WO2023054857A1

WO2023054857A1 - 네트워크 내의 장치

Info

Publication number: WO2023054857A1
Application number: PCT/KR2022/009392
Authority: WO
Inventors: 방성철; 신영규; 김승겸
Original assignee: 주식회사 유니온플레이스
Priority date: 2021-09-29
Filing date: 2022-06-30
Publication date: 2023-04-06
Also published as: US20230114198A1; JP2024500257A; KR102377265B1; EP4304132A1

Abstract

복수의 장치를 포함하는 네트워크 내의 장치로서, 보안 구역(secure zone)에 배치되며, 복수의 암호화 알고리즘과 복수의 정보 생성기와 복수의 키를 저장하는 저장부; 및 상기 보안 구역에 배치되며, 상기 네트워크 내에서 상기 장치가 마스터 장치로 동작하는 경우, (a) 상기 복수의 암호화 알고리즘, 상기 복수의 정보 생성기 및 상기 복수의 키 중에서 상기 네트워크 내에서의 암호화 통신을 위해서 사용할 암호화 알고리즘, 정보 생성기 및 키 중 적어도 하나를 선택하는 처리와, (b) 상기 암호화 알고리즘의 식별 정보, 상기 정보 생성기의 식별 정보 및 상기 키의 식별 정보 중 적어도 하나를 포함하는 프로파일 정보를 생성하는 처리와, (c) 상기 프로파일 정보를 상기 네트워크 내의 상기 복수의 장치 중의 상기 장치를 제외한 다른 장치로 전송하는 처리를 수행하고, 상기 네트워크 내에서 상기 장치가 상기 마스터 장치로 동작하지 않는 경우, (d) 상기 마스터 장치로부터 상기 프로파일 정보를 수신하는 처리와, (e) 상기 프로파일 정보를 기초로 상기 암호화 통신을 위해서 사용할 상기 암호화 알고리즘, 상기 정보 생성기 및 상기 키 중 적어도 하나를 지정하는 처리를 수행하는 연산 처리부를 포함하는 장치가 제공된다.

Description

네트워크 내의 장치

본 개시(開示)는 네트워크 내의 장치에 관한 것이다.

본원에서 설명되는 기술은 한국산업기술평가관리원에 의해서 관리되는 산업통상자원부의 연구 과제의 지원을 받아서 개발되었다(연구과제명: "초고속 자율보안 네트워크를 위한 객체지능 기반의 AI Applet MCU 연구개발", 과제고유번호:1415180947).

컴퓨팅 기술 및 통신 기술의 발전에 따라서 다양한 장치들이 네트워크에 연결될 수 있다. 예컨대, 개인용 컴퓨터, 이동 통신 단말기, 냉장고, 에어콘 및 텔레비전과 같은 다양한 장치들이 홈 네트워크에 연결될 수 있다. 예컨대 생산 설비, 업무용 컴퓨터 및 센서와 같은 장치들이 생산 현장에 설치된 네트워크에 연결될 수 있다. 또한 예컨대 사물 인터넷(Internet of Things) 기술에 따르면, 웨어러블 장치 및 센서와 같은 다양한 장치들이 추가적으로 네트워크에 연결될 수 있다. 이하 본 명세서에서, 통신 기능 및 컴퓨팅 기능을 구비한 장치를 간단히 "장치"라고 지칭한다.

장치의 보안성을 높이기 위해서, 장치는 예컨대 보안 구역(Secure Zone)과 일반 구역(Normal Zone)을 구비하는 프로세서와 같은 반도체 소자를 이용하여 구현될 수 있다. 보안 구역(Secure Zone)은 신뢰 구역(Trust Zone)이라고도 지칭될 수 있다.

예컨대 삼성전자 주식회사에 의해서 출원되고 2017년 2월 6일 공개된 "보안 네트워크 시스템 및 그 데이터 처리 방법"이라는 명칭의 한국공개특허 제10-2017-0012957호에 따르면, 보안 구역("secure world"라고 지칭됨)과 일반 구역("normal world"라고 지칭됨) 중 하나로 선택적으로 동작 가능한 프로세서를 이용하는 기술이 개시된다.

한편 장치는, 인터넷과 같은 네트워크에 연결되기 때문에, 해킹과 같은 악의적인 공격에 노출될 수 있다. 따라서 TLS(Transport Layer Security) 및 DTLS(Datagram Transport Layer Security)와 같은 인터넷 기반의 보안 프로토콜이 장치들 사이에서 데이터를 암호화하여 송수신하기 위해서 적용될 수 있다.

TLS 프로토콜에 따르면, 네트워크 내의 제1 장치와 제2 장치는 공개 키 기반으로 상호 인증을 수행하고 비밀 키(대칭 키)를 생성하여 공유한다. 이후 제1 장치와 제2 장치는 비밀 키를 이용하여 데이터를 암호화하여 송수신한다.

예컨대, 삼성전자 주식회사에 의해서 출원되고 2018년 7월 2일 공개된 "기기간 보안 통신 방법"이라는 명칭의 한국공개특허 제10-2018-0073015호에 따르면, 제1 장치와 제2 장치 사이에서의 핸드셰이킹(handshaking)이 개시된다.

보다 구체적으로, 보안 세션을 생성하기 위해서, 제1 장치와 제2 장치 사이에서는, 예컨대 "Client_Hello", "Server_Hello", "Server_Key_Exchange", "Certificate_Request", "Server_Hello_Done", "Client_Certificate", "Client_Key_Exchange", "Certificate_Verify", "Client_Finished" 및 "Server_Finished"와 같은 다양한 메시지가 송수신된다.

제1 장치와 제2 장치 사이에서 전술한 TLS와 같은 보안 프로토콜을 적용하기 위해서 핸드셰이킹이 수행되는 경우, 다음과 같은 단점이 있다.

우선 제1 장치와 제2 장치는 핸드셰이킹 과정에서 전술한 다양한 메시지를 송수신한다. 따라서 핸드셰이킹을 위해서 제1 장치와 제2 장치 사이에서 다량의 메시지가 송수신되어야 하며, 핸드셰이킹이 완료되기까지 많은 시간이 소요된다.

다음으로, 제1 장치와 제2 장치는 핸드셰이킹 과정에서는 암호화 통신을 위한 비밀 키(대칭 키)를 공개키(PKI) 기반으로 송수신하므로 높은 보안 레벨에서 비밀 키를 송수신할 수 있다. 그러나 제1 장치와 제2 장치는 그 이후의 통신 과정에서는 대칭 키인 비밀 키를 이용하여 데이터를 암호화하여 송수신하므로 낮은 보안 레벨에서 데이터를 송수신한다. 따라서 비밀 키가 누설되는 경우, 제1 장치와 제2 장치 사이의 데이터 통신은 해킹과 같은 악의적인 공격에 취약하다.

다음으로, 핸드셰이킹을 통하여 설정된 제1 장치와 제2 장치 사이의 보안 세션이 종결되면, 그 다음의 데이터 통신을 위해서는 제1 장치와 제2 장치 사이에서 핸드셰이킹을 다시 수행하여 보안 세션을 새로 생성해야 한다.

다음으로, 네트워크 내의 장치의 개수가 증가하면, 핸드셰이킹에 필요한 시간 역시 매우 크게 증가한다. 즉 네트워크 내의 복수의 장치 각각에 대해서 핸드셰이킹이 수행되므로, 핸드셰이킹에 필요한 시간 역시 매우 크게 증가한다.

[선행기술문헌]

[특허문헌]

(특허문헌 1) 한국공개특허 제10-2017-0012957호.

(특허문헌 2) 한국공개특허 제10-2018-0073015호.

본원에서 설명되는 기술의 목적은, 암호화 통신을 위해서 사용할 프로파일 정보를 이용하는 것에 의해서, 핸드셰이킹에 소요되는 메시지 전달 단계 및 핸드셰이킹에 소요되는 시간을 최소화할 수 있고, 암호화 방식을 동적으로 변경할 수 있고, 유효 기간 정보 및 QoS 정보와 같은 정책 정보를 용이하게 변경할 수 있고, 네트워크 내의 복수의 장치가 프로파일 정보를 용이하고 신속하게 공유할 수 있는 것인 네트워크 내의 장치를 제공하는 데 있다.

상기 기술적 과제를 달성하기 위하여, 본원에서 설명되는 기술의 일 형태에 따르면, 복수의 장치를 포함하는 네트워크 내의 장치로서, 보안 구역에 배치되며, 복수의 암호화 알고리즘과 복수의 정보 생성기와 복수의 키를 저장하는 저장부; 및 상기 보안 구역에 배치되며, 상기 네트워크 내에서 상기 장치가 마스터 장치로 동작하는 경우, (a) 상기 복수의 암호화 알고리즘, 상기 복수의 정보 생성기 및 상기 복수의 키 중에서 상기 네트워크 내에서의 암호화 통신을 위해서 사용할 암호화 알고리즘, 정보 생성기 및 키 중 적어도 하나를 선택하는 처리와, (b) 상기 암호화 알고리즘의 식별 정보, 상기 정보 생성기의 식별 정보 및 상기 키의 식별 정보 중 적어도 하나를 포함하는 프로파일 정보를 생성하는 처리와, (c) 상기 프로파일 정보를 상기 네트워크 내의 상기 복수의 장치 중의 상기 장치를 제외한 다른 장치로 전송하는 처리를 수행하고, 상기 네트워크 내에서 상기 장치가 상기 마스터 장치로 동작하지 않는 경우, (d) 상기 마스터 장치로부터 상기 프로파일 정보를 수신하는 처리와, (e) 상기 프로파일 정보를 기초로 상기 암호화 통신을 위해서 사용할 상기 암호화 알고리즘, 상기 정보 생성기 및 상기 키 중 적어도 하나를 지정하는 처리를 수행하는 연산 처리부를 포함하는 장치가 제공된다.

본원에서 설명되는 기술에 따르면, 암호화 통신을 위해서 사용할 프로파일 정보를 이용하는 것에 의해서, 핸드셰이킹에 소요되는 메시지 전달 단계 및 핸드셰이킹에 소요되는 시간을 최소화할 수 있고, 암호화 방식을 동적으로 변경할 수 있고, 유효 기간 정보 및 QoS 정보와 같은 정책 정보를 용이하게 변경할 수 있고, 네트워크 내의 복수의 장치가 프로파일 정보를 용이하고 신속하게 공유할 수 있다.

도 1은 본원에서 설명되는 기술의 일 실시예에 따른 네트워크 내의 장치의 예시적인 구성을 나타내는 도면.

도 2는 본원에서 설명되는 기술의 일 실시예에 따른 네트워크 내의 장치를 포함하는 네트워크의 예시적인 구성을 나타내는 도면.

도 3은 본원에서 설명되는 기술의 일 실시예에 따른 네트워크 내의 장치의 연산 처리부가 수행하는 처리의 예를 나타내는 도면.

도 4는 본원에서 설명되는 기술의 일 실시예에 따른 네트워크 내의 장치의 저장부의 예시적인 구성을 나타내는 도면.

도 5는 본원에서 설명되는 기술의 일 실시예에 따른 네트워크 내의 장치의 연산 처리부가 수행하는 처리의 다른 예를 나타내는 도면.

도 6은 본원에서 설명되는 기술의 일 실시예에 따른 네트워크 내의 장치의 연산 처리부가 수행하는 처리의 또 다른 예를 나타내는 도면.

도 7은 본원에서 설명되는 기술의 일 실시예에 따른 네트워크 내의 장치에 있어서, 복수의 암호화 알고리즘, 복수의 정보 생성기 및 복수의 키를 각각의 식별 정보를 기초로 정렬하여 저장부에 저장한 상태를 예시적으로 나타내는 도면.

도 8은 본원에서 설명되는 기술의 일 실시예에 따른 네트워크 내의 장치에 있어서, 복수의 키를 생성하고 저장부 내에 저장한 상태를 예시적으로 나타내는 도면.

이하, 본원에서 설명되는 기술에 따른 네트워크 내의 장치의 실시예를 첨부한 도면을 참조로 보다 구체적으로 설명한다. 한편 본원에서 설명되는 기술의 실시예를 설명하기 위한 도면들에서, 설명의 편의를 위해서 실제 구성 중 일부만을 도시하거나 일부를 생략하여 도시하거나 변형하여 도시하거나 또는 축척이 다르게 도시될 수 있다.

이하 본원에서 설명되는 기술에 따른 네트워크 내의 장치의 일 실시예를 설명한다.

도 1은 본원에서 설명되는 기술의 일 실시예에 따른 네트워크 내의 장치(100)의 예시적인 구성을 나타내는 도면이고, 도 2는 장치(100)를 포함하는 네트워크(200)의 예시적인 구성을 나타내는 도면이다.

도 1을 참조하면, 본원에서 설명되는 기술에 따른 장치(100)는, 저장부(110)와, 제1 연산 처리부(130)와, 제1 네트워크 인터페이스(150)와, 제2 연산 처리부(170)와, 제2 네트워크 인터페이스(190)를 포함할 수 있다.

본원에서 설명되는 기술에 따른 장치(100)는 통신 기능 및 컴퓨팅 기능을 구비한 장치이다. 장치(100)는 예컨대 CPU(Central Processing Unit)와 같은 반도체 소자에 의해서 구현될 수 있다. 보다 구체적으로, 장치(100)는 일반 구역과 보안 구역을 구비하는 반도체 소자에 의해서 구현될 수 있다. 장치(100) 내의 저장부(110)는 예컨대 반도체 메모리와 같은 반도체 소자에 의해서 구현될 수 있다. 장치(100) 내의 제1 연산 처리부(130) 및 제2 연산 처리부(170)는 연산 로직과 같은 반도체 소자에 의해서 구현될 수 있다. 장치(100) 내의 제1 네트워크 인터페이스(150) 및 제2 네트워크 인터페이스(190)는 통신 로직과 같은 반도체 소자에 의해서 구현될 수 있다.

또한 전술하듯이, 장치(100)는 개인용 컴퓨터, 이동 통신 단말기, 냉장고, 에어콘, 텔레비전, 생산 설비, 업무용 컴퓨터, 웨어러블 장치 및 센서와 같은 다양한 형태로 구현될 수 있다. 예컨대 도 2에서, 본원에서 설명되는 기술에 따른 장치(100)의 구체적인 예인 장치(100-1)는 업무용 컴퓨터, 장치(100-2)는 생산 설비, 장치(100-3)는 센서, 장치(100-x)(단 x는 3이상의 자연수)는 이동 통신 단말기 형태로 구현될 수 있다. 구체적인 구현 형태가 달라지더라도, 장치(100-1) 내지 장치(100-x)는 모두 동일하게 본 실시예에 따른 저장부(110)와, 제1 연산 처리부(130)와, 제1 네트워크 인터페이스(150)와, 제2 연산 처리부(170)와, 제2 네트워크 인터페이스(190)를 포함한다. 저장부(110)와, 제1 연산 처리부(130)와, 제1 네트워크 인터페이스(150)와, 제2 연산 처리부(170)와, 제2 네트워크 인터페이스(190)는 업무용 컴퓨터, 생산 설비, 센서 및 이동 통신 단말기와 같은 구체적인 구성 내에 반도체 소자 형태로 내장될 수 있고, 또는 예컨대 USB 메모리 또는 SIM(Subscriber Identity Module) 형태로 구현되어 업무용 컴퓨터, 생산 설비, 센서 및 이동 통신 단말기와 같은 구체적인 구성에 접속될 수도 있다.

저장부(110)와 제1 연산 처리부(130)와 제1 네트워크 인터페이스(150)는 보안 구역에 배치된다. 이하, 제1 연산 처리부(130)는 연산 처리부(130)로 간단하게 지칭될 수 있고, 제1 네트워크 인터페이스(150)는 네트워크 인터페이스(150)로 간단하게 지칭될 수도 있다.

제2 연산 처리부(170)와 제2 네트워크 인터페이스(190)는 일반 구역에 배치된다.

우선 일반 구역에 배치되는 제2 연산 처리부(170)와 제2 네트워크 인터페이스(190)를 설명한다.

제2 네트워크 인터페이스(190)는 통신을 위한 인터페이스다. 예컨대, 도 2에 도시된 장치(100-1)의 제2 네트워크 인터페이스(190)는 장치(100-2) 내지 장치(100-x)의 제2 네트워크 인터페이스(190)와의 통신을 위한 인터페이스다.

제2 연산 처리부(170)는 예컨대 제2 네트워크 인터페이스(190)를 통하여 수신한 데이터를 처리하여 보안 구역에 배치되는 연산 처리부(130)로 전송하거나 연산 처리부(130)로부터 전송되는 데이터를 수신 및 처리한다.

이하 보안 구역에 배치되는 저장부(110)와 연산 처리부(130)와 네트워크 인터페이스(150)를 보다 상세하게 설명한다.

저장부(110)는 보안 구역에 배치되며, 복수의 암호화 알고리즘(도 4의 111)과 복수의 정보 생성기(도 4의 113)와 복수의 키(도 4의 115)를 저장한다.

복수의 암호화 알고리즘(111)과 복수의 정보 생성기(113)와 복수의 키(115)는 예컨대 장치(100)의 제조사에 의해서 미리 저장될 수 있다. 복수의 암호화 알고리즘(111)과 복수의 정보 생성기(113)와 복수의 키(115) 중 적어도 하나는 예컨대 네트워크(200)의 관리자에 의해서 변경되어 저장될 수도 있다.

연산 처리부(130)는 보안 구역에 배치된다. 연산 처리부(130)의 구체적인 구성은 후술한다.

네트워크 인터페이스(150)는 보안 구역에 배치되며, 높은 수준의 보안 통신을 위한 인터페이스다. 예컨대, 도 2에 도시된 장치(100-1)의 네트워크 인터페이스(150)는 장치(100-2) 내지 장치(100-x)의 네트워크 인터페이스(150)와의 보안 통신을 위한 인터페이스다.

도 3은 본원에서 설명되는 기술의 일 실시예에 따른 네트워크 내의 장치(100)의 연산 처리부(130)가 수행하는 처리의 일 예를 나타내는 도면이고, 도 4는 본원에서 설명되는 기술의 일 실시예에 따른 네트워크 내의 장치(100)의 저장부(110)의 예시적인 구성을 나타내는 도면이고, 도 5는 본원에서 설명되는 기술의 일 실시예에 따른 네트워크 내의 장치(100)의 연산 처리부(130)가 수행하는 처리의 다른 예를 나타내는 도면이다.

이하 연산 처리부(130)의 구성을 보다 구체적으로 설명한다.

도 2를 참조하면, 네트워크(200) 내에는 복수의 장치, 예컨대 장치(100-1) 내지 장치(100-x)가 존재한다. 장치(100-1) 내지 장치(100-x) 중에서 후술하는 프로파일 정보를 생성하고 다른 장치에게로 프로파일 정보를 전송하는 장치를 이하 "마스터 장치"라고 지칭한다.

예컨대 네트워크(200) 내에서 장치(100-1)가 마스터 장치로 동작할 수 있고, 장치(100-2) 내지 장치(100-x)는 마스터 장치인 장치(100-1)로부터 프로파일 정보를 수신할 수 있다. 예컨대 네트워크(200) 내에서 장치(100-2)가 마스터 장치로 동작할 수 있고, 장치(100-1), 장치(100-3) 내지 장치(100-x)는 마스터 장치인 장치(100-2)로부터 프로파일 정보를 수신할 수 있다.

장치(100)는 장치(100-1) 내지 장치(100-x) 중의 어느 하나를 지칭할 수 있다.

네트워크 내에서 장치(100)가 마스터 장치로 동작하는 경우, 연산 처리부(130)는 다음과 같은 처리를 수행할 수 있다.

도 3을 참조하면, 연산 처리부(130)는 복수의 암호화 알고리즘(111), 복수의 정보 생성기(113) 및 복수의 키(115) 중에서 네트워크(200) 내에서의 암호화 통신을 위해서 사용할 암호화 알고리즘, 정보 생성기 및 키 중 적어도 하나를 선택한다(처리 P110).

도 4를 참조하면 저장부(110) 내에는 예컨대 "암호화_알고리즘-A", "암호화_알고리즘-B", "암호화_알고리즘-C", "암호화_알고리즘-D", "암호화_알고리즘-E", "암호화_알고리즘-F" 등과 같은 복수의 암호화 알고리즘(111)과, 예컨대 "정보_생성기-A", "정보_생성기-B", "정보_생성기-C", "정보_생성기-D", "정보_생성기-E", "정보_생성기-F" 등과 같은 복수의 정보 생성기(113)와, 예컨대 "키-A", "키-B", "키-C", "키-D", "키-E", "키-F" 등과 같은 복수의 키(115)가 미리 저장되어 있다.

예컨대, AES, DES, RC2, RC4, TripleDES, GOST, SHA, MDC, RSA, DSA 및 Elliptic Curve와 같은 암호화 알고리즘이 복수의 암호화 알고리즘(111)으로서 저장부(110)에 저장될 수 있다.

예컨대 난수 발생기, 식별 정보 생성기, 키 생성기 및 정책 생성기와 같은 정보 생성기가 복수의 정보 생성기(113)로서 저장부(110)에 저장될 수 있다.

예컨대 대칭 키 또는 비대칭 키와 같은 키가 복수의 키(115)로서 저장부(110)에 저장될 수 있다.

처리 P110을 통하여, 연산 처리부(130)는 네트워크(200) 내에서의 암호화 통신을 위해서 사용할 암호화 알고리즘, 정보 생성기 및 키 중 적어도 하나를 선택한다. 예컨대, 연산 처리부(130)는 "암호화_알고리즘-B"와, "정보_생성기-A"와, "키-D"를 암호화 통신을 위해서 사용하는 것으로 선택할 수 있다.

다음으로, 연산 처리부(130)는 처리 P110을 통하여 선택된 암호화 알고리즘의 식별 정보, 정보 생성기의 식별 정보 및 키의 식별 정보 중 적어도 하나를 포함하는 프로파일 정보를 생성한다(처리 P120).

예컨대 처리 P110을 통하여 암호화_알고리즘-B와, 정보_생성기-A와, 키-D가 선택된 경우, 프로파일 정보는 예컨대 "G#1, A#2, K#4"와 같은 형태일 수 있다. "G#1"은 선택된 정보 생성기의 식별 정보가 "#1"인 것을 나타내고, "A#2"는 선택된 암호화 알고리즘의 식별 정보가 "#2"인 것을 나타내고, "K#4"는 선택된 키의 식별 정보가 "#4"인 것을 나타낸다.

예컨대 처리 P110을 통하여 "암호화_알고리즘-B"와, "키-D"가 선택된 경우, 프로파일 정보는 예컨대 "A#2, K#4"와 같은 형태일 수 있다.

예컨대 처리 P110을 통하여 "정보_생성기-A"가 선택된 경우, 프로파일 정보는 예컨대 "G#1"과 같은 형태일 수 있다.

다음으로, 연산 처리부(130)는 처리 P120을 통하여 생성된 프로파일 정보를 네트워크(200) 내의 복수의 장치 중의 장치(100)를 제외한 다른 장치로 전송한다(처리 P130). 예컨대 장치(100-1)가 마스터 장치인 경우, 장치(100-1)는 장치(100-2) 내지 장치(100-x)로 프로파일 정보를 전송한다.

네트워크 내에서 장치(100)가 마스터 장치로 동작하지 않는 경우, 연산 처리부(130)는 다음과 같은 처리를 수행할 수 있다.

도 5를 참조하면, 연산 처리부(130)는 마스터 장치로부터 프로파일 정보를 수신한다(처리 P140).

전술하듯이, 프로파일 정보는 암호화 통신을 위해서 사용할 암호화 알고리즘의 식별 정보, 정보 생성기의 식별 정보 및 키의 식별 정보 중 적어도 하나를 포함한다.

다음으로, 연산 처리부(130)는 처리 P140을 통하여 수신한 프로파일 정보를 기초로 암호화 통신을 위해서 사용할 암호화 알고리즘, 정보 생성기 및 키 중 적어도 하나를 지정한다(처리 P150).

즉, 연산 처리부(130)는 프로파일 정보에 포함되는 것인 암호화 알고리즘의 식별 정보, 정보 생성기의 식별 정보 및 키의 식별 정보 중 적어도 하나를 기초로 암호화 통신을 위해서 사용할 암호화 알고리즘, 정보 생성기 및 키 중 적어도 하나를 지정한다.

이와 같이, 장치(100)가 마스터 장치로 동작하는 경우에는, 장치(100)는 네트워크(200) 내의 다른 장치들에게 암호화 통신을 위해서 사용할 암호화 알고리즘의 식별 정보, 정보 생성기의 식별 정보 및 키의 식별 정보 중 적어도 하나를 포함하는 프로파일 정보를 전송할 수 있다. 또한 장치(100)가 마스터 장치로 동작하지 않는 경우에는, 장치(100)는 네트워크(200) 내의 마스터 장치로부터 프로파일 정보를 수신할 수 있다. 따라서 복잡한 핸드셰이킹을 수행하지 않고서도 네트워크(200) 내의 복수의 장치들은 프로파일 정보를 기초로 암호화 통신을 수행할 수 있다.

한편, 도 3을 참조하면, 처리 P110은 난수를 기초로 암호화 통신을 위해서 사용할 암호화 알고리즘, 정보 생성기 및 키 중 적어도 하나를 선택하는 처리를 포함할 수 있다.

예컨대, 복수의 정보 생성기 중 어느 하나는 난수 발생기로서 동작하며, 연산 처리부(130)는 난수 발생기를 이용하여 암호화 통신을 위해서 사용할 암호화 알고리즘, 정보 생성기 및 키 중 적어도 하나를 선택할 수 있다.

예컨대 난수 발생기를 통하여, "2, 1, 4"가 선택된 경우, 연산 처리부(130)는 난수 "2"에 해당하는 "암호화_알고리즘-B"와, 난수 "1"에 해당하는 "정보_생성기-A"와, 난수 "4"에 해당하는 "키-D"를 암호화 통신을 위해서 사용하는 것으로 선택할 수 있다.

한편, 도 3을 참조하면, 처리 P110은 네트워크(200) 내의 통신 환경을 기초로 암호화 통신을 위해서 사용할 암호화 알고리즘 및 정보 생성기 및 키 중 적어도 하나를 선택하는 처리를 포함할 수 있다.

예컨대 네트워크(200) 내의 통신 환경이 경량 암호화 알고리즘 및 길이가 짧은 키를 사용해야 하는 경우, 연산 처리부(130)는, 복수의 암호화 알고리즘(111) 및 복수의 키(115) 중에서, 경량 암호화 알고리즘 및 길이가 짧은 키를 암호화 통신을 위해서 사용하는 것으로 선택할 수 있다.

한편, 도 3을 참조하면, 처리 P130은 미리 지정된 초기 프로파일을 이용하여 프로파일 정보를 암호화하는 처리를 포함할 수 있고, 도 5를 참조하면, 처리 P140은 미리 지정된 초기 프로파일을 이용하여 프로파일 정보를 복호화하는 처리를 포함할 수 있다.

해킹과 같은 악의적인 공격을 방지하기 위해서, 네트워크(200) 내에서 프로파일 정보는 암호화되어 전송 및 수신되는 것이 바람직하다.

예컨대 네트워크(200)가 장치(100-1) 내지 장치(100-x)를 포함하도록 형성된 초기 상태인 경우, 장치(100-1) 내지 장치(100-x)는 프로파일 정보를 어떤 암호화 알고리즘 및 어떤 키를 이용하여 암호화하는 지 또는 복호화하는 지 알 수 없는 경우가 있다. 즉, 복수의 장치 중의 마스터 장치는 프로파일 정보를 어떤 암호화 알고리즘 및 어떤 키를 이용하여 암호화하는 지 알 수 없고, 복수의 장치 중의 마스터 장치를 제외한 다른 장치는 프로파일 정보를 어떤 암호화 알고리즘 및 어떤 키를 이용하여 암호화하는 지 알 수 없는 경우가 있다.

따라서, 미리 초기 프로파일을 지정하고, 장치(100-1) 내지 장치(100-x)는 초기 프로파일을 이용하여 프로파일 정보를 암호화 또는 복호화할 수 있다.

즉, 마스터 장치는 초기 프로파일을 이용하여 프로파일 정보를 암호화하고, 다른 장치는 초기 프로파일 정보를 이용하여 프로파일 정보를 복호화할 수 있다.

초기 프로파일은 바람직하게는 암호화 알고리즘의 고유 식별 정보, 정보 생성기의 고유 식별 정보 및 키의 고유 식별 정보 중 적어도 하나를 포함할 수 있으며, 바람직하게는, 적어도 암호화 알고리즘의 고유 식별 정보 및 키의 고유 식별 정보를 포함한다.

예컨대 초기 프로파일이 "암호화_알고리즘-A, 키-E"인 경우, 장치(100-1) 내지 장치(100-x)는 "암호화_알고리즘-A" 및 "키-E"를 이용하여 프로파일 정보를 암호화 또는 복호화할 수 있다.

초기 프로파일은 바람직하게는 장치(100)의 저장부(110)에 미리 저장되거나 연산 처리부(130)의 연산 로직에 미리 정의될 수 있다.

또는, 예컨대 네트워크(200) 내에 장치(100-y)(y는 x보다 큰 자연수)가 신규로 조인(join)하는 경우, 장치(100-y)는 프로파일 정보를 어떤 암호화 알고리즘 및 어떤 키를 이용하여 암호화했는지 알 수 없는 경우가 있다. 따라서, 전술한 바와 같이 미리 초기 프로파일을 지정하고, 마스터 장치는 장치(100-y)에게로 초기 프로파일을 이용하여 암호화된 프로파일 정보를 전송하고, 장치(100-y)는 수신한 암호화된 프로파일 정보를 초기 프로파일을 이용하여 복호화할 수 있다.

프로파일 정보는 마스터 키(117)를 더 포함할 수 있다.

마스터 키(117)는 키를 생성(또는 유도)하기 위해서 사용되는 키이다. 예컨대 네트워크(200)의 관리자는 장치(100) 내에 저장부(110)에 마스터 키(117)를 저장할 수 있다. 즉 네트워크(200) 내의 복수의 장치, 즉 장치(100-1) 내지 장치(100-x)는 동일한 마스터 키(117)를 구비한다.

예컨대 장치(100)가 마스터 장치로부터 프로파일 정보를 수신한 경우, 장치(100) 내의 연산 처리부(130)는 프로파일 정보에 포함된 마스터 키(1117)와 장치(100) 내에 저장된 마스터 키(117)를 비교할 수 있다. 만약 프로파일 정보에 포함된 마스터 키(1117)와 장치(100) 내에 저장된 마스터 키(117)가 동일하면, 장치(100)는 정상적으로 동작한다. 만약 프로파일 정보에 포함된 마스터 키(1117)와 장치(100) 내에 저장된 마스터 키(117)가 동일하지 않다면, 장치(100)는 추가적인 동작을 수행하지 않고 동작을 중단할 수 있다.

따라서 예컨대 악의적인 사용자가 장치(100)를 얻은 경우에도, 장치(100) 내에 네트워크(200)의 관리자에 의해서 저장된 마스터 키(117)가 없다면 또는 네트워크(200)의 관리자에 의해서 저장된 마스터 키(117)가 아닌 다른 마스터 키가 저장되어 있다면, 장치(100)는 정상적으로 동작하지 않는다. 특히 장치(100-y)가 네트워크(200)에 새롭게 조인하는 경우, 장치(100-y)의 연산 처리부(130)는 프로파일 정보에 포함된 마스터 키(1117)와 장치(100-y) 내에 저장된 마스터 키(117)를 비교할 수 있다. 따라서, 네트워크(200)의 보안성을 높일 수 있다.

한편, 도 5를 참조하면, 처리 P140은 프로파일 정보의 이력 정보를 이용하여 프로파일 정보를 해석하는 처리를 포함할 수 있다.

프로파일 정보의 이력 정보(도 4의 119 및 도 7의 119)는 네트워크(200) 내에서 프로파일 정보의 이력을 저장한 정보이며, 예컨대 저장부(110)에 저장된다.

예컨대, "프로파일_정보-1"은 네트워크(200) 내에 이미 사용된 첫 번째 프로파일 정보를 나타낸다. 후술하는 도 7의 "프로파일_정보-2"는 네트워크(200) 내에 이미 사용된 두 번째 프로파일 정보를 나타내고, "프로파일_정보-3"은 네트워크(200) 내에 이미 사용된 세 번째 프로파일 정보를 나타낸다. 도 7의 "프로파일_정보-4"는 예컨대 네트워크(200) 내에 사용될 예정인 네 번째 프로파일 정보를 나타낸다.

후술하듯이 복수의 암호화 알고리즘(111) 각각의 식별 정보와 복수의 정보 생성기(113) 각각의 식별 정보와 복수의 키(115) 각각의 식별 정보는 변경될 수 있다. 또한 후술하듯이, 복수의 키(115)는 새로 생성될 수도 있다.

예컨대 저장부(110)에 도 4와 같이 복수의 암호화 알고리즘(111)과 복수의 정보 생성기(113)와 복수의 키(115)가 저장되고, "프로파일_정보-1"이 "A#2, K#4"인 경우, "프로파일_정보-1"은 "암호화_알고리즘-B"와 "키-D"를 나타낸다.

하지만, 저장부(110)에 도 7과 같이 복수의 암호화 알고리즘(111)과 복수의 정보 생성기(113)와 복수의 키(115)가 저장되고, "프로파일_정보-4"가 "A#2, K#4"인 경우, "프로파일_정보-4"는 "암호화_알고리즘-C"와 "키-C"를 나타낸다.

예컨대 장치(100-1) 내지 장치(100-x)가 "프로파일_정보-1" 내지 "프로파일_정보-3"을 이용하여 순차적으로 암호화 통신을 수행하고 또한 "프로파일_정보-3"에서 복수의 암호화 알고리즘(111) 각각의 식별 정보와 복수의 정보 생성기(113) 각각의 식별 정보와 복수의 키(115) 각각의 식별 정보가 변경된 경우를 가정하자. 그 경우에도, 장치(100-1) 내지 장치(100-x)의 각각의 저장부(110)에 도 7에 도시된 바와 같이 복수의 암호화 알고리즘(111)과 복수의 정보 생성기(113)와 복수의 키(115)가 동일한 방식으로 저장된다.

따라서 "프로파일_정보-4"를 이용하는 경우에도, 장치(100-1) 내지 장치(100-x)는, 예컨대 "프로파일_정보-4"가 "A#2, K#4"인 경우, "프로파일_정보-4"는 "암호화_알고리즘-C"와 "키-C"를 나타낸다고 해석할 수 있다.

그러나 전술한 바와 같이 네트워크(200) 내에 장치(100-y)가 신규로 조인하는 경우, 장치(100-y)는 "프로파일_정보-4"를 해석할 수 없다.

따라서, 프로파일 정보는 프로파일 정보의 이력 정보를 더 포함할 수 있다.

장치(100-y)는 "프로파일_정보-1" 내지 "프로파일_정보-3"을 순차적으로 이용하여 예컨대 도 7과 같이 복수의 키(115)와 복수의 암호화 알고리즘(111)과 복수의 정보 생성기(113)를 정렬하여 저장한 후에 "프로파일_정보-4"를 해석할 수 있다. 즉, "프로파일_정보-4"가 "A#2, K#4"인 경우, 장치(100-y)는 "프로파일_정보-4"는 "암호화_알고리즘-C"와 "키-C"를 나타낸다고 해석할 수 있다.

한편 전술하듯이 장치(100)는 네트워크 인터페이스(150)를 포함할 수 있다.

도 3을 참조하면, 처리 P130은 프로파일 정보를 네트워크 인터페이스(150)를 이용하여 네트워크(200) 내의 다른 장치로 전송하는 처리를 포함할 수 있고, 도 5를 참조하면, 처리 P140은 프로파일 정보를 네트워크 인터페이스(150)를 이용하여 마스터 장치로부터 수신하는 처리를 포함할 수 있다.

프로파일 정보는 예컨대 제2 연산 처리부(170) 및 제2 네트워크 인터페이스(190)를 통하여 네트워크(200) 내의 장치(100-1) 내지 장치(100-x) 사이에서 송수신될 수 있다. 그러나 보다 높은 수준의 보안 통신을 위해서, 프로파일 정보는 네트워크 인터페이스(150)를 이용하여 네트워크(200) 내의 장치(100-1) 내지 장치(100-x) 사이에서 송수신되는 것이 바람직하다.

도 6은 본원에서 설명되는 기술의 일 실시예에 따른 네트워크 내의 장치(100)의 연산 처리부(130)가 수행하는 처리의 또 다른 예를 나타내는 도면이다. 도 7은 본원에서 설명되는 기술의 일 실시예에 따른 네트워크 내의 장치(100)에 있어서, 복수의 암호화 알고리즘(111), 복수의 정보 생성기(113) 및 복수의 키(115)를 각각의 식별 정보를 기초로 정렬하여 저장부(110)에 저장한 상태를 예시적으로 나타내는 도면이다. 도 8은 본원에서 설명되는 기술의 일 실시예에 따른 네트워크 내의 장치(100)에 있어서, 복수의 키(115)를 생성하고 저장부(110) 내에 저장한 상태를 예시적으로 나타내는 도면이다.

도 4 또는 도 7을 참조하면, 저장부(110)는, 마스터 키(117) 및 프로파일 정보의 이력 정보(119)를 더 저장한다.

시드 정보는 예컨대 마스터 키(117) 및 프로파일 정보의 이력 정보(119) 중 적어도 하나를 포함한다.

프로파일 정보는 마스터 키(117) 및 프로파일 정보의 이력 정보(119) 중 적어도 하나를 더 포함할 수 있다.

마스터 키(117)는 전술한 바와 같이 키를 생성(또는 유도)하기 위해서 사용되는 키이다. 또한 전술한 바와 같이, 마스터 키(117)를 이용하여, 네트워크(200)의 보안성을 높일 수 있다.

도 6을 참조하면, 연산 처리부(130)는 시드 정보 및 정보 생성기를 기초로 복수의 암호화 알고리즘(111) 각각의 식별 정보 및 복수의 키(115) 각각의 식별 정보를 생성할 수 있다(처리 P160).

즉, 전술한 바와 같이, 프로파일 정보는 암호화 통신을 위해서 사용할 키의 식별 정보, 암호화 알고리즘의 식별 정보 및 정보 생성기의 식별 정보 중 적어도 하나를 포함한다.

예컨대 "정보_생성기-A"가 선택되거나(즉, 장치(100)가 마스터 장치로 동작하는 경우) 또는 프로파일 정보에 포함된 정보 생성기의 식별 정보를 기초로 "정보_생성기-A"가 지정되고(즉, 장치(100)가 마스터 장치로 동작하지 않는 경우), "정보_생성기-A"는 복수의 암호화 알고리즘(111) 각각의 식별 정보 및 복수의 키(115) 각각의 식별 정보를 생성하는 식별 정보 생성기인 경우를 가정하자.

"정보_생성기-A"에 시드 정보로서 예컨대 마스터 키를 입력하거나 또는 시드 정보로서 프로파일 정보의 이력 정보(119) 중 적어도 일부를 입력하면, 복수의 암호화 알고리즘(111) 각각의 식별 정보 및 복수의 키(115) 각각의 식별 정보가 생성될 수 있다. 시드 정보는 예컨대 초기인 경우 마스터 키를 사용할 수 있고, 그 이후에는 프로파일 정보의 이력 정보(119) 중 적어도 일부를 사용할 수도 있다.

장치(100)가 마스터 장치로 동작하는 경우 또는 마스터 장치로 동작하지 않는 경우 모두에서, 연산 처리부(130)는 "정보_생성기-A"를 이용하여 복수의 암호화 알고리즘(111) 각각의 식별 정보 및 복수의 키(115) 각각의 식별 정보를 생성할 수 있다.

예컨대, 초기 상태에서 장치(100)의 저장부에 도 4에 도시한 바와 같이 복수의 암호화 알고리즘(111) 및 복수의 키(115)가 미리 지정된 식별 정보(즉, "#1", "#2", "#3", "#4", "#5". "#6"등)를 이용하여 저장된 경우를 가정하자.

복수의 암호화 알고리즘(111) 및 복수의 키(115) 각각에 대해서 동일한 식별 번호가 계속해서 사용되는 경우, 해킹과 같은 외부 공격에 취약할 수 있다.

따라서, 연산 처리부(130)는 처리 P160을 통하여 복수의 암호화 알고리즘(111) 각각의 식별 정보 및 복수의 키(115) 각각의 식별 정보를 새롭게 생성할 수 있다.

예컨대 연산 처리부(130)는 도 7에 도시된 바와 같이 식별 번호를 새롭게 생성하여 복수의 암호화 알고리즘(111) 및 복수의 키(115)에 부여할 수 있다.

도 6을 참조하면, 연산 처리부(130)는 시드 정보 및 정보 생성기를 기초로 복수의 정보 생성기(113) 각각의 식별 정보를 생성할 수 있다(처리 P170).

전술한 바와 마찬가지로, 복수의 정보 생성기(113) 각각에 대해서 동일한 식별 번호가 계속해서 사용되는 경우, 해킹과 같은 외부 공격에 취약할 수 있다.

따라서, 연산 처리부(130)는 처리 P170을 통하여 복수의 정보 생성기(113) 각각의 식별 정보를 새롭게 생성할 수 있다. 예컨대 "정보_생성기-B"가 선택되거나(즉, 장치(100)가 마스터 장치로 동작하는 경우) 또는 프로파일 정보에 포함된 정보 생성기의 식별 정보를 기초로 "정보_생성기-B"가 지정되고(즉, 장치(100)가 마스터 장치로 동작하지 않는 경우), "정보_생성기-B"가 복수의 정보 생성기(113) 각각의 식별 정보를 생성하는 식별 정보 생성기인 경우를 가정하자.

장치(100)가 마스터 장치로 동작하는 경우 또는 마스터 장치로 동작하지 않는 경우 모두에서, 연산 처리부(130)는 "정보_생성기-B"를 이용하여 복수의 정보 생성기(113) 각각의 식별 정보를 생성할 수 있다.

"정보_생성기-B"에 시드 정보로서 예컨대 마스터 키를 입력하거나 또는 시드 정보로서 프로파일 정보의 이력 정보(119) 중 적어도 일부를 입력하면, 복수의 정보 생성기(113) 각각의 식별 정보가 생성될 수 있다.

따라서 복수의 정보 생성기(113) 각각의 식별 정보는 예컨대 도 4에 도시된 상태에서 도 7에 도시된 상태로 변경될 수 있다.

한편 복수의 키(115)가 반복적으로 사용되는 경우, 해킹과 같은 외부 공격에 취약할 수 있다.

도 6을 참조하면, 연산 처리부(130)는 시드 정보 및 정보 생성기를 기초로 복수의 키(115)를 생성하고 저장부(110)에 저장할 수 있다(처리 P180).

예컨대 "정보_생성기-C"가 선택되거나(즉, 장치(100)가 마스터 장치로 동작하는 경우) 또는 프로파일 정보에 포함된 정보 생성기의 식별 정보를 기초로 "정보_생성기-C"가 지정되고(즉, 장치(100)가 마스터 장치로 동작하지 않는 경우), "정보_생성기-C"가 복수의 키(115)를 생성하는 키 생성기인 경우를 가정하자.

장치(100)가 마스터 장치로 동작하는 경우 또는 마스터 장치로 동작하지 않는 경우 모두에서, 연산 처리부(130)는 "정보_생성기-C"를 이용하여 복수의 키(115)를 생성할 수 있다.

예컨대 "정보_생성기-C"에 시드 정보로서 예컨대 마스터 키를 입력하거나 또는 시드 정보로서 프로파일 정보의 이력 정보(119) 중 적어도 일부를 입력하면, 복수의 키(115)가 생성될 수 있다.

예컨대, 도 8에 도시된 바와 같이 기존의 "키-A", "키-B", "키-C", "키-D", "키-E", "키-F" 등을 대신하여 "키-A'", "키-B'", "키-C'", "키-D'", "키-E'", "키-F'" 등이 복수의 키(115)로서 생성되고 저장부(110)에 저장된다, 생성되는 복수의 키(115), 즉 "키-A'", "키-B'", "키-C'", "키-D'", "키-E'", "키-F'" 등의 식별 정보는 예컨대 "#1", "#2", "#3", "#4", "#5". "#6" 등으로서 부여될 수 있다. 또는 "정보_생성기-C"를 이용하여 복수의 키(115), 즉 "키-A'", "키-B'", "키-C'", "키-D'", "키-E'", "키-F'" 등이 생성되고, "정보_생성기-A"에 시드 정보로서 예컨대 마스터 키를 입력하거나 또는 시드 정보로서 프로파일 정보의 이력 정보(119) 중 적어도 일부를 입력하는 것에 의해서, 복수의 정보 생성기(113), 즉 "키-A'", "키-B'", "키-C'", "키-D'", "키-E'", "키-F'" 각각의 식별 정보가 새롭게 생성될 수 있다.

도 6을 참조하면, 연산 처리부(130)는 복수의 암호화 알고리즘(111) 각각의 식별 정보 및 복수의 키(115) 각각의 식별 정보를 기초로 저장부(110)에 복수의 암호화 알고리즘(111) 및 복수의 키(115)를 정렬하여 저장할 수 있다(처리 P190).

즉 도 7에 도시된 바와 같이, 복수의 암호화 알고리즘(111) 및 복수의 키(115)는 각각의 식별 번호를 기초로 재정렬될 수 있다.

도 6을 참조하면, 연산 처리부(130)는 복수의 정보 생성기(113) 각각의 식별 정보를 기초로 저장부(110)에 복수의 정보 생성기(113)를 정렬하여 저장할 수 있다(처리 P200).

즉 도 7에 도시된 바와 같이, 복수의 정보 생성기(113)는 각각의 식별 번호를 기초로 재정렬될 수 있다.

도 6을 참조하면, 연산 처리부(130)는 암호화 통신의 정책 정보를 생성할 수 있다(처리 P210).

정책 정보는 예컨대 암호화 통신의 유효 기간 정보를 포함할 수 있다.

유효 기간 정보는 암호화 통신의 시작 시각 및 종료 시각을 포함할 수 있다. 또는 유효 기간 정보는 암호화 통신의 시작 시각 및 지속 시간을 포함할 수도 있다.

도 6을 참조하면, 처리 P210은 정보 생성기를 기초로 유효 기간 정보를 생성하는 처리를 포함할 수 있다.

예컨대 "정보_생성기-D"가 선택되거나(즉, 장치(100)가 마스터 장치로 동작하는 경우) 또는 프로파일 정보에 포함된 정보 생성기의 식별 정보를 기초로 "정보_생성기-D"가 지정되고(즉, 장치(100)가 마스터 장치로 동작하지 않는 경우), "정보_생성기-D"가 유효 기간 정보를 생성하는 정책 생성기인 경우를 가정하자.

장치(100)가 마스터 장치로 동작하는 경우 또는 마스터 장치로 동작하지 않는 경우 모두에서, 연산 처리부(130)는 "정보_생성기-D"를 이용하여 유효 기간 정보를 생성할 수 있다.

예컨대 "정보_생성기-D"에 시드 정보로서 예컨대 마스터 키를 입력하거나 또는 시드 정보로서 프로파일 정보의 이력 정보(119) 중 적어도 일부를 입력하면, 유효 기간 정보가 생성될 수 있다.

바람직하게는, 장치(100)가 마스터 장치로 동작하는 경우에만, 연산 처리부(130)는 "정보_생성기-D"를 이용하여 유효 기간 정보를 생성할 수 있다.

정책 정보는 예컨대 암호화 통신의 QoS(quality of service) 정보를 포함할 수 있다.

QoS 정보는 예컨대 네트워크(200) 내에서 장치(100-1) 내지 장치(100-x) 사이에서의 통신 속도와 같은 정보를 포함할 수 있다.

도 6을 참조하면, 처리 P210은 정보 생성기를 기초로 QoS 정보를 생성하는 처리를 포함할 수 있다.

예컨대 "정보_생성기-E"가 선택되거나(즉, 장치(100)가 마스터 장치로 동작하는 경우) 또는 프로파일 정보에 포함된 정보 생성기의 식별 정보를 기초로 "정보_생성기-E"가 지정되고(즉, 장치(100)가 마스터 장치로 동작하지 않는 경우), "정보_생성기-E"가 QoS 정보를 생성하는 정책 생성기인 경우를 가정하자.

장치(100)가 마스터 장치로 동작하는 경우 또는 마스터 장치로 동작하지 않는 경우 모두에서, 연산 처리부(130)는 "정보_생성기-E"를 이용하여 QoS 정보를 생성할 수 있다.

예컨대 "정보_생성기-E"에 시드 정보로서 예컨대 마스터 키를 입력하거나 또는 시드 정보로서 프로파일 정보의 이력 정보(119) 중 적어도 일부를 입력하면, QoS 정보가 생성될 수 있다.

바람직하게는, 장치(100)가 마스터 장치로 동작하는 경우에만, 연산 처리부(130)는 "정보_생성기-E"를 이용하여 QoS 정보를 생성할 수 있다.

도 6을 참조하면, 장치(100)가 마스터 장치로 동작하는 경우, 처리 P210은 네트워크(200) 내의 통신 환경을 기초로 QoS 정보를 생성하는 처리를 포함할 수 있다.

네트워크(200) 내에서 장치(100-1) 내지 장치(100-x) 사이에서의 통신 속도가 현저히 저하되는 경우 또는 네트워크(200) 내에 통신 처리 성능이 낮은 장치가 존재하는 경우와 같이 장치(100-1) 내지 장치(100-x) 사이에서의 통신 속도를 낮춰야 하는 경우, 연산 처리부(130)는 네트워크(200) 내의 통신 환경을 기초로 QoS 정보를 생성할 수 있다.

또한 프로파일 정보는 암호화 통신의 정책 정보를 더 포함할 수 있다.

장치(100)가 마스터 장치로 동작하지 않는 경우, 연산 처리부(130)는 마스터 장치로부터 수신한 프로파일 정보로부터 정책 정보를 추출할 수 있다(처리 P220). 즉, 연산 처리부(130)는 예컨대 유효 기간 정보 또는 QoS 정보와 같은 정책 정보를 프로파일 정보로부터 추출할 수 있다.

따라서, 네트워크(200) 내의 장치(100-1) 내지 장치(100-x)는 동일한 정책 정보를 이용하여 암호화 통신을 수행할 수 있다.

이상에서 설명한 바와 같이, 프로파일 정보를 이용하는 것에 의해서 네트워크(200) 내의 복수의 장치는 추가적인 핸드셰이킹을 수행하지 않고서도 암호화 방식을 동적으로 변경할 수 있고, 유효 기간 정보 및 QoS 정보와 같은 정책 정보를 용이하게 설정할 수 있고, 마스터 장치가 네트워크(200) 내의 다른 장치로 프로파일 정보를 전송하는 것에 의해서, 네트워크(200) 내의 복수의 장치는 프로파일 정보를 용이하고 신속하게 공유할 수 있다.

비록 본원에서 설명되는 기술의 실시예가 구체적으로 설명되었지만 이는 단지 본원에서 설명되는 기술을 예시적으로 설명한 것에 불과한 것으로, 본원에서 설명되는 기술이 속하는 기술 분야에서 통상의 지식을 가지는 자라면 본원에서 설명되는 기술의 본질적인 특성에서 벗어나지 않는 범위 내에서 다양한 변형이 가능할 것이다.

예컨대 프로파일 정보는 암호화 알고리즘의 식별 정보, 정보 생성기의 식별 정보 및 키의 식별 정보 중 적어도 하나를 포함하는 것으로 예시되었지만, 프로파일 정보는 암호화 알고리즘의 식별 정보, 2 이상의 정보 생성기의 식별 정보 및 키의 식별 정보 중 적어도 하나를 포함할 수 있다. 2 이상의 정보 생성기 중에는 예컨대 키 생성기 및 식별 정보 생성기 중 적어도 하나가 포함될 수 있다.

예컨대, 저장부(110)에 도 4에 도시된 바와 같이 복수의 암호화 알고리즘(111)과 복수의 정보 생성기(113)와 복수의 키(115)와 마스터 키(117)가 저장되고, 프로파일 정보가 "G#3, G#1, A#2, K#4"이고, 프로파일 정보가 시드 정보로서 마스터 키(117)를 더 포함하고, "G#3"에 해당하는 "정보_생성기-C"가 복수의 키(115)를 생성하는 키 생성기이고, "G#1"에 해당하는 "정보_생성기-A"가 복수의 암호화 알고리즘(111) 각각의 식별 정보 및 복수의 키(115) 각각의 식별 정보를 생성하는 식별 정보 생성기인 경우를 가정하자.

프로파일 정보는 다음과 같은 사항을 나타낸다.

i) 장치(100)는 "정보_생성기-C"를 이용하여 복수의 키(115)를 생성한다.

ii) 장치(100)는 "정보_생성기-A"를 이용하여 복수의 암호화 알고리즘(111) 각각의 식별 정보 및 복수의 키(115) 각각의 식별 정보를 생성한다.

iii) 장치(100)는 네트워크(200) 내의 다른 장치와의 암호화 통신에서 "암호화_알고리즘-B" 및 "K#4"를 사용한다.

i) 내지 iii)을 수행하는 것에 의해서, 장치(100)의 저장부(110) 내에는 예컨대 도 7에 도시된 바와 같이 복수의 암호화 알고리즘(111)과 복수의 정보 생성기(113)가 저장되며, 도 8에 도시된 바와 같이 복수의 키(115)가 저장된다.

따라서, 프로파일 정보에 포함된 "A#2"는 도 7을 참조하면, 선택된 암호화 알고리즘이 "암호화_알고리즘-C"라는 것을 나타내고, 프로파일 정보에 포함된 "K#4"는 도 8을 참조하면, 선택된 키가 "키-D'"인 것을 나타낸다.

이와 같이 본원에서 설명되는 기술은 본원에서 설명되는 기술의 본질적인 특성에서 벗어나지 않는 범위 내에서 다양하게 변형될 수 있다.

또한 본원에서 설명되는 기술은 네트워크 내의 통신 방법에 적용될 수도 있다.

본원에서 설명되는 기술에 따른 네트워크 내의 통신 방법은, 보안 구역에 배치되며, 복수의 암호화 알고리즘과 복수의 정보 생성기와 복수의 키를 저장하는 저장부를 포함하는 장치에 의해서 수행되며, 상기 네트워크 내에서 상기 장치가 마스터 장치로 동작하는 경우, (a) 상기 복수의 암호화 알고리즘, 상기 복수의 정보 생성기 및 상기 복수의 키 중에서 상기 네트워크 내에서의 암호화 통신을 위해서 사용할 암호화 알고리즘, 정보 생성기 및 키 중 적어도 하나를 선택하는 단계와, (b) 상기 암호화 알고리즘의 식별 정보, 상기 정보 생성기의 식별 정보 및 상기 키의 식별 정보 중 적어도 하나를 포함하는 프로파일 정보를 생성하는 단계와 (c) 상기 프로파일 정보를 상기 네트워크 내의 상기 복수의 장치 중의 상기 장치를 제외한 다른 장치로 전송하는 단계를 포함하고, 상기 네트워크 내에서 상기 장치가 상기 마스터 장치로 동작하지 않는 경우, (d) 상기 마스터 장치로부터 상기 프로파일 정보를 수신하는 단계와, (e) 상기 프로파일 정보를 기초로 상기 암호화 통신을 위해서 사용할 상기 암호화 알고리즘, 상기 정보 생성기 및 상기 키 중 적어도 하나를 지정하는 단계를 포함할 수 있다.

본원에서 설명되는 기술에 따른 네트워크 내의 장치의 다른 특징들 역시 본원에서 설명되는 기술에 따른 네트워크 내의 통신 방법에서도 마찬가지로 적용될 수 있다.

따라서 본 명세서에 설명된 실시예는 본원에서 설명되는 기술을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본원에서 설명되는 기술의 사상과 범위가 한정되는 것은 아니다. 본원에서 설명되는 기술의 권리 범위는 아래의 청구범위에 의해 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술은 본원에서 설명되는 기술의 권리 범위에 포함되는 것으로 해석되어야 할 것이다.

[부호의 설명]

100: 장치 110: 저장부

130: 제1 연산 처리부 150: 제1 네트워크 인터페이스

170: 제2 연산 처리부 190: 제2 네트워크 인터페이스

200: 네트워크

Claims

복수의 장치를 포함하는 네트워크 내의 장치로서,

보안 구역(secure zone)에 배치되며, 복수의 암호화 알고리즘과 복수의 정보 생성기와 복수의 키를 저장하는 저장부; 및

상기 보안 구역에 배치되며, 상기 네트워크 내에서 상기 장치가 마스터 장치로 동작하는 경우, (a) 상기 복수의 암호화 알고리즘, 상기 복수의 정보 생성기 및 상기 복수의 키 중에서 상기 네트워크 내에서의 암호화 통신을 위해서 사용할 암호화 알고리즘, 정보 생성기 및 키 중 적어도 하나를 선택하는 처리와, (b) 상기 암호화 알고리즘의 식별 정보, 상기 정보 생성기의 식별 정보 및 상기 키의 식별 정보 중 적어도 하나를 포함하는 프로파일 정보를 생성하는 처리와, (c) 상기 프로파일 정보를 상기 네트워크 내의 상기 복수의 장치 중의 상기 장치를 제외한 다른 장치로 전송하는 처리를 수행하고, 상기 네트워크 내에서 상기 장치가 상기 마스터 장치로 동작하지 않는 경우, (d) 상기 마스터 장치로부터 상기 프로파일 정보를 수신하는 처리와, (e) 상기 프로파일 정보를 기초로 상기 암호화 통신을 위해서 사용할 상기 암호화 알고리즘, 상기 정보 생성기 및 상기 키 중 적어도 하나를 지정하는 처리를 수행하는 연산 처리부

를 포함하는 장치.
제1항에 있어서,

상기 처리 (a)는, (a-1) 난수를 기초로 상기 암호화 통신을 위해서 사용할 상기 암호화 알고리즘, 상기 정보 생성기 및 상기 키 중 적어도 하나를 선택하는 처리를 더 포함하는 것인 장치.
제1항에 있어서,

상기 처리 (a)는, (a-2) 상기 네트워크 내의 통신 환경을 기초로 상기 암호화 통신을 위해서 사용할 상기 암호화 알고리즘, 상기 정보 생성기 및 상기 키 중 적어도 하나를 선택하는 처리를 더 포함하는 것인 장치.
제1항에 있어서,

상기 (c)는, (c-1) 미리 지정된 초기 프로파일을 이용하여 상기 프로파일 정보를 암호화하는 처리를 더 포함하고,

상기 처리 (d)는, (d-1) 상기 초기 프로파일을 이용하여 상기 프로파일 정보를 복호화하는 처리를 더 포함하는 것인 장치.
제1항에 있어서,

상기 프로파일 정보는, 상기 프로파일 정보의 이력 정보를 더 포함하고,

상기 처리 (d)는, (d-2) 상기 프로파일 정보의 상기 이력 정보를 이용하여 상기 프로파일 정보를 해석하는 처리를 더 포함하는 것인 장치.
제1항에 있어서,

상기 보안 구역에 배치되는 네트워크 인터페이스를 더 포함하며,

상기 처리 (c)는, (c-3) 상기 프로파일 정보를 상기 네트워크 인터페이스를 이용하여 상기 네트워크 내의 상기 복수의 장치 중의 상기 장치를 제외한 다른 장치로 전송하는 처리를 포함하고,

상기 처리 (d)는, (d-3) 상기 프로파일 정보를 상기 네트워크 인터페이스를 이용하여 상기 마스터 장치로부터 수신하는 처리를 포함하는 것인 장치.
제1항에 있어서,

상기 저장부는, 마스터 키 및 상기 프로파일 정보의 이력 정보를 더 저장하는 것인 장치.
제1항에 있어서,

상기 프로파일 정보는, 마스터 키 및 상기 프로파일 정보의 이력 정보 중 적어도 하나를 더 포함하는 것인 장치.
제1항에 있어서,

상기 연산 처리부는, (f) 마스터 키 및 상기 프로파일 정보의 이력 정보 중 적어도 하나를 포함하는 시드 정보 및 상기 정보 생성기를 기초로 상기 복수의 암호화 알고리즘 각각의 식별 정보 및 상기 복수의 키 각각의 식별 정보를 생성하는 처리를 더 수행하는 것인 장치.
제1항에 있어서,

상기 연산 처리부는, (g) 마스터 키 및 상기 프로파일 정보의 이력 정보 중 적어도 하나를 포함하는 시드 정보 및 상기 정보 생성기를 기초로 상기 복수의 정보 생성기 각각의 식별 정보를 생성하는 처리를 더 수행하는 것인 장치.
제1항에 있어서,

상기 연산 처리부는, (h) 마스터 키 및 상기 프로파일 정보의 이력 정보 중 적어도 하나를 포함하는 시드 정보 및 상기 정보 생성기를 기초로 상기 복수의 키를 생성하고 상기 저장부에 저장하는 처리를 더 수행하는 것인 장치.
제1항에 있어서,

상기 연산 처리부는, (i) 상기 복수의 암호화 알고리즘 각각의 식별 정보 및 상기 복수의 키 각각의 식별 정보를 기초로 상기 저장부에 상기 복수의 암호화 알고리즘 및 상기 복수의 키를 정렬하여 저장하는 처리를 더 수행하는 것인 장치.
제1항에 있어서,

상기 연산 처리부는, (j) 상기 복수의 정보 생성기 각각의 식별 정보를 기초로 상기 저장부에 상기 복수의 정보 생성기를 정렬하여 저장하는 처리를 더 수행하는 것인 장치.
제1항에 있어서,

상기 연산 처리부는, (k) 상기 암호화 통신의 정책 정보를 생성하는 처리를 더 수행하는 것인 장치.
제1항에 있어서,

상기 프로파일 정보는 상기 암호화 통신의 정책 정보를 더 포함하고,

상기 연산 처리부는, 상기 네트워크 내에서 상기 장치가 상기 마스터 장치로 동작하지 않는 경우, (l) 상기 프로파일 정보로부터 상기 정책 정보를 추출하는 처리를 더 수행하는 것인 장치.
제14항에 있어서,

상기 정책 정보는 상기 암호화 통신의 유효 기간 정보를 포함하는 것인 장치.
제16항에 있어서,

상기 처리 (k)는, (k-1) 상기 정보 생성기를 기초로 상기 유효 기간 정보를 생성하는 처리를 포함하는 것인 장치.
제14항에 있어서,

상기 정책 정보는 상기 암호화 통신의 QoS(quality of service) 정보를 포함하는 것인 장치.
제18항에 있어서,

상기 처리 (k)는, (k-2) 상기 정보 생성기를 기초로 상기 QoS 정보를 생성하는 처리를 포함하는 것인 장치.
제18항에 있어서,

상기 처리 (k)는, (k-3) 상기 네트워크 내에서 상기 장치가 상기 마스터 장치로 동작하는 경우, 상기 네트워크 내의 통신 환경을 기초로 상기 QoS 정보를 생성하는 처리를 포함하는 것인 장치.