 상기 제1 디바이스로 인증서를 전송하는 인증서 다운로드 서버를 포함하는 IoT 환경에서 P2P 데이터 보안 서비스 제공 방법.
  8. 제1항에 있어서,
    상기 제2 디바이스는 제조 과정에서 미리 할당되거나 상기 IoT 플랫폼과의 프로비저닝을 통해 제공된 인증서를 저장하는 IoT 환경에서 P2P 데이터 보안 서비스 제공 방법.
  9. 제1항에 있어서,
    상기 제1 디바이스는 모바일 단말 또는 홈 서버이며, 상기 제2 디바이스는 상기 모바일 단말 또는 홈 서버에 의해 제어되는 댁내에 위치한 복수의 디바이스인 IoT 환경에서 P2P 데이터 보안 서비스 제공 방법.
  10. 제1항에 따른 방법을 수행하기 위한 일련의 명령을 포함하는 매체에 저장된 컴퓨터 프로그램.
  11. 복수의 디바이스와 네트워크를 통해 연결되는 장치로서,
    프로세서; 및
    상기 프로세서에 의해 연결된 메모리를 포함하되,
    상기 메모리는,
    제1 디바이스와 인증서 및 고유키 중 적어도 하나를 교환하여 상기 제1 디바이스를 인증하고,
    인증이 완료되면, 상기 제1 디바이스와 보안 채널이 형성되도록 하고,
    상기 제1 디바이스에 그룹 아이디 및 그룹 키를 할당하고,
    상기 제1 디바이스에 의해 요청된 제2 디바이스에 상기 그룹 아이디 및 그룹 키를 할당하도록,
    상기 프로세서에 의해 실행 가능한 프로그램 명령어들을 저장하는 IoT 환경에서 P2P 데이터 보안 서비스 제공 장치.
  12. 네트워크를 통해 인증 서버와 연결되는 IoT 환경에서 디바이스 장치로서,
    프로세서; 및
    상기 프로세서에 의해 연결된 메모리를 포함하되,
    상기 메모리는,
    미리 저장된 인증서 및 고유키 중 적어도 하나를 통해 상기 인증 서버로부터 인증을 받고,
    인증이 완료되면, 상기 인증 서버와 보안 채널이 형성되도록 하고,
    상기 인증 서버로부터 수신된 그룹 아이디 및 그룹 키를 수신하여 저장하고,
    다른 디바이스가 상기 인증 서버로부터 상기 그룹 아이디 및 그룹 키를 할당 받기 위해 상기 다른 디바이스로 토큰을 전송하도록,
    상기 프로세서에 의해 실행 가능한 프로그램 명령어들을 저장하는 IoT 환경에서 디바이스 장치.
  13. 제12항에 있어서,
    상기 메모리는,
    상기 다른 디바이스로부터 암호화된 인증 데이터를 수신하고,
    상기 암호화된 인증 데이터가 상기 그룹 키로 복호화되면, 상기 다른 디바이스의 가상 디바이스 아이디를 저장하며,
    상기 가상 디바이스 아이디 저장 이후, P2P 세션 키 교환을 통해 보안 채널을 형성하도록,
    상기 프로세서에 의해 실행 가능한 프로그램 명령어들을 저장하는 IoT 환경에서 디바이스 장치.
PCT/KR2017/005577 2016-05-30 2017-05-29 IoT 환경에서 P2P 데이터 보안 서비스 제공 방법 및 장치 WO2017209467A1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
EP17806960.5A EP3468133B1 (en) 2016-05-30 2017-05-29 Method and apparatus for providing p2p data security service in iot environment

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR10-2016-0066494 2016-05-30
KR1020160066494A KR102560805B1 (ko) 2016-05-30 2016-05-30 IoT 환경에서 P2P 데이터 보안 서비스 제공 방법 및 장치

Publications (1)

Publication Number Publication Date
WO2017209467A1 true WO2017209467A1 (ko) 2017-12-07

Family

ID=60478691

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/KR2017/005577 WO2017209467A1 (ko) 2016-05-30 2017-05-29 IoT 환경에서 P2P 데이터 보안 서비스 제공 방법 및 장치

Country Status (3)

Country Link
EP (1) EP3468133B1 (ko)
KR (1) KR102560805B1 (ko)
WO (1) WO2017209467A1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108881021A (zh) * 2018-05-08 2018-11-23 常熟理工学院 一种高效可靠的物联网实现方法
CN112262546A (zh) * 2019-01-04 2021-01-22 百度时代网络技术(北京)有限公司 用于数据处理加速器的密钥分配和交换的方法和系统

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102032032B1 (ko) * 2017-12-22 2019-11-08 단국대학교 산학협력단 사물 인터넷 디바이스를 위한 dtls 기반 종단간 보안 방법
KR102135710B1 (ko) * 2018-05-16 2020-07-20 주식회사 시옷 하드웨어 보안 모듈

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20140045829A (ko) * 2012-10-09 2014-04-17 에스케이텔레콤 주식회사 사물 인터넷을 위한 인증 방법과 그를 위한 디바이스 및 인증 장치
KR20160000455A (ko) * 2013-04-30 2016-01-04 린텍 가부시키가이샤 디스플레이용 광확산 필름 및 그것을 사용한 표시 장치
KR20160020816A (ko) * 2014-08-14 2016-02-24 삼성전자주식회사 그룹단말의 프로파일 설치 방법
US20160088478A1 (en) * 2014-08-10 2016-03-24 Belkin International, Inc. Setup of multiple iot network devices
KR20160054662A (ko) * 2014-11-06 2016-05-17 주식회사 케이티 효율적 동적 그룹 인증 방법

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7068789B2 (en) * 2001-09-19 2006-06-27 Microsoft Corporation Peer-to-peer name resolution protocol (PNRP) group security infrastructure and method
US8041942B2 (en) * 2006-09-05 2011-10-18 Panasonic Corporation Robust peer-to-peer networks and methods of use thereof
KR101621044B1 (ko) 2014-09-03 2016-05-23 주식회사 헤리트 IoT 환경에서 공개키 배포를 이용한 정보 보안 장치 및 방법
KR102297475B1 (ko) * 2014-10-17 2021-09-02 삼성전자주식회사 사물 인터넷을 위한 단말 및 그 동작 방법

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20140045829A (ko) * 2012-10-09 2014-04-17 에스케이텔레콤 주식회사 사물 인터넷을 위한 인증 방법과 그를 위한 디바이스 및 인증 장치
KR20160000455A (ko) * 2013-04-30 2016-01-04 린텍 가부시키가이샤 디스플레이용 광확산 필름 및 그것을 사용한 표시 장치
US20160088478A1 (en) * 2014-08-10 2016-03-24 Belkin International, Inc. Setup of multiple iot network devices
KR20160020816A (ko) * 2014-08-14 2016-02-24 삼성전자주식회사 그룹단말의 프로파일 설치 방법
KR20160054662A (ko) * 2014-11-06 2016-05-17 주식회사 케이티 효율적 동적 그룹 인증 방법

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108881021A (zh) * 2018-05-08 2018-11-23 常熟理工学院 一种高效可靠的物联网实现方法
CN112262546A (zh) * 2019-01-04 2021-01-22 百度时代网络技术(北京)有限公司 用于数据处理加速器的密钥分配和交换的方法和系统
CN112262546B (zh) * 2019-01-04 2024-04-23 百度时代网络技术(北京)有限公司 用于数据处理加速器的密钥分配和交换的方法和系统

Also Published As

Publication number Publication date
KR102560805B1 (ko) 2023-07-28
KR20170135103A (ko) 2017-12-08
EP3468133A4 (en) 2019-05-01
EP3468133A1 (en) 2019-04-10
EP3468133B1 (en) 2021-03-17

Similar Documents

Publication Publication Date Title
WO2017209467A1 (ko) IoT 환경에서 P2P 데이터 보안 서비스 제공 방법 및 장치
WO2019035700A1 (en) METHOD AND APPARATUS FOR BOARDING IN AN IOT NETWORK
KR100664312B1 (ko) 홈 네트워크 환경에서 홈 디바이스 인증 방법 및 장치
WO2018026030A1 (ko) 차량 및 그 제어방법
WO2011115407A2 (en) Method and system for secured remote provisioning of a universal integrated circuit card of a user equipment
US10735195B2 (en) Host-storage authentication
WO2009110703A2 (ko) 홈 네트워크에서 인증 정보를 관리하는 방법 및 그 장치
WO2019132272A1 (ko) 블록체인 기반의 서비스로서의 아이디
WO2015147547A1 (en) Method and apparatus for supporting login through user terminal
WO2018151390A1 (ko) 사물 인터넷 장치
WO2012093900A2 (en) Method and device for authenticating personal network entity
WO2010041915A2 (en) System and method for setting up security for controlled device by control point in a home network
CA2407482A1 (en) Security link management in dynamic networks
WO2019182377A1 (ko) 블록체인 기반 암호화폐의 트랜잭션에 이용되는 주소 정보 생성 방법, 전자 장치 및 컴퓨터 판독 가능한 기록 매체
WO2012099330A2 (ko) Cpns 환경에서 사용자 인증을 위한 인증키 발급 시스템 및 방법
WO2012044072A2 (ko) 융합형 네트워크에서 사용자 키를 할당하기 위한 방법
WO2021145555A1 (ko) 블록 체인을 기반으로 한 다중 노드 인증 방법 및 이를 위한 장치
WO2014003516A1 (ko) 데이터 공유 제공 방법 및 장치
WO2019221419A1 (ko) 하드웨어 보안 모듈
WO2015178597A1 (ko) Puf를 이용한 비밀키 업데이트 시스템 및 방법
KR20050116821A (ko) 보안 리키잉과 로그 오프를 이용한 wlan 세션 관리기술
WO2013048055A1 (ko) 인증매체, 인증단말, 인증서버 및 이들을 이용한 인증방법
WO2021020918A1 (ko) 논리적 내부 네트워크를 제공하는 방법, 이를 구현하는 모바일 단말 및 어플리케이션
WO2018004114A2 (ko) 프록시 서비스 제공을 위한 프록시 인증시스템 및 인증방법
EP4320821A1 (en) Method and system for self-onboarding of iot devices

Legal Events

Date Code Title Description
NENP Non-entry into the national phase

Ref country code: DE

121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 17806960

Country of ref document: EP

Kind code of ref document: A1

ENP Entry into the national phase

Ref document number: 2017806960

Country of ref document: EP

Effective date: 20190102