KR100782695B1 - Device of security and authentication for remote access to process control system and method of the same - Google Patents

Device of security and authentication for remote access to process control system and method of the same Download PDF

Info

Publication number
KR100782695B1
KR100782695B1 KR1020050130176A KR20050130176A KR100782695B1 KR 100782695 B1 KR100782695 B1 KR 100782695B1 KR 1020050130176 A KR1020050130176 A KR 1020050130176A KR 20050130176 A KR20050130176 A KR 20050130176A KR 100782695 B1 KR100782695 B1 KR 100782695B1
Authority
KR
South Korea
Prior art keywords
user
access
remote
authentication
control system
Prior art date
Application number
KR1020050130176A
Other languages
Korean (ko)
Other versions
KR20070068505A (en
Inventor
황화원
조형석
이준협
Original Assignee
주식회사 포스코
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 포스코 filed Critical 주식회사 포스코
Priority to KR1020050130176A priority Critical patent/KR100782695B1/en
Publication of KR20070068505A publication Critical patent/KR20070068505A/en
Application granted granted Critical
Publication of KR100782695B1 publication Critical patent/KR100782695B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Telephonic Communication Services (AREA)

Abstract

본 발명은 외부의 사용자가 원격시스템에서 사내시스템의 제어시스템의 네트워크 서비스를 이용하기 위하여 사내시스템에 접근시 상기 사용자의 보안인증을 하기 위한 사내시스템 원격접근 보안인증장치에 있어서, 상기 원격시스템의 IP를 분석하여 인증하는 IP레벨 인증 수단과, 상기 원격시스템으로부터 사용자의 ID, 암호를 입력받아 상기 사용자를 인증하는 ID레벨 인증 수단과, 상기 사내시스템에서 사용자에게 일회성 보안암호를 전송하고, 상기 원격시스템으로부터 일회성 보안암호를 입력받아 사용자를 인증하는 일회성 보안암호 인증수단 및 상기 원격시스템에서 상기 사용자의 상기 제어시스템 네트워크 서비스 요청시 상기 사용자의 상시 제어시스템에 대한 접근권한을 점검하여 상기 접근권한에 따라 상기 제어시스템에 접근하게 하는 제어시스템 접근수단을 포함하는 것을 특징으로 하는 사내시스템 원격접근 보안인증장치와 그 제어방법을 제공한다.The present invention provides an in-house system remote access security authentication apparatus for authenticating a user's security when an external user accesses an in-house system in order to use a network service of a control system of an in-house system in a remote system. An IP level authentication means for analyzing and authenticating the ID, an ID level authentication means for authenticating the user by receiving an ID and password of the user from the remote system, and transmitting a one-time security password from the in-house system to the user, A one-time security password authentication means for authenticating a user by receiving a one-time security password from the user and checking the access right to the control system of the user at the time of the request of the control system network service of the user in the remote system, according to the access right Access to the control system It offers in-house remote access system comprising a system access means security authentication device and a control method thereof.

원격접근(REMOTE ACCESS), 인증(AUTHENTICATION), 보안(SECURITY) REMOTE ACCESS, AUTHENTICATION, SECURITY

Description

제어시스템 원격접근 보안인증장치 및 보안인증방법{DEVICE OF SECURITY AND AUTHENTICATION FOR REMOTE ACCESS TO PROCESS CONTROL SYSTEM AND METHOD OF THE SAME}DEVICE OF SECURITY AND AUTHENTICATION FOR REMOTE ACCESS TO PROCESS CONTROL SYSTEM AND METHOD OF THE SAME}

도 1은 종래의 기술에 따른 제어시스템의 사외원격정비를 위한 보안인증장치의 개략도.1 is a schematic diagram of a security authentication device for external remote maintenance of the control system according to the prior art.

도 2는 본 발명의 일 실시형태에 따른 사내시스템 원격접근 보안인증장치를 포함하는 시스템 개략도.Figure 2 is a schematic diagram of a system including an in-house system remote access security authentication apparatus according to an embodiment of the present invention.

도 3은 본 발명의 일 실시형태에 따른 사내시스템 원격접근 보안인증방법을 나타내는 플로우차트.3 is a flowchart showing an in-house system remote access security authentication method according to an embodiment of the present invention.

<도면의 주요 부분에 대한 부호의 설명><Explanation of symbols for main parts of the drawings>

110, 210 : 원격시스템 120, 220 : 보안인증장치110, 210: remote system 120, 220: security authentication device

130, 230 : 제어시스템 221 : IP레벨 인증수단130, 230: control system 221: IP level authentication means

222 : ID레벨 인증수단 223 : 일회성 보안암호 인증수단222: ID level authentication means 223: One-time security password authentication means

224 : 제어시스템 접근수단224 control means access

본 발명은 제어시스템 원격접근 보안인증장치 및 보안인증방법에 관한 것으로서, 보다 상세하게는 사용자가 원격시스템에서 제어시스템의 네트워크 서비스를 이용하기 위해 제어시스템에 접근시 다중 보안인증장치 및 암호화를 통하여 엄격한 원격 사용자 보안 인증을 제공하기 위한 보안인증장치 및 보안인증방법에 관한 것이다.The present invention relates to a control system remote access security authentication device and a security authentication method, and more particularly, when a user accesses a control system to use a network service of a control system in a remote system, the security system is strict through multiple security authentication devices and encryption. A security authentication device and a security authentication method for providing remote user security authentication.

제어시스템의 관리자인 정비 엔지니어들은 공정라인의 제어시스템을 관리하고 정비하는 작업을 맡고 있으며, 24시간 중단없이 라인이 가동되는 경우에는 제어시스템에 문제 발생하면 신속한 정비를 통해 조업을 정상화해야 하므로 공휴일과 야간의 경우에도 사외에서 원격으로 제어시스템을 정비할 필요성이 높다. 또한, 24시간 라인이 가동되는 경우가 아니더라도, 사외에서 사내기간망에 접속하여 제어시스템 정비를 하여야 하는 경우가 생긴다.Maintenance engineers who are managers of the control system are in charge of managing and maintaining the control system of the process line.If the line is operated for 24 hours without interruption, it is necessary to normalize the operation through quick maintenance when problems occur in the control system. Even at night, there is a high need to maintain the control system remotely from outside. In addition, even if the line is not in operation for 24 hours, it may be necessary to connect to the in-house backbone network for maintenance of the control system.

그러나, 외부 네트워크를 이용하여 사내네트워크에 접속하여 시스템을 정비할 경우 통상적으로 인터넷을 거쳐 제어시스템으로 접속하므로 보안에 취약점을 안고 있으며, 사용자의 패스워드 등의 데이터의 가로채기에 의한 누출 및 변조와 같은 보안위협이 실제로 일어날 경우에는 제어시스템의 큰 문제를 야기시킬 수 있으며 이는 조업에 심각한 영향을 주게 된다. 또한 외부에서 원격으로 접속 작업으로 인한 보안 및 제반 문제 발생시 이를 신속히 파악하여 원인을 규명하는 것이 필수적으로 요구된다.However, when the system is maintained by accessing the internal network using an external network, the system is normally connected to the control system via the Internet, which poses a weakness in security. If a security threat actually occurs, it can cause a big problem in the control system, which seriously affects the operation. In addition, it is essential to quickly identify the cause and identify the cause of security and any problems caused by the remotely connected work from the outside.

도 1은 종래의 기술에 따른 제어시스템의 사외원격정비를 위한 보안인증장치의 개략도이다.1 is a schematic diagram of a security authentication device for external remote maintenance of a control system according to the prior art.

종래의 보안인증장치에 의한 보안인증방법은 다음과 같다. 사용자(예를 들어, 정비 엔지니어)가 사외에서 PC 등과 같은 원격시스템(110)을 통해 사내시스템(140)의 사내의 제어시스템(130)으로 접속을 시도하면, 보안인증장치(120)의 ID 레벨 인증수단(121)에서 인증용 ID 및 password를 묻고 사용자가 입력한 인증정보는 입력받은 인증정보의 유효성을 체크하여 인증정보가 유효한 경우에 제어시스템 접근수단(122)에 의하여 제어시스템(130)에 접근이 허용되고, 제어시스템(130)의 네트워크 서비스를 이용할 수 있게 된다.A security authentication method using a conventional security authentication device is as follows. When a user (for example, a maintenance engineer) attempts to access an in-house control system 130 of an in-house system 140 through a remote system 110 such as a PC from outside, an ID level of the security authentication device 120. When the authentication means 121 asks for the ID and password for authentication and the authentication information input by the user checks the validity of the input authentication information and the authentication information is valid, the control system access means 122 sends the control system 130 to the control system 130. Access is allowed and network services of the control system 130 are available.

그러나, 종래의 사외원격정비를 지원하는 시스템은 사용자의 제어시스템 접근정보를 상세한 분석이 가능할 정도로 응용레벨의 정보를 분석할 수가 없어 사외에서 접속하여 정비하는 경우의 보안 및 제반 문제 발생시 문제의 근원을 신속히 파악 가능하지 않으며, 사외에서 원격 접속시 사용하는 인증용 ID, Password의 노출시 노출에 따른 보안사고를 예방할 방법이 없다. 그리고 인증이 완료된 사용자는 모든 사내의 시스템에 접속이 가능하여 보안사고의 피해 범위가 커질 소지가 매우 높다.However, the conventional system supporting external remote maintenance cannot analyze the application level information to the extent that the user's control system access information can be analyzed in detail. It is not possible to quickly grasp and there is no way to prevent security accidents due to exposure of authentication ID and password used for remote access from outside. In addition, the authenticated user can access all the in-house systems, which is likely to increase the damage range of security accidents.

또한 종래의 보안 접속을 위한 인증시스템은 한국 특허공개번호 제10-2004-0035952호 (발명의 명칭: 휴대폰 단말기를 이용한 출입관리 인증시스템)에서 소개되는데, 출입문의 관리에 있어서 사용자의 휴대폰 단말기의 고유코드를 자동 수신 하여, 미리 등록된 사용자의 인증정보와 비교함으로써 사용자의 출입인증을 해주는 시스템 및 방법으로, 원격의 시스템에서 접속하는 사용자를 인증하는 방식으로 부적합하며 사용자의 인증기술만을 다루고 있어 본 발명에서 해결해야 할 문제인, 사용자의 제어시스템 접근정보를 응용레벨에서 상세히 분석하는 해결안 및 원격 접속시 사용하는 인증용 ID, Password의 노출시 노출에 따른 보안사고 예방에 대한 해결점을 제공하고 있지 않다. In addition, the conventional authentication system for secure access is introduced in Korean Patent Publication No. 10-2004-0035952 (name of the invention: access management authentication system using a mobile phone terminal), the unique management of the user's mobile phone terminal in the management of the door The present invention provides a system and method for automatically accessing and comparing a user's authentication information with a pre-registered user's authentication information. This method is not suitable for authenticating a user accessing from a remote system. Does not provide a solution to analyze the user's control system access information in detail at the application level, and to prevent security incidents due to exposure of authentication ID and password used for remote access.

본 발명은 상술한 종래 기술의 문제를 해결하기 위한 것으로서, 그 목적은 공정라인의 생산관리을 담당하는 제어시스템을 사외에서 원격으로 보안성과 기밀성을 최대한으로 유지하면서 정비할 수 있도록 하고, 사외에서 원격 접속시 사용하는 인증용 ID, Password 등의 데이터 노출 및 도용시 노출에 따른 보안문제 발생을 차단하고 최소화하며, 사외에서 접속하여 정비하는 경우의 보안 및 제반 문제 발생시 문제의 근원을 신속,정확히 파악할 수 있도록 하여, 원격접속을 통한 제어시스템 의 안전하고 신속한 정비를 통해 안정조업을 도모하는 제어시스템 사외원격정비를 위한 인증 및 보안접속 장치 및 방법시스템과 관리방법을 제공하는데 있다. The present invention is to solve the above-mentioned problems of the prior art, the object of which is to control and maintain the control system in charge of production management of the process line remotely while maintaining the security and confidentiality to the maximum, remote access from outside It prevents and minimizes the occurrence of security problems due to exposure and theft of data such as authentication ID and password used at the time of use, and also enables to quickly and accurately grasp the root cause of the security when various external accesses are made and maintained. Therefore, the present invention provides an authentication and secure access device, a method system, and a management method for external control of a control system to promote stable operation through safe and quick maintenance of the control system through remote access.

상기한 기술적 과제를 달성하기 위해서, 본 발명은,In order to achieve the above technical problem, the present invention,

외부의 사용자가 원격시스템에서 사내시스템의 제어시스템의 네트워크 서비 스를 이용하기 위하여 사내시스템에 접근시 상기 사용자의 보안인증을 하기 위한 사내시스템 원격접근 보안인증장치에 있어서, 상기 원격시스템의 IP를 분석하여 인증하는 IP레벨 인증 수단과, 상기 원격시스템으로부터 사용자의 ID, 암호를 입력받아 상기 사용자를 인증하는 ID레벨 인증 수단과, 상기 사내시스템에서 사용자에게 일회성 보안암호를 전송하고, 상기 원격시스템으로부터 일회성 보안암호를 입력받아 사용자를 인증하는 일회성 보안암호 인증수단 및 상기 원격시스템에서 상기 사용자의 상기 제어시스템 네트워크 서비스 요청시 상기 사용자의 상시 제어시스템에 대한 접근권한을 점검하여 상기 접근권한에 따라 상기 제어시스템에 접근하게 하는 제어시스템 접근수단을 특징으로 하는 사내시스템 원격접근 보안인증장치를 제공한다.In-house system remote access security authentication device for authenticating the user's security when an external user accesses the in-house system in order to use the network service of the control system of the in-house system in the remote system, the IP of the remote system is analyzed. IP level authentication means for authenticating and authenticating, ID level authentication means for authenticating the user by receiving the user's ID and password from the remote system, and transmitting a one-time security password to the user in the in-house system, and one-time from the remote system. One-time security password authentication means for authenticating a user by receiving a security password and checking the access right to the control system of the user at the time of the user's request of the control system network service from the remote system, and the control system according to the access right. Control system to access It provides an in-house system, the remote access security authentication device to the root means, characterized.

본 발명의 일 실시형태에서, 상기 일회성 보안암호 인증수단은, 휴대폰 문자전송 및 전자우편 중 적어도 어느 하나를 이용하여 상기 사용자에게 보안암호를 전송하는 것일 수 있다.In one embodiment of the present invention, the one-time security password authentication means may be to transmit the security password to the user using at least one of a mobile phone text transmission and email.

본 발명의 일 실시형태에서, 상기 일회성 보안암호 인증수단은, 상기 원격시스템에서 상기 보안암호를 암호화하여 상기 사내시스템에 전송하고, 상기 사내시스템은 이를 복호화하여 상기 사용자를 인증하는 것일 수 있다.In one embodiment of the present invention, the one-time security password authentication means may encrypt the security password in the remote system and transmit it to the in-house system, and the in-house system decrypts it to authenticate the user.

본 발명의 일 실시형태에서, 상기 원격시스템은 상기 제어시스템의 상기 네 트워크 서비스 요청을 SSL레벨과 IP레벨에서 순차적으로 암호화하여 상기 제어시스템 접근수단에 전송하고, 상기 제어시스템 접근수단은 상기 전송된 네트워크 서비스 요청을 IP레벨과 SSL레벨에서 순차적으로 복호화하는 수단을 더 포함하는 것일 수 있다.In one embodiment of the present invention, the remote system sequentially encrypts the network service request of the control system at an SSL level and an IP level and transmits the encrypted data to the control system access means, wherein the control system access means is transmitted. The method may further include means for sequentially decoding the network service request at the IP level and the SSL level.

또한, 본 발명은 외부의 사용자가 원격시스템에서 사내시스템의 제어시스템의 네트워크 서비스를 이용하기 위하여 사내시스템에 접근시 상기 사용자의 보안인증을 하기 위한 사내시스템 원격접근 보안인증방법에 있어서, 상기 원격시스템의 IP를 분석하여 인증하는 IP레벨 인증 단계와, 상기 원격시스템으로부터 사용자의 ID, 암호를 입력받아 상기 사용자를 인증하는 ID레벨 인증 단계와, 상기 사내시스템에서 사용자에게 일회성 보안암호를 전송하고, 상기 원격시스템으로부터 일회성 보안암호를 입력받아 사용자를 인증하는 일회성 보안암호 인증단계 및 상기 원격시스템에서 상기 사용자의 상기 제어시스템 네트워크 서비스에 대한 접근권한을 점검하여 상기 사용자를 상기 제어시스템에 접근하게 하는 제어시스템 접근단계를 포함하는 것을 특징으로 하는 원격접근 보안인증 방법을 제공한다.In addition, the present invention is an internal system remote access security authentication method for the security authentication of the user when an external user accesses the internal system in order to use the network service of the control system of the internal system in the remote system, the remote system An IP level authentication step of authenticating and analyzing the IP of the user; an ID level authentication step of authenticating the user by receiving an ID and password of the user from the remote system; and transmitting a one-time security password from the in-house system to the user; A one-time security password authentication step of authenticating a user by receiving a one-time security password from a remote system and a control system that checks the user's access rights to the control system network service at the remote system to allow the user to access the control system. Characterized by including an access step It provides remote access security authentication method that.

본 발명의 일 실시형태에서, 상기 원격인증단계는, 휴대폰 문자전송 및 전자우편 중 적어도 어느 하나를 이용하여 상기 사용자에게 보안암호를 전송하는 것일 수 있다.In one embodiment of the present invention, the remote authentication step may be to transmit a security password to the user by using at least one of a mobile phone text transmission and email.

본 발명의 일 실시형태에서, 상기 원격인증단계는, 상기 원격시스템에서 상기 보안암호를 암호화하여 상기 사내시스템에 전송하고, 상기 사내시스템은 이를 복호화하여 상기 사용자를 인증하는 것일 수 있다.In one embodiment of the present invention, the remote authentication step, the remote system may encrypt the security password and transmit it to the in-house system, the in-house system may decrypt it to authenticate the user.

본 발명의 일 실시형태에서, 상기 원격시스템에서 상기 제어시스템에 접근하는 단계는, 상기 원격시스템은 상기 제어시스템의 상기 네트워크 서비스 요청을 SSL레벨과 IP레벨에서 순차적으로 암호화하여 상기 제어시스템 접근수단에 전송하고, 상기 제어시스템 접근수단은 상기 전송된 네트워크 서비스 요청을 IP레벨과 SSL레벨에서 순차적으로 복호화하는 단계를 더 포함하는 것일 수 있다.In one embodiment of the present invention, the step of accessing the control system from the remote system, the remote system encrypts the network service request of the control system at the SSL level and IP level sequentially to the control system access means. The control system access means may further include sequentially decoding the transmitted network service request at an IP level and an SSL level.

이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시형태를 설명한다.Hereinafter, with reference to the accompanying drawings will be described a preferred embodiment of the present invention.

도 2는 본 발명의 일 실시형태에 따른 사내시스템 원격접근 보안인증장치를 포함하는 전체 시스템 개략도이다. 2 is a schematic diagram of an overall system including an in-house system remote access security authentication apparatus according to an embodiment of the present invention.

도 2에 도시된 바와 같이, 본 발명의 일 실시형태에 따른 사내시스템(240) 원격접근 보안인증장치(220)는 인터넷을 통하여 원격시스템(210)과 연결되며, 상기 원격시스템(210)의 IP를 분석하여 등록된 IP인지 체크하는 IP레벨 인증 수단(221)과, 상기 원격시스템(210)으로부터 사용자의 ID, 암호를 입력받아 등록된 ID 및 암호와 일치하는지 여부를 판단하여 상기 사용자를 인증하는 ID레벨 인증 수단(222), 일회성 보안암호를 생성하여 이를 사용자에게 전자우편 또는 사용자의 휴대폰에 SMS로 상기 보안암호를 전송하여 원격시스템(210)을 통하여 보안암호를 입력받아 그 유효성을 판단하여 사용자를 인증하는 일회성 보안암호 인증수단(223) 및 상기 IP레벨 인증수단(221), 상기 ID레벨 인증수단(222) 및 일회성 보안암호 인증수단(223)에 의하여 모든 인증과정을 통과한 사용자에 의하여 보내어진 제어시스템(230)의 네트워크 서비스 접근요청을 받아 상기 사용자의 제어시스템(230) 네트워크 서비스의 접근권한을 점검하여 제어시스템(230)에의 네트워크 서비스에 대한 접근을 제공하는 제어시스템 접근수단(224)을 구비한다.As shown in FIG. 2, the in-house system 240 remote access security authentication apparatus 220 according to an embodiment of the present invention is connected to the remote system 210 through the Internet, and the IP of the remote system 210 is controlled. IP level authentication means 221 for checking whether it is a registered IP by analyzing the ID, and receiving the user's ID and password from the remote system 210 to determine whether it matches the registered ID and password to authenticate the user. ID level authentication means 222, generates a one-time security password and transmits the security password to the user by e-mail or SMS to the user's mobile phone to receive the security password through the remote system 210 to determine the validity of the user One-time security password authentication means 223 and the IP level authentication means 221, the ID level authentication means 222 and the one-time security password authentication means 223 for authenticating the company that passed all the authentication process Access to the control system providing access to the network service to the control system 230 by checking the access right of the control system 230 network service of the user by receiving the network service access request of the control system 230 sent by the user Means 224.

도 3은 본 발명의 일 실시형태에 따른 사내시스템 원격접근 보안인증방법을 나타내는 플로우차트이다.3 is a flowchart showing an in-house system remote access security authentication method according to an embodiment of the present invention.

도 3에서 도시된 바와 같이, 사용자가 원격시스템(210)을 이용하여 인터넷을 통하여 사내시스템(240)에 접근을 시도하면(S301), 원격시스템(210)은 IP정보 등의 IP레벨 인증정보를 IP레벨 인증수단(221)으로 전송하여(S302) 상기 IP정보가 저장된 IP정보와 비교하여 IP레벨에서 사용자 인증 성공 여부를 판단한다(S303). 인증에 성공하지 않으면 인증실패 메시지가 원격시스템(210)으로 전송되면서 종료된다. 상기 IP레벨 인증정보는 상기 원격시스템(210)에서 암호화되고 상기 사내시스템(240)에서 복호화되는 것일 수 있다.As shown in FIG. 3, when the user attempts to access the company system 240 through the Internet using the remote system 210 (S301), the remote system 210 receives IP level authentication information such as IP information. It transmits to the IP level authentication means 221 (S302) and determines whether or not the user authentication is successful at the IP level by comparing the IP information with the stored IP information (S303). If the authentication is not successful, the authentication failure message is sent to the remote system 210 and ends. The IP level authentication information may be encrypted in the remote system 210 and decrypted in the in-house system 240.

IP레벨 인증수단에서 인증이 성공되면, 다음으로 ID 및 패스워드 등의 ID레벨 인증정보의 유효성을 검증한다. 사용자는 원격시스템(210)을 통해 ID 와 암호 등의 ID레벨 인증정보를 입력하게 되고(S304), 입력된 ID레벨 인증정보는 암호화되어 ID레벨 인증수단(222)으로 전송되면 ID레벨 인증수단은 이를 복호화하여 저장된 사용자의 인증정보와 비교하여 ID레벨 인증 여부를 판단한다(S305). 상기 ID레벨 인증정보 패킷을 암호화 및 복호화하는 것은 Radius RFC2868에 의한 것일 수 있다.If authentication is successful in the IP level authentication means, the validity of ID level authentication information such as ID and password is then verified. The user inputs ID level authentication information such as ID and password through the remote system 210 (S304), the input ID level authentication information is encrypted and transmitted to the ID level authentication means 222, the ID level authentication means It is determined whether or not the ID level authentication by decrypting and comparing with the stored authentication information of the user (S305). Encrypting and decrypting the ID level authentication information packet may be by Radius RFC2868.

ID레벨 인증이 성공하지 않으면 다시 ID레벨 인증정보를 받아 인증하는 과정(S304-S305)을 반복한다. 이 경우, 반복회수에 제한을 둘 수 있다.If the ID level authentication is not successful, the process of receiving and authenticating ID level authentication information is repeated (S304-S305). In this case, the number of repetitions can be limited.

ID레벨 인증이 성공하면, 원격시스템(210)에서 일회성 보안암호의 전송방식을 선택하여 일회성 보안암호 인증수단(223)에 선택정보를 전송하고(S306), 일회성 보안암호 인증수단(223)은 일회성 보안암호를 생성(S307)한 다음 이를 상기 선택된 전송방식에 따라 사용자에게 전송한다(S308). 사용자가 전송받은 상기 일회성 보안암호를 원격시스템(210)에 입력하면(S309) 상기 원격시스템(210)은 암호화 하여 일회성 보안암호 인증수단(223)으로 전송하고, 일회성 보안암호 인증수단(223)은 전송된 일회성 보안 암호를 복호화하여 저장된 일회성 보안함호를 비교함으로써 그 유효성을 검증한다(S310). 바람직하게는, 상기 일회성 보안 암호의 암호화 복호화는 Radius RFC2868일 수 있다.If the ID level authentication is successful, the remote system 210 selects the one-time security password transmission method and transmits the selection information to the one-time security password authentication means 223 (S306), and the one-time security password authentication means 223 is one-time. A security password is generated (S307) and then transmitted to the user according to the selected transmission method (S308). When the user inputs the received one-time security password to the remote system 210 (S309), the remote system 210 encrypts and transmits the one-time security password authentication means 223 to the one-time security password authentication means 223. The validity is verified by comparing the stored one-time security code by decrypting the transmitted one-time security code (S310). Preferably, the cryptographic decryption of the one-time security cipher may be Radius RFC2868.

상기 전송방식은 휴대폰의 SMS 전송방식 또는 전자우편 전송방식일 수 있으며, 상기 2가지 전송방식을 모두 이용하여 복수의 일회성 암호를 전송하는 것일 수 있다.The transmission method may be an SMS transmission method or an email transmission method of a mobile phone, and may be to transmit a plurality of one-time passwords using both of the two transmission methods.

일회성 보안암호 인증에 실패하면, 상기 일회성 보안암호 전송방식을 선택하는 것이 반복된다(S306-S310). 이 경우, 반복회수에 제한을 둘 수 있다.If the one-time security password authentication fails, it is repeated to select the one-time security password transmission method (S306-S310). In this case, the number of repetitions can be limited.

사용자에게 전달되는 상기 일회성 보안암호는 암호 노출시에도 한번만 사용 가능하기 때문에 불법 사용자가 재사용할 수 없으며, 휴대폰의 특수한 칩이나 토큰을 사용해야 하는 기존의 방식과 달리 일반 휴대폰과 메일을 통해 전달되므로 별도의 간접비용이 없이 일회용 보안암호의 전송이 가능하여 사용자의 지리적 위치에 관계없이 인증될 수 있다. 요즘과 같이 바이러스 등의 제어시스템의 보안침해 사례가 빈번한 환경에서, 이와 같은 정보의 누출에 대한 보안강화를 통해 라인을 제어하는 시스템들의 안정적인 정비가 가능하게 되어 조업의 안정성을 높여줄 수 있다. The one-time security password that is delivered to the user cannot be reused by an illegal user because it can be used only once when a password is exposed. Unlike the conventional method of using a special chip or token of a mobile phone, the one-time security password is transmitted through a general mobile phone and an e-mail. One-time security passwords can be sent without indirect costs, and can be authenticated regardless of the user's geographic location. In an environment where frequent cases of security infringement of control systems such as viruses, such as these days, the security of the information leakage can be enhanced to enable stable maintenance of the systems that control the line, thereby improving operation stability.

일회성 보안암호 인증에 성공하면, 사용자는 원격시스템(210)을 통하여 제어시스템(230)에 네트워크 서비스를 요청하게 되고(S311), 제어시스템 접근수단(224)에서 상기 사용자가 상기 요청된 네트워크 서비스에 대하여 접근권한이 있는지 체크하고(S312) 접근권한이 있는 경우에 사용자는 상기 네트워크 서비스 요청은 제어시스템(230)로 프록싱되어 상기 네트워크 서비스가 실행되게 된다(S313).If the one-time security password authentication is successful, the user requests a network service to the control system 230 through the remote system 210 (S311), and the user accesses the requested network service from the control system access means 224. If there is an access right (S312), if the user has access rights, the network service request is proxied to the control system 230 to execute the network service (S313).

바람직하게는, 원격시스템(210)에서의 상기 네트워크 서비스를 요청하는 정보는 원격시스템에서(210) SSL로 암호화되고, 다시 IP레벨에서 암호화되어 상기 제어시스템 접근수단(224)에 전송되고, 상기 제어시스템 접근수단(224)는 이를 IP레벨에서 복호화 하고 다시 SSL로 복호화되는 것일 수 있다.Preferably, the information requesting the network service at the remote system 210 is encrypted with SSL at the remote system 210, again at the IP level and transmitted to the control system access means 224, and the control. The system access means 224 may decrypt it at the IP level and then decrypt it again with SSL.

이 때, 제어시스템(230) 네트워크 서비스의 종료 요청이 오는 경우(S314)에는 원격시스템(210)은 제어시스템 네트워크 서비스는 종료되며, 그렇지 않는 경우는 사용자는 제어시스템(230) 네트워크 서비스 요청과정을 반복한다(S311-S314). At this time, when the request for terminating the control system 230 network service comes (S314), the remote system 210 terminates the control system network service. Otherwise, the user performs the control system 230 network service request process. It repeats (S311-S314).

본 발명은 상술한 실시형태 및 첨부된 도면에 의해 한정되는 것이 아니며, 첨부된 청구범위에 의해 한정된다. 따라서, 청구범위에 기재된 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 다양한 형태의 치환, 변형 및 변경이 가능하다는 것은 당 기술분야의 통상의 지식을 가진 자에게는 자명할 것이며, 이 또한 첨부된 청구범위에 기재된 기술적 사상에 속한다 할 것이다.The present invention is not limited by the above-described embodiment and the accompanying drawings, but by the appended claims. Therefore, it will be apparent to those skilled in the art that various forms of substitution, modification, and alteration are possible without departing from the technical spirit of the present invention described in the claims, and the appended claims. Will belong to the technical spirit described in.

상술한 바와 같이, 본 발명에 따르면, 원격시스템의 사용자 인증을 복합화 하고, 일회성 보안암호를 접근 시도시마다 별개로 부여하여 ID와 암호 노출시에도 부정 사용자의 제어시스템 접근을 봉쇄하여 제어시스템의 보안인증을 강화하며, 또한, 각 단계에서 전송되는 데이터를 다중으로 암호화, 복호화 함으로써 바이러스 등의 제어시스템의 보안침해 사례가 빈번한 환경에서, 정보의 누출에 대한 보안강화를 통해 제어시스템들의 안정적인 정비가 가능하게 되어 조업의 안정성을 높여줄 수 있다. As described above, according to the present invention, the user authentication of the remote system is compounded, and a one-time security password is separately provided for each access attempt to block access to the control system of a fraudulent user even when an ID and password are exposed to secure authentication of the control system. In addition, by encrypting and decrypting the data transmitted at each step in multiple times, it is possible to ensure stable maintenance of control systems through security enhancement of information leakage in environments where frequent cases of security infringement of control systems such as viruses are performed. It can increase the stability of the operation.

Claims (8)

외부의 사용자가 원격시스템에서 사내시스템의 제어시스템이 제공하는 네트워크 서비스를 이용하기 위하여 상기 사내시스템에 접근시 상기 사용자의 보안인증을 하기 위한 사내시스템 원격접근 보안인증장치에 있어서,In the internal system remote access security authentication device for the external user to access the internal system in order to use the network service provided by the control system of the internal system in the remote system for the user's security authentication, 상기 원격시스템의 IP를 분석하여 인증하는 IP레벨 인증수단;IP level authentication means for analyzing and authenticating the IP of the remote system; 상기 원격시스템으로부터 사용자의 ID, 암호를 입력받아 상기 사용자를 인증하는 ID레벨 인증수단;ID level authentication means for authenticating the user by receiving the user's ID and password from the remote system; 상기 사내시스템에서 전자우편을 이용하여 상기 사용자에게 일회성 보안암호를 전송하고, 상기 원격시스템으로부터 상기 일회성 보안암호를 입력받아 상기 사용자를 인증하는 일회성 보안암호 인증수단; 및A one-time security password authentication means for transmitting the one-time security password to the user by using the e-mail in the in-house system and receiving the one-time security password from the remote system to authenticate the user; And 상기 IP레벨 인증수단, 상기 ID레벨 인증수단 및 상기 일회성 보안암호 인증수단을 통하여 인증되어 상기 사내시스템에 대해 접근이 허용된 사용자가 상기 원격시스템을 통해 상기 제어시스템이 제공하는 네트워크 서비스를 요청하고, 상기 사용자가 상기 요청된 네트워크 서비스에 대한 접근권한이 있는지 점검하고, 상기 요청된 네트워크 서비스에 대한 접근권한이 있는 경우 상기 요청된 네트워크 서비스에 대한 해당 요청을 상기 제어시스템에 프록싱함으로써 상기 요청된 네트워크 서비스가 실행되게 하는 제어시스템 접근수단;A user who is authenticated through the IP level authentication means, the ID level authentication means, and the one-time security password authentication means to allow access to the internal system requests a network service provided by the control system through the remote system, Check whether the user has access to the requested network service, and if the user has access to the requested network service, proxying the request for the requested network service to the control system, thereby Control system access means for causing a service to be executed; 을 포함하는 것을 특징으로 하는 사내시스템 원격접근 보안인증장치.In-house system remote access security authentication device comprising a. 삭제delete 제1항에 있어서,The method of claim 1, 상기 일회성 보안암호 인증수단은, 상기 원격시스템에서 상기 일회성 보안암호를 암호화하여 상기 사내시스템에 전송하고, 상기 사내시스템은 이를 복호화하여 상기 사용자를 인증하는 것을 특징으로 하는 사내시스템 원격접근 보안인증장치.And said one-time security password authentication means encrypts said one-time security password in said remote system and transmits it to said in-house system, and said in-house system decrypts it to authenticate said user. 제1항에 있어서,The method of claim 1, 상기 원격시스템은 상기 제어시스템의 상기 네트워크 서비스 요청을 SSL레벨과 IP레벨에서 순차적으로 암호화하여 상기 제어시스템 접근수단에 전송하고, 상기 제어시스템 접근수단은 상기 전송된 네트워크 서비스 요청을 IP레벨과 SSL레벨에서 순차적으로 복호화하는 수단을 더 포함하는 것을 특징으로 하는 사내시스템 원격접근 보안인증장치.The remote system sequentially encrypts the network service request of the control system at the SSL level and the IP level, and transmits the network service request to the control system access means, and the control system access means transmits the transmitted network service request to the IP level and the SSL level. In-house system remote access security authentication device further comprising a means for decrypting sequentially. 외부의 사용자가 원격시스템에서 사내시스템의 제어시스템이 제공하는 네트워크 서비스를 이용하기 위하여 상기 사내시스템에 접근시 상기 사용자의 보안인증을 하기 위한 사내시스템 원격접근 보안인증방법에 있어서,In the internal system remote access security authentication method for the external user to access the internal system in order to use the network service provided by the control system of the internal system in the remote system for the security authentication of the user, 상기 원격시스템의 IP를 분석하여 인증하는 IP레벨 인증단계;An IP level authentication step of analyzing and authenticating the IP of the remote system; 상기 원격시스템으로부터 사용자의 ID, 암호를 입력받아 상기 사용자를 인증하는 ID레벨 인증단계;An ID level authentication step of authenticating the user by receiving an ID and a password of the user from the remote system; 상기 사내시스템에서 전자우편을 이용하여 상기 사용자에게 일회성 보안암호를 전송하고, 상기 원격시스템으로부터 상기 일회성 보안암호를 입력받아 사용자를 인증하는 일회성 보안암호 인증단계; 및A one-time security password authentication step of transmitting a one-time security password to the user by using an e-mail in the in-house system and receiving the one-time security password from the remote system to authenticate the user; And 상기 IP레벨 인증단계, 상기 ID레벨 인증단계 및 상기 일회성 보안암호 인증단계를 통하여 인증되어 상기 사내시스템에 대해 접근이 허용된 사용자가 상기 원격시스템을 통해 상기 제어시스템이 제공하는 네트워크 서비스를 요청하고, 상기 사용자가 상기 요청된 네트워크 서비스에 대한 접근권한이 있는지 점검하고, 상기 요청된 네트워크 서비스에 대한 접근권한이 있는 경우 상기 요청된 네트워크 서비스에 대한 해당 요청을 상기 제어시스템에 프록싱함으로써 상기 요청된 네트워크 서비스가 실행되게 하는 제어시스템 접근단계;A user who is authenticated through the IP level authentication step, the ID level authentication step, and the one-time security password authentication step and is allowed to access the internal system requests a network service provided by the control system through the remote system, Check whether the user has access to the requested network service, and if the user has access to the requested network service, proxying the request for the requested network service to the control system, thereby A control system access step of causing a service to be executed; 를 포함하는 것을 특징으로 하는 원격접근 보안인증방법.Remote access security authentication method comprising a. 삭제delete 제5항에 있어서,The method of claim 5, 상기 원격인증단계에서, 상기 원격시스템은 상기 일회성 보안암호를 암호화하여 상기 사내시스템에 전송하고, 상기 사내시스템은 이를 복호화하여 상기 사용자를 인증하는 것을 특징으로 하는 사내시스템 원격접근 보안인증방법.In the remote authentication step, the remote system encrypts the one-time security password and transmits it to the in-house system, and the in-house system decrypts it and authenticates the user. 제5항에 있어서,The method of claim 5, 상기 제어시스템 접근단계에서, 상기 원격시스템은 상기 제어시스템의 상기 네트워크 서비스 요청을 SSL레벨과 IP레벨에서 순차적으로 암호화하여 상기 사내시스템에 전송하고, 상기 사내시스템은 상기 전송된 네트워크 서비스 요청을 IP레벨과 SSL레벨에서 순차적으로 복호화하는 것을 특징으로 하는 사내시스템 원격접근 보안인증방법.In the control system access step, the remote system sequentially encrypts the network service request of the control system at an SSL level and an IP level, and transmits the transmitted network service request to the internal system, and the internal system transmits the transmitted network service request to an IP level. And in-house system remote access security authentication method, characterized in that for decryption sequentially at the SSL level.
KR1020050130176A 2005-12-27 2005-12-27 Device of security and authentication for remote access to process control system and method of the same KR100782695B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020050130176A KR100782695B1 (en) 2005-12-27 2005-12-27 Device of security and authentication for remote access to process control system and method of the same

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020050130176A KR100782695B1 (en) 2005-12-27 2005-12-27 Device of security and authentication for remote access to process control system and method of the same

Publications (2)

Publication Number Publication Date
KR20070068505A KR20070068505A (en) 2007-07-02
KR100782695B1 true KR100782695B1 (en) 2007-12-07

Family

ID=38504389

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050130176A KR100782695B1 (en) 2005-12-27 2005-12-27 Device of security and authentication for remote access to process control system and method of the same

Country Status (1)

Country Link
KR (1) KR100782695B1 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101697575B1 (en) * 2011-06-23 2017-01-19 엘에스산전 주식회사 Remote monitoring system and user interfacing method for digital protective relay
KR20190089127A (en) 2019-07-10 2019-07-30 엘지전자 주식회사 System on chiip, method for operating the system on chip and electronic device including the system on chip

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040065674A (en) * 2003-01-15 2004-07-23 권창훈 Host-based security system and method
KR100441905B1 (en) * 2003-07-26 2004-07-27 주식회사 싸이클롭스 a certification service system utilizing a mobile phone as a tool for generating one time password

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040065674A (en) * 2003-01-15 2004-07-23 권창훈 Host-based security system and method
KR100441905B1 (en) * 2003-07-26 2004-07-27 주식회사 싸이클롭스 a certification service system utilizing a mobile phone as a tool for generating one time password

Also Published As

Publication number Publication date
KR20070068505A (en) 2007-07-02

Similar Documents

Publication Publication Date Title
KR100621420B1 (en) Network connection system
US7155616B1 (en) Computer network comprising network authentication facilities implemented in a disk drive
US6510523B1 (en) Method and system for providing limited access privileges with an untrusted terminal
CN101112039B (en) Wireless network system and communication method for external device to temporarily access wireless network
US8904178B2 (en) System and method for secure remote access
US10594479B2 (en) Method for managing smart home environment, method for joining smart home environment and method for connecting communication session with smart device
CN101297534A (en) Method and apparatus for secure network authentication
KR20030036788A (en) System for protecting objects distributed over a network
KR101314751B1 (en) Apparatus for managing installation of DRM and method thereof
CN109474419A (en) A kind of living body portrait photo encryption and decryption method and encrypting and deciphering system
CN106027473A (en) Identity card reading terminal and cloud authentication platform data transmission method and system
CN102333068B (en) SSH and SFTP (Secure Shell and Ssh File Transfer Protocol)-based tunnel intelligent management and control system and method
CN111583482A (en) Access control system based on two-dimensional code and control method thereof
CN117040741A (en) Method and device for safely transmitting data based on FTTR networking mode
CN104486322A (en) Terminal access authentication authorization method and terminal access authentication authorization system
JP2009033402A (en) Id based cryptographic system, transmission terminal device, distribution server device, and reception terminal device
JP4777693B2 (en) Authentication system, terminal device, authentication device, and authentication method
KR100782695B1 (en) Device of security and authentication for remote access to process control system and method of the same
KR101737895B1 (en) Web server that performs encryption communication on critical information
KR102053993B1 (en) Method for Authenticating by using Certificate
KR20110128371A (en) Mobile authentication system and central control system, and the method of operating them for mobile clients
JP5665592B2 (en) Server apparatus, computer system, and login method thereof
CN111669746B (en) Protection system for information security of Internet of things
KR102308248B1 (en) Encryption Gateway equipped with quantum encryption chip based a quantum random number and method of providing encryption communication service between IoT device using the same
JP2007267064A (en) Network security management system, remote monitoring method in encryption communication, and communication terminal

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
J201 Request for trial against refusal decision
AMND Amendment
B701 Decision to grant
GRNT Written decision to grant
G170 Re-publication after modification of scope of protection [patent]
FPAY Annual fee payment

Payment date: 20121102

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20131129

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20141121

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20151123

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20161129

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20171129

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20181128

Year of fee payment: 12

FPAY Annual fee payment

Payment date: 20191127

Year of fee payment: 13