KR20170119054A - End-to-End Security Platform of Internet of Things - Google Patents
End-to-End Security Platform of Internet of Things Download PDFInfo
- Publication number
- KR20170119054A KR20170119054A KR1020160046700A KR20160046700A KR20170119054A KR 20170119054 A KR20170119054 A KR 20170119054A KR 1020160046700 A KR1020160046700 A KR 1020160046700A KR 20160046700 A KR20160046700 A KR 20160046700A KR 20170119054 A KR20170119054 A KR 20170119054A
- Authority
- KR
- South Korea
- Prior art keywords
- security
- object internet
- module
- user terminal
- security element
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
-
- H04L67/16—
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/51—Discovery or management thereof, e.g. service location protocol [SLP] or web services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/12—Transmitting and receiving encryption devices synchronised or initially set up in a particular manner
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/12—Details relating to cryptographic hardware or logic circuitry
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
본 발명에 의한 사물 인터넷 장치와, 사물 인터넷 게이트웨이와, 사물 인터넷 사용자 단말기는, 사물 인터넷 서버에서 생성된 보안 동기화 정보인 보안속성값, 키 정보, 식별자 정보를 물리적 및 온라인상 분리된 보안 요소 발급 장치에 의해서 발급된 보안 동기화 정보(보안속성값, 키 정보, 식별자 정보)를 적어도 포함하고 보안 프로토콜과 암호화 기능을 수행하는 보안 요소(SE)와; 암호화 및 복호화 기능을 제공하는 (경량) 암호 모듈과; (경량) 암호 모듈 및 보안 요소의 인터페이스를 제공하는 어플리케이션 프로그램 인터페이스 모듈과; 소프트웨어 보안 모듈 자가 검증과, 보안 정책과 보안 메시지를 파싱하며 암호화 및 복호화를 수행하는 사물 인터넷 소프트웨어 보안 모듈을 포함한다.The object Internet device, the object Internet gateway, and the object Internet user terminal according to the present invention may include a security attribute value, key information, and identifier information, which are security synchronization information generated in the object Internet server, (SE) that includes at least security synchronization information (security attribute value, key information, and identifier information) issued by the security element (SE) and performs a security protocol and an encryption function; A (lightweight) cryptographic module for providing encryption and decryption functions; An application program interface module for providing an interface of a (lightweight) cryptographic module and a security element; Software security module self-verification, and object Internet software security module that parses and encrypts and decrypts security policies and security messages.
Description
본 발명은 사물 인터넷 환경의 종단간 보안 플랫폼에 관한 것으로서 좀 더 자세하게는 종래 기술에 의한 보안 프로토콜에 비해 보안성이 향상되고 처리 성능이 개선된 보안 플랫폼에 관한 것이다.BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to an end-to-end security platform for the Internet of Things, and more particularly to a security platform with improved security and improved processing performance as compared to a security protocol according to the prior art.
사물 인터넷의 국제 표준 기관인 oneM2M은 사물 인터넷 서비스 환경을 사물 인터넷 장치 도메인, 사물 인터넷 네트워크 도메인, 사물 인터넷 서버(플랫폼) 도메인 및 사물 인터넷 사용자 도메인으로 구분하여 서비스를 제공하도록 규정하고 있다.OneM2M, an international standard organization for the Internet, specifies that the Internet service environment for objects should be divided into a domain of objects, a domain of objects, a domain of objects, and a domain of objects.
oneM2M은 상기 네 개의 도메인에서 식별자, 인증서, 민감 데이터, 보안 연계 정보 등을 기반으로 SSL, TLS 및 DTLS를 통해 각 구간에서 보안 채널을 구성하여 메시지를 암호화하여 송수신하는 것을 권고하고 있다.oneM2M recommends configuring a secure channel in each section through SSL, TLS and DTLS based on identifiers, certificates, sensitive data, security association information, etc. in the four domains and encrypting and transmitting the message.
그런데 이러한 방식에는 다음과 같은 보안상 취약점이 존재한다.However, the following security vulnerabilities exist in this method.
첫째, 각 구간에서 DTLS, SSL/TSL 전송구간 보안 프로토콜을 사용하면 각각의 도메인 내에서 수신된 정보를 복호화하고 다시 암호화해서 전송해야 하기 때문에 장치 내부의 보안에 취약성이 존재한다.First, if DTLS and SSL / TSL transmission interval security protocols are used in each section, information received in each domain must be decrypted and re-encrypted before being transmitted.
둘째, SSL/TSL 및 DTLS 전송 구간 보안 프로토콜을 사용하는 경우 상호인증을 보장하기 위하여 신뢰기관(CA)이 필요한 PKI 구조로 보안 처리를 수행해야 하므로 사물 인터넷 서비스 전체에 대해 처리 성능이 저하되는 문제점이 있다.Second, in case of using SSL / TSL and DTLS transmission interval security protocol, security processing must be performed with a PKI structure that requires a trusted authority (CA) in order to guarantee mutual authentication. have.
본 발명은 전술한 문제점을 해결하는 사물 인터넷 환경의 보안 플랫폼의 제공하는 것을 목적으로 한다.SUMMARY OF THE INVENTION It is an object of the present invention to provide a security platform for an object Internet environment that solves the above problems.
본 발명에 의한 사물 인터넷 장치와, 사물 인터넷 게이트웨이와, 사물 인터넷 사용자 단말기는, 사물 인터넷 서버에서 생성된 보안 동기화 정보인 보안속성값, 키 정보, 식별자 정보를 물리적 및 온라인상 분리된 보안 요소 발급 장치에 의해서 발급된 보안 동기화 정보(보안속성값, 키 정보, 식별자 정보)를 적어도 포함하고 보안 프로토콜과 암호화 기능을 수행하는 보안 요소(SE)와; 암호화 및 복호화 기능을 제공하는 (경량) 암호 모듈과; (경량) 암호 모듈 및 보안 요소의 인터페이스를 제공하는 어플리케이션 프로그램 인터페이스 모듈과; 소프트웨어 보안 모듈 자가 검증과, 보안 정책과 보안 메시지를 파싱하며 암호화 및 복호화를 수행하는 사물 인터넷 소프트웨어 보안 모듈을 포함한다.The object Internet device, the object Internet gateway, and the object Internet user terminal according to the present invention may include a security attribute value, key information, and identifier information, which are security synchronization information generated in the object Internet server, (SE) that includes at least security synchronization information (security attribute value, key information, and identifier information) issued by the security element (SE) and performs a security protocol and an encryption function; A (lightweight) cryptographic module for providing encryption and decryption functions; An application program interface module for providing an interface of a (lightweight) cryptographic module and a security element; Software security module self-verification, and object Internet software security module that parses and encrypts and decrypts security policies and security messages.
본 발명에 의한 사물 인터넷 서버는, 물리적 및 온라인상 분리된 보안 요소 발급 장치에 의해서 발급된 보안속성값, 키 정보, 식별자 정보를 적어도 포함하고 보안 프로토콜과 암호화 기능을 수행하는 보안 요소와; 암호화 및 복호화 기능을 제공하는 암호 모듈과; 암호 모듈 및 보안 요소의 인터페이스를 제공하는 어플리케이션 프로그램 인터페이스 모듈과; 소프트웨어 보안 모듈 자가 검증과, 보안 정책과 보안 메시지를 파싱하며 암호화 및 복호화를 수행하는 사물 인터넷 소프트웨어 보안 모듈을 포함한다.The object Internet server according to the present invention includes: a security element including at least a security attribute value, key information, and identifier information issued by a security element issuing device separated physically and online, and performing a security protocol and an encryption function; A cryptographic module for providing encryption and decryption functions; An application program interface module for providing an interface of a cryptographic module and a security element; Software security module self-verification, and object Internet software security module that parses and encrypts and decrypts security policies and security messages.
본 발명에 의한, 사물 인터넷 서버가 수행하는 보안 정보 생성 방법은 사물 인터넷 서버가 각각의 사물 인터넷 장치, 사물 인터넷 게이트웨이, 사물 인터넷 사용자 단말기별로 생성한 보안 속성, 키와 식별자 정보를 사물 인터넷 서버의 데이터베이스에 저장하고 키 정보는 별도의 하드웨어 보안 모듈(HSM)에 저장하는 것과 동시에 보안 요소 발급 장치를 통하여 보안 요소 발급을 요청하는 제1단계와; 보안 요소 발급 장치가 각각의 사물 인터넷 장치, 사물 인터넷 게이트웨이, 사물 인터넷 사용자 단말기별로 전달받은 보안 동기화 정보(보안 속성, 키와 식별자 정보)를 보안 요소에 발급하는 제2단계를 포함한다.The security information generation method performed by the object Internet server according to the present invention is a security information creation method in which the object Internet server transmits security attributes, key and identifier information generated for each object Internet device, object Internet gateway, Storing the key information in a separate hardware security module (HSM), and requesting issuance of the security element through the security element issuing device; And a second step of issuing the security synchronization information (security attribute, key and identifier information) received by the security element issuing device to each of the object Internet device, the object Internet gateway, and the object Internet user terminal to the security element.
본 발명에 의하면 사물 인터넷 사용자 단말기 장치 내에 보안성이 보장되는 하드웨어 보안 모듈 형태인 보안 요소에 보안속성 값, 키, 식별자 정보 등을 저장하고 관리할 수 있기 때문에 장치 내부에 대한 제3자의 해킹을 방어하기에 용이하다. 그리고 신뢰할 수 있는 추가 인증기관(CA)를 필요로 하는 종래 기술에서 나타나는 사물 인터넷 서비스 처리 성능 저하 문제가 해결된다.According to the present invention, it is possible to store and manage the security attribute value, the key, the identifier information, and the like in the security element in the form of a hardware security module ensuring security in the Internet user terminal device of the object, It is easy to do. And the problem of performance degradation of the object Internet service processing, which occurs in the prior art requiring a trusted additional certification authority (CA), is resolved.
또한, 보안 요소 발급 장치가 보안 요소를 발급할 때에 보안 연계성을 고려한 암호화 연산 기반 보안속성 값, 키 생성 및 식별자 생성 등의 핵심 보안 정보를 사전에 선처리하여 하드웨어 보안 모듈인 보안 요소에 주입함으로써 보안 강도를 높일 수 있다.In addition, when the security element issuing device issues security elements, it pre-processes key security information such as security attribute value based on cryptographic operation considering security association, key generation and identifier generation, and injects it into a security element as a hardware security module, .
나아가 각 도메인별(사물인터넷 장치/게이트웨이/서버/사용자 단말기) 인증 과정과 키 동기화 과정을 거친 다음에, 사물 인터넷 사용자 단말기의 세션 키로 사물 인터넷 장치의 제어 메시지 정보를 암호화하여 사물 인터넷 서버 및 게이트웨이를 경유하여 사물 인터넷 장치로 전송하면, 사물 인터넷 장치가 사용자 단말기 세션 키로 복호화 및 제어 메시지를 처리한 후 처리 결과를 사용자 단말기 세션 키로 암호화하여 사물 인터넷 게이트웨이와 사물 인터넷 서버로 전송 및 바이패스(bypass)하여 사물 인터넷 사용자 단말기의 세션 키로 최종 전송된 제어 결과 메시지를 복호화함으로써 처리 성능 또한 개선되는 효과가 있다.Furthermore, after the authentication process and the key synchronization process for each domain (object Internet device / gateway / server / user terminal) are performed, the control message information of the object Internet device is encrypted by the session key of the object Internet user terminal, The object Internet device processes the decryption and control message using the user terminal session key and then encrypts the processing result with the user terminal session key to bypass the object Internet gateway and the object internet server, And the control result message finally transmitted by the session key of the object Internet user terminal is decrypted, thereby improving the processing performance.
도 1은 본 발명에 의한 보안 플랫폼의 도메인별 보안 모듈 스택 구조를 도시한 도면.
도 2는 본 발명에 의한 보안 플랫폼의 개요를 도시한 도면.BRIEF DESCRIPTION OF THE DRAWINGS FIG. 1 is a diagram illustrating a security module stack structure for each domain of a security platform according to the present invention; FIG.
2 is a diagram illustrating an overview of a security platform according to the present invention;
이하에서는 본 발명에 대해서 자세하게 설명한다.Hereinafter, the present invention will be described in detail.
본 명세서에서 수행되는 정보(데이터) 전송 과정은 필요에 따라서 암호화/복호화가 적용될 수 있으며, 본 명세서 및 특허청구범위에서 정보(데이터) 전송 과정을 설명하는 표현은 별도로 언급되지 않더라도 모두 암호화/복호화하는 경우도 포함하는 것으로 해석되어야 한다. 본 명세서에서 "A로부터 B로 전송(전달)" 또는 "A가 B로부터 수신"과 같은 형태의 표현은 중간에 다른 매개체가 포함되어 전송(전달) 또는 수신되는 것도 포함하며, A로부터 B까지 직접 전송(전달) 또는 수신되는 것만을 표현하는 것은 아니다. 본 발명의 설명에 있어서 각 단계의 순서는 선행 단계가 논리적 및 시간적으로 반드시 후행 단계에 앞서서 수행되어야 하는 경우가 아니라면 각 단계의 순서는 비제한적으로 이해되어야 한다. 즉 위와 같은 예외적인 경우를 제외하고는 후행 단계로 설명된 과정이 선행 단계로 설명된 과정보다 앞서서 수행되더라도 발명의 본질에는 영향이 없으며 권리범위 역시 단계의 순서에 관계없이 정의되어야 한다. 그리고 본 명세서에서 “A 또는 B”은 A와 B 중 어느 하나를 선택적으로 가리키는 것 뿐만 아니라 A와 B 모두를 포함하는 것도 의미하는 것으로 정의된다. 또한, 본 명세서에서 "포함"이라는 용어는 포함하는 것으로 나열된 요소 이외에 추가로 다른 구성요소를 더 포함하는 것도 포괄하는 의미를 가진다.Encryption / decryption may be applied to the information (data) transmission process performed in the present specification, and the description describing the process of transmitting information (data) in the present specification and claims is not limited to encryption / decryption Should be construed as including. Expressions of the form "transfer from A to B" or "receive from A" in this specification include transmission (transfer) or reception of another medium in between, It does not just represent transmission (forwarding) or receiving. In the description of the present invention, the order of each step should be understood to be non-limiting, unless the preceding step must be performed logically and temporally before the next step. That is to say, except for the exceptional cases mentioned above, even if the process described in the following stage is performed before the process described in the preceding stage, it does not affect the essence of the invention and the scope of the right should be defined regardless of the order of the stages. &Quot; A " or " B " is defined herein to mean not only selectively pointing to either A or B, but also including both A and B. It is also to be understood that the term "comprising " is intended to encompass further including other elements in addition to the elements listed as being included.
본 명세서에서 "모듈"이라 함은 범용적인 하드웨어와 그 기능을 수행하는 소프트웨어의 논리적 결합을 의미한다.As used herein, the term "module" refers to a logical combination of general purpose hardware and software that performs its functions.
도 1에는 본 발명에 의한 보안 플랫폼의 도메인별 보안 모듈 스택 구조가 도시되어 있고, 도 2에는 본 발명에 의한 보안 플랫폼 환경의 일례가 도시되어 있다.FIG. 1 shows a security module stack structure for each domain of a security platform according to the present invention, and FIG. 2 shows an example of a security platform environment according to the present invention.
도 1과 도 2에는 본 발명에 의한 보안 플랫폼 환경의 일례가 도시되어 있다.1 and 2 show an example of a security platform environment according to the present invention.
도 2에 도시된 바와 같이 본 발명에 의한 보안 플랫폼 환경은 사물 인터넷 장치(10)와, 사물 인터넷 게이트웨이(20)와, 사물 인터넷 서버(30)와, 사물 인터넷 사용자 단말기(40)를 포함한다. 사물 인터넷 사용자 단말기(40)는 스마트폰이나 PC 등 데이터 통신이 가능하고 전자적 연산이 가능한 장치라면 어느 장치를 사용해도 무방하다.As shown in FIG. 2, the security platform environment according to the present invention includes the
각각의 구성요소에는 어플리케이션 모듈(11, 21, 31, 41)과 사물 인터넷 보안 모듈(12, 22, 32, 42)이 포함된다.Each component includes
사물 인터넷 보안 모듈(12, 22, 42)에 탑재되는 구체적인 보안 속성들은 다를 수 있지만 기본적인 구조는 동일하므로, 사물 인터넷 장치(10)의 보안 모듈(12)에 대해서만 설명한다.Specific security attributes to be installed in the object
사물 인터넷 장치(10)의 보안 모듈(12)은 도 1에 도시되어 있는 바와 같이 보안 프로토콜 및 암호화 기능과 보안속성 값, 키, 식별자 정보 등을 저장하고 관리하는 보안 요소(121)와, 암호화 및 복호화 기능을 제공하는 경량암호모듈(122)과, 보안 요소(121)의 인터페이스 및 경량암호모듈(121)의 인터페이스를 제공하는 핵심(core) API(123) 모듈과, 소프트웨어 자가 검증을 수행하고 보안 정책 및 보안 메시지의 파싱/암호화/복호화를 수행하는 사물 인터넷 소프트웨어 보안 모듈(124)를 포함한다.1, the
다음으로 사물 인터넷 서버(30)가 보안 정보를 생성하는 방법에 대해서 설명한다.Next, a method in which the
사물 인터넷 서버(30)는 사물 인터넷 환경에서 사용되는 각각의 사물 인터넷 장치(10)와 사물 인터넷 사용자 단말기(40)에 대해서 보안 요소를 발급해 줄 것을 보안 요소 발급 장치(50)에 요청한다. 보안 요소 발급 장치(50)는 각각의 사물 인터넷 장치(10), 사물 인터넷 게이트웨이(20) 및 사물 인터넷 사용자 단말기(40)별로 보안속성과, 키와, 식별자 정보를 생성하고, 생성된 보안 요소들은 사물 인터넷 서버(30)로 전달된다. 사물 인터넷 서버(30)는 보안 속성과 식별자 정보를 사물 인터넷 서버(30)의 데이터베이스에 저장하고, 키 정보는 별도의 하드웨어 보안 모듈(HSM)에 저장한다.The object Internet
보안 요소 발급 장치(50)가 발급하는 보안 요소는 사물 인터넷 서버(30) 및 하드웨어 보안 모듈(HSM)에서 사물 인터넷 장치(10)와 사물 인터넷 사용자 단말기(40), 그리고 사물 인터넷 게이트웨이(20) 각각의 보안 요소(SE)들과 보안 정보를 안전하게 공유한다.The security element issued by the security
각 도메인별(사물 인터넷 장치/게이트웨이/서버/사용자 단말기)로 인증 과정과 키 동기화 과정을 거친 다음에, 사물 인터넷 사용자 단말기의 세션 키로 사물 인터넷 장치의 제어 메시지 정보를 암호화하여 사물 인터넷 서버 및 게이트웨이를 경유하여 사물 인터넷 장치로 전송하면, 사물 인터넷 장치가 사용자 단말기 세션 키로 복호화 및 제어 메시지를 처리한 후 처리 결과를 사용자 단말기 세션 키로 암호화하여 사물 인터넷 게이트웨이와 사물 인터넷 서버로 전송 및 바이패스(bypass)하여 사물 인터넷 사용자 단말기의 세션 키로 최종 전송된 제어 결과 메시지를 복호화한다.After the authentication process and the key synchronization process are performed for each domain (object Internet device / gateway / server / user terminal), control message information of the object Internet device is encrypted by the session key of the object Internet user terminal, The object Internet device processes the decryption and control message using the user terminal session key and then encrypts the processing result with the user terminal session key to bypass the object Internet gateway and the object internet server, And decrypts the control result message finally transmitted by the session key of the object Internet user terminal.
보안요소 발급 장치(50)는 사물 인터넷 장치(10)와, 사물 인터넷 게이트웨이(20)와, 사물 인터넷 사용자 단말기(40)와는 물리적 및 온라인상으로 분리된 장치이다.The security
보안요소 발급 장치(50)에 의해서 발급된 보안 요소는 하드웨어 형태로서 보안 카드 내지 보안 칩에 탑재되며, 보안 요소(121, 221, 421)은 오프라인을 통해 사물 인터넷 장치(10), 사물 인터넷 게이트웨이(20), 사물 인터넷 사용자 단말기(40)의 제조사 등으로 전달되어 각각의 장치에 탑재된다.The security element issued by the security
사물 인터넷 사용자 단말기(40)가 사물 인터넷 서버(30)에 사물 인터넷 서비스를 등록하고, 서비스를 요청하면 사물 인터넷 사용자 단말기(40)와 사물 인터넷 서버(30)의 보안 모듈끼리 기기간 상호 인증을 수행하고, 보안 채널을 구성한 후에 아이디/패스워드 또는 생체 인증을 통하여 로그인한다. 그리고 제어 대상 사물 인터넷 장치를 선택하고 제어 명령을 보안 채널로 안전하게 전송한다.When the object
이어서 사물 인터넷 서버(30)는, 사물 인터넷 서버(30) 및 사물 인터넷 게이트웨이(20)의 보안 모듈끼리 기기간 상호 인증을 수행하고, 사물 인터넷 사용자 단말기(40)에서 요청받은 서비스를 보안 채널로 안전하게 전송한다.Subsequently, the object Internet
이어서 사물 인터넷 게이트웨이(20)는, 사물 인터넷 게이트웨이(20)와 사물 인터넷 장치(10)의 보안 모듈끼리 기기간 상호 인증을 수행하고 보안 채널을 구성한 후 제어 메시지를 보안 채널로 안전하게 전송한다.Then, the
사물 인터넷 장치(10)는 요청된 제어 메시지를 복호화하여 장치를 제어하고 제어 결과 메시지를 상기 과정의 역순으로 전송한다.The
이상 첨부 도면을 참고하여 본 발명에 대해서 설명하였지만 본 발명의 권리범위는 후술하는 특허청구범위에 의해 결정되며 전술한 실시예 및/또는 도면에 제한되는 것으로 해석되어서는 아니된다. 그리고 특허청구범위에 기재된 발명의, 당업자에게 자명한 개량, 변경 및 수정도 본 발명의 권리범위에 포함된다는 점이 명백하게 이해되어야 한다.While the present invention has been described with reference to the accompanying drawings, it is to be understood that the scope of the present invention is defined by the claims that follow, and should not be construed as limited to the above-described embodiments and / or drawings. It is to be expressly understood that improvements, changes and modifications that are obvious to those skilled in the art are also within the scope of the present invention as set forth in the claims.
10: 사물 인터넷 장치
20: 사물 인터넷 게이트웨이
30: 사물 인터넷 서버
40: 사물 인터넷 사용자 단말기10: Things Internet Devices
20: Things Internet gateway
30: Things Internet server
40: Things Internet user terminal
Claims (5)
물리적 및 온라인상 분리된 보안 요소 발급 장치에 의해서 발급된 보안속성값, 키 정보, 식별자 정보를 적어도 포함하고 보안 프로토콜과 암호화 기능을 수행하는 보안 요소와,
암호화 및 복호화 기능을 제공하는 경량 암호 모듈과,
경량 암호 모듈 및 보안 요소의 인터페이스를 제공하는 어플리케이션 프로그램 인터페이스 모듈과,
소프트웨어 보안 모듈 자가 검증과, 보안 정책과 보안 메시지를 파싱하며 암호화 및 복호화를 수행하는 사물 인터넷 소프트웨어 보안 모듈을 포함하는,
사물 인터넷 장치.
An object Internet apparatus for use in an environment including an object Internet apparatus, an object Internet gateway, a object Internet server, and a destination Internet user terminal,
A security element that includes at least a security attribute value, key information, and identifier information issued by a security element issuing device that is separated physically and online and performs a security protocol and an encryption function;
A lightweight cryptographic module for providing encryption and decryption functions,
An application program interface module for providing an interface of the lightweight cryptographic module and the security element,
A software security module that includes a self-verification, an object Internet software security module that parses and encrypts and decrypts security policies and security messages,
Things Internet Devices.
물리적 및 온라인상 분리된 보안 요소 발급 장치에 의해서 발급된 보안속성값, 키 정보, 식별자 정보를 적어도 포함하고 보안 프로토콜과 암호화 기능을 수행하는 보안 요소와,
암호화 및 복호화 기능을 제공하는 경량 암호 모듈과,
경량 암호 모듈 및 보안 요소의 인터페이스를 제공하는 어플리케이션 프로그램 인터페이스 모듈과,
소프트웨어 보안 모듈 자가 검증과, 보안 정책과 보안 메시지를 파싱하며 암호화 및 복호화를 수행하는 사물 인터넷 소프트웨어 보안 모듈을 포함하는,
사물 인터넷 게이트웨이.
An object Internet gateway for use in an environment including an object Internet device, an object Internet gateway, an object Internet server, and an object Internet user terminal,
A security element that includes at least a security attribute value, key information, and identifier information issued by a security element issuing device that is separated physically and online and performs a security protocol and an encryption function;
A lightweight cryptographic module for providing encryption and decryption functions,
An application program interface module for providing an interface of the lightweight cryptographic module and the security element,
A software security module that includes a self-verification, an object Internet software security module that parses and encrypts and decrypts security policies and security messages,
Things Internet gateway.
물리적 및 온라인상 분리된 보안 요소 발급 장치에 의해서 발급된 보안속성값, 키 정보, 식별자 정보를 적어도 포함하고 보안 프로토콜과 암호화 기능을 수행하는 보안 요소와,
암호화 및 복호화 기능을 제공하는 경량 암호 모듈과,
경량 암호 모듈 및 보안 요소의 인터페이스를 제공하는 어플리케이션 프로그램 인터페이스 모듈과,
소프트웨어 보안 모듈 자가 검증과, 보안 정책과 보안 메시지를 파싱하며 암호화 및 복호화를 수행하는 사물 인터넷 소프트웨어 보안 모듈을 포함하는,
사물 인터넷 사용자 단말기.
An object user terminal for use in an environment including an object Internet device, an object Internet gateway, a object Internet server, and a object Internet user terminal,
A security element that includes at least a security attribute value, key information, and identifier information issued by a security element issuing device that is separated physically and online and performs a security protocol and an encryption function;
A lightweight cryptographic module for providing encryption and decryption functions,
An application program interface module for providing an interface of the lightweight cryptographic module and the security element,
A software security module that includes a self-verification, an object Internet software security module that parses and encrypts and decrypts security policies and security messages,
Objects Internet user terminal.
물리적 및 온라인상 분리된 보안 요소 발급 장치에 의해서 발급된 보안속성값, 키 정보, 식별자 정보를 적어도 포함하고 보안 프로토콜과 암호화 기능을 수행하는 보안 요소와,
암호화 및 복호화 기능을 제공하는 암호 모듈과,
암호 모듈 및 보안 요소의 인터페이스를 제공하는 어플리케이션 프로그램 인터페이스 모듈과,
소프트웨어 보안 모듈 자가 검증과, 보안 정책과 보안 메시지를 파싱하며 암호화 및 복호화를 수행하는 사물 인터넷 소프트웨어 보안 모듈을 포함하는,
사물 인터넷 서버.
An object Internet server in an environment including a object Internet device, an object Internet gateway, a object Internet server, and an object Internet user terminal,
A security element that includes at least a security attribute value, key information, and identifier information issued by a security element issuing device that is separated physically and online and performs a security protocol and an encryption function;
A cryptographic module for providing encryption and decryption functions,
An application program interface module for providing an interface of a cryptographic module and a security element,
A software security module that includes a self-verification, an object Internet software security module that parses and encrypts and decrypts security policies and security messages,
Things Internet server.
사물 인터넷 서버가 각각의 사물 인터넷 장치, 사물 인터넷 게이트웨이, 사물 인터넷 사용자 단말기별로 생성한 보안 속성, 키와 식별자 정보를 사물 인터넷 서버의 데이터베이스에 저장하고 키 정보는 별도의 하드웨어 보안 모듈(HSM)에 저장하는 것과 동시에 보안 요소 발급 장치를 통하여 보안 요소 발급을 요청하는 제1단계와,
보안 요소 발급 장치가 각각의 사물 인터넷 장치, 사물 인터넷 게이트웨이, 사물 인터넷 사용자 단말기별로 전달받은 보안 동기화 정보(보안 속성, 키와 식별자 정보)를 보안 요소에 발급하는 제2단계를 포함하는,
보안 정보 동기화 방법.
1. A security information generating method performed by an object Internet server in an environment including a object Internet device, a object Internet gateway, a object Internet server, and a object Internet user terminal,
The object Internet server stores the security attributes, key and identifier information generated by each object Internet device, object Internet gateway, and object Internet user terminal in the database of the object Internet server, and stores the key information in a separate hardware security module (HSM) And requesting issuance of the security element through the security element issuing device,
And a second step of issuing security synchronization information (security attributes, key and identifier information) received by the security element issuing device to each of the object Internet device, the object Internet gateway, and the object Internet user terminal to the security element.
How to synchronize security information.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020160046700A KR101839048B1 (en) | 2016-04-18 | 2016-04-18 | End-to-End Security Platform of Internet of Things |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020160046700A KR101839048B1 (en) | 2016-04-18 | 2016-04-18 | End-to-End Security Platform of Internet of Things |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20170119054A true KR20170119054A (en) | 2017-10-26 |
KR101839048B1 KR101839048B1 (en) | 2018-03-16 |
Family
ID=60300686
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020160046700A KR101839048B1 (en) | 2016-04-18 | 2016-04-18 | End-to-End Security Platform of Internet of Things |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101839048B1 (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114024995A (en) * | 2021-11-24 | 2022-02-08 | 内蒙古电力(集团)有限责任公司内蒙古电力科学研究院分公司 | Internet of things terminal firmware safety analysis system |
CN114513536A (en) * | 2022-01-18 | 2022-05-17 | 成都网域探行科技有限公司 | Internet of things safety management analysis method |
CN114666155A (en) * | 2022-04-08 | 2022-06-24 | 深圳市欧瑞博科技股份有限公司 | Equipment access method, system and device, Internet of things equipment and gateway equipment |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101996333B1 (en) * | 2018-04-04 | 2019-07-04 | 이니텍(주) | Method of Key Agreement and Authentication for Communicating with IoT Device and Method for Tranceiving Message Using the Same |
-
2016
- 2016-04-18 KR KR1020160046700A patent/KR101839048B1/en active IP Right Grant
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114024995A (en) * | 2021-11-24 | 2022-02-08 | 内蒙古电力(集团)有限责任公司内蒙古电力科学研究院分公司 | Internet of things terminal firmware safety analysis system |
CN114513536A (en) * | 2022-01-18 | 2022-05-17 | 成都网域探行科技有限公司 | Internet of things safety management analysis method |
CN114513536B (en) * | 2022-01-18 | 2023-12-08 | 成都网域探行科技有限公司 | Internet of things safety management analysis method |
CN114666155A (en) * | 2022-04-08 | 2022-06-24 | 深圳市欧瑞博科技股份有限公司 | Equipment access method, system and device, Internet of things equipment and gateway equipment |
CN114666155B (en) * | 2022-04-08 | 2024-04-16 | 深圳市欧瑞博科技股份有限公司 | Equipment access method, system, device, internet of things equipment and gateway equipment |
Also Published As
Publication number | Publication date |
---|---|
KR101839048B1 (en) | 2018-03-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20210385201A1 (en) | Systems and methods for secure multi-party communications using aproxy | |
US11647007B2 (en) | Systems and methods for smartkey information management | |
US8938074B2 (en) | Systems and methods for secure communication using a communication encryption bios based upon a message specific identifier | |
US9021552B2 (en) | User authentication for intermediate representational state transfer (REST) client via certificate authority | |
CN107659406B (en) | Resource operation method and device | |
US9401893B2 (en) | System and method for providing data security in a hosted service system | |
EP2820792B1 (en) | Method of operating a computing device, computing device and computer program | |
KR20200097744A (en) | Systems and methods for protecting data transmission between non-IP endpoint devices and connected services connected to gateway devices | |
US20150172064A1 (en) | Method and relay device for cryptographic communication | |
EP3948592A1 (en) | Digital rights management authorization token pairing | |
WO2022141574A1 (en) | Key provisioning method and related products | |
KR101839048B1 (en) | End-to-End Security Platform of Internet of Things | |
EP4096147A1 (en) | Secure enclave implementation of proxied cryptographic keys | |
CN112118242A (en) | Zero trust authentication system | |
EP4096160A1 (en) | Shared secret implementation of proxied cryptographic keys | |
US20230299973A1 (en) | Service registration method and device | |
EP4145763A1 (en) | Exporting remote cryptographic keys | |
Baka et al. | SSL/TLS under lock and key: a guide to understanding SSL/TLS cryptography | |
Díaz García et al. | Multiprotocol Authentication Device for HPC and Cloud Environments Based on Elliptic Curve Cryptography | |
WO2016141513A1 (en) | Service processing method and apparatus | |
Calbimonte et al. | Privacy and security framework. OpenIoT deliverable D522 | |
Gehrmann | ONVIF security recommendations | |
CN117716666A (en) | Method for providing autonomous identity cloud service to user, cloud service method, cloud server, autonomous identity method | |
JP2021040278A (en) | Key management system, signing device, method for managing key, and program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |