KR102534826B1 - 지능형 홈네트워크 기반 psu를 이용한 종단 간 보안 서비스 제공 시스템 - Google Patents

지능형 홈네트워크 기반 psu를 이용한 종단 간 보안 서비스 제공 시스템 Download PDF

Info

Publication number
KR102534826B1
KR102534826B1 KR1020220163230A KR20220163230A KR102534826B1 KR 102534826 B1 KR102534826 B1 KR 102534826B1 KR 1020220163230 A KR1020220163230 A KR 1020220163230A KR 20220163230 A KR20220163230 A KR 20220163230A KR 102534826 B1 KR102534826 B1 KR 102534826B1
Authority
KR
South Korea
Prior art keywords
psu
user terminal
security
user
service providing
Prior art date
Application number
KR1020220163230A
Other languages
English (en)
Inventor
진영인
김종승
김정범
Original Assignee
주식회사 유큐브
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 유큐브 filed Critical 주식회사 유큐브
Priority to KR1020220163230A priority Critical patent/KR102534826B1/ko
Application granted granted Critical
Publication of KR102534826B1 publication Critical patent/KR102534826B1/ko
Priority to CN202311477357.4A priority patent/CN118118903A/zh
Priority to US18/508,716 priority patent/US20240179187A1/en
Priority to JP2023197737A priority patent/JP2024078429A/ja

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K19/00Record carriers for use with machines and with at least a part designed to carry digital markings
    • G06K19/06Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
    • G06K19/06009Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code with optically detectable marking
    • G06K19/06037Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code with optically detectable marking multi-dimensional coding
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y30/00IoT infrastructure
    • G16Y30/10Security thereof
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2803Home automation networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/80Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Telephonic Communication Services (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Automation & Control Theory (AREA)

Abstract

지능형 홈네트워크 기반 PSU를 이용한 종단 간 보안 서비스 제공 시스템이 제공되며, 홈네트워크에 연결되는 PSU(Portable Security Unit), PSU에 QR 코드를 이용하여 접속한 후, PSU의 PSU 정보 및 사용자 정보를 업로드하고, PSU에 기 저장된 보안정책에 따라 인터넷에 연결되는 사용자 단말 및 사용자 단말에서 QR 코드로 접속한 후 PSU 정보 및 사용자 정보를 업로드하면, 사용자 단말, PSU, 사용자 정보 및 PSU 정보를 등록하는 등록부, 사용자 단말에서 인터넷 접속을 시도하는 경우 PSU를 통하여 기 저장된 보안정책에 따라 연결하는 보안연결부, PSU로 인증받지 못한 위협 단말의 엑세스를 PSU를 통하여 차단하는 위협차단부를 포함하는 보안 서비스 제공 서버를 포함한다.

Description

지능형 홈네트워크 기반 PSU를 이용한 종단 간 보안 서비스 제공 시스템{SYSTEM FOR PROVIDING SMARTHOME BASED END-TO-END SECURITY SERVICE USING PORTABLE SECURITY UNIT}
본 발명은 지능형 홈네트워크 기반 PSU를 이용한 종단 간 보안 서비스 제공 시스템에 관한 것으로, PSU에 최초등록시 QR 코드 및 블루투스를 이용하여 해커의 유입을 원천차단하고, 홈네트워크와 인터넷망 간 PSU를 통하여 데이터 암호화 및 망분리를 이루며, 종단 간 보안솔루션을 적용함으로써 보안위협을 제로화하는 시스템을 제공한다.
4차 산업혁명의 등장으로 인하여, 사물인터넷(Internet of Things)을 기반으로 유무선 통신, 클라우드 서비스와 같은 다양한 서비스가 연계된 스마트홈 기술에 관한 관심이 높아지고 있다. 스마트홈 기기 중 월패드는 집 안에서 비디오 도어폰 기능, 조명, 온ㆍ습도 조절 뿐만 아니라 출입문, 세대 간의 화상통화, CCTV 영상 확인과 같은 집안에서 편리성을 위하여 필요한 다양한 기능을 제공하고, 집안의 모든 사물인터넷 기반 가전제품을 간편한 조작만으로 제어할 수 있는 장점이 있지만, 가정 내의 모든 사물인터넷 기기를 제어할 수 있는 권한을 가지므로, 악의적인 해커에게 월패드가 장악된다면, 사실상 가정 내의 모든 사물인터넷 기기의 제어권이 해커에게 탈취되는 상황이 발생한다. 이에, 국토교통부는 지능형 홈네트워크 설비의 설치 및 기술기준을 고시하고 망분리를 의무적으로 적용하도록 하였다.
이때, 홈네트워크의 보안위협을 방지할 수 있는 솔루션이 연구 및 개발되었는데, 이와 관련하여 선행기술인 한국등록특허 제10-2307837호(2021년10월05일 공고) 및 한국공개특허 제2008-0113791호(2008년12월31일 공개)에는, 홈네트워크 데이터를 수집 및 처리하는 홈네트워크 허브장치에 보안모듈을 탑재시키고, 보안모듈이 중앙서버와 연계하여 보안위협을 감지하도록 하는 구성과, 홈게이트웨이에 보안관리 에이전트를 설치하고, 사용자가 설정한 보안관리정책에 따라 보안관리를 하도록 하며, 보안관리 클라이언트를 홈게이트웨이의 OSGi(Open Service Gateway Initiative) 프레임워크 상에 설치하여 동적인 보안관리 서비스를 제공하도록 하는 구성이 각각 개시되어 있다.
다만, 전자의 경우 보안모듈이 중앙서버와 연계되어 보안위협을 감지하는 경우, 보안모듈에서 중앙서버로 패킷을 보냄에 따른 해킹이 발생할 수 있고, 후자의 경우에도 홈게이트웨이에 연결되어 있지만 홈게이트웨이는 인터넷 연결만 있다면 상호간 인증이나 페어링없이도 연결이 가능하므로 헤커도 홈게이트웨이에 사용자로 등록될 수 있다. 또, 국토교통부의 고시도 기축 아파트, 공동 및 개별주택 망분리는 필수가 아닌 선택이고, 망분리를 의무화했지만 VPN을 이용한 물리적 및 논리적 망분리 솔루션이 대부분이며 관리인력의 증가만 가져올 뿐이다. 또, 망분리만으로는 주 배선반(MDF), 중간단자함(IDF)에 대한 무단 접속이나 월패드에서 중앙서버로 전달되는 데이터 탈취와 같은 보안문제는 여전히 발생한다. 또, 2016년 각 군 웹 사이트와 인트라넷 등 군의 모든 IT 서비스를 통합 관리하는 국방통합데이터센터(DIDC)가 관리하는 망분리 환경에서 해커가 침입, 악성코드를 유포하고 내부 자료를 유출하는 이른바 국방망 해킹사고가 발생했다. 이에, 종단 간(End-to-End) 보안솔루션을 적용할 수 있으면서도, 인프라의 과도한 변경이나 비용추가 없이, 인증된 사용자 및 기기만이 인터넷 엑세스 및 데이터 통신이 가능하도록 하는 시스템의 연구 및 개발이 요구된다.
본 발명의 일 실시예는, PSU(Portable Security Unit)를 사용자 단말과 연결할 때 QR 코드, OTP(One Time Password) 및 블루투스 페어링을 통하여 최초인증을 실시함으로써 해커가 인터넷 엑세스만으로 접근하는 경로를 원천차단하고, PSU에 보안정책 및 운영체제를 탑재하여 PSU의 구비 및 사용자 단말의 인증과 등록만으로도 보안 서비스 제공 서버 간 통신없이도 종단 간(End-to-End) 보안 솔루션을 적용할 수 있으며, 사용자 단말에서 사용자 정책관리(Policy Management) 솔루션을 이용하여 IoT 기기를 등록하는 경우, PSU를 통하여 등록 및 인증된 사용자 단말에서만 IoT 기기와 데이터를 송수신할 수 있도록 함으로써 해커가 IoT 기기에 접근하거나 데이터를 탈취할 수 있는 가능성을 제로화하고, 데이터 암호화 및 VPN을 통하여 테이터 전송구간을 보호할 수 있는, 지능형 홈네트워크 기반 PSU를 이용한 종단 간 보안 서비스 제공 시스템을 제공할 수 있다. 다만, 본 실시예가 이루고자 하는 기술적 과제는 상기된 바와 같은 기술적 과제로 한정되지 않으며, 또 다른 기술적 과제들이 존재할 수 있다.
상술한 기술적 과제를 달성하기 위한 기술적 수단으로서, 본 발명의 일 실시예는, 홈네트워크에 연결되는 PSU(Portable Security Unit), PSU에 QR 코드를 이용하여 접속한 후, PSU의 PSU 정보 및 사용자 정보를 업로드하고, PSU에 기 저장된 보안정책에 따라 인터넷에 연결되는 사용자 단말 및 사용자 단말에서 QR 코드로 접속한 후 PSU 정보 및 사용자 정보를 업로드하면, 사용자 단말, PSU, 사용자 정보 및 PSU 정보를 등록하는 등록부, 사용자 단말에서 인터넷 접속을 시도하는 경우 PSU를 통하여 기 저장된 보안정책에 따라 연결하는 보안연결부, PSU로 인증받지 못한 위협 단말의 엑세스를 PSU를 통하여 차단하는 위협차단부를 포함하는 보안 서비스 제공 서버를 포함한다.
전술한 본 발명의 과제 해결 수단 중 어느 하나에 의하면, PSU(Portable Security Unit)를 사용자 단말과 연결할 때 QR 코드, OTP(One Time Password) 및 블루투스 페어링을 통하여 최초인증을 실시함으로써 해커가 인터넷 엑세스만으로 접근하는 경로를 원천차단하고, PSU에 보안정책 및 운영체제를 탑재하여 PSU의 구비 및 사용자 단말의 인증과 등록만으로도 보안 서비스 제공 서버 간 통신없이도 종단 간(End-to-End) 보안 솔루션을 적용할 수 있으며, 사용자 단말에서 사용자 정책관리(Policy Management) 솔루션을 이용하여 IoT 기기를 등록하는 경우, PSU를 통하여 등록 및 인증된 사용자 단말에서만 IoT 기기와 데이터를 송수신할 수 있도록 함으로써 해커가 IoT 기기에 접근하거나 데이터를 탈취할 수 있는 가능성을 제로화하고, 데이터 암호화 및 VPN을 통하여 테이터 전송구간을 보호할 수 있다.
도 1은 본 발명의 일 실시예에 따른 지능형 홈네트워크 기반 PSU를 이용한 종단 간 보안 서비스 제공 시스템을 설명하기 위한 도면이다.
도 2는 도 1의 시스템에 포함된 보안 서비스 제공 서버를 설명하기 위한 블록 구성도이다.
도 3 및 도 4는 본 발명의 일 실시예에 따른 지능형 홈네트워크 기반 PSU를 이용한 종단 간 보안 서비스가 구현된 일 실시예를 설명하기 위한 도면이다.
도 5는 본 발명의 일 실시예에 따른 지능형 홈네트워크 기반 PSU를 이용한 종단 간 보안 서비스 제공 방법을 설명하기 위한 동작 흐름도이다.
아래에서는 첨부한 도면을 참조하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 본 발명의 실시예를 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.
명세서 전체에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 "직접적으로 연결"되어 있는 경우뿐 아니라, 그 중간에 다른 소자를 사이에 두고 "전기적으로 연결"되어 있는 경우도 포함한다. 또한 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미하며, 하나 또는 그 이상의 다른 특징이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
명세서 전체에서 사용되는 정도의 용어 "약", "실질적으로" 등은 언급된 의미에 고유한 제조 및 물질 허용오차가 제시될 때 그 수치에서 또는 그 수치에 근접한 의미로 사용되고, 본 발명의 이해를 돕기 위해 정확하거나 절대적인 수치가 언급된 개시 내용을 비양심적인 침해자가 부당하게 이용하는 것을 방지하기 위해 사용된다. 본 발명의 명세서 전체에서 사용되는 정도의 용어 "~(하는) 단계" 또는 "~의 단계"는 "~ 를 위한 단계"를 의미하지 않는다.
본 명세서에 있어서 '부(部)'란, 하드웨어에 의해 실현되는 유닛(unit), 소프트웨어에 의해 실현되는 유닛, 양방을 이용하여 실현되는 유닛을 포함한다. 또한, 1 개의 유닛이 2 개 이상의 하드웨어를 이용하여 실현되어도 되고, 2 개 이상의 유닛이 1 개의 하드웨어에 의해 실현되어도 된다. 한편, '~부'는 소프트웨어 또는 하드웨어에 한정되는 의미는 아니며, '~부'는 어드레싱 할 수 있는 저장 매체에 있도록 구성될 수도 있고 하나 또는 그 이상의 프로세서들을 재생시키도록 구성될 수도 있다. 따라서, 일 예로서 '~부'는 소프트웨어 구성요소들, 객체 지향 소프트웨어 구성요소들, 클래스 구성요소들 및 태스크 구성요소들과 같은 구성요소들과, 프로세스들, 함수들, 속성들, 프로시저들, 서브루틴들, 프로그램 코드의 세그먼트들, 드라이버들, 펌웨어, 마이크로코드, 회로, 데이터, 데이터베이스, 데이터 구조들, 테이블들, 어레이들 및 변수들을 포함한다. 구성요소들과 '~부'들 안에서 제공되는 기능은 더 작은 수의 구성요소들 및 '~부'들로 결합되거나 추가적인 구성요소들과 '~부'들로 더 분리될 수 있다. 뿐만 아니라, 구성요소들 및 '~부'들은 디바이스 또는 보안 멀티미디어카드 내의 하나 또는 그 이상의 CPU들을 재생시키도록 구현될 수도 있다.
본 명세서에 있어서 단말, 장치 또는 디바이스가 수행하는 것으로 기술된 동작이나 기능 중 일부는 해당 단말, 장치 또는 디바이스와 연결된 서버에서 대신 수행될 수도 있다. 이와 마찬가지로, 서버가 수행하는 것으로 기술된 동작이나 기능 중 일부도 해당 서버와 연결된 단말, 장치 또는 디바이스에서 수행될 수도 있다.
본 명세서에서 있어서, 단말과 매핑(Mapping) 또는 매칭(Matching)으로 기술된 동작이나 기능 중 일부는, 단말의 식별 정보(Identifying Data)인 단말기의 고유번호나 개인의 식별정보를 매핑 또는 매칭한다는 의미로 해석될 수 있다.
이하 첨부된 도면을 참고하여 본 발명을 상세히 설명하기로 한다.
도 1은 본 발명의 일 실시예에 따른 지능형 홈네트워크 기반 PSU를 이용한 종단 간 보안 서비스 제공 시스템을 설명하기 위한 도면이다. 도 1을 참조하면, 지능형 홈네트워크 기반 PSU를 이용한 종단 간 보안 서비스 제공 시스템(1)은, 적어도 하나의 사용자 단말(100), 보안 서비스 제공 서버(300), 적어도 하나의 추가 단말(400), 적어도 하나의 IoT 기기(500) 및 PSU(600)를 포함할 수 있다. 다만, 이러한 도 1의 지능형 홈네트워크 기반 PSU를 이용한 종단 간 보안 서비스 제공 시스템(1)은, 본 발명의 일 실시예에 불과하므로, 도 1을 통하여 본 발명이 한정 해석되는 것은 아니다.
이때, 도 1의 각 구성요소들은 일반적으로 네트워크(Network, 200)를 통해 연결된다. 예를 들어, 도 1에 도시된 바와 같이, 적어도 하나의 사용자 단말(100)은 네트워크(200)를 통하여 보안 서비스 제공 서버(300)와 연결될 수 있다. 그리고, 보안 서비스 제공 서버(300)는, 네트워크(200)를 통하여 적어도 하나의 사용자 단말(100), 적어도 하나의 추가 단말(400), 적어도 하나의 IoT 기기(500) 및 PSU(600)와 연결될 수 있다. 또한, 적어도 하나의 추가 단말(400)은, 네트워크(200)를 통하여 보안 서비스 제공 서버(300)와 연결될 수 있다. 그리고, 적어도 하나의 IoT 기기(500)는, 네트워크(200)를 통하여 적어도 하나의 사용자 단말(100), 보안 서비스 제공 서버(300) 및 적어도 하나의 추가 단말(400)과 연결될 수 있다. 마지막으로, PSU(600)는, 네트워크(200)를 통하여 사용자 단말(100), 추가 단말(400), 보안 서비스 제공 서버(300), 적어도 하나의 IoT 기기(500)와 연결될 수 있다.
여기서, 네트워크는, 복수의 단말 및 서버들과 같은 각각의 노드 상호 간에 정보 교환이 가능한 연결 구조를 의미하는 것으로, 이러한 네트워크의 일 예에는 근거리 통신망(LAN: Local Area Network), 광역 통신망(WAN: Wide Area Network), 인터넷(WWW: World Wide Web), 유무선 데이터 통신망, 전화망, 유무선 텔레비전 통신망 등을 포함한다. 무선 데이터 통신망의 일례에는 3G, 4G, 5G, 3GPP(3rd Generation Partnership Project), 5GPP(5th Generation Partnership Project), LTE(Long Term Evolution), WIMAX(World Interoperability for Microwave Access), 와이파이(Wi-Fi), 인터넷(Internet), LAN(Local Area Network), Wireless LAN(Wireless Local Area Network), WAN(Wide Area Network), PAN(Personal Area Network), RF(Radio Frequency), 블루투스(Bluetooth) 네트워크, NFC(Near-Field Communication) 네트워크, 위성 방송 네트워크, 아날로그 방송 네트워크, DMB(Digital Multimedia Broadcasting) 네트워크 등이 포함되나 이에 한정되지는 않는다.
하기에서, 적어도 하나의 라는 용어는 단수 및 복수를 포함하는 용어로 정의되고, 적어도 하나의 라는 용어가 존재하지 않더라도 각 구성요소가 단수 또는 복수로 존재할 수 있고, 단수 또는 복수를 의미할 수 있음은 자명하다 할 것이다. 또한, 각 구성요소가 단수 또는 복수로 구비되는 것은, 실시예에 따라 변경가능하다 할 것이다.
적어도 하나의 사용자 단말(100)은, 지능형 홈네트워크 기반 PSU를 이용한 종단 간 보안 서비스 관련 웹 페이지, 앱 페이지, 프로그램 또는 애플리케이션을 이용하여 PSU(600)에 QR 코드 및 블루투스로 접속한 후, PSU(600)를 보안 서비스 제공 서버(300)에 등록하고 사용자 단말(100)의 사용자 인증을 진행하여 마스터로 지정받은 후, IoT 기기(500)를 등록하고, 추가 단말(400)을 등록하는 단말일 수 있다. 그리고, 사용자 단말(100)은 인터넷에 접속할 때 홈네트워크게이트웨이 및 PSU(600)를 통하여 접속하는 단말일 수 있다.
여기서, 적어도 하나의 사용자 단말(100)은, 네트워크를 통하여 원격지의 서버나 단말에 접속할 수 있는 컴퓨터로 구현될 수 있다. 여기서, 컴퓨터는 예를 들어, 네비게이션, 웹 브라우저(WEB Browser)가 탑재된 노트북, 데스크톱(Desktop), 랩톱(Laptop) 등을 포함할 수 있다. 이때, 적어도 하나의 사용자 단말(100)은, 네트워크를 통해 원격지의 서버나 단말에 접속할 수 있는 단말로 구현될 수 있다. 적어도 하나의 사용자 단말(100)은, 예를 들어, 휴대성과 이동성이 보장되는 무선 통신 장치로서, 네비게이션, PCS(Personal Communication System), GSM(Global System for Mobile communications), PDC(Personal Digital Cellular), PHS(Personal Handyphone System), PDA(Personal Digital Assistant), IMT(International Mobile Telecommunication)-2000, CDMA(Code Division Multiple Access)-2000, W-CDMA(W-Code Division Multiple Access), Wibro(Wireless Broadband Internet) 단말, 스마트폰(Smartphone), 스마트 패드(Smartpad), 타블렛 PC(Tablet PC) 등과 같은 모든 종류의 핸드헬드(Handheld) 기반의 무선 통신 장치를 포함할 수 있다.
보안 서비스 제공 서버(300)는, 지능형 홈네트워크 기반 PSU를 이용한 종단 간 보안 서비스 웹 페이지, 앱 페이지, 프로그램 또는 애플리케이션을 제공하는 서버일 수 있다. 그리고, 보안 서비스 제공 서버(300)는, 사용자 단말(100)에서 PSU(600)를 등록할 때 QR 코드 및 블루투스를 통하여 PSU(600)와 접속한 후 PSU(600)의 PSU 정보를 업로드하고, 사용자 단말(100)의 사용자 정보를 등록하여 PSU(600) 및 사용자 단말(100)을 등록하도록 하는 서버일 수 있다. 또, 보안 서비스 제공 서버(300)는, 인증받은 사용자의 사용자 단말(100)을 마스터 단말로 지정하고, 사용자 단말(100)에서 사용자 정책관리(Policy Management) 솔루션을 이용하여 IoT 기기(500) 및 추가 단말(400)을 등록할 수 있도록 하고, 실시간 모니터링 및 위협감지를 출력하도록 하는 서버일 수 있다.
여기서, 보안 서비스 제공 서버(300)는, 네트워크를 통하여 원격지의 서버나 단말에 접속할 수 있는 컴퓨터로 구현될 수 있다. 여기서, 컴퓨터는 예를 들어, 네비게이션, 웹 브라우저(WEB Browser)가 탑재된 노트북, 데스크톱(Desktop), 랩톱(Laptop) 등을 포함할 수 있다.
적어도 하나의 추가 단말(400)은, 지능형 홈네트워크 기반 PSU를 이용한 종단 간 보안 서비스 관련 웹 페이지, 앱 페이지, 프로그램 또는 애플리케이션을 이용하여 사용자 단말(100)에 의해 홈네트워크를 이용할 수 있도록 등록된 단말일 수 있다.
여기서, 적어도 하나의 추가 단말(400)은, 네트워크를 통하여 원격지의 서버나 단말에 접속할 수 있는 컴퓨터로 구현될 수 있다. 여기서, 컴퓨터는 예를 들어, 네비게이션, 웹 브라우저(WEB Browser)가 탑재된 노트북, 데스크톱(Desktop), 랩톱(Laptop) 등을 포함할 수 있다. 이때, 적어도 하나의 추가 단말(400)은, 네트워크를 통해 원격지의 서버나 단말에 접속할 수 있는 단말로 구현될 수 있다. 적어도 하나의 추가 단말(400)은, 예를 들어, 휴대성과 이동성이 보장되는 무선 통신 장치로서, 네비게이션, PCS(Personal Communication System), GSM(Global System for Mobile communications), PDC(Personal Digital Cellular), PHS(Personal Handyphone System), PDA(Personal Digital Assistant), IMT(International Mobile Telecommunication)-2000, CDMA(Code Division Multiple Access)-2000, W-CDMA(W-Code Division Multiple Access), Wibro(Wireless Broadband Internet) 단말, 스마트폰(Smartphone), 스마트 패드(Smartpad), 타블렛 PC(Tablet PC) 등과 같은 모든 종류의 핸드헬드(Handheld) 기반의 무선 통신 장치를 포함할 수 있다.
적어도 하나의 IoT 기기(500)는, 지능형 홈네트워크 기반 PSU를 이용한 종단 간 보안 서비스 관련 웹 페이지, 앱 페이지, 프로그램 또는 애플리케이션을 이용하여 사용자 단말(100)에 의해 등록된 냉장고, 에어컨, TV, 프린터, 청소기, 도어락, CCTV 등일 수 있다. 이때, IoT 기기(500)는 PSU(600)에 의해 등록된 사용자 단말(100) 또는 추가 단말(600) 간의 데이터 통신만을 허용받는 기기일 수 있다.
여기서, 적어도 하나의 IoT 기기(500)는, 네트워크를 통하여 원격지의 서버나 단말에 접속할 수 있는 컴퓨터로 구현될 수 있다. 여기서, 컴퓨터는 예를 들어, 네비게이션, 웹 브라우저(WEB Browser)가 탑재된 노트북, 데스크톱(Desktop), 랩톱(Laptop) 등을 포함할 수 있다. 이때, 적어도 하나의 IoT 기기(500)는, 네트워크를 통해 원격지의 서버나 단말에 접속할 수 있는 단말로 구현될 수 있다. 적어도 하나의 IoT 기기(500)는, 예를 들어, 휴대성과 이동성이 보장되는 무선 통신 장치로서, 네비게이션, PCS(Personal Communication System), GSM(Global System for Mobile communications), PDC(Personal Digital Cellular), PHS(Personal Handyphone System), PDA(Personal Digital Assistant), IMT(International Mobile Telecommunication)-2000, CDMA(Code Division Multiple Access)-2000, W-CDMA(W-Code Division Multiple Access), Wibro(Wireless Broadband Internet) 단말, 스마트폰(Smartphone), 스마트 패드(Smartpad), 타블렛 PC(Tablet PC) 등과 같은 모든 종류의 핸드헬드(Handheld) 기반의 무선 통신 장치를 포함할 수 있다.
PSU(600)는, 지능형 홈네트워크 기반 PSU를 이용한 종단 간 보안 서비스 관련 웹 페이지, 앱 페이지, 프로그램 또는 애플리케이션을 이용하여 홈네트워크게이트웨이와 인터넷망 사이에 연결되어 사용자 단말(100)의 인터넷 접속을 보안처리하고, 가상망분리를 시행하며, 종단 간 암호화를 진행하고 인증되지 않은 단말의 접속을 차단하는 장치일 수 있다.
여기서, PSU(600)는, 네트워크를 통하여 원격지의 서버나 단말에 접속할 수 있는 컴퓨터로 구현될 수 있다. 여기서, 컴퓨터는 예를 들어, 네비게이션, 웹 브라우저(WEB Browser)가 탑재된 노트북, 데스크톱(Desktop), 랩톱(Laptop) 등을 포함할 수 있다. 이때, PSU(600)는, 네트워크를 통해 원격지의 서버나 단말에 접속할 수 있는 단말로 구현될 수 있다. PSU(600)는, 예를 들어, 휴대성과 이동성이 보장되는 무선 통신 장치로서, 네비게이션, PCS(Personal Communication System), GSM(Global System for Mobile communications), PDC(Personal Digital Cellular), PHS(Personal Handyphone System), PDA(Personal Digital Assistant), IMT(International Mobile Telecommunication)-2000, CDMA(Code Division Multiple Access)-2000, W-CDMA(W-Code Division Multiple Access), Wibro(Wireless Broadband Internet) 단말, 스마트폰(Smartphone), 스마트 패드(Smartpad), 타블렛 PC(Tablet PC) 등과 같은 모든 종류의 핸드헬드(Handheld) 기반의 무선 통신 장치를 포함할 수 있다.
도 2는 도 1의 시스템에 포함된 보안 서비스 제공 서버를 설명하기 위한 블록 구성도이고, 도 3 및 도 4는 본 발명의 일 실시예에 따른 지능형 홈네트워크 기반 PSU를 이용한 종단 간 보안 서비스가 구현된 일 실시예를 설명하기 위한 도면이다.
도 2를 참조하면, 보안 서비스 제공 서버(300)는, 등록부(310), 보안연결부(320), 위협차단부(330), 사용자인증부(340), 추가관리부(350), 유출차단부(360), 정책설정부(370), 엑세스제한부(380) 및 패킷허용부(390)를 포함할 수 있다.
본 발명의 일 실시예에 따른 보안 서비스 제공 서버(300)나 연동되어 동작하는 다른 서버(미도시)가 적어도 하나의 사용자 단말(100), 적어도 하나의 추가 단말(400), 적어도 하나의 IoT 기기(500) 및 PSU(600)로 지능형 홈네트워크 기반 PSU를 이용한 종단 간 보안 서비스 애플리케이션, 프로그램, 앱 페이지, 웹 페이지 등을 전송하는 경우, 적어도 하나의 사용자 단말(100), 적어도 하나의 추가 단말(400), 적어도 하나의 IoT 기기(500) 및 PSU(600)는, 지능형 홈네트워크 기반 PSU를 이용한 종단 간 보안 서비스 애플리케이션, 프로그램, 앱 페이지, 웹 페이지 등을 설치하거나 열 수 있다. 또한, 웹 브라우저에서 실행되는 스크립트를 이용하여 서비스 프로그램이 적어도 하나의 사용자 단말(100), 적어도 하나의 추가 단말(400), 적어도 하나의 IoT 기기(500) 및 PSU(600)에서 구동될 수도 있다. 여기서, 웹 브라우저는 웹(WWW: World Wide Web) 서비스를 이용할 수 있게 하는 프로그램으로 HTML(Hyper Text Mark-up Language)로 서술된 하이퍼 텍스트를 받아서 보여주는 프로그램을 의미하며, 예를 들어 넷스케이프(Netscape), 익스플로러(Explorer), 크롬(Chrome) 등을 포함한다. 또한, 애플리케이션은 단말 상의 응용 프로그램(Application)을 의미하며, 예를 들어, 모바일 단말(스마트폰)에서 실행되는 앱(App)을 포함한다.
도 2를 설명하기 이전에, 도 2에서 설명될 구성의 기본개념을 이하에서 설명하기로 한다. 도 2에서는 이하의 내용을 반복하여 기재하지 않는다.
<스마트홈>
스마트홈이란 유선 및 무선네트워크로 구성된 네트워크 인프라 환경에 정보가전, 에너지관리, 냉난방 및 환기, 홈 엔터테인먼트를 비롯한 다양한 스마트기기 또는 통신기기를 연동 및 제어하는 스마트홈 솔루션과 각종 서비스를 포함하는 개념을 한다. 스마트홈에서는 친환경 에너지를 사용할 뿐 아니라 사용자에게도 안전한 생활을 할 수 있게 각종 서비스를 제공한다. 국내 스마트홈은 통신망을 보유하고 있는 통신사와 아파트를 건설하는 건설사에서도 입주민에게 보다 안전하고 편리한 집을 제공하기 위해 활발히 연구 및 도입하고 있다. 또한 스마트홈 산업은 통신 산업을 비롯한 방송 산업, 가전 산업, 건설 산업, 컨텐츠 산업 등 다양한 분야가 융합된 산업으로 산업 간 파급효과가 큰 가치사슬을 통하여 지속적으로 부가가치를 창출해낼 수 있는 산업으로 주목 받고 있는 분야이기도 하다.
스마트홈에서 가장 중요한 것은 댁내의 각종 정보기기, 통신 기기 등을 트워크망에 연결하는 것이며, 이러한 네트워크 망을 통해 내부 및 외부에서도 서비스가 제공되게 된다. 스마트홈 네트워크 구성은 크게 가정 내부의 내부망과 가정 외부의 외부망으로 구분할 수 있다. 외부망은 광케이블 등의 전송매체를 통해 중앙 관리실과 연결되고, 중앙 관리실에는 각 세대에게 서비스를 제공할 서버와 외부에 서비스를 제공할 인터넷 회선이 연결되게 된다. 댁내 내부망에는 단말기기를 제어하고, 기기 상태제어 및 관리할 수 있는 홈게이트웨이가 필요하며, 아파트에서는 거실에 설치된 월패드(WallPad)가 그 역할을 하게 된다. 홈게이트웨이와 연결된 월패드에서 댁내 기기를 제어하며, 각 기기는 이더넷(Ethernet)을 통해 연결되어 있다. 월패드를 통해 제공되는 서비스는 이하 표 1과 같다.
분류 내용
제어 서비스 거실 조명 On/Off, 온도조절, 가스차단, 세대 환기, 디지털 도어록, 엘리베이터 호출
시큐리티 서비스 방법 감지기, 침입 감지기
연동 기기 에너지 미터, 스마트 스위치, 욕실폰, 주방 TV
스마트홈 서비스는 서버관리가 가능한 환경이 존재하고 많은 사람에게 서비스가 가능한 아파트에서 주로 제공하고 있으며, 유선 네트워크 기술로는 이더넷 기술을 이용하고, 무선 네트워크 기술은 WLAN 및 Zigbee 기술을 이용하여 구성하며, 유선 및 무선 네트워크망을 통한 서비스는 표 2와 같다.
네트워크 구분 내용
유선 네트워크 거실 조명 On/Off, 온도 조절, 가스 차단, 에너지량 검침
무선 네트워크 디지털 도어록, 세대 환기, 거실조명
스마트홈에는 현관 입구에 설치된 스위치를 통해 홈내 모든 네트워크에 연결이 되도록 구성되어 있다. 현관에 설치된 스위치에서 홈내 내부로 연결이 되며, 중앙집중식 형태로 연결되어 있다. 연결된 기기로는 무선랜 기기, 외부 인터넷망, 홈내 기기제어를 위한 월패드, 댁내 인터폰 등이 연결되어 각종 제어 데이터 및 수집 데이터 등을 수집한 후 집중구내 통신실에 위치한 서버로 전송하게 된다. 중앙에 위치한 서버에서는 세대별 수집된 정보를 데이터베이스 서버에 저장하며, 수집된 데이터를 기반으로 사용자에게 인터넷을 통한 홈 내 정보 제공 및 기기 제어를 가능하게 하며, 이 정보를 다시 월패드로 전송하여 댁내에서도 정보를 확인할 수 있도록 한다. 사용자에게 제공되는 정보를 사용자가 이해하기 용이하도록 이미지나, 리포트, 문자(TEXT) 형태로 전송한다. 댁내에 홈 게이트웨이 역할을 수행하는 월패드에도 이더넷으로 연결되며, 월패드에 UTP 케이블이 연결되어 있다.
월패드는 댁내 제어기기의 상태 정보를 표출하거나, 현관문 개폐, 엘리베이트 호출 등의 기능을 제공하고 있으며, 제어기기의 상태 정보에 오류가 발생할 경우 제어가 어렵게 되거나, 잘못된 동작을 수행할 수 있게 되므로 데이터 수집, 전송은 중요한 역할을 하게 된다.
<스마트홈 보안 위협>
① 2016년 전 세계 약 7만 3천여대의 IP 카메라가 해킹되어 인세켐이라는 사이트를 통해 생중계되었다. 인세켐사이트 운영자가 보안 설정의 중요성을 알리기 위해 해킹한 것으로 밝혀졌다. ② 2019년 1월 스마트홈 월패드와 디지털 도어락 사이에서 가로챈 신호로 무단으로 출입문 개폐가 성공한 사례가 존재한다. 무선 네트워크 보안전문기업에 따르면 월패드와 디지털도어락 사이에 신호 재전송 공격(Signal Replay Attack)을 활용하여 디지털 도어락을 개폐한 것으로 보고 있다. 월패드와 도어락 사이의 공격 테스트를 진행한 무선 네트워크 보안 전문 기업은 일상에서 사용되는 무선 통신기기들이 기본적인 공격에도 무방비 상태임을 알리고 사용자의 경각심을 높이기 위해 이번 시연을 진행했다고 밝혔다.
스마트홈의 중심이 되는 월패드는 스마트홈 내부 단말에 명령을 내리고 제어하는 기기이다. 월패드는 스마트홈 내부 중 거실 또는 안방 등에 위치하여 내부 단말에 대한 제어를 수행하거나 관리하는 기능을 제공한다. 따라서 월패드는 스마트홈 내부에서 가장 중심이 되는 핵심 장치라 할 수 있다. ③ 2021년 3000세대가 입주한 부산의 한 스마트 아파트를 점검한 결과, 한 가정의 월패드를 해킹하자 해커가 곧장 아파트 단지 전체를 통제하는 관리실 메인 서버에 침투할 수 있는 허점이 드러난 바 있다. 문제는 이 경우 한 집이 아니라 단지 내 모든 세대가 해커의 손에 놀아나게 된다는 점이다. 해커가 월패드를 관리하는 서버에 접근한 후 세대별 현관문이 해커에 의해 자유롭게 열리고, 가전의 작동을 제어하거나 월패드에 내장된 카메라로 실내를 몰래 촬영하는 등의 기능을 수행하여 사실상 스마트홈 내부의 모든 방범 체계가 무너졌다. 스마트홈 내부의 각종 단말을 제어할 수 있는 월패드에 보안 취약점을 통한 침해사고가 발생할 경우 보안에 치명적일 수 있는 예를 보여준 것이다.
④ 2019년 1월 어느 날 국내 한 기업 사무실 프린터에서 갑자기 정체 모를 출력물이 쏟아지기 시작했다. 출력물엔 양복 차림 사내가 담배를 손에 들고 소파에 앉아 있는 뒷모습과 함께 우리는 전 세계 모든 프린터에 접근할 수 있다(We have the ability to reach every single printer in the world)!’는 문구가 찍혀 있었다. 이는 IoT 기기인 프린터를 해킹한 후 출력 명령을 통해 제어한 경우이다. ⑤ 2016년에 아파트 중앙난방과 온수시스템을 포함한 자동 기온조절 시스템 디도스(DDoS) 공격을 통해 중앙난방 및 온수시스템이 정지되어 아파트 주민들은 1 주일 가까이 난방 없이 생활해야 했다.
<지능형 홈네트워크 설비의 설치 및 기술기준>
국토교통부, 산업통상자원부 및 과학기술정보통신부는, 국토교통부고시 제2021-1533호, 산업통상자원부고시 제2021-240호, 과학기술정보통신부고시 제2021-112호의 고시를 통해 아파트 월패드 망분리를 의무화하는 내용이 담긴 지능형 홈네트워크 설비의 설치 및 기술기준을 마련했다. 2022년 7월부터 새로 짓는 아파트에서 세대 간 인터넷망 분리를 의무화했으며 전문가들도 지금으로선 세대 간 망분리가 최선의 선택이자 반드시 필요하다고 강조한다. 망분리란 세대별로 네트워크를 분리하는 것을 말한다. 예를 들어 500세대가 살고 있는 아파트에 500개의 망을 물리적으로 만드는 것인데 이 방식은 구축 비용과 시간이 많이 소요된다. 개정된 기술기준에 따라 2022년 7월 1일부터 건축심의를 받은 신축 건물에 대해선 홈네트워크 설비 설치 시 본 기술기준이 적용된다. 하지만 이전에 건축심의를 받은 단지를 비롯해 기존 건물은 망분리 의무화 대상에서 벗어나 있으며, 망분리가 보안위협의 근본적인 해결책도 아니다.
이에, 본 발명의 일 실시예에서는 물리적인 거리가 만족되어야 페어링이 가능한 블루투스로 사용자 단말(100)과 PSU(600)를 연결시키고, 최초 사용자 등록시 QR 코드 및 블루투스 페어링으로 사용자 등록을 진행하며, 사용자 단말(100)이 등록 및 인증된 경우 마스터 단말로 설정하고, 마스터가 지정한 IoT 기기(500) 및 추가 단말(400) 간의 데이터 통신만 허용함으로써 해커의 유입을 원천차단하고, 홈네트워크에 물려있는 각종 기기 및 단말이 인터넷망에 접속할 때에는 PSU(600)를 통하여 접속하도록 하고 방화벽, VDN 및 데이터 암호화를 통하여 해커의 유입 및 탈취를 예방할 수 있는 솔루션을 제공한다.
도 2를 참조하면, 등록부(310)는, 사용자 단말(100)에서 QR 코드로 접속한 후 PSU 정보 및 사용자 정보를 업로드하면, 사용자 단말(100), PSU(600), 사용자 정보 및 PSU 정보를 등록할 수 있다. PSU(Portable Security Unit, 600)는, 홈네트워크에 연결될 수 있다. 또, 휴대도 가능하므로 이사를 가는 등 홈네트워크를 이전해야 할 때에도 휴대한 후 이사를 간 거주지에 다시 재설치를 할 수 있다. PSU 정보는, MAC(Media Access Control Address) 주소 및 PSU(600) 인증키(Key)를 포함하는 정보일 수 있으나, 나열된 것들로 한정되지 않고 열거되지 않은 이유로 배제되지 않으며 실시예 또는 업데이트에 따라 변경될 수 있다.
사용자가 사용자 단말(100)을 통하여 PSU(500)를 등록하고, 사용자 단말(100) 자신도 인증 및 등록하기 위해서는 우선 사용자 단말(100)과 PSU(500) 간 물리적 거리가 만족되어야 한다. 즉, ① 블루투스 페어링을 하기 위해서는 두 단말 간 물리적 거리가 10m 내로 유지되어야 하는데, 해커가 인터넷만 접속하면 홈네트워크게이트웨이에 접속되는 것과는 다르게, 본 발명의 일 실시예에서는 물리적 거리를 만족할 것을 요구한다. 이렇게 물리적 거리를 만족했다고 할지라도 ② QR 코드를 스캔하여 엑세스권을 획득해야 한다. QR 코드만 있거나 물리적 거리만 만족하는 해커는 접근할 수 없고 마스터를 획득할 수 있다. 마지막으로, ③ PSU(600)의 인증키, MAC 주소 등을 인증하고, 사용자 단말(100)의 사용자의 인증키 등을 확인하여 등록을 위한 인증을 받아야 하는데, 홈네트워크에 물려있지 않고 PSU(600) 자체의 MAC 주소를 인증받지 못하고 인증키가 없으면 역시 마스터로 등록될 수 없다. 이렇게 사용자 단말(100)과 PSU(600)가 페어링되고 최초 사용자 등록 절차를 마치면, 사용자는 마스터로 지정된다. 마스터는 보안정책을 설정하거나 변경할 수 있고, 추가 단말(400) 및 IoT 기기(500)를 등록할 수 있으며, 실시간 모니터링 및 보안위협에 대한 경고나 알람 등을 수신할 수 있다.
보안연결부(320)는, 사용자 단말(100)에서 인터넷 접속을 시도하는 경우 PSU(600)를 통하여 기 저장된 보안정책에 따라 연결할 수 있다. 사용자 단말(100)은, PSU(600)에 QR 코드를 이용하여 접속한 후, PSU(600)의 PSU 정보 및 사용자 정보를 업로드하고, PSU(600)에 기 저장된 보안정책에 따라 인터넷에 연결될 수 있다. PSU(600)는, 홈네트워크게이트웨이(Gateway)와 인터넷 망 간 구비되고, CPU(Central Processing Unit) 및 메모리를 탑재하고, 방화벽 및 VPN(Virtual Private Network) 기반의 휴대용 보안 장치일 수 있다. 또, 홈네트워크와 인터넷 간 데이터 암호화를 수행하고, VPN을 이용하여 홈네트워크의 데이터 전송구간의 망분리(Network Segmentation)를 수행하며, 비인가 사용자의 홈네트워크, IoT 기기(500) 및 사용자 단말(100)에 접근을 차단하고, 리눅스(Linux) 기반 전용 OS(Operating System) 및 DBMS(DataBase Management System)를 포함하는 장치일 수 있다. 이에, PSU(600)는, 자체적으로 운용되므로 본 발명의 일 실시예에 따른 보안 서비스 제공 서버(300) 간 통신이 필수적이지 않고, 업데이트 시에만 연결되므로 PSU(600)와 보안 서비스 제공 서버(300)의 통신에서 발생할 수 있는 해킹의 위협을 최소화할 수 있다.
<TLS>
안전한 IoT 환경에서의 서비스를 위해 네트워크 보안 프로토콜을 이용한 암호화 통신이 반드시 고려되어야 한다. 네트워크 보안 프로토콜에는 IETF(Internet Engineering Task Force)에서 정의한 TLS(Transport LayerProtocol)가 있는데, 제한된 자원 특성을 갖는 IoT 기기(500)에서 네트워크 보안 프로토콜인 TLS의 부하를 고려하여, 오픈 플랫폼 환경에서 TLS 버전 1.2와 버전 1.3를 이용할 수 있다. 또, 버전 1.3에서 지원하는 주요 암호화 알고리즘의 성능을 분석하여 IoT 기기(500) 사양에 따라 적합한 네트워크 보안 프로토콜 속성을 설정할 수 있다.
대다수의 IoT 통신 프로토콜은 IoT 환경에 적합한 통신을 위해 경량화, 유연성, 확장성 등의 특징을 지니고 있지만 제한된 메모리와 성능으로 인해 보안기능이 적용되어 있지 않거나 보안에 대한 고려가 부족하다. 예를 들어, IoT 환경에서 보편적으로 사용되는 메시지 프로토콜인 MQTT(Message Queueing Telemetry Transport)는 표준으로 정해진 보안사항이 없으며 No TCP/IP(Transmission Control Protocol/Internet Protocol)와 TCP/IP가 혼용된 로컬 네트워크에서는 네트워크 구간을 신뢰할 수 없다. 또 다른 메시지 프로토콜인 CoAP(The Constrained Application Protocol)는 DTLS(Datagram Transport Layer Security)를 통해 TLS(Transport Layer Security)와 같은 보안성을 제공하지만 IoT 환경에서는 무거운 보안 기법이라는 단점이 있다. 따라서, 안전한 보안 통신 환경을 구축하기 위해서는 IoT 기기(500)의 제한된 특성에 맞는 경량화된 암호화 프로토콜이 필요하다. 현재 IoT 환경에서 동작 가능한 다양한 경량형 암호화 프로토콜이 개발되고 있지만 신규 프로토콜은 기존의 검증된 기술과 달리 잠재적인 취약점을 포함할 수 있다. 그러므로 IoT 통신 프로토콜과 검증된 암호화 통신 및 인증을 제공하는 TLS의 접목이 필요하며 TLS 버전 1.2보다 암호화 및 성능 문제를 해결한 TLS 버전 1.3의 사용을 고려해야 한다.
<Cipher Suite>
TLS 버전 1.3은 지원하는 Cipher Suite 목록에서 Static RSA(Rivest-Shamir-Adleman)와 디피-헬먼(Diffie-Hellman)을 제거해 모든 공개키 기반 키 교환(Key Exchange) 메커니즘은 전방 기밀(Forward Secrecy)을 제공하고 있고, RC4, CBC, 3DES 같은 레거시(Legacy) 알고리즘의 지원을 중단하여 버전 1.3의 모든 대칭키 암호화 알고리즘은 AEAD(Authenticated Encryption with Associated Data) 알고리즘으로 보안을 향상시킬 수 있다. 또한, Cipher Suite의 협상 방법도 기존의 인증과 키 교환 알고리즘, 암호화 알고리즘을 조합해서 사용하는 방식에서 각각 독립적으로 선택하는 방법으로 변경해 추가될 암호화 알고리즘의 확장성을 개선할 수 있다.
<Handshake>
TLS 버전 1.2와 버전 1.3의 TLS Handshake 전체 메시지 흐름을 보면, TLS 버전 1.2의 Handshake는 Change Cipher Spec을 포함해 2-RTT(Round Trip Time)인 반면 1.3에서는 Extension을 통해 Change Cipher Spec 같은 메시지 교환을 줄여 1-RTT로 단축한다. 서버는 ClientHello 메시지의 Extension 정보를 바탕으로 암호화 알고리즘 및 파라미터를 선택할 수 있기에 ServerHello 메시지 이후의 모든 Handshake 메시지를 암호화할 수 있다. RFC 8446 규격 분석을 통해 TLS 버전 1.3 버전의 Handshake 속도 향상을 예상할 수 있으며, 지원하는 암호화 알고리즘 목록 개선 등을 통해 보안이 향상될 수 있다. 물론, 상술한 네트워크 프로토콜이나 암호화 알고리즘 외에도 다양한 프로토콜 및 암호화 알고리즘이 이용될 수 있음은 자명하다 할 것이다.
<종단 간 경량 암호화>
<SPECK>
SPECK은 미국 NSA(National Security Agency)를 통해 발표된 암호화 방법으로, Feistel 구조의 경량 블록 암호이며 ARX(Addition, Rotation, XOR)로 구성된 연산을 수행하여 암호화 및 복호화 한다. 소프트웨어 동작에 초점을 맞춰 설계되었으며, 마이크로컨트롤러 플랫폼에 최적화된 암호이다. NSA에 의하면 SPECK이 가진 주요 강점으로 유연성과 성능을 제시하고 있다. SPECK은 다양한 블록/키 길이(48/96, 64/96, 64/128, 96/96, 96/144, 128/128, 128/192, 128/256)을 지원하기 때문에, 다양한 환경에서 사용할 수 있다.
<ECC>
타원 곡선 암호(Elliptic Curve Cryptography, ECC) 알고리즘은 이산대수에서 사용하는 유한체의 곱셉군을 타원곡선군으로 대치한 암호체계로써, 다른 암호체계에 비하여 짧은 키 사이즈로 대등한 안전도를 가지는 장점을 가지고 있다. ECC 알고리즘을 이용한 암호 시스템은 난수와 결합한 공개키를 각 단말에 공유하여 공격자가 유추할 수 없는 비밀 키로 동기화하고 암호화하는 순서로 진행하며, 이같은 암호 시스템을 구현하기 위해서는 키 분배 알고리즘과 메시지 암호 알고리즘이 구성된다. ECC 알고리즘의 키 분배 방식은 ECDH(Elliptic Curve Diffie-Hellman) 알고리즘이 대표적이다. 메시지 암호화는 비밀 키 계산 이후 단말이 메시지와 비밀 키를 연산하여 서버 송신 과정과 서버가 비밀 키를 이용하여 암호화 된 메시지를 연산하는 과정으로 진행된다. 성능 오버헤드 때문에 키를 미리 공유하는 방식으로 사용했던 PSK 기반의 대칭키 암호의 보안 문제를 해결하기 위하여 IoT 환경에 적합하다.
위협차단부(330)는, PSU(600)로 인증받지 못한 위협 단말(미도시)의 엑세스를 PSU(600)를 통하여 차단할 수 있다.
사용자인증부(340)는, 사용자 단말(100)의 사용자 정보를 저장하고, 사용자 인증키를 사용자 단말(100)로 전송한 후, 사용자 정책관리(Policy Management) 솔루션을 사용자 단말(100)에서 이용하도록 사용자 단말(100)을 마스터(Master)로 지정할 수 있다. 사용자 단말(100)에 설치되는 사용자 정책관리(Policy Management) 솔루션은, PSU(600)의 방화벽 및 VPN 정책을 설정하고, PSU(600)의 방화벽 및 VPN을 실시간으로 모니터링하며, PSU(600)의 로그를 관리하는 솔루션일 수 있다.
<커버로스 인증>
스마트홈의 가구 내, 월패드를 통한 서비스 사용자에게 인증은 자동화에 따른 번거로운 절차일 수 있다. 하지만 인증이 없이 누구나 가구 내에만 있다는 조건만으로 사용이 자유롭게 될 경우에 문제가 된다. 이러한 측면에서 인증의 의미는 내부 공격자로부터 월패드와 같은 컨트롤 디스플레이 장치의 보호가 목적이다. 간단한 인증만으로도 다양한 내부 공격에 대응할 수 있기 때문이다. 특히 공유(Shared)공격과 이미 인가된 자로 등록된 가구 구성원 및 관리자 공격에도 효과적이다. 월패드의 하루 사용 시간을 고려해본다면, 인증기술의 적용은 월패드 뿐만 아니라, 단지 내 관리 서버에 대해 인증성(Authentication)과 안전성(Stability), 접근 통제성(Access Control), 투명성(Transparent), 신뢰성(Reliable)을 제공한다. 그리고 커버로스(Kerberos) 인증은 이하 수학식 1 내지 수학식 3과 같이 암호화를 통한 기밀성을 제공함으로써, MITM(Man In The Middle)공격과 같은 가로채기(Intercept) 공격유형에 효과적이다. 또한 임의 접속이 빈번히 발생하는 상황에서도 아래 암호화 및 티켓을 통해 세션(Session)마다 인증을 수행함으로써 대응 효과가 크다.
Figure 112022128084674-pat00001
수학식 1은 월패드를 사용하는 사용자 로그온 마다 한 번씩 진행되는데, 식별인증정보는 암호화키를 통해 티켓과 함께 암호화되어 인증 시스템으로부터 발급받는다. 이는 MITM 공격에 대응한다.
Figure 112022128084674-pat00002
수학식 2는 서비스 유형마다 한 번씩 진행되는데, 이를 통해 티켓 서버로부터 통신하고자 하는 자와의 공개키를 발급받아 특정 서비스에 대해 인증 확인이 가능해 월패드의 과금 서비스에 대한 관리 서버의 접속을 용이하게 한다.
Figure 112022128084674-pat00003
수학식 3은 서비스 세션마다 한 번씩 진행되는데, 티켓을 통해 세션마다의 인증 수행함으로써 신뢰성 있는 연결이 가능하다. 이때, TGS는 인증승인서버(Ticket Granting Server), AS는 인증서버, V는 서버, ADc는 C의 네트워크 주소, C는 클라이언트, Kv는 AS와 V가 공유하는 비밀 암호화키, IDc는 C에 있는 사용자의 식별자, IDv는 V의 식별자이다.
추가관리부(350)는, 사용자 단말(100)에서 마스터로 지정된 후 홈네트워크에 연결되는 적어도 하나의 IoT(Internet of Things) 기기 및 적어도 하나의 추가 단말(400)이 존재하는 경우, 사용자 단말(100)의 마스터 승인 절차에 따라 등록되도록 할 수 있다. 이때, 추가를 할 때에는 관리자 권한, 즉 마스터 권한을 사용하고 있으므로, 인증정보를 동일한 것을 사용하는 경우 동일 패스워드의 재사용공격(Replay Attack)에 따른 문제가 발생할 수 있다. 이때, 마스터 권한을 사용할 때에는 최초인증받았던 인증키나 패스워드 등과 같은 인증수단을 변경하여 사용할 수 있다. 또, 관리 서버의 빈번한 임의 접속에 상술한 커버로스 인증기술로 공격자에 의한 가로채기 공격 및 위장 공격에 대응할 수 있도록 한다.
유출차단부(360)는, 적어도 하나의 IoT 기기(500)의 IoT 데이터가 인터넷을 통하여 전달되지 않도록 차단할 수 있다. 유출차단부(360)는, IoT 데이터가 전달이 되더라도 제로트러스트(Zero-Trust) 기반의 GPS 역추적을 할 수 있도록 설정될 수 있다.
정책설정부(370)는, 사용자 단말(100)과 PSU(600)는 블루투스(Bluetooth) 통신에 기초하여 페어링(Pairing)되고, 사용자 단말(100)에서 사용자 정책관리 솔루션을 이용하여 PSU(600)의 방화벽 정책 및 데이터 암호화를 포함하는 보안정책을 설정하도록 할 수 있다. 이때, 사용자가 일반인인 경우 정책관리나 설정 등에 익숙하지 못할 수 있고, 낮은 이해도로 인한 휴먼 에러가 발생할 가능성이 높다. 예를 들어, 차단되어야 할 외부 IP가 허용되어 내부의 중요 자산에 접근 후 서비스 중단, 바이러스 유포, 개인정보 유출 등 심각한 침해사고가 발생할 수 있다. 정책에 대한 사전 검증 및 관리적 평가를 할 수 있다면 휴먼 에러를 낮추고 운영 및 관리적 미흡을 보완할 수 있다.
<정책점검>
① 정책점검 전 단계에서는 방화벽으로부터 정책의 백업 파일을 Export하고 본 발명의 플랫폼에 입력하고, ② 점검 단계에서는 입력된 정책 파일을 분석하여 중복 정책과 논리적 오류 정책을 식별하며, ③ 점검 후 단계에서는 식별된 결과를 정해진 양식에 따라 보고서를 출력할 수 있다. ④ 보안을 위해 정책 파일은 완전 삭제할 수 있다. 요구기능 명세서를 바탕으로 보고서를 작성할 수 있다. 이때, 보고서는 크게 세 구역으로 구분할 수 있는데, 첫째, Base Profile은 점검과 관련된 기본적인 정보인 점검 날짜, 정책 파일 경로, 파일 버전을 표시한다. 둘째, Result는 정책 점검 결과의 요약사항을 나타낸다. 사용 중인 미동작 정책(Overlap Policy)과 중복 정책(Duplicate Policy)의 개수를 나타낸다. 셋째, 상세 데이터는 상세한 점검 결과를 나타낸다. 어떤 서비스에서 어떤 IP가 중복 또는 미동작 중인지를 알 수 있다.
<정책 검사 프로세스>
첫째, 프로토콜 종류별 Sequence ID를 구분한다. 프로토콜, IP/포트(Port) 모두가 일치하는 경우이다. 이 중 하나라도 불일치한다면 검사 대상이 아니므로 정책 파일을 읽는 과정에서 동일 프로토콜로 미리 집합을 만들어 구분함으로써, 불필요한 검사 횟수를 더욱 줄일 수 있다. 둘째, 같은 프로토콜을 사용하는 정책의 IP/Port의 범위검사를 수행하여 중복된 범위 값을 추출한다. 이때, IP 범위 검사 시 문자열로 표현된 IP는 정수로 변환하여 이미 정수로 표현된 포트와 동일한 방법으로 범위 검사를 수행한다. 셋째, 각 정책의 허용 또는 차단 동작을 확인하여 두 정책의 동작이 서로 같으면 중복 정책이고, 서로 다르면 둘 중 하위 순번의 정책이 미동작하는 경우로 판별한다. 넷째, 모든 정책의 검사를 수행하고 중복된 IP/Port, 프로토콜 결과 값을 보고서 양식에 맞게 출력한다. 상술한 정책점검의 가이드라인은 KISA(한국 인터넷진흥원) 또는 ISMS-P의 가이드라인을 이용할 수 있다.
엑세스제한부(380)는, 사용자 단말(100)에서 사용자 정책관리 솔루션을 이용하여 인증 및 등록한, 적어도 하나의 추가 단말(400)이나 사용자 단말(100)에서 IoT 기기(500)관리 솔루션을 통해서만 데이터 통신이 가능하도록 설정할 수 있다.
패킷허용부(390)는, PSU(600) 보안정책 솔루션을 통하여 홈네트워크에 연결된 사용자 단말(100) 또는 적어도 하나의 추가 단말(400)의 패킷(Packet)에 대해 인터넷 접속 및 사용을 허용할 수 있다.
이하, 상술한 도 2의 보안 서비스 제공 서버의 구성에 따른 동작 과정을 도 3 및 도 4를 예로 들어 상세히 설명하기로 한다. 다만, 실시예는 본 발명의 다양한 실시예 중 어느 하나일 뿐, 이에 한정되지 않음은 자명하다 할 것이다.
도 3a를 참조하면 본 발명의 일 실시예에 따른 솔루션은, ① PSU(600)에 대해 사용자 단말(100)에서 최초 등록 및 인증을 하기 위해서, QR 코드를 이용하여 PSU(600)에 접속되도록 하고, ② MAC 어드레스, 인증키 등 PSU(600) 정보를 전달하고, ③ 사용자(Master) 정보 저장 및 인증키 전송, 이후 사용자 정책관리 솔루션(애플리케이션)을 사용가능하다. 추가 사용자 등록은 마스터 승인 절차에 따라 등록할 수 있다. 또한, ④ 블루투스를 이용하여 사용자 정책관리 솔루션을 통해 PSU(600)의 방화벽 정책 및 데이터 암호화 기능 등을 설정할 수 있고, ⑤ 내지 ⑧에 따른 PSU(600)의 보안정책에 따라, 홈네트워크의 개인용 PC 패킷은 인터넷 사용이 가능하며, IoT 기기(500)의 데이터는 인증받은 유닛 사용자의 IoT 기기(600) 관리 애플리케이션을 통해서만 데이터 통신이 가능하고, 인증을 받지 못한 해커는 PSU(600)를 통해 차단할 수 있다.
도 3b와 같이 본 발명의 일 실시예에 따른 솔루션은, 해킹방지를 통한 보안강화, 안전한 정보유통기여, 구축 및 운용 비용 절감을 이룰 수 있고, 도 3c와 같이 물리적 망분리에 소요되는 각 세대의 부담을 줄여주면서도 동일한 기능은 물론 더 나은 보안 솔루션까지 제공하면서, 또 휴대가 가능하므로 이사를 하더라도 그대로 가져갈 수 있으므로 비용절감을 이뤄낼 수 있으며 유지비용을 줄여줄 수 있다. 도 3d와 같은 솔루션 내 도 3e와 같은 구성요소(PSU(600), 보안 서비스 제공 서버(300), 정책관리 솔루션)를 제공할 수 있다. 본 발명의 일 실시예에 따른 시스템은 도 4a 및 도 4b와 같은 차별성을 가질 수 있다.
이와 같은 도 2 내지 도 4의 지능형 홈네트워크 기반 PSU를 이용한 종단 간 보안 서비스 제공 방법에 대해서 설명되지 아니한 사항은 앞서 도 1을 통해 지능형 홈네트워크 기반 PSU를 이용한 종단 간 보안 서비스 제공 방법에 대하여 설명된 내용과 동일하거나 설명된 내용으로부터 용이하게 유추 가능하므로 이하 설명을 생략하도록 한다.
도 5는 본 발명의 일 실시예에 따른 도 1의 지능형 홈네트워크 기반 PSU를 이용한 종단 간 보안 서비스 제공 시스템에 포함된 각 구성들 상호 간에 데이터가 송수신되는 과정을 나타낸 도면이다. 이하, 도 5를 통해 각 구성들 상호간에 데이터가 송수신되는 과정의 일 예를 설명할 것이나, 이와 같은 실시예로 본원이 한정 해석되는 것은 아니며, 앞서 설명한 다양한 실시예들에 따라 도 5에 도시된 데이터가 송수신되는 과정이 변경될 수 있음은 기술분야에 속하는 당업자에게 자명하다.
도 5를 참조하면, 보안 서비스 제공 서버는, 사용자 단말에서 QR 코드로 접속한 후 PSU 정보 및 사용자 정보를 업로드하면, 사용자 단말, PSU, 사용자 정보 및 PSU 정보를 등록한다(S5100).
그리고, 보안 서비스 제공 서버는, 사용자 단말에서 인터넷 접속을 시도하는 경우 PSU를 통하여 기 저장된 보안정책에 따라 연결하고(S5200), PSU로 인증받지 못한 위협 단말의 엑세스를 PSU를 통하여 차단한다(S5300).
상술한 단계들(S5100~S5300)간의 순서는 예시일 뿐, 이에 한정되지 않는다. 즉, 상술한 단계들(S5100~S5300)간의 순서는 상호 변동될 수 있으며, 이중 일부 단계들은 동시에 실행되거나 삭제될 수도 있다.
이와 같은 도 5의 지능형 홈네트워크 기반 PSU를 이용한 종단 간 보안 서비스 제공 방법에 대해서 설명되지 아니한 사항은 앞서 도 1 내지 도 4를 통해 지능형 홈네트워크 기반 PSU를 이용한 종단 간 보안 서비스 제공 방법에 대하여 설명된 내용과 동일하거나 설명된 내용으로부터 용이하게 유추 가능하므로 이하 설명을 생략하도록 한다.
도 5를 통해 설명된 일 실시예에 따른 지능형 홈네트워크 기반 PSU를 이용한 종단 간 보안 서비스 제공 방법은, 컴퓨터에 의해 실행되는 애플리케이션이나 프로그램 모듈과 같은 컴퓨터에 의해 실행가능한 명령어를 포함하는 기록 매체의 형태로도 구현될 수 있다. 컴퓨터 판독 가능 매체는 컴퓨터에 의해 액세스될 수 있는 임의의 가용 매체일 수 있고, 휘발성 및 비휘발성 매체, 분리형 및 비분리형 매체를 모두 포함한다. 또한, 컴퓨터 판독가능 매체는 컴퓨터 저장 매체를 모두 포함할 수 있다. 컴퓨터 저장 매체는 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈 또는 기타 데이터와 같은 정보의 저장을 위한 임의의 방법 또는 기술로 구현된 휘발성 및 비휘발성, 분리형 및 비분리형 매체를 모두 포함한다.
전술한 본 발명의 일 실시예에 따른 지능형 홈네트워크 기반 PSU를 이용한 종단 간 보안 서비스 제공 방법은, 단말기에 기본적으로 설치된 애플리케이션(이는 단말기에 기본적으로 탑재된 플랫폼이나 운영체제 등에 포함된 프로그램을 포함할 수 있음)에 의해 실행될 수 있고, 사용자가 애플리케이션 스토어 서버, 애플리케이션 또는 해당 서비스와 관련된 웹 서버 등의 애플리케이션 제공 서버를 통해 마스터 단말기에 직접 설치한 애플리케이션(즉, 프로그램)에 의해 실행될 수도 있다. 이러한 의미에서, 전술한 본 발명의 일 실시예에 따른 지능형 홈네트워크 기반 PSU를 이용한 종단 간 보안 서비스 제공 방법은 단말기에 기본적으로 설치되거나 사용자에 의해 직접 설치된 애플리케이션(즉, 프로그램)으로 구현되고 단말기에 등의 컴퓨터로 읽을 수 있는 기록매체에 기록될 수 있다.
전술한 본 발명의 설명은 예시를 위한 것이며, 본 발명이 속하는 기술분야의 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 쉽게 변형이 가능하다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다. 예를 들어, 단일형으로 설명되어 있는 각 구성 요소는 분산되어 실시될 수도 있으며, 마찬가지로 분산된 것으로 설명되어 있는 구성 요소들도 결합된 형태로 실시될 수 있다.
본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 균등 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.

Claims (10)

  1. 홈네트워크에 연결되는 PSU(Portable Security Unit);
    상기 PSU에 QR 코드를 이용하여 접속한 후, 상기 PSU의 PSU 정보 및 사용자 정보를 업로드하고, 상기 PSU에 기 저장된 보안정책에 따라 인터넷에 연결되는 사용자 단말; 및
    상기 사용자 단말에서 상기 QR 코드로 접속한 후 상기 PSU 정보 및 사용자 정보를 업로드하면, 상기 사용자 단말, PSU, 사용자 정보 및 PSU 정보를 등록하는 등록부, 상기 사용자 단말에서 인터넷 접속을 시도하는 경우 상기 PSU를 통하여 상기 기 저장된 보안정책에 따라 연결하는 보안연결부, 상기 PSU로 인증받지 못한 위협 단말의 엑세스를 상기 PSU를 통하여 차단하는 위협차단부를 포함하는 보안 서비스 제공 서버;를 포함하며,
    상기 PSU 정보는,
    MAC(Media Access Control Address) 주소 및 PSU 인증키(Key)를 포함하는 정보인 것을 특징으로 하는 지능형 홈네트워크 기반 PSU를 이용한 종단 간(End-to-End) 보안 서비스 제공 시스템.
  2. 삭제
  3. 제 1 항에 있어서,
    상기 보안 서비스 제공 서버는,
    상기 사용자 단말의 사용자 정보를 저장하고, 사용자 인증키를 상기 사용자 단말로 전송한 후, 사용자 정책관리(Policy Management) 솔루션을 상기 사용자 단말에서 이용하도록 상기 사용자 단말을 마스터(Master)로 지정하는 사용자인증부;
    를 더 포함하는 것을 특징으로 하는 지능형 홈네트워크 기반 PSU를 이용한 종단 간 보안 서비스 제공 시스템.
  4. 제 3 항에 있어서,
    상기 보안 서비스 제공 서버는,
    상기 사용자 단말에서 마스터로 지정된 후 상기 홈네트워크에 연결되는 적어도 하나의 IoT(Internet of Things) 기기 및 적어도 하나의 추가 단말이 존재하는 경우, 상기 사용자 단말의 마스터 승인 절차에 따라 등록되도록 하는 추가관리부;
    를 더 포함하는 것을 특징으로 하는 지능형 홈네트워크 기반 PSU를 이용한 종단 간 보안 서비스 제공 시스템.
  5. 제 4 항에 있어서,
    상기 보안 서비스 제공 서버는,
    상기 적어도 하나의 IoT 기기의 IoT 데이터가 상기 인터넷을 통하여 전달되지 않도록 차단하는 유출차단부;
    를 더 포함하는 것을 특징으로 하는 지능형 홈네트워크 기반 PSU를 이용한 종단 간 보안 서비스 제공 시스템.
  6. 제 3 항에 있어서,
    상기 보안 서비스 제공 서버는,
    상기 사용자 단말과 상기 PSU는 블루투스(Bluetooth) 통신에 기초하여 페어링(Pairing)되고, 상기 사용자 단말에서 상기 사용자 정책관리 솔루션을 이용하여 PSU의 방화벽 정책 및 데이터 암호화를 포함하는 보안정책을 설정하도록 하는 정책설정부;
    를 더 포함하는 것을 특징으로 하는 지능형 홈네트워크 기반 PSU를 이용한 종단 간 보안 서비스 제공 시스템.
  7. 제 4 항에 있어서,
    상기 보안 서비스 제공 서버는,
    상기 사용자 단말에서 상기 사용자 정책관리 솔루션을 이용하여 인증 및 등록한, 적어도 하나의 추가 단말이나 상기 사용자 단말에서 IoT 기기관리 솔루션을 통해서만 데이터 통신이 가능하도록 설정하는 엑세스제한부;
    를 더 포함하는 것을 특징으로 하는 지능형 홈네트워크 기반 PSU를 이용한 종단 간 보안 서비스 제공 시스템.
  8. 삭제
  9. 제 1 항에 있어서,
    상기 PSU는,
    홈네트워크게이트웨이(Gateway)와 인터넷 망 간 구비되고,
    CPU(Central Processing Unit) 및 메모리를 탑재하고, 방화벽 및 VPN(Virtual Private Network) 기반의 휴대용 보안 장치이고,
    상기 홈네트워크와 인터넷 간 데이터 암호화를 수행하고, 상기 VPN을 이용하여 홈네트워크의 데이터 전송구간의 망분리(Network Segmentation)를 수행하며,
    비인가 사용자의 상기 홈네트워크, IoT 기기 및 사용자 단말에 접근을 차단하고,
    리눅스(Linux) 기반 전용 OS(Operating System) 및 DBMS(DataBase Management System)를 포함하는 장치인 것을 특징으로 하는 지능형 홈네트워크 기반 PSU를 이용한 종단 간 보안 서비스 제공 시스템.
  10. 제 9 항에 있어서,
    상기 사용자 단말에 설치되는 사용자 정책관리(Policy Management) 솔루션은,
    상기 PSU의 방화벽 및 VPN 정책을 설정하고, 상기 PSU의 방화벽 및 VPN을 실시간으로 모니터링하며, 상기 PSU의 로그를 관리하는 것을 특징으로 하는 지능형 홈네트워크 기반 PSU를 이용한 종단 간 보안 서비스 제공 시스템.
KR1020220163230A 2022-11-29 2022-11-29 지능형 홈네트워크 기반 psu를 이용한 종단 간 보안 서비스 제공 시스템 KR102534826B1 (ko)

Priority Applications (4)

Application Number Priority Date Filing Date Title
KR1020220163230A KR102534826B1 (ko) 2022-11-29 2022-11-29 지능형 홈네트워크 기반 psu를 이용한 종단 간 보안 서비스 제공 시스템
CN202311477357.4A CN118118903A (zh) 2022-11-29 2023-11-07 利用基于智能家庭网络的psu的端到端安全服务提供***
US18/508,716 US20240179187A1 (en) 2022-11-29 2023-11-14 System for providing end-to-end security service using portable security unit based on intelligent home network
JP2023197737A JP2024078429A (ja) 2022-11-29 2023-11-21 知能型ホームネットワーク基盤psuを利用した終端間セキュリティサービス提供システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020220163230A KR102534826B1 (ko) 2022-11-29 2022-11-29 지능형 홈네트워크 기반 psu를 이용한 종단 간 보안 서비스 제공 시스템

Publications (1)

Publication Number Publication Date
KR102534826B1 true KR102534826B1 (ko) 2023-05-26

Family

ID=86536456

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020220163230A KR102534826B1 (ko) 2022-11-29 2022-11-29 지능형 홈네트워크 기반 psu를 이용한 종단 간 보안 서비스 제공 시스템

Country Status (4)

Country Link
US (1) US20240179187A1 (ko)
JP (1) JP2024078429A (ko)
KR (1) KR102534826B1 (ko)
CN (1) CN118118903A (ko)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050032856A (ko) * 2003-10-02 2005-04-08 삼성전자주식회사 공개 키 기반 구조의 도메인을 형성하여 UPnP를통하여 구현하는 방법
JP2009253437A (ja) * 2008-04-02 2009-10-29 I-O Data Device Inc 機器管理サーバ、機器特定方法、および、機器特定プログラム。
US20190149401A1 (en) * 2017-11-10 2019-05-16 International Business Machines Corporation Accessing gateway management console
KR102162976B1 (ko) * 2020-01-10 2020-10-07 박승필 가상 사설망을 이용한 장치 간 보안 유효성 평가 및 대응 시스템 및 그 방법

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050032856A (ko) * 2003-10-02 2005-04-08 삼성전자주식회사 공개 키 기반 구조의 도메인을 형성하여 UPnP를통하여 구현하는 방법
JP2009253437A (ja) * 2008-04-02 2009-10-29 I-O Data Device Inc 機器管理サーバ、機器特定方法、および、機器特定プログラム。
US20190149401A1 (en) * 2017-11-10 2019-05-16 International Business Machines Corporation Accessing gateway management console
KR102162976B1 (ko) * 2020-01-10 2020-10-07 박승필 가상 사설망을 이용한 장치 간 보안 유효성 평가 및 대응 시스템 및 그 방법

Also Published As

Publication number Publication date
CN118118903A (zh) 2024-05-31
US20240179187A1 (en) 2024-05-30
JP2024078429A (ja) 2024-06-10

Similar Documents

Publication Publication Date Title
Miloslavskaya et al. Internet of Things: information security challenges and solutions
Lee et al. A blockchain-based smart home gateway architecture for preventing data forgery
Hammi et al. Survey on smart homes: Vulnerabilities, risks, and countermeasures
Samaila et al. Challenges of securing Internet of Things devices: A survey
Kang et al. An enhanced security framework for home appliances in smart home
Metke et al. Smart grid security technology
Yan et al. A survey on cyber security for smart grid communications
Meyer et al. A threat-model for building and home automation
JP6717468B2 (ja) セキュアな機器動作のためのシステムおよび方法
Alexei et al. Analysis of IoT security issues used in Higher Education Institutions
Miloslavskaya et al. Ensuring information security for internet of things
Vasilescu et al. IoT security challenges for smart homes
Yang et al. Secure smart home systems: A blockchain perspective
KR102534826B1 (ko) 지능형 홈네트워크 기반 psu를 이용한 종단 간 보안 서비스 제공 시스템
Naria et al. Security and Privacy Issue in Internet of Things, Smart Building System: A Review
US10798572B2 (en) System and method for secure appliance operation
Tsunoda et al. Feasibility of societal model for securing Internet of Things
Raja et al. Threat Modeling and IoT Attack Surfaces
Hussain et al. Integrated privacy preserving framework for smart home
Qureshi et al. IoTFC: A Secure and Privacy Preserving Architecture for Smart Buildings
Feng et al. A survey on internet of things security based on smart home
Barriga A et al. Security over smart home automation systems: A survey
Chawngsangpuii et al. Security management perspective for Internet of Things
KR102681495B1 (ko) 보안형 원격제어반 및 이를 포함하는 제로트러스트 건물관리시스템
Salas IoTFC: A Secure and Privacy Preserving Architecture for Smart Buildings

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant