[go: up one dir, main page]

KR102560805B1 - IoT 환경에서 P2P 데이터 보안 서비스 제공 방법 및 장치 - Google Patents

IoT 환경에서 P2P 데이터 보안 서비스 제공 방법 및 장치 Download PDF

Info

Publication number
KR102560805B1
KR102560805B1 KR1020160066494A KR20160066494A KR102560805B1 KR 102560805 B1 KR102560805 B1 KR 102560805B1 KR 1020160066494 A KR1020160066494 A KR 1020160066494A KR 20160066494 A KR20160066494 A KR 20160066494A KR 102560805 B1 KR102560805 B1 KR 102560805B1
Authority
KR
South Korea
Prior art keywords
group
key
authentication
certificate
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
KR1020160066494A
Other languages
English (en)
Other versions
KR20170135103A (ko
Inventor
조미성
정병관
Original Assignee
주식회사 알티캐스트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 알티캐스트 filed Critical 주식회사 알티캐스트
Priority to KR1020160066494A priority Critical patent/KR102560805B1/ko
Priority to PCT/KR2017/005577 priority patent/WO2017209467A1/ko
Priority to EP17806960.5A priority patent/EP3468133B1/en
Publication of KR20170135103A publication Critical patent/KR20170135103A/ko
Application granted granted Critical
Publication of KR102560805B1 publication Critical patent/KR102560805B1/ko
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/065Network architectures or network communication protocols for network security for supporting key management in a packet data network for group communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • H04L9/0833Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/104Peer-to-peer [P2P] networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/51Discovery or management thereof, e.g. service location protocol [SLP] or web services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Telephonic Communication Services (AREA)

Abstract

본 발명은 IoT 환경에서 P2P 데이터 보안 서비스 제공 방법 및 장치를 개시한다. 본 발명에 따르면, 복수의 디바이스와 네트워크를 통해 연결되는 IoT 플랫폼에서 디바이스 간 P2P 데이터 보안 서비스를 제공하는 방법으로서, 제1 디바이스의 인증서 및 고유키를 이용하여 상기 제1 디바이스를 인증하는 단계; 인증이 완료되면, E2E(end-to-end) 세션 키를 교환을 통해 보안 채널을 형성하고 상기 제1 디바이스에 그룹 아이디 및 그룹 키를 할당하는 단계; 및 상기 제1 디바이스에 의해 요청된 제2 디바이스에 상기 그룹 아이디 및 그룹 키를 할당하는 단계를 포함하는 IoT 환경에서 P2P 데이터 보안 서비스 제공 방법이 제공된다.

Description

IoT 환경에서 P2P 데이터 보안 서비스 제공 방법 및 장치{Method and apparatus for Providing Security Service of Peer to Peer Data in Internet of Things}
본 발명은 IoT 환경에서 P2P 데이터 보안 서비스 제공 방법 및 장치에 관한 것이다.
사물 인터넷(Internet of Things, IoT)은 각종 사물에 센서와 통신 기능을 내장하여 인터넷에 연결하는 기술을 의미한다. 여기서 사물이란 가전제품, 모바일 단말, 웨어러블 컴퓨터 등 다양한 임베디드 장치가 된다.
사물 인터넷에 연결되는 사물들은 자신을 구별할 수 있는 유일한 IP를 가지고 인터넷으로 연결되어야 하며, 외부 환경으로부터의 데이터 취득을 위해 센서를 내장할 수 있다.
근래에 사용자가 소지하고 있는 모바일 단말에 어플리케이션을 설치하여 댁내 다양한 기기를 제어할 수 있도록 지원하고 있다.
상기한 바와 같이, IoT 기술은 모든 사물이 네트워크를 통해 연결되어 제어가 가능한 편리한 점을 제공하기도 하지만, 사물이 해킹의 대상이 될 수 있어 보안 문제가 필수적으로 해결되어야 한다.
여기서 보안은, E2E(End to End) 신뢰기반 IoT 환경에서 P2P(Peer to Peer) 간의 데이터를 보호하는 것을 의미한다.
IoT 환경에서 보안을 유지하기 위해 모바일 단말 및 각 가전제품이 인증 서버와 연동하여 인증을 수행하여야 하는데 P2P 통신 연결 시 인증 서버와의 연결을 필요로 하므로 매우 비효율적인 문제가 있었다.
또한, 가전제품이 실질적으로 인터넷과 연결되지 않은 경우가 다수 존재하여 인증 서버에 접속하지 못하는 문제점이 있다.
한국공개특허공보 제10-2016-0028230호
상기한 바와 같은 종래기술의 문제점을 해결하기 위해, 본 발명에서는 IoT 환경에서 효율적으로 보안을 유지하면서 통신할 수 있도록 하는 IoT 환경에서 P2P 데이터 보안 서비스 제공 방법 및 장치를 제안하고자 한다.
본 발명의 다른 목적들은 하기의 실시예를 통해 당업자에 의해 도출될 수 있을 것이다.
상기한 목적을 달성하기 위해 본 발명의 바람직한 일 실시예에 따르면, 복수의 디바이스와 네트워크를 통해 연결되는 IoT 플랫폼에서 디바이스 간 P2P 데이터 보안 서비스를 제공하는 방법으로서, 제1 디바이스의 인증서 및 고유키를 이용하여 상기 제1 디바이스를 인증하는 단계; 인증이 완료되면, E2E(end-to-end) 세션 키를 교환을 통해 보안 채널을 형성하고 상기 제1 디바이스에 그룹 아이디 및 그룹 키를 할당하는 단계; 및 상기 제1 디바이스에 의해 요청된 제2 디바이스에 상기 그룹 아이디 및 그룹 키를 할당하는 단계를 포함하는 IoT 환경에서 P2P 데이터 보안 서비스 제공 방법이 제공된다.
상기 제2 디바이스에 상기 그룹 아이디 및 그룹 키를 할당하는 단계는, 상기 제2 디바이스가 상기 제1 디바이스로부터 전송된 토큰(token)을 통해 상기 IoT 플랫폼에 접속하는 경우에 수행될 수 있다.
상기 제1 디바이스 및 상기 제2 디바이스는, 상기 그룹 키를 통해 암호화된 인증 데이터를 송수신하고, 상기 암호화된 인증 데이터가 복호화되면 상호간의 가상 디바이스 아이디를 저장하며, 가상 디바이스 아이디 저장 이후, P2P 세션 키 교환을 통해 보안 채널을 형성할 수 있다.
상기 그룹 아이디는 마스터 그룹 아이디이며, 상기 제1 디바이스의 권한 설정 변경에 의해 제3 디바이스의 상기 제2 디바이스 제어를 위한 서브 그룹이 설정될 수 있다.
상기 제1 디바이스의 인증 단계에 선행하여, 서비스 프로바이더의 웹서버에 아이디 및 패스워드를 통해 접속한 제1 디바이스로부터 상기 웹서버가 상기 제1 디바이스에 제공한 토큰을 검증하는 단계; 및 상기 토큰 검증이 완료되면 상기 제1 디바이스로 상기 인증서를 전송하는 단계를 포함할 수 있다.
상기 IoT 플랫폼은 인증 서버 및 인증서 다운로드 서버를 포함할 수 있다.
상기 제2 디바이스는제조 과정에서 미리 할당되거나 상기 IoT 플랫폼과의 프로비저닝을 통해 제공된 인증서를 저장할 수 있다.
상기 제1 디바이스는 모바일 단말 또는 IoT 디바이스에 내장된 서버이며, 상기 제2 디바이스는 상기 모바일 단말 또는 상기 서버에 의해 제어되는 댁내에 위치한 복수의 디바이스일 수 있다.
본 발명의 다른 측면에 따르면, 상기한 방법을 수행하기 위한 일련의 명령을 포함하는 매체에 저장된 컴퓨터 프로그램이 제공된다.
본 발명의 또 다른 측면에 따르면, 복수의 디바이스와 네트워크를 통해 연결되는 장치로서, 프로세서; 및 상기 프로세서에 의해 연결된 메모리를 포함하되, 상기 메모리는, 제1 디바이스와 인증서 및 키를 교환하여 상기 제1 디바이스를 인증하고, 인증이 완료되면, E2E(end-to-end) 세션 키를 교환을 통해 보안 채널이 형성되도록 하고, 상기 제1 디바이스에 그룹 아이디 및 그룹 키를 할당하고, 상기 제1 디바이스에 의해 요청된 제2 디바이스에 상기 그룹 아이디 및 그룹 키를 할당하도록, 상기 프로세서에 의해 실행 가능한 프로그램 명령어들을 저장하는 IoT 환경에서 P2P 데이터 보안 서비스 제공 장치가 제공된다.
본 발명의 또 다른 측면에 따르면, 네트워크를 통해 인증 서버와 연결되는 IoT 환경에서 디바이스 장치로서, 프로세서; 및 상기 프로세서에 의해 연결된 메모리를 포함하되, 상기 메모리는, 미리 저장된 인증서 및 키를 통해 상기 인증 서버로부터 인증을 받고, 인증이 완료되면, E2E(end-to-end) 세션 키를 교환을 통해 보안 채널이 형성되도록 하고, 상기 인증 서버로부터 수신된 그룹 아이디 및 그룹 키를 수신하여 저장하고, 다른 디바이스가 상기 인증 서버로부터 상기 그룹 아이디 및 그룹 키를 할당 받기 위해 상기 다른 디바이스로 토큰을 전송하도록, 상기 프로세서에 의해 실행 가능한 프로그램 명령어들을 저장하는 IoT 환경에서 디바이스 장치가 제공된다.
본 발명에 따르면, 인증 서버에 의해 인증 완료된 디바이스에 대해 그룹 키 개념을 도입하여 간편한 방법으로 IoT 환경에서 P2P 데이터 보안을 유지할 수 있는 장점이 있다.
도 1은 본 발명의 바람직한 일 실시예에 따른 IoT 환경에서 P2P 데이터 보안 서비스 제공 시스템 구성을 도시한 도면이다.
도 2는 본 발명의 일 실시예에 따른 디바이스에 인증서를 할당하는 과정을 도시한 흐름도이다.
도 3은 본 발명의 일 실시예에 따른 그룹 아이디 할당 과정을 도시한 흐름도이다.
도 4는 본 발명의 일 실시예에 따른 서로 다른 디바이스간 P2P 세션 설정 과정을 도시한 흐름도이다.
도 5는 본 발명의 일 실시예에 따른 서브 그룹 설정 과정을 도시한 흐름도이다.
도 6은 본 발명의 일 실시예에 따른 인증 서버의 상세 구성을 도시한 도면이다.
도 7은 본 발명의 일 실시예에 따른 디바이스의 상세 구성을 도시한 도면이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다.
이하에서, 본 발명에 따른 실시예들을 첨부된 도면을 참조하여 상세하게 설명한다.
도 1은 본 발명의 바람직한 일 실시예에 따른 IoT 환경에서 P2P 데이터 보안 서비스 제공 시스템 구성을 도시한 도면이다.
도 1에 도시된 바와 같이, 본 실시예에 따른 시스템은 인증 서버(100), 프로비저닝 서버(102), 인증서 다운로드 서버(104) 및 인증서 발급 서버(106)를 포함할 수 있다.
본 명세서에서는 상기한 복수의 서버가 IoT 환경에서 개별 디바이스간 통신 보안을 위한 서비스를 제공한다는 점에서 IoT 플랫폼으로 정의한다.
도 1에서는 IoT 플랫폼이 복수의 서버로 이루어진 것으로 도시하였으나, 이는 일예에 불과할 뿐, 단일 서버가 P2P 데이터 보안 서비스를 제공하는 것도 본 발명의 범주에 포함될 수 있다.
여기서, IoT 플랫폼 중 인증 서버(100) 및 인증서 다운로드 서버(104)는 네트워크를 통해 디바이스(108)와 연결된다. 네트워크는 유무선 인터넷망, 이동 통신망 등을 모두 포함할 수 있다.
인증 서버(100)는 접속된 디바이스의 인증 과정을 수행하며, 인증서를 갖는 디바이스에 가상 디바이스 아이디(virtual device id) 및 그룹 아이디(group id)를 할당한다.
프로비저닝 서버(102)는 가입자/디바이스 관리를 수행하며, 각 디바이스에 할당되는 인증서를 관리한다.
인증서 다운로드 서버(104)는 인증 서버(100)와 연동하여 검증(verification)이 완료된 디바이스로 인증서를 전송한다.
바람직하게, 인증서 다운로드 서버(104)는 서비스 프로바이더(예를 들어, 웹 포털 사업자 서버)에 아이디/패스워드를 통해 로그인이 이루어진 디바이스(108)에 대해, 디바이스(108)가 인증 서버(100)로부터 전송 받은 토큰을 통해 검증을 수행한다.
인증서 발급 서버(106)는 프로비저닝 서버(102)와 연동하여 특정 디바이스를 위한 인증서를 발급한다.
본 발명의 바람직한 일 실시예에 따르면, 인증 서버(100)는 제1 디바이스(108-1)가 다른 제2 디바이스(108-2)와의 그룹 설정을 요청하는 경우, 제2 디바이스(108-2)에 가상 디바이스 아이디를 할당하고 또한 제1 디바이스(108-1)에 할당한 것과 동일한 그룹 아이디 및 그룹 키를 할당한다.
본 발명의 바람직한 일 실시예에 따르면, 동일한 그룹 아이디 및 그룹 키를 할당 받은 복수의 디바이스들은 P2P 데이터 교환 시 인증 서버(100)에 접속할 필요 없이 그룹 아이디에 대한 그룹 키를 이용하여 상호간 인증을 수행하고 보안 채널을 형성한다.
본 실시예에 따른 제1 디바이스(108-1)는 어플리케이션이 설치되며 네트워크 연결이 가능한 모바일 단말, 노트북, 태블릿 PC 또는 데스크탑 PC일 수 있다.
제2 디바이스(108-2)는 댁내 가전제품 및 기타 전자/전기 기기를 포함할 수 있다.
이하에서는 도면을 참조하여 IoT 환경에서 P2P 데이터 보안 서비스를 제공하는 과정을 상세하게 설명한다.
도 2는 본 발명의 일 실시예에 따른 디바이스에 인증서를 할당하는 과정을 도시한 흐름도이다.
도 2를 참조하면, 디바이스(108)는 아이디 및 패스워드를 서비스 프로바이더로 전송한다(단계 200).
예를 들어, 서비스 프로바이더는 포털 서비스를 제공하는 사업자(예를 들어, NAVER, GOOGLE 등)의 웹서버일 수 있다.
서비스 프로바이더는 아이디/패스워드가 미리 등록된 사용자의 정보와 일치하는 경우, 토큰(token)을 포함하는 인증 응답을 디바이스(108)로 전송한다(단계 202).
이후, 디바이스(108)와 인증서 다운로드 서버(104)는 토큰을 통해 보안 채널(Secure channel)을 형성한다(단계 204).
인증서 다운로드 서버(104)는 서비스 프로바이더로 토큰 검증을 요청하고(단계 206), 서비스 프로바이더는 검증 결과를 인증서 다운로드 서버(104)로 전송한다(단계 208).
토큰 검증이 완료되는 경우, 디바이스(108)는 인증서 다운로드 서버(104)로 인증서를 요청하고(단계 210), 인증서 다운로드 서버(104)는 인증서 발급 서버(106)에서 발급된 인증서를 전송한다(단계 212).
이후, 디바이스(108)는 인증서를 저장한다(단계 214).
도 2는 디바이스(108)는 인증서가 미리 저장되는 않은 단말이 수행하는 과정으로서, 모바일 단말인 경우에는 서비스 프로바이더에 로그인된 경우에 인증서 다운로드 절차가 수행될 수 있다.
도 3은 본 발명의 일 실시예에 따른 그룹 아이디 할당 과정을 도시한 흐름도이다.
도 3에서 디바이스는 도 2의 과정을 통해 인증서를 저장하거나 또는 제조 과정에서 인증서가 미리 탑재된 디바이스일 수 있다.
도 3에서 IoT 플랫폼은 인증 서버(100)일 수 있다.
도 3을 참조하면, 디바이스(108)와 인증 서버(100)는 인증 및 세션 관리를 수행한다.
보다 상세하게, 인증 서버(100)는 인증 서버(100)는 도 2의 과정을 통해 디바이스(108)가 미리 저장한 인증서 및 고유키를 이용하여 디바이스(108)에 대한 인증을 수행한다(단계 300).
인증 서버(100)는 디바이스(108)에 대한 인증이 완료되면 디바이스(108)로 가상 디바이스 아이디(virtual device id)를 전송한다(단계 302).
디바이스(108)는 할당된 가상 디바이스 아이디를 저장한다(단계 304).
이후, 인증 서버(100)와 디바이스(108)는 E2E 세션키 교환을 통해 보안 채널을 형성한다(단계 306).
단계 306은 인증 서버(100)와 디바이스(108)가 데이터를 E2E 세션키로 암호화하여 송수신하는 것을 의미한다.
보안 채널 형성 후, 인증 서버(100)는 디바이스(108)로 그룹 아이디를 전송한다(단계 308).
디바이스(108)는 인증 서버(100)로부터 암호화되어 전송된 그룹 아이디를 E2E 세션키를 통해 복호화하여 저장한다(단계 310).
다음으로 인증 서버(100)와 디바이스(108)는 그룹 키를 교환한다(단계 312). 여기서, 그룹 키는 서로 다른 디바이스가 동일한 그룹에 속하는지를 판단하기 위한 키로서, 디바이스 상호간 인증을 위해 사용된다.
단계 312에서, 인증 서버(100)는 그룹 키를 디바이스(108)로 전송하고, 디바이스(108)는 그룹 키를 저장한다.
본 실시예에 따르면, 디바이스(108)가 사용자가 소지한 모바일 단말인 경우, 인증서가 미리 저장된 모바일 단말이 인증 서버(100)에 접속하여 그룹 아이디 및 그룹 키를 할당 받을 수 있다.
한편, 디바이스(108)가 댁내에 설치된 가전 제품인 경우, 디바이스(108)는 그룹 아이디를 이미 할당 받은 모바일 단말로부터 전송된 토큰을 통해 인증 서버(100)에 접속하여 모바일 단말과 동일한 그룹 아이디를 할당 받을 수 있다.
토큰을 통한 그룹 아이디 할당 과정을 모바일 단말을 통한 요청에 의해서뿐만 아니라, 댁내 가전 제품과 연결된 마스터 디바이스(예를 들어, 홈 서버)의 요청에 의해 이루어질 수도 있다.
도 4는 본 발명의 일 실시예에 따른 서로 다른 디바이스간 P2P 세션 설정 과정을 도시한 흐름도이다.
도 4는 인증 서버(100)에 의해 사전에 인증이 완료되고, 또한 가상 디바이스 아이디 및 그룹 아이디를 할당 받은 디바이스간에 수행되는 과정을 도시한 것이다.
도 4를 참조하면, 제1 디바이스(108-1)와 제2 디바이스(108-2)는 가상 디바이스 아이디를 교환한다(단계 400).
또한, 제1 디바이스(108-1)와 제2 디바이스(108-2)는 그룹 아이디를 교환한다(단계 402).
단계 402에서, 제1 디바이스(108-1)는 인증 데이터를 미리 저장된 그룹 아이디에 상응하는 제1 그룹 키를 통해 암호화하여 제2 디바이스(108-2)로 전송하고, 제2 디바이스(108-2)는 자신의 그룹 아이디에 상응하는 제2 그룹 키를 통해 수신된 인증 데이터를 복호화한다. 여기서 인증 데이터는 랜덤하게 생성된 난수일 수 있다.
복호화가 이루어지는 경우, 제2 디바이스(108)는 제1 디바이스(108-1)의 가상 디바이스를 아이디를 저장한다(단계 404).
또한, 단계 402에서 제2 디바이스(108-2)는 제2 그룹 키로 인증 데이터를 암호화하여 제1 디바이스(108-1)로 전송한다.
제1 디바이스(108-1)가 제1 그룹 키를 이용하여 암호화된 인증 데이터를 복호화하면 제2 디바이스(108-2)의 가상 디바이스 아이디를 저장한다(단계 406).
상기한 과정을 통해 제1 및 제2 디바이스(108-1 및 106-2) 상호간에 인증이 완료된다.
상호간 인증이 완료된 이후, 제1 디바이스(108-1) 및 제2 디바이스(108-2)는 P2P 세션 키를 교환한다(단계 408).
여기서 P2P 세션 키는 상호 간에 데이터를 송수신할 때 암호화 및 복호화를 위해 사용되는 키로써, 이를 통해 제1 디바이스(108-1) 및 제2 디바이스(108-2) 사이에 P2P 데이터의 보안이 유지될 수 있다.
본 발명의 바람직한 일 실시예에 따르면, 상기한 그룹 아이디는 마스터 그룹 아이디일 수 있으며, 마스터 디바이스로 정의되는 제1 디바이스(108-1) 외에, 다른 사용자의 제3 디바이스(108-3)가 제2 디바이스(108-2)를 제어하도록 지원할 수 있다.
도 5는 본 발명의 일 실시예에 따른 서브 그룹 설정 과정을 도시한 흐름도이다.
도 5는 다른 사용자의 제3 디바이스(108-3)와 제1 디바이스(108-1)와 동일한 그룹으로 설정된 제2 디바이스(108-2)와 서브 그룹을 설정하는 과정이다.
도 5의 과정은 제1 디바이스(108-1)가 다른 사용자의 요청에 따라 제2 디바이스(108-2)의 권한 설정을 변경하는 경우에 수행된다.
본 발명의 일 실시예에 따르면, 제1 디바이스(108-1)와 제2 디바이스(108-2)가 동일한 그룹으로 설정되는 경우, “서브 그룹 허용 안함”이 디폴트로 권한 설정될 수 있다.
여기서, 권한 설정 변경은 제1 디바이스(108-1)의 사용자가 제2 디바이스(108-2)에 대해 “서브 그룹 허용”으로 권한 설정을 변경하는 것을 의미한다.
도 5를 참조하면, 제3 디바이스(108-3)는 제2 디바이스(108-2)로 초기 접속 정보를 전송한다(단계 500).
단계 500의 초기 접속 정보는 제3 디바이스 아이디, 제3 디바이스의 시리얼 넘버, Pre-shared long term secret key 의 유효성 검사 정보(E(Kps, xxxx)), 디바이스 고유 개인키에 대한 유효성 검사 정보(E(Kp, yyyy))를 포함할 수 있다.
제2 디바이스(108-2)는 초기 접속 정보에 대한 응답을 전송한다(단계 502).
이후, 제3 디바이스(108-3)는 제2 디바이스(108-2)로 서브 그룹 아이디를 포함하는 그룹 조인 요청을 전송한다(단계 504).
제2 디바이스(108-2)는 그룹 조인 요청에 대한 응답을 전송한다(단계 506).
다음으로, 제3 디바이스(108-3)는 제2 디바이스(108-2)로 그룹 키를 전송하고(단계 508), 제2 디바이스(108-2)는 제3 디바이스(108-3)로 이에 대한 응답을 전송한다(단계 510).
도 5의 과정을 통해 제3 디바이스(108-3)가 제2 디바이스(108-2)의 제어를 위한 서브 그룹이 설정된 이후, 제1 디바이스(108-3)의 사용자는 제2 디바이스(108-2)에 대해 “서브 그룹 허용 안함”으로 권한 설정을 변경한다.
도 6은 본 발명의 일 실시예에 따른 인증 서버의 상세 구성을 도시한 도면이다.
도 6을 참조하면, 본 실시예에 따른 인증 서버(100)는 통신부(600), 프로세서(602) 및 메모리(604)를 포함할 수 있다.
통신부(600)는 디바이스(108)로부터 디바이스 고유 키를 통한 암호화된 데이터를 수신하고, 디바이스 인증이 완료되는 경우, 가상 디바이스 아이디, 그룹 아이디 및 그룹 키를 전송한다.
프로세서(602)는 컴퓨터 프로그램을 실행할 수 있는 CPU(central processing unit)나 그밖에 가상 머신 등을 포함할 수 있다.
메모리(604)는 고정식 하드 드라이브나 착탈식 저장 장치와 같은 불휘발성 저장 장치를 포함할 수 있다. 착탈식 저장 장치는 컴팩트 플래시 유닛, USB 메모리 스틱 등을 포함할 수 있다. 메모리(604)는 각종 랜덤 액세스 메모리와 같은 휘발성 메모리도 포함할 수 있다.
이와 같은 메모리(604)에는 프로세서(602)에 의해 실행 가능한 프로그램 명령어들이 저장된다.
보다 상세하게, 인증 서버(100)의 메모리(604)에는 제1 디바이스(108-1)와 인증서 및 키를 교환하여 제1 디바이스(108-1)를 인증하고, 인증이 완료되면, E2E(end-to-end) 세션 키를 교환을 통해 보안 채널이 형성되도록 하고, 제1 디바이스(108-1)에 그룹 아이디 및 그룹 키를 할당하도록 하는 프로그램 명령어들이 저장된다.
또한, 메모리(604)에는 제1 디바이스(108-1)에 의해 요청된 다른 디바이스(제2 디바이스, 106-2) 에 상기한 그룹 아이디 및 그룹 키를 할당하도록 하는 프로그램 명령어들이 저장된다.
여기서, 제2 디바이스(108-2)로의 그룹 아이디 및 그룹 키 할당은 제1 디바이스(108-1)가 전송한 토큰을 통해 제2 디바이스(108-2)가 인증 서버(100)에 접속하는 경우에 수행될 수 있다.
도 7은 본 발명의 일 실시예에 따른 디바이스의 상세 구성을 도시한 도면이다.
도 7을 참조하면, 본 실시예에 따른 디바이스는 통신부(700), 프로세서(702), 메모리(704) 및 저장부(706)를 포함할 수 있다.
통신부(700)는 인증 서버(100)와 통신하여 인증 절차가 수행될 수 있도록 하며, 또한, 다른 디바이스와 데이터를 송수신한다.
프로세서(702)는 IoT 환경에서 P2P 데이터 보안에 관한 전반적인 제어 과정을 수행한다.
디바이스의 메모리(704)에는 저장부(706)에 저장된 인증서 및 키를 통해 인증 서버(100)로 인증을 위한 정보가 전송되도록 하고, 인증이 완료되면, E2E(end-to-end) 세션 키를 교환을 통해 보안 채널이 형성되도록 하고, 인증 서버(100)로부터 수신된 제1 그룹 아이디 및 제1 그룹 키가 저장부(706)에 저장되도록 하는 프로그램 명령어들이 저장된다.
또한, 디바이스의 메모리(706)에는 다른 디바이스(제2 디바이스, 106-2)가 인증 서버(100)로부터 제1 그룹 아이디 및 제1 그룹 키를 할당 받기 위해 제2 디바이스로 토큰이 전송되도록 하는 프로그램 명령어들이 저장된다.
이상과 같이 본 발명에서는 구체적인 구성 요소 등과 같은 특정 사항들과 한정된 실시예 및 도면에 의해 설명되었으나 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상적인 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다. 따라서, 본 발명의 사상은 설명된 실시예에 국한되어 정해져서는 아니되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등하거나 등가적 변형이 있는 모든 것들은 본 발명 사상의 범주에 속한다고 할 것이다.

Claims (12)

  1. 복수의 디바이스와 네트워크를 통해 연결되는 IoT 플랫폼에서 디바이스 간 P2P 데이터 보안 서비스를 제공하는 방법으로서,
    제1 디바이스의 인증서 및 고유키를 이용하여 상기 제1 디바이스를 인증하는 단계;
    인증이 완료되면, E2E(end-to-end) 세션 키를 교환을 통해 보안 채널을 형성하고 상기 제1 디바이스에 그룹 아이디 및 그룹 키를 할당하는 단계; 및
    상기 제1 디바이스에 의해 요청된 제2 디바이스에 상기 그룹 아이디 및 그룹 키를 할당하는 단계를 포함하되,
    상기 제2 디바이스에 상기 그룹 아이디 및 그룹 키를 할당하는 단계는, 상기 제2 디바이스가 상기 제1 디바이스로부터 전송된 토큰(token)을 통해 상기 IoT 플랫폼에 접속하는 경우에 수행되며,
    상기 제1 디바이스 및 상기 제2 디바이스는, 상기 그룹 키를 통해 암호화된 인증 데이터를 송수신하고, 상기 암호화된 인증 데이터가 복호화되면 상호간의 인증 서버로부터 할당된 가상 디바이스 아이디를 저장하며, 가상 디바이스 아이디 저장 이후, P2P 세션 키 교환을 통해 보안 채널을 형성하고,
    상기 그룹 아이디는 마스터 그룹 아이디이며, 상기 제1 디바이스의 권한 설정 변경에 의해 제3 디바이스의 상기 제2 디바이스 제어를 위한 서브 그룹이 설정되는 IoT 환경에서 P2P 데이터 보안 서비스 제공 방법.
  2. 삭제
  3. 삭제
  4. 삭제
  5. 제1항에 있어서,
    상기 제1 디바이스의 인증 단계에 선행하여,
    서비스 프로바이더의 웹서버에 아이디 및 패스워드를 통해 접속한 제1 디바이스로부터 상기 웹서버가 상기 제1 디바이스에 제공한 토큰을 검증하는 단계; 및
    상기 토큰 검증이 완료되면 상기 제1 디바이스로 상기 인증서를 전송하는 단계를 포함하는 IoT 환경에서 P2P 데이터 보안 서비스 제공 방법.
  6. 제1항에 있어서,
    상기 IoT 플랫폼은 상기 제1 디바이스를 인증하는 인증 서버 및 상기 제1 디바이스로 인증서를 전송하는 인증서 다운로드 서버를 포함하는 IoT 환경에서 P2P 데이터 보안 서비스 제공 방법.
  7. 제1항에 있어서,
    상기 제2 디바이스는 제조 과정에서 미리 할당되거나 상기 IoT 플랫폼과의 프로비저닝을 통해 제공된 인증서를 저장하는 IoT 환경에서 P2P 데이터 보안 서비스 제공 방법.
  8. 제1항에 있어서,
    상기 제1 디바이스는 모바일 단말 또는 IoT 디바이스에 내장된 서버이며, 상기 제2 디바이스는 상기 모바일 단말 또는 상기 서버에 의해 제어되는 댁내에 위치한 복수의 디바이스인 IoT 환경에서 P2P 데이터 보안 서비스 제공 방법.
  9. 제1항에 따른 방법을 수행하기 위한 일련의 명령을 포함하는 매체에 저장된 컴퓨터 프로그램.
  10. 복수의 디바이스와 네트워크를 통해 연결되는 장치로서,
    프로세서; 및
    상기 프로세서에 의해 연결된 메모리를 포함하되,
    상기 메모리는,
    제1 디바이스와 인증서 및 키를 교환하여 상기 제1 디바이스를 인증하고,
    인증이 완료되면, E2E(end-to-end) 세션 키를 교환을 통해 보안 채널이 형성되도록 하고,
    상기 제1 디바이스에 그룹 아이디 및 그룹 키를 할당하고,
    상기 제1 디바이스에 의해 요청된 제2 디바이스에 상기 그룹 아이디 및 그룹 키를 할당하도록,
    상기 프로세서에 의해 실행 가능한 프로그램 명령어들을 저장하되,
    상기 제2 디바이스에 상기 그룹 아이디 및 그룹 키를 할당하는 과정은, 상기 제2 디바이스가 상기 제1 디바이스로부터 전송된 토큰(token)을 통해 상기 IoT 플랫폼에 접속하는 경우에 수행되며,
    상기 제1 디바이스 및 상기 제2 디바이스는, 상기 그룹 키를 통해 암호화된 인증 데이터를 송수신하고, 상기 암호화된 인증 데이터가 복호화되면 상호간의 인증 서버로부터 할당된 가상 디바이스 아이디를 저장하며, 가상 디바이스 아이디 저장 이후, P2P 세션 키 교환을 통해 보안 채널을 형성하고,
    상기 그룹 아이디는 마스터 그룹 아이디이며, 상기 제1 디바이스의 권한 설정 변경에 의해 제3 디바이스의 상기 제2 디바이스 제어를 위한 서브 그룹이 설정되는 IoT 환경에서 P2P 데이터 보안 서비스 제공 장치.
  11. 삭제
  12. 삭제
KR1020160066494A 2016-05-30 2016-05-30 IoT 환경에서 P2P 데이터 보안 서비스 제공 방법 및 장치 Active KR102560805B1 (ko)

Priority Applications (3)

Application Number Priority Date Filing Date Title
KR1020160066494A KR102560805B1 (ko) 2016-05-30 2016-05-30 IoT 환경에서 P2P 데이터 보안 서비스 제공 방법 및 장치
PCT/KR2017/005577 WO2017209467A1 (ko) 2016-05-30 2017-05-29 IoT 환경에서 P2P 데이터 보안 서비스 제공 방법 및 장치
EP17806960.5A EP3468133B1 (en) 2016-05-30 2017-05-29 Method and apparatus for providing p2p data security service in iot environment

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160066494A KR102560805B1 (ko) 2016-05-30 2016-05-30 IoT 환경에서 P2P 데이터 보안 서비스 제공 방법 및 장치

Publications (2)

Publication Number Publication Date
KR20170135103A KR20170135103A (ko) 2017-12-08
KR102560805B1 true KR102560805B1 (ko) 2023-07-28

Family

ID=60478691

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160066494A Active KR102560805B1 (ko) 2016-05-30 2016-05-30 IoT 환경에서 P2P 데이터 보안 서비스 제공 방법 및 장치

Country Status (3)

Country Link
EP (1) EP3468133B1 (ko)
KR (1) KR102560805B1 (ko)
WO (1) WO2017209467A1 (ko)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102032032B1 (ko) * 2017-12-22 2019-11-08 단국대학교 산학협력단 사물 인터넷 디바이스를 위한 dtls 기반 종단간 보안 방법
CN108881021B (zh) * 2018-05-08 2020-08-04 常熟理工学院 一种高效可靠的物联网实现方法
KR102135710B1 (ko) * 2018-05-16 2020-07-20 주식회사 시옷 하드웨어 보안 모듈
CN112262546B (zh) * 2019-01-04 2024-04-23 百度时代网络技术(北京)有限公司 用于数据处理加速器的密钥分配和交换的方法和系统
CN115104283B (zh) * 2020-02-10 2025-05-30 三星电子株式会社 电子设备和用于在电子设备中执行对等服务的方法
US12316772B2 (en) * 2021-03-15 2025-05-27 Synamedia Limited Home context-aware authentication
US12244733B2 (en) * 2022-06-24 2025-03-04 Hewlett Packard Enterprise Development Lp Authorizing secure connections responsive to certificates bound to logical identifiers
US12137159B2 (en) 2022-08-23 2024-11-05 Centro de Pesquisas Avancades Wernher von Braun Encryption key distribution via wireless mobile devices to internet of things (IoT) systems

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7068789B2 (en) * 2001-09-19 2006-06-27 Microsoft Corporation Peer-to-peer name resolution protocol (PNRP) group security infrastructure and method
US8041942B2 (en) * 2006-09-05 2011-10-18 Panasonic Corporation Robust peer-to-peer networks and methods of use thereof
KR101990882B1 (ko) * 2012-10-09 2019-09-30 에스케이 텔레콤주식회사 사물 인터넷을 위한 인증 방법과 그를 위한 디바이스 및 인증 장치
JP6307497B2 (ja) * 2013-04-30 2018-04-04 リンテック株式会社 ディスプレイ用光拡散フィルムおよびそれを用いた表示装置
US9451462B2 (en) * 2014-08-10 2016-09-20 Belkin International Inc. Setup of multiple IoT network devices
KR102311027B1 (ko) * 2014-08-14 2021-10-08 삼성전자 주식회사 그룹단말의 프로파일 설치 방법
KR101621044B1 (ko) 2014-09-03 2016-05-23 주식회사 헤리트 IoT 환경에서 공개키 배포를 이용한 정보 보안 장치 및 방법
KR102297475B1 (ko) * 2014-10-17 2021-09-02 삼성전자주식회사 사물 인터넷을 위한 단말 및 그 동작 방법
KR20160054662A (ko) * 2014-11-06 2016-05-17 주식회사 케이티 효율적 동적 그룹 인증 방법

Also Published As

Publication number Publication date
EP3468133B1 (en) 2021-03-17
WO2017209467A1 (ko) 2017-12-07
EP3468133A4 (en) 2019-05-01
EP3468133A1 (en) 2019-04-10
KR20170135103A (ko) 2017-12-08

Similar Documents

Publication Publication Date Title
KR102560805B1 (ko) IoT 환경에서 P2P 데이터 보안 서비스 제공 방법 및 장치
TWI759322B (zh) 物聯網設備的燒錄校驗方法及裝置、身份認證方法及裝置
US9674699B2 (en) System and methods for secure communication in mobile devices
US8838961B2 (en) Security credential deployment in cloud environment
JP6668183B2 (ja) 通信装置、通信方法、通信システムおよびプログラム
JP7202688B2 (ja) 認証システム、認証方法、アプリケーション提供装置、認証装置、及び認証用プログラム
US9867051B2 (en) System and method of verifying integrity of software
US20200287726A1 (en) Remote device control
US8863255B2 (en) Security credential deployment in cloud environment
TW201638824A (zh) 基於雲環境的加密機金鑰注入系統、方法及裝置
US20130019281A1 (en) Server Based Remote Authentication for BIOS
US20190245857A1 (en) Method for securing access by software modules
CN106603461A (zh) 一种业务认证的方法、装置和系统
JP6667371B2 (ja) 通信システム、通信装置、通信方法、及びプログラム
US10666432B2 (en) System and method of securing devices using encryption keys
CN116671062A (zh) 硬件安全模块的远程管理
KR101952329B1 (ko) 블록체인 기반 암호화폐의 트랜잭션에 이용되는 주소 정보 생성 방법, 전자 장치 및 컴퓨터 판독 가능한 기록 매체
CN106535089B (zh) 机器对机器虚拟私有网络
JP6449131B2 (ja) 通信装置、通信方法、およびコンピュータプログラム
US20190044721A1 (en) Device authorization using symmetric key systems and methods
CN112601218B (zh) 无线网络配置方法和装置
EP3997851B1 (en) Method, first device, first server, second server and system for accessing a private key
CN117319096A (zh) 访问权限管理方法、访问权限管理设备以及可读存储介质
CN106411884A (zh) 一种数据存储加密的方法及装置
CN116566695A (zh) 加密传输方法及系统

Legal Events

Date Code Title Description
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20160530

PG1501 Laying open of application
PA0201 Request for examination

Patent event code: PA02012R01D

Patent event date: 20210528

Comment text: Request for Examination of Application

Patent event code: PA02011R01I

Patent event date: 20160530

Comment text: Patent Application

E902 Notification of reason for refusal
PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20221116

Patent event code: PE09021S01D

E701 Decision to grant or registration of patent right
PE0701 Decision of registration

Patent event code: PE07011S01D

Comment text: Decision to Grant Registration

Patent event date: 20230512

GRNT Written decision to grant
PR0701 Registration of establishment

Comment text: Registration of Establishment

Patent event date: 20230725

Patent event code: PR07011E01D

PR1002 Payment of registration fee

Payment date: 20230725

End annual number: 3

Start annual number: 1

PG1601 Publication of registration