KR102423178B1 - Agent based cryptographic module interworking system and its method - Google Patents

Agent based cryptographic module interworking system and its method Download PDF

Info

Publication number
KR102423178B1
KR102423178B1 KR1020200159004A KR20200159004A KR102423178B1 KR 102423178 B1 KR102423178 B1 KR 102423178B1 KR 1020200159004 A KR1020200159004 A KR 1020200159004A KR 20200159004 A KR20200159004 A KR 20200159004A KR 102423178 B1 KR102423178 B1 KR 102423178B1
Authority
KR
South Korea
Prior art keywords
cryptographic module
verified
interworking
module
cryptographic
Prior art date
Application number
KR1020200159004A
Other languages
Korean (ko)
Other versions
KR20220071643A (en
KR102423178B9 (en
Inventor
김호원
허신욱
Original Assignee
부산대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 부산대학교 산학협력단 filed Critical 부산대학교 산학협력단
Priority to KR1020200159004A priority Critical patent/KR102423178B1/en
Publication of KR20220071643A publication Critical patent/KR20220071643A/en
Application granted granted Critical
Publication of KR102423178B1 publication Critical patent/KR102423178B1/en
Publication of KR102423178B9 publication Critical patent/KR102423178B9/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0877Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 검증필 암호 모듈의 운영 환경과 상이한 운영환경에서 동작하는 서비스에서의 효율적인 검증필 암호 모듈 연동 및 활용이 가능하도록 한 에이전트 기반의 암호모듈 연동 시스템 및 방법에 관한 것으로, 제 1 운영 환경에서 동작하는 검증필 암호모듈;제 1 운영 환경과 다른 제 2 운영 환경에서 동작하는 검증필 암호모듈 활용 서비스 블록;상기 검증필 암호모듈의 제 1 운영환경과 상이한 제 2 운영환경에서 동작하는 검증필 암호모듈 활용 서비스 블록에서 검증필 암호모듈의 기능을 활용할 수 있도록 중개하는 검증필 암호모듈 연동 에이전트;를 포함하는 것이다.The present invention relates to an agent-based cryptographic module interworking system and method that enables efficient interworking and utilization of a verified cryptographic module in a service operating in an operating environment different from the operating environment of the verified cryptographic module, and in a first operating environment A verified cryptographic module operating; A service block utilizing a verified cryptographic module operating in a second operating environment different from the first operating environment; A verified cryptographic operating in a second operating environment different from the first operating environment of the verified cryptographic module It includes a; verified cryptographic module interworking agent that intermediaries so that the function of the verified cryptographic module can be utilized in the module utilization service block.

Description

에이전트 기반의 암호모듈 연동 시스템 및 방법{Agent based cryptographic module interworking system and its method}Agent based cryptographic module interworking system and its method

본 발명은 검증필 암호 모듈의 활용에 관한 것으로, 구체적으로 검증필 암호 모듈의 운영 환경과 상이한 운영환경에서 동작하는 서비스에서의 효율적인 검증필 암호 모듈 연동 및 활용이 가능하도록 한 에이전트 기반의 암호모듈 연동 시스템 및 방법에 관한 것이다.The present invention relates to the use of a verified cryptographic module, and specifically, an agent-based cryptographic module interworking that enables efficient linkage and utilization of the verified cryptographic module in a service operating in an operating environment different from the operating environment of the verified cryptographic module systems and methods.

사물인터넷(Internet of Things) 서비스는 단순한 데이터 수집 서비스에서 커넥티드 카, 의료기기의 원격 제어와 같이 높은 수준의 신뢰성, 가용성이 요구되는 미션 크리티컬(Mission-Critical) 설비 영역에서 활용될 수 있을 정도로 발전되었으며, 전력망, 국방 시스템 등과 같은 국가기반시설(Critical Infrastructure) 분야까지 적용이 확대되고 있다.The Internet of Things (IoT) service has evolved from a simple data collection service to being used in mission-critical facility areas that require a high level of reliability and availability, such as connected cars and remote control of medical devices. and the application is being extended to the fields of critical infrastructure such as power grids and defense systems.

이러한 분야는 대부분 폐쇄망으로 운영되어 안전하다고 간주되어왔다. 하지만 2010년 이란 핵 시설을 공격한 스턱스넷(Stuxnet)과 같은 보안 사고가 발생하기 시작하면서, 폐쇄망, ICS/SCADA 망의 보안성 강화에 대한 필요성이 제기되고 있다. Most of these fields operate as closed networks and have been considered safe. However, as security incidents such as Stuxnet, which attacked Iranian nuclear facilities in 2010, began to occur, the need to strengthen the security of closed and ICS/SCADA networks has been raised.

또한, 폐쇄망으로 운영되던 시스템에 사물인터넷 기술이 적용되고 외부망과 연결되기 시작하면서 보안 수준 강화 필요성이 제기되고 있다.In addition, as the Internet of Things technology is applied to the system that used to be operated as a closed network and it is connected to the external network, the need to strengthen the security level is raised.

국내에서는 이러한 상황에 대응하기 위해 전자정부법 제 56조, 전자정부법 시행령 제69조에 따라 국내 행정기관에서는 국가정보원장이 안전성을 검증한 암호모듈(검증필 암호모듈)을 사용하도록 하였으며, 지능형 전력망의 경우 지능형전력망 정보의 보호조치에 관한 지침에 따라 국가사이버안전센터 IT보안인증사무국의 검증을 받은 암호모듈을 사용하고 있다.In order to respond to this situation in Korea, in accordance with Article 56 of the E-Government Act and Article 69 of the Enforcement Decree of the E-Government Act, domestic administrative agencies are required to use the encryption module (verified encryption module) that has been verified for safety by the Director of the National Intelligence Service. In accordance with the guidelines on the protection measures for intelligent power grid information, the encryption module verified by the IT security certification office of the National Cyber Safety Center is used.

이러한 검증필 암호모듈은 검증받은 운영환경 상에서 동작해야하기 때문에, 새로운 운영환경(검증받지 못한 운영환경)에서 검증필 암호모듈 활용이 필요한 경우 새로 검증을 받아야하는 어려움이 존재한다.Since these verified cryptographic modules have to operate in a verified operating environment, there is a difficulty in receiving new verification when it is necessary to utilize the verified cryptographic module in a new operating environment (unverified operating environment).

즉, 검증필 암호모듈의 경우 특정 운영환경 상에서의 동작에 대해 검증을 받으며, 새로운 운영환경(검증받지 못한 운영환경)에서 검증필 암호모듈을 사용할 경우 검증필 암호모듈 적용을 인정받지 못한다. 만약, 새로운 운영환경에서 검증필 암호모듈 적용이 필요한 경우, 새로운 운영환경에서 암호모듈을 개발하여 다시 검증을 받아야하는 문제가 있다.That is, the verified cryptographic module is verified for operation in a specific operating environment, and when the verified cryptographic module is used in a new operating environment (unverified operating environment), application of the verified cryptographic module is not recognized. If it is necessary to apply the verified encryption module in a new operating environment, there is a problem in that the encryption module must be developed and verified again in the new operating environment.

따라서, 검증필 암호모듈의 운영환경과 새로운 운영환경 상에서의 암호모듈 기능 연동을 효율적으로 수행할 수 있도록 하는 새로운 기술의 개발이 요구되고 있다.Therefore, there is a demand for the development of a new technology that enables efficient interworking of the cryptographic module function in the operational environment of the verified cryptographic module and the new operating environment.

대한민국 등록특허 제10-1544110호Republic of Korea Patent Registration No. 10-1544110 대한민국 공개특허 제10-2016-0086939호Republic of Korea Patent Publication No. 10-2016-0086939 대한민국 공개특허 제10-2019-0143196호Republic of Korea Patent Publication No. 10-2019-0143196

본 발명은 종래 기술의 검증필 암호 모듈 활용의 문제점을 해결하기 위한 것으로, 검증필 암호 모듈의 운영 환경과 상이한 운영환경에서 동작하는 서비스에서의 효율적인 검증필 암호 모듈 연동 및 활용이 가능하도록 한 에이전트 기반의 암호모듈 연동 시스템 및 방법을 제공하는데 그 목적이 있다.The present invention is to solve the problem of using the verified cryptographic module of the prior art, and is based on an agent that enables efficient linkage and utilization of the verified cryptographic module in a service operating in an operating environment different from the operating environment of the verified cryptographic module An object of the present invention is to provide a system and method for interlocking cryptographic modules of

본 발명은 검증필 암호모듈의 운영환경과 상이한 운영환경에서 동작하는 서비스에서 검증필 암호모듈의 기능을 활용할 수 있도록 중개할 수 있는 에이전트를 제공하여 안전하게 검증필 암호모듈을 활용하는 서비스가 가능하도록 한 에이전트 기반의 암호모듈 연동 시스템 및 방법을 제공하는데 그 목적이 있다.The present invention provides an agent that can mediate to utilize the function of the verified cryptographic module in a service operating in an operating environment different from the operating environment of the verified cryptographic module, so that a service that safely utilizes the verified cryptographic module is possible. An object of the present invention is to provide an agent-based encryption module interworking system and method.

본 발명은 에이전트가 멀티스레드/멀티세션을 지원하며 단일 검증필 암호모듈로 복수의 서비스를 지원하여 효율적인 암호모듈 사용이 가능하도록 한 에이전트 기반의 암호모듈 연동 시스템 및 방법을 제공하는데 그 목적이 있다.An object of the present invention is to provide an agent-based cryptographic module interworking system and method in which an agent supports multi-thread/multi-session and supports multiple services with a single verified cryptographic module to enable efficient cryptographic module use.

본 발명은 단일 검증필 암호모듈로 복수의 서비스를 지원할 수 있도록 하여 전력망, 국방 시스템 등과 같은 국가 기반 시설에서의 효율적인 검증필 암호모듈 적용을 가능하도록 한 에이전트 기반의 암호모듈 연동 시스템 및 방법을 제공하는데 그 목적이 있다.The present invention provides an agent-based encryption module interworking system and method that enables efficient application of verified encryption modules in national infrastructure such as power grids and national defense systems by supporting multiple services with a single verified encryption module. There is a purpose.

본 발명의 다른 목적들은 이상에서 언급한 목적으로 제한되지 않으며, 언급되지 않은 또 다른 목적들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.Other objects of the present invention are not limited to the above-mentioned objects, and other objects not mentioned will be clearly understood by those skilled in the art from the following description.

상기와 같은 목적을 달성하기 위한 본 발명에 따른 에이전트 기반의 암호모듈 연동 시스템은 제 1 운영 환경에서 동작하는 검증필 암호모듈;제 1 운영 환경과 다른 제 2 운영 환경에서 동작하는 검증필 암호모듈 활용 서비스 블록;상기 검증필 암호모듈의 제 1 운영환경과 상이한 제 2 운영환경에서 동작하는 검증필 암호모듈 활용 서비스 블록에서 검증필 암호모듈의 기능을 활용할 수 있도록 중개하는 검증필 암호모듈 연동 에이전트;를 포함하는 것을 특징으로 한다.The agent-based cryptographic module interworking system according to the present invention for achieving the above object is a verified cryptographic module operating in a first operating environment; Utilizing a verified cryptographic module operating in a second operating environment different from the first operating environment A service block; A verified cryptographic module interworking agent that intermediaries to utilize the function of the verified cryptographic module in the verified cryptographic module utilization service block operating in a second operating environment different from the first operating environment of the verified cryptographic module; characterized by including.

여기서, 검증필 암호모듈 연동 에이전트는, 검증필 암호모듈 인터페이스 연동을 위한 암호모듈 연동부와,검증필 암호모듈에서 사용되는 보안 자격증명, 정책 관리를 위한 보안 정보 관리부와,상이한 운영환경에서 동작하는 서비스와의 연동을 위한 통신부와,검증필 암호모듈 연동 에이전트를 통한 검증필 암호모듈과 검증필 암호모듈 활용 서비스 블록과의 연동 관리를 위한 서비스/장치 관리부를 포함하는 것을 특징으로 한다.Here, the verified cryptographic module interworking agent, the cryptographic module interworking unit for interworking with the verified cryptographic module interface, and the security information management unit for managing security credentials and policies used in the verified cryptographic module, operating in a different operating environment It is characterized in that it includes a communication unit for interworking with the service, and a service/device management unit for interworking management between the verified cryptographic module and the verified cryptographic module utilizing service block through the verified cryptographic module interworking agent.

그리고 암호모듈 연동부는, 통신부와의 암호 API 메시지 송수신, 연동을 위한 통신부 연동 인터페이스와,통신부에서 보낸 암호 API 메시지를 순차적으로 처리하기 위한 암호 API 수신 큐와,검증필 암호모듈에서 보낸 암호 연산 결과 메시지를 순차적으로 처리하기 위한 암호 API 송신 큐와,보안 정보 관리부에 저장된 보안 정보를 이용하여 검증필 암호모듈의 활용을 위한 보안 정보 연동을 수행하는 보안 정보 연동부와,검증필 암호모듈에서 지원하는 물리적, 논리적 인터페이스와의 연동을 위한 암호모듈 연동 인터페이스를 포함하는 것을 특징으로 한다.And the cryptographic module interworking unit, the communication unit interworking interface for sending and receiving cryptographic API messages with and interworking with the communication unit, the cryptographic API receiving queue for sequentially processing the cryptographic API messages sent from the communication unit, and the cryptographic operation result message sent from the verified cryptographic module A cryptographic API transmission queue for sequentially processing the data, a security information interlocking unit that interlocks security information for use of the verified cryptographic module using the security information stored in the security information management unit, and the physical data supported by the verified cryptographic module. , characterized in that it comprises a cryptographic module interworking interface for interworking with a logical interface.

그리고 통신부는, 검증필 암호모듈 활용 서비스 블록에서 지원하는 통신 프로토콜 지원을 위한 서비스 연동 인터페이스와,검증필 암호모듈 활용 서비스 블록과의 안전한 보안 통신 및 서비스 연동 인터페이스에 대한 서비스별 접근제어 기능을 제공하는 보안 통신 연동부와,검증필 암호모듈 활용 서비스 블록으로부터 받은 암호 API 메시지의 검증을 수행하는 암호 API 검증부와,검증필 암호모듈 활용 서비스 블록으로부터 받은 암호 API 메시지를 KCMVP 검증필 암호모듈에서 지원하는 암호 API 메시지로 변환하는 암호 API 변환부를 포함하는 것을 특징으로 한다.In addition, the communication unit provides a service interworking interface for supporting the communication protocol supported by the verified cryptographic module utilization service block, secure secure communication with the verified cryptographic module utilization service block, and an access control function for each service to the service interworking interface. A cryptographic API verification unit that verifies the cryptographic API message received from the secure communication interworking unit and the verified cryptographic module utilization service block, and the cryptographic API message received from the verified cryptographic module utilization service block is supported by the KCMVP verified cryptographic module. It is characterized in that it comprises a cryptographic API conversion unit that converts the cryptographic API message.

그리고 통신부는, 검증필 암호모듈 연동 에이전트에 연결된 서비스 관리 기능을 제공하는 서비스 관리부와,연결된 KCMVP 검증필 암호모듈 및 에이전트 관리 기능을 제공하는 장치 관리부를 더 포함하는 것을 특징으로 한다.And the communication unit is characterized in that it further comprises a service management unit providing a service management function connected to the verified cryptographic module interworking agent, and a device manager providing the connected KCMVP verified cryptographic module and agent management function.

그리고 보안 정보 관리부는, 검증필 암호모듈에서 사용되는 비밀키 및 개인키, 패스워드, 난수발생기 상태정보를 포함하는 핵심 보안매개변수에 대한 생성, 삭제, 수정 및 비인가자의 접근 방지 기능을 제공하는 핵심 보안매개변수 관리부와,검증필 암호모듈에서 사용되는 공개 보안매개변수에 대한 생성, 삭제 수정 및 비인가자의 접근 방지 기능을 제공하는 공개 보안매개변수 관리부와,하드웨어 보안 모듈과의 연동을 통한 핵심 보안매개변수, 공개 보안매개변수 관리 기능을 제공하는 하드웨어 보안모듈 연동부를 포함하는 것을 특징으로 한다.And the security information management unit, the key security that provides the function of creating, deleting, modifying, and preventing unauthorized access to key security parameters including the secret and private key, password, and random number generator status information used in the verified cryptographic module Key security parameters through linking with the parameter management unit, the public security parameter management unit that provides the function of creating, deleting, modifying, and preventing unauthorized access to public security parameters used in the verified cryptographic module, and the hardware security module , characterized in that it includes a hardware security module interworking unit that provides an open security parameter management function.

그리고 서비스/장치 관리부는, 검증필 암호모듈 활용 서비스 블록의 연결 세션 관리, 서비스 사용자 관리 기능을 제공하는 서비스 연결 관리부와,보안정보 관리부와의 연동을 통해 서비스별 인증, 접근제어를 위한 보안 정보 관리 기능을 제공하는 서비스 보안 정보 관리부와,에이전트 사용자 등록, 해지, 정보 변경 기능을 제공하는 에이전트 사용자 관리부와,에이전트 서버 환경정보 설정, 서비스 활성화/비활성화 기능을 제공하는 에이전트 기능/정책 관리부를 포함하는 것을 특징으로 한다.In addition, the service/device management unit manages security information for authentication and access control by service through interworking with the service connection management unit that provides connection session management and service user management functions of the service block utilizing the verified cryptographic module, and the security information management unit To include a service security information management unit providing functions, an agent user management unit providing agent user registration, cancellation, and information change functions, and an agent function/policy management unit providing agent server environment information setting and service activation/deactivation functions characterized.

그리고 서비스/장치 관리부는, 에이전트 서버의 보안 통신 설정을 위환 보안 정보 관리, 사용자/서비스 접근제어정책 관리 등의 기능을 제공하는 에이전트 보안 정보 관리부와,암호모듈 버전, 하드웨어 인터페이스 정보, 암호모듈 위치 정보 등 에이전트에 연결된 암호모듈의 연결 정보를 관리하는 암호모듈 연결 정보 관리부와,보안 정보 관리부와의 연동을 통해 암호모듈에서의 활용을 위해 저장된 핵심 보안매개변수,공개 보안매개변수 관리 기능을 제공하는 암호모듈 보안 정보 관리부를 더 포함하는 것을 특징으로 한다.And the service / device management unit, the agent security information management unit that provides functions such as security information management, user / service access control policy management, etc. for the security communication setting of the agent server, encryption module version, hardware interface information, encryption module location information Cryptographic module connection information management unit that manages connection information of cryptographic module connected to the agent, etc. Password that provides key security parameters stored for use in cryptographic module and public security parameter management function through interworking with security information management unit It characterized in that it further comprises a module security information management unit.

다른 목적을 달성하기 위한 본 발명에 따른 에이전트 기반의 암호모듈 연동 방법은 검증필 암호모듈 활용 서비스 블록에서 암호 처리 요청 메시지를 생성 및 전송하는 단계;검증필 암호모듈 연동 에이전트가 암호 처리 요청 메시지를 수신하면, 검증필 암호모듈 활용 서비스 블록의 API 접근 허용을 판단하는 단계;검증필 암호모듈 활용 서비스 블록에서 암호모듈 연동용 API 메시지를 전송하면 검증필 암호모듈 연동 에이전트가 암호모듈 연동용 API 메시지 수신 및 수신큐 삽입을 하는 단계;암호모듈 지원 인터페이스가 수신 큐의 암호모듈 연동용 API 메시지를 검증필 암호모듈로 전송하고, 검증필 암호모듈의 응답메시지 수신 및 송신 큐 삽입을 하는 단계;검증필 암호모듈 연동 에이전트가 검증필 암호모듈 응답메시지를 암호 API 응답 메시지로 변환하여 검증필 암호모듈 활용 서비스 블록으로 응답메시지를 전송하면 이를 수신하여 검증필 암호모듈 활용 서비스를 하는 단계;를 포함하는 것을 특징으로 한다.An agent-based cryptographic module interworking method according to the present invention for achieving another object includes generating and transmitting a cryptographic processing request message in a verified cryptographic module utilization service block; The verified cryptographic module interworking agent receives a cryptographic processing request message , determining that API access of the verified cryptographic module utilization service block is allowed; When the verified cryptographic module utilization service block sends an API message for cryptographic module interlocking, the verified cryptographic module interworking agent receives the cryptographic module interlocking API message and Inserting a receive queue; The cryptographic module support interface transmits the API message for interworking with the cryptographic module of the receive queue to the verified cryptographic module, and inserting the response message of the verified cryptographic module and sending queue; Verified cryptographic module When the interworking agent converts the verified cryptographic module response message into a cryptographic API response message and transmits the response message to the verified cryptographic module utilization service block, receiving it and providing the verified cryptographic module utilization service; characterized by comprising: .

여기서, 검증필 암호모듈 활용 서비스 블록의 API 접근을 허용하는 경우에는, API 검증 통과 여부를 판단하고, API 검증이 통과된 경우에는 검증필 암호모듈 활용 서비스 블록이 암호모듈 연동용 API 메시지로 변환하는 단계를 수행하는 것을 특징으로 한다.Here, if the API access of the verified cryptographic module utilization service block is allowed, it is determined whether the API validation has passed, and if the API validation is passed, the verified cryptographic module utilization service block is converted into an API message for cryptographic module interlocking. characterized by performing the steps.

그리고 암호모듈 지원 인터페이스가 수신 큐의 암호모듈 연동용 API 메시지를 검증필 암호모듈로 전송하면, 검증필 암호모듈에서 메시지 처리, 암호연산 수행 및 응답 메시지 생성을 하고, 암호모듈 지원 인터페이스를 통하여 검증필 암호모듈의 응답메시지 수신 및 송신 큐 삽입을 하는 것을 특징으로 한다.And when the cryptographic module support interface transmits the API message for linking the cryptographic module of the reception queue to the verified cryptographic module, the verified cryptographic module processes the message, performs cryptographic operation, and generates a response message, and is verified through the cryptographic module support interface. It is characterized by inserting the response message reception and transmission queue of the encryption module.

이상에서 설명한 바와 같은 본 발명에 따른 에이전트 기반의 암호모듈 연동 시스템 및 방법은 다음과 같은 효과가 있다.As described above, the agent-based encryption module interworking system and method according to the present invention have the following effects.

첫째, 검증필 암호 모듈의 운영 환경과 상이한 운영환경에서 동작하는 서비스에서의 효율적인 검증필 암호 모듈 연동 및 활용이 가능하도록 한다.First, it enables efficient interworking and utilization of verified cryptographic modules in a service operating in an operating environment different from that of the verified cryptographic module.

둘째, 검증필 암호모듈의 운영환경과 상이한 운영환경에서 동작하는 서비스에서 검증필 암호모듈의 기능을 활용할 수 있도록 중개할 수 있는 에이전트를 제공하여 안전하게 검증필 암호모듈을 활용하는 서비스가 가능하도록 한다.Second, a service that safely utilizes the verified cryptographic module is made possible by providing an agent that can mediate to utilize the function of the verified cryptographic module in a service operating in an operating environment different from that of the verified cryptographic module.

셋째, 에이전트가 멀티스레드/멀티세션을 지원하며 단일 검증필 암호모듈로 복수의 서비스를 지원하여 효율적인 암호모듈 사용이 가능하도록 한다.Third, the agent supports multi-thread/multi-session and supports multiple services with a single verified cryptographic module to enable efficient use of cryptographic modules.

넷째, 단일 검증필 암호모듈로 복수의 서비스를 지원할 수 있도록 하여 전력망, 국방 시스템 등과 같은 국가 기반 시설에서의 효율적인 검증필 암호모듈 적용을 가능하도록 한다.Fourth, by enabling a single verified encryption module to support multiple services, it enables efficient application of verified encryption modules in national infrastructure such as power grids and national defense systems.

도 1은 본 발명에 따른 에이전트 기반의 암호모듈 연동 시스템의 구성도
도 2는 보안 정보 관리부의 상세 구성도
도 3은 서비스/장치 관리부의 상세 구성도
도 4는 본 발명에 따른 에이전트 기반의 암호모듈 연동 방법을 나타낸 플로우 차트1 is a block diagram of an agent-based encryption module interworking system according to the present invention;
2 is a detailed configuration diagram of a security information management unit;
3 is a detailed configuration diagram of a service/device management unit
4 is a flowchart illustrating an agent-based encryption module interworking method according to the present invention;

이하, 본 발명에 따른 에이전트 기반의 암호모듈 연동 시스템 및 방법의 바람직한 실시 예에 관하여 상세히 설명하면 다음과 같다.Hereinafter, a preferred embodiment of the agent-based cryptographic module interworking system and method according to the present invention will be described in detail as follows.

본 발명에 따른 에이전트 기반의 암호모듈 연동 시스템 및 방법의 특징 및 이점들은 이하에서의 각 실시 예에 대한 상세한 설명을 통해 명백해질 것이다.Features and advantages of the agent-based cryptographic module interworking system and method according to the present invention will become apparent through the detailed description of each embodiment below.

도 1은 본 발명에 따른 에이전트 기반의 암호모듈 연동 시스템의 구성도이다.1 is a block diagram of an agent-based encryption module interworking system according to the present invention.

본 발명에 따른 에이전트 기반의 암호모듈 연동 시스템 및 방법은 검증필 암호 모듈의 운영 환경과 상이한 운영환경에서 동작하는 서비스에서의 효율적인 검증필 암호 모듈 연동 및 활용이 가능하도록 한 것이다.The agent-based cryptographic module interworking system and method according to the present invention enable efficient interworking and utilization of the verified cryptographic module in a service operating in an operating environment different from the operating environment of the verified cryptographic module.

이를 위하여, 본 발명은 검증필 암호모듈의 운영환경과 상이한 운영환경에서 동작하는 서비스에서 검증필 암호모듈의 기능을 활용할 수 있도록 중개할 수 있는 에이전트를 제공하여 안전하게 검증필 암호모듈을 활용하는 서비스가 가능하도록 하는 구성을 포함할 수 있다.To this end, the present invention provides an agent that can mediate to utilize the function of the verified cryptographic module in a service operating in an operating environment different from the operating environment of the verified cryptographic module, thereby providing a service that safely utilizes the verified cryptographic module. It may include a configuration that enables it.

본 발명은 에이전트가 멀티스레드/멀티세션을 지원하며 단일 검증필 암호모듈로 복수의 서비스를 지원하여 효율적인 암호모듈 사용이 가능하도록 하는 구성을 포함할 수 있다.The present invention may include a configuration in which the agent supports multi-thread/multi-session and supports a plurality of services with a single verified encryption module to enable efficient use of the encryption module.

본 발명에 따른 에이전트 기반의 암호모듈 연동 시스템은 도 1에서와 같이, 운영 환경A에서 동작하는 검증필 암호모듈(200)과, 운영 환경B에서 동작하는 검증필 암호모듈 활용 서비스 블록(300)과, 검증필 암호모듈(200)의 운영환경과 상이한 운영환경에서 동작하는 검증필 암호모듈 활용 서비스 블록(300)에서 검증필 암호모듈(200)의 기능을 활용할 수 있도록 중개할 수 있는 검증필 암호모듈 연동 에이전트(100)을 포함한다.As shown in FIG. 1, the agent-based encryption module interworking system according to the present invention includes a verified encryption module 200 operating in an operating environment A, and a verified encryption module utilization service block 300 operating in an operating environment B, and , a verified cryptographic module that can mediate to utilize the function of the verified cryptographic module 200 in the verified cryptographic module utilization service block 300 operating in an operating environment different from the operating environment of the verified cryptographic module 200 and an interworking agent 100 .

여기서, 검증필 암호모듈 연동 에이전트(100)는 검증필 암호모듈 인터페이스 연동을 위한 암호모듈 연동부(10)와, 검증필 암호모듈(200)에서 사용되는 보안 자격증명, 정책 관리를 위한 보안 정보 관리부(20)와, 상이한 운영환경에서 동작하는 검증필 암호모듈 활용 서비스 블록(300)과의 연동을 위한 통신부(30)와, 검증필 암호모듈 연동 에이전트(100)를 통한 검증필 암호모듈(200)과 검증필 암호모듈 활용 서비스 블록(300)과의 연동 관리를 위한 서비스/장치 관리부(40)를 포함한다.Here, the verified cryptographic module interworking agent 100 includes a cryptographic module interworking unit 10 for interworking with a verified cryptographic module interface, and a security information management unit for security credentials used in the verified cryptographic module 200 and policy management. (20), the communication unit 30 for interworking with the verified cryptographic module utilization service block 300 operating in a different operating environment, and the verified cryptographic module 200 through the verified cryptographic module interworking agent 100 and a service/device management unit 40 for interworking management with the verified cryptographic module utilization service block 300 .

본 발명은 이와 같은 구성을 갖는 검증필 암호모듈 연동 에이전트(100)는 검증필 암호모듈(200)의 운영환경과 상이한 운영환경에서 동작하는 검증필 암호모듈 활용 서비스 블록(300)에서 검증필 암호모듈(200)의 기능을 활용할 수 있도록 중개하는 것으로, 검증필 암호모듈 연동 에이전트(100)에 의해 검증필 암호 모듈의 운영 환경과 상이한 운영환경에서 동작하는 서비스에서의 효율적인 검증필 암호 모듈 연동 및 활용이 가능하도록 한다.In the present invention, the verified cryptographic module interworking agent 100 having such a configuration is a verified cryptographic module in the verified cryptographic module utilization service block 300 that operates in an operating environment different from the operating environment of the verified cryptographic module 200 By intermediary so that the function of 200 can be utilized, efficient interworking and utilization of the verified cryptographic module in a service operating in an operating environment different from the operating environment of the verified cryptographic module by the verified cryptographic module interworking agent 100 make it possible

특히, 검증필 암호모듈 연동 에이전트(100)가 멀티스레드/멀티세션을 지원하며 단일 검증필 암호모듈로 복수의 서비스를 지원하여 효율적인 암호모듈 사용이 가능하도록 한다.In particular, the verified cryptographic module interworking agent 100 supports multi-thread/multi-session and supports a plurality of services with a single verified cryptographic module to enable efficient use of the cryptographic module.

이와 같이 단일 검증필 암호모듈로 복수의 서비스를 지원할 수 있도록 하여 전력망, 국방 시스템 등과 같은 국가 기반 시설에서의 효율적인 검증필 암호모듈 적용을 가능하도록 한다.In this way, a single verified encryption module can support multiple services, enabling efficient application of verified encryption modules in national infrastructure such as power grids and national defense systems.

검증필 암호모듈 연동 에이전트(100)의 암호모듈 연동부(10)의 상세 구성은 다음과 같다.The detailed configuration of the encryption module interworking unit 10 of the verified encryption module interworking agent 100 is as follows.

그리고 암호모듈 연동부(10)는 통신부(30)와의 암호 API 메시지 송수신, 연동을 위한 통신부 연동 인터페이스(11)와, 통신부(30)에서 보낸 암호 API 메시지를 순차적으로 처리하기 위한 암호 API 수신 큐(12)와, 검증필 암호모듈(200)에서 보낸 암호 연산 결과 메시지를 순차적으로 처리하기 위한 암호 API 송신 큐(13)와, 보안 정보 관리부(20)에 저장된 보안 정보를 이용하여 검증필 암호모듈(200)의 활용을 위한 보안 정보 연동을 수행하는 보안 정보 연동부(14)와, 검증필 암호모듈(200)에서 지원하는 물리적, 논리적 인터페이스와의 연동을 위한 암호모듈 연동 인터페이스(15)를 포함한다.And the cryptographic module interworking unit 10 is a cryptographic API receiving queue ( 12), the cryptographic API transmission queue 13 for sequentially processing the cryptographic operation result message sent from the verified cryptographic module 200, and the verified cryptographic module ( 200) includes a security information interworking unit 14 for performing security information interworking for utilization, and an encryption module interworking interface 15 for interworking with physical and logical interfaces supported by the verified encryption module 200. .

이와 같은 구성을 갖는 암호모듈 연동부(10)는 검증필 암호모듈 인터페이스 연동을 지원한다.The encryption module interworking unit 10 having such a configuration supports interworking of the verified encryption module interface.

그리고 통신부(30)는 검증필 암호모듈 활용 서비스 블록(300)에서 지원하는 통신 프로토콜(HTTP, CoAP, Socket, MQTT 등) 지원을 위한 서비스 연동 인터페이스(31)와, 검증필 암호모듈 활용 서비스 블록(300)과의 안전한 보안 통신(TLS/DTLS, VPN, IPsec 적용 등) 및 서비스 연동 인터페이스에 대한 서비스별 접근제어 기능을 제공하는 보안 통신 연동부(32)와, 검증필 암호모듈 활용 서비스 블록(300)으로부터 받은 암호 API 메시지의 검증(필수 입력값에 대한 Null 값 확인, 입력 범위 초과 등)을 수행하는 암호 API 검증부(33)와, 검증필 암호모듈 활용 서비스 블록(300)으로부터 받은 암호 API 메시지를 KCMVP 검증필 암호모듈에서 지원하는 암호 API 메시지로 변환하는 암호 API 변환부(34)와, 검증필 암호모듈 연동 에이전트(100)에 연결된 서비스 관리 기능을 제공하는 서비스 관리부(35)와, 연결된 KCMVP 검증필 암호모듈 및 에이전트 관리 기능을 제공하는 장치 관리부(14)를 포함한다.And the communication unit 30 includes a service interworking interface 31 for supporting communication protocols (HTTP, CoAP, Socket, MQTT, etc.) supported by the verified cryptographic module utilization service block 300, and a verified cryptographic module utilization service block ( 300) and a secure communication interworking unit 32 that provides access control for each service to the service interworking interface and secure communication (TLS/DTLS, VPN, IPsec application, etc.) and a service block using verified encryption module (300) ), the cryptographic API verification unit 33 that performs verification of the cryptographic API message received (null value check for required input value, input range exceeded, etc.), and the cryptographic API message received from the verified cryptographic module utilization service block 300 A cryptographic API conversion unit 34 that converts , into a cryptographic API message supported by the KCMVP verified cryptographic module, and a service management unit 35 that provides a service management function connected to the verified cryptographic module interworking agent 100, and connected KCMVP It includes a device management unit 14 that provides a verified cryptographic module and an agent management function.

이와 같은 구성을 갖는 통신부(30)는 상이한 운영환경에서 동작하는 검증필 암호모듈 활용 서비스 블록(300)과의 연동을 지원한다.The communication unit 30 having such a configuration supports interworking with the verified cryptographic module utilization service block 300 operating in different operating environments.

그리고 보안 정보 관리부(20)의 상세 구성은 다음과 같다.And the detailed configuration of the security information management unit 20 is as follows.

도 2는 보안 정보 관리부의 상세 구성도이다.2 is a detailed configuration diagram of a security information management unit.

보안 정보 관리부(20)는 도 2에서와 같이, 검증필 암호모듈(200)에서 사용되는 비밀키 및 개인키, 패스워드, 난수발생기 상태정보를 포함하는 핵심 보안매개변수에 대한 생성, 삭제, 수정 및 비인가자의 접근 방지 기능을 제공하는 핵심 보안매개변수 관리부(21)와, 검증필 암호모듈(200)에서 사용되는 공개 보안매개변수(공개키, 인증서 등)에 대한 생성, 삭제 수정 및 비인가자의 접근 방지 기능을 제공하는 공개 보안매개변수 관리부(22)와, 하드웨어 보안 모듈과의 연동을 통한 핵심 보안매개변수, 공개 보안매개변수 관리 기능을 제공하는 하드웨어 보안모듈 연동부(23)를 포함한다.The security information management unit 20, as shown in FIG. 2, creates, deletes, modifies and Creation, deletion, modification and prevention of unauthorized access to public security parameters (public key, certificate, etc.) used in the core security parameter management unit 21 that provides a function of preventing access by unauthorized persons and the verified cryptographic module 200 It includes an open security parameter management unit 22 providing a function, and a hardware security module interworking unit 23 providing a key security parameter and an open security parameter management function through interworking with a hardware security module.

이와 같은 구성을 갖는 보안 정보 관리부(20)는 검증필 암호모듈(200)에서 사용되는 보안 자격증명, 정책 관리를 위한 보안 정보의 관리를 수행한다.The security information management unit 20 having such a configuration manages security information for security credentials and policy management used in the verified encryption module 200 .

서비스/장치 관리부(40)의 상세 구성은 다음과 같다.The detailed configuration of the service/device management unit 40 is as follows.

도 3은 서비스/장치 관리부의 상세 구성도이다.3 is a detailed configuration diagram of a service/device management unit.

서비스/장치 관리부(40)는 도 3에서와 같이, 검증필 암호모듈 활용 서비스 블록(300)의 연결 세션 관리, 서비스 사용자 관리 기능을 제공하는 서비스 연결 관리부(41)와, 보안정보 관리부(20)와의 연동을 통해 서비스별 인증/접근제어를 위한 보안 정보 관리 기능을 제공하는 서비스 보안 정보 관리부(42)와, 에이전트 사용자 등록, 해지, 정보 변경 기능을 제공하는 에이전트 사용자 관리부(43)와, 에이전트 서버 환경정보 설정, 서비스 활성화/비활성화 기능을 제공하는 에이전트 기능/정책 관리부(44)와, 에이전트 서버의 보안 통신 설정을 위환 보안 정보 관리, 사용자/서비스 접근제어정책 관리 등의 기능을 제공하는 에이전트 보안 정보 관리부(45)와, 암호모듈 버전, 하드웨어 인터페이스 정보, 암호모듈 위치 정보 등 에이전트에 연결된 암호모듈의 연결 정보를 관리하는 암호모듈 연결 정보 관리부(46)와, 보안 정보 관리부(20)와의 연동을 통해 암호모듈에서의 활용을 위해 저장된 핵심 보안매개변수, 공개 보안매개변수 관리 기능을 제공하는 암호모듈 보안 정보 관리부(47)를 포함한다.As shown in FIG. 3, the service/device management unit 40 includes a service connection management unit 41 that provides a connection session management and service user management function of the verified cryptographic module utilization service block 300, and a security information management unit 20. A service security information management unit 42 that provides a security information management function for authentication/access control for each service through interworking with an agent user management unit 43 that provides agent user registration, cancellation, and information change functions, and an agent server Agent security information that provides functions such as the agent function/policy management unit 44 that provides environment information setting and service activation/deactivation functions, and security information management and user/service access control policy management for the security communication settings of the agent server Through interworking with the management unit 45 and the encryption module connection information management unit 46 that manages connection information of the encryption module connected to the agent, such as the encryption module version, hardware interface information, and encryption module location information, and the security information management unit 20 It includes an encryption module security information management unit 47 that provides a key security parameter stored for use in the encryption module, and a public security parameter management function.

이와 같은 구성을 갖는 서비스/장치 관리부(40)는 검증필 암호모듈 연동 에이전트(100)를 통한 검증필 암호모듈(200)과 검증필 암호모듈 활용 서비스 블록(300)과의 연동 관리를 지원 및 관리한다.The service/device management unit 40 having such a configuration supports and manages interworking management between the verified cryptographic module 200 and the verified cryptographic module utilization service block 300 through the verified cryptographic module interworking agent 100 do.

본 발명에 따른 에이전트 기반의 암호모듈 연동 방법을 구체적으로 설명하면 다음과 같다.The agent-based encryption module interworking method according to the present invention will be described in detail as follows.

도 4는 본 발명에 따른 에이전트 기반의 암호모듈 연동 방법을 나타낸 플로우 차트이다.4 is a flowchart illustrating an agent-based encryption module interworking method according to the present invention.

먼저, 검증필 암호모듈 활용 서비스 블록(300)에서 암호 API 요청을 위하여 암호 API를 활용한 암호 처리 요청 메시지를 생성한다.(S401)First, a cryptographic processing request message using the cryptographic API is generated for the cryptographic API request in the verified cryptographic module utilization service block 300 (S401).

이어, 검증필 암호모듈 활용 서비스 블록(300)에서 검증필 암호모듈 연동 에이전트(100)의 통신부(30)로 암호 처리 요청 메시지를 전송한다.(S402)Next, the encryption processing request message is transmitted from the verified encryption module utilization service block 300 to the communication unit 30 of the verified encryption module interworking agent 100 (S402).

그리고 검증필 암호모듈 연동 에이전트(100)가 암호 처리 요청 메시지를 수신하면(S403), 검증필 암호모듈 활용 서비스 블록(300)의 API 접근 허용을 판단한다.(S404)And when the verified cryptographic module interworking agent 100 receives the cryptographic processing request message (S403), it is determined to allow API access of the verified cryptographic module utilization service block 300 (S404).

만약, API 접근을 허용하지 않는 경우에는 에러 메시지 생성 및 응답 전송을 하고(S405) API 접근을 허용하는 경우에는 API 검증 통과 여부를 판단한다.(S406)If the API access is not allowed, an error message is generated and a response is transmitted (S405), and if the API access is allowed, it is determined whether the API verification has passed (S406).

이어, API 검증이 통과된 경우에는 검증필 암호모듈 활용 서비스 블록(300)이 암호모듈 연동용 API 메시지로 변환한다.(S407)Next, when the API verification is passed, the verified cryptographic module utilization service block 300 converts it into an API message for cryptographic module interworking. (S407)

그리고 검증필 암호모듈 활용 서비스 블록(300)이 암호모듈 연동용 API 메시지를 검증필 암호모듈 연동 에이전트(100)로 전송하면(S408), 검증필 암호모듈 연동 에이전트(100)가 암호모듈 연동용 API 메시지 수신 및 수신큐 삽입을 한다(S409)And when the verified cryptographic module utilization service block 300 transmits the API message for cryptographic module interworking to the verified cryptographic module interworking agent 100 (S408), the verified cryptographic module interworking agent 100 is an API for cryptographic module interworking Receive a message and insert a receive queue (S409)

이어, 암호모듈 지원 인터페이스는 수신 큐의 암호모듈 연동용 API 메시지를 KCMVP 검증필 암호모듈로 전송한다.(S410)Next, the cryptographic module support interface transmits the API message for interworking with the cryptographic module of the reception queue to the KCMVP-verified cryptographic module. (S410)

그리고 KCMVP 검증필 암호모듈(200)에서 메시지 처리, 암호연산 수행 및 응답 메시지 생성을 한다.(S411)And the KCMVP verified encryption module 200 processes the message, performs encryption operation, and generates a response message. (S411)

이어, 암호모듈 지원 인터페이스를 통하여 KCMVP 검증필 암호모듈(200)의 응답메시지 수신 및 송신 큐 삽입을 한다.(S412)Then, through the encryption module support interface, the response message of the KCMVP verified encryption module 200 is received and the transmission queue is inserted. (S412)

그리고 검증필 암호모듈 연동 에이전트(100)가 KCMVP 검증필 암호모듈 응답메시지를 암호 API 응답 메시지로 변환하여 검증필 암호모듈 활용 서비스 블록(300)으로 응답메시지를 전송하고(S413), 검증필 암호모듈 활용 서비스 블록(300)이 암호 API 응답 메시지 수신 및 서비스 활용을 한다.(S414)And the verified cryptographic module interworking agent 100 converts the KCMVP verified cryptographic module response message into a cryptographic API response message and transmits the response message to the verified cryptographic module utilization service block 300 (S413), and the verified cryptographic module The utilization service block 300 receives the cryptographic API response message and utilizes the service. (S414)

이상에서 설명한 본 발명에 따른 에이전트 기반의 암호모듈 연동 시스템 및 방법은 검증필 암호모듈의 운영환경과 상이한 운영환경에서 동작하는 서비스에서 검증필 암호모듈의 기능을 활용할 수 있도록 중개할 수 있는 에이전트를 제공하여 안전하게 검증필 암호모듈을 활용하는 서비스가 가능하도록 한 것이다.The agent-based cryptographic module interworking system and method according to the present invention described above provides an agent capable of intermediary to utilize the function of the verified cryptographic module in a service operating in an operating environment different from that of the verified cryptographic module. This makes it possible to safely use the verified cryptographic module.

이상에서의 설명에서와 같이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 본 발명이 구현되어 있음을 이해할 수 있을 것이다.As described above, it will be understood that the present invention is implemented in a modified form without departing from the essential characteristics of the present invention.

그러므로 명시된 실시 예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 하고, 본 발명의 범위는 전술한 설명이 아니라 특허청구 범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.Therefore, the specified embodiments are to be considered in an illustrative rather than a restrictive view, the scope of the present invention is indicated in the claims rather than the foregoing description, and all differences within the equivalent scope are included in the present invention. will have to be interpreted.

100. 검증필 암호모듈 연동 에이전트
200 : 검증필 암호모듈
300 : 검증필 암호모듈 활용 서비스 블록100. Verified encryption module interworking agent
200: verified encryption module
300: service block using verified cryptographic module

Claims (11)

제 1 운영 환경에서 동작하는 검증필 암호모듈;
제 1 운영 환경과 다른 제 2 운영 환경에서 동작하는 검증필 암호모듈 활용 서비스 블록;
상기 검증필 암호모듈의 제 1 운영환경과 상이한 제 2 운영환경에서 동작하는 검증필 암호모듈 활용 서비스 블록에서 검증필 암호모듈의 기능을 활용할 수 있도록 중개하는 검증필 암호모듈 연동 에이전트;를 포함하고,
상기 검증필 암호모듈 활용 서비스 블록에서 암호 처리 요청 메시지를 생성 및 전송하고, 상기 검증필 암호모듈 연동 에이전트가 암호 처리 요청 메시지를 수신하면, 검증필 암호모듈 활용 서비스 블록의 API 접근 허용을 판단하고, 검증필 암호모듈 활용 서비스 블록에서 암호모듈 연동용 API 메시지를 전송하면 검증필 암호모듈 연동 에이전트가 암호모듈 연동용 API 메시지 수신 및 수신큐 삽입을 하는 단계를 수행하고,
검증필 암호모듈 활용 서비스 블록의 API 접근을 허용하는 경우에는, API 검증 통과 여부를 판단하고, API 검증이 통과된 경우에는 검증필 암호모듈 활용 서비스 블록이 암호모듈 연동용 API 메시지로 변환하는 것을 특징으로 하는 에이전트 기반의 암호모듈 연동 시스템.a verified encryption module operating in a first operating environment;
a service block using a verified cryptographic module that operates in a second operating environment different from the first operating environment;
A verified cryptographic module interworking agent that intermediaries to utilize the function of the verified cryptographic module in the verified cryptographic module utilization service block operating in a second operating environment different from the first operating environment of the verified cryptographic module;
When the verified cryptographic module utilization service block generates and transmits a cryptographic processing request message, and the verified cryptographic module interworking agent receives the cryptographic processing request message, it is determined that API access of the verified cryptographic module utilization service block is allowed, When the verified cryptographic module utilization service block transmits an API message for cryptographic module interlocking, the verified cryptographic module interworking agent receives the API message for cryptographic module interlocking and inserts the reception queue,
When API access of the verified cryptographic module utilization service block is allowed, it is determined whether API validation has passed, and if the API validation is passed, the verified cryptographic module utilization service block is converted into an API message for cryptographic module interworking An agent-based cryptographic module interworking system with 제 1 항에 있어서, 검증필 암호모듈 연동 에이전트는,
검증필 암호모듈 인터페이스 연동을 위한 암호모듈 연동부와,
검증필 암호모듈에서 사용되는 보안 자격증명, 정책 관리를 위한 보안 정보 관리부와,
상이한 운영환경에서 동작하는 서비스와의 연동을 위한 통신부와,
검증필 암호모듈 연동 에이전트를 통한 검증필 암호모듈과 검증필 암호모듈 활용 서비스 블록과의 연동 관리를 위한 서비스/장치 관리부를 포함하는 것을 특징으로 하는 에이전트 기반의 암호모듈 연동 시스템.The method of claim 1, wherein the verified cryptographic module interworking agent,
A cryptographic module interlocking unit for interworking with the verified cryptographic module interface;
A security information management unit for security credentials and policy management used in the verified cryptographic module;
A communication unit for interworking with services operating in different operating environments;
Agent-based cryptographic module interworking system, characterized in that it comprises a service/device management unit for interworking management between the verified cryptographic module and the verified cryptographic module utilizing service block through the verified cryptographic module interworking agent. 제 2 항에 있어서, 암호모듈 연동부는,
통신부와의 암호 API 메시지 송수신, 연동을 위한 통신부 연동 인터페이스와,
통신부에서 보낸 암호 API 메시지를 순차적으로 처리하기 위한 암호 API 수신 큐와,
검증필 암호모듈에서 보낸 암호 연산 결과 메시지를 순차적으로 처리하기 위한 암호 API 송신 큐와,
보안 정보 관리부에 저장된 보안 정보를 이용하여 검증필 암호모듈의 활용을 위한 보안 정보 연동을 수행하는 보안 정보 연동부와,
검증필 암호모듈에서 지원하는 물리적, 논리적 인터페이스와의 연동을 위한 암호모듈 연동 인터페이스를 포함하는 것을 특징으로 하는 에이전트 기반의 암호모듈 연동 시스템.The method of claim 2, wherein the encryption module interlocking unit,
A communication unit interworking interface for sending and receiving cryptographic API messages with the communication unit and interworking;
A cryptographic API receive queue for sequentially processing cryptographic API messages sent from the communication unit;
A cryptographic API transmission queue for sequentially processing the cryptographic operation result messages sent from the verified cryptographic module;
A security information interlocking unit that interlocks security information for the use of the verified encryption module using the security information stored in the security information management unit;
Agent-based encryption module interworking system, characterized in that it includes an encryption module interworking interface for interworking with physical and logical interfaces supported by the verified encryption module. 제 2 항에 있어서, 통신부는,
검증필 암호모듈 활용 서비스 블록에서 지원하는 통신 프로토콜 지원을 위한 서비스 연동 인터페이스와,
검증필 암호모듈 활용 서비스 블록과의 안전한 보안 통신 및 서비스 연동 인터페이스에 대한 서비스별 접근제어 기능을 제공하는 보안 통신 연동부와,
검증필 암호모듈 활용 서비스 블록으로부터 받은 암호 API 메시지의 검증을 수행하는 암호 API 검증부와,
검증필 암호모듈 활용 서비스 블록으로부터 받은 암호 API 메시지를 KCMVP 검증필 암호모듈에서 지원하는 암호 API 메시지로 변환하는 암호 API 변환부를 포함하는 것을 특징으로 하는 에이전트 기반의 암호모듈 연동 시스템.The method of claim 2, wherein the communication unit,
A service interworking interface to support the communication protocol supported by the service block using the verified cryptographic module;
A secure communication interworking unit that provides secure and secure communication with service blocks utilizing verified cryptographic modules and access control functions for each service to the service interworking interface;
A cryptographic API verification unit that verifies the cryptographic API message received from the verified cryptographic module utilization service block;
An agent-based cryptographic module interworking system comprising a cryptographic API conversion unit that converts the cryptographic API message received from the verified cryptographic module utilization service block into a cryptographic API message supported by the KCMVP verified cryptographic module. 제 4 항에 있어서, 통신부는,
검증필 암호모듈 연동 에이전트에 연결된 서비스 관리 기능을 제공하는 서비스 관리부와,
연결된 KCMVP 검증필 암호모듈 및 에이전트 관리 기능을 제공하는 장치 관리부를 더 포함하는 것을 특징으로 하는 에이전트 기반의 암호모듈 연동 시스템.The method of claim 4, wherein the communication unit,
A service management unit that provides a service management function connected to the verified cryptographic module interworking agent;
Agent-based cryptographic module interworking system, characterized in that it further comprises a device management unit that provides a connected KCMVP-verified cryptographic module and agent management function. 제 2 항에 있어서, 보안 정보 관리부는,
검증필 암호모듈에서 사용되는 비밀키 및 개인키, 패스워드, 난수발생기 상태정보를 포함하는 핵심 보안매개변수에 대한 생성, 삭제, 수정 및 비인가자의 접근 방지 기능을 제공하는 핵심 보안매개변수 관리부와,
검증필 암호모듈에서 사용되는 공개 보안매개변수에 대한 생성, 삭제 수정 및 비인가자의 접근 방지 기능을 제공하는 공개 보안매개변수 관리부와,
하드웨어 보안 모듈과의 연동을 통한 핵심 보안매개변수, 공개 보안매개변수 관리 기능을 제공하는 하드웨어 보안모듈 연동부를 포함하는 것을 특징으로 하는 에이전트 기반의 암호모듈 연동 시스템.The method of claim 2, wherein the security information management unit,
A key security parameter management unit that provides a function to create, delete, modify, and prevent unauthorized access to key security parameters including secret and private keys, passwords, and random number generator status information used in the verified cryptographic module;
An open security parameter management unit that provides functions to create, delete, modify, and prevent unauthorized access to public security parameters used in the verified cryptographic module;
An agent-based cryptographic module interworking system comprising a hardware security module interworking unit that provides a key security parameter and public security parameter management function through interworking with a hardware security module. 제 2 항에 있어서, 서비스/장치 관리부는,
검증필 암호모듈 활용 서비스 블록의 연결 세션 관리, 서비스 사용자 관리 기능을 제공하는 서비스 연결 관리부와,
보안정보 관리부와의 연동을 통해 서비스별 인증, 접근제어를 위한 보안 정보 관리 기능을 제공하는 서비스 보안 정보 관리부와,
에이전트 사용자 등록, 해지, 정보 변경 기능을 제공하는 에이전트 사용자 관리부와,
에이전트 서버 환경정보 설정, 서비스 활성화/비활성화 기능을 제공하는 에이전트 기능/정책 관리부를 포함하는 것을 특징으로 하는 에이전트 기반의 암호모듈 연동 시스템.The method of claim 2, wherein the service/device management unit comprises:
A service connection management unit that provides connection session management and service user management functions of service blocks utilizing verified cryptographic modules;
A service security information management unit that provides security information management functions for authentication and access control by service through interworking with the security information management unit;
An agent user management unit that provides agent user registration, cancellation, and information change functions;
Agent-based encryption module interworking system, characterized in that it comprises an agent function/policy management unit that provides agent server environment information setting and service activation/deactivation functions. 제 7 항에 있어서, 서비스/장치 관리부는,
에이전트 서버의 보안 통신 설정을 위환 보안 정보 관리, 사용자/서비스 접근제어정책 관리 등의 기능을 제공하는 에이전트 보안 정보 관리부와,
암호모듈 버전, 하드웨어 인터페이스 정보, 암호모듈 위치 정보 등 에이전트에 연결된 암호모듈의 연결 정보를 관리하는 암호모듈 연결 정보 관리부와,
보안 정보 관리부와의 연동을 통해 암호모듈에서의 활용을 위해 저장된 핵심 보안매개변수,공개 보안매개변수 관리 기능을 제공하는 암호모듈 보안 정보 관리부를 더 포함하는 것을 특징으로 하는 에이전트 기반의 암호모듈 연동 시스템.The method of claim 7, wherein the service/device manager comprises:
An agent security information management unit that provides functions such as security information management and user/service access control policy management for the security communication settings of the agent server;
A cryptographic module connection information management unit that manages connection information of the cryptographic module connected to the agent, such as cryptographic module version, hardware interface information, and cryptographic module location information;
Agent-based encryption module interworking system, characterized in that it further comprises an encryption module security information management unit that provides a function to manage key security parameters and public security parameters stored for use in the encryption module through interworking with the security information management unit . 검증필 암호모듈 활용 서비스 블록에서 암호 처리 요청 메시지를 생성 및 전송하는 단계;
검증필 암호모듈 연동 에이전트가 암호 처리 요청 메시지를 수신하면, 검증필 암호모듈 활용 서비스 블록의 API 접근 허용을 판단하는 단계;
검증필 암호모듈 활용 서비스 블록에서 암호모듈 연동용 API 메시지를 전송하면 검증필 암호모듈 연동 에이전트가 암호모듈 연동용 API 메시지 수신 및 수신큐 삽입을 하는 단계;
암호모듈 지원 인터페이스가 수신 큐의 암호모듈 연동용 API 메시지를 검증필 암호모듈로 전송하고, 검증필 암호모듈의 응답메시지 수신 및 송신 큐 삽입을 하는 단계;
검증필 암호모듈 연동 에이전트가 검증필 암호모듈 응답메시지를 암호 API 응답 메시지로 변환하여 검증필 암호모듈 활용 서비스 블록으로 응답메시지를 전송하면 이를 수신하여 검증필 암호모듈 활용 서비스를 하는 단계;를 포함하고,
검증필 암호모듈 활용 서비스 블록의 API 접근을 허용하는 경우에는, API 검증 통과 여부를 판단하고, API 검증이 통과된 경우에는 검증필 암호모듈 활용 서비스 블록이 암호모듈 연동용 API 메시지로 변환하는 단계를 수행하는 것을 특징으로 하는 에이전트 기반의 암호모듈 연동 방법.generating and transmitting a cryptographic processing request message in the verified cryptographic module utilization service block;
when the verified cryptographic module interworking agent receives the cryptographic processing request message, determining API access permission of the verified cryptographic module utilization service block;
When the verified cryptographic module utilization service block transmits an API message for cryptographic module interworking, the verified cryptographic module interworking agent receives and inserts a reception queue for the cryptographic module interworking API message;
sending, by the cryptographic module support interface, the API message for interworking with the cryptographic module of the reception queue to the verified cryptographic module, and inserting the response message of the verified cryptographic module and sending queue;
When the verified cryptographic module interworking agent converts the verified cryptographic module response message into a cryptographic API response message and transmits a response message to the verified cryptographic module utilization service block, receiving it and providing the verified cryptographic module utilization service; and ,
If the API access of the verified cryptographic module utilization service block is allowed, it is determined whether the API validation has passed, and if the API validation is passed, the verified cryptographic module utilization service block converts the service block into an API message for cryptographic module interworking. Agent-based encryption module interworking method, characterized in that it performs. 삭제delete 제 9 항에 있어서, 암호모듈 지원 인터페이스가 수신 큐의 암호모듈 연동용 API 메시지를 검증필 암호모듈로 전송하면,
검증필 암호모듈에서 메시지 처리, 암호연산 수행 및 응답 메시지 생성을 하고, 암호모듈 지원 인터페이스를 통하여 검증필 암호모듈의 응답메시지 수신 및 송신 큐 삽입을 하는 것을 특징으로 하는 에이전트 기반의 암호모듈 연동 방법.
The method of claim 9, wherein when the cryptographic module support interface transmits an API message for interworking with the cryptographic module of the reception queue to the verified cryptographic module,
An agent-based cryptographic module interworking method, characterized in that the verified cryptographic module processes the message, performs cryptographic operation, and generates a response message, and receives and transmits the response message of the verified cryptographic module through the cryptographic module support interface.
KR1020200159004A 2020-11-24 2020-11-24 Agent based cryptographic module interworking system and its method KR102423178B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200159004A KR102423178B1 (en) 2020-11-24 2020-11-24 Agent based cryptographic module interworking system and its method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200159004A KR102423178B1 (en) 2020-11-24 2020-11-24 Agent based cryptographic module interworking system and its method

Publications (3)

Publication Number Publication Date
KR20220071643A KR20220071643A (en) 2022-05-31
KR102423178B1 true KR102423178B1 (en) 2022-07-20
KR102423178B9 KR102423178B9 (en) 2022-12-05

Family

ID=81786414

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200159004A KR102423178B1 (en) 2020-11-24 2020-11-24 Agent based cryptographic module interworking system and its method

Country Status (1)

Country Link
KR (1) KR102423178B1 (en)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101575050B1 (en) * 2015-04-30 2015-12-07 이옥연 Different Units Same Security
KR101922565B1 (en) 2018-05-23 2018-11-27 (주)에스씨씨 Alliance block chain system that enables sharing of data between different block chains

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104283690B (en) 2014-10-31 2016-01-13 杭州沃朴物联科技有限公司 Clock synchronous type dynamic password antifalsification label real-time verification of validity system and method
KR101544110B1 (en) 2015-02-11 2015-08-12 주식회사 선진일렉텍 Supervisory control and data acquisition system
KR102058035B1 (en) * 2017-11-30 2019-12-20 주식회사 무한비트 Security-enhanced wireless communication apparatus
KR102128244B1 (en) * 2018-05-11 2020-06-30 국민대학교산학협력단 Ssl/tls based network security apparatus and method
KR102153317B1 (en) 2018-06-20 2020-09-08 시옷랩주식회사 Encryption apparatus based on quantum random number

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101575050B1 (en) * 2015-04-30 2015-12-07 이옥연 Different Units Same Security
KR101922565B1 (en) 2018-05-23 2018-11-27 (주)에스씨씨 Alliance block chain system that enables sharing of data between different block chains

Also Published As

Publication number Publication date
KR20220071643A (en) 2022-05-31
KR102423178B9 (en) 2022-12-05

Similar Documents

Publication Publication Date Title
JP6349347B2 (en) Physically secure authorization for utility applications
US8971537B2 (en) Access control protocol for embedded devices
KR101414312B1 (en) Policy driven, credntial delegat10n for single sign on and secure access to network resources
US8838965B2 (en) Secure remote support automation process
CN112422532B (en) Service communication method, system and device and electronic equipment
Jeong et al. Integrated OTP-based user authentication scheme using smart cards in home networks
EP1384370B1 (en) Method and system for authenticating a personal security device vis-a-vis at least one remote computer system
US20180375648A1 (en) Systems and methods for data encryption for cloud services
CN111918284B (en) Safe communication method and system based on safe communication module
EP3673613B1 (en) Securing delegated credentials in third-party networks
KR20220160549A (en) Cluster access method, apparatus, electronic equipment and media
Musa et al. Secure security model implementation for security services and related attacks base on end-to-end, application layer and data link layer security
CN110708291A (en) Data authorization access method, device, medium and electronic equipment in distributed network
Kim Securing the Internet of Things via locally centralized, globally distributed authentication and authorization
CN115473655B (en) Terminal authentication method, device and storage medium for access network
CN108989302B (en) OPC proxy connection system and connection method based on secret key
KR102423178B1 (en) Agent based cryptographic module interworking system and its method
US20220182229A1 (en) Protected protocol for industrial control systems that fits large organizations
CN113794563B (en) Communication network security control method and system
CN112906032B (en) File secure transmission method, system and medium based on CP-ABE and block chain
CN114254352A (en) Data security transmission system, method and device
CN114238925A (en) Aggregation authentication method of non-mutual trust heterogeneous system based on JWT token
KR20020083551A (en) Development and Operation Method of Multiagent Based Multipass User Authentication Systems
CN110661803A (en) Gate encryption control system and method
Luo et al. Research on OPC UA Security Encryption Method

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
G170 Re-publication after modification of scope of protection [patent]