버스형 사이버물리 시스템을 위한 안전한 그룹 키 합의

초록

본 논문은 CAN·PROFIBUS 등 반이중·브로드캐스트 버스 환경에서 동작하는 사이버물리 시스템을 위해, 인증·완전 분산형 그룹 키 합의 프로토콜을 설계·구현한다. 12개의 구체적 요구사항을 도출하고, 기존 GKA를 체계화한 뒤 TreeKEM을 기반으로 한 GRA​CYBUS 프로토콜을 제안한다. 설계는 리소스 제한, 동적 가입·퇴거, Dolev‑Yao 공격자 모델, 사후 복구·전방 비밀성 등을 만족하도록 최적화되었으며, 실험을 통해 연산·통신 오버헤드가 제한된 버스에서도 실용적임을 입증한다.

상세 분석

이 논문은 산업용 버스가 갖는 반이중·브로드캐스트 특성과 제한된 페이로드(최대 64바이트)라는 물리적 제약을 핵심 시스템 모델로 설정한다. 가정으로는 모든 노드가 공통 PKI 기반 신뢰 앵커를 보유하고, 초기 비대칭 연산은 한 번만 허용한다는 점을 둔다. 공격자는 Dolev‑Yao 모델을 적용해 메시지 읽기·변조·재전송·삭제·재정렬까지 전능하게 가정한다. 이러한 환경에서 12개의 요구사항(R01‑R12)을 도출했으며, 특히 인증(R01), 완전 분산(R02), 독립 운영(R03), 버스 비종속성(R04), 동적 멤버십(R05), 확장성(R06), Dolev‑Yao 견고성(R07), 사후 복구(R08), 전방 비밀성(R09), 암호 민첩성(R10), 리소스 제약(R11), 그룹 병합·분할(R12)을 강조한다. 기존 GKA를 Prandtl·Xiong의 분류에 따라 평가한 결과, 중앙집중식·비대칭·비동적 프로토콜은 요구사항을 충족하지 못한다. 성능 면에서는 TGDH, D‑OFT, TreeKEM이 O(log² n) 복잡도로 가장 효율적이며, TreeKEM은 MLS 표준의 핵심으로 이미 구현·검증된 점에서 선택된다. 그러나 MLS는 인증·전달 서비스가 필요해 완전 분산 요구를 위배하므로, 논문은 TreeKEM을 변형해 인증 메커니즘을 버스 메시지 자체에 삽입하고, 비대칭 연산을 초기 단계에만 제한한다. 설계는 이진 트리 구조와 epoch‑key 스케줄을 유지하면서, 각 노드가 자신의 경로와 공동 경로(co‑path) 정보를 활용해 서브트리 암호화와 키 업데이트를 수행한다. 동적 가입·퇴거는 트리 재구성을 통해 O(log n) 메시지로 처리되며, 사후 복구와 전방 비밀성은 정기적인 epoch 전환과 키 파생 함수(KDF) 교체로 보장한다. 구현 결과, 100노드 규모에서도 CPU 사이클·메모리 사용량이 임베디드 MCU 수준에 머무르고, CAN‑FD와 같은 64바이트 페이로드에서도 전체 프로토콜 라운드가 3~4개의 메시지로 제한돼 실시간 제어에 지장을 주지 않는다.