WO2020197283A1 - 전자 디바이스를 인증하기 위한 방법 및 그에 따른 장치 - Google Patents
전자 디바이스를 인증하기 위한 방법 및 그에 따른 장치 Download PDFInfo
- Publication number
- WO2020197283A1 WO2020197283A1 PCT/KR2020/004120 KR2020004120W WO2020197283A1 WO 2020197283 A1 WO2020197283 A1 WO 2020197283A1 KR 2020004120 W KR2020004120 W KR 2020004120W WO 2020197283 A1 WO2020197283 A1 WO 2020197283A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- target device
- authentication information
- server
- key
- electronic device
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
- G07C9/20—Individual registration on entry or exit involving the use of a pass
- G07C9/22—Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60R—VEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
- B60R25/00—Fittings or systems for preventing or indicating unauthorised use or theft of vehicles
- B60R25/01—Fittings or systems for preventing or indicating unauthorised use or theft of vehicles operating on vehicle systems or fittings, e.g. on doors, seats or windscreens
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60R—VEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
- B60R25/00—Fittings or systems for preventing or indicating unauthorised use or theft of vehicles
- B60R25/20—Means to switch the anti-theft system on or off
- B60R25/24—Means to switch the anti-theft system on or off using electronic identifiers containing a code not memorised by the user
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
- G07C9/00174—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
- G07C9/00309—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
- G07C9/00174—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
- G07C9/00571—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated by interacting with a central unit
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
- G07C9/00174—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
- G07C9/00896—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys specially adapted for particular uses
- G07C9/00904—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys specially adapted for particular uses for hotels, motels, office buildings or the like
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
- G07C9/20—Individual registration on entry or exit involving the use of a pass
- G07C9/27—Individual registration on entry or exit involving the use of a pass with central registration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60R—VEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
- B60R2325/00—Indexing scheme relating to vehicle anti-theft devices
- B60R2325/10—Communication protocols, communication systems of vehicle anti-theft devices
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60R—VEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
- B60R2325/00—Indexing scheme relating to vehicle anti-theft devices
- B60R2325/20—Communication devices for vehicle anti-theft devices
- B60R2325/205—Mobile phones
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
- G07C9/00174—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
- G07C9/00309—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks
- G07C2009/00412—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks the transmitted data signal being encrypted
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
- G07C9/00174—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
- G07C2009/00753—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated by active electrical keys
- G07C2009/00769—Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated by active electrical keys with data transmission performed by wireless means
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C2209/00—Indexing scheme relating to groups G07C9/00 - G07C9/38
- G07C2209/60—Indexing scheme relating to groups G07C9/00174 - G07C9/00944
- G07C2209/63—Comprising locating means for detecting the position of the data carrier, i.e. within the vehicle or within a certain distance from the vehicle
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/84—Vehicles
Definitions
- the present disclosure relates to a method and apparatus for authenticating an electronic device, and more particularly, to a method and apparatus for authenticating an electronic device using a digitally signed random value.
- the user of the electronic device can open and close the door using a digital key that replaces the physical key.
- a user of an electronic device can use the digital key for access to and control of the device.
- the present disclosure is intended to provide a method for authenticating an electronic device and an apparatus accordingly.
- a method of operating a target device may include generating a random value based on whether an electronic device is within a predetermined distance from the target device; Transmitting first information including the generated random value and identification information of the target device to the electronic device, and receiving first authentication information obtained based on the first information from the electronic device; Encrypting the received first authentication information and a target device key; Transmitting the encrypted target device key and the first authentication information to a server, and receiving second authentication information obtained based on the first authentication information from the server; And determining whether to open or close the door based on the comparison between the second authentication information and the random value.
- a method of operating a server includes the steps of: receiving a public key for each of one or more electronic devices; Receiving encrypted first authentication information from a first of the one or more electronic devices; Authenticating the first device based on the encrypted first authentication information; And transmitting the second authentication information obtained based on the first authentication information to a target device.
- a method of operating an electronic device includes: receiving from the target device first information including identification information and a random value of a target device; Signing the received first information with a private key of the electronic device, and transmitting first authentication information including the signed first information and identification information of the electronic device to the target device; Transmitting a target device key and the first authentication information received from the target device to the server; And receiving second authentication information obtained based on the first authentication information from the server and transmitting the received second authentication information to the target device.
- a target device includes: a transceiver; A memory for storing at least one or more instructions; And at least one processor for controlling the target device by executing the at least one instruction, wherein the processor generates a random value based on whether the electronic device is within a predetermined distance from the target device, and generates the First information including a random value and identification information of the target device is transmitted to the electronic device to receive first authentication information obtained based on the first information from the electronic device, and the received first The authentication information and the target device key are encrypted, and the encrypted target device key and the first authentication information are transmitted to a server to receive second authentication information obtained based on the first authentication information from the server, and the Whether to open or close the door may be determined based on the comparison between the second authentication information and the random value.
- a server includes: a transceiver; A memory for storing at least one or more instructions; And at least one processor for controlling the server by executing the at least one instruction, wherein the processor receives a public key for each of the one or more electronic devices, and the one or more electronic devices Receiving encrypted first authentication information from a first device, authenticating the first device based on the encrypted first authentication information, and second authentication obtained based on the first authentication information Information can be transmitted to the target device.
- An electronic device includes: a transceiver; A memory for storing at least one or more instructions; And at least one processor controlling the electronic device by executing the at least one instruction, wherein the processor receives first information including identification information and a random value of the target device from the target device, and the Signing the received first information with a private key of the electronic device, transmitting first authentication information including the signed first information and identification information of the electronic device to the target device, and the target A target device key received from a device and the encrypted first authentication information are transmitted to the server, and the second authentication information obtained based on the first authentication information is received from the server, and the received second authentication information May be transmitted to the target device.
- FIG. 1 is a schematic diagram of a system for authenticating an electronic device according to an embodiment of the present disclosure.
- FIG. 2 is a schematic diagram illustrating a connection between devices for authenticating an electronic device according to an embodiment of the present disclosure.
- FIG. 3 is a flowchart illustrating a method of operating a target device according to an embodiment of the present disclosure.
- FIG. 4 is a flowchart illustrating a method of operating a server according to an embodiment of the present disclosure.
- FIG. 5 is a flowchart illustrating a method of operating an electronic device according to an embodiment of the present disclosure.
- FIG. 6 is a flowchart illustrating a method of transmitting and receiving data between devices according to an embodiment of the present disclosure.
- FIG. 7 is a block diagram illustrating an internal configuration of a target device according to an embodiment of the present disclosure.
- FIG. 8 is a block diagram illustrating an internal configuration of an electronic device according to an embodiment of the present disclosure.
- FIG. 9 is a block diagram illustrating an internal configuration of a server according to an embodiment of the present disclosure.
- Some embodiments of the present disclosure may be represented by functional block configurations and various processing steps. Some or all of these functional blocks may be implemented with various numbers of hardware and/or software components that perform specific functions.
- the functional blocks of the present disclosure may be implemented by one or more microprocessors, or may be implemented by circuit configurations for a predetermined function.
- the functional blocks of the present disclosure may be implemented in various programming or scripting languages.
- the functional blocks may be implemented as an algorithm executed on one or more processors.
- the present disclosure may employ conventional techniques for electronic environment setting, signal processing, and/or data processing.
- connecting lines or connecting members between the components illustrated in the drawings are merely illustrative of functional connections and/or physical or circuit connections. In an actual device, connections between components may be represented by various functional connections, physical connections, or circuit connections that can be replaced or added.
- the target device key, the server key, the public key and the private key of the electronic device are unique keys of each device given to each device, and may be used to encrypt or decrypt data.
- FIG. 1 is a schematic diagram of a system for authenticating an electronic device according to an embodiment of the present disclosure.
- a system for authenticating an electronic device may include a target device 100, an electronic device 200, and a server 300.
- the target device 100 may be an entity corresponding to a provided service.
- the target device 100 may be provided at a gate such as a car, a hotel, a house, or a building. More specifically, the target device 100 is provided in a door 10 such as a vehicle door, a trunk gate, and an access gate for starting and controlling a vehicle, as well as a vehicle door, a trunk gate, and an oil inlet, and can control whether the door 10 is opened or closed. have.
- the target device 100 may be a digital door lock that controls whether or not the door 10 is opened or closed.
- the type of target device 100 capable of controlling whether to open or close using a digital key is not limited to the example shown in FIG. 1.
- the target device 100 may not be connected to the network. Accordingly, the target device 100 may transmit and receive data for authenticating the server 300 and the electronic device 200 through the electronic device 200 connected to the network.
- the target device 100 may perform short-range wireless communication with the electronic device 200.
- short-range communication technologies include wireless LAN, Wi-Fi, Bluetooth, zigbee, Wi-Fi Direct (WFD), ultra wideband (UWB), Infrared communication (IrDA, infrared data association), BLE (Bluetooth Low Energy), NFC (Near Field Communication), etc. may be, but is not limited thereto.
- the electronic device 200 may be implemented in various forms.
- the electronic device 200 includes a smart TV, a set-top box, a mobile phone, a tablet PC, a digital camera, a laptop computer, a desktop, an e-book terminal, a digital broadcasting terminal, personal digital assistants (PDAs), and PMPs. (Portable Multimedia Player), navigation, MP3 player, wearable device, etc. may be included.
- PDAs personal digital assistants
- PMPs Portable Multimedia Player
- navigation MP3 player
- wearable device etc.
- the electronic device 200 is not limited to the above-described example, and any device capable of communicating with the server 300 through a network and communicating with the target device 100 through short-range wireless communication may be used.
- the electronic device 200 may be any device capable of transmitting and receiving data for authenticating the electronic device 200 to the server 300 through a network.
- a communication method of a network is not limited, and a communication method using a communication network (for example, a mobile communication network, a wired Internet, a wireless Internet, a broadcasting network) that may be included in the network may be included.
- a network is a personal area network (PAN), a local area network (LAN), a campus area network (CAN), a metropolitan area network (MAN), a wide area network (WAN), a broadband network (BBN), and the Internet. It may include any one or more of the networks.
- the network may include any one or more of network topologies including a bus network, a star network, a ring network, a mesh network, a star-bus network, a tree or a hierarchical network, but is not limited thereto.
- the server 300 communicates with the electronic device 200 through a network, and may be implemented as at least one computer device.
- the server 300 may be distributed in a cloud form, and may provide commands, codes, files, data, and the like.
- the server 300 may transmit and receive data necessary for authentication of the electronic device 200 to and from the target device 100 through the electronic device 200.
- the server 300 may authenticate the electronic device 200 and provide authentication information to the target device 100 through the electronic device 200.
- FIG. 2 is a schematic diagram illustrating a connection between devices for authenticating an electronic device according to an embodiment of the present disclosure.
- each of the components shown in FIG. 2 is indicated by a solid line when there is a direct connection between the components and a dotted line when the components are connected by communication.
- the target device 100 may be directly attached or provided on the door 10.
- the present invention is not limited thereto, and the target device 100 may be connected to the door 10 through communication.
- the target device 100 may be connected to the electronic device 200 through short-range communication, and the electronic device 200 may be connected to the server 300 through a network. In this case, since the target device 100 is capable of short-range communication only, it cannot directly communicate with the server 300.
- the target device 100 is illustrated as a digital door lock
- the electronic device 200 is illustrated as a user terminal.
- the digital door lock may generate a random value for security when the user terminal is within a predetermined distance, and transmit the generated random value to the user terminal through short-range communication (eg, UWB).
- the electronic device 200 that is, the user terminal, may sign a random value received from the digital door lock using a private key of the user terminal.
- the server 300 may authenticate whether or not the user terminal is a terminal with authority to open and close the door 10 based on the signed random value.
- the server 300 may transmit authentication information to a digital door lock through a user terminal.
- the digital door lock may control whether the door 10 is opened or closed based on a comparison between the received authentication information and a random value.
- FIG. 3 is a flowchart illustrating a method of operating a target device according to an embodiment of the present disclosure.
- the target device 100 may generate a random value based on whether the electronic device 200 is within a predetermined distance from the target device 100. Specifically, the target device 100 may generate a random value when it is detected that the electronic device 200 is within a distance in which short-range communication is possible. In this case, the random value may be a random number.
- the random value is stored in the target device 100 and may be used once for authentication of the electronic device 200. That is, the target device 100 may prevent a replay attack by generating a new random value each time the electronic device 200 is authenticated. For example, when a predetermined time elapses after generating the first random value, the target device 100 may generate the second random value. In this case, the target device 100 may determine that the electronic device 200 is not authenticated even if the authentication information received after the second random value is generated corresponds to the first random value.
- the target device 100 transmits the first information including the generated random value and the identification information of the target device 100 to the electronic device 200, and the first authentication obtained based on the first information Information may be received from the electronic device 200.
- the identification information of the target device 100 may be a unique ID of the target device 100, but is not limited thereto. Also, the target device 100 may transmit the first information to the electronic device 200 using short-range communication.
- the first authentication information may include first information signed with a private key of the electronic device 200 and identification information of the electronic device 200.
- the identification information of the electronic device 200 may be a unique ID of the electronic device 200.
- the target device 100 may encrypt the received first authentication information and the target device key. Specifically, the target device 100 may generate a target device key to encrypt the received first authentication information with the target device key or may receive the target device key from an external device (not shown). For example, the target device 100 may receive or install the target device key through a predetermined storage medium (eg, USB). Also, the target device 100 may receive and store a server key for encrypting the target device key in advance from the server 300.
- a predetermined storage medium eg, USB
- the server having the server key can decrypt the received authentication information, thereby preventing spoofing.
- Spoofing refers to an attack that bypasses access by accessing the system as if it were an authorized user or by impersonating an authorized address on the network.
- the target device key encrypted by the server key can be decrypted only by the server 300, thereby preventing spoofing.
- the target device key and the server key have been described in step S330, but the target device key and the server key may be generated or received in advance and stored in the target device 100 to be used in step S330.
- the target device 100 may encrypt the first authentication information using the target device key. Also, the target device 100 may encrypt the target device key using the server key.
- step S340 the target device 100 transmits the encrypted target device key and the first authentication information to the server 300 to receive the second authentication information obtained based on the first authentication information from the server 300.
- the target device 100 may transmit the encrypted target device key and first authentication information to the server 300 through the electronic device 200.
- the target device 100 may receive the second authentication information obtained based on at least part of the first authentication information.
- the target device 100 may determine whether to open or close the door based on a comparison between the second authentication information and a random value. Specifically, when the first authentication information transmitted from the target device 100 is transmitted to the server 300 through the electronic device 200, the first authentication information includes a random value generated by the target device 100. I can. In this case, the second authentication information obtained based on at least a part of the first authentication information may include a random value generated by the target device 100. Also, the second authentication information may be encrypted by the target device key and transmitted to the target device 100 through the electronic device 200.
- the target device 100 may decrypt the received second authentication information by using the target device key. Also, when the decrypted second authentication information includes a value corresponding to a random value generated by the target device 100, the target device 100 may determine to open the door. Meanwhile, if the decrypted second authentication information does not include a value corresponding to the random value generated by the target device 100, the target device 100 may determine to close the door.
- the first authentication information transmitted from the target device 100 is transmitted to the server 300 through an external device (not shown) other than the electronic device 200, or the authentication information generated from an external device (not shown) is When transmitted to the server 300, the server 300 may not receive the random value generated from the target device 100.
- the target device 100 decrypts the predetermined authentication information received from the server 300, a value corresponding to the random value generated by the target device 100 is not included in the predetermined authentication information.
- the device 100 may determine to close the door.
- FIG. 4 is a flowchart illustrating a method of operating a server according to an embodiment of the present disclosure.
- the server 300 may receive a public key for each of the one or more electronic devices 200.
- the server 300 may store mapping information corresponding to the public key received in each of the one or more electronic devices 200.
- the server 300 may receive encrypted first authentication information from a first device among one or more electronic devices 200.
- the server 300 may authenticate the first device based on the encrypted first authentication information. Specifically, the server 300 may receive the target device key together with the encrypted first information. In this case, the target device key may be encrypted by the server key for security. Accordingly, the server 300 may decrypt the received target device key using the server key, and decrypt the received first authentication information using the decrypted target device key.
- the decrypted first authentication information will include a random value encrypted by the private key of the first device.
- the server 300 may decrypt a random value encrypted by the public key of the first device.
- the server 300 when the server 300 receives the first authentication information signed by the private key of an external device (not shown) other than the first device, the server 300 does not have the public key of the external device.
- the first authentication information cannot be decrypted. That is, in this case, the external device that has transmitted the first authentication information cannot be authenticated.
- the server 300 may transmit the second authentication information obtained based on the first authentication information to the target device.
- the first authentication information may include a random value generated by the target device 100, identification information of the target device, and identification information of the first device. Accordingly, the server 300 may include a random value generated from the target device 100 in the second authentication information based on at least a part of the first authentication information.
- the server 300 may transmit the second authentication information to the target device 100 to authenticate the first authentication information. Specifically, when the random value generated by the target device 100 corresponds to the random value included in the second authentication information, that the first authentication information is received from the target device 100 may be authenticated.
- FIG. 5 is a flowchart illustrating a method of operating an electronic device according to an embodiment of the present disclosure.
- the electronic device 200 may receive first information including identification information and a random value of the target device 100 from the target device 200.
- the electronic device 200 signs the received first information with a private key of the electronic device 200, and includes the signed first information and identification information of the electronic device 200.
- 1 Authentication information may be transmitted to the target device 100.
- the electronic device 200 may sign the received first information with the private key of the electronic device 200 to be decrypted by the server 300 having the public key of the electronic device 200.
- the electronic device 200 generates first authentication information including identification information (eg, ID) of the electronic device 200 together with the signed first information, and uses the generated first authentication information as a target device. Can be transmitted to (100).
- the electronic device 200 may transmit a target device key and encrypted first authentication information received from the target device 100 to the server 300.
- the electronic device 200 may further receive server information together with the target device key and encrypted first authentication information from the target device 100.
- the electronic device 200 may serve to transmit predetermined information received from the target device 100 to the server 300.
- the target device 100 may transmit server information of the electronic device 200 together, and support the electronic device 200 to transmit predetermined information received from the target device 100 to the target server 300.
- the server information may be a Uniform Resource Identifier (URI) indicating the address of the server.
- URI Uniform Resource Identifier
- the encrypted first authentication information may be encrypted by the target device key
- the target device key may be encrypted by the server key
- the electronic device 200 may receive the second authentication information obtained based on the first authentication information from the server 300 and transmit the received second authentication information to the target device 100. Specifically, the electronic device 200 may receive the second authentication information from the server 300 using a network and may transmit the received second authentication information to the target device 100 using short-range communication.
- FIG. 6 is a flowchart illustrating a method of transmitting and receiving data between devices according to an embodiment of the present disclosure.
- the electronic device 200 may transmit the public key of the electronic device 200 to the server 300 (S601).
- the server 300 may store mapping information corresponding to the public key received on each electronic device 200 (S602). That is, the server 300 may generate and store mapping information corresponding to the public key to the identification information of the electronic device 200.
- the server 300 may transmit the server key to the target device 100 (S603).
- the target device 100 may generate a target device key or may receive a target device key from an external device (not shown).
- the target device 100 may determine whether the electronic device 200 is within a predetermined distance from the target device 100 (S604). For example, the target device 100 may determine whether the electronic device 200 is within a predetermined distance using short-range communication such as UWB or NFC. Also, when the electronic device 200 is within a predetermined distance, the target device 100 may generate a random value (S605).
- the target device 100 may transmit first information including the generated random value and identification information of the target device 100 to the electronic device 200 (S606).
- the electronic device 200 may review the received first information as a private key of the electronic device 200 (S607).
- the electronic device 200 may transmit the signed first information and first authentication information including identification information of the electronic device 200 to the target device 100 (S608).
- the target device 100 may encrypt the received first authentication information and the target device key (S609). Specifically, the target device 100 may encrypt the first authentication information with the target device key and encrypt the target device key with the server key.
- the target device 100 may transmit the encrypted target device key and first authentication information to the server 300 through the electronic device 200. Accordingly, even when the target device 100 is not connected to a network, predetermined data may be transmitted and received with the server 300 using the electronic device 200 connected to the network. Specifically, the target device 100 may transmit the encrypted target device key and first authentication information to the electronic device 200 (S610). The electronic device 200 may transmit the encrypted target device key and first authentication information received from the target device 100 to the server 300 through a network (S611).
- the server 300 may authenticate the electronic device based on the encrypted first authentication information (S612). Specifically, the server 300 may decrypt the target device key using the server key, and decrypt the received first authentication information using the decrypted target device key and the public key of the electronic device 200.
- the server 300 may authenticate whether the electronic device 200 is an authorized device based on the decrypted first authentication information. For example, the server 300 may check identification information of the electronic device 200 included in the first authentication information based on the mapping information.
- the server 300 may transmit the second authentication information obtained based on the first authentication information to the target device 100 through the electronic device 200 (S613 and S614). Specifically, the server 300 may generate second authentication information based on at least a part of the first authentication information. When the first authentication information is received from the target device 100, the second authentication information may include a value corresponding to a random value generated by the target device 100.
- the target device 100 may determine whether to open or close the door based on a comparison between the received second authentication information and a random value (S615). Specifically, when the second authentication information includes a random value, the target device 100 may determine to open the door. Also, when the second authentication information does not include a value corresponding to the random value, the target device 100 may determine not to open the door. For example, when the first authentication information is received from an external device (not shown) due to a spoofing attack, the first authentication information does not include a random value generated by the target device 100, so the second authentication information is also It cannot include a random value generated by the target device 100. In this case, the target device 100 may determine not to open the door because a value corresponding to the random value is not included in the second authentication information as a result of comparing the second authentication information and the random value.
- a random value S615
- FIG. 7 is a block diagram illustrating an internal configuration of a target device according to an embodiment of the present disclosure.
- the target device 100 may include a communication unit 110, a processor 120, and a memory 130.
- the present invention is not limited thereto, and the target device 100 may be implemented by more or less components than all of the components illustrated in FIG. 7.
- the target device 100 is illustrated as including one processor, but embodiments are not limited thereto, and the target device 100 may include a plurality of processors. At least some of the operations and functions of the processor 120 described below may be performed by a plurality of processors.
- the target device 100 shown in FIG. 7 may perform a method for authenticating an electronic device using a digitally signed random value according to various embodiments of the present disclosure, and the descriptions of FIGS. 1 to 6 Can be applied. Therefore, the overlapping content as described above will be omitted.
- the communication unit 110 may perform short range communication with the electronic device 200.
- the communication unit 110 may include a communication module for short-range communication.
- the communication unit 1710 may include a communication module for performing various short-range communication such as infrared communication, magnetic secure transmission (MST), magnetic security communication in addition to Wi-Fi, Wi-Fi Direct, UWB, Bluetooth, and NFC.
- the communication module may be in the form of a chipset, or may be a sticker/barcode including information necessary for communication (eg, a sticker including an NFC tag).
- the memory 130 may install and store various types of data such as programs and files such as applications.
- the processor 120 may access and use data stored in the memory 130, or may store new data in the memory 130.
- a program and data for registering a target device key and generating a random value may be installed and stored in the memory 130.
- the processor 120 controls the overall operation of the target device 100 and may include at least one processor such as a CPU and a GPU.
- the processor 120 may control other components included in the target device 100 to perform an operation for authentication of the electronic device 200.
- the processor 120 may control other components included in the target device 100 to perform an operation of authenticating the electronic device 200 by generating a random value and comparing it with the received authentication information.
- the processor 120 may execute a program stored in the memory 130 or an external device (not shown), read a stored file, or store a new file.
- the processor 120 generates a random value based on whether the electronic device 200 is within a predetermined distance from the target device 100, and the generated random value and identification information of the target device 100
- first information including a to the electronic device 200
- receiving first authentication information obtained based on the first information from the electronic device 200 and receiving the received first authentication information and a target device key Encrypted and transmitted the encrypted target device key and first authentication information to the server 300 to receive the second authentication information obtained based on the first authentication information from the server 300, the second authentication information and the It is possible to determine whether to open or close the door based on a comparison of random values.
- the processor 120 transmits the encrypted target device 100 and the first authentication information to the server 300 through the electronic device 200, and receives the second authentication information from the server through the electronic device 200. can do.
- the processor 120 may receive the server key from the server 300 and may encrypt the target device key using the server key.
- the processor 120 may decrypt the second authentication information using the target device key.
- the processor 120 determines to open the door, and when the decrypted second authentication information does not include a value corresponding to the random value, the door You can decide to close it.
- FIG. 8 is a block diagram illustrating an internal configuration of an electronic device according to an embodiment of the present disclosure.
- the electronic device 200 may include a communication unit 210, a processor 220, and a memory 230.
- the present invention is not limited thereto, and the electronic device 200 may be implemented by more or less components than all of the components illustrated in FIG. 8.
- the electronic device 200 is illustrated as including one processor, but embodiments are not limited thereto, and the electronic device 200 may include a plurality of processors. At least some of the operations and functions of the processor 220 to be described below may be performed by a plurality of processors.
- the electronic device 200 illustrated in FIG. 8 may perform a method for authenticating the electronic device 200 using a digitally signed random value according to various embodiments of the present disclosure, and FIGS. 1 to 6 The description of may apply. Therefore, the overlapping content as described above will be omitted.
- the communication unit 210 may perform wired/wireless communication with the server 300 through a network and may perform short-range communication with the target device 100.
- the communication unit 210 may include a communication module that supports at least one of various wired and wireless communication methods.
- the communication module may be in the form of a chipset, or may be a sticker/barcode (e.g. a sticker including an NFC tag) including information necessary for communication.
- Wireless communication may include at least one of cellular communication, wireless fidelity (Wi-Fi), Wi-Fi Direct, Bluetooth, ultra wide band (UWB), or near field communication (NFC).
- Wired communication may include, for example, at least one of USB or High Definition Multimedia Interface (HDMI).
- HDMI High Definition Multimedia Interface
- the communication unit 210 may include a communication module for short range communication.
- the communication unit 210 may include a communication module for performing various short-range communication such as infrared communication, magnetic secure transmission (MST), magnetic security communication in addition to Wi-Fi, Wi-Fi Direct, Bluetooth, and NFC described above. I can.
- Various types of data such as programs and files such as applications may be installed and stored in the memory 230.
- the processor 220 may access and use the data stored in the memory 230, or may store new data in the memory 230.
- a program and data for authenticating the electronic device 200 using a digitally signed random value may be installed and stored in the memory 230.
- the processor 220 controls the overall operation of the electronic device 200 and may include at least one processor such as a CPU or a GPU.
- the processor 220 may control other components included in the electronic device 200 to perform an operation of signing a random value.
- the processor 220 may control other components included in the electronic device 200 to perform an operation for authenticating the electronic device 200 using a digitally signed random value.
- the processor 220 may execute a program stored in the memory 230, read a stored file, or store a new file.
- the processor 220 signs a random value using the information received from the target device 100 with a private key of the electronic device 200, and stores the signed random value and identification information of the electronic device 200. It can be transmitted to the target device 100.
- the processor 220 may control each component to support data transmission/reception between the target device 100 and the server 300.
- the processor 220 receives first information including identification information and a random value of the target device 100 from the target device 100, and receives the received first information of the electronic device 200.
- a target that is signed with a private key and transmits the first authentication information including the signed first information and identification information of the electronic device 200 to the target device 100, and is received from the target device 100
- the device key and the encrypted first authentication information are transmitted to the server 300, the second authentication information obtained based on the first authentication information is received from the server 300, and the received second authentication information is transmitted to the target device ( 100).
- the encrypted first authentication information may be encrypted by the target device key
- the target device key may be encrypted by the server key.
- the processor 220 receives server information from the target device 100 and, based on the received server information, transmits the target device key and the first authentication information received from the target device 100 to the server 300. Can be transmitted.
- the processor 220 may transmit a public key of a device for authenticating information about the electronic device 200 to the server 300.
- FIG. 9 is a block diagram illustrating an internal configuration of a server according to an embodiment of the present disclosure.
- the server 300 may include a communication unit 310, a processor 320, and a memory 330.
- the present invention is not limited thereto, and the server 300 may be implemented by more or less components than all of the components illustrated in FIG. 9.
- the server 300 is illustrated as including one processor, but the embodiment is not limited thereto, and may include a plurality of processors. At least some of the operations and functions of the processor 330 described below may be performed by a plurality of processors.
- the server 300 illustrated in FIG. 9 may perform a method for authenticating an electronic device using a digitally signed random value according to various embodiments of the present disclosure, and the descriptions of FIGS. 1 to 6 may be applied. I can. Therefore, the overlapping content as described above will be omitted.
- the communication unit 310 may perform wired or wireless communication with the electronic device 200 through a network.
- the communication unit 310 may include a communication module that supports at least one of various wired and wireless communication methods.
- the communication module may be in the form of a chipset, or may be a sticker/barcode (e.g. a sticker including an NFC tag) including information necessary for communication.
- Wireless communication may include at least one of cellular communication, wireless fidelity (Wi-Fi), Wi-Fi Direct, Bluetooth, ultra wide band (UWB), or near field communication (NFC).
- Wired communication may include, for example, at least one of USB or High Definition Multimedia Interface (HDMI).
- HDMI High Definition Multimedia Interface
- Various types of data such as programs and files such as an application may be installed and stored in the memory 330.
- the processor 320 may access and use the data stored in the memory 330, or may store new data in the memory 330.
- a program and data for authenticating the electronic device 200 may be installed and stored in the memory 330.
- the processor 320 controls the overall operation of the server 300 and may include at least one processor such as a CPU and a GPU.
- the processor 320 may control other components included in the server 300 to perform an operation for authenticating the electronic device 200.
- the processor 320 may control other components included in the server 300 to perform an operation for authenticating the electronic device 200.
- the processor 320 may execute a program stored in the memory 330, read a stored file, or store a new file.
- the processor 320 receives first authentication information from the electronic device 200, verifies the electronic device 200 using the first authentication information, and provides a first authentication information based on the first authentication information. 2
- Each component may be controlled to transmit authentication information to the electronic device 200.
- the processor 320 receives a public key for each of the one or more electronic devices 200, and from a first device among the one or more electronic devices 200, the encrypted first The authentication information may be received, the first device may be authenticated based on the encrypted first authentication information, and second authentication information obtained based on the first authentication information may be transmitted to the target device 100.
- the processor 320 may store mapping information corresponding to the received public key to each of one or more devices. Also, the processor 320 may transmit the second authentication information to the target device 100 through the first device.
- the processor 320 receives the target device key from the target device 100, transmits the server key to the target device 100, and when the received target device key is encrypted by the server key, the server key is The received target device key may be decrypted using the decrypted target device key, and the first authentication information may be decrypted using the decrypted target device key and the public key of the first device.
- the above-described embodiments can be written as a program that can be executed on a computer, and can be implemented in a general-purpose digital computer operating the program using a medium readable by a computer. Further, the structure of the data used in the above-described embodiment may be recorded on a computer-readable medium through various means.
- the above-described embodiments may be implemented in the form of a computer program product including a recording medium including instructions executable by a computer, such as a program module executed by a computer. For example, methods implemented as software modules or algorithms may be stored in a computer-readable recording medium as codes or program instructions that a computer can read and execute.
- the computer-readable medium may be any recording medium that can be accessed by a computer, and may include volatile and nonvolatile media, and removable and non-removable media.
- the computer-readable medium includes a magnetic storage medium, for example, a ROM, a floppy disk, a hard disk, and the like, and may include an optical reading medium, for example, a storage medium such as a CD-ROM or a DVD, but is not limited thereto.
- the computer-readable medium may include a computer storage medium and a communication medium.
- a plurality of computer-readable recording media may be distributed over network-connected computer systems, and data stored in the distributed recording media, for example, program instructions and codes, may be executed by at least one computer. have.
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Mechanical Engineering (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Telephonic Communication Services (AREA)
- Lock And Its Accessories (AREA)
- Telephone Function (AREA)
Abstract
본 개시는, 전자 디바이스를 인증하기 위한 방법 및 장치에 관한 것으로, 일 실시예에 따른 타겟 디바이스의 동작 방법은 상기 타겟 디바이스로부터 전자 디바이스가 소정 거리 이내에 있는지 여부에 기초하여 랜덤 값을 생성하는 단계; 상기 생성된 랜덤 값 및 상기 타겟 디바이스의 식별 정보를 포함하는 제1 정보를 상기 전자 디바이스로 전송하여, 상기 제1 정보를 기초로 획득된 제1 인증 정보를 상기 전자 디바이스로부터 수신하는 단계; 상기 수신된 제1 인증 정보 및 타겟 디바이스 키를 암호화하는 단계; 상기 암호화된 타겟 디바이스 키 및 상기 제1 인증 정보를 서버로 전송하여, 상기 제1 인증 정보를 기초로 획득된 제2 인증 정보를 상기 서버로부터 수신하는 단계; 및 상기 제2 인증 정보와 상기 랜덤 값의 비교에 기초하여 도어의 개폐 여부를 결정하는 단계를 포함할 수 있다.
Description
본 개시는 전자 디바이스를 인증하기 위한 방법 및 그에 따른 장치에 관한 것으로서, 보다 상세하게는 디지털 서명된 랜덤 값을 이용하여 전자 디바이스를 인증하기 위한 방법 및 장치에 관한 것이다.
스마트 폰, 태블릿 PC와 같은 개인화된 전자 기기가 보급됨에 따라, 디지털화된 가상의 키, 즉, 디지털 키를 이용한 보안, 인증 등을 수행하기 위한 기술이 개발되고 있다. 이러한 디지털 키 기술의 한 방안으로, 무선 통신 기술을 사용하여 디지털 키를 전자 디바이스, 예를 들어, 스마트 폰에 통합되는 형태의 기술이 개발되고 있다.
디지털 키가 전자 디바이스에 삽입됨으로써, 전자 디바이스의 사용자는 물리적 키를 대체하는 디지털 키를 이용하여 문을 열고 닫을 수 있다. 또한, 디지털 키의 기능이 보다 확장됨으로써, 전자 디바이스의 사용자는 디바이스로의 접근 및 디바이스의 제어를 위해 디지털 키를 이용할 수 있다.
디지털 키의 사용은 사용자 편의 및 산업적 효과에 있어 큰 개선을 가져올 수 있는 반면, 보안에 대한 우려 역시 제기되고 있다. 전자 디바이스와의 결합이 필요한 디지털 키의 특성 상, 전자 디바이스에 대한 해킹과 같은 위험에 노출될 수 있다. 따라서, 보안 수준이 높은 영역에서의 디지털 키의 처리가 필요하다.
본 개시는 전자 디바이스를 인증하기 위한 방법 및 그에 따른 장치를 제공하기 위한 것이다.
본 개시의 일 실시예에 따른 타겟 디바이스의 동작 방법은, 상기 타겟 디바이스로부터 전자 디바이스가 소정 거리 이내에 있는지 여부에 기초하여 랜덤 값을 생성하는 단계; 상기 생성된 랜덤 값 및 상기 타겟 디바이스의 식별 정보를 포함하는 제1 정보를 상기 전자 디바이스로 전송하여, 상기 제1 정보를 기초로 획득된 제1 인증 정보를 상기 전자 디바이스로부터 수신하는 단계; 상기 수신된 제1 인증 정보 및 타겟 디바이스 키를 암호화하는 단계; 상기 암호화된 타겟 디바이스 키 및 상기 제1 인증 정보를 서버로 전송하여, 상기 제1 인증 정보를 기초로 획득된 제2 인증 정보를 상기 서버로부터 수신하는 단계; 및 상기 제2 인증 정보와 상기 랜덤 값의 비교에 기초하여 도어의 개폐 여부를 결정하는 단계를 포함할 수 있다.
본 개시의 일 실시예에 따른 서버의 동작 방법은, 하나 이상의 전자 디바이스들 각각에 대한 공개 키(public key)를 수신하는 단계; 상기 하나 이상의 전자 디바이스들 중 제1 디바이스로부터, 암호화된 제1 인증 정보를 수신하는 단계; 상기 암호화된 제1 인증 정보에 기초하여 상기 제1 디바이스를 인증(authenticate)하는 단계; 및 상기 제1 인증 정보를 기초로 획득된 제2 인증 정보를 타겟 디바이스로 전송하는 단계를 포함할 수 있다.
본 개시의 일 실시예에 따른 전자 디바이스의 동작 방법은, 타겟 디바이스의 식별 정보 및 랜덤 값을 포함하는 제1 정보를 상기 타겟 디바이스로부터 수신하는 단계; 상기 수신된 제1 정보를 상기 전자 디바이스의 개인 키(private key)로 서명하여, 상기 서명된 제1 정보 및 상기 전자 디바이스의 식별 정보가 포함된 제1 인증 정보를 상기 타겟 디바이스로 전송하는 단계; 상기 타겟 디바이스로부터 수신되는 타겟 디바이스 키 및 상기 제1 인증 정보를 상기 서버로 전송하는 단계; 상기 제1 인증 정보를 기초로 획득된 제2 인증 정보를 상기 서버로부터 수신하여, 수신된 제2 인증 정보를 상기 타겟 디바이스로 전송하는 단계를 포함할 수 있다.
본 개시의 일 실시예에 따른 타겟 디바이스는, 송수신부; 적어도 하나 이상의 인스트럭션을 저장하는 메모리; 및 상기 적어도 하나 이상의 인스트럭션을 실행함으로써 상기 타겟 디바이스를 제어하는 적어도 하나 이상의 프로세서를 포함하며, 상기 프로세서는, 상기 타겟 디바이스로부터 전자 디바이스가 소정 거리 이내에 있는지 여부에 기초하여 랜덤 값을 생성하고, 상기 생성된 랜덤 값 및 상기 타겟 디바이스의 식별 정보를 포함하는 제1 정보를 상기 전자 디바이스로 전송하여, 상기 제1 정보를 기초로 획득된 제1 인증 정보를 상기 전자 디바이스로부터 수신하고, 상기 수신된 제1 인증 정보 및 타겟 디바이스 키를 암호화하고, 상기 암호화된 타겟 디바이스 키 및 상기 제1 인증 정보를 서버로 전송하여, 상기 제1 인증 정보를 기초로 획득된 제2 인증 정보를 상기 서버로부터 수신하고, 상기 제2 인증 정보와 상기 랜덤 값의 비교에 기초하여 도어의 개폐 여부를 결정할 수 있다.
본 개시의 일 실시예에 따른 서버는, 송수신부; 적어도 하나 이상의 인스트럭션을 저장하는 메모리; 및 상기 적어도 하나 이상의 인스트럭션을 실행함으로써 상기 서버를 제어하는 적어도 하나 이상의 프로세서를 포함하며, 상기 프로세서는, 하나 이상의 전자 디바이스들 각각에 대한 공개 키(public key)를 수신하고, 상기 하나 이상의 전자 디바이스들 중 제1 디바이스로부터, 암호화된 제1 인증 정보를 수신하고, 상기 암호화된 제1 인증 정보에 기초하여 상기 제1 디바이스를 인증(authenticate)하고, 상기 제1 인증 정보를 기초로 획득된 제2 인증 정보를 타겟 디바이스로 전송할 수 있다.
본 개시의 일 실시예에 따른 전자 디바이스는, 송수신부; 적어도 하나 이상의 인스트럭션을 저장하는 메모리; 및 상기 적어도 하나의 인스트럭션을 실행함으로써 상기 전자 디바이스를 제어하는 적어도 하나 이상의 프로세서를 포함하며, 상기 프로세서는, 타겟 디바이스의 식별 정보 및 랜덤 값을 포함하는 제1 정보를 상기 타겟 디바이스로부터 수신하고, 상기 수신된 제1 정보를 상기 전자 디바이스의 개인 키(private key)로 서명하여, 상기 서명된 제1 정보 및 상기 전자 디바이스의 식별 정보가 포함된 제1 인증 정보를 상기 타겟 디바이스로 전송하고, 상기 타겟 디바이스로부터 수신되는 타겟 디바이스 키 및 암호화된 상기 제1 인증 정보를 상기 서버로 전송하고, 상기 제1 인증 정보를 기초로 획득된 제2 인증 정보를 상기 서버로부터 수신하여, 상기 수신된 제2 인증 정보를 상기 타겟 디바이스로 전송할 수 있다.
도 1은 본 개시의 일 실시예에 따른 전자 디바이스를 인증하기 위한 시스템의 개요도이다.
도 2는 본 개시의 일 실시예에 따른 전자 디바이스를 인증하기 위한 장치 간 연결을 도시하는 개요도이다.
도 3은 본 개시의 일 실시예에 따른 타겟 디바이스의 동작 방법을 나타내는 흐름도이다.
도 4는 본 개시의 일 실시예에 따른 서버의 동작 방법을 나타내는 흐름도이다.
도 5는 본 개시의 일 실시예에 따른 전자 디바이스의 동작 방법을 나타내는 흐름도이다.
도 6은 본 개시의 일 실시예에 따른 장치들 간 데이터 송수신 방법을 나타내는 흐름도이다.
도 7은 본 개시의 일 실시예에 따른 타겟 디바이스의 내부 구성을 나타내는 블록도이다.
도 8은 본 개시의 일 실시예에 따른 전자 디바이스의 내부 구성을 나타내는 블록도이다.
도 9는 본 개시의 일 실시예에 따른 서버의 내부 구성을 나타내는 블록도이다.
아래에서는 첨부한 도면을 참조하여 본 개시가 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 본 개시의 실시예를 상세히 설명한다. 그러나 본 개시는 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 또한, 도면에서 본 개시를 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.
본 개시의 일부 실시예는 기능적인 블록 구성들 및 다양한 처리 단계들로 나타내어질 수 있다. 이러한 기능 블록들의 일부 또는 전부는, 특정 기능들을 실행하는 다양한 개수의 하드웨어 및/또는 소프트웨어 구성들로 구현될 수 있다. 예를 들어, 본 개시의 기능 블록들은 하나 이상의 마이크로 프로세서들에 의해 구현되거나, 소정의 기능을 위한 회로 구성들에 의해 구현될 수 있다. 또한, 예를 들어, 본 개시의 기능 블록들은 다양한 프로그래밍 또는 스크립팅 언어로 구현될 수 있다. 기능 블록들은 하나 이상의 프로세서들에서 실행되는 알고리즘으로 구현될 수 있다. 또한, 본 개시는 전자적인 환경 설정, 신호 처리, 및/또는 데이터 처리 등을 위하여 종래 기술을 채용할 수 있다.
또한, 도면에 도시된 구성 요소들 간의 연결 선 또는 연결 부재들은 기능적인 연결 및/또는 물리적 또는 회로적 연결들을 예시적으로 나타낸 것일 뿐이다. 실제 장치에서는 대체 가능하거나 추가된 다양한 기능적인 연결, 물리적인 연결, 또는 회로 연결들에 의해 구성 요소들 간의 연결이 나타내어질 수 있다.
이하 첨부된 도면을 참고하여 본 개시를 상세히 설명하기로 한다.
명세서 전체에서, 타겟 디바이스 키, 서버 키, 전자 디바이스의 공개 키 및 개인 키는 각 장치마다 부여된 각 장치의 고유의 키로서, 데이터를 암호화하거나 복호화하는 데 이용될 수 있다.
도 1은 본 개시의 일 실시예에 따른 전자 디바이스를 인증하기 위한 시스템의 개요도이다.
도 1을 참조하면, 전자 디바이스를 인증하기 위한 시스템은 타겟 디바이스(100), 전자 디바이스(200) 및 서버(300)를 포함할 수 있다.
타겟 디바이스(100)는 제공되는 서비스에 상응하는 엔티티(entity)일 수 있다. 예를 들어, 타겟 디바이스(100)는 자동차, 호텔, 집, 빌딩 등의 게이트에 구비될 수 있다. 보다 구체적으로, 타겟 디바이스(100)는 자동차에서 차량 도어, 트렁크 게이트, 주유구 뿐만 아니라, 시동 및 차량 제어를 위한 액세스 게이트와 같은 문(10)에 구비되어 문(10)의 개폐 여부를 제어할 수 있다. 예를 들어, 타겟 디바이스(100)는 문(10)의 개폐 여부를 제어하는 디지털 도어락 일 수 있다. 디지털 키를 이용하여 개폐 여부를 제어할 수 있는 타겟 디바이스(100)의 종류는 도 1에 도시된 예에 제한되는 것은 아니다.
한편, 타겟 디바이스(100)는 네트워크에 연결되지 않을 수 있다. 따라서, 타겟 디바이스(100)는 네트워크에 연결된 전자 디바이스(200)를 통해 서버(300)와 전자 디바이스(200)를 인증하기 위한 데이터의 송수신을 수행할 수 있다. 타겟 디바이스(100)는 전자 디바이스(200)와 근거리 무선 통신을 수행할 수 있다. 구체적으로, 본 개시의 일 실시예에 따른 근거리 통신 기술에는 무선 랜(Wireless LAN), 와이파이(Wi-Fi), 블루투스, 지그비(zigbee), WFD(Wi-Fi Direct), UWB(ultra wideband), 적외선 통신(IrDA, infrared Data Association), BLE (Bluetooth Low Energy), NFC(Near Field Communication) 등이 있을 수 있으나, 이에 한정되는 것은 아니다.
본 개시의 일 실시예에 따른 전자 디바이스(200)는 다양한 형태로 구현될 수 있다. 예를 들어, 전자 디바이스(200)는, 스마트 TV, 셋탑 박스, 휴대폰, 태블릿 PC, 디지털 카메라, 노트북 컴퓨터(laptop computer), 데스크탑, 전자책 단말기, 디지털 방송용 단말기, PDA(Personal Digital Assistants), PMP(Portable Multimedia Player), 네비게이션, MP3 플레이어, 착용형 기기(wearable device) 등을 포함할 수 있다. 다만 전자 디바이스(200)는 전술된 예에 한정되는 것은 아니고, 네트워크를 통해 서버(300)와 통신하고, 근거리 무선 통신을 통해 타겟 디바이스(100)와 통신할 수 있는 장치이면 어느 것이든 가능할 수 있다. 예를 들어, 전자 디바이스(200)는 전자 디바이스(200)를 인증(authenticate)하기 위한 데이터를 네트워크를 통해 서버(300)로 송수신할 수 있는 장치이면 어느 것이든 가능할 수 있다.
본 개시의 일 실시예에 따른 네트워크의 통신 방식은 제한되지 않으며, 네트워크에 포함될 수 있는 통신망(일례로, 이동통신망, 유선 인터넷, 무선 인터넷, 방송망)을 활용한 통신 방식이 포함될 수 있다. 예를 들어, 네트워크는 PAN(personal area network), LAN(local area network), CAN(campus area network), MAN(metropolitan area network), WAN(wide area network), BBN(broadband network), 인터넷 등의 네트워크 중 하나 이상의 임의의 네트워크를 포함할 수 있다. 네트워크는 버스 네트워크, 스타 네트워크, 링 네트워크, 메쉬 네트워크, 스타-버스 네트워크, 트리 또는 계층적(hierarchical) 네트워크 등을 포함하는 네트워크 토폴로지 중 임의의 하나 이상을 포함할 수 있으나, 이에 제한되지 않는다.
서버(300)는 네트워크를 통해 전자 디바이스(200)와 통신하며, 적어도 하나의 컴퓨터 장치로 구현될 수 있다. 서버(300)는 클라우드 형태로 분산될 수 있으며, 명령, 코드, 파일, 데이터 등을 제공할 수 있다.
본 개시의 일 실시 예에 따른 서버(300)는 전자 디바이스(200)를 통해 전자 디바이스(200) 인증을 위해 필요한 데이터를 타겟 디바이스(100)와 송수신할 수 있다. 예를 들면, 서버(300)는 전자 디바이스(200)를 인증하고, 인증 정보를 전자 디바이스(200)를 통해 타겟 디바이스(100)에 제공할 수 있다.
도 2는 본 개시의 일 실시예에 따른 전자 디바이스를 인증하기 위한 장치 간 연결을 도시하는 개요도이다.
도 2에 도시된 각각의 구성들은 구성들 간에 직접 연결이 있는 경우 실선, 구성들 간에 통신으로 연결된 경우 점선으로 표시된다. 예를 들어, 타겟 디바이스(100)는 문(10)에 직접 부착되거나 구비될 수 있다. 다만, 이에 한정되지 않고, 타겟 디바이스(100)는 문(10)과 통신으로 연결될 수도 있다. 또한, 타겟 디바이스(100)는 전자 디바이스(200)와 근거리 통신으로 연결될 수 있고, 전자 디바이스(200)는 서버(300)와 네트워크로 연결될 수 있다. 이 경우, 타겟 디바이스(100)는 근거리 통신만이 가능하므로, 서버(300)와 직접 통신을 수행할 수는 없다.
설명의 편의 상, 타겟 디바이스(100)는 디지털 도어락, 전자 디바이스(200)는 사용자 단말로 예시한다.
본 개시의 일 실시예에 따른 디지털 도어락은 사용자 단말이 소정 거리 이내에 있는 경우, 보안을 위한 랜덤 값을 생성하여, 생성된 랜덤 값을 근거리 통신(예를 들어, UWB)을 통해 사용자 단말로 전송할 수 있다. 이 경우, 전자 디바이스(200), 즉 사용자 단말은 디지털 도어락으로부터 수신된 랜덤 값을 사용자 단말의 개인 키(private key)를 이용하여 서명할 수 있다. 서버(300)는 서명된 랜덤 값에 기초하여 사용자 단말이 문(10)을 개폐할 수 있는 권한이 있는 단말인지 여부를 인증할 수 있다. 또한, 서버(300)는 사용자 단말을 통해 인증 정보를 디지털 도어락로 전송할 수 있다. 이 경우, 디지털 도어락은 수신된 인증 정보 및 랜덤 값 간 비교에 기초하여 문(10)의 개폐 여부를 제어할 수 있다.
이하에서는, 도 3 내지 도 9를 참조하여 타겟 디바이스(100), 전자 디바이스(200), 및 서버(300)의 동작 방법에 대해 구체적으로 설명하도록 한다.
도 3은 본 개시의 일 실시예에 따른 타겟 디바이스의 동작 방법을 나타내는 흐름도이다.
단계 S310에서, 타겟 디바이스(100)는 타겟 디바이스(100)로부터 전자 디바이스(200)가 소정 거리 이내에 있는지 여부에 기초하여 랜덤 값을 생성할 수 있다. 구체적으로, 타겟 디바이스(100)는 전자 디바이스(200)가 근거리 통신이 가능한 거리 이내에 있는 것으로 감지된 경우, 랜덤 값을 생성할 수 있다. 이 경우, 랜덤 값은 난수(nonce)일 수 있다.
또한, 랜덤 값은 타겟 디바이스(100) 내에 저장되며, 전자 디바이스(200)의 인증을 위해 한 번 사용될 수 있다. 즉, 타겟 디바이스(100)는 전자 디바이스(200)를 인증할 때마다 새로운 랜덤 값을 생성함으로써 리플레이 어택(replay attack)을 방지할 수 있다. 예를 들어, 타겟 디바이스(100)는 제1 랜덤 값을 생성한 이후 소정 시간이 지난 경우, 제2 랜덤 값을 생성할 수 있다. 이 경우, 타겟 디바이스(100)는 제2 랜덤 값이 생성된 이후에 수신되는 인증 정보가 제1 랜덤 값에 대응되더라도 전자 디바이스(200)가 인증되지 않은 것으로 판단할 수 있다.
단계 S320에서, 타겟 디바이스(100)는 생성된 랜덤 값 및 타겟 디바이스(100)의 식별 정보를 포함하는 제1 정보를 전자 디바이스(200)로 전송하여, 제1 정보를 기초로 획득된 제1 인증 정보를 전자 디바이스(200)로부터 수신할 수 있다. 타겟 디바이스(100)의 식별 정보는 타겟 디바이스(100)의 고유 ID일 수 있으나, 이에 제한되는 것은 아니다. 또한, 타겟 디바이스(100)는 근거리 통신을 이용하여 제1 정보를 전자 디바이스(200)로 전송할 수 있다.
한편, 제1 인증 정보는 전자 디바이스(200)의 개인 키(private key)가 서명된 제1 정보 및 전자 디바이스(200)의 식별 정보를 포함할 수 있다. 이 때, 전자 디바이스(200)의 식별 정보는 전자 디바이스(200)의 고유 ID일 수 있다.
단계 S330에서, 타겟 디바이스(100)는 수신된 제1 인증 정보 및 타겟 디바이스 키를 암호화 할 수 있다. 구체적으로, 타겟 디바이스(100)는 수신된 제1 인증 정보를 타겟 디바이스 키로 암호화하기 위해 타겟 디바이스 키를 생성하거나 외부 디바이스(미도시)로부터 타겟 디바이스 키를 수신할 수 있다. 예를 들어, 타겟 디바이스(100)는 소정 저장 매체(예를 들어, USB)를 통해 타겟 디바이스 키를 수신하거나 설치할 수 있다. 또한, 타겟 디바이스(100)는 타겟 디바이스 키를 암호화 하기 위한 서버 키를 서버(300)로부터 미리 수신하여 저장할 수 있다.
타겟 디바이스 키는 서버 키에 의해 암호화 됨에 따라, 해당 서버 키를 가진 서버가 수신된 인증 정보를 복호화 할 수 있어 스푸핑(spoofing) 방지를 할 수 있다. 스푸핑은, 승인 받은 사용자인 것처럼 시스템에 접근하거나 네트워크 상에서 허가된 주소로 가장하여 접근을 우회하는 공격 행위를 의미한다. 따라서, 서버 키에 의해 암호화된 타겟 디바이스 키는 해당 서버(300)에 의해서만 복호화 될 수 있어 스푸핑 방지를 할 수 있다. 설명의 편의 상 단계 S330에서, 타겟 디바이스 키 및 서버 키에 대해 설명하였으나, 타겟 디바이스 키 및 서버 키는 미리 생성되거나 수신되어 타겟 디바이스(100) 내에 저장되어 단계 S330에서 이용될 수 있다.
타겟 디바이스(100)는 타겟 디바이스 키를 이용하여 제1 인증 정보를 암호화 할 수 있다. 또한, 타겟 디바이스(100)는 서버 키에 의해 타겟 디바이스 키를 암호화 할 수 있다.
단계 S340에서, 타겟 디바이스(100)는 암호화된 타겟 디바이스 키 및 제1 인증 정보를 서버(300)로 전송하여, 제1 인증 정보를 기초로 획득된 제2 인증 정보를 서버(300)로부터 수신할 수 있다. 구체적으로, 타겟 디바이스(100)는 암호화된 타겟 디바이스 키 및 제1 인증 정보를 전자 디바이스(200)를 통해 서버(300)로 전송할 수 있다. 또한, 타겟 디바이스(100)는 제1 인증 정보가 서버(300)에 의해 인증되면, 제1 인증 정보 중 적어도 일부에 기초하여 획득된 제2 인증 정보를 수신할 수 있다.
단계 S350에서, 타겟 디바이스(100)는 제2 인증 정보와 랜덤 값의 비교에 기초하여 도어의 개폐 여부를 결정할 수 있다. 구체적으로, 타겟 디바이스(100)로부터 전송된 제1 인증 정보가 전자 디바이스(200)를 통해 서버(300)로 전송된 경우, 제1 인증 정보는 타겟 디바이스(100)에 의해 생성된 랜덤 값이 포함될 수 있다. 이 경우, 제1 인증 정보 중 적어도 일부에 기초하여 획득된 제2 인증 정보는 타겟 디바이스(100)에 의해 생성된 랜덤 값을 포함할 수 있다. 또한, 제2 인증 정보는 타겟 디바이스 키에 의해 암호화되어 전자 디바이스(200)를 통해 타겟 디바이스(100)로 전송될 수 있다.
타겟 디바이스(100)는 타겟 디바이스 키를 이용하여 수신된 제2 인증 정보를 복호화할 수 있다. 또한, 타겟 디바이스(100)는 복호화된 제2 인증 정보가 타겟 디바이스(100)에 의해 생성된 랜덤 값에 대응되는 값을 포함하는 경우, 도어를 열도록 결정할 수 있다. 한편, 복호화된 제2 인증 정보가 타겟 디바이스(100)에 의해 생성된 랜덤 값에 대응되는 값을 포함하지 않는 경우, 타겟 디바이스(100)는 도어를 닫도록 결정할 수 있다.
한편, 타겟 디바이스(100)로부터 전송된 제1 인증 정보가 전자 디바이스(200)가 아닌 외부 디바이스(미도시)를 통해 서버(300)로 전송되거나, 외부 디바이스(미도시)로부터 생성된 인증 정보가 서버(300)로 전송되는 경우, 서버(300)는 타겟 디바이스(100)로부터 생성된 랜덤 값을 수신하지 못할 수 있다.
이 경우, 타겟 디바이스(100)는 서버(300)로부터 수신된 소정의 인증 정보를 복호화 하더라도, 타겟 디바이스(100)에 의해 생성된 랜덤 값에 대응되는 값이 소정의 인증 정보에 포함되지 않아, 타겟 디바이스(100)는 도어를 닫도록 결정할 수 있다.
도 4는 본 개시의 일 실시예에 따른 서버의 동작 방법을 나타내는 흐름도이다.
단계 S410에서, 서버(300)는 하나 이상의 전자 디바이스(200)들 각각에 대한 공개 키(public key)를 수신할 수 있다. 서버(300)는 하나 이상의 전자 디바이스(200)들 각각에 수신된 공개 키를 대응시킨 매핑 정보를 저장할 수 있다.
단계 S420에서, 서버(300)는 하나 이상의 전자 디바이스(200)들 중 제1 디바이스로부터, 암호화된 제1 인증 정보를 수신할 수 있다.
단계 S430에서, 서버(300)는 암호화된 제1 인증 정보에 기초하여 제1 디바이스를 인증(authenticate)할 수 있다. 구체적으로, 서버(300)는 암호화된 제1 정보와 함께 타겟 디바이스 키를 수신할 수 있다. 이 때, 타겟 디바이스 키는 보안을 위해 서버 키에 의해 암호화된 것일 수 있다. 따라서, 서버(300)는 서버 키를 이용하여 수신된 타겟 디바이스 키를 복호화 하고, 복호화된 타겟 디바이스 키를 이용하여 수신된 제1 인증 정보를 복호화 할 수 있다.
이 때, 복호화된 제1 인증 정보는 제1 디바이스의 개인 키에 의해 암호화된 랜덤 값을 포함할 것이다. 서버(300)는 제1 디바이스의 공개 키에 의해 암호화된 랜덤 값을 복호화 할 수 있다.
한편, 서버(300)는 제1 디바이스가 아닌 외부 디바이스(미도시)의 개인 키에 의해 서명된 제1 인증 정보가 수신되는 경우, 서버(300)는 외부 디바이스의 공개 키를 가지고 있지 않으므로 수신된 제1 인증 정보를 복호화 할 수 없다. 즉, 이 경우, 제1 인증 정보를 전송한 외부 디바이스는 인증될 수 없다.
단계 S440에서, 서버(300)는 제1 인증 정보를 기초로 획득된 제2 인증 정보를 타겟 디바이스로 전송할 수 있다. 제1 인증 정보는 타겟 디바이스(100)에 의해 생성된 랜덤 값, 타겟 디바이스의 식별 정보, 및 제1 디바이스의 식별 정보를 포함할 수 있다. 이에 따라, 서버(300)는 제1 인증 정보 중 적어도 일부에 기초하여, 타겟 디바이스(100)로부터 생성된 랜덤 값을 제2 인증 정보에 포함시킬 수 있다.
이에 따라, 서버(300)는 제2 인증 정보를 타겟 디바이스(100)로 전송하여 제1 인증 정보를 인증할 수 있다. 구체적으로, 타겟 디바이스(100)에 의해 생성된 랜덤 값이 제2 인증 정보에 포함된 랜덤 값에 대응되는 경우, 제1 인증 정보는 타겟 디바이스(100)로부터 수신된 것이 인증될 수 있다.
도 5는 본 개시의 일 실시예에 따른 전자 디바이스의 동작 방법을 나타내는 흐름도이다.
단계 S510에서, 전자 디바이스(200)는 타겟 디바이스(100)의 식별 정보 및 랜덤 값을 포함하는 제1 정보를 타겟 디바이스(200)로부터 수신할 수 있다.
단계 S520에서, 전자 디바이스(200)는 수신된 제1 정보를 전자 디바이스(200)의 개인 키(private key)로 서명하여, 서명된 제1 정보 및 전자 디바이스(200)의 식별 정보가 포함된 제1 인증 정보를 타겟 디바이스(100)로 전송할 수 있다. 구체적으로, 전자 디바이스(200)는 수신된 제1 정보를 전자 디바이스(200)의 개인 키로 서명하여, 전자 디바이스(200)의 공개 키를 가지는 서버(300)에 의해서 복호화 되도록 할 수 있다. 또한, 전자 디바이스(200)는 서명된 제1 정보와 함께 전자 디바이스(200)의 식별 정보(예를 들어, ID)가 포함된 제1 인증 정보를 생성하고, 생성된 제1 인증 정보를 타겟 디바이스(100)로 전송할 수 있다.
단계 S530에서, 전자 디바이스(200)는 타겟 디바이스(100)로부터 수신되는 타겟 디바이스 키 및 암호화된 제1 인증 정보를 서버(300)로 전송할 수 있다. 이 때, 전자 디바이스(200)는 타겟 디바이스(100)로부터 타겟 디바이스 키 및 암호화된 제1 인증 정보와 함께 서버 정보를 더 수신할 수도 있다. 전자 디바이스(200)는 타겟 디바이스(100)로부터 수신되는 소정의 정보를 서버(300)로 전달하는 역할을 수행할 수 있다. 이에 따라, 타겟 디바이스(100)는 전자 디바이스(200)의 서버 정보를 함께 전송하여, 전자 디바이스(200)가 타겟 디바이스(100)로부터 수신된 소정 정보를 목적하는 서버(300)에 전송하도록 지원할 수 있다. 서버 정보는 서버의 주소를 나타내는 통합 자원 식별자(URI, Uniform Resource Identifier)일 수 있다.
한편, 전술한 바와 같이, 암호화된 제1 인증 정보는 타겟 디바이스 키에 의해 암호화된 것일 수 있으며, 타겟 디바이스 키는 서버 키에 의해 암호화된 것일 수 있다.
단계 S540에서, 전자 디바이스(200)는 제1 인증 정보를 기초로 획득된 제2 인증 정보를 서버(300)로부터 수신하여, 수신된 제2 인증 정보를 타겟 디바이스(100)로 전송할 수 있다. 구체적으로, 전자 디바이스(200)는 네트워크를 이용하여 제2 인증 정보를 서버(300)로부터 수신하고, 수신된 제2 인증 정보를 근거리 통신을 이용하여 타겟 디바이스(100)로 전송할 수 있다.
도 6은 본 개시의 일 실시예에 따른 장치들 간 데이터 송수신 방법을 나타내는 흐름도이다.
전자 디바이스(200)는 전자 디바이스(200)의 공개 키(public key)를 서버(300)로 전송할 수 있다(S601). 서버(300)는 전자 디바이스(200) 각각에 수신된 공개 키를 대응시킨 매핑 정보를 저장할 수 있다(S602). 즉, 서버(300)는 전자 디바이스(200)의 식별 정보에 공개 키가 대응된 매핑 정보를 생성 및 저장할 수 있다.
또한, 서버(300)는 서버 키를 타겟 디바이스(100)로 전송할 수 있다(S603). 한편, 타겟 디바이스(100)는 타겟 디바이스 키를 생성하거나, 외부 디바이스(미도시)로부터 타겟 디바이스 키를 수신할 수 있다.
타겟 디바이스(100)는 타겟 디바이스(100)로부터 전자 디바이스(200)가 소정 거리 이내에 있는지 여부를 판단할 수 있다(S604). 예를 들어, 타겟 디바이스(100)는 UWB, NFC 등의 근거리 통신을 이용하여 전자 디바이스(200)가 소정 거리 이내에 있는지 여부를 판단할 수 있다. 또한, 타겟 디바이스(100)는 전자 디바이스(200)가 소정 거리 이내에 있는 경우, 랜덤 값을 생성할 수 있다(S605).
타겟 디바이스(100)는 생성된 랜덤 값 및 타겟 디바이스(100)의 식별 정보를 포함하는 제1 정보를 전자 디바이스(200)로 전송할 수 있다(S606). 전자 디바이스(200)는 수신된 제1 정보를 전자 디바이스(200)의 개인 키(private key)로 서멍할 수 있다(S607). 또한, 전자 디바이스(200)는 서명된 제1 정보 및 전자 디바이스(200)의 식별 정보를 포함하는 제1 인증 정보를 타겟 디바이스(100)로 전송할 수 있다(S608).
타겟 디바이스(100)는 수신된 제1 인증 정보 및 타겟 디바이스 키를 암호화할 수 있다(S609). 구체적으로, 타겟 디바이스(100)는 제1 인증 정보를 타겟 디바이스 키로 암호화하고, 타겟 디바이스 키를 서버 키로 암호화 할 수 있다.
타겟 디바이스(100)는 암호화된 타겟 디바이스 키 및 제1 인증 정보를 전자 디바이스(200)를 통해 서버(300)로 전송할 수 있다. 이에 따라, 타겟 디바이스(100)가 네트워크에 연결되어 있지 않은 경우라도, 네트워크에 연결된 전자 디바이스(200)를 이용하여 소정 데이터를 서버(300)와 송수신할 수 있다. 구체적으로, 타겟 디바이스(100)는 암호화된 타겟 디바이스 키 및 제1 인증 정보를 전자 디바이스(200)로 전송할 수 있다(S610). 전자 디바이스(200)는 타겟 디바이스(100)로부터 수신된 암호화된 타겟 디바이스 키 및 제1 인증 정보를 네트워크를 통해 서버(300)로 전송할 수 있다(S611).
서버(300)는 암호화된 제1 인증 정보에 기초하여 전자 디바이스를 인증할 수 있다(S612). 구체적으로, 서버(300)는 서버 키를 이용하여 타겟 디바이스 키를 복호화 하고, 복호화된 타겟 디바이스 키 및 전자 디바이스(200)의 공개 키를 이용하여 수신된 제1 인증 정보를 복호화 할 수 있다.
서버(300)는 복호화된 제1 인증 정보에 기초하여 전자 디바이스(200)가 권한이 있는 디바이스 인지 여부를 인증할 수 있다. 예를 들어, 서버(300)는 매핑 정보에 기초하여 제1 인증 정보에 포함된 전자 디바이스(200)의 식별 정보를 확인할 수 있다.
서버(300)는 제1 인증 정보를 기초로 획득된 제2 인증 정보를 전자 디바이스(200)를 통해 타겟 디바이스(100)로 전송할 수 있다(S613, S614). 구체적으로, 서버(300)는 제1 인증 정보 중 적어도 일부에 기초하여 제2 인증 정보를 생성할 수 있다. 제1 인증 정보가 타겟 디바이스(100)로부터 수신된 경우, 제2 인증 정보는 타겟 디바이스(100)에 의해 생성된 랜덤 값에 대응되는 값을 포함할 수 있다.
타겟 디바이스(100)는 수신된 제2 인증 정보와 랜덤 값의 비교에 기초하여 도어의 개폐 여부를 결정할 수 있다(S615). 구체적으로, 타겟 디바이스(100)는 제2 인증 정보에 랜덤 값이 포함된 경우 도어를 열도록 결정할 수 있다. 또한, 타겟 디바이스(100)는 제2 인증 정보에 랜덤 값에 대응되는 값이 포함되지 않은 경우, 도어를 열지 않도록 결정할 수 있다. 예를 들어, 스푸핑 공격에 의해 외부 디바이스(미도시)로부터 제1 인증 정보가 수신된 경우, 제1 인증 정보에는 타겟 디바이스(100)에 의해 생성된 랜덤 값이 포함되지 않으므로, 제2 인증 정보도 타겟 디바이스(100)에 의해 생성된 랜덤 값을 포함할 수 없다. 이 경우, 타겟 디바이스(100)는 제2 인증 정보와 랜덤 값의 비교 결과, 제2 인증 정보에 랜덤 값에 대응되는 값이 포함되지 않으므로, 타겟 디바이스(100)는 도어를 열지 않도록 결정할 수 있다.
도 7은 본 개시의 일 실시예에 따른 타겟 디바이스의 내부 구성을 나타내는 블록도이다.
도 7을 참조하면, 타겟 디바이스(100)는, 통신부(110), 프로세서(120), 및 메모리(130)를 포함할 수 있다. 그러나, 이에 한정되지 않고, 도 7에 도시된 구성 요소 모두보다 많거나 적은 구성 요소에 의해 타겟 디바이스(100)가 구현될 수도 있다.
도 7에서는 타겟 디바이스(100)가 하나의 프로세서를 포함하는 것으로 도시되었으나, 실시예는 이에 제한되지 않으며, 타겟 디바이스(100)는 복수의 프로세서들을 포함할 수 있다. 이하, 서술되는 프로세서(120)의 동작 및 기능들의 적어도 일부는 복수의 프로세서들에 의해 수행될 수 있다. 도 7에 도시된 타겟 디바이스(100)는, 본 개시의 다양한 실시 예들에 따른 디지털 서명된 랜덤 값을 이용하여 전자 디바이스를 인증하기 위한 방법을 수행할 수 있으며, 도 1 내지 도 6에 대한 설명이 적용될 수 있다. 따라서, 상술한 바와 중복되는 내용은 생략한다.
통신부(110)는, 전자 디바이스(200)와 근거리 통신(short range communication)을 수행할 수 있다. 이를 위해, 통신부(110)는 근거리 통신을 위한 통신 모듈을 포함할 수 있다. 예를 들어, 통신부(1710)는 Wi-Fi, Wi-Fi Direct, UWB, 블루투스, NFC 외에 적외선 통신, MST(Magnetic Secure Transmission, 마그네틱 보안 통신과 같은 다양한 근거리 통신을 수행하기 위한 통신 모듈을 포함할 수 있다. 통신 모듈은 칩셋(chipset)의 형태일 수도 있고, 또는 통신에 필요한 정보를 포함하는 스티커/바코드(e.g. NFC tag를 포함하는 스티커)등일 수도 있다.
본 개시의 일 실시예에 따르면, 메모리(130)는 애플리케이션과 같은 프로그램 및 파일 등과 같은 다양한 종류의 데이터가 설치 및 저장할 수 있다. 프로세서(120)는 메모리(130)에 저장된 데이터에 접근하여 이를 이용하거나, 또는 새로운 데이터를 메모리(130)에 저장할 수도 있다. 본 개시의 일 실시예에서, 메모리(130)에는 타겟 디바이스 키를 등록하고, 랜덤 값을 생성하기 위한 프로그램 및 데이터가 설치 및 저장될 수 있다.
프로세서(120)는 타겟 디바이스(100)의 전체적인 동작을 제어하며, CPU, GPU 등과 같은 프로세서를 적어도 하나 이상 포함할 수 있다. 프로세서(120)는 전자 디바이스(200)의 인증를 위한 동작을 수행하도록 타겟 디바이스(100)에 포함된 다른 구성들을 제어할 수 있다. 프로세서(120)는, 랜덤 값을 생성하고 수신된 인증 정보와 비교하여 전자 디바이스(200)를 인증하는 동작을 수행하도록 타겟 디바이스(100)에 포함된 다른 구성들을 제어할 수 있다.
프로세서(120)는 메모리(130) 또는 외부 디바이스(미도시)에 저장된 프로그램을 실행시키거나, 저장된 파일을 읽어오거나, 새로운 파일을 저장할 수도 있다.
일 실시예에 따르면, 프로세서(120)는 타겟 디바이스(100)로부터 전자 디바이스(200)가 소정 거리 이내에 있는지 여부에 기초하여 랜덤 값을 생성하고, 생성된 랜덤 값 및 타겟 디바이스(100)의 식별 정보를 포함하는 제1 정보를 전자 디바이스(200)로 전송하여, 제1 정보를 기초로 획득된 제1 인증 정보를 전자 디바이스로(200)부터 수신하고, 수신된 제1 인증 정보 및 타겟 디바이스 키를 암호화하고, 암호화된 타겟 디바이스 키 및 제1 인증 정보를 서버(300)로 전송하여, 제1 인증 정보를 기초로 획득된 제2 인증 정보를 서버(300)로부터 수신하고, 제2 인증 정보와 상기 랜덤 값의 비교에 기초하여 도어의 개폐 여부를 결정할 수 있다.
또한, 프로세서(120)는 암호화된 타겟 디바이스(100) 및 제1 인증 정보를 전자 디바이스(200)를 통해 서버(300)로 전송하고, 제2 인증 정보를 전자 디바이스(200)를 통해 서버로부터 수신할 수 있다.
프로세서(120)는 서버 키를 서버(300)로부터 수신하고, 서버 키를 이용하여 타겟 디바이스 키를 암호화할 수 있다.
또한 프로세서(120)는 제2 인증 정보를 타겟 디바이스 키에 의해 복호화할 수 있다. 프로세서(120)는 복호화된 제2 인증 정보가 랜덤 값에 대응되는 값을 포함하는 경우, 도어를 열도록 결정하고, 복호화된 제2 인증 정보가 랜덤 값에 대응되는 값을 포함하지 않는 경우, 도어를 닫도록 결정할 수 있다.
도 8은 본 개시의 일 실시예에 따른 전자 디바이스의 내부 구성을 나타내는 블록도이다.
도 8을 참조하면, 전자 디바이스(200)는, 통신부(210), 프로세서(220), 및 메모리(230)를 포함할 수 있다. 그러나, 이에 한정되지 않고, 도 8에 도시된 구성 요소 모두보다 많거나 적은 구성 요소에 의해 전자 디바이스(200)가 구현될 수도 있다.
도 8에서는 전자 디바이스(200)가 하나의 프로세서를 포함하는 것으로 도시되었으나, 실시예는 이에 제한되지 않으며, 전자 디바이스(200)는 복수의 프로세서들을 포함할 수 있다. 이하, 서술되는 프로세서(220)의 동작 및 기능들의 적어도 일부는 복수의 프로세서들에 의해 수행될 수 있다. 도 8에 도시된 전자 디바이스(200)는, 본 개시의 다양한 실시 예들에 따른 디지털 서명된 랜덤 값을 이용하여 전자 디바이스(200)를 인증하기 위한 방법을 수행할 수 있으며, 도 1 내지 도 6에 대한 설명이 적용될 수 있다. 따라서, 상술한 바와 중복되는 내용은 생략한다.
통신부(210)는, 서버(300)와 네트워크를 통해 유무선 통신을 수행하고, 타겟 디바이스(100)와 근거리 통신을 할 수 있다. 이를 위해, 통신부(210)는 다양한 유무선 통신 방법 중 적어도 하나를 지원하는 통신 모듈을 포함할 수 있다. 예를 들어, 통신 모듈은 칩셋(chipset)의 형태일 수도 있고, 또는 통신에 필요한 정보를 포함하는 스티커/바코드(e.g. NFC tag를 포함하는 스티커)등일 수도 있다.
무선 통신은, 예를 들어, 셀룰러 통신, Wi-Fi(Wireless Fidelity), Wi-Fi Direct, 블루투스(Bluetooth), UWB(Ultra Wide Band) 또는 NFC(Near Field Communication) 중 적어도 하나를 포함할 수 있다. 유선 통신은, 예를 들어, USB 또는 HDMI(High Definition Multimedia Interface) 중 적어도 하나를 포함할 수 있다.
일 실시예에서 통신부(210)는 근거리 통신(short range communication)을 위한 통신 모듈을 포함할 수 있다. 예를 들어, 통신부(210)는 위에서 설명한 Wi-Fi, Wi-Fi Direct, 블루투스, NFC 외에 적외선 통신, MST(Magnetic Secure Transmission, 마그네틱 보안 통신과 같은 다양한 근거리 통신을 수행하기 위한 통신 모듈을 포함할 수 있다.
메모리(230)에는 애플리케이션과 같은 프로그램 및 파일 등과 같은 다양한 종류의 데이터가 설치 및 저장될 수 있다. 프로세서(220)는 메모리(230)에 저장된 데이터에 접근하여 이를 이용하거나, 또는 새로운 데이터를 메모리(230)에 저장할 수도 있다. 일 실시예에서, 메모리(230)에는 디지털 서명된 랜덤 값을 이용하여 전자 디바이스(200)를 인증하기 위한 프로그램 및 데이터가 설치 및 저장될 수 있다.
프로세서(220)는 전자 디바이스(200)의 전체적인 동작을 제어하며, CPU, GPU 등과 같은 프로세서를 적어도 하나 이상 포함할 수 있다. 프로세서(220)는 랜덤 값에 서명하는 동작을 수행하도록 전자 디바이스(200)에 포함된 다른 구성들을 제어할 수 있다. 프로세서(220)는, 디지털 서명된 랜덤 값을 이용하여 전자 디바이스(200)를 인증하기 위한 동작을 수행하도록 전자 디바이스(200)에 포함된 다른 구성들을 제어할 수 있다.
프로세서(220)는 메모리(230)에 저장된 프로그램을 실행시키거나, 저장된 파일을 읽어오거나, 새로운 파일을 저장할 수도 있다.
일 실시예에 따르면, 프로세서(220)는, 타겟 디바이스(100)로부터 수신된 정보를 전자 디바이스(200)의 개인 키로 랜덤 값을 서명하고, 서명된 랜덤 값 및 전자 디바이스(200)의 식별 정보를 타겟 디바이스(100)로 전송할 수 있다. 또한 프로세서(220)는, 타겟 디바이스(100) 및 서버(300) 간 데이터 송수신을 지원하도록 각 구성 요소를 제어할 수 있다.
일 실시예에 따르면, 프로세서(220)는 타겟 디바이스(100)의 식별 정보 및 랜덤 값을 포함하는 제1 정보를 타겟 디바이스(100)로부터 수신하고, 수신된 제1 정보를 전자 디바이스(200)의 개인 키(private key)로 서명하여, 서명된 제1 정보 및 전자 디바이스(200)의 식별 정보가 포함된 제1 인증 정보를 타겟 디바이스(100)로 전송하고, 타겟 디바이스(100)로부터 수신되는 타겟 디바이스 키 및 암호화된 제1 인증 정보를 서버(300)로 전송하고, 제1 인증 정보를 기초로 획득된 제2 인증 정보를 서버(300)로부터 수신하여, 수신된 제2 인증 정보를 타겟 디바이스(100)로 전송할 수 있다. 이 때, 암호화된 제1 인증 정보는, 타겟 디바이스 키에 의해 암호화된 것이고, 타겟 디바이스 키는, 서버 키에 의해 암호화 된 것일 수 있다.
또한, 프로세서(220)는 타겟 디바이스(100)로부터 서버 정보를 수신하고, 수신된 서버 정보에 기초하여, 타겟 디바이스(100)로부터 수신되는 타겟 디바이스 키 및 상기 제1 인증 정보를 서버(300)로 전송할 수 있다.
또한, 프로세서(220)는 전자 디바이스(200)에 관한 정보를 인증하기 위한 디바이스의 공개 키(public key)를 서버(300)로 전송할 수 있다.
도 9는 본 개시의 일 실시예에 따른 서버의 내부 구성을 나타내는 블록도이다.
도 9를 참조하면, 서버(300)는, 통신부(310), 프로세서(320) 및 메모리(330)를 포함할 수 있다. 그러나, 이에 한정되지 않고, 도 9에 도시된 구성 요소 모두보다 많거나 적은 구성 요소에 의해 서버(300)가 구현될 수도 있다.
도 9에서는 서버(300)가 하나의 프로세서를 포함하는 것으로 도시되었으나, 실시예는 이에 제한되지 않으며, 복수의 프로세서들을 포함할 수 있다. 이하, 서술되는 프로세서(330)의 동작 및 기능들의 적어도 일부는 복수의 프로세서들에 의해 수행될 수 있다. 도 9에 도시된 서버(300)는, 본 개시의 다양한 실시 예들에 따른 디지털 서명된 랜덤 값을 이용하여 전자 디바이스를 인증하기 위한 방법을 수행할 수 있으며, 도 1 내지 도 6에 대한 설명이 적용될 수 있다. 따라서, 상술한 바와 중복되는 내용은 생략한다.
통신부(310)는, 전자 디바이스(200)와 네트워크를 통해 유무선 통신을 수행할 수 있다. 이를 위해, 통신부(310)는 다양한 유무선 통신 방법 중 적어도 하나를 지원하는 통신 모듈을 포함할 수 있다. 예를 들어, 통신 모듈은 칩셋(chipset)의 형태일 수도 있고, 또는 통신에 필요한 정보를 포함하는 스티커/바코드(e.g. NFC tag를 포함하는 스티커)등일 수도 있다.
무선 통신은, 예를 들어, 셀룰러 통신, Wi-Fi(Wireless Fidelity), Wi-Fi Direct, 블루투스(Bluetooth), UWB(Ultra Wide Band) 또는 NFC(Near Field Communication) 중 적어도 하나를 포함할 수 있다. 유선 통신은, 예를 들어, USB 또는 HDMI(High Definition Multimedia Interface) 중 적어도 하나를 포함할 수 있다.
메모리(330)에는 애플리케이션과 같은 프로그램 및 파일 등과 같은 다양한 종류의 데이터가 설치 및 저장될 수 있다. 프로세서(320)는 메모리(330)에 저장된 데이터에 접근하여 이를 이용하거나, 또는 새로운 데이터를 메모리(330)에 저장할 수도 있다. 일 실시예에서, 메모리(330)에는 전자 디바이스(200)를 인증하기 위한 프로그램 및 데이터가 설치 및 저장될 수 있다.
프로세서(320)는 서버(300)의 전체적인 동작을 제어하며, CPU, GPU 등과 같은 프로세서를 적어도 하나 이상 포함할 수 있다. 프로세서(320)는 전자 디바이스(200)를 인증하기 위한 동작을 수행하도록 서버(300)에 포함된 다른 구성들을 제어할 수 있다. 프로세서(320)는, 전자 디바이스(200)를 인증하기 위한 동작을 수행하도록 서버(300)에 포함된 다른 구성들을 제어할 수 있다.
프로세서(320)는 메모리(330)에 저장된 프로그램을 실행시키거나, 저장된 파일을 읽어오거나, 새로운 파일을 저장할 수도 있다.
일 실시예에 따르면, 프로세서(320)는, 전자 디바이스(200)로부터 제1 인증 정보를 수신하고, 제1 인증 정보를 이용하여 전자 디바이스(200)를 검증하며, 제1 인증 정보에 기초하여 제2 인증 정보를 전자 디바이스(200)로 전송하도록 각 구성 요소를 제어할 수 있다.
일 실시예에 따르면, 프로세서(320)는 하나 이상의 전자 디바이스(200)들 각각에 대한 공개 키(public key)를 수신하고, 하나 이상의 전자 디바이스(200)들 중 제1 디바이스로부터, 암호화된 제1 인증 정보를 수신하고, 암호화된 제1 인증 정보에 기초하여 제1 디바이스를 인증(authenticate)하고, 제1 인증 정보를 기초로 획득된 제2 인증 정보를 타겟 디바이스(100)로 전송할 수 있다.
또한, 프로세서(320)는, 하나 이상의 디바이스들 각각에 상기 수신된 공개 키를 대응시킨 매핑 정보를 저장할 수 있다. 또한, 프로세서(320)는, 제2 인증 정보를 제1 디바이스를 통해 타겟 디바이스(100)로 전송할 수 있다.
또한, 프로세서(320)는, 타겟 디바이스(100)로부터 타겟 디바이스 키를 수신하고, 서버 키를 타겟 디바이스(100)로 전송하고, 수신된 타겟 디바이스 키가 서버 키에 의해 암호화된 경우, 서버 키를 이용하여 수신된 타겟 디바이스 키를 복호화 하고, 복호화된 타겟 디바이스 키 및 제1 디바이스의 공개 키를 이용하여 제1 인증 정보를 복호화할 수 있다.
한편, 상술한 실시예는, 컴퓨터에서 실행될 수 있는 프로그램으로 작성 가능하고, 컴퓨터에 의해 판독 가능한 매체를 이용하여 상기 프로그램을 동작시키는 범용 디지털 컴퓨터에서 구현될 수 있다. 또한, 상술한 실시예에서 사용된 데이터의 구조는 컴퓨터 판독 가능 매체에 여러 수단을 통하여 기록될 수 있다. 또한, 상술한 실시예는 컴퓨터에 의해 실행되는 프로그램 모듈과 같은 컴퓨터에 의해 실행 가능한 명령어를 포함하는 기록 매체를 포함하는 컴퓨터 프로그램 제품의 형태로 구현될 수 있다. 예를 들어, 소프트웨어 모듈 또는 알고리즘으로 구현되는 방법들은 컴퓨터가 읽고 실행할 수 있는 코드들 또는 프로그램 명령들로서 컴퓨터가 읽을 수 있는 기록 매체에 저장될 수 있다.
컴퓨터 판독 가능 매체는 컴퓨터에 의해 액세스될 수 있는 임의의 기록 매체일 수 있고, 휘발성 및 비휘발성 매체, 분리형 및 비분리형 매체를 포함할 수 있다. 컴퓨터 판독 가능 매체는 마그네틱 저장매체, 예를 들면, 롬, 플로피 디스크, 하드 디스크 등을 포함하고, 광학적 판독 매체, 예를 들면, 시디롬, DVD 등과 같은 저장 매체를 포함할 수 있으나, 이에 제한되지 않는다. 또한, 컴퓨터 판독 가능 매체는 컴퓨터 저장 매체 및 통신 매체를 포함할 수 있다.
또한, 컴퓨터가 읽을 수 있는 복수의 기록 매체가 네트워크로 연결된 컴퓨터 시스템들에 분산되어 있을 수 있으며, 분산된 기록 매체들에 저장된 데이터, 예를 들면 프로그램 명령어 및 코드가 적어도 하나의 컴퓨터에 의해 실행될 수 있다.
이상과 첨부된 도면을 참조하여 본 개시의 실시예를 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다.
Claims (15)
- 타겟 디바이스의 동작 방법에 있어서,상기 타겟 디바이스로부터 전자 디바이스가 소정 거리 이내에 있는지 여부에 기초하여 랜덤 값을 생성하는 단계;상기 생성된 랜덤 값 및 상기 타겟 디바이스의 식별 정보를 포함하는 제1 정보를 상기 전자 디바이스로 전송하여, 상기 제1 정보를 기초로 획득된 제1 인증 정보를 상기 전자 디바이스로부터 수신하는 단계;상기 수신된 제1 인증 정보 및 타겟 디바이스 키를 암호화하는 단계;상기 암호화된 타겟 디바이스 키 및 상기 제1 인증 정보를 서버로 전송하여, 상기 제1 인증 정보를 기초로 획득된 제2 인증 정보를 상기 서버로부터 수신하는 단계; 및상기 제2 인증 정보와 상기 랜덤 값의 비교에 기초하여 도어의 개폐 여부를 결정하는 단계를 포함하는, 방법.
- 제1항에 있어서,상기 제2 인증 정보를 수신하는 단계는,상기 암호화된 타겟 디바이스 키 및 상기 제1 인증 정보를 상기 전자 디바이스를 통해 상기 서버로 전송하고, 상기 제2 인증 정보를 상기 전자 디바이스를 통해 상기 서버로부터 수신하는 것인, 방법.
- 제1항에 있어서,상기 제2 인증 정보는,상기 제1 인증 정보 중 상기 랜덤 값에 대응되는 값을 포함하는, 방법.
- 제1항에 있어서,서버 키를 상기 서버로부터 수신하는 단계를 더 포함하고,상기 암호화하는 단계는,상기 타겟 디바이스 키를 이용하여 상기 수신된 제1 인증 정보를 암호화하는 단계; 및상기 서버 키를 이용하여 상기 타겟 디바이스 키를 암호화 하는 단계;를 더 포함하는 것인, 방법.
- 제1항에 있어서,상기 결정하는 단계는,상기 제2 인증 정보를 상기 타겟 디바이스 키에 의해 복호화 하는 단계; 및상기 복호화된 제2 인증 정보가 상기 랜덤 값에 대응되는 값을 포함하는 경우, 도어를 열도록 결정하고, 상기 복호화된 제2 인증 정보가 상기 랜덤 값에 대응되는 값을 포함하지 않는 경우, 도어를 닫도록 결정하는 단계;를 더 포함하는, 방법.
- 전자 디바이스의 동작 방법에 있어서,타겟 디바이스의 식별 정보 및 랜덤 값을 포함하는 제1 정보를 상기 타겟 디바이스로부터 수신하는 단계;상기 수신된 제1 정보를 상기 전자 디바이스의 개인 키(private key)로 서명하여, 상기 서명된 제1 정보 및 상기 전자 디바이스의 식별 정보가 포함된 제1 인증 정보를 상기 타겟 디바이스로 전송하는 단계;상기 타겟 디바이스로부터 수신되는 타겟 디바이스 키 및 암호화된 상기 제1 인증 정보를 서버로 전송하는 단계;상기 제1 인증 정보를 기초로 획득된 제2 인증 정보를 상기 서버로부터 수신하여, 수신된 제2 인증 정보를 상기 타겟 디바이스로 전송하는 단계를 포함하는, 방법.
- 제6항에 있어서,상기 타겟 디바이스로부터 서버 정보를 수신하는 단계를 더 포함하고,상기 서버로 전송하는 단계는,상기 수신된 서버 정보에 기초하여, 상기 전자 디바이스에 관한 정보를 인증하기 위한 상기 디바이스의 공개 키(public key), 상기 타겟 디바이스로부터 수신되는 타겟 디바이스 키 및 상기 제1 인증 정보를 상기 서버로 전송하는 것인, 방법.
- 제6항에 있어서,상기 암호화된 제1 인증 정보는,상기 타겟 디바이스 키에 의해 암호화된 것이고,상기 타겟 디바이스 키는,서버 키에 의해 암호화 된 것인, 방법.
- 타겟 디바이스에 있어서,송수신부;적어도 하나 이상의 인스트럭션을 저장하는 메모리; 및상기 적어도 하나 이상의 인스트럭션을 실행함으로써 상기 타겟 디바이스를 제어하는 적어도 하나 이상의 프로세서를 포함하며,상기 적어도 하나 이상의 프로세서는,상기 타겟 디바이스로부터 전자 디바이스가 소정 거리 이내에 있는지 여부에 기초하여 랜덤 값을 생성하고,상기 생성된 랜덤 값 및 상기 타겟 디바이스의 식별 정보를 포함하는 제1 정보를 상기 전자 디바이스로 전송하여, 상기 제1 정보를 기초로 획득된 제1 인증 정보를 상기 전자 디바이스로부터 수신하고,상기 수신된 제1 인증 정보 및 타겟 디바이스 키를 암호화하고,상기 암호화된 타겟 디바이스 키 및 상기 제1 인증 정보를 서버로 전송하여, 상기 제1 인증 정보를 기초로 획득된 제2 인증 정보를 상기 서버로부터 수신하고,상기 제2 인증 정보와 상기 랜덤 값의 비교에 기초하여 도어의 개폐 여부를 결정하는, 타겟 디바이스.
- 제9항에 있어서,상기 적어도 하나 이상의 프로세서는,상기 암호화된 타겟 디바이스 키 및 상기 제1 인증 정보를 상기 전자 디바이스를 통해 상기 서버로 전송하고, 상기 제2 인증 정보를 상기 전자 디바이스를 통해 상기 서버로부터 수신하는, 타겟 디바이스.
- 제9항에 있어서,상기 제2 인증 정보는,상기 제1 인증 정보 중 상기 랜덤 값에 대응되는 값을 포함하는, 타겟 디바이스.
- 제9항에 있어서,상기 적어도 하나 이상의 프로세서는,상기 타겟 디바이스 키를 이용하여 상기 수신된 제1 인증 정보를 암호화 하고,서버 키를 상기 서버로부터 수신하고, 상기 서버 키를 이용하여 상기 타겟 디바이스 키를 암호화 하는, 타겟 디바이스.
- 제9항에 있어서,상기 적어도 하나 이상의 프로세서는,상기 제2 인증 정보를 상기 타겟 디바이스 키에 의해 복호화 하고,상기 복호화된 제2 인증 정보가 상기 랜덤 값에 대응되는 값을 포함하는 경우, 도어를 열도록 결정하고, 상기 복호화된 제2 인증 정보가 상기 랜덤 값에 대응되는 값을 포함하지 않는 경우, 도어를 닫도록 결정하는, 타겟 디바이스.
- 전자 디바이스에 있어서,송수신부;적어도 하나 이상의 인스트럭션을 저장하는 메모리; 및상기 적어도 하나 이상의 인스트럭션을 실행함으로써 상기 전자 디바이스를 제어하는 적어도 하나 이상의 프로세서를 포함하며,상기 적어도 하나 이상의 프로세서는,타겟 디바이스의 식별 정보 및 랜덤 값을 포함하는 제1 정보를 상기 타겟 디바이스로부터 수신하고,상기 수신된 제1 정보를 상기 전자 디바이스의 개인 키(private key)로 서명하여, 상기 서명된 제1 정보 및 상기 전자 디바이스의 식별 정보가 포함된 제1 인증 정보를 상기 타겟 디바이스로 전송하고,상기 타겟 디바이스로부터 수신되는 타겟 디바이스 키 및 암호화된 상기 제1 인증 정보를 서버로 전송하고,상기 제1 인증 정보를 기초로 획득된 제2 인증 정보를 상기 서버로부터 수신하여, 상기 수신된 제2 인증 정보를 상기 타겟 디바이스로 전송하는, 전자 디바이스.
- 제14항에 있어서,상기 적어도 하나 이상의 프로세서는,상기 타겟 디바이스로부터 서버 정보를 수신하고,상기 수신된 서버 정보에 기초하여, 상기 전자 디바이스에 관한 정보를 인증하기 위한 상기 디바이스의 공개 키(public key), 상기 타겟 디바이스로부터 수신되는 타겟 디바이스 키 및 상기 제1 인증 정보를 상기 서버로 전송하고,상기 암호화된 제1 인증 정보는,상기 타겟 디바이스 키에 의해 암호화된 것이고,상기 타겟 디바이스 키는,서버 키에 의해 암호화 된 것인, 전자 디바이스.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US17/598,670 US11776340B2 (en) | 2019-03-27 | 2020-03-26 | Electronic device authentication method, and apparatus according thereto |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR10-2019-0035179 | 2019-03-27 | ||
KR1020190035179A KR20200114074A (ko) | 2019-03-27 | 2019-03-27 | 전자 디바이스를 인증하기 위한 방법 및 그에 따른 장치 |
Publications (1)
Publication Number | Publication Date |
---|---|
WO2020197283A1 true WO2020197283A1 (ko) | 2020-10-01 |
Family
ID=72610614
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
PCT/KR2020/004120 WO2020197283A1 (ko) | 2019-03-27 | 2020-03-26 | 전자 디바이스를 인증하기 위한 방법 및 그에 따른 장치 |
Country Status (3)
Country | Link |
---|---|
US (1) | US11776340B2 (ko) |
KR (1) | KR20200114074A (ko) |
WO (1) | WO2020197283A1 (ko) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP4307611A1 (en) * | 2022-07-15 | 2024-01-17 | Mastercard International Incorporated | Data communication and cryptographic operations for secure wireless interactions |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100463643B1 (ko) * | 2004-08-03 | 2004-12-30 | 김능수 | 이동통신을 이용한 도어록의 디지털 키 전송시스템 |
KR20170071094A (ko) * | 2015-12-15 | 2017-06-23 | 남양공업주식회사 | 사용자 단말, 사용자 단말을 구비한 스마트키 시스템 및 그의 제어방법 |
KR101757214B1 (ko) * | 2017-03-20 | 2017-07-12 | (주)케이스마텍 | 신뢰된 실행 환경 기반의 사용자 단말기를 이용한 차량 제어 방법 및 시스템 |
KR20170100173A (ko) * | 2016-02-25 | 2017-09-04 | (주)우주일렉트로닉스 | 근거리 무선통신을 이용한 도어락 제어 시스템 및 방법 |
KR101866485B1 (ko) * | 2009-10-30 | 2018-06-11 | 겟어라운드, 인코포레이티드 | 차량 액세스 제어 서비스 및 플랫폼 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110084799A1 (en) * | 2009-10-13 | 2011-04-14 | Pitney Bowes Inc. | Lock system including an electronic key and a passive lock |
EP3167402B1 (en) * | 2014-07-10 | 2019-06-19 | Schlage Lock Company LLC | Networked access control system |
US10089801B1 (en) * | 2017-05-15 | 2018-10-02 | Amazon Technologies, Inc. | Universal access control device |
DE102017209854A1 (de) | 2017-06-12 | 2018-12-13 | BSH Hausgeräte GmbH | Kältegerät mit einem Eis-Wasser-Spender |
NZ774490A (en) * | 2018-09-21 | 2023-05-26 | Schlage Lock Co Llc | Wireless access credential system |
EP3847630A1 (en) * | 2018-10-09 | 2021-07-14 | Assa Abloy Ab | Physical access control system and method |
-
2019
- 2019-03-27 KR KR1020190035179A patent/KR20200114074A/ko not_active Application Discontinuation
-
2020
- 2020-03-26 WO PCT/KR2020/004120 patent/WO2020197283A1/ko active Application Filing
- 2020-03-26 US US17/598,670 patent/US11776340B2/en active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100463643B1 (ko) * | 2004-08-03 | 2004-12-30 | 김능수 | 이동통신을 이용한 도어록의 디지털 키 전송시스템 |
KR101866485B1 (ko) * | 2009-10-30 | 2018-06-11 | 겟어라운드, 인코포레이티드 | 차량 액세스 제어 서비스 및 플랫폼 |
KR20170071094A (ko) * | 2015-12-15 | 2017-06-23 | 남양공업주식회사 | 사용자 단말, 사용자 단말을 구비한 스마트키 시스템 및 그의 제어방법 |
KR20170100173A (ko) * | 2016-02-25 | 2017-09-04 | (주)우주일렉트로닉스 | 근거리 무선통신을 이용한 도어락 제어 시스템 및 방법 |
KR101757214B1 (ko) * | 2017-03-20 | 2017-07-12 | (주)케이스마텍 | 신뢰된 실행 환경 기반의 사용자 단말기를 이용한 차량 제어 방법 및 시스템 |
Also Published As
Publication number | Publication date |
---|---|
US20220198859A1 (en) | 2022-06-23 |
KR20200114074A (ko) | 2020-10-07 |
US11776340B2 (en) | 2023-10-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
WO2017111383A1 (ko) | 생체 정보 기반 인증 장치, 이와 연동하는 제어 서버, 그리고 이들의 생체 정보 기반 로그인 방법 | |
WO2014119936A1 (en) | Method of and apparatus for processing software using hash function to secure software, and computer-readable medium storing executable instructions for performing the method | |
WO2019225921A1 (ko) | 디지털 키를 저장하기 위한 방법 및 전자 디바이스 | |
WO2015147547A1 (en) | Method and apparatus for supporting login through user terminal | |
WO2014185594A1 (ko) | Vdi 환경에서의 싱글 사인온 시스템 및 방법 | |
WO2021150032A1 (en) | Method for providing authentication service by using decentralized identity and server using the same | |
WO2020141660A1 (en) | Electronic apparatus managing data based on block chain and method for managing data | |
WO2018124856A1 (ko) | 블록체인 데이터베이스를 통해 모바일 아이디를 이용하여 사용자를 인증하는 방법, 단말 및 이를 이용한 서버 | |
WO2021112603A1 (en) | Method and electronic device for managing digital keys | |
WO2012099330A2 (ko) | Cpns 환경에서 사용자 인증을 위한 인증키 발급 시스템 및 방법 | |
WO2014003516A1 (ko) | 데이터 공유 제공 방법 및 장치 | |
WO2016064041A1 (ko) | 해쉬값을 이용하여 응용 프로그램의 위변조 여부를 탐지하는 사용자 단말기 및 그것을 이용한 위변조 탐지 방법 | |
WO2020130348A1 (ko) | 디바이스 고유암호키 생성기 및 방법 | |
US12022009B2 (en) | Method and device for performing access control by using authentication certificate based on authority information | |
WO2018169150A1 (ko) | 잠금화면 기반의 사용자 인증 시스템 및 방법 | |
WO2020045826A1 (ko) | 디지털 키를 처리하는 전자 디바이스 및 그 동작 방법 | |
US20110154436A1 (en) | Provider Management Methods and Systems for a Portable Device Running Android Platform | |
WO2020197283A1 (ko) | 전자 디바이스를 인증하기 위한 방법 및 그에 따른 장치 | |
WO2016064040A1 (ko) | 서명정보를 이용하여 응용 프로그램의 위변조 여부를 탐지하는 사용자 단말기 및 그것을 이용한 위변조 탐지 방법 | |
WO2011065768A2 (en) | Method for protecting application and method for executing application using the same | |
CN110955909B (zh) | 个人数据保护方法及区块链节点 | |
WO2018143510A1 (ko) | 사물 인터넷 보안 모듈 | |
WO2023191216A1 (ko) | 데이터 암호화 및 복호화 시스템, 방법 | |
WO2013125883A1 (en) | Drm/cas service device and method using security context | |
WO2021225329A1 (ko) | 사용자 식별자 및 서명 수집을 이용한 모바일 애플리케이션 위변조 탐지 방법 및 시스템 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 20779997 Country of ref document: EP Kind code of ref document: A1 |
|
NENP | Non-entry into the national phase |
Ref country code: DE |
|
122 | Ep: pct application non-entry in european phase |
Ref document number: 20779997 Country of ref document: EP Kind code of ref document: A1 |