KR102309906B1 - Vpn 서버로 동작하는 사물인터넷 디바이스 - Google Patents

Vpn 서버로 동작하는 사물인터넷 디바이스 Download PDF

Info

Publication number
KR102309906B1
KR102309906B1 KR1020200025942A KR20200025942A KR102309906B1 KR 102309906 B1 KR102309906 B1 KR 102309906B1 KR 1020200025942 A KR1020200025942 A KR 1020200025942A KR 20200025942 A KR20200025942 A KR 20200025942A KR 102309906 B1 KR102309906 B1 KR 102309906B1
Authority
KR
South Korea
Prior art keywords
certificate
user terminal
issuance
unit
iot device
Prior art date
Application number
KR1020200025942A
Other languages
English (en)
Other versions
KR20210111382A (ko
Inventor
김경모
Original Assignee
시큐리티플랫폼 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 시큐리티플랫폼 주식회사 filed Critical 시큐리티플랫폼 주식회사
Priority to KR1020200025942A priority Critical patent/KR102309906B1/ko
Publication of KR20210111382A publication Critical patent/KR20210111382A/ko
Application granted granted Critical
Publication of KR102309906B1 publication Critical patent/KR102309906B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2803Home automation networks
    • H04L12/283Processing of data at an internetworking point of a home automation network
    • H04L12/2834Switching of information between an external network and a home network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2854Wide area networks, e.g. public data networks
    • H04L12/2856Access arrangements, e.g. Internet access
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y10/00Economic sectors
    • G16Y10/80Homes; Buildings
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y30/00IoT infrastructure
    • G16Y30/10Security thereof

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 인터넷망 접속을 지원하는 통신 인터페이스, 접속한 VPN 클라이언트와의 터널 통신을 수행하는 VPN 서버, 복수의 동작 프로세스들로 구성된 프로세스부, 상기 VPN 서버에 접속한 VPN 클라이언트의 사용자 단말에 대하여 인증서를 기반으로 인증 동작을 수행하는 인증부, 상기 프로세스부의 제어에 따라 동작하며 인증서를 요청한 사용자 단말이 설정된 인증서 생성조건을 만족하였는지를 파악하고, 인증서 생성조건을 만족한 경우에 인증서를 생성하는 인증서 생성부, 그리고 상기 인증서 생성부에서 생성한 인증서를 해당 사용자 단말의 식별정보에 매칭하여 저장하고 있는 인증서 저장부를 포함하는 VPN 서버로 동작하는 사물인터넷 디바이스에 관한 것이다.

Description

VPN 서버로 동작하는 사물인터넷 디바이스{Internet of things device with VPN server}
본 발명은 IoT(사물인터넷) 디바이스의 보안 기술에 관한 것으로, 특히, VPN 서버로 동작하는 사물인터넷 디바이스에 관한 것이다.
일반적으로, 사물인터넷 네트워크는 도 1에 도시된 바와 같이 AP(Access Point)나 기지국 등의 접속점(20) 및 게이트웨이(30)를 이용하여 사물인터넷 디바이스(10)를 인터넷망에 접속할 수 있게 한다. 그리고 사물인터넷 네트워크는 댁내의 홈네트워크를 구성하는 가전기기, 컴퓨터, 영상기기, 오디오 기기 등의 사물인터넷 디바이스를 하나의 노드로 하고 있다.
홈네트워크의 사물인터넷 디바이스(10)는 도 2에 도시된 바와 같이 인터넷에 접속하기 위한 통신 인터페이스(11)를 가지며, 통신 인터페이스(11)는 이더넷 통신, 근거리무선통신, 광대역무선통신, 전력선통신, LTE 등의 다양한 통신 프로토콜 중 적어도 하나의 통신 프로토콜을 지원하여, 원격에 위치한 모바일이나 컴퓨터 등의 사용자 단말(40)에게 정보를 제공하거나 사용자 단말(40)의 제어를 받을 수 있게 한다.
예컨대, 사물인터넷 디바이스(10)가 보일러인 경우에, 보일러는 통신 인터페이스(11)를 통해 원격에 위치한 사용자 단말(40)과 양방향 통신을 수행하고, 사용자 단말(40)로부터 명령을 처리하는 프로세스부(12)의 해당 프로세스의 제어에 따라 동작부(13)가 동작하여 전원을 끄거나 온도를 높이거나 낮추는 등을 수행한다. 다른 예로, 사물인터넷 디바이스(10)가 CCTV 카메라인 경우에, CCTV는 사용자 단말(40)의 명령에 따라 촬영한 영상을 제공하거나 촬영 영상을 조회할 수 있게 하거나, 또는 촬영 방향을 달리하는 등의 동작을 수행한다.
이렇게 홈네트워크의 사물인터넷 디바이스(10)를 원격에서 제어하는 것은 많은 편리함을 제공하지만, 악의적인 사용자에게 이용되는 경우에 사생활 침해나 안전 등에 큰 피해를 주는 문제가 있다.
이러한 문제를 해결하기 위해, 종래에는 홈네트워크의 사물인터넷 디바이스(10)에 접근(접속)하는 사용자 단말에 대한 인증 절차를 마련하여 정해진 사용자만이 해당 사물인터넷 디바이스(10)에 접근할 수 있게 한다. 여기서 인증 절차는 아이디 및 패스워드를 입력하는 방법, 인증서를 이용한 인증방법 등이 있다.
그러나 이러한 방법은 공인 IP망 즉 인터넷망을 기반으로 하여 보안이 취약한 단점이 있다.
본 발명이 해결하고자 하는 과제는 네트워크 보안성을 높이는 홈네트워크의 사물인터넷 디바이스를 제공하는 것이다.
본 실시 예가 이루고자 하는 기술적 과제는 상기된 바와 같은 기술적 과제로 한정되지 않으며, 이하의 실시 예들로부터 또 다른 기술적 과제들이 유추될 수 있다.
상기 과제를 해결하기 위한 실시 예에 따른 본 발명은 인터넷망 접속을 지원하는 통신 인터페이스, 접속한 VPN 클라이언트와의 터널 통신을 수행하는 VPN 서버, 복수의 동작 프로세스들로 구성된 프로세스부, 상기 VPN 서버에 접속한 VPN 클라이언트의 사용자 단말에 대하여 인증서를 기반으로 인증 동작을 수행하는 인증부, 상기 프로세스부의 제어에 따라 동작하며 인증서를 요청한 사용자 단말이 설정된 인증서 생성조건을 만족하였는지를 파악하고, 인증서 생성조건을 만족한 경우에 인증서를 생성하는 인증서 생성부, 그리고 상기 인증서 생성부에서 생성한 인증서를 해당 사용자 단말의 식별정보에 매칭하여 저장하고 있는 인증서 저장부를 포함하는 VPN 서버로 동작하는 사물인터넷 디바이스를 제공한다.
상기 인증서 생성조건은 외부장치로부터 인증서 발급 허가 신호에 대응하는 인증서 발급 유효시간 내에 상기 사용자 단말에서 인증서 생성을 요청하는 경우에 인증서를 발급하는 것이거나, 기 저장된 공유암호키값과 일치하는 공유암호키값을 상기 사용자 단말에서 제공하는 것이거나, 상기 사용자 단말의 최종 접속점의 주소가 사물인터넷 디바이스가 현재 접속중인 접속점의 주소와 일치하는 것이다.
발명의 실시 예에 따르면, 본 발명은 홈네트워크의 사물인터넷 디바이스를 VPN 서버의 역할을 하도록 하고 VPN 클라이언트 역할을 하는 사용자 단말에게 인증서를 발급하는 기능을 하도록 함으로써 사물인터넷 디바이스에 대한 높은 보안성을 가지도록 한다.
도 1은 종래의 실시 예에 따른 홈네트워크를 포함하는 사물인터넷 네트워크를 보인 도면이다.
도 2는 사용자 단말과 원격 통신을 수행하는 종래 홈네트워크의 사물인터넷 디바이스의 구성을 보인 도면이다.
도 3은 사용자 단말과 원격 통신을 수행하는 본 발명의 실시 예에 따른 홈네트워크의 사물인터넷 디바이스의 구성을 보인 도면이다.
도 4는 본 발명의 실시 예에 따른 사물인터넷 디바이스의 보안 방법을 보인 순서도이다.
도 5는 본 발명의 제1 실시 예에 따른 사물인터넷 디바이스에서의 인증서 발급 방법을 보인 순서도이다.
도 6은 본 발명의 제2 실시 예에 따른 사물인터넷 디바이스에서의 인증서 발급 방법을 보인 순서도이다.
도 7은 본 발명의 제3 실시 예에 따른 사물인터넷 디바이스에서의 인증서 발급 방법을 보인 순서도이다.
아래에서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자들(이하, 통상의 기술자들)이 본 발명을 용이하게 실시할 수 있도록, 첨부되는 도면들을 참조하여 몇몇 실시 예가 명확하고 상세하게 설명될 것이다. 또한, 명세서에서 사용되는 "부" 이라는 용어는 하드웨어 구성요소 또는 회로를 의미할 수 있다.
이하에서는 첨부한 도면을 참조로 하여 본 발명의 실시 예에 따른 VPN 서버로 동작하는 사물인터넷 디바이스 및 이의 보안 방법을 설명한다.
도 3은 사용자 단말과 원격 통신을 수행하는 본 발명의 실시 예에 따른 홈네트워크의 사물인터넷 디바이스의 구성을 보인 도면이다. 도 3을 참고하면, 본 발명의 실시 예에 따른 홈네트워크의 사물인터넷 디바이스(100)는 통신 인터페이스(110), VPN 서버(120), 프로세스부(130), 동작부(140), 인증부(150), 인증서160) 및 인증서 저장부(170)를 포함한다.
통신 인터페이스(110)는 인터넷망 접속을 지원하여 사용자 단말(40a)과 통신을 가능하게 한다.
VPN 서버(120)는 VPN 클라이언트와의 터널 통신을 위해 사용자에 의해 설정되고, 공인 IP주소가 할당되어 있으며, 접속한 VPN 클라이언트와 터널을 형성하고 형성한 터널을 통해 VPN 클라이언트와 데이터 통신을 수행한다. VPN 서버(120)는 PPTP, OpneVPN, SSTP, S2TP/IPsec 등의 프로토콜을 이용하여 VPN 클라이언트와 터널을 형성한다. VPN 서버(120)는 VPN 서비스를 위한 프로그램으로 구성된다.
프로세스부(130)는 통신 인터페이스(110)의 포트에 대응하는 복수의 동작 프로세스들로 구성되고, 동작부(140)는 프로세스부(130) 중 적어도 하나의 프로세스의 제어에 따라 사물인터넷 디바이스 본연의 동작을 수행한다. 예컨대, 사물인터넷 디바이스가 냉장고이면 냉장고 본연의 동작, 리모컨이면 리모컨 동작, 보일러이면 냉, 난방 동작이다.
인증부(150)는 VPN 서버(120)에 접속한 VPN 클라이언트(41) 즉, VPN 클라이언트(41)의 동작을 하는 프로그램이 탑재된 사용자 단말(40a)에 대한 인증 동작을 수행한다.
인증서 생성부(160)는 프로세스부(130)의 제어에 따라 동작하며 인증서를 요청한 사용자 단말(40a)이 설정된 인증서 생성조건을 만족하였는지를 파악하고, 인증서 생성조건을 만족한 경우에 인증서를 생성한다.
인증서 저장부(170)는 인증서 생성부(160)에서 생성한 인증서를 해당 인증서를 제공한 사용자 단말(40a)의 식별정보(예: 공인 IP주소, MAC 주소 등)에 매칭하여 저장한다.
한편, 본 발명의 사물인터넷 디바이스(100)의 VPN 서버(110)에 대응하여 사물인터넷 디바이스(100)에 접속하는 사용자 단말에는 VPN 클라이언트(41)가 설치되어야 한다. VPN 클라이언트는 VPN 서비스를 위한 프로그램으로, 사용자 단말이 모바일인 경우에 모바일 앱(APP)이다. 상기 VPN 클라이언트(41)는 사물인터넷 디바이스(100)의 VPN 서버(120)에 할당된 공인 IP 주소를 저장하고 있으며, 활성화시 공인 IP 주소를 통해 VPN 서버(120)에 접속한다.
이하에서는 도 4를 참조로 하여 본 발명의 실시 예에 따른 홈네트워크의 사물인터넷 디바이스에서 동작 즉, 보안 동작을 설명한다. 도 4는 본 발명의 실시 예에 따른 사물인터넷 디바이스의 보안 방법을 보인 순서도이다.
VPN 클라이언트로 동작하는 사용자 단말(41a)과 VPN 서버로 동작하는 사물인터넷 디바이스(100)간에 통신을 위해서는 접속 요청하는 사용자 단말(41a)에서 사물인터넷 디바이스(100)로 인증서를 제공하여 접속 인증을 받아야 한다. 이때 접속 인증을 위한 인증서는 사물인터넷 디바이스(100)의 VPN 서버(120)에서 발급하게 된다. 따라서, 인증서를 발급받지 못한 사용자 단말(41a)은 사물인터넷 디바이스(100)에 접속하여 인증서 발급을 받는 과정을 수행하게 되는데, 이의 과정은 다음과 같다.
인증서를 발급받지 않은 사용자 단말(41a)에서 사물인터넷 디바이스(100)에 접속하여 인증서 발급 요청을 한다(S401).
인증서 발급 요청을 프로세스부(130)를 통해 인증서 생성부(160)에 전달한다. 인증서 생성부(160)는 인증서 발급 요청을 수신하면 설정된 인증서 생성조건을 확인하고(S402), 사용자 단말(41a)의 상태 또는 상황이 인증서 생성조건에 만족하는지 또는 인증서 발급 요청에 포함된 정보가 인증서 생성조건을 만족하는지를 판단한다(S403).
인증서 생성부(160)는 사용자 단말(41a)의 상태 또는 상황이 인증서 생성조건을 만족하지 않으면 발급 거절 메시지를 사용자 단말(41a)로 전송하고(S404), 인증서 생성조건을 만족하면 신규 인증서를 생성하고(S405), 생성한 인증서를 사용자 단말(41a)에 제공한다(S406). 그러면 사용자 단말(41a)는 제공받은 인증서를 저장한다(S407).
이후, 인증서를 제공받은 사용자 단말(41a)은 사물인터넷 디바이스(100)에 VPN 접속을 한 후(S408), VPN 서버(120)로부터 인증서를 요청받으면(S409), 저장된 인증서를 제공하게 된다(S410).
그러면 사물인터넷 디바이스(100)의 VPN 서버(120)는 제공받은 인증서를 해당 사용자 단말(41a)에 대응하여 저장된 루트 인증서(root certificate)와 비교하고, 일치하면 인증서를 승인한다(S411). 여기서 해당 사용자 단말(41a)로부터 수신된 인증서를 루트 인증서로 검증할 수 있지 않으면 인증 실패로 처리한다.
인증에 성공하면, VPN 서버(110)와 사용자 단말(41a) 즉, VPN 클라이언트(41)는 터널을 형성하고 형성된 터널을 통해 데이터 통신을 수행한다(S412).
이하에서는 도 5 내지 도 7을 참조로 하여 인증서 생성조건에 대응하는 인증서 발급 방법을 설명한다.
도 5는 본 발명의 제1 실시 예에 따른 사물인터넷 디바이스에서의 인증서 발급 방법을 보인 순서도이다. 설명에 앞서, 본 발명의 제1 실시 예에 따른 사물인터넷 디바이스에서의 인증서 발급 방법은 사물인터넷 디바이스(100)와 인증서 허가장치(미도시)가 유선 또는 무선으로 연결된 상태에서, 인증서 허가장치에 의한 허가 지시에 따라 수행된다. 여기서, 인증서 허가장치는 인증서 발급 허가를 지시하는 별도의 장치이다.
이러한 본 발명의 제1 실시 예에 따른 사물인터넷 디바이스에서의 인증서 발급 방법은 사용자가 인증서 발급을 육안으로 확인할 수 있는 상태이거나, 신뢰할 수 있는 상황에서 이루어지도록 하기 위한 것이다.
예컨대, 사용자가 인증서 발급을 육안으로 확인할 수 있는 상태는 본체에 부착 또는 유선으로 연결된 특정한 버튼이나 터치스크린 등의 입력수단을 인증서 허가장치로 하고 버튼을 누르거나 터치스크린을 터치하는 경우를 육안으로 확인하는 상태거나, 사물인터넷 디바이스(100)와 NFC 통신이나 와이파이, 지그비 등의 근거리 무선통신을 수행하는 통신장치를 인증서 허가장치로 하고, 통신장치를 조작하는 경우를 육안으로 확인하는 상태이다. 통신장치를 인증서 허가장치로 하는 경우에는 사물인터넷 디바이스(100)에 통신장치와 근거리 무선통신을 수행하는 통신모듈이 탑재된다.
그리고, 신뢰할 수 있는 상황은 신뢰할 수 있는 특정한 제3자 또는 사용자 본인의 모바일이나 컴퓨터 등과 같은 원격통신장치를 인증서 허가장치로 하고, 제3자와의 사전 동의나 약속에 의해 원격통신장치를 조작하는 상황이다. 이 경우에 사물인터넷 디바이스(100)에는 해당 원격통신장치를 식별할 수 있는 식별정보(예; 전화번호 또는 MAC 주소 등)가 저장되거나, 본인 또는 제3자를 인증할 수 있는 인증정보(예; 비밀번호 등)을 저장되어, 저장된 정보를 통해 인증할 수 있는 구성이 탑재된다.
도 5를 참고하면, 인증서 허가장치가 사물인터넷 디바이스(100)에 탑재되거나 유선 또는 무선으로 연결된 상태에서, 사물인터넷 디바이스(100)는 인증서 허가장치로부터 인증서 발급 허가신호를 수신한다(S501).
인증서 발급 허가신호를 수신하면, 프로세스부(130)는 인증서 발급 유효시간을 설정하고(S502), 시간 카운트를 시작한다(S503). 여기서 인증서 발급 유효시간은 5초, 10초, 20초 등으로 사용자에 의해 임의로 결정된다.
프로세스부(130)는 시간 카운트를 하면서 인증서 발급 유효시간 내에 VPN 클라이언트(41)로부터 인증서 발급 요청이 수신되는지를 파악하고, 인증서 발급 유효시간이 지난 후에 VPN 클라이언트(41)로부터 인증서 발급 요청이 수신되면 발급 허가를 하지 않는다.
프로세스부(130)는 인증서 발급 유효시간 내에 VPN 접속한 사용자 단말(40a)로부터 인증서 발급 요청을 수신하면(S504, S505), 인증서 생성부(160)에 인증서 발급 지시를 하고, 그에 따라 인증서 생성부(160)는 해당 사용자 단말(40a)에 대응하는 인증서를 생성한 후(S506), 생성한 인증서를 해당 사용자 단말(40a)에 제공한다(S507).
그리고 인증서 생성부(160)는 생성한 인증서를 사용자 단말(40a)의 식별자에 매칭하여 인증서 저장부(170)에 저장한다(S508).
한편, 본 발명의 다른 실시 예에 따르면, 사용자가 인증서 허가장치를 계속해서 누르는 시간동안에 VPN 클라이언트(41)로부터 인증서 발급 요청이 수신되면 인증서를 발급하도록 할 수 있다. 이러한 동작은 당업자라면 용이하게 예측이 가능하므로 상세한 설명은 생략한다.
이하에서는 도 6을 참조로 하여 본 발명의 제2 실시 예에 따른 인증서 발급 방법을 설명한다. 도 6은 본 발명의 제2 실시 예에 따른 사물인터넷 디바이스에서의 인증서 발급 방법을 보인 순서도이다.
도 6을 참고하면, 인증서를 가지고 있지 않은 사용자 단말(40a)이 VPN 클라이언트(41)을 사물인터넷 디바이스(100)에 접속하면, 사물인터넷 디바이스(100)는 사용자 단말(40a)의 접속을 감지하고(S601), 사용자 단말(40a)에게 공유암호화키를 요청한다(S602).
이에, 사용자는 인증서를 발급받기 위해 기 기록(저장)한 공유암호키값을 확인하고 공유암호키값을 사용자 단말(40a)에 입력하여 사물인터넷 디바이스(100)에 제공한다. 그러면 사물인터넷 디바이스(100)의 VPN 서버(120)는 수신한 공유암호화키값을 인증서 생성부(160)에 제공하여 인증서 생성을 요청하고, 인증서 생성부(160)는 공유암호키값을 수신한 후(S603), 수신한 공유암호키값과 기 저장된 공유암호화키값을 비교하여 일치하는지를 판단한다(S604).
인증서 생성부(160)는 상기 S607 판단 과정에서 두개의 공유암호키값이 일치하지 않으면 인증서 발급을 거절하고, 일치하면(S605), 인증서를 생성한다(S606).
그런 다음 인증서 생성부(160)는 생성한 인증서를 해당 사용자 단말(40a)에 제공하고(S607), 생성한 인증서를 사용자 단말(40a)의 식별자에 매칭하여 인증서 저장부(170)에 저장한다(S608).
이렇게 인증서를 제공받은 사용자 단말(40a)은 해당 사물인터넷 디바이스(100)에 접속할 때마다 인증서를 사물인터넷 디바이스(100)에 제공하여 접속 인증을 받게 되고, 이후 사물인터넷 디바이스(100)과 터널을 형성하여 데이터 통신을 수행한다.
마지막으로, 도 7를 참조로 하여 본 발명의 제3 실시 예에 따른 인증서 발급 방법을 설명한다.
제3 실시 예에 따른 인증서 발급 방법은 사물인터넷 디바이스(100)에 사용자 단말(10a)이 근접하여 있는 경우에 인증서를 발급한다. 즉, 인증서 발급조건은 만족한다. 무선으로 근접하여 있는 경우는 사물인터넷 디바이스(100)에 사용자 단말(10a)이 무선으로 근접하여 있는 경우이다. 이 경우에 사물인터넷 디바이스(100)가 사용자 단말(10a)이 근접하여 있다고 파악하는 방법으로는 사물인터넷 디바이스(100)의 IP 주소와 사용자 단말(10a)의 IP 주소를 확인하여 서로 동일한 로컬망에 위치하고 있음으로 파악하면 된다. 물론 블루투스 통신을 통해 사용자 단말(10a)이 사물인터넷 디바이스(100)에 접속하는 경우에도 사용자 단말(10a)이 근접하여 있다고 파악할 수 있다.
이하에서는 이러한 일 예를 도 7을 참조로 설명한다. 도 7은 본 발명의 제3 실시 예에 따른 사물인터넷 디바이스에서의 인증서 발급 방법을 보인 순서도이다.
도 7을 참고하면, 인증서를 가지고 있지 않은 사용자 단말(40a)가 사물인터넷 디바이스(100)에 접속하거나 인증서 발급을 요청하면(S701), 사물인터넷 디바이스(100)의 인증서 생성부(160)는 인증서 발급 요청 메시지에 포함된 사용자 단말(40a)의 최종 접속점 주소를 파악한다(S702, S703). 여기서 최종 접속점 주소는 인터넷 공유기 즉, DHCP 서버의 주소이거나 접속점(20)의 주소이다.
그러면 인증서 생성부(160)는 사용자 단말(40a)의 최종 접속점 주소와 사물인터넷 디바이스(100)가 현재 접속중인 접속점 주소를 비교하여 일치하는지를 판단한다(S704).
인증서 생성부(160)는 상기 S706 판단 과정에서 두개의 접속점 주소가 일치하지 않으면 인증서 발급을 거절하고, 일치하면 인증서를 생성한다(S705).
그런 다음 인증서 생성부(160)는 생성한 인증서를 해당 사용자 단말(40a)에 제공하고(S706), 생성한 인증서를 사용자 단말(40a)의 식별자에 매칭하여 인증서 저장부(170)에 저장한다(S707).
상기 설명들은 본 발명을 구현하기 위한 예시적인 구성들 및 동작들을 제공하도록 의도된다. 본 발명의 기술 사상은 위에서 설명된 실시 예들뿐만 아니라, 위 실시 예들을 단순하게 변경하거나 수정하여 얻어질 수 있는 구현들도 포함할 것이다. 또한, 본 발명의 기술 사상은 위에서 설명된 실시 예들을 앞으로 용이하게 변경하거나 수정하여 달성될 수 있는 구현들도 포함할 것이다.
10: 종래의 사물인터넷 디바이스 100: 본 발명의 사물인터넷 디바이스
20: 접속점 30: 인터넷 게이트웨이
11, 110: 통신 인터페이스 12, 130: 프로세스부
13, 140: 동작부 120: VPN 서버
150: 인증부 160: 인증서 생성부
170: 인증서 저장부 41a: 사용자 단말부
41: VPN 클라이언트

Claims (5)

  1. 사용자에 의해 조작되어 인증서 발급을 허가하는 인증서 발급 허가 신호를 출력하는 인증서 허가장치,
    인터넷망 접속을 지원하는 통신 인터페이스,
    상기 통신 인터페이스의 포트에 대응하는 복수의 동작 프로세스들로 구성되고, 상기 인증서 허가장치로부터 상기 인증서 발급 허가신호를 수신하면 설정된 인증서 발급 유효시간을 설정하고 시간 카운트를 하며, 상기 설정된 인증서 발급 유효시간 내에 사용자 단말의 VPN 클라이언트로부터 인증서 발급 요청이 수신되면 인증서 발급을 지시하는 프로세스부,
    상기 프로세스부의 지시에 따라 제1 인증서를 생성하여 상기 사용자 단말에 제공하는 인증서 생성부,
    상기 인증서 생성부에서 생성한 상기 제1 인증서를 상기 사용자 단말의 식별정보에 매칭하여 저장하는 인증서 저장부,
    상기 사용자 단말로부터 수신된 제1 인증서와 상기 인증서 저장부에 저장된 제1 인증서를 비교하여 일치하면 접속 인증을 하는 인증부, 그리고
    상기 인증부에 의해 접속 인증된 상기 사용자 단말의 VPN 클라이언트와 터널 통신을 수행하는 VPN 서버를 포함하고,
    상기 인증서 허가장치는 특정 버튼이거나 터치스크린인,
    VPN 서버로 동작하는 사물인터넷 디바이스.
  2. 인터넷망 접속을 지원하는 통신 인터페이스,
    상기 통신 인터페이스의 포트에 대응하는 복수의 동작 프로세스들로 구성되고, 유선 또는 무선으로 연결된 인증서 허가장치로부터 상기 인증서 발급 허가신호를 수신하면 설정된 인증서 발급 유효시간을 설정하고 시간 카운트를 하며, 상기 설정된 인증서 발급 유효시간 내에 사용자 단말의 VPN 클라이언트로부터 인증서 발급 요청이 수신되면 인증서 발급을 지시하는 프로세스부,
    상기 프로세스부의 지시에 따라 제1 인증서를 생성하여 상기 사용자 단말에 제공하는 인증서 생성부,
    상기 인증서 생성부에서 생성한 상기 제1 인증서를 상기 사용자 단말의 식별정보에 매칭하여 저장하는 인증서 저장부,
    상기 사용자 단말로부터 수신된 제1 인증서와 상기 인증서 저장부에 저장된 제1 인증서를 비교하여 일치하면 접속 인증을 하는 인증부, 그리고
    상기 인증부에 의해 접속 인증된 상기 사용자 단말의 VPN 클라이언트와 터널 통신을 수행하는 VPN 서버를 포함하는,
    VPN 서버로 동작하는 사물인터넷 디바이스.
  3. 인터넷망 접속을 지원하는 통신 인터페이스,
    상기 통신 인터페이스의 포트에 대응하는 복수의 동작 프로세스들로 구성된 프로세스부,
    인증서 발급 요청 메시지를 전송한 사용자 단말로부터 공유암호화키를 수신하고, 접속 인증된 상기 사용자 단말의 VPN 클라이언트와 터널 통신을 수행하는 VPN 서버,
    상기 VPN 서버로부터 수신된 상기 공유암호화키와 기 저장된 공유암호화키가 일치하고, 상기 인증서 발급 요청 메시지에 포함된 상기 사용자 단말의 최종 접속점 주소가 사물인터넷 디바이스의 현재 접속중인 점속점 주소와 일치하는 경우에 제1 인증서를 생성하여 상기 사용자 단말에 제공하는 인증서 생성부,
    상기 인증서 생성부에서 생성한 상기 제1 인증서를 저장하는 저장부, 그리고
    상기 사용자 단말로부터 수신된 제1 인증서를 상기 저장부에 저장된 제1 인증서와 비교하여 일치하면 상기 접속 인증을 하는 인증부를 포함하는
    VPN 서버로 동작하는 사물인터넷 디바이스.
  4. 삭제
  5. 삭제
KR1020200025942A 2020-03-02 2020-03-02 Vpn 서버로 동작하는 사물인터넷 디바이스 KR102309906B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200025942A KR102309906B1 (ko) 2020-03-02 2020-03-02 Vpn 서버로 동작하는 사물인터넷 디바이스

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200025942A KR102309906B1 (ko) 2020-03-02 2020-03-02 Vpn 서버로 동작하는 사물인터넷 디바이스

Publications (2)

Publication Number Publication Date
KR20210111382A KR20210111382A (ko) 2021-09-13
KR102309906B1 true KR102309906B1 (ko) 2021-10-12

Family

ID=77796636

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200025942A KR102309906B1 (ko) 2020-03-02 2020-03-02 Vpn 서버로 동작하는 사물인터넷 디바이스

Country Status (1)

Country Link
KR (1) KR102309906B1 (ko)

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101769895B1 (ko) * 2015-06-19 2017-08-21 에스케이텔레콤 주식회사 사용자 단말 장치 및 이를 이용한 사물 인터넷 기기 제어 방법, 이를 수행시키기 위한 컴퓨터 프로그램 및 그 컴퓨터 프로그램을 기록한 컴퓨터 판독 가능한 기록 매체
KR102078913B1 (ko) * 2018-03-16 2020-04-07 주식회사 아도스 Pki 기반의 사물인터넷 기기 인증방법 및 인증시스템

Also Published As

Publication number Publication date
KR20210111382A (ko) 2021-09-13

Similar Documents

Publication Publication Date Title
US11425104B2 (en) Secure transfer of a data object between user devices
JP6970080B2 (ja) 車載無線ネットワークへのアクセスを制御する方法
US9763094B2 (en) Methods, devices and systems for dynamic network access administration
JP6165904B2 (ja) 無線接続を自動的に確立する方法、同方法を用いるモノのインターネット用のゲートウェイ装置及びクライアント装置
KR102186012B1 (ko) 제어기와 액세서리 사이의 통신을 위한 균일한 통신 프로토콜
WO2015101125A1 (zh) 网络接入控制方法和设备
JP2016529841A (ja) 入口の解錠を制御するための所有者アクセスポイント
US20150373538A1 (en) Configuring Secure Wireless Networks
US20150106517A1 (en) System and method for delayed device registration on a network
US20180248892A1 (en) Location-Based Continuous Two-Factor Authentication
JP2016530732A (ja) プロキシミティベースサービス通信におけるセキュアグループ生成
US9661000B2 (en) Communication apparatus, communication system, method of controlling communication apparatus, and storage medium
US20150143526A1 (en) Access point controller and control method thereof
JP2022550181A (ja) 事前共有鍵を使用する無線ネットワークプロビジョニング
EP2741465B1 (en) Method and device for managing secure communications in dynamic network environments
KR102309906B1 (ko) Vpn 서버로 동작하는 사물인터넷 디바이스
US20230107045A1 (en) Method and system for self-onboarding of iot devices
JP6093576B2 (ja) 無線lan接続自動化方法及び無線lan接続自動化システム
US20230189003A1 (en) Pairing of user device with remote system
EP3890271A1 (en) Systems, methods, and media for authorizing external network access requests
US20170127266A1 (en) Method for activating a configuration mode of a device
US20150319180A1 (en) Method, device and system for accessing a server
WO2020161395A1 (en) Method for controlling an access device and an access system
KR102604709B1 (ko) 공동 주택 관리를 위한 보안 시스템 및 그 동작 방법
KR102604713B1 (ko) 모듈에 기반한 공동 주택 관리를 위한 보안 시스템 및 그 동작 방법

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right