iot -...

김호원

부산대정보보호 및 IoT 연구실,

사물인터넷연구센터2018.9.3

- 수업 소개 및 IoT 개요/응용 분야 소개 -

2

I. About this course

3

Course name : 사물인터넷(CP3990) Study the basics on IoT(Internet of Things)

- we will study about the latest topics as well as basic knowledge on Internet of Things (IoT).

- In IoT, meaningful information is extracted from the analysis of the sensed data which are gathered to Platform. Therefore, we need to study IoT platform to understand this situation.

- Also, since trustable IoT services require a lot of technology such as cryptography, security, blockchain technology and network/protocols, we will study these topics.

About this course…

4

What you can expect to get from this class The latest topics and basic knowledge on Internet of Things (IoT).

IoT platform, IoT protocols (TLS, MQTT, CoAP, etc.)

Blockchain technology for IoT

Cryptography, Security & Privacy technology for IoT

Cloud technology for IoT, etc.


5

About me… Office : A06-6503 Office hours : Monday & Wednesday, 12:00~13:20 Email: [email protected] Phone: 010-8540-6336 http://infosec.pusan.ac.kr

Current Major Interests

사물인터넷(Internet of Things) 연구 블록체인(Blockchain) 연구 딥러닝, AI 기술연구 암호(Cryptography), 정보보호(Information Security), IoT 보안 암호칩, 보안칩설계연구, TLS 전용칩개발 국가보안기술연구소, ETRI, KISA, IBM과공동연구 부산대학교사물인터넷연구센터운영중


6

About this course… Course Materialshttp://infosec.pusan.ac.kr

http://infosec.pusan.ac.kr/

7

• Textbook - IoT (Enterprise Internet of Things Handbook by Arvind Ravulavaru)

- oneM2M (IoT platform, http://www.onem2m.org)

- Hyperledger fabric (Blockchain, https://www.hyperledger.org/projects/fabric)

- Cryptography, security (cryptography and network security by W. Stallings, http://williamstallings.com/Cryptography/)

• Class time & Classroom - Monday, Wednesday : 16:30~17:15


8

Assessment

점수항목

5출석

40중간고사

40기말고사

15 (1 week delay: -20% penalty)과제물

100합계


9

II. Introduction to IoT

1. 사물인터넷 기술 정의

2. 사물인터넷 서비스 기본 계층 구조

3. 사물인터넷 적용 분야

사물인터넷 기술 정의– 사물인터넷이라는 것은 유형/무형의 사물이 인터넷상에 연결된다는 것을 의미함

• 그런데, 인터넷에는 데이터, 정보, 지식, 사람, 사물, 서비스 등 모든 것(everything)이 있음. 사물이이러한 모든 것(everything)에 연결된다는 것을 의미함

– CERT-IoT 2009에서 정의된 사물인터넷에 대한 다음과 같은 정의가 존재함

사물인터넷 기술 개요

참고) CERP-IoT, "Internet of Things – Strategic Research Roadmap", September. 2009.

• IoT는 미래인터넷의 통합된 부분으로서 표준과 상호 호환 통신 프로토콜로 자가 설정 기능을 갖춘동적 글로벌 네트워크 인프라로 정의될 수 있으며,

• IoT는 자기 식별자와 각각의 특성을 갖는 물리적인 사물과 가상 사물로 구성된다. 또한, 지능형인터페이스를 가지며 정보망에 잘 통합되는 특성을 갖는다.

• IoT에서의 사물은 비즈니스와 정보, 소셜 프로세스의 적극적인 참여자로서 사물간 혹은 환경과데이터 및 센싱된 환경 정보를 상호 전달/반응 할 수 있다.

• 사물은 자율적으로 물리적인 실환경 이벤트에 반응하거나, 인간의 직접적인 개입 유무와는 관련없이 서비스를 만들거나 특정 행위 동작을 촉발하는 프로세스를 실행한다.

• 서비스 형태에서의 인터페이스는 인터넷을 통해 이와 같은 스마트 사물과의 상호 작용을 촉진하고보안과 프라이버시 이슈를 고려하여 사물의 상태나 관련 정보를 질의 혹은 교환한다.


10

IoT 서비스 기본 계층 구조– 사물인터넷은 기본적으로 센서/디바이스 계층, 네트워크 연결 계층, 데이터 통합/분석 계층, 서비스 융합

계층으로 구성됨

– 이러한 계층을 통해 정보를 센싱/전송/저장/가공/분석/활용/공유하여 의미있는 서비스를 실현

사물인터넷 기술 개요II. Introduction to IoT

11

개인정보 GIS

기상정보

센서/디바이스 계층

스마트 미터

통신/ 네트워크

GPSCCTV 센서 디바이스

외부 데이터(가상 센서) 외부 SNS

네트워크연결 계층

광역 무선망, WiFi, LoRA 센서망, 유선제어망 등

데이터 통합/분석 계층

서비스융합 계층

클라우드/데이터 센터 데이터/정보 검색 인공지능 빅데이터 처리 보안, 프라이버시 보호

물류 서비스 에너지 서비스 스마트홈 서비스 교통 서비스 환경/재난 대응 서비스


참고) Internet of Things (IoT): A Vision, Architectural Elements, and Future Directions


12

사물인터넷 적용 분야– 사물인터넷은 센서/디바이스와 네트워크, 데이터 통합/분석, 서비스 융합을 통해 이뤄지므로 기본적으로

정보를 센싱한 후, 가공/처리/활용이 필요한 분야에는 모두 사물인터넷 기술 적용 가능함

– 즉, 전산업 분야에 적용 가능

• Aerospace and aviation,

• Automotive,

• Telecommunications,

• Intelligent Buildings,

• Medical Technology, Healthcare,

• Independent Living,

• Pharmaceutical,

• Retail, Logistics, Supply Chain

• Management,

• Manufacturing, Product Lifecycle

• Management,

• Oil and Gas

• Smart Grid (Power Grid)

• Safety, Security and Privacy,

• Environment Monitoring,

• People and Goods Transportation,

• Food traceability,

• Agriculture and Breeding,

• Media, entertainment and Ticketing,

• Insurance,

• Recycling, etc.


13

진화하는 사물인터넷 산업 Digital transformation, Digital Twin 개념의 등장으로 인해, IT 뿐만 아니라, 전 산업에

있어서 IoT로의 변화/IoT에 의한 변화가 진행됨

Digital Transformation:

– 기업이 새로운 비즈니스 모델, 제품 및 서비스를 창출하기위해 디지털 역량을 활용함으로써 고객 및 시장(외부생태계)의 파괴적인 변화에 적응하거나 이를 추진하는지속적인 프로세스 (IDC)

– 기업이 디지털과 물리적인 요소들을 통합하여 비즈니스모델을 변화시키고, 산업에 새로운 방향을 정립하는 전략(IBM)

– 기업들이 최신의 디지털 기술을 활용하여 끊임없이변화하는 환경에 적응하여 경쟁력을 확보하려는 노력

Digital Twin:

– 기존에는 주로 엔진, 기계 등, 제조 분야 적용에 많은관심이 있었지만, 최근에는 헬스케어, 재난/재해, 교통,스마트시티 등으로 그 개념이 확대되고 있음

– Digital Twin은 물리적인 시스템의 특성과 기능을 완벽히표현할 수 있는 사이버 복제물로서, 대상 물리 시스템의상태 센싱, 제어, 고장 예측 등이 가능함

참고 : 제4차 산업 혁명과 디지털 트랜스포메이션 (Digital Transformation)의 이해, 김민식, MNS Korea 2017 발표자료, 김호원https://www.convergehub.com/blog/what-does-digital-transformation-mean-what-are-its-nine-core-elementshttps://www.ge.com/digital/sites/default/files/Digital-Twin-for-the-digital-power-plant-.pdf


https://www.convergehub.com/blog/what-does-digital-transformation-mean-what-are-its-nine-core-elements

https://www.ge.com/digital/sites/default/files/Digital-Twin-for-the-digital-power-plant-.pdf


5 Trends in Emerging Technology, Gartner 그룹의 2018.8– Hyper Cycle

14



15



사물인터넷 적용 분야– 사물인터넷은 시장 파괴적인 기술로서 인공지능, 블록체인 등과 함께 세상을 바꿀 기술로 알려져 있음

16

Disruptive 기술(기존 시장 파괴 기술)

Incremental 기술

(기존 시장 성장형 기술)

전략적

기술적

출처: zdnet


사물인터넷은 유무형의 사물을 데이터/서비스와 연결하며,

블록체인은 해당 데이터의 신뢰성을 높이고,

AI는 해당 데이터로부터 의미있는 정보와 지식을 추출함 이에, 기존 산업/분야의경쟁력/효율성을 높이며, 신규 산업 창출도 가능함

IoT에 AI, 블록체인 융합시, 관련 시장 획기적 성장 (Forbes 2018.1, IBM)

- IoT, AI의 높은 산업 확장성과 블록체인의 고신뢰, 투명성 결합시 높은 시너지 효과 발휘

- 2022년 IoT(스마트가전)와 블록체인 융합시 세계 총 시장 규모는 296조 예상


블록체인(고신뢰/투명성, 분산원장, 스마트

컨트랙트, 분산DB)

IoT 기술(1차/2차/3차산업 전산업 적용 등)

인공지능 기술(데이터분석, 머신러닝,

딥러닝, 추론 등)


사물인터넷은 타 4차 산업혁명 신기술(인공지능, 블록체인 등)과 쉽게 접목 가능

사물인터넷 기술의 진화

18

사물인터넷 기술은 기존 초연결에서 지능화로의 진화중

연결과플랫폼을강조하던 IoT시장, 초연결지능중심으로진화중

초연결 지능 IoT 시대IoT 시대

그림 소스: https://www.i-scoop.eu/internet-of-things-guide/connectivity-networks-fog-computing-internet-of-things/

그림 소스: The Internet of Things, Ambient Intelligence and the Move Towards Intelligent Systems by Dr. George Vaněček, IEEE Smart Techhttps://siliconangle.com/blog/2013/03/07/ambient-data-towards-a-future-mobile-revolution/

Smart

Homes

Smart

Buildings

Smart

Cars

Smart

디바이스

Smart

City

Smart Grid

Smart

Community

Smart

Highways



19

항만 분야 적용 사례- 항만에서의 HSE 응용 및

로테르담항에서의 사물인터넷 적용 사례 -

항만에서의 사물인터넷 적용 개념도

20


IoT 센서인터페이스

RFID 인터페이스

영상/음성인터페이스

SNS인터페이스

LTE-M, 4G/5G, LoRA, WiFi

외부 인터페이스

재난재해 상황 인지/분석 해운항만 재난재해 DB

해운사고DB

해양재난재해

항만사고DB

작업자안전사고DB

서비스 API

선박 상황인지

해양/항만재난 인지

항만 자원상황 인지

상황 인터페이스

글로벌 해운항만물류 플랫폼

선박 사고, 재난 상황 인지

②

①

크레인 정상 상황 감지

작업자HSE

③

항만사고대응서비스

지능형 CCTV 분석

각종 IoT 센서연동

④

사고

기상청재난대응

재난 DB 연동서비스

HSE 분석서비스

부두/육상사고대응



국가재난안전포털연동

부산항 항만안전 및 재난대응 서비스

서비스개념도

데이터 수집 통합

항만물류플랫폼상에수집 데이터 통합

영상, 음성, 텍스트, SNS, 정형/비정형 데이터 통합

드론, CCTV, GPS 정보,통신정보, 재난정보, IoT 정보 수집

인지된재난/재해 정보

항만안전/재난/재해

센싱 데이터가공/분석 판단/대응

항만물류플랫폼상에정보 통합/분석, 재난 인지

재난상황에 대한지능형 판단/전문가 판단

실시간 대응 수행

해양 재난 상황, 선박, 부두 상황, 크레인, 육상물류 상황 센싱 데이터

오류 제거, 정보 품질향상, 재난/재해 DB,

HSE DB 기반 필터링 등

재난/재해 유형 분석, 선제적대응/예측, 지능형 실시간 재난

판단/대응. 대응 체계 연동

가공된항만 재난/재해

관련 정보데이터흐름도

① ② ③ ④

Rotterdam 항만 – Pronto 시스템 (1/5)

21

로테르담 항만청의 Pronto(Port Call Optimization) 서비스– 선박 대기 시간 줄이기 위해 로테르담 항만청 (Port of Rotterdam Authority)에서 개발

• Pronto:Port Rendezvous Of Nautical and Terminal Operations 2015년 시작, 첫버전 (2017.9)

– 로테르담항 방문 선박(매년 약 3만척)의 평균 하역 대기시간 20% 단축 목표

– 주요 기능 및 필요 데이터 :

• 입항 승인 위해 선박 관련 정보(선박 정보, 화물 정보, 입항 시간, 선박과 항구 바닥 keel clearance 간격 등), tidal height(조류 높이), 부두(선석) 사용 가능 여부 등, 다양한 정보 필요로 함

• 해운 회사는 Pronto 시스템에 수심 계산에 필요한 배 정보, 입출항 시간 등, 자세한 정보 제공 필요(점진적 데이터 확보 전략)

• 국제 표준 데이터 사용을 위한 표준화 수행(GS1 표준화 노력 진행중)

– 참고: 수심측정 관련 국가별로 상이한 방식(네델란드: Amsterdam Ordnance Data:NAP, 벨기에: Second General Levelling:TWA, 프랑스: 마르세유 average sea level 사용) 상호변환시 시간 소요/오류 발생

• 정확한 선박 계류 시간, 벙커링 시간 예측 가능하며, 승선 시간 및 출항 시간 사전 계획 가능



22

Pronto(Port Call Optimization) 툴 개발 목적– 일반적인 선박 업계에서는 시장 경쟁이 치열하여 정보 공유 많지 않음

• 이러한 정보 공유 부족은 항만 프로세스를 최적화하지 못하여 코스트 상승 요인이 됨

• 일반적으로 컨테이너선 약 50%가 12시간 이상 지연. 지연된 선박은 다음 항구 입항에 영향 줌

• 또한, 허브항에 있는 컨테이너선의 약 75%는 정박 위치 변경 (참고: UNCTAD,UN무역개발회의2012 자료)

– 선박 선로관리에 효율성 증대 필요

• 즉, 선박을 안전(safe)하고 연료 소비를 줄이며, 온실가스(GHG) 방출을 줄이고 선박 사용률을극대화하는 것이 필요함

• 지금까지, 선박의 항해 시간 단축을 위한 많은 노력 이뤄짐(route 최적화, 선박에 대한rightsizing 등)

• 하지만, Port에서 소요되는 시간은 그다지 많이 단축되지 못했음(Johnson and Styhre, 2015)



23

Pronto(Port Call Optimization) 툴 개발 목적

– Port에서 소요되는 시간 최적화 노력: 즉, 선박의 port call과 관련 없는 wasting time 최소화 노력 필요

– Wasting time 유발 사례: 선석이 다른 배에 의해 사용되고 있거나 도선사(pilot)이 없는 경우 등

• 평균적으로 선박 1시간 idle time은 3,000USD 손해임

< Timeline of a typical port call>



24

Pronto(Port Call Optimization) 접근 방법– 로테르담 항은 Port를 해상/육상 물류 통합 주체로 간주하여, 지연 시간 최소화 노력 수행

• Port가 다를 경우에도 특정 물류에 대한 end-to-end 최적화 제공 노력

– 이를 위해, 국제적으로 합의된 정의(definition)과 표준 이벤트 데이터 등이 필요함

• Pronto에서는 GS1 표준과 EPCIS(EPC information service) 정보 서버를 사용하여 표준화 노력수행

• 또한, Pronto는 ArcGIS 클라우드 플랫폼을 사용하여 만들어진 Avanti와 연동되어 서비스제공됨



25

Pronto, Avanti 시스템 주요 기능– Avanti 기능

• ArcGIS Cloud Platform 사용. 기존 항해 표준을 사용하여 다른 Port에서도데이터를 쉽게 업로드하고 최종 사용자가 데이터를 쉽게 사용할 수 있음

• Avanti는 하버 마스터가 항해 Port 정보 관리 가능 즉, 모든 사용자가 해당 정보업데이트 가능

• 해당 정보 활용시, 선박 도착, 하역 등 안전성과 효율성이 향상 됨

– Pronto 기능

• 기존 Supply Chain 표준 및 GS1 표준 사용

• 해상/육상 물류 연동 가능하게 됨

• 또한, 사용자들의 Port Call 관련 효율성이 증대됨

• 사용자들이 직접 터미널 사용 정보, 선박 관련 정보 등, 시작 및 완료 시간 갱신 가능등



26

물류/유통 분야 적용 사례- 사물인터넷과 블록체인의 융합 사례-

사물인터넷 적용 서비스 사례 – 물류/유통

• 식품 유통에서의 블록체인 사례– Walmart, Nestle 등 세계 최대 소비재 및 식품 회사(10개 회사)가 IBM과 협력하여

사물인터넷을 공급망에 적용

– 사물인터넷 기술을 기반으로 생산지부터 소비자에 이르는 전과정을 쉽게 추적할 수있고, 블록체인 기술을 사용하여 데이터에 대한 신뢰성을 보장함

– 7일 소요되던 생산지 정보추적이 3초 이내로 가능함

27



냉장고 동작센서

냉장실 온도 센서

냉장실배터리센서

트럭연료 센서게이트웨이

외부온도센서,GPS, 이동거리

타코미터



• 물류/유통 적용

29

가공&제작생산 운송 1

Smart Contact 1

온도 < 10도습도 < 65%

창고(도매) Smart Contact 2

품질 > A 등급

운송 2 상점(소매)Smart Contact 1&2

업데이트

공유 원장(블록체인)

운송 1 창고(도매) 운송 2 상점

온도 8도습도 60%AAA 등급

온도 9도습도 63%AAA 등급

온도 11도습도 64%B 등급

온도 9도습도 66%B 등급

Smart Contract 1 위반운송 2에게 패널티 부여

1 2 3

4 657



30

재난/재해 대응 서비스 사례- 작업자 안전 관리 -

– 안전모에 장착된 센서(가속도 센서)로부터 수집된 정보를 간단히 처리(머신러닝 기법 사용)하여,

실시간으로 작업자 상태를 모니터링함(작업중, 휴식중, 움직임 없음, 보행중 등 상태 판단 가능)

– 사물인터넷 기반 주변 상황에 대한 추가 센싱을 통해 작업자의 상황 판단을 정확히 함

– 센서(가속도 센서)와 무선 통신 장치, 게이트웨이, 클라우드 플랫폼, 작업자 ERP 시스템으로 구성됨

(무선통신 장치는 메쉬 네트워크를 가능하게 하여 통신 음영 문제 해결함)

HSE – 작업자 안전 제공

안전모

클라우드플랫폼

IoT 게이트웨이

Toxic gas

Temperature

가속도센서

Admin

게이트웨이 SW


– 웹페이지를 통해 작업자의 안전상황을 실시간으로 파악 가능함

– 정상 작업 상태, walking 상태, 이상 상황(사고 발생 여부) 등 파악 가능함

– 또한, 추가 센서(가스 센서, 불꽃 센서, CCTV 영상 분석 등)를 통해 작업자 주변 환경 센싱 가능

Synthetic Sensor !!

HSE – 작업자 안전 제공

32



33

스마트시티 적용 사례

참고: 세계선도형 스마트시티 연구개발 사업, 수정기획보고서, 국토교통부, KAIA 2017

스마트시티 - 개요

34

스마트시티 개념 및 동향 (1/2)

세계 여러 국가의 스마트시티는 주로 에너지, 수자원, 교통, 재난 대응 등, 도시 인프라에

대한 효율적 관리에 집중하고 있음

세계 각국의 스마트시티 사업은 도시 환경의 핵심 인프라 또는 운영 요소인 에너지, 상하수도, 교통,

빌딩, 정부 공공서비스의 효율화를 추구함

또한, 스마트시티는 시민이 직접 참여하며 데이터 기반으로 실질적 도시 문제 해결을 통한

시민 삶의 질 향상

시민의 삶에 직결되는 데이터 수집 및 분석 정보를 토대로 도시 생활에 실질적으로 도움이 되는

서비스 실현

도시 전체가 하나의 통합된 체제로 운영되는 UOS(Urban Operating System) 추구

이를 위해, 데이터 수집/가공/분석/활용을 데이터 플랫폼 구축 및 데이터 거버넌스 체계 구축 필요,

보안 및 프라이버시 보호 필요


참고: 세계선도형 스마트시티 연구개발 사업, 수정기획보고서, 국토교통부, KAIA 2017

스마트시티 - 개요

35

스마트시티 개념 및 동향 (2/2)

스마트시티는 ICT 기술 공급자와 시민 사용자간에 조화를 이루는 것이 중요함

기존 공급자 위주로 진행 된 U-City 사업과 IoT 실증 사업을 지양하고, 미래 스마트시티는

지속 가능한 스마트시티 서비스 생태계 조성이 되도록 진행

시민의 삶에 직결되는 데이터 수집 및 분석 정보를 제공함으로써 도시 생활에 실질적으로 도움이

되는 서비스 실현 필요

공급자 위주의 스마트시티 솔루션은 시민의 체감도가 낮고, 지속성도 떨어지므로 시민과 지자체의

니즈에 맞는 스마트시티 서비스 창출이 중요함


스마트시티 – 개요

36

도시 문제 해결형 스마트시티– 도시내의 다양한 문제를 IoT 기술을 사용하여 해결하고자 함

– 교통 문제, 공공안전, 가로수 절전, 환경 오염 대응, 쓰레기 문제, 주차난 등


스마트시티 – 국내 사례

37

부산시 스마트시티 사례 (플랫폼 중심)

☞ 스마트시티 서비스는 oneM2M 기반의 스마트시티 플랫폼과 연동

세계최초로국제표준 oneM2M기반개방형스마트시티사물인터넷플랫폼구축·운영


스마트시티 – 외국 사례

38

스마트 시티 사례 : Singapore Smart Nation Platform(SNP) 공공기관들이 센서 데이터에 접근, 관리, 공유할 수 있는 플랫폼

– Behavioral monitoring: 비흡연구역의 흡연 및 쓰레기 무단 투기 등을 감지하는 센서 네트워크

– Smart parking: 센서 네트워크 기반 Park&Go 스마트폰 앱을 통해 빈 주차공간 탐색

– Smart Lighting and CCTV: 가로등에 네트워크 연결, 태양 에너지 사용, 카메라와 센서 장착하여비디오와 기타 데이터 획득

– Journey planner app.: 2014년 통근자를 위한 MyTransport Journey Planner app. 도입

– Driverless cars: 2014년 driverless car test를 위해 Autonomous Road Transport 위원회 도입

– Waste management: 쓰레기에 추적 장치를 부착하여 쓰레기 처리가 잘 되고 있는지 확인

– Water management: 무선 센서 네트워크를 이용하여 Smart Water Grid 구축, 실시간 크랙 확인. 자율 로봇 플랫폼(New Smart Water Assessment Network)를 이용하여 실시간 수질 관리 진행

https://www.smartnation.sg/



39

스마트 시티 사례 : Virtual Singapore 싱가폴 도시 전체를 3D로 구현하고 도시에서 발생한 모든 데이터를 수집하여 시뮬레이션할

수 있는 협업 데이터 플랫폼

– 건물, 수역, 식물군, 수송 인프라 등 도시의 상세 정보 기반으로 시맨틱 3D 모델 구현

– 정부는 스마트 국가, 행정 서비스, 전국 센서 네트워크 구축 등의 정책도구로 활용

– 시민에게 지리 기반의 서비스를 실감나게 제공하는 플랫폼

– 기업은 대량의 데이터를 이용한 사업분석, 자원계획 및 관리 가능

– 연구집단에게는 새로운 기술 및 혁신적인 아이디어를 시험해볼 수 있는 테스트베드

<가스폭발화재로 인한 피해 범위 및 주민 대피경로 실험> <가이드 유무에 따른 탈출 경로 시뮬레이션 비교>

https://www.nrf.gov.sg/programmes/virtual-singapore



40

스마트 시티 사례 : 교통 시뮬레이션 가구 이동성 조사, 토지 사용 정보, 통행량, 교통카드, 하이패스, 휴대폰 사용기록 및 기타 웹

정보를 융합하여 교통 시뮬레이션 수행

도시민의 이동행태에 대한 이해

교통망 최적화 및 혼잡통행세 부과 등의 정책 수립에 활용

뉴욕, 베를린, 싱가폴, 서울 등 대도시들이 매년 지속적으로 시뮬레이션 수행중

<베를린의 이동 목적에 따른 교통량 시뮬레이션-youtube연결><Virtual Singapore 기반 교통량 시뮬레이션>


https://youtu.be/rWTFg1UkZTc


41

스마트 시티 사례 : New York City 2007년 PanNYC를 통해 25년간의 지속가능 성장 청사진 공개,

2015년 IoT를 통한 “Smart and Equitable City”를 위한 다수의 프로젝트를 발표하고추진중– Smart mobility: 센서가 버스 접근을 인지하면 신호등이 초록색으로 변경

– Smart kiosk: 도시민의 이동성 데이터 수집– Google의 자매회사인 Sidewalk를 통해 자전거, 보행자 이동량, 교통량, 공기질, 도로 소음을 측정하기 위한

키오스크 설치중

– 맨하탄의 예전 공중전화 부스에 kiosk를 설치하여 기가 wi-fi가 가능한 핫 스팟인 LinkNYC 구축하고 무선 장비이동을 트래킹

– ‘One City, Built to Last’ 프로젝트: 공공건물, 학교 등의 건물 개선을 통해 에너지 효율을 증가시키기위한 프로그램

– Sounds of New York City(SONYC): 소음공해로 잠못드는 뉴요커들을 위해 100여개의 음향 센서를설치하고 배경보다 10데시벨 이상 높은 노이즈에 대한 연구 수행중

– DataBridge program: 50여개 기관들이 수집한 데이터를 통합하고 분석하기 위한 플랫폼 구축

* Smart City Playbook 참고

<Smart kiosk: LinkNYC>


미래형 스마트시티 – 데이터 기반 스마트시티

42

(현재) 플랫폼 기반 수직적 서비스 구축 단계(2단계)

(미래) 개방형 데이터 허브 및 지능형 플랫폼 기반 서비스 수평적 융합 및 도시 운영 플랫폼실현

1단계: 기반구축 단계(스마트시티 1.0)

2단계: 수직적 서비스 구현 단계(데이터 플랫폼, 스마트시티 2.0)

4단계: 도시플랫폼 단계(도시운영플랫폼,스마트시티 4.0)

3단계: 수평적 서비스 구축 단계(지능형 플랫폼/서비스 융합,

스마트시티 3.0)



43

(데이터 기반 스마트시티 실현) 도시 데이터 수집/가공/처리/분석/활용 기반 도시 서비스

운영 및 스마트시티 실현

(혁신 및 일자리 창출) 시민과 산학연관 협력을 통한 지속 가능한 생태계 조성 및 양질의

일자리 창출

(적극적 시민 참여) 도시 운영 및 스마트시티 서비스 개발에 적극적 시민 참여

(시민참여플랫폼, 리빙랩)를 통한 시민 개개인이 행복한 도시 실현


주요 스마트시티 서비스(교통, 안전, 시설물 관리, 행정) 사례


44

서비스 서비스 내용

교통 서비스

주차 서비스

재난 서비스

시설물 관리

서비스

시민 참여


주요 스마트시티 서비스(교통, 안전, 시설물 관리, 행정)를 위한 데이터 허브 개발


45


지능형 데이터 허브에 기반을 두는 데이터 기반 스마트시티


46

통합/관리트랜잭션 및 협업응용

(기존 서비스 운영시스템)

센싱/연동

도시데이터 기반 스마트시티 서비스

(서비스 API 계층)

외부 시스템연동

큐브 및데이터마이닝

스트림데이터분석

빅데이터마스터데이터

콘텐츠

도시데이터

데이터스트리밍

스마트시티데이터거버넌스데이터 품질 보안/프라이버시전주기관리

데이터웨어하우스

표준/호환성/법/규제

시민집단지성

스마트시티 서비스 통합 프로세스

도시데이터 End-to-end 데이터통합허브

부산시 재난안전SBB

가공/분석


III. IoT 플랫폼

47

1. 스마트시티 플랫폼 – oneM2M 플랫폼 개요2. 부산 스마트시티 플랫폼 적용 사례3. oneM2M 플랫폼 보안 기술

스마트시티 플랫폼 - oneM2M 플랫폼 개요

48

WLAN

PAN(Bluetooth)

Mobile Network

(LTE)WLAN/ZigBee

“내 손안의 우리 집” “즐겁고 편한 운전 환경”“편리한 건강 관리”

Smart Home Smart CarHealthcare

Common Service Layer

“플랫폼 공통화 고객의 가치 창조하는 새로운 M2M 서비스 창출 가능”

ModuleModule

Module Module Module Module

Module

Module

Module

Module

Module

Module

Module

Module

Module

oneM2M 기술은 다양한 제품간 연결성을 바탕으로 새로운 제품 및 서비스로손쉽게 확장 가능

III. IoT 플랫폼

스마트시티 플랫폼 – oneM2M 플랫폼 개요

oneM2M Common Service Function oneM2M 핵심 요소 기술

스마트폰스마트가전

Access Networks (2G/3G/LTE/WiFi/ZigBee)

Common Service Functions

스마트그리드

헬스케어스마트홈

보안

스마트카

자동차센서

식별 체계Delivery

Handling

자원 탐색 데이터 관리 그룹 관리

위치 정보 네트워크연동 장치 관리

데이터 서비스

부가 서비스

네트워크서비스

• 데이터 탐색/저장/접근제어 기술• 데이터 분석 기술 (Big Data)

• 위치 정보 제공 기술• 원격 장치 관리 기술

• 액세스 네트워크 (3GPP) 연동 기술• QoS, Multicast/Broadcast 제어 기술

공통 서비스• 어플리케이션 보안성 제공• 글로벌 식별 체계 및

Delivery Handling

Application

M2M

서비스플랫폼

Access

Network

Device/

Module

M2M

주요 서비스• 스마트 홈, 스마트 카• 스마트 그리드, 헬스케어

WAN /

HAN• Cellular Network (2G / 3G / LTE)

• Wi-Fi / ZigBee / Bluetooth

M2M Device/

Gateway

• Smart TV, Smart Phone

• Smart Meter, Health Sensor

• Smart Gateway

트랜잭션관리

Semantics

…

Release 3

III. IoT 플랫폼


Infrastructuredomain

Fielddomain

Non-oneM2MDevice

Non-oneM2MDevice

Non-oneM2MDevice

Non-oneM2MDevice

To anInfrastructureNode of otherM2M Service

ProvidersIN-AE Mca

InfrastructureNode(IN)

IN-AE

IN-CSE

Mca

MiddleNode(IN)

MN-CSE

MN-AE

Mca

MiddleNode(IN)

Mca

Mca

Mca

MN-CSE

MN-AE

ApplicationDedicated

Node(ADN)

ADN-AE

Mca

ApplicationServiceNode(ASN)

ASN-AE

ASN-CSE

ApplicationDedicated

Node(ADN)

ADN-AE

Mca

ApplicationServiceNode(ASN)

ASN-AE

ASN-CSE

Mcc’

Mcn

MccMcc

Mcc

McnMcn Mcc

Mcc

Mcn Mcn

Link is out of scope

사물인터넷 플랫폼 기술 oneM2M 기술

• IN : Infrastructure의 플랫폼 레벨 노드

• MN : 중간 Proxy 역할의 노드

• ASN : 서비스를 위한 노드

• AE : 서비스용 경량 센서 노드

III. IoT 플랫폼


냉난방시스템

공조시스템

조명시스템 Smart

Appliance

IoT 기반 에너지 관리 플랫폼

Smart PlaceNetwork

Market Simulator전력시장

시변요금제기상데이터

전기자동차충전 시뮬레이션

에너지 조류

에너지 정보 및 시스템 제어 신호

Smart PlaceNetwork

ASNASN

MN MN

oneM2M 표준 보안 기능 제공• (D)TLS 를 통한 보안 연관

(Security Association) 구조 성립• 인가/접근제어 (ACL, ABAC, RBAC)• 데이터 기밀성/무결성 제공보안 연관 구조를 통한 보안 채널 성립• 식별 및 인증 (X.509 인증서, ECDSA)• 메시지 암호화 및 무결성 확인

- AES- HMAC_SHA_256

경량 디바이스에 대한 보안 기능제공• 경량 암호, 해시 최적화 구현• oneM2M 표준 보안 기술과의

연동 지원

에너지저장장치 풍력 발전 에뮬레이터

+

ㅣ

ADN

IoT 기반 에너지 절감 시스템

51

III. IoT 플랫폼


사용자

병원/보건소

경찰서

관공서

가족/지인도어락상태

가정 정보

전력

Platform

Broker

공공장소ADN

MN

IN

ASN

ADN

경량 디바이스 보안 기능 제공• 경량 암호, 해시 최적화• oneM2M 표준 보안 기술과

의 연동 지원

oneM2M 표준 보안 기능 제공• (D)TLS 를 통한 보안 연관

(Security Association) 구조 성립• 인가/접근제어 (ACL, ABAC, RBAC)• 데이터 기밀성/무결성 제공보안 연관 구조를 통한 보안 채널 성립• 식별 및 인증 (X.509 인증서, ECDSA)• 메시지 암호화 및 무결성 확인

응급상황 대처 시스템

대처지시

영상

댁내 및 공공장소 정보기반 응급상황 시스템

52

III. IoT 플랫폼

부산 스마트시티 적용 사례 – oneM2M 보안 적용

Wi-Fi

LAN

LTE

CDMA

디바이스플랫폼

53

III. IoT 플랫폼

부산 스마트시티 적용 사례 – oneM2M 보안 적용

공통 플랫폼(IN)

응용 플랫폼(IN)

실증 서비스1(ASN)

실증 서비스2(MN)

실증 서비스3(ASN)

실증 서비스 N(ASN)

센서/액츄에이터(ADN)

M2M 디바이스(ASN)

M2M 디바이스(ASN)

Infrastructure Domain

Field Domain

Service / Application

(AE)

사용자

타플랫폼(IN)

oneM2M 표준기반의 Security Framework 구현타플랫폼연동을위한보안아키텍쳐설계및 구현

실증서비스 구축을 위한 보안 가이드라인 제시실증서비스 취약점 분석 및 보완

경량암호 기술 적용

54

III. IoT 플랫폼

oneM2M 표준 보안

Security ServicesSecurity API (Mca, Mcc) (not specified in the present document)

Security Functions Layer

IdentificationAnd

AuthenticationAuthorization Identity

ManagementSecurity

AssociationSensitive Data

HandlingSecurity

Administration

Secure Environment Abstraction Layer (not specified in the present document)

Secure Environments Layer

Secure Environment n

Sensitive Data Sensitive Functions

oneM2M 표준 보안 Architecture

55

III. IoT 플랫폼

oneM2M 표준 보안

AES

Core Algorithm

Ciphersuites

Security Framework

TLS

Security Association Framework

DTLS

Remote Security Provisioning Framework

AES_128_CBC

Authorization Framework

ECDSA

Security Protocol

AES_128_CCM

HMAC SHA ACL RBAC ABACECC

HMAC_SHA_256 ECDHE

- oneM2M 표준 보안 기술을 제공하는 모듈(인가/접근제어, 보안 연관 성립, 원격 보안 준비 기술)

Security Framework

- 보안 연관, 원격 보안 준비 기술에 필요한TLS/DTLS 기술을 제공하는 모듈

Security Protocol

- TLS/DTLS 에서 사용되는 암호화 알고리즘, 키교환 프로토콜 등을 제공하는 모듈

Ciphersuites

- 암호 코어 알고리즘, 접근 제어 모델 등의 주요보안 요소 기술을 제공하는 모듈

Core Algorithm

oneM2M 보안 기술 구성

oneM2M 표준 호환 보안 기술 개발 사례(release 1.14 호환)

III. IoT 플랫폼

56

oneM2M 표준 보안 – 인가/접근 제어 기술

The overall result of the access decision algorithm is denoted here with the variable name res_acrs:

If the request matches the access control rules

• TRUE or 1

Else

• FALSE or 0

57

III. IoT 플랫폼


Policy Enforcement Point(PEP)Policy Decision Point(PDP)Policy Retrieval Point(PRP)Policy Information Point(PIP)

PDP 가 인가를 하기 위해 PRP,PIP에게 정보를언어오는 단계

PDP 가 접근 허용여부를결정하는 단계

oneM2M Security Functions Layer Authorization Procedure

58

III. IoT 플랫폼


Resource_1

Resource_2

Resource_3

Resource_4

Resource_5

ACP_1

ACP_2

ACP_3

ACP_4

ACP_5

ACP_6

ACR_1

ACR_2

ACR_3

ACR_4

ACR_6

ACR_5

ACR_7

ACR_8

ACR_9

ACR_10

oneM2M 리소스 ACP(접근제어정책) 리소스 접근제어규칙(ACR)

PRP가 ACP를 저장

selfPrivilige/privilige속성으로 나누어짐

selfPrivilige 속성- ACP에 대한 연산

(Operation)을 수행하기 위해사용됨

Privilige 속성- ACP를 제외한 다른 리소스

에 대한 연산을 수행하기 위해사용됨

59

III. IoT 플랫폼

ACP(Access Control Policy)란?? ACR(Access Control Rule)로 이루어짐

selfPrivilege/Privilege 두가지의 속성으로 나누어짐

ACP 리소스에 대해서는 selfPrivilege 속성을 보고, 다른 리소스에 대해서는 Privilege 속성을 이용함

acrs = { acr(1), acr(2), ..., acr(K) }

ACR(Access Control Rule)란?? 접근 제어 결정을 위한 규칙들을 포함

acr(k) = { acr(k)_accessControlAuthenticationFlag, // release 2 추가됨, Hosting CSE의 인증(rq_authn) 여부

acr(k)_accessControlOriginators, acr(k)_accessControlOperations, acr(k)_accessControlContexts,acr(k)_accessControlObjectDetails. // release 3 추가됨, 허용되는 리소스 타입 등

}


파라미터 설명Mandatory/Optional

accessControlOriginatorsfr 요청자(originator)의 식별자 M

role 요청자(originator)의 역할 O

accessControlOperations op 대상 리소스에 대해서 요청된 연산(operation) M

accessControlContexts

rq_time 요청시간

Orq_loc 요청장소

rq_ip 요청 IP

III. IoT 플랫폼

60


3.

4.

데이터 요청 결과

접근제어 결정• ACL (Access Control List)• RBAC (Role Based Access Control)

플랫폼의 접근 제어 결과

True

접근제어/인가 기술(Authorization) 예시 실증서비스 및 사용자의 플랫폼 리소스, 실증서비스 응용 시스템, 디바이스 등에 접근 제어 리스트(ACL) 및

역할 기반 접근 제어(RBAC) 기능 제공

oneM2M 표준에서 정의한 Policy Point (PEP, PDP, PRP, PIP) 기반의 인가/접근제어 기술

III. IoT 플랫폼

61


Wi-Fi

LAN

LTE

CDMA

디바이스플랫폼

보안 연관 성립 기술 적용

실증서비스 디바이스부터 도시 시민 사용자까지 안전한 통신 가능

보안 연관 성립 기술(Security Association Establishment Framework) oneM2M 플랫폼, 디바이스 및 응용 시스템의 통신 데이터 기밀성, 무결성, 상호 인증 등의 보안 기능 제공을 위한 기술

(Hop-by-Hop 보안 제공)

보안 연관 성립 기술 예시(스마트시티 사례)

III. IoT 플랫폼

62

oneM2M Security Functions Layer Authentication

oneM2M 표준 보안 – Security Association

• UN-SP : Underlying Network Service provider• GBA : Generic Bootstrapping Architecture• MEF : M2M enrolment function• BSF : Bootstrap service function• MAF : m2m authentication function• RSPF : remote security provisioning framework• SAEF : security association establishment framework

① Provisioned Symmetric Key Security Association Establishment Framework

- 미리 제공된 대칭키를 이용하여 end-points간의 association 진행

② Certificate-Based Security security Association Establishment Framework

- 개인 서명키와 인증서, 공개키를 이용하여 association

③ MAF Security security Association Establishment Framework

- 3rd party service provider에 의해서 진행됨

셋 중에 하나 사용(PSK, Cert, MAF)

Certificate-Based SAEF와 Symmetric Key-Based SAEF는 Entity 간의 인증을 수행

MAF-Based SAEF는 3자간인증을 수행

III. IoT 플랫폼

63

oneM2M 표준 보안 – Security Association

All type of Security Association Establishment Frameworks General description of SAEF

• Credential/Identity Configuration- 사전 파라미터 설정 단계

• Association Configuration- 상대방 정보 송수신

• Association Security Handshake- 상호 인증

III. IoT 플랫폼

Release 1에서 식별자는 사전에 설정된다고 가정함.release 2 부터는 별도의Configuration 단계로 추가됨

64

사전 분배된 대칭키 기반의 보안 연관 성립 기술

oneM2M 표준 보안 : PSK-Based-SAEF

A B

Kpsa & KpsaId 는 두가지 방법에 의해서 공급됨- Pre-Provisioning- Remote Provisioning Framework

IdB 설정

Credential Configuration

Association Configuration

Association Security Handshake: (D)TLS Handshake

A는 Kpsa 를 이용하여 세션정보에 대한 MIC를 생성하고, B는 Kpsa를 이용하여 MIC를 검증B는 Kpsa 를 이용하여 세션정보에 대한 MIC를 생성하고, A는 Kpsa를 이용하여 MIC를 검증

A는 B와 TLS를 사용하고, TLS_PSK 또는 TLS_DHE_PSK 를 사용:TLS psk_identity를 KpsaId으로 설정TLS psk 파라미터를 Kpsa으로 설정

III. IoT 플랫폼

IdB 설정

Identity Configuration

65

인증서 대칭키 기반의 보안 연관 성립 기술

oneM2M 표준 보안 : Certificate-Based-SAEF

• …A B

A의 privateKey, Cert를 필수로 준비하고,Cert Chain을 추가적으로 사용할 수 있음

A의 Cert가 CSE-ID/AE-ID Cert라면 IdA가 준비


Association Configuration


TLS Handshake : A는 A의 PrivateKey로세션정보에 대한 MIC를 생성하고, B는 A의 Cert(공개키) 로 인증서 검증B는 B의 PrivateKey로 세션정보에 대한 MIC를 생성하고, A는 B의 Cert(공개키) 로 인증서 검증

B의 privateKey, Cert를 필수로 준비하고,Cert Chain을 추가적으로 사용할 수 있음

B의 Cert가 CSE-ID Cert 라면 IdB가 준비

B의 식별자 IdB 설정

IdB와 B의 Cert를 연관 IdA와 A의 Cert를 연관

IdB는 Security Contexts에 연관되며,B의 Cert에 의해서 인증

IdA는 Security Contexts에 연관되며,A의 Cert에 의해서 인증

A는 A의 Cert & Chain(o)을 B에게 보낸다B는 B의 Cert & Chain(o)을 A에게 보낸다

A는 B의 Cert & Chain(o)을 검증한다. B는 A의 Cert & Chain(o)을 검증한다.

[사전 파라미터 설정 단계]Association Security Handshake 과정에서식별에 사용되는 oneM2M 식별자와 인증에사용되는 인증서를 설정함

[상대방 정보 설정 단계]보안 연관 성립 대상의 식별자와 인증서정보를 설정함

[상호 인증 수행 단계]Credential/Association Configuration 과정에서 설정한 정보를 활용하여 식별 및인증을 수행함 (TLS/DTLS Handshake 이용)

III. IoT 플랫폼

Identity Configuration

66

oneM2M 표준 보안 : MAF-Based-SAEF

A MAF

MAF-FQDN, Km, KmId


Association Establishment Parameters


Km, KmId, IdA

B의 식별자는 IdB로 사전에 설정

A는 IdB를 설정 MAF는 IdB를 설정

IdB는 Security Contexts에 연관되며,Km으로부터 생성된 kc와 idB에 의해서 인증

B에게 Km으로부터 생성된 kc를 발급

B

KcIdKcId

Kc,KcId,IdA

Kc, KcId

PSK-TLS handshakePsk_identity는 KmId 로 설정, Psk 파라미터는 Km으로 설정

MAF Handshake

Kc, RelativeKcId를 RFC 5705에 따라 export하고, RelativeKcId와 MAF-URI 로부터KcId를 생성하고 저장

MAF 기반의 보안 연관 성립 기술

III. IoT 플랫폼

67

oneM2M 표준 보안 : 보안 연관 성립 기술

HandshakeProtocol

Change Cipher Spec

AlertProtocol

ApplicationProtocol

(HTTP, MQTT, 등)

TLS/DTLS Record Protocol

TCP UDP

IP

TLS/DTLS 구조

보안 연관 성립 기술 – TLS/DTLS 보안 기술 oneM2M 표준에서 권고하는 통신 보안 프로토콜

TCP/UDP 상에서 안전한 보안 통신 제공

또한, 보안 연관 성립(SAEF) 및 원격 보안 준비 기술(RSPF)에서 식별 및 인증, 메시지의 기밀성 및 무결성 검증 등에 사용됨

oneM2M에서 지원하는 다양한 응용 프로토콜(HTTP, MQTT, CoAP 등) 보안에 사용됨

TLS/DTLS는 Handshake, Record 프로토콜 등으로 구성됨

• Handshake 프로토콜: Client와 Server사이에 식별 및 인증, 공유 비밀키 설정을 위해 사용됨

• Record 프로토콜: 공유된 비밀키를 사용하여 메시지에 대한 안전한 전송 수행

• Change Cipher Spec 프로토콜: Handshake 프로토콜에서 협상된 알고리즘과 키를 사용함을 알릴 때 사용

• Alert 프로토콜: Handshake, Record, Change Cipher Spec 프로토콜 과정에서 발생되는 오류를 알림

III. IoT 플랫폼

68


oneM2M Entity A oneM2M Entity B

1 – ClientHello

2 – ServerHello

3 – Certificate

5 – CertificateRequest

6 – ServerHelloDone

7 – Certificate

8 – ClientKeyExchange

9 – CertificateVerify

10 – Finished

11 – Finished

인증서 기반의 상호 인증 Full Handshake

1. Client가 지원 가능한 Ciphersuite(암호, 키교환 알고리즘 등)을 서버에 알림

2. Client가 지원가능한 Ciphersuite 중에서하나를 선택하여 응답하고 Session ID 할당

3. 서버 인증을 위해 X.509 인증서를 보냄(CA의 Private Key로 전자서명됨)

4. Pre-master secret 계산을 위해 필요한paramter를 전송함

5. Client 인증이 필요한 경우 Client의 인증서를 요청함

7. Server로 부터 CertificateRequest를 받았을 경우 Client의 인증을 위해 인증서를 보냄

8. Pre-master sercret 계산을 위해 필요한parameter를 전송함

4 – ServerKeyExchange

6. ServerHello 절차의 끝을 알림 9. 이전까지 교환된 이전 메시지에 대한Digest 값을 계산해서 보냄(Client의 Private Key로 서명되고, Server는Client의 Public Key로 검증)

10. Handshake 종료를 알림

11. Handshake 종료를 알림

보안 연관 성립 기술 – TLS/DTLS 보안 기술 TLS/DTLS Handshake 프로토콜

프로토콜 버전, 사용하는 알고리즘 종류 등을 설정함: oneM2M에서 권고하는 Ciphersuite이 적용되어야함(예) TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

oneM2M에서는 사전 분배된 대칭키(PSK)와 X.509 인증서 기반으로 인증을 수행함

III. IoT 플랫폼

69


Wi-Fi

LAN

LTE

CDMA

디바이스

플랫폼

암호화된 데이터 전송

Record 프로토콜에서의 암호화된 Application Data 생성 과정

보안 연관 성립 기술 – TLS/DTLS 보안 기술 TLS/DTLS Handshake 프로토콜

Handshake 프로토콜을 통해 세션 설정 후, Record 프로토콜을 통해 암호화된 통신 기능을 제공함

Handshake 프로토콜을 통해 협의된 Ciphersuite에 따라 암호화 알고리즘이 사용되며 oneM2M에서는 AES, HMAC, SHA256 사용을 권고함

III. IoT 플랫폼

70

oneM2M 표준 보안 : 원격 보안 준비 기술

원격 보안 준비 기술(Remote Security Provisioning Framework) oneM2M 서비스 구축에 사용되는 게이트웨이, 디바이스, 서비스 등의 등록 과정에서 사용될

수 있는 보안 자격증명(Security Credential)을 원격으로 배포하기 위한 기술

보안 연관 성립 기술(SAEF)에 사용되는 보안 자격증명 배포 기술

• 원격 보안 준비기술을 사용하여 두 엔터티 간공유되는 대칭키를 사전 준비함

• 두 엔터티는 AE/CSE와 M2M Authentication Function(MAF)이 되거나, 두 개의 AE/CSE가 될 수 있음

• 준비된 대칭 키 보안 연관 성립과, MAF 기반 대칭키보안 연관 성립 방법이 있음

• Provisioned Symmetric Key Security Association Establishment• MAF-based Symmetric Key Security Association EstablishmentAE/CSE

AE/CSE

Remote SecurityProvisioning Framework

두 엔터티 간 공유대칭키 Provisioning

RSPF 절차 완료 후보안 연결 성립

M2MAuthenticationFunction(MAF)

AE/CSE

III. IoT 플랫폼

71

oneM2M 표준 보안 : Security Administration

SAEF(Security Association Establishment Framework) 사전에 Association을 위한 파라미터가 준비되어 있어야 하며, 이를 이용하여 상호인증을 수

행

RSPF(Remote Security Provisioning Framework) 상호인증이 요구되지만, SAEF를 위한 파라미터가 설정되어 있지 않다면??

• Based on symmetric key

• Based on Certificate

• Based on GBA(General Bootstrapping Architecture)

SAEF, RSPF 개념도

III. IoT 플랫폼

72

oneM2M 표준 보안 : 원격 보안 준비 기술

oneM2M Security Framework Remote Security Provisioning Frameworks

• Bootstrap Credential Configuration

• Bootstrap Instruction Configuration

• Bootstrap Enrolment Handshake

• Enrolment Key Generation

• Enrolment Phase

RSPF 목적 두 노드(Node)간의 공유된 파라미터

없이 상호 인증

SAEF를 위한 파라미터 설정(Kpsa/KpsaId, Km/KmId)

III. IoT 플랫폼

73

oneM2M 표준 보안 : PSK-based-RSPF

사전 분배된 대칭키 기반 원격 보안 준비 기술

대칭키 기반 원격 보안 준비 기술

Enrolee

Kpm & KpmId, MEF URI

Bootstrap Credential Configuration

Bootstrap Instruction Configuration

Integration to Association Security Handshake

식별자는 사전에 설정

Enrolment Target ID, Enrolment Expiry

MEF

KeId

KeId

Ke/Enrolee Target ID로부터 {Km/Kpsa}생성

Enrolment Target(MAF,Enrolee B)

Bootstrap Enrolment Handshake

Enrolment Key Generation

Kpm&KpmId

Enrolee IDEnrolment Target ID, Enrolment Expiry

Enrolle와 MEF는 Kpm으로 각자의 세션정보에 대한 MIC를 생성 및 검증

TLS_PSK 또는 TLS_DHE_PSK 를 사용:TLS psk_identity를 KpmId으로 설정, TLS psk 파라미터를 Kpm으로 설정

Ke, RelativeKeId를 RFC 5705에 따라 export하고, RelativeKeId와 MEF-URI 로부터 KeId를 생성하고 저장

{Km/Kpsa}, Enrolee ID

상호 인증

{kmId / KpsaId}를 KeId 로 설정 {kmId / KpsaId}를 KeId 로 설정

[부트스트랩 자격증명 설정]Enrolee Key(Kpm)와 Enrolee Key Identifier(KpmId)를사전에 준비

[부트스트랩 인스트럭션 설정]Enrolee 및 M2M Enrolment Function은 RSPF에필요한 정보로 구성

[부트스트랩 Enrolment 핸드쉐이크]Enrolee 및 M2M Enrolment Function은 (D)TLS-PSK 핸드쉐이크를 수행하여 보안세션 설정

[Enrolment 키 생성]Enrolment Key(Ke)와 RelativeKeId 생성 후Export하고 KeId 생성, Ke와 KeId 저장

[통합 연관 보안 핸드쉐이크]KeId 전달 및 Ke로부터 Km, Kpsa 생성 후 마스터인증정보인 kmId 생성- KeId 정보를 받은 MEF와 Enrolee는 대응되는(미리

갖고 있던 ) Ke에서 Km/Kpsa 생성(KDF 사용)- MEF는 이를 target에 전송

III. IoT 플랫폼

74

oneM2M 표준 보안 : Certificate-based-RSPF

Enrolee

Enrolee Private Key/Cert/Chain(o), MEF URI





Enrolment Target ID, MEF URI, MEF Certificate

MEF

KeId

KeIdKe/Enrolee Target ID로부터 {Km/Kpsa}생성




MEF Private Key/Cert/Chain

Enrolee ID, Enrolment Target IDEnrolee Certificate

TLS : Enrolle/MEF Private Key로 각자의 세션정보에 대한 서명 및 검증

Ke, RelativeKeId를 RFC 5705에 따라 export하고, RelativeKeId와 MEF-URI 로부터 KeId를 생성하고 저장

{Km/Kpsa}, Enrolee의CSE-ID 또는 AE-ID상호 인증


Enrolee/MEF Cert&Chain

인증서 기반 원격 보안 준비 기술

III. IoT 플랫폼

75

oneM2M 표준 보안 : GBA-based-RSPF

Enrolee

3GPP에 따라 자격증명 설정





Enrolment Target ID

MEF

KeId

KeIdKe/Enrolee Target ID로부터 {Km/Kpsa}생성




Enrolee GUSS

Ks, B-TID

Ke = KsKeID = B-TID

{Km/Kpsa}, Enrolee의CSE-ID 또는 AE-ID상호 인증


GBA Bootstrapping

Ke = KsKeID = B-TID

Ks, B-TID

GBA 기반 원격 보안 준비 기술

III. IoT 플랫폼

76

oneM2M 표준 보안 : Sensitive Data Handling

oneM2M Data Protection 프라이버시를 침해할 수 있는 사용자의 민감 데이터 및 중요 데이터 보호

oneM2M에서는 Data에 대한 protection level을 정의하고 있음• 0 : No protection

• 1 : (Low) : protection on passive attack (not active attack)

안전한 저장 공간(Secure Storage)• Mcs reference point를 통해 SE(Sensitive function/data) 접근

• 보호 레벨 2 : 중간 수준의 보안 레벨로서 원격 공격에 대한 보안 기술은 적용되지 않은 레벨

• 보호 레벨 3 : 높은 수준의 보안 레벨로서 원격 또는 로컬 공격(부채널 공격 등)에 대해서도 안전한 레벨

III. IoT 플랫폼

Server

Local Secure Environment

CSE

AEAEAEAE

CSECSE

CSECSECSE

Security API

Security API

Protection Level 3

Sensitive Function

Remote Secure EnvironmentProtection Level 2

Secure Storage

• 2(Midium) : protection on remote attack• 3(High) : protection on remote and local attack

77

oneM2M 표준 보안 시나리오

Reference : MARCOM-0014-oneM2M_Webcast_on_nov_14

CSE2

CSE1

AE2

AE1

Infrastructure Domain

Sensor Gateway

M2M SP’s Server Health CareWeb-application

Field Domain

o Sensor : 사용자의 체중 데이터 수집을 위한 IoT 체중계o Gateway : 센싱 데이터 수집 및 서버와의 통신을 위한 게이트웨

이o M2M SP’s Server : 사용자별 데이터 수집 및 처리o Web App Server : 사용자별 건강 관리 서비스 제공

(1) IoT게이트웨이 및IoT 체중계의 서버 등록 과

정

(2) IoT 체중계와 서버간의 통신

(3) 사용자별 건강 관리서비스 제공

(4) 안전한 데이터 저장

프라이버시 보호

통신 보안

사용자 인증 및 인가

헬스케어 서비스 IoT 체중계 및 웹 애플리케이션을 통한 사용자별 건강 관리 서비스

III. IoT 플랫폼

48

부산대학교 전기컴퓨터공학부 김호원부산대학교 사물인터넷 연구센터장

[email protected]

79

iot -...

Documents