KR100863644B1 - Authenticating System Between Devices And Creating System Of Secret Key And Method Thereof - Google Patents

Authenticating System Between Devices And Creating System Of Secret Key And Method Thereof Download PDF

Info

Publication number
KR100863644B1
KR100863644B1 KR1020060106551A KR20060106551A KR100863644B1 KR 100863644 B1 KR100863644 B1 KR 100863644B1 KR 1020060106551 A KR1020060106551 A KR 1020060106551A KR 20060106551 A KR20060106551 A KR 20060106551A KR 100863644 B1 KR100863644 B1 KR 100863644B1
Authority
KR
South Korea
Prior art keywords
authentication
modulo
value
module
transmitted
Prior art date
Application number
KR1020060106551A
Other languages
Korean (ko)
Other versions
KR20080038964A (en
Inventor
주성호
임용훈
최문석
김영현
박병석
현덕화
허준
홍충선
Original Assignee
한국전력공사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전력공사 filed Critical 한국전력공사
Priority to KR1020060106551A priority Critical patent/KR100863644B1/en
Publication of KR20080038964A publication Critical patent/KR20080038964A/en
Application granted granted Critical
Publication of KR100863644B1 publication Critical patent/KR100863644B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04BTRANSMISSION
    • H04B3/00Line transmission systems
    • H04B3/54Systems for transmission via power distribution lines
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds

Abstract

전력선 통신(Power Line Communication) 매체접근제어(MAC) 계층에서의 기기 간 인증 및 보안키(secret key) 생성 시스템 그리고 그 방법에 관한 것으로, 더욱 상세하게는 PLC 기기들이 개별적인 인증절차를 수행하여 인가된 기기인지 아닌지를 확인할 수 있을 뿐만 아니라, 상기 인증절차를 통해 생성된 값들을 키생성함수(KGF, Key Generation Function)의 입력 값으로 다시 사용하여 상호간의 보안키를 생성할 수 있는 기기 간 인증 및 보안키 생성 시스템 그리고 그 방법에 관한 것이다.Power Line Communication A system and method for authentication and secret key generation between devices in a MAC layer, and more specifically, PLC devices are authorized by performing individual authentication procedures. In addition to confirming whether the device is a device, authentication and security between devices that can generate mutual security keys by using the values generated through the authentication procedure again as input values of a key generation function (KGF). Key generation system and method thereof.

PLC, 기기인증, 보안키 생성 PLC, device authentication, security key generation

Description

기기 간 인증 및 보안키 생성 시스템 그리고 그 방법. {Authenticating System Between Devices And Creating System Of Secret Key And Method Thereof} Device-to-device authentication and security key generation system and method thereof. {Authenticating System Between Devices And Creating System Of Secret Key And Method Thereof}

도 1은 본 발명의 바람직한 실시예에 따른 기기 간 인증 시스템을 개략적으로 도시한 시스템 구성도이다.1 is a system configuration diagram schematically showing an inter-device authentication system according to a preferred embodiment of the present invention.

도 2는 본 발명의 바람직한 실시예에 따른 기기 간 인증 방법을 개략적으로 도시한 다이어 그램이다.2 is a diagram schematically illustrating a method for authentication between devices according to a preferred embodiment of the present invention.

도 3은 본 발명의 바람직한 실시예에 따른 인증 데이터 전달을 위한 프레임을 프레임 구성도이다.3 is a frame diagram illustrating a frame for transmitting authentication data according to an embodiment of the present invention.

도 4은 본 발명의 바람직한 실시예에 따른 인증 성공 프레임을 도시한 프레임 구성도이다.4 is a frame diagram illustrating an authentication success frame according to a preferred embodiment of the present invention.

도 5은 본 발명의 바람직한 실시예에 따른 인증 실패 프레임을 도시한 프레임 구성도이다.5 is a frame diagram illustrating an authentication failure frame according to a preferred embodiment of the present invention.

도 6은 본 발명의 바람직한 실시예에 따른 보안키 생성 시스템을 개략적으로 도시한 시스템 구성도이다.6 is a system configuration diagram schematically showing a security key generation system according to a preferred embodiment of the present invention.

<도면의 주요부분에 대한 부호의 설명><Description of the symbols for the main parts of the drawings>

10 : 인증기기 110: 인증기기 인증모듈10: authentication device 110: authentication device authentication module

20 : 기기 220 : 기기 인증모듈20: device 220: device authentication module

30 : 보안키 생성모듈30: security key generation module

본 발명은 전력선 통신(Power Line Communication) 매체접근제어(MAC) 계층에서의 기기 간 인증 및 보안키(secret key) 생성 시스템 그리고 그 방법에 관한 것으로, 더욱 상세하게는 PLC 기기들이 개별적인 인증절차를 수행하여 인가된 기기인지 아닌지를 확인할 수 있을 뿐만 아니라, 상기 인증절차를 통해 생성된 값들을 키생성함수(KGF, Key Generation Function)의 입력 값으로 다시 사용하여 상호간의 보안키를 생성할 수 있는 기기 간 인증 및 보안키 생성 시스템 그리고 그 방법에 관한 것이다.The present invention relates to an inter-device authentication and secret key generation system and method thereof in a Power Line Communication (MAC) layer, and more particularly, PLC devices perform individual authentication procedures. Not only whether the device is authorized or not, but also between devices that can generate mutual security keys by using the values generated through the authentication procedure as input values of a key generation function (KGF). Authentication and security key generation system and method thereof.

현재 KS X 4600-1 규격에서 PLC 네트워크에서의 데이터 통신에는 보안을 위하여 56-비트 DES 방식의 암호화가 사용한다. 동일한 물리적 네트워크 상에 공존하는 셀들을 구분해 주는 역할을 하는 것은 46-비트 길이의 GID로서 이는 동일한 물리적 네트워크 내에 무한개의 서로 다른 셀들이 공존할 수 있음을 의미한다. GID가 동일한 경우에만 스테이션들 간의 통신이 허용된다. In the current KS X 4600-1 standard, 56-bit DES encryption is used for data communication in a PLC network for security. It is a 46-bit long GID that distinguishes cells that coexist on the same physical network, which means that infinite number of different cells can coexist in the same physical network. Communication between stations is allowed only if the GIDs are identical.

이와 같이 동일 셀에 속한 스테이션들은 암호화 키를 공유하며 56-비트 DES 방식의 암호화를 통해 데이터 통신에 대한 더욱 확고한 보안을 보장한다. 그러나, 이러한 방법을 사용하게 되면 새롭게 PLC망이 구성될 경우 관리자에 의한 수정이 모든 기기에 대하여 필요하게 되며, 같은 그룹에 존재하는 모든 기기들이 동일한 보안키를 사용한다면 외부로부터의 공격에 쉽게 노출될 수 있다. DES 알고리즘을 사용해 암호화 할 경우 송신기의 가장 앞부분에 암호화(Encryption) 모듈을 사용하여 데이터를 암호화한 후 전송하게 된다. As such, stations belonging to the same cell share an encryption key, and 56-bit DES encryption ensures stronger security for data communication. However, using this method, if a new PLC network is configured, modification by the administrator is required for all devices, and if all devices in the same group use the same security key, they may be easily exposed to attacks from the outside. Can be. When encrypting using the DES algorithm, the data is encrypted and transmitted using an encryption module at the front of the transmitter.

DES 알고리즘의 경우 64비트의 값을 입력받아 실제 key를 사용하여 연산을 할 때는 56비트 기반으로 연산하고 있으나 DES 알고리즘을 사용하여 암호화/복호화 과정을 수행하려고 하면 인가된 기기는 64비트의 보안키를 공유해야 한다. In the case of the DES algorithm, when the 64-bit value is input and the operation is performed using the actual key, the 56-bit operation is performed. However, when the encryption / decryption process is performed using the DES algorithm, the authorized device uses the 64-bit security key. Must share

또한, 기기 간 인증과정을 통해 인가된 기기만이 네트워크를 구성하고 PLC 기술을 사용해 데이터를 전송할 수 있도록 해야 함에도 불구하고, 현재까지의 PLC 기술은 기기 간 인증을 위한 어떠한 방법도 제시하지 않고 있다.In addition, despite the need to allow only authorized devices to form a network and transmit data using PLC technology through the device-to-device authentication process, the PLC technology to date does not present any method for device-to-device authentication.

상기와 같은 문제점을 해결하기 위해 안출된 것으로써, 본 발명의 목적은 PLC 기기들이 개별적으로 인증절차를 수행하여 인가된 기기인지 아닌지를 확인할 수 있고, 인증절차를 통해 생성된 값들을 키생성함수(KGF, Key Generation Function)의 입력 값으로 다시 사용하여 상호간의 고유한 보안키를 생성할 수 있는 기기 간 인증 및 보안키 생성 시스템 그리고 그 방법을 제공하는 데 있다.In order to solve the above problems, an object of the present invention is to verify whether or not the PLC device is an authorized device by performing the authentication procedure individually, and the key generation function ( The present invention provides a system for authentication and security key generation between devices that can generate unique security keys by using them again as input values for KGF (Key Generation Function) and methods.

상기와 같은 목적을 달성하기 위해 본 발명에 따른 기기 간 인증 시스템은 각종 기기 간에 인증을 수행하는 시스템에 있어서, 인증기기와 기기 간에 공유값(초기값a modulo p)을 공유하고 램덤 값 x {1,2,...,p-1}를 선택하여 ax를 계산하여 계산값을 기기에 전송하고, 기기로부터 전송된 ay값으로부터 (ay)x를 계산하여 기기로부터 전송된 (ax)y 값과 일치하는지 여부를 확인하여 인증을 수행하는 인증기기 인증모듈과 인증기기와 기기 간에 공유값(초기값a modulo p)를 공유하고 램덤 값 y {1,2,...,p-1}를 선택하여 ay를 계산하여 계산값을 인증기기에 전송하고, 인증기기로부터 전송된 ax값으로부터 (ax)y를 계산하여 인증기기로 전송하는 기기 인증모듈을 포함하는 것을 특징으로 한다.In order to achieve the above object, the inter-device authentication system according to the present invention is a system for performing authentication between various devices, wherein the shared value (initial value: modulo p) is shared between the authentication device and the device, and a random value x {1 , 2, ..., p-1} to calculate a x and send the calculated value to the device, and calculate (a y ) x from the a y value sent from the device to send (a x ) The shared value (initial value: modulo p) is shared between the authentication device authentication module and the authentication device and the device performing authentication by checking whether or not it matches y value, and the random value y {1,2, ..., p- 1} to calculate the a y to transmit the calculated value to the authentication device, characterized in that it comprises a device authentication module for calculating (a x ) y from the a x value transmitted from the authentication device to transmit to the authentication device do.

여기서, 상기 인증기기 인증모듈은 일치하는 경우 인증 성공 구분자를 포함하는 인증 성공 프레임을 전송하고, 일치하지 않는 경우 인증 실패 구분자를 포함하는 인증 실패 프레임을 기기에 전송하여 인증을 확인하는 것을 특징으로 한다.In this case, the authentication device authentication module transmits an authentication success frame including an authentication success separator when it matches, and verifies authentication by transmitting an authentication failure frame including an authentication failure separator to the device. .

한편, 본 발명에 따른 보안키 생성 시스템은 제 1항 또는 제 2항의 인증 시스템에 의해 수행되는 순차적인 계산값 중 수학식 1에 따른 8개의 값을 8비트로 변환하여 64비트 보안키를 생성하는 보안키 생성모듈을 포함하는 것을 특징으로 한다.On the other hand, the security key generation system according to the present invention is a security that generates a 64-bit security key by converting the eight values according to the equation (1) of the sequential calculation values performed by the authentication system of claim 1 or 8 to 8 bits Characterized in that it comprises a key generation module.

<수학식 1><Equation 1>

a1 (modulo p), a2 (modulo p), a3 (modulo p), a4 (modulo p), a5 (modulo p), a6 (modulo p), a7 (modulo p), a8 (modulo p)a 1 (modulo p), a 2 (modulo p), a 3 (modulo p), a 4 (modulo p), a 5 (modulo p), a 6 (modulo p), a 7 (modulo p), a 8 (modulo p)

한편, 본 발명에 따른 기기 간 인증 방법은 인증기기와 기기 간에 공유값(초기값 a modulo p)을 공유하고 인증기기 인증모듈이 램덤 값 x를 선택하여 ax를 계산하여 기기로 전송하는 단계와 기기 인증모듈이 랜덤 값 y를 선택하여 ay를 계산하여 인증기기로 전송하는 단계와 상기 기기 인증모듈이 인증기기로부터 전송된 ax로부터 (ax)y를 계산하여 인증기기로 전송하는 단계와 상기 인증기기 인증모듈이 기기로부터 전송된 ay로부터 (ay)x를 계산하여 상기 기기로부터 전송된 (ax)y 값과 일치 여부를 확인하여 인증을 수행하는 단계를 포함하는 것을 특징으로 한다.On the other hand, the authentication method between devices according to the present invention comprises the steps of sharing a shared value (initial value a modulo p) between the authentication device and the device and the authentication device authentication module selects a random value x and calculates a x and sends it to the device; The device authentication module selects a random value y to calculate a y and sends it to the authentication device. The device authentication module calculates (a x ) y from a x transmitted from the authentication device and sends it to the authentication device. characterized by comprising the steps of: from a y transmitted from the authentication device, the authentication module unit to calculate x (a y) determine the (a x) y values match transmitted from the device to authenticate .

여기서, 상기 인증을 수행하는 단계는 기기로부터 전송된 (ax)y 값과 (ay)x 값이 일치하는 경우 인증 성공 구분자를 포함하는 인증성공 프레임을 생성하여 기기로 전송하고, 불일치하는 경우 인증 실패 구분자를 포함하는 인증실패 프레임을 생성하여 기기로 전송하는 것을 특징으로 한다.Here, in the performing of the authentication, if the (a x ) y value and the (a y ) x value transmitted from the device match, generate an authentication success frame including an authentication success delimiter and transmit it to the device, and if there is a mismatch And generating an authentication failure frame including an authentication failure identifier and transmitting the same to the device.

또한, 본 발명에 따른 보안키 생성 방법은 제 4항 또는 제 5항의 인증 방법을 통한 순차적인 계산값 중 보안키 생성모듈이 수학식 1에 해당하는 8개 값의 추출하는 단계와 상기 추출된 8개 값을 8비트로 변환하여 64비트의 보안키를 생성하는 것을 특징으로 한다.In addition, the security key generation method according to the present invention comprises the steps of extracting the eight values corresponding to Equation 1 of the security key generation module of the sequential calculation values through the authentication method of claim 4 or claim 5 and the extracted 8 Converts the values into 8 bits to generate a 64-bit security key.

<수학식 1> <Equation 1>

a1 (modulo p), a2 (modulo p), a3 (modulo p), a4 (modulo p), a5 (modulo p), a6 (modulo p), a7 (modulo p), a8 (modulo p)a 1 (modulo p), a 2 (modulo p), a 3 (modulo p), a 4 (modulo p), a 5 (modulo p), a 6 (modulo p), a 7 (modulo p), a 8 (modulo p)

이하, 본 발명의 구체적인 구성 및 작용에 대하여 도면 및 실시예를 참조하여 상세하게 설명하기로 한다.Hereinafter, the specific configuration and operation of the present invention will be described in detail with reference to the drawings and the embodiments.

도 1은 본 발명의 바람직한 실시예에 따른 기기 간 인증 시스템을 개략적으로 도시한 시스템 구성도이다.1 is a system configuration diagram schematically showing an inter-device authentication system according to a preferred embodiment of the present invention.

도 1을 참조하면, 본 발명에 따른 기기 간 인증 시스템은 기기(10)와 인증기기(20) 간에 인증을 수행하는 인증기기 인증모듈(110)과 기기 인증모듈(210)을 포함하여 구성된다.Referring to FIG. 1, the inter-device authentication system according to the present invention includes an authentication device authentication module 110 and a device authentication module 210 for performing authentication between the device 10 and the authentication device 20.

상기 인증모듈은 공유값(초기 값 a, modulo p)을 가지고 있고, 랜덤 넘버를 생성하고 본 발명에 따른 연산을 수행할 수 있는 프로그램을 구비하고 있다. 이러한 값을 인자로 생성된 값을 상대 기기에 전송하고, 그 값을 비교하여 인증기능을 수행한다.The authentication module has a shared value (initial value a, modulo p), and has a program for generating a random number and performing an operation according to the present invention. The value generated as a factor is transmitted to the external device, and the value is compared to perform an authentication function.

도 2는 본 발명의 바람직한 실시예에 따른 기기 간 인증 방법을 개략적으로 도시한 다이어 그램이고, 도 3은 본 발명의 바람직한 실시예에 따른 인증 데이터 전달을 위한 프레임을 프레임 구성도이다.2 is a diagram schematically showing a method for authentication between devices according to a preferred embodiment of the present invention, Figure 3 is a frame configuration frame for the authentication data transmission in accordance with a preferred embodiment of the present invention.

기기 간 인증은 특정 기기에 한정되는 것이 아니지만 도 2에서는 인증기기(Authenticator)와 PLC 기기(Device) 간을 예로 설명하고 있다.  Although device-to-device authentication is not limited to a specific device, FIG. 2 illustrates an example between an authenticator and a PLC device.

도 2 및 도 3을 참조하면, 설계된 메커니즘에서 인가된 모든 기기는 동일한 두 개의 요소 값(초기 값 a, modulo p) 를 공유해야 한다. 기기 간 인증 메커니즘을 절차는 다음과 같다.2 and 3, in the designed mechanism, all devices authorized must share the same two element values (initial value a, modulo p). The procedure for authentication between devices is as follows.

예를 들어, 인가된 기기들이 modulo p를 공유하고 있다면, 초기 값 a에 따른 ai(modulo p){단, i=1,2,....,p-1} 값은 하기 <표-1>과 같은 결과를 나타내게 된다.For example, if authorized devices share a modulo p, a i (modulo p) {where i = 1,2, ...., p-1} according to the initial value a is given in the following table. 1> result.

여기서, modulo 연산은 최초의 연산수를 제2의 연산수로 나누었을 때의 나머지를 결과로 하는 산술 연산을 말하며, 예를 들어 7 modulo 5인 경우 연산값은 2가 된다.Here, the modulo operation is an arithmetic operation that results in the remainder when the first operation is divided by the second operation. For example, in the case of 7 modulo 5, the operation value is 2.

aa a1 a 1 a2 a 2 a3 a 3 a4 a 4 a5 a 5 a6 a 6 a7 a 7 a8 a 8 a9 a 9 1One 1One 1One 1One 1One 1One 1One 1One 1One 1One 22 44 88 55 1010 99 77 33 66 1One 33 99 55 44 1One 33 99 55 44 1One 44 55 99 33 1One 44 55 99 33 1One 55 33 44 99 1One 55 33 44 99 1One 66 33 77 99 1010 55 88 44 22 1One 77 55 22 33 1010 44 66 99 88 1One 88 99 66 44 1010 33 22 55 77 1One 99 44 33 55 1One 99 44 33 55 1One 1010 1One 1010 1One 1010 1One 1010 1One 1010 1One

이후, 인증기기 인증모듈(110)은 랜덤 값 x, 기기 인증모듈(210)은 랜덤 값 y를 정해진 범위 1,2,...,p-1안에서 선택한다.Thereafter, the authentication device authentication module 110 selects a random value x and the device authentication module 210 selects a random value y within a predetermined range 1,2, ..., p -1.

예를 들어, 인증기기와 기기가 초기값 a=2, p=11를 공유하고, 만약 인증기기인증모듈이 가 x=2, 기기 인증모듈이 y=4를 랜덤하게 선택한다. For example, the authentication device and the device share initial values a = 2, p = 11, and if the authentication device authentication module selects x = 2 and the device authentication module randomly selects y = 4.

선택된 랜덤 값을 사용해 인증기기 인증모듈(110)은 a x 를, 기기 인증모듈(210)은 a y 를 계산하여 인증기기로 전송한다. 상기 예에서, 인증기기 인증모듈(110)은 ax = 4를 계산하고, 기기 인증모듈(210)은 ay=16을 계산하여 그 결과를 상호 전송한다.Using the selected random value, the authentication device authentication module 110 calculates a x and the device authentication module 210 calculates a y and transmits it to the authentication device. In the above example, the authentication device authentication module 110 calculates a x = 4, and the device authentication module 210 calculates a y = 16 and mutually transmit the result.

이어서, 인증기기 인증모듈(110)은 자신이 생성한 값과 기기(20)로부터 수신한 값을 통해 (a y ) x 를, 기기 인증모듈(210)은 인증기기(10)로부터 수신한 값을 통해 (a x ) y 를 계산하여 생성한다.Subsequently, the authentication device authentication module 110 receives ( a y ) x through the values generated by itself and the value received from the device 20, and the device authentication module 210 receives the value received from the authentication device 10. Is generated by calculating ( a x ) y .

상기예에 따른 계산 과정은 하기 표 2과 같다.The calculation process according to the above example is shown in Table 2 below.

Figure 112006079775331-pat00001
Figure 112006079775331-pat00001

인증기기 인증모듈(110)는 기기(20)로부터 ay값(8)을 전송받아 (ay)x= (16)2 를 modulo 연산에 의해 계산하면 (256 modulo 11) = 3이된다. 한편, 기기 인증모듈(210)는 인증기기(10)로부터 ax 값(16)을 전송받아 (a x ) y = (4)4을 modulo 연산에 의해 계산하면 (256 modulo 11) = 3이 된다.The authentication device authentication module 110 receives the a y value 8 from the device 20 and calculates (a y ) x = (16) 2 by modulo operation (256 modulo 11) = 3. On the other hand, if the device authentication module 210 receives the a x value 16 from the authentication device 10 and calculates ( a x ) y = (4) 4 by modulo operation (256 modulo 11) = 3 .

기기(20)가 (a x ) y 값을 인증기기(10)에 전송하면, 인증기기 인증모듈(110)은 자신이 생성한 (a y ) x 값과 비교하여 3이라는 값이 일치하면 ‘인증 성공’ 메시지를 일치하지 않으면 ‘인증 실패’ 메시지를 기기(10)에 전송하여 인증을 수행한다.When the device 20 transmits ( a x ) y value to the authentication device 10, the authentication device authentication module 110 compares the ( a y ) x value generated by the device 20 with a value of 3 to verify the authentication. If the message does not match, 'Authentication failed' message is transmitted to the device 10 to perform authentication.

본 발명은 한국산업규격 KS X 4600-1의 MAC 계층 규격을 기반으로 하므로 전송되는 프레임이 인증을 위한 프레임인 것을 표시해야 하고, 또한 인증성공과 인증실패를 전달할 수 있는 프레임이 정의되어야 한다. 따라서, 하기 <표3> 같이 새로운 구분자를 정의한다. Since the present invention is based on the MAC layer standard of Korean Industrial Standard KS X 4600-1, it should indicate that the transmitted frame is a frame for authentication, and also a frame capable of transmitting authentication success and authentication failure should be defined. Therefore, a new delimiter is defined as shown in Table 3 below.

구분자 형태Separator type 정의Justice PSDU 길이PSDU length 000000 유니캐스트 데이터Unicast data Long PSDULong PSDU 010010 관리management Long PSDULong PSDU 011011 브로드캐스트 데이터Broadcast data Long PSDULong PSDU 101101 응답answer Short PSDUShort PSDU 001001 인증 데이터Authentication data Long PSDULong PSDU 100100 인증 성공Authentication success ShortShort PSDUPSDU 110110 인증 실패Authentication failed ShortShort PSDUPSDU

상기 <표3> 에서 굵은선 처리된 3개의 구분자가 새롭게 정의한 프레임이며,굵은선 처리되지 않은 부분은 기존 규격에서 사용하고 있는 구분자이다. 새롭게 추가된 프레임의 구분자는 기존 규격에서 사용가능한 구분자로 기술되어 있는 부분을 사용한다.In Table 3, the three delimiters processed by the thick line are newly defined frames, and the part not processed by the thick line is the delimiter used in the existing standard. The delimiter of the newly added frame uses the part described as the delimiter available in the existing standard.

<표3> 같이 구분자‘001’은 기기 간 인증을 위해 교환되는 프레임이다. 따라서, 인증값이 전달되어야 하므로 PSDU는 Long PSDU가 되어야 한다. 이러한 방법으로 새롭게 정의된 프레임의 상세 내용은 도 3과 같으므로 구체적인 설명은 생략하기로 한다.As shown in <Table 3>, the separator '001' is a frame exchanged for authentication between devices. Therefore, since the authentication value must be delivered, the PSDU must be a Long PSDU. Details of the frame newly defined in this manner are the same as in FIG. 3, and thus a detailed description thereof will be omitted.

상기와 같은 <표3>을 바탕으로 상기 인증절차에서 인증기기 인증모듈(110)은 (a x ) y 값과 (a y ) x 값을 비교하여 인증이 성공되었는지 아니면 인증이 실패되어 PLC 네트워크에 포함시킬 수 없는 지의 결과를 전송해 주어야 하며, 이를 위해 일치하는 경우 인증 성공 프레임을 일치하지 않는 경우 인증 실패 프레임을 생성하여 기기(20)에 전송한다.Based on the Table 3, the authentication device authentication module 110 compares ( a x ) y values with ( a y ) x values in the authentication process to determine whether the authentication succeeds or fails to authenticate to the PLC network. The result of whether or not to be included should be transmitted, and if this is the case, if the authentication success frame does not match, an authentication failure frame is generated and transmitted to the device 20.

도 4는 본 발명의 바람직한 실시예에 따른 인증 성공 프레임을 도시한 프레임 구성도이고, 도 5는 본 발명의 바람직한 실시예에 따른 인증 실패 프레임을 도시한 프레임 구성도이다.4 is a frame diagram showing an authentication success frame according to a preferred embodiment of the present invention, Figure 5 is a frame diagram showing an authentication failure frame according to a preferred embodiment of the present invention.

도 4 및 도 5를 참조하면, 인증 성공 프레임은 인증 성공 구분자(control frame : 100)를 포함하고 short PSDU로 기기(20)에 전송되어 인증 성공이 확인 된다. 한편, 인증 실패 프레임은 인증 실패 구분자(control frame : 110)를 포함하고 short PSDU로 기기(20)에 전송되어 인증 실패가 확인된다.4 and 5, the authentication success frame includes an authentication success identifier (control frame 100) and is transmitted to the device 20 as a short PSDU to confirm the authentication success. Meanwhile, the authentication failure frame includes an authentication failure identifier (control frame 110) and is transmitted to the device 20 as a short PSDU to confirm the authentication failure.

도 6은 본 발명의 바람직한 실시예에 따른 보안키 생성 시스템을 개략적으로 도시한 시스템 구성도이다.6 is a system configuration diagram schematically showing a security key generation system according to a preferred embodiment of the present invention.

도 6을 참조하면, 본 발명에 따른 보안키 생성 시스템은 인증 과정에서 생성되는 값을 입력 값으로 하여 두 기기 간 공유키를 생성하는 키생성함수(Key Generation Function)를 구비하는 보안키 생성모듈(30)을 포함하여 구성된다. 이렇게 생성된 보안키는 데이터를 암호화하는 키로 사용된다.Referring to FIG. 6, the security key generation system according to the present invention includes a security key generation module having a key generation function for generating a shared key between two devices using a value generated during the authentication process as an input value ( 30). The generated security key is used as a key for encrypting data.

보다 구체적으로, 앞서, 기기 간 인증을 위해 두 기기는 랜덤 값을 생성하고 이를 통해 연산되고 교환된 결과를 통해 인증 절차를 수행하는 메커니즘을 설명하였다. 이 메커니즘에서 두 기기는 순차적인 계산 값을 가지게 된다. 따라서, 이러한 순차적 값들 중 하기 수학식1과 같은 처음 8개의 값을 각 8비트의 값으로 변환하면 도 6과 같이 64비트의 고유의 보안키를 생성할 수 있게 된다.More specifically, the foregoing has described a mechanism for performing authentication process based on a result of calculating and exchanging random values through two devices for authentication between devices. In this mechanism, both devices have sequential calculations. Therefore, when the first eight values, such as Equation 1, among these sequential values are converted into 8-bit values, a unique 64-bit security key can be generated as shown in FIG.

<수학식 1><Equation 1>

- a 1 (modulo p), a 2 (modulo p), a 3 (modulo p), a 4 (modulo p), a 1 (modulo p ), a 2 (modulo p ), a 3 (modulo p ), a 4 (modulo p ),

a 5 (modulo p), a 6 (modulo p), a 7 (modulo p), a 8 (modulo p) a 5 (modulo p ), a 6 (modulo p ), a 7 (modulo p ), a 8 (modulo p )

PLC 망에서의 기기 간 인증이란 인가된 PLC 기기를 확인하기 위한 절차를 말한다. 기기 간 인증에서 가장 중요한 부분은 사용자가 특정 절차를 수행하지 않아도 기기 간의 능동적인 절차에 따라 수행되어야 한다는 것이다. Device-to-device authentication in a PLC network refers to a procedure for checking an authorized PLC device. The most important part of device-to-device authentication is that a user must perform a proactive procedure between devices without having to perform a specific procedure.

현재까지의 대부분의 기술에서 사용되는 인증방식은 관리자에 의한 수동적 인증이나 접속을 인가할 기기들의 리스트 (Access Control List)를 미리 입력하여 인증하는 제한적 방식이다. 그러나, 본 발명에서 제시하는 인증방법은 능동적이고 확장 가능하여 PLC 네트워크를 구성하기 위한 안전하고 효율적인 방법이라 할 수 있다. The authentication method used in most technologies up to now is a limited method of authenticating by inputting an access control list in advance for manual authentication by an administrator or access. However, the authentication method proposed in the present invention can be said to be a safe and efficient method for constructing a PLC network since it is active and extensible.

또한, 본 발명에서 제시하는 보안키 생성 시스템의 경우 그룹에 존재하는 모든 PLC 기기가 동일한 보안키를 사용하는 것이 아니라 초기 기기 인증 시 랜덤하게 생성되는 값을 사용하므로 두 기기의 고유한 보안키를 생성할 수 있어 안전한 네트워크를 구성할 수 있게 한다. In addition, in the security key generation system proposed in the present invention, since all PLC devices in the group do not use the same security key but use randomly generated values during initial device authentication, unique security keys of the two devices are generated. It allows you to build a secure network.

이상에서 설명한 본 발명의 상세한 설명에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 본 발명의 보호범위는 상기 실시예에 한정되는 것이 아니며, 해당 기술분야의 통상의 지식을 갖는 자라면 본 발명의 사상 및 기술영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.Although the detailed description of the present invention described above has been described with reference to the preferred embodiment of the present invention, the protection scope of the present invention is not limited to the above embodiment, and those skilled in the art will appreciate It will be understood that various modifications and changes can be made in the present invention without departing from the spirit and scope of the invention.

Claims (6)

각종 기기 간 인증 시스템에 있어서,In the authentication system between various devices, 인증기기와 기기 간에 초기값(a, modulo p)를 공유하고, 램덤 값 x를 정해진 범위인 {1,2,...,p-1}에서 선택한 후 ax(modulo p)를 계산하여 계산값을 기기에 전송하고, 기기로부터 전송된 ay(modulo p)값으로부터 (ay)x(modulo p)를 계산하여 기기로부터 전송된 (ax)y (modulo p)값과 일치하는지 여부를 확인하여 인증을 수행하는 인증기기 인증모듈과;The initial value (a, modulo p) is shared between the authentication device and the device.The random value x is selected from the specified range {1,2, ..., p-1}, and then calculated by calculating a x (modulo p). Transmits the value to the device, calculates (a y ) x (modulo p) from the a y (modulo p) value sent from the device, and confirms whether it matches the (a x ) y (modulo p) value sent from the device. An authentication device authentication module for verifying and performing authentication; 인증기기와 기기 간에 초기값(a, modulo p)를 공유하고, 램덤 값 y를 상기 정해진 범위인 {1,2,...,p-1}에서 선택한 후 ay(modulo p)를 계산하여 계산값을 인증기기에 전송하고, 인증기기로부터 전송된 ax(modulo p)값으로부터 (ax)y(modulo p)를 계산하여 인증기기로 전송하는 기기 인증모듈을 포함하되,The initial value (a, modulo p) is shared between the authentication device and the device, the random value y is selected from the predetermined range {1,2, ..., p-1}, and then a y (modulo p) is calculated. And a device authentication module for transmitting the calculated value to the authentication device, calculating (a x ) y (modulo p) from the a x (modulo p) value transmitted from the authentication device, and transmitting the calculated value to the authentication device. 상기 인증 시스템에 의해 수행되는 순차적인 계산값 중 수학식 1에 따른 8개의 값을 8비트로 변환하여 64비트 보안키를 생성하는 보안키 생성모듈을 더 포함하는 것을 특징으로 하는 기기 간 인증 시스템.And a security key generation module for generating a 64-bit security key by converting eight values according to Equation 1 into 8 bits among sequential calculation values performed by the authentication system. <수학식 1><Equation 1> a1 (modulo p), a2 (modulo p), a3 (modulo p), a4 (modulo p), a5 (modulo p), a6 (modulo p), a7 (modulo p), a8 (modulo p)a 1 (modulo p), a 2 (modulo p), a 3 (modulo p), a 4 (modulo p), a 5 (modulo p), a 6 (modulo p), a 7 (modulo p), a 8 (modulo p) 제 1항에 있어서,The method of claim 1, 상기 인증기기 인증모듈은The authentication device authentication module 일치하는 경우 인증 성공 구분자를 포함하는 인증 성공 프레임을 전송하고, 일치하지 않는 경우 인증 실패 구분자를 포함하는 인증 실패 프레임을 기기에 전송하여 인증을 확인하는 것을 특징으로 하는 기기 간 인증 시스템.If it matches, the authentication success frame including the authentication success delimiter is transmitted, and if it does not match, the authentication device between the device characterized in that the authentication by sending an authentication failure frame containing the authentication failure delimiter to the device to verify the authentication. 삭제delete 인증기기와 기기 간에 초기값(a, modulo p)를 공유하고, 인증기기 인증모듈이 랜덤 값 x를 선택하여 ax(modulo p)를 계산하여 기기로 전송하는 단계와;Sharing an initial value (a, modulo p) between the authentication device and the device, and the authentication device authentication module selects a random value x, calculates a x (modulo p), and sends it to the device; 기기 인증모듈이 랜덤 값 y를 선택하여 ay(modulo p)를 계산하여 인증기기로 전송하는 단계와;Selecting, by the device authentication module, a random value y, calculating a y (modulo p), and transmitting the calculated mod y to the authentication device; 상기 기기 인증모듈이 인증기기로부터 전송된 ax(modulo p)로부터 (ax)y(modulo p)를 계산하여 인증기기로 전송하는 단계와;Calculating, by the device authentication module, (a x ) y (modulo p) from a x (modulo p) transmitted from the authentication device and transmitting the calculated to the authentication device; 상기 인증기기 인증모듈이 기기로부터 전송된 ay(modulo p)로부터 (ay)x(modulo p)를 계산하여 상기 기기로부터 전송된 (ax)y (modulo p)값과 일치 여부를 확인하여 인증을 수행하는 단계를 포함하는 기기 간 인증 방법으로서,To make the authentication device, the authentication module, the value by calculating (a y) x (modulo p ) from a y (modulo p) transmitted from the device A (a x) y (modulo p ) transmitted from the device and match A device-to-device authentication method comprising performing authentication, 상기 인증 방법을 통한 순차적인 계산값 중 보안키 생성모듈이 수학식 1에 해당하는 8개 값의 추출하는 단계와;Extracting, by the security key generation module, eight values corresponding to Equation 1 from the sequentially calculated values through the authentication method; 상기 추출된 8개 값을 8비트로 변환하여 64비트의 보안키를 생성하는 단계를 더 포함하는 것을 특징으로 하는 기기 간 인증 방법.And converting the extracted eight values into 8 bits to generate a 64-bit security key. <수학식 1><Equation 1> a1 (modulo p), a2 (modulo p), a3 (modulo p), a4 (modulo p), a5 (modulo p), a6 (modulo p), a7 (modulo p), a8 (modulo p)a 1 (modulo p), a 2 (modulo p), a 3 (modulo p), a 4 (modulo p), a 5 (modulo p), a 6 (modulo p), a 7 (modulo p), a 8 (modulo p) 제 4항에 있어서,The method of claim 4, wherein 상기 인증을 수행하는 단계는Performing the authentication 기기로부터 전송된 (ax)y (modulo p)값과 (ay)x (modulo p)값이 일치하는 경우 인증 성공 구분자를 포함하는 인증성공 프레임을 생성하여 기기로 전송하고, 불 일치하는 경우 인증 실패 구분자를 포함하는 인증실패 프레임을 생성하여 기기로 전송하는 것을 특징으로 하는 기기 간 인증 방법.When the (a x ) y (modulo p) value and the (a y ) x (modulo p) value transmitted from the device are matched, an authentication success frame including an authentication success identifier is generated and transmitted to the device. The authentication method between devices, characterized in that for generating an authentication failure frame including an authentication failure identifier to transmit to the device. 삭제delete
KR1020060106551A 2006-10-31 2006-10-31 Authenticating System Between Devices And Creating System Of Secret Key And Method Thereof KR100863644B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020060106551A KR100863644B1 (en) 2006-10-31 2006-10-31 Authenticating System Between Devices And Creating System Of Secret Key And Method Thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020060106551A KR100863644B1 (en) 2006-10-31 2006-10-31 Authenticating System Between Devices And Creating System Of Secret Key And Method Thereof

Publications (2)

Publication Number Publication Date
KR20080038964A KR20080038964A (en) 2008-05-07
KR100863644B1 true KR100863644B1 (en) 2008-10-15

Family

ID=39647337

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060106551A KR100863644B1 (en) 2006-10-31 2006-10-31 Authenticating System Between Devices And Creating System Of Secret Key And Method Thereof

Country Status (1)

Country Link
KR (1) KR100863644B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101701202B1 (en) 2016-11-01 2017-02-06 큐브바이트 주식회사 Security authentication system and method using a plurality of paging code units

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040013966A (en) * 2002-08-09 2004-02-14 한국전자통신연구원 Authentication and key agreement scheme for mobile network
US6703923B2 (en) 2001-04-18 2004-03-09 Thomson Licensing S.A. Apparatus for providing security on a powerline-modem network
US6910129B1 (en) 1999-12-24 2005-06-21 Kent Ridge Digital Labs Remote authentication based on exchanging signals representing biometrics information
US20060190730A1 (en) 2005-02-22 2006-08-24 Ryuichi Iwamura Secure device authentication

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6910129B1 (en) 1999-12-24 2005-06-21 Kent Ridge Digital Labs Remote authentication based on exchanging signals representing biometrics information
US6703923B2 (en) 2001-04-18 2004-03-09 Thomson Licensing S.A. Apparatus for providing security on a powerline-modem network
KR20040013966A (en) * 2002-08-09 2004-02-14 한국전자통신연구원 Authentication and key agreement scheme for mobile network
US20060190730A1 (en) 2005-02-22 2006-08-24 Ryuichi Iwamura Secure device authentication

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
A. Menezes외 2명, Handbook of Applied Cryptography, pp.515-517, CRC Press (1996)*

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101701202B1 (en) 2016-11-01 2017-02-06 큐브바이트 주식회사 Security authentication system and method using a plurality of paging code units

Also Published As

Publication number Publication date
KR20080038964A (en) 2008-05-07

Similar Documents

Publication Publication Date Title
KR101095239B1 (en) Secure communications
CN103746794B (en) Encryption key generation method and device
EP0977396B1 (en) Method for establishing a key using over-the-air communication and password protocol
EP0651533B1 (en) Method and apparatus for privacy and authentication in a mobile wireless network
CN108599925B (en) Improved AKA identity authentication system and method based on quantum communication network
CN101828357B (en) Credential provisioning method and device
EP2076995B1 (en) Method and system for a secure pki (public key infrastructure) key registration process on mobile environment
US8837736B2 (en) Method for distributing encryption means
US20100042838A1 (en) Public Key Out-of-Band Transfer for Mutual Authentication
US6952475B1 (en) Method and arrangement for the computer-aided exchange of cryptographic keys between a first computer unit and a second computer unit
CN110020524B (en) Bidirectional authentication method based on smart card
CN104821933A (en) Device and method certificate generation
CN108712252B (en) Symmetric key pool and relay-crossing based AKA identity authentication system and method
CN104303450A (en) Determination of cryptographic keys
CN101192927B (en) Authorization based on identity confidentiality and multiple authentication method
CN111416712B (en) Quantum secret communication identity authentication system and method based on multiple mobile devices
CN101562519B (en) Digital certificate management method of user packet communication network and user terminal for accessing into user packet communication network
Sheffer et al. An EAP authentication method based on the encrypted key exchange (EKE) protocol
US9774630B1 (en) Administration of multiple network system with a single trust module
KR100863644B1 (en) Authenticating System Between Devices And Creating System Of Secret Key And Method Thereof
KR20220134604A (en) Secure communication between device and remote server
CN100389634C (en) Synchronously attach protecting method and relative power authentifying method
CN114301593B (en) EAP authentication system and method based on quantum key
CN108965243B (en) Symmetric key pool and cross-relay based AKA-like identity authentication system and method
Patalbansi Secure Authentication and Security System for Mobile Devices in Mobile Cloud Computing

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20121002

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20131001

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20141001

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20151001

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20161005

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20171011

Year of fee payment: 10