WO2023140595A1 - Security construction system and method for gateway for iot device using identity-based security technique based on virtual block chain - Google Patents

Security construction system and method for gateway for iot device using identity-based security technique based on virtual block chain Download PDF

Info

Publication number
WO2023140595A1
WO2023140595A1 PCT/KR2023/000826 KR2023000826W WO2023140595A1 WO 2023140595 A1 WO2023140595 A1 WO 2023140595A1 KR 2023000826 W KR2023000826 W KR 2023000826W WO 2023140595 A1 WO2023140595 A1 WO 2023140595A1
Authority
WO
WIPO (PCT)
Prior art keywords
electronic device
digital electronic
gateway
virtual
security
Prior art date
Application number
PCT/KR2023/000826
Other languages
French (fr)
Korean (ko)
Inventor
송성면
이상지
박진하
Original Assignee
주식회사 푸시풀
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 푸시풀 filed Critical 주식회사 푸시풀
Publication of WO2023140595A1 publication Critical patent/WO2023140595A1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y30/00IoT infrastructure
    • G16Y30/10Security thereof
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees

Definitions

  • the present invention relates to a method for establishing security of a gateway for IoT devices using Identity-Based Cryptography (IBC) based on a virtual blockchain, and a system for establishing security for a gateway for IoT devices. It relates to a security construction system and method for a gateway for IoT devices using an identity-based security technique based on a virtual block chain that can maximize information security by protecting IoT devices, gateways, and data from hacking threats in IoT devices, data, and user access control management.
  • IBC Identity-Based Cryptography
  • IoT Internet of Things
  • IoT devices are rapidly increasing.
  • IoT technology all kinds of physical and virtual objects will be connected to the Internet through IoT technology, especially those that were never thought of before.
  • Objects to be connected to the Internet include everything from household devices such as door locks, thermometers, refrigerators, light bulbs, air purifiers, and washing machines to physical objects such as various industrial assets, wearable devices, smart devices, and smart cities, and virtual objects implemented as software in devices such as IoT gateways.
  • IoT is a technology that connects tangible or intangible devices with communication capabilities to a network to share information and provide various services. Products and services under the IoT environment are continuously evolving.
  • a gateway refers to a computer or software that enables communication between networks using different communication networks or protocols in a computer network, and is a network point that serves as an entrance to another network.
  • a gateway is a device that serves as a passage between different types of networks and serves to appropriately convert communication protocols on different networks.
  • Gateways are distinguished from routers and switches in that they communicate using one or more protocols, and can operate at any of the 7 layers of the OSI reference model.
  • the best-known example of a gateway is to connect a wired or wireless LAN to the Internet or other wide area network (WAN).
  • the gateway connects a predetermined device to the Internet by connecting a LAN to a network specified by a provider.
  • Gateways connected to devices with high computing power have simply played a role in connecting these devices to the Internet.
  • devices with high computing power such as existing PCs, laptops, smartphones, tablets, etc.
  • the gateway that performs a relay function for two-way data communication performs a data transmission protocol conversion function to connect a server and a user terminal, playing a different role than the existing gateway.
  • gateways Most IoT devices communicate with mobile phones or gateways through wireless interfaces.
  • Conventional gateways have lower computing power compared to existing PCs, laptops, smartphones, tablets, etc., and are highly likely to be destroyed by hacking attacks of the same level.
  • IoT devices such as wristwatches, wearable devices for health, and CCTVs
  • gateways since it is not possible to make all of the enormous number of IoT devices that are incomparable to existing ones into high-performance devices such as PCs, laptops, smartphones, and tablets, gateways must take charge of a significant part of security performance, and research and development are being conducted on them.
  • Symmetric key technology has the advantage of having a short key length and fast execution time because the encryption key and the decryption key are the same, but the key must be delivered to the other party through the network, and in this process, it can be hacked.
  • the asymmetric key technology has the advantage of avoiding the transfer of the private key to the other party through the network because the public key for encryption and the private key (or secret key) for decryption are different, but the key length is longer and the processing speed is slower than the symmetric key for the same performance.
  • the certificate-based public key infrastructure depends on a third-party certification authority (CA) to link the public key and the identity of the entity, and when a party needs to authenticate through a certification authority (CA), it needs to support a large-capacity online authentication database (e.g., a lightweight directory access protocol (LDAP)-based authentication database) that initiates the circulation of a vast amount of network information.
  • CA third-party certification authority
  • LDAP lightweight directory access protocol
  • a security system applying Identity Based Cryptography a new asymmetric key technology that uses the identity of an independent entity as a public key, selects and sets system parameters (SysParam, System Parameters) commonly applied to security systems in the initial setting stage of the private key generator (PKG, Private Key Generator), and creates a master secret key (MSK) to generate a private key It is safely stored and managed in the PKG, and the master public key (MPK) can be derived using the system parameter (SysParam) and the master private key (MSK).
  • system parameters SysParam, System Parameters
  • MSK master secret key
  • the private key generator configures public parameters (PubParam, Public Parameters), which are composed of system parameters (SysParam) and master public key (MPK) as components, and shares them with entities using the corresponding security system.
  • a pre-registered entity identifier ID, Identifier
  • public parameters PubParam
  • MSK master secret key
  • any entity that obtains the entity ID and public parameter (PubParam) can derive the public key (PUK) based on the entity ID, so that the entity ID can be used as the public key (PUK) of the entity, and if the entity ID belonging to the identity information (identity) of a specific entity is used as the public key (PUK) instead, it has the advantage that a certificate from a third certificate authority (CA) is unnecessary, unlike the existing CA-based public key infrastructure (PKI).
  • CA certificate authority
  • the communication bandwidth is narrow and In the Internet of Things, where it is important to maintain an appropriate level of security performance as the number of devices connected to personal area networks (PANs) with small transmission data packet units increases, the identity-based security scheme (IBC) is a desirable technology that can implement and apply simple key management and efficient security.
  • IBC identity-based security scheme
  • a centralized private key generator (PKG) is required to generate a private key (PRK) of an arbitrary entity including a user terminal, an IoT device, and a gateway, and since the private key generator (PKG) generates the private key (PRK) of an arbitrary entity and knows the provided private key (PRK), all entities must have trust that the private key generator (PKG) will not misuse their private key (PRK). Therefore, the conventional identity-based security (IBC) system has a weakness similar to the single point of failure of the existing third-party certificate authority (CA)-based public key infrastructure (PKI).
  • CA third-party certificate authority
  • PKI public key infrastructure
  • a blockchain-based identity-based security (IBC) system using distributed ledger technology is configured, and it is necessary to implement it in a manner that grants user-centric distributed authority to the private key generator (PKG) so that each entity directly generates a private key (PRK).
  • PKG private key generator
  • PRK private key
  • an arbitrary entity is an IoT device that cannot directly generate its own private key (PRK) due to constraints such as computational capacity and storage space, it needs to be delegated to another entity (eg, the owner of the IoT device) that is trusted.
  • the block chain technology applied to the conventional block chain-based identity-based security (IBC) system is a conventional block chain (PB, Physical Blockchain) technology in which a number of physical entities participate as nodes and are connected by a physical network such as the Internet.
  • PB Physical Blockchain
  • the number of nodes connected to the blockchain network is only one IoT gateway and one or several digital door locks, the anti-hacking effect of the blockchain is difficult to expect.
  • the present invention uses an identity-based security technique (IBC) based on a virtual blockchain (VB) formed by forming a plurality of virtual entities inside IoT devices and gateways to form virtual nodes and configuring a blockchain network between these virtual nodes to implement access control and communication security through authentication / authorization between IoT devices and IoT gateway parties without the intervention of a centralized third-party certificate authority (CA) or a centralized private key generator (PKG).
  • IBC identity-based security technique
  • VB virtual blockchain
  • CA third-party certificate authority
  • PKG centralized private key generator
  • the purpose is to provide a security construction system and method for a gateway for an IoT device using an identity-based security technique (IBC) based on a virtual block chain (VB) that can establish communication security and maximize information security by protecting IoT devices, gateways, and data from hacking threats.
  • IBC identity-based security technique
  • VB virtual block chain
  • a system for establishing security of a gateway using an identity-based security method based on a virtual block chain comprises: a wired/wireless communication module; A virtual block chain configuration unit configured to form at least one virtual node having attribute information including an identifier (ID) and private key information in the gateway, and to store and manage a transaction data block for which an agreement between the virtual nodes has been reached according to a predetermined consensus algorithm in the virtual node as a distributed ledger; A virtual blockchain network connected between the virtual node and neighboring virtual nodes through a network: and a digital electronic device using the identity-based security scheme, and a security module that performs security functions including access control through authentication and authorization.
  • ID identifier
  • a virtual blockchain network connected between the virtual node and neighboring virtual nodes through a network: and a digital electronic device using the identity-based security scheme, and a security module that performs security functions including access control through authentication and authorization.
  • a private key generator PKG
  • PKG generates a public parameter (PubParam) formed by combining a system parameter (SysParam) and a master public key (MPK), and distributes the public parameter (PubParam) to a digital electronic device using the identity-based security scheme
  • the digital electronic device implemented with the virtual blockchain constitutes a transaction data block including the public parameter and the digital electronic device identifier, distributes it to virtual blockchain nodes, and determines whether the transaction data block is agreed according to a predetermined consensus algorithm; and distributing the transaction data block for which an agreement has been made to a digital electronic device implemented with the virtual block chain and storing it in a distributed ledger.
  • the security construction method of a gateway for an IoT device using an identity-based security technique based on a virtual block chain provides the following effects.
  • the present invention which does not require a certificate issued by a centralized third-party certificate authority (CA), implements an identity-based security technique (IBC) based on a virtual blockchain, enabling fast and safe authentication and authorization between gateways and IoT device parties. Therefore, P2P decentralization is implemented.
  • CA third-party certificate authority
  • a device e.g., digital door lock, IoT sensor, user smartphone, etc.
  • PRK private key
  • CA third-party certificate authority
  • the present invention quickly determines whether to approve a transaction when a fast-processing consensus algorithm (e.g., PBFT, PoA, policy-based algorithm, etc.) is applied between trusted virtual nodes connected to a virtual blockchain network implemented inside a gateway, so that problems such as inoperability or long delay due to failure or failure of a physical communication network such as the Internet do not occur, and real-time application systems such as IoT devices (e.g., digital door locks) and gateway-connected access control systems or time delays Blockchain technology can be effectively applied to security systems that are sensitive to a fast-processing consensus algorithm (e.g., PBFT, PoA, policy-based algorithm, etc.) is applied between trusted virtual nodes connected to a virtual blockchain network implemented inside a gateway, so that problems such as inoperability or long delay due to failure or failure of a physical communication network such as the Internet do not occur, and real-time application systems such as IoT devices (e.g., digital door locks) and gateway-connected access control systems or time delays Blockchain technology can be
  • the present invention applies the weather blockchain-based identity-based security (IBC) technique to both the gateway and the IoT device, so that access by unauthorized persons to low-spec, small, low-power, and low-cost IoT devices with low processing speed can be quickly and efficiently blocked in advance in conjunction with the gateway and prevent hacking.
  • IBC identity-based security
  • the present invention utilizes virtual block chain technology to ensure security that can prevent unauthorized access to a number of virtual nodes implemented inside, even when an independent gateway is operated alone without any physical entity connected to the external node. Therefore, a smart home gateway for a single house, a gateway for an access control system such as an office or warehouse, an unauthorized access control gateway for personal terminals (smartphones, tablets, smart locations, laptops, PCs, etc.), processing time delay is a problem It can be expanded and applied to various equipment that operates independently in environments where it is difficult to connect to a normal blockchain network, such as edge gateways such as self-driving cars, cloud gateways where data is concentrated, and military equipment used in wartime operations with poor communication.
  • the IoT gateway with built-in virtual blockchain switches to safe mode and uses the internal virtual blockchain network to block access by unauthorized persons and prevent hacking and privacy invasion through security services such as quick and safe authentication and authorization using the internal virtual blockchain network.
  • FIG. 1 is a schematic diagram of a security establishment system of a gateway for IoT devices based on a virtual block chain according to an embodiment of the present invention
  • FIG. 2 is a diagram of a gateway implemented in a Docker container virtualization method based on a virtual block chain according to an embodiment of the present invention
  • 3 is a dual block chain platform structure in which a gateway equipped with a virtual block chain according to an embodiment of the present invention is connected to a normal block chain node;
  • FIG. 4 is a flowchart of establishing gateway security for IoT devices using an identity-based security technique based on a virtual block chain according to an embodiment of the present invention
  • FIG. 5 is a master key generation procedure for establishing gateway security for IoT devices using an identity-based security technique based on a virtual block chain according to an embodiment of the present invention
  • FIG. 6 is a diagram of a connection request and verification procedure between an IoT device and a gateway using an identity-based security technique based on a virtual block chain according to an embodiment of the present invention.
  • FIG. 7 is a diagram illustrating a procedure for verifying an access request token of an IoT device in a gateway according to an embodiment of the present invention.
  • the IoT device will be applied to a digital door lock and the personal area communication network (PAN) will be applied to BLE (Bluetooth Low Energy).
  • PAN personal area communication network
  • FIG. 1 is a schematic diagram of a security establishment system of a gateway for an IoT device based on a virtual block chain according to an embodiment of the present invention.
  • the system for establishing security of a gateway 100 using an identity-based security technique based on a virtual block chain largely includes a communication module 110; Virtual block chain configuration unit 120; virtual blockchain network 130; security module 140; and a data storage unit 150 .
  • the communication module 110 is provided in the gateway 100 and communicates with the IoT device 200 wired or wirelessly.
  • the communication module according to an embodiment of the present invention may support one or more of personal area network (PAN) communication protocols including BLE, Z-Wave, and Zigbee.
  • PAN personal area network
  • the communication module according to another embodiment of the present invention may include one or more of Low Power Wide Area Network (LPWAN) communication protocols including LoRa, Sigfox, and NB-IoT.
  • LPWAN Low Power Wide Area Network
  • the communication module according to another embodiment of the present invention may include one or more of local area network (LAN) communication protocols including WiFi and Ethernet.
  • LAN local area network
  • serial communication protocols including RS-232 and RS-485.
  • the virtual block chain configuration unit 120 forms a virtual node (software virtual node) for the IoT device 200 in the gateway 100, connects the virtual nodes through a P2P network to form a virtual block chain network 130, and forms a gateway identifier (ID_Gateway), gateway attribute information (Attributes_Gateway), IoT device identifier (ID_Device), IoT device attribute information (Attributes_Device), public parameters (PubParam), IoT device 200 At least one of data, event information, and user (accessor) information from ) is encrypted and stored and managed as a distributed ledger (virtual blockchain) in a virtual node of a virtual blockchain network.
  • a distributed ledger virtual blockchain
  • the virtual block chain configuration unit 120 forms virtual nodes to satisfy predetermined requirements in common and connects them to a block chain network.
  • the predetermined requirements may include performing functions related to ID-based security (IBC) techniques, performing consensus algorithms, and storing blockchains in a distributed ledger.
  • IBC ID-based security
  • the virtual block chain configuration unit 120 may form a preset number (number) of virtual nodes and, if necessary, create and add a new virtual node or activate a deactivated virtual node to add a virtual node.
  • the virtual block chain configuration unit 120 may form a virtual block chain through a virtual machine (VM) method or a Docker container virtualization method in forming a virtual block chain. Preferably, it is formed by applying the Docker container virtualization method.
  • VM virtual machine
  • Docker container virtualization method Preferably, it is formed by applying the Docker container virtualization method.
  • the virtual block chain configuration unit 120 may implement a virtual block chain in a general virtual machine (VM) method using a hypervisor.
  • This virtual machine method can be implemented by installing a hypervisor (software dedicated to virtualization) used in servers, PCs, desktops, embedded systems (e.g., smartphones, IoT gateways), and on top of it, a guest operating system (OS) is installed and virtualized for each application driving environment.
  • a hypervisor software dedicated to virtualization
  • OS guest operating system
  • the virtual block chain is a Docker container virtualization method in which Docker, a platform (software) for managing containers, is installed on the same host operating system (OS) in servers, PCs, desktops, embedded systems (eg, smartphones, IoT gateways), etc., and each isolated container is composed of an application program (eg, an App that supports a virtual block chain) and a running environment (eg, a virtualized operating system (OS) that shares a kernel with the host operating system (OS)).
  • a virtual blockchain can be implemented.
  • This Docker container virtualization method can be reduced in size by MB (megabytes), so the number (or number) of virtualized software nodes (virtual nodes) can be dramatically increased compared to virtual machines (VMs) implemented in one processing. It is preferable because it is light and fast because there is no separate operating system (OS) that requires booting in the container.
  • OS operating system
  • the virtual block chain configuration unit 120 can be applied to a virtual block chain through any virtualization method other than the virtual machine method and the Docker container virtualization method.
  • the virtual block chain component 120 organizes transaction data that needs to be stored and shared in a distributed ledger in a virtual node, including the gateway ID (ID_G/W) and public parameter (PubParam) provided from the security module 140, into blocks, distributes the block to virtual nodes connected to the virtual block chain network 130 in the gateway 100, and when an agreement is reached according to a predetermined consensus algorithm, the block is shared among all virtual nodes connected to the virtual block chain network 130. It is distributed and stored and managed as a blockchain distributed ledger.
  • the consensus algorithm according to the present invention may include a protocol for proving the validity of a transaction constituting a block using any one of a token-based consensus protocol, a lightweight cryptographic consensus protocol, a variable cryptographic consensus protocol, and a policy-based consensus protocol, or a combination thereof.
  • the virtual blockchain network 130 may be formed in a manner in which a plurality of virtual nodes created through the virtual blockchain configuration unit 120 are connected through a P2P network.
  • the virtual node may be implemented by at least an application program that performs a predetermined consensus algorithm on a block composed of transaction data and a memory that stores and manages an agreed block as a distributed ledger.
  • the virtual blockchain network 130 is configured by forming virtual nodes 131, 132, and 133 (a preset number of virtual nodes) in advance in the gateway 100, and adding virtual nodes 134 and 135 (additionally formed virtual nodes) when necessary, and connecting the preset virtual nodes and additional nodes to the virtual blockchain network.
  • the security module 140 is to perform security functions according to the blockchain-based identity-based security technique (IBC), and performs security functions such as authentication, authorization, digital signature, verification, encryption, and decryption with an identity-based security technique between the IoT device 200 and the gateway 100.
  • IBC blockchain-based identity-based security technique
  • the security module 140 stores and manages the gateway private key (PRK_G/W), gateway ID (ID_G/W), and public parameter (PubParam), stores and manages the gateway ID (ID_G/W) and public parameter (PubParam) as a blockchain distribution ledger in all virtual nodes connected to the virtual blockchain network 130 in the corresponding gateway 100 according to a predetermined procedure, and provides them to the virtual blockchain configuration unit 120 so that they can be shared.
  • PRK_G/W gateway private key
  • ID_G/W gateway ID
  • PubParam public parameter
  • the security module 140 provides security services such as digital signature and verification, data encryption and decryption, and device access control using gateway ID (ID_G/W), gateway private key (PRK_G/W) and public parameter (PubParam).
  • gateway ID ID_G/W
  • PRK_G/W gateway private key
  • PubParam public parameter
  • the data storage unit 150 stores and manages data that does not need to be stored or is difficult to store in the distributed ledger of the virtual block chain and data that needs to be backed up among data stored in the distributed ledger.
  • the gateway may be implemented in smart devices including smart phones, tablet computers, PCs, laptops, etc. having an interface supporting some or all of communication protocols including personal area network (PAN), low power wide area network (LPWAN), WiFi, and Ethernet.
  • PAN personal area network
  • LPWAN low power wide area network
  • WiFi wireless local area network
  • Ethernet Ethernet
  • FIG. 2 is a block diagram of a gateway implemented in a Docker container virtualization method based on a virtual blockchain according to an embodiment of the present invention.
  • the gateway 100 implemented in the Docker container virtualization method executes a predetermined consensus algorithm on a transaction data block as a virtual node connected to the virtual blockchain network 130 through App (A, B, C, D, E, F) included in each container, and stores and manages the agreed block as a distributed ledger.
  • Figure 3 is a dual block chain platform structure diagram in which a gateway equipped with a virtual block chain according to an embodiment of the present invention is connected to a normal block chain node.
  • IoT devices such as digital door locks, wall pads, and home appliances are connected through a personal area network (PAN: BLE, Z-Wave, Zigbee, etc.), and a user's smartphone, etc. are connected to a LAN (e.g., WiFi).
  • PAN personal area network
  • LAN e.g., WiFi
  • apartment complex in which a virtual block chain is embedded and implemented, and a plurality of home gateways implemented with the virtual block chain are connected to a node of a normal block chain network (mainnet), it can be based on a double block chain. .
  • a virtual blockchain can be formed by applying a virtual machine (VM) or Docker container-type virtualization technology inside a cloud, fog, edge, server, PC, desktop, or embedded device (smartphone, tablet computer, IoT gateway, etc.) to form multiple virtual nodes and connect the virtual nodes through a P2P network.
  • VM virtual machine
  • Docker container-type virtualization technology inside a cloud, fog, edge, server, PC, desktop, or embedded device (smartphone, tablet computer, IoT gateway, etc.) to form multiple virtual nodes and connect the virtual nodes through a P2P network.
  • a normal blockchain is made in such a way that each node (usual node) participating in a transaction, such as a gateway, PC, or smartphone, is connected to the Internet (P2P network), confirms each other's transaction details between the nodes, encrypts the ledger, and makes it into a block to chain (blockchainization) to make data hacking impossible.
  • each node usual node participating in a transaction
  • P2P network the Internet
  • Such a normal block chain has the following problems.
  • the virtual block chain is implemented in a software method (possible node) in each device, so that even if the Internet is not present or broken, the security characteristics of the block chain can still be utilized, and authentication/authorization of IoT devices accessing the gateway. It is also possible to solve problems such as transaction time, memory, personal information sharing, etc.
  • the private key generator selects and sets the system parameter (SysParam) to be applied to the security system, generates the master secret key (MSK) based on the random secret parameter (SecParam), and derives the master public key (MPK) using the preset system parameter (SysParam) and the master secret key (MSK).
  • the private key generator (PKG) generates an ID-based gateway private key (PRK_G/W) according to a predetermined private key generation algorithm using a public parameter (PubParam) and a master secret key (MSK) formed by combining a preset system parameter (SysParam) and a master public key (MPK) as components, and a gateway ID (ID_G/W) registered by a user (gateway owner or manager) according to a predetermined private key generation algorithm and provides the gateway with the generated key.
  • the gateway private key (PRK_G/W) is stored in the security module 140 together with the gateway ID (ID_G/W) and public parameter (PubParam).
  • FIG. 4 is a flowchart of security construction of a gateway for IoT devices using an identity-based security technique based on a virtual block chain according to the present invention, and a security construction method is as follows.
  • the private key generator (PKG) sets a system parameter (SysParam) to be applied for security calculation, including selecting a predetermined security system or function from a set of security systems or functions or a set of techniques in the mathematical domain (S410).
  • the private key generator (PKG) may be mounted in the server.
  • the private key generator (PKG) when user (or administrator)-centered distributed authority is granted, can be installed in an administrator terminal (eg, smartphone, PC, etc.).
  • the private key generator (PKG) generates a master secret key (MSK) according to a predetermined master secret key generation algorithm, and derives a master public key (MPK) using the master secret key (MSK) and a system parameter (SysParam) (S420).
  • MSK master secret key
  • MPK master public key
  • SysParam system parameter
  • the private key generator (PKG) generates a public parameter (PubParam) formed by combining the system parameter (SysParam) and the master public key (MPK), and distributes the public parameter (PubParam) to digital electronic devices using the identity-based security scheme (IBC) according to the present invention (S430).
  • the digital electronic device should be understood as a concept including cloud, fog, edge, server, PC, desktop, embedded device (smartphone, tablet computer, etc.), IoT device, and gateway using identity-based security (IBC) service.
  • the private key generator (PKG) can be distributed by storing and notifying so that the public parameters can be safely downloaded from a server equipped to provide the public parameters through a secure communication network.
  • the digital electronic device registers an identifier (ID) in the form of a string that can uniquely identify itself with the ID registration server (IPS) (S440).
  • ID registration server IPS
  • the ID registration server may be implemented in a manner integrated with the private key generator (PKG).
  • the private key generator (PKG) generates and provides an ID-based private key (PRK) for the corresponding digital electronic device according to a predetermined private key generation algorithm, and the security module 140 of the digital electronic device stores the ID-based private key (PRK) (S450).
  • a predetermined private key generation algorithm is determined using a master secret key (MSK), a digital electronic device identifier (ID), and a public parameter (PubParam).
  • Access control is performed between digital electronic devices by requesting and verifying access to each other using the identifier (ID), public parameter (PubParam), and ID-based digital electronic device private key (PRK) of the digital electronic device.
  • ID identifier
  • PubParam public parameter
  • PRK digital electronic device private key
  • the IoT device 200 requests access by sending an access request message to the gateway 100, and the gateway 100 performs verification (S460).
  • the digital electronic device in which the virtual blockchain is implemented configures the transaction data block and distributes it to the virtual blockchain node to determine whether the transaction data block is agreed upon through a predetermined consensus algorithm (S470).
  • the transaction data block includes at least one of a digital electronic device identifier (ID), a public parameter (PubParam), event-related information such as distribution and storage of the corresponding public parameter, and event-related information including access control between an IoT device and a gateway.
  • the transaction data block with the agreement is stored and shared in the distributed ledger of the virtual node in the virtual blockchain network (S480).
  • the connected digital electronic device when the digital electronic device is an IoT device, the connected digital electronic device may be a gateway. Also, according to another embodiment of the present invention, when the digital electronic device is a gateway, the connected digital electronic device may be an IoT device. Also, according to another embodiment of the present invention, when the digital electronic device is an IoT device, the connected digital electronic device may be an IoT device.
  • the target to which the private key generator (PKG) provides the public parameters and private key is any digital electronic device using an identity-based security technique (IBC) regardless of whether a virtual block chain is implemented, and the target to which the transaction data block is distributed to the virtual node is a digital electronic device implemented with a virtual block chain.
  • IBC identity-based security technique
  • FIG. 5 is a master key generation procedure diagram for building gateway security for IoT devices using an identity-based security technique based on a virtual block chain according to an embodiment of the present invention, in which the master key generation step (S420) is as follows.
  • the private key generator (PKG) generates a random random number and sets it as a secret parameter (SecParam) (S421).
  • the private key generator (PKG) generates a master secret key (MSK) according to a predetermined algorithm based on the secret parameter (SecParam) (S422).
  • the private key generator derives the master public key (MPK) using the master private key (MSK) and a predetermined system parameter (SysParam) (S423).
  • the private key generator stores the public parameter (PubParam) and the master secret key (MSK) formed by combining the system parameter (SysParam) and the master public key (MPK) in the security module (140, SecM) (S424).
  • Step 460 is as follows.
  • the IoT device 200 generates a random secret number 1 (RS1) for composing an access request message to access the gateway 100 (S461).
  • RS1 random secret number 1
  • the IoT device 200 signs the random secret number 1 (RS1) with its IoT device private key (PRK_IoT) (S462).
  • the IoT device 200 constructs an access request message with random secret number 1 (RS1), IoT device identifier (ID_IoT), and IoT device signature (IoT Sign.), encrypts the access request message according to a predetermined algorithm using the gateway identifier (ID_G/W) and a pre-shared public parameter (PubParam) (S463), and transmits the encrypted access request message to the gateway 100 (S463). 464).
  • RS1 random secret number 1
  • ID_IoT IoT device identifier
  • IoT Sign. IoT Sign.
  • the gateway 100 Upon receiving the encrypted access request message, the gateway 100 decrypts and verifies the encrypted access request message (S465). Specifically, the gateway 100 decrypts the encrypted access request message using its private key (PRK_G/W), and compares the decrypted result of the IoT device signature (IoT Sign.) with the random secret number 1 (RS1) using the IoT device identifier (ID_IoT) constituting the decrypted access request message. If the decrypted result value (Decrypted Result) and the random secret number 1 (RS1) match, the IoT device 200 is authenticated, and if the decrypted result value (Decrypted Result) and the random secret number 1 (RS1) do not match, authentication is rejected.
  • PRK_G/W private key
  • ID_IoT IoT device identifier
  • the gateway 100 If the connection request from the IoT device passes verification, the gateway 100 generates a separate random secret number 2 (RS2) (S466) and signs the random secret number 2 (RS2) with its own private key (PRK_G/W) (S467).
  • RS2 random secret number 2
  • PRK_G/W private key
  • the gateway 100 constructs a verification result message with the random secret number 2 (RS2), the gateway identifier (ID_G/W), and the gateway signature (G/W Sign.), and encrypts the verification result message (Verification Result Message) according to a predetermined algorithm using the IoT device identifier (ID_IoT) and the public parameter (PubParam) shared in advance (S468).
  • RS2 random secret number 2
  • ID_G/W gateway identifier
  • G/W Sign. gateway signature
  • the gateway 100 transmits an encrypted verification result message to the IoT device 200 (S469).
  • the gateway 100 constructs a Verification Result Message notifying verification failure (S468), encrypts the Verification Result Message according to a predetermined algorithm using the IoT device identifier (ID_IoT) and a pre-shared public parameter (PubParam), and transmits the encrypted verification result message to the IoT device 200 (S469 ).
  • ID_IoT the IoT device identifier
  • PubParam pre-shared public parameter
  • the IoT device 200 verifies the digital signature of the gateway 100 according to the same procedure as above, so that both parties can be authenticated between the gateway and the IoT device.
  • FIG. 7 is a procedure diagram for transmitting an access request token including a time-varying parameter (TVP) of an IoT device and verifying the access request token of an IoT device at a gateway according to an embodiment of the present invention.
  • the protocol for verifying the access request token of the IoT device received by the gateway is described step by step.
  • the access request token is used when the IoT device accesses the gateway using an identity-based security technique and transmits to share a random secret number for generating a secret key (SecKey) for encryption, decryption, and authentication of messages exchanged thereafter.
  • SecKey secret key
  • the IoT device 200 generates a random secret number (RS) of a required length (S501).
  • the IoT device 200 generates an IoT device signature by signing the random secret number (RS) according to a predetermined Identity Based Signature (IBS) algorithm using the IoT device private key (PRK_IoT) (S502).
  • RS random secret number
  • IBS Identity Based Signature
  • PRK_IoT IoT device private key
  • the IoT device 200 generates a transmission token (KTA, Knowledge To Action) in which a random secret number (RS), an IoT device signature, an IoT device identifier (ID_IoT), a time-variant parameter (TVP) (eg, a time stamp or sequence number, etc.), and predetermined string information 2 (Text2) are combined (S503).
  • the connection request token (KTA) may be formed by sequentially combining a random secret number (RS), an IoT device signature, an IoT device identifier (ID_IoT), a time-varying parameter (TVP), and predetermined string information 2 (Text2).
  • the IoT device 200 encrypts the access request token (KTA) using the counterpart gateway identifier (ID_G/W) and the public parameter (PubParam), and transmits the encrypted access request token (Encrypted KTA) to the gateway 100 (S504).
  • the gateway 100 After receiving the encrypted access request token (Encrypted KTA), the gateway 100 decrypts it using its own private key (PRK_G/W) (S505).
  • the gateway 100 determines the validity of the time-varying parameter (TVP) of the access request token (KTA) and rejects the access request token if it is not valid (S506). Specifically, according to one embodiment of the present invention, if the time-varying parameter (TVP) included in the access request token (KTA) is a time stamp, it is determined whether or not it is within a valid time range, and if it is out of range, the token (KTA) can be rejected.
  • TVP time-varying parameter
  • the gateway 100 If it is not larger than the sequence number, the token can be rejected.
  • the gateway 100 verifies the validity of the signature (Sign.) included in the access request token according to a predefined verification protocol using the IoT device ID (ID_IoT) and the public parameter (PubParam). If the signature is not valid, the access request token (KTA) is rejected (S507).
  • the gateway 100 verifies the recency of the time-varying parameter (TVP) included in the access request token (KTA) (S508). Specifically, when the TVP is a sequence number, the signature is verified if the TVP is the latest number, and the access request token (KTA) is rejected if the TVP is not the latest number (S508).
  • TVP time-varying parameter
  • KTA access request token
  • the gateway 100 If all of the verification steps are passed, the gateway 100 generates a secret key (SecKey) for encryption, decryption, and message authentication according to a key derivation function (KDF) determined in advance using the random secret number (RS) (S509).
  • SecKey secret key
  • KDF key derivation function
  • the security construction method of a gateway for an IoT device using an identity-based security technique based on a virtual block chain and the security construction of a gateway for an IoT device using an identity-based security technique based on a virtual block chain it is possible to implement communication security for an IoT device in which software for securing various security cannot be built by enabling encrypted communication between the gateway and the IoT device. It is possible to protect IoT devices and data from hacking threats in ID registration, data and user access control and management of IoT devices, and security enhancement, one of the unique characteristics of blockchain, can be applied to IoT devices. It has the advantage of being able to protect users and information from the ever-increasing threat of hacking.

Abstract

A security construction system for a gateway using an identity-based security technique based on a virtual block chain, according to the present invention, comprises: a wired/wireless communication module; a virtual block chain construction unit which forms, in the gateway, one or more virtual nodes having attribute information including an identifier (ID) and personal key information, and stores and manages, as a distributed ledger in the virtual nodes, a transaction data block agreed by the virtual nodes according to a predetermined agreement algorithm; a virtual block chain network connected by a network between the virtual nodes and neighboring virtual nodes; and a security module which performs security functions including access control through authentication and authorization with digital electronic devices using the identity-based security technique.

Description

가상 블록체인에 기반한 신원 기반 보안 기법을 이용한 IOT 기기용 게이트웨이의 보안 구축 시스템 및 방법Security establishment system and method of gateway for IOT devices using identity-based security technique based on virtual block chain
본 발명은 가상 블록체인에 기반한 신원 기반 보안 기법(Identity-Based Cryptography, IBC)을 이용한 IoT 기기용 게이트웨이의 보안 구축 방법 및 IoT 기기용 게이트웨이의 보안 구축 시스템에 관한 것으로, 더욱 상세하게는 가상 블록체인(VB, Virtual Blockchain)에 기반한 신원 기반 보안 기법(IBC)을 이용하여 IoT 기기와 IoT 게이트웨이 간에 인증 및 인가(Authentication/Authorization)를 통한 접근 제어 및 암호화 통신을 구현함으로써 연산 능력이 부족한 IoT 기기의 통신 보안을 구축하고, 이들 IoT 기기와 데이터 및 사용자 접근 제어 관리 등에 있어 해킹 위협으로부터 IoT 기기, 게이트웨이 및 데이터를 보호할 수 있어 정보 보안을 극대화할 수 있는, 가상 블록체인에 기반한 신원 기반 보안 기법을 이용한 IoT 기기용 게이트웨이의 보안 구축 시스템 및 방법에 관한 것이다.The present invention relates to a method for establishing security of a gateway for IoT devices using Identity-Based Cryptography (IBC) based on a virtual blockchain, and a system for establishing security for a gateway for IoT devices. It relates to a security construction system and method for a gateway for IoT devices using an identity-based security technique based on a virtual block chain that can maximize information security by protecting IoT devices, gateways, and data from hacking threats in IoT devices, data, and user access control management.
최근 사물인터넷(IoT) 시대를 맞이하여, IoT 기기들이 급격하게 늘어나고 있다. 이에 따라 IoT 기술을 통해 모든 종류의 물리적 개체와 가상 개체, 특히 그동안은 전혀 생각하지도 못했던 대상들이 인터넷에 연결될 것이다. 인터넷에 연결될 대상은 도어록, 체온계, 냉장고, 전구, 공기청정기, 세탁기 등 가정용 기기에서 각종 산업용 자산, 웨어러블(Wearable) 기기, 스마트 기기, 스마트 시티 등의 물리적인 개체와 IoT 게이트웨이 등의 장치에 소프트웨어로 구현하는 가상적인 개체를 포함하여 모든 것을 포함한다.Recently, in the era of the Internet of Things (IoT), IoT devices are rapidly increasing. As a result, all kinds of physical and virtual objects will be connected to the Internet through IoT technology, especially those that were never thought of before. Objects to be connected to the Internet include everything from household devices such as door locks, thermometers, refrigerators, light bulbs, air purifiers, and washing machines to physical objects such as various industrial assets, wearable devices, smart devices, and smart cities, and virtual objects implemented as software in devices such as IoT gateways.
IoT는 통신 기능을 갖는 유형 또는 무형의 장치들에 네트워크를 연결해 정보를 공유하고 다양한 서비스를 제공할 수 있도록 하는 기술이다. IoT 환경하에서의 제품 및 서비스는 지속적으로 발전하고 있다.IoT is a technology that connects tangible or intangible devices with communication capabilities to a network to share information and provide various services. Products and services under the IoT environment are continuously evolving.
한편, 네트워크를 구성함에 있어서 게이트웨이(Gateway)는 컴퓨터 네트워크에서 서로 다른 통신망이나 프로토콜을 사용하는 네트워크 간의 통신을 가능하게 하는 컴퓨터나 소프트웨어를 말하는 것으로, 다른 네트워크로 들어가는 입구 역할을 하는 네트워크 포인트이다. 다시 말해서, 게이트웨이는 종류가 다른 네트워크 간의 통로 역할을 하는 장치이며 서로 다른 네트워크 상의 통신 프로토콜(Protocol)을 적절히 변환해주는 역할을 한다.On the other hand, in configuring a network, a gateway refers to a computer or software that enables communication between networks using different communication networks or protocols in a computer network, and is a network point that serves as an entrance to another network. In other words, a gateway is a device that serves as a passage between different types of networks and serves to appropriately convert communication protocols on different networks.
게이트웨이는 하나 이상의 프로토콜을 사용하여 통신한다는 면에서 라우터, 스위치와는 구별되며 OSI 참조 모델의 7계층 가운데 어느 계층에서도 동작이 가능하므로 전송방식이 다른 통신망도 흡수함으로써 서로 다른 기종끼리 접속을 가능하게 한다.Gateways are distinguished from routers and switches in that they communicate using one or more protocols, and can operate at any of the 7 layers of the OSI reference model.
게이트웨이의 가장 잘 알려진 예는 유선 랜(LAN)이나 무선 랜을 인터넷이나 다른 원거리 통신망(WAN)에 연결하는 것이다. 이 경우 게이트웨이는 랜을 제공자가 지정하는 네트워크에 연결함으로써 소정의 장치를 인터넷에 연결할 수 있게 된다.The best-known example of a gateway is to connect a wired or wireless LAN to the Internet or other wide area network (WAN). In this case, the gateway connects a predetermined device to the Internet by connecting a LAN to a network specified by a provider.
기존의 PC, 노트북, 스마트폰, 태블릿 등과 같이 고성능 연산 능력을 갖는 기기들에 연결되는 게이트웨이는 이들 기기를 단순히 인터넷에 연결하는 역할을 수행하였다. 반면, 이제는 연산 능력이 매우 떨어지는 저사양 및 저가의 소형 IoT 기기들이 대거 게이트웨이에 연결되고, 양방향 데이터 통신을 위해 중계 기능을 수행하는 IoT 게이트웨이가 서버와 사용자 단말기를 연결하기 위해 데이터 전송 프로토콜 변환 기능을 수행하면서 기존의 게이트웨이와는 다른 역할을 담당하게 되었다. Gateways connected to devices with high computing power, such as existing PCs, laptops, smartphones, tablets, etc., have simply played a role in connecting these devices to the Internet. On the other hand, now, a large number of low-end and low-cost small IoT devices with very low computing power are connected to the gateway, and the IoT gateway that performs a relay function for two-way data communication performs a data transmission protocol conversion function to connect a server and a user terminal, playing a different role than the existing gateway.
IoT 기기들은 대부분 무선 인터페이스를 통해 휴대폰이나 게이트웨이와 통신을 하게 되는데, 종래의 게이트웨이는 기존의 PC, 노트북, 스마트폰, 태블릿 등과 비교하여 연산 능력이 떨어지고, 동일 수준의 해킹 공격에 의해 무너질 가능성이 매우 높다.Most IoT devices communicate with mobile phones or gateways through wireless interfaces. Conventional gateways have lower computing power compared to existing PCs, laptops, smartphones, tablets, etc., and are highly likely to be destroyed by hacking attacks of the same level.
IoT 기기는 손목워치나 건강용 웨어러블 기기, CCTV처럼 많은 개인정보를 가지거나, 산업용의 경우 해킹을 당하게 되면, 커다란 재해가 생길 수도 있다. 그렇다고 기존과 비교도 되지 않을 만큼 엄청난 숫자의 IoT 기기들을 모두 PC, 노트북, 스마트폰, 태블릿 등과 같이 고성능 기기로 만들 수 없기 때문에, 상당 부분의 보안 성능을 게이트웨이가 담당해 주어야 하며 이에 대한 연구와 개발이 이루어지고 있다.IoT devices, such as wristwatches, wearable devices for health, and CCTVs, have a lot of personal information, or if they are hacked for industrial use, a great disaster may occur. However, since it is not possible to make all of the enormous number of IoT devices that are incomparable to existing ones into high-performance devices such as PCs, laptops, smartphones, and tablets, gateways must take charge of a significant part of security performance, and research and development are being conducted on them.
이와 관련하여 IoT의 사용과 관련한 보안 기술의 연구와 개발이 이루어지고 있으나, IoT의 보안 관제 시스템의 개발은 아직 미흡한 상태이다.In this regard, research and development of security technology related to the use of IoT is being conducted, but the development of the security control system of IoT is still insufficient.
구체적으로, 현재의 암호 기술은 크게 대칭 키(Symmetric Key) 기술과 비대칭 키(Asymmetric Key) 기술로 나눌 수 있다. 대칭 키 기술은 암호화 키와 복호화 키가 동일한 방식으로 대체로 키 길이가 짧고 수행 시간이 빠른 장점이 있으나 네트워크를 통해 상대방에게 키를 전달해야 하며 이 과정에서 해킹을 당할 수 있는 단점이 있다. 비대칭 키 기술은 암호화를 위한 공개키와 복호화를 위한 개인키(또는 비밀키)가 서로 다른 방식으로 네트워크를 통해 개인키를 상대방에게 전달하는 것을 회피할 수 있는 장점이 있으나 동일한 성능을 위해 대칭 키에 비해 키 길이가 길고 처리속도가 느린 단점이 있다. Specifically, current encryption technologies can be largely divided into symmetric key technologies and asymmetric key technologies. Symmetric key technology has the advantage of having a short key length and fast execution time because the encryption key and the decryption key are the same, but the key must be delivered to the other party through the network, and in this process, it can be hacked. The asymmetric key technology has the advantage of avoiding the transfer of the private key to the other party through the network because the public key for encryption and the private key (or secret key) for decryption are different, but the key length is longer and the processing speed is slower than the symmetric key for the same performance.
또한 기존의 비대칭 키 기술 중 인증서 기반의 공개키 기반 구조(PKI, Public Key Infrastructure)는 공개키와 개체의 신원 정보(Identity)를 연계하기 위해 제3의 인증기관(CA, Certification Authority)에 의존하고 당사자가 인증기관(CA)을 통해 인증할 필요가 있는 경우 방대한 양의 네트워크 정보 유통을 개시시키는 대용량의 온라인 인증 데이터베이스(예, 경량 디렉토리 접근 프로토콜(LDAP, Lightweight Directory Access Protocol) 기반의 인증 데이터베이스) 지원이 필요한 단점이 있다. 만일, 중앙집중식의 인증기관(CA)에서 보안이 취약해지는 상황이 발생하는 경우 시스템 전체의 보안에 부정적인 영향을 미치는 단일실패점(Single Point of Failure)이 될 수 있다.In addition, among the existing asymmetric key technologies, the certificate-based public key infrastructure (PKI) depends on a third-party certification authority (CA) to link the public key and the identity of the entity, and when a party needs to authenticate through a certification authority (CA), it needs to support a large-capacity online authentication database (e.g., a lightweight directory access protocol (LDAP)-based authentication database) that initiates the circulation of a vast amount of network information. If a situation occurs in which security is vulnerable in a centralized certification authority (CA), it can become a single point of failure that negatively affects the security of the entire system.
인증서 기반의 공개키 기반 구조(PKI)가 지닌 문제점을 해결하기 위해 어떤 독립 개체의 신원 정보(Identity)를 공개키로 이용하는 새로운 방식의 비대칭 키 기술인 신원 기반 보안 기법(IBC, Identity Based Cryptography)을 적용한 보안 시스템은 개인키 생성기(PKG, Private Key Generator)의 초기 설정 단계에서 보안 시스템에 공통적으로 적용하는 시스템 파라미터(SysParam, System Parameters)를 선택하여 설정하고 마스터 비밀키(MSK, Master Secret Key)를 생성하여 개인키 생성기(PKG)에 안전하게 저장 관리하며, 시스템 파라미터(SysParam)와 마스터 비밀키(MSK)를 이용하여 마스터 공개키(MPK, Master Public Key)를 유도할 수 있다. In order to solve the problems of the certificate-based public key infrastructure (PKI), a security system applying Identity Based Cryptography (IBC), a new asymmetric key technology that uses the identity of an independent entity as a public key, selects and sets system parameters (SysParam, System Parameters) commonly applied to security systems in the initial setting stage of the private key generator (PKG, Private Key Generator), and creates a master secret key (MSK) to generate a private key It is safely stored and managed in the PKG, and the master public key (MPK) can be derived using the system parameter (SysParam) and the master private key (MSK).
또한 개인키 생성기(PKG)는 시스템 파라미터(SysParam)와 마스터 공개키(MPK)가 구성 요소로 결합되어 이루어진 공개 파라미터(PubParam, Public Parameters)를 구성하여 해당 보안 시스템을 이용하는 개체들과 공유하며, 각각의 개체를 고유하게 식별하기 위해 사전에 등록된 개체 식별자(ID, Identifier)와 공개 파라미터(PubParam) 및 마스터 비밀키(MSK)를 이용하여 개체 ID 기반의 개인(비밀) 키(PRK, Private Key)를 생성하여 해당 개체에 안전하게 제공하고, 해당 개체는 제공받은 개인키(PRK)를 안전하게 저장 관리한다. In addition, the private key generator (PKG) configures public parameters (PubParam, Public Parameters), which are composed of system parameters (SysParam) and master public key (MPK) as components, and shares them with entities using the corresponding security system. In order to uniquely identify each entity, a pre-registered entity identifier (ID, Identifier), public parameters (PubParam), and master secret key (MSK) are used to generate a private (private key) (PRK) based on entity ID. and provide it safely to the object, and the object safely stores and manages the provided private key (PRK).
개체 ID와 공개 파라미터(PubParam)를 획득한 어떤 개체든지 해당 개체 ID 기반의 공개키(PUK, Public Key)를 유도할 수 있도록 구현됨으로써 개체 ID가 해당 개체의 공개키(PUK)로 이용 가능하고, 특정 개체의 신원 정보(Identity)에 속하는 개체 ID가 공개키(PUK)로 대신 이용되는 경우 기존의 인증기관(CA) 기반 공개키 기반 구조(PKI)와 달리 제3 인증기관(CA)의 인증서가 불필요하다는 장점이 있다, 특히 통신 대역폭이 좁고 전송 데이터 패킷 단위가 작은 개인 영역 네트워크(PAN, Personal Area Network)에 접속되는 기기 수가 증가하는 추세를 따라 적절한 수준의 보안 성능을 유지하는 것이 중요한 사물인터넷에서, 신원 기반 보안 기법(IBC)은 간단한 키 관리 방식과 효율적인 보안 구현 및 적용이 가능한 바람직한 기술이다. It is implemented so that any entity that obtains the entity ID and public parameter (PubParam) can derive the public key (PUK) based on the entity ID, so that the entity ID can be used as the public key (PUK) of the entity, and if the entity ID belonging to the identity information (identity) of a specific entity is used as the public key (PUK) instead, it has the advantage that a certificate from a third certificate authority (CA) is unnecessary, unlike the existing CA-based public key infrastructure (PKI). In particular, the communication bandwidth is narrow and In the Internet of Things, where it is important to maintain an appropriate level of security performance as the number of devices connected to personal area networks (PANs) with small transmission data packet units increases, the identity-based security scheme (IBC) is a desirable technology that can implement and apply simple key management and efficient security.
한편, 종래의 신원 기반 암호화(IBC) 시스템에서는 사용자 단말기와 IoT 기기 및 게이트웨이를 포함하는 임의 개체의 개인키(PRK)를 생성하기 위한 중앙집중식 개인키 생성기(PKG)가 필요하며, 개인키 생성기(PKG)는 임의 개체의 개인키(PRK)를 생성하여 제공되는 그 개인키(PRK)를 알고 있으므로 모든 개체는 개인키 생성기(PKG)가 자신의 개인키(PRK)를 오용하지 않을 것이라는 신뢰를 가져야 한다. 따라서 종래의 신원 기반 보안(IBC) 시스템은 기존의 제3의 인증기관(CA) 기반 공개키 기반 구조(PKI)의 단일실패점(Single Point of Failure)과 유사한 약점을 지닌다. On the other hand, in a conventional identity-based encryption (IBC) system, a centralized private key generator (PKG) is required to generate a private key (PRK) of an arbitrary entity including a user terminal, an IoT device, and a gateway, and since the private key generator (PKG) generates the private key (PRK) of an arbitrary entity and knows the provided private key (PRK), all entities must have trust that the private key generator (PKG) will not misuse their private key (PRK). Therefore, the conventional identity-based security (IBC) system has a weakness similar to the single point of failure of the existing third-party certificate authority (CA)-based public key infrastructure (PKI).
종래의 신원 기반 보안(IBC) 시스템이 지닌 약점인 중앙 집중화 및 단일실패점을 해소하기 위해 분산 원장 기술을 이용한 블록체인 기반의 신원 기반 보안(IBC) 시스템을 구성하고 각 개체가 개인키(PRK)를 직접 생성하도록 개인키 생성기(PKG)에 대해 사용자 중심으로 분산된 권한(Distributed Authority)을 부여하는 방식으로 구현할 필요가 있다. 또한 임의 개체가 계산 역량, 저장 공간 등의 제약 조건으로 인하여 직접 자신의 개인키(PRK)를 생성하지 못하는 IoT 기기인 경우 신뢰할 수 있는 다른 개체(일례로, 해당 IoT 기기의 소유자 등)에 위임할 필요가 있다. In order to solve the centralization and single point of failure, which are the weaknesses of the conventional identity-based security (IBC) system, a blockchain-based identity-based security (IBC) system using distributed ledger technology is configured, and it is necessary to implement it in a manner that grants user-centric distributed authority to the private key generator (PKG) so that each entity directly generates a private key (PRK). In addition, if an arbitrary entity is an IoT device that cannot directly generate its own private key (PRK) due to constraints such as computational capacity and storage space, it needs to be delegated to another entity (eg, the owner of the IoT device) that is trusted.
한편, 종래의 블록체인 기반의 신원 기반 보안(IBC) 시스템에 적용된 블록체인 기술은 다수의 물리적 개체가 노드로 참여하고 인터넷과 같은 물리적 네트워크로 연결된 통상의 블록체인(PB, Physical Blockchain) 기술이다. 일례로 단독 가옥, 창고 등의 개별 출입관리시스템인 경우 블록체인 네트워크에 연결된 노드 수가 IoT 게이트웨이 1개와 디지털 도어록 1개 내지 수개에 불과한 경우 블록체인의 해킹방지 효과는 크게 기대하기 어렵다. 더구나 출입관리시스템이 실시간으로 작동하거나 지연 시간에 민감한 서비스라는 특성을 고려하면, IoT 게이트웨이에 연결된 블록체인 네트워크가 고장 나거나 불안정한 상태에서 통신 두절 또는 지연으로 외부 노드 간에 합의 알고리즘, 디지털 서명의 검증, 인증, 인가 등의 보안 기능이 원활하게 이루어지지 않는 경우 디지털 도어록의 작동 불능 또는 장시간 지연 등의 장애 상황이 발생할 수 있으므로 상용화 및 확산에 심각한 걸림돌이 될 수 있다.On the other hand, the block chain technology applied to the conventional block chain-based identity-based security (IBC) system is a conventional block chain (PB, Physical Blockchain) technology in which a number of physical entities participate as nodes and are connected by a physical network such as the Internet. For example, in the case of an individual access control system such as a detached house or warehouse, if the number of nodes connected to the blockchain network is only one IoT gateway and one or several digital door locks, the anti-hacking effect of the blockchain is difficult to expect. Moreover, considering the characteristics of the access control system as a service that operates in real time or is sensitive to delay time, when the blockchain network connected to the IoT gateway fails or is unstable and communication is interrupted or delayed, if security functions such as consensus algorithm, verification, authentication, and authorization of digital signatures are not performed smoothly, failure situations such as inoperability of digital door locks or long delays may occur, which can be a serious obstacle to commercialization and spread.
상기한 종래의 문제점을 해결하기 위하여 안출된 본 발명은, IoT 기기 및 게이트웨이 내부에 다수의 가상 개체를 형성하여 가상 노드로 하고 이들 가상 노드들 간에 블록체인 망을 구성함으로써 형성되는 가상 블록체인(VB)에 기반한 신원 기반 보안 기법(IBC)을 이용하여, 중앙집중식 제3의 인증기관(CA) 또는 중앙집중식 개인키 생성기(PKG) 개입 없이 IoT 기기와 IoT 게이트웨이 당사자 간에 인증/인가를 통한 접근제어 및 통신 보안을 구현함으로써 연산 능력이 부족한 IoT 기기의 통신 보안을 구축하고, IoT 기기 및 게이트웨이와 데이터를 해킹 위협으로부터 보호할 수 있어 정보 보안을 극대화할 수 있는, 가상 블록체인(VB)에 기반한 신원 기반 보안 기법(IBC)을 이용한 IoT 기기용 게이트웨이의 보안 구축 시스템 및 방법을 제공하는 데에 목적이 있다.The present invention, which has been devised to solve the above conventional problems, uses an identity-based security technique (IBC) based on a virtual blockchain (VB) formed by forming a plurality of virtual entities inside IoT devices and gateways to form virtual nodes and configuring a blockchain network between these virtual nodes to implement access control and communication security through authentication / authorization between IoT devices and IoT gateway parties without the intervention of a centralized third-party certificate authority (CA) or a centralized private key generator (PKG). The purpose is to provide a security construction system and method for a gateway for an IoT device using an identity-based security technique (IBC) based on a virtual block chain (VB) that can establish communication security and maximize information security by protecting IoT devices, gateways, and data from hacking threats.
본 발명의 해결 과제는 이상에서 언급한 것들에 한정되지 않으며, 언급되지 아니한 다른 해결 과제들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.Solving problems of the present invention are not limited to those mentioned above, and other solving problems not mentioned will be clearly understood by those skilled in the art from the following description.
본 발명에 따른 가상 블록체인 기반의 신원 기반 보안 기법을 이용한 게이트웨이의 보안 구축 시스템은, 가상 블록체인 기반의 신원 기반 보안 기법을 이용하는 게이트웨이의 보안 구축 시스템에 있어서, 유무선 통신 모듈; 상기 게이트웨이에 식별자(ID), 개인키 정보를 포함하는 속성 정보를 가진 적어도 하나 이상의 가상 노드를 형성하고, 미리 정해진 합의 알고리즘에 따라 상기 가상 노드 간에 합의가 이루어진 트랜잭션 데이터 블록을 상기 가상 노드에 분산 원장으로 저장 관리하도록 이루어지는 가상 블록체인 구성부; 상기 가상 노드와 이웃하는 가상 노드들 간에 네트워크로 연결되는 가상 블록체인 망: 및 상기 신원 기반 보안 기법을 이용하는 디지털 전자 기기와 인증과 인가를 통한 접근 제어를 포함하는 보안 기능을 수행하는 보안 모듈을 포함한다.A system for establishing security of a gateway using an identity-based security method based on a virtual block chain according to the present invention comprises: a wired/wireless communication module; A virtual block chain configuration unit configured to form at least one virtual node having attribute information including an identifier (ID) and private key information in the gateway, and to store and manage a transaction data block for which an agreement between the virtual nodes has been reached according to a predetermined consensus algorithm in the virtual node as a distributed ledger; A virtual blockchain network connected between the virtual node and neighboring virtual nodes through a network: and a digital electronic device using the identity-based security scheme, and a security module that performs security functions including access control through authentication and authorization.
또한, 본 발명에 따른 가상 블록체인 기반의 신원 기반 보안 기법을 이용한 게이트웨이의 보안 구축 방법은, 가상 블록체인 기반의 신원 기반 보안 기법을 이용하는 게이트웨이의 보안 구축 방법에 있어서, 개인키 생성기(PKG)가 시스템 파라미터(SysParam)와 마스터 공개키(MPK)를 결합하여 이루어진 공개 파라미터(PubParam)를 생성하고, 상기 신원 기반 보안 기법을 이용하는 디지털 전자 기기에 상기 공개 파라미터(PubParam)를 배포하는 단계; 상기 디지털 전자 기기는 문자열(string) 형식의 디지털 전자 기기 식별자(ID)를 ID 등록 서버(IPS)에 등록하는 단계; 상기 가상 블록체인이 구현된 디지털 전자 기기는 상기 공개 파라미터, 및 디지털 전자 기기 식별자를 포함하는 트랜잭션 데이터 블록을 구성하고, 가상 블록체인 노드에 배포하여 정해진 합의 알고리즘에 따라 트랜잭션 데이터 블록의 합의 여부를 판단하는 단계; 및 합의가 이루어진 상기 트랜잭션 데이터 블록을 상기 가상 블록체인이 구현된 디지털 전자 기기에 배포하여 분산원장으로 저장하는 단계를 포함한다. In addition, in the security establishment method of a gateway using an identity-based security scheme based on a virtual blockchain according to the present invention, a private key generator (PKG) generates a public parameter (PubParam) formed by combining a system parameter (SysParam) and a master public key (MPK), and distributes the public parameter (PubParam) to a digital electronic device using the identity-based security scheme; registering, by the digital electronic device, a digital electronic device identifier (ID) in the form of a string in an ID registration server (IPS); The digital electronic device implemented with the virtual blockchain constitutes a transaction data block including the public parameter and the digital electronic device identifier, distributes it to virtual blockchain nodes, and determines whether the transaction data block is agreed according to a predetermined consensus algorithm; and distributing the transaction data block for which an agreement has been made to a digital electronic device implemented with the virtual block chain and storing it in a distributed ledger.
본 발명에 따른 가상 블록체인에 기반한 신원 기반 보안 기법을 이용한 IoT 기기용 게이트웨이의 보안 구축 방법은 다음과 같은 효과를 제공한다.The security construction method of a gateway for an IoT device using an identity-based security technique based on a virtual block chain according to the present invention provides the following effects.
첫째, 중앙집중식의 제3의 인증기관(CA)이 발행하는 인증서가 불필요한 본 발명은 신원 기반 보안 기법(IBC)을 가상 블록체인 기반으로 구현함으로써 게이트웨이와 IoT 기기 당사자 간에 신속하고 안전한 인증 및 인가를 통한 접근제어가 가능하므로 P2P 분산화가 구현된다. 특히 개인키 생성기(PKG)에 대하여 사용자 중심으로 분산된 권한이 부여되는 경우 상기 권한을 부여받은 사용자(또는 관리자)가 소유(또는 관리)하는 게이트웨이와 IoT 기기를 포함하는 디바이스(예, 디지털 도어록, IoT 센서, 사용자 스마트폰 등) 개인키(PRK)를 제3의 인증기관(CA)에 의존하지 않고 사용자 스스로 생성하여 비공개로 안전하게 저장 관리함으로써 기존의 인증기관(CA) 기반 PKI의 단일실패점(Single Point of Failure)과 유사한 문제를 해결할 수 있다.First, the present invention, which does not require a certificate issued by a centralized third-party certificate authority (CA), implements an identity-based security technique (IBC) based on a virtual blockchain, enabling fast and safe authentication and authorization between gateways and IoT device parties. Therefore, P2P decentralization is implemented. In particular, when user-centered distributed authority is granted to the private key generator (PKG), a device (e.g., digital door lock, IoT sensor, user smartphone, etc.) including a gateway and IoT devices owned (or managed) by the authorized user (or manager) private key (PRK) is generated by the user himself without relying on a third-party certificate authority (CA), and privately and safely stored and managed, thereby solving problems similar to the single point of failure of existing CA-based PKI.
둘째, 본 발명은 인터넷과 같은 외부의 물리적 통신망에 연결되는 통상의 블록체인과 달리 게이트웨이 내부에 구현되는 가상 블록체인 망에 연결된 신뢰할 수 있는 가상 노드 간에 처리 속도가 빠른 합의 알고리즘(예, PBFT, PoA, 정책 기반 알고리즘 등)을 적용하는 경우 신속하게 트랜잭션의 승인 여부를 결정하므로 인터넷과 같은 물리적 통신망의 고장 또는 장애로 인한 작동 불능 또는 장시간 지연 등의 문제가 발생하지 않고 IoT 기기(예, 디지털 도어록)와 게이트웨이가 연결된 출입관리시스템과 같은 실시간 응용시스템 또는 시간 지연에 민감한 보안 시스템에 블록체인 기술을 실효적으로 적용 가능하다.Second, unlike a normal blockchain connected to an external physical communication network such as the Internet, the present invention quickly determines whether to approve a transaction when a fast-processing consensus algorithm (e.g., PBFT, PoA, policy-based algorithm, etc.) is applied between trusted virtual nodes connected to a virtual blockchain network implemented inside a gateway, so that problems such as inoperability or long delay due to failure or failure of a physical communication network such as the Internet do not occur, and real-time application systems such as IoT devices (e.g., digital door locks) and gateway-connected access control systems or time delays Blockchain technology can be effectively applied to security systems that are sensitive to
셋째, 본 발명은 게이트웨이와 IoT 기기에 기상 블록체인 기반의 신원 기반 보안(IBC) 기법을 함께 적용함으로써, 연산처리 속도가 낮은 저사양, 소형, 저전력, 저가의 IoT 기기에 비인가자의 접근을 게이트웨이와 연계하여 신속하고 효율적으로 사전에 차단하고 해킹을 방지하는 등 통상의 블록체인 수준의 강화된 보안성을 상대적으로 취약한 IoT 기기에 적용할 수 있다.Third, the present invention applies the weather blockchain-based identity-based security (IBC) technique to both the gateway and the IoT device, so that access by unauthorized persons to low-spec, small, low-power, and low-cost IoT devices with low processing speed can be quickly and efficiently blocked in advance in conjunction with the gateway and prevent hacking.
넷째, 본 발명은 통상의 블록체인 기술과 달리 가상 블록체인 기술을 활용하여 외부에 노드로 연결되는 물리적인 개체가 전혀 없이 독립된 게이트웨이 단독으로 운영되는 경우에도 내부에 구현된 다수의 가상 노드에 통상의 블록체인 수준의 비인가자 접근을 방지할 수 있는 보안성을 확보할 수 있으므로, 단독 가옥의 스마트홈 게이트웨이, 사무실, 창고 등의 출입관리시스템의 게이트웨이, 개인 단말기(스마트폰, 태블릿. 스마트위치, 노트북, PC 등)의 비인가자 접근제어 게이트웨이, 처리 시간 지연이 문제가 되는 자율주행자동차 등의 엣지(Edge) 게이트웨이, 데이터가 집중되는 클라우드의 게이트웨이, 통신이 열악한 전시 작전에 투입된 군 장비 등 통상의 블록체인 망 연결이 어려운 환경에서 독립적으로 운영되는 다양한 장비에 확대 적용할 수 있다. Fourth, unlike conventional block chain technology, the present invention utilizes virtual block chain technology to ensure security that can prevent unauthorized access to a number of virtual nodes implemented inside, even when an independent gateway is operated alone without any physical entity connected to the external node. Therefore, a smart home gateway for a single house, a gateway for an access control system such as an office or warehouse, an unauthorized access control gateway for personal terminals (smartphones, tablets, smart locations, laptops, PCs, etc.), processing time delay is a problem It can be expanded and applied to various equipment that operates independently in environments where it is difficult to connect to a normal blockchain network, such as edge gateways such as self-driving cars, cloud gateways where data is concentrated, and military equipment used in wartime operations with poor communication.
다섯째, 가상 블록체인이 내장형으로 구현된 IoT 게이트웨이가 실제 개체들이 연결되는 통상의 블록체인 네트워크(메인넷)의 노드로 연결되는 이중 블록체인 기반의 IoT 플랫폼을 구축하는 경우 통상의 블록체인 네트워크(메인넷)이 고장 나거나 불안정한 상황이 감지되면, 가상 블록체인 내장형 IoT 게이트웨이는 안전 모드(Safe Mode)로 전환하여 내부의 가상 블록체인 네트워크를 이용하여 신속하고 안전한 인증 인가 등의 보안 서비스를 통해 비인가자의 접근을 차단하고 해킹과 프라이버시 침해를 방지할 수 있다. Fifth, when building a dual blockchain-based IoT platform in which an IoT gateway with a built-in virtual blockchain is connected to a node of a normal blockchain network (mainnet) to which real entities are connected, when the normal blockchain network (mainnet) fails or an unstable situation is detected, the IoT gateway with built-in virtual blockchain switches to safe mode and uses the internal virtual blockchain network to block access by unauthorized persons and prevent hacking and privacy invasion through security services such as quick and safe authentication and authorization using the internal virtual blockchain network. .
본 발명의 효과는 이상에서 언급된 것들에 한정되지 않으며, 언급되지 아니한 다른 해결과제들은 아래의 기재로부터 당업자에게 명확하게 이해되어 질 수 있을 것이다.The effects of the present invention are not limited to those mentioned above, and other problems not mentioned will be clearly understood by those skilled in the art from the description below.
도 1은 본 발명의 일실시예에 따른 가상 블록체인에 기반한 IoT 기기용 게이트웨이의 보안 구축 시스템 개략도, 1 is a schematic diagram of a security establishment system of a gateway for IoT devices based on a virtual block chain according to an embodiment of the present invention;
도 2는 본 발명의 일실시예에 따른 가상 블록체인에 기반하여 도커 컨테이너 가상화 방식으로 구현되는 게이트웨이 구성도, 2 is a diagram of a gateway implemented in a Docker container virtualization method based on a virtual block chain according to an embodiment of the present invention;
도 3은 본 발명의 일실시예에 따른 가상 블록체인이 탑재된 게이트웨이가 통상의 블록체인 노드로 연결되는 이중 블록체인 플랫폼 구조도, 3 is a dual block chain platform structure in which a gateway equipped with a virtual block chain according to an embodiment of the present invention is connected to a normal block chain node;
도 4는 본 발명의 일실시예에 따른 가상 블록체인에 기반한 신원 기반 보안기법을 이용한 IoT 기기용 게이트웨이 보안 구축 흐름도,4 is a flowchart of establishing gateway security for IoT devices using an identity-based security technique based on a virtual block chain according to an embodiment of the present invention;
도 5는 본 발명의 일실시예에 따른 가상 블록체인에 기반한 신원 기반 보안 기법을 이용한 IoT 기기용 게이트웨이 보안 구축을 위한 마스터 키 생성 절차도,5 is a master key generation procedure for establishing gateway security for IoT devices using an identity-based security technique based on a virtual block chain according to an embodiment of the present invention;
도 6는 본 발명의 일실시예에 따른 가상 블록체인에 기반한 신원 기반 보안기법을 이용한 IoT 기기와 게이트웨이 간 접속요청 및 검증 절차도, 및6 is a diagram of a connection request and verification procedure between an IoT device and a gateway using an identity-based security technique based on a virtual block chain according to an embodiment of the present invention; and
도 7은 본 발명의 일실시예에 따른 게이트웨이에서의 IoT 기기의 접속요청 토큰 검증 절차도이다. 7 is a diagram illustrating a procedure for verifying an access request token of an IoT device in a gateway according to an embodiment of the present invention.
본 발명의 추가적인 목적들, 특징들 및 장점들은 다음의 상세한 설명 및 첨부도면으로부터 보다 명료하게 이해될 수 있다. Additional objects, features and advantages of the present invention may be more clearly understood from the following detailed description and accompanying drawings.
본 발명의 상세한 설명에 앞서, 본 발명은 다양한 변경을 도모할 수 있고, 여러 가지 실시 예를 가질 수 있는바, 아래에서 설명되고 도면에 도시된 예시들은 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.Prior to the detailed description of the present invention, the present invention may make various changes and may have various embodiments, and the examples described below and shown in the drawings are not intended to limit the present invention to specific embodiments, It should be understood to include all changes, equivalents or substitutes included in the spirit and technical scope of the present invention.
이하, 본 발명의 바람직한 실시 예에 따른 본 발명에 따른 가상 블록체인에 기반한 신원 기반 보안 기법을 이용한 IoT 기기용 게이트웨이의 보안 구축 방법 및 IoT 기기용 게이트웨이의 보안 구축 시스템에 대하여 첨부 도면을 참조하여 상세히 설명한다.Hereinafter, a security construction method of a gateway for an IoT device using an identity-based security technique based on a virtual block chain according to a preferred embodiment of the present invention and a security construction system for a gateway for an IoT device will be described in detail with reference to the accompanying drawings.
이하에서는 IoT 기기는 디지털 도어록에 적용하고 개인 영역 통신망(PAN)은 BLE(Bluetooth Low Energy)에 적용하여 설명하기로 한다.Hereinafter, the IoT device will be applied to a digital door lock and the personal area communication network (PAN) will be applied to BLE (Bluetooth Low Energy).
도 1은 본 발명의 일실시예에 따른 가상 블록체인에 기반한 IoT 기기용 게이트웨이의 보안 구축 시스템 개략도이다. 1 is a schematic diagram of a security establishment system of a gateway for an IoT device based on a virtual block chain according to an embodiment of the present invention.
도 1에 나타낸 바와 같이, 본 발명에 따른 가상 블록체인에 기반한 신원 기반 보안 기법을 이용한 게이트웨이(100)의 보안 구축 시스템은, 크게 통신모듈(110); 가상 블록체인 구성부(120); 가상 블록체인 망(130); 보안 모듈(140); 및 데이터 저장부(150)를 포함한다.As shown in FIG. 1, the system for establishing security of a gateway 100 using an identity-based security technique based on a virtual block chain according to the present invention largely includes a communication module 110; Virtual block chain configuration unit 120; virtual blockchain network 130; security module 140; and a data storage unit 150 .
통신모듈(110)은 게이트웨이(100)에 구비되고 IoT 기기(200)와 유무선 통신한다. 한편, 본 발명의 일실시예에 따른 통신 모듈은, BLE, Z-Wave, Zigbee를 포함하는 개인 영역 통신망(PAN) 통신 프로토콜 중 한 가지 이상을 지원할 수 있다. 또한, 본 발명의 다른 실시예에 따른 통신 모듈은, LoRa, Sigfox, NB-IoT를 포함하는 저전력 광역 통신망(LPWAN) 통신 프로토콜 중 한 가지 이상을 포함할 수 있다. 또한, 본 발명의 또 다른 실시예에 따른 통신 모듈은, WiFi, Ethernet를 포함하는 근거리 통신망(LAN) 통신 프로토콜 중 한 가지 이상을 포함할 수 있다. 또한, 본 발명의 또 다른 실시예에 따른 상기 통신 모듈은, RS-232, RS-485를 포함하는 직렬 통신 프로토콜 중 한 가지 이상을 포함할 수 있다.The communication module 110 is provided in the gateway 100 and communicates with the IoT device 200 wired or wirelessly. Meanwhile, the communication module according to an embodiment of the present invention may support one or more of personal area network (PAN) communication protocols including BLE, Z-Wave, and Zigbee. In addition, the communication module according to another embodiment of the present invention may include one or more of Low Power Wide Area Network (LPWAN) communication protocols including LoRa, Sigfox, and NB-IoT. In addition, the communication module according to another embodiment of the present invention may include one or more of local area network (LAN) communication protocols including WiFi and Ethernet. Also, the communication module according to another embodiment of the present invention may include one or more of serial communication protocols including RS-232 and RS-485.
가상 블록체인 구성부(120)는 IoT 기기(200)에 대한 가상 노드(소프트웨어 가상 노드)를 게이트웨이(100)에 형성시키며, 상기 가상 노드 간을 P2P 네트워크로 연결하여 가상 블록체인 망(130)을 형성시켜 게이트웨이 식별자(ID_Gateway), 게이트웨이 속성정보(Attributes_Gateway), IoT 기기 식별자(ID_Device), IoT 기기 속성정보(Attributes_Device), 공개 파라미터(PubParam), IoT 기기(200)로부터의 데이터, 이벤트 정보, 사용자(접속자) 정보 중 적어도 어느 하나가 암호화되어 가상 블록체인 망의 가상 노드에 분산 원장(가상 블록체인)으로 저장 관리한다. The virtual block chain configuration unit 120 forms a virtual node (software virtual node) for the IoT device 200 in the gateway 100, connects the virtual nodes through a P2P network to form a virtual block chain network 130, and forms a gateway identifier (ID_Gateway), gateway attribute information (Attributes_Gateway), IoT device identifier (ID_Device), IoT device attribute information (Attributes_Device), public parameters (PubParam), IoT device 200 At least one of data, event information, and user (accessor) information from ) is encrypted and stored and managed as a distributed ledger (virtual blockchain) in a virtual node of a virtual blockchain network.
한편, 가상 블록체인 구성부(120)는 공통적으로 필요한 소정의 요구 조건을 만족하도록 가상 노드를 형성하고 블록체인 망으로 연결한다. 여기서, 소정의 요구 조건이라 함은 ID 기반 보안(IBC) 기법 관련 기능 수행, 합의 알고리즘 수행, 분산원장으로 블록체인 저장 등일 수 있다.On the other hand, the virtual block chain configuration unit 120 forms virtual nodes to satisfy predetermined requirements in common and connects them to a block chain network. Here, the predetermined requirements may include performing functions related to ID-based security (IBC) techniques, performing consensus algorithms, and storing blockchains in a distributed ledger.
그리고 가상 블록체인 구성부(120)는, 미리 설정된 숫자(개수)의 가상 노드를 형성하고 필요 시 신규로 가상 노드를 생성하여 추가하거나 비활성화 상태의 가상 노드를 활성화시켜 가상 노드를 추가할 수 있다.Further, the virtual block chain configuration unit 120 may form a preset number (number) of virtual nodes and, if necessary, create and add a new virtual node or activate a deactivated virtual node to add a virtual node.
예시적으로, 가상 블록체인 구성부(120)는 가상 블록체인을 형성함에 있어 가상머신(VM, Virtual Machine) 방식 또는 도커 컨테이너(Docker Container) 가상화 방식을 통해 가상 블록체인을 형성할 수 있으며, 바람직하게는 도커 컨테이너 가상화 방식이 적용되어 형성하는 것이 바람직하다.Illustratively, the virtual block chain configuration unit 120 may form a virtual block chain through a virtual machine (VM) method or a Docker container virtualization method in forming a virtual block chain. Preferably, it is formed by applying the Docker container virtualization method.
구체적으로, 가상 블록체인 구성부(120)는, 하이퍼바이저(Hypervisor)를 사용하는 일반적인 가상머신(VM) 방식으로 가상 블록체인을 구현할 수 있다. 이 가상머신 방식은 서버, PC와 데스크톱, 임베디드 시스템(예, 스마트폰, IoT 게이트웨이) 등에 사용되는 하이퍼바이저(가상화를 전담하는 소프트웨어)를 설치하고 그 위에 애플리케이션(Application) 구동 환경별로 게스트 운영체제(Operating System, OS)가 설치되어 가상화하는 방식으로 구현될 수 있다.Specifically, the virtual block chain configuration unit 120 may implement a virtual block chain in a general virtual machine (VM) method using a hypervisor. This virtual machine method can be implemented by installing a hypervisor (software dedicated to virtualization) used in servers, PCs, desktops, embedded systems (e.g., smartphones, IoT gateways), and on top of it, a guest operating system (OS) is installed and virtualized for each application driving environment.
또는, 가상 블록체인 구성부(120)는, 가상 블록체인은 서버, PC와 데스크톱, 임베디드 시스템(예, 스마트폰, IoT 게이트웨이) 등에서 동일 호스트 운영체제(OS) 상에 컨테이너를 관리하는 플랫폼(소프트웨어)인 도커(Docker)가 설치되고 그 위에 각각의 격리된 구조의 컨테이너가 응용 프로그램(예, 가상 블록체인을 지원하는 App 등)과 구동 환경(예, 호스트 운영제체(OS)와 커널을 공유하는 가상화된 운영체제(OS) 등)으로 구성되는 도커 컨테이너 가상화 방식으로 가상 블록체인을 구현할 수 있다. 이 도커 컨테이너 가상화 방식은 크기가 MB(메가 바이트) 단위로 작아질 수 있어 가상화되는 소프트웨어 노드(가상 노드)의 숫자(또는 개수)를, 하나의 프로세싱에 구현하는 가상머신(VM)에 비해 획기적으로 늘릴 수 있고 컨테이너에 부팅이 필요한 별도의 운영체제(OS)가 없어서 가볍고 빨라서 바람직하다.Or, in the virtual block chain configuration unit 120, the virtual block chain is a Docker container virtualization method in which Docker, a platform (software) for managing containers, is installed on the same host operating system (OS) in servers, PCs, desktops, embedded systems (eg, smartphones, IoT gateways), etc., and each isolated container is composed of an application program (eg, an App that supports a virtual block chain) and a running environment (eg, a virtualized operating system (OS) that shares a kernel with the host operating system (OS)). A virtual blockchain can be implemented. This Docker container virtualization method can be reduced in size by MB (megabytes), so the number (or number) of virtualized software nodes (virtual nodes) can be dramatically increased compared to virtual machines (VMs) implemented in one processing. It is preferable because it is light and fast because there is no separate operating system (OS) that requires booting in the container.
한편 가상 블록체인 구성부(120)는 상기 가상머신 방식 및 도커 컨테이너 가상화 방식 이외에도, 여하의 가상화 방식을 통한 가상 블록체인이 적용될 수 있음을 물론이다.Meanwhile, the virtual block chain configuration unit 120 can be applied to a virtual block chain through any virtualization method other than the virtual machine method and the Docker container virtualization method.
가상 블록체인 구성부(120)는 보안 모듈(140)로부터 제공받은 게이트웨이 ID(ID_G/W)와 공개 파라미터(PubParam)를 포함하여 가상 노드에 분산원장으로 저장하고 공유할 필요가 있는 트랜잭션 데이터를 블록으로 구성하고, 해당 게이트웨이(100) 내 가상 블록체인 망(130)에 연결된 가상 노드에 상기 블록을 배포하여 미리 정해진 합의 알고리즘에 따라 합의가 이루어진 경우, 해당 블록은 가상 블록체인 망(130)에 연결된 모든 가상 노드 간에 공유되도록 배포되고 블록체인 분산원장으로 저장 관리된다. 여기서, 본 발명에 따른 합의 알고리즘은 토큰 기반 합의 프로토콜, 경량 암호 합의 프로토콜, 가변 암호 합의 프로토콜, 정책 기반 합의 프로토콜 중 어느 하나 또는 이들의 결합을 이용하여 블록을 구성하는 트랜잭션의 유효성을 입증하는 프로토콜을 포함할 수 있다.The virtual block chain component 120 organizes transaction data that needs to be stored and shared in a distributed ledger in a virtual node, including the gateway ID (ID_G/W) and public parameter (PubParam) provided from the security module 140, into blocks, distributes the block to virtual nodes connected to the virtual block chain network 130 in the gateway 100, and when an agreement is reached according to a predetermined consensus algorithm, the block is shared among all virtual nodes connected to the virtual block chain network 130. It is distributed and stored and managed as a blockchain distributed ledger. Here, the consensus algorithm according to the present invention may include a protocol for proving the validity of a transaction constituting a block using any one of a token-based consensus protocol, a lightweight cryptographic consensus protocol, a variable cryptographic consensus protocol, and a policy-based consensus protocol, or a combination thereof.
가상 블록체인 망(130)은 가상 블록체인 구성부(120)를 통해 생성된 다수의 가상 노드 간에 P2P 네트워크로 연결되는 방식으로 이루어질 수 있다. 여기서, 가상 노드는 적어도 트랜잭션 데이터로 구성되는 블록에 대해 정해진 합의 알고리즘을 수행하는 응용 프로그램과 합의가 이루어진 블록을 분산원장으로 저장 관리하는 메모리에 의해 구현될 수 있다. 예컨대, 가상 블록체인 망(130)은 게이트웨이(100)에 미리 가상 노드 131, 132, 133(미리 설정된 수의 가상 노드)를 형성하고, 필요 시 가상 노드 134, 135(추가 형성된 가상 노드)가 추가되어 구성되며, 미리 설정된 가상 노드와 추가 노드를 가상 블록체인 망으로 연결하도록 이루어진다. The virtual blockchain network 130 may be formed in a manner in which a plurality of virtual nodes created through the virtual blockchain configuration unit 120 are connected through a P2P network. Here, the virtual node may be implemented by at least an application program that performs a predetermined consensus algorithm on a block composed of transaction data and a memory that stores and manages an agreed block as a distributed ledger. For example, the virtual blockchain network 130 is configured by forming virtual nodes 131, 132, and 133 (a preset number of virtual nodes) in advance in the gateway 100, and adding virtual nodes 134 and 135 (additionally formed virtual nodes) when necessary, and connecting the preset virtual nodes and additional nodes to the virtual blockchain network.
보안 모듈(140)은 블록체인 기반의 신원 기반 보안 기법(IBC)에 따른 보안 기능을 수행하기 위한 것으로, IoT 기기(200)와 게이트웨이(100) 간에 신원 기반 보안 기법으로 인증, 인가, 디지털 서명, 검증, 암호화, 복호화 등의 보안 기능을 수행한다. The security module 140 is to perform security functions according to the blockchain-based identity-based security technique (IBC), and performs security functions such as authentication, authorization, digital signature, verification, encryption, and decryption with an identity-based security technique between the IoT device 200 and the gateway 100.
보안 모듈(140)은 게이트웨이 개인키(PRK_G/W), 게이트웨이 ID(ID_G/W)와 공개 파라미터(PubParam)를 저장 관리하고, 게이트웨이 ID(ID_G/W)와 공개 파라미터(PubParam)를 정해진 절차에 따라 해당 게이트웨이(100) 내 가상 블록체인 망(130)에 연결된 모든 가상 노드에 블록체인 분산원장으로 저장 관리하고, 공유될 수 있도록 가상 블록체인 구성부(120)에 제공한다. The security module 140 stores and manages the gateway private key (PRK_G/W), gateway ID (ID_G/W), and public parameter (PubParam), stores and manages the gateway ID (ID_G/W) and public parameter (PubParam) as a blockchain distribution ledger in all virtual nodes connected to the virtual blockchain network 130 in the corresponding gateway 100 according to a predetermined procedure, and provides them to the virtual blockchain configuration unit 120 so that they can be shared.
또한, 보안 모듈(140)은 게이트웨이 ID(ID_G/W), 게이트웨이 개인키(PRK_G/W) 및 공개 파라미터(PubParam)을 이용하여 디지털 서명 및 검증, 데이터의 암호화 및 복호화, 디바이스 접근제어(Access Control) 등의 보안 서비스를 제공한다. In addition, the security module 140 provides security services such as digital signature and verification, data encryption and decryption, and device access control using gateway ID (ID_G/W), gateway private key (PRK_G/W) and public parameter (PubParam).
데이터 저장부(150)는 가상 블록체인의 분산원장에 저장할 필요가 없거나 저장이 어려운 데이터, 분산원장에 저장된 데이터 중 백업(backup)이 필요한 데이터 등을 저장 및 관리한다. The data storage unit 150 stores and manages data that does not need to be stored or is difficult to store in the distributed ledger of the virtual block chain and data that needs to be backed up among data stored in the distributed ledger.
한편, 게이트웨이는, 개인 영역 네트워크(PAN), 저전력 광역 네트워크(LPWAN), WiFi, 이더넷(Ethernet)을 포함하는 통신 프로토콜의 일부 또는 전부를 지원하는 인터페이스를 갖춘 스마트폰, 태블릿 컴퓨터, PC, 노트북 등을 포함하는 스마트 기기에 구현될 수 있다.Meanwhile, the gateway may be implemented in smart devices including smart phones, tablet computers, PCs, laptops, etc. having an interface supporting some or all of communication protocols including personal area network (PAN), low power wide area network (LPWAN), WiFi, and Ethernet.
도 2는 본 발명의 일실시예에 따른 가상 블록체인에 기반하여 도커 컨테이너 가상화 방식으로 구현되는 게이트웨이 구성도로서, 도커 컨테이너 가상화 방식으로 구현되는 게이트웨이(100)는 각각의 컨테이너에 포함된 App(A, B, C, D, E, F)을 통해 가상 블록체인 망(130)에 연결되는 가상 노드로서의 트랜잭션 데이터 블록에 대해 미리 정해진 합의 알고리즘을 실행하고, 합의된 블록을 분산원장으로 저장 및 관리할 수 있다. 2 is a block diagram of a gateway implemented in a Docker container virtualization method based on a virtual blockchain according to an embodiment of the present invention. The gateway 100 implemented in the Docker container virtualization method executes a predetermined consensus algorithm on a transaction data block as a virtual node connected to the virtual blockchain network 130 through App (A, B, C, D, E, F) included in each container, and stores and manages the agreed block as a distributed ledger.
도 3은 본 발명의 일실시예에 따른 가상 블록체인이 탑재된 게이트웨이가 통상의 블록체인 노드로 연결되는 이중 블록체인 플랫폼 구조도이다.Figure 3 is a dual block chain platform structure diagram in which a gateway equipped with a virtual block chain according to an embodiment of the present invention is connected to a normal block chain node.
본 발명의 일 실시예에 따르면, 스마트 홈 시스템이 구비된 개별 주택에서 디지털 도어록, 월패드, 가전제품 등의 IoT 기기가 개인 영역 네트워크(PAN: BLE, Z-Wave, Zigbee 등)를 통해 연결되고, 사용자 스마트폰 등이 LAN(예: WiFi 등)으로 연결되는 홈 게이트웨이에 가상 블록체인이 내장되어 구현되고, 가상 블록체인이 구현된 복수의 홈 게이트웨이가 통상의 블록체인 네트워크(메인넷)의 노드로 연결되는 아파트 단지의 경우 이중 블록체인 기반으로 이루어질 수 있다. According to an embodiment of the present invention, in an individual house equipped with a smart home system, IoT devices such as digital door locks, wall pads, and home appliances are connected through a personal area network (PAN: BLE, Z-Wave, Zigbee, etc.), and a user's smartphone, etc. are connected to a LAN (e.g., WiFi). In the case of an apartment complex in which a virtual block chain is embedded and implemented, and a plurality of home gateways implemented with the virtual block chain are connected to a node of a normal block chain network (mainnet), it can be based on a double block chain. .
가상 블록체인은 클라우드(Cloud)와 포그(Fog) 및 엣지(Edge), 서버, PC 및 데스크톱, 임베디드 디바이스(스마트폰, 태블릿 컴퓨터, IoT 게이트웨이 등) 내부에 가상머신(VM) 또는 도커 컨테이너 방식의 가상화 기술을 적용하여 복수의 가상 노드를 형성하고, 가상 노드 간에 P2P 네트워크로 연결되는 방식으로 이루어질 수 있다.A virtual blockchain can be formed by applying a virtual machine (VM) or Docker container-type virtualization technology inside a cloud, fog, edge, server, PC, desktop, or embedded device (smartphone, tablet computer, IoT gateway, etc.) to form multiple virtual nodes and connect the virtual nodes through a P2P network.
통상의 블록체인은 게이트웨이, PC, 스마트폰 등 거래에 참여하는 각각의 노드(통상 노드)가 인터넷(P2P 네트워크)으로 연결되는 방식으로 이루어져 상기 노드 간에 서로의 거래 내역을 확인하고 원장을 암호화하고 블록으로 만들어 체인화하여(블록체인화) 보관하는 방식으로 데이터의 해킹을 불가능하게 한다.A normal blockchain is made in such a way that each node (usual node) participating in a transaction, such as a gateway, PC, or smartphone, is connected to the Internet (P2P network), confirms each other's transaction details between the nodes, encrypts the ledger, and makes it into a block to chain (blockchainization) to make data hacking impossible.
이와 같은 통상의 블록체인은 다음과 같은 문제점이 있다.Such a normal block chain has the following problems.
첫째, 인터넷이 고장 나거나, 인터넷이 없는 외딴 지역 등에서는 사용할 수 없으며, 둘째, 거래 시에 많은 시간이 걸리거나 타인의 거래 내역을 모두 보관해야 하며, 셋째, 비록 암호화되어 있지만 개인 정보를 수많은 타인이 보관하고 볼 가능성 등의 한계가 있다.First, it cannot be used in remote areas where the Internet is broken or there is no Internet. Second, it takes a lot of time to make a transaction or you have to keep all the transaction details of others. Third, even though it is encrypted, there are limitations such as the possibility that numerous other people keep and view personal information.
이에 반하여, 본 발명에서는 가상 블록체인을 각각의 기기 내에 소프트웨어 방식(가능 노드)으로 구현하여 인터넷이 없거나 고장나더라도 블록체인의 보안 특성을 여전히 활용할 수 있으며, 게이트웨이에 접근하는 IoT 기기에 대한 인증/인가, 거래 시간, 메모리, 개인 정보 공유 등에 대한 문제도 해결할 수 있게 된다.In contrast, in the present invention, the virtual block chain is implemented in a software method (possible node) in each device, so that even if the Internet is not present or broken, the security characteristics of the block chain can still be utilized, and authentication/authorization of IoT devices accessing the gateway. It is also possible to solve problems such as transaction time, memory, personal information sharing, etc.
본 발명의 일실시예에 따르면, 보안 시스템의 초기 설정 단계에서 개인키 생성기(PKG)는 보안 시스템에 적용할 시스템 파라미터(SysParam)를 선택하여 설정하고, 무작위 비밀 파라미터(SecParam)를 기반으로 마스터 비밀키(MSK)를 생성하며, 미리 설정된 시스템 파라미터(SysParam)와 마스터 비밀키(MSK)를 이용하여 마스터 공개키(MPK)를 유도한다. 이어서 개인키 생성기(PKG)는 사전에 설정된 시스템 파라미터(SysParam) 및 마스터 공개키(MPK)가 구성 요소로 결합되어 이루어진 공개 파라미터(PubParam)와 마스터 비밀키(MSK) 및 사용자(게이트웨이 소유자 또는 관리자)에 의해 등록된 게이트웨이 ID(ID_G/W)를 이용하여 ID 기반의 게이트웨이 개인키(PRK_G/W)를 미리 정해진 개인키 생성 알고리즘에 따라 생성하고 게이트웨이에 제공하고, 게이트웨이는 개인키 생성기(PKG)로부터 제공받은 생성된 게이트웨이 개인키(PRK_G/W)를 게이트웨이 ID(ID_G/W) 및 공개 파라미터(PubParam)과 함께 보안 모듈(140)에 저장하여 보관한다. According to one embodiment of the present invention, in the initial setting stage of the security system, the private key generator (PKG) selects and sets the system parameter (SysParam) to be applied to the security system, generates the master secret key (MSK) based on the random secret parameter (SecParam), and derives the master public key (MPK) using the preset system parameter (SysParam) and the master secret key (MSK). Next, the private key generator (PKG) generates an ID-based gateway private key (PRK_G/W) according to a predetermined private key generation algorithm using a public parameter (PubParam) and a master secret key (MSK) formed by combining a preset system parameter (SysParam) and a master public key (MPK) as components, and a gateway ID (ID_G/W) registered by a user (gateway owner or manager) according to a predetermined private key generation algorithm and provides the gateway with the generated key. The gateway private key (PRK_G/W) is stored in the security module 140 together with the gateway ID (ID_G/W) and public parameter (PubParam).
도 4는 본 발명에 따른 가상 블록체인에 기반한 신원 기반 보안 기법을 이용한 IoT 기기용 게이트웨이의 보안 구축 흐름도로서, 보안 구축 방법은 다음과 같다. 4 is a flowchart of security construction of a gateway for IoT devices using an identity-based security technique based on a virtual block chain according to the present invention, and a security construction method is as follows.
개인키 생성기(PKG)는 보안 시스템 또는 기능들의 집합 또는 수학적 영역의 기법들의 집합으로부터 소정의 보안 시스템 또는 기능을 선택하는 것을 포함하여 보안 계산을 위해 적용할 시스템 파라미터(SysParam)를 설정한다(S410). 여기서, 본 발명의 일실시예에 따르면, 개인키 생성기(PKG)는 서버 내에 탑재될 수 있다. 또한, 본 발명의 다른 실시예에 따르면, 사용자(또는 관리자) 중심의 분산된 권한(Distributed Authority)이 부여된 경우, 개인키 생성기(PKG)는 관리자 단말기(예: 스마트폰, PC 등)에 탑재될 수 있다.The private key generator (PKG) sets a system parameter (SysParam) to be applied for security calculation, including selecting a predetermined security system or function from a set of security systems or functions or a set of techniques in the mathematical domain (S410). Here, according to one embodiment of the present invention, the private key generator (PKG) may be mounted in the server. In addition, according to another embodiment of the present invention, when user (or administrator)-centered distributed authority is granted, the private key generator (PKG) can be installed in an administrator terminal (eg, smartphone, PC, etc.).
개인키 생성기(PKG)는 소정의 마스터 비밀키 생성 알고리즘에 따라 마스터 비밀키(MSK)를 생성하며, 마스터 비밀키(MSK)와 시스템 파라미터(SysParam)를 이용하여 마스터 공개키(MPK)를 유도한다(S420).The private key generator (PKG) generates a master secret key (MSK) according to a predetermined master secret key generation algorithm, and derives a master public key (MPK) using the master secret key (MSK) and a system parameter (SysParam) (S420).
개인키 생성기(PKG)는 시스템 파라미터(SysParam)와 마스터 공개키(MPK)를 결합하여 이루어진 공개 파라미터(PubParam)를 생성하고, 본 발명에 따른 신원 기반 보안 기법(IBC)을 이용하는 디지털 전자 기기에 공개 파라미터(PubParam)를 배포한다(S430). 여기서, 디지털 전자 기기라 함은 신원 기반 보안(IBC) 서비스를 이용하는 클라우드(Cloud), 포그(Fog), 엣지(Edge), 서버, PC, 데스크톱, 임베디드 디바이스(스마트폰, 태블릿 컴퓨터 등), IoT 기기 그리고 게이트웨이를 포함하는 개념으로 이해되어야 한다. 또한 개인키 생성기(PKG)는 상기 공개 파라메터를 제공하기 위해 구비된 서버에서 보안이 구비된 통신망을 통해 안전하게 다운 받을 수 있도록 저장하고 공지하는 방식으로 배포할 수 있다.The private key generator (PKG) generates a public parameter (PubParam) formed by combining the system parameter (SysParam) and the master public key (MPK), and distributes the public parameter (PubParam) to digital electronic devices using the identity-based security scheme (IBC) according to the present invention (S430). Here, the digital electronic device should be understood as a concept including cloud, fog, edge, server, PC, desktop, embedded device (smartphone, tablet computer, etc.), IoT device, and gateway using identity-based security (IBC) service. In addition, the private key generator (PKG) can be distributed by storing and notifying so that the public parameters can be safely downloaded from a server equipped to provide the public parameters through a secure communication network.
디지털 전자 기기는 자신을 고유하게 식별할 수 있는 문자열(string) 형식의 식별자(ID)를 ID 등록 서버(IPS)에 등록한다(S440). 여기서 ID 등록 서버(IPS)는 상기 개인키 생성기(PKG)에 통합되는 방식으로 구현될 수 있다.The digital electronic device registers an identifier (ID) in the form of a string that can uniquely identify itself with the ID registration server (IPS) (S440). Here, the ID registration server (IPS) may be implemented in a manner integrated with the private key generator (PKG).
개인키 생성기(PKG)는 소정의 개인키 생성 알고리즘에 따라 해당 디지털 전자 기기에 대하여 ID 기반의 개인키(PRK)를 생성하여 제공하고, 해당 디지털 전자 기기의 보안 모듈(140)은 ID 기반의 개인키(PRK)를 저장한다(S450). 여기서, 소정의 개인키 생성 알고리즘은, 마스터 비밀키(MSK), 디지털 전자 기기 식별자(ID) 그리고 공개 파라미터(PubParam)를 이용하여 정해진다. The private key generator (PKG) generates and provides an ID-based private key (PRK) for the corresponding digital electronic device according to a predetermined private key generation algorithm, and the security module 140 of the digital electronic device stores the ID-based private key (PRK) (S450). Here, a predetermined private key generation algorithm is determined using a master secret key (MSK), a digital electronic device identifier (ID), and a public parameter (PubParam).
디지털 전자 기기 간에 해당 디지털 전자 기기의 식별자(ID), 공개 파라미터(PubParam) 및 ID 기반의 디지털 전자 기기 개인키(PRK)를 이용하여 상호 간에 접속 요청 및 검증을 통해 상호 연결되는 접근 제어(Access Control)를 수행한다. 예컨대, IoT 기기(200)는 게이트웨이(100)에 접속 요청 메시지(Access Request Message)를 전송하여 접속을 요청하고, 게이트웨이(100)는 검증을 수행한다(S460). Access control is performed between digital electronic devices by requesting and verifying access to each other using the identifier (ID), public parameter (PubParam), and ID-based digital electronic device private key (PRK) of the digital electronic device. For example, the IoT device 200 requests access by sending an access request message to the gateway 100, and the gateway 100 performs verification (S460).
가상 블록체인이 구현된 디지털 전자 기기는 트랜잭션 데이터 블록을 구성하고, 가상 블록체인 노드에 배포하여 정해진 합의 알고리즘을 통해 트랜잭션 데이터 블록의 합의 여부를 판단한다(S470). 여기서, 트랜잭션 데이터 블록은 디지털 전자 기기 식별자(ID), 공개 파라미터(PubParam), 해당 공개 파라미터의 배포와 저장 등의 이벤트 관련 정보, 및 IoT 기기와 게이트웨이 간 접근 제어를 포함하는 이벤트 관련 정보 중 적어도 하나를 포함한다.The digital electronic device in which the virtual blockchain is implemented configures the transaction data block and distributes it to the virtual blockchain node to determine whether the transaction data block is agreed upon through a predetermined consensus algorithm (S470). Here, the transaction data block includes at least one of a digital electronic device identifier (ID), a public parameter (PubParam), event-related information such as distribution and storage of the corresponding public parameter, and event-related information including access control between an IoT device and a gateway.
트랜잭션 데이터 블록에 대하여 합의가 이루어지면, 가상블록체인 망에 가상 노드의 분산 원장에 합의가 이루어진 트랜잭션 데이터 블록을 저장하여 공유한다(S480).When an agreement is reached on the transaction data block, the transaction data block with the agreement is stored and shared in the distributed ledger of the virtual node in the virtual blockchain network (S480).
한편, 본 발명의 일실시예에 따르면, 디지털 전자 기기가 IoT 기기일 때, 피접속 디지털 전자 기기는 게이트웨이일 수 있다. 또한, 본 발명의 다른 실시예에 따르면, 디지털 전자 기기가 게이트웨이일 때, 피접속 디지털 전자 기기는 IoT 기기일 수 있다. 또한, 본 발명의 또 다른 실시예에 따르면, 디지털 전자 기기가 IoT 기기일 때, 피접속 디지털 전자 기기는 IoT 기기일 수 있다.Meanwhile, according to an embodiment of the present invention, when the digital electronic device is an IoT device, the connected digital electronic device may be a gateway. Also, according to another embodiment of the present invention, when the digital electronic device is a gateway, the connected digital electronic device may be an IoT device. Also, according to another embodiment of the present invention, when the digital electronic device is an IoT device, the connected digital electronic device may be an IoT device.
여기서, 개인키 생성기(PKG)가 공개 파라미터 및 개인키를 제공하는 대상은 가상 블록체인의 구현 여부와 무관하게 신원 기반 보안 기법(IBC)을 이용하는 모든 디지털 전자 기기이고, 트랜잭션 데이터 블록이 가상 노드에 배포되는 대상은 가상 블록체인이 구현된 디지털 전자 기기이다.Here, the target to which the private key generator (PKG) provides the public parameters and private key is any digital electronic device using an identity-based security technique (IBC) regardless of whether a virtual block chain is implemented, and the target to which the transaction data block is distributed to the virtual node is a digital electronic device implemented with a virtual block chain.
도 5는 본 발명의 일실시예에 따른 가상 블록체인에 기반한 신원 기반 보안 기법을 이용한 IoT 기기용 게이트웨이 보안 구축을 위한 마스터 키 생성 절차도로서, 마스터 키 생성 단계(S420)는 다음과 같다.5 is a master key generation procedure diagram for building gateway security for IoT devices using an identity-based security technique based on a virtual block chain according to an embodiment of the present invention, in which the master key generation step (S420) is as follows.
개인키 생성기(PKG)는 무작위 난수(Random Number)를 생성하여 비밀 파라미터(SecParam)로 설정한다(S421).The private key generator (PKG) generates a random random number and sets it as a secret parameter (SecParam) (S421).
개인키 생성기(PKG)는 비밀 파라미터(SecParam)를 기반으로 정해진 알고리즘에 따라 마스터 비밀키(MSK)를 생성한다(S422).The private key generator (PKG) generates a master secret key (MSK) according to a predetermined algorithm based on the secret parameter (SecParam) (S422).
개인키 생성기(PKG)는 마스터 비밀키(MSK)와 소정의 시스템 파라미터(SysParam)를 이용하여 마스터 공개키(MPK)를 유도한다(S423).The private key generator (PKG) derives the master public key (MPK) using the master private key (MSK) and a predetermined system parameter (SysParam) (S423).
개인키 생성기(PKG)는 시스템 파라미터(SysParam)와 마스터 공개키(MPK)가 결합되어 구성되는 공개 파라미터(PubParam)와 마스터 비밀키(MSK)를 보안 모듈(140, SecM)에 저장한다(S424). The private key generator (PKG) stores the public parameter (PubParam) and the master secret key (MSK) formed by combining the system parameter (SysParam) and the master public key (MPK) in the security module (140, SecM) (S424).
도 6은 본 발명의 일실시예에 따른 가상 블록체인에 기반한 신원 기반 보안기법을 이용한 IoT 기기와 게이트웨이 간 접속 요청 및 검증 절차도로서, 본 발명의 일실시예에 따른 디바이스 접근제어 단계(460)는 다음과 같다. 6 is a diagram of a connection request and verification procedure between an IoT device and a gateway using an identity-based security technique based on a virtual block chain according to an embodiment of the present invention, and a device access control step 460 according to an embodiment of the present invention. Step 460 is as follows.
IoT 기기(200)가 게이트웨이(100)에 접속하고자 접속 요청 메시지(Access Request Message)를 구성하기 위한 무작위 비밀수 1(RS1, Random Secret Number 1)을 생성한다(S461).The IoT device 200 generates a random secret number 1 (RS1) for composing an access request message to access the gateway 100 (S461).
IoT 기기(200)가 자신의 IoT 기기 개인키(PRK_IoT)로 무작위 비밀수 1(RS1)에 대해 서명한다(S462).The IoT device 200 signs the random secret number 1 (RS1) with its IoT device private key (PRK_IoT) (S462).
IoT 기기(200)가 무작위 비밀수 1(RS1), IoT 기기 식별자(ID_IoT), 및 IoT 기기 서명(IoT Sign.)으로 접속 요청 메시지(Access Request Message)를 구성하고, 게이트웨이 식별자(ID_G/W)와 사전에 공유된 공개 파라미터(PubParam)을 이용하여 미리 정해진 알고리즘에 따라 접속 요청 메시지(Access Request Message)를 암호화하고(S463), 암호화된 접속 요청 메시지(Encrypted Access Request Message)를 게이트웨이(100)로 전송한다(S464).The IoT device 200 constructs an access request message with random secret number 1 (RS1), IoT device identifier (ID_IoT), and IoT device signature (IoT Sign.), encrypts the access request message according to a predetermined algorithm using the gateway identifier (ID_G/W) and a pre-shared public parameter (PubParam) (S463), and transmits the encrypted access request message to the gateway 100 (S463). 464).
암호화된 접속 요청 메시지(Encrypted Access Request Message)를 수신하면, 게이트웨이(100)는 암호화된 접속 요청 메시지(Encrypted Access Request Message)를 복호화하여 검증한다(S465). 구체적으로, 게이트웨이(100)는 자신의 개인키(PRK_G/W)를 이용하여 암호화된 접속 요청 메시지(Encrypted Access Request Message)를 복호화하고, 복호화된 접속 요청 메시지(Decrypted Access Request Message)를 구성하는 IoT 기기 식별자(ID_IoT)를 이용하여 IoT 기기 서명(IoT Sign.)을 복호화한 결과값(Decrypted Result)과 무작위 비밀수 1(RS1)을 비교한다. 복호화한 결과값(Decrypted Result)과 무작위 비밀수 1(RS1)이 일치하면 IoT 기기(200)를 인증하고, 복호화한 결과값(Decrypted Result)과 무작위 비밀수 1(RS1)이 불일치하면 인증을 거부한다. Upon receiving the encrypted access request message, the gateway 100 decrypts and verifies the encrypted access request message (S465). Specifically, the gateway 100 decrypts the encrypted access request message using its private key (PRK_G/W), and compares the decrypted result of the IoT device signature (IoT Sign.) with the random secret number 1 (RS1) using the IoT device identifier (ID_IoT) constituting the decrypted access request message. If the decrypted result value (Decrypted Result) and the random secret number 1 (RS1) match, the IoT device 200 is authenticated, and if the decrypted result value (Decrypted Result) and the random secret number 1 (RS1) do not match, authentication is rejected.
IoT 기기로부터의 접속 요청이 검증을 통과하면, 게이트웨이(100)는 별도의 무작위 비밀수 2(RS2)를 생성하고(S466), 자신의 개인키(PRK_G/W)로 무작위 비밀수 2(RS2)에 대해 서명한다(S467).If the connection request from the IoT device passes verification, the gateway 100 generates a separate random secret number 2 (RS2) (S466) and signs the random secret number 2 (RS2) with its own private key (PRK_G/W) (S467).
이후, 게이트웨이(100)는 무작위 비밀수 2(RS2), 게이트웨이 식별자(ID_G/W), 및 게이트웨이 서명(G/W Sign.)으로 검증 결과 메시지(Verification Result Message)를 구성하고, IoT 기기 식별자(ID_IoT)와 사전에 공유된 공개 파라미터(PubParam)을 이용하여 정해진 알고리즘에 따라 검증 결과 메시지(Verification Result Message)를 암호화한다(S468).Thereafter, the gateway 100 constructs a verification result message with the random secret number 2 (RS2), the gateway identifier (ID_G/W), and the gateway signature (G/W Sign.), and encrypts the verification result message (Verification Result Message) according to a predetermined algorithm using the IoT device identifier (ID_IoT) and the public parameter (PubParam) shared in advance (S468).
게이트웨이(100)는 암호화된 검증 결과 메시지(Encrypted Verification Result Message)를 IoT 기기(200)로 전송한다(S469).The gateway 100 transmits an encrypted verification result message to the IoT device 200 (S469).
만일 IoT 기기로부터의 접속 요청이 검증을 통과하지 못한 경우, 게이트웨이(100)가 검증 실패를 통보하는 검증 결과 메시지(Verification Result Message)를 구성하고(S468), IoT 기기 식별자(ID_IoT)와 사전에 공유된 공개 파라미터(PubParam)을 이용하여 정해진 알고리즘에 따라 검증 결과 메시지(Verification Result Message)를 암호화하고, 암호화된 검증 결과 메시지(Encrypted Verification Result Message)를 IoT 기기(200)로 전송한다(S469).If the connection request from the IoT device does not pass verification, the gateway 100 constructs a Verification Result Message notifying verification failure (S468), encrypts the Verification Result Message according to a predetermined algorithm using the IoT device identifier (ID_IoT) and a pre-shared public parameter (PubParam), and transmits the encrypted verification result message to the IoT device 200 (S469 ).
이후, IoT 기기(200)는 상기와 동일한 절차에 따라 게이트웨이(100)의 디지털 서명을 검증함으로써, 게이트웨이와 IoT 기기 당사자 간에 쌍방 인증이 이루어질 수 있다. Thereafter, the IoT device 200 verifies the digital signature of the gateway 100 according to the same procedure as above, so that both parties can be authenticated between the gateway and the IoT device.
도 7은 본 발명의 일실시예에 따른 IoT 기기의 시변적 파라메터(TVP)를 포함하는 접속 요청 토큰 전송 및 게이트웨이에서의 IoT 기기의 접속요청 토큰을 검증하기 위한 절차도로서, 게이트웨이가 수신한 IoT 기기의 접속요청 토큰을 검증하는 프로토콜을 단계별로 기술한다. 여기서, 접속요청 토큰은 신원 기반 보안 기법을 이용하여 IoT 기기가 게이트웨이에 접속하고 이후에 주고 받는 메시지의 암호화, 복호화 및 인증을 위한 비밀키(SecKey)를 생성하기 위한 무작위 비밀수를 공유하기 위해 전송할 때에 사용된다.7 is a procedure diagram for transmitting an access request token including a time-varying parameter (TVP) of an IoT device and verifying the access request token of an IoT device at a gateway according to an embodiment of the present invention. The protocol for verifying the access request token of the IoT device received by the gateway is described step by step. Here, the access request token is used when the IoT device accesses the gateway using an identity-based security technique and transmits to share a random secret number for generating a secret key (SecKey) for encryption, decryption, and authentication of messages exchanged thereafter.
IoT 기기(200)는 필요한 길이의 무작위 비밀수(RS)를 생성한다(S501). The IoT device 200 generates a random secret number (RS) of a required length (S501).
IoT 기기(200)는 IoT 기기 개인키(PRK_IoT)를 이용하여 사전에 정해진 신원 기반 서명(IBS, Identity Based Signature) 알고리즘에 따라 상기 무작위 비밀수(RS)에 서명하여 IoT 기기 서명을 생성한다(S502).The IoT device 200 generates an IoT device signature by signing the random secret number (RS) according to a predetermined Identity Based Signature (IBS) algorithm using the IoT device private key (PRK_IoT) (S502).
IoT 기기(200)는 무작위 비밀수(RS), IoT 기기 서명, IoT 기기 식별자(ID_IoT), 시변적 파라미터(TVP, Time Variant Parameter)(예를 들면, 타임 스탬프(Time Stamp) 또는 순차 번호 등), 및 소정의 문자열 정보2(Text2)가 결합된 송신용 토큰(KTA, Knowledge To Action)을 생성한다(S503). 여기서, 접속요청 토큰(KTA)은 무작위 비밀수(RS), IoT 기기 서명, IoT 기기 식별자(ID_IoT), 시변적 파라미터(TVP), 및 소정의 문자열 정보2(Text2)가 순차로 결합되어 이루어질 수 있다. The IoT device 200 generates a transmission token (KTA, Knowledge To Action) in which a random secret number (RS), an IoT device signature, an IoT device identifier (ID_IoT), a time-variant parameter (TVP) (eg, a time stamp or sequence number, etc.), and predetermined string information 2 (Text2) are combined (S503). Here, the connection request token (KTA) may be formed by sequentially combining a random secret number (RS), an IoT device signature, an IoT device identifier (ID_IoT), a time-varying parameter (TVP), and predetermined string information 2 (Text2).
IoT 기기(200)는 상대방 게이트웨이 식별자(ID_G/W)와 공개 파라미터(PubParam)을 이용하여 상기 접속 요청 토큰(KTA)를 암호화하고 암호화한 접속 요청 토큰(Encrypted KTA)을 게이트웨이(100)로 전송한다(S504).The IoT device 200 encrypts the access request token (KTA) using the counterpart gateway identifier (ID_G/W) and the public parameter (PubParam), and transmits the encrypted access request token (Encrypted KTA) to the gateway 100 (S504).
게이트웨이(100)는 상기 암호화한 접속 요청 토큰(Encrypted KTA)를 수신 후 자신의 개인키(PRK_G/W)를 이용하여 복호화한다(S505).After receiving the encrypted access request token (Encrypted KTA), the gateway 100 decrypts it using its own private key (PRK_G/W) (S505).
게이트웨이(100)는 접속 요청 토큰(KTA)의 시변적 파라미터(TVP)의 유효성을 판단하여 유효하지 않으면, 접속 요청 토큰을 거절한다(S506). 구체적으로, 본 발명의 일실시예에 따르면, 접속 요청 토큰(KTA)에 포함된 시변적 파라미터(TVP)가 타임 스탬프인 경우 유효시간 범위 내인지를 판단하여 벗어나면 토큰(KTA)을 거절할 수 있다. 또한, 본 발명의 다른 실시예에 따르면, IoT 기기 ID(ID_IoT)를 다른 수단으로 획득할 수 있고 접속 요청 토큰(KTA)에 포함된 시변적 파라미터(TVP)가 순차 번호인 경우 게이트웨이(100)가 보유한 순차번호보다 크지 않으면 토큰을 거절할 수 있다.The gateway 100 determines the validity of the time-varying parameter (TVP) of the access request token (KTA) and rejects the access request token if it is not valid (S506). Specifically, according to one embodiment of the present invention, if the time-varying parameter (TVP) included in the access request token (KTA) is a time stamp, it is determined whether or not it is within a valid time range, and if it is out of range, the token (KTA) can be rejected. In addition, according to another embodiment of the present invention, if the IoT device ID (ID_IoT) can be obtained by other means and the time-varying parameter (TVP) included in the connection request token (KTA) is a sequence number, the gateway 100 If it is not larger than the sequence number, the token can be rejected.
게이트웨이(100)는 IoT 기기 ID(ID_IoT)를 다른 수단으로 획득할 수 있는 경우 IoT 기기 ID(ID_IoT)와 공개 파라미터(PubParam)을 이용하여 사전에 정해진 검증 프로토콜에 따라 접속 요청 토큰에 포함된 서명(Sign.)의 유효성을 검증하고, 서명이 유효하지 않으면, 접속 요청 토큰(KTA)을 거절한다(S507). If the IoT device ID (ID_IoT) can be obtained by other means, the gateway 100 verifies the validity of the signature (Sign.) included in the access request token according to a predefined verification protocol using the IoT device ID (ID_IoT) and the public parameter (PubParam). If the signature is not valid, the access request token (KTA) is rejected (S507).
게이트웨이(100)는 접속 요청 토큰(KTA)에 포함된 시변적 파라미터(TVP)의 최신성을 검증한다(S508). 구체적으로, TVP가 순차번호인 경우 TVP가 최신 번호이면 서명을 검증하고, 최신 번호가 아니면 접속 요청 토큰(KTA)을 거절한다(S508). The gateway 100 verifies the recency of the time-varying parameter (TVP) included in the access request token (KTA) (S508). Specifically, when the TVP is a sequence number, the signature is verified if the TVP is the latest number, and the access request token (KTA) is rejected if the TVP is not the latest number (S508).
상기 모든 검증 단계를 통과하면, 게이트웨이(100)는 상기 무작위 비밀수(RS)를 이용하여 사전에 정해진 키 유도 함수(KDF, Key Derivation Function)에 따라 암호화, 복호화 및 메시지 인증을 위한 비밀키(SecKey)를 생성한다(S509).If all of the verification steps are passed, the gateway 100 generates a secret key (SecKey) for encryption, decryption, and message authentication according to a key derivation function (KDF) determined in advance using the random secret number (RS) (S509).
이상에서 설명한 바와 같은 본 발명에 따른 가상 블록체인에 기반한 신원 기반 보안 기법을 이용한 IoT 기기용 게이트웨이의 보안 구축 방법 및 IoT 기기용 게이트웨이의 보안 구축에 의하면, 게이트웨이와 IoT 기기 간에 암호화 통신을 가능하게 하여 각종 보안성을 확보하는 소프트웨어를 구축할 수 없는 IoT 기기의 통신 보안을 구현할 수 있고, IoT 기기의 ID 등록, 데이터 및 사용자 접근 제어 및 관리 등에 있어 해킹 위협으로부터 IoT 기기와 데이터를 보호할 수 있으며, 블록체인의 고유한 특성중 하나인 보안성의 증대 특성을 IoT 기기에 적용할 수 있어 날로 높아지는 해킹의 위협으로부터 사용자와 정보를 보호할 수 있는 이점이 있다.As described above, according to the security construction method of a gateway for an IoT device using an identity-based security technique based on a virtual block chain and the security construction of a gateway for an IoT device using an identity-based security technique based on a virtual block chain according to the present invention, it is possible to implement communication security for an IoT device in which software for securing various security cannot be built by enabling encrypted communication between the gateway and the IoT device. It is possible to protect IoT devices and data from hacking threats in ID registration, data and user access control and management of IoT devices, and security enhancement, one of the unique characteristics of blockchain, can be applied to IoT devices. It has the advantage of being able to protect users and information from the ever-increasing threat of hacking.
상기한 바와 같은 실시 예들은 비록 한정된 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기를 기초로 다양한 기술적 수정 및 변형을 적용할 수 있다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.Although the embodiments as described above have been described with limited drawings, those skilled in the art can apply various technical modifications and variations based on the above. For example, even if the described techniques are performed in an order different from the described method, and/or components of the described system, structure, device, circuit, etc. are combined or combined in a different form from the described method, or replaced or substituted by other components or equivalents, appropriate results can be achieved.
본 명세서에서 설명되는 실시 예와 첨부된 도면은 본 발명에 포함되는 기술적 사상의 일부를 예시적으로 설명하는 것에 불과하다. 따라서, 본 명세서에 개시된 실시 예는 본 발명의 기술적 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이므로, 이러한 실시 예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아님은 자명하다. 본 발명의 명세서 및 도면에 포함된 기술적 사상의 범위 내에서 당업자가 용이하게 유추할 수 있는 변형 예와 구체적인 실시 예는 모두 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.The embodiments described in this specification and the accompanying drawings merely illustrate some of the technical ideas included in the present invention by way of example. Therefore, since the embodiments disclosed in this specification are not intended to limit the technical idea of the present invention but to explain it, it is obvious that the scope of the technical idea of the present invention is not limited by these embodiments. All modified examples and specific examples that can be easily inferred by those skilled in the art within the scope of the technical idea included in the specification and drawings of the present invention should be construed as being included in the scope of the present invention.

Claims (15)

  1. 가상 블록체인 기반의 신원 기반 보안 기법을 이용하는 게이트웨이의 보안 구축 시스템에 있어서,In the security establishment system of a gateway using an identity-based security technique based on a virtual block chain,
    유무선 통신 모듈;wired/wireless communication module;
    상기 게이트웨이에 식별자(ID), 개인키 정보를 포함하는 속성 정보를 가진 적어도 하나 이상의 가상 노드를 형성하고, 미리 정해진 합의 알고리즘에 따라 상기 가상 노드 간에 합의가 이루어진 트랜잭션 데이터 블록을 상기 가상 노드에 분산 원장으로 저장 관리하도록 이루어지는 가상 블록체인 구성부; A virtual block chain configuration unit configured to form at least one virtual node having attribute information including an identifier (ID) and private key information in the gateway, and to store and manage a transaction data block for which an agreement between the virtual nodes has been reached according to a predetermined consensus algorithm in the virtual node as a distributed ledger;
    상기 가상 노드와 이웃하는 가상 노드들 간에 네트워크로 연결되는 가상 블록체인 망: 및A virtual blockchain network connected by a network between the virtual node and neighboring virtual nodes: and
    상기 신원 기반 보안 기법을 이용하는 디지털 전자 기기와 인증과 인가를 통한 접근 제어를 포함하는 보안 기능을 수행하는 보안 모듈A security module that performs security functions including access control through digital electronic devices and authentication and authorization using the identity-based security scheme.
    을 포함하는 가상 블록체인 기반의 신원 기반 보안 기법을 이용한 게이트웨이의 보안 구축 시스템.Gateway security construction system using an identity-based security technique based on a virtual block chain that includes.
  2. 청구항 1에 있어서, The method of claim 1,
    상기 보안 모듈은, 개인키 생성기로부터 제공되는 게이트웨이 개인키(PRK_GW)와 공개 파라미터(PubParam) 그리고 게이트웨이 식별자(ID)를 저장하고,The security module stores a gateway private key (PRK_GW), a public parameter (PubParam), and a gateway identifier (ID) provided from a private key generator,
    상기 개인키 생성기는, 보안 계산을 위해 적용할 시스템 파라미터(SysParam)를 설정하고, 소정의 마스터 비밀키(MSK)와 상기 시스템 파라미터(SysParam)를 이용하여 마스터 공개키(MPK)를 유도하고, 상기 시스템 파라미터(SysParam)와 상기 마스터 공개키(MPK)를 결합하여 이루어진 공개 파라미터(PubParam)를 생성하고, 상기 가상 블록체인 망에 기반한 신원 기반 보안 기법을 이용하는 디지털 전자 기기에 상기 공개 파라미터(PubParam)를 배포하고, 상기 디지털 전자 기기에 대하여 식별자(ID) 기반의 개인키(PRK)를 생성하여 제공하는 것The private key generator sets a system parameter (SysParam) to be applied for security calculation, derives a master public key (MPK) using a predetermined master secret key (MSK) and the system parameter (SysParam), generates a public parameter (PubParam) formed by combining the system parameter (SysParam) and the master public key (MPK), and transmits the public parameter (PubParam) to a digital electronic device using an identity-based security technique based on the virtual block chain network. Distributing, generating and providing a private key (PRK) based on an identifier (ID) for the digital electronic device
    을 특징으로 하는 가상 블록체인 기반의 신원 기반 보안 기법을 이용한 게이트웨이의 보안 구축 시스템.Gateway security construction system using an identity-based security technique based on a virtual block chain.
  3. 청구항 2에 있어서, 상기 디지털 전자 기기는,The method according to claim 2, wherein the digital electronic device,
    상기 디지털 전자 기기의 식별자(ID), 및 상기 공개 파라미터(PubParam)를 포함하는 트랜잭션 데이터 블록을 구성하여 상기 가상 노드에 배포하고, Constructing a transaction data block including an identifier (ID) of the digital electronic device and the public parameter (PubParam) and distributing it to the virtual node;
    상기 가상 노드에 배포된 상기 트랜잭션 데이터 블록에 대해 정해진 합의 알고리즘에 따라 상기 트랜잭션 데이터 블록의 합의 여부를 판단하고, 상기 가상 노드의 분산 원장에 상기 트랜잭션 데이터 블록을 저장하는 것Determining whether to agree on the transaction data block according to a consensus algorithm determined for the transaction data block distributed to the virtual node, and storing the transaction data block in a distributed ledger of the virtual node.
    을 특징으로 하는 가상 블록체인 기반의 신원 기반 보안 기법을 이용한 게이트웨이의 보안 구축 시스템.Gateway security construction system using an identity-based security technique based on a virtual block chain.
  4. 청구항 3에 있어서, 상기 디지털 전자 기기는,The method according to claim 3, wherein the digital electronic device,
    해당 디지털 전자 기기의 식별자(ID) 및 식별자(ID) 기반의 디지털 전자 기기 개인키(PRK)를 이용하여 상호 간 접속 요청 및 검증을 통해 상호 연결되는 디바이스 접근 제어를 수행하고, Using the identifier (ID) of the corresponding digital electronic device and the digital electronic device private key (PRK) based on the identifier (ID), access control is performed on interconnected devices through mutual access request and verification,
    상기 디바이스 접근 제어는 피접속 디지털 전자 기기의 식별자, 공개 파라미터 및 자신의 개인키를 이용하여 생성되는 것을 특징으로 하는 가상 블록체인 기반의 신원 기반 보안 기법을 이용한 게이트웨이의 보안 구축 시스템.The device access control is a security construction system of a gateway using an identity-based security technique based on a virtual block chain, characterized in that generated using the identifier of the connected digital electronic device, a public parameter, and its own private key.
  5. 청구항 2에 있어서, 상기 개인키 생성기는,The method according to claim 2, wherein the private key generator,
    무작위 난수를 생성하여 비밀 파라미터로 설정하는 기능;Ability to generate random random numbers and set them as secret parameters;
    상기 비밀 파라미터에 기반하여 마스터 비밀키를 생성하는 기능;a function of generating a master secret key based on the secret parameter;
    상기 마스터 비밀키와 소정의 시스템 파라미터를 이용하여 마스터 공개키를 유도하는 기능; 및a function of deriving a master public key using the master private key and predetermined system parameters; and
    상기 시스템 파라미터와 상기 마스터 공개키가 결합된 공개 파라미터와 상기 마스터 비밀키를 상기 보안 모듈에 저장하는 기능A function of storing a public parameter obtained by combining the system parameter and the master public key and the master private key in the security module
    을 수행하는 가상 블록체인 기반의 신원 기반 보안 기법을 이용한 게이트웨이의 보안 구축 시스템.Gateway security construction system using an identity-based security technique based on a virtual block chain that performs
  6. 청구항 3에 있어서,The method of claim 3,
    상기 디지털 전자 기기는 무작위 비밀수 1을 생성하고, 자신의 개인키로 상기 무작위 비밀수 1에 대하여 서명하여 디지털 전자 기기 서명을 생성하고, 상기 무작위 비밀수 1, 디지털 전자 기기 식별자, 및 상기 디지털 전자 기기 서명을 이용하여 상기 접속 요청 메시지를 구성하고, 피접속 디지털 전자 기기의 식별자(ID)와 공개 파라미터를 이용하여 암호화하고 상기 피접속 디지털 전자 기기로 암호화된 접속 요청 메시지를 전송하고,The digital electronic device generates a random secret number 1, signs the random secret number 1 with its own private key to generate a digital electronic device signature, constructs the access request message using the random secret number 1, the digital electronic device identifier, and the digital electronic device signature, encrypts it using the identifier (ID) of the connected digital electronic device and public parameters, and transmits the encrypted access request message to the connected digital electronic device;
    상기 피접속 디지털 전자 기기는 상기 암호화된 접속 요청 메시지를 자신의 개인키를 이용하여 복호화하고, 복호화된 접속 요청 메시지를 구성하는 디지털 전자 기기 식별자를 이용하여 디지털 전자 기기 서명을 복호화한 결과값과 상기 무작위 비밀수 1을 비교하여 인증을 검증하는 것The connected digital electronic device decrypts the encrypted access request message using its own private key and compares the result of decrypting the digital electronic device signature using the digital electronic device identifier constituting the decrypted access request message with the random secret number 1 to verify authentication
    을 특징으로 하는 가상 블록체인 기반의 신원 기반 보안 기법을 이용한 게이트웨이의 보안 구축 시스템. Gateway security construction system using an identity-based security technique based on a virtual block chain.
  7. 청구항 6에 있어서,The method of claim 6,
    상기 검증이 통과되면, 상기 피접속 디지털 전자 기기는 무작위 비밀수 2를 생성하고, 자신의 개인키로 상기 무작위 비밀수 2에 대해 서명하여 피접속 디지털 전자 기기 서명을 생성하고, 상기 무작위 비밀수 2, 게이트웨이 식별자, 피접속 디지털 전자 기기 서명으로 검증 결과 메시지를 구성하고, 상기 디지털 전자기기 식별자와 공개 파라미터를 이용하여 암호화하고 전송하는 것If the verification passes, the connected digital electronic device generates a random secret number 2, signs the random secret number 2 with its own private key to generate a connected digital electronic device signature, configures a verification result message with the random secret number 2, a gateway identifier, and a connected digital electronic device signature, and encrypts and transmits the message using the digital electronic device identifier and public parameters.
    을 특징으로 하는 가상 블록체인 기반의 신원 기반 보안 기법을 이용한 게이트웨이의 보안 구축 시스템.Gateway security construction system using an identity-based security technique based on a virtual block chain.
  8. 청구항 2에 있어서, 상기 디지털 전자 기기는, The method according to claim 2, wherein the digital electronic device,
    자신의 개인키를 이용하여 송신 메시지에 서명하여 디지털 전자 기기 서명을 생성하고, 상기 송신 메시지, 디지털 전자 기기 서명, 디지털 전자 기기 식별자, 및 시변적 파라미터를 이용하여 접속 요청 토큰을 생성하고, 피접속 디지털 전자 기기의 식별자와 공개 파라미터를 이용하여 암호화하고 암호화된 접속 요청 토큰을 상기 피접속 디지털 전자 기기로 전송하는 것Signing a transmission message using its private key to generate a digital electronic device signature, generating an access request token using the transmission message, digital electronic device signature, digital electronic device identifier, and time-varying parameters, encrypting using the identifier of the connected digital electronic device and public parameters, and transmitting the encrypted access request token to the connected digital electronic device.
    을 특징으로 하는 가상 블록체인 기반의 신원 기반 보안 기법을 이용한 게이트웨이의 보안 구축 시스템.Gateway security construction system using an identity-based security technique based on a virtual block chain.
  9. 청구항 8에 있어서, 상기 피접속 디지털 전자 기기는, The method according to claim 8, wherein the connected digital electronic device,
    상기 암호화된 접속 요청 토큰을 자신의 개인키를 이용하여 복호화하고,Decrypting the encrypted access request token using its own private key;
    상기 접속 요청 토큰의 시변적 파라미터의 유효성을 판단하고,determining validity of a time-varying parameter of the access request token;
    상기 접속 요청 토큰의 디지털 전자 기기 서명의 유효성을 검증하고,verifying the validity of the digital electronic device signature of the access request token;
    상기 접속 요청 토큰의 시변적 파라미터의 최신성을 검증하는 것verifying recency of a time-varying parameter of the access request token;
    을 특징으로 하는 가상 블록체인 기반의 신원 기반 보안 기법을 이용한 게이트웨이의 보안 구축 시스템.Gateway security construction system using an identity-based security technique based on a virtual block chain.
  10. 청구항 1에 있어서,The method of claim 1,
    상기 통신 모듈은, BLE, Z-Wave, Zigbee를 포함하는 개인 영역 통신망(PAN) 통신 프로토콜 중 적어도 한 가지 이상을 지원하거나, LoRa, Sigfox, NB-IoT를 포함하는 저전력 광역 통신망(LPWAN) 통신 프로토콜 중 적어도 한 가지 이상을 포함하거나, WiFi, Ethernet를 포함하는 근거리 통신망(LAN) 통신 프로토콜 중 적어도 한 가지 이상을 포함하거나, RS-232, RS-485를 포함하는 직렬 통신 프로토콜 중 적어도 한 가지 이상을 포함하는 가상 블록체인 기반의 신원 기반 보안 기법을 이용한 게이트웨이의 보안 구축 시스템.The communication module supports at least one of personal area network (PAN) communication protocols including BLE, Z-Wave, and Zigbee, or includes at least one of low power wide area network (LPWAN) communication protocols including LoRa, Sigfox, and NB-IoT, or includes WiFi and Ethernet. At least one of local area network (LAN) communication protocols, or at least one of serial communication protocols including RS-232 and RS-485 Gateway security construction system using an identity-based security technique based on a virtual block chain.
  11. 가상 블록체인 기반의 신원 기반 보안 기법을 이용하는 게이트웨이의 보안 구축 방법에 있어서,In the security construction method of a gateway using a virtual blockchain-based identity-based security technique,
    개인키 생성기(PKG)가 시스템 파라미터(SysParam)와 마스터 공개키(MPK)를 결합하여 이루어진 공개 파라미터(PubParam)를 생성하고, 상기 신원 기반 보안 기법을 이용하는 디지털 전자 기기에 상기 공개 파라미터(PubParam)를 배포하는 단계;A private key generator (PKG) generates a public parameter (PubParam) formed by combining a system parameter (SysParam) and a master public key (MPK), and distributes the public parameter (PubParam) to a digital electronic device using the identity-based security scheme;
    상기 디지털 전자 기기는 문자열(string) 형식의 디지털 전자 기기 식별자(ID)를 ID 등록 서버(IPS)에 등록하는 단계;registering, by the digital electronic device, a digital electronic device identifier (ID) in the form of a string in an ID registration server (IPS);
    상기 가상 블록체인이 구현된 디지털 전자 기기는 상기 공개 파라미터, 및 디지털 전자 기기 식별자를 포함하는 트랜잭션 데이터 블록을 구성하고, 가상 블록체인 노드에 배포하여 정해진 합의 알고리즘에 따라 트랜잭션 데이터 블록의 합의 여부를 판단하는 단계; 및The digital electronic device implemented with the virtual blockchain constitutes a transaction data block including the public parameter and the digital electronic device identifier, distributes it to virtual blockchain nodes, and determines whether the transaction data block is agreed according to a predetermined consensus algorithm; and
    합의가 이루어진 상기 트랜잭션 데이터 블록을 상기 가상 블록체인이 구현된 디지털 전자 기기에 배포하여 분산원장으로 저장하는 단계distributing the transaction data block for which an agreement has been made to a digital electronic device implemented with the virtual block chain and storing it as a distributed ledger
    를 포함하는 가상 블록체인 기반의 신원 기반 보안 기법을 이용한 게이트웨이의 보안 구축 방법. Gateway security construction method using a virtual blockchain-based identity-based security technique comprising a.
  12. 청구항 11에 있어서, The method of claim 11,
    상기 디지털 전자 기기는 디바이스 접근 제어 단계를 더 수행하고,The digital electronic device further performs a device access control step,
    상기 디바이스 접근 제어 단계는,The device access control step,
    상기 디지털 전자 기기가 무작위 비밀수 1을 생성하고, 자신의 개인키로 상기 무작위 비밀수 1에 대하여 서명하여 디지털 전자 기기 서명을 생성하고, 상기 무작위 비밀수 1, 디지털 전자 기기 식별자, 및 상기 디지털 전자 기기 서명으로 상기 접속 요청 메시지를 구성하여 피접속 디지털 전자 기기의 식별자 및 공개 파라미터를 이용하여 암호화하고 암호화된 접속 요청 메시지를 전송하는 단계; 및the digital electronic device generating a random secret number 1, signing the random secret number 1 with its own private key to generate a digital electronic device signature, constructing the access request message with the random secret number 1, the digital electronic device identifier, and the digital electronic device signature, encrypting the access request message using the identifier of the connected digital electronic device and public parameters, and transmitting the encrypted access request message; and
    상기 피접속 디지털 전자 기기는 상기 암호화된 접속 요청 메시지를 자신의 개인키를 이용하여 복호화하고, 복호화된 접속 요청 메시지를 구성하는 디지털 전자 기기 식별자 및 공개 파라미터를 이용하여 디지털 전자 기기 서명을 복호화한 결과값과 상기 무작위 비밀수 1을 비교하여 인증을 검증하는 단계The connected digital electronic device decrypts the encrypted access request message using its own private key, and compares the result of decrypting the digital electronic device signature using the digital electronic device identifier and public parameters constituting the decrypted access request message with the random secret number 1 to verify authentication.
    를 포함하는 가상 블록체인 기반의 신원 기반 보안 기법을 이용한 게이트웨이의 보안 구축 방법.Gateway security construction method using a virtual blockchain-based identity-based security technique comprising a.
  13. 청구항 12에 있어서, The method of claim 12,
    상기 검증이 통과되면, 상기 피접속 디지털 전자 기기는 무작위 비밀수 2를 생성하고, 자신의 개인키로 상기 무작위 비밀수 2에 대해 서명하여 피접속 디지털 전자 기기 서명을 생성하고, 상기 무작위 비밀수 2, 피접속 디지털 전자 기기 식별자, 피접속 디지털 전자 기기 서명으로 검증 결과 메시지를 구성하고, 디지털 전자 기기 식별자 및 공개 파라미터를 이용하여 암호화하고 상기 디지털 전자 기기로 암호화된 검증 결과 메시지를 전송하는 단계If the verification passes, the connected digital electronic device generates a random secret number 2, signs the random secret number 2 with its own private key to generate a connected digital electronic device signature, constructs a verification result message with the random secret number 2, the connected digital electronic device identifier, and the connected digital electronic device signature, encrypts it using the digital electronic device identifier and public parameters, and transmits the encrypted verification result message to the digital electronic device.
    를 더 포함하는 가상 블록체인 기반의 신원 기반 보안 기법을 이용한 게이트웨이의 보안 구축 방법.Gateway security construction method using a virtual blockchain-based identity-based security technique further comprising a.
  14. 청구항 12에 있어서, 상기 디지털 전자 기기는, The method according to claim 12, wherein the digital electronic device,
    특정 송신 메시지에 자신의 개인키(PRK)로 서명하여 디지털 전자 기기 서명을 생성하고, 상기 송신 메시지, 디지털 전자 기기 서명 및 시변적 파라미터(TVP)를 이용하여 접속 요청 토큰을 생성하여 상기 피접속 디지털 전자 기기의 식별자와 상기 공개 파라미터를 이용하여 상기 접속 요청 토큰을 암호화하고 피접속 디지털 전자 기기로 전송하는 단계Signing a specific transmission message with its own private key (PRK) to generate a digital electronic device signature, generating an access request token using the transmission message, digital electronic device signature, and a time-varying parameter (TVP), encrypting the access request token using an identifier of the connected digital electronic device and the public parameter, and transmitting the access request token to the connected digital electronic device.
    를 더 포함하는 가상 블록체인 기반의 신원 기반 보안 기법을 이용한 게이트웨이의 보안 구축 방법.Gateway security construction method using a virtual blockchain-based identity-based security technique further comprising a.
  15. 청구항 14에 있어서, 상기 피접속 디지털 전자 기기는, The method according to claim 14, wherein the connected digital electronic device,
    상기 암호화한 접속 요청 토큰을 수신하여 자신의 개인키로 복호화하고, 상기 접속 요청 토큰의 시변적 파라미터의 유효성을 판단하고, 상기 접속 요청 토큰의 디지털 전자 기기 서명의 유효성을 검증하고, 상기 접속 요청 토큰의 시변적 파라미터의 최신성을 검증하는 단계를 더 포함하는 가상 블록체인 기반의 신원 기반 보안 기법을 이용한 게이트웨이의 보안 구축 방법.Receiving the encrypted access request token and decrypting it with its own private key, determining validity of a time-varying parameter of the access request token, verifying validity of a digital electronic device signature of the access request token, and verifying recency of the time-varying parameter of the access request token.
PCT/KR2023/000826 2022-01-21 2023-01-18 Security construction system and method for gateway for iot device using identity-based security technique based on virtual block chain WO2023140595A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR10-2022-0008907 2022-01-21
KR1020220008907A KR20230112819A (en) 2022-01-21 2022-01-21 SECURITY CONSTRUCTION SYSTEM OF GATEWAY FOR IoT DEVICES BY USING IDENTITY-BASED CRYPTOGRAPHY BASED ON VIRTUAL BLOCKCHAIN AND ITS METHOD

Publications (1)

Publication Number Publication Date
WO2023140595A1 true WO2023140595A1 (en) 2023-07-27

Family

ID=87348980

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/KR2023/000826 WO2023140595A1 (en) 2022-01-21 2023-01-18 Security construction system and method for gateway for iot device using identity-based security technique based on virtual block chain

Country Status (2)

Country Link
KR (1) KR20230112819A (en)
WO (1) WO2023140595A1 (en)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102037848B1 (en) * 2019-03-27 2019-10-29 주식회사 푸시풀시스템 Digital electronic device operation method based on dual block chain comprising virtual blockchain
KR20200113103A (en) * 2019-03-22 2020-10-06 주식회사 블록체인시스템 Digital electronic device operation based on dual block chain comprising virtual blockchain and its operation method
KR20210035230A (en) * 2018-07-21 2021-03-31 펀다크자 "블록체인 디벨롭먼트 파운데이션" System and method for signing a transaction using an air-gapped private key
US20210160233A1 (en) * 2017-07-28 2021-05-27 SmartAxiom, Inc. System and methods for iot security
KR20210090379A (en) * 2020-01-10 2021-07-20 동서대학교 산학협력단 Blockchain-based access control method for the internet of thing device

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20110060859A (en) 2009-11-30 2011-06-08 (주)대성정보기술 Unified security gateway device
KR101769442B1 (en) 2015-10-14 2017-08-30 주식회사 윈스 Method, system and computer-readable recording medium for security operation using internet of thing gateway
KR102439059B1 (en) 2018-05-30 2022-09-01 삼성에스디에스 주식회사 Method for interconnecting heterogeneous blockchain platform and gateway apparatus for executing the same
KR101997673B1 (en) 2018-12-06 2019-07-08 주식회사 푸시풀시스템 Digital electronic device based on dual block chain comprising virtual blockchain

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20210160233A1 (en) * 2017-07-28 2021-05-27 SmartAxiom, Inc. System and methods for iot security
KR20210035230A (en) * 2018-07-21 2021-03-31 펀다크자 "블록체인 디벨롭먼트 파운데이션" System and method for signing a transaction using an air-gapped private key
KR20200113103A (en) * 2019-03-22 2020-10-06 주식회사 블록체인시스템 Digital electronic device operation based on dual block chain comprising virtual blockchain and its operation method
KR102037848B1 (en) * 2019-03-27 2019-10-29 주식회사 푸시풀시스템 Digital electronic device operation method based on dual block chain comprising virtual blockchain
KR20210090379A (en) * 2020-01-10 2021-07-20 동서대학교 산학협력단 Blockchain-based access control method for the internet of thing device

Also Published As

Publication number Publication date
KR20230112819A (en) 2023-07-28

Similar Documents

Publication Publication Date Title
US11477625B2 (en) System, apparatus and method for scalable internet of things (IoT) device on-boarding with quarantine capabilities
US8607301B2 (en) Deploying group VPNS and security groups over an end-to-end enterprise network
Chen et al. Opera: Open remote attestation for intel's secure enclaves
US20060010491A1 (en) Firewall system protecting a community of appliances, appliance participating in the system and method of updating the firewall rules within the system
US8145917B2 (en) Security bootstrapping for distributed architecture devices
CN107005534A (en) Secure connection is set up
US11070531B2 (en) Data communication system and method
KR20100059953A (en) Network and method for establishing a secure network
CN102984045A (en) Access method of Virtual Private Network and Virtual Private Network client
WO2023197942A1 (en) Public cloud extension method, device, system and storage medium
CN113783686A (en) SDN and NFV network security management system and method based on block chain
Faisal et al. Cyber security and key management issues for internet of things: Techniques, requirements, and challenges
JP3908982B2 (en) CUG (Closed User Group) management method, CUG providing system, CUG providing program, and storage medium storing CUG providing program
US20230209345A1 (en) Device-specific selection between peer-to-peer connections and core-based hybrid peer-to-peer connections in a secure data network
KR20220072659A (en) SECURITY CONSTRUCTION METHOD OF GATEWAY FOR IoT DEVICES BY USING IDENTITY-BASED CRYPTOGRAPHY BASED ON VIRTUAL BLOCKCHAIN
Badar et al. Secure authentication protocol for home area network in smart grid-based smart cities
KR20090002328A (en) Method for joining new device in wireless sensor network
Michalakis Location-aware access control for pervasive computing environments
KR20220072657A (en) SECURITY CONSTRUCTION METHOD FOR IoT DEVICES PLATFORM AND SECURITY CONSTRUCTION SYSTEM FOR IoT DEVICES PLATFORM BASED ON DUAL BLOCKCHAIN COUPLED WITH VIRTUAL BLOCKCHAIN
WO2023140595A1 (en) Security construction system and method for gateway for iot device using identity-based security technique based on virtual block chain
EP4320821A1 (en) Method and system for self-onboarding of iot devices
Marsá-Maestre et al. A Hierarchical, Agent-based Approach to Security in Smart Offices.
WO2017014614A1 (en) Method for operating communication client of iot device, and iot device including communication client
Lyle et al. Personal PKI for the smart device era
Fischer et al. Secure identifiers and initial credential bootstrapping for IoT@ Work

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 23743442

Country of ref document: EP

Kind code of ref document: A1