KR102128444B1 - Apparatus and method for installing certificates - Google Patents
Apparatus and method for installing certificates Download PDFInfo
- Publication number
- KR102128444B1 KR102128444B1 KR1020180111626A KR20180111626A KR102128444B1 KR 102128444 B1 KR102128444 B1 KR 102128444B1 KR 1020180111626 A KR1020180111626 A KR 1020180111626A KR 20180111626 A KR20180111626 A KR 20180111626A KR 102128444 B1 KR102128444 B1 KR 102128444B1
- Authority
- KR
- South Korea
- Prior art keywords
- certificate
- field terminal
- injection device
- unique information
- information
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0866—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
Abstract
현장 단말의 키 및 고유 정보를 이용하여 인증서 관리 서버로부터 인증서를 수집하고, 수집한 인증서를 현장 단말에 자동 주입하도록 한 인증서 주입 장치 및 방법을 제시한다. 제시된 인증서 주입 장치는 현장 단말의 키 쌍 및 고유 정보를 포함하는 인증서 생성 정보를 수집하는 인증서 생성 정보 수집 모듈, 인증서 생성 정보를 포함하는 인증서 생성 요청을 인증서 관리 서버로 전송하고, 인증서 관리 서버로부터 인증서 생성 요청에 대응되는 인증서를 수집하는 인증서 수집 모듈 및 인증서 수집 모듈에서 수집한 인증서를 현장 단말에 주입하는 인증서 주입 모듈을 포함한다.A certificate injection device and method for collecting a certificate from a certificate management server using a key and unique information of a field terminal and automatically injecting the collected certificate into the field terminal are presented. The presented certificate injection device transmits a certificate generation information collection module that collects certificate generation information including a key pair and unique information of a field terminal, a certificate generation request including certificate generation information, to a certificate management server, and a certificate from the certificate management server. It includes a certificate collection module for collecting the certificate corresponding to the request to generate and a certificate injection module for injecting the certificate collected in the certificate collection module to the field terminal.
Description
본 발명은 인증서 주입 장치 및 방법에 관한 것으로, 더욱 상세하게는 지능형 원격검침 인프라(AMI)의 현장 단말인 전자식 전력량계, 통신 모뎀 등에 인증서를 자동을 주입하는 인증서 주입 장치 및 방법에 관한 것이다.The present invention relates to a certificate injection device and method, and more particularly, to a certificate injection device and method for automatically injecting a certificate to an electronic power meter, a communication modem, etc., which is a field terminal of an intelligent remote metering infrastructure (AMI).
전력 계통 업체에서는 지능형 전력망 정보의 보호조치에 관한 지침에 의거하여 지능형 원격검침 인프라의 구축시 검증필 암호 모듈(Secure Element)을 사용하여 보안을 적용해야 한다.In accordance with the guidelines on the protection measures of intelligent power grid information, power grid companies must apply security by using a verified secure element when constructing an intelligent remote metering infrastructure.
일반적으로 암호 모듈의 역할은 암복호화, 전자서명 생성 및 검증, 해쉬 연산, 키 합의 등의 다양한 암호 연산 기능을 제공함과 더불어, 사용 편의상 암호 모듈 내부에 안전한 저장 기능도 같이 제공할 수 있다.In general, the role of the cryptographic module provides various cryptographic operation functions such as encryption/decryption, digital signature generation and verification, hash operation, and key agreement, and can also provide a secure storage function inside the cryptographic module for convenience of use.
검증필 암호 모듈은 소프트웨어 기반의 암호 모듈 및 하드웨어 기반의 암호 모듈로 구분할 수 있다.The verified cryptographic module can be divided into a software-based cryptographic module and a hardware-based cryptographic module.
소프트웨어 기반의 암호 모듈은 적용할 대상 기기의 운영체제(OS)를 고려하여 설계되었기 때문에 검침서버, DCU(Data Concentration Unit) 등과 같이 운영체제가 설치된 환경에서 사용된다.Since the software-based encryption module is designed in consideration of the operating system (OS) of the target device to be applied, it is used in an environment where an operating system is installed, such as a meter reading server and a Data Concentration Unit (DCU).
하드웨어 기반의 암호 모듈은 운영체제를 사용하지 않는 임베디드 장치에서 사용된다. 대표적인 임베디드 장치는 지능형 원격검침 인프라의 현장 단말인 통신 모뎀 및 전자식 전력량계 등이 있다.Hardware-based cryptographic modules are used in embedded devices that do not use an operating system. Typical embedded devices include communication modems and electronic watt-hour meters that are field terminals of an intelligent remote metering infrastructure.
통신 모뎀 및 전자식 전력량계는 하드웨어 기반의 암호 모듈을 사용하여 전력 업체의 보안정책에 맞게 각종 보안기능을 수행한다. 이때, 암호 모듈은 암복호화, 전자서명 생성 및 검증, 해쉬 연산, 키 합의 등의 암호 연산을 수행하기 위해서 주입된 인증서, 각종 키 등의 보안 재료를 이용한다.Communication modems and electronic power meters use hardware-based cryptographic modules to perform various security functions in accordance with the security policies of power companies. At this time, the cryptographic module uses a security material such as an injected certificate and various keys to perform cryptographic operations such as encryption/decryption, digital signature generation and verification, hash operation, and key agreement.
이에, 전자식 전력량계와 통신 모뎀은 정의된 보안을 수행하기 위해 사전에 보안 재료를 검증필 암호 모듈에 주입해야 한다.Accordingly, the electronic power meter and the communication modem must inject security material into the verified cryptographic module in advance to perform the defined security.
하지만, 전력 업체는 매년 수백만 개의 전자식 전력량계와 통신 모뎀을 설치해야 하는데, 종래에는 수작업을 통해 보안 재료를 암호 모듈에 주입하기 때문에, 주입 시간이 장시간 소요되고, 작업자의 실수로 인한 오작동이 발생하는 문제점이 있다.However, power companies have to install millions of electronic watt-hour meters and communication modems every year. Conventionally, since a security material is manually injected into a cryptographic module, it takes a long time to inject and malfunctions due to operator error. There is this.
본 발명은 상기한 문제점을 해결하기 위해 제안된 것으로, 현장 단말의 키 및 고유 정보를 이용하여 인증서 관리 서버로부터 인증서를 수집하고, 수집한 인증서를 현장 단말에 자동 주입하도록 한 인증서 주입 장치 및 방법을 제공하는 것을 목적으로 한다.The present invention has been proposed to solve the above problems, and a certificate injection device and method for collecting a certificate from a certificate management server using a key and unique information of a field terminal and automatically injecting the collected certificate into the field terminal. It aims to provide.
상기한 목적을 달성하기 위하여 본 발명의 실시 예에 따른 인증서 주입 장치는 현장 단말의 키 쌍 및 고유 정보를 포함하는 인증서 생성 정보를 수집하는 인증서 생성 정보 수집 모듈, 인증서 생성 정보를 포함하는 인증서 생성 요청을 인증서 관리 서버로 전송하고, 인증서 관리 서버로부터 인증서 생성 요청에 대응되는 인증서를 수집하는 인증서 수집 모듈 및 인증서 수집 모듈에서 수집한 인증서를 현장 단말에 주입하는 인증서 주입 모듈을 포함한다.In order to achieve the above object, the certificate injection device according to an embodiment of the present invention is a certificate generation information collection module for collecting certificate generation information including a key pair and unique information of a field terminal, a certificate generation request including certificate generation information It includes a certificate injecting module that transmits to the certificate management server and collects a certificate corresponding to the certificate generation request from the certificate management server and injects the certificate collected by the certificate collection module into the field terminal.
인증서 생성 정보 수집 모듈은 현장 단말로부터 공개 키 및 개인 키를 포함하는 키 쌍을 수집하고, 현장 단말의 시스템 타이틀을 고유 정보로 수집할 수 있다.The certificate generation information collection module may collect a key pair including a public key and a private key from the field terminal, and collect the system title of the field terminal as unique information.
인증서 생성 정보 수집 모듈은 현장 단말에게로 키 쌍 생성 요청을 전송한 후 현장 단말로부터 키 쌍 생성 결과 또는 키 쌍 확보 결과를 수신하면, 인증서 생성 정보를 포함하는 인증서 생성 정보 요청을 현장 단말에게로 전송할 수 있다.The certificate generation information collection module transmits a key pair generation request to the field terminal and then receives a key pair generation result or a key pair acquisition result from the field terminal, and then transmits a certificate generation information request including the certificate generation information to the field terminal. Can.
인증서 수집 모듈은 인증서 생성 정보를 포함하는 인증서 생성 요청을 인증서 관리 서버로 전송하고, 인증서 관리 서버로부터 고유 정보를 포함하는 인증서를 수집할 수 있다.The certificate collection module may transmit a certificate generation request including certificate generation information to the certificate management server, and collect certificates including unique information from the certificate management server.
인증서 주입 모듈은 인증서 수집 모듈에서 수집한 인증서로부터 고유 정보를 검출하고, 검출한 고유 정보에 대응하는 현장 단말에 인증서를 주입할 수 있다.The certificate injection module may detect unique information from the certificate collected by the certificate collection module and inject the certificate to the field terminal corresponding to the detected unique information.
현장 단말과 데이터를 송수신하는 제1 통신 모듈 및 인증서 관리 서버와 데이터를 송수신하는 제2 통신 모듈을 더 포함하고, 제1 통신 모듈의 프로토콜은 제2 통신 모듈의 프로토콜과 다른 프로토콜일 수 있다.Further comprising a first communication module for transmitting and receiving data with the field terminal and a second communication module for transmitting and receiving data with the certificate management server, the protocol of the first communication module may be a different protocol from the protocol of the second communication module.
현장 단말의 공개 키 및 개인 키를 포함하는 키 쌍을 생성하는 암호 모듈을 더 포함하고, 인증서 생성 정보 수집 모듈은 현장 단말로부터 고유 정보를 수집하고, 암호 모듈에서 생성된 키 쌍과 매칭하여 인증서 생성 정보를 생성할 수 있다. 인증서 주입 모듈은 암호 모듈에서 생성된 키 쌍을 현장 단말에 주입할 수 있다.Further comprising a cryptographic module for generating a key pair including a public key and a private key of the field terminal, the certificate generation information collection module collects unique information from the field terminal, and matches the key pair generated in the cryptographic module to generate a certificate Information can be generated. The certificate injection module can inject the key pair generated in the cryptographic module into the field terminal.
상기한 목적을 달성하기 위하여 본 발명의 실시 예에 따른 인증서 주입 방법은 현장 단말에게로 키 쌍 생성을 요청하는 단계, 현장 단말로부터 키 쌍 생성 결과 및 키 쌍 확보 결과 중 하나를 수신하는 단계, 현장 단말에게로 인증서 생성 정보 요청을 전송하는 단계, 현장 단말로부터 인증서 생성 정보를 수집하는 단계, 인증서 관리 서버에게로 인증서 생성 정보를 포함하는 인증서 생성 요청을 전송하는 단계, 인증서 관리 서버로부터 인증서를 수신하는 단계 및 현장 단말에 인증서를 주입하는 단계를 포함할 수 있다.In order to achieve the above object, the method for injecting a certificate according to an embodiment of the present invention includes requesting a key pair generation from a field terminal, receiving one of a key pair generation result and a key pair acquisition result from the field terminal, and on-site. Transmitting a certificate generation information request to a terminal, collecting certificate generation information from a field terminal, transmitting a certificate generation request including certificate generation information to a certificate management server, and receiving a certificate from the certificate management server And a step of injecting a certificate into the field terminal.
인증서 생성 정보를 수집하는 단계에서는 현장 단말로부터 공개 키 및 고유 정보를 포함하는 인증서 생성 정보를 수집하고, 고유 정보는 현장 단말의 시스템 타이틀일 수 있다.In the step of collecting the certificate generation information, the certificate generation information including the public key and the unique information is collected from the field terminal, and the unique information may be a system title of the field terminal.
인증서를 수신하는 단계에서는 고유 정보를 포함한 인증서를 수신하고, 인증서를 주입하는 단계에서는 인증서에 포함된 고유 정보에 대응하는 현장 단말에 인증서를 주입할 수 다.In the step of receiving the certificate, the certificate including the unique information is received, and in the step of injecting the certificate, the certificate can be injected into the field terminal corresponding to the unique information included in the certificate.
인증서 생성 정보를 수집하는 단계에서는 물리적 주소 및 고유 정보 중 하나를 근거로 복수의 현장 단말에 순차를 설정하고, 설정된 순차를 근거로 복수의 현장 단말로부터 인증서 생성 정보를 수신하는 인증서 주입 방법.In the step of collecting the certificate generation information, the method of establishing a sequence to a plurality of field terminals based on one of the physical address and unique information, and receiving a certificate generation information from the plurality of field terminals based on the set sequence.
인증서 생성 정보를 수집하는 단계에서는 물리적 주소를 증가시키면서 요청 신호를 전송하고, 응답 신호를 전송하는 물리적 주소를 현장 단말의 물리적 주소로 검출하고, 검출한 물리적 주소를 근거로 공개 키(개인 키도 포함될 수 있음) 및 고유 정보를 포함하는 인증서 생성 정보를 수집하여 물리적 주소와 매칭할 수 있다.In the step of collecting the certificate generation information, the request signal is transmitted while the physical address is increased, the physical address transmitting the response signal is detected as the physical address of the field terminal, and the public key (including the private key is also included). And generating certificate information including unique information) to match the physical address.
현장 단말에 대응되는 키 쌍을 생성하는 단계, 현장 단말로부터 고유 정보를 수집하는 단계, 키 쌍 및 고유 정보를 포함하는 인증서 생성 정보를 생성하는 단계, 인증서 관리 서버로 인증서 생성 정보를 포함하는 인증서 생성 요청을 전송하는 단계, 인증서 관리 서버로부터 인증서를 수신하는 단계, 현장 단말에 인증서를 주입하는 단계 및 현장 단말에 키 쌍을 주입하는 단계를 포함할 수 있다.Generating a key pair corresponding to the field terminal, collecting unique information from the field terminal, generating certificate generation information including the key pair and unique information, generating a certificate including the certificate generation information to the certificate management server It may include transmitting a request, receiving a certificate from a certificate management server, injecting a certificate into the field terminal, and injecting a key pair into the field terminal.
인증서 생성 정보를 생성하는 단계에서는 키 쌍의 공개 키 및 개인 키와 고유 정보를 포함하는 인증서 생성 정보를 생성하고, 인증서를 수신하는 단계에서는 고유 정보를 포함한 인증서를 수신할 수 있다.In the step of generating the certificate generation information, the certificate generation information including the public key and the private key of the key pair and the unique information may be generated, and in the step of receiving the certificate, the certificate including the unique information may be received.
인증서를 주입하는 단계에서는 인증서에 포함된 고유 정보에 대응하는 현장 단말에 인증서를 주입하고, 키 쌍을 생성하는 단계에서는 현장 단말의 공개 키 및 개인 키를 포함하는 키 쌍을 생성하고, 인증서 생성 정보를 생성하는 단계에서는 공개 키(개인 키도 포함될 수 있음) 및 고유 정보를 포함하는 인증서 생성 정보를 생성할 수 있다.In the step of injecting the certificate, the certificate is injected into the field terminal corresponding to the unique information included in the certificate, and in the step of generating the key pair, the key pair including the public key and the private key of the field terminal is generated, and the certificate generation information In the generating step, the certificate generation information including the public key (which may also include the private key) and unique information may be generated.
본 발명에 의하면, 인증서 주입 장치는 현장 단말로부터 인증서 생성을 위한 보안 재료를 수집하고, 보안 재료를 이용하여 인증서 관리 서버로부터 인증서를 수집하여 현장 단말에 주입함으로써, 매년 설치되는 수백만 개 이상의 현장 단말에 손쉽게 인증서를 주입할 수 있는 효과가 있다.According to the present invention, the certificate injection device collects the security material for generating a certificate from the field terminal, and collects the certificate from the certificate management server using the security material and injects it into the field terminal, thereby providing to millions of field terminals installed annually. It has the effect of easily injecting a certificate.
또한, 인증서 주입 장치는 현장 단말로부터 인증서 생성을 위한 보안 재료를 수집하고, 보안 재료를 이용하여 인증서 관리 서버로부터 인증서를 수집하여 현장 단말에 주입함으로써, 인증서 설치를 위한 시간을 최소화하고, 그에 따른 인증서 설치 비용을 최소화할 수 있는 효과가 있다.In addition, the certificate injection device collects the security material for generating a certificate from the field terminal, and collects the certificate from the certificate management server using the security material and injects it into the field terminal, minimizing the time for installing the certificate, and thus the certificate This has the effect of minimizing the installation cost.
또한, 인증서 주입 장치는 현장 단말로부터 인증서 생성을 위한 보안 재료를 수집하고, 보안 재료를 이용하여 인증서 관리 서버로부터 인증서를 수집하여 현장 단말에 주입함으로써, 수작업시 발생하는 작업자의 실수로 인한 오작동을 방지할 수 있는 효과가 있다.In addition, the certificate injection device collects the security material for generating a certificate from the field terminal, and collects the certificate from the certificate management server using the security material and injects it into the field terminal, thereby preventing malfunction due to an operator's mistake during manual operation. It has the effect.
또한, 인증서 주입 장치는 현장 단말로부터 인증서 생성을 위한 보안 재료를 수집하고, 보안 재료를 이용하여 인증서 관리 서버로부터 인증서를 수집하여 현장 단말에 주입함으로써, 지능형 원격검침 인프라의 보안 사업을 위해 필요한 보안 재료의 수집 및 설정을 자동화하여 업무 효율성 향상과 오작동을 최소화할 수 있는 효과가 있다.In addition, the certificate injection device collects the security material for generating a certificate from the field terminal, and collects the certificate from the certificate management server using the security material and injects it into the field terminal, thereby providing the necessary security material for the security business of the intelligent remote metering infrastructure. It has the effect of improving work efficiency and minimizing malfunction by automating the collection and setting of.
도 1 및 도 2는 본 발명의 실시 예에 따른 인증서 주입 장치를 설명하기 위한 도면.
도 3은 본 발명의 실시 예에 따른 인증서 주입 장치의 구성을 설명하기 위한 도면.
도 4 및 도 5는 본 발명의 실시 예에 따른 인증서 주입 장치의 변형 예를 설명하기 위한 도면.
도 6은 본 발명의 실시 예에 따른 인증서 주입 방법을 설명하기 위한 흐름도.
도 7 내지 도 10은 본 발명의 실시 예에 따른 인증서 주입 방법을 설명하기 위한 도면.
도 11은 본 발명의 실시 예에 따른 인증서 주입 방법의 변형 예를 설명하기 위한 흐름도.
도 12는 도 11의 인증서 주입 단계를 설명하기 위한 도면.1 and 2 are views for explaining a certificate injection device according to an embodiment of the present invention.
3 is a view for explaining the configuration of a certificate injection device according to an embodiment of the present invention.
4 and 5 are views for explaining a modification of the certificate injection device according to an embodiment of the present invention.
6 is a flowchart illustrating a method for injecting a certificate according to an embodiment of the present invention.
7 to 10 are views for explaining a method of injecting a certificate according to an embodiment of the present invention.
11 is a flow chart for explaining a modification of the certificate injection method according to an embodiment of the present invention.
12 is a view for explaining the step of injecting the certificate of FIG. 11;
이하, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 정도로 상세히 설명하기 위하여, 본 발명의 가장 바람직한 실시 예를 첨부 도면을 참조하여 설명하기로 한다. 우선 각 도면의 구성요소들에 참조부호를 부가함에 있어서, 동일한 구성요소들에 대해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 부호를 가지도록 하고 있음에 유의해야 한다. 또한, 본 발명을 설명함에 있어, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략한다.Hereinafter, with reference to the accompanying drawings, the most preferred embodiment of the present invention will be described in detail so that those skilled in the art to which the present invention pertains can easily implement the technical spirit of the present invention. . First, when adding reference numerals to the components of each drawing, it should be noted that the same components have the same reference numerals as possible even though they are displayed on different drawings. In addition, in describing the present invention, when it is determined that detailed descriptions of related well-known structures or functions may obscure the subject matter of the present invention, detailed descriptions thereof will be omitted.
이하, 첨부된 도면을 참조하여 본 발명의 실시 예에 따른 인증서 주입 장치를 설명하면 아래와 같다. 도 1 및 도 2는 본 발명의 실시 예에 따른 인증서 주입 장치를 설명하기 위한 도면이고, 도 3은 본 발명의 실시 예에 따른 인증서 주입 장치의 구성을 설명하기 위한 도면이고, 도 4 및 도 5는 본 발명의 실시 예에 따른 인증서 주입 장치의 변형 예를 설명하기 위한 도면이다.Hereinafter, a certificate injection device according to an embodiment of the present invention will be described with reference to the accompanying drawings. 1 and 2 are diagrams for explaining a certificate injection device according to an embodiment of the present invention, Figure 3 is a view for explaining the configuration of a certificate injection device according to an embodiment of the present invention, Figures 4 and 5 Is a view for explaining a modification of the certificate injection device according to an embodiment of the present invention.
도 1 및 도 2를 참조하면, 인증서 주입 장치(100)는 인증서 관리 서버(200)와 현장 단말(300) 사이에서 인증서 주입을 위한 매개체로 동작한다. 이때, 현장 단말(300)은 지능형 원격검침 인프라(AMI)의 전력량계, 통신 모뎀 등과 같이 현장에 설치된 단말인 것을 일례로 한다.1 and 2, the
인증서 주입 장치(100)는 네트워크를 통해 인증서 관리 서버(200) 및 현장 단말(300)과 연결된다. 이때, 인증서 주입 장치(100)는 인증서 관리 서버(200)와 인터넷망을 통해 연결되며, 현장 단말(300)과는 별도의 통신 인터페이스를 통해 연결된다.The
인증서 주입 장치(100)는 인터넷으로 인증서 관리 서버(200)와 연동된다. 인증서 주입 장치(100)는 로컬 통신 인터페이스를 통해서 전자식 전력량계, 통신 모뎀 등의 현장 단말(300)과 통신해야 한다. 여기서, 인증서 주입 장치(100)는 전자식 전력량계 등의 현장 단말(300)에서 지원하는 통신 인터페이스에 대응되어야 하며 일반적으로 RS232/485/422 등을 선호하나, WiFi, WiSUN 및 Ethernet 등도 사용할 수도 있다.The
일례로, 현장 단말(300) 중 전자식 전력량계는 DLMS (IEC 62056 표준, 전력량계 국제표준 프로토콜) 서버로 동작하기 때문에 상호 간 통신을 수행하기 위해서, 인증서 주입 장치(100)는 DLMS 클라이언트로 동작한다. 즉, 인증서 주입 장치(100)는 해당 현장 단말(300)에서 사용하는 프로토콜을 지원해야 한다.For example, since the electronic power meter of the
인증서 주입 장치(100)는 현장 단말(300)로부터 인증서 발급에 필요한 공개 키(개인 키도 포함될 수 있음), 고유 정보 등을 수집한다. 인증서 주입 장치(100)는 수집한 공개 키(개인 키도 포함될 수 있음), 고유 정보 등을 이용하여 인증서 관리 서버(200)로부터 현장 단말(300)에 주입할 인증서를 발급받는다. 인증서 주입 장치(100)는 발급된 인증서를 현장 단말(300)에 주입한다.The
현장 단말(300)은 내부 또는 외부 집적화된 암호 모듈을 통해 키 쌍을 생성한다. 현장 단말(300)은 내부 암호 모듈에서 키 쌍을 생성하지 못하는 경우 외부 암호 모듈에서 생성된 키 쌍을 암호 모듈의 내부 메모리에 저장할 수도 있다. The
이때, 외부의 별도 암호 모듈에서 키 쌍을 생성하여 주입할 경우에 키 쌍 주입의 주체는 현장 단말(300) 또는 암호 모듈의 제조사 중 하나일 수 있지만, 암호 모듈의 제조사가 수행하는 것이 바람직하다. At this time, when generating and injecting a key pair from a separate external cryptographic module, the subject of the key pair injection may be one of the
전자식 전력량계의 제조사는 키 쌍을 생성 또는 주입받은 암호 모듈(160)을 포함한 현장 단말(300)을 납품할 때 해당 현장 단말(300)의 시스템 타이틀(System title) 등과 같은 고유 정보 목록을 전달받는다. 고유 정보는 전자식 전력량계의 고유의 ID (Identification)로 사용하며 DLMS 표준에서는 총 8바이트 길이를 갖는 것으로 정의한다. 이때, 3바이트는 DLMS UA(User Association)에서 관리하는 현장 단말(300)의 제조사의 식별 번호이고, 나머지 5바이트는 현장 단말(300)의 일련번호, 생산 연월일 등을 포함하여 구성한다. 고유 정보는 중복되지 않고 유일무이하게 정의되어야 한다.The manufacturer of the electronic watt-hour meter receives a list of unique information such as a system title of the
만약, 제조사로부터 현장 단말(300)의 고유 정보 목록을 전달받지 못하면, 인증서 주입 장치(100)는 DLMS 프로토콜을 이용해서 통신으로 연결된 현장 단말(300)로부터 해당 고유 정보를 획득할 수도 있다. DLMS 통신을 수행할 때는 기본적으로 링크 연결과 상호 인증 후 필요한 서비스 요청 명령을 수행하는데, 인증서 주입 장치(100)는 get 서비스 명령을 이용해서 현장 단말(300)로부터 고유 정보를 수집한다.If the list of unique information of the
도 3을 참조하면, 인증서 주입 장치(100)는 제1 통신 모듈(110), 제2 통신 모듈(120), 인증서 생성 정보 수집 모듈(130), 인증서 수집 모듈(140) 및 인증서 주입 모듈(150)을 포함하여 구성된다. 여기서, 도 2에서는 제1 통신 모듈(110), 제2 통신 모듈(120), 인증서 생성 정보 수집 모듈(130), 인증서 수집 모듈(140) 및 인증서 주입 모듈(150)이 독립된 모듈로 구성된 것으로 도시하고 있으나, 이에 한정되지 않고 하나의 모듈로 구성될 수도 있다.Referring to FIG. 3, the
제1 통신 모듈(110)은 현장 단말(300)과 데이터를 송수신한다. 제1 통신 모듈(110)은 전자식 전력량계, 통신 모뎀 등의 현장 단말(300)과 통신이 가능한 프로토콜을 지원하는 통신 모듈로 구성된다. 일례로, 제1 통신 모듈(110)은 RS-232, RS-485, RS-422 등의 시리얼 통신 모듈로 구성될 수 있다. 제1 통신 모듈(110)은 WiFi, WiSUN, Ethernet 등의 통신 모듈로 구성될 수도 있다.The
제2 통신 모듈(120)은 인증서 관리 서버(200)와 데이터를 송수신한다. 이를 위해, 제1 통신 모듈(110)은 와이파이, 이더넷 등과 같이 인터넷을 통해 인증서 관리 서버(200)와 인증서 생성 정보 및 인증서를 송수신한다. 이때, 제2 통신 모듈(120)은 와이파이, 이더넷 이외에서 인증서 관리 서버(200)와 통신이 가능한 프로토콜이라면 사용이 가능하다.The
인증서 생성 정보 수집 모듈(130)은 제1 통신 모듈(110)을 통해 현장 단말(300)로부터 인증서 생성 정보를 수집한다. 인증서 생성 정보 수집 모듈(130)은 공개 키(개인 키도 포함될 수 있음) 및 고유 정보를 포함하는 인증서 생성 정보를 수집한다. 여기서, 고유 정보는 현장 단말(300)에 설정된 시스템 타이틀(System title)인 것을 일례로 한다.The certificate generation
인증서 생성 정보 수집 모듈(130)은 제1 통신 모듈(110)을 통해 현장 단말(300)로 키 쌍 생성 요청을 전송한다. 일례로, 현장 단말(300)이 전자식 전력량계이면, 인증서 생성 정보 수집 모듈(130)은 DLMS 프로토콜을 이용하여 키 쌍 생성(generate_key_pair 명령)을 요청한다. 인증서 생성 정보 수집 모듈(130)은 제1 통신 모듈(110)을 통해 현장 단말(300)로부터 키 쌍 생성 결과 또는 키 쌍 확보 결과를 수신한다.The certificate generation
인증서 생성 정보 수집 모듈(130)은 제1 통신 모듈(110)을 통해 현장 단말(300)로 인증서 생성 정보 요청을 전송한다. 인증서 생성 정보 수집 모듈(130)은 공개 키(개인 키도 포함될 수 있음) 및 고유 정보를 포함하는 인증서 생성 정보를 현장 단말(300)로 요청한다. 일례로, 현장 단말(300)이 전자식 전력량계이면, 인증서 생성 정보 수집 모듈(130)은 DLMS 프로토콜을 이용하여 인증서 생성 정보 요청(generate_certificate_request 명령)을 전송한다. 인증서 생성 정보 수집 모듈(130)은 DLMS 프로토콜을 이용하여 인증서 생성 정보 요청과 함께 get 서비스 명령을 현장 단말(300)로 전송하여 고유 정보를 수집할 수도 있다.The certificate generation
인증서 생성 정보 수집 모듈(130)은 제1 통신 모듈(110)을 통해 현장 단말(300)로부터 인증서 생성 정보를 수신한다. 인증서 생성 정보 수집 모듈(130)은 수신한 인증서 생성 정보를 인증서 수집 모듈(140)로 전송한다.The certificate generation
인증서 수집 모듈(140)은 제2 통신 모듈(120)을 통해 인증서 관리 서버(200)로부터 인증서를 수집한다. 인증서 수집 모듈(140)은 수신한 인증서 생성 정보(즉, 공개 키와 개인 키 및 고유 정보)를 포함하는 인증서 생성 요청을 인증서 관리 서버(200)로 전송한다.The
일례로, 인증서 수집 모듈(140)은 전자식 전력량계의 공개 키(개인 키도 포함될 수 있음) 및 시스템 타이틀을 포함하는 인증서 생성 요청 명령(X.509 V3 certificate signing request)을 생성한다. 인증서 수집 모듈(140)을 제2 통신 모듈(120)을 통해 인증서 관리 서버(200)로 인증서 생성 요청 명령을 전송한다. 이때, 인증서 수집 모듈(140)은 PKCS #10 (RFC 2986) 표준 규격에 준용하는 인증서 생성 요청 명령을 생성한다.In one example, the
인증서 수집 모듈(140)은 제2 통신 모듈(120)을 통해 인증서 관리 서버(200)로부터 인증서를 수신한다. 인증서 수집 모듈(140)은 인증서 관리 서버(200)로부터 고유 정보를 포함한 인증서를 수신한다. 인증서 수집 모듈(140)은 인증서를 인증서 주입 모듈(150)로 전송한다.The
인증서 주입 모듈(150)은 제1 통신 모듈(110)을 통해 현장 단말(300)에 인증서를 주입한다. 인증서 주입 모듈(150)은 인증서 수집 모듈(140)로부터 수신한 인증서로부터 고유 정보를 검출한다. 인증서 주입 모듈(150)은 검출한 고유 정보에 대응하는 현장 단말(300)에 인증서를 주입한다. 이때, 인증서 주입 모듈(150)은 DLMS 프로토콜을 통해 인증서를 현장 단말(300)로 주입한다.The
인증서 주입 모듈(150)은 현장 단말(300)에 구현된 security setup object를 사용하는 방식을 이용하여 인증서를 현장 단말(300)에 주입한다. 인증서 주입 모듈(150)은 객체 모델링을 수행하여 인증서를 현장 단말(300)에 주입할 수도 있다.The
도 4 및 도 5를 참조하면, 인증서 주입 장치(100)는 난수 생성, 키 쌍 생성기능, 암복호화, 전자서명 생성 및 검증 기능을 포함하는 보호 함수를 제공하는 암호 모듈(160)을 더 포함할 수 있다.4 and 5, the
인증서 주입 장치(100)는 PC(랩톱)를 기반으로 검증필 암호 모듈(160)을 USB 형태로 연결하고 필요한 동작 기능을 프로그램화하여 구현되거나, 임베디드 시스템 형태로도 구현될 수 있다.The
이때, 암호 모듈(160)은 인증서 주입 장치(100)에 내장 또는 외장된다. 이때, 암호 모듈(160)은 검증필을 획득한 모듈로 구성된다. 일례로, 하드웨어 기반의 암호 모듈(160)은 관련 보호 함수를 구현된 상용 MCU(Micro Controller Unit), 스마트카드, ASIC(Application Specific Integrated Circuit) 등으로 구성될 수 있다.At this time, the
암호 모듈(160)은 현장 단말(300)에서 키 쌍을 생성하거나 보유하고 있지 않은 경우 키 쌍을 생성할 수 있다. 암호 모듈(160)을 각 현장 단말(300)에 대응하여 공개 키 및 개인 키를 포함하는 키 쌍을 생성한다. The
인증서 생성 정보 수집 모듈(130)은 암호 모듈(160)에서 키 쌍 생성이 완료되면 현장 단말(300)로부터 고유 정보를 수집한다. 인증서 생성 정보 수집 모듈(130)은 키 쌍과 고유 정보를 매칭한다. 인증서 생성 정보 수집 모듈(130)은 공개 키(개인 키도 포함될 수 있음) 및 고유 정보를 포함하는 인증서 생성 정보를 생성한다.The certificate generation
인증서 수집 모듈(140)은 인증서 생성 정보를 포함하는 인증서 생성 요청을 인증서 관리 서버(200)로 전송한다. 인증서 수집 모듈(140)은 인증서 관리 서버(200)로부터 인증서를 수신한다. 인증서 수집 모듈(140)은 인증서 관리 서버(200)로부터 고유 정보를 포함한 인증서를 수신한다. 인증서 수집 모듈(140)은 인증서를 인증서 주입 모듈(150)로 전송한다.The
인증서 주입 모듈(150)은 현장 단말(300)에 인증서를 주입한다. 인증서 주입 모듈(150)은 인증서 수집 모듈(140)로부터 수신한 인증서로부터 고유 정보를 검출한다. 인증서 주입 모듈(150)은 검출한 고유 정보에 대응하는 현장 단말(300)에 인증서를 주입한다. 이때, 인증서 주입 모듈(150)은 DLMS 프로토콜을 통해 인증서를 현장 단말(300)로 주입한다. 이때, 인증서 주입 모듈(150)은 암호 모듈(160)에서 생성한 키 쌍을 현장 단말(300)에 주입한다. The
이하, 첨부된 도면을 참조하여 본 발명의 실시 예에 따른 인증서 주입 방법을 설명하면 아래와 같다. 도 6은 본 발명의 실시 예에 따른 인증서 주입 방법을 설명하기 위한 흐름도이고, 도 7 내지 도 10은 본 발명의 실시 예에 따른 인증서 주입 방법을 설명하기 위한 도면이다.Hereinafter, a method for injecting a certificate according to an embodiment of the present invention will be described with reference to the accompanying drawings. 6 is a flowchart illustrating a method of injecting a certificate according to an embodiment of the present invention, and FIGS. 7 to 10 are diagrams illustrating a method of injecting a certificate according to an embodiment of the present invention.
도 6을 참조하면, 인증서 주입 장치(100)는 현장 단말(300)에게로 키 쌍(Key Pair) 생성 요청을 전송한다(S110). 인증서 주입 장치(100)는 현장 단말(300)의 통신 프로토콜을 이용하여 키 쌍 생성 요청을 전송한다. 일례로, 현장 단말(300)이 전자식 전력량계이면, 인증서 주입 장치(100)는 DLMS 프로토콜을 이용하여 키 쌍 생성(generate_key_pair 명령)을 요청한다. Referring to FIG. 6, the
키 쌍 생성 요청을 수신한 현장 단말(300)은 내장 암호 모듈(미도시)을 통해 키 쌍을 생성한다. 현장 단말(300)은 키 쌍을 생성한 후 인증서 주입 장치(100)로 키 쌍 생성 결과를 통보한다.Upon receiving the key pair generation request, the
키 쌍은 목적에 따라 전자서명용(Digital Signature Key Pair), 키 합의용(Key Agreement Key Pair) 및 TLS(Transport Layer Security)용으로 구분할 수 있다. 이때, 키 쌍은 개인 키 및 공개 키를 포함하여 구성된다.Depending on the purpose, the key pair can be divided into a digital signature key pair, a key agreement key pair, and a transport layer security (TLS). At this time, the key pair includes a private key and a public key.
키 쌍은 하나의 목적으로만 사용되므로, 현장 단말(300)은 전자서명용 키 쌍, 키 합의용 키 쌍 및 TLS용 키 쌍을 각각 생성한다.Since the key pair is used for only one purpose, the
현장 단말(300)은 외부 암호 모듈(160)에서 생성된 키 쌍을 주입받을 수도 있다. 현장 단말(300)은 제조 과정에서 키 쌍을 주입받아 저장하고 있을 수도 있다. 현장 단말(300)은 키 쌍 생성 요청을 수신하면 저장된 키 쌍의 존재 여부를 확인한 후 인증서 주입 장치(100)에게로 키 쌍 확보 결과를 통보한다.The
인증서 주입 장치(100)는 현장 단말(300)에게로 인증서 생성 정보 요청을 전송한다(S120). 인증서 주입 장치(100)는 현장 단말(300)의 통신 프로토콜을 이용하여 인증서 생성 정보 요청을 전송한다. 일례로, 현장 단말(300)이 전자식 전력량계이면, 인증서 주입 장치(100)는 DLMS 프로토콜을 이용하여 인증서 생성 정보 요청(generate_certificate_request 명령)을 전송한다. The
인증서 주입 장치(100)로부터 인증서 생성 정보 요청을 수신한 현장 단말(300)은 기생성한 키 쌍 중에서 인증서 생성에 필요한 공개 키(개인 키도 포함될 수 있음)와 고유 정보를 인증서 주입 장치(100)로 전송한다. 이때, 고유 정보는 현장 단말(300)의 시스템 타이틀(System title)인 것을 일례로 한다. 인증서 주입 장치(100)는 DLMS 프로토콜을 이용하여 인증서 생성 정보 요청과 함께 get 서비스 명령을 현장 단말(300)로 전송하여 고유 정보를 수집할 수도 있다.The
현장 단말(300)로부터 공개 키(개인 키도 포함될 수 있음) 및 고유 정보를 포함하는 인증서 생성 정보를 수신하면(S130; 예), 인증서 주입 장치(100)는 인증서 관리 서버(200)에게로 인증서 생성 요청을 전송한다(S140). 즉, 인증서 주입 장치(100)는 현장 단말(300)의 공개 키(개인 키도 포함될 수 있음)와 고유 정보를 포함하는 인증서 생성 요청을 생성하여 인증서 관리 서버(200)로 전송한다.Upon receiving the certificate generation information including the public key (which may also include a private key) and unique information from the field terminal 300 (S130; Yes), the
일례로, 인증서 주입 장치(100)는 전자식 전력량계의 공개 키(개인 키도 포함될 수 있음) 및 시스템 타이틀을 포함하는 인증서 생성 요청 명령(X.509 V3 certificate signing request)을 생성하여 인증서 관리 서버(200)로 전송한다. 이때, 인증서 주입 장치(100)는 PKCS #10 (RFC 2986) 표준 규격에 준용하는 인증서 생성 요청 명령을 생성한다.In one example, the
인증서 주입 장치(100)로부터 인증서 생성 요청을 수신한 인증서 관리 서버(200)는 인증서 생성 요청에 포함된 개인 키 및 고유 정보를 이용하여 인증서를 생성한다. 즉, 인증서 관리 서버(200)는 수신한 인증서 생성 요청에 포함된 고유 정보를 검출하여 저장 및 관리한다. 인증서 관리 서버(200)는 인증서 생성 요청에 포함된 공개 키를 이용하여 검증을 수행한 후 인증서를 생성한다.The
일례로, 도 7을 참조하면, 인증서 관리 서버(200)는 X.509 Version 3의 양식을 준용하는 인증서를 생성한다. 인증서 관리 서버(200)는 인증서가 해당 현장 단말(300)에 맞게 주입될 수 있도록 하기 위해서 인증서의 확장 영역에 고유 정보(즉, System Title)를 설정한다.As an example, referring to FIG. 7, the
인증서 관리 서버(200)는 생성한 인증서를 인증서 주입 장치(100)로 전송한다. 인증서를 수신하면(S150; 예), 인증서 주입 장치(100)는 인증서를 현장 단말(300)에 주입한다(S160). 인증서 주입 장치(100)는 인증서로부터 고유 정보를 검출한다. 인증서 주입 장치(100)는 DLMS 프로토콜을 통해 고유 정보에 대응하는 현장 단말(300)에 인증서를 주입한다.The
인증서 주입 장치(100)는 DLMS 표준을 준수하면서 인증서를 현장 단말(300)에 전송하기 위해 2가지 방식 중 하나를 이용할 수 있다.The
첫 번째 방식은 현장 단말(300)에 구현된 security setup object를 사용하는 방식이다. Security setup object는 전력량계의 보안정책 정의, 사용할 보안 suite 정의 및 비 대칭키 생성과 관리 등의 역할을 수행한다.The first method is a method using a security setup object implemented in the
도 8에서는 Security setup 기능을 수행하는 객체(object) 모델링 하기 위해 DLMS 표준에서 제공하는 양식인 security setup IC를 보여준다.8 shows a security setup IC that is a form provided by the DLMS standard for modeling an object that performs a security setup function.
인증서 주입 장치(100)는 DLMS 클라이언트로 동작하고, 현장 단말(300)은 DLMS 서버로 동작한다. 인증서 주입 장치(100)는 6번째 method인 import certificate 명령을 수행하여 현장 단말(300)에 인증서를 주입한다. 현장 단말(300)은 주입된 인증서에 대해서 유효기간 확인 및 전자서명 검증과 후 이상이 없을 경우에는 암호 모듈(160; 내장 암호 모듈 또는 외장 암호 모듈)에 저장한다.The
두 번째 방식은 security setup object를 사용하지 않고 인증서를 관리할 수 있는 객체 모델링을 수행하는 방식이다. 도 9를 참조하면, 객체 모델링은 사전에 정의된 객체모델링 양식인 IC(Interface Class)의 attribute와 methods를 이용하여 모델링하며, 모델링한 객체를 접근할 때 필요한 고유한 이름을 부여하는데 6바이트 크기의 OBIS(Object Identification System)코드로 불린다.The second method is to perform object modeling that can manage certificates without using the security setup object. Referring to FIG. 9, object modeling is modeled using attributes and methods of IC (Interface Class), which is a predefined object modeling style, and is given a unique name required to access the modeled object. It is called OBIS (Object Identification System) code.
그러면 인증서 주입 장치(100)는 set 서비스 명령을 통해서 인증서를 업데이트 또는 변경할 수 있다. 인증서는 데이터의 집합체이므로 객체모델링을 수행할 때 Data IC를 이용하는 것이 바람직하다.Then, the
도 6에서는 인증서 주입 장치(100)가 하나의 현장 단말(300)과 연결된 것을 예로 들어 설명하고 있으나, 도 10에 도시된 바와 같이, 인증서 주입 장치(100)는 업무의 효율화를 위해서 복수의 현장 단말(300)과 연결되는 것이 일반적이다.In FIG. 6, although the
이 경우, S120 단계에서는 복수의 현장 단말(300)에 대해 순차적인 방식으로 필요한 공개 키(개인 키도 포함될 수 있음)와 고유 정보(system title) 등을 수집한다.In this case, in step S120, a public key (which may also include a private key) and unique information (system title) are collected in a sequential manner for a plurality of
이를 위해, 인증서 주입 장치(100)는 현장 단말(300)의 물리적 주소를 오름차순 또는 내림차순으로 정렬하거나, 고유 정보를 이용하여 정렬하여 복수의 현장 단말(300)에 순차를 설정할 수 있다. 일례로, 인증서 주입 장치(100)는 DLMS의 HLDC 방식을 사용할 경우 물리주소는 HLDC의 lower address를 이용하여 정렬한다.To this end, the
인증서 주입 장치(100)는 복수의 현장 단말(300)의 물리적 주소 및 고유 정보를 모르는 경우 물리적 주소를 순차적으로 증가시키면서 요청 신호를 전송하고 응답 신호를 수신하고 물리적 주소를 확인하여 복수의 현장 단말(300)의 물리적 주소를 검출한다. The
일례로, DLMS의 HDLC 방식을 사용하는 전자식 전력량계의 물리적 주소는 0~127번까지 사용되므로, 인증서 주입 장치(100)는 0~127까지 순차적으로 물리적 주소를 증가시키면서 복수의 현장 단말(300)의 물리적 주소를 검출한다.As an example, since the physical address of the electronic watt hour meter using the HDLC method of DLMS is used from 0 to 127, the
인증서 주입 장치(100)는 검출한 물리적 주소를 이용하여 DLMS 통신으로 현장 단말(300)로부터 공개 키(개인 키도 포함될 수 있음) 및 고유 정보를 수집한다. 인증서 주입 장치(100)는 검출한 물리적 주소와 공개 키(개인 키도 포함될 수 있음) 및 고유 정보를 매핑하여 관리한다.The
S140 단계에서는 테이블 형성의 데이터를 갖는 파일을 통해 복수의 현장 단말(300)에 대한 인증서 생성 요청을 한 번에 인증서 관리 서버(200)로 요청한다.In step S140, a certificate generation request for a plurality of
즉, 인증서 주입 장치(100)는 PKCS #10 (RFC 2986)을 준용할 경우 한 번에 하나의 인증서 생성 요청만 가능하다. 인증서 주입 장치(100)는 복수의 인증서 생성 요청을 위해 마이크로소프트사의 엑셀 등과 같이 테이블 형식의 파일에 인증서 생성 요청 관련 정보를 포함하여 전송할 수 있다.That is, when the PKCS #10 (RFC 2986) is applied to the
이때, 인증서 주입 장치(100)는 복수의 현장 단말(300)들 각각에 대해 공개 키(개인 키도 포함될 수 있음) 및 고유 정보 등이 매칭된 파일을 인증서 관리 서버(200)로 전송한다. 인증서 관리 서버(200)는 해당 파일을 파싱하여 필요한 데이터를 추출하여 복수의 현장 단말(300) 각각에 대한 인증서를 생성한다.At this time, the
인증서 주입 장치(100)는 S150 단계에서 복수의 인증서를 수신하게 된다. 이에, S160 단계에서는 인증서 관리 서버(200)로부터 복수의 인증서를 해당하는 현장 단말(300)에 정확히 주입해야 한다. 인증서 주입 장치(100)는 인증서에 포함된 고유 정보를 기준으로 인증서를 주입하여 복수의 인증서를 정확히 주입할 수 있다.The
이를 통해, 인증서 주입 장치(100)는 인증서 관리 서버(200)로부터 수신한 인증서를 공개 키(개인 키도 포함될 수 있음) 또는 고유 정보에 매핑된 물리적 주소로 전송하여 복수의 인증서를 자동으로 정확하게 주입할 수 있다. Through this, the
즉, 인증서 주입 장치(100)는 인증서 관리 서버(200)로부터 복수의 인증서를 수신한다. 인증서 주입 장치(100)는 로컬 통신으로 연결되어 있는 현장 단말(300)들을 대상으로 물리적 주소를 확인한다. 인증서 주입 장치(100)는 물리적 주소를 이용해서 고유 정보를 획득하고, 인증서에 포함된 고유 정보와 매핑하여 인증서를 매핑된 고유 정보에 대응하는 현장 단말(300)에 주입한다.That is, the
인증서 주입 장치(100)는 상술한 과정을 통해 현장 단말(300)이 현장에 설치된 이후에 인증서를 주입하거나, 현장에 설치되지 전에 인증서를 주입할 수 있다.The
인증서 주입 장치(100)는 암호 모듈(160)을 내장하기 때문에 인증서 관리 서버(200) 또는 현장 단말(300)과의 통신시 요구조건에 따라서 인증 암복호화 및 전자서명 등의 기능을 사용하고 기밀성과 무결성을 확보할 수도 있다.Since the
또한, 인증서 주입 장치(100)는 인증서 관리 서버(200)로부터 수신한 복수의 인증서 중에서 사용되지 않은 인증서에 대한 폐기를 인증서 관리 서버(200)로 요청할 수도 있다. 즉, 인증서 주입 장치(100)는 복수의 인증서 중에서 현장 단말(300)에 주입되지 않은 인증서를 포함하는 인증서 목록을 생성한다. 인증서 주입 장치(100)는 생성한 인증서 목록을 포함하는 인증서 폐기 요청을 인증서 관리 서버(200)에게로 전송한다. 인증서 관리 서버(200)를 인증서 폐기 요청으로부터 인증서 목록을 검출하고, 인증서 목록에 포함된 인증서를 폐기한다. In addition, the
이하, 첨부된 도면을 참조하여 본 발명의 실시 예에 따른 인증서 주입 방법의 변형 예를 설명하면 아래와 같다. 도 11은 본 발명의 실시 예에 따른 인증서 주입 방법의 변형 예를 설명하기 위한 흐름도이고, 도 12는 도 11의 인증서 주입 단계를 설명하기 위한 도면이다.Hereinafter, a modified example of a certificate injection method according to an embodiment of the present invention will be described with reference to the accompanying drawings. 11 is a flowchart for explaining a modification of the certificate injection method according to an embodiment of the present invention, and FIG. 12 is a view for explaining the certificate injection step of FIG. 11.
인증서 주입 장치(100)는 현장 단말(300)에 대응되는 키 쌍을 생성한다(S210). 인증서 주입 장치(100)는 내장된 암호 모듈(160)을 이용하여 키 쌍을 생성한다. 인증서 주입 장치(100)는 현장 단말(300)에 대응되는 공개 키 및 개인 키를 포함하는 키 쌍을 생성한다. The
인증서 주입 장치(100)는 현장 단말(300)로부터 고유 정보를 수집한다(S220). 인증서 주입 장치(100)는 키 쌍 생성 후 get 서비스 명령을 이용하여 현장 단말(300)로부터 고유 정보를 수집한다. 인증서 주입 장치(100)는 수집한 고유 정보를 키 쌍과 매칭하여 관리한다.The
인증서 주입 장치(100)는 인증서 생성 정보를 생성한다(S230). 인증서 주입 장치(100)는 S210 단계에서 생성된 키 쌍의 공개 키(개인 키도 포함될 수 있음)와 S220 단계에서 수집한 고유 정보를 매칭하여 인증서 생성 정보를 생성한다.The
인증서 주입 장치(100)는 인증서 관리 서버(200)에게로 인증서 생성을 요청한다(S240). 즉, 인증서 수집 모듈(140)은 S230 단계에 생성된 인증서 생성 정보를 포함하는 인증서 생성 요청을 인증서 관리 서버(200)에게로 전송한다.The
인증서 관리 서버(200)로부터 인증서를 수신하면(S250; 예), 인증서 주입 장치(100)는 인증서를 현장 단말(300)에 주입한다(S260). 인증서 주입 장치(100)는 인증서로부터 고유 정보를 검출한다. 인증서 주입 장치(100)는 DLMS 프로토콜을 통해 고유 정보에 대응하는 현장 단말(300)에 인증서를 주입한다.When a certificate is received from the certificate management server 200 (S250; Yes), the
인증서 주입 장치(100)는 현장 단말(300)에 공개 키 및 개인 키를 포함하는 키 쌍을 주입한다(S270). 즉, 인증서 주입 장치(100)는 S210 단계에서 생성된 키 쌍을 현장 단말(300)에 주입한다. 인증서 주입 장치(100)는 인증서로부터 고유 정보를 검출한다. 인증서 주입 장치(100)는 DLMS 프로토콜을 고유 정보에 대응하는 현장 단말(300)에 공개 키 및 개인 키를 포함하는 키 쌍을 주입한다.The
인증서 주입 장치(100)는 security setup IC(도 8 참조)의 2번째 method인 key transfer를 이용하여 공개 키 및 개인 키를 현장 단말(300)에 주입한다. 이때, 도 12를 참조하면, DLMS에서는 key_id를 정의하고 있는데, 인증서 주입 장치(100)는 key_id의 4에 개인 키를 정의해서 사용할 수 있다.The
상술한 바와 같이, 인증서 주입 장치는 현장 단말로부터 인증서 생성을 위한 보안 재료를 수집하고, 보안 재료를 이용하여 인증서 관리 서버로부터 인증서를 수집하여 현장 단말에 주입함으로써, 매년 설치되는 수백만 개 이상의 현장 단말에 손쉽게 인증서를 주입할 수 있는 효과가 있다.As described above, the certificate injection device collects the security material for generating a certificate from the field terminal, collects the certificate from the certificate management server using the security material, and injects it into the field terminal, thereby providing to millions of field terminals installed annually. It has the effect of easily injecting a certificate.
또한, 인증서 주입 장치는 현장 단말로부터 인증서 생성을 위한 보안 재료를 수집하고, 보안 재료를 이용하여 인증서 관리 서버로부터 인증서를 수집하여 현장 단말에 주입함으로써, 인증서 설치를 위한 시간을 최소화하고, 그에 따른 인증서 설치 비용을 최소화할 수 있는 효과가 있다.In addition, the certificate injection device collects the security material for generating a certificate from the field terminal, and collects the certificate from the certificate management server using the security material and injects it into the field terminal, minimizing the time for installing the certificate, and thus the certificate This has the effect of minimizing the installation cost.
또한, 인증서 주입 장치는 현장 단말로부터 인증서 생성을 위한 보안 재료를 수집하고, 보안 재료를 이용하여 인증서 관리 서버로부터 인증서를 수집하여 현장 단말에 주입함으로써, 수작업시 발생하는 작업자의 실수로 인한 오작동을 방지할 수 있는 효과가 있다.In addition, the certificate injection device collects the security material for generating a certificate from the field terminal, and collects the certificate from the certificate management server using the security material and injects it into the field terminal, thereby preventing malfunction due to an operator's mistake during manual operation. It has the effect.
또한, 인증서 주입 장치는 현장 단말로부터 인증서 생성을 위한 보안 재료를 수집하고, 보안 재료를 이용하여 인증서 관리 서버로부터 인증서를 수집하여 현장 단말에 주입함으로써, 지능형 원격검침 인프라의 보안 사업을 위해 필요한 보안 재료의 수집 및 설정을 자동화하여 업무 효율성 향상과 오작동을 최소화할 수 있는 효과가 있다.In addition, the certificate injection device collects the security material for generating a certificate from the field terminal, and collects the certificate from the certificate management server using the security material and injects it into the field terminal, thereby providing the necessary security material for the security business of the intelligent remote metering infrastructure. It has the effect of improving work efficiency and minimizing malfunction by automating the collection and setting of.
이상에서 본 발명에 따른 바람직한 실시 예에 대해 설명하였으나, 다양한 형태로 변형이 가능하며, 본 기술분야에서 통상의 지식을 가진자라면 본 발명의 특허청구범위를 벗어남이 없이 다양한 변형 예 및 수정 예를 실시할 수 있을 것으로 이해된다.Although the preferred embodiment according to the present invention has been described above, it can be modified in various forms, and those skilled in the art can make various modifications and modifications without departing from the claims of the present invention. It is understood that it can be practiced.
100: 인증서 주입 장치 110: 제1 통신 모듈
120: 제2 통신 모듈 130: 인증서 생성 정보 수집 모듈
140: 인증서 수집 모듈 150: 인증서 주입 모듈
160: 암호 모듈 200: 인증서 관리 서버
300: 현장 단말100: certificate injection device 110: first communication module
120: second communication module 130: certificate generation information collection module
140: certificate collection module 150: certificate injection module
160: password module 200: certificate management server
300: field terminal
Claims (20)
상기 인증서 생성 정보를 포함하는 인증서 생성 요청을 인증서 관리 서버로 전송하고, 상기 인증서 관리 서버로부터 상기 고유 정보를 포함하고 상기 인증서 생성 요청에 대응되는 인증서를 수집하는 인증서 수집 모듈; 및
상기 인증서 수집 모듈에서 수집한 인증서로부터 고유 정보를 검출하고, 검출한 고유 정보에 대응하는 현장 단말에 상기 인증서를 주입하는 인증서 주입 모듈을 포함하는 인증서 주입 장치로서,
상기 현장 단말은 DLMS 서버로 동작하고, 상기 인증서 주입 장치는 DLMS 클라이언트로 동작하는 방식으로 상기 현장 단말과 데이터를 송수신하는 인증서 주입 장치.
A certificate generation information collection module that collects certificate generation information including key information of a public key and a private key of a field terminal and DLMS standards, and includes unique information that is a system title;
A certificate collection module that transmits a certificate generation request including the certificate generation information to a certificate management server, and collects a certificate corresponding to the certificate generation request and including the unique information from the certificate management server; And
A certificate injection device including a certificate injection module that detects unique information from a certificate collected by the certificate collection module and injects the certificate into a field terminal corresponding to the detected unique information,
The field terminal operates as a DLMS server, and the certificate injection device operates as a DLMS client, a certificate injection device that transmits and receives data to and from the field terminal.
상기 인증서 생성 정보 수집 모듈은,
상기 현장 단말에게로 키 쌍 생성 요청을 전송한 후 상기 현장 단말로부터 키 쌍 생성 결과 또는 키 쌍 확보 결과를 수신하면, 상기 인증서 생성 정보를 포함하는 인증서 생성 정보 요청을 상기 현장 단말에게로 전송하는 인증서 주입 장치.According to claim 1,
The certificate generation information collection module,
A certificate that transmits a request for generating a key pair to the field terminal and receives a result of generating a key pair or obtaining a key pair from the field terminal, and then transmits a certificate generation information request including the certificate generation information to the field terminal. Injection device.
상기 현장 단말과 데이터를 송수신하는 제1 통신 모듈; 및
상기 인증서 관리 서버와 데이터를 송수신하는 제2 통신 모듈을 더 포함하고,
상기 제1 통신 모듈의 프로토콜은 상기 제2 통신 모듈의 프로토콜과 다른 프로토콜인 인증서 주입 장치.According to claim 1,
A first communication module that transmits and receives data to and from the field terminal; And
Further comprising a second communication module for transmitting and receiving data with the certificate management server,
The protocol of the first communication module is a certificate injection device that is different from the protocol of the second communication module.
상기 현장 단말의 공개 키 및 개인 키를 포함하는 키 쌍을 생성하는 암호 모듈을 더 포함하는 인증서 주입 장치.According to claim 1,
Certificate injection device further comprising a cryptographic module for generating a key pair including the public key and the private key of the field terminal.
상기 인증서 생성 정보 수집 모듈은 상기 현장 단말로부터 상기 고유 정보를 수집하고, 상기 암호 모듈에서 생성된 키 쌍과 매칭하여 상기 인증서 생성 정보를 생성하는 인증서 주입 장치.The method of claim 7,
The certificate generation information collecting module collects the unique information from the field terminal, and matches the key pair generated in the encryption module to generate the certificate generation information.
상기 인증서 주입 모듈은 상기 암호 모듈에서 생성된 키 쌍을 상기 현장 단말에 주입하는 인증서 주입 장치.The method of claim 7,
The certificate injection module is a certificate injection device that injects the key pair generated in the encryption module to the field terminal.
상기 현장 단말에게로 키 쌍 생성을 요청하는 단계;
상기 현장 단말로부터 키 쌍 생성 결과 및 키 쌍 확보 결과 중 하나를 수신하는 단계;
상기 현장 단말에게로 인증서 생성 정보 요청을 전송하는 단계;
상기 현장 단말로부터 현장 단말의 상기 키 쌍 및 DLMS 표준에 따르며 시스템 타이틀인 고유 정보를 포함하는 인증서 생성 정보를 수집하는 단계;
인증서 관리 서버에게로 상기 인증서 생성 정보를 포함하는 인증서 생성 요청을 전송하는 단계;
상기 인증서 관리 서버로부터 상기 고유 정보를 포함한 인증서를 수신하는 단계; 및
상기 수신한 인증서로부터 고유 정보를 검출하고, 검출한 고유 정보에 대응하는 현장 단말에 상기 인증서를 주입하는 단계를 포함하되
상기 현장 단말은 DLMS 서버로 동작하고, 상기 인증서 주입 장치는 DLMS 클라이언트로 동작하는 인증서 주입 방법.
In the certificate injection method for injecting a certificate to the field terminal using a certificate injection device,
Requesting generation of a key pair to the field terminal;
Receiving one of a key pair generation result and a key pair acquisition result from the field terminal;
Transmitting a certificate generation information request to the field terminal;
Collecting certificate generation information according to the key pair of the field terminal and the DLMS standard from the field terminal and including the system title unique information;
Transmitting a certificate generation request including the certificate generation information to a certificate management server;
Receiving a certificate including the unique information from the certificate management server; And
Detecting unique information from the received certificate, and injecting the certificate to the field terminal corresponding to the detected unique information,
The field terminal operates as a DLMS server, and the certificate injection device operates as a DLMS client.
상기 인증서 생성 정보를 수집하는 단계에서는 물리적 주소 및 고유 정보 중 하나를 근거로 복수의 현장 단말에 순차를 설정하고, 상기 설정된 순차를 근거로 상기 복수의 현장 단말로부터 인증서 생성 정보를 수신하는 인증서 주입 방법.The method of claim 10,
In the step of collecting the certificate generation information, a method of injecting a certificate for establishing a sequence to a plurality of field terminals based on one of a physical address and unique information, and receiving certificate generation information from the plurality of field terminals based on the set sequence .
상기 인증서 생성 정보를 수집하는 단계에서는.
물리적 주소를 증가시키면서 요청 신호를 전송하고, 응답 신호를 전송하는 물리적 주소를 현장 단말의 물리적 주소로 검출하고, 상기 검출한 물리적 주소를 근거로 공개 키 및 고유 정보를 포함하는 인증서 생성 정보를 수집하여 상기 물리적 주소와 매칭하는 인증서 주입 방법.The method of claim 14,
In the step of collecting the certificate generation information.
While transmitting the request signal while increasing the physical address, the physical address transmitting the response signal is detected as the physical address of the field terminal, and the certificate generation information including the public key and the unique information is collected based on the detected physical address. Certificate injection method to match the physical address.
상기 현장 단말로부터 DLMS 표준에 따르며 시스템 타이틀인 고유 정보를 수집하는 단계;
상기 키 쌍 및 상기 고유 정보를 포함하는 인증서 생성 정보를 생성하는 단계;
인증서 관리 서버로 상기 인증서 생성 정보를 포함하는 인증서 생성 요청을 전송하는 단계;
상기 인증서 관리 서버로부터 상기 고유 정보를 포함한 인증서를 수신하는 단계;
상기 수신한 인증서로부터 고유 정보를 검출하고, 검출한 고유 정보에 대응하는 현장 단말에 상기 인증서를 주입하는 단계; 및
상기 현장 단말에 상기 키 쌍을 주입하는 단계를 포함하되,
상기 현장 단말은 DLMS 서버로 동작하는 인증서 주입 방법.
Generating a key pair corresponding to the field terminal;
Collecting unique information that is a system title according to the DLMS standard from the field terminal;
Generating certificate generation information including the key pair and the unique information;
Transmitting a certificate generation request including the certificate generation information to a certificate management server;
Receiving a certificate including the unique information from the certificate management server;
Detecting unique information from the received certificate and injecting the certificate into a field terminal corresponding to the detected unique information; And
Injecting the key pair to the field terminal,
The field terminal is a certificate injection method that operates as a DLMS server.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020180111626A KR102128444B1 (en) | 2018-09-18 | 2018-09-18 | Apparatus and method for installing certificates |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020180111626A KR102128444B1 (en) | 2018-09-18 | 2018-09-18 | Apparatus and method for installing certificates |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20200032513A KR20200032513A (en) | 2020-03-26 |
KR102128444B1 true KR102128444B1 (en) | 2020-06-30 |
Family
ID=69958671
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020180111626A KR102128444B1 (en) | 2018-09-18 | 2018-09-18 | Apparatus and method for installing certificates |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102128444B1 (en) |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101686167B1 (en) * | 2015-07-30 | 2016-12-28 | 주식회사 명인소프트 | Apparatus and Method for Certificate Distribution of the Internet of Things Equipment |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101143193B1 (en) * | 2005-11-25 | 2012-05-18 | 주식회사 엘지유플러스 | Method and system for issuing ic chip |
KR101383810B1 (en) * | 2011-11-14 | 2014-04-14 | 한전케이디엔주식회사 | System and method for certificating security smart grid devices |
KR101772936B1 (en) | 2015-12-10 | 2017-08-30 | 한전케이디엔주식회사 | AMI Security System using One Time Password and Method thereof |
-
2018
- 2018-09-18 KR KR1020180111626A patent/KR102128444B1/en active IP Right Grant
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101686167B1 (en) * | 2015-07-30 | 2016-12-28 | 주식회사 명인소프트 | Apparatus and Method for Certificate Distribution of the Internet of Things Equipment |
Also Published As
Publication number | Publication date |
---|---|
KR20200032513A (en) | 2020-03-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20210176073A1 (en) | Providing security in an intelligent electronic device | |
JP5175952B2 (en) | Data transmission apparatus and method | |
CN112689833B (en) | Information communication device, authentication program for information communication device, and authentication method | |
CN101616165A (en) | A kind of method of inquiring and authenticating issue of novel X 509 digital certificate white list | |
CN107911224B (en) | The continuous card method and system of universal embedded integrated circuit card | |
KR101294319B1 (en) | Remote inspection system and communication method of the same | |
CN103117987A (en) | Digital certificate updating method | |
BR102019005184A2 (en) | METHOD AND SYSTEM FOR PROVIDING A SAFE TERMINAL | |
CN111435390A (en) | Safety protection method for operation and maintenance tool of power distribution terminal | |
KR101772936B1 (en) | AMI Security System using One Time Password and Method thereof | |
MX2012011584A (en) | Locating network resources for an entity based on its digital certificate. | |
CN107223328A (en) | A kind of method and system of Root authority management and control | |
CN104484792A (en) | Method and system for realizing online annual declaration of organization institution code information | |
CA2888443A1 (en) | Certificate installation and delivery process, four factor authentication, and applications utilizing same | |
CN105447747A (en) | Tax declaration method based on C/S (client/Server) framework | |
JP2018174507A (en) | Communication device | |
KR102128444B1 (en) | Apparatus and method for installing certificates | |
CN111435389A (en) | Power distribution terminal operation and maintenance tool safety protection system | |
KR100961842B1 (en) | Security authentication system and method for remote measurement based on power line communication | |
CN107181795B (en) | Convenient filling method and system for wireless security terminal firmware | |
BR112014004642B1 (en) | PREFECTIVE METHOD AND SYSTEM FOR UTILITY CONSUMPTIONS WITHIN AN INTELLIGENT NETWORK | |
CN100566238C (en) | Obtain the method and system of user profile | |
KR20200143034A (en) | Certificate-based security electronic watt hour meter | |
KR101441566B1 (en) | Apparatus and method for secure authentication of smart meter | |
JP4868322B2 (en) | Information processing system and information processing method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |