KR100521405B1 - A automated security service method for centralized remote control system using internet - Google Patents

A automated security service method for centralized remote control system using internet Download PDF

Info

Publication number
KR100521405B1
KR100521405B1 KR10-2003-0042822A KR20030042822A KR100521405B1 KR 100521405 B1 KR100521405 B1 KR 100521405B1 KR 20030042822 A KR20030042822 A KR 20030042822A KR 100521405 B1 KR100521405 B1 KR 100521405B1
Authority
KR
South Korea
Prior art keywords
control
security
server
control command
client
Prior art date
Application number
KR10-2003-0042822A
Other languages
Korean (ko)
Other versions
KR20050001241A (en
Inventor
박세현
송오영
배두현
이평수
Original Assignee
박세현
송오영
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 박세현, 송오영 filed Critical 박세현
Priority to KR10-2003-0042822A priority Critical patent/KR100521405B1/en
Publication of KR20050001241A publication Critical patent/KR20050001241A/en
Application granted granted Critical
Publication of KR100521405B1 publication Critical patent/KR100521405B1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Selective Calling Equipment (AREA)

Abstract

본 발명은 인터넷을 이용한 중앙 집중적 무인 제어 시스템의 원격 보안 서비스 방법에 관한 것으로, 보다 자세하게는 기존의 구축된 제어 시스템을 변경하지 않고 보안 서비스 방법을 제공하는 메커니즘에 관한 것이다.The present invention relates to a remote security service method of a centralized unmanned control system using the Internet, and more particularly, to a mechanism for providing a security service method without changing the existing control system.

본 발명의 인터넷을 이용한 중앙 집중적 무인 제어 시스템의 원격 보안 서비스 방법은 중앙 제어 서버가 제어 대상이 되는 기기의 상태 및 환경 상태에 대한 메시지를 제어 단말 장치로부터 전송받아 파악한 후, 제어 단말 장치로 제어 명령 데이터를 보내는 단계; 상기 제어 단말 장치가 제어 명령 데이터를 보안 클라이언트에 보내는 단계; 상기 보안 클라이언트와 보안 서버 사이에 SSL 보안 터널을 형성하기 위해 사설 CA를 통해 보안 클라이언트의 개인키를 생성하고 인증서를 발급하는 단계; 상기 보안 클라이언트에서 받은 제어 명령 데이터를 보안 클라이언트가 암호화하여 SSL 보안 터널을 통해 보안 서버로 전송하는 단계; 상기 받은 제어 명령 데이터를 보안 서버에서 복호화하고 중앙 제어 서버에 전송하여 상기 중앙 제어 서버가 제어에 필요한 제어 명령 데이터를 수신하는 단계; 상기 제어 명령 데이터를 수신한 중앙 제어 서버가 보안 서버로 전송하는 단계 및 상기 보안 서버가 제어 명령 데이터를 암호화하여 보안 클라이언트에 전송한 후, 상기 보안 클라이언트가 암호화된 제어 명령을 복호화하여 제어 단말 장치로 전송하는 단계로 이루어짐에 기술적 특징이 있다.In the remote security service method of the centralized unmanned control system using the Internet of the present invention, after the central control server receives a message about the status of the device to be controlled and the environmental state from the control terminal device, the control terminal device receives the message and receives a control command. Sending data; Sending, by the control terminal device, control command data to a secure client; Generating a private client's private key and issuing a certificate through a private CA to establish an SSL secure tunnel between the secure client and the secure server; Encrypting, by the secure client, the control command data received from the secure client and transmitting the encrypted control command data to the secure server through an SSL secure tunnel; Decrypting the received control command data in a security server and transmitting the control command data to a central control server to receive the control command data necessary for control; The control server receives the control command data from the central control server and transmits the control command data to the security client after encrypting the control command data to the security client. The security client decrypts the encrypted control command to the control terminal device. There is a technical feature to the step of transmitting.

따라서, 본 발명의 인터넷을 이용한 중앙 집중적 무인 제어 시스템의 원격 보안 서비스 방법은 인터넷 환경 하에서 필요한 인증, 부인 방지, 기밀성, 무결성과 같은 모든 보안 서비스를 제공함으로써 특별한 통신 인프라의 구축 없이 기존의 인터넷 망을 사용하여 관리자없이 관리가 가능한 보안적 무인 제어 시스템을 구축하는 장점이 있으며, 폐쇄된 시스템에서의 사설 CA 사용으로 인한 제어 단말과 중앙 제어 서버에서의 PKI 사용으로 인한 오버헤드를 감소시켜 미들웨어의 성능 사양을 대폭 감소시킬 수 있으므로 비용 부담이 감소되는 효과가 있다.Therefore, the remote security service method of the centralized unmanned control system using the Internet of the present invention provides all the security services such as authentication, non-repudiation, confidentiality, and integrity necessary in the Internet environment, thereby establishing an existing Internet network without establishing a special communication infrastructure. It has the advantage of constructing a secure unmanned control system that can be managed without administrator, and reduces the overhead caused by the use of a private terminal in a closed system and the use of PKI in a central control server. Since it can significantly reduce the cost burden is reduced.

Description

인터넷을 이용한 중앙 집중적 무인 제어 시스템의 원격 보안 서비스 방법{A automated security service method for centralized remote control system using internet} A automated security service method for centralized remote control system using internet}

본 발명은 인터넷을 이용한 중앙 집중적 무인 제어 시스템의 원격 보안 서비스 방법에 관한 것으로, 보다 자세하게는 기존의 구축된 제어 시스템을 변경하지 않고 보안 서비스 방법을 제공하는 메커니즘에 관한 것이다.The present invention relates to a remote security service method of a centralized unmanned control system using the Internet, and more particularly, to a mechanism for providing a security service method without changing the existing control system.

최근 인터넷의 급속한 확산으로 전국적으로 고속통신 인프라가 확보되었고, 기설치 된 인터넷 망을 활용할 수 있다는 측면에서 인터넷을 이용한 중앙 집중적 제어 시스템이 각광받고 있다. 인터넷을 이용한 제어 시스템은 초기 설치비 및 유지비 감소로 경제성이 탁월하며, 1:N 통신이 가능하기 때문에 제어 시스템에서 분산되어 있는 피제어 장치에 대한 감시 및 제어가 가능하다는 장점이 있다. 그러나, 인터넷을 이용한 제어 시스템은 제어 신호가 외부에 노출되는 것을 방지할 수 없고 제어 신호의 위조나 변조, 각 피제어 장치에서 보내오는 제어에 필요한 데이터에 대한 위조나 변조, 해킹 등 잠재적인 보안 위협으로부터 보호가 되지 못하여 오히려 역효과를 낳게 되었다. The recent rapid spread of the Internet has secured a high-speed communication infrastructure nationwide, and the centralized control system using the Internet is in the spotlight in terms of being able to utilize an existing Internet network. The control system using the Internet has the advantage of being economical by reducing the initial installation cost and the maintenance cost, and has the advantage of being able to monitor and control the controlled devices distributed in the control system since 1: N communication is possible. However, the control system using the Internet cannot prevent the control signal from being exposed to the outside, and there are potential security threats such as forgery or modulation of the control signal, forgery or modulation of data required for control from each controlled device, and hacking. There was no protection against it, which would be counterproductive.

이러한 잠재적인 보안 위협에 대한 대책으로 PKI(Public Key Infrastructure)를 이용할 수 있으나, PKI를 사용하기 위해서는 기존의 제어 시스템에 대한 변경이 필수적이다. 즉, 중앙 제어 서버에서 PKI를 활용하기 위한 모듈이 추가되어야 하고, 각 피제어 장치에 대한 수정 및 교체가 필요하다. 피제어 장치에 대한 수정 및 교체는 비용적 측면에서 큰 부담이 될 수 있다. 또한, 제어 시스템마다 보안 서비스를 제공하기 위해 보안 모듈을 개발하는 것은 국가적 차원에서 인적 물적 낭비가 되었다.종래의 VPN 시스템은 IPSeC 등을 통해 VPN을 제공하기 위해서 제어 단말 장치가 있는 네트워크에 대한 네트워크 재설정 및 네트워크 장비의 구입이 필요하여 소비자에 대한 부담을 증가시키고, IPSeC 등을 통한 종래의 VPN 시스템은 양단간(End-to-End) 보안이 보장되지 않아 같은 내부 네트워크상에 있는 접속자에게 송수신 메시지가 노출되는 보안적 취약점이 있었다.Public Key Infrastructure (PKI) can be used to counter these potential security threats, but changes to existing control systems are essential to using PKI. That is, a module for utilizing a PKI in the central control server should be added, and modification and replacement of each controlled device are necessary. Modification and replacement of the controlled device can be very costly. In addition, the development of security modules to provide security services for each control system has been a waste of human resources at the national level. Conventional VPN systems reconfigure a network for a network with a control terminal device to provide a VPN through IPSeC or the like. And the need for the purchase of network equipment increases the burden on the consumer, and the conventional VPN system through IPSeC is not guaranteed end-to-end security, exposing transmitted and received messages to the users on the same internal network. There was a security vulnerability.

삭제delete

삭제delete

따라서, 본 발명은 상기와 같은 종래 기술의 제반 단점과 문제점을 해결하기 위한 것으로, 특별한 통신 인프라의 구축 없이 기존의 인터넷 망을 사용하여 관리자없이 관리가 가능한 보안적 무인 제어 시스템을 구축하고, 사설 CA 사용으로 인한 제어 단말과 중앙 제어 서버에서의 PKI 사용으로 인한 오버헤드를 감소하여 인터넷 환경 하에서 필요한 인증, 부인 방지, 기밀성, 무결성과 같은 보안 서비스를 제공함에 본 발명의 목적이 있다.Accordingly, the present invention is to solve the above disadvantages and problems of the prior art, to build a secure unmanned control system that can be managed without an administrator using the existing Internet network without the construction of a special communication infrastructure, private CA An object of the present invention is to provide a security service such as authentication, non-repudiation, confidentiality, and integrity necessary in the Internet environment by reducing overhead caused by PKI usage in the control terminal and the central control server due to the use.

본 발명의 상기 목적은 중앙 제어 서버가 제어 대상이 되는 기기의 상태 및 환경 상태에 대한 메시지를 제어 단말 장치로부터 전송받아 파악한 후, 제어 단말 장치로 제어 명령 데이터를 보내는 단계; 상기 제어 단말 장치가 제어 명령 데이터를 보안 클라이언트에 보내는 단계; 상기 보안 클라이언트와 보안 서버 사이에 SSL 보안 터널을 형성하기 위해 사설 CA를 통해 보안 클라이언트의 개인키를 생성하고 인증서를 발급하는 단계; 상기 보안 클라이언트에서 받은 제어 명령 데이터를 보안 클라이언트가 암호화하여 SSL 보안 터널을 통해 보안 서버로 전송하는 단계; 상기 받은 제어 명령 데이터를 보안 서버에서 복호화하고 중앙 제어 서버에 전송하여 상기 중앙 제어 서버가 제어에 필요한 제어 명령 데이터를 수신하는 단계; 상기 제어 명령 데이터를 수신한 중앙 제어 서버가 보안 서버로 전송하는 단계 및 상기 보안 서버가 제어 명령 데이터를 암호화하여 보안 클라이언트에 전송한 후, 상기 보안 클라이언트가 암호화된 제어 명령을 복호화하여 제어 단말 장치로 전송하는 단계로 이루어진 인터넷을 이용한 중앙 집중적 무인 제어 시스템의 원격 보안 서비스 방법에 의해 달성된다.The object of the present invention comprises the steps of the central control server receives a message about the status of the device to be controlled and the environmental state received from the control terminal device, and sends the control command data to the control terminal device; Sending, by the control terminal device, control command data to a secure client; Generating a private client's private key and issuing a certificate through a private CA to establish an SSL secure tunnel between the secure client and the secure server; Encrypting, by the secure client, the control command data received from the secure client and transmitting the encrypted control command data to the secure server through an SSL secure tunnel; Decrypting the received control command data in a security server and transmitting the control command data to a central control server to receive the control command data necessary for control; The control server receives the control command data from the central control server and transmits the control command data to the security client after encrypting the control command data to the security client. The security client decrypts the encrypted control command to the control terminal device. It is achieved by a remote security service method of a centralized unmanned control system using the Internet consisting of a transmitting step.

본 발명의 상기 목적과 기술적 구성 및 그에 따른 작용효과에 관한 자세한 사항은 본 발명의 바람직한 실시예를 도시하고 있는 도면을 참조한 이하 상세한 설명에 의해 보다 명확하게 이해될 것이다.Details of the above object and technical configuration of the present invention and the effects thereof according to the present invention will be more clearly understood by the following detailed description with reference to the drawings showing preferred embodiments of the present invention.

도 1은 본 발명에 따른 무인 제어 시스템의 원격 보안 서비스 방법을 나타내는 블럭도이다. 도 1을 살펴보면, 중앙 제어 서버에서 오는 제어 단말 장치에 대한 제어 메시지를 보안 클라이언트에 보내면(S100), 상기 보안 클라이언트와 SSL(Secure Sockets Layer) 보안 터널을 형성하기 위해 보안 클라이언트에 대한 인증을 실시하게 된다.(S110)1 is a block diagram illustrating a remote security service method of an unmanned control system according to the present invention. Referring to FIG. 1, when a control message for a control terminal device coming from a central control server is sent to a secure client (S100), authentication of the secure client is performed to form a Secure Sockets Layer (SSL) secure tunnel with the secure client. (S110)

상기 보안 클라이언트에서 받은 데이터를 보안 서버와 보안 클라이언트 사이에 형성된 SSL 보안 터널을 통해 보안 서버로 전송하고(S120), 상기 보안 서버에서 제어 명령 데이터를 암호화하여 보안 클라이언트에 전송한다(S130). The data received from the security client is transmitted to the security server through an SSL security tunnel formed between the security server and the security client (S120), and the control command data is encrypted by the security server and transmitted to the security client (S130).

상기 보안 클라이언트가 SSL 보안 터널을 통해 전송하는 데이터에 대한 복호화를 실시하고, 복호화된 데이터를 중앙 제어 서버에게 전송하여 상기 중앙 제어 서버가 제어에 필요한 데이터를 수신하며(S140), 상기 보안 클라이언트가 암호화된 제어 명령을 복호화하여 이를 제어 단말 장치에 전송하는데(S150), 상기와 같은 과정이 본 발명에 따른 보안 서비스 방법을 나타내고 있다.The security client decrypts the data transmitted through the SSL secure tunnel, and transmits the decrypted data to the central control server so that the central control server receives data necessary for control (S140), and the security client encrypts the data. The decoded control command is decoded and transmitted to the control terminal device (S150). The above process represents a security service method according to the present invention.

도 2는 본 발명에 따른 제어 시스템을 나타내는 전체 구성도이다. 도 2에서 보는 바와 같이, 본 발명의 구성은 크게 3가지로 이루어져 있는데, 보안 서버(110)와 사설 CA(120), 보안 클라이언트(130)이다. 2 is an overall configuration diagram showing a control system according to the present invention. As shown in Figure 2, the configuration of the present invention consists of three major, the security server 110, private CA 120, security client 130.

상기 보안 서버(110)의 역할은 크게 3가지가 있는데, 첫번째는 중앙 제어 서버(100)에서 오는 제어 단말 장치에 대한 제어 메시지를 받아서 보안 서버(110)와 보안 클라이언트(130) 사이에 형성된 SSL 보안 터널(230)을 통해 전송한다. 두번째는 보안 클라이언트(130)와의 SSL 보안 터널(230)을 형성하기 위해 보안 클라이언트(130)에 대한 인증을 실시한다. 마지막으로 세번째는 보안 클라이언트(130)가 SSL 보안 터널(230)을 통해 전송하는 데이터에 대한 복호화를 실시하고 복호화된 데이터를 중앙 제어 서버(100)에게 전송하여 상기 중앙 제어 서버(100)가 제어에 필요한 데이터를 안전하게 받을 수 있도록 한다.The security server 110 has three roles, the first of which is a SSL security formed between the security server 110 and the security client 130 by receiving a control message for the control terminal device from the central control server 100. Transmit through tunnel 230. The second is to authenticate the secure client 130 to form an SSL secure tunnel 230 with the secure client 130. Finally, thirdly, the security client 130 decrypts the data transmitted through the SSL secure tunnel 230 and transmits the decrypted data to the central control server 100 so that the central control server 100 is in control. Make sure you get the data you need.

상기 사설 CA(120)의 역할은 PKI 인증서를 발급하는 것으로, 인증서는 보안 클라이언트(130)의 개인키(240)를 생성하고 상기 개인키(240)에 해당하는 인증서를 발급한다. 상기 발급된 인증서는 보안 서버(110)의 LDAP(Lightweight Directory Access Protocol)(160)에 저장하여 보안 서버(110)가 보안 클라이언트(130)를 인증할 때 사용하도록 한다. The role of the private CA 120 is to issue a PKI certificate, which generates a private key 240 of the security client 130 and issues a certificate corresponding to the private key 240. The issued certificate is stored in the Lightweight Directory Access Protocol (LDAP) 160 of the security server 110 to be used when the security server 110 authenticates the security client 130.

또한, 보안 서버(110)의 개인키(250) 및 인증서(150)를 발급한다. 발급된 보안 서버의 인증서(150)는 보안 클라이언트(130)의 메모리에 저장되어 보안 서버(110)를 인증할 때 인증 메시지 서명 검증시 사용하도록 한다.In addition, the private key 250 and certificate 150 of the security server 110 is issued. The issued certificate 150 of the security server is stored in the memory of the security client 130 to be used when verifying the signature of the authentication message when authenticating the security server 110.

상기 보안 클라이언트(130)의 역할은 크게 3가지가 있는데, 첫번째는 보안 서버와(110)의 SSL 보안 터널(230)을 형성하기 위해 보안 서버(110)에 대한 인증을 실시한다. 두번째는 제어 단말 장치(140)에서 오는 데이터를 암호화하여 보안 서버(110)에 전송한다. 세번째는 보안 서버(110)에서 오는 암호화된 제어신호를 복호화하여 제어 단말 장치(140)에 전송한다. There are three main roles of the security client 130. First, the security client 130 authenticates the security server 110 to form an SSL secure tunnel 230 with the security server 110. Secondly, data coming from the control terminal device 140 is encrypted and transmitted to the security server 110. Third, the encrypted control signal from the security server 110 is decrypted and transmitted to the control terminal device 140.

본 발명에 따른 제어 시스템은 무인 제어 시스템으로 관리자없이 유지 및 관리가 자동으로 가능하다. 또한, 정보통신의 발전에 따라 원격지에서 원격으로 감시하고 원격으로 제어할 수 있다.The control system according to the present invention is an unmanned control system that can be automatically maintained and managed without an administrator. In addition, according to the development of information and communication can be remotely monitored and controlled remotely.

도 3은 본 발명에 사용되는 인증 메시지 구조를 나타내는 전체 구성도이다. SEC_MESSAGE 필드(300)는 envelope, sig_algor, sig_value로 구성된다. envelope은 서명될 데이터로서 보안 클라이언트의 정보 및 인증 메시지의 정보를 담고 있다. sig_algor은 보안 클라이언트의 공개키 서명시 사용한 서명 알고리즘을 나타낸다. sig_value는 envelope을 ASN.1(Abstract Syntax Notation 1)로 인코딩하여 개인키로 서명한 서명값이다. SEC_MESSAGE 필드(310)는 5개의 세부 필드로 구성되어 있다. version 필드는 인증 메시지의 버전 정보이다. deviceID는 중앙 제어 서버가 각 제어 단말 장치에 부여한 고유 ID이다. nonce와 messageSeq는 인증 메시지의 재전송 공격(replay attack)을 방지하기 위한 필드로서 nonce값은 랜덤한 문자열로 설정되고 messageSeq는 인증 메시지가 보내질 때마다 1씩 증가한 값이 설정된다. envExts 필드는 확장영역으로서 각 제어 시스템마다 제어 환경에 알맞은 값을 설정할 수 있도록 하였다.3 is an overall configuration diagram showing an authentication message structure used in the present invention. The SEC_MESSAGE field 300 consists of an envelope, sig_algor, and sig_value. The envelope is the data to be signed and contains the security client's information and the authentication message's information. sig_algor represents the signature algorithm used to sign the public key of the security client. sig_value is a signature value signed by the private key by encoding the envelope in Abstract Syntax Notation 1 (ASN.1). The SEC_MESSAGE field 310 is composed of five detailed fields. The version field is version information of the authentication message. deviceID is a unique ID assigned to each control terminal device by the central control server. nonce and messageSeq are fields to prevent replay attack of the authentication message. The nonce value is set to a random string and the messageSeq is set to an increment of 1 each time an authentication message is sent. The envExts field is an extended area so that values appropriate to the control environment can be set for each control system.

보안 서버와 보안 클라이언트 사이에 SSL 보안 터널을 형성하는 과정은 다음과 같다. 보안 클라이언트는 보안 서버와 TCP 커넥션(connection)을 형성한다. TCP 커넥션 형성 후, 보안 클라이언트는 보안 서버와 SSL 커넥션을 형성한다. SSL 커넥션이 형성되면 보안 클라이언트는 자신과 연결된 장치의 ID(320)와 version, nonce, messageSeq, envExts 값을 설정하고 자신의 개인키로 서명하여 보안 서버에게 전송한다. 보안 서버는 전송된 인증 메시지에 대한 서명 검증을 실시하고 서명이 유효하면 보안 서버도 인증 메시지를 생성하여 보안 클라이언트에게 전송한다.The process of establishing an SSL secure tunnel between a secure server and a secure client is as follows. The secure client establishes a TCP connection with the secure server. After establishing the TCP connection, the secure client establishes an SSL connection with the secure server. When the SSL connection is established, the security client sets the ID 320, version, nonce, messageSeq, and envExts values of the device connected to it, signs it with its private key, and sends it to the security server. The security server performs signature verification on the transmitted authentication message, and if the signature is valid, the security server also generates an authentication message and sends it to the security client.

상기 보안 클라이언트는 메모리에 있는 보안 서버의 인증서의 공개키를 획득하여 보안 서버에서 전송한 인증 메시지의 서명 검증을 실시한다. 보안 서버의 인증 메시지가 유효하면 보안 서버와 보안 클라이언트는 상호 인증에 성공하여 이후 SSL 보안 터널을 통해 데이터를 전송한다. SSL 보안 터널은 시간이 지남에 따라 보안성이 약해지므로 보안 서버는 소정의 주기로 현재 사용중인 SSL 보안 터널을 끊고 재인증 과정을 거쳐 새로운 SSL 보안 터널을 형성한다. 형성된 SSL 보안 터널을 통해 중앙 제어 서버와 제어 단말 장치는 안전한 통신을 할 수 있다. The security client obtains the public key of the certificate of the security server in the memory and performs signature verification of the authentication message sent from the security server. If the authentication message of the security server is valid, the security server and the security client succeed in mutual authentication, and then transmit the data through the SSL secure tunnel. Since the SSL secure tunnel becomes weaker with time, the secure server breaks the currently used SSL secure tunnel at predetermined intervals and re-authenticates to form a new SSL secure tunnel. Through the formed SSL secure tunnel, the central control server and the control terminal device can perform secure communication.

제어 단말 장치는 중앙 제어 서버가 요구하는 데이터를 보안 클라이언트에게 보낸다. 보안 클라이언트는 받은 데이터를 암호화하여 보안 서버에게 보낸다. 보안 서버는 암호화된 데이터를 복호화하여 중앙 제어 서버에게 보낸다. 중앙 제어 서버는 제어 단말 장치가 보낸 데이터를 통해 전체 제어 시스템에 대한 판단을 통해 어느 제어 단말 장치를 어떻게 제어할지에 대한 결론을 내리고 제어가 필요한 제어 단말 장치에게 제어 명령을 전송한다. 보안 서버는 이를 캡쳐하여 제어 명령 데이터를 암호화하여 보안 클라이언트에게 전송한다. 보안 클라이언트는 암호화된 제어 명령을 복호화하여 이를 제어 단말 장치에게 전송한다. The control terminal device sends data required by the central control server to the security client. The secure client encrypts the received data and sends it to the secure server. The security server decrypts the encrypted data and sends it to the central control server. The central control server makes a conclusion about how to control which control terminal device based on the determination of the entire control system based on the data sent from the control terminal device, and transmits a control command to the control terminal device requiring control. The security server captures this and encrypts the control command data and sends it to the security client. The security client decrypts the encrypted control command and sends it to the control terminal device.

이와 같은 통신방식은 제어 시스템의 프로토콜이 동기식이건 비동기식이건 모두 지원할 수 있다. 따라서, 본 발명에서 제공한 보안 서비스 메커니즘은 다양한 중앙 집중적 제어 시스템에서 사용될 수 있다. This type of communication can support both control system protocols, whether synchronous or asynchronous. Therefore, the security service mechanism provided by the present invention can be used in various centralized control systems.

본 발명에서는 사설 CA를 운영함으로써 인증서 체인을 1로 줄인다. 이를 통해서 보안 서버와 보안 클라이언트에서의 시스템 오버헤드를 급격히 감소시킬 수 있다. 상기 오버혜드의 감소로 인하여 미들웨어의 성능 사양을 대폭 감소시킬 수 있다.In the present invention, the certificate chain is reduced to 1 by operating a private CA. This can drastically reduce the system overhead on security servers and security clients. Due to the reduction of the overheat, the performance specification of the middleware can be greatly reduced.

본 발명에서 제공할 수 있는 보안 서비스로는 기밀성, 무결성, 상호 인증, 부인 방지가 있다. 기밀성은 중앙 제어 서버와 각 제어 단말 장치 사이에 오가는 데이터에 대한 외부 유출을 방지하고, 무결성은 전송되는 데이터의 변조 및 위조를 방지한다. 상호 인증을 통해서 서버 인증과 제어 단말 장치에 대한 인증을 실시하여 불법적인 제어 단말 설치로 인한 제어 시스템 파괴를 방지한다. 부인 방지는 제어 서버 및 제어 단말 장치의 데이터에 대한 법적 분쟁이 발생했을 때 해결할 수 있다.Security services that can be provided by the present invention include confidentiality, integrity, mutual authentication, nonrepudiation. Confidentiality prevents external leakage of data coming and going between the central control server and each control terminal device, while integrity prevents tampering and forgery of the transmitted data. Through mutual authentication, server authentication and control terminal device authentication are performed to prevent the destruction of the control system due to illegal control terminal installation. Non-repudiation can be solved when a legal dispute arises over the data of the control server and the control terminal device.

본 발명은 이상에서 살펴본 바와 같이 바람직한 실시 예를 들어 도시하고 설명하였으나, 상기한 실시 예에 한정되지 아니하며 본 발명의 정신을 벗어나지 않는 범위 내에서 당해 발명이 속하는 기술분야에서 통상의 지식을 가진 자에 의해 다양한 변경과 수정이 가능할 것이다.Although the present invention has been shown and described with reference to preferred embodiments as described above, it is not limited to the above-described embodiments and those skilled in the art without departing from the spirit of the present invention. Various changes and modifications will be possible.

따라서, 본 발명의 인터넷을 이용한 중앙 집중적 무인 제어 시스템의 원격 보안 서비스 방법은 인터넷 환경 하에서 필요한 인증, 부인 방지, 기밀성, 무결성과 같은 모든 보안 서비스를 제공함으로써 특별한 통신 인프라의 구축 없이 기존의 인터넷 망을 사용하여 관리자없이 관리가 가능한 보안적 무인 제어 시스템을 구축하는 장점이 있으며, 폐쇄된 시스템에서의 사설 CA 사용으로 인한 제어 단말과 중앙 제어 서버에서의 PKI 사용으로 인한 오버헤드를 감소시켜 미들웨어의 성능 사양을 대폭 감소시킬 수 있으므로 비용 부담이 감소되는 효과가 있다.Therefore, the remote security service method of the centralized unmanned control system using the Internet of the present invention provides all the security services such as authentication, non-repudiation, confidentiality, and integrity necessary in the Internet environment, thereby establishing an existing Internet network without establishing a special communication infrastructure. It has the advantage of constructing a secure unmanned control system that can be managed without administrator, and reduces the overhead caused by the use of a private terminal in a closed system and the use of PKI in a central control server. Since it can significantly reduce the cost burden is reduced.

도 1은 본 발명에 따른 무인 제어 시스템의 원격 보안 서비스 방법을 나타내는 블럭도이다.1 is a block diagram illustrating a remote security service method of an unmanned control system according to the present invention.

도 2는 본 발명에 따른 제어 시스템을 나타내는 전체 구성도이다.2 is an overall configuration diagram showing a control system according to the present invention.

도 3은 본 발명에 사용되는 인증 메시지 구조를 나타내는 전체 구성도이다.3 is an overall configuration diagram showing an authentication message structure used in the present invention.

< 도면의 주요 부분에 대한 부호의 설명 ><Description of Symbols for Main Parts of Drawings>

100 : 중앙 제어 서버 110 : 보안 서버100: central control server 110: security server

120 : 사설 CA 130 : 보안 클라이언트120: private CA 130: security client

140 : 제어 단말 장치 150 : 보안 서버의 인증서140: control terminal device 150: certificate of the security server

160 : LDAP(인증서 저장소) 170 : 보안 클라이언트들의 인증서160: LDAP (certificate store) 170: certificates of security clients

180 : 사설 CA의 인증서 190 : 보안 클라이언트의 인증서180: Certificate from private CA 190: Certificate from secure client

200 : 제어 신호 암호화 및 복호화 200: control signal encryption and decryption

210 : 사설 CA에서 발행한 인증서 저장210: Store a certificate issued by a private CA

220 : 제어 단말에서 오는 데이터 암호화 220: data encryption coming from the control terminal

230 : SSL 보안 터널 형성 240 : 보안 클라이언트의 개인키230: SSL secure tunnel formation 240: Private client private key

250 : 보안 서버의 개인키 300 : 인증 메시지의 구조 250: private key of security server 300: structure of authentication message

310 : 인증 메시지 중 envelope 필드 구조310: envelope field structure of the authentication message

320 : SEC_ENVELOPE 중 deviceId 필드 구조320: deviceId field structure of SEC_ENVELOPE

Claims (3)

인터넷을 이용한 무인 제어 시스템의 원격 보안 서비스 방법에 있어서,In the remote security service method of the unmanned control system using the Internet, 중앙 제어 서버가 제어 대상이 되는 기기의 상태 및 환경 상태에 대한 메시지를 제어 단말 장치로부터 전송받아 파악한 후, 제어 단말 장치로 제어 명령 데이터를 보내는 단계;Receiving, by the central control server, a message regarding the state and environmental state of the device to be controlled from the control terminal device, and sending control command data to the control terminal device; 상기 제어 단말 장치가 제어 명령 데이터를 보안 클라이언트에 보내는 단계;Sending, by the control terminal device, control command data to a secure client; 상기 보안 클라이언트와 보안 서버 사이에 SSL 보안 터널을 형성하기 위해 사설 CA를 통해 보안 클라이언트의 개인키를 생성하고 인증서를 발급하는 단계;Generating a private client's private key and issuing a certificate through a private CA to establish an SSL secure tunnel between the secure client and the secure server; 상기 보안 클라이언트에서 받은 제어 명령 데이터를 보안 클라이언트가 암호화하여 SSL 보안 터널을 통해 보안 서버로 전송하는 단계;Encrypting, by the secure client, the control command data received from the secure client and transmitting the encrypted control command data to the secure server through an SSL secure tunnel; 상기 받은 제어 명령 데이터를 보안 서버에서 복호화하고 중앙 제어 서버에 전송하여 상기 중앙 제어 서버가 제어에 필요한 제어 명령 데이터를 수신하는 단계;Decrypting the received control command data in a security server and transmitting the control command data to a central control server to receive the control command data necessary for control; 상기 제어 명령 데이터를 수신한 중앙 제어 서버가 보안 서버로 전송하는 단계; 및Transmitting, by the central control server, the control command data to a security server; And 상기 보안 서버가 제어 명령 데이터를 암호화하여 보안 클라이언트에 전송한 후, 상기 보안 클라이언트가 암호화된 제어 명령을 복호화하여 제어 단말 장치로 전송하는 단계After the security server encrypts the control command data and transmits the encrypted control command to the security client, the security client decrypts the encrypted control command and transmits the encrypted control command to the control terminal device. 를 포함하여 이루어짐을 특징으로 하는 인터넷을 이용한 중앙 집중적 무인 제어 시스템의 원격 보안 서비스 방법.Remote security service method of the centralized unmanned control system using the Internet, characterized in that made. 제 1항에 있어서,The method of claim 1, 상기 보안 클라이언트는 메모리에 있는 보안 서버의 인증서의 공개키를 획득하여 보안 서버에서 전송한 인증 메시지의 서명 검증을 실시하는 것을 특징으로 하는 인터넷을 이용한 중앙 집중적 무인 제어 시스템의 원격 보안 서비스 방법.The security client remote security service method of the centralized unmanned control system using the Internet, characterized in that for obtaining the public key of the certificate of the security server in the memory to verify the signature of the authentication message sent from the security server. 제 1항에 있어서, The method of claim 1, 상기 SSL 보안 터널은 소정의 주기로 SSL 보안 터널을 끊고 재인증 과정을 거치는 것을 특징으로 하는 인터넷을 이용한 중앙 집중적 무인 제어 시스템의 원격 보안 서비스 방법.The SSL secure tunnel is a remote security service method of a centralized unmanned control system using the Internet, characterized in that the SSL security tunnel is disconnected and re-authentication at predetermined intervals.
KR10-2003-0042822A 2003-06-27 2003-06-27 A automated security service method for centralized remote control system using internet KR100521405B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2003-0042822A KR100521405B1 (en) 2003-06-27 2003-06-27 A automated security service method for centralized remote control system using internet

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2003-0042822A KR100521405B1 (en) 2003-06-27 2003-06-27 A automated security service method for centralized remote control system using internet

Publications (2)

Publication Number Publication Date
KR20050001241A KR20050001241A (en) 2005-01-06
KR100521405B1 true KR100521405B1 (en) 2005-10-12

Family

ID=37217074

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2003-0042822A KR100521405B1 (en) 2003-06-27 2003-06-27 A automated security service method for centralized remote control system using internet

Country Status (1)

Country Link
KR (1) KR100521405B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102391186B1 (en) * 2021-11-24 2022-04-28 엘에스웨어(주) Method and system for outputting external command

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101491697B1 (en) * 2013-12-10 2015-02-11 주식회사 시큐아이 Security device including ssl acceleration card and operating method thereof
KR102566137B1 (en) * 2021-08-12 2023-08-14 한국전력공사 Security management apparatus for power system

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102391186B1 (en) * 2021-11-24 2022-04-28 엘에스웨어(주) Method and system for outputting external command

Also Published As

Publication number Publication date
KR20050001241A (en) 2005-01-06

Similar Documents

Publication Publication Date Title
US9455958B1 (en) Credentials management in large scale virtual private network deployment
US7584505B2 (en) Inspected secure communication protocol
CN109088870B (en) Method for safely accessing acquisition terminal of power generation unit of new energy plant station to platform
US6839841B1 (en) Self-generation of certificates using secure microprocessor in a device for transferring digital information
CA2359673C (en) Self-generation of certificates using a secure microprocessor in a device for transferring digital information
EP1635502B1 (en) Session control server and communication system
US7181620B1 (en) Method and apparatus providing secure initialization of network devices using a cryptographic key distribution approach
EP2506491B1 (en) Encryption information transmission terminal
CN113411190B (en) Key deployment, data communication, key exchange and security reinforcement method and system
CN103155512A (en) System and method for providing secured access to services
CN109474613B (en) Highway information issuing private network security reinforcement system based on identity authentication
CN101170413B (en) A digital certificate and private key acquisition, distribution method and device
CN101796796A (en) Network and method for establishing a secure network
US20080072033A1 (en) Re-encrypting policy enforcement point
US8707390B2 (en) System and method for secure access control in a wireless network
CN113221136B (en) AIS data transmission method, AIS data transmission device, electronic equipment and storage medium
KR100892616B1 (en) Method For Joining New Device In Wireless Sensor Network
KR20190040443A (en) Apparatus and method for creating secure session of smart meter
KR100521405B1 (en) A automated security service method for centralized remote control system using internet
JP2001111538A (en) Communication system, method therefor, communication equipment and ic card
US20220182229A1 (en) Protected protocol for industrial control systems that fits large organizations
JP2006174152A (en) Automatic tunnel setting apparatus, automatic tunnel setting method and automatic tunnel setting program
CN115567195A (en) Secure communication method, client, server, terminal and network side equipment
JP4976794B2 (en) Station service system and security communication method
CN115835194B (en) NB-IOT terminal safety access system and access method

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20120928

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20130805

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20151028

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20171011

Year of fee payment: 13

FPAY Annual fee payment

Payment date: 20181126

Year of fee payment: 14