KR102128444B1 - Apparatus and method for installing certificates - Google Patents

Apparatus and method for installing certificates Download PDF

Info

Publication number
KR102128444B1
KR102128444B1 KR1020180111626A KR20180111626A KR102128444B1 KR 102128444 B1 KR102128444 B1 KR 102128444B1 KR 1020180111626 A KR1020180111626 A KR 1020180111626A KR 20180111626 A KR20180111626 A KR 20180111626A KR 102128444 B1 KR102128444 B1 KR 102128444B1
Authority
KR
South Korea
Prior art keywords
certificate
field terminal
injection device
unique information
information
Prior art date
Application number
KR1020180111626A
Other languages
Korean (ko)
Other versions
KR20200032513A (en
Inventor
명노길
임용훈
박민하
김충효
배진성
Original Assignee
한국전력공사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전력공사 filed Critical 한국전력공사
Priority to KR1020180111626A priority Critical patent/KR102128444B1/en
Publication of KR20200032513A publication Critical patent/KR20200032513A/en
Application granted granted Critical
Publication of KR102128444B1 publication Critical patent/KR102128444B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics

Abstract

현장 단말의 키 및 고유 정보를 이용하여 인증서 관리 서버로부터 인증서를 수집하고, 수집한 인증서를 현장 단말에 자동 주입하도록 한 인증서 주입 장치 및 방법을 제시한다. 제시된 인증서 주입 장치는 현장 단말의 키 쌍 및 고유 정보를 포함하는 인증서 생성 정보를 수집하는 인증서 생성 정보 수집 모듈, 인증서 생성 정보를 포함하는 인증서 생성 요청을 인증서 관리 서버로 전송하고, 인증서 관리 서버로부터 인증서 생성 요청에 대응되는 인증서를 수집하는 인증서 수집 모듈 및 인증서 수집 모듈에서 수집한 인증서를 현장 단말에 주입하는 인증서 주입 모듈을 포함한다.A certificate injection device and method for collecting a certificate from a certificate management server using a key and unique information of a field terminal and automatically injecting the collected certificate into the field terminal are presented. The presented certificate injection device transmits a certificate generation information collection module that collects certificate generation information including a key pair and unique information of a field terminal, a certificate generation request including certificate generation information, to a certificate management server, and a certificate from the certificate management server. It includes a certificate collection module for collecting the certificate corresponding to the request to generate and a certificate injection module for injecting the certificate collected in the certificate collection module to the field terminal.

Description

인증서 주입 장치 및 방법{APPARATUS AND METHOD FOR INSTALLING CERTIFICATES}Certificate injection device and method{APPARATUS AND METHOD FOR INSTALLING CERTIFICATES}

본 발명은 인증서 주입 장치 및 방법에 관한 것으로, 더욱 상세하게는 지능형 원격검침 인프라(AMI)의 현장 단말인 전자식 전력량계, 통신 모뎀 등에 인증서를 자동을 주입하는 인증서 주입 장치 및 방법에 관한 것이다.The present invention relates to a certificate injection device and method, and more particularly, to a certificate injection device and method for automatically injecting a certificate to an electronic power meter, a communication modem, etc., which is a field terminal of an intelligent remote metering infrastructure (AMI).

전력 계통 업체에서는 지능형 전력망 정보의 보호조치에 관한 지침에 의거하여 지능형 원격검침 인프라의 구축시 검증필 암호 모듈(Secure Element)을 사용하여 보안을 적용해야 한다.In accordance with the guidelines on the protection measures of intelligent power grid information, power grid companies must apply security by using a verified secure element when constructing an intelligent remote metering infrastructure.

일반적으로 암호 모듈의 역할은 암복호화, 전자서명 생성 및 검증, 해쉬 연산, 키 합의 등의 다양한 암호 연산 기능을 제공함과 더불어, 사용 편의상 암호 모듈 내부에 안전한 저장 기능도 같이 제공할 수 있다.In general, the role of the cryptographic module provides various cryptographic operation functions such as encryption/decryption, digital signature generation and verification, hash operation, and key agreement, and can also provide a secure storage function inside the cryptographic module for convenience of use.

검증필 암호 모듈은 소프트웨어 기반의 암호 모듈 및 하드웨어 기반의 암호 모듈로 구분할 수 있다.The verified cryptographic module can be divided into a software-based cryptographic module and a hardware-based cryptographic module.

소프트웨어 기반의 암호 모듈은 적용할 대상 기기의 운영체제(OS)를 고려하여 설계되었기 때문에 검침서버, DCU(Data Concentration Unit) 등과 같이 운영체제가 설치된 환경에서 사용된다.Since the software-based encryption module is designed in consideration of the operating system (OS) of the target device to be applied, it is used in an environment where an operating system is installed, such as a meter reading server and a Data Concentration Unit (DCU).

하드웨어 기반의 암호 모듈은 운영체제를 사용하지 않는 임베디드 장치에서 사용된다. 대표적인 임베디드 장치는 지능형 원격검침 인프라의 현장 단말인 통신 모뎀 및 전자식 전력량계 등이 있다.Hardware-based cryptographic modules are used in embedded devices that do not use an operating system. Typical embedded devices include communication modems and electronic watt-hour meters that are field terminals of an intelligent remote metering infrastructure.

통신 모뎀 및 전자식 전력량계는 하드웨어 기반의 암호 모듈을 사용하여 전력 업체의 보안정책에 맞게 각종 보안기능을 수행한다. 이때, 암호 모듈은 암복호화, 전자서명 생성 및 검증, 해쉬 연산, 키 합의 등의 암호 연산을 수행하기 위해서 주입된 인증서, 각종 키 등의 보안 재료를 이용한다.Communication modems and electronic power meters use hardware-based cryptographic modules to perform various security functions in accordance with the security policies of power companies. At this time, the cryptographic module uses a security material such as an injected certificate and various keys to perform cryptographic operations such as encryption/decryption, digital signature generation and verification, hash operation, and key agreement.

이에, 전자식 전력량계와 통신 모뎀은 정의된 보안을 수행하기 위해 사전에 보안 재료를 검증필 암호 모듈에 주입해야 한다.Accordingly, the electronic power meter and the communication modem must inject security material into the verified cryptographic module in advance to perform the defined security.

하지만, 전력 업체는 매년 수백만 개의 전자식 전력량계와 통신 모뎀을 설치해야 하는데, 종래에는 수작업을 통해 보안 재료를 암호 모듈에 주입하기 때문에, 주입 시간이 장시간 소요되고, 작업자의 실수로 인한 오작동이 발생하는 문제점이 있다.However, power companies have to install millions of electronic watt-hour meters and communication modems every year. Conventionally, since a security material is manually injected into a cryptographic module, it takes a long time to inject and malfunctions due to operator error. There is this.

한국등록특허 제10-1772936호(명칭: 일회성 패스워드를 이용한 AMI 보안시스템 및 방법)Korean Registered Patent No. 10-1772936 (Name: AMI security system and method using one-time password)

본 발명은 상기한 문제점을 해결하기 위해 제안된 것으로, 현장 단말의 키 및 고유 정보를 이용하여 인증서 관리 서버로부터 인증서를 수집하고, 수집한 인증서를 현장 단말에 자동 주입하도록 한 인증서 주입 장치 및 방법을 제공하는 것을 목적으로 한다.The present invention has been proposed to solve the above problems, and a certificate injection device and method for collecting a certificate from a certificate management server using a key and unique information of a field terminal and automatically injecting the collected certificate into the field terminal. It aims to provide.

상기한 목적을 달성하기 위하여 본 발명의 실시 예에 따른 인증서 주입 장치는 현장 단말의 키 쌍 및 고유 정보를 포함하는 인증서 생성 정보를 수집하는 인증서 생성 정보 수집 모듈, 인증서 생성 정보를 포함하는 인증서 생성 요청을 인증서 관리 서버로 전송하고, 인증서 관리 서버로부터 인증서 생성 요청에 대응되는 인증서를 수집하는 인증서 수집 모듈 및 인증서 수집 모듈에서 수집한 인증서를 현장 단말에 주입하는 인증서 주입 모듈을 포함한다.In order to achieve the above object, the certificate injection device according to an embodiment of the present invention is a certificate generation information collection module for collecting certificate generation information including a key pair and unique information of a field terminal, a certificate generation request including certificate generation information It includes a certificate injecting module that transmits to the certificate management server and collects a certificate corresponding to the certificate generation request from the certificate management server and injects the certificate collected by the certificate collection module into the field terminal.

인증서 생성 정보 수집 모듈은 현장 단말로부터 공개 키 및 개인 키를 포함하는 키 쌍을 수집하고, 현장 단말의 시스템 타이틀을 고유 정보로 수집할 수 있다.The certificate generation information collection module may collect a key pair including a public key and a private key from the field terminal, and collect the system title of the field terminal as unique information.

인증서 생성 정보 수집 모듈은 현장 단말에게로 키 쌍 생성 요청을 전송한 후 현장 단말로부터 키 쌍 생성 결과 또는 키 쌍 확보 결과를 수신하면, 인증서 생성 정보를 포함하는 인증서 생성 정보 요청을 현장 단말에게로 전송할 수 있다.The certificate generation information collection module transmits a key pair generation request to the field terminal and then receives a key pair generation result or a key pair acquisition result from the field terminal, and then transmits a certificate generation information request including the certificate generation information to the field terminal. Can.

인증서 수집 모듈은 인증서 생성 정보를 포함하는 인증서 생성 요청을 인증서 관리 서버로 전송하고, 인증서 관리 서버로부터 고유 정보를 포함하는 인증서를 수집할 수 있다.The certificate collection module may transmit a certificate generation request including certificate generation information to the certificate management server, and collect certificates including unique information from the certificate management server.

인증서 주입 모듈은 인증서 수집 모듈에서 수집한 인증서로부터 고유 정보를 검출하고, 검출한 고유 정보에 대응하는 현장 단말에 인증서를 주입할 수 있다.The certificate injection module may detect unique information from the certificate collected by the certificate collection module and inject the certificate to the field terminal corresponding to the detected unique information.

현장 단말과 데이터를 송수신하는 제1 통신 모듈 및 인증서 관리 서버와 데이터를 송수신하는 제2 통신 모듈을 더 포함하고, 제1 통신 모듈의 프로토콜은 제2 통신 모듈의 프로토콜과 다른 프로토콜일 수 있다.Further comprising a first communication module for transmitting and receiving data with the field terminal and a second communication module for transmitting and receiving data with the certificate management server, the protocol of the first communication module may be a different protocol from the protocol of the second communication module.

현장 단말의 공개 키 및 개인 키를 포함하는 키 쌍을 생성하는 암호 모듈을 더 포함하고, 인증서 생성 정보 수집 모듈은 현장 단말로부터 고유 정보를 수집하고, 암호 모듈에서 생성된 키 쌍과 매칭하여 인증서 생성 정보를 생성할 수 있다. 인증서 주입 모듈은 암호 모듈에서 생성된 키 쌍을 현장 단말에 주입할 수 있다.Further comprising a cryptographic module for generating a key pair including a public key and a private key of the field terminal, the certificate generation information collection module collects unique information from the field terminal, and matches the key pair generated in the cryptographic module to generate a certificate Information can be generated. The certificate injection module can inject the key pair generated in the cryptographic module into the field terminal.

상기한 목적을 달성하기 위하여 본 발명의 실시 예에 따른 인증서 주입 방법은 현장 단말에게로 키 쌍 생성을 요청하는 단계, 현장 단말로부터 키 쌍 생성 결과 및 키 쌍 확보 결과 중 하나를 수신하는 단계, 현장 단말에게로 인증서 생성 정보 요청을 전송하는 단계, 현장 단말로부터 인증서 생성 정보를 수집하는 단계, 인증서 관리 서버에게로 인증서 생성 정보를 포함하는 인증서 생성 요청을 전송하는 단계, 인증서 관리 서버로부터 인증서를 수신하는 단계 및 현장 단말에 인증서를 주입하는 단계를 포함할 수 있다.In order to achieve the above object, the method for injecting a certificate according to an embodiment of the present invention includes requesting a key pair generation from a field terminal, receiving one of a key pair generation result and a key pair acquisition result from the field terminal, and on-site. Transmitting a certificate generation information request to a terminal, collecting certificate generation information from a field terminal, transmitting a certificate generation request including certificate generation information to a certificate management server, and receiving a certificate from the certificate management server And a step of injecting a certificate into the field terminal.

인증서 생성 정보를 수집하는 단계에서는 현장 단말로부터 공개 키 및 고유 정보를 포함하는 인증서 생성 정보를 수집하고, 고유 정보는 현장 단말의 시스템 타이틀일 수 있다.In the step of collecting the certificate generation information, the certificate generation information including the public key and the unique information is collected from the field terminal, and the unique information may be a system title of the field terminal.

인증서를 수신하는 단계에서는 고유 정보를 포함한 인증서를 수신하고, 인증서를 주입하는 단계에서는 인증서에 포함된 고유 정보에 대응하는 현장 단말에 인증서를 주입할 수 다.In the step of receiving the certificate, the certificate including the unique information is received, and in the step of injecting the certificate, the certificate can be injected into the field terminal corresponding to the unique information included in the certificate.

인증서 생성 정보를 수집하는 단계에서는 물리적 주소 및 고유 정보 중 하나를 근거로 복수의 현장 단말에 순차를 설정하고, 설정된 순차를 근거로 복수의 현장 단말로부터 인증서 생성 정보를 수신하는 인증서 주입 방법.In the step of collecting the certificate generation information, the method of establishing a sequence to a plurality of field terminals based on one of the physical address and unique information, and receiving a certificate generation information from the plurality of field terminals based on the set sequence.

인증서 생성 정보를 수집하는 단계에서는 물리적 주소를 증가시키면서 요청 신호를 전송하고, 응답 신호를 전송하는 물리적 주소를 현장 단말의 물리적 주소로 검출하고, 검출한 물리적 주소를 근거로 공개 키(개인 키도 포함될 수 있음) 및 고유 정보를 포함하는 인증서 생성 정보를 수집하여 물리적 주소와 매칭할 수 있다.In the step of collecting the certificate generation information, the request signal is transmitted while the physical address is increased, the physical address transmitting the response signal is detected as the physical address of the field terminal, and the public key (including the private key is also included). And generating certificate information including unique information) to match the physical address.

현장 단말에 대응되는 키 쌍을 생성하는 단계, 현장 단말로부터 고유 정보를 수집하는 단계, 키 쌍 및 고유 정보를 포함하는 인증서 생성 정보를 생성하는 단계, 인증서 관리 서버로 인증서 생성 정보를 포함하는 인증서 생성 요청을 전송하는 단계, 인증서 관리 서버로부터 인증서를 수신하는 단계, 현장 단말에 인증서를 주입하는 단계 및 현장 단말에 키 쌍을 주입하는 단계를 포함할 수 있다.Generating a key pair corresponding to the field terminal, collecting unique information from the field terminal, generating certificate generation information including the key pair and unique information, generating a certificate including the certificate generation information to the certificate management server It may include transmitting a request, receiving a certificate from a certificate management server, injecting a certificate into the field terminal, and injecting a key pair into the field terminal.

인증서 생성 정보를 생성하는 단계에서는 키 쌍의 공개 키 및 개인 키와 고유 정보를 포함하는 인증서 생성 정보를 생성하고, 인증서를 수신하는 단계에서는 고유 정보를 포함한 인증서를 수신할 수 있다.In the step of generating the certificate generation information, the certificate generation information including the public key and the private key of the key pair and the unique information may be generated, and in the step of receiving the certificate, the certificate including the unique information may be received.

인증서를 주입하는 단계에서는 인증서에 포함된 고유 정보에 대응하는 현장 단말에 인증서를 주입하고, 키 쌍을 생성하는 단계에서는 현장 단말의 공개 키 및 개인 키를 포함하는 키 쌍을 생성하고, 인증서 생성 정보를 생성하는 단계에서는 공개 키(개인 키도 포함될 수 있음) 및 고유 정보를 포함하는 인증서 생성 정보를 생성할 수 있다.In the step of injecting the certificate, the certificate is injected into the field terminal corresponding to the unique information included in the certificate, and in the step of generating the key pair, the key pair including the public key and the private key of the field terminal is generated, and the certificate generation information In the generating step, the certificate generation information including the public key (which may also include the private key) and unique information may be generated.

본 발명에 의하면, 인증서 주입 장치는 현장 단말로부터 인증서 생성을 위한 보안 재료를 수집하고, 보안 재료를 이용하여 인증서 관리 서버로부터 인증서를 수집하여 현장 단말에 주입함으로써, 매년 설치되는 수백만 개 이상의 현장 단말에 손쉽게 인증서를 주입할 수 있는 효과가 있다.According to the present invention, the certificate injection device collects the security material for generating a certificate from the field terminal, and collects the certificate from the certificate management server using the security material and injects it into the field terminal, thereby providing to millions of field terminals installed annually. It has the effect of easily injecting a certificate.

또한, 인증서 주입 장치는 현장 단말로부터 인증서 생성을 위한 보안 재료를 수집하고, 보안 재료를 이용하여 인증서 관리 서버로부터 인증서를 수집하여 현장 단말에 주입함으로써, 인증서 설치를 위한 시간을 최소화하고, 그에 따른 인증서 설치 비용을 최소화할 수 있는 효과가 있다.In addition, the certificate injection device collects the security material for generating a certificate from the field terminal, and collects the certificate from the certificate management server using the security material and injects it into the field terminal, minimizing the time for installing the certificate, and thus the certificate This has the effect of minimizing the installation cost.

또한, 인증서 주입 장치는 현장 단말로부터 인증서 생성을 위한 보안 재료를 수집하고, 보안 재료를 이용하여 인증서 관리 서버로부터 인증서를 수집하여 현장 단말에 주입함으로써, 수작업시 발생하는 작업자의 실수로 인한 오작동을 방지할 수 있는 효과가 있다.In addition, the certificate injection device collects the security material for generating a certificate from the field terminal, and collects the certificate from the certificate management server using the security material and injects it into the field terminal, thereby preventing malfunction due to an operator's mistake during manual operation. It has the effect.

또한, 인증서 주입 장치는 현장 단말로부터 인증서 생성을 위한 보안 재료를 수집하고, 보안 재료를 이용하여 인증서 관리 서버로부터 인증서를 수집하여 현장 단말에 주입함으로써, 지능형 원격검침 인프라의 보안 사업을 위해 필요한 보안 재료의 수집 및 설정을 자동화하여 업무 효율성 향상과 오작동을 최소화할 수 있는 효과가 있다.In addition, the certificate injection device collects the security material for generating a certificate from the field terminal, and collects the certificate from the certificate management server using the security material and injects it into the field terminal, thereby providing the necessary security material for the security business of the intelligent remote metering infrastructure. It has the effect of improving work efficiency and minimizing malfunction by automating the collection and setting of.

도 1 및 도 2는 본 발명의 실시 예에 따른 인증서 주입 장치를 설명하기 위한 도면.
도 3은 본 발명의 실시 예에 따른 인증서 주입 장치의 구성을 설명하기 위한 도면.
도 4 및 도 5는 본 발명의 실시 예에 따른 인증서 주입 장치의 변형 예를 설명하기 위한 도면.
도 6은 본 발명의 실시 예에 따른 인증서 주입 방법을 설명하기 위한 흐름도.
도 7 내지 도 10은 본 발명의 실시 예에 따른 인증서 주입 방법을 설명하기 위한 도면.
도 11은 본 발명의 실시 예에 따른 인증서 주입 방법의 변형 예를 설명하기 위한 흐름도.
도 12는 도 11의 인증서 주입 단계를 설명하기 위한 도면.1 and 2 are views for explaining a certificate injection device according to an embodiment of the present invention.
3 is a view for explaining the configuration of a certificate injection device according to an embodiment of the present invention.
4 and 5 are views for explaining a modification of the certificate injection device according to an embodiment of the present invention.
6 is a flowchart illustrating a method for injecting a certificate according to an embodiment of the present invention.
7 to 10 are views for explaining a method of injecting a certificate according to an embodiment of the present invention.
11 is a flow chart for explaining a modification of the certificate injection method according to an embodiment of the present invention.
12 is a view for explaining the step of injecting the certificate of FIG. 11;

이하, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 정도로 상세히 설명하기 위하여, 본 발명의 가장 바람직한 실시 예를 첨부 도면을 참조하여 설명하기로 한다. 우선 각 도면의 구성요소들에 참조부호를 부가함에 있어서, 동일한 구성요소들에 대해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 부호를 가지도록 하고 있음에 유의해야 한다. 또한, 본 발명을 설명함에 있어, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략한다.Hereinafter, with reference to the accompanying drawings, the most preferred embodiment of the present invention will be described in detail so that those skilled in the art to which the present invention pertains can easily implement the technical spirit of the present invention. . First, when adding reference numerals to the components of each drawing, it should be noted that the same components have the same reference numerals as possible even though they are displayed on different drawings. In addition, in describing the present invention, when it is determined that detailed descriptions of related well-known structures or functions may obscure the subject matter of the present invention, detailed descriptions thereof will be omitted.

이하, 첨부된 도면을 참조하여 본 발명의 실시 예에 따른 인증서 주입 장치를 설명하면 아래와 같다. 도 1 및 도 2는 본 발명의 실시 예에 따른 인증서 주입 장치를 설명하기 위한 도면이고, 도 3은 본 발명의 실시 예에 따른 인증서 주입 장치의 구성을 설명하기 위한 도면이고, 도 4 및 도 5는 본 발명의 실시 예에 따른 인증서 주입 장치의 변형 예를 설명하기 위한 도면이다.Hereinafter, a certificate injection device according to an embodiment of the present invention will be described with reference to the accompanying drawings. 1 and 2 are diagrams for explaining a certificate injection device according to an embodiment of the present invention, Figure 3 is a view for explaining the configuration of a certificate injection device according to an embodiment of the present invention, Figures 4 and 5 Is a view for explaining a modification of the certificate injection device according to an embodiment of the present invention.

도 1 및 도 2를 참조하면, 인증서 주입 장치(100)는 인증서 관리 서버(200)와 현장 단말(300) 사이에서 인증서 주입을 위한 매개체로 동작한다. 이때, 현장 단말(300)은 지능형 원격검침 인프라(AMI)의 전력량계, 통신 모뎀 등과 같이 현장에 설치된 단말인 것을 일례로 한다.1 and 2, the certificate injection device 100 operates as a medium for certificate injection between the certificate management server 200 and the field terminal 300. At this time, the on-site terminal 300 is an example of a terminal installed in the field, such as a power meter, a communication modem, etc. of the intelligent remote metering infrastructure (AMI).

인증서 주입 장치(100)는 네트워크를 통해 인증서 관리 서버(200) 및 현장 단말(300)과 연결된다. 이때, 인증서 주입 장치(100)는 인증서 관리 서버(200)와 인터넷망을 통해 연결되며, 현장 단말(300)과는 별도의 통신 인터페이스를 통해 연결된다.The certificate injection device 100 is connected to the certificate management server 200 and the field terminal 300 through a network. At this time, the certificate injection device 100 is connected to the certificate management server 200 through the Internet network, and is connected to a field terminal 300 through a separate communication interface.

인증서 주입 장치(100)는 인터넷으로 인증서 관리 서버(200)와 연동된다. 인증서 주입 장치(100)는 로컬 통신 인터페이스를 통해서 전자식 전력량계, 통신 모뎀 등의 현장 단말(300)과 통신해야 한다. 여기서, 인증서 주입 장치(100)는 전자식 전력량계 등의 현장 단말(300)에서 지원하는 통신 인터페이스에 대응되어야 하며 일반적으로 RS232/485/422 등을 선호하나, WiFi, WiSUN 및 Ethernet 등도 사용할 수도 있다.The certificate injection device 100 is linked to the certificate management server 200 through the Internet. The certificate injection device 100 must communicate with an on-site terminal 300 such as an electronic power meter or a communication modem through a local communication interface. Here, the certificate injection device 100 should correspond to the communication interface supported by the field terminal 300 such as an electronic power meter, and generally prefers RS232/485/422, but may also use WiFi, WiSUN, and Ethernet.

일례로, 현장 단말(300) 중 전자식 전력량계는 DLMS (IEC 62056 표준, 전력량계 국제표준 프로토콜) 서버로 동작하기 때문에 상호 간 통신을 수행하기 위해서, 인증서 주입 장치(100)는 DLMS 클라이언트로 동작한다. 즉, 인증서 주입 장치(100)는 해당 현장 단말(300)에서 사용하는 프로토콜을 지원해야 한다.For example, since the electronic power meter of the field terminal 300 operates as a DLMS (IEC 62056 standard, power meter international standard protocol) server, in order to perform mutual communication, the certificate injection device 100 operates as a DLMS client. That is, the certificate injection device 100 must support the protocol used by the corresponding field terminal 300.

인증서 주입 장치(100)는 현장 단말(300)로부터 인증서 발급에 필요한 공개 키(개인 키도 포함될 수 있음), 고유 정보 등을 수집한다. 인증서 주입 장치(100)는 수집한 공개 키(개인 키도 포함될 수 있음), 고유 정보 등을 이용하여 인증서 관리 서버(200)로부터 현장 단말(300)에 주입할 인증서를 발급받는다. 인증서 주입 장치(100)는 발급된 인증서를 현장 단말(300)에 주입한다.The certificate injection device 100 collects a public key (a private key may be included) and unique information necessary for issuing a certificate from the field terminal 300. The certificate injection device 100 receives a certificate to be injected into the field terminal 300 from the certificate management server 200 by using the collected public key (which may also include a private key) and unique information. The certificate injection device 100 injects the issued certificate into the field terminal 300.

현장 단말(300)은 내부 또는 외부 집적화된 암호 모듈을 통해 키 쌍을 생성한다. 현장 단말(300)은 내부 암호 모듈에서 키 쌍을 생성하지 못하는 경우 외부 암호 모듈에서 생성된 키 쌍을 암호 모듈의 내부 메모리에 저장할 수도 있다. The field terminal 300 generates a key pair through an internal or external integrated cryptographic module. The field terminal 300 may store the key pair generated in the external cryptographic module in the internal memory of the cryptographic module when the key pair is not generated in the internal cryptographic module.

이때, 외부의 별도 암호 모듈에서 키 쌍을 생성하여 주입할 경우에 키 쌍 주입의 주체는 현장 단말(300) 또는 암호 모듈의 제조사 중 하나일 수 있지만, 암호 모듈의 제조사가 수행하는 것이 바람직하다. At this time, when generating and injecting a key pair from a separate external cryptographic module, the subject of the key pair injection may be one of the field terminal 300 or the manufacturer of the cryptographic module, but is preferably performed by the cryptographic module manufacturer.

전자식 전력량계의 제조사는 키 쌍을 생성 또는 주입받은 암호 모듈(160)을 포함한 현장 단말(300)을 납품할 때 해당 현장 단말(300)의 시스템 타이틀(System title) 등과 같은 고유 정보 목록을 전달받는다. 고유 정보는 전자식 전력량계의 고유의 ID (Identification)로 사용하며 DLMS 표준에서는 총 8바이트 길이를 갖는 것으로 정의한다. 이때, 3바이트는 DLMS UA(User Association)에서 관리하는 현장 단말(300)의 제조사의 식별 번호이고, 나머지 5바이트는 현장 단말(300)의 일련번호, 생산 연월일 등을 포함하여 구성한다. 고유 정보는 중복되지 않고 유일무이하게 정의되어야 한다.The manufacturer of the electronic watt-hour meter receives a list of unique information such as a system title of the corresponding field terminal 300 when delivering the field terminal 300 including the cryptographic module 160 that has generated or injected a key pair. The unique information is used as a unique ID (Identification) of the electronic power meter, and is defined as having a total length of 8 bytes in the DLMS standard. At this time, 3 bytes is the identification number of the manufacturer of the field terminal 300 managed by the DLMS UA (User Association), and the remaining 5 bytes are configured including the serial number of the field terminal 300, the date of production, and the like. Unique information should not be duplicated and uniquely defined.

만약, 제조사로부터 현장 단말(300)의 고유 정보 목록을 전달받지 못하면, 인증서 주입 장치(100)는 DLMS 프로토콜을 이용해서 통신으로 연결된 현장 단말(300)로부터 해당 고유 정보를 획득할 수도 있다. DLMS 통신을 수행할 때는 기본적으로 링크 연결과 상호 인증 후 필요한 서비스 요청 명령을 수행하는데, 인증서 주입 장치(100)는 get 서비스 명령을 이용해서 현장 단말(300)로부터 고유 정보를 수집한다.If the list of unique information of the field terminal 300 is not received from the manufacturer, the certificate injection device 100 may obtain the corresponding unique information from the field terminal 300 connected by communication using the DLMS protocol. When performing DLMS communication, basically, a link connection and mutual authentication are performed to perform a required service request command, and the certificate injection device 100 collects unique information from the field terminal 300 using a get service command.

도 3을 참조하면, 인증서 주입 장치(100)는 제1 통신 모듈(110), 제2 통신 모듈(120), 인증서 생성 정보 수집 모듈(130), 인증서 수집 모듈(140) 및 인증서 주입 모듈(150)을 포함하여 구성된다. 여기서, 도 2에서는 제1 통신 모듈(110), 제2 통신 모듈(120), 인증서 생성 정보 수집 모듈(130), 인증서 수집 모듈(140) 및 인증서 주입 모듈(150)이 독립된 모듈로 구성된 것으로 도시하고 있으나, 이에 한정되지 않고 하나의 모듈로 구성될 수도 있다.Referring to FIG. 3, the certificate injection device 100 includes a first communication module 110, a second communication module 120, a certificate generation information collection module 130, a certificate collection module 140, and a certificate injection module 150 ). Here, FIG. 2 illustrates that the first communication module 110, the second communication module 120, the certificate generation information collection module 130, the certificate collection module 140, and the certificate injection module 150 are configured as independent modules. However, the present invention is not limited thereto, and may be configured as one module.

제1 통신 모듈(110)은 현장 단말(300)과 데이터를 송수신한다. 제1 통신 모듈(110)은 전자식 전력량계, 통신 모뎀 등의 현장 단말(300)과 통신이 가능한 프로토콜을 지원하는 통신 모듈로 구성된다. 일례로, 제1 통신 모듈(110)은 RS-232, RS-485, RS-422 등의 시리얼 통신 모듈로 구성될 수 있다. 제1 통신 모듈(110)은 WiFi, WiSUN, Ethernet 등의 통신 모듈로 구성될 수도 있다.The first communication module 110 transmits and receives data to and from the field terminal 300. The first communication module 110 is composed of a communication module supporting a protocol capable of communicating with a field terminal 300 such as an electronic power meter or a communication modem. In one example, the first communication module 110 may be configured as a serial communication module such as RS-232, RS-485, RS-422. The first communication module 110 may be configured with a communication module such as WiFi, WiSUN, Ethernet, and the like.

제2 통신 모듈(120)은 인증서 관리 서버(200)와 데이터를 송수신한다. 이를 위해, 제1 통신 모듈(110)은 와이파이, 이더넷 등과 같이 인터넷을 통해 인증서 관리 서버(200)와 인증서 생성 정보 및 인증서를 송수신한다. 이때, 제2 통신 모듈(120)은 와이파이, 이더넷 이외에서 인증서 관리 서버(200)와 통신이 가능한 프로토콜이라면 사용이 가능하다.The second communication module 120 transmits and receives data to and from the certificate management server 200. To this end, the first communication module 110 transmits and receives certificate generation information and certificates to and from the certificate management server 200 through the Internet, such as Wi-Fi and Ethernet. At this time, the second communication module 120 may be used as long as it is a protocol capable of communicating with the certificate management server 200 other than Wi-Fi and Ethernet.

인증서 생성 정보 수집 모듈(130)은 제1 통신 모듈(110)을 통해 현장 단말(300)로부터 인증서 생성 정보를 수집한다. 인증서 생성 정보 수집 모듈(130)은 공개 키(개인 키도 포함될 수 있음) 및 고유 정보를 포함하는 인증서 생성 정보를 수집한다. 여기서, 고유 정보는 현장 단말(300)에 설정된 시스템 타이틀(System title)인 것을 일례로 한다.The certificate generation information collection module 130 collects certificate generation information from the field terminal 300 through the first communication module 110. The certificate generation information collection module 130 collects certificate generation information including a public key (which may also include a private key) and unique information. Here, it is assumed that the unique information is a system title set in the field terminal 300.

인증서 생성 정보 수집 모듈(130)은 제1 통신 모듈(110)을 통해 현장 단말(300)로 키 쌍 생성 요청을 전송한다. 일례로, 현장 단말(300)이 전자식 전력량계이면, 인증서 생성 정보 수집 모듈(130)은 DLMS 프로토콜을 이용하여 키 쌍 생성(generate_key_pair 명령)을 요청한다. 인증서 생성 정보 수집 모듈(130)은 제1 통신 모듈(110)을 통해 현장 단말(300)로부터 키 쌍 생성 결과 또는 키 쌍 확보 결과를 수신한다.The certificate generation information collection module 130 transmits a key pair generation request to the field terminal 300 through the first communication module 110. For example, if the field terminal 300 is an electronic power meter, the certificate generation information collection module 130 requests generation of a key pair (generate_key_pair command) using the DLMS protocol. The certificate generation information collection module 130 receives a key pair generation result or a key pair acquisition result from the field terminal 300 through the first communication module 110.

인증서 생성 정보 수집 모듈(130)은 제1 통신 모듈(110)을 통해 현장 단말(300)로 인증서 생성 정보 요청을 전송한다. 인증서 생성 정보 수집 모듈(130)은 공개 키(개인 키도 포함될 수 있음) 및 고유 정보를 포함하는 인증서 생성 정보를 현장 단말(300)로 요청한다. 일례로, 현장 단말(300)이 전자식 전력량계이면, 인증서 생성 정보 수집 모듈(130)은 DLMS 프로토콜을 이용하여 인증서 생성 정보 요청(generate_certificate_request 명령)을 전송한다. 인증서 생성 정보 수집 모듈(130)은 DLMS 프로토콜을 이용하여 인증서 생성 정보 요청과 함께 get 서비스 명령을 현장 단말(300)로 전송하여 고유 정보를 수집할 수도 있다.The certificate generation information collection module 130 transmits a certificate generation information request to the field terminal 300 through the first communication module 110. The certificate generation information collection module 130 requests the certificate generation information including the public key (which may also include a private key) and unique information to the field terminal 300. For example, if the field terminal 300 is an electronic power meter, the certificate generation information collection module 130 transmits a certificate generation information request (generate_certificate_request command) using the DLMS protocol. The certificate generation information collection module 130 may collect a unique information by sending a get service command to the field terminal 300 together with a request for certificate generation information using the DLMS protocol.

인증서 생성 정보 수집 모듈(130)은 제1 통신 모듈(110)을 통해 현장 단말(300)로부터 인증서 생성 정보를 수신한다. 인증서 생성 정보 수집 모듈(130)은 수신한 인증서 생성 정보를 인증서 수집 모듈(140)로 전송한다.The certificate generation information collection module 130 receives the certificate generation information from the field terminal 300 through the first communication module 110. The certificate generation information collection module 130 transmits the received certificate generation information to the certificate collection module 140.

인증서 수집 모듈(140)은 제2 통신 모듈(120)을 통해 인증서 관리 서버(200)로부터 인증서를 수집한다. 인증서 수집 모듈(140)은 수신한 인증서 생성 정보(즉, 공개 키와 개인 키 및 고유 정보)를 포함하는 인증서 생성 요청을 인증서 관리 서버(200)로 전송한다.The certificate collection module 140 collects a certificate from the certificate management server 200 through the second communication module 120. The certificate collection module 140 transmits a certificate generation request including the received certificate generation information (that is, public key and private key and unique information) to the certificate management server 200.

일례로, 인증서 수집 모듈(140)은 전자식 전력량계의 공개 키(개인 키도 포함될 수 있음) 및 시스템 타이틀을 포함하는 인증서 생성 요청 명령(X.509 V3 certificate signing request)을 생성한다. 인증서 수집 모듈(140)을 제2 통신 모듈(120)을 통해 인증서 관리 서버(200)로 인증서 생성 요청 명령을 전송한다. 이때, 인증서 수집 모듈(140)은 PKCS #10 (RFC 2986) 표준 규격에 준용하는 인증서 생성 요청 명령을 생성한다.In one example, the certificate collection module 140 generates a certificate generation request command (X.509 V3 certificate signing request) including a public key (which may also include a private key) and a system title of the electronic power meter. The certificate collection module 140 transmits a certificate generation request command to the certificate management server 200 through the second communication module 120. At this time, the certificate collection module 140 generates a certificate generation request command conforming to the PKCS #10 (RFC 2986) standard.

인증서 수집 모듈(140)은 제2 통신 모듈(120)을 통해 인증서 관리 서버(200)로부터 인증서를 수신한다. 인증서 수집 모듈(140)은 인증서 관리 서버(200)로부터 고유 정보를 포함한 인증서를 수신한다. 인증서 수집 모듈(140)은 인증서를 인증서 주입 모듈(150)로 전송한다.The certificate collection module 140 receives a certificate from the certificate management server 200 through the second communication module 120. The certificate collection module 140 receives a certificate including unique information from the certificate management server 200. The certificate collection module 140 transmits the certificate to the certificate injection module 150.

인증서 주입 모듈(150)은 제1 통신 모듈(110)을 통해 현장 단말(300)에 인증서를 주입한다. 인증서 주입 모듈(150)은 인증서 수집 모듈(140)로부터 수신한 인증서로부터 고유 정보를 검출한다. 인증서 주입 모듈(150)은 검출한 고유 정보에 대응하는 현장 단말(300)에 인증서를 주입한다. 이때, 인증서 주입 모듈(150)은 DLMS 프로토콜을 통해 인증서를 현장 단말(300)로 주입한다.The certificate injection module 150 injects a certificate into the field terminal 300 through the first communication module 110. The certificate injection module 150 detects unique information from the certificate received from the certificate collection module 140. The certificate injection module 150 injects a certificate into the field terminal 300 corresponding to the detected unique information. At this time, the certificate injection module 150 injects the certificate to the field terminal 300 through the DLMS protocol.

인증서 주입 모듈(150)은 현장 단말(300)에 구현된 security setup object를 사용하는 방식을 이용하여 인증서를 현장 단말(300)에 주입한다. 인증서 주입 모듈(150)은 객체 모델링을 수행하여 인증서를 현장 단말(300)에 주입할 수도 있다.The certificate injection module 150 injects the certificate into the field terminal 300 using a method using a security setup object implemented in the field terminal 300. The certificate injection module 150 may perform object modeling to inject the certificate into the field terminal 300.

도 4 및 도 5를 참조하면, 인증서 주입 장치(100)는 난수 생성, 키 쌍 생성기능, 암복호화, 전자서명 생성 및 검증 기능을 포함하는 보호 함수를 제공하는 암호 모듈(160)을 더 포함할 수 있다.4 and 5, the certificate injection device 100 further includes a cryptographic module 160 that provides a protection function including a random number generation, key pair generation function, encryption/decryption, and digital signature generation and verification functions. Can.

인증서 주입 장치(100)는 PC(랩톱)를 기반으로 검증필 암호 모듈(160)을 USB 형태로 연결하고 필요한 동작 기능을 프로그램화하여 구현되거나, 임베디드 시스템 형태로도 구현될 수 있다.The certificate injection device 100 may be implemented by connecting the verified cryptographic module 160 in the form of USB based on a PC (laptop) and programming the required operation function, or may be implemented in the form of an embedded system.

이때, 암호 모듈(160)은 인증서 주입 장치(100)에 내장 또는 외장된다. 이때, 암호 모듈(160)은 검증필을 획득한 모듈로 구성된다. 일례로, 하드웨어 기반의 암호 모듈(160)은 관련 보호 함수를 구현된 상용 MCU(Micro Controller Unit), 스마트카드, ASIC(Application Specific Integrated Circuit) 등으로 구성될 수 있다.At this time, the encryption module 160 is internal or external to the certificate injection device 100. At this time, the cryptographic module 160 is composed of modules that have been verified. For example, the hardware-based cryptographic module 160 may be composed of a commercial microcontroller unit (MCU), a smart card, and an application specific integrated circuit (ASIC) that implements a related protection function.

암호 모듈(160)은 현장 단말(300)에서 키 쌍을 생성하거나 보유하고 있지 않은 경우 키 쌍을 생성할 수 있다. 암호 모듈(160)을 각 현장 단말(300)에 대응하여 공개 키 및 개인 키를 포함하는 키 쌍을 생성한다. The cryptographic module 160 may generate a key pair in the field terminal 300 or generate a key pair if it does not have it. The cryptographic module 160 generates a key pair including a public key and a private key corresponding to each field terminal 300.

인증서 생성 정보 수집 모듈(130)은 암호 모듈(160)에서 키 쌍 생성이 완료되면 현장 단말(300)로부터 고유 정보를 수집한다. 인증서 생성 정보 수집 모듈(130)은 키 쌍과 고유 정보를 매칭한다. 인증서 생성 정보 수집 모듈(130)은 공개 키(개인 키도 포함될 수 있음) 및 고유 정보를 포함하는 인증서 생성 정보를 생성한다.The certificate generation information collection module 130 collects unique information from the field terminal 300 when the key pair generation is completed in the encryption module 160. The certificate generation information collection module 130 matches the key pair and unique information. The certificate generation information collection module 130 generates certificate generation information including a public key (which may also include a private key) and unique information.

인증서 수집 모듈(140)은 인증서 생성 정보를 포함하는 인증서 생성 요청을 인증서 관리 서버(200)로 전송한다. 인증서 수집 모듈(140)은 인증서 관리 서버(200)로부터 인증서를 수신한다. 인증서 수집 모듈(140)은 인증서 관리 서버(200)로부터 고유 정보를 포함한 인증서를 수신한다. 인증서 수집 모듈(140)은 인증서를 인증서 주입 모듈(150)로 전송한다.The certificate collection module 140 transmits a certificate generation request including certificate generation information to the certificate management server 200. The certificate collection module 140 receives a certificate from the certificate management server 200. The certificate collection module 140 receives a certificate including unique information from the certificate management server 200. The certificate collection module 140 transmits the certificate to the certificate injection module 150.

인증서 주입 모듈(150)은 현장 단말(300)에 인증서를 주입한다. 인증서 주입 모듈(150)은 인증서 수집 모듈(140)로부터 수신한 인증서로부터 고유 정보를 검출한다. 인증서 주입 모듈(150)은 검출한 고유 정보에 대응하는 현장 단말(300)에 인증서를 주입한다. 이때, 인증서 주입 모듈(150)은 DLMS 프로토콜을 통해 인증서를 현장 단말(300)로 주입한다. 이때, 인증서 주입 모듈(150)은 암호 모듈(160)에서 생성한 키 쌍을 현장 단말(300)에 주입한다. The certificate injection module 150 injects a certificate into the field terminal 300. The certificate injection module 150 detects unique information from the certificate received from the certificate collection module 140. The certificate injection module 150 injects a certificate into the field terminal 300 corresponding to the detected unique information. At this time, the certificate injection module 150 injects the certificate to the field terminal 300 through the DLMS protocol. At this time, the certificate injection module 150 injects the key pair generated by the encryption module 160 into the field terminal 300.

이하, 첨부된 도면을 참조하여 본 발명의 실시 예에 따른 인증서 주입 방법을 설명하면 아래와 같다. 도 6은 본 발명의 실시 예에 따른 인증서 주입 방법을 설명하기 위한 흐름도이고, 도 7 내지 도 10은 본 발명의 실시 예에 따른 인증서 주입 방법을 설명하기 위한 도면이다.Hereinafter, a method for injecting a certificate according to an embodiment of the present invention will be described with reference to the accompanying drawings. 6 is a flowchart illustrating a method of injecting a certificate according to an embodiment of the present invention, and FIGS. 7 to 10 are diagrams illustrating a method of injecting a certificate according to an embodiment of the present invention.

도 6을 참조하면, 인증서 주입 장치(100)는 현장 단말(300)에게로 키 쌍(Key Pair) 생성 요청을 전송한다(S110). 인증서 주입 장치(100)는 현장 단말(300)의 통신 프로토콜을 이용하여 키 쌍 생성 요청을 전송한다. 일례로, 현장 단말(300)이 전자식 전력량계이면, 인증서 주입 장치(100)는 DLMS 프로토콜을 이용하여 키 쌍 생성(generate_key_pair 명령)을 요청한다. Referring to FIG. 6, the certificate injection device 100 transmits a key pair generation request to the field terminal 300 (S110). The certificate injection device 100 transmits a key pair generation request using the communication protocol of the field terminal 300. For example, if the field terminal 300 is an electronic watt-hour meter, the certificate injection device 100 requests a key pair generation (generate_key_pair command) using the DLMS protocol.

키 쌍 생성 요청을 수신한 현장 단말(300)은 내장 암호 모듈(미도시)을 통해 키 쌍을 생성한다. 현장 단말(300)은 키 쌍을 생성한 후 인증서 주입 장치(100)로 키 쌍 생성 결과를 통보한다.Upon receiving the key pair generation request, the field terminal 300 generates a key pair through a built-in encryption module (not shown). The field terminal 300 notifies the result of the key pair generation to the certificate injection device 100 after generating the key pair.

키 쌍은 목적에 따라 전자서명용(Digital Signature Key Pair), 키 합의용(Key Agreement Key Pair) 및 TLS(Transport Layer Security)용으로 구분할 수 있다. 이때, 키 쌍은 개인 키 및 공개 키를 포함하여 구성된다.Depending on the purpose, the key pair can be divided into a digital signature key pair, a key agreement key pair, and a transport layer security (TLS). At this time, the key pair includes a private key and a public key.

키 쌍은 하나의 목적으로만 사용되므로, 현장 단말(300)은 전자서명용 키 쌍, 키 합의용 키 쌍 및 TLS용 키 쌍을 각각 생성한다.Since the key pair is used for only one purpose, the field terminal 300 generates a key pair for digital signature, a key pair for key agreement, and a key pair for TLS, respectively.

현장 단말(300)은 외부 암호 모듈(160)에서 생성된 키 쌍을 주입받을 수도 있다. 현장 단말(300)은 제조 과정에서 키 쌍을 주입받아 저장하고 있을 수도 있다. 현장 단말(300)은 키 쌍 생성 요청을 수신하면 저장된 키 쌍의 존재 여부를 확인한 후 인증서 주입 장치(100)에게로 키 쌍 확보 결과를 통보한다.The field terminal 300 may receive a key pair generated by the external encryption module 160. The field terminal 300 may receive and store a key pair in the manufacturing process. Upon receiving the key pair generation request, the field terminal 300 checks whether the stored key pair exists, and then notifies the certificate injection device 100 of the result of securing the key pair.

인증서 주입 장치(100)는 현장 단말(300)에게로 인증서 생성 정보 요청을 전송한다(S120). 인증서 주입 장치(100)는 현장 단말(300)의 통신 프로토콜을 이용하여 인증서 생성 정보 요청을 전송한다. 일례로, 현장 단말(300)이 전자식 전력량계이면, 인증서 주입 장치(100)는 DLMS 프로토콜을 이용하여 인증서 생성 정보 요청(generate_certificate_request 명령)을 전송한다. The certificate injection device 100 transmits a certificate generation information request to the field terminal 300 (S120). The certificate injection device 100 transmits a certificate generation information request using the communication protocol of the field terminal 300. For example, if the field terminal 300 is an electronic power meter, the certificate injection device 100 transmits a certificate generation information request (generate_certificate_request command) using the DLMS protocol.

인증서 주입 장치(100)로부터 인증서 생성 정보 요청을 수신한 현장 단말(300)은 기생성한 키 쌍 중에서 인증서 생성에 필요한 공개 키(개인 키도 포함될 수 있음)와 고유 정보를 인증서 주입 장치(100)로 전송한다. 이때, 고유 정보는 현장 단말(300)의 시스템 타이틀(System title)인 것을 일례로 한다. 인증서 주입 장치(100)는 DLMS 프로토콜을 이용하여 인증서 생성 정보 요청과 함께 get 서비스 명령을 현장 단말(300)로 전송하여 고유 정보를 수집할 수도 있다.The field terminal 300 receiving the certificate generation information request from the certificate injection device 100 displays the public key (which may also include a private key) and unique information necessary for generating a certificate among the generated key pairs. Transfer to. In this case, it is assumed that the unique information is a system title of the field terminal 300. The certificate injection device 100 may collect the unique information by sending a get service command to the field terminal 300 along with requesting the certificate generation information using the DLMS protocol.

현장 단말(300)로부터 공개 키(개인 키도 포함될 수 있음) 및 고유 정보를 포함하는 인증서 생성 정보를 수신하면(S130; 예), 인증서 주입 장치(100)는 인증서 관리 서버(200)에게로 인증서 생성 요청을 전송한다(S140). 즉, 인증서 주입 장치(100)는 현장 단말(300)의 공개 키(개인 키도 포함될 수 있음)와 고유 정보를 포함하는 인증서 생성 요청을 생성하여 인증서 관리 서버(200)로 전송한다.Upon receiving the certificate generation information including the public key (which may also include a private key) and unique information from the field terminal 300 (S130; Yes), the certificate injection device 100 sends a certificate to the certificate management server 200 The generation request is transmitted (S140). That is, the certificate injection device 100 generates a certificate generation request including the public key (which may also include a private key) and unique information of the field terminal 300 and transmits it to the certificate management server 200.

일례로, 인증서 주입 장치(100)는 전자식 전력량계의 공개 키(개인 키도 포함될 수 있음) 및 시스템 타이틀을 포함하는 인증서 생성 요청 명령(X.509 V3 certificate signing request)을 생성하여 인증서 관리 서버(200)로 전송한다. 이때, 인증서 주입 장치(100)는 PKCS #10 (RFC 2986) 표준 규격에 준용하는 인증서 생성 요청 명령을 생성한다.In one example, the certificate injection device 100 generates a certificate generation request command (X.509 V3 certificate signing request) including a public key (which may also include a private key) and a system title of the electronic power meter to manage the certificate management server 200 ). At this time, the certificate injection device 100 generates a certificate generation request command conforming to the PKCS #10 (RFC 2986) standard.

인증서 주입 장치(100)로부터 인증서 생성 요청을 수신한 인증서 관리 서버(200)는 인증서 생성 요청에 포함된 개인 키 및 고유 정보를 이용하여 인증서를 생성한다. 즉, 인증서 관리 서버(200)는 수신한 인증서 생성 요청에 포함된 고유 정보를 검출하여 저장 및 관리한다. 인증서 관리 서버(200)는 인증서 생성 요청에 포함된 공개 키를 이용하여 검증을 수행한 후 인증서를 생성한다.The certificate management server 200 receiving the certificate generation request from the certificate injection device 100 generates a certificate using the private key and unique information included in the certificate generation request. That is, the certificate management server 200 detects, stores, and manages unique information included in the received certificate generation request. The certificate management server 200 generates a certificate after performing verification using a public key included in the certificate generation request.

일례로, 도 7을 참조하면, 인증서 관리 서버(200)는 X.509 Version 3의 양식을 준용하는 인증서를 생성한다. 인증서 관리 서버(200)는 인증서가 해당 현장 단말(300)에 맞게 주입될 수 있도록 하기 위해서 인증서의 확장 영역에 고유 정보(즉, System Title)를 설정한다.As an example, referring to FIG. 7, the certificate management server 200 generates a certificate conforming to the form of X.509 Version 3. The certificate management server 200 sets unique information (ie, a system title) in an extended area of the certificate so that the certificate can be injected to the corresponding field terminal 300.

인증서 관리 서버(200)는 생성한 인증서를 인증서 주입 장치(100)로 전송한다. 인증서를 수신하면(S150; 예), 인증서 주입 장치(100)는 인증서를 현장 단말(300)에 주입한다(S160). 인증서 주입 장치(100)는 인증서로부터 고유 정보를 검출한다. 인증서 주입 장치(100)는 DLMS 프로토콜을 통해 고유 정보에 대응하는 현장 단말(300)에 인증서를 주입한다.The certificate management server 200 transmits the generated certificate to the certificate injection device 100. Upon receiving the certificate (S150; Yes), the certificate injection device 100 injects the certificate into the field terminal 300 (S160). The certificate injection device 100 detects unique information from the certificate. The certificate injection device 100 injects a certificate into the field terminal 300 corresponding to unique information through the DLMS protocol.

인증서 주입 장치(100)는 DLMS 표준을 준수하면서 인증서를 현장 단말(300)에 전송하기 위해 2가지 방식 중 하나를 이용할 수 있다.The certificate injection device 100 may use one of two methods to transmit the certificate to the field terminal 300 while complying with the DLMS standard.

첫 번째 방식은 현장 단말(300)에 구현된 security setup object를 사용하는 방식이다. Security setup object는 전력량계의 보안정책 정의, 사용할 보안 suite 정의 및 비 대칭키 생성과 관리 등의 역할을 수행한다.The first method is a method using a security setup object implemented in the field terminal 300. The Security setup object plays the role of defining the security policy of the electricity meter, defining the security suite to be used, and generating and managing an asymmetric key.

도 8에서는 Security setup 기능을 수행하는 객체(object) 모델링 하기 위해 DLMS 표준에서 제공하는 양식인 security setup IC를 보여준다.8 shows a security setup IC that is a form provided by the DLMS standard for modeling an object that performs a security setup function.

인증서 주입 장치(100)는 DLMS 클라이언트로 동작하고, 현장 단말(300)은 DLMS 서버로 동작한다. 인증서 주입 장치(100)는 6번째 method인 import certificate 명령을 수행하여 현장 단말(300)에 인증서를 주입한다. 현장 단말(300)은 주입된 인증서에 대해서 유효기간 확인 및 전자서명 검증과 후 이상이 없을 경우에는 암호 모듈(160; 내장 암호 모듈 또는 외장 암호 모듈)에 저장한다.The certificate injection device 100 operates as a DLMS client, and the field terminal 300 operates as a DLMS server. The certificate injection device 100 injects a certificate into the field terminal 300 by executing the sixth method, import certificate command. The field terminal 300 stores the injected certificate in the cryptographic module 160 (internal cryptographic module or external cryptographic module) if there is no abnormality after checking the expiration date and verifying the digital signature.

두 번째 방식은 security setup object를 사용하지 않고 인증서를 관리할 수 있는 객체 모델링을 수행하는 방식이다. 도 9를 참조하면, 객체 모델링은 사전에 정의된 객체모델링 양식인 IC(Interface Class)의 attribute와 methods를 이용하여 모델링하며, 모델링한 객체를 접근할 때 필요한 고유한 이름을 부여하는데 6바이트 크기의 OBIS(Object Identification System)코드로 불린다.The second method is to perform object modeling that can manage certificates without using the security setup object. Referring to FIG. 9, object modeling is modeled using attributes and methods of IC (Interface Class), which is a predefined object modeling style, and is given a unique name required to access the modeled object. It is called OBIS (Object Identification System) code.

그러면 인증서 주입 장치(100)는 set 서비스 명령을 통해서 인증서를 업데이트 또는 변경할 수 있다. 인증서는 데이터의 집합체이므로 객체모델링을 수행할 때 Data IC를 이용하는 것이 바람직하다.Then, the certificate injection device 100 may update or change the certificate through the set service command. Since certificates are a collection of data, it is desirable to use Data IC when performing object modeling.

도 6에서는 인증서 주입 장치(100)가 하나의 현장 단말(300)과 연결된 것을 예로 들어 설명하고 있으나, 도 10에 도시된 바와 같이, 인증서 주입 장치(100)는 업무의 효율화를 위해서 복수의 현장 단말(300)과 연결되는 것이 일반적이다.In FIG. 6, although the certificate injection device 100 is described as an example in which it is connected to one field terminal 300, as shown in FIG. 10, the certificate injection device 100 has a plurality of field terminals for efficiency of work. It is common to connect with 300.

이 경우, S120 단계에서는 복수의 현장 단말(300)에 대해 순차적인 방식으로 필요한 공개 키(개인 키도 포함될 수 있음)와 고유 정보(system title) 등을 수집한다.In this case, in step S120, a public key (which may also include a private key) and unique information (system title) are collected in a sequential manner for a plurality of field terminals 300.

이를 위해, 인증서 주입 장치(100)는 현장 단말(300)의 물리적 주소를 오름차순 또는 내림차순으로 정렬하거나, 고유 정보를 이용하여 정렬하여 복수의 현장 단말(300)에 순차를 설정할 수 있다. 일례로, 인증서 주입 장치(100)는 DLMS의 HLDC 방식을 사용할 경우 물리주소는 HLDC의 lower address를 이용하여 정렬한다.To this end, the certificate injection device 100 may set the physical address of the field terminal 300 in ascending or descending order, or by using unique information to set the sequence on the plurality of field terminals 300. In one example, when using the HLDC method of the DLMS, the certificate injection device 100 sorts the physical address using the lower address of the HLDC.

인증서 주입 장치(100)는 복수의 현장 단말(300)의 물리적 주소 및 고유 정보를 모르는 경우 물리적 주소를 순차적으로 증가시키면서 요청 신호를 전송하고 응답 신호를 수신하고 물리적 주소를 확인하여 복수의 현장 단말(300)의 물리적 주소를 검출한다. The certificate injection device 100 transmits a request signal while sequentially increasing a physical address when the physical address and unique information of the plurality of field terminals 300 are not known, receives a response signal, and checks the physical address to check a plurality of field terminals ( 300).

일례로, DLMS의 HDLC 방식을 사용하는 전자식 전력량계의 물리적 주소는 0~127번까지 사용되므로, 인증서 주입 장치(100)는 0~127까지 순차적으로 물리적 주소를 증가시키면서 복수의 현장 단말(300)의 물리적 주소를 검출한다.As an example, since the physical address of the electronic watt hour meter using the HDLC method of DLMS is used from 0 to 127, the certificate injection device 100 increases the physical address sequentially from 0 to 127, and Physical address detection.

인증서 주입 장치(100)는 검출한 물리적 주소를 이용하여 DLMS 통신으로 현장 단말(300)로부터 공개 키(개인 키도 포함될 수 있음) 및 고유 정보를 수집한다. 인증서 주입 장치(100)는 검출한 물리적 주소와 공개 키(개인 키도 포함될 수 있음) 및 고유 정보를 매핑하여 관리한다.The certificate injection device 100 collects a public key (which may include a private key) and unique information from the field terminal 300 through DLMS communication using the detected physical address. The certificate injection device 100 maps and manages the detected physical address and public key (which may also include a private key) and unique information.

S140 단계에서는 테이블 형성의 데이터를 갖는 파일을 통해 복수의 현장 단말(300)에 대한 인증서 생성 요청을 한 번에 인증서 관리 서버(200)로 요청한다.In step S140, a certificate generation request for a plurality of field terminals 300 is requested to the certificate management server 200 at a time through a file having data of table formation.

즉, 인증서 주입 장치(100)는 PKCS #10 (RFC 2986)을 준용할 경우 한 번에 하나의 인증서 생성 요청만 가능하다. 인증서 주입 장치(100)는 복수의 인증서 생성 요청을 위해 마이크로소프트사의 엑셀 등과 같이 테이블 형식의 파일에 인증서 생성 요청 관련 정보를 포함하여 전송할 수 있다.That is, when the PKCS #10 (RFC 2986) is applied to the certificate injection device 100, only one certificate generation request can be made at a time. The certificate injection device 100 may transmit information including a certificate generation request in a file in a table format such as Microsoft's Excel for multiple certificate generation requests.

이때, 인증서 주입 장치(100)는 복수의 현장 단말(300)들 각각에 대해 공개 키(개인 키도 포함될 수 있음) 및 고유 정보 등이 매칭된 파일을 인증서 관리 서버(200)로 전송한다. 인증서 관리 서버(200)는 해당 파일을 파싱하여 필요한 데이터를 추출하여 복수의 현장 단말(300) 각각에 대한 인증서를 생성한다.At this time, the certificate injection device 100 transmits a file matching the public key (which may also include a private key) and unique information to each of the plurality of field terminals 300 to the certificate management server 200. The certificate management server 200 parses the file and extracts necessary data to generate a certificate for each of the plurality of field terminals 300.

인증서 주입 장치(100)는 S150 단계에서 복수의 인증서를 수신하게 된다. 이에, S160 단계에서는 인증서 관리 서버(200)로부터 복수의 인증서를 해당하는 현장 단말(300)에 정확히 주입해야 한다. 인증서 주입 장치(100)는 인증서에 포함된 고유 정보를 기준으로 인증서를 주입하여 복수의 인증서를 정확히 주입할 수 있다.The certificate injection device 100 receives a plurality of certificates in step S150. Accordingly, in step S160, a plurality of certificates from the certificate management server 200 must be accurately injected into the corresponding field terminal 300. The certificate injection device 100 can accurately inject a plurality of certificates by injecting a certificate based on unique information included in the certificate.

이를 통해, 인증서 주입 장치(100)는 인증서 관리 서버(200)로부터 수신한 인증서를 공개 키(개인 키도 포함될 수 있음) 또는 고유 정보에 매핑된 물리적 주소로 전송하여 복수의 인증서를 자동으로 정확하게 주입할 수 있다. Through this, the certificate injection device 100 automatically and accurately injects a plurality of certificates by transmitting the certificate received from the certificate management server 200 to a public key (which may also include a private key) or a physical address mapped to unique information. can do.

즉, 인증서 주입 장치(100)는 인증서 관리 서버(200)로부터 복수의 인증서를 수신한다. 인증서 주입 장치(100)는 로컬 통신으로 연결되어 있는 현장 단말(300)들을 대상으로 물리적 주소를 확인한다. 인증서 주입 장치(100)는 물리적 주소를 이용해서 고유 정보를 획득하고, 인증서에 포함된 고유 정보와 매핑하여 인증서를 매핑된 고유 정보에 대응하는 현장 단말(300)에 주입한다.That is, the certificate injection device 100 receives a plurality of certificates from the certificate management server 200. The certificate injection device 100 verifies the physical address of the field terminals 300 connected by local communication. The certificate injection device 100 acquires unique information using a physical address, and maps the unique information included in the certificate to inject the certificate into the field terminal 300 corresponding to the mapped unique information.

인증서 주입 장치(100)는 상술한 과정을 통해 현장 단말(300)이 현장에 설치된 이후에 인증서를 주입하거나, 현장에 설치되지 전에 인증서를 주입할 수 있다.The certificate injection device 100 may inject the certificate after the on-site terminal 300 is installed in the field through the above-described process, or inject the certificate before it is not installed in the field.

인증서 주입 장치(100)는 암호 모듈(160)을 내장하기 때문에 인증서 관리 서버(200) 또는 현장 단말(300)과의 통신시 요구조건에 따라서 인증 암복호화 및 전자서명 등의 기능을 사용하고 기밀성과 무결성을 확보할 수도 있다.Since the certificate injection device 100 has a built-in encryption module 160, it uses functions such as authentication encryption/decryption and electronic signature according to requirements when communicating with the certificate management server 200 or the field terminal 300, and the confidentiality Integrity can be ensured.

또한, 인증서 주입 장치(100)는 인증서 관리 서버(200)로부터 수신한 복수의 인증서 중에서 사용되지 않은 인증서에 대한 폐기를 인증서 관리 서버(200)로 요청할 수도 있다. 즉, 인증서 주입 장치(100)는 복수의 인증서 중에서 현장 단말(300)에 주입되지 않은 인증서를 포함하는 인증서 목록을 생성한다. 인증서 주입 장치(100)는 생성한 인증서 목록을 포함하는 인증서 폐기 요청을 인증서 관리 서버(200)에게로 전송한다. 인증서 관리 서버(200)를 인증서 폐기 요청으로부터 인증서 목록을 검출하고, 인증서 목록에 포함된 인증서를 폐기한다. In addition, the certificate injection device 100 may request the certificate management server 200 to revoke an unused certificate among a plurality of certificates received from the certificate management server 200. That is, the certificate injection device 100 generates a certificate list including a certificate that has not been injected into the field terminal 300 among a plurality of certificates. The certificate injection device 100 transmits a certificate revocation request including the generated certificate list to the certificate management server 200. The certificate management server 200 detects the certificate list from the certificate revocation request, and revokes the certificate included in the certificate list.

이하, 첨부된 도면을 참조하여 본 발명의 실시 예에 따른 인증서 주입 방법의 변형 예를 설명하면 아래와 같다. 도 11은 본 발명의 실시 예에 따른 인증서 주입 방법의 변형 예를 설명하기 위한 흐름도이고, 도 12는 도 11의 인증서 주입 단계를 설명하기 위한 도면이다.Hereinafter, a modified example of a certificate injection method according to an embodiment of the present invention will be described with reference to the accompanying drawings. 11 is a flowchart for explaining a modification of the certificate injection method according to an embodiment of the present invention, and FIG. 12 is a view for explaining the certificate injection step of FIG. 11.

인증서 주입 장치(100)는 현장 단말(300)에 대응되는 키 쌍을 생성한다(S210). 인증서 주입 장치(100)는 내장된 암호 모듈(160)을 이용하여 키 쌍을 생성한다. 인증서 주입 장치(100)는 현장 단말(300)에 대응되는 공개 키 및 개인 키를 포함하는 키 쌍을 생성한다. The certificate injection device 100 generates a key pair corresponding to the field terminal 300 (S210). The certificate injection device 100 generates a key pair using the built-in cryptographic module 160. The certificate injection device 100 generates a key pair including a public key and a private key corresponding to the field terminal 300.

인증서 주입 장치(100)는 현장 단말(300)로부터 고유 정보를 수집한다(S220). 인증서 주입 장치(100)는 키 쌍 생성 후 get 서비스 명령을 이용하여 현장 단말(300)로부터 고유 정보를 수집한다. 인증서 주입 장치(100)는 수집한 고유 정보를 키 쌍과 매칭하여 관리한다.The certificate injection device 100 collects unique information from the field terminal 300 (S220). The certificate injection device 100 collects unique information from the field terminal 300 using a get service command after generating a key pair. The certificate injection device 100 manages the collected unique information by matching it with a key pair.

인증서 주입 장치(100)는 인증서 생성 정보를 생성한다(S230). 인증서 주입 장치(100)는 S210 단계에서 생성된 키 쌍의 공개 키(개인 키도 포함될 수 있음)와 S220 단계에서 수집한 고유 정보를 매칭하여 인증서 생성 정보를 생성한다.The certificate injection device 100 generates certificate generation information (S230). The certificate injection device 100 generates certificate generation information by matching the public key (the private key may be included) of the key pair generated in step S210 with the unique information collected in step S220.

인증서 주입 장치(100)는 인증서 관리 서버(200)에게로 인증서 생성을 요청한다(S240). 즉, 인증서 수집 모듈(140)은 S230 단계에 생성된 인증서 생성 정보를 포함하는 인증서 생성 요청을 인증서 관리 서버(200)에게로 전송한다.The certificate injection device 100 requests the certificate management server 200 to generate a certificate (S240). That is, the certificate collection module 140 transmits a certificate generation request including the certificate generation information generated in step S230 to the certificate management server 200.

인증서 관리 서버(200)로부터 인증서를 수신하면(S250; 예), 인증서 주입 장치(100)는 인증서를 현장 단말(300)에 주입한다(S260). 인증서 주입 장치(100)는 인증서로부터 고유 정보를 검출한다. 인증서 주입 장치(100)는 DLMS 프로토콜을 통해 고유 정보에 대응하는 현장 단말(300)에 인증서를 주입한다.When a certificate is received from the certificate management server 200 (S250; Yes), the certificate injection device 100 injects the certificate into the field terminal 300 (S260). The certificate injection device 100 detects unique information from the certificate. The certificate injection device 100 injects a certificate into the field terminal 300 corresponding to unique information through the DLMS protocol.

인증서 주입 장치(100)는 현장 단말(300)에 공개 키 및 개인 키를 포함하는 키 쌍을 주입한다(S270). 즉, 인증서 주입 장치(100)는 S210 단계에서 생성된 키 쌍을 현장 단말(300)에 주입한다. 인증서 주입 장치(100)는 인증서로부터 고유 정보를 검출한다. 인증서 주입 장치(100)는 DLMS 프로토콜을 고유 정보에 대응하는 현장 단말(300)에 공개 키 및 개인 키를 포함하는 키 쌍을 주입한다.The certificate injection device 100 injects a key pair including a public key and a private key into the field terminal 300 (S270). That is, the certificate injection device 100 injects the key pair generated in step S210 into the field terminal 300. The certificate injection device 100 detects unique information from the certificate. The certificate injection device 100 injects a key pair including a public key and a private key into the field terminal 300 corresponding to the unique information using the DLMS protocol.

인증서 주입 장치(100)는 security setup IC(도 8 참조)의 2번째 method인 key transfer를 이용하여 공개 키 및 개인 키를 현장 단말(300)에 주입한다. 이때, 도 12를 참조하면, DLMS에서는 key_id를 정의하고 있는데, 인증서 주입 장치(100)는 key_id의 4에 개인 키를 정의해서 사용할 수 있다.The certificate injection device 100 injects the public key and the private key into the field terminal 300 using key transfer, which is the second method of the security setup IC (see FIG. 8). At this time, referring to FIG. 12, in the DLMS, key_id is defined, and the certificate injection device 100 may define and use a private key at 4 of key_id.

상술한 바와 같이, 인증서 주입 장치는 현장 단말로부터 인증서 생성을 위한 보안 재료를 수집하고, 보안 재료를 이용하여 인증서 관리 서버로부터 인증서를 수집하여 현장 단말에 주입함으로써, 매년 설치되는 수백만 개 이상의 현장 단말에 손쉽게 인증서를 주입할 수 있는 효과가 있다.As described above, the certificate injection device collects the security material for generating a certificate from the field terminal, collects the certificate from the certificate management server using the security material, and injects it into the field terminal, thereby providing to millions of field terminals installed annually. It has the effect of easily injecting a certificate.

또한, 인증서 주입 장치는 현장 단말로부터 인증서 생성을 위한 보안 재료를 수집하고, 보안 재료를 이용하여 인증서 관리 서버로부터 인증서를 수집하여 현장 단말에 주입함으로써, 인증서 설치를 위한 시간을 최소화하고, 그에 따른 인증서 설치 비용을 최소화할 수 있는 효과가 있다.In addition, the certificate injection device collects the security material for generating a certificate from the field terminal, and collects the certificate from the certificate management server using the security material and injects it into the field terminal, minimizing the time for installing the certificate, and thus the certificate This has the effect of minimizing the installation cost.

또한, 인증서 주입 장치는 현장 단말로부터 인증서 생성을 위한 보안 재료를 수집하고, 보안 재료를 이용하여 인증서 관리 서버로부터 인증서를 수집하여 현장 단말에 주입함으로써, 수작업시 발생하는 작업자의 실수로 인한 오작동을 방지할 수 있는 효과가 있다.In addition, the certificate injection device collects the security material for generating a certificate from the field terminal, and collects the certificate from the certificate management server using the security material and injects it into the field terminal, thereby preventing malfunction due to an operator's mistake during manual operation. It has the effect.

또한, 인증서 주입 장치는 현장 단말로부터 인증서 생성을 위한 보안 재료를 수집하고, 보안 재료를 이용하여 인증서 관리 서버로부터 인증서를 수집하여 현장 단말에 주입함으로써, 지능형 원격검침 인프라의 보안 사업을 위해 필요한 보안 재료의 수집 및 설정을 자동화하여 업무 효율성 향상과 오작동을 최소화할 수 있는 효과가 있다.In addition, the certificate injection device collects the security material for generating a certificate from the field terminal, and collects the certificate from the certificate management server using the security material and injects it into the field terminal, thereby providing the necessary security material for the security business of the intelligent remote metering infrastructure. It has the effect of improving work efficiency and minimizing malfunction by automating the collection and setting of.

이상에서 본 발명에 따른 바람직한 실시 예에 대해 설명하였으나, 다양한 형태로 변형이 가능하며, 본 기술분야에서 통상의 지식을 가진자라면 본 발명의 특허청구범위를 벗어남이 없이 다양한 변형 예 및 수정 예를 실시할 수 있을 것으로 이해된다.Although the preferred embodiment according to the present invention has been described above, it can be modified in various forms, and those skilled in the art can make various modifications and modifications without departing from the claims of the present invention. It is understood that it can be practiced.

100: 인증서 주입 장치 110: 제1 통신 모듈
120: 제2 통신 모듈 130: 인증서 생성 정보 수집 모듈
140: 인증서 수집 모듈 150: 인증서 주입 모듈
160: 암호 모듈 200: 인증서 관리 서버
300: 현장 단말100: certificate injection device 110: first communication module
120: second communication module 130: certificate generation information collection module
140: certificate collection module 150: certificate injection module
160: password module 200: certificate management server
300: field terminal

Claims (20)

현장 단말의 공개 키 및 개인 키의 키 쌍 및 DLMS 표준에 따르며 시스템 타이틀인 고유 정보를 포함하는 인증서 생성 정보를 수집하는 인증서 생성 정보 수집 모듈;
상기 인증서 생성 정보를 포함하는 인증서 생성 요청을 인증서 관리 서버로 전송하고, 상기 인증서 관리 서버로부터 상기 고유 정보를 포함하고 상기 인증서 생성 요청에 대응되는 인증서를 수집하는 인증서 수집 모듈; 및
상기 인증서 수집 모듈에서 수집한 인증서로부터 고유 정보를 검출하고, 검출한 고유 정보에 대응하는 현장 단말에 상기 인증서를 주입하는 인증서 주입 모듈을 포함하는 인증서 주입 장치로서,
상기 현장 단말은 DLMS 서버로 동작하고, 상기 인증서 주입 장치는 DLMS 클라이언트로 동작하는 방식으로 상기 현장 단말과 데이터를 송수신하는 인증서 주입 장치.
A certificate generation information collection module that collects certificate generation information including key information of a public key and a private key of a field terminal and DLMS standards, and includes unique information that is a system title;
A certificate collection module that transmits a certificate generation request including the certificate generation information to a certificate management server, and collects a certificate corresponding to the certificate generation request and including the unique information from the certificate management server; And
A certificate injection device including a certificate injection module that detects unique information from a certificate collected by the certificate collection module and injects the certificate into a field terminal corresponding to the detected unique information,
The field terminal operates as a DLMS server, and the certificate injection device operates as a DLMS client, a certificate injection device that transmits and receives data to and from the field terminal.
삭제delete 제1항에 있어서,
상기 인증서 생성 정보 수집 모듈은,
상기 현장 단말에게로 키 쌍 생성 요청을 전송한 후 상기 현장 단말로부터 키 쌍 생성 결과 또는 키 쌍 확보 결과를 수신하면, 상기 인증서 생성 정보를 포함하는 인증서 생성 정보 요청을 상기 현장 단말에게로 전송하는 인증서 주입 장치.According to claim 1,
The certificate generation information collection module,
A certificate that transmits a request for generating a key pair to the field terminal and receives a result of generating a key pair or obtaining a key pair from the field terminal, and then transmits a certificate generation information request including the certificate generation information to the field terminal. Injection device. 삭제delete 삭제delete 제1항에 있어서,
상기 현장 단말과 데이터를 송수신하는 제1 통신 모듈; 및
상기 인증서 관리 서버와 데이터를 송수신하는 제2 통신 모듈을 더 포함하고,
상기 제1 통신 모듈의 프로토콜은 상기 제2 통신 모듈의 프로토콜과 다른 프로토콜인 인증서 주입 장치.According to claim 1,
A first communication module that transmits and receives data to and from the field terminal; And
Further comprising a second communication module for transmitting and receiving data with the certificate management server,
The protocol of the first communication module is a certificate injection device that is different from the protocol of the second communication module. 제1항에 있어서,
상기 현장 단말의 공개 키 및 개인 키를 포함하는 키 쌍을 생성하는 암호 모듈을 더 포함하는 인증서 주입 장치.According to claim 1,
Certificate injection device further comprising a cryptographic module for generating a key pair including the public key and the private key of the field terminal. 제7항에 있어서,
상기 인증서 생성 정보 수집 모듈은 상기 현장 단말로부터 상기 고유 정보를 수집하고, 상기 암호 모듈에서 생성된 키 쌍과 매칭하여 상기 인증서 생성 정보를 생성하는 인증서 주입 장치.The method of claim 7,
The certificate generation information collecting module collects the unique information from the field terminal, and matches the key pair generated in the encryption module to generate the certificate generation information. 제7항에 있어서,
상기 인증서 주입 모듈은 상기 암호 모듈에서 생성된 키 쌍을 상기 현장 단말에 주입하는 인증서 주입 장치.The method of claim 7,
The certificate injection module is a certificate injection device that injects the key pair generated in the encryption module to the field terminal. 인증서 주입 장치를 이용해 현장 단말에 인증서를 주입하는 인증서 주입 방법에 있어서,
상기 현장 단말에게로 키 쌍 생성을 요청하는 단계;
상기 현장 단말로부터 키 쌍 생성 결과 및 키 쌍 확보 결과 중 하나를 수신하는 단계;
상기 현장 단말에게로 인증서 생성 정보 요청을 전송하는 단계;
상기 현장 단말로부터 현장 단말의 상기 키 쌍 및 DLMS 표준에 따르며 시스템 타이틀인 고유 정보를 포함하는 인증서 생성 정보를 수집하는 단계;
인증서 관리 서버에게로 상기 인증서 생성 정보를 포함하는 인증서 생성 요청을 전송하는 단계;
상기 인증서 관리 서버로부터 상기 고유 정보를 포함한 인증서를 수신하는 단계; 및
상기 수신한 인증서로부터 고유 정보를 검출하고, 검출한 고유 정보에 대응하는 현장 단말에 상기 인증서를 주입하는 단계를 포함하되
상기 현장 단말은 DLMS 서버로 동작하고, 상기 인증서 주입 장치는 DLMS 클라이언트로 동작하는 인증서 주입 방법.
In the certificate injection method for injecting a certificate to the field terminal using a certificate injection device,
Requesting generation of a key pair to the field terminal;
Receiving one of a key pair generation result and a key pair acquisition result from the field terminal;
Transmitting a certificate generation information request to the field terminal;
Collecting certificate generation information according to the key pair of the field terminal and the DLMS standard from the field terminal and including the system title unique information;
Transmitting a certificate generation request including the certificate generation information to a certificate management server;
Receiving a certificate including the unique information from the certificate management server; And
Detecting unique information from the received certificate, and injecting the certificate to the field terminal corresponding to the detected unique information,
The field terminal operates as a DLMS server, and the certificate injection device operates as a DLMS client.
삭제delete 삭제delete 삭제delete 제10항에 있어서,
상기 인증서 생성 정보를 수집하는 단계에서는 물리적 주소 및 고유 정보 중 하나를 근거로 복수의 현장 단말에 순차를 설정하고, 상기 설정된 순차를 근거로 상기 복수의 현장 단말로부터 인증서 생성 정보를 수신하는 인증서 주입 방법.The method of claim 10,
In the step of collecting the certificate generation information, a method of injecting a certificate for establishing a sequence to a plurality of field terminals based on one of a physical address and unique information, and receiving certificate generation information from the plurality of field terminals based on the set sequence . 제14항에 있어서,
상기 인증서 생성 정보를 수집하는 단계에서는.
물리적 주소를 증가시키면서 요청 신호를 전송하고, 응답 신호를 전송하는 물리적 주소를 현장 단말의 물리적 주소로 검출하고, 상기 검출한 물리적 주소를 근거로 공개 키 및 고유 정보를 포함하는 인증서 생성 정보를 수집하여 상기 물리적 주소와 매칭하는 인증서 주입 방법.The method of claim 14,
In the step of collecting the certificate generation information.
While transmitting the request signal while increasing the physical address, the physical address transmitting the response signal is detected as the physical address of the field terminal, and the certificate generation information including the public key and the unique information is collected based on the detected physical address. Certificate injection method to match the physical address. 현장 단말에 대응되는 키 쌍을 생성하는 단계;
상기 현장 단말로부터 DLMS 표준에 따르며 시스템 타이틀인 고유 정보를 수집하는 단계;
상기 키 쌍 및 상기 고유 정보를 포함하는 인증서 생성 정보를 생성하는 단계;
인증서 관리 서버로 상기 인증서 생성 정보를 포함하는 인증서 생성 요청을 전송하는 단계;
상기 인증서 관리 서버로부터 상기 고유 정보를 포함한 인증서를 수신하는 단계;
상기 수신한 인증서로부터 고유 정보를 검출하고, 검출한 고유 정보에 대응하는 현장 단말에 상기 인증서를 주입하는 단계; 및
상기 현장 단말에 상기 키 쌍을 주입하는 단계를 포함하되,
상기 현장 단말은 DLMS 서버로 동작하는 인증서 주입 방법.

Generating a key pair corresponding to the field terminal;
Collecting unique information that is a system title according to the DLMS standard from the field terminal;
Generating certificate generation information including the key pair and the unique information;
Transmitting a certificate generation request including the certificate generation information to a certificate management server;
Receiving a certificate including the unique information from the certificate management server;
Detecting unique information from the received certificate and injecting the certificate into a field terminal corresponding to the detected unique information; And
Injecting the key pair to the field terminal,
The field terminal is a certificate injection method that operates as a DLMS server.

삭제delete 삭제delete 삭제delete 삭제delete
KR1020180111626A 2018-09-18 2018-09-18 Apparatus and method for installing certificates KR102128444B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180111626A KR102128444B1 (en) 2018-09-18 2018-09-18 Apparatus and method for installing certificates

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180111626A KR102128444B1 (en) 2018-09-18 2018-09-18 Apparatus and method for installing certificates

Publications (2)

Publication Number Publication Date
KR20200032513A KR20200032513A (en) 2020-03-26
KR102128444B1 true KR102128444B1 (en) 2020-06-30

Family

ID=69958671

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180111626A KR102128444B1 (en) 2018-09-18 2018-09-18 Apparatus and method for installing certificates

Country Status (1)

Country Link
KR (1) KR102128444B1 (en)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101686167B1 (en) * 2015-07-30 2016-12-28 주식회사 명인소프트 Apparatus and Method for Certificate Distribution of the Internet of Things Equipment

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101143193B1 (en) * 2005-11-25 2012-05-18 주식회사 엘지유플러스 Method and system for issuing ic chip
KR101383810B1 (en) * 2011-11-14 2014-04-14 한전케이디엔주식회사 System and method for certificating security smart grid devices
KR101772936B1 (en) 2015-12-10 2017-08-30 한전케이디엔주식회사 AMI Security System using One Time Password and Method thereof

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101686167B1 (en) * 2015-07-30 2016-12-28 주식회사 명인소프트 Apparatus and Method for Certificate Distribution of the Internet of Things Equipment

Also Published As

Publication number Publication date
KR20200032513A (en) 2020-03-26

Similar Documents

Publication Publication Date Title
US20210176073A1 (en) Providing security in an intelligent electronic device
JP5175952B2 (en) Data transmission apparatus and method
CN112689833B (en) Information communication device, authentication program for information communication device, and authentication method
CN101616165A (en) A kind of method of inquiring and authenticating issue of novel X 509 digital certificate white list
CN107911224B (en) The continuous card method and system of universal embedded integrated circuit card
KR101294319B1 (en) Remote inspection system and communication method of the same
CN103117987A (en) Digital certificate updating method
BR102019005184A2 (en) METHOD AND SYSTEM FOR PROVIDING A SAFE TERMINAL
CN111435390A (en) Safety protection method for operation and maintenance tool of power distribution terminal
KR101772936B1 (en) AMI Security System using One Time Password and Method thereof
MX2012011584A (en) Locating network resources for an entity based on its digital certificate.
CN107223328A (en) A kind of method and system of Root authority management and control
CN104484792A (en) Method and system for realizing online annual declaration of organization institution code information
CA2888443A1 (en) Certificate installation and delivery process, four factor authentication, and applications utilizing same
CN105447747A (en) Tax declaration method based on C/S (client/Server) framework
JP2018174507A (en) Communication device
KR102128444B1 (en) Apparatus and method for installing certificates
CN111435389A (en) Power distribution terminal operation and maintenance tool safety protection system
KR100961842B1 (en) Security authentication system and method for remote measurement based on power line communication
CN107181795B (en) Convenient filling method and system for wireless security terminal firmware
BR112014004642B1 (en) PREFECTIVE METHOD AND SYSTEM FOR UTILITY CONSUMPTIONS WITHIN AN INTELLIGENT NETWORK
CN100566238C (en) Obtain the method and system of user profile
KR20200143034A (en) Certificate-based security electronic watt hour meter
KR101441566B1 (en) Apparatus and method for secure authentication of smart meter
JP4868322B2 (en) Information processing system and information processing method

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant