KR101686167B1 - Apparatus and Method for Certificate Distribution of the Internet of Things Equipment - Google Patents

Apparatus and Method for Certificate Distribution of the Internet of Things Equipment Download PDF

Info

Publication number
KR101686167B1
KR101686167B1 KR1020150108289A KR20150108289A KR101686167B1 KR 101686167 B1 KR101686167 B1 KR 101686167B1 KR 1020150108289 A KR1020150108289 A KR 1020150108289A KR 20150108289 A KR20150108289 A KR 20150108289A KR 101686167 B1 KR101686167 B1 KR 101686167B1
Authority
KR
South Korea
Prior art keywords
certificate
object internet
information
public key
internet device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
KR1020150108289A
Other languages
Korean (ko)
Inventor
박영길
Original Assignee
주식회사 명인소프트
박영길
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 명인소프트, 박영길 filed Critical 주식회사 명인소프트
Priority to KR1020150108289A priority Critical patent/KR101686167B1/en
Application granted granted Critical
Publication of KR101686167B1 publication Critical patent/KR101686167B1/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

인증서 배포 장치 및 방법이 개시된다. 일 실시예에 따른 인증서 배포 장치는 사물 인터넷 기기의 제조사 서버로부터 사물 인터넷 기기의 제품 정보 및 공개키를 수신하고, 수신된 제품 정보 및 공개키를 등록하는 등록부, 사물 인터넷 기기 또는 사물 인터넷 기기의 인증을 수행하는 인증 단말로부터, 기기 식별 정보를 포함하는 인증서 요청 정보를 수신하고, 기기 식별 정보에 대응하는 미리 등록된 제품 정보 및 공개키를 기초로 인증서를 획득하는 인증서 획득부 및 획득된 인증서를 인증서 요청 정보를 전송한 사물 인터넷 기기 또는 인증 단말에 전송하는 인증서 배포부를 포함할 수 있다.A certificate distribution apparatus and method are disclosed. The certificate distribution apparatus according to an embodiment of the present invention includes a registration unit for receiving product information and a public key of a to-be-watermarked Internet device from a manufacturer server of a to-be-watermarked Internet device, and registering the received product information and a public key, A certificate acquisition unit for receiving certificate request information including device identification information, acquiring a certificate based on previously registered product information and a public key corresponding to the device identification information, And transmitting the request information to the object Internet device or the authentication terminal that has transmitted the request information.

Description

사물 인터넷 기기의 인증서 배포 장치 및 방법{Apparatus and Method for Certificate Distribution of the Internet of Things Equipment}BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to an apparatus and a method for distributing a certificate of an Internet appliance,

사물 인터넷 기기의 인증서 배포 기술에 관한 것으로 특히, 사물 인터넷 기기의 인증 및 사물 인터넷 기기에 의해 전자 서명된 데이터를 인증하기 위한 인증서를 획득하고 배포하기 위한 장치 및 방법에 관한 것이다.And more particularly to an apparatus and method for acquiring and distributing a certificate for authenticating an object Internet device and for authenticating data digitally signed by the object Internet device.

최근 정보기술의 발전으로 더욱 쉽고 간편하게 인터넷 기술을 이용하는 사물이 늘어나고 있으며, 이를 위한 인증기술도 발전하고 있다. 사물 통신 환경에서 기기를 인증하는 기반기술은 ID/PW 인증기술, MAC 주소 인증기술, 암호 프로토콜 기반 인증기술, Challenge/Response 인증기술, 인증서 기반 인증기술 그리고 아이디 기반 암호화 등이 존재한다. Recently, with the development of information technology, it is becoming easier and easier to use internet technology, and certification technology is also developing. The underlying technologies for authenticating devices in object communication environments include ID / PW authentication technology, MAC address authentication technology, encryption protocol based authentication technology, challenge / response authentication technology, certificate based authentication technology and ID based encryption.

ID/PW 인증기술은 가장 기본적인 인증기술로 범용적으로 어느 기기에나 적용이 쉽고 자원을 적게 차지하지만 여러 주체에 대한 인증을 수행할 경우 모든 ID/PW를 저장해야 하며 ID/PW 목록이 노출될 경우 쉽게 인증이 무력화 될 수 있다. 또한, 대규모 시스템에서 저장과 관리가 어려우며, 다량의 인증을 동시에 처리해야 할 경우 부하가 발생될 수 있다. ID / PW authentication technology is the most basic authentication technology. It is easy to apply to any device and takes up less resources. However, when performing authentication for various subjects, all ID / PW should be stored. If ID / PW list is exposed Authentication can be easily disabled. In addition, it is difficult to store and manage large-scale systems, and a load may be generated when a large amount of authentication is simultaneously processed.

MAC 주소기반 인증기술은 주로 인트라넷 환경에서 네트워크 접근제어에 사용되며, 네트워크에 연결된 적합한 단말의 MAC 주소를 인증서버에 등록하여, 단말의 네트워크 접속 요청 시 이 단말의 MAC 주소가 서버에 등록되어 있을 경우 연결을 승인하는 방식이다. MAC 주소기반 인증기술은 ID/PW 인증기술보다 비교적 간단하고 속도도 빠르나, MAC 주소의 위조가 가능하여 사실상 보안이 취약하며, MAC 주소 테이블을 관리해야 함에 따라 기기를 추가하거나 수정이 있을 경우 관리상에 어려움이 발생될 수 있다. 또한, MAC 주소기반 인증기술은 사람의 개입이 배제되거나 최소화된 사물 통신 환경에서 부적절하다.The MAC address based authentication technique is mainly used for network access control in an intranet environment. When a MAC address of a proper terminal connected to a network is registered in an authentication server and a MAC address of the terminal is registered in the server It is a way to approve connections. MAC address based authentication technology is relatively simple and speedy than ID / PW authentication technology, but MAC address can be falsified, so security is weak and MAC address table should be managed. There may be difficulties. In addition, MAC address-based authentication techniques are inappropriate in human communication environments where human intervention is eliminated or minimized.

Challenge/Response 인증기술은 OTP와 유사하게 일회성 해시값을 생성하여 사용자를 인증하는 방식이다. 이 방식은 매번 인증 시마다 난수를 새로 생성하기 때문에 Rainbow Attack이나 전수공격으로부터 안전하나, 키보드 후킹과 같은 방법으로 비밀번호 자체가 노출된 경우는 인증이 무력화 될 수 있다. The Challenge / Response authentication technique is a method of authenticating a user by generating a one-time hash value similar to OTP. This method is safe from Rainbow Attack or intrusion attack because it generates a random number every time it is authenticated. However, if the password itself is exposed in the same way as keyboard hooking, authentication may be disabled.

인증서 기반 인증기술은 공개키 기반의 암호기술을 이용하는 전자서명(Digital Signature)을 통하여 인증하는 방식으로 강력한 인증 기능을 제공하여 높은 안전성을 제공할 수 있으며, 전자서명은 본인만이 서명이 가능하기 때문에 부인방지 기능을 제공할 수 있다. 반면, 반드시 사전에 키 교환이 필요하며, 인증서의 발급·갱신·폐기 등 인증서의 관리가 필요하다. 또한, 기기인증서 처리 S/W 및 알고리즘은 연산 처리량이 많고 무거워 사물 인터넷 기기에 적용하기 어려우며, 서로 다른 환경·서로 다른 인증기술·서로 다른 도메인 간 호환에 어려움이 있다. The certificate-based authentication technology is a method of authenticating through a digital signature using a public key-based cryptographic technique and provides a high security by providing a strong authentication function. Since the digital signature can be signed only by the user The non-repudiation function can be provided. On the other hand, key exchange is required in advance, and certificate management such as issuance, renewal, and revocation of certificates is necessary. Also, device certificate processing S / W and algorithms are difficult to apply to object internet appliances with large computational throughput and difficult to be compatible with different environments, different authentication technologies, and different domains.

아이디 기반 암호기술은 사용자의 이메일 주소, 이름, IP주소 등 사용자의 ID를 공개키로 사용하는 방식의 공개키 암호 시스템이다. 이러한 아이디 기반 암호기술은 사전 키 분배가 필요하지 않으며, 연산량이 적고 키 길이가 상대적으로 짧으며, 부인방지 기능을 제공할 수 있다. 반면, 공개된 정보인 ID를 사용함에 따라 ID 위장한 공격에 취약할 수 있으며, 기타 인증기술에 비하여 상대적으로 새로운 개념과 기술로 아직까지 많은 연구가 부족한 실정이다.The ID-based cryptosystem is a public key cryptosystem in which a user's ID such as a user's e-mail address, name, and IP address is used as a public key. Such ID-based cryptographic techniques do not require dictionary key distribution, have a small amount of computation, have a relatively short key length, and can provide a non-repudiation function. On the other hand, it is vulnerable to ID-based attacks due to the use of publicly available IDs. Much research is still lacking due to relatively new concepts and technologies compared to other authentication technologies.

대한민국특허공개번호 10-2013-0019358 호(2013.02.26.)Korean Patent Publication No. 10-2013-0019358 (Feb.

사물 인터넷 기기의 인증 및 사물 인터넷 기기에 의해 전자 서명된 데이터를 인증하기 위한 인증서를 획득하고 배포하기 위한 장치 및 방법을 제공하는데 목적이 있다.It is an object of the present invention to provide an apparatus and method for acquiring and distributing a certificate for authenticating object Internet devices and for authenticating data digitally signed by object Internet devices.

일 양상에 따르면, 사물 인터넷 기기의 인증서 배포 장치에 있어서, 인증서 배포 장치는 사물 인터넷 기기의 제조사 서버로부터 사물 인터넷 기기의 제품 정보 및 공개키를 수신하고, 수신된 제품 정보 및 공개키를 등록하는 등록부, 사물 인터넷 기기 또는 사물 인터넷 기기의 인증을 수행하는 인증 단말로부터, 기기 식별 정보를 포함하는 인증서 요청 정보를 수신하고, 기기 식별 정보에 대응하는 미리 등록된 제품 정보 및 공개키를 기초로 인증서를 획득하는 인증서 획득부 및 획득된 인증서를 인증서 요청 정보를 전송한 사물 인터넷 기기 또는 인증 단말에 전송하는 인증서 배포부를 포함할 수 있다. According to an aspect of the present invention, there is provided a certificate distribution apparatus for a thing Internet device, the certificate distribution apparatus comprising: a registration unit for receiving product information and a public key of the object Internet apparatus from a manufacturer server of the object internet apparatus, , Receives the certificate request information including the device identification information from the authentication terminal that performs authentication of the object Internet device or the object Internet device, acquires the certificate based on the previously registered product information corresponding to the device identification information and the public key And a certificate distribution unit for transmitting the obtained certificate to the object Internet device or the authentication terminal that has transmitted the certificate request information.

인증서 획득부는 획득된 제품 정보 및 공개키를 기초로 인증 기관 서버에 인증서 발급을 요청하고, 인증 기관 서버로부터 발급된 인증서를 수신할 수 있다. The certificate obtaining unit may request the certificate authority server to issue the certificate based on the obtained product information and the public key, and may receive the certificate issued from the certificate authority server.

인증서 배포 장치는 사물 인터넷 기기의 제품 정보 및 공개키를 저장하는 등록 정보 DB 및 인증 기관 서버로부터 발급된 사물 인터넷 기기의 인증서를 저장하는 인증서 DB를 더 포함할 수 있으며, 인증서 획득부는 기기 식별 정보를 기초로 인증서 DB로부터 인증서를 획득하며, 인증서 DB에 인증서가 존재하지 않거나, 획득된 인증서가 유효하지 않으면 인증 기관 서버에 새로운 인증서의 발급을 요청할 수 있다. The certificate distribution apparatus may further include a registration information DB storing product information and a public key of the object Internet device, and a certificate DB storing a certificate of the object Internet apparatus issued from the certificate authority server. If the certificate does not exist in the certificate DB, or if the obtained certificate is invalid, the certificate authority server can request issuance of a new certificate to the server.

등록부는 제조사 서버로부터 사물 인터넷 기기에 주입할 UUID(universally unique identifier) 정보의 제공 요청을 수신하면, UUID 정보를 생성하고, 생성된 UUID 정보를 제품 정보 및 공개키와 함께 등록하고, 제조사 서버에 전송할 수 있다. When receiving a request for providing universally unique identifier (UUID) information to be transmitted from a manufacturer server to a manufacturer's server, the registration unit generates UUID information, registers the generated UUID information together with the product information and the public key, .

인증서 요청 정보는 시간 정보, PIN 및 T-OTP(Time-based One Time Password) 중의 적어도 하나를 더 포함할 수 있으며, 인증서 획득부는 시간 정보, PIN 및 T-OTP 중의 적어도 하나에 기초하여 인증서 요청의 유효성을 검증하고, 검증 결과를 기초로 인증서를 획득할 수 있다.The certificate request information may further include at least one of time information, a PIN, and a time-based one time password (T-OTP), and the certificate obtaining unit may obtain at least one of the time information, the PIN, and the T- Validity can be verified, and a certificate can be obtained based on the verification result.

인증 단말에 의해 수행되는 사물 인터넷 기기의 인증은 사물 인터넷 기기 자체의 인증 및 사물 인터넷 기기에 의해 전자 서명된 데이터의 인증 중의 적어도 하나를 포함할 수 있다.Authentication of the object Internet device performed by the authentication terminal may include at least one of authentication of the object Internet device itself and authentication of the digital signature data by the object Internet device.

인증서 획득부는 제1 사물 인터넷 기기 및 제2 사물 인터넷 기기로부터 상호 연결을 위한 인증서 요청 정보를 수신하면, 제1 사물 인터넷 기기의 제1 인증서 및 제2 사물 인터넷 기기의 제2 인증서를 획득하고, 제1 사물 인터넷 기기 및 제2 사물 인터넷 기기가 상호 인증을 하도록, 획득된 제1 인증서 및 제2 인증서를 각각 제2 사물 인터넷 기기 및 제1 사물 인터넷 기기에 전송할 수 있다. The certificate obtaining unit obtains the first certificate of the first object Internet appliance and the second certificate of the second object internet appliance upon receiving the certificate request information for the interconnection from the first object internet appliance and the second object internet appliance, The first and second Internet devices and the first and second Internet devices may mutually authenticate the first and second Internet devices and the first and second Internet devices, respectively.

다른 양상에 따르면, 사물 인터넷 기기의 인증서 배포 방법에 있어서, 인증서 배포 방법은 사물 인터넷 기기의 제조사 서버로부터 사물 인터넷 기기의 제품 정보 및 공개키를 수신하고, 수신된 제품 정보 및 공개키를 등록하는 단계, 사물 인터넷 기기 또는 사물 인터넷 기기의 인증을 수행하는 인증 단말로부터, 기기 식별 정보를 포함하는 인증서 요청 정보를 수신하고, 기기 식별 정보에 대응하는 미리 등록된 제품 정보 및 공개키를 기초로 인증서를 획득하는 단계 및 획득된 인증서를 인증서 요청 정보를 전송한 사물 인터넷 기기 또는 인증 단말에 전송하는 단계를 포함할 수 있다. According to another aspect of the present invention, there is provided a method of distributing a certificate of a thing Internet device, the certificate distribution method comprising the steps of: receiving product information and a public key of the object Internet device from a manufacturer server of the object internet device, , Receives the certificate request information including the device identification information from the authentication terminal that performs authentication of the object Internet device or the object Internet device, acquires the certificate based on the previously registered product information corresponding to the device identification information and the public key And transmitting the obtained certificate to the object Internet device or the authentication terminal that has transmitted the certificate request information.

인증서를 획득하는 단계는 획득된 제품 정보 및 공개키를 기초로 인증 기관 서버에 인증서 발급을 요청하고, 인증 기관 서버로부터 발급된 인증서를 수신할 수 있다. The obtaining of the certificate may request the certificate authority server to issue the certificate based on the obtained product information and the public key, and may receive the certificate issued from the certificate authority server.

인증서 요청 정보는 시간 정보, PIN 및 T-OTP(Time-based One Time Password) 중의 적어도 하나를 더 포함할 수 있으며, 인증서를 획득하는 단계는 시간 정보, PIN 및 T-OTP 중의 적어도 하나에 기초하여 인증서 요청의 유효성을 검증하고, 검증 결과를 기초로 인증서를 획득할 수 있다.The certificate request information may further include at least one of time information, a PIN, and a time-based one time password (T-OTP), and the step of acquiring the certificate may further include receiving at least one of time information, PIN and T- Validate the certificate request, and obtain the certificate based on the verification result.

인증서의 저장, 갱신 및 배포 등의 인증서 관리기능이 인증서 배포 장치에서 이루어짐으로써 사물 인터넷 기기의 구현 복잡성이 줄어 들며, 공인된 인증 기관에서 인증서 배포 장치를 운용하고, 소유자가 등록되어야 인증서 배포가 이루어 지도록 강제함으로써 등록된 소유자가 책임 귀속 주체로 지정될 수 있다.The certificate management function such as storing, renewing and distributing the certificate is performed in the certificate distribution device, thereby reducing the implementation complexity of the object Internet device, operating the certificate distribution device in the authorized certification authority, and distributing the certificate By enforcing, the registered owner can be designated as the subject of responsibility.

도 1은 일 실시예에 따른 사물 인터넷 시스템의 구성도이다.
도 2는 일 실시예에 따른 인증서 배포 장치의 구성도이다.
도 3은 일 실시예에 따른 공개키를 등록하는 방법을 도시한 흐름도이다.
도 4는 다른 실시예에 따른 공개키를 등록하는 방법을 도시한 흐름도이다.
도 5는 또 다른 실시예에 따른 공개키를 등록하는 방법을 도시한 흐름도이다.
도 6은 일 실시예에 따른 인증 단말에 인증서를 배포하는 방법을 설명하기 위한 예시도이다.
도 7은 일 실시예에 따른 상호 연결을 위한 인증서 배포 방법을 설명하기 위한 예시도이다.
도 8은 일 실시예에 따른 사용자 인증 토큰을 인증하기 위한 인증서 배포 방법을 설명하기 위한 예시도이다.
도 9는 일 실시예에 따른 인증서 배포 방법을 도시한 흐름도이다.
1 is a block diagram of an object Internet system according to an exemplary embodiment of the present invention.
2 is a configuration diagram of a certificate distribution apparatus according to an embodiment.
FIG. 3 is a flowchart illustrating a method of registering a public key according to an embodiment.
4 is a flowchart illustrating a method of registering a public key according to another embodiment.
FIG. 5 is a flowchart illustrating a method of registering a public key according to another embodiment.
FIG. 6 is an exemplary diagram illustrating a method for distributing a certificate to an authentication terminal according to an embodiment.
7 is an exemplary view for explaining a certificate distribution method for an interconnection according to an embodiment.
8 is an exemplary diagram illustrating a certificate distribution method for authenticating a user authentication token according to an embodiment.
9 is a flowchart illustrating a certificate distribution method according to an embodiment.

이하, 첨부된 도면을 참조하여 본 발명의 일 실시예를 상세하게 설명한다. 본 발명을 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 또한, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로, 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.Hereinafter, an embodiment of the present invention will be described in detail with reference to the accompanying drawings. In the following description of the present invention, a detailed description of known functions and configurations incorporated herein will be omitted when it may make the subject matter of the present invention rather unclear. In addition, the terms described below are defined in consideration of the functions of the present invention, which may vary depending on the intention of the user, the operator, or the custom. Therefore, the definition should be based on the contents throughout this specification.

이하, 인증서 배포 장치 및 방법의 실시예들을 도면들을 참고하여 자세히 설명한다.Hereinafter, embodiments of the certificate distribution apparatus and method will be described in detail with reference to the drawings.

도 1은 일 실시예에 따른 사물 인터넷 시스템의 구성도이다.1 is a block diagram of an object Internet system according to an exemplary embodiment of the present invention.

도 1을 참조하면, 사물 인터넷 시스템은 사물 인터넷 기기(10), 인증 기관 서버(30), 제조사 서버(50) 및 인증서 배포 장치(100)를 포함할 수 있다.Referring to FIG. 1, the object Internet system may include an object Internet apparatus 10, a certification authority server 30, a manufacturer server 50, and a certificate distribution apparatus 100.

일 실시예에 따르면, 사물 인터넷은 각종 사물에 센서와 통신 기능을 내장하여 인터넷에 연결하는 기술을 의미한다. 여기서 사물 인터넷 기기(10)는 가전제품, 모바일 장비, 웨어러블 컴퓨터 등 다양한 임베디드 시스템이 될 수 있다. 또한, 사물 인터넷 기기(10)는 사물 인터넷에 연결되기 위하여 자신을 구별할 수 있는 IP 주소를 가질 수 있으며, 외부 환경으로부터의 데이터 취득을 위해 센서를 내장할 수 있다.According to one embodiment, the object Internet means a technique of connecting sensors and communication functions to various objects and connecting them to the Internet. Here, the object Internet device 10 may be a variety of embedded systems such as household appliances, mobile devices, and wearable computers. In addition, the object Internet device 10 may have an IP address for identifying itself to be connected to the object Internet, and may incorporate a sensor for data acquisition from the external environment.

일 예에 따르면, 사물 인터넷 기기(10)는 사물 인터넷에 연결되어 데이터를 전송하거나 다른 사물 인터넷 기기와 연결을 하는 경우 인증을 받기 위한 개인키를 가질 수 있다. 예를 들어, 사물 인터넷 기기(10)는 해당 사물 인터넷 기기(10)의 제조사로부터 제조 시 개인키를 주입 받거나 직접 생성하여 내장할 수 있다. 이러한 경우, 사물 인터넷 기기(10)는 자신의 데이터에 전자서명을 하거나, 사물 인터넷에 연결되는 경우 자신을 인증 받기 위한 기기 식별 정보 등을 암호화하는데 사용할 수 있다. According to an example, the object Internet device 10 may have a private key for receiving authentication when it is connected to the object Internet and transmits data or connects to another object Internet device. For example, the object Internet device 10 may receive the private key from the manufacturer of the corresponding object Internet device 10 or may directly generate and embed the private key. In this case, the object Internet device 10 can be used to digitally sign its data or to encrypt device identification information for authenticating itself when connected to the object Internet.

일 예에 따르면, 사물 인터넷 기기(10)는 인증에 사용하기 위한 인증서를 외부 서버로부터 수신할 수 있다. 예를 들어, 외부 서버는 인증서 배포 장치(100)일 수 있다. 사물 인터넷 기기(10)는 사전에 인증서를 주입 받아 저장할 필요 없이 필요시 인증서 배포 장치(100)에 인증서를 요청하여 이용할 수 있다. 이때, 사물 인터넷 기기(10)는 인증서를 요청하기 위하여 자신의 기기 식별 정보를 포함하는 인증서 요청 정보를 개인키로 암호화하여 인증서 배포 장치(100)에 전송할 수 있다.According to one example, the matter Internet device 10 can receive a certificate for use in authentication from an external server. For example, the external server may be the certificate distribution apparatus 100. The object Internet device 10 can request and use a certificate to the certificate distribution apparatus 100, if necessary, without having to import and store the certificate in advance. At this time, the object Internet device 10 may encrypt the certificate request information including the device identification information of the object Internet device 10 with the private key to request the certificate, and transmit the encrypted certificate request information to the certificate distribution device 100.

인증 기관 서버(30)는 사물 인터넷 기기의 인증서를 발급, 효력의 정지 또는 회복 및 폐기를 할 수 있다. 예를 들어, 인증 기관 서버(30)는 인증서 배포 장치(100)로부터 사물 인터넷 기기(10)에 대한 인증서를 발급, 효력의 정지 또는 회복 및 폐기 요청을 수신하여 해당 인증서를 발급, 효력의 정지 또는 회복 및 폐기를 할 수 있다. The certification authority server 30 can issue the certificate of the object Internet device, suspend the effect, and recover and discard the certificate. For example, the certification authority server 30 issues a certificate to the object Internet device 10 from the certificate distribution apparatus 100, receives a request to stop or recover the certificate, Recovery and disposal.

제조사 서버(50)는 사물 인터넷 기기(10)에 대응하는 개인키 및 공개키 쌍을 생성하거나 사물 인터넷 기기(10)에서 생성되도록 할 수 있다. 일 예로, 제조사 서버(50)는 사물 인터넷 기기(10) 제조 시 사물 인터넷 기기(10)에 대한 개인키를 주입하거나 사물 인터넷 기기(10)로부터 공개키를 추출할 수 있으며, 이후 인증서 배포 장치(100)에 사물 인터넷 기기(10)의 제품 정보 및 공개키를 전송하여 등록하도록 요청할 수 있다. 이러한 경우, 개인키와 공개키가 사전에 사물 인터넷 기기(10)와 인증서 배포 장치(100)에 배포됨으로써 사물 인터넷 기기(10)의 아이디를 위장한 해킹 등의 공격을 방지할 수 있다.The manufacturer server 50 may generate the private key and the public key pair corresponding to the object internet appliance 10 or may be generated at the object internet appliance 10. [ For example, the manufacturer server 50 can inject a private key to the object Internet device 10 or extract a public key from the object Internet device 10 when manufacturing the object Internet device 10, 100 to transmit the product information and the public key of the object Internet device 10 to request registration. In this case, the private key and the public key are distributed to the object Internet device 10 and the certificate distribution device 100 in advance, thereby preventing an attack such as hacking, etc., of the object Internet device 10.

인증서 배포 장치(100)는 사물 인터넷 기기(10)로부터 기기 식별 정보를 포함하는 인증서 요청 정보를 수신하여 기기 식별 정보에 대응하는 미리 등록된 제품 정보 및 공개키를 기초로 인증서를 획득하고, 해당 사물 인터넷 기기(10)에 전송할 수 있다. 공인된 기관에서 인증서 배포 장치(100)를 운용하고 소유자가 등록되어야 인증서 배포가 이루어 지도록 강제함으로써 등록된 소유자가 책임 귀속 주체로 지정되도록 할 수 있다.The certificate distribution apparatus 100 receives the certificate request information including the device identification information from the object Internet apparatus 10, acquires the certificate based on the pre-registered product information and the public key corresponding to the device identification information, To the Internet device 10. The registered owner can be designated as the responsible owner by operating the certificate distribution apparatus 100 in the authorized organization and forcing the certificate distribution to be performed until the owner registers.

도 2는 일 실시예에 따른 인증서 배포 장치(100)의 구성도이다.2 is a configuration diagram of a certificate distribution apparatus 100 according to an embodiment.

도 2를 참조하면, 인증서 배포 장치(100)는 등록부(110), 인증서 획득부(130), 인증서 배포부(150), 등록 정보 DB(170) 및 인증서 DB(190)를 포함할 수 있다.Referring to FIG. 2, the certificate distribution apparatus 100 may include a registration unit 110, a certificate acquisition unit 130, a certificate distribution unit 150, a registration information DB 170, and a certificate DB 190.

일 실시예에 따르면, 등록부(110)는 사물 인터넷 기기의 제조사 서버(50)로부터 사물 인터넷 기기(10)의 제품 정보 및 공개키를 수신하고, 수신된 제품 정보 및 공개키를 등록할 수 있다. According to one embodiment, the registration unit 110 receives the product information and the public key of the object Internet device 10 from the manufacturer server 50 of the object Internet device, and registers the received product information and the public key.

예를 들어, 등록부(110)는 제조사 서버(50)로부터 사물 인터넷 기기(10)의 기기 명칭, 아이디, 일련 번호, 모델 번호 및 부품 번호 중의 적어도 하나를 포함하는, 인증서 발급에 필요한 제품 정보를 수신할 수 있다. 다만, 이에 제한되는 것은 아니다. 등록부(110)는 수신한 사물 인터넷 기기(10)의 제품 정보 및 공개키를 등록 정보 DB에 저장할 수 있다. 이렇게 저장된 제품 정보 및 공개키는 인증서를 획득하는데 사용될 수 있다.For example, the registration unit 110 receives product information necessary for certificate issuance, including at least one of a device name, an ID, a serial number, a model number, and a part number of the object Internet device 10 from the manufacturer server 50 can do. However, the present invention is not limited thereto. The registration unit 110 may store the received product information and the public key of the object Internet device 10 in the registration information DB. The stored product information and the public key can then be used to obtain the certificate.

다른 실시예에 따르면, 등록부(110)는 제조사 서버(50)로부터 사물 인터넷 기기(10)에 주입할 UUID(universally unique identifier) 정보의 제공 요청을 수신하면, UUID 정보를 생성하고, 생성된 UUID 정보를 제품 정보 및 공개키와 함께 등록하고, 제조사 서버(50)에 전송할 수 있다.According to another embodiment, when the registering unit 110 receives a request for providing universally unique identifier (UUID) information to be injected from the manufacturer's server 50, the registering unit 110 generates UUID information, Together with the product information and the public key, to the manufacturer server 50.

여기서, UUID는 소프트웨어 구축에 쓰이는 식별자 표준일 수 있다. 일 예로, UUID는 16 옥텟 (128비트)의 수이며, 표준 형식에서 UUID는 32개의 십육진수로 표현되며 총 36개 문자(32개 문자와 4개의 하이픈)로 된 8-4-4-4-12라는 5개의 그룹을 하이픈으로 구분한다.Here, the UUID may be an identifier standard used in software construction. For example, a UUID is a number of 16 octets (128 bits), and in the standard format, the UUID is represented by 32 hexadecimal digits and a total of 36 characters (32 characters and 4 hyphens) 12 are separated by hyphens.

등록부(110)는 제조사 서버(50)로부터 공개키의 등록을 요청 받으면, 공개키에 대응하는 UUID를 생성하고, 이를 제조사 서버(50)로 전송하여, 사물 인터넷 기기(10)에 주입시킬 수 있다. 이후, 사물 인터넷 기기(10)는 인증서 요청 정보를 개인키로 암호화 하고 주입된 UUID를 첨부하여 인증서 배포 장치(100)에 인증서를 요청할 수 있으며, 인증서 배포 장치(100)는 해당 UUID에 대응하는 공개키를 이용하여 사물 인터넷 기기(10)가 전송한 인증서 요청 정보를 복호화 할 수 있다.When the registration unit 110 is requested to register the public key from the manufacturer server 50, the registration unit 110 generates a UUID corresponding to the public key, and transmits the generated UUID to the manufacturer server 50 so as to inject the UUID into the object Internet apparatus 10 . After that, the object Internet device 10 may request the certificate distribution apparatus 100 for a certificate by encrypting the certificate request information with the private key and attaching the injected UUID. The certificate distribution apparatus 100 transmits the public key corresponding to the corresponding UUID To decrypt the certificate request information transmitted by the object Internet device 10. [

일 예에 따르면, 인증서 획득부(130)는 사물 인터넷 기기 또는 사물 인터넷 기기의 인증을 수행하는 인증 단말로부터, 기기 식별 정보를 포함하는 인증서 요청 정보를 수신하고, 기기 식별 정보에 대응하는 미리 등록된 제품 정보 및 공개키를 기초로 인증서를 획득할 수 있다.According to an example, the certificate obtaining unit 130 receives certificate request information including device identification information from an authentication terminal that performs authentication of the object Internet device or the object Internet device, The certificate can be obtained based on the product information and the public key.

일 예로, 인증서 획득부(130)는 사물 인터넷 기기로부터 인증서 요청 정보를 수신할 수 있다. 사물 인터넷 기기는 사물 인터넷과 연결하기 위하여 자체적으로 인증서를 내장하고 있을 수 있다. 이는 사물 인터넷 기기가 연결하고자 하는 장치가 인증서 배포 장치에 인증서를 요청할 수 없는 경우에 사용될 수 있다. 이러한 경우, 인증서의 사전 배포 방식으로 사물 인터넷 기기를 인증하는 장치와 호환될 수 있다.For example, the certificate obtaining unit 130 may receive the certificate request information from the object Internet device. Objects Internet devices may have their own certificates embedded to connect to the Internet. This can be used when the device to be connected to the object Internet device can not request a certificate from the certificate distribution device. In this case, the device may be compatible with a device that authenticates the object Internet device in a pre-distribution manner of the certificate.

다른 예로, 인증서 획득부(130)는 사물 인터넷 기기의 인증을 수행하는 인증 단말로부터 인증서 요청 정보를 수신할 수 있다. 예를 들어, 인증 단말은 사물 인터넷 기기의 데이터를 수신하여 처리하는 별개의 장치이거나 사물 인터넷 간 통신을 수행하는 또 다른 사물 인터넷 기기일 수 있다.As another example, the certificate obtaining unit 130 may receive certificate request information from an authentication terminal that performs authentication of the object Internet appliance. For example, the authentication terminal may be a separate device that receives and processes the data of the object Internet device or another object Internet device that performs the object internet communication.

인증서 획득부(130)는 기기 식별 정보를 포함하는 인증서 요청 정보를 수신하면, 해당 인증서 요청 정보를 검증할 수 있다. 예를 들어, 인증서 요청 정보가 사물 인터넷 기기의 개인키로 암호화 되어 있는 경우 인증서 획득부(130)는 등록 정보 DB(170)에서 해당 사물 인터넷 기기의 공개키를 읽어와 암호화 되어 있는 인증서 요청 정보를 복호화 및 검증 할 수 있다. When the certificate obtaining unit 130 receives the certificate request information including the device identification information, the certificate obtaining unit 130 can verify the corresponding certificate request information. For example, when the certificate request information is encrypted with the private key of the object Internet device, the certificate obtaining unit 130 reads the public key of the object Internet device from the registration information DB 170 and decrypts the encrypted certificate request information And verification.

일 예로, 인증서 획득부(130)는 획득된 제품 정보 및 공개키를 기초로 인증 기관 서버(30)에 인증서 발급을 요청하고, 인증 기관 서버(30)로부터 발급된 인증서를 수신할 수 있다. 이렇게 수신된 인증서는 사물 인터넷 기기에 제공될 수 있으며, 인증서 배포 장치(100)의 인증서 DB(190)에 저장할 수 있다.For example, the certificate obtaining unit 130 may request the certification authority server 30 to issue a certificate based on the obtained product information and the public key, and may receive the certificate issued from the certification authority server 30. The received certificate may be provided to the object Internet device and may be stored in the certificate DB 190 of the certificate distribution apparatus 100.

다른 예로, 인증서 획득부(130)는 기기 식별 정보에 기초하여 인증서 DB(190)로부터 인증서를 획득할 수 있다. 예를 들어, 이미 해당 사물 인터넷 기기에 대한 인증서를 인증 기관 서버(30)로부터 제공받아 인증서 DB(190)에 저장하여 관리하고 있는 경우, 인증서 획득부(130)는 인증 기관 서버에 별도의 인증서 요청 없이 인증서 DB(190)에 저장되어 있는 인증서를 획득하여 사물 인터넷 기기(10)에 전송할 수 있다. 다만, 인증서 DB에 인증서가 존재하지 않는 경우, 인증 기관 서버에 인증서를 요청할 수 있다.As another example, the certificate obtaining unit 130 may obtain a certificate from the certificate DB 190 based on the device identification information. For example, if the certificate for the object Internet device is already received from the certification authority server 30 and stored in the certificate DB 190 for management, the certificate acquisition unit 130 sends a separate certificate request It is possible to acquire the certificate stored in the certificate DB 190 and transmit it to the object Internet device 10. [ However, if the certificate does not exist in the certificate DB, it can request a certificate from the certificate authority server.

또 다른 예로, 인증서 획득부(130)는 인증서 DB(190)에 인증서가 존재하나, 획득된 인증서가 유효하지 않은 경우 인증 기관 서버(30)에 새로운 인증서의 발급을 요청할 수 있다. 일 예를 들어, 인증서의 유효기간이 경과한 경우, 인증서 획득부(130)는 인증서를 폐기하거나, 인증 기관 서버에 기존의 인증서의 갱신을 요청할 수 있다. 다른 예를 들어, 인증서 획득부(130)는 인증서가 유효하지 않은 경우, 기존 인증서를 폐기한 후, 새로운 인증서를 요청할 수 있다.As another example, the certificate obtaining unit 130 may request the certification authority server 30 to issue a new certificate when the certificate exists in the certificate DB 190 but the obtained certificate is not valid. For example, when the validity period of the certificate has elapsed, the certificate obtaining unit 130 may discard the certificate or request the certification authority server to update the existing certificate. Alternatively, if the certificate is not valid, the certificate obtaining unit 130 may discard the existing certificate, and then request a new certificate.

이렇게 획득된 인증서는 인증서 배포부(150)를 통하여 인증서 요청 정보를 전송한 사물 인터넷 기기 또는 인증 단말에 전송할 수 있다.The certificate thus obtained may be transmitted to the object Internet device or the authentication terminal that has transmitted the certificate request information through the certificate distribution unit 150. [

인증서 요청 정보는 시간 정보, PIN 및 T-OTP(Time-based One Time Password) 중의 적어도 하나를 더 포함할 수 있다. 이러한 경우, 인증서 획득부(130)는 시간 정보, PIN 및 T-OTP 중의 적어도 하나에 기초하여 인증서 요청의 유효성을 검증하고, 검증 결과를 기초로 인증서를 획득할 수 있다.The certificate request information may further include at least one of time information, a PIN, and a Time-based One Time Password (T-OTP). In this case, the certificate obtaining unit 130 can verify the validity of the certificate request based on at least one of the time information, the PIN, and the T-OTP, and obtain the certificate based on the verification result.

일 예로, 인증서 요청 정보는 시간 정보를 포함할 수 있다. 예를 들어, 시간 정보는 타임스탬프일 수 있다. 인증서 획득부(130)는 인증서 요청 정보로부터 시간 정보를 추출할 수 있으며, 추출된 시간 정보와 인증서 배포 장치(100)의 현재 시간과 비교하여 인증서 요청의 유효성을 검증할 수 있다. 예를 들어, 허용 오차를 1초 이내로 가정하면, 시간 정보와 현재 시간의 차이가 1초 이내인 경우, 인증서 획득부(130)는 인증서 요청이 유효하다고 판단할 수 있으며, 그렇지 않은 경우 인증서 요청이 유효하지 않다고 판단할 수 있다. As an example, the certificate request information may include time information. For example, the time information may be a timestamp. The certificate obtaining unit 130 may extract time information from the certificate request information and compare the extracted time information with the current time of the certificate distribution apparatus 100 to verify the validity of the certificate request. For example, if the tolerance is assumed to be within one second, if the difference between the time information and the current time is less than one second, the certificate obtaining unit 130 may determine that the certificate request is valid, It can be judged to be invalid.

다른 예로, 인증서 요청 정보는 개인 식별 번호(Personal Identification Number; PIN)을 포함할 수 있다. 인증서 획득부(130)는 인증서 요청 정보로부터 PIN을 추출할 수 있다. 또한, 인증서 획득부(130)는 사용자에 따른 PIN을 조회할 수 있으며, 추출된 PIN과 인증서 배포 장치(100)가 조회한 PIN을 비교하여 인증서 요청의 유효성을 검증할 수 있다.In another example, the certificate request information may include a Personal Identification Number (PIN). The certificate obtaining unit 130 may extract the PIN from the certificate request information. Also, the certificate obtaining unit 130 can inquire the PIN according to the user, and can verify the validity of the certificate request by comparing the extracted PIN with the PIN inquired by the certificate distribution apparatus 100. [

또 다른 예로, 인증서 요청 정보는 T-OTP를 포함할 수 있다. T-OTP는 일회용 비밀 번호를 생성하기 위해 사용하는 입력 값으로 시각을 사용하는 방식이다. 사물 인터넷 기기는 현재 시각을 입력값으로 일회용 비밀 번호를 생성해 인증서 배포 장치(100)로 전송하고, 인증서 획득부(130) 역시 동일한 방식으로 일회용 비밀번호를 생성하여 클라이언트가 전송한 값의 유효성을 검사할 수 있다. 따라서, 인증서 요청이 일정 시간 이상 지연된 경우, 일회용 비밀 번호가 상호 상이하게 될 수 있으며, 인증서 획득부(130)는 인증서 요청이 유효하지 않다고 판단할 수 있다.As another example, the certificate request information may include a T-OTP. T-OTP is a method of using time as an input value used to generate a one-time password. The object Internet device generates a one-time password using the current time as an input value and transmits the generated one-time password to the certificate distribution apparatus 100. The certificate acquisition unit 130 also generates a one-time password in the same manner to check the validity of the value transmitted by the client can do. Accordingly, when the certificate request is delayed for a predetermined time or longer, the one-time passwords may be different from each other, and the certificate obtaining unit 130 may determine that the certificate request is invalid.

인증 단말에 의해 수행되는 사물 인터넷 기기의 인증은 사물 인터넷 기기 자체의 인증 및 사물 인터넷 기기에 의해 전자 서명된 데이터의 인증 중의 적어도 하나를 포함할 수 있다. Authentication of the object Internet device performed by the authentication terminal may include at least one of authentication of the object Internet device itself and authentication of the digital signature data by the object Internet device.

일 예를 들어, 인증 단말이 사물 인터넷 기기의 데이터를 수신하여 처리하는 별개의 처리 장치인 경우, 인증 단말은 수신한 데이터가 위조 또는 변조된 것인지 여부를 판단할 필요가 있다. 이를 위해, 사물 인터넷 기기는 자신의 인증서 요청 정보와 전자 서명 된 데이터를 인증 단말에 전송할 수 있다. 이에 따라, 인증 단말은 해당 사물 인터넷 기기의 인증서 요청 정보를 인증서 배포 장치(100)에 전송하여 인증서를 수신할 수 있으며, 수신한 인증서를 기초로 전자 서명의 유효성을 검증하여 데이터의 위조 또는 변조 여부를 확인할 수 있다.For example, if the authentication terminal is a separate processing device that receives and processes the data of the object Internet device, the authentication terminal needs to determine whether the received data is falsified or altered. To this end, the object Internet device may transmit its certificate request information and digitally signed data to the authentication terminal. Accordingly, the authentication terminal can transmit the certificate request information of the relevant object Internet device to the certificate distribution apparatus 100, receive the certificate, verify the validity of the digital signature based on the received certificate, .

다른 예를 들어, 인증 단말은 사물 인터넷 간 통신을 수행하는 또 다른 사물 인터넷 기기일 수 있다. 예를 들어, 제1 사물 인터넷 기기 및 제2 사물 인터넷 기기가 상호 연결되어 동작하는 경우, 인증서 획득부(130)는 제1 사물 인터넷 기기 및 제2 사물 인터넷 기기로부터 상호 연결을 위한 인증서 요청 정보를 수신하면, 제1 사물 인터넷 기기의 제1 인증서 및 제2 사물 인터넷 기기의 제2 인증서를 획득하고, 제1 사물 인터넷 기기 및 제2 사물 인터넷 기기가 상호 인증을 하도록, 획득된 제1 인증서 및 제2 인증서를 각각 제2 사물 인터넷 기기 및 제1 사물 인터넷 기기에 전송할 수 있다. In another example, the authentication terminal may be another object Internet device that performs object-to-object Internet communication. For example, when the first-object Internet appliance and the second-object internet appliance are connected to each other, the certificate obtaining part 130 obtains the certificate request information for the mutual connection from the first-object Internet appliance and the second- A first certificate of the first thing Internet device and a second certificate of the second matter internet device, and acquires the first certificate and the second certificate of the second matter internet device, 2 certificate to the second-party Internet device and the first-party Internet device, respectively.

도 3은 일 실시예에 따른 공개키를 등록하는 방법을 도시한 흐름도이다. FIG. 3 is a flowchart illustrating a method of registering a public key according to an embodiment.

도 3을 참조하면, 제조사 서버(50)는 사물 인터넷 기기를 제조하면서 사물 인터넷 기기에 대응하는 개인키와 공개키 쌍을 생성할 수 있다(310). 이렇게 생성된 개인키는 제조 시 사물 인터넷 기기(10)에 주입시킬 수 있으며(320), 사물 인터넷 기기(10)는 개인키를 저장하고(330), 제조사 서버(50)에 개인키 주입이 완료됨을 통지할 수 있다(340). 또한, 제조사 서버(50)는 사물 인터넷 기기(10)에 대응하는 사물 인터넷 기기의 제품 정보 및 공개키를 인증서 배포 장치(100)에 등록 요청을 한다(350). 이후, 인증서 배포 장치(100)는 수신된 제품 정보 및 공개키를 등록하며, 해당 사물 인터넷 기기의 제품 정보 및 공개키를 저장하고(360), 등록이 완료 되었음을 제조사 서버(50)에 통지할 수 있다(370). 이때, 수신된 제품 정보 및 공개키의 등록은 도 2의 등록부(110)에서 수행될 수 있으며, 저장은 도 2의 등록 정보 DB(170)에 될 수 있다.Referring to FIG. 3, the manufacturer server 50 may generate a private key and a public key pair corresponding to the object Internet appliance while manufacturing the object Internet appliance (310). The generated private key can be injected into the object Internet device 10 at the manufacturing stage 320. The object Internet device 10 stores the private key 330 and the private key injection is completed to the manufacturer server 50 (340). In addition, the manufacturer server 50 requests the certificate distribution apparatus 100 to register the product information and the public key of the object Internet device 10 corresponding to the object Internet device 10 (350). Thereafter, the certificate distribution apparatus 100 registers the received product information and the public key, stores the product information and the public key of the relevant object Internet device (360), and notifies the manufacturer server 50 that the registration is completed (370). At this time, the registration of the received product information and the public key may be performed by the registration unit 110 of FIG. 2, and the registration may be performed by the registration information DB 170 of FIG.

도 4는 다른 실시예에 따른 공개키를 등록하는 방법을 도시한 흐름도이다.4 is a flowchart illustrating a method of registering a public key according to another embodiment.

도 4를 참조하면, 인증서 배포 장치(100)는 공개키에 대응하는 UUID를 생성하여 사물 인터넷 장치에 제공할 수 있다. 이를 위하여 우선, 제조사 서버(50)는 사물 인터넷 기기의 키 쌍을 생성하며(410), 생성된 공개키의 등록과 함께, 인증서 배포 장치(100)가 공개키에 대응하는 사물 인터넷 기기를 식별하기 위한 UUID의 생성을 요청할 수 있다(420). 이 경우, 인증서 배포 장치(100)는 사물 인터넷 장치를 식별하기 위한 UUID를 생성하며(430), 생성된 UUID와 공개키를 등록시킨다(440).Referring to FIG. 4, the certificate distribution apparatus 100 may generate a UUID corresponding to the public key and provide the UUID to the object Internet apparatus. To this end, the manufacturer server 50 generates a key pair of the object Internet device 410, registers the generated public key, and identifies the object Internet device corresponding to the public key by the certificate distribution device 100 (420). ≪ / RTI > In this case, the certificate distribution apparatus 100 generates a UUID for identifying the object Internet device (430), and registers the generated UUID and the public key (440).

생성된 UUID 정보는 제조사 서버에 제공되며(450), 제조사 서버는 이를 사물 인터넷 기기(10)의 개인키와 함께 전송하여 사물 인터넷 기기(10)가 이를 저장하도록 한다(460). 이후, 사물 인터넷 기기(10)는 개인키를 저장하며(470), 주입이 완료되었음을 제조사 서버에 통지한다(480).The generated UUID information is provided to the manufacturer server (450), and the manufacturer server transmits it together with the private key of the object internet device (10) so that the object internet device (10) stores it (460). Thereafter, the object Internet device 10 stores the private key (470), and notifies the manufacturer server that the injection is completed (480).

이후 사물 인터넷 기기(10)가 인증을 위하여 인증서 요청 정보를 생성 시, 등록된 UUID는 주입된 개인키를 이용하여 암호화된 인증서 요청 정보와 함께 인증서 배포 장치(100)로 전송되며, 인증서 배포 장치(100)는 해당 UUID를 추출하여, 대응되는 공개키로 암호화된 인증서 요청 정보를 복호화 하는데 이용할 수 있다.When the object Internet device 10 generates certificate request information for authentication, the registered UUID is transmitted to the certificate distribution apparatus 100 together with the certificate request information encrypted using the injected private key, 100 can extract the corresponding UUID and use it to decrypt the certificate request information encrypted with the corresponding public key.

도 5는 또 다른 실시예에 따른 공개키를 등록하는 방법을 도시한 흐름도이다.FIG. 5 is a flowchart illustrating a method of registering a public key according to another embodiment.

도 5를 참조하면, 사물 인터넷 기기(10)에 대응되는 키 쌍이 제조사 단말이 아닌 사물 인터넷 기기(10)에서 생성되어 인증서 배포 장치(100)로 제공될 수 있다. 이를 위하여, 제조사 서버(50)는 사물 인터넷 기기(10)로 키 쌍 생성을 요청하며(510), 사물 인터넷 기기(10)는 요청을 수신하여 개인키 및 공개키를 생성하고(520), 개인키는 사물 인터넷 기기(10)에 저장하고(530), 생성된 공개키는 제조사 서버(50)로 전송된다(540). 이후, 제조사 서버(50)는 인증서 배포 장치(100) 사물 인터넷 기기의 제품 정보와 함께 공개키의 등록을 요청하며(550), 인증서 배포 장치(100)는 공개키를 등록하고(560), 제조사 서버(50)에 등록 완료를 통지한다(570).Referring to FIG. 5, a key pair corresponding to the object Internet device 10 may be generated in the object Internet device 10 and provided to the certificate distribution device 100, instead of the manufacturer terminal. To this end, the manufacturer server 50 requests the object Internet device 10 to generate a key pair 510, the object internet device 10 receives the request to generate a private key and a public key 520, The key is stored 530 in the Internet appliance 10, and the generated public key is transmitted 540 to the manufacturer server 50. Then, the manufacturer server 50 requests registration of the public key together with the product information of the Internet device of the certificate distribution apparatus 100 (550), the certificate distribution apparatus 100 registers the public key (560) The server 50 is notified of completion of registration (570).

도 6은 일 실시예에 따른 인증 단말(70)에 인증서를 배포하는 방법을 설명하기 위한 예시도이다.FIG. 6 is an exemplary diagram illustrating a method of distributing a certificate to an authentication terminal 70 according to an embodiment.

도 6을 참조하면, 인증 단말(70)은 사물 인터넷 기기(10)와 연결되며, 사물 인터넷 기기(10)로부터 데이터를 수신할 수 있다. 또한, 인증 단말(70)은 사물 인터넷 기기(10)로부터 인증서 요청 정보를 수신하여 인증서 배포 장치(100)에 해당 사물 인터넷 기기(10)의 인증서를 요청할 수 있다.Referring to FIG. 6, the authentication terminal 70 is connected to the object Internet device 10 and can receive data from the object internet device 10. The authentication terminal 70 may receive the certificate request information from the object Internet device 10 and request the certificate distribution device 100 for the certificate of the object Internet device 10. [

일 예에 따르면, 사물 인터넷 기기(10)는 차량용 블랙 박스(10)일 수 있으며, 인증 단말(70)은 스마트 폰(70)일 수 있으며, 차량용 블랙 박스(10)는 스마트 폰(70)에 녹화된 영상을 제공할 수 있다. 이 때, 스마트 폰(70)은 차량용 블랙 박스로부터 수신한 데이터가 위조 또는 변조된 것인지 여부를 확인할 필요가 있다. 이러한 경우, 차량용 블랙 박스(10)는 자신의 영상을 자체에 내장되어 있는 개인키를 이용하여 전자 서명을 할 수 있으며, 인증서 요청 정보가 포함된 정보를 스마트 폰(70)으로 전송할 수 있다. 스마트 폰(70)은 차량용 블랙 박스(10)의 기기 식별 정보를 포함하는 인증서 요청 정보를 인증서 배포 장치(100)에 전송하여 인증서를 요청할 수 있다.The object Internet device 10 may be a vehicle black box 10 and the authentication terminal 70 may be a smartphone 70 and the vehicle black box 10 may be a smart phone 70 It is possible to provide a recorded image. At this time, the smartphone 70 needs to check whether or not the data received from the vehicle black box is falsified or altered. In this case, the vehicle black box 10 can electronically sign an image of the vehicle using the private key built in the vehicle, and can transmit the information including the certificate request information to the smartphone 70. The smartphone 70 may transmit the certificate request information including the device identification information of the vehicle black box 10 to the certificate distribution apparatus 100 to request the certificate.

다른 예를 들어, 인증 단말(70)이 인터넷이 지원되지 않는 차량용 블랙 박스(10)에서 제공된 영상의 위조 또는 변조 여부를 확인할 필요가 있다. 이러한 경우, 차량용 블랙 박스(10)는 자신의 영상을 자체에 내장되어 있는 개인키를 이용하여 전자 서명을 할 수 있으며, 스마트 폰(70)에서 차량용 블랙 박스(10)의 기기 식별 정보와 인증을 위한 PIN을 수동으로 입력 받아 인증서 배포 장치(100)에 전송하여 인증서를 요청할 수 있다.For another example, it is necessary for the authentication terminal 70 to check whether or not the image provided in the vehicle black box 10 in which the Internet is not supported is falsified or altered. In this case, the vehicle black box 10 can electronically sign its own image using the private key built in itself, and the device identification information and authentication of the vehicle black box 10 are transmitted from the smartphone 70 The PIN may be manually input and transmitted to the certificate distribution apparatus 100 to request a certificate.

인증서 배포 장치(100)는 스마트 폰(70)으로부터, 블랙 박스(10)의 기기 식별 정보를 포함하는 인증서 요청 정보를 수신하면, 기기 식별 정보에 대응하는 미리 등록된 제품 정보 및 공개키를 기초로 인증서를 획득하고, 획득된 인증서를 인증서 요청 정보를 전송한 스마트 폰(70)에 전송할 수 있다. Upon receiving the certificate request information including the device identification information of the black box 10 from the smartphone 70, the certificate distribution apparatus 100 transmits the certificate request information based on the pre-registered product information and the public key corresponding to the device identification information Obtain the certificate, and transmit the obtained certificate to the smartphone 70 that has transmitted the certificate request information.

스마트 폰(70)은 인증서 배포 장치(100)로부터 수신한 인증서를 이용하여 전자 서명의 유효성을 인증할 수 있으며, 이로 인하여 데이터의 위조 또는 변조 사실 여부를 확인할 수 있다.The smartphone 70 can authenticate the validity of the digital signature using the certificate received from the certificate distribution apparatus 100, thereby confirming whether the data is falsified or tampered.

도 7은 일 실시예에 따른 상호 연결을 위한 인증서 배포 방법을 설명하기 위한 예시도이다.7 is an exemplary view for explaining a certificate distribution method for an interconnection according to an embodiment.

도 7을 참조하면, 2개의 사물 인터넷 기기(10, 15)는 서로 연결하여 동작하기 위하여 상호 인증을 필요로 할 수 있다. 이 경우, 인증 단말은 자신이 연결 여부를 결정할 사물 인터넷 기기의 인증서를 요청하는 사물 인터넷 기기일 수 있다. Referring to FIG. 7, the two Internet devices 10 and 15 may require mutual authentication to operate in connection with each other. In this case, the authentication terminal may be a matter-of-interest Internet device that requests a certificate of the object Internet device to determine whether to connect or not.

예를 들어, 두 개의 사물 인터넷 기기는 각각 차량용 블랙 박스(10)와 모니터(15)일 수 있다. 이때, 차량용 블랙 박스(10)는 모니터(15)와 연결되어 스마트 폰(15)에 저장된 영상을 전송할 수 있다. 또한, 차량용 블랙 박스(10)는 자신에게 등록된 모니터(15)에만 영상을 전송할 필요가 있다. 마찬가지로, 모니터(15)는 인증된 차량용 블랙 박스(10)로부터만 영상을 수신할 필요가 있으며, 차량용 블랙 박스(10)로부터 수신한 영상이 위조 또는 변조가 이루어 졌는지 여부를 확인할 필요가 있다. 이러한 경우, 각각의 차량용 블랙 박스(10)와 모니터(15)는 상호 인증이 필요할 수 있다. For example, the two object Internet devices may be the vehicle black box 10 and the monitor 15, respectively. At this time, the vehicle black box 10 is connected to the monitor 15 and can transmit the image stored in the smartphone 15. Further, the vehicle black box 10 needs to transmit an image only to the monitor 15 registered to itself. Similarly, the monitor 15 needs to receive the image only from the authenticated vehicle black box 10, and it is necessary to check whether the image received from the vehicle black box 10 has been falsified or altered. In such a case, mutual authentication may be required between each of the vehicle black box 10 and the monitor 15.

이때, 차량용 블랙 박스(10)는 모니터(15)로부터 모니터(15)의 인증서 요청 정보를 수신하여 인증서 배포 장치(100)에 모니터(15)의 인증서를 요청할 수 있으며, 인증서 배포 장치(100)로부터 모니터(15)에 대응하는 인증서를 제공 받아 모니터(15)를 인증할 수 있다. 모니터(15)의 경우에도, 차량용 블랙 박스(10)로부터 차량용 블랙 박스(10)의 인증서 요청 정보를 수신하여 인증서 배포 장치(100)에 인증서를 요청할 수 있으며, 차량용 블랙 박스(10)의 인증서를 수신하여 차량용 블랙 박스(10)를 인증할 수 있다.At this time, the vehicle black box 10 can receive the certificate request information of the monitor 15 from the monitor 15, request the certificate distribution apparatus 100 for the certificate of the monitor 15, The monitor 15 can be authenticated by receiving a certificate corresponding to the monitor 15. The monitor 15 can also receive the certificate request information of the vehicle black box 10 from the vehicle black box 10 and request the certificate distribution apparatus 100 for the certificate, And can authenticate the black box 10 for a vehicle.

도 8은 일 실시예에 따른 사용자 인증 토큰(10)을 인증하기 위한 인증서 배포 방법을 설명하기 위한 예시도이다.8 is an exemplary diagram illustrating a certificate distribution method for authenticating a user authentication token 10 according to an embodiment.

도 8을 참조하면, 사용자 단말(80)은 특정 기능을 수행하는 서버(85)와 데이터를 송수신 할 수 있다. 이러한 경우, 사용자 단말(80)은 자신이 전송하는 데이터의 보안을 위하여 인증 정보를 생성하거나, 전자 서명을 할 필요성이 있으며, 이를 위하여 사용자 인증 토큰(10)을 사용할 수 있다. 또한, 서버(85)는 자신이 받은 데이터가 위조 또는 변조가 되었는지 여부를 확인할 필요가 있으며, 이를 위하여 사용자 단말이 인증에 사용하는 사용자 인증 토큰(10)을 인증할 필요가 있다.Referring to FIG. 8, the user terminal 80 can exchange data with the server 85 performing a specific function. In this case, the user terminal 80 needs to generate authentication information or securely sign it to secure the data transmitted by the user terminal 80, and can use the user authentication token 10 for this purpose. Also, the server 85 needs to check whether the received data has been falsified or altered, and for this, the user terminal needs to authenticate the user authentication token 10 used for authentication.

이때, 서버(85)는 사용자 단말(80)을 통하여 사용자 인증 토큰(10)의 인증서 요청 정보를 수신할 수 있으며, 이를 이용하여 인증서 배포 장치(100)에 인증서를 요청할 수 있다. 이 경우, 인증서 배포 장치(100)는 사용자 인증 토큰(10)의 인증서 요청 정보를 수신하여 사용자 인증 토큰(10)의 기기 식별 정보에 대응하는 미리 등록된 제품 정보 및 공개키를 기초로 인증서를 획득하고, 획득된 인증서를 인증서 요청 정보를 서버(85)에 전송할 수 있다. At this time, the server 85 can receive the certificate request information of the user authentication token 10 through the user terminal 80, and can request a certificate to the certificate distribution apparatus 100 using the certificate request information. In this case, the certificate distribution apparatus 100 receives the certificate request information of the user authentication token 10 and acquires the certificate based on the previously registered product information and the public key corresponding to the device identification information of the user authentication token 10 And transmit the obtained certificate to the server 85 with the certificate request information.

서버(85)는 인증서 배포 장치(100)로부터 수신한 인증서를 이용하여 사용자 인증 토큰(10)을 인증할 수 있으며, 이로 인하여 사용자 단말(80)로부터 수신한 데이터의 위조 또는 변조 사실 여부를 확인할 수 있다.The server 85 can authenticate the user authentication token 10 by using the certificate received from the certificate distribution apparatus 100 and thereby check whether the data received from the user terminal 80 is falsified or tampered with have.

도 9는 일 실시예에 따른 인증서 배포 방법을 도시한 흐름도이다.9 is a flowchart illustrating a certificate distribution method according to an embodiment.

도 9를 참조하면, 인증서 배포 장치는 사물 인터넷 기기의 제조사 서버로부터 사물 인터넷 기기의 제품 정보 및 공개키를 수신하고, 수신된 제품 정보 및 공개키를 등록할 수 있다(910). 이때, 사물 인터넷 장치는 수신한 사물 인터넷 기기의 제품 정보 및 공개키를 등록 정보 DB에 저장할 수 있다. Referring to FIG. 9, the certificate distribution apparatus receives the product information and the public key of the object Internet apparatus from the manufacturer server of the object Internet apparatus, and registers the received product information and the public key (910). At this time, the object Internet device can store the product information and the public key of the received object Internet device in the registration information DB.

이후, 인증서 배포 장치는 등록된 사물 인터넷 기기로부터 해당 사물 인터넷 기기의 인증서 요청 정보를 수신할 수 있다. 이러한 경우, 인터넷 배포 장치는 우선 해당 사물 인터넷 기기에 대응하는 공개키를 추출하고, 사물 인터넷 기기로부터 수신한 인증서 요청 정보를 복호화 할 수 있다. 이후, 인증서 배포 장치는 사물 인터넷 기기의 제품 정보를 추출하고, 추출된 제품 정보에 기초하여 인증서를 획득할 수 있다(930). 이때, 인증서를 획득하기 위하여 인증서 배포 장치는 인증서 배포 장치 내에 해당 인증서가 저장되어 있는지 여부를 검색할 수 있다. 검색 결과, 인증서 배포 장치 내에 해당 인증서가 존재하는 경우, 인증서 배포 장치는 해당 인증서를 읽어와 사물 인터넷 기기에 제공할 수 있다. 반면, 검색결과 인증서 배포 장치 내에 인증서가 존재하지 않는 경우 인증서 배포 장치는 인증 기관 서버에 해당 사물 인터넷 기기의 인증서를 요청하여 발급 받을 수 있다. 또는, 검색 결과 인증서 배포 장치 내에 인증서가 존재하나 인증서의 유효기간이 만료된 경우, 인증서 배포 장치는 이전 인증서를 갱신하거나, 새로운 인증서를 요청할 수 있다. 이렇게 획득된 인증서는 인증서 요청 정보를 전송한 사물 인터넷 기기 또는 인증 단말에 전송된다(950). Thereafter, the certificate distribution apparatus can receive certificate request information of the object Internet apparatus from the registered object internet apparatus. In this case, the Internet distribution apparatus can extract the public key corresponding to the object Internet apparatus and decrypt the certificate request information received from the object Internet apparatus. Thereafter, the certificate distribution apparatus extracts product information of the object Internet appliance and acquires the certificate based on the extracted product information (930). At this time, in order to acquire the certificate, the certificate distribution apparatus can search whether the corresponding certificate is stored in the certificate distribution apparatus. If the certificate exists in the certificate distribution device as a result of the search, the certificate distribution device can read the certificate and provide it to the Internet device. On the other hand, if the certificate does not exist in the search result certificate distribution device, the certificate distribution device can request the certificate of the object Internet device to be issued to the certification authority server. Alternatively, when the certificate exists in the search result certificate distribution device but the validity period of the certificate has expired, the certificate distribution device may renew the old certificate or request a new certificate. The certificate thus obtained is transmitted to the object Internet device or the authentication terminal that transmitted the certificate request information (950).

본 발명의 일 양상은 컴퓨터로 읽을 수 있는 기록 매체에 컴퓨터가 읽을 수 있는 코드로서 구현될 수 있다. 상기의 프로그램을 구현하는 코드들 및 코드 세그먼트들은 당해 분야의 컴퓨터 프로그래머에 의하여 용이하게 추론될 수 있다. 컴퓨터가 읽을 수 있는 기록 매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함할 수 있다. 컴퓨터가 읽을 수 있는 기록 매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 광 디스크 등을 포함할 수 있다. 또한, 컴퓨터가 읽을 수 있는 기록 매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산 방식으로 컴퓨터가 읽을 수 있는 코드로 작성되고 실행될 수 있다.One aspect of the present invention may be embodied as computer readable code on a computer readable recording medium. The code and code segments implementing the above program can be easily deduced by a computer programmer in the field. A computer-readable recording medium may include any type of recording device that stores data that can be read by a computer system. Examples of the computer-readable recording medium include ROM, RAM, CD-ROM, magnetic tape, floppy disk, optical disk, and the like. In addition, the computer-readable recording medium may be distributed to networked computer systems and written and executed in computer readable code in a distributed manner.

이제까지 본 발명에 대하여 그 바람직한 실시 예들을 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 따라서, 본 발명의 범위는 전술한 실시 예에 한정되지 않고 특허 청구범위에 기재된 내용과 동등한 범위 내에 있는 다양한 실시 형태가 포함되도록 해석되어야 할 것이다.The present invention has been described with reference to the preferred embodiments. It will be understood by those skilled in the art that various changes in form and details may be made therein without departing from the spirit and scope of the invention as defined by the appended claims. Therefore, the scope of the present invention should not be limited to the above-described embodiments, but should be construed to include various embodiments within the scope of the claims.

10: 사물 인터넷 기기 30: 인증 기관 서버
50: 제조사 서버 100: 인증서 배포 장치
110: 등록부 130: 인증서 획득부
150: 인증서 배포부 170: 등록 정보 DB
190: 인증서 DB
10: Object Internet device 30: Certificate authority server
50: manufacturer server 100: certificate distribution device
110: registering unit 130: certificate obtaining unit
150: certificate distribution unit 170: registration information DB
190: Certificate DB

Claims (10)

사물 인터넷 기기의 인증서 배포 장치에 있어서,
사물 인터넷 기기의 제조사 서버로부터 상기 사물 인터넷 기기의 제품 정보 및 공개키를 수신하고, 수신된 제품 정보 및 공개키를 등록하는 등록부;
사물 인터넷 기기 또는 사물 인터넷 기기의 인증을 수행하는 인증 단말로부터, 기기 식별 정보를 포함하는 인증서 요청 정보를 수신하고, 상기 기기 식별 정보에 대응하는 미리 등록된 제품 정보 및 공개키를 기초로 인증서를 획득하는 인증서 획득부; 및
상기 획득된 인증서를 상기 인증서 요청 정보를 전송한 사물 인터넷 기기 또는 인증 단말에 전송하는 인증서 배포부; 를 포함하는 인증서 배포 장치.
1. A certificate distribution device for an object Internet device,
A registration unit for receiving the product information and the public key of the object Internet appliance from the manufacturer server of the object internet appliance, and registering the received product information and the public key;
Receiving certificate request information including device identification information from an authentication terminal that performs authentication of the object Internet device or the object Internet device and acquiring a certificate based on the previously registered product information and the public key corresponding to the device identification information A certificate obtaining unit; And
A certificate distributing unit for transmitting the obtained certificate to a destination Internet device or an authentication terminal that has transmitted the certificate request information; The certificate issuing device.
제1항에 있어서,
상기 인증서 획득부는
상기 등록된 제품 정보 및 공개키를 기초로 인증 기관 서버에 인증서 발급을 요청하고, 인증 기관 서버로부터 발급된 인증서를 수신하는 인증서 배포 장치.
The method according to claim 1,
The certificate obtaining unit
Requesting the certificate authority server to issue a certificate based on the registered product information and the public key, and receiving the certificate issued from the certificate authority server.
제2항에 있어서,
사물 인터넷 기기의 제품 정보 및 공개키를 저장하는 등록 정보 DB; 및
상기 인증 기관 서버로부터 발급된 사물 인터넷 기기의 인증서를 저장하는 인증서 DB를 더 포함하고,
상기 인증서 획득부는
상기 기기 식별 정보를 기초로 인증서 DB로부터 인증서를 획득하며, 인증서 DB에 인증서가 존재하지 않거나, 획득된 인증서가 유효하지 않으면 인증 기관 서버에 새로운 인증서의 발급을 요청하는 인증서 배포 장치.
3. The method of claim 2,
A registration information DB for storing product information and a public key of the object Internet device; And
And a certificate DB for storing a certificate of the object Internet appliance issued from the certification authority server,
The certificate obtaining unit
Acquires a certificate from the certificate DB based on the device identification information, and requests the certificate authority server to issue a new certificate if the certificate does not exist in the certificate DB or if the obtained certificate is invalid.
제1항에 있어서,
상기 등록부는
상기 제조사 서버로부터 사물 인터넷 기기에 주입할 UUID(universally unique identifier) 정보의 제공 요청을 수신하면, 상기 UUID 정보를 생성하고, 생성된 UUID 정보를 상기 제품 정보 및 공개키와 함께 등록하고, 상기 제조사 서버에 전송하는 인증서 배포 장치.
The method according to claim 1,
The register
(UUID) information, and registers the UUID information together with the product information and the public key when receiving a request for providing universal unique identifier (UUID) information to be transmitted from the manufacturer server to the object Internet device, The certificate distribution device that sends the certificate to.
제1항에 있어서,
상기 인증서 요청 정보는 시간 정보, PIN 및 T-OTP(Time-based One Time Password) 중의 적어도 하나를 더 포함하며,
상기 인증서 획득부는
상기 시간 정보, PIN 및 T-OTP 중의 적어도 하나에 기초하여 상기 인증서 요청의 유효성을 검증하고, 검증 결과를 기초로 상기 인증서를 획득하는 인증서 배포 장치.
The method according to claim 1,
Wherein the certificate request information further includes at least one of time information, a PIN, and a time-based one time password (T-OTP)
The certificate obtaining unit
Verifying the validity of the certificate request based on at least one of the time information, the PIN, and the T-OTP, and obtaining the certificate based on the verification result.
제1항에 있어서,
상기 인증 단말에 의해 수행되는 사물 인터넷 기기의 인증은 사물 인터넷 기기 자체의 인증 및 사물 인터넷 기기에 의해 전자 서명된 데이터의 인증 중의 적어도 하나를 포함하는 인증서 배포 장치.
The method according to claim 1,
Wherein the authentication of the object Internet device performed by the authentication terminal includes at least one of authentication of the object Internet device itself and authentication of the digitally signed data by the object Internet device.
제1항에 있어서,
상기 인증서 획득부는
제1 사물 인터넷 기기 및 제2 사물 인터넷 기기로부터 상호 연결을 위한 인증서 요청 정보를 수신하면, 상기 제1 사물 인터넷 기기의 제1 인증서 및 제2 사물 인터넷 기기의 제2 인증서를 획득하고, 상기 제1 사물 인터넷 기기 및 제2 사물 인터넷 기기가 상호 인증을 하도록, 상기 획득된 제1 인증서 및 제2 인증서를 각각 제2 사물 인터넷 기기 및 제1 사물 인터넷 기기에 전송하는 인증서 배포 장치.
The method according to claim 1,
The certificate obtaining unit
Wherein the second certificate obtaining unit obtains the first certificate of the first object Internet appliance and the second certificate of the second object internet appliance upon receiving certificate request information for interconnection from the first object internet appliance and the second object internet appliance, To the second Internet appliance and the first Internet appliance, the first Internet certificate and the second certificate, respectively, so that the Internet and the second Internet are mutually authenticated.
인증서 배포 장치의 인증서 배포 방법에 있어서,
사물 인터넷 기기의 제조사 서버로부터 상기 사물 인터넷 기기의 제품 정보 및 공개키를 수신하고, 수신된 제품 정보 및 공개키를 등록하는 단계;
사물 인터넷 기기 또는 사물 인터넷 기기의 인증을 수행하는 인증 단말로부터, 기기 식별 정보를 포함하는 인증서 요청 정보를 수신하고, 상기 기기 식별 정보에 대응하는 미리 등록된 제품 정보 및 공개키를 기초로 인증서를 획득하는 단계; 및
상기 획득된 인증서를 상기 인증서 요청 정보를 전송한 사물 인터넷 기기 또는 인증 단말에 전송하는 단계; 를 포함하는 인증서 배포 방법.
In a certificate distribution method of a certificate distribution apparatus,
Receiving product information and a public key of the object Internet appliance from a manufacturer server of the object internet appliance, and registering the received product information and a public key;
Receiving certificate request information including device identification information from an authentication terminal that performs authentication of the object Internet device or the object Internet device and acquiring a certificate based on the previously registered product information and the public key corresponding to the device identification information ; And
Transmitting the obtained certificate to a destination Internet device or an authentication terminal that has transmitted the certificate request information; ≪ / RTI >
제8항에 있어서,
상기 인증서를 획득하는 단계는
상기 등록된 제품 정보 및 공개키를 기초로 인증 기관 서버에 인증서 발급을 요청하고, 인증 기관 서버로부터 발급된 인증서를 수신하는 인증서 배포 방법.
9. The method of claim 8,
The step of obtaining the certificate
Requesting the certificate authority server to issue a certificate based on the registered product information and the public key, and receiving the certificate issued from the certificate authority server.
제8항에 있어서,
상기 인증서 요청 정보는 시간 정보, PIN 및 T-OTP(Time-based One Time Password) 중의 적어도 하나를 더 포함하며,
상기 인증서를 획득하는 단계는
상기 시간 정보, PIN 및 T-OTP 중의 적어도 하나에 기초하여 상기 인증서 요청의 유효성을 검증하고, 검증 결과를 기초로 상기 인증서를 획득하는 인증서 배포 방법.
9. The method of claim 8,
Wherein the certificate request information further includes at least one of time information, a PIN, and a time-based one time password (T-OTP)
The step of obtaining the certificate
Validating the validity of the certificate request based on at least one of the time information, the PIN, and the T-OTP, and obtaining the certificate based on the verification result.
KR1020150108289A 2015-07-30 2015-07-30 Apparatus and Method for Certificate Distribution of the Internet of Things Equipment Active KR101686167B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150108289A KR101686167B1 (en) 2015-07-30 2015-07-30 Apparatus and Method for Certificate Distribution of the Internet of Things Equipment

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150108289A KR101686167B1 (en) 2015-07-30 2015-07-30 Apparatus and Method for Certificate Distribution of the Internet of Things Equipment

Publications (1)

Publication Number Publication Date
KR101686167B1 true KR101686167B1 (en) 2016-12-28

Family

ID=57724085

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150108289A Active KR101686167B1 (en) 2015-07-30 2015-07-30 Apparatus and Method for Certificate Distribution of the Internet of Things Equipment

Country Status (1)

Country Link
KR (1) KR101686167B1 (en)

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101874866B1 (en) * 2017-02-07 2018-07-06 남서울대학교 산학협력단 SYSTEM AND METHOD FOR TREATING THE END OF LIFE FOR IoT DEVICES USING THEIR IDENTIFIERS
KR20190115515A (en) * 2018-03-16 2019-10-14 주식회사 아도스 AUTHENTICATION METHOD AND SYSTEM OF IoT(Internet of Things) DEVICE BASED ON PUBLIC KEY INFRASTRUCTURE
KR102012515B1 (en) * 2018-10-25 2019-10-21 주식회사 케이앤씨가람 System for security control using random encryption ID card
KR20200032513A (en) * 2018-09-18 2020-03-26 한국전력공사 Apparatus and method for installing certificates
KR20200080441A (en) * 2018-12-26 2020-07-07 서강대학교산학협력단 Distributed device authentication protocol in internet of things blockchain environment
KR20200120563A (en) * 2019-04-12 2020-10-21 (주)한국공인인증서비스 METHOD FOR ISSUING TEMPORAY CERTIFICATE FOR IoT DEVICE
KR20210031149A (en) * 2019-09-11 2021-03-19 주식회사 아프로스 Secure IoT Smart Sensor Device
CN113783893A (en) * 2021-09-29 2021-12-10 远景智能国际私人投资有限公司 Data transmission method, device and system
US11233632B1 (en) 2020-07-02 2022-01-25 Cal-Chip Electronics Specialty Products, Inc. Connected secure key redistribution system and method
KR20220041632A (en) * 2020-09-25 2022-04-01 (주)조이튠 A Method for Authenticating and Communicating between a Device and a Mobile Based on a Public Key in a Mobile Near Field Communication
CN119232387A (en) * 2024-05-24 2024-12-31 中国联合网络通信集团有限公司 Certificate distribution method, communication module, device and medium
CN119603350A (en) * 2024-12-02 2025-03-11 海南科力千方科技有限公司 A method for registering an IOT device on an Internet of Things platform

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100772534B1 (en) * 2006-10-24 2007-11-01 한국전자통신연구원 Public key based device authentication system and method
KR20130019358A (en) 2011-08-16 2013-02-26 (주) 아이씨티케이 Apparatus and method for authentication between devices based on puf over machine-to-machine communications

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100772534B1 (en) * 2006-10-24 2007-11-01 한국전자통신연구원 Public key based device authentication system and method
KR20130019358A (en) 2011-08-16 2013-02-26 (주) 아이씨티케이 Apparatus and method for authentication between devices based on puf over machine-to-machine communications

Cited By (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101874866B1 (en) * 2017-02-07 2018-07-06 남서울대학교 산학협력단 SYSTEM AND METHOD FOR TREATING THE END OF LIFE FOR IoT DEVICES USING THEIR IDENTIFIERS
KR20190115515A (en) * 2018-03-16 2019-10-14 주식회사 아도스 AUTHENTICATION METHOD AND SYSTEM OF IoT(Internet of Things) DEVICE BASED ON PUBLIC KEY INFRASTRUCTURE
KR102078913B1 (en) * 2018-03-16 2020-04-07 주식회사 아도스 AUTHENTICATION METHOD AND SYSTEM OF IoT(Internet of Things) DEVICE BASED ON PUBLIC KEY INFRASTRUCTURE
KR20200032513A (en) * 2018-09-18 2020-03-26 한국전력공사 Apparatus and method for installing certificates
KR102128444B1 (en) * 2018-09-18 2020-06-30 한국전력공사 Apparatus and method for installing certificates
KR102012515B1 (en) * 2018-10-25 2019-10-21 주식회사 케이앤씨가람 System for security control using random encryption ID card
KR102177794B1 (en) * 2018-12-26 2020-11-12 서강대학교 산학협력단 Distributed device authentication protocol in internet of things blockchain environment
KR20200080441A (en) * 2018-12-26 2020-07-07 서강대학교산학협력단 Distributed device authentication protocol in internet of things blockchain environment
KR20200120563A (en) * 2019-04-12 2020-10-21 (주)한국공인인증서비스 METHOD FOR ISSUING TEMPORAY CERTIFICATE FOR IoT DEVICE
KR102224726B1 (en) * 2019-04-12 2021-03-08 주식회사 한국보안인증 METHOD FOR ISSUING TEMPORAY CERTIFICATE FOR IoT DEVICE
KR20210031149A (en) * 2019-09-11 2021-03-19 주식회사 아프로스 Secure IoT Smart Sensor Device
KR102241415B1 (en) * 2019-09-11 2021-04-19 주식회사 아프로스 Secure IoT Smart Sensor Device
US11233632B1 (en) 2020-07-02 2022-01-25 Cal-Chip Electronics Specialty Products, Inc. Connected secure key redistribution system and method
KR20220041632A (en) * 2020-09-25 2022-04-01 (주)조이튠 A Method for Authenticating and Communicating between a Device and a Mobile Based on a Public Key in a Mobile Near Field Communication
KR102462707B1 (en) * 2020-09-25 2022-11-04 (주)조이튠 A Method for Authenticating and Communicating between a Device and a Mobile Based on a Public Key in a Mobile Near Field Communication
CN113783893A (en) * 2021-09-29 2021-12-10 远景智能国际私人投资有限公司 Data transmission method, device and system
CN119232387A (en) * 2024-05-24 2024-12-31 中国联合网络通信集团有限公司 Certificate distribution method, communication module, device and medium
CN119603350A (en) * 2024-12-02 2025-03-11 海南科力千方科技有限公司 A method for registering an IOT device on an Internet of Things platform

Similar Documents

Publication Publication Date Title
KR101686167B1 (en) Apparatus and Method for Certificate Distribution of the Internet of Things Equipment
CN107493273B (en) Identity authentication method, system and computer readable storage medium
KR102202547B1 (en) Method and system for verifying an access request
JP6609788B1 (en) Information communication device, authentication program for information communication device, and authentication method
US11743053B2 (en) Electronic signature system and tamper-resistant device
US20040177258A1 (en) Secure object for convenient identification
JP6012888B2 (en) Device certificate providing apparatus, device certificate providing system, and device certificate providing program
CN111416807A (en) Data acquisition method, device and storage medium
WO2018050081A1 (en) Device identity authentication method and apparatus, electric device, and storage medium
WO2010067812A1 (en) Self-authentication communication equipment and equipment authentication system
US11777743B2 (en) Method for securely providing a personalized electronic identity on a terminal
CA2551113A1 (en) Authentication system for networked computer applications
JP2016521029A (en) Network system comprising security management server and home network, and method for including a device in the network system
CN114513339A (en) Security authentication method, system and device
CN113079506A (en) Network security authentication method, device and equipment
EP4203377B1 (en) Service registration method and device
KR20090054774A (en) Integrated Security Management Method in Distributed Network Environment
JP2012033145A (en) Server device, and computer system and login method thereof
GB2570292A (en) Data protection
CN110225011B (en) Authentication method and device for user node and computer readable storage medium
KR20100008893A (en) Method for enrollment and authentication using private internet access devices and system
JP7799769B2 (en) Communication system and communication method
JP6254964B2 (en) Authentication system, spare key management apparatus, spare key management method, and spare key management program
CN119382888B (en) User authentication method, intelligent service system, device, medium, and program
CN114996770B (en) Identity recognition method based on sink management system

Legal Events

Date Code Title Description
PA0109 Patent application

St.27 status event code: A-0-1-A10-A12-nap-PA0109

PA0201 Request for examination

St.27 status event code: A-1-2-D10-D11-exm-PA0201

PE0902 Notice of grounds for rejection

St.27 status event code: A-1-2-D10-D21-exm-PE0902

P11-X000 Amendment of application requested

St.27 status event code: A-2-2-P10-P11-nap-X000

P13-X000 Application amended

St.27 status event code: A-2-2-P10-P13-nap-X000

R18-X000 Changes to party contact information recorded

St.27 status event code: A-3-3-R10-R18-oth-X000

E701 Decision to grant or registration of patent right
PE0701 Decision of registration

St.27 status event code: A-1-2-D10-D22-exm-PE0701

GRNT Written decision to grant
PR0701 Registration of establishment

St.27 status event code: A-2-4-F10-F11-exm-PR0701

PR1002 Payment of registration fee

St.27 status event code: A-2-2-U10-U11-oth-PR1002

Fee payment year number: 1

PG1601 Publication of registration

St.27 status event code: A-4-4-Q10-Q13-nap-PG1601

P22-X000 Classification modified

St.27 status event code: A-4-4-P10-P22-nap-X000

R18-X000 Changes to party contact information recorded

St.27 status event code: A-5-5-R10-R18-oth-X000

FPAY Annual fee payment

Payment date: 20191002

Year of fee payment: 4

PR1001 Payment of annual fee

St.27 status event code: A-4-4-U10-U11-oth-PR1001

Fee payment year number: 4

PR1001 Payment of annual fee

St.27 status event code: A-4-4-U10-U11-oth-PR1001

Fee payment year number: 5

PR1001 Payment of annual fee

St.27 status event code: A-4-4-U10-U11-oth-PR1001

Fee payment year number: 6

PR1001 Payment of annual fee

St.27 status event code: A-4-4-U10-U11-oth-PR1001

Fee payment year number: 7

PR1001 Payment of annual fee

St.27 status event code: A-4-4-U10-U11-oth-PR1001

Fee payment year number: 8

P22-X000 Classification modified

St.27 status event code: A-4-4-P10-P22-nap-X000

PR1001 Payment of annual fee

St.27 status event code: A-4-4-U10-U11-oth-PR1001

Fee payment year number: 9

PR1001 Payment of annual fee

St.27 status event code: A-4-4-U10-U11-oth-PR1001

Fee payment year number: 10

U11 Full renewal or maintenance fee paid

Free format text: ST27 STATUS EVENT CODE: A-4-4-U10-U11-OTH-PR1001 (AS PROVIDED BY THE NATIONAL OFFICE)

Year of fee payment: 10