[go: up one dir, main page]

KR102139589B1 - An authentication and key establishment protocol for internet of things using digitalseal - Google Patents

An authentication and key establishment protocol for internet of things using digitalseal Download PDF

Info

Publication number
KR102139589B1
KR102139589B1 KR1020180111994A KR20180111994A KR102139589B1 KR 102139589 B1 KR102139589 B1 KR 102139589B1 KR 1020180111994 A KR1020180111994 A KR 1020180111994A KR 20180111994 A KR20180111994 A KR 20180111994A KR 102139589 B1 KR102139589 B1 KR 102139589B1
Authority
KR
South Korea
Prior art keywords
gateway
key
hash
message authentication
authentication code
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
KR1020180111994A
Other languages
Korean (ko)
Other versions
KR20200032856A (en
Inventor
양대헌
정창훈
최진춘
민대홍
Original Assignee
인하대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 인하대학교 산학협력단 filed Critical 인하대학교 산학협력단
Priority to KR1020180111994A priority Critical patent/KR102139589B1/en
Publication of KR20200032856A publication Critical patent/KR20200032856A/en
Application granted granted Critical
Publication of KR102139589B1 publication Critical patent/KR102139589B1/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K19/00Record carriers for use with machines and with at least a part designed to carry digital markings
    • G06K19/06Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
    • G06K19/06009Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code with optically detectable marking
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Telephonic Communication Services (AREA)
  • Small-Scale Networks (AREA)

Abstract

사물인터넷 환경에서 디지털 인감을 이용한 인증 및 키 설정 프로토콜 기술이 개신된다. 일 실시예에 따른 디지털 인감을 이용한 인증 방법은, 게이트웨이에서 디지털 인감을 통하여 획득된 디바이스의 해시 기반 메시지 인증 코드에 기초하여 상기 디바이스를 등록하는 단계; 및 상기 게이트웨이에서 키를 생성함에 따라 상기 게이트웨이에서 생성된 키와 상기 등록된 디바이스에서 생성된 키를 비교한 결과에 기초하여 세션키를 설정하고, 상기 등록된 디바이스와 상기 게이트웨이 간 상기 설정된 세션키를 공유하는 단계를 포함할 수 있다.In the IoT environment, authentication and key establishment protocol technology using a digital seal is renewed. An authentication method using a digital seal according to an embodiment may include registering a device based on a hash-based message authentication code of a device obtained through a digital seal at a gateway; And setting a session key based on a result of comparing the key generated at the gateway and the key generated at the registered device as the key is generated at the gateway, and setting the session key between the registered device and the gateway. And sharing.

Description

사물 인터넷 환경에서 디지털 인감을 이용한 인증 및 키 설정 프로토콜{AN AUTHENTICATION AND KEY ESTABLISHMENT PROTOCOL FOR INTERNET OF THINGS USING DIGITALSEAL}Authentication and key establishment protocol using digital seal in Internet of Things environment {AN AUTHENTICATION AND KEY ESTABLISHMENT PROTOCOL FOR INTERNET OF THINGS USING DIGITALSEAL}

아래의 설명은 온라인상에 존재하는 사물인터넷 디바이스를 안전하게 관리해주는 프로토콜에 관한 기술이다. The following description is a description of a protocol for safely managing IoT devices that exist online.

사물인터넷이란, 기존에 컴퓨터나 스마트 폰에서만 가능했던 인터넷을 책상, 자동차, 냉장고, 수온 조절기, 가스레인지, 침대, 실내등 등의 여러 사물에서도 사용 가능한 것을 의미한다. 사물인터넷의 범위는 앞에서 언급한 유형의 사물에만 국한되지 않으며, 교실, 커피숍, 버스정류장 등 공간은 물론 결제 프로세스 등 무형의 사물까지도 그 대상에 포함된다. 이렇게 인터넷에 연결된 유·무형의 사물인터넷은 사용자에게 다양한 서비스를 제공할 수 있다. 예를 들면, 침대가 사람이 수면 중인지를 스스로 인지하여 실내등을 자동으로 ON/OFF하는 기능, 냉장고가 보관중인 물품을 확인하여 거의 소진된 물품을 자동으로 주문하는 기능 등의 서비스를 제공할 수 있다. 그런데 이러한 사물인터넷은 다양한 네트워크 취약점이 존재하며 따라서 악성 해커로부터 스니핑, 스푸핑, DDoS 등의 공격을 받을 수 있다. 게다가 사물인터넷은 사용자의 삶의 물리적으로 영향을 줄 수도 있으므로, 사용자에게 물리적인 피해를 발생시킬 수도 있다. 예를 들어, 사물인터넷 홈 캠을 이용하여 사용자의 사생활을 파악할 수도 있고, 사용자가 집에 없는 동안 사물인터넷 스마트 가스레인지를 켜서 화재를 발생시킬 수도 있다. 이에 따라 사물인터넷 분야에서는 안전한 세션키 관리, 통신, 접근제어 프로토콜 등이 필요한 상황이다.The Internet of Things means that the Internet, previously available only on a computer or a smart phone, can be used in various objects such as a desk, car, refrigerator, water temperature controller, gas range, bed, and indoors. The scope of the Internet of Things is not limited to the above-mentioned types of objects, but includes objects such as classrooms, coffee shops, bus stops, and intangible objects such as payment processes. In this way, tangible and intangible Internet of Things connected to the Internet can provide various services to users. For example, a service such as a function of automatically turning on/off the interior light by recognizing whether a bed is sleeping or not, and a function of automatically ordering almost exhausted items by checking the items stored in the refrigerator can be provided. . However, the Internet of Things has various network vulnerabilities, so it can be attacked by malicious hackers such as sniffing, spoofing, and DDoS. In addition, the Internet of Things may physically affect a user's life, which may cause physical damage to the user. For example, the user's privacy may be grasped using the IoT home cam, or the user may turn on the IoT gas stove while the user is not at home to cause a fire. Accordingly, in the IoT field, secure session key management, communication, and access control protocols are required.

기존의 사물인터넷 디바이스 접근제어 프로토콜에 따르면, 사용자가 새로운 사물인터넷 디바이스(또는 서비스)를 사용하기 위해서는 WIFI 또는 Bluetooth를 통해 비밀번호를 입력한 후, 자신의 홈 네트워크에 디바이스를 등록하여야 한다. 그런데 사용자들은 여러 사물인터넷 디바이스를 쉽게 관리하기 위하여 다음과 같은 취약점을 무시하고 사용하는 경우가 있다. (1)사용자들은 "0000", "1234", "asdf"처럼 초기 비밀번호를 사용한다. (2)사용자들은 "apple", "Room302"처럼 간단한 비밀번호를 사용한다. (3)사용자들은 여러 디바이스에 대하여 하나의 비밀번호를 사용한다. (4)비밀번호가 스티커 형식으로 사물인터넷 디바이스 외부에 붙여져 있는 경우가 있는데, 이 비밀번호를 그대로 사용한다. 이러한 취약점뿐만 아니라 사회공학적 기법 등의 공격 기법을 이용하여, 공격자는 WIFI 또는 Bluetooth를 통해 사용자의 집 외부에서 사용자의 사물인터넷 디바이스 또는 홈 네트워크에 접속을 할 수 있으며, 이를 통해 다양한 네트워크 공격을 시도할 수 있게 된다.According to the existing IoT device access control protocol, in order to use a new IoT device (or service), a user must register a device in his home network after entering a password through WIFI or Bluetooth. However, users may ignore and use the following vulnerabilities in order to easily manage various IoT devices. (1) Users use initial passwords like "0000", "1234" and "asdf". (2) Users use simple passwords such as "apple" and "Room302". (3) Users use one password for multiple devices. (4) In some cases, the password is affixed to the outside of the IoT device in the form of a sticker. This password is used as it is. By using not only these vulnerabilities, but also attack techniques such as social engineering techniques, an attacker can access a user's IoT device or home network from outside the user's home via WIFI or Bluetooth, thereby attempting various network attacks. It becomes possible.

메시지 인증 코드를 위한 디지털인감(특허 등록번호 1017401790000)이란 온라인 또는 오프라인 상에서 어떠한 데이터를 포함하고 있는 2차원의 바코드를 스캔하여 바코드 데이터를 읽어 들이고, 그 바코드 데이터와 내장되어 있는 비밀키를 이용하여 해시 기반의 메시지 인증 코드를 생성하는 도구이다. 디지털인감은 바코드를 스캔하기 위해서 복수 개의 센서를 가지고 있으며, 비밀키를 저장하기 위하여 그리고 해시 기반의 메시지 인증 코드를 생성하기 위하여 소형 컴퓨터가 내장되어 있다. 디지털인감은 온라인 또는 오프라인에서 메시지의 대한 인증과 메시지의 무결성을 보장할 수 있다. 예를 들어 온라인 뱅킹에 적용하면, MitM, MitB 공격으로부터 안전한 트랜잭션을 제공할 수 있으며 비밀키 관리에 대하여 보안성을 향상시킬 수 있고, 차용증 같은 오프라인 문서에 적용하면, 차용 사실을 증명할 수 있는 인감처럼 사용될 수 있다.Digital seal for the message authentication code (patent registration number 1017401790000) is a two-dimensional barcode that contains any data, either online or offline, is scanned, barcode data is read, and the barcode data and the built-in secret key hash It is a tool that generates a message authentication code based. The digital seal has multiple sensors to scan barcodes, and a small computer is built in to store the secret key and generate a hash-based message authentication code. The digital seal can guarantee the authenticity of the message and the integrity of the message, either online or offline. For example, when applied to online banking, it can provide secure transactions against MitM and MitB attacks, improve security against secret key management, and apply to offline documents such as borrowings, as a seal to prove borrowing Can be used.

한편, 미국의 IT 분야 리서치 기업인 가트너에 따르면, 2020년이 되면 거의 200억 대에 가까운 사물인터넷 디바이스가 인터넷에 연결이 될 것이고, 사물인터넷 제품 및 서비스 공급 업체는 약 3000억 달러가 넘는 매출을 올리게 될 것이라고 전망하였다. Shodan은 세계 최초 사물인터넷 검색엔진이며, 검색 필터에 따라서 사물인터넷 디바이스의 헤더 정보를 검색할 수 있다. 그런데 이 헤더 정보에는 관리자 아이디와 기본 비밀번호가 노출되어 있는 경우가 많으며, 이에 따라 공격자는 공격 가능한 사물인터넷 디바이스를 쉽게 검색할 수 있다. 이에 따라 다양한 보안 솔루션, 안전한 사물인터넷 비밀키 관리 프로토콜, 접근제어 프로토콜 등이 필요한 상황이다.Meanwhile, according to Gartner, an IT research firm in the United States, by 2020, nearly 20 billion IoT devices will be connected to the Internet, and IoT product and service providers will generate over $300 billion in revenue. Expected to be. Shodan is the world's first IoT search engine, and can search header information of IoT devices according to a search filter. However, in this header information, an administrator ID and a default password are often exposed, and accordingly, an attacker can easily search for an attackable IoT device. Accordingly, various security solutions, secure IoT key management protocol, and access control protocol are needed.

본 발명이 해결하고자 하는 과제는 사용자가 사물인터넷 디바이스를 자신의 게이트웨이(홈 네트워크)에 안전하게 등록해주는 것을 보장하는 기술을 제안한다. The problem to be solved by the present invention is to propose a technique that ensures that a user securely registers an IoT device with his or her gateway (home network).

디지털 인감을 이용한 인증 방법은, 게이트웨이에서 디지털 인감을 통하여 획득된 디바이스의 해시 기반 메시지 인증 코드에 기초하여 상기 디바이스를 등록하는 단계; 및 상기 게이트웨이에서 키를 생성함에 따라 상기 게이트웨이에서 생성된 키와 상기 등록된 디바이스에서 생성된 키를 비교한 결과에 기초하여 세션키를 설정하고, 상기 등록된 디바이스와 상기 게이트웨이 간 상기 설정된 세션키를 공유하는 단계를 포함할 수 있다. An authentication method using a digital seal includes registering a device based on a hash-based message authentication code of a device obtained through a digital seal at a gateway; And setting a session key based on a result of comparing the key generated at the gateway and the key generated at the registered device as the key is generated at the gateway, and setting the session key between the registered device and the gateway. And sharing.

상기 인증 방법은, 상기 게이트웨이에 특정 상황이 발생하였을 경우, 사용자에게 상기 디바이스에 접근을 허용하는 단계를 더 포함하고, 상기 게이트웨이에 특정 상황이 발생하였을 경우, 사용자에게 상기 디바이스에 접근을 허용하는 단계는, 상기 사용자에 의하여 상기 디바이스에 포함된 바코드가 디지털 인감으로 스캔되어 상기 디바이스에 대한 해시 기반 인증 코드가 획득되고, 무선 통신을 통하여 상기 디바이스에 상기 획득된 디바이스에 대한 해시 기반 인증 코드가 상기 디바이스로 전송되는 단계; 및 상기 디바이스에서 상기 사용자로부터 전송받은 디바이스에 대한 해시 기반 인증 코드와 상기 디바이스의 비밀키를 공유함에 따라 저장된 해시 기반 인증 코드를 비교함에 따른 비교 결과 각각의 해시 기반 인증 코드가 동일한 경우, 사용자의 접근을 허용하는 단계를 포함할 수 있다. The authentication method further includes allowing a user to access the device when a specific situation occurs in the gateway, and allowing the user to access the device when a specific situation occurs in the gateway. The barcode included in the device is scanned by the user with a digital seal to obtain a hash-based authentication code for the device, and a hash-based authentication code for the device obtained through the wireless communication is the device. Transmitted to; And a comparison result of comparing the hash-based authentication code for the device transmitted from the user and the stored hash-based authentication code by sharing the secret key of the device, when each hash-based authentication code is the same, access of the user It may include the step of allowing.

상기 등록된 디바이스와 상기 게이트웨이 간 상기 설정된 세션키를 공유하는 단계는, 상기 게이트웨이에서 상기 게이트웨이의 개인키와 상기 등록된 디바이스의 공개키를 이용하여 ECDH 키를 생성하고, 상기 게이트웨이의 공개키, 상기 게이트웨이에서 생성된 디바이스의 해시 기반 메시지 인증 코드를 상기 등록된 디바이스에게 전달하고, 상기 등록된 디바이스에서 상기 게이트웨이로부터 전달받은 공개키와 디바이스의 개인키를 이용하여 ECDH 키를 생성하고, 상기 게이트웨이에서 생성된 ECDH 키와 상기 디바이스에서 생성된 ECDH 키가 동일할 경우, 상기 ECDH 키를 세션키로 사용하는 단계를 포함할 수 있다. In the step of sharing the established session key between the registered device and the gateway, the gateway generates an ECDH key using the private key of the gateway and the public key of the registered device, and the public key of the gateway, the The hash-based message authentication code of the device generated at the gateway is transmitted to the registered device, and the ECDH key is generated using the public key and the device's private key received from the gateway at the registered device, and generated at the gateway If the generated ECDH key and the ECDH key generated by the device are the same, the method may include using the ECDH key as a session key.

상기 게이트웨이에서 디지털 인감을 통하여 획득된 디바이스의 해시 기반 메시지 인증 코드에 기초하여 상기 디바이스를 등록하는 단계는, 사용자가 디지털 인감을 발급받음에 따라 상기 사용자에 의하여 상기 디지털 인감으로 상기 디바이스의 바코드가 스캔되어 디바이스에 대한 해시 기반 메시지 인증 코드가 획득되고, 상기 게이트웨이로 상기 획득된 디바이스에 대한 해시 기반 메시지 인증 코드가 입력되는 단계를 포함할 수 있다. The step of registering the device based on the hash-based message authentication code of the device obtained through the digital seal at the gateway, scans the barcode of the device with the digital seal by the user as the user receives the digital seal. And obtaining a hash-based message authentication code for the device, and inputting a hash-based message authentication code for the obtained device to the gateway.

상기 게이트웨이에서 디지털 인감을 통하여 획득된 디바이스의 해시 기반 메시지 인증 코드에 기초하여 상기 디바이스를 등록하는 단계는, 상기 게이트웨이에서, 상기 디바이스로부터 전달받은 디바이스의 공개키, 맥(MAC) 주소, 시리얼 번호를 포함하는 디바이스의 정보에 기초하여 상기 디바이스의 해시 기반 메시지 인증 코드를 생성하고, 상기 생성된 디바이스의 해시 기반 메시지 인증 코드와 사용자로부터 입력받은 디바이스에 대한 해시 기반 메시지 인증 코드를 비교한 비교 결과에 기초하여 상기 디바이스를 등록하는 단계를 포함할 수 있다. The step of registering the device based on the hash-based message authentication code of the device obtained through the digital seal at the gateway, in the gateway, the public key, MAC (MAC) address, serial number of the device received from the device Based on the comparison result of generating the hash-based message authentication code of the device based on the information of the included device, and comparing the hash-based message authentication code of the generated device with the hash-based message authentication code for the device received from the user It may include the step of registering the device.

디지털 인감을 이용한 인증 방법을 위한 인증 시스템은, 컴퓨터에서 판독 가능한 명령을 실행하도록 구현되는 적어도 하나의 프로세서를 포함하고, 상기 적어도 하나의 프로세서는, 게이트웨이에서 디지털 인감을 통하여 획득된 디바이스의 해시 기반 메시지 인증 코드에 기초하여 상기 디바이스를 등록하는 과정; 및 상기 게이트웨이에서 키를 생성함에 따라 상기 게이트웨이에서 생성된 키와 상기 등록된 디바이스에서 생성된 키를 비교한 결과에 기초하여 세션키를 설정하고, 상기 등록된 디바이스와 상기 게이트웨이 간 상기 설정된 세션키를 공유하는 과정을 처리할 수 있다. An authentication system for an authentication method using a digital seal includes at least one processor that is implemented to execute instructions readable by a computer, wherein the at least one processor is a hash-based message of a device obtained through a digital seal at a gateway Registering the device based on an authentication code; And setting a session key based on a result of comparing the key generated at the gateway and the key generated at the registered device as the key is generated at the gateway, and setting the session key between the registered device and the gateway. You can handle the process of sharing.

디지털 인감을 이용하여 디바이스를 홈 네트워크에 등록시킴에 따라 통신을 위한 세션키를 디바이스와 게이트웨이가 공유함으로써 안전하게 통신을 수행할 수 있도록 제공할 수 있다. As the device is registered to the home network using a digital seal, a session key for communication can be shared between the device and the gateway so that communication can be safely performed.

악성 해커가 사용자의 가정 내부 또는 외부에서 사용자의 디바이스에 접근하거나 홈 네트워크에 접근하는 것을 방어할 수 있다. Malicious hackers can prevent users from accessing your device or accessing your home network from inside or outside your home.

도 1은 바코드를 나타낸 예이다.
도 2는 일 실시예에 있어서, 디바이스를 게이트웨이에 등록하는 과정을 설명하기 위한 흐름도이다.
도 3은 일 실시예에 있어서, 다바이스와 게이트웨이가 세션키를 공유하는 과정을 설명하기 위한 흐름도이다.
도 4는 일 실시예에 있어서, 사용자가 디바이스에 접근하는 과정을 설명하기 위한 흐름도이다.
도 5는 일 실시예에 따른 인증 시스템의 구성을 설명하기 위한 블록도이다.1 is an example showing a barcode.
2 is a flowchart for describing a process of registering a device with a gateway in one embodiment.
3 is a flowchart for explaining a process in which a device and a gateway share a session key in one embodiment.
4 is a flowchart illustrating a process of a user accessing a device in one embodiment.
5 is a block diagram illustrating the configuration of an authentication system according to an embodiment.

이하, 실시예를 첨부한 도면을 참조하여 상세히 설명한다.Hereinafter, embodiments will be described in detail with reference to the accompanying drawings.

도 2는 일 실시예에 있어서, 디바이스를 게이트웨이에 등록하는 과정을 설명하기 위한 흐름도이다.2 is a flowchart for describing a process of registering a device with a gateway in one embodiment.

실시예에서는 디지털 인감을 발급하고, 디지털 인감과 네트워크의 비밀키를 공유하여 디바이스를 등록할 수 있다. 사용자는 정부, 은행, 제3 신뢰 기관(Trusted Third Party) 등의 공신력이 있는 기관으로부터 2차원의 바코드를 스캔할 수 있고, 비밀키와 해시 기반 메시지 인증 코드 알고리즘을 내장하고 있는 디지털 인감을 발급 받는다. 이때, 사용자는 비밀키가 명시되어 있는 문서도 같이 받는다. 디지털 인감의 비밀키는 사용자마다 다르며, 발급받은 기관의 대면 인증을 통해 변경할 수 있다. In an embodiment, a digital seal is issued, and a device can be registered by sharing the digital seal and the secret key of the network. Users can scan two-dimensional barcodes from public institutions such as governments, banks, and trusted third parties, and are issued digital seals that incorporate secret key and hash-based message authentication code algorithms. . At this time, the user also receives a document in which the secret key is specified. The secret key of the digital seal is different for each user, and can be changed through face-to-face authentication of the issued institution.

사용자는 디지털 인감의 비밀키가 명시되어 있는 문서를 참조하여 게이트웨이에 비밀키를 직접 입력할 수 있다. 게이트웨이는 비밀키를 안전하게 보관함으로써 사용자의 디지털 인감과 네트워크의 비밀키 공유를 완료할 수 있다. The user can enter the secret key directly into the gateway by referring to the document in which the secret key of the digital seal is specified. By keeping the secret key secure, the gateway can complete the digital seal of the user and share the secret key of the network.

사용자는 새로운 디바이스를 구입할 수 있다. 패키지 내에는 디바이스의 공개키, 맥(MAC) 주소, 시리얼번호로 이루어진 2차원의 바코드가 스티커 또는 종이 형식으로 포함될 수 있다. Users can purchase new devices. The package may include a two-dimensional barcode consisting of a device's public key, MAC address, and serial number in a sticker or paper format.

도 1을 참고하면, 바코드(10)를 나타낸 예이다. 예를 들면, 대한민국 등록특허번호 제10-1740179호에 제시된 바와 같이, 디지털 인감은 2차원 바코드를 스캔하기 위하여 구성된 복수 개의 센서를 통하여 2차원 바코드를 스캔함에 따른 바코드 데이터로부터 해시 기반의 메시지 인증 코드를 생성하는 처리하고, 바코드 데이터로부터 생성된 해시 기반의 메시지 인증 코드의 일부를 디스플레이하는 구성을 포함할 수 있다. 이때, 디지털 인감은 내부에 소형 컴퓨터가 내장되고, 해시 기반의 메시지 인증 코드를 생성하기 위한 키를 포함할 수 있다. 일례로, 바코드는 2차원의 검은색과 흰색으로 구성될 수 있으며, 흰색과 검은색의 구별이 가능한 광센서를 이용하여 2차원 바코드가 스캔될 수 있다.Referring to Figure 1, it is an example showing the barcode (10). For example, as shown in Korean Patent Registration No. 10-1740179, the digital seal hash-based message authentication code from barcode data by scanning a 2D barcode through a plurality of sensors configured to scan a 2D barcode. It may include a configuration for processing, and displaying a portion of the hash-based message authentication code generated from the barcode data. In this case, the digital seal may include a key for generating a hash-based message authentication code in which a small computer is embedded. For example, the barcode may be composed of two-dimensional black and white, and the two-dimensional barcode may be scanned using an optical sensor capable of distinguishing between white and black.

사용자(210)는 사용자의 디지털 인감을 이용하여 2차원의 바코드를 스캔하여 해시 기반 메시지 인증 코드를 획득할 수 있다(241, 242). 예를 들면, 사용자는 디지털 인감으로 디바이스(220)의 2차원 바코드를 스캔할 수 있다. The user 210 may obtain a hash-based message authentication code by scanning a two-dimensional barcode using the user's digital seal (241, 242). For example, the user can scan the two-dimensional barcode of the device 220 with a digital seal.

사용자(210)는 디지털 인감으로 바코드를 스캔함에 따라 획득된 인증 코드를 게이트웨이에 입력할 수 있다(243). 이때, 인증 코드는 디바이스(예를 들면, 사물인터넷 디바이스) 등록을 위한 비밀번호 역할을 수행할 수 있다. 그리고, 사용자는 디바이스의 전원을 온(On)할 수 있다. 디바이스(220)는 자동으로 게이트웨이(230)에 공개키, 맥 주소 또는 시리얼 번호를 전송할 수 있다(244). The user 210 may input the authentication code obtained by scanning the barcode with a digital seal into the gateway (243). At this time, the authentication code may serve as a password for registering a device (for example, an IoT device). And, the user can turn on the power of the device (On). The device 220 may automatically transmit the public key, MAC address, or serial number to the gateway 230 (244).

게이트웨이(230)는 해시 기반 메시지 인증 코드 알고리즘에 기반하여 디바이스(220)로부터 전송받은 공개키, 맥 주소 또는 시리얼 번호를 이용하여 해시 기반 메시지 인증 코드를 생성할 수 있다(245). 게이트웨이(230)는 생성된 디바이스의 해시 기반 메시지 인증 코드와 사용자로부터 입력받은 디바이스에 대한 메시지 인증 코드를 비교할 수 있다(246). 이때, 게이트웨이(230)는 각각의 메시지 인증 코드를 비교하여 디바이스의 등록 여부를 결정할 수 있다. The gateway 230 may generate a hash-based message authentication code using the public key, MAC address, or serial number received from the device 220 based on the hash-based message authentication code algorithm (245). The gateway 230 may compare the hash-based message authentication code of the generated device with the message authentication code for the device received from the user (246). At this time, the gateway 230 may compare each message authentication code to determine whether to register the device.

게이트웨이(230)는 생성된 디바이스의 해시 기반 메시지 인증 코드와 사용자로부터 입력받은 디바이스에 대한 메시지 인증 코드를 비교한 결과 동일할 경우, 게이트웨이(230)에 디바이스(220)를 등록할 수 있고, 동일하지 않을 경우, 게이트웨이(230)에 디바이스(220)를 등록하지 않는다. 이러한 과정을 통하여 안전하게 디바이스(220)를 게이트웨이(230)에 등록시킬 수 있다.When the gateway 230 compares the hash-based message authentication code of the generated device with the message authentication code of the device input from the user, the gateway 230 may register the device 220 with the gateway 230 and is not the same. Otherwise, the device 220 is not registered with the gateway 230. Through this process, the device 220 may be safely registered with the gateway 230.

도 3은 일 실시예에 있어서, 다바이스와 게이트웨이의 세션키를 공유하는 과정을 설명하기 위한 흐름도이다. 3 is a flowchart for explaining a process of sharing a session key of a device and a gateway in one embodiment.

게이트웨이(230)와 게이트웨이(230)에 등록된 디바이스(220)는 통신을 위한 세션키를 공유하여 안전하게 통신을 수행할 수 있다. 게이트웨이(230)는 게이트웨이의 개인키(230)와 디바이스(220)로부터 전달받은 공개키를 이용하여 ECDH(Elliptic Curve Diffie Hellman) 키를 생성할 수 있다(310). 게이트웨이(230)는 게이트웨이의 공개키, 해시 기반 메시지 인증 코드를 디바이스(220)로 전송할 수 있다(311). 여기서, 해시 기반 메시지 인증 코드는 도 2에서 설명한 바와 같이, 디바이스(220)로부터 전달받은 공개키, 맥 주소 또는 시리얼 번호를 이용하여 생성된 코드일 수 있다. The gateway 230 and the device 220 registered in the gateway 230 can safely communicate by sharing a session key for communication. The gateway 230 may generate an Elliptic Curve Diffie Hellman (ECDH) key using the private key 230 of the gateway and the public key received from the device 220 (310). The gateway 230 may transmit the gateway's public key and hash-based message authentication code to the device 220 (311 ). Here, the hash-based message authentication code may be a code generated using a public key, a MAC address, or a serial number received from the device 220, as described in FIG. 2.

디바이스(220)는 게이트웨이(230)로부터 전달받은 공개키와 디바이스(220)의 개인키를 이용하여 ECDH 키를 생성할 수 있다(312). ECDH 알고리즘에 따라 게이트웨이(230)에서 생성한 ECDH 키와 디바이스(220)에서 생성한 ECDH 키는 동일하다. 이와 같이 생성된 ECDH 키를 통신을 위한 세션키로 사용할 수 있다. 디바이스(220)는 전송받은 해시 기반 메시지 인증 코드를 디바이스 내에 저장할 수 있다(313). 이를 통해 안전하게 게이트웨이(230)와 디바이스(220)가 세션키를 공유할 수 있고, 상기 세션키를 이용하여 안전하게 통신을 수행할 수 있다. 다시 말해서, 게이트웨이(230)에 등록된 디바이스들 간에 세션키를 이용하여 통신을 수행할 수 있다. 여기서, 세션키 공유에 사용된 ECDH는 RSA 등과 같은 공개키 알고리즘으로 대체될 수 있으며, 공개키 알고리즘뿐만 아니라 세션키 공유에 사용할 수 있는 다른 알고리즘으로 대체될 수 있다. The device 220 may generate an ECDH key using the public key received from the gateway 230 and the private key of the device 220 (312 ). According to the ECDH algorithm, the ECDH key generated by the gateway 230 and the ECDH key generated by the device 220 are the same. The generated ECDH key can be used as a session key for communication. The device 220 may store the transmitted hash-based message authentication code in the device (313). Through this, the gateway 230 and the device 220 can safely share the session key, and securely perform communication using the session key. In other words, communication may be performed between devices registered in the gateway 230 using a session key. Here, the ECDH used for session key sharing may be replaced with a public key algorithm such as RSA, and may be replaced with other algorithms that can be used for sharing the session key as well as the public key algorithm.

도 4는 일 실시예에 있어서, 사용자가 디바이스에 접근하는 과정을 설명하기 위한 흐름도이다.4 is a flowchart illustrating a process of a user accessing a device in one embodiment.

게이트웨이(230)에 특정 상황이 발생하였을 경우, 사용자(210)가 디바이스(220)에 직접 접근해야 하는 경우가 발생할 수 있다. 예를 들면, 게이트웨이(230)가 오류로 인해 작동을 멈추거나 접근할 수 없을 때, 사용자(210)가 디바이스(220)의 옵션 설정, 리셋 등을 위해 디바이스(220)에 직접 접근해야 하는 경우가 발생할 수 있다. 이때. 사용자(210)는 디바이스(220)의 패키지에 포함되어 있던 바코드를 사용자의 디지털 인감으로 스캔하여 디바이스(220)에 대한 해시 기반 메시지 인증 코드를 획득할 수 있다(410, 411). 그리고 사용자(210)는 디지털 인감을 통하여 무선 통신(예를 들면, WIFI, Bluetooth 등)을 통해 디바이스(220)에 대한 해시 기반 메시지 인증 코드를 전송할 수 있다(412). When a specific situation occurs in the gateway 230, a case in which the user 210 needs to directly access the device 220 may occur. For example, when the gateway 230 stops working or cannot be accessed due to an error, the user 210 may need to directly access the device 220 for setting, resetting, or the like of the device 220 Can occur. At this time. The user 210 may acquire a hash-based message authentication code for the device 220 by scanning the barcode included in the package of the device 220 with the user's digital seal (410, 411). In addition, the user 210 may transmit a hash-based message authentication code to the device 220 through wireless communication (eg, WIFI, Bluetooth, etc.) through a digital seal (412).

디바이스(220)는 전송받은 디바이스(220)에 대한 해시 기반 메시지 인증 코드와 기 저장된 해시 기반 메시지 인증 코드를 비교할 수 있다(413). 디바이스(220)는 사용자(210)로부터 전달받은 디바이스(220)에 대한 해시 기반 메시지 인증 코드와 비밀키를 공유할 때 저장했었던 해시 기반 메시지 인증 코드를 비교할 수 있다. 디바이스(220)는 사용자(210)로부터 전달받은 해시 기반 메시지 인증 코드와 비밀키를 공유함에 따라 저장해놓았던 해시 기반 메시지 인증 코드가 일치할 경우, 사용자(210)의 접근을 허락할 수 있다. 또한, 디바이스(220)는 사용자(210)로부터 전달받은 해시 기반 메시지 인증 코드와 비밀키를 공유함에 따라 저장해놓았던 해시 기반 메시지 인증 코드가 일치하지 않는다면, 사용자(210)의 접근을 불허할 수 있다. 사용자(210)는 해시 기반 메시지 인증 코드를 통해 디바이스(220)와 직접적으로 통신을 수행할 수 있게 된다.The device 220 may compare the hash-based message authentication code for the transmitted device 220 with a pre-stored hash-based message authentication code (413 ). The device 220 may compare the hash-based message authentication code for the device 220 received from the user 210 and the hash-based message authentication code stored when sharing the secret key. The device 220 may allow access of the user 210 when the stored hash-based message authentication code matches the hash-based message authentication code received from the user 210 and the stored secret key. In addition, the device 220 may disallow access of the user 210 if the stored hash-based message authentication code does not match as the secret key and the hash-based message authentication code received from the user 210 are shared. The user 210 can directly communicate with the device 220 through a hash-based message authentication code.

도 5는 일 실시예에 따른 인증 시스템의 구성을 설명하기 위한 블록도이다.5 is a block diagram illustrating the configuration of an authentication system according to an embodiment.

인증 시스템은 사용자(210), 디바이스(220) 및 게이트웨이(230)간 데이터의 송수신을 통하여 네트워크 환경에서 디지털 인감을 이용한 인증 및 키 설정 프로토콜을 제공할 수 있다. 이때, 인증 시스템은 네트워크 환경으로 사물 인터넷 환경에서 사물 인터넷 디바이스(예를 들면, 사물 인터넷 디바이스)(220)를 안전하게 관리하는 프로토콜을 제공하여 디바이스(220)가 게이트웨이(230)에 안전하게 접속될 수 있다.The authentication system may provide authentication and key setting protocols using a digital seal in a network environment through transmission and reception of data between the user 210, the device 220, and the gateway 230. In this case, the authentication system provides a protocol for safely managing the Internet of Things device (eg, Internet of Things device) 220 in the Internet of Things environment as a network environment, so that the device 220 can be safely connected to the gateway 230. .

사용자(210)는 디지털 인감을 이용하여 자신의 디바이스(220)만 게이트웨이(예를 들면, 홈 네트워크, 사물 인터넷 네트워크 등)(230)에 안전하게 등록시킬 수 있다. 다시 말해서, 공격자의 디바이스는 게이트웨이(230)에 등록시킬 수 없다. 이와 같이 등록된 적어도 하나 이상의 디바이스(220)는 안전하게 세션키를 공유하여 통신을 수행할 수 있다. 또한 사용자(210)가 직접 디바이스(220)에 안전하게 접근을 할 수 있다. 결과적으로, 사물인터넷 분야에서 안전한 통신 프로토콜을 제공할 수 있다. The user 210 can safely register his/her own device 220 to the gateway (for example, a home network, an Internet of Things network) 230 using a digital seal. In other words, the attacker's device cannot register with the gateway 230. The at least one device 220 registered as described above can securely share the session key to perform communication. In addition, the user 210 can safely access the device 220 directly. As a result, it is possible to provide a secure communication protocol in the IoT field.

인증 시스템은 사용자(210)가 디바이스(220)를 자신의 게이트웨이(홈 네트워크)(230)에 안전하게 등록해주는 것을 보장한다. 사용자(210)는 디지털 인감을 이용하여 엔트로피(무질서도)가 높은 비밀번호를 생성할 수 있고, 상기 생성된 비밀번호를 이용하여 안전하게 디바이스(220)를 홈 네트워크에 등록시킬 수 있다. 등록 후에는 통신을 위한 세션키를 디바이스(220)와 게이트웨이(230)가 안전하게 공유함에 따라 안전한 통신이 가능하다. The authentication system ensures that the user 210 securely registers the device 220 with his gateway (home network) 230. The user 210 can generate a password having a high entropy (disorder) using a digital seal, and can safely register the device 220 to the home network using the generated password. After registration, secure communication is possible as the device 220 and the gateway 230 securely share the session key for communication.

또한, 사용자(210)가 원한다면 직접 디바이스(220)에 접근할 수도 있다. 이를 통해 악성 해커가 사용자의 집 내부 또는 외부에서 사용자의 디바이스(220)에 접근하거나 게이트웨이에 접근하는 것을 방어할 수 있다. 이에 따라, DDoS 또는 멀웨어 확산, 개인 사생활 침해, 물리적 피해 등을 방어할 수 있다.In addition, the user 210 may directly access the device 220 if desired. Through this, a malicious hacker can prevent access to the user's device 220 or the gateway from inside or outside the user's home. Accordingly, it is possible to prevent DDoS or malware spread, invasion of personal privacy, and physical damage.

실시예에 따른 기술을 통하여 다음과 같은 보안적 측면의 기술적 효과가 도출될 수 있다. Through the technology according to the embodiment, the following technical effects of the security aspect may be derived.

(1)사용자는 복수의 사물인터넷 디바이스의 비밀번호를 기억할 필요가 없다. 필요할 때마다 디지털 인감으로 사물인터넷 디바이스의 바코드를 스캔하면 비밀번호를 알 수 있기 때문에 복수의 디바이스의 비밀번호를 쉽게 관리할 수 있다. (1) Users do not need to remember passwords of multiple IoT devices. You can easily manage passwords for multiple devices by scanning the barcode of the IoT device with a digital seal whenever you need it.

(2)디지털 인감을 통해 생성되는 해시 기반 메시지 인증 코드는 비밀번호 역할을 하는데, 엔트로피가 높기 때문에, 공격자가 쉽게 공격할 수 없으므로 공격자가 사용자의 집 내부뿐만 아니라 외부에서 사용자의 사물인터넷 디바이스 또는 홈 네트워크에 접근하는 것을 차단할 수 있다. (2) The hash-based message authentication code generated through the digital seal acts as a password, and because the entropy is high, an attacker cannot easily attack it, so an attacker can use the user's Internet of Things device or home network from inside and outside the user's home. You can block access to

(3)또한, 안전하게 통신을 위한 비밀키를 공유할 수 있으므로, 디바이스 간에 또는 디바이스와 게이트웨이(홈 네트워크)간에 안전한 통신을 보장한다. 따라서, 사용자의 사물인터넷 디바이스가 DDoS 또는 멀웨어 확산 등에 사용되거나, 개인의 사생활이 침해되거나, 스마트 온수기 또는 스마트 가스레인지를 통해 발생할 수 있는 화상 및 화재 사고를 방지할 수 있다. (3) In addition, since a secret key for secure communication can be shared, secure communication is ensured between devices or between a device and a gateway (home network). Accordingly, it is possible to prevent burn and fire accidents that may occur when a user's IoT device is used for DDoS or malware spread, personal privacy is infringed, or may occur through a smart water heater or a smart gas range.

(4)디바이스를 게이트웨이에 등록할 때, 디지털 인감을 이용하므로 MitM 공격에 강하다.(4) When registering a device with a gateway, it is resistant to MitM attacks because it uses a digital seal.

일 실시예에 따르면, 스마트 냉장고, 스마트 가스레인지, 스마트 교실, 스마트 아파트 등의 모든 사물인터넷 디바이스 및 서비스 분야에서 사물인터넷 시스템을 구축 및 등록할 때 사용될 수 있다. 특히, 보안이 더욱 중요한 국방, 국가기관, 국/공립 연구소 등에서 사용되는 사물인터넷 디바이스에 적용 및 응용될 수 있다.According to an embodiment, it may be used when building and registering an IoT system in all IoT devices and services such as a smart refrigerator, a smart gas range, a smart classroom, and a smart apartment. In particular, it can be applied to and applied to IoT devices used in defense, state agencies, and national/public research institutes where security is more important.

일 실시예에 따른 인증 시스템은 모든 사물인터넷을 사용하는 분야에서 사용될 수 있으며, 사물인터넷은 국내에서 한정적으로 사용되는 것이 아니라 국제적으로도 많이 사용되고 있고, 그에 따라 전 세계 사용자들이 안전하게 사물인터넷을 사용할 수 있도록 제공할 수 있다. 또한, 디지털 인감 생산에 있어서 대량 생산 시스템을 도입하여 적은 비용으로 생산할 수 있다면, 디지털 인감 구입에 따라 소요되는 경비가 감소될 수 있다. The authentication system according to an embodiment may be used in all fields using the Internet of Things, and the Internet of Things is not limitedly used in Korea, but is also widely used internationally, so that users worldwide can safely use the Internet of Things. Can be provided. In addition, if a mass production system can be introduced and produced at a low cost in the digital seal production, the cost required for purchasing the digital seal can be reduced.

이상에서 설명된 장치는 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시예들에서 설명된 장치 및 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPGA(field programmable gate array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적 컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 애플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.The device described above may be implemented with hardware components, software components, and/or combinations of hardware components and software components. For example, the devices and components described in the embodiments may include, for example, processors, controllers, arithmetic logic units (ALUs), digital signal processors (micro signal processors), microcomputers, field programmable gate arrays (FPGAs). , A programmable logic unit (PLU), microprocessor, or any other device capable of executing and responding to instructions, may be implemented using one or more general purpose computers or special purpose computers. The processing device may run an operating system (OS) and one or more software applications running on the operating system. In addition, the processing device may access, store, manipulate, process, and generate data in response to the execution of the software. For convenience of understanding, a processing device may be described as one being used, but a person having ordinary skill in the art, the processing device may include a plurality of processing elements and/or a plurality of types of processing elements. It can be seen that may include. For example, the processing device may include a plurality of processors or a processor and a controller. In addition, other processing configurations, such as parallel processors, are possible.

소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상 장치(virtual equipment), 컴퓨터 저장 매체 또는 장치에 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.The software may include a computer program, code, instruction, or a combination of one or more of these, and configure the processing device to operate as desired, or process independently or collectively You can command the device. Software and/or data may be interpreted by a processing device or to provide instructions or data to a processing device, of any type of machine, component, physical device, virtual equipment, computer storage medium or device. Can be embodied in The software may be distributed on networked computer systems, and stored or executed in a distributed manner. Software and data may be stored in one or more computer-readable recording media.

실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. The method according to the embodiment may be implemented in the form of program instructions that can be executed through various computer means and recorded on a computer-readable medium. The computer-readable medium may include program instructions, data files, data structures, or the like alone or in combination. The program instructions recorded on the medium may be specially designed and configured for the embodiment or may be known and usable by those skilled in computer software. Examples of computer-readable recording media include magnetic media such as hard disks, floppy disks, and magnetic tapes, optical media such as CD-ROMs, DVDs, and magnetic media such as floptical disks. -Hardware devices specially configured to store and execute program instructions such as magneto-optical media, and ROM, RAM, flash memory, and the like. Examples of program instructions include high-level language code that can be executed by a computer using an interpreter, etc., as well as machine language codes produced by a compiler.

이상과 같이 실시예들이 비록 한정된 실시예와 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.As described above, although the embodiments have been described by a limited embodiment and drawings, those skilled in the art can make various modifications and variations from the above description. For example, the described techniques are performed in a different order than the described method, and/or the components of the described system, structure, device, circuit, etc. are combined or combined in a different form from the described method, or other components Alternatively, even if replaced or substituted by equivalents, appropriate results can be achieved.

그러므로, 다른 구현들, 다른 실시예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.Therefore, other implementations, other embodiments, and equivalents to the claims are also within the scope of the following claims.

Claims (6)

디지털 인감을 이용한 인증 방법에 있어서,
게이트웨이에서 디지털 인감을 통하여 획득된 디바이스의 해시 기반 메시지 인증 코드에 기초하여 상기 디바이스를 등록하는 단계; 및
상기 게이트웨이에서 키를 생성함에 따라 상기 게이트웨이에서 생성된 키와 상기 등록된 디바이스에서 생성된 키를 비교한 결과에 기초하여 세션키를 설정하고, 상기 등록된 디바이스와 상기 게이트웨이 간 상기 설정된 세션키를 공유하는 단계
를 포함하고,
상기 게이트웨이에 특정 상황이 발생하였을 경우, 상기 디지털 인감을 통하여 상기 디바이스의 관리를 위한 상기 디바이스의 접근을 허용하는 단계
를 더 포함하고,
상기 등록된 디바이스와 상기 게이트웨이 간 상기 설정된 세션키를 공유하는 단계는,
상기 게이트웨이에서 상기 게이트웨이의 개인키와 상기 등록된 디바이스의 공개키를 이용하여 ECDH 키를 생성하고, 상기 게이트웨이의 공개키, 상기 게이트웨이에서 생성된 디바이스의 해시 기반 메시지 인증 코드를 상기 등록된 디바이스에게 전달하고, 상기 등록된 디바이스에서 상기 게이트웨이로부터 전달받은 공개키와 디바이스의 개인키를 이용하여 ECDH 키를 생성하고, 상기 게이트웨이에서 생성된 ECDH 키와 상기 디바이스에서 생성된 ECDH 키가 동일할 경우, 상기 ECDH 키를 세션키로 사용하는 단계
를 포함하고,
상기 게이트웨이에 특정 상황이 발생하였을 경우, 상기 디지털 인감을 통하여 상기 디바이스의 관리를 위한 상기 디바이스의 접근을 허용하는 단계는,
상기 디바이스에 포함된 바코드가 디지털 인감으로 스캔됨에 따라 획득된 디바이스에 대한 해시 기반 메시지 인증 코드가 무선 통신을 통하여 상기 디바이스로 전송되고, 상기 디바이스에서 상기 전송받은 디바이스에 대한 해시 기반 메시지 인증 코드와 상기 디바이스의 비밀키를 공유함에 따라 저장된 해시 기반 메시지 인증 코드를 비교한 비교 결과 각각의 해시 기반 메시지 인증 코드가 동일한 경우, 상기 디바이스의 옵션 설정, 리셋을 포함하는 디바이스의 관리를 위한 디바이스의 접근을 허용하는 단계
를 포함하는 인증 방법. In the authentication method using a digital seal,
Registering the device based on a hash-based message authentication code of a device obtained through a digital seal at a gateway; And
As the key is generated at the gateway, a session key is set based on a result of comparing the key generated at the gateway and the key generated at the registered device, and the session key is shared between the registered device and the gateway. Steps to
Including,
When a specific situation occurs in the gateway, allowing access to the device for management of the device through the digital seal
Further comprising,
The step of sharing the established session key between the registered device and the gateway,
The gateway generates an ECDH key using the private key of the gateway and the public key of the registered device, and delivers the public key of the gateway and a hash-based message authentication code of the device generated by the gateway to the registered device Then, the registered device generates an ECDH key using the public key received from the gateway and the private key of the device, and when the ECDH key generated in the gateway and the ECDH key generated in the device are the same, the ECDH Steps to use a key as a session key
Including,
When a specific situation occurs in the gateway, the step of allowing access to the device for management of the device through the digital seal,
As the barcode included in the device is scanned with a digital seal, a hash-based message authentication code for the device obtained is transmitted to the device through wireless communication, and the hash-based message authentication code for the device received from the device and the As a result of comparing the stored hash-based message authentication codes by sharing the device's secret key, if each hash-based message authentication code is the same, access to the device for management of the device including setting and resetting the device is allowed. Steps to
Authentication method comprising a. 삭제delete 삭제delete 제1항에 있어서,
상기 게이트웨이에서 디지털 인감을 통하여 획득된 디바이스의 해시 기반 메시지 인증 코드에 기초하여 상기 디바이스를 등록하는 단계는,
사용자가 디지털 인감을 발급받음에 따라 상기 사용자에 의하여 상기 디지털 인감으로 상기 디바이스의 바코드가 스캔되어 디바이스에 대한 해시 기반 메시지 인증 코드가 획득되고, 상기 게이트웨이로 상기 획득된 디바이스에 대한 해시 기반 메시지 인증 코드가 입력되는 단계
를 포함하는 인증 방법.According to claim 1,
Registering the device based on the hash-based message authentication code of the device obtained through the digital seal at the gateway,
As the user is issued a digital seal, the user's barcode is scanned with the digital seal by the user to obtain a hash-based message authentication code for the device, and a hash-based message authentication code for the obtained device to the gateway. Steps to enter
Authentication method comprising a. 제1항에 있어서,
상기 게이트웨이에서 디지털 인감을 통하여 획득된 디바이스의 해시 기반 메시지 인증 코드에 기초하여 상기 디바이스를 등록하는 단계는,
상기 게이트웨이에서, 상기 디바이스로부터 전달받은 디바이스의 공개키, 맥(MAC) 주소, 시리얼 번호를 포함하는 디바이스의 정보에 기초하여 상기 디바이스의 해시 기반 메시지 인증 코드를 생성하고, 상기 생성된 디바이스의 해시 기반 메시지 인증 코드와 사용자로부터 입력받은 디바이스에 대한 해시 기반 메시지 인증 코드를 비교한 비교 결과에 기초하여 상기 디바이스를 등록하는 단계
를 포함하는 인증 방법.According to claim 1,
Registering the device based on the hash-based message authentication code of the device obtained through the digital seal at the gateway,
In the gateway, a hash-based message authentication code of the device is generated based on the device information including the public key, MAC address, and serial number of the device received from the device, and the generated device hash-based Registering the device based on a result of comparing a message authentication code and a hash-based message authentication code for a device input from a user
Authentication method comprising a. 디지털 인감을 이용한 인증 방법을 위한 인증 시스템에 있어서,
컴퓨터에서 판독 가능한 명령을 실행하도록 구현되는 적어도 하나의 프로세서
를 포함하고,
상기 적어도 하나의 프로세서는,
게이트웨이에서 디지털 인감을 통하여 획득된 디바이스의 해시 기반 메시지 인증 코드에 기초하여 상기 디바이스를 등록하는 과정; 및
상기 게이트웨이에서 키를 생성함에 따라 상기 게이트웨이에서 생성된 키와 상기 등록된 디바이스에서 생성된 키를 비교한 결과에 기초하여 세션키를 설정하고, 상기 등록된 디바이스와 상기 게이트웨이 간 상기 설정된 세션키를 공유하는 과정을 포함하고,
상기 게이트웨이에 특정 상황이 발생하였을 경우, 상기 디지털 인감을 통하여 상기 디바이스의 관리를 위한 상기 디바이스의 접근을 허용하는 과정
을 더 포함하고,
상기 등록된 디바이스와 상기 게이트웨이 간 상기 설정된 세션키를 공유하는 과정은,
상기 게이트웨이에서 상기 게이트웨이의 개인키와 상기 등록된 디바이스의 공개키를 이용하여 ECDH 키를 생성하고, 상기 게이트웨이의 공개키, 상기 게이트웨이에서 생성된 디바이스의 해시 기반 메시지 인증 코드를 상기 등록된 디바이스에게 전달하고, 상기 등록된 디바이스에서 상기 게이트웨이로부터 전달받은 공개키와 디바이스의 개인키를 이용하여 ECDH 키를 생성하고, 상기 게이트웨이에서 생성된 ECDH 키와 상기 디바이스에서 생성된 ECDH 키가 동일할 경우, 상기 ECDH 키를 세션키로 사용하는 과정을 포함하고,
상기 게이트웨이에 특정 상황이 발생하였을 경우, 상기 디지털 인감을 통하여 상기 디바이스의 관리를 위한 상기 디바이스의 접근을 허용하는 과정은,
상기 디바이스에 포함된 바코드가 디지털 인감으로 스캔됨에 따라 획득된 디바이스에 대한 해시 기반 메시지 인증 코드가 무선 통신을 통하여 상기 디바이스로 전송되고, 상기 디바이스에서 상기 전송받은 디바이스에 대한 해시 기반 메시지 인증 코드와 상기 디바이스의 비밀키를 공유함에 따라 저장된 해시 기반 메시지 인증 코드를 비교한 비교 결과 각각의 해시 기반 메시지 인증 코드가 동일한 경우, 상기 디바이스의 옵션 설정, 리셋을 포함하는 디바이스의 관리를 위한 디바이스의 접근을 허용하는 과정을 포함하는,
인증 시스템.
In the authentication system for an authentication method using a digital seal,
At least one processor implemented to execute computer readable instructions
Including,
The at least one processor,
Registering the device based on the hash-based message authentication code of the device obtained through the digital seal at the gateway; And
As the key is generated at the gateway, a session key is set based on a result of comparing the key generated at the gateway and the key generated at the registered device, and the session key is shared between the registered device and the gateway. The process includes,
When a specific situation occurs in the gateway, a process of allowing access to the device for management of the device through the digital seal
Further comprising,
The process of sharing the established session key between the registered device and the gateway is:
The gateway generates an ECDH key using the private key of the gateway and the public key of the registered device, and delivers the public key of the gateway and a hash-based message authentication code of the device generated by the gateway to the registered device Then, the registered device generates an ECDH key using the public key received from the gateway and the private key of the device, and when the ECDH key generated in the gateway and the ECDH key generated in the device are the same, the ECDH And using the key as the session key.
When a specific situation occurs in the gateway, the process of allowing access to the device for managing the device through the digital seal is
As the barcode included in the device is scanned with a digital seal, a hash-based message authentication code for the device obtained is transmitted to the device through wireless communication, and the hash-based message authentication code for the device received from the device and the As a result of comparing the stored hash-based message authentication codes by sharing the device's secret key, if each hash-based message authentication code is the same, access to the device for management of the device including setting and resetting the device is allowed. Which includes the process of,
Authentication system.
KR1020180111994A 2018-09-19 2018-09-19 An authentication and key establishment protocol for internet of things using digitalseal Active KR102139589B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180111994A KR102139589B1 (en) 2018-09-19 2018-09-19 An authentication and key establishment protocol for internet of things using digitalseal

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180111994A KR102139589B1 (en) 2018-09-19 2018-09-19 An authentication and key establishment protocol for internet of things using digitalseal

Publications (2)

Publication Number Publication Date
KR20200032856A KR20200032856A (en) 2020-03-27
KR102139589B1 true KR102139589B1 (en) 2020-07-30

Family

ID=69959451

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180111994A Active KR102139589B1 (en) 2018-09-19 2018-09-19 An authentication and key establishment protocol for internet of things using digitalseal

Country Status (1)

Country Link
KR (1) KR102139589B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111934995A (en) * 2020-10-12 2020-11-13 湖南天琛信息科技有限公司 Internet of things gateway system

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101740179B1 (en) * 2016-02-18 2017-05-25 인하대학교 산학협력단 Digital legal seal for message authentication code

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101683251B1 (en) * 2014-03-27 2016-12-06 한국전자통신연구원 Method for setting sensor node and setting security in sensor network, and sensor network system including the same

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101740179B1 (en) * 2016-02-18 2017-05-25 인하대학교 산학협력단 Digital legal seal for message authentication code

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111934995A (en) * 2020-10-12 2020-11-13 湖南天琛信息科技有限公司 Internet of things gateway system

Also Published As

Publication number Publication date
KR20200032856A (en) 2020-03-27

Similar Documents

Publication Publication Date Title
JP7308180B2 (en) Advanced authentication technology and its application
JP6701364B2 (en) System and method for service-assisted mobile pairing for passwordless computer login
JP7391860B2 (en) Extending secure key storage for transaction confirmation and cryptocurrencies
JP7346426B2 (en) System and method for binding verifiable claims
US12126613B2 (en) System and method for pre-registration of FIDO authenticators
US10237070B2 (en) System and method for sharing keys across authenticators
US10091195B2 (en) System and method for bootstrapping a user binding
US10057269B1 (en) Systems and methods for device verification and authentication
Ahvanooey et al. Modern authentication schemes in smartphones and IoT devices: An empirical survey
Ali et al. An efficient three factor–based authentication scheme in multiserver environment using ECC
CA3035817A1 (en) System and method for decentralized authentication using a distributed transaction-based state machine
Luo et al. G2F: A secure user authentication for rapid smart home IoT management
Panos et al. A security evaluation of FIDO’s UAF protocol in mobile and embedded devices
WO2016188335A1 (en) Access control method, apparatus and system for user data
Karnatak et al. A secure signature‐based access control and key management scheme for fog computing‐based IoT‐enabled big data applications
US9143510B2 (en) Secure identification of intranet network
KR102139589B1 (en) An authentication and key establishment protocol for internet of things using digitalseal
US20240106653A1 (en) Secure authentication system
CN106576050A (en) Three-tier security and computing architecture
KR20090013616A (en) Server Authentication System and Method Using Server Authentication Code
Sun et al. An improved dynamic ID based remote user authentication scheme for multi-server environment
TW202445392A (en) An authentication protocol for establishing a momentary trust zone during a login and operation procedure
Nandhashree et al. Survey on Multi-Factor Authentication in Cloud Computing
WO2024210737A1 (en) A personal cryptograhic key generator for use in a computer implementable protocol for establishing a momentary trust zone
KR20200032857A (en) A secure password authentication protocol using digitalseal

Legal Events

Date Code Title Description
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20180919

PA0201 Request for examination
PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20200116

Patent event code: PE09021S01D

PG1501 Laying open of application
E701 Decision to grant or registration of patent right
PE0701 Decision of registration

Patent event code: PE07011S01D

Comment text: Decision to Grant Registration

Patent event date: 20200706

PR0701 Registration of establishment

Comment text: Registration of Establishment

Patent event date: 20200724

Patent event code: PR07011E01D

PR1002 Payment of registration fee

Payment date: 20200727

End annual number: 3

Start annual number: 1

PG1601 Publication of registration
PR1001 Payment of annual fee

Payment date: 20230621

Start annual number: 4

End annual number: 4

PR1001 Payment of annual fee

Payment date: 20240626

Start annual number: 5

End annual number: 5