知財求人 - 知財ポータルサイト「IP Force」
特開2024-78429知能型ホームネットワーク基盤PSUを利用した終端間セキュリティサービス提供システム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024078429
(43)【公開日】2024-06-10
(54)【発明の名称】知能型ホームネットワーク基盤PSUを利用した終端間セキュリティサービス提供システム
(51)【国際特許分類】
G06F 21/31 20130101AFI20240603BHJP
G06F 21/60 20130101ALI20240603BHJP
G06F 21/44 20130101ALI20240603BHJP
【FI】
G06F21/31
G06F21/60 360
G06F21/60
G06F21/44
【審査請求】有
【請求項の数】8
【出願形態】OL
(21)【出願番号】P 2023197737
(22)【出願日】2023-11-21
(31)【優先権主張番号】10-2022-0163230
(32)【優先日】2022-11-29
(33)【優先権主張国・地域又は機関】KR
(71)【出願人】
【識別番号】523441245
【氏名又は名称】ユーキューブ カンパニー リミテッド
(74)【代理人】
【識別番号】100130111
【弁理士】
【氏名又は名称】新保 斉
(72)【発明者】
【氏名】ジン、ヨン イン
(72)【発明者】
【氏名】キム、ジョン スン
(72)【発明者】
【氏名】キム、ジョン ボム
(57)【要約】 (修正有)
【課題】知能型ホームネットワーク基盤PSUを利用した終端間セキュリティサービス提供システムを提供する。
【解決手段】終端間セキュリティサービス提供システム1は、セキュリティサービス提供サーバー300及び複数の使用者端末100を備える。使用者端末は、登録部、セキュリティ連結部及び威嚇遮断部を備える。使用者端末は、PSU600に予め保存されたセキュリティ政策によりインターネットに連結する。登録部は、インターネットに連結される使用者端末でQRコードによりPSUに接続する。そして、PSU情報及び使用者情報をアップロードして、使用者端末、PSU、使用者情報及びPSU情報を登録する。セキュリティ連結部は、使用者端末でインターネット接続を試みる場合、PSUを通じて予め保存されたセキュリティ政策により連結する。威嚇遮断部は、PSUで認証を受けていない威嚇端末のアクセスをPSUを通じて遮断する。
【選択図】図1
【解決手段】終端間セキュリティサービス提供システム1は、セキュリティサービス提供サーバー300及び複数の使用者端末100を備える。使用者端末は、登録部、セキュリティ連結部及び威嚇遮断部を備える。使用者端末は、PSU600に予め保存されたセキュリティ政策によりインターネットに連結する。登録部は、インターネットに連結される使用者端末でQRコードによりPSUに接続する。そして、PSU情報及び使用者情報をアップロードして、使用者端末、PSU、使用者情報及びPSU情報を登録する。セキュリティ連結部は、使用者端末でインターネット接続を試みる場合、PSUを通じて予め保存されたセキュリティ政策により連結する。威嚇遮断部は、PSUで認証を受けていない威嚇端末のアクセスをPSUを通じて遮断する。
【選択図】図1
【特許請求の範囲】
【請求項1】
ホームネットワークに連結されるPSU(Portable Security Unit);
前記PSUにQRコード(登録商標)を利用して接続した後、前記PSUのPSU情報および使用者情報をアップロードし、前記PSUに予め保存されたセキュリティ政策によりインターネットに連結される使用者端末;および
前記使用者端末で前記QRコード(登録商標)で接続した後、前記PSU情報および使用者情報をアップロードすると、前記使用者端末、PSU、使用者情報およびPSU情報を登録する登録部、前記使用者端末でインターネット接続を試みる場合、前記PSUを通じて前記予め保存されたセキュリティ政策により連結するセキュリティ連結部、前記PSUで認証を受けていない威嚇端末のアクセスを前記PSUを通じて遮断する威嚇遮断部を含むセキュリティサービス提供サーバー;を含み、
前記PSU情報は、
MAC(Media Access Control Address)アドレスおよびPSU認証キー(Key)を含む情報であることを特徴とする、知能型ホームネットワーク基盤PSUを利用した終端間(End-to-End)セキュリティサービス提供システム。
前記PSUにQRコード(登録商標)を利用して接続した後、前記PSUのPSU情報および使用者情報をアップロードし、前記PSUに予め保存されたセキュリティ政策によりインターネットに連結される使用者端末;および
前記使用者端末で前記QRコード(登録商標)で接続した後、前記PSU情報および使用者情報をアップロードすると、前記使用者端末、PSU、使用者情報およびPSU情報を登録する登録部、前記使用者端末でインターネット接続を試みる場合、前記PSUを通じて前記予め保存されたセキュリティ政策により連結するセキュリティ連結部、前記PSUで認証を受けていない威嚇端末のアクセスを前記PSUを通じて遮断する威嚇遮断部を含むセキュリティサービス提供サーバー;を含み、
前記PSU情報は、
MAC(Media Access Control Address)アドレスおよびPSU認証キー(Key)を含む情報であることを特徴とする、知能型ホームネットワーク基盤PSUを利用した終端間(End-to-End)セキュリティサービス提供システム。
【請求項2】
前記セキュリティサービス提供サーバーは、
前記使用者端末の使用者情報を保存し、使用者認証キーを前記使用者端末に伝送した後、使用者政策管理(Policy Management)ソリューションを前記使用者端末で利用するように前記使用者端末をマスター(Master)として指定する使用者認証部;をさらに含むことを特徴とする、請求項1に記載の知能型ホームネットワーク基盤PSUを利用した終端間セキュリティサービス提供システム。
前記使用者端末の使用者情報を保存し、使用者認証キーを前記使用者端末に伝送した後、使用者政策管理(Policy Management)ソリューションを前記使用者端末で利用するように前記使用者端末をマスター(Master)として指定する使用者認証部;をさらに含むことを特徴とする、請求項1に記載の知能型ホームネットワーク基盤PSUを利用した終端間セキュリティサービス提供システム。
【請求項3】
前記セキュリティサービス提供サーバーは、
前記使用者端末でマスターとして指定された後、前記ホームネットワークに連結される少なくとも一つのIoT(Internet of Things)機器および少なくとも一つの追加端末が存在する場合、前記使用者端末のマスター承認手続きにより登録されるようにする追加管理部;をさらに含むことを特徴とする、請求項2に記載の知能型ホームネットワーク基盤PSUを利用した終端間セキュリティサービス提供システム。
前記使用者端末でマスターとして指定された後、前記ホームネットワークに連結される少なくとも一つのIoT(Internet of Things)機器および少なくとも一つの追加端末が存在する場合、前記使用者端末のマスター承認手続きにより登録されるようにする追加管理部;をさらに含むことを特徴とする、請求項2に記載の知能型ホームネットワーク基盤PSUを利用した終端間セキュリティサービス提供システム。
【請求項4】
前記セキュリティサービス提供サーバーは、
前記少なくとも一つのIoT機器のIoTデータが前記インターネットを通じて伝達されないように遮断する流出遮断部;をさらに含むことを特徴とする、請求項3に記載の知能型ホームネットワーク基盤PSUを利用した終端間セキュリティサービス提供システム。
前記少なくとも一つのIoT機器のIoTデータが前記インターネットを通じて伝達されないように遮断する流出遮断部;をさらに含むことを特徴とする、請求項3に記載の知能型ホームネットワーク基盤PSUを利用した終端間セキュリティサービス提供システム。
【請求項5】
前記セキュリティサービス提供サーバーは、
前記使用者端末と前記PSUはブルートゥース(登録商標)(Bluetooth)(登録商標)通信に基づいてペアリング(Pairing)され、前記使用者端末で前記使用者政策管理ソリューションを利用してPSUのファイアウォール政策およびデータ暗号化を含むセキュリティ政策を設定するようにする政策設定部;をさらに含むことを特徴とする、請求項2に記載の知能型ホームネットワーク基盤PSUを利用した終端間セキュリティサービス提供システム。
前記使用者端末と前記PSUはブルートゥース(登録商標)(Bluetooth)(登録商標)通信に基づいてペアリング(Pairing)され、前記使用者端末で前記使用者政策管理ソリューションを利用してPSUのファイアウォール政策およびデータ暗号化を含むセキュリティ政策を設定するようにする政策設定部;をさらに含むことを特徴とする、請求項2に記載の知能型ホームネットワーク基盤PSUを利用した終端間セキュリティサービス提供システム。
【請求項6】
前記セキュリティサービス提供サーバーは、
前記使用者端末で前記使用者政策管理ソリューションを利用して認証および登録した、少なくとも一つの追加端末や前記使用者端末でIoT機器管理ソリューションを通じてのみデータ通信が可能であるように設定するアクセス制限部;をさらに含むことを特徴とする、請求項3に記載の知能型ホームネットワーク基盤PSUを利用した終端間セキュリティサービス提供システム。
前記使用者端末で前記使用者政策管理ソリューションを利用して認証および登録した、少なくとも一つの追加端末や前記使用者端末でIoT機器管理ソリューションを通じてのみデータ通信が可能であるように設定するアクセス制限部;をさらに含むことを特徴とする、請求項3に記載の知能型ホームネットワーク基盤PSUを利用した終端間セキュリティサービス提供システム。
【請求項7】
前記PSUは、
ホームネットワークゲートウェイ(Gateway)とインターネット網間に備えられ、
CPU(Central Processing Unit)およびメモリを搭載し、ファイアウォールおよびVPN(Virtual Private Network)基盤の携帯用セキュリティ装置であり、
前記ホームネットワークとインターネット間データ暗号化を遂行し、前記VPNを利用してホームネットワークのデータ伝送区間の網分離(Network Segmentation)を遂行し、
非認可使用者の前記ホームネットワーク、IoT機器および使用者端末に接近を遮断し、
リナックス(登録商標)(Linux)基盤専用OS(Operating System)およびDBMS(DataBase Management System)を含む装置であることを特徴とする、請求項1に記載の知能型ホームネットワーク基盤PSUを利用した終端間セキュリティサービス提供システム。
ホームネットワークゲートウェイ(Gateway)とインターネット網間に備えられ、
CPU(Central Processing Unit)およびメモリを搭載し、ファイアウォールおよびVPN(Virtual Private Network)基盤の携帯用セキュリティ装置であり、
前記ホームネットワークとインターネット間データ暗号化を遂行し、前記VPNを利用してホームネットワークのデータ伝送区間の網分離(Network Segmentation)を遂行し、
非認可使用者の前記ホームネットワーク、IoT機器および使用者端末に接近を遮断し、
リナックス(登録商標)(Linux)基盤専用OS(Operating System)およびDBMS(DataBase Management System)を含む装置であることを特徴とする、請求項1に記載の知能型ホームネットワーク基盤PSUを利用した終端間セキュリティサービス提供システム。
【請求項8】
前記使用者端末に設置される使用者政策管理(Policy Management)ソリューションは、
前記PSUのファイアウォールおよびVPN政策を設定し、前記PSUのファイアウォールおよびVPNをリアルタイムでモニタリングし、前記PSUのログを管理することを特徴とする、請求項7に記載の知能型ホームネットワーク基盤PSUを利用した終端間セキュリティサービス提供システム。
前記PSUのファイアウォールおよびVPN政策を設定し、前記PSUのファイアウォールおよびVPNをリアルタイムでモニタリングし、前記PSUのログを管理することを特徴とする、請求項7に記載の知能型ホームネットワーク基盤PSUを利用した終端間セキュリティサービス提供システム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は知能型ホームネットワーク基盤PSUを利用した終端間セキュリティサービス提供システムに関し、PSUに最初登録時にQRコード(登録商標)およびブルートゥース(登録商標)を利用してハッカーの流入を根本的に遮断し、ホームネットワークとインターネット網間PSUを通じてデータ暗号化および網分離をなし、終端間セキュリティソリューションを適用することによってセキュリティ威嚇をゼロ化するシステムを提供する。
【背景技術】
【0002】
4次産業革命の登場によって、事物インターネット(Internet of Things)を基盤として有線/無線通信、クラウドサービスのような多様なサービスが連係されたスマートホーム技術に関する関心が高まっている。スマートホーム機器のうちウォールパッドは宅内でビデオドアホン機能、照明、温・湿度の調節だけでなく、出入り口、世帯間の画像通話、CCTV映像確認のような宅内で便利性のために必要な多様な機能を提供し、宅内のあらゆる事物インターネット基盤家電製品を手軽な操作だけで制御できる長所があるが、家庭内のあらゆる事物インターネット機器を制御できる権限を有するため、悪意のハッカーにウォールパッドが掌握されるのであれば、事実上家庭内のあらゆる事物インターネット機器の制御権がハッカーに奪取される状況が発生する。このため、国土交通部は知能型ホームネットワーク設備の設置および技術基準を告示し、網分離を義務的に適用するようにした。
【0003】
この時、ホームネットワークのセキュリティ威嚇を防止できるソリューションが研究および開発されたが、これに関連して先行技術である韓国登録特許第10-2307837号(2021年10月05日公告)および韓国公開特許第2008-0113791号(2008年12月31日公開)には、ホームネットワークデータを収集および処理するホームネットワークハブ装置にセキュリティモジュールを搭載させ、セキュリティモジュールが中央サーバーと連係してセキュリティ威嚇を感知するようにする構成と、ホームゲートウェイにセキュリティ管理エージェントを設置し、使用者が設定したセキュリティ管理政策によりセキュリティ管理をするようにし、セキュリティ管理クライアントをホームゲートウェイのOSGi(Open Service Gateway Initiative)フレームワーク上に設置して動的なセキュリティ管理サービスを提供するようにする構成がそれぞれ開示されている。
【0004】
ただし、前者の場合、セキュリティモジュールが中央サーバーと連係されてセキュリティ威嚇を感知する場合、セキュリティモジュールから中央サーバーにパケットを送ることによるハッキングが発生し得、後者の場合にもホームゲートウェイに連結されてはいるものの、ホームゲートウェイはインターネット連結さえあれば相互間認証やペアリングなしにも連結が可能であるので、ハッカーもホームゲートウェイに使用者として登録され得る。また、国土交通部の告示も、既築アパート、共同および個別住宅の網分離は必須ではなく選択であり、網分離を義務化したがVPNを利用した物理的および論理的網分離ソリューションが殆どであり、管理人員の増加をのみもたらすだけである。また、網分離だけでは主配線盤(MDF)、中間端子函(IDF)に対する無断接続やウォールパッドから中央サーバーに伝達されるデータ奪取のようなセキュリティ問題は依然として発生する。また、2016年、各軍のウェブサイトとイントラネットなどの軍のすべてのITサービスを統合管理する国防統合データセンター(DIDC)が管理する網分離環境でハッカーが侵入、悪性コードを流布し内部資料を流出する、いわゆる国防網ハッキング事故が発生した。したがって、終端間(End-to-End)セキュリティソリューションを適用できながらも、インフラの過度な変更や費用の追加なしに、認証された使用者および機器のみがインターネットアクセスおよびデータ通信が可能であるようにするシステムの研究および開発が要求される。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】大韓民国登録特許第10-2307837号(2021年10月05日公告)
【特許文献2】大韓民国公開特許第2008-0113791号(2008年12月31日公開)
【発明の概要】
【発明が解決しようとする課題】
【0006】
本発明の一実施例は、PSU(Portable Security Unit)を使用者端末と連結する時にQRコード(登録商標)、OTP(One Time Password)およびブルートゥース(登録商標)ペアリングを通じて最初認証を実施することによってハッカーがインターネットアクセスだけで接近する経路を根本的に遮断し、PSUにセキュリティ政策および運営体制を搭載してPSUの具備および使用者端末の認証と登録だけでもセキュリティサービス提供サーバー間通信なしにも終端間(End-to-End)セキュリティソリューションを適用することができ、使用者端末で使用者政策管理(Policy Management)ソリューションを利用してIoT機器を登録する場合、PSUを通じて登録および認証された使用者端末でのみIoT機器とデータを送受信できるようにすることによって、ハッカーがIoT機器に接近したりデータを奪取する可能性をゼロ化し、データ暗号化およびVPNを通じてデータ伝送区間を保護できる、知能型ホームネットワーク基盤PSUを利用した終端間セキュリティサービス提供システムを提供することができる。ただし、本実施例が達成しようとする技術的課題は前記のような技術的課題に限定されず、さらに他の技術的課題が存在し得る。
【課題を解決するための手段】
【0007】
前述した技術的課題を達成するための技術的手段として、本発明の一実施例は、ホームネットワークに連結されるPSU(Portable Security Unit)、PSUにQRコード(登録商標)を利用して接続した後、PSUのPSU情報および使用者情報をアップロードし、PSUに予め保存されたセキュリティ政策によりインターネットに連結される使用者端末および使用者端末でQRコード(登録商標)で接続した後、PSU情報および使用者情報をアップロードすると、使用者端末、PSU、使用者情報およびPSU情報を登録する登録部、使用者端末でインターネット接続を試みる場合、PSUを通じて予め保存されたセキュリティ政策により連結するセキュリティ連結部、PSUで認証を受けていない威嚇端末のアクセスをPSUを通じて遮断する威嚇遮断部を含むセキュリティサービス提供サーバーを含む。
【発明の効果】
【0008】
前述した本発明の課題解決手段のうちいずれか一つによると、PSU(Portable Security Unit)を使用者端末と連結する時にQRコード(登録商標)、OTP(One Time Password)およびブルートゥース(登録商標)ペアリングを通じて最初認証を実施することによってハッカーがインターネットアクセスだけで接近する経路を根本的に遮断し、PSUにセキュリティ政策および運営体制を搭載してPSUの具備および使用者端末の認証と登録だけでもセキュリティサービス提供サーバー間通信なしにも終端間(End-to-End)セキュリティソリューションを適用することができ、使用者端末で使用者政策管理(Policy Management)ソリューションを利用してIoT機器を登録する場合、PSUを通じて登録および認証された使用者端末でのみIoT機器とデータを送受信できるようにすることによって、ハッカーがIoT機器に接近したりデータを奪取する可能性をゼロ化し、データ暗号化およびVPNを通じてデータ伝送区間を保護することができる。
【図面の簡単な説明】
【0009】
【図1】本発明の一実施例に係る知能型ホームネットワーク基盤PSUを利用した終端間セキュリティサービス提供システムを説明するための図面である。
【図3a】本発明の一実施例に係る知能型ホームネットワーク基盤PSUを利用した終端間セキュリティサービスが具現された一実施例を説明するための図面である。
【図3b】本発明の一実施例に係る知能型ホームネットワーク基盤PSUを利用した終端間セキュリティサービスが具現された一実施例を説明するための図面である。
【図3c】本発明の一実施例に係る知能型ホームネットワーク基盤PSUを利用した終端間セキュリティサービスが具現された一実施例を説明するための図面である。
【図3d】本発明の一実施例に係る知能型ホームネットワーク基盤PSUを利用した終端間セキュリティサービスが具現された一実施例を説明するための図面である。
【図3e】本発明の一実施例に係る知能型ホームネットワーク基盤PSUを利用した終端間セキュリティサービスが具現された一実施例を説明するための図面である。
【図4a】本発明の一実施例に係る知能型ホームネットワーク基盤PSUを利用した終端間セキュリティサービスが具現された一実施例を説明するための図面である。
【図4b】本発明の一実施例に係る知能型ホームネットワーク基盤PSUを利用した終端間セキュリティサービスが具現された一実施例を説明するための図面である。
【図5】本発明の一実施例に係る知能型ホームネットワーク基盤PSUを利用した終端間セキュリティサービス提供方法を説明するための動作フローチャートである。
【発明を実施するための形態】
【0010】
以下では、添付した図面を参照して本発明が属する技術分野で通常の知識を有する者が容易に実施できるように本発明の実施例を詳細に説明する。しかし、本発明は多様な異なる形態で具現され得ここで説明する実施例に限定されない。そして図面で本発明を明確に説明するために説明にかかわらない部分は省略し、明細書全体を通じて類似する部分に対しては類似する図面符号を付した。
【0011】
明細書全体で、或る部分が他の部分と「連結」されているとする時、これは「直接的に連結」されている場合だけでなく、その中間に他の素子を挟んで「電気的に連結」されている場合も含む。また、或る部分が何らかの構成要素を「含む」とする時、これは特に反対の記載がない限り他の構成要素を除くものではなく他の構成要素をさらに含み得ることを意味し、一つまたはそれ以上の他の特徴や数字、段階、動作、構成要素、部分品またはこれらを組み合わせたものなどの存在または付加の可能性を予め排除しないものと理解されるべきである。
【0012】
明細書全体で使われる程度の用語「約」、「実質的に」などは言及された意味に固有な製造および物質許容誤差が提示される時、その数値でまたはその数値に近接した意味で使われ、本発明の理解を助けるために正確または絶対的な数値が言及された開示内容を非良心的な侵害者が不当に利用することを防止するために使われる。本発明の明細書全体で使われる程度の用語「~(する)段階」または「~の段階」は「~のための段階」を意味しない。
【0013】
本明細書において「部」とは、ハードウェアによって実現されるユニット(unit)、ソフトウェアによって具現されるユニット、両方を利用して具現されるユニットを含む。また、1個のユニットが2個以上のハードウェアを利用して具現されてもよく、2個以上のユニットが1個のハードウェアによって具現されてもよい。一方、「~部」はソフトウェアまたはハードウェアに限定される意味ではなく、「~部」はアドレッシングできる保存媒体にあるように構成されてもよく、一つまたはそれ以上のプロセッサを再生させるように構成されてもよい。したがって、一例として「~部」はソフトウェア構成要素、客体指向ソフトウェア構成要素、クラス構成要素およびタスク構成要素のような構成要素と、プロセス、関数、属性、プロシーザー、サブルーチン、プログラムコードのセグメント、ドライバ、ファームウェア、マイクロコード、回路、データ、データベース、データ構造、テーブル、アレイおよび変数を含む。構成要素と「~部」の中で提供される機能はさらに小さい数の構成要素および「~部」で結合されたり追加的な構成要素と「~部」にさらに分離され得る。それだけでなく、構成要素および「~部」はデバイスまたはセキュリティマルチメディアカード内の一つまたはそれ以上のCPUを再生させるように具現されてもよい。
【0014】
本明細書において端末、装置またはデバイスが遂行するものとして記述された動作や機能のうち一部は、該当端末、装置またはデバイスと連結されたサーバーで代わりに遂行されてもよい。これと同様に、サーバーが遂行するものとして記述された動作や機能のうち一部も該当サーバーと連結された端末、装置またはデバイスで遂行されてもよい。
【0015】
本明細書において、端末とマッピング(Mapping)またはマッチング(Matching)と記述された動作や機能のうち一部は、端末の識別情報(Identifying Data)である端末の固有番号や個人の識別情報をマッピングまたはマッチングするという意味で解釈され得る。
【0016】
以下、添付された図面を参照して本発明を詳細に説明することにする。
【0017】
図1は、本発明の一実施例に係る知能型ホームネットワーク基盤PSUを利用した終端間セキュリティサービス提供システムを説明するための図面である。図1を参照すると、知能型ホームネットワーク基盤PSUを利用した終端間セキュリティサービス提供システム1は、少なくとも一つの使用者端末100、セキュリティサービス提供サーバー300、少なくとも一つの追加端末400、少なくとも一つのIoT機器500およびPSU600を含むことができる。ただし、このような図1の知能型ホームネットワーク基盤PSUを利用した終端間セキュリティサービス提供システム1は、本発明の一実施例に過ぎないため、図1を通じて本発明が限定解釈されるものではない。
【0018】
この時、図1の各構成要素は一般的にネットワーク(Network、200)を通じて連結される。例えば、図1に図示された通り、少なくとも一つの使用者端末100はネットワーク200を通じてセキュリティサービス提供サーバー300と連結され得る。そして、セキュリティサービス提供サーバー300は、ネットワーク200を通じて少なくとも一つの使用者端末100、少なくとも一つの追加端末400、少なくとも一つのIoT機器500およびPSU600と連結され得る。また、少なくとも一つの追加端末400は、ネットワーク200を通じてセキュリティサービス提供サーバー300と連結され得る。そして、少なくとも一つのIoT機器500は、ネットワーク200を通じて少なくとも一つの使用者端末100、セキュリティサービス提供サーバー300および少なくとも一つの追加端末400と連結され得る。最後に、PSU600は、ネットワーク200を通じて使用者端末100、追加端末400、セキュリティサービス提供サーバー300、少なくとも一つのIoT機器500と連結され得る。
【0019】
ここで、ネットワークは、複数の端末およびサーバーのようなそれぞれのノード相互間で情報交換が可能な連結構造を意味するもので、このようなネットワークの一例には近距離通信網(LAN:Local Area Network)、広域通信網(WAN:Wide Area Network)、インターネット(WWW:World Wide Web)、有線/無線データ通信網、電話網、有線/無線テレビ通信網などを含む。無線データ通信網の一例には3G、4G、5G、3GPP(登録商標)(3rd Generation Partnership Project)、5GPP(5th Generation Partnership Project)、LTE(Long Term Evolution)、WIMAX(World Interoperability for Microwave Access)、ワイファイ(Wi-Fi)、インターネット(Internet)、LAN(Local Area Network)、Wireless LAN(Wireless Local Area Network)、WAN(Wide Area Network)、PAN(Personal Area Network)、RF(Radio Frequency)、ブルートゥース(登録商標)(Bluetooth)ネットワーク、NFC(Near-Field Communication)ネットワーク、衛星放送ネットワーク、アナログ放送ネットワーク、DMB(Digital Multimedia Broadcasting)ネットワークなどが含まれるがこれに限定されはしない。
【0020】
下記で、少なくとも一つのという用語は単数および複数を含む用語と定義され、少なくとも一つのという用語が存在しなくても各構成要素が単数または複数で存在でき、単数または複数を意味することができるということは自明であると言える。また、各構成要素が単数または複数で備えられることは、実施例により変更可能であると言える。
【0021】
少なくとも一つの使用者端末100は、知能型ホームネットワーク基盤PSUを利用した終端間セキュリティサービス関連ウェブページ、アプリページ、プログラムまたはアプリケーションを利用してPSU600にQRコード(登録商標)およびブルートゥース(登録商標)で接続した後、PSU600をセキュリティサービス提供サーバー300に登録し、使用者端末100の使用者認証を進行してマスターとして指定を受けた後、IoT機器500を登録し、追加端末400を登録する端末であり得る。そして、使用者端末100はインターネットに接続する時、ホームネットワークゲートウェイおよびPSU600を通じて接続する端末であり得る。
【0022】
ここで、少なくとも一つの使用者端末100は、ネットワークを通じて遠隔地のサーバーや端末に接続できるコンピュータで具現され得る。ここで、コンピュータは例えば、ナビゲーション、ウェブブラウザ(WEB Browser)が搭載されたノートパソコン、デスクトップ(Desktop)、ラップトップ(Laptop)等を含むことができる。この時、少なくとも一つの使用者端末100は、ネットワークを通じて遠隔地のサーバーや端末に接続できる端末で具現され得る。少なくとも一つの使用者端末100は、例えば、携帯性と移動性が保障される無線通信装置であって、ナビゲーション、PCS(Personal Communication System)、GSM(登録商標)(Global System for Mobile communications)、PDC(Personal Digital Cellular)、PHS(Personal Handyphone System)、PDA(Personal Digital Assistant)、IMT(International Mobile Telecommunication)-2000、CDMA(Code Division Multiple Access)-2000、W-CDMA(登録商標)(W-Code Division Multiple Access)、Wibro(Wireless Broadband Internet)端末、スマートフォン(Smartphone)、スマートパッド(Smartpad)、タブレットPC(Tablet PC)などのようなすべての種類のハンドヘルド(Handheld)基盤の無線通信装置を含むことができる。
【0023】
セキュリティサービス提供サーバー300は、知能型ホームネットワーク基盤PSUを利用した終端間セキュリティサービスウェブページ、アプリページ、プログラムまたはアプリケーションを提供するサーバーであり得る。そして、セキュリティサービス提供サーバー300は、使用者端末100でPSU600を登録する時にQRコード(登録商標)およびブルートゥース(登録商標)を通じてPSU600と接続した後、PSU600のPSU情報をアップロードし、使用者端末100の使用者情報を登録してPSU600および使用者端末100を登録するようにするサーバーであり得る。また、セキュリティサービス提供サーバー300は、認証を受けた使用者の使用者端末100をマスター端末として指定し、使用者端末100で使用者政策管理(Policy Management)ソリューションを利用してIoT機器500および追加端末400を登録できるようにし、リアルタイムモニタリングおよび威嚇感知を出力するようにするサーバーであり得る。
【0024】
ここで、セキュリティサービス提供サーバー300は、ネットワークを通じて遠隔地のサーバーや端末に接続できるコンピュータで具現され得る。ここで、コンピュータは例えば、ナビゲーション、ウェブブラウザ(WEB Browser)が搭載されたノートパソコン、デスクトップ(Desktop)、ラップトップ(Laptop)等を含むことができる。
【0025】
少なくとも一つの追加端末400は、知能型ホームネットワーク基盤PSUを利用した終端間セキュリティサービス関連ウェブページ、アプリページ、プログラムまたはアプリケーションを利用して使用者端末100によりホームネットワークを利用できるように登録された端末であり得る。
【0026】
ここで、少なくとも一つの追加端末400は、ネットワークを通じて遠隔地のサーバーや端末に接続できるコンピュータで具現され得る。ここで、コンピュータは例えば、ナビゲーション、ウェブブラウザ(WEB Browser)が搭載されたノートパソコン、デスクトップ(Desktop)、ラップトップ(Laptop)等を含むことができる。この時、少なくとも一つの追加端末400は、ネットワークを通じて遠隔地のサーバーや端末に接続できる端末で具現され得る。少なくとも一つの追加端末400は、例えば、携帯性と移動性が保障される無線通信装置であって、ナビゲーション、PCS(Personal Communication System)、GSM(登録商標)(Global System for Mobile communications)、PDC(Personal Digital Cellular)、PHS(Personal Handyphone System)、PDA(Personal Digital Assistant)、IMT(International Mobile Telecommunication)-2000、CDMA(Code Division Multiple Access)-2000、W-CDMA(登録商標)(W-Code Division Multiple Access)、Wibro(Wireless Broadband Internet)端末、スマートフォン(Smartphone)、スマートパッド(Smartpad)、タブレットPC(Tablet PC)などのようなすべての種類のハンドヘルド(Handheld)基盤の無線通信装置を含むことができる。
【0027】
少なくとも一つのIoT機器500は、知能型ホームネットワーク基盤PSUを利用した終端間セキュリティサービス関連ウェブページ、アプリページ、プログラムまたはアプリケーションを利用して使用者端末100により登録された冷蔵庫、エアコン、TV、プリンタ、掃除機、ドアロック、CCTVなどであり得る。この時、IoT機器500はPSU600により登録された使用者端末100または追加端末600間のデータ通信のみの許容を受ける機器であり得る。
【0028】
ここで、少なくとも一つのIoT機器500は、ネットワークを通じて遠隔地のサーバーや端末に接続できるコンピュータで具現され得る。ここで、コンピュータは例えば、ナビゲーション、ウェブブラウザ(WEB Browser)が搭載されたノートパソコン、デスクトップ(Desktop)、ラップトップ(Laptop)等を含むことができる。この時、少なくとも一つのIoT機器500は、ネットワークを通じて遠隔地のサーバーや端末に接続できる端末で具現され得る。少なくとも一つのIoT機器500は、例えば、携帯性と移動性が保障される無線通信装置であって、ナビゲーション、PCS(Personal Communication System)、GSM(登録商標)(Global System for Mobile communications)、PDC(Personal Digital Cellular)、PHS(Personal Handyphone System)、PDA(Personal Digital Assistant)、IMT(International Mobile Telecommunication)-2000、CDMA(Code Division Multiple Access)-2000、W-CDMA(登録商標)(W-Code Division Multiple Access)、Wibro(Wireless Broadband Internet)端末、スマートフォン(Smartphone)、スマートパッド(Smartpad)、タブレットPC(Tablet PC)などのようなすべての種類のハンドヘルド(Handheld)基盤の無線通信装置を含むことができる。
【0029】
PSU600は、知能型ホームネットワーク基盤PSUを利用した終端間セキュリティサービス関連ウェブページ、アプリページ、プログラムまたはアプリケーションを利用してホームネットワークゲートウェイとインターネット網間で連結されて使用者端末100のインターネット接続をセキュリティ処理し、仮想網分離を施行し、終端間暗号化を進行し、認証されていない端末の接続を遮断する装置であり得る。
【0030】
ここで、PSU600は、ネットワークを通じて遠隔地のサーバーや端末に接続できるコンピュータで具現され得る。ここで、コンピュータは例えば、ナビゲーション、ウェブブラウザ(WEB Browser)が搭載されたノートパソコン、デスクトップ(Desktop)、ラップトップ(Laptop)等を含むことができる。この時、PSU600は、ネットワークを通じて遠隔地のサーバーや端末に接続できる端末で具現され得る。PSU600は、例えば、携帯性と移動性が保障される無線通信装置であって、ナビゲーション、PCS(Personal Communication System)、GSM(登録商標)(Global System for Mobile communications)、PDC(Personal Digital Cellular)、PHS(Personal Handyphone System)、PDA(Personal Digital Assistant)、IMT(International Mobile Telecommunication)-2000、CDMA(Code Division Multiple Access)-2000、W-CDMA(登録商標)(W-Code Division Multiple Access)、Wibro(Wireless Broadband Internet)端末、スマートフォン(Smartphone)、スマートパッド(Smartpad)、タブレットPC(Tablet PC)などのようなすべての種類のハンドヘルド(Handheld)基盤の無線通信装置を含むことができる。
【0031】
図2は図1のシステムに含まれたセキュリティサービス提供サーバーを説明するためのブロック構成図であり、図3および図4は本発明の一実施例に係る知能型ホームネットワーク基盤PSUを利用した終端間セキュリティサービスが具現された一実施例を説明するための図面である。
【0032】
図2を参照すると、セキュリティサービス提供サーバー300は、登録部310、セキュリティ連結部320、威嚇遮断部330、使用者認証部340、追加管理部350、流出遮断部360、政策設定部370、アクセス制限部380およびパケット許容部390を含むことができる。
【0033】
本発明の一実施例に係るセキュリティサービス提供サーバー300や連動して動作する他のサーバー(図示されず)が少なくとも一つの使用者端末100、少なくとも一つの追加端末400、少なくとも一つのIoT機器500およびPSU600に知能型ホームネットワーク基盤PSUを利用した終端間セキュリティサービスアプリケーション、プログラム、アプリページ、ウェブページなどを伝送する場合、少なくとも一つの使用者端末100、少なくとも一つの追加端末400、少なくとも一つのIoT機器500およびPSU600は、知能型ホームネットワーク基盤PSUを利用した終端間セキュリティサービスアプリケーション、プログラム、アプリページ、ウェブページなどを設置したり開くことができる。また、ウェブブラウザで実行されるスクリプトを利用してサービスプログラムが少なくとも一つの使用者端末100、少なくとも一つの追加端末400、少なくとも一つのIoT機器500およびPSU600で駆動されてもよい。ここで、ウェブブラウザはウェブ(WWW:World Wide Web)サービスを利用できるようにするプログラムであり、HTML(Hyper Text Mark-up Language)で叙述されたハイパーテキストを受けて見せるプログラムを意味し、例えばネットスケープ(Netscape)、エクスプローラ(Explorer)、クロム(Chrome)等を含む。また、アプリケーションは端末上の応用プログラム(Application)を意味し、例えば、モバイル端末(スマートフォン)で実行されるアプリ(App)を含む。
【0034】
【0035】
<スマートホーム>
スマートホームとは、有線および無線ネットワークで構成されたネットワークインフラ環境に、情報家電、エネルギー管理、冷暖房および換気、ホームエンターテインメントをはじめとする多様なスマート機器または通信機器を連動および制御するスマートホームソリューションと各種サービスを含む概念を意味する。スマートホームでは環境に優しいエネルギーを使うだけでなく使用者にも安全な生活ができるように各種サービスを提供する。韓国内スマートホームは通信網を保有している通信会社とアパートを建設する建設会社においても、入居者により安全で便利な家を提供するために活発に研究および導入している。また、スマートホーム産業は通信産業をはじめとする放送産業、家電産業、建設産業、コンテンツ産業などの多様な分野が融合した産業であって、産業間波及効果が大きなバリューチェーンを通じて持続的に付加価値を創り出せる産業として注目を受けている分野でもある。
スマートホームとは、有線および無線ネットワークで構成されたネットワークインフラ環境に、情報家電、エネルギー管理、冷暖房および換気、ホームエンターテインメントをはじめとする多様なスマート機器または通信機器を連動および制御するスマートホームソリューションと各種サービスを含む概念を意味する。スマートホームでは環境に優しいエネルギーを使うだけでなく使用者にも安全な生活ができるように各種サービスを提供する。韓国内スマートホームは通信網を保有している通信会社とアパートを建設する建設会社においても、入居者により安全で便利な家を提供するために活発に研究および導入している。また、スマートホーム産業は通信産業をはじめとする放送産業、家電産業、建設産業、コンテンツ産業などの多様な分野が融合した産業であって、産業間波及効果が大きなバリューチェーンを通じて持続的に付加価値を創り出せる産業として注目を受けている分野でもある。
【0036】
スマートホームで最も重要なことは、宅内の各種情報機器、通信機器などをネットワーク網に連結することであり、このようなネットワーク網を通じて内部および外部でもサービスが提供されることになる。スマートホームネットワーク構成は大きく家庭内部の内部網と家庭外部の外部網に区分することができる。外部網は光ケーブルなどの伝送媒体を通じて中央管理室と連結され、中央管理室には各世帯にサービスを提供するサーバーと外部にサービスを提供するインターネット回線が連結されることになる。宅内内部網には端末機器を制御し、機器の状態制御および管理できるホームゲートウェイが必要であり、アパートでは居間に設置されたウォールパッド(WallPad)がその役割をすることになる。ホームゲートウェイと連結されたウォールパッドで宅内機器を制御し、各機器はイーサネット(Ethernet)を通じて連結されている。ウォールパッドを通じて提供されるサービスは以下の表1の通りである。
【0037】
【表1】
【0038】
スマートホームサービスはサーバー管理が可能な環境が存在し多くの人にサービスが可能なアパートで主に提供しており、有線ネットワーク技術としてはイーサネット技術を利用し、無線ネットワーク技術はWLANおよびZigbee(登録商標)技術を利用して構成し、有線および無線ネットワーク網を通じてのサービスは表2の通りである。
【0039】
【表2】
【0040】
スマートホームには玄関入口に設置されたスイッチを通じてホーム内のすべてのネットワークに接続できるように構成されている。玄関に設置されたスイッチからホーム内の内部に連結され、中央集中式の形態で連結されている。連結された機器としては無線LAN機器、外部インターネット網、ホーム内の機器制御のためのウォールパッド、宅内インターホンなどが連結されて各種制御データおよび収集データなどを収集した後、集中構内通信室に位置したサーバーに伝送することになる。中央に位置したサーバーでは世帯別収集された情報をデータベースサーバーに保存し、収集されたデータに基づいて使用者にインターネットを通じてのホーム内情報の提供および機器制御を可能にし、この情報を再びウォールパッドに伝送して宅内でも情報を確認できるようにする。使用者に提供される情報を使用者が理解しやすいようにイメージやリポート、文字(TEXT)の形態で伝送する。宅内にホームゲートウェイの役割を遂行するウォールパッドにもイーサネットで連結され、ウォールパッドにUTPケーブルが連結されている。
【0041】
ウォールパッドは宅内制御機器の状態情報を表出したり、玄関のドアの開閉、エレベータ呼び出しなどの機能を提供しており、制御機器の状態情報にエラーが発生する場合、制御が難しくなったり、誤った動作を遂行できることになるので、データ収集、伝送は重要な役割をすることになる。
【0042】
<スマートホームセキュリティ威嚇>
(1)2016年全世界の約7万3千台余りのIPカメラがハッキングされてインセケムというサイトを通じて生中継された。インセケムサイトの運営者がセキュリティ設定の重要性を知らせるためにハッキングしたものと発表された。(2)2019年1月スマートホームウォールパッドとデジタルドアロックの間で横取りした信号で無断に出入り口の開閉が成功した事例が存在する。無線ネットワークセキュリティ専門企業によると、ウォールパッドとデジタルドアロックの間で信号再伝送攻撃(Signal Replay Attack)を活用してデジタルドアロックを開閉したものと見ている。ウォールパッドとドアロックの間の攻撃テストを進行した無線ネットワークセキュリティ専門企業は、日常で使われる無線通信機器が基本的な攻撃にも無防備状態であることを知らせ使用者の警戒心を高めるために今回の試演を進行したと明かした。
(1)2016年全世界の約7万3千台余りのIPカメラがハッキングされてインセケムというサイトを通じて生中継された。インセケムサイトの運営者がセキュリティ設定の重要性を知らせるためにハッキングしたものと発表された。(2)2019年1月スマートホームウォールパッドとデジタルドアロックの間で横取りした信号で無断に出入り口の開閉が成功した事例が存在する。無線ネットワークセキュリティ専門企業によると、ウォールパッドとデジタルドアロックの間で信号再伝送攻撃(Signal Replay Attack)を活用してデジタルドアロックを開閉したものと見ている。ウォールパッドとドアロックの間の攻撃テストを進行した無線ネットワークセキュリティ専門企業は、日常で使われる無線通信機器が基本的な攻撃にも無防備状態であることを知らせ使用者の警戒心を高めるために今回の試演を進行したと明かした。
【0043】
スマートホームの中心となるウォールパッドは、スマートホーム内部端末に命令を下して制御する機器である。ウォールパッドはスマートホーム内部のうち居間または奥の間などに位置して内部端末に対する制御を遂行したり管理する機能を提供する。したがって、ウォールパッドはスマートホーム内部で最も中心となる核心装置と言える。(3)2021年3000世帯が入居した釜山のあるスマートアパートを点検した結果、一家庭のウォールパッドをハッキングするとハッカーが直ちにアパート団地全体を統制する管理室メインサーバーに浸透できる弱点が現れたことがある。問題は、この場合、一戸ではなく団地内のすべての世帯がハッカーの手にもてあそばれることになるという点である。ハッカーがウォールパッドを管理するサーバーに接近した後、世帯別玄関のドアがハッカーによって自由に開かれ、家電の作動を制御したりウォールパッドに内蔵されたカメラで室内をこっそりと撮影するなどの機能を遂行して、事実上スマートホーム内部のすべての防犯体系が崩れた。スマートホーム内部の各種端末を制御できるウォールパッドにセキュリティ脆弱点を通じての侵害事故が発生する場合、セキュリティに致命的となり得る例を示したものである。
【0044】
(4)2019年1月のある日、韓国内の一企業の事務室のプリンタで突然得体の知れない出力物が一度にどっと出力され始まった。出力物には正装服姿の男性がタバコを手にしてソファに座っている後ろ姿と共に、「私たちは全世界のすべてのプリンタに接近することができる(We have the ability to reach every single printer in the world)!」という文面が印刷されていた。これはIoT機器であるプリンタをハッキングした後、出力命令を通じて制御した場合である。(5)2016年にアパートの中央暖房と温水システムを含んだ児童気温調節システムディードス(DDoS)攻撃を通じて、中央暖房および温水システムが停止してアパート住民らは1週間近く暖房なしに生活しなければならなかった。
【0045】
<知能型ホームネットワーク設備の設置および技術基準>
国土交通部、産業通商資源部および科学技術情報通信部は、国土交通部告示第2021-1533号、産業通商資源部告示第2021-240号、科学技術情報通信部告示第2021-112号の告示を通じて、アパートウォールパッド網分離を義務化する内容が盛り込まれた知能型ホームネットワーク設備の設置および技術基準を設けた。2022年7月から新しく建てるアパートで世帯間インターネット網分離を義務化したし、専門家らも今としては世帯間網分離が最善の選択であり必ず必要であると強調する。網分離とは、世帯別にネットワークを分離することをいう。例えば500世帯が住んでいるアパートに500個の網を物理的に作ることであるが、この方式は構築費用と時間が多く必要とされる。改正された技術基準により、2022年7月1日から建築審議を受けた新築の建物に対してはホームネットワーク設備設置時に本技術基準が適用される。しかし、以前に建築審議を受けた団地をはじめとして既存の建物は網分離義務化対象から外されており、網分離がセキュリティ威嚇の根本的な解決策でもない。
国土交通部、産業通商資源部および科学技術情報通信部は、国土交通部告示第2021-1533号、産業通商資源部告示第2021-240号、科学技術情報通信部告示第2021-112号の告示を通じて、アパートウォールパッド網分離を義務化する内容が盛り込まれた知能型ホームネットワーク設備の設置および技術基準を設けた。2022年7月から新しく建てるアパートで世帯間インターネット網分離を義務化したし、専門家らも今としては世帯間網分離が最善の選択であり必ず必要であると強調する。網分離とは、世帯別にネットワークを分離することをいう。例えば500世帯が住んでいるアパートに500個の網を物理的に作ることであるが、この方式は構築費用と時間が多く必要とされる。改正された技術基準により、2022年7月1日から建築審議を受けた新築の建物に対してはホームネットワーク設備設置時に本技術基準が適用される。しかし、以前に建築審議を受けた団地をはじめとして既存の建物は網分離義務化対象から外されており、網分離がセキュリティ威嚇の根本的な解決策でもない。
【0046】
そこで、本発明の一実施例では、物理的距離が満足される場合にのみペアリングが可能なブルートゥース(登録商標)で使用者端末100とPSU600を連結させ、最初の使用者登録時にQRコード(登録商標)およびブルートゥース(登録商標)ペアリングで使用者登録を進行し、使用者端末100が登録および認証された場合、マスター端末として設定し、マスターが指定したIoT機器500および追加端末400間のデータ通信のみ許容することによってハッカーの流入を根本的に遮断し、ホームネットワークに連結されている各種機器および端末がインターネット網に接続する時にはPSU600を通じて接続するようにし、ファイアウォール、VDNおよびデータ暗号化を通じてハッカーの流入および奪取を予防できるソリューションを提供する。
【0047】
図2を参照すると、登録部310は、使用者端末100でQRコード(登録商標)で接続した後、PSU情報および使用者情報をアップロードすると、使用者端末100、PSU600、使用者情報およびPSU情報を登録することができる。PSU(Portable Security Unit、600)は、ホームネットワークに連結され得る。また、携帯も可能であるので、引っ越しをするなどのホームネットワークを移転しなければならない時にも、携帯した後に引っ越した居住地に再び再設置をすることができる。PSU情報は、MAC(Media Access Control Address)アドレスおよびPSU600認証キー(Key)を含む情報であり得るが、羅列されたものなどに限定されず、列挙されなかった理由で排除されず、実施例またはアップデートにより変更され得る。
【0048】
使用者が使用者端末100を通じてPSU500を登録し、使用者端末100自身も認証および登録するためには、まず使用者端末100とPSU500間の物理的距離が満足されなければならない。すなわち、(1)ブルートゥース(登録商標)ペアリングをするためには、両端末間物理的距離が10m内に維持されなければならないが、ハッカーがインターネットに接続さえすればホームネットワークゲートウェイに接続されるのとは異なって、本発明の一実施例では物理的距離を満足することを要求する。このように物理的距離を満足したとしても、(2)QRコード(登録商標)をスキャンしてアクセス権を獲得しなければならない。QRコード(登録商標)のみあったり、物理的距離のみ満足するハッカーは接近することができず、マスターを獲得することができる。最後に、(3)PSU600の認証キー、MACアドレスなどを認証し、使用者端末100の使用者の認証キーなどを確認して登録のための認証を受けなければならないが、ホームネットワークに連結されておらず、PSU600自体のMACアドレスの認証の受けることができず、認証キーがなければ同様にマスターとして登録され得ない。このように、使用者端末100とPSU600がペアリングされ最初の使用者登録手続きを終了すると、使用者はマスターとして指定される。マスターはセキュリティ政策を設定したり変更することができ、追加端末400およびIoT機器500を登録することができ、リアルタイムモニタリングおよびセキュリティ威嚇に対する警告やアラームなどを受信することができる。
【0049】
セキュリティ連結部320は、使用者端末100でインターネット接続を試みる場合、PSU600を通じて予め保存されたセキュリティ政策により連結することができる。使用者端末100は、PSU600にQRコード(登録商標)を利用して接続した後、PSU600のPSU情報および使用者情報をアップロードし、PSU600に予め保存されたセキュリティ政策によりインターネットに連結され得る。PSU600は、ホームネットワークゲートウェイ(Gateway)とインターネット網間に備えられ、CPU(Central Processing Unit)およびメモリを搭載し、ファイアウォールおよびVPN(Virtual Private Network)基盤の携帯用セキュリティ装置であり得る。また、ホームネットワークとインターネット間データ暗号化を遂行し、VPNを利用してホームネットワークのデータ伝送区間の網分離(Network Segmentation)を遂行し、非認可使用者のホームネットワーク、IoT機器500および使用者端末100に接近を遮断し、リナックス(登録商標)(Linux)基盤専用OS(Operating System)およびDBMS(DataBase Management System)を含む装置であり得る。このため、PSU600は、自体的に運用されるので本発明の一実施例に係るセキュリティサービス提供サーバー300間通信が必須ではなく、アップデート時にのみ連結されるためPSU600とセキュリティサービス提供サーバー300の通信で発生し得るハッキングの威嚇を最小化することができる。
【0050】
<TLS>
安全なIoT環境でのサービスのために、ネットワークセキュリティプロトコルを利用した暗号化通信が必ず考慮されなければならない。ネットワークセキュリティプロトコルにはIETF(Internet Engineering Task Force)で定義したTLS(Transport LayerProtocol)があるが、制限された資源特性を有するIoT機器500でネットワークセキュリティプロトコルであるTLSの負荷を考慮して、オープンプラットフォーム環境でTLSバージョン1.2とバージョン1.3を利用することができる。また、バージョン1.3で支援する主な暗号化アルゴリズムの性能を分析して、IoT機器500の仕様により適合なネットワークセキュリティプロトコル属性を設定することができる。
安全なIoT環境でのサービスのために、ネットワークセキュリティプロトコルを利用した暗号化通信が必ず考慮されなければならない。ネットワークセキュリティプロトコルにはIETF(Internet Engineering Task Force)で定義したTLS(Transport LayerProtocol)があるが、制限された資源特性を有するIoT機器500でネットワークセキュリティプロトコルであるTLSの負荷を考慮して、オープンプラットフォーム環境でTLSバージョン1.2とバージョン1.3を利用することができる。また、バージョン1.3で支援する主な暗号化アルゴリズムの性能を分析して、IoT機器500の仕様により適合なネットワークセキュリティプロトコル属性を設定することができる。
【0051】
大多数のIoT通信プロトコルはIoT環境に適合な通信のために、軽量化、柔軟性、拡張性などの特徴を有しているが、制限されたメモリと性能によりセキュリティ機能が適用されていないかセキュリティに対する考慮が不足している。例えば、IoT環境で普遍的に使われるメッセージプロトコルであるMQTT(Message Queueing Telemetry Transport)は標準として定められたセキュリティ事項がなく、No TCP/IP(Transmission Control Protocol/Internet Protocol)とTCP/IPが混用されたローカルネットワークではネットワーク区間を信頼できない。さらに他のメッセージプロトコルであるCoAP(The Constrained Application Protocol)はDTLS(Datagram Transport Layer Security)を通じてTLS(Transport Layer Security)のようなセキュリティ性を提供するが、IoT環境では重いセキュリティ技法であるという短所がある。したがって、安全なセキュリティ通信環境を構築するためには、IoT機器500の制限された特性に合う軽量化された暗号化プロトコルが必要である。現在IoT環境で動作可能な多様な軽量型暗号化プロトコルが開発されているが、新規のプロトコルは既存の検証された技術とは異なって潜在的な弱点を含み得る。したがって、IoT通信プロトコルと検証された暗号化通信および認証を提供するTLSの接木が必要であり、TLSバージョン1.2より暗号化および性能問題を解決したTLSバージョン1.3の使用を考慮しなければならない。
【0052】
<Cipher Suite>
TLSバージョン1.3は支援するCipher SuiteリストからStatic RSA(Rivest-Shamir-Adleman)とディフィーヘルマン(Diffie-Hellman)を除去して、すべての公開鍵基盤キー交換(Key Exchange)メカニズムは前方機密(Forward Secrecy)を提供しており、RC4、CBC、3DESのようなレガシー(Legacy)アルゴリズムの支援を中断してバージョン1.3のすべての対称キー暗号化アルゴリズムはAEAD(Authenticated Encryption with Associated Data)アルゴリズムでセキュリティを向上させることができる。また、Cipher Suiteの交渉方法も既存の認証とキー交換アルゴリズム、暗号化アルゴリズムを組み合わせて使う方式からそれぞれ独立的に選択する方法に変更して追加される暗号化アルゴリズムの拡張性を改善することができる。
TLSバージョン1.3は支援するCipher SuiteリストからStatic RSA(Rivest-Shamir-Adleman)とディフィーヘルマン(Diffie-Hellman)を除去して、すべての公開鍵基盤キー交換(Key Exchange)メカニズムは前方機密(Forward Secrecy)を提供しており、RC4、CBC、3DESのようなレガシー(Legacy)アルゴリズムの支援を中断してバージョン1.3のすべての対称キー暗号化アルゴリズムはAEAD(Authenticated Encryption with Associated Data)アルゴリズムでセキュリティを向上させることができる。また、Cipher Suiteの交渉方法も既存の認証とキー交換アルゴリズム、暗号化アルゴリズムを組み合わせて使う方式からそれぞれ独立的に選択する方法に変更して追加される暗号化アルゴリズムの拡張性を改善することができる。
【0053】
<Handshake>
TLSバージョン1.2とバージョン1.3のTLS Handshakeの全体メッセージの流れを見ると、TLSバージョン1.2のHandshakeはChange Cipher Specを含んで2-RTT(Round Trip Time)である反面、1.3ではExtensionを通じてChange Cipher Specのようなメッセージ交換を減らして1-RTTに短縮する。サーバーはClientHelloメッセージのExtension情報に基づいて暗号化アルゴリズムおよびパラメータを選択できるため、ServerHelloメッセージ以後のすべてのHandshakeメッセージを暗号化することができる。RFC 8446規格分析を通じてTLSバージョン1.3バージョンのHandshakeの速度向上を予想することができ、支援する暗号化アルゴリズムリスト改善等を通じてセキュリティが向上し得る。もちろん、前述したネットワークプロトコルや暗号化アルゴリズムの他にも多様なプロトコルおよび暗号化アルゴリズムが利用され得ることは自明であろう。
TLSバージョン1.2とバージョン1.3のTLS Handshakeの全体メッセージの流れを見ると、TLSバージョン1.2のHandshakeはChange Cipher Specを含んで2-RTT(Round Trip Time)である反面、1.3ではExtensionを通じてChange Cipher Specのようなメッセージ交換を減らして1-RTTに短縮する。サーバーはClientHelloメッセージのExtension情報に基づいて暗号化アルゴリズムおよびパラメータを選択できるため、ServerHelloメッセージ以後のすべてのHandshakeメッセージを暗号化することができる。RFC 8446規格分析を通じてTLSバージョン1.3バージョンのHandshakeの速度向上を予想することができ、支援する暗号化アルゴリズムリスト改善等を通じてセキュリティが向上し得る。もちろん、前述したネットワークプロトコルや暗号化アルゴリズムの他にも多様なプロトコルおよび暗号化アルゴリズムが利用され得ることは自明であろう。
【0054】
<終端間軽量暗号化>
<SPECK>
SPECKはアメリカNSA(National Security Agency)を通じて発表された暗号化方法で、Feistel構造の軽量ブロック暗号でありARX(Addition、Rotation、XOR)で構成された演算を遂行して暗号化および復号化をする。ソフトウェア動作に焦点を合わせて設計されたのであり、マイクロコントローラプラットフォームに最適化された暗号である。NSAによると、SPECKが有する主な強みとして、柔軟性と性能を提示している。SPECKは多様なブロック/キー長さ(48/96、64/96、64/128、96/96、96/144、128/128、128/192、128/256)を支援するので、多様な環境で使うことができる。
<SPECK>
SPECKはアメリカNSA(National Security Agency)を通じて発表された暗号化方法で、Feistel構造の軽量ブロック暗号でありARX(Addition、Rotation、XOR)で構成された演算を遂行して暗号化および復号化をする。ソフトウェア動作に焦点を合わせて設計されたのであり、マイクロコントローラプラットフォームに最適化された暗号である。NSAによると、SPECKが有する主な強みとして、柔軟性と性能を提示している。SPECKは多様なブロック/キー長さ(48/96、64/96、64/128、96/96、96/144、128/128、128/192、128/256)を支援するので、多様な環境で使うことができる。
【0055】
<ECC>
楕円曲線暗号(Elliptic Curve Cryptography、ECC)アルゴリズムは離散対数で使う有限体の積算群を楕円曲線群で代置した暗号体系であり、他の暗号体系に比べて短いキーサイズで対等な安全度を有する長所を有している。ECCアルゴリズムを利用した暗号システムは乱数と結合した公開キーを各端末に共有して攻撃者が類推できない秘密キーで同期化して暗号化する順序で進行し、このような暗号システムを具現するためにはキー分配アルゴリズムとメッセージ暗号アルゴリズムが構成される。ECCアルゴリズムのキー分配方式はECDH(Elliptic Curve Diffie-Hellman)アルゴリズムが代表的である。メッセージ暗号化は秘密キーの計算以後、端末がメッセージと秘密キーを演算してサーバー送信過程とサーバーが秘密キーを利用して暗号化されたメッセージを演算する過程で進行される。性能オーバーヘッドのためキーを予め共有する方式で使っていたPSK基盤の対称キー暗号のセキュリティ問題を解決するためにIoT環境に適合である。
楕円曲線暗号(Elliptic Curve Cryptography、ECC)アルゴリズムは離散対数で使う有限体の積算群を楕円曲線群で代置した暗号体系であり、他の暗号体系に比べて短いキーサイズで対等な安全度を有する長所を有している。ECCアルゴリズムを利用した暗号システムは乱数と結合した公開キーを各端末に共有して攻撃者が類推できない秘密キーで同期化して暗号化する順序で進行し、このような暗号システムを具現するためにはキー分配アルゴリズムとメッセージ暗号アルゴリズムが構成される。ECCアルゴリズムのキー分配方式はECDH(Elliptic Curve Diffie-Hellman)アルゴリズムが代表的である。メッセージ暗号化は秘密キーの計算以後、端末がメッセージと秘密キーを演算してサーバー送信過程とサーバーが秘密キーを利用して暗号化されたメッセージを演算する過程で進行される。性能オーバーヘッドのためキーを予め共有する方式で使っていたPSK基盤の対称キー暗号のセキュリティ問題を解決するためにIoT環境に適合である。
【0056】
威嚇遮断部330は、PSU600として認証を受けることが出来なかった威嚇端末(図示されず)のアクセスをPSU600を通じて遮断することができる。
【0057】
使用者認証部340は、使用者端末100の使用者情報を保存し、使用者認証キーを使用者端末100に伝送した後、使用者政策管理(Policy Management)ソリューションを使用者端末100で利用するように使用者端末100をマスター(Master)として指定することができる。使用者端末100に設置される使用者政策管理(Policy Management)ソリューションは、PSU600のファイアウォールおよびVPN政策を設定し、PSU600のファイアウォールおよびVPNをリアルタイムでモニタリングし、PSU600のログを管理するソリューションであり得る。
【0058】
<カバーロス認証>
スマートホームの世帯内、ウォールパッドを通じてのサービス使用者に認証は自動化による煩雑な手続きであり得る。しかし、認証なしに誰でも世帯内にのみいるという条件だけで使用が自由となる場合に問題となる。このような側面で認証の意味は、内部攻撃者からウォールパッドのようなコントロールディスプレイ装置の保護が目的である。簡単な認証だけでも多様な内部攻撃に対応することができるためである。特に共有(Shared)攻撃とすでに認可された者として登録された世帯構成員および管理者攻撃にも効果的である。ウォールパッドの一日使用時間を考慮するとき、認証技術の適用はウォールパッドだけでなく、団地内の管理サーバーに対して認証性(Authentication)と安全性(Stability)、接近統制性(Access Control)、透明性(Transparent)、信頼性(Reliable)を提供する。そしてカバーロス(Kerberos)認証は、以下の数学式1~数学式3のように暗号化を通じての機密性を提供することによって、MITM(Man In The Middle)攻撃のような横取り(Intercept)攻撃類型に効果的である。また、任意接続が頻繁に発生する状況でも、下記の暗号化およびチケットを通じてセッション(Session)ごとに認証を遂行することによって対応効果が大きい。
スマートホームの世帯内、ウォールパッドを通じてのサービス使用者に認証は自動化による煩雑な手続きであり得る。しかし、認証なしに誰でも世帯内にのみいるという条件だけで使用が自由となる場合に問題となる。このような側面で認証の意味は、内部攻撃者からウォールパッドのようなコントロールディスプレイ装置の保護が目的である。簡単な認証だけでも多様な内部攻撃に対応することができるためである。特に共有(Shared)攻撃とすでに認可された者として登録された世帯構成員および管理者攻撃にも効果的である。ウォールパッドの一日使用時間を考慮するとき、認証技術の適用はウォールパッドだけでなく、団地内の管理サーバーに対して認証性(Authentication)と安全性(Stability)、接近統制性(Access Control)、透明性(Transparent)、信頼性(Reliable)を提供する。そしてカバーロス(Kerberos)認証は、以下の数学式1~数学式3のように暗号化を通じての機密性を提供することによって、MITM(Man In The Middle)攻撃のような横取り(Intercept)攻撃類型に効果的である。また、任意接続が頻繁に発生する状況でも、下記の暗号化およびチケットを通じてセッション(Session)ごとに認証を遂行することによって対応効果が大きい。
【0059】
【数1】
【0060】
数学式1はウォールパッドを使う使用者ログオンごとに一回ずつ進行されるが、識別認証情報は暗号化キーを通じてチケットと共に暗号化されて認証システムから発給を受ける。これはMITM攻撃に対応する。
【0061】
【数2】
【0062】
数学式2はサービス類型ごとに一回ずつ進行されるが、これを通じてチケットサーバーから通信しようとする者との公開キーの発給を受けて特定サービスに対して認証の確認が可能であるので、ウォールパッドの課金サービスに対する管理サーバーの接続を容易にする。
【0063】
【数3】
【0064】
数学式3はサービスセッションごとに一回ずつ進行されるが、チケットを通じてセッションごとの認証を遂行することによって信頼性ある連結が可能である。この時、TGSは認証承認サーバー(Ticket Granting Server)、ASは認証サーバー、Vはサーバー、ADcはCのネットワークアドレス、Cはクライアント、KvはASとVが共有する秘密暗号化キー、IDcはCにある使用者の識別子、IDvはVの識別子である。
【0065】
追加管理部350は、使用者端末100でマスターとして指定された後、ホームネットワークに連結される少なくとも一つのIoT(Internet of Things)機器および少なくとも一つの追加端末400が存在する場合、使用者端末100のマスター承認手続きにより登録されるようにすることができる。この時、追加をする時には管理者権限、すなわちマスター権限を使っているので、認証情報を同一のものを使う場合、同一パスワードの再使用攻撃(Replay Attack)による問題が発生する可能性がある。この時、マスター権限を使う時には最初に認証を受けた認証キーやパスワードなどのような認証手段を変更して使うことができる。また、管理サーバーの頻繁な任意接続に、前述したカバーロス認証技術で攻撃者による横取り攻撃および偽装攻撃に対応できるようにする。
【0066】
流出遮断部360は、少なくとも一つのIoT機器500のIoTデータがインターネットを通じて伝達されないように遮断することができる。流出遮断部360は、IoTデータが伝達されてもゼロトラスト(Zero-Trust)基盤のGPS逆追跡ができるように設定され得る。
【0067】
政策設定部370は、使用者端末100とPSU600はブルートゥース(登録商標)(Bluetooth)(登録商標)通信に基づいてペアリング(Pairing)され、使用者端末100で使用者政策管理ソリューションを利用してPSU600のファイアウォール政策およびデータ暗号化を含むセキュリティ政策を設定するようにすることができる。この時、使用者が一般人である場合、政策管理や設定などに慣れていない場合があり得、低い理解度によるヒューマンエラーが発生する可能性が高い。例えば、遮断されるべき外部IPが許容されて内部の重要資産に接近後、サービス中断、ウイルス流布、個人情報流出などの深刻な侵害事故が発生し得る。政策に対する事前検証および管理的評価ができるのであれば、ヒューマンエラーを低くし、運営および管理的に足りない点を補完することができる。
【0068】
<政策点検>
(1)政策点検前段階ではファイアウォールから政策のバックアップファイルをExportして本発明のプラットフォームに入力し、(2)点検段階では入力された政策ファイルを分析して重複政策と論理的エラー政策を識別し、(3)点検後段階では識別された結果を定められた様式により報告書を出力することができる。(4)セキュリティのために政策ファイルは完全削除することができる。要求機能明細書に基づいて報告書を作成することができる。この時、報告書は大きく三つの区域に区分できるが、第1、Base Profileは点検に関連した基本的な情報である点検日、政策ファイル経路、ファイルバージョンを表示する。第2、Resultは政策点検結果の要約事項を示す。使用中である微動作政策(Overlap Policy)と重複政策(Duplicate Policy)の個数を示す。第3、詳細データは詳細な点検結果を示す。どのサービスでどのIPが重複または微動作中であるかが分かる。
(1)政策点検前段階ではファイアウォールから政策のバックアップファイルをExportして本発明のプラットフォームに入力し、(2)点検段階では入力された政策ファイルを分析して重複政策と論理的エラー政策を識別し、(3)点検後段階では識別された結果を定められた様式により報告書を出力することができる。(4)セキュリティのために政策ファイルは完全削除することができる。要求機能明細書に基づいて報告書を作成することができる。この時、報告書は大きく三つの区域に区分できるが、第1、Base Profileは点検に関連した基本的な情報である点検日、政策ファイル経路、ファイルバージョンを表示する。第2、Resultは政策点検結果の要約事項を示す。使用中である微動作政策(Overlap Policy)と重複政策(Duplicate Policy)の個数を示す。第3、詳細データは詳細な点検結果を示す。どのサービスでどのIPが重複または微動作中であるかが分かる。
【0069】
<政策検査プロセス>
第1、プロトコルの種類別Sequence IDを区分する。プロトコル、IP/ポート(Port)がすべて一致する場合である。このうち一つでも不一致するのであれば検査対象ではないので、政策ファイルを読み取る過程で同一プロトコルで予め集合を作って区分することによって、不要な検査回数をさらに減らすことができる。第2、同じプロトコルを使う政策のIP/Portの範囲検査を遂行して重複した範囲値を抽出する。この時、IP範囲検査時に文字列で表現されたIPは整数に変換してすでに整数で表現されたポートと同じ方法で範囲検査を遂行する。第3、各政策の許容または遮断動作を確認して両政策の動作が互いに同じであれば重複政策であり、互いに異なれば二つのうち下位順番の政策が微動作する場合であると判別する。第4、すべての政策の検査を遂行して重複したIP/Port、プロトコル結果値を報告書の様式に合うように出力する。前述した政策点検のガイドラインはKISA(韓国インターネット振興院)またはISMS-Pのガイドラインを利用することができる。
第1、プロトコルの種類別Sequence IDを区分する。プロトコル、IP/ポート(Port)がすべて一致する場合である。このうち一つでも不一致するのであれば検査対象ではないので、政策ファイルを読み取る過程で同一プロトコルで予め集合を作って区分することによって、不要な検査回数をさらに減らすことができる。第2、同じプロトコルを使う政策のIP/Portの範囲検査を遂行して重複した範囲値を抽出する。この時、IP範囲検査時に文字列で表現されたIPは整数に変換してすでに整数で表現されたポートと同じ方法で範囲検査を遂行する。第3、各政策の許容または遮断動作を確認して両政策の動作が互いに同じであれば重複政策であり、互いに異なれば二つのうち下位順番の政策が微動作する場合であると判別する。第4、すべての政策の検査を遂行して重複したIP/Port、プロトコル結果値を報告書の様式に合うように出力する。前述した政策点検のガイドラインはKISA(韓国インターネット振興院)またはISMS-Pのガイドラインを利用することができる。
【0070】
アクセス制限部380は、使用者端末100で使用者政策管理ソリューションを利用して認証および登録した、少なくとも一つの追加端末400や使用者端末100でIoT機器500管理ソリューションを通じてのみデータ通信が可能であるように設定することができる。
【0071】
パケット許容部390は、PSU600セキュリティ政策ソリューションを通じてホームネットワークに連結された使用者端末100または少なくとも一つの追加端末400のパケット(Packet)に対してインターネット接続および使用を許容することができる。
【0072】
以下、前述した図2のセキュリティサービス提供サーバーの構成による動作過程を図3および図4を例に挙げて詳細に説明することにする。ただし、実施例は本発明の多様な実施例のうち一つに過ぎず、これに限定されないことは自明であると言える。
【0073】
図3aを参照すると、本発明の一実施例に係るソリューションは、(1)PSU600に対して使用者端末100で最初登録および認証をするために、QRコード(登録商標)を利用してPSU600に接続されるようにし、(2)MACアドレス、認証キーなどのPSU600情報を伝達し、(3)使用者(Master)情報保存および認証キー伝送、以後使用者政策管理ソリューション(アプリケーション)を使用可能である。追加使用者登録はマスター承認手続きにより登録することができる。また、(4)ブルートゥース(登録商標)を利用して使用者政策管理ソリューションを通じてPSU600のファイアウォール政策およびデータ暗号化機能などを設定でき、(5)~(8)によるPSU600のセキュリティ政策により、ホームネットワークの個人用PCパケットはインターネット使用が可能であり、IoT機器500のデータは認証を受けたユニット使用者のIoT機器600管理アプリケーションを通じてのみデータ通信が可能であり、認証を受けることが出来なかったハッカーはPSU600を通じて遮断することができる。
【0074】
図3bのように、本発明の一実施例に係るソリューションは、ハッカー防止を通じてのセキュリティ強化、安全な情報流通寄与、構築および運用費用削減を達成することができ、図3cのように、物理的網分離に必要とされる各世帯の負担を減らしながらも、同じ機能はもちろん、より良いセキュリティソリューションまで提供しつつ、また、携帯が可能であるので引越しをしてもそのまま持っていくことができるため費用の削減を達成することができ、維持費用を減らすことができる。図3dのようなソリューション内の図3eのような構成要素(PSU600、セキュリティサービス提供サーバー300、政策管理ソリューション)を提供することができる。本発明の一実施例に係るシステムは図4aおよび図4bのような差別性を有することができる。
【0075】
このような図2~図4の知能型ホームネットワーク基盤PSUを利用した終端間セキュリティサービス提供方法について説明されていない事項は、前述した図1を通じて知能型ホームネットワーク基盤PSUを利用した終端間セキュリティサービス提供方法について説明された内容と同一であるか、説明された内容から容易に類推可能であるため、以下では説明を省略することにする。
【0076】
図5は、本発明の一実施例に係る図1の知能型ホームネットワーク基盤PSUを利用した終端間セキュリティサービス提供システムに含まれた各構成相互間でデータが送受信される過程を示した図面である。以下、図5を通じて各構成相互間でデータが送受信される過程の一例を説明するが、このような実施例に本願が限定解釈されるものではなく、前述した多様な実施例により図5に図示されたデータが送受信される過程が変更され得ることは技術分野に属する当業者に自明である。
【0077】
図5を参照すると、セキュリティサービス提供サーバーは、使用者端末でQRコード(登録商標)で接続した後、PSU情報および使用者情報をアップロードすると、使用者端末、PSU、使用者情報およびPSU情報を登録する(S5100)。
【0078】
そして、セキュリティサービス提供サーバーは、使用者端末でインターネット接続を試みる場合、PSUを通じて予め保存されたセキュリティ政策により連結し(S5200)、PSUで認証を受けていない威嚇端末のアクセスをPSUを通じて遮断する(S5300)。
【0079】
前述した段階(S5100~S5300)間の順序は例示に過ぎず、これに限定されない。すなわち、前述した段階(S5100~S5300)間の順序は互いに変動され得、このうち一部の段階は同時に実行されたり削除されてもよい。
【0080】
このような図5の知能型ホームネットワーク基盤PSUを利用した終端間セキュリティサービス提供方法について説明されていない事項は、前述した図1~図4を通じて知能型ホームネットワーク基盤PSUを利用した終端間セキュリティサービス提供方法について説明された内容と同一であるか、説明された内容から容易に類推可能であるため、以下では説明を省略することにする。
【0081】
図5を通じて説明された一実施例に係る知能型ホームネットワーク基盤PSUを利用した終端間セキュリティサービス提供方法は、コンピュータによって実行されるアプリケーションやプログラムモジュールのようなコンピュータによって実行可能な命令語を含む記録媒体の形態でも具現され得る。コンピュータ読み取り可能媒体はコンピュータによってアクセスされ得る任意の使用可能媒体であり得、揮発性および不揮発性媒体、分離型および非分離型媒体をすべて含む。また、コンピュータ読み取り可能媒体はコンピュータ保存媒体をすべて含むことができる。コンピュータ保存媒体はコンピュータ読み取り可能命令語、データ構造、プログラムモジュールまたはその他のデータのような情報の保存のための任意の方法または技術で具現された揮発性および不揮発性、分離型および非分離型媒体をすべて含む。
【0082】
前述した本発明の一実施例に係る知能型ホームネットワーク基盤PSUを利用した終端間セキュリティサービス提供方法は、端末に基本的に設置されたアプリケーション(これは、端末機に基本的に搭載されたプラットフォームや運営体制などに含まれたプログラムを含むことができる)により実行され得、使用者がアプリケーションストアサーバー、アプリケーションまたは該当サービスに関連したウェブサーバーなどのアプリケーション提供サーバーを通じてマスター端末に直接設置したアプリケーション(すなわち、プログラム)により実行されてもよい。このような意味で、前述した本発明の一実施例に係る知能型ホームネットワーク基盤PSUを利用した終端間セキュリティサービス提供方法は、端末機に基本的に設置されるか使用者によって直接設置されたアプリケーション(すなわち、プログラム)で具現され、端末機などのコンピュータで読み取りできる記録媒体に記録され得る。
【0083】
前述した本発明の説明は例示のためのものに過ぎず、本発明が属する技術分野の通常の知識を有する者は本発明の技術的思想や必須の特徴を変更することなく他の具体的な形態で容易に変形できることが理解できるであろう。したがって、以上で記述した実施例はすべての面で例示的なものであり限定的ではないものと理解されるべきである。例えば、単一型で説明されている各構成要素は分散されて実施されてもよく、同様に分散されたものとして説明されている構成要素も結合された形態で実施され得る。
【0084】
本発明の範囲は前記詳細な説明よりは後述する特許請求の範囲によって示され、特許請求の範囲の意味および範囲そしてその均等概念から導き出されるすべての変更または変形された形態が本発明の範囲に含まれるものと解釈されるべきである。
【符号の説明】
【0085】
100 使用者端末
200 ネットワーク
300 セキュリティサービス提供サーバー
310 登録部
320 セキュリティ連結部
330 威嚇遮断部
340 使用者認証部
350 追加管理部
360 流出遮断部
370 政策設定部
380 アクセス制限部
390 パケット許容部
400 追加端末
500 IoT機器
600 PSU
200 ネットワーク
300 セキュリティサービス提供サーバー
310 登録部
320 セキュリティ連結部
330 威嚇遮断部
340 使用者認証部
350 追加管理部
360 流出遮断部
370 政策設定部
380 アクセス制限部
390 パケット許容部
400 追加端末
500 IoT機器
600 PSU
【図1】
【図2】
【図3a】
【図3b】
【図3c】
【図3d】
【図3e】
【図4a】
【図4b】
【図5】