KR20170119054A - End-to-End Security Platform of Internet of Things - Google Patents

End-to-End Security Platform of Internet of Things Download PDF

Info

Publication number
KR20170119054A
KR20170119054A KR1020160046700A KR20160046700A KR20170119054A KR 20170119054 A KR20170119054 A KR 20170119054A KR 1020160046700 A KR1020160046700 A KR 1020160046700A KR 20160046700 A KR20160046700 A KR 20160046700A KR 20170119054 A KR20170119054 A KR 20170119054A
Authority
KR
South Korea
Prior art keywords
security
object internet
module
user terminal
security element
Prior art date
Application number
KR1020160046700A
Other languages
Korean (ko)
Other versions
KR101839048B1 (en
Inventor
이주화
Original Assignee
이니텍(주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 이니텍(주) filed Critical 이니텍(주)
Priority to KR1020160046700A priority Critical patent/KR101839048B1/en
Publication of KR20170119054A publication Critical patent/KR20170119054A/en
Application granted granted Critical
Publication of KR101839048B1 publication Critical patent/KR101839048B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L67/16
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/51Discovery or management thereof, e.g. service location protocol [SLP] or web services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/12Transmitting and receiving encryption devices synchronised or initially set up in a particular manner
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/12Details relating to cryptographic hardware or logic circuitry

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명에 의한 사물 인터넷 장치와, 사물 인터넷 게이트웨이와, 사물 인터넷 사용자 단말기는, 사물 인터넷 서버에서 생성된 보안 동기화 정보인 보안속성값, 키 정보, 식별자 정보를 물리적 및 온라인상 분리된 보안 요소 발급 장치에 의해서 발급된 보안 동기화 정보(보안속성값, 키 정보, 식별자 정보)를 적어도 포함하고 보안 프로토콜과 암호화 기능을 수행하는 보안 요소(SE)와; 암호화 및 복호화 기능을 제공하는 (경량) 암호 모듈과; (경량) 암호 모듈 및 보안 요소의 인터페이스를 제공하는 어플리케이션 프로그램 인터페이스 모듈과; 소프트웨어 보안 모듈 자가 검증과, 보안 정책과 보안 메시지를 파싱하며 암호화 및 복호화를 수행하는 사물 인터넷 소프트웨어 보안 모듈을 포함한다.The object Internet device, the object Internet gateway, and the object Internet user terminal according to the present invention may include a security attribute value, key information, and identifier information, which are security synchronization information generated in the object Internet server, (SE) that includes at least security synchronization information (security attribute value, key information, and identifier information) issued by the security element (SE) and performs a security protocol and an encryption function; A (lightweight) cryptographic module for providing encryption and decryption functions; An application program interface module for providing an interface of a (lightweight) cryptographic module and a security element; Software security module self-verification, and object Internet software security module that parses and encrypts and decrypts security policies and security messages.

Description

사물 인터넷 환경의 종단간 보안 플랫폼{End-to-End Security Platform of Internet of Things}End-to-End Security Platform of Internet of Things [

본 발명은 사물 인터넷 환경의 종단간 보안 플랫폼에 관한 것으로서 좀 더 자세하게는 종래 기술에 의한 보안 프로토콜에 비해 보안성이 향상되고 처리 성능이 개선된 보안 플랫폼에 관한 것이다.BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to an end-to-end security platform for the Internet of Things, and more particularly to a security platform with improved security and improved processing performance as compared to a security protocol according to the prior art.

사물 인터넷의 국제 표준 기관인 oneM2M은 사물 인터넷 서비스 환경을 사물 인터넷 장치 도메인, 사물 인터넷 네트워크 도메인, 사물 인터넷 서버(플랫폼) 도메인 및 사물 인터넷 사용자 도메인으로 구분하여 서비스를 제공하도록 규정하고 있다.OneM2M, an international standard organization for the Internet, specifies that the Internet service environment for objects should be divided into a domain of objects, a domain of objects, a domain of objects, and a domain of objects.

oneM2M은 상기 네 개의 도메인에서 식별자, 인증서, 민감 데이터, 보안 연계 정보 등을 기반으로 SSL, TLS 및 DTLS를 통해 각 구간에서 보안 채널을 구성하여 메시지를 암호화하여 송수신하는 것을 권고하고 있다.oneM2M recommends configuring a secure channel in each section through SSL, TLS and DTLS based on identifiers, certificates, sensitive data, security association information, etc. in the four domains and encrypting and transmitting the message.

그런데 이러한 방식에는 다음과 같은 보안상 취약점이 존재한다.However, the following security vulnerabilities exist in this method.

첫째, 각 구간에서 DTLS, SSL/TSL 전송구간 보안 프로토콜을 사용하면 각각의 도메인 내에서 수신된 정보를 복호화하고 다시 암호화해서 전송해야 하기 때문에 장치 내부의 보안에 취약성이 존재한다.First, if DTLS and SSL / TSL transmission interval security protocols are used in each section, information received in each domain must be decrypted and re-encrypted before being transmitted.

둘째, SSL/TSL 및 DTLS 전송 구간 보안 프로토콜을 사용하는 경우 상호인증을 보장하기 위하여 신뢰기관(CA)이 필요한 PKI 구조로 보안 처리를 수행해야 하므로 사물 인터넷 서비스 전체에 대해 처리 성능이 저하되는 문제점이 있다.Second, in case of using SSL / TSL and DTLS transmission interval security protocol, security processing must be performed with a PKI structure that requires a trusted authority (CA) in order to guarantee mutual authentication. have.

본 발명은 전술한 문제점을 해결하는 사물 인터넷 환경의 보안 플랫폼의 제공하는 것을 목적으로 한다.SUMMARY OF THE INVENTION It is an object of the present invention to provide a security platform for an object Internet environment that solves the above problems.

본 발명에 의한 사물 인터넷 장치와, 사물 인터넷 게이트웨이와, 사물 인터넷 사용자 단말기는, 사물 인터넷 서버에서 생성된 보안 동기화 정보인 보안속성값, 키 정보, 식별자 정보를 물리적 및 온라인상 분리된 보안 요소 발급 장치에 의해서 발급된 보안 동기화 정보(보안속성값, 키 정보, 식별자 정보)를 적어도 포함하고 보안 프로토콜과 암호화 기능을 수행하는 보안 요소(SE)와; 암호화 및 복호화 기능을 제공하는 (경량) 암호 모듈과; (경량) 암호 모듈 및 보안 요소의 인터페이스를 제공하는 어플리케이션 프로그램 인터페이스 모듈과; 소프트웨어 보안 모듈 자가 검증과, 보안 정책과 보안 메시지를 파싱하며 암호화 및 복호화를 수행하는 사물 인터넷 소프트웨어 보안 모듈을 포함한다.The object Internet device, the object Internet gateway, and the object Internet user terminal according to the present invention may include a security attribute value, key information, and identifier information, which are security synchronization information generated in the object Internet server, (SE) that includes at least security synchronization information (security attribute value, key information, and identifier information) issued by the security element (SE) and performs a security protocol and an encryption function; A (lightweight) cryptographic module for providing encryption and decryption functions; An application program interface module for providing an interface of a (lightweight) cryptographic module and a security element; Software security module self-verification, and object Internet software security module that parses and encrypts and decrypts security policies and security messages.

본 발명에 의한 사물 인터넷 서버는, 물리적 및 온라인상 분리된 보안 요소 발급 장치에 의해서 발급된 보안속성값, 키 정보, 식별자 정보를 적어도 포함하고 보안 프로토콜과 암호화 기능을 수행하는 보안 요소와; 암호화 및 복호화 기능을 제공하는 암호 모듈과; 암호 모듈 및 보안 요소의 인터페이스를 제공하는 어플리케이션 프로그램 인터페이스 모듈과; 소프트웨어 보안 모듈 자가 검증과, 보안 정책과 보안 메시지를 파싱하며 암호화 및 복호화를 수행하는 사물 인터넷 소프트웨어 보안 모듈을 포함한다.The object Internet server according to the present invention includes: a security element including at least a security attribute value, key information, and identifier information issued by a security element issuing device separated physically and online, and performing a security protocol and an encryption function; A cryptographic module for providing encryption and decryption functions; An application program interface module for providing an interface of a cryptographic module and a security element; Software security module self-verification, and object Internet software security module that parses and encrypts and decrypts security policies and security messages.

본 발명에 의한, 사물 인터넷 서버가 수행하는 보안 정보 생성 방법은 사물 인터넷 서버가 각각의 사물 인터넷 장치, 사물 인터넷 게이트웨이, 사물 인터넷 사용자 단말기별로 생성한 보안 속성, 키와 식별자 정보를 사물 인터넷 서버의 데이터베이스에 저장하고 키 정보는 별도의 하드웨어 보안 모듈(HSM)에 저장하는 것과 동시에 보안 요소 발급 장치를 통하여 보안 요소 발급을 요청하는 제1단계와; 보안 요소 발급 장치가 각각의 사물 인터넷 장치, 사물 인터넷 게이트웨이, 사물 인터넷 사용자 단말기별로 전달받은 보안 동기화 정보(보안 속성, 키와 식별자 정보)를 보안 요소에 발급하는 제2단계를 포함한다.The security information generation method performed by the object Internet server according to the present invention is a security information creation method in which the object Internet server transmits security attributes, key and identifier information generated for each object Internet device, object Internet gateway, Storing the key information in a separate hardware security module (HSM), and requesting issuance of the security element through the security element issuing device; And a second step of issuing the security synchronization information (security attribute, key and identifier information) received by the security element issuing device to each of the object Internet device, the object Internet gateway, and the object Internet user terminal to the security element.

본 발명에 의하면 사물 인터넷 사용자 단말기 장치 내에 보안성이 보장되는 하드웨어 보안 모듈 형태인 보안 요소에 보안속성 값, 키, 식별자 정보 등을 저장하고 관리할 수 있기 때문에 장치 내부에 대한 제3자의 해킹을 방어하기에 용이하다. 그리고 신뢰할 수 있는 추가 인증기관(CA)를 필요로 하는 종래 기술에서 나타나는 사물 인터넷 서비스 처리 성능 저하 문제가 해결된다.According to the present invention, it is possible to store and manage the security attribute value, the key, the identifier information, and the like in the security element in the form of a hardware security module ensuring security in the Internet user terminal device of the object, It is easy to do. And the problem of performance degradation of the object Internet service processing, which occurs in the prior art requiring a trusted additional certification authority (CA), is resolved.

또한, 보안 요소 발급 장치가 보안 요소를 발급할 때에 보안 연계성을 고려한 암호화 연산 기반 보안속성 값, 키 생성 및 식별자 생성 등의 핵심 보안 정보를 사전에 선처리하여 하드웨어 보안 모듈인 보안 요소에 주입함으로써 보안 강도를 높일 수 있다.In addition, when the security element issuing device issues security elements, it pre-processes key security information such as security attribute value based on cryptographic operation considering security association, key generation and identifier generation, and injects it into a security element as a hardware security module, .

나아가 각 도메인별(사물인터넷 장치/게이트웨이/서버/사용자 단말기) 인증 과정과 키 동기화 과정을 거친 다음에, 사물 인터넷 사용자 단말기의 세션 키로 사물 인터넷 장치의 제어 메시지 정보를 암호화하여 사물 인터넷 서버 및 게이트웨이를 경유하여 사물 인터넷 장치로 전송하면, 사물 인터넷 장치가 사용자 단말기 세션 키로 복호화 및 제어 메시지를 처리한 후 처리 결과를 사용자 단말기 세션 키로 암호화하여 사물 인터넷 게이트웨이와 사물 인터넷 서버로 전송 및 바이패스(bypass)하여 사물 인터넷 사용자 단말기의 세션 키로 최종 전송된 제어 결과 메시지를 복호화함으로써 처리 성능 또한 개선되는 효과가 있다.Furthermore, after the authentication process and the key synchronization process for each domain (object Internet device / gateway / server / user terminal) are performed, the control message information of the object Internet device is encrypted by the session key of the object Internet user terminal, The object Internet device processes the decryption and control message using the user terminal session key and then encrypts the processing result with the user terminal session key to bypass the object Internet gateway and the object internet server, And the control result message finally transmitted by the session key of the object Internet user terminal is decrypted, thereby improving the processing performance.

도 1은 본 발명에 의한 보안 플랫폼의 도메인별 보안 모듈 스택 구조를 도시한 도면.
도 2는 본 발명에 의한 보안 플랫폼의 개요를 도시한 도면.BRIEF DESCRIPTION OF THE DRAWINGS FIG. 1 is a diagram illustrating a security module stack structure for each domain of a security platform according to the present invention; FIG.
2 is a diagram illustrating an overview of a security platform according to the present invention;

이하에서는 본 발명에 대해서 자세하게 설명한다.Hereinafter, the present invention will be described in detail.

본 명세서에서 수행되는 정보(데이터) 전송 과정은 필요에 따라서 암호화/복호화가 적용될 수 있으며, 본 명세서 및 특허청구범위에서 정보(데이터) 전송 과정을 설명하는 표현은 별도로 언급되지 않더라도 모두 암호화/복호화하는 경우도 포함하는 것으로 해석되어야 한다. 본 명세서에서 "A로부터 B로 전송(전달)" 또는 "A가 B로부터 수신"과 같은 형태의 표현은 중간에 다른 매개체가 포함되어 전송(전달) 또는 수신되는 것도 포함하며, A로부터 B까지 직접 전송(전달) 또는 수신되는 것만을 표현하는 것은 아니다. 본 발명의 설명에 있어서 각 단계의 순서는 선행 단계가 논리적 및 시간적으로 반드시 후행 단계에 앞서서 수행되어야 하는 경우가 아니라면 각 단계의 순서는 비제한적으로 이해되어야 한다. 즉 위와 같은 예외적인 경우를 제외하고는 후행 단계로 설명된 과정이 선행 단계로 설명된 과정보다 앞서서 수행되더라도 발명의 본질에는 영향이 없으며 권리범위 역시 단계의 순서에 관계없이 정의되어야 한다. 그리고 본 명세서에서 “A 또는 B”은 A와 B 중 어느 하나를 선택적으로 가리키는 것 뿐만 아니라 A와 B 모두를 포함하는 것도 의미하는 것으로 정의된다. 또한, 본 명세서에서 "포함"이라는 용어는 포함하는 것으로 나열된 요소 이외에 추가로 다른 구성요소를 더 포함하는 것도 포괄하는 의미를 가진다.Encryption / decryption may be applied to the information (data) transmission process performed in the present specification, and the description describing the process of transmitting information (data) in the present specification and claims is not limited to encryption / decryption Should be construed as including. Expressions of the form "transfer from A to B" or "receive from A" in this specification include transmission (transfer) or reception of another medium in between, It does not just represent transmission (forwarding) or receiving. In the description of the present invention, the order of each step should be understood to be non-limiting, unless the preceding step must be performed logically and temporally before the next step. That is to say, except for the exceptional cases mentioned above, even if the process described in the following stage is performed before the process described in the preceding stage, it does not affect the essence of the invention and the scope of the right should be defined regardless of the order of the stages. &Quot; A " or " B " is defined herein to mean not only selectively pointing to either A or B, but also including both A and B. It is also to be understood that the term "comprising " is intended to encompass further including other elements in addition to the elements listed as being included.

본 명세서에서 "모듈"이라 함은 범용적인 하드웨어와 그 기능을 수행하는 소프트웨어의 논리적 결합을 의미한다.As used herein, the term "module" refers to a logical combination of general purpose hardware and software that performs its functions.

도 1에는 본 발명에 의한 보안 플랫폼의 도메인별 보안 모듈 스택 구조가 도시되어 있고, 도 2에는 본 발명에 의한 보안 플랫폼 환경의 일례가 도시되어 있다.FIG. 1 shows a security module stack structure for each domain of a security platform according to the present invention, and FIG. 2 shows an example of a security platform environment according to the present invention.

도 1과 도 2에는 본 발명에 의한 보안 플랫폼 환경의 일례가 도시되어 있다.1 and 2 show an example of a security platform environment according to the present invention.

도 2에 도시된 바와 같이 본 발명에 의한 보안 플랫폼 환경은 사물 인터넷 장치(10)와, 사물 인터넷 게이트웨이(20)와, 사물 인터넷 서버(30)와, 사물 인터넷 사용자 단말기(40)를 포함한다. 사물 인터넷 사용자 단말기(40)는 스마트폰이나 PC 등 데이터 통신이 가능하고 전자적 연산이 가능한 장치라면 어느 장치를 사용해도 무방하다.As shown in FIG. 2, the security platform environment according to the present invention includes the object Internet device 10, the object Internet gateway 20, the object Internet server 30, and the object Internet user terminal 40. The object Internet user terminal 40 may be any device capable of data communication such as a smart phone or a PC and capable of electronic computation.

각각의 구성요소에는 어플리케이션 모듈(11, 21, 31, 41)과 사물 인터넷 보안 모듈(12, 22, 32, 42)이 포함된다.Each component includes application modules 11, 21, 31, 41 and object Internet security modules 12, 22, 32, 42.

사물 인터넷 보안 모듈(12, 22, 42)에 탑재되는 구체적인 보안 속성들은 다를 수 있지만 기본적인 구조는 동일하므로, 사물 인터넷 장치(10)의 보안 모듈(12)에 대해서만 설명한다.Specific security attributes to be installed in the object Internet security modules 12, 22 and 42 may be different, but the basic structure is the same, and therefore only the security module 12 of the object Internet device 10 will be described.

사물 인터넷 장치(10)의 보안 모듈(12)은 도 1에 도시되어 있는 바와 같이 보안 프로토콜 및 암호화 기능과 보안속성 값, 키, 식별자 정보 등을 저장하고 관리하는 보안 요소(121)와, 암호화 및 복호화 기능을 제공하는 경량암호모듈(122)과, 보안 요소(121)의 인터페이스 및 경량암호모듈(121)의 인터페이스를 제공하는 핵심(core) API(123) 모듈과, 소프트웨어 자가 검증을 수행하고 보안 정책 및 보안 메시지의 파싱/암호화/복호화를 수행하는 사물 인터넷 소프트웨어 보안 모듈(124)를 포함한다.1, the security module 12 of the Internet device 10 includes a security element 121 for storing and managing a security protocol and an encryption function, a security attribute value, a key and an identifier information, A core API module 123 for providing an interface between the security element 121 and the lightweight cryptographic module 121 and a core API module 123 for performing software self-verification and security And an object Internet software security module 124 that performs parsing / encryption / decryption of security and policy messages.

다음으로 사물 인터넷 서버(30)가 보안 정보를 생성하는 방법에 대해서 설명한다.Next, a method in which the object Internet server 30 generates security information will be described.

사물 인터넷 서버(30)는 사물 인터넷 환경에서 사용되는 각각의 사물 인터넷 장치(10)와 사물 인터넷 사용자 단말기(40)에 대해서 보안 요소를 발급해 줄 것을 보안 요소 발급 장치(50)에 요청한다. 보안 요소 발급 장치(50)는 각각의 사물 인터넷 장치(10), 사물 인터넷 게이트웨이(20) 및 사물 인터넷 사용자 단말기(40)별로 보안속성과, 키와, 식별자 정보를 생성하고, 생성된 보안 요소들은 사물 인터넷 서버(30)로 전달된다. 사물 인터넷 서버(30)는 보안 속성과 식별자 정보를 사물 인터넷 서버(30)의 데이터베이스에 저장하고, 키 정보는 별도의 하드웨어 보안 모듈(HSM)에 저장한다.The object Internet server 30 requests the security element issuing device 50 to issue a security element to each of the object Internet device 10 and the object Internet user terminal 40 used in the object Internet environment. The security element issuing device 50 generates security attributes, keys, and identifier information for each of the object Internet device 10, the object Internet gateway 20 and the object Internet user terminal 40, And is transmitted to the object Internet server 30. The object Internet server 30 stores the security attribute and the identifier information in the database of the object Internet server 30, and stores the key information in a separate hardware security module (HSM).

보안 요소 발급 장치(50)가 발급하는 보안 요소는 사물 인터넷 서버(30) 및 하드웨어 보안 모듈(HSM)에서 사물 인터넷 장치(10)와 사물 인터넷 사용자 단말기(40), 그리고 사물 인터넷 게이트웨이(20) 각각의 보안 요소(SE)들과 보안 정보를 안전하게 공유한다.The security element issued by the security element issuing device 50 is transmitted to the object Internet device 10 and the object Internet user terminal 40 and the object Internet gateway 20 in the object Internet server 30 and the hardware security module Secure elements (SEs) and secure information.

각 도메인별(사물 인터넷 장치/게이트웨이/서버/사용자 단말기)로 인증 과정과 키 동기화 과정을 거친 다음에, 사물 인터넷 사용자 단말기의 세션 키로 사물 인터넷 장치의 제어 메시지 정보를 암호화하여 사물 인터넷 서버 및 게이트웨이를 경유하여 사물 인터넷 장치로 전송하면, 사물 인터넷 장치가 사용자 단말기 세션 키로 복호화 및 제어 메시지를 처리한 후 처리 결과를 사용자 단말기 세션 키로 암호화하여 사물 인터넷 게이트웨이와 사물 인터넷 서버로 전송 및 바이패스(bypass)하여 사물 인터넷 사용자 단말기의 세션 키로 최종 전송된 제어 결과 메시지를 복호화한다.After the authentication process and the key synchronization process are performed for each domain (object Internet device / gateway / server / user terminal), control message information of the object Internet device is encrypted by the session key of the object Internet user terminal, The object Internet device processes the decryption and control message using the user terminal session key and then encrypts the processing result with the user terminal session key to bypass the object Internet gateway and the object internet server, And decrypts the control result message finally transmitted by the session key of the object Internet user terminal.

보안요소 발급 장치(50)는 사물 인터넷 장치(10)와, 사물 인터넷 게이트웨이(20)와, 사물 인터넷 사용자 단말기(40)와는 물리적 및 온라인상으로 분리된 장치이다.The security element issuing device 50 is a device that is physically and electronically separated from the object Internet device 10, the object Internet gateway 20, and the object Internet user terminal 40.

보안요소 발급 장치(50)에 의해서 발급된 보안 요소는 하드웨어 형태로서 보안 카드 내지 보안 칩에 탑재되며, 보안 요소(121, 221, 421)은 오프라인을 통해 사물 인터넷 장치(10), 사물 인터넷 게이트웨이(20), 사물 인터넷 사용자 단말기(40)의 제조사 등으로 전달되어 각각의 장치에 탑재된다.The security element issued by the security element issuing device 50 is mounted on a security card or a security chip as a hardware type and the security elements 121, 221 and 421 are connected to the object Internet device 10, 20, a manufacturer of the object Internet user terminal 40, and the like, and is installed in each device.

사물 인터넷 사용자 단말기(40)가 사물 인터넷 서버(30)에 사물 인터넷 서비스를 등록하고, 서비스를 요청하면 사물 인터넷 사용자 단말기(40)와 사물 인터넷 서버(30)의 보안 모듈끼리 기기간 상호 인증을 수행하고, 보안 채널을 구성한 후에 아이디/패스워드 또는 생체 인증을 통하여 로그인한다. 그리고 제어 대상 사물 인터넷 장치를 선택하고 제어 명령을 보안 채널로 안전하게 전송한다.When the object Internet user terminal 40 registers the object Internet service in the object internet server 30 and requests the service, mutual authentication is performed between the devices of the object internet user terminal 40 and the object Internet server 30 After configuring the secure channel, log in via ID / password or biometric authentication. Then, the control target object Internet device is selected and the control command is securely transmitted to the secure channel.

이어서 사물 인터넷 서버(30)는, 사물 인터넷 서버(30) 및 사물 인터넷 게이트웨이(20)의 보안 모듈끼리 기기간 상호 인증을 수행하고, 사물 인터넷 사용자 단말기(40)에서 요청받은 서비스를 보안 채널로 안전하게 전송한다.Subsequently, the object Internet server 30 performs mutual authentication between the security modules of the object Internet server 30 and the object internet gateway 20, and transmits the service requested by the object Internet user terminal 40 to the secure channel securely do.

이어서 사물 인터넷 게이트웨이(20)는, 사물 인터넷 게이트웨이(20)와 사물 인터넷 장치(10)의 보안 모듈끼리 기기간 상호 인증을 수행하고 보안 채널을 구성한 후 제어 메시지를 보안 채널로 안전하게 전송한다.Then, the object Internet gateway 20 mutually authenticates mutual authentication between the security modules of the object Internet gateway 20 and the object Internet apparatus 10, forms a secure channel, and transmits the control message to the secure channel securely.

사물 인터넷 장치(10)는 요청된 제어 메시지를 복호화하여 장치를 제어하고 제어 결과 메시지를 상기 과정의 역순으로 전송한다.The object Internet apparatus 10 decrypts the requested control message to control the apparatus and transmits the control result message in the reverse order of the above process.

이상 첨부 도면을 참고하여 본 발명에 대해서 설명하였지만 본 발명의 권리범위는 후술하는 특허청구범위에 의해 결정되며 전술한 실시예 및/또는 도면에 제한되는 것으로 해석되어서는 아니된다. 그리고 특허청구범위에 기재된 발명의, 당업자에게 자명한 개량, 변경 및 수정도 본 발명의 권리범위에 포함된다는 점이 명백하게 이해되어야 한다.While the present invention has been described with reference to the accompanying drawings, it is to be understood that the scope of the present invention is defined by the claims that follow, and should not be construed as limited to the above-described embodiments and / or drawings. It is to be expressly understood that improvements, changes and modifications that are obvious to those skilled in the art are also within the scope of the present invention as set forth in the claims.

10: 사물 인터넷 장치
20: 사물 인터넷 게이트웨이
30: 사물 인터넷 서버
40: 사물 인터넷 사용자 단말기10: Things Internet Devices
20: Things Internet gateway
30: Things Internet server
40: Things Internet user terminal

Claims (5)

사물 인터넷 장치와, 사물 인터넷 게이트웨이와, 사물 인터넷 서버와, 사물 인터넷 사용자 단말기를 포함하는 환경에서 사용되는 사물 인터넷 장치에 있어서,
물리적 및 온라인상 분리된 보안 요소 발급 장치에 의해서 발급된 보안속성값, 키 정보, 식별자 정보를 적어도 포함하고 보안 프로토콜과 암호화 기능을 수행하는 보안 요소와,
암호화 및 복호화 기능을 제공하는 경량 암호 모듈과,
경량 암호 모듈 및 보안 요소의 인터페이스를 제공하는 어플리케이션 프로그램 인터페이스 모듈과,
소프트웨어 보안 모듈 자가 검증과, 보안 정책과 보안 메시지를 파싱하며 암호화 및 복호화를 수행하는 사물 인터넷 소프트웨어 보안 모듈을 포함하는,
사물 인터넷 장치.
An object Internet apparatus for use in an environment including an object Internet apparatus, an object Internet gateway, a object Internet server, and a destination Internet user terminal,
A security element that includes at least a security attribute value, key information, and identifier information issued by a security element issuing device that is separated physically and online and performs a security protocol and an encryption function;
A lightweight cryptographic module for providing encryption and decryption functions,
An application program interface module for providing an interface of the lightweight cryptographic module and the security element,
A software security module that includes a self-verification, an object Internet software security module that parses and encrypts and decrypts security policies and security messages,
Things Internet Devices.
사물 인터넷 장치와, 사물 인터넷 게이트웨이와, 사물 인터넷 서버와, 사물 인터넷 사용자 단말기를 포함하는 환경에서 사용되는 사물 인터넷 게이트웨이에 있어서,
물리적 및 온라인상 분리된 보안 요소 발급 장치에 의해서 발급된 보안속성값, 키 정보, 식별자 정보를 적어도 포함하고 보안 프로토콜과 암호화 기능을 수행하는 보안 요소와,
암호화 및 복호화 기능을 제공하는 경량 암호 모듈과,
경량 암호 모듈 및 보안 요소의 인터페이스를 제공하는 어플리케이션 프로그램 인터페이스 모듈과,
소프트웨어 보안 모듈 자가 검증과, 보안 정책과 보안 메시지를 파싱하며 암호화 및 복호화를 수행하는 사물 인터넷 소프트웨어 보안 모듈을 포함하는,
사물 인터넷 게이트웨이.
An object Internet gateway for use in an environment including an object Internet device, an object Internet gateway, an object Internet server, and an object Internet user terminal,
A security element that includes at least a security attribute value, key information, and identifier information issued by a security element issuing device that is separated physically and online and performs a security protocol and an encryption function;
A lightweight cryptographic module for providing encryption and decryption functions,
An application program interface module for providing an interface of the lightweight cryptographic module and the security element,
A software security module that includes a self-verification, an object Internet software security module that parses and encrypts and decrypts security policies and security messages,
Things Internet gateway.
사물 인터넷 장치와, 사물 인터넷 게이트웨이와, 사물 인터넷 서버와, 사물 인터넷 사용자 단말기를 포함하는 환경에서 사용되는 사물 인터넷 사용자 단말기에 있어서,
물리적 및 온라인상 분리된 보안 요소 발급 장치에 의해서 발급된 보안속성값, 키 정보, 식별자 정보를 적어도 포함하고 보안 프로토콜과 암호화 기능을 수행하는 보안 요소와,
암호화 및 복호화 기능을 제공하는 경량 암호 모듈과,
경량 암호 모듈 및 보안 요소의 인터페이스를 제공하는 어플리케이션 프로그램 인터페이스 모듈과,
소프트웨어 보안 모듈 자가 검증과, 보안 정책과 보안 메시지를 파싱하며 암호화 및 복호화를 수행하는 사물 인터넷 소프트웨어 보안 모듈을 포함하는,
사물 인터넷 사용자 단말기.
An object user terminal for use in an environment including an object Internet device, an object Internet gateway, a object Internet server, and a object Internet user terminal,
A security element that includes at least a security attribute value, key information, and identifier information issued by a security element issuing device that is separated physically and online and performs a security protocol and an encryption function;
A lightweight cryptographic module for providing encryption and decryption functions,
An application program interface module for providing an interface of the lightweight cryptographic module and the security element,
A software security module that includes a self-verification, an object Internet software security module that parses and encrypts and decrypts security policies and security messages,
Objects Internet user terminal.
사물 인터넷 장치와, 사물 인터넷 게이트웨이와, 사물 인터넷 서버와, 사물 인터넷 사용자 단말기를 포함하는 환경에서 사물 인터넷 서버에 있어서,
물리적 및 온라인상 분리된 보안 요소 발급 장치에 의해서 발급된 보안속성값, 키 정보, 식별자 정보를 적어도 포함하고 보안 프로토콜과 암호화 기능을 수행하는 보안 요소와,
암호화 및 복호화 기능을 제공하는 암호 모듈과,
암호 모듈 및 보안 요소의 인터페이스를 제공하는 어플리케이션 프로그램 인터페이스 모듈과,
소프트웨어 보안 모듈 자가 검증과, 보안 정책과 보안 메시지를 파싱하며 암호화 및 복호화를 수행하는 사물 인터넷 소프트웨어 보안 모듈을 포함하는,
사물 인터넷 서버.
An object Internet server in an environment including a object Internet device, an object Internet gateway, a object Internet server, and an object Internet user terminal,
A security element that includes at least a security attribute value, key information, and identifier information issued by a security element issuing device that is separated physically and online and performs a security protocol and an encryption function;
A cryptographic module for providing encryption and decryption functions,
An application program interface module for providing an interface of a cryptographic module and a security element,
A software security module that includes a self-verification, an object Internet software security module that parses and encrypts and decrypts security policies and security messages,
Things Internet server.
사물 인터넷 장치와, 사물 인터넷 게이트웨이와, 사물 인터넷 서버와, 사물 인터넷 사용자 단말기를 포함하는 환경에서 사물 인터넷 서버가 수행하는 보안 정보 생성 방법에 있어서,
사물 인터넷 서버가 각각의 사물 인터넷 장치, 사물 인터넷 게이트웨이, 사물 인터넷 사용자 단말기별로 생성한 보안 속성, 키와 식별자 정보를 사물 인터넷 서버의 데이터베이스에 저장하고 키 정보는 별도의 하드웨어 보안 모듈(HSM)에 저장하는 것과 동시에 보안 요소 발급 장치를 통하여 보안 요소 발급을 요청하는 제1단계와,
보안 요소 발급 장치가 각각의 사물 인터넷 장치, 사물 인터넷 게이트웨이, 사물 인터넷 사용자 단말기별로 전달받은 보안 동기화 정보(보안 속성, 키와 식별자 정보)를 보안 요소에 발급하는 제2단계를 포함하는,
보안 정보 동기화 방법.
1. A security information generating method performed by an object Internet server in an environment including a object Internet device, a object Internet gateway, a object Internet server, and a object Internet user terminal,
The object Internet server stores the security attributes, key and identifier information generated by each object Internet device, object Internet gateway, and object Internet user terminal in the database of the object Internet server, and stores the key information in a separate hardware security module (HSM) And requesting issuance of the security element through the security element issuing device,
And a second step of issuing security synchronization information (security attributes, key and identifier information) received by the security element issuing device to each of the object Internet device, the object Internet gateway, and the object Internet user terminal to the security element.
How to synchronize security information.
KR1020160046700A 2016-04-18 2016-04-18 End-to-End Security Platform of Internet of Things KR101839048B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160046700A KR101839048B1 (en) 2016-04-18 2016-04-18 End-to-End Security Platform of Internet of Things

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160046700A KR101839048B1 (en) 2016-04-18 2016-04-18 End-to-End Security Platform of Internet of Things

Publications (2)

Publication Number Publication Date
KR20170119054A true KR20170119054A (en) 2017-10-26
KR101839048B1 KR101839048B1 (en) 2018-03-16

Family

ID=60300686

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160046700A KR101839048B1 (en) 2016-04-18 2016-04-18 End-to-End Security Platform of Internet of Things

Country Status (1)

Country Link
KR (1) KR101839048B1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114024995A (en) * 2021-11-24 2022-02-08 内蒙古电力(集团)有限责任公司内蒙古电力科学研究院分公司 Internet of things terminal firmware safety analysis system
CN114513536A (en) * 2022-01-18 2022-05-17 成都网域探行科技有限公司 Internet of things safety management analysis method
CN114666155A (en) * 2022-04-08 2022-06-24 深圳市欧瑞博科技股份有限公司 Equipment access method, system and device, Internet of things equipment and gateway equipment

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101996333B1 (en) * 2018-04-04 2019-07-04 이니텍(주) Method of Key Agreement and Authentication for Communicating with IoT Device and Method for Tranceiving Message Using the Same

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114024995A (en) * 2021-11-24 2022-02-08 内蒙古电力(集团)有限责任公司内蒙古电力科学研究院分公司 Internet of things terminal firmware safety analysis system
CN114513536A (en) * 2022-01-18 2022-05-17 成都网域探行科技有限公司 Internet of things safety management analysis method
CN114513536B (en) * 2022-01-18 2023-12-08 成都网域探行科技有限公司 Internet of things safety management analysis method
CN114666155A (en) * 2022-04-08 2022-06-24 深圳市欧瑞博科技股份有限公司 Equipment access method, system and device, Internet of things equipment and gateway equipment
CN114666155B (en) * 2022-04-08 2024-04-16 深圳市欧瑞博科技股份有限公司 Equipment access method, system, device, internet of things equipment and gateway equipment

Also Published As

Publication number Publication date
KR101839048B1 (en) 2018-03-16

Similar Documents

Publication Publication Date Title
US20210385201A1 (en) Systems and methods for secure multi-party communications using aproxy
US11647007B2 (en) Systems and methods for smartkey information management
US8938074B2 (en) Systems and methods for secure communication using a communication encryption bios based upon a message specific identifier
US9021552B2 (en) User authentication for intermediate representational state transfer (REST) client via certificate authority
CN107659406B (en) Resource operation method and device
US9401893B2 (en) System and method for providing data security in a hosted service system
EP2820792B1 (en) Method of operating a computing device, computing device and computer program
KR20200097744A (en) Systems and methods for protecting data transmission between non-IP endpoint devices and connected services connected to gateway devices
US20150172064A1 (en) Method and relay device for cryptographic communication
EP3948592A1 (en) Digital rights management authorization token pairing
WO2022141574A1 (en) Key provisioning method and related products
KR101839048B1 (en) End-to-End Security Platform of Internet of Things
EP4096147A1 (en) Secure enclave implementation of proxied cryptographic keys
CN112118242A (en) Zero trust authentication system
EP4096160A1 (en) Shared secret implementation of proxied cryptographic keys
US20230299973A1 (en) Service registration method and device
EP4145763A1 (en) Exporting remote cryptographic keys
Baka et al. SSL/TLS under lock and key: a guide to understanding SSL/TLS cryptography
Díaz García et al. Multiprotocol Authentication Device for HPC and Cloud Environments Based on Elliptic Curve Cryptography
WO2016141513A1 (en) Service processing method and apparatus
Calbimonte et al. Privacy and security framework. OpenIoT deliverable D522
Gehrmann ONVIF security recommendations
CN117716666A (en) Method for providing autonomous identity cloud service to user, cloud service method, cloud server, autonomous identity method
JP2021040278A (en) Key management system, signing device, method for managing key, and program

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant