KR20230056151A - 다중 puf 기반 사물인터넷 디바이스 인증 장치 및 방법 - Google Patents

다중 puf 기반 사물인터넷 디바이스 인증 장치 및 방법 Download PDF

Info

Publication number
KR20230056151A
KR20230056151A KR1020210139849A KR20210139849A KR20230056151A KR 20230056151 A KR20230056151 A KR 20230056151A KR 1020210139849 A KR1020210139849 A KR 1020210139849A KR 20210139849 A KR20210139849 A KR 20210139849A KR 20230056151 A KR20230056151 A KR 20230056151A
Authority
KR
South Korea
Prior art keywords
iot device
authentication
response
puf
value
Prior art date
Application number
KR1020210139849A
Other languages
English (en)
Inventor
윤승용
김병구
강유성
김익균
김태성
오미경
이상재
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020210139849A priority Critical patent/KR20230056151A/ko
Publication of KR20230056151A publication Critical patent/KR20230056151A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3278Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response using physically unclonable functions [PUF]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/002Countermeasures against attacks on cryptographic mechanisms
    • H04L9/003Countermeasures against attacks on cryptographic mechanisms for power analysis, e.g. differential power analysis [DPA] or simple power analysis [SPA]
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y40/00IoT characterised by the purpose of the information processing
    • G16Y40/50Safety; Security of things, users, data or systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/12Details relating to cryptographic hardware or logic circuitry
    • H04L2209/122Hardware reduction or efficient architectures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Storage Device Security (AREA)

Abstract

다중 PUF 기반 사물인터넷 디바이스 인증 장치 및 방법이 개시된다. 본 발명의 일실시예에 따른 다중 PUF 기반 사물인터넷 디바이스 인증 장치는 하나 이상의 프로세서; 및 상기 하나 이상의 프로세서에 의해 실행되는 적어도 하나 이상의 프로그램을 저장하는 실행메모리를 포함하고, 상기 적어도 하나 이상의 프로그램은 사물인터넷 디바이스의 인증 요청에 따라 데이터베이스에 사전 등록된 초기 챌린지 값을 선택하고, PUF(Physical Unclonable Function) 기법을 이용하여 상기 초기 챌린지 값에 대응하는 초기 리스판스 값을 생성하여 상기 사물인터넷 디바이스에게 전송하고, 사물인터넷 디바이스로부터 수신한 복수의 리스판스 값들과, 상기 초기 챌린지 값에 대응되는 상기 데이터베이스에 사전 등록된 복수의 리스판스 값들과 비교하고, 상기 복수의 리스판스 값들의 일치 여부에 따라 상기 사물인터넷 디바이스를 인증한다.

Description

다중 PUF 기반 사물인터넷 디바이스 인증 장치 및 방법 {APPARATUS AND METHOD FOR IoT DEVICE AUTHENTICATING BASED ON MULTIPLE PUF}
본 발명은 PUF(Physical Unclonable Function) 인증 기술에 관한 것으로, 보다 상세하게는 PUF를 활용한 사물인터넷(Internet of Things, IoT) 디바이스의 인증 기술에 관한 것이다.
PUF 기술은 마치 인간의 지문이나 홍채와 같은 생체 정보처럼 각각의 디바이스가 갖고 있는 하드웨어 고유 특성 정보를 활용한 기술로써, 동일한 공정으로 만들어진 디바이스라고 할지라도 다른 값을 갖는 디지털 핑거프린트(Digital Fingerprint) 기술이다. 즉, 아무리 똑같은 방법으로 디바이스를 만들어도 절대로 그 고유한 특성만큼은 복제할 수 없다. 따라서, 동일한 제조 공정으로 생산된 회로라고 할지라도 똑같은 입력 값(Challenge)에 대해 똑같은 출력 값(Response)을 갖는 회로는 존재하지 않는다.
최근 IoT 기술은 스마트 홈(Smart Home), 자동차(Automotive), 헬스케어(Healthcare), 스마트 팩토리(Smart Factory), 스마트 시티(Smart City) 등 다양한 분야에 널리 활용되고 있다. IoT 환경에서 새롭고 다양한 서비스들이 제공되고 확산됨에 따라, 보안 취약점 및 보안 위협도 빠르게 증가하고 있다. 그러나 대부분의 IoT 디바이스들은 전원 및 리소스의 제약으로 인해 기존의 PC나 서버에서 사용되는 보안 기술을 그대로 적용할 수 없어서, 경량화된 보안 기술이나 최소한의 보안 기능만을 적용하거나, 아예 아무런 보안 기능도 적재하지 않고 운영되고 있다. 암호화 기법(Cryptographic methods)을 IoT 디바이스에 구현하기에는 제약 사항이 너무 많이 존재하고, 해쉬(Hash), 비대칭 암호(Asymmetric cipher) 등 전통적인 보안 메커니즘은 구현하기가 어려운 상황이다. 또한, IoT 디바이스는 다양한 사이버 공격으로부터 디바이스를 안전하게 보호해야 하고, 비용도 저렴해야 하는 해결과제를 안고 있다.
한편, 한국공개특허 제 10-2020-0104084 호“PUF 기반 사물인터넷 디바이스 인증 장치 및 방법”는 PUF(Physical Unclonable Function) 기술을 이용한 사물인터넷 디바이스 인증 기술에 관하여 개시하고 있다.
본 발명은 전술한 종래기술의 문제점을 해결하기 위한 것으로, 사용자 개입이 최소화된 다중 PUF 기반의 IoT 경량 인증을 제공하는 것을 목적으로 한다.
또한, 본 발명은 머신 러닝 기반의 모델링 공격과 인증서버 해킹 시 CRP 노출 위협 방지를 위한 솔루션을 제공하는 것을 목적으로 한다.
또한, 본 발명은 전통적인 해쉬나 비대칭 암호 등의 암호 메커니즘을 전혀 사용하지 않으면서도 안전한 디바이스 인증을 제공하는 것을 목적으로 한다.
또한 본 발명은 제원 제약이 심한 IoT 디바이스에 적용 가능한 경량화되고 보편적인 디바이스 인증 솔루션을 제공하는 것을 목적으로 한다.
또한, 본 발명은 해킹에 의한 정보 유출, DDoS(Distributed Denial-of-Service) 공격, 불법 복제나 위변조로 인한 피해 등 보안 사고를 미연에 방지하여, 이로 인해 발생하는 경제적, 사회적 손실을 획기적으로 줄이는 것을 목적으로 한다.
상기한 목적을 달성하기 위한 본 발명의 일실시예에 따른 다중 PUF 기반 사물인터넷 디바이스 인증 장치는 하나 이상의 프로세서 및 상기 하나 이상의 프로세서에 의해 실행되는 적어도 하나 이상의 프로그램을 저장하는 실행메모리를 포함하고, 상기 적어도 하나 이상의 프로그램은 사물인터넷 디바이스의 인증 요청에 따라 데이터베이스에 사전 등록된 초기 챌린지 값을 선택하고, PUF(Physical Unclonable Function) 기법을 이용하여 상기 초기 챌린지 값에 대응하는 초기 리스판스 값을 생성하여 상기 사물인터넷 디바이스에게 전송하고, 사물인터넷 디바이스로부터 수신한 복수의 리스판스 값들과, 상기 초기 챌린지 값에 대응되는 상기 데이터베이스에 사전 등록된 복수의 리스판스 값들과 비교하고, 상기 복수의 리스판스 값들의 일치 여부에 따라 상기 사물인터넷 디바이스를 인증한다.
이 때, 상기 사물인터넷 디바이스는 상기 초기 리스판스 값을 복수의 PUF 모듈들에 챌린지 값으로 입력하여 상기 복수의 리스판스 값들을 생성할 수 있다.
이 때, 상기 사물인터넷 디바이스는 상기 초기 리스판스 값을 제1 PUF 모듈에 챌린지 값으로 입력하여 제1 리스판스 값을 생성하고, 상기 제1 리스판스 값을 제2 PUF 모듈에 챌린지 값으로 입력하여 제2 리스판스 값을 생성하는 과정을 반복하여 상기 복수의 리스판스 값들을 생성할 수 있다.
이 때, 상기 적어도 하나 이상의 프로그램은 상기 사물인터넷 디바이스로부터 수신한 복수의 리스판스 값들과 상기 사전 등록된 복수의 리스판스 값들 중 어느 하나라도 불일치 하는 경우 상기 사물인터넷 디바이스의 인증을 실패로 판정할 수 있다.
이 때, 상기 적어도 하나 이상의 프로그램은 상기 사물인터넷 디바이스의 인증이 성공인 경우, 상기 사물인터넷 디바이스의 인증에 사용된 상기 사전 등록된 챌린지 값과 상기 사전 등록된 복수의 리스판스 값들을 상기 데이터베이스에서 삭제할 수 있다.
또한, 상기한 목적을 달성하기 위한 본 발명의 일실시예에 따른 다중 PUF 기반 사물인터넷 디바이스 인증 방법은 다중 PUF 기반 사물인터넷 디바이스 인증 장치의 다중 PUF 기반 사물인터넷 디바이스 인증 방법에 있어서, 사물인터넷 디바이스의 인증 요청에 따라 데이터베이스에 사전 등록된 초기 챌린지 값을 선택하는 단계; PUF(Physical Unclonable Function) 기법을 이용하여 상기 초기 챌린지 값에 대응하는 초기 리스판스 값을 생성하여 상기 사물인터넷 디바이스에게 전송하는 단계; 사물인터넷 디바이스로부터 수신한 복수의 리스판스 값들과, 상기 초기 챌린지 값에 대응되는 상기 데이터베이스에 사전 등록된 복수의 리스판스 값들과 비교하는 단계 및 상기 복수의 리스판스 값들의 일치 여부에 따라 상기 사물인터넷 디바이스를 인증하는 단계를 포함한다.
이 때, 상기 사물인터넷 디바이스에게 전송하는 단계는 상기 사물인터넷 디바이스가, 상기 초기 리스판스 값을 복수의 PUF 모듈들에 챌린지 값으로 입력하여 상기 복수의 리스판스 값들을 생성할 수 있다.
이 때, 상기 사물인터넷 디바이스에게 전송하는 단계는 상기 사물인터넷 디바이스가, 상기 초기 리스판스 값을 제1 PUF 모듈에 챌린지 값으로 입력하여 제1 리스판스 값을 생성하고, 상기 제1 리스판스 값을 제2 PUF 모듈에 챌린지 값으로 입력하여 제2 리스판스 값을 생성하는 과정을 반복하여 상기 복수의 리스판스 값들을 생성할 수 있다.
이 때, 상기 인증하는 단계는 상기 사물인터넷 디바이스로부터 수신한 복수의 리스판스 값들과 상기 사전 등록된 복수의 리스판스 값들 중 어느 하나라도 불일치 하는 경우 상기 사물인터넷 디바이스의 인증을 실패로 판정할 수 있다.
이 때, 상기 인증하는 단계는 상기 사물인터넷 디바이스의 인증이 성공인 경우, 상기 사물인터넷 디바이스의 인증에 사용된 상기 사전 등록된 챌린지 값과 상기 사전 등록된 복수의 리스판스 값들을 상기 데이터베이스에서 삭제할 수 있다.
본 발명은 사용자 개입이 최소화된 다중 PUF 기반의 IoT 경량 인증을 제공할수 있다.
또한, 본 발명은 머신 러닝 기반의 모델링 공격과 인증서버 해킹 시 CRP 노출 위협 방지를 위한 솔루션을 제공할 수 있다.
또한, 본 발명은 전통적인 해쉬나 비대칭 암호 등의 암호 메커니즘을 전혀 사용하지 않으면서도 안전한 디바이스 인증을 제공할 수 있다.
또한, 본 발명은 제원 제약이 심한 IoT 디바이스에 적용 가능한 경량화되고 보편적인 디바이스 인증 솔루션을 제공할 수 있다.
또한, 본 발명은 해킹에 의한 정보 유출, DDoS(Distributed Denial-of-Service) 공격, 불법 복제나 위변조로 인한 피해 등 보안 사고를 미연에 방지하여, 이로 인해 발생하는 경제적, 사회적 손실을 획기적으로 줄일 수 있다.
도 1은 본 발명의 일실시예에 따른 PUF 기반 인증 과정을 나타낸 도면이다.
도 2은 본 발명의 일실시예에 따른 PUF 기반 인증 과정에서 발생할 수 있는 보안 취약점을 나타낸 도면이다.
도 3은 본 발명의 일실시예에 따른 다중 PUF 기반 사물인터넷 디바이스 인증 방법의 등록 과정을 나타낸 도면이다.
도 4는 본 발명의 일실시예에 따른 다중 PUF 기반 사물인터넷 디바이스 인증 방법의 등록 과정을 나타낸 시퀀스 다이어그램이다.
도 5는 본 발명의 일실시예에 따른 다중 PUF 기반 사물인터넷 디바이스 인증 방법의 인증 과정을 나타낸 도면이다.
도 6은 본 발명의 일실시예에 따른 다중 PUF 기반 사물인터넷 디바이스 인증 방법의 인증 과정을 나타낸 시퀀스 다이어그램이다.
도 7은 본 발명의 일실시예에 따른 컴퓨터 시스템을 나타낸 도면이다.
본 발명을 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다. 여기서, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능, 및 구성에 대한 상세한 설명은 생략한다. 본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. 따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.
명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.
이하, 본 발명에 따른 바람직한 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.
도 1은 본 발명의 일실시예에 따른 PUF 기반 인증 과정을 나타낸 도면이다.
도 1을 참조하면, 본 발명의 일실시예에 따른 PUF 기반 인증 기술은 동일한 공정으로 생산된 회로라고 할지라도 같은 입력 값(Challenge)에 대해 서로 다른 출력 값(Response)을 가지므로, 각 PUF의 입력 값과 출력 값의 CRPs(Challenge-Response Pairs)는 각 디바이스를 인증하기 위한 수단으로 활용되는 것을 알 수 있다. 즉, 제조 공정 단계에서 디바이스 인증을 위한 CRP 데이터베이스(Database)를 인증 서버에 미리 저장 및 구축해 놓고, 인증하고자 하는 디바이스의 PUF를 통해서 생성된 CRP와 비교함으로써, 각각의 디바이스에 대한 인증을 수행할 수 있다.
디바이스 A로부터 인증 요청이 들어오면, CRP 데이터베이스에서 임의로 선택된 Challenge 값을 해당 디바이스로 전달하게 된다. 해당 디바이스는 수신한 Challenge 값에 대한 Response 값을 PUF를 통해서 생성하여 응답하게 되며, 인증 서버는 서버 내 저장되어 있는 해당 Challenge 값에 대한 Response 값과의 일치 여부를 통해서 해당 디바이스를 인증할 수 있다. 이때, 한번 사용된 CRP는 재사용 공격(Replay Attack)을 방지하기 위해서 삭제되고, 절대 재사용되지 않는다. 그러나, 이러한 기존 PUF 기반의 인증 기법은 많은 보안 위협과 취약점(Security Threats and Vulnerabilities)을 가지고 있을 수 있다.
공격자의 관점에서는 CRP를 알아내면 PUF 기반 인증 기법을 무력화시켜 공격에 성공할 수 있다. 이러한 공격은 크게 세 가지 측면에서 가능하다.
도 2은 본 발명의 일실시예에 따른 PUF 기반 인증 과정에서 발생할 수 있는 보안 취약점을 나타낸 도면이다.
도 2를 참조하면, 첫째, IoT 디바이스 측면에서 부채널 공격(Side Channel Attack)이 가능한데, IoT 디바이스는 물리적으로 접근 가능한 곳에 설치되는 경우가 일반적이므로 해커는 손쉽게 디바이스를 획득하여 부채널 공격이 가능할 수 있다.
둘째, 통신 채널(Communication Channel) 측면에서 중간자 공격(Man-in-the-middle Attack)이 가능한데, IoT 디바이스와 인증 서버 사이의 전송되는 패킷을 스니핑(Sniffing)하여 CRP 예측이 가능하다. 인공 지능 기술이 발전함에 따라 CRP를 예측할 수 있는 머신 러닝 기반의 모델링 공격(Machine Learning-based Modeling Attack)이 발생할 수 있다.
셋째, 인증 서버 측면에서 해커의 공격을 받아 서버가 해킹될 수 있는데, 해킹이 되면 관리하고 있는 전체 디바이스에 대한 CRP 데이터베이스가 노출됨으로 보안 상 취약점이 발생할 수 있다.
상기의 보안 취약점을 극복하기 위해서, 본 발명은 다중 PUF 기반의 IoT 디바이스 경량 인증 기법을 제공할 수 있다.
즉, 본 발명은 인증 서버에도 PUF 모듈을 추가하고, IoT 디바이스에는 다중 PUF를 추가하여 다중 PUF 기반 사물인터넷 디바이스 인증을 수행할 수 있다.
이 때, 디바이스에 추가되는 다중 PUF는 반드시 2종 이상 포함될 수 있다.
다중 PUF의 구성은 같은 타입으로 2종 이상, 혹은 다른 타입으로 2종 이상 구성이 가능하다. 다중 PUF에는 Arbiter PUF, Ring Oscillator PUF, SRAM PUF, Resister-Capacitor PUF, Flash PUF 등 다양한 타입의 PUF가 적용될 수 있다. PUF 자체가 원래 값이 매우 싼 특징을 갖고 있기 때문에, 이러한 다중 PUF 추가에 따른 비용 증가는 거의 미미한 수준이라 볼 수 있다.
본 발명에서는 Challenge와 Response 사이의 직접적인 관계를 숨기기 위하여, 직접 매핑되는 어떠한 PUF의 CRP 정보도 전송하거나 저장하지 않는다. 따라서 기존 PUF 기반 인증 기법의 가장 큰 보안 위협인 머신 러닝 기반 모델링 공격이나 서버 해킹 시 CRP 노출 위협을 근본적으로 차단할 수 있다.
또한, CRP 암호화 적용이 필요 없어서 어떠한 해쉬나 암호화 함수를 사용하지 않는다. 이렇게 경량화된 인증 기법을 제공하여 전원 및 리소스가 부족한 어떠한 IoT 디바이스 환경에도 적용 가능하다.
따라서, 본 발명은 IoT 디바이스가 직면한 다양한 보안 위협으로부터 디바이스를 안전하게 보호하기 위한 디바이스 경량 인증 솔루션을 제공하여, IoT 보안성과 안전성을 보다 향상시킬 수 있다.
도 3은 본 발명의 일실시예에 따른 다중 PUF 기반 사물인터넷 디바이스 인증 방법의 등록 과정을 나타낸 도면이다.
도 3을 참조하면, 기존 PUF 기반 인증 기법과는 달리 인증 서버(100)에 IoT 디바이스(10)의 CRPs를 데이터베이스에 바로 저장하지 않는 것을 알 수 있다.
이 때, 인증 서버(100)는 본 발명의 일실시예에 따른 다중 PUF 기반 사물인터넷 인증 장치에 상응할 수 있다.
인증 서버(100)의 PUF에서 Challenge-Response 생성 단계를 거친 후, IoT 디바이스의 다중 PUF에서 Challenge-Response 생성 단계를 거치게 되는데, 이러한 일련의 과정에서 최초 Challenge(SC0)와 최종 Response(CRn)가 CRP 데이터베이스에 저장된다. 추후 인증 단계에서 사용할 CRP 데이터베이스 확보를 위해, 전술한 일련의 과정을 반복 수행함으로써 등록 작업을 완료하는 것을 알 수 있다.
도 4는 본 발명의 일실시예에 따른 다중 PUF 기반 사물인터넷 디바이스 인증 방법의 등록 과정을 나타낸 시퀀스 다이어그램이다.
도 4를 참조하면, IoT 디바이스의 등록 절차(IoT Device Registration Procedure)를 세부적으로 나타낸 것을 알 수 있다.
본 발명의 일실시예에 따른 다중 PUF 기반 사물인터넷 디바이스 인증 방법은 먼저 IoT 디바이스(DEVICE A)(10)는 인증 서버(100)에 등록을 요청할 수 있다(S210).
인증 서버(100)는 PUF를 통해 Challenge-Response(SC0, SR0)를 생성할 수 있다(S220).
인증 서버(100)는 생성된 Response(SR0)를 IoT 디바이스(10)로 전송할 수 있다(S230).
IoT 디바이스(10)는 수신한 SR0를 PUF0의 Challenge(CC0)로 입력하여 Response(CR0)를 생성할 수 있다(S240).
IoT 디바이스(10)는 생성된 CR0를 PUF1의 Challenge(CC1)로 입력하여 Response(CR1)를 생성할 수 있다(S250).
IoT 디바이스(10)는 PUF2에서 PUFn-1까지 Challenge-Response 생성 작업을 반복해서 수행할 수 있다(S260).
IoT 디바이스(10)는 단계(S260)에서 최종 생성된 CRn-1을 PUFn의 Challenge(CCn)로 입력하여 Response(CRn)를 생성한 후, 인증 서버(100)로 전송할 수 있다(S270).
인증 서버(100)는 수신한 CRn과 SC0를 CRP 데이터베이스에 저장할 수 있다(S280).
IoT 디바이스의 등록 단계를 통해 저장된 CRP 데이터베이스는 추후 인증 단계에서 활용될 수 있다.
도 5는 본 발명의 일실시예에 따른 다중 PUF 기반 사물인터넷 디바이스 인증 방법의 인증 과정을 나타낸 도면이다.
도 5를 참조하면, 등록 단계와 거의 동일한 과정을 거쳐 인증이 이루어지는데, 등록 시 저장된 CRP 데이터베이스와 수신한 CRP를 비교하여 인증 과정이 수행될 수 있다. 어떠한 CRP 암호화 적용없이 Challenge와 Response의 직접적인 관계를 숨기기 위해 다중 PUF를 사용하여, 기존 인증 기법의 가장 큰 문제점인 머신 러닝 기반 모델링 공격과 서버 해킹 시 CRPs 노출 문제를 해결할 수 있다.
도 6은 본 발명의 일실시예에 따른 다중 PUF 기반 사물인터넷 디바이스 인증 방법의 인증 과정을 나타낸 시퀀스 다이어그램이다.
도 6을 참조하면, IoT 디바이스의 인증 절차(Authentication Verification)를 세부적으로 나타낸 것을 알 수 있다.
본 발명의 일실시예에 따른 다중 PUF 기반 사물인터넷 디바이스 인증 방법은 먼저 IoT 디바이스(DEVICE A)(10)가 인증 서버(100)에 인증을 요청할 수 있다(S301).
인증 서버(100)는 디바이스 인증을 위해 초기의 Challenge(SC0)를 데이터베이스에서 선택할 수 있다(S302).
인증 서버(100)는 PUF를 통해 Challenge-Response(SC0, SR'0)를 생성할 수있다(S303).
인증 서버(100)는 생성된 Response(SR'0)를 IoT 디바이스(10)로 전송할 수 있다(S304).
IoT 디바이스(10)는 수신한 SR'0를 PUF0의 Challenge(CC'0)로 입력하여 Response(CR'0)를 생성할 수 있다(S305).
IoT 디바이스(10)는 생성된 CR'0를 PUF1의 Challenge(CC'1)로 입력하여 Response(CR'1)를 생성할 수 있다(S306).
IoT 디바이스(10)는 PUF2에서 PUFn-1까지 Challenge-Response 생성 작업을 반복해서 수행할 수 있다(S307).
IoT 디바이스(10)는 단계(S307)에서 최종 생성된 CR'n-1을 PUFn의 Challenge(CC'n)로 입력하여 Response(CR'n)를 생성한 후, 인증 서버(100)로 전송할 수 있다(S308).
인증 서버(100)는 수신한 CR'n과 CRP 데이터베이스의 CRn과 비교할 수 있다(S309).
인증 서버(100)는 단계(S309)의 비교 분석 결과가 일치(Match)하면 인증에 성공한 것으로 판정할 수 있다(S310).
인증 서버(100)는 인증에 사용한 CRP(SC0, CRn)을 데이터베이스에서 삭제할 수 있다(S311).
인증 서버(100)는 인증 결과(Success/Failure) 메시지를 생성하여 IoT 디바이스(10)로 전송할 수 있다(S312).
IoT 디바이스(10)는 수신한 인증 결과 메시지에 따라 인증 과정을 종료할 수 있다(S313).
도 7은 본 발명의 일실시예에 따른 컴퓨터 시스템을 나타낸 도면이다.
도 7을 참조하면, 본 발명의 일실시예에 따른 다중 PUF 기반 사물인터넷 디바이스 인증 장치는 컴퓨터로 읽을 수 있는 기록매체와 같은 컴퓨터 시스템(1100)에서 구현될 수 있다. 도 7에 도시된 바와 같이, 컴퓨터 시스템(1100)은 버스(1120)를 통하여 서로 통신하는 하나 이상의 프로세서(1110), 메모리(1130), 사용자 인터페이스 입력 장치(1140), 사용자 인터페이스 출력 장치(1150) 및 스토리지(1160)를 포함할 수 있다. 또한, 컴퓨터 시스템(1100)은 네트워크(1180)에 연결되는 네트워크 인터페이스(1170)를 더 포함할 수 있다. 프로세서(1110)는 중앙 처리 장치 또는 메모리(1130)나 스토리지(1160)에 저장된 프로세싱 인스트럭션들을 실행하는 반도체 장치일 수 있다. 메모리(1130) 및 스토리지(1160)는 다양한 형태의 휘발성 또는 비휘발성 저장 매체일 수 있다. 예를 들어, 메모리는 ROM(1131)이나 RAM(1132)을 포함할 수 있다.
본 발명의 일실시예에 따른 다중 PUF 기반 사물인터넷 디바이스 인증 장치는 하나 이상의 프로세서(1110); 및 상기 하나 이상의 프로세서(1110)에 의해 실행되는 적어도 하나 이상의 프로그램을 저장하는 실행메모리(1130)를 포함하고, 상기 적어도 하나 이상의 프로그램은 사물인터넷 디바이스의 인증 요청에 따라 데이터베이스에 사전 등록된 초기 챌린지 값을 선택하고, PUF(Physical Unclonable Function) 기법을 이용하여 상기 초기 챌린지 값에 대응하는 초기 리스판스 값을 생성하여 상기 사물인터넷 디바이스에게 전송하고, 사물인터넷 디바이스로부터 수신한 복수의 리스판스 값들과, 상기 초기 챌린지 값에 대응되는 상기 데이터베이스에 사전 등록된 복수의 리스판스 값들과 비교하고, 상기 복수의 리스판스 값들의 일치 여부에 따라 상기 사물인터넷 디바이스를 인증한다.
이 때, 상기 사물인터넷 디바이스는 상기 초기 리스판스 값을 복수의 PUF 모듈들에 챌린지 값으로 입력하여 상기 복수의 리스판스 값들을 생성할 수 있다.
이 때, 상기 사물인터넷 디바이스는 상기 초기 리스판스 값을 제1 PUF 모듈에 챌린지 값으로 입력하여 제1 리스판스 값을 생성하고, 상기 제1 리스판스 값을 제2 PUF 모듈에 챌린지 값으로 입력하여 제2 리스판스 값을 생성하는 과정을 반복하여 상기 복수의 리스판스 값들을 생성할 수 있다.
이 때, 상기 적어도 하나 이상의 프로그램은 상기 사물인터넷 디바이스로부터 수신한 복수의 리스판스 값들과 상기 사전 등록된 복수의 리스판스 값들 중 어느 하나라도 불일치 하는 경우 상기 사물인터넷 디바이스의 인증을 실패로 판정할 수 있다.
이 때, 상기 적어도 하나 이상의 프로그램은 상기 사물인터넷 디바이스의 인증이 성공인 경우, 상기 사물인터넷 디바이스의 인증에 사용된 상기 사전 등록된 챌린지 값과 상기 사전 등록된 복수의 리스판스 값들을 상기 데이터베이스에서 삭제할 수 있다.
이상에서와 같이 본 발명의 일실시예에 따른 다중 PUF 기반 사물인터넷 디바이스 인증 장치 및 방법은 상기한 바와 같이 설명된 실시예들의 구성과 방법이 한정되게 적용될 수 있는 것이 아니라, 상기 실시예들은 다양한 변형이 이루어질 수 있도록 각 실시예들의 전부 또는 일부가 선택적으로 조합되어 구성될 수도 있다.
10: 사물인터넷 디바이스(IoT 디바이스)
100: 사물인터넷 디바이스 인증 장치(인증 서버)
1100: 컴퓨터 시스템 1110: 프로세서
1120: 버스 1130: 메모리
1131: 롬 1132: 램
1140: 사용자 인터페이스 입력 장치
1150: 사용자 인터페이스 출력 장치
1160: 스토리지 1170: 네트워크 인터페이스
1180: 네트워크

Claims (10)

  1. 하나 이상의 프로세서; 및
    상기 하나 이상의 프로세서에 의해 실행되는 적어도 하나 이상의 프로그램을 저장하는 실행메모리를 포함하고,
    상기 적어도 하나 이상의 프로그램은
    사물인터넷 디바이스의 인증 요청에 따라 데이터베이스에 사전 등록된 초기 챌린지 값을 선택하고,
    PUF(Physical Unclonable Function) 기법을 이용하여 상기 초기 챌린지 값에 대응하는 초기 리스판스 값을 생성하여 상기 사물인터넷 디바이스에게 전송하고,
    사물인터넷 디바이스로부터 수신한 복수의 리스판스 값들과, 상기 초기 챌린지 값에 대응되는 상기 데이터베이스에 사전 등록된 복수의 리스판스 값들과 비교하고,
    상기 복수의 리스판스 값들의 일치 여부에 따라 상기 사물인터넷 디바이스를 인증하는 것을 특징으로 하는 다중 PUF 기반 사물인터넷 디바이스 인증 장치.
  2. 청구항 1에 있어서,
    상기 사물인터넷 디바이스는
    상기 초기 리스판스 값을 복수의 PUF 모듈들에 챌린지 값으로 입력하여 상기 복수의 리스판스 값들을 생성하는 것을 특징으로 하는 다중 PUF 기반 사물인터넷 디바이스 인증 장치.
  3. 청구항 2에 있어서,
    상기 사물인터넷 디바이스는
    상기 초기 리스판스 값을 제1 PUF 모듈에 챌린지 값으로 입력하여 제1 리스판스 값을 생성하고, 상기 제1 리스판스 값을 제2 PUF 모듈에 챌린지 값으로 입력하여 제2 리스판스 값을 생성하여 상기 복수의 리스판스 값들을 생성하는 것을 특징으로 하는 다중 PUF 기반 사물인터넷 디바이스 인증 장치.
  4. 청구항 3에 있어서,
    상기 적어도 하나 이상의 프로그램은
    상기 사물인터넷 디바이스로부터 수신한 복수의 리스판스 값들과 상기 사전 등록된 복수의 리스판스 값들 중 어느 하나라도 불일치 하는 경우 상기 사물인터넷 디바이스의 인증을 실패로 판정하는 것을 특징으로 하는 다중 PUF 기반 사물인터넷 디바이스 인증 장치.
  5. 청구항 4에 있어서,
    상기 적어도 하나 이상의 프로그램은
    상기 사물인터넷 디바이스의 인증이 성공인 경우, 상기 사물인터넷 디바이스의 인증에 사용된 상기 사전 등록된 챌린지 값과 상기 사전 등록된 복수의 리스판스 값들을 상기 데이터베이스에서 삭제하는 것을 특징으로 하는 다중 PUF 기반 사물인터넷 디바이스 인증 장치.
  6. 다중 PUF 기반 사물인터넷 디바이스 인증 장치의 다중 PUF 기반 사물인터넷 디바이스 인증 방법에 있어서,
    사물인터넷 디바이스의 인증 요청에 따라 데이터베이스에 사전 등록된 초기 챌린지 값을 선택하는 단계;
    PUF(Physical Unclonable Function) 기법을 이용하여 상기 초기 챌린지 값에 대응하는 초기 리스판스 값을 생성하여 상기 사물인터넷 디바이스에게 전송하는 단계;
    사물인터넷 디바이스로부터 수신한 복수의 리스판스 값들과, 상기 초기 챌린지 값에 대응되는 상기 데이터베이스에 사전 등록된 복수의 리스판스 값들과 비교하는 단계; 및
    상기 복수의 리스판스 값들의 일치 여부에 따라 상기 사물인터넷 디바이스를 인증하는 단계
    를 포함하는 것을 특징으로 하는 다중 PUF 기반 사물인터넷 디바이스 인증 방법.
  7. 청구항 6에 있어서,
    상기 사물인터넷 디바이스에게 전송하는 단계는
    상기 사물인터넷 디바이스가, 상기 초기 리스판스 값을 복수의 PUF 모듈들에 챌린지 값으로 입력하여 상기 복수의 리스판스 값들을 생성하는 것을 특징으로 하는 다중 PUF 기반 사물인터넷 디바이스 인증 방법.
  8. 청구항 7에 있어서,
    상기 사물인터넷 디바이스에게 전송하는 단계는
    상기 사물인터넷 디바이스가, 상기 초기 리스판스 값을 제1 PUF 모듈에 챌린지 값으로 입력하여 제1 리스판스 값을 생성하고, 상기 제1 리스판스 값을 제2 PUF 모듈에 챌린지 값으로 입력하여 제2 리스판스 값을 생성하여 상기 복수의 리스판스 값들을 생성하는 것을 특징으로 하는 다중 PUF 기반 사물인터넷 디바이스 인증 방법.
  9. 청구항 8에 있어서,
    상기 인증하는 단계는
    상기 사물인터넷 디바이스로부터 수신한 복수의 리스판스 값들과 상기 사전 등록된 복수의 리스판스 값들 중 어느 하나라도 불일치 하는 경우 상기 사물인터넷 디바이스의 인증을 실패로 판정하는 것을 특징으로 하는 다중 PUF 기반 사물인터넷 디바이스 인증 방법.
  10. 청구항 9에 있어서,
    상기 인증하는 단계는
    상기 사물인터넷 디바이스의 인증이 성공인 경우, 상기 사물인터넷 디바이스의 인증에 사용된 상기 사전 등록된 챌린지 값과 상기 사전 등록된 복수의 리스판스 값들을 상기 데이터베이스에서 삭제하는 것을 특징으로 하는 다중 PUF 기반 사물인터넷 디바이스 인증 방법.
KR1020210139849A 2021-10-20 2021-10-20 다중 puf 기반 사물인터넷 디바이스 인증 장치 및 방법 KR20230056151A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020210139849A KR20230056151A (ko) 2021-10-20 2021-10-20 다중 puf 기반 사물인터넷 디바이스 인증 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210139849A KR20230056151A (ko) 2021-10-20 2021-10-20 다중 puf 기반 사물인터넷 디바이스 인증 장치 및 방법

Publications (1)

Publication Number Publication Date
KR20230056151A true KR20230056151A (ko) 2023-04-27

Family

ID=86100423

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210139849A KR20230056151A (ko) 2021-10-20 2021-10-20 다중 puf 기반 사물인터넷 디바이스 인증 장치 및 방법

Country Status (1)

Country Link
KR (1) KR20230056151A (ko)

Similar Documents

Publication Publication Date Title
CN109347835B (zh) 信息传输方法、客户端、服务器以及计算机可读存储介质
US8694778B2 (en) Enrollment of physically unclonable functions
US11432150B2 (en) Method and apparatus for authenticating network access of terminal
US20190281028A1 (en) System and method for decentralized authentication using a distributed transaction-based state machine
US10187373B1 (en) Hierarchical, deterministic, one-time login tokens
KR102364652B1 (ko) 화이트박스 암호화를 이용한 puf 기반 사물인터넷 디바이스 인증 장치 및 방법
Kim et al. Puf based iot device authentication scheme
KR102364649B1 (ko) Puf 기반 사물인터넷 디바이스 인증 장치 및 방법
CN110401640B (zh) 一种基于可信计算双体系架构的可信连接方法
Albalawi et al. A survey on authentication techniques for the internet of things
TWI776404B (zh) 生物支付設備的認證方法、裝置、電腦設備和儲存媒體
KR102591826B1 (ko) Puf를 이용한 인증서 기반 디바이스 인증 장치 및 방법
CN114143343A (zh) 雾计算环境中远程访问控制***、控制方法、终端及介质
Nimmy et al. A novel multi-factor authentication protocol for smart home environments
Narendrakumar et al. Token security for internet of things
Yoon et al. Multiple PUF-based lightweight authentication method in the IoT
CN113678131A (zh) 使用区块链保护在线应用程序和网页
Khan et al. A brief review on cloud computing authentication frameworks
Alshomrani et al. PUFDCA: A Zero‐Trust‐Based IoT Device Continuous Authentication Protocol
US11240661B2 (en) Secure simultaneous authentication of equals anti-clogging mechanism
KR102539418B1 (ko) Puf 기반 상호 인증 장치 및 방법
CN114257419B (zh) 设备认证方法、装置、计算机设备和存储介质
CN114978544A (zh) 一种访问认证方法、装置、***、电子设备及介质
KR20230056151A (ko) 다중 puf 기반 사물인터넷 디바이스 인증 장치 및 방법
CN114039748A (zh) 身份验证方法、***、计算机设备和存储介质