KR101880999B1 - 사물 인터넷 네트워크의 엔드 투 엔드 데이터 암호화 시스템 및 방법 - Google Patents
사물 인터넷 네트워크의 엔드 투 엔드 데이터 암호화 시스템 및 방법 Download PDFInfo
- Publication number
- KR101880999B1 KR101880999B1 KR1020180017971A KR20180017971A KR101880999B1 KR 101880999 B1 KR101880999 B1 KR 101880999B1 KR 1020180017971 A KR1020180017971 A KR 1020180017971A KR 20180017971 A KR20180017971 A KR 20180017971A KR 101880999 B1 KR101880999 B1 KR 101880999B1
- Authority
- KR
- South Korea
- Prior art keywords
- internet gateway
- server
- data
- key
- object internet
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H04L67/2809—
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/562—Brokering proxy services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
사물 인터넷 네트워크의 엔드 투 엔드 데이터 암호화 시스템은 복수의 사물 인터넷 기기들, 엔드 투 엔드 서버, 사물 인터넷 게이트웨이, 플랫폼 서버 및 써드 파티 어플리케이션을 포함한다. 상기 엔드 투 엔드 서버는 상기 사물 인터넷 기기들의 소유자에 대해 암호화 대상 기기에 대한 정보를 포함한다. 상기 사물 인터넷 게이트웨이는 상기 사물 인터넷 기기들로부터 데이터를 수신하고, 상기 엔드 투 엔드 정책을 기초로 상기 수신한 데이터를 암호화한다. 상기 플랫폼 서버는 상기 사물 인터넷 게이트웨이로부터 상기 암호화된 데이터를 수신한다. 상기 써드 파티 어플리케이션은 상기 플랫폼 서버로부터 상기 암호화된 데이터를 수신하고, 상기 암호화된 데이터를 복호화한다.
Description
본 발명은 사물 인터넷 네트워크의 엔드 투 엔드 데이터 암호화 시스템 및 방법에 관한 것으로, 보다 구체적으로는 사물 인터넷 기기에서 생성된 데이터가 목적지에 도달할 때까지 암호화된 상태를 유지하는 사물 인터넷 네트워크의 엔드 투 엔드 데이터 암호화 시스템 및 방법에 관한 것이다.
사물 인터넷 네트워크 환경에서는 다수의 사물 인터넷 기기들이 센싱된 데이터를 사물 인터넷 게이트웨이를 통해 플랫폼 서버에 저장한다. 써드 파티 어플리케이션은 상기 플랫폼 서버에 저장된 데이터를 쿼리를 통해 수신하여 서비스를 제공한다.
이 때 상기 플랫폼 서버에 저장되는 데이터는 생체 데이터 등을 포함할 수 있고, 그에 따라 상기 사물 인터넷 기기 소유자의 프라이버시 침해의 우려가 있다.
따라서 본 발명은 종래 사물 인터넷 네트워크의 데이터 암호화 시스템 및 방법이 가지는 문제점들을 해결하기 위한 것으로, 본 발명이 이루고자 하는 목적은 사물 인터넷 기기에서 생성된 데이터가 목적지에 도달할 때까지 암호화된 상태를 유지할 수 있는 사물 인터넷 네트워크의 엔드 투 엔드 데이터 암호화 시스템을 제공하는 것이다.
본 발명이 이루고자 하는 다른 목적은 상기 엔드 투 엔드 데이터 암호화 시스템을 이용한 사물 인터넷 네트워크의 엔드 투 엔드 데이터 암호화 방법을 제공하는 것이다.
상기한 본 발명의 목적을 실현하기 위한 일 실시예에 따른 사물 인터넷 네트워크의 엔드 투 엔드 데이터 암호화 시스템은 복수의 사물 인터넷 기기들, 엔드 투 엔드 서버, 사물 인터넷 게이트웨이, 플랫폼 서버 및 써드 파티 어플리케이션을 포함한다. 상기 엔드 투 엔드 서버는 상기 사물 인터넷 기기들의 소유자에 대해 암호화 대상 기기에 대한 정보를 포함한다. 상기 사물 인터넷 게이트웨이는 상기 사물 인터넷 기기들로부터 데이터를 수신하고, 상기 엔드 투 엔드 정책을 기초로 상기 수신한 데이터를 암호화한다. 상기 플랫폼 서버는 상기 사물 인터넷 게이트웨이로부터 상기 암호화된 데이터를 수신한다. 상기 써드 파티 어플리케이션은 상기 플랫폼 서버로부터 상기 암호화된 데이터를 수신하고, 상기 암호화된 데이터를 복호화한다.
본 발명의 일 실시예에 있어서, 상기 사물 인터넷 게이트웨이가 턴 온되면, 상기 엔드 투 엔드 서버는 상기 사물 인터넷 게이트웨이를 인증할 수 있다. 상기 사물 인터넷 게이트웨이의 인증이 완료되면, 상기 사물 인터넷 게이트웨이는 상기 엔드 투 엔드 서버로 상기 엔드 투 엔드 정책의 구독 신청을 할 수 있다. 상기 엔드 투 엔드 정책의 상기 구독 신청이 완료되면, 상기 사물 인터넷 게이트웨이는 상기 엔드 투 엔드 서버로 암호키의 생성 요청을 할 수 있다. 상기 엔드 투 엔드 정책이 설정되면, 상기 엔드 투 엔드 서버는 상기 사물 인터넷 게이트웨이로 상기 엔드 투 엔드 정책을 배포할 수 있다.
본 발명의 일 실시예에 있어서, 상기 엔드 투 엔드 서버는 상기 사물 인터넷 게이트웨이를 인증하는 인증 서버, 상기 엔드 투 엔드 정책을 설정하는 정책 브로커 및 상기 사물 인터넷 게이트웨이가 상기 데이터를 암호화하기 위한 상기 암호키를 생성하는 엔드 투 엔드 키 서버를 포함할 수 있다.
본 발명의 일 실시예에 있어서, 상기 사물 인터넷 게이트웨이는 인증 요청 메시지를 상기 인증 서버로 전송할 수 있다. 상기 인증 서버는 제1 챌린지 값을 생성하여 상기 사물 인터넷 게이트웨이에 제공할 수 있다. 상기 사물 인터넷 게이트웨이는 상기 사물 인터넷 게이트웨이의 개인키를 이용하여 상기 제1 챌린지 값을 전자 서명하여 상기 사물 인터넷 게이트웨이의 식별자와 함께 상기 인증 서버로 전송할 수 있다. 상기 인증 서버는 상기 엔드 투 엔드 서버 내에 저장된 상기 사물 인터넷 게이트웨이의 상기 식별자와 대응하는 인증서를 이용하여 상기 전자 서명을 검증하고, 상기 인증 서버에서 생성한 상기 제1 챌린지 값과 상기 사물 인터넷 게이트웨이로부터 수신된 상기 제1 챌린지 값이 일치하는지 확인할 수 있다. 상기 인증 서버에서 생성한 상기 제1 챌린지 값과 상기 사물 인터넷 게이트웨이로부터 수신된 상기 제1 챌린지 값이 일치하는 경우, 상기 사물 인터넷 게이트웨이의 세션 식별자를 생성할 수 있다.
본 발명의 일 실시예에 있어서, 상기 인증 서버는 상기 세션 식별자를 상기 사물 인터넷 게이트웨이의 식별자 및 상기 소유자의 식별자와 맵핑하여 게이트웨이 세션 데이터베이스에 저장하고, 상기 세션 식별자를 상기 사물 인터넷 게이트웨이에 출력할 수 있다.
본 발명의 일 실시예에 있어서, 상기 사물 인터넷 게이트웨이는 상기 정책 브로커에 상기 세션 식별자를 포함하는 연결 요청을 전송할 수 있다. 상기 정책 브로커는 상기 연결 요청을 수신하면 상기 세션 식별자의 유효성을 체크하며, 상기 세션 식별자의 유효성 체크가 성공하면 상기 정책 브로커는 상기 사물 인터넷 게이트웨이에 연결 응답을 출력할 수 있다. 상기 사물 인터넷 게이트웨이는 상기 연결 응답을 수신하면 상기 정책 브로커에 상기 소유자 식별자를 포함하는 구독 요청을 전송할 수 있다. 상기 정책 브로커는 상기 구독 요청을 수신하면 상기 소유자 식별자가 상기 엔드 투 엔드 서버 내의 세션 데이터베이스에서 검색되는지 확인하고, 상기 소유자 식별자가 상기 엔드 투 엔드 서버 내의 세션 데이터베이스에서 검색되면 상기 정책 브로커는 상기 구독 요청을 허용할 수 있다.
본 발명의 일 실시예에 있어서, 상기 사물 인터넷 게이트웨이는 상기 엔드 투 엔드 키 서버에 상기 세션 식별자를 포함하는 키 생성 요청을 전송할 수 있다. 상기 엔드 투 엔드 키 서버는 상기 세션 데이터베이스에서 상기 세션 식별자를 검색하여 상기 사물 인터넷 게이트웨이의 세션을 확인할 수 있다. 상기 사물 인터넷 게이트웨이의 세션이 확인되면, 상기 엔드 투 엔드 키 서버는 제2 챌린지 값을 상기 사물 인터넷 게이트웨이에 출력할 수 있다. 상기 사물 인터넷 게이트웨이는 상기 세션 식별자와 상기 사물 인터넷 게이트웨이의 물리적 특성으로부터 도출된 값을 결합하여 제1 암호키를 유도하고, 상기 제1 암호키로 상기 제2 챌린지 값을 암호화하여 상기 엔드 투 엔드 키 서버로 출력할 수 있다. 상기 엔드 투 엔드 키 서버는 상기 엔드 투 엔드 서버에 저장된 상기 사물 인터넷 게이트웨이의 물리적 특성으로부터 도출된 값 및 상기 세션 식별자를 이용하여 제2 암호키를 유도하고, 상기 제2 암호키를 이용하여 상기 제1 암호키로 암호화된 상기 제2 챌린지 값을 복호화하며, 상기 엔드 투 엔드 키 서버가 생성한 상기 제2 챌린지 값과 복호화된 상기 제2 챌린지 값이 일치하는지 확인할 수 있다. 상기 엔드 투 엔드 키 서버가 생성한 상기 제2 챌린지 값과 복호화된 상기 제2 챌린지 값이 일치하면, 상기 제1 암호키 및 상기 제2 암호키의 식별자인 키 식별자를 생성할 수 있다.
본 발명의 일 실시예에 있어서, 상기 엔드 투 엔드 키 서버는 상기 키 식별자 및 상기 세션 식별자를 상기 엔드 투 엔드 서버 내의 엔드 투 엔드 키 데이터베이스에 저장하고, 상기 키 식별자를 상기 사물 인터넷 게이트웨이로 출력할 수 있다. 상기 사물 인터넷 게이트웨이는 수신한 상기 키 식별자 및 상기 키 식별자에 대응하는 상기 제1 암호키를 저장할 수 있다.
본 발명의 일 실시예에 있어서, 상기 사물 인터넷 게이트웨이는 상기 사물 인터넷 기기로부터 상기 데이터를 수신하면 상기 사물 인터넷 게이트웨이에 저장된 상기 엔드 투 엔드 정책을 기초로 상기 데이터의 암호화 대상 여부를 확인할 수 있다. 상기 데이터가 암호화 대상 데이터인 경우, 상기 사물 인터넷 게이트웨이는 상기 데이터를 상기 제1 암호키로 암호화하여 상기 키 식별자 및 상기 암호화된 데이터를 상기 플랫폼 서버로 출력할 수 있다. 상기 데이터가 상기 암호화 대상 데이터가 아닌 경우, 상기 사물 인터넷 게이트웨이는 상기 데이터를 암호화하지 않고 바로 상기 플랫폼 서버로 출력할 수 있다.
본 발명의 일 실시예에 있어서, 상기 써드 파티 어플리케이션은 상기 플랫폼 서버로부터 상기 데이터를 쿼리할 수 있다. 상기 쿼리한 상기 데이터에 상기 키 식별자가 포함된 경우, 상기 써드 파티 어플리케이션은 상기 엔드 투 엔드 키 서버에 상기 키 식별자를 전송할 수 있다. 상기 엔드 투 엔드 키 서버는 상기 써드 파티 어플리케이션으로부터 수신된 상기 키 식별자 및 상기 사물 인터넷 게이트웨이의 상기 물리적 특성으로부터 도출된 값을 이용하여 제3 암호키를 유도하고, 상기 제3 암호키를 상기 써드 파티 어플리케이션에 출력할 수 있다. 상기 써드 파티 어플리케이션은 상기 제3 암호키를 이용하여 상기 데이터를 복호화할 수 있다.
상기한 본 발명의 다른 목적을 실현하기 위한 일 실시예에 따른 사물 인터넷 네트워크의 엔드 투 엔드 데이터 암호화 방법은 복수의 사물 인터넷 기기들의 소유자에 대해 암호화 대상 기기에 대한 정보를 포함하는 엔드 투 엔드 정책을 설정하는 단계, 상기 사물 인터넷 기기들로부터 데이터를 수신하는 단계, 상기 엔드 투 엔드 정책을 기초로 상기 수신한 데이터를 암호화하는 단계, 상기 암호화된 데이터를 사물 인터넷 게이트웨이로부터 플랫폼 서버로 출력하는 단계 및 상기 플랫폼 서버로부터 상기 암호화된 데이터를 수신하여 상기 암호화된 데이터를 복호화하는 단계를 포함한다.
본 발명의 일 실시예에 있어서, 상기 사물 인터넷 게이트웨이가 턴 온되면, 엔드 투 엔드 서버는 상기 사물 인터넷 게이트웨이를 인증하는 단계, 상기 사물 인터넷 게이트웨이의 인증이 완료되면, 상기 사물 인터넷 게이트웨이는 상기 엔드 투 엔드 서버로 상기 엔드 투 엔드 정책의 구독 신청을 하는 단계, 상기 엔드 투 엔드 정책의 상기 구독 신청이 완료되면, 상기 사물 인터넷 게이트웨이는 상기 엔드 투 엔드 서버로 암호키의 생성 요청을 하는 단계, 상기 엔드 투 엔드 정책이 설정되면, 상기 엔드 투 엔드 서버는 상기 사물 인터넷 게이트웨이로 상기 엔드 투 엔드 정책을 배포하는 단계를 더 포함할 수 있다.
본 발명에 따른 사물 인터넷 네트워크의 엔드 투 엔드 데이터 암호화 시스템 및 방법에 따르면, 사물 인터넷 기기에서 생성된 데이터가 여러 노드를 거쳐 최종 목적지 어플리케이션에 도달할 때까지 암호화된 상태를 유지할 수 있다. 따라서, 상기 데이터의 중간 통신 단계에서 데이터를 탈취하더라도 상기 데이터는 암호화된 상태이므로 기기 소유자의 개인 정보를 보호할 수 있다.
또한, 상기 기기 소유자에 의해 설정된 암호화 정책이 자동으로 반영되어 상기 데이터에 선택적인 암호화가 적용될 수 있다.
도 1은 본 발명의 일 실시예에 따른 사물 인터넷 네트워크의 엔드 투 엔드 데이터 암호화 시스템을 나타내는 블록도이다.
도 2는 도 1의 엔드 투 엔드 데이터 암호화 시스템의 동작을 나타내는 개념도이다.
도 3은 도 1의 사물 인터넷 게이트웨이와 엔드 투 엔드 서버 사이의 엔드 투 엔드 정책 동기화를 나타내는 개념도이다.
도 4는 도 1의 사물 인터넷 게이트웨이와 엔드 투 엔드 서버 사이의 게이트웨이 인증을 나타내는 개념도이다.
도 5 및 도 6은 도 1의 사물 인터넷 게이트웨이와 엔드 투 엔드 서버 사이의 엔드 투 엔드 정책 구독 신청을 나타내는 개념도이다.
도 7은 도 1의 사물 인터넷 게이트웨이와 엔드 투 엔드 서버 사이의 엔드 투 엔드 키 생성을 나타내는 개념도이다.
도 8은 도 1의 사물 인터넷 게이트웨이의 선택적 데이터 암호화를 나타내는 개념도이다.
도 9는 도 1의 써드 파티 어플리케이션의 데이터 복호화를 나타내는 개념도이다.
도 2는 도 1의 엔드 투 엔드 데이터 암호화 시스템의 동작을 나타내는 개념도이다.
도 3은 도 1의 사물 인터넷 게이트웨이와 엔드 투 엔드 서버 사이의 엔드 투 엔드 정책 동기화를 나타내는 개념도이다.
도 4는 도 1의 사물 인터넷 게이트웨이와 엔드 투 엔드 서버 사이의 게이트웨이 인증을 나타내는 개념도이다.
도 5 및 도 6은 도 1의 사물 인터넷 게이트웨이와 엔드 투 엔드 서버 사이의 엔드 투 엔드 정책 구독 신청을 나타내는 개념도이다.
도 7은 도 1의 사물 인터넷 게이트웨이와 엔드 투 엔드 서버 사이의 엔드 투 엔드 키 생성을 나타내는 개념도이다.
도 8은 도 1의 사물 인터넷 게이트웨이의 선택적 데이터 암호화를 나타내는 개념도이다.
도 9는 도 1의 써드 파티 어플리케이션의 데이터 복호화를 나타내는 개념도이다.
본문에 개시되어 있는 본 발명의 실시예들에 대해서, 특정한 구조적 내지 기능적 설명들은 단지 본 발명의 실시예를 설명하기 위한 목적으로 예시된 것으로, 본 발명의 실시예들은 다양한 형태로 실시될 수 있으며 본문에 설명된 실시예들에 한정되는 것으로 해석되어서는 아니 된다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 형태를 가질 수 있는바, 특정 실시예들을 도면에 예시하고 본문에 상세하게 설명하고자 한다. 그러나 이는 본 발명을 특정한 개시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
제1, 제2 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로 사용될 수 있다. 예를 들어, 본 발명의 권리 범위로부터 이탈되지 않은 채 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다. 구성요소들 간의 관계를 설명하는 다른 표현들, 즉 "~사이에"와 "바로 ~사이에" 또는 "~에 이웃하는"과 "~에 직접 이웃하는" 등도 마찬가지로 해석되어야 한다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 기재된 특징, 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미이다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미인 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
한편, 어떤 실시예가 달리 구현 가능한 경우에 특정 블록 내에 명기된 기능 또는 동작이 순서도에 명기된 순서와 다르게 일어날 수도 있다. 예를 들어, 연속하는 두 블록이 실제로는 실질적으로 동시에 수행될 수도 있고, 관련된 기능 또는 동작에 따라서는 상기 블록들이 거꾸로 수행될 수도 있다.
이하, 첨부한 도면들을 참조하여, 본 발명의 바람직한 실시예를 보다 상세하게 설명하고자 한다. 도면상의 동일한 구성요소에 대해서는 동일한 참조부호를 사용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다.
도 1은 본 발명의 일 실시예에 따른 사물 인터넷 네트워크의 엔드 투 엔드 데이터 암호화 시스템을 나타내는 블록도이다.
도 1을 참조하면, 상기 엔드 투 엔드 데이터 암호화 시스템은 사물 인터넷 게이트웨이(100), 엔드 투 엔드 서버(200), 플랫폼 서버(300) 및 써드 파트 어플리케이션(400)을 포함한다.
상기 사물 인터넷 게이트웨이(100)는 복수의 사물 인터넷 기기들(ID1, ID2)로부터 데이터를 수신할 수 있다.
상기 사물 인터넷 게이트웨이(100)는 상기 사물 인터넷 기기들(ID1, ID2)로부터 수신한 데이터를 암호화하여 상기 플랫폼 서버(300)로 전송할 수 있다. 상기 사물 인터넷 게이트웨이(100)는 암호화 대상 기기에서 수신한 데이터를 선택적으로 암호화할 수 있다.
상기 엔드 투 엔드 서버(200)는 기기 소유자로부터 암호화 대상 기기에 대한 정보를 수신할 수 있다. 상기 기기 소유자는 유저 인터페이스를 이용하여 상기 엔드 투 엔드 서버(200)에 암호화 대상 기기를 선택할 수 있다.
상기 엔드 투 엔드 서버(200)는 인증 서버(220), 정책 브로커(240) 및 엔드 투 엔드 키 서버(260)를 포함한다. 상기 정책 브로커(240)는 상기 기기 소유자로부터 입력받은 암호화 대상 기기에 대한 정보를 엔드 투 엔드 정책으로서 상기 사물 인터넷 게이트웨이(100)로 전달할 수 있다.
상기 플랫폼 서버(300)는 상기 사물 인터넷 게이트웨이(100)로부터 전송되는 상기 데이터를 저장하고, 상기 써드 파티 어플리케이션(400)의 요청에 따라 상기 데이터를 상기 써드 파티 어플리케이션(400)으로 전달할 수 있다. 예를 들어, 상기 플랫폼 서버(300)는 클라우드 형태, 백엔드 형태일 수 있다.
상기 써드 파티 어플리케이션(400)은 상기 플랫폼 서버(300)로부터 전달 받은 상기 데이터를 복호화할 수 있다. 상기 써드 파티 어플리케이션(400)은 상기 복호화된 데이터를 이용하여 응용 서비스를 제공할 수 있다.
상기 사물 인터넷 게이트웨이(100)에서 암호화된 데이터는 복수의 단계들(multi-hop)을 경유하는 동안 계속하여 암호화된 상태를 유지하며, 상기 써드 파티 어플리케이션(400)에 도달한 후에 복호화될 수 있다.
도 2는 도 1의 엔드 투 엔드 데이터 암호화 시스템의 동작을 나타내는 개념도이다.
도 1 및 도 2를 참조하면, 상기 사물 인터넷 게이트웨이(100)가 턴 온되면, 상기 엔드 투 엔드 서버(200)는 상기 사물 인터넷 게이트웨이(100)를 인증한다.
상기 사물 인터넷 게이트웨이(100)의 인증이 완료되면, 상기 사물 인터넷 게이트웨이(100)는 상기 엔드 투 엔드 서버(200)로 엔드 투 엔드 정책 구독 신청을 한다.
상기 엔드 투 엔드 정책 구독 신청이 완료되면 상기 사물 인터넷 게이트웨이(100)는 상기 엔드 투 엔드 서버(200)로 엔드 투 엔드 키의 생성 요청을 한다. 상기 엔드 투 엔드 서버(200)는 상기 사물 인터넷 게이트웨이(100)의 세션 ID 및 상기 사물 인터넷 게이트웨이(100)의 물리적 특성을 나타내는 핑거프린트를 이용하여 상기 엔드 투 엔드 키를 생성한다.
상기 엔드 투 엔드 정책이 설정되면, 상기 엔드 투 엔드 서버(200)는 상기 사물 인터넷 게이트웨이(100)로 상기 엔드 투 엔드 정책 데이터를 배포한다.
상기 사물 인터넷 게이트웨이(100)가 상기 사물 인터넷 기기들(ID1, ID2)로부터 기기 데이터를 수신하면, 상기 사물 인터넷 게이트웨이(100)는 상기 엔드 투 엔드 정책 데이터에 따라 암호화 대상 기기에서 수신한 데이터를 암호화한다.
상기 사물 인터넷 게이트웨이(100)는 상기 암호화된 데이터를 상기 플랫폼 서버(300)로 전송한다. 상기 사물 인터넷 게이트웨이(100)는 상기 암호화 대상 기기가 아닌 기기로부터 수신한 데이터는 암호화 없이 상기 플랫폼 서버(300)로 전송할 수 있다.
상기 플랫폼 서버(300)는 상기 사물 인터넷 게이트웨이(100)로부터 수신한 상기 암호화된 데이터를 저장한다.
상기 써드 파티 어플리케이션(400)은 상기 플랫폼 서버(300)에 저장된 데이터를 요청하고, 상기 플랫폼 서버(300)로부터 수신된 상기 암호화된 데이터를 복호화한다.
도 3은 도 1의 사물 인터넷 게이트웨이와 엔드 투 엔드 서버 사이의 엔드 투 엔드 정책 동기화를 나타내는 개념도이다.
도 1 내지 도 3을 참조하면, 상기 기기 소유자가 암호와 대상 기기를 상기 엔드 투 엔드 서버(200) 상에 설정하면, 상기 엔드 투 엔드 정책 데이터는 상기 사물 인터넷 게이트웨이(100)로 자동 전송된다. 상기 사물 인터넷 게이트웨이(100)는 상기 엔드 투 엔드 정책 데이터를 엔드 투 엔드 정책 데이터베이스(E2E POLICY DB)에 저장한다.
상기 사물 인터넷 게이트웨이(100)가 엔드 투 엔드 정책 데이터를 획득하는 단계를 구체적으로 검토하면, 상기 사물 인터넷 게이트웨이(100)는 상기 엔드 투 엔드 서버(200)의 정책 브로커(240)로 엔드 투 엔드 정책 데이터의 구독 신청을 한다. 상기 사물 인터넷 게이트웨이(100)는 상기 사물 인터넷 게이트웨이(100)의 소유자의 엔드 투 엔드 정책에 해당하는 토픽의 구독 신청을 한다.
상기 정책 브로커(240)는 상기 소유자의 엔드 투 엔드 정책에 해당하는 토픽에 정책 데이터를 퍼블리시한다. 상기 정책 데이터는 상기 소유자가 선택한 암호화 대상 기기에 대한 정보를 포함할 수 있다. 예를 들어, 상기 소유자는 상기 사물 인터넷 네트워크 내에 있는 상기 사물 인터넷 기기들 중 상기 소유자의 프라이버시, 생체 데이터를 포함하는 데이터를 생성하는 사물 인터넷 기기를 상기 암호화 대상 기기로 설정할 수 있다.
상기 엔드 투 엔드 정책 데이터는 상기 암호화 대상이 되는 사물 인터넷 기기의 식별자 및 암호화 알고리즘에 대한 정보를 포함할 수 있다.
도 4는 도 1의 사물 인터넷 게이트웨이와 엔드 투 엔드 서버 사이의 게이트웨이 인증을 나타내는 개념도이다.
도 1 내지 도 4를 참조하면, 상기 사물 인터넷 게이트웨이(100)의 인증은 상기 사물 인터넷 게이트웨이(100)에서 발급된 인증서를 인증수단으로 삼는다.
상기 사물 인터넷 게이트웨이(100)의 구매 및 설치 단계에서, 상기 사물 인터넷 게이트웨이(100)의 식별자인 GW ID, 상기 사물 인터넷 게이트웨이(100)의 소유자의 식별자인 OWNER ID, 상기 사물 인터넷 게이트웨이(100)의 인증서는 게이트웨이 데이터베이스(GW DB)에 사전에 등록된다. 또한, 상기 사물 인터넷 게이트웨이(100) 내에 상기 사물 인터넷 게이트웨이(100)의 인증서 및 개인키는 발급되어 있는 것으로 전제한다.
상기 사물 인터넷 게이트웨이(100)는 인증 요청 메시지를 상기 엔드 투 엔드 서버(200)의 인증 서버(220)로 전송한다. 상기 인증 서버(220)는 랜덤한 챌린지 값을 상기 사물 인터넷 게이트웨이(100)에 제공한다. 상기 챌린지의 목적은 리플레이 어택을 방지하기 위한 것이다.
상기 사물 인터넷 게이트웨이(100)는 보유하고 있는 개인키를 이용해 수신한 상기 챌린지 값을 전자 서명하여 상기 GW ID와 함께 상기 인증 서버(220)에 전송한다.
상기 인증 서버(220)는 상기 GW ID에 대응하는 인증서를 상기 게이트웨이 데이터베이스(GW DB)에서 가져와 전자 서명을 검증하고, 상기 인증 서버(220)에서 생성했던 상기 챌린지 값과 일치하는 지를 확인한다.
상기 사물 인터넷 게이트웨이(100)로부터 수신한 상기 챌린지 값과 상기 인증 서버(220)에서 생성했던 상기 챌린지 값이 일치하면 유일한 값인 세션 ID를 생성한다. 상기 인증 서버(220)는 상기 세션 ID를 상기 GW ID 및 상기 OWNER ID에 맵핑하여 게이트웨이 세션 데이터베이스(GW 세션 DB)에 저장하고, 상기 세션 ID를 상기 사물 인터넷 게이트웨이(100)에 출력한다.
이후 상기 사물 인터넷 게이트웨이(100)는 상기 세션 ID를 이용하여 상기 엔드 투 엔드 서버(200)와 통신한다.
도 5 및 도 6은 도 1의 사물 인터넷 게이트웨이와 엔드 투 엔드 서버 사이의 엔드 투 엔드 정책 구독 신청을 나타내는 개념도이다.
도 1 내지 도 6을 참조하면, 상기 엔드 투 엔드 정책 구독 신청은 연결 단계 및 구독 단계를 포함한다.
상기 연결 단계를 검토하면, 상기 사물 인터넷 게이트웨이(100)는 상기 엔드 투 엔드 서버의 상기 정책 브로커(240)에 연결 요청을 한다. 상기 사물 인터넷 게이트웨이(100)는 상기 연결 요청 시에 connect package의 username에 상기 게이트웨이 인증 단계에서 획득한 상기 세션 ID를 할당하고, password에 공백을 할당할 수 있다.
상기 정책 브로커(240)는 상기 연결 요청을 수신하면, 상기 connect package의 username에 포함된 상기 세션 ID의 유효성을 체크한다. 상기 엔드 투 엔드 서버 내의 상기 게이트웨이 세션 데이터베이스(GW 세션 DB)에 상기 세션 ID에 해당하는 세션이 존재하는지 검색한다. 상기 검색이 성공하면 상기 정책 브로커(240)는 상기 사물 인터넷 게이트웨이(100)에 연결 ACK를 출력한다.
상기 연결 단계가 성공하면, 상기 사물 인터넷 게이트웨이(100)는 상기 정책 브로커(240)에 구독 요청을 한다. subscribe packet에 포함된 토픽 값은 상기 사물 인터넷 게이트웨이(100)의 소유자의 엔드 투 엔드 정책에 해당하는 값이며, 상기 토픽 값은 상기 소유자가 상기 플랫폼 서버(300)에 회원 가입 또는 사용자 등록 시에 생성될 수 있다. 상기 토픽 값은 상기 사물 인터넷 게이트웨이(100)가 셋업되는 시점에 상기 사물 인터넷 게이트웨이(100) 내에 저장될 수 있다. 상기 토픽 값은 소유자를 식별할 수 있도록 OWNER ID를 포함할 수 있다.
상기 정책 브로커(240)는 상기 구독 요청을 수신하면, 상기 토픽 값에 대해 상기 구독 요청을 허용할지 여부를 체크한다. 상기 토픽 값에 포함된 OWNER ID가 상기 엔드 투 엔드 서버(200) 내의 세션 데이터베이스(세션 DB)에서 검색되면, 상기 정책 브로커(240)는 상기 구독 요청을 허용할 수 있다.
도 7은 도 1의 사물 인터넷 게이트웨이와 엔드 투 엔드 서버 사이의 엔드 투 엔드 키 생성을 나타내는 개념도이다.
도 1 내지 도 7을 참조하면, 상기 사물 인터넷 게이트웨이(100)는 암호화에 사용되는 상기 엔드 투 엔드 키를 상기 엔드 투 엔드 서버(200)에서 일방적으로 제공받지 않고, 상기 엔드 투 엔드 서버(200)는 상기 게이트웨이 인증 단계에서 생성된 세션 ID와 상기 사물 인터넷 게이트웨이(100)의 물리적 특성으로부터 도출된 값을 결합하여 엔드 투 엔드 키를 생성한다.
상기 엔드 투 엔드 키 생성에 세션 ID를 이용하는 이유는 상기 사물 인터넷 게이트웨이(100)를 구동할 때마다 새로운 값의 키를 얻기 위한 것이다.
상기 사물 인터넷 게이트웨이(100)는 상기 엔드 투 엔드 키 생성 요청 시에 상기 세션 ID를 첨부한다. 상기 엔드 투 엔드 서버(200)의 상기 엔드 투 엔드 키 서버(260)는 상기 세션 데이터베이스(세션 DB)에서 상기 세션 ID를 검색하여 상기 사물 인터넷 게이트웨이(100)의 인증을 수행한다. 상기 인증이 성공되면 상기 엔드 투 엔드 키 서버(260)는 랜덤 챌린지 값을 상기 사물 인터넷 게이트웨이(100)에 출력한다.
상기 사물 인터넷 게이트웨이(100)는 상기 세션 ID와 상기 물리적 특성으로부터 도출된 값을 결합하여 제1 암호키를 유도한다. 상기 유도된 제1 암호키로 상기 수신된 챌린지 값을 암호화하여 상기 암호화된 챌린지 값을 상기 엔드 투 엔드 키 서버(260)에 출력한다. 상기 물리적 특성은 상기 사물 인터넷 게이트웨이(100)의 MAC, IP 주소, Host name, device serial number 중 어느 하나를 포함할 수 있다. 본 실시예에서, 상기 물리적 특성으로부터 도출된 값은 fingerprint라고 부를 수 있다.
상기 엔드 투 엔드 키 서버(260)는 상기 사물 인터넷 게이트웨이(100)의 설치 단계에서 상기 사물 인터넷 게이트웨이(100)의 물리적 특성과 세션 ID를 이용해 상기 사물 인터넷 게이트웨이(100)와 같은 방식으로 제2 암호키를 유도하고, 상기 유도된 제2 암호키를 이용하여 상기 제1 암호키로 암호화된 상기 챌린지 값을 복호화하고, 상기 엔드 투 엔드 키 서버(260)가 생성한 상기 챌린지 값과 상기 복호화된 챌린지 값이 일치하는지 확인한다.
상기 엔드 투 엔드 키 서버(260)가 생성한 상기 챌린지 값과 상기 복호화된 챌린지 값이 일치하면, 상기 제2 암호키의 식별자인 KEY ID를 생성하여 상기 KEY ID 및 상기 세션 ID를 상기 엔드 투 엔드 키 데이터베이스(E2E KEY DB)에 저장한다. 상기 엔드 투 엔드 키 서버(260)는 상기 KEY ID를 상기 사물 인터넷 게이트웨이(100)에 리턴한다. 상기 사물 인터넷 게이트웨이(100)는 리턴된 상기 KEY ID와 상기 제1 암호키를 상기 세션에 저장해둔다. 상기 제1 암호키는 엔드 투 엔드 키로 호칭될 수 있다.
도 8은 도 1의 사물 인터넷 게이트웨이의 선택적 데이터 암호화를 나타내는 개념도이다.
도 1 내지 도 8을 참조하면, 상기 사물 인터넷 게이트웨이(100)는 상기 사물 인터넷 기기(ID1)로부터 센서 데이터를 수신하면, 상기 사물 인터넷 게이트웨이(100)에 저장된 상기 엔드 투 엔드 정책을 기초로 상기 센서 데이터의 암호화 대상 여부를 확인한다. 상기 엔드 투 엔드 정책 데이터베이스(E2E POLICY DB)에 상기 사물 인터넷 기기(ID1)의 기기 식별자가 존재하면 상기 사물 인터넷 기기(ID1)로부터 수신한 상기 센서 데이터는 암호화 대상 데이터이다.
상기 센서 데이터가 상기 암호화 대상 데이터인 경우, 상기 사물 인터넷 게이트웨이(100)는 상기 센서 데이터를 엔드 투 엔드 키로 암호화한다.
상기 사물 인터넷 게이트웨이(100)는 상기 센서 데이터를 데이터 페이로드 형태로 구성하여 상기 플랫폼 서버(300)에 전송한다. 상기 센서 데이터가 상기 암호화 대상 데이터인 경우, 상기 데이터 페이로드는 암호키 식별자(KEY ID)와 암호화된 센서 데이터가 포함될 수 있다. 상기 센서 데이터가 상기 암호화 대상 데이터가 아닌 경우, 상기 데이터 페이로드는 암호화되지 않은 센서 데이터가 포함될 수 있다.
상기 플랫폼 서버(300)는 상기 사물 인터넷 게이트웨이(100)로부터 수신된 상기 데이터 페이로드를 상기 플랫폼 내의 플랫폼 데이터베이스에 저장해둔다.
도 9는 도 1의 써드 파티 어플리케이션의 데이터 복호화를 나타내는 개념도이다.
도 1 내지 도 9를 참조하면, 상기 센서 데이터를 이용하는 써드 파티 어플리케이션(400)은 상기 플랫폼 서버(300)로부터 상기 센서 데이터의 데이터 페이로드를 쿼리한다.
상기 쿼리한 상기 데이터 페이로드에 상기 암호키 식별자(KEY ID)가 있으면 상기 써드 파티 어플리케이션(400)은 상기 엔드 투 엔드 서버(200)의 상기 엔드 투 엔드 키 서버(260)에 상기 엔드 투 엔드 키를 요청한다. 이 때, 상기 써드 파티 어플리케이션(400)은 상기 엔드 투 엔드 키 서버(260)로 상기 암호키 식별자(KEY ID)를 전송할 수 있다.
상기 엔드 투 엔드 키 서버(260)는 상기 암호키 식별자(KEY ID)에 해당하는 상기 사물 인터넷 게이트웨이(100)의 세션 ID와 상기 세션 ID에 해당하는 상기 사물 인터넷 게이트웨이(100)의 물리적 특성을 결합하여 암호키를 유도하여 상기 유도된 암호키를 상기 써드 파티 어플리케이션(400)에 리턴한다.
상기 써드 파티 어플리케이션(400)은 상기 수신한 암호키를 이용하여 상기 데이터 페이로드를 복호화한다.
본 실시예에 따르면, 사물 인터넷 기기(ID1, ID2)에서 생성된 데이터가 여러 노드를 거쳐 최종 목적지 어플리케이션(400)에 도달할 때까지 암호화된 상태를 유지할 수 있다. 따라서, 상기 데이터의 중간 통신 단계에서 데이터를 탈취하더라도 상기 데이터는 암호화된 상태이므로 기기 소유자의 개인 정보를 보호할 수 있다.
또한, 상기 기기 소유자에 의해 설정된 암호화 정책(E2E POLICY)이 자동으로 반영되어 상기 데이터에 선택적인 암호화가 적용될 수 있다.
본 발명은 사용자의 사물 인터넷 기기, 사물 인터넷 게이트웨이, 플랫폼 서버 및 써드 파티 어플리케이션을 포함하는 사물 인터넷 네트워크에 적용될 수 있다. 본 발명은 데이터의 암호화 및 전송이 필요한 다양한 영역에서 널리 적용될 수 있다.
상기에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술분야의 숙련된 당업자는 하기의 특허청구범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 것이다.
100: 사물 인터넷 게이트웨이 200: 엔드 투 엔드 서버
220: 인증 서버 240: 정책 브로커
260: 엔드 투 엔드 키 서버 300: 플랫폼 서버
400: 써드 파티 어플리케이션
220: 인증 서버 240: 정책 브로커
260: 엔드 투 엔드 키 서버 300: 플랫폼 서버
400: 써드 파티 어플리케이션
Claims (12)
- 복수의 사물 인터넷 기기들;
상기 사물 인터넷 기기들의 소유자에 대해 암호화 대상 기기에 대한 정보를 포함하는 엔드 투 엔드 정책을 설정하는 엔드 투 엔드 서버;
상기 사물 인터넷 기기들로부터 데이터를 수신하고, 상기 엔드 투 엔드 정책을 기초로 상기 수신한 데이터를 암호화하는 사물 인터넷 게이트웨이;
상기 사물 인터넷 게이트웨이로부터 상기 암호화된 데이터를 수신하는 플랫폼 서버;
상기 플랫폼 서버로부터 상기 암호화된 데이터를 수신하고, 상기 암호화된 데이터를 복호화하는 써드 파티 어플리케이션을 포함하고,
상기 사물 인터넷 게이트웨이가 턴 온되면, 상기 엔드 투 엔드 서버는 상기 사물 인터넷 게이트웨이를 인증하고,
상기 사물 인터넷 게이트웨이의 인증이 완료되면, 상기 사물 인터넷 게이트웨이는 상기 엔드 투 엔드 서버로 상기 엔드 투 엔드 정책의 구독 신청을 하며,
상기 엔드 투 엔드 정책의 상기 구독 신청이 완료되면, 상기 사물 인터넷 게이트웨이는 상기 엔드 투 엔드 서버로 암호키의 생성 요청을 하고,
상기 엔드 투 엔드 정책이 설정되면, 상기 엔드 투 엔드 서버는 상기 사물 인터넷 게이트웨이로 상기 엔드 투 엔드 정책을 배포하는 것을 특징으로 하는 사물 인터넷 네트워크의 엔드 투 엔드 데이터 암호화 시스템. - 삭제
- 제1항에 있어서, 상기 엔드 투 엔드 서버는
상기 사물 인터넷 게이트웨이를 인증하는 인증 서버;
상기 엔드 투 엔드 정책을 설정하는 정책 브로커; 및
상기 사물 인터넷 게이트웨이가 상기 데이터를 암호화하기 위한 상기 암호키를 생성하는 엔드 투 엔드 키 서버를 포함하는 것을 특징으로 하는 사물 인터넷 네트워크의 엔드 투 엔드 데이터 암호화 시스템. - 제3항에 있어서,
상기 사물 인터넷 게이트웨이는 인증 요청 메시지를 상기 인증 서버로 전송하고,
상기 인증 서버는 제1 챌린지 값을 생성하여 상기 사물 인터넷 게이트웨이에 제공하며,
상기 사물 인터넷 게이트웨이는 상기 사물 인터넷 게이트웨이의 개인키를 이용하여 상기 제1 챌린지 값을 전자 서명하여 상기 사물 인터넷 게이트웨이의 식별자와 함께 상기 인증 서버로 전송하고,
상기 인증 서버는 상기 엔드 투 엔드 서버 내에 저장된 상기 사물 인터넷 게이트웨이의 상기 식별자와 대응하는 인증서를 이용하여 상기 전자 서명을 검증하고, 상기 인증 서버에서 생성한 상기 제1 챌린지 값과 상기 사물 인터넷 게이트웨이로부터 수신된 상기 제1 챌린지 값이 일치하는지 확인하며,
상기 인증 서버에서 생성한 상기 제1 챌린지 값과 상기 사물 인터넷 게이트웨이로부터 수신된 상기 제1 챌린지 값이 일치하는 경우, 상기 사물 인터넷 게이트웨이의 세션 식별자를 생성하는 것을 특징으로 하는 사물 인터넷 네트워크의 엔드 투 엔드 데이터 암호화 시스템. - 제4항에 있어서,
상기 인증 서버는 상기 세션 식별자를 상기 사물 인터넷 게이트웨이의 식별자 및 상기 소유자의 식별자와 맵핑하여 게이트웨이 세션 데이터베이스에 저장하고, 상기 세션 식별자를 상기 사물 인터넷 게이트웨이에 출력하는 것을 특징으로 하는 사물 인터넷 네트워크의 엔드 투 엔드 데이터 암호화 시스템. - 제5항에 있어서, 상기 사물 인터넷 게이트웨이는 상기 정책 브로커에 상기 세션 식별자를 포함하는 연결 요청을 전송하고,
상기 정책 브로커는 상기 연결 요청을 수신하면 상기 세션 식별자의 유효성을 체크하며, 상기 세션 식별자의 유효성 체크가 성공하면 상기 정책 브로커는 상기 사물 인터넷 게이트웨이에 연결 응답을 출력하고,
상기 사물 인터넷 게이트웨이는 상기 연결 응답을 수신하면 상기 정책 브로커에 상기 소유자 식별자를 포함하는 구독 요청을 전송하며,
상기 정책 브로커는 상기 구독 요청을 수신하면 상기 소유자 식별자가 상기 엔드 투 엔드 서버 내의 세션 데이터베이스에서 검색되는지 확인하고, 상기 소유자 식별자가 상기 엔드 투 엔드 서버 내의 세션 데이터베이스에서 검색되면 상기 정책 브로커는 상기 구독 요청을 허용하는 것을 특징으로 하는 사물 인터넷 네트워크의 엔드 투 엔드 데이터 암호화 시스템. - 제6항에 있어서, 상기 사물 인터넷 게이트웨이는 상기 엔드 투 엔드 키 서버에 상기 세션 식별자를 포함하는 키 생성 요청을 전송하고,
상기 엔드 투 엔드 키 서버는 상기 세션 데이터베이스에서 상기 세션 식별자를 검색하여 상기 사물 인터넷 게이트웨이의 세션을 확인하며,
상기 사물 인터넷 게이트웨이의 세션이 확인되면, 상기 엔드 투 엔드 키 서버는 제2 챌린지 값을 상기 사물 인터넷 게이트웨이에 출력하고,
상기 사물 인터넷 게이트웨이는 상기 세션 식별자와 상기 사물 인터넷 게이트웨이의 물리적 특성으로부터 도출된 값을 결합하여 제1 암호키를 유도하고, 상기 제1 암호키로 상기 제2 챌린지 값을 암호화하여 상기 엔드 투 엔드 키 서버로 출력하며,
상기 엔드 투 엔드 키 서버는 상기 엔드 투 엔드 서버에 저장된 상기 사물 인터넷 게이트웨이의 물리적 특성으로부터 도출된 값 및 상기 세션 식별자를 이용하여 제2 암호키를 유도하고, 상기 제2 암호키를 이용하여 상기 제1 암호키로 암호화된 상기 제2 챌린지 값을 복호화하며, 상기 엔드 투 엔드 키 서버가 생성한 상기 제2 챌린지 값과 복호화된 상기 제2 챌린지 값이 일치하는지 확인하며,
상기 엔드 투 엔드 키 서버가 생성한 상기 제2 챌린지 값과 복호화된 상기 제2 챌린지 값이 일치하면, 상기 제1 암호키 및 상기 제2 암호키의 식별자인 키 식별자를 생성하는 것을 특징으로 하는 사물 인터넷 네트워크의 엔드 투 엔드 데이터 암호화 시스템. - 제7항에 있어서, 상기 엔드 투 엔드 키 서버는 상기 키 식별자 및 상기 세션 식별자를 상기 엔드 투 엔드 서버 내의 엔드 투 엔드 키 데이터베이스에 저장하고, 상기 키 식별자를 상기 사물 인터넷 게이트웨이로 출력하며,
상기 사물 인터넷 게이트웨이는 수신한 상기 키 식별자 및 상기 키 식별자에 대응하는 상기 제1 암호키를 저장하는 것을 특징으로 하는 사물 인터넷 네트워크의 엔드 투 엔드 데이터 암호화 시스템. - 제8항에 있어서, 상기 사물 인터넷 게이트웨이는 상기 사물 인터넷 기기로부터 상기 데이터를 수신하면 상기 사물 인터넷 게이트웨이에 저장된 상기 엔드 투 엔드 정책을 기초로 상기 데이터의 암호화 대상 여부를 확인하고,
상기 데이터가 암호화 대상 데이터인 경우, 상기 사물 인터넷 게이트웨이는 상기 데이터를 상기 제1 암호키로 암호화하여 상기 키 식별자 및 상기 암호화된 데이터를 상기 플랫폼 서버로 출력하고,
상기 데이터가 상기 암호화 대상 데이터가 아닌 경우, 상기 사물 인터넷 게이트웨이는 상기 데이터를 암호화하지 않고 바로 상기 플랫폼 서버로 출력하는 것을 특징으로 하는 사물 인터넷 네트워크의 엔드 투 엔드 데이터 암호화 시스템. - 제9항에 있어서, 상기 써드 파티 어플리케이션은 상기 플랫폼 서버로부터 상기 데이터를 쿼리하고,
상기 쿼리한 상기 데이터에 상기 키 식별자가 포함된 경우, 상기 써드 파티 어플리케이션은 상기 엔드 투 엔드 키 서버에 상기 키 식별자를 전송하며,
상기 엔드 투 엔드 키 서버는 상기 써드 파티 어플리케이션으로부터 수신된 상기 키 식별자 및 상기 사물 인터넷 게이트웨이의 상기 물리적 특성으로부터 도출된 값을 이용하여 제3 암호키를 유도하고, 상기 제3 암호키를 상기 써드 파티 어플리케이션에 출력하며,
상기 써드 파티 어플리케이션은 상기 제3 암호키를 이용하여 상기 데이터를 복호화하는 것을 특징으로 하는 사물 인터넷 네트워크의 엔드 투 엔드 데이터 암호화 시스템. - 복수의 사물 인터넷 기기들의 소유자에 대해 암호화 대상 기기에 대한 정보를 포함하는 엔드 투 엔드 정책을 설정하는 단계;
상기 사물 인터넷 기기들로부터 데이터를 수신하는 단계;
상기 엔드 투 엔드 정책을 기초로 상기 수신한 데이터를 암호화하는 단계;
상기 암호화된 데이터를 사물 인터넷 게이트웨이로부터 플랫폼 서버로 출력하는 단계; 및
상기 플랫폼 서버로부터 상기 암호화된 데이터를 수신하여 상기 암호화된 데이터를 복호화하는 단계를 포함하고,
상기 사물 인터넷 게이트웨이가 턴 온되면, 엔드 투 엔드 서버는 상기 사물 인터넷 게이트웨이를 인증하는 단계;
상기 사물 인터넷 게이트웨이의 인증이 완료되면, 상기 사물 인터넷 게이트웨이는 상기 엔드 투 엔드 서버로 상기 엔드 투 엔드 정책의 구독 신청을 하는 단계;
상기 엔드 투 엔드 정책의 상기 구독 신청이 완료되면, 상기 사물 인터넷 게이트웨이는 상기 엔드 투 엔드 서버로 암호키의 생성 요청을 하는 단계; 및
상기 엔드 투 엔드 정책이 설정되면, 상기 엔드 투 엔드 서버는 상기 사물 인터넷 게이트웨이로 상기 엔드 투 엔드 정책을 배포하는 단계를 더 포함하는 사물 인터넷 네트워크의 엔드 투 엔드 데이터 암호화 방법.
- 삭제
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020180017971A KR101880999B1 (ko) | 2018-02-13 | 2018-02-13 | 사물 인터넷 네트워크의 엔드 투 엔드 데이터 암호화 시스템 및 방법 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020180017971A KR101880999B1 (ko) | 2018-02-13 | 2018-02-13 | 사물 인터넷 네트워크의 엔드 투 엔드 데이터 암호화 시스템 및 방법 |
Publications (1)
Publication Number | Publication Date |
---|---|
KR101880999B1 true KR101880999B1 (ko) | 2018-07-24 |
Family
ID=63059223
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020180017971A KR101880999B1 (ko) | 2018-02-13 | 2018-02-13 | 사물 인터넷 네트워크의 엔드 투 엔드 데이터 암호화 시스템 및 방법 |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101880999B1 (ko) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102092394B1 (ko) * | 2018-11-06 | 2020-04-20 | (주)드림시큐리티 | 블록체인을 이용한 암호화 기반 서비스 제공 장치 및 방법 |
CN111949962A (zh) * | 2020-07-29 | 2020-11-17 | 上海上实龙创智能科技股份有限公司 | 一种物联网设备的身份识别系统及方法 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101359483B1 (ko) * | 2012-04-10 | 2014-02-07 | 전자부품연구원 | 확장형 통신 지원 통합 시스템과 이를 지원하는 통합 게이트웨이 장치 및 이를 기반으로 하는 데이터 통합 처리 방법 |
KR101688812B1 (ko) * | 2016-04-18 | 2016-12-22 | (주)케이사인 | 소유자 인증 서버 기반의 IoT 기기 인가관리 방법 및 시스템 |
-
2018
- 2018-02-13 KR KR1020180017971A patent/KR101880999B1/ko active IP Right Grant
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101359483B1 (ko) * | 2012-04-10 | 2014-02-07 | 전자부품연구원 | 확장형 통신 지원 통합 시스템과 이를 지원하는 통합 게이트웨이 장치 및 이를 기반으로 하는 데이터 통합 처리 방법 |
KR101688812B1 (ko) * | 2016-04-18 | 2016-12-22 | (주)케이사인 | 소유자 인증 서버 기반의 IoT 기기 인가관리 방법 및 시스템 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102092394B1 (ko) * | 2018-11-06 | 2020-04-20 | (주)드림시큐리티 | 블록체인을 이용한 암호화 기반 서비스 제공 장치 및 방법 |
CN111949962A (zh) * | 2020-07-29 | 2020-11-17 | 上海上实龙创智能科技股份有限公司 | 一种物联网设备的身份识别系统及方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109561066B (zh) | 数据处理方法、装置、终端及接入点计算机 | |
CN108599925B (zh) | 一种基于量子通信网络的改进型aka身份认证系统和方法 | |
KR102134302B1 (ko) | 무선 네트워크 접속 방법 및 장치, 및 저장 매체 | |
US9008312B2 (en) | System and method of creating and sending broadcast and multicast data | |
WO2017185692A1 (zh) | 密钥分发、认证方法,装置及系统 | |
US20030081774A1 (en) | Method and apparatus for dynamic generation of symmetric encryption keys and exchange of dynamic symmetric key infrastructure | |
CN104506483A (zh) | 一种信息加密解密、管理密钥的方法、终端及网络服务器 | |
KR20160058491A (ko) | 사용자 기기의 식별자에 기반하여 서비스를 제공하는 방법 및 장치 | |
CN101170413B (zh) | 一种数字证书及其私钥的获得、分发方法及设备 | |
CN108809633B (zh) | 一种身份认证的方法、装置及系统 | |
US12132839B2 (en) | Decentralised authentication | |
CN107094156B (zh) | 一种基于p2p模式的安全通信方法及系统 | |
CN110995418A (zh) | 云存储认证方法及系统、边缘计算服务器、用户路由器 | |
CN107026823B (zh) | 应用于无线局域网wlan中的接入认证方法和终端 | |
CN111080299B (zh) | 一种交易信息的防抵赖方法及客户端、服务器 | |
CN108964896B (zh) | 一种基于群组密钥池的Kerberos身份认证系统和方法 | |
US20170317836A1 (en) | Service Processing Method and Apparatus | |
US7315950B1 (en) | Method of securely sharing information over public networks using untrusted service providers and tightly controlling client accessibility | |
CN101938500A (zh) | 源地址验证方法及系统 | |
JP4938408B2 (ja) | アドレス管理システム、アドレス管理方法およびプログラム | |
CN102088352A (zh) | 消息中间件的数据加密传输方法和系统 | |
KR101880999B1 (ko) | 사물 인터넷 네트워크의 엔드 투 엔드 데이터 암호화 시스템 및 방법 | |
CN110166460B (zh) | 业务帐号的注册方法和装置、存储介质、电子装置 | |
CN109995723B (zh) | 一种域名解析系统dns信息交互的方法、装置及系统 | |
CN114143050A (zh) | 一种视频数据加密系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |