KR102351535B1 - System and method for enhanced security of ami devices - Google Patents
System and method for enhanced security of ami devices Download PDFInfo
- Publication number
- KR102351535B1 KR102351535B1 KR1020200016760A KR20200016760A KR102351535B1 KR 102351535 B1 KR102351535 B1 KR 102351535B1 KR 1020200016760 A KR1020200016760 A KR 1020200016760A KR 20200016760 A KR20200016760 A KR 20200016760A KR 102351535 B1 KR102351535 B1 KR 102351535B1
- Authority
- KR
- South Korea
- Prior art keywords
- authentication information
- security authentication
- ami
- security
- devices
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0827—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving distinctive intermediate devices or communication paths
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- G—PHYSICS
- G08—SIGNALLING
- G08C—TRANSMISSION SYSTEMS FOR MEASURED VALUES, CONTROL OR SIMILAR SIGNALS
- G08C2200/00—Transmission systems for measured values, control or similar signals
Abstract
본 발명의 AMI 기기의 보안 강화 시스템은 AMI 시스템을 구성하는 대량의 AMI 기기들 각각에 대한 보안인증 정보를 저장하고, 상기 대량의 AMI 기기들에 대한 인증서 주입 명령을 출력하는 보안인증정보 관리 장치; 및 상기 대량의 AMI 기기들과 연결되고, 상기 보안인증정보 관리 장치로부터 전달된 인증서 주입 명령에 응답하여, 상기 대량의 AMI 기기들 각각에게 대응된 보안인증 정보를 일괄적으로 주입하는 보안인증정보 주입장치를 포함하되, 상기 보안인증정보 주입장치는 상기 대량의 AMI 기기들 각각에 대하여 식별정보를 요청한 후, 상기 식별정보에 의거하여 상기 보안인증정보를 전달하는 것을 특징으로 한다. 따라서, 본 발명은 인증센터에서 일괄적으로 발급한 보안인증 정보를 대량의 AMI 기기로 주입하고 관리하되, 상기 대량의 AMI 기기들과 유선으로 연결된 하나의 장치를 통해 처리함으로써, 상기 보안인증정보의 주입 및 관리가 체계적으로 이루어질 수 있도록 하는 장점이 있다.The security enhancement system for an AMI device of the present invention includes: a security authentication information management device that stores security authentication information for each of a large amount of AMI devices constituting the AMI system, and outputs a certificate injection command for the mass of AMI devices; and security authentication information injection connected to the mass of AMI devices and collectively injecting security authentication information corresponding to each of the mass of AMI devices in response to a certificate injection command transmitted from the security authentication information management device Including a device, wherein the security authentication information injection device is characterized in that after requesting identification information for each of the mass of AMI devices, the security authentication information is transmitted based on the identification information. Therefore, the present invention injects and manages the security authentication information collectively issued by the authentication center to a large amount of AMI devices, and processes it through one device connected to the large amount of AMI devices by wire, so that the security authentication information There is an advantage in that injection and management can be systematically performed.
Description
본 발명은 AMI 시스템에 관한 것으로서, 보다 상세하게는, AMI 시스템을 구성하는 대량의 AMI 기기 각각의 보안을 강화시키기 위한 AMI 기기의 보안 강화 시스템 및 그 방법에 관한 것이다.The present invention relates to an AMI system, and more particularly, to a system for enhancing the security of an AMI device and a method therefor for enhancing the security of each of a large number of AMI devices constituting the AMI system.
최근, 전기로 구동하는 모든 시설과 기기를 다양한 통신 네트워크를 통해 연결하는 스마트 그리드(smart grid)(일명, 지능형 전력망) 개념이 등장하였고, 수용가와 공급자인 전력회사 간 양방향 데이터 통신을 구현하기 위해, 상기 스마트 그리드에는 AMI(Advanced Metering Infrastructure) 시스템(일명, 양방향 원격검침 시스템 또는 양방향 검침 인프라 시스템)이 필수적으로 구축되어야 한다. 이 때, AMI 시스템은 유/무선 통신을 이용하여 원격에서 에너지 사용량을 실시간으로 검침하고, 양방향 정보 교환을 통해 에너지 사용량을 효율적으로 관리하는 시스템으로서, 검침된 에너지 사용량을 관리하여 소비성향, 수요분석, 에너지 절감 및 대책 수립 등 효율적인 에너지 활용 서비스를 제공하는 시스템을 말한다.Recently, a smart grid (aka, intelligent power grid) concept that connects all electricity-driven facilities and devices through various communication networks has emerged. In the smart grid, an AMI (Advanced Metering Infrastructure) system (aka, a two-way remote metering system or a two-way metering infrastructure system) must be essentially built. At this time, the AMI system is a system that remotely meter-reads energy usage in real time using wired/wireless communication and efficiently manages energy usage through two-way information exchange. , refers to a system that provides efficient energy utilization services such as energy saving and countermeasures establishment.
한편, 이러한 지능형 전력망은, 유/무선 통신을 이용하여 전달되는 정보(예컨대, 에너지 사용량 등)의 보호를 위해, 기기들 간 상호 인증, 암호화 저장, 암호화 통신 등, 기존 전력망에서 고려하지 않았던 보안 기능들을 필수로 필요로 하게 되었다. 예를 들어, AMI 기기 및 통신 접점에 대한 보안강화가 필요하고, 보안이 취약한 단말로 인한 보안 위협의 증가에 따른 대책이 필요하게 되었다.On the other hand, such an intelligent power grid is a security function not considered in the existing power grid, such as mutual authentication between devices, encrypted storage, encrypted communication, etc., to protect information (eg, energy usage, etc.) transmitted using wired/wireless communication became a necessity. For example, it is necessary to strengthen the security of AMI devices and communication contact points, and countermeasures are needed according to the increase in security threats caused by terminals with weak security.
이로 인해, 최근에는 지능형 전력망에 전자인증서 기반의 AMI 기기 인증 체계를 구축하여 인증서 기반의 상호 인증 등 보안 통신 환경을 지원하고 있다. For this reason, recently, an electronic certificate-based AMI device authentication system has been established in an intelligent power grid to support a secure communication environment such as certificate-based mutual authentication.
상기 AMI 기기 인증 체계에서는 개인키와 서명용 인증서, 키 교환용 인증서, 인증서버 인증서 등(이하 “보안인증 정보”라 한다)이 단말 장치에 탑재되는데 이러한 보안인증 정보는 외부로 노출 시 통신 데이터의 유출을 야기할 수 있다. 하지만 이러한 인증서를 관리하고 주입하기 위한 체계가 미흡하여 보안성을 유지하기가 어려운 상황이며, 상기 보안인증 정보를 안전하게 저장하고 관리함으로서, 대량의 AMI 기기 각각의 보안을 유지시키는 체계화된 시스템이 필요한 실정이다.In the AMI device authentication system, a private key, a certificate for signing, a certificate for key exchange, a certificate server certificate, etc. (hereinafter referred to as “security authentication information”) are mounted on the terminal device. can cause However, it is difficult to maintain security because the system for managing and injecting these certificates is insufficient, and a systematic system is needed to safely store and manage the security authentication information, thereby maintaining the security of each of a large number of AMI devices. to be.
따라서 본 발명은 인증센터에서 일괄적으로 발급한 보안인증 정보를 대량의 AMI 기기로 주입하고 관리하되, 상기 대량의 AMI 기기들과 유선으로 연결된 하나의 장치를 통해 처리함으로써, 상기 보안인증정보의 주입 및 관리가 체계적으로 이루어질 수 있도록 하는 AMI 기기의 보안 강화 시스템 및 그 방법을 제공하고자 한다. Therefore, the present invention injects and manages the security authentication information collectively issued by the authentication center to a large amount of AMI devices, and processes it through one device connected to the large amount of AMI devices by wire, thereby injecting the security authentication information and to provide a system and method for enhancing the security of AMI devices that can be systematically managed.
또한, 본 발명은 상기 보안인증정보를 체계적으로 주입하고 관리함으로써, 상기 보안인증정보의 보안성 유지가 용이하고, 이로 인해, AMI 기기 각각의 보안 유지가 용이하도록 하는 AMI 기기의 보안 강화 시스템 및 그 방법을 제공하고자 한다.In addition, the present invention provides a system for enhancing the security of an AMI device, and a system for enhancing the security of each AMI device that facilitates maintaining the security of the security authentication information by systematically injecting and managing the security authentication information. We want to provide a way.
상기 목적을 달성하기 위해, 본 발명에서 제공하는 AMI 기기의 보안 강화 시스템은 AMI 시스템을 구성하는 대량의 AMI 기기들 각각에 대한 보안인증 정보를 저장하고, 상기 대량의 AMI 기기들에 대한 인증서 주입 명령을 출력하는 보안인증정보 관리 장치; 및 상기 대량의 AMI 기기들과 연결되고, 상기 보안인증정보 관리 장치로부터 전달된 인증서 주입 명령에 응답하여, 상기 대량의 AMI 기기들 각각에게 대응된 보안인증 정보를 일괄적으로 주입하는 보안인증정보 주입장치를 포함하되, 상기 보안인증정보 주입장치는 상기 대량의 AMI 기기들 각각에 대하여 식별정보를 요청한 후, 상기 식별정보에 의거하여 상기 보안인증정보를 전달하는 것을 특징으로 한다. In order to achieve the above object, the security enhancement system for AMI devices provided in the present invention stores security authentication information for each of a large amount of AMI devices constituting the AMI system, and provides a certificate injection command for the large amount of AMI devices. Security authentication information management device for outputting; and security authentication information injection connected to the mass of AMI devices and collectively injecting security authentication information corresponding to each of the mass of AMI devices in response to a certificate injection command transmitted from the security authentication information management device Including a device, wherein the security authentication information injection device is characterized in that after requesting identification information for each of the mass of AMI devices, the security authentication information is transmitted based on the identification information.
바람직하게는, 상기 보안인증 정보는 상기 AMI 기기들 각각에 대하여 인증센터에서 일괄적으로 발급한 인증서; 및 상기 인증서에 대응된 키 정보를 포함할 수 있다.Preferably, the security authentication information includes a certificate collectively issued by an authentication center for each of the AMI devices; and key information corresponding to the certificate.
바람직하게는, 상기 AMI 기기의 보안 강화 시스템은 상기 대량의 AMI 기기들과 상기 보안인증정보 주입장치를 연결하는 중계 장치를 더 포함할 수 있다.Preferably, the security enhancement system of the AMI device may further include a relay device for connecting the mass of AMI devices and the security authentication information injection device.
바람직하게는, 상기 중계 장치는 상기 대량의 AMI 기기들이 AMI 모뎀인 경우, 상기 AMI 모뎀들과 USB 케이블을 통해 1;1로 연결되고, RS-485 케이블을 이용하여 상호 시리얼 통신을 하는 다수의 제1 인터페이스 장치들; 및 상기 제1 인터페이스 장치들 중 하나와 RS-485 통신을 하고, 상기 보안인증정보 주입장치와 USB 통신을 하는 제2 인터페이스 장치를 포함할 수 있다.Preferably, when the mass of AMI devices are AMI modems, the relay device is connected 1:1 with the AMI modems through a USB cable, and uses a RS-485 cable for mutual serial communication. 1 interface devices; and a second interface device that performs RS-485 communication with one of the first interface devices and performs USB communication with the security authentication information injection device.
바람직하게는, 상기 중계 장치는 상기 대량의 AMI 기기들이 DCU인 경우, 다수의 포트들을 포함하고, 각 포트별로 고유한 DCU를 연결하는 DCU 연결 중계기로 구현될 수 있다.Preferably, when the mass of AMI devices are DCUs, the relay device may be implemented as a DCU-connected repeater that includes a plurality of ports and connects a unique DCU for each port.
한편, 상기 목적을 달성하기 위해, 본 발명에서 제공하는 AMI 기기의 보안 강화 방법은 AMI 시스템을 구성하는 대량의 AMI 기기들 각각에 대한 보안인증정보를 관리하는 보안인증정보 관리 장치; 및 상기 보안인증정보 관리 장치의 명령에 의거하여 상기 대량의 AMI 기기들 각각에게 대응된 보안인증정보를 일괄적으로 주입하는 보안인증정보 주입장치를 포함하고, 외부의 인증센터와 연동하는 AMI 기기의 보안 강화 시스템을 이용한 AMI 기기의 보안 강화 방법에 있어서, 인증관리자 단말로부터 인증서 발급 신청 메시지를 수신한 상기 인증센터에서 상기 보안인증정보를 생성하는 보안인증정보 생성단계; 상기 보안인증정보를 상기 보안인증정보 관리 장치에 저장하는 보안인증정보 저장단계; 및 상기 보안인증정보 관리 장치의 인증서 주입 명령에 응답하여, 상기 보안인증정보 주입장치가 상기 대량의 AMI 기기들 각각에게 대응된 보안 인증정보를 일괄적으로 주입하는 보안인증정보 주입단계를 포함하되, 상기 보안인증정보 주입단계는 상기 대량의 AMI 기기들 각각에 대하여 식별정보를 요청하는 기기 정보 요청단계; 및 상기 대량의 AMI 기기들 각각으로부터 수신된 기기 정보에 의거하여 상기 보안인증정보를 전달하는 보안인증정보 전달단계를 포함하는 것을 특징으로 한다. On the other hand, in order to achieve the above object, the security enhancement method of the AMI device provided by the present invention is a security authentication information management device for managing security authentication information for each of a large amount of AMI devices constituting the AMI system; and a security authentication information injection device for collectively injecting security authentication information corresponding to each of the mass of AMI devices according to a command of the security authentication information management device, wherein the AMI device interworking with an external authentication center A method for enhancing the security of an AMI device using a security enhancement system, comprising: a security authentication information generation step of generating the security authentication information in the authentication center receiving a certificate issuance application message from an authentication manager terminal; a security authentication information storage step of storing the security authentication information in the security authentication information management device; and a security authentication information injection step in which the security authentication information injection device collectively injects the security authentication information corresponding to each of the mass AMI devices in response to the certificate injection command of the security authentication information management device, The security authentication information injection step includes a device information request step of requesting identification information for each of the mass AMI devices; and a security authentication information delivery step of delivering the security authentication information based on the device information received from each of the mass of AMI devices.
바람직하게는, 상기 보안인증정보 생성단계는 상기 AMI 기기들 각각에 대한 인증서 및 상기 인증서에 대응된 키 정보를 생성할 수 있다.Preferably, the generating of the security authentication information may generate a certificate for each of the AMI devices and key information corresponding to the certificate.
바람직하게는, 상기 보안인증정보 저장단계는 상기 보안인증정보가 저장된 물리적 매체를 통해 상기 보안인증정보를 저장할 수 있다.Preferably, the step of storing the security authentication information may store the security authentication information through a physical medium in which the security authentication information is stored.
바람직하게는, 상기 방법은 상기 보안인증정보를 전달받은 AMI 기기들 각각이 수신된 보안인증정보를 저장한 후, 상기 보안인증정보에 대한 검증을 실시하는 보안인증정보 검증단계; 상기 AMI 기기들 각각이 상기 검증 결과를 상기 보안인증정보 주입장치로 전송하는 검증결과 보고단계; 및 상기 보안인증정보 주입장치가 상기 AMI 기기들 각각의 검증 결과를 취합하여 상기 보안인증정보 관리 장치로 보안인증정보 주입결과를 보고하는 주입결과 보고 단계를 더 포함할 수 있다.Preferably, the method comprises: a security authentication information verification step of performing verification on the security authentication information after each of the AMI devices that have received the security authentication information store the received security authentication information; a verification result reporting step in which each of the AMI devices transmits the verification result to the security authentication information injection device; and an injection result reporting step in which the security authentication information injection device collects the verification results of each of the AMI devices and reports the security authentication information injection result to the security authentication information management device.
본 발명의 AMI 기기의 보안 강화 시스템 및 그 방법은 인증센터에서 일괄적으로 발급한 보안인증 정보를 대량의 AMI 기기로 주입하고 관리하되, 상기 대량의 AMI 기기들과 유선으로 연결된 하나의 장치를 통해 처리함으로써, 상기 보안인증정보의 주입 및 관리가 체계적으로 이루어질 수 있도록 하는 장점이 있다. 또한, 본 발명은 상기 보안인증정보를 체계적으로 주입하고 관리함으로써, 상기 보안인증정보의 보안성 유지가 용이하고, 이로 인해, AMI 기기 각각의 보안 유지가 용이한 장점이 있다.The security enhancement system and method for AMI devices of the present invention injects and manages security authentication information collectively issued by an authentication center into a large amount of AMI devices, but through a single device connected to the large amount of AMI devices by wire. By processing, there is an advantage in that the injection and management of the security authentication information can be systematically performed. In addition, the present invention has an advantage in that it is easy to maintain the security of the security authentication information by systematically injecting and managing the security authentication information, and thus, it is easy to maintain the security of each AMI device.
도 1은 본 발명의 일 실시 예에 따른 AMI 기기의 보안 강화 시스템에 대한 전반적인 시스템 구성도이다.
도 2는 본 발명의 일 실시 예에 따른 AMI 기기의 보안 강화 방법에 대한 개략적인 처리 흐름도이다.
도 3은 본 발명의 일 실시 예에 따른 보안인증정보 일괄 주입과정에 대한 개략적인 처리 흐름도이다.
도 4 및 도 5는 AMI 기기가 모뎀인 경우, 본 발명의 일 실시 예에 따른 보안 강화 시스템 및 그 처리 절차를 설명하기 위한 도면들이다.
도 6 내지 도 8은 AMI 기기가 DCU인 경우, 본 발명의 일 실시 예에 따른 보안 강화 시스템 및 그 처리 절차를 설명하기 위한 도면들이다.1 is an overall system configuration diagram of a system for enhancing security of an AMI device according to an embodiment of the present invention.
2 is a schematic flowchart of a method for enhancing security of an AMI device according to an embodiment of the present invention.
3 is a schematic flowchart of a security authentication information batch injection process according to an embodiment of the present invention.
4 and 5 are diagrams for explaining a security enhancement system and a processing procedure thereof according to an embodiment of the present invention when the AMI device is a modem.
6 to 8 are diagrams for explaining a security enhancement system and its processing procedure according to an embodiment of the present invention when the AMI device is a DCU.
아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시 예에 대하여 설명하되, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시 예에 한정되지 않는다. 한편 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다. 또한 상세한 설명을 생략하여도 본 기술 분야의 당업자가 쉽게 이해할 수 있는 부분의 설명은 생략하였다.Hereinafter, an embodiment of the present invention will be described with reference to the accompanying drawings, but it will be described in detail so that those of ordinary skill in the art to which the present invention pertains can easily practice the present invention. However, the present invention may be implemented in several different forms and is not limited to the embodiments described herein. On the other hand, in order to clearly explain the present invention in the drawings, parts irrelevant to the description are omitted, and similar reference numerals are attached to similar parts throughout the specification. In addition, even if the detailed description is omitted, descriptions of parts that can be easily understood by those skilled in the art are omitted.
명세서 및 청구범위 전체에서, 어떤 부분이 어떤 구성 요소를 포함한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성 요소를 제외하는 것이 아니라 다른 구성 요소를 더 포함할 수 있는 것을 의미한다.Throughout the specification and claims, when a part includes a certain element, it means that other elements may be further included, rather than excluding other elements, unless specifically stated to the contrary.
도 1은 본 발명의 일 실시 예에 따른 AMI 기기의 보안 강화 시스템에 대한 전반적인 시스템 구성도이다. 도 1을 참조하면, 본 발명의 일 실시 예에 따른 AMI 기기의 보안 강화 시스템(100)은 보안인증정보 관리 장치(110), 보안인증정보 주입장치(120), 및 중계장치(130)를 포함하고, 인증관리자 단말장치(20) 및 보안인증정보 관리 시스템 관리자 단말장치(40)를 통해 인증센터(10)와 연동하여, AMI 기기별 보안인증정보를 대량의 AMI 기기들(50a, 50b)에게 일괄적으로 주입한다. 이 때, 상기 보안인증정보는 AMI 시스템을 구성하는 대량의 AMI 기기들(50a, 50b) 각각에 대하여 인증센터에서 일괄적으로 발급한 인증서, 및 상기 인증서에 대응된 키 정보를 포함할 수 있다. 1 is an overall system configuration diagram of a system for enhancing security of an AMI device according to an embodiment of the present invention. Referring to FIG. 1 , the
상기 보안인증정보를 AMI 기기들(50a, 50b)에게 주입하기 위해, 인증관리자 단말장치(20)는, 인증관리자의 요청에 응답하여, 인증센터(10)로 인증서 발급을 신청하고(S101), 인증센터(10)로부터 일괄적으로 발급된 인증서가 전달되면(S103), 그 인증서 및 키 정보를 물리적 매체(30)에 저장한다(S105). 이 때, 물리적 매체(30)는 오프라인 상에서의 데이터 전달 수단인 CD(Compact Disc) 또는 USB(Universal Serial Bus) 메모리 일 수 있다.In order to inject the security authentication information to the AMI devices (50a, 50b), the authentication
한편, 보안인증정보 관리 시스템 관리자 단말장치(40)는 물리적 매체(30)로부터 상기 인증서 및 키 정보를 전달받아(S107), AMI 기기의 보안 강화 시스템(100)에 등록한다(S109). On the other hand, the security authentication information management system
그러면, AMI 기기의 보안 강화 시스템(100)은 상기 인증서 및 키 정보를 내부적으로 전송하여(S111), 대량의 AMI 기기들(50a, 50b)에 일괄 주입한다. 이를 위해, 보안인증정보 관리장치(110)는 대량의 AMI 기기들(50a, 50b) 각각에 대한 보안인증 정보를 저장하고, 상기 대량의 AMI 기기들(50a, 50b)에 대한 인증서 주입명령을 출력한다. 즉, 보안인증정보 관리장치(110)는, 보안인증정보 관리 시스템 관리자 단말장치(40)로부터 대량의 AMI 기기들(50a, 50b) 각각에 대응된 인증서 및 키 정보를 전달받아 저장하고, 상기 인증서 및 키 정보를 인증서 주입 명령과 함께 보안인증정보 주입장치(120)로 전송(S111)한다.Then, the
보안인증정보 주입장치(120)는 보안인증정보 관리 장치(110)로부터 전달된 인증서 주입 명령에 응답하여, 대량의 AMI 기기들(50a, 50b) 각각에게 대응된 보안인증 정보를 일괄적으로 주입한다. 이를 위해, 보안인증정보 주입장치(120)는 대량의 AMI 기기들(50a, 50b)과 물리적으로 연결되며, 도 1에 예시된 바와 같이, 중계 장치(130)를 통해, 보안인증정보 주입장치(120)와 대량의 AMI 기기들(50a, 50b)을 물리적으로 연결할 수 있다.The security authentication
이 때, 상기 대량의 AMI 기기들이 모뎀(예컨대, PLC 모뎀 또는 무선 모뎀)(50a)으로 구성된 경우, 중계 장치(130)는, AMI 모뎀들(50a)과 USB 케이블을 통해 1;1로 연결되고 RS-485 케이블을 이용하여 상호 시리얼 통신을 하는 다수의 제1 인터페이스 장치들(132), 및 제1 인터페이스 장치들(132) 중 하나와 RS-485 통신을 하고 보안인증정보 주입장치(120)와 USB 통신을 하는 제2 인터페이스 장치(131)를 포함한다. 한편, 상기 대량의 AMI 기기들이 DCU(50b)로 구성된 경우, 중계 장치(130)는, 이더넷 케이블을 통해 보안인증정보 주입장치(120)와 연결되어 TCP/IP 통신을 수행하는 DCU 연결 중계기(일명, 스위치)(133)로 구현되며, DCU 연결 중계기(133)는 다수의 포트들을 포함하고, 각 포트별로 고유한 DCU를 연결한다. At this time, when the mass of AMI devices are configured with a modem (eg, a PLC modem or a wireless modem) 50a, the
도 2는 본 발명의 일 실시 예에 따른 AMI 기기의 보안 강화 방법에 대한 개략적인 처리 흐름도이다. 도 1 및 도 2를 참조하면, 도 1에 예시된 바와 같은 AMI 기기의 보안 강화 시스템을 이용한 AMI 기기의 보안 강화 방법은 다음과 같다.2 is a schematic flowchart of a method for enhancing security of an AMI device according to an embodiment of the present invention. 1 and 2 , a method for enhancing security of an AMI device using the system for enhancing security of an AMI device as illustrated in FIG. 1 is as follows.
먼저, 단계 S210에서는, 인증센터(10)가 보안인증정보를 생성한다. 즉, 단계 S210에서는, 인증관리자 단말(20)로부터 인증서 발급 신청 메시지를 수신한, 인증센터(10)가 보안인증정보를 생성하여 인증관리자 단말(20)로 전달한다. 이 때, 보안인증정보는 상기 AMI 기기들(50a, 50b) 각각에 대한 인증서 및 상기 인증서에 대응된 키 정보를 포함하며, 인증센터(10)는 상기 보안인증정보를 일괄적으로 생성하여 인증관리자 단말(20)로 전달할 수 있다. First, in step S210, the
단계 S220에서는, 보안인증정보 관리 장치(110)가 단계 S210에서 생성한 보안인증정보를 저장한다. 이를 위해, 인증관리자 단말(20)은 상기 보안인증정보를 보안인증정보 관리 시스템 관리자 단말장치(40)로 전달하되, 물리적 매체(예컨대, CD, USB 메모리 등)(30)를 이용하여 상기 보안인증정보를 전달하고, 보안인증정보 관리 시스템 관리자 단말장치(40)는 상기 보안인증정보를 보안인증정보 관리 장치(110)에 저장한다. In step S220, the security authentication
단계 S230에서는, 보안인증정보 주입장치(120)가 상기 대량의 AMI 기기들(50a, 50b) 각각에게 대응된 보안 인증정보를 일괄적으로 주입한다. 즉, 단계 S230에서는, 보안인증정보 관리 장치(110)의 인증서 주입 명령에 응답하여, 보안인증정보 주입장치(120)가 상기 대량의 AMI 기기들(50a, 50b) 각각에게 대응된 보안 인증정보를 일괄적으로 주입한다.In step S230, the security authentication
단계 S240에서는, 상기 보안인증정보를 수신한 AMI 기기들(50a, 50b) 각각이 수신된 보안인증정보를 검증한다. 이를 위해, AMI 기기들(50a, 50b) 각각은 상기 보안인증정보를 저장한 후, 주입 전/후 보안인증정보에 대한 크기를 비교하고, 개인키와 공개키의 키쌍일치시험(Key-Pair Test)을 실시한다. In step S240, each of the
단계 S250에서는, 상기 보안인증정보에 대한 검증을 실시한 AMI 기기들(50a, 50b) 각각이 그 검증 결과를 보고한다. 즉, 단계 S250에서는, AMI 기기들(50a, 50b) 각각이 상기 검증 결과를 보안인증정보 주입장치(120)로 전송한다. In step S250, each of the
단계 S260에서는, 보안인증정보 주입장치(120)가 보안인증정보 관리 장치(110)에게 보안인증정보 주입 결과를 보고한다. 즉, 단계 S260에서는, 보안인증정보 주입장치(120)가 AMI 기기들 각각(50a, 50b)의 검증 결과를 취합하여, 보안인증정보 관리 장치(110)로 상기 보안인증정보 주입결과를 보고한다. In step S260 , the security authentication
도 3은 상기 단계 S230에 대한 개략적인 처리 흐름도로서, 본 발명의 일 실시 예에 따른 보안인증정보 일괄 주입과정에 대한 개략적인 처리 과정을 예시하고 있다. 도 1 및 도 3을 참조하면, 본 발명의 일 실시 예에 따라 보안인증정보를 일괄적으로 주입하기 위해, 보안인증정보 주입장치(120)는, 단계 S231에서, 기기 정보를 요청한다. 즉, 단계 S231에서, 보안인증정보 주입장치(120)는 대량의 AMI 기기들(50a, 50b) 각각에 대하여 식별정보를 요청하는 기기 정보 요청한다. 이 때, 보안인증정보 주입장치(120)는 대량의 AMI 기기들(50a, 50b)의 종류에 따라 대응된 식별정보를 요청하는데, 대량의 AMI 기기들(50a, 50b)이 모뎀인 경우, 보안인증정보 주입장치(120)는 모뎀이 연결된 순서에 따라 모뎀들 각각의 고유정보(예컨대, MAC ID, 시리얼 번호 등)를 요청하고, 대량의 AMI 기기들(50a, 50b)이 DCU인 경우, 보안인증정보 주입장치(120)는 DCU 연결 중계기(133)의 포트 순서에 따라 대응된 포트에 연결된 DCU의 고유정보(예컨대, MAC ID, 시리얼 번호 등)를 요청할 수 있다.3 is a schematic process flow diagram for the step S230, and illustrates a schematic process for a security authentication information batch injection process according to an embodiment of the present invention. 1 and 3 , in order to collectively inject security authentication information according to an embodiment of the present invention, the security authentication
단계 S232에서는, 단계 S231의 기기 정보 요청에 대한 응답으로, 대량의 AMI 기기들 각각으로부터 대응된 기기정보(예컨대, 식별정보)가 전달되면, 그 기기 정보에 의거하여 상기 보안인증정보를 전달한다.In step S232, when corresponding device information (eg, identification information) is transmitted from each of a large amount of AMI devices in response to the device information request of step S231, the security authentication information is transmitted based on the device information.
도 4 및 도 5는 AMI 기기가 모뎀인 경우, 본 발명의 일 실시 예에 따른 보안 강화 시스템 및 그 처리 절차를 설명하기 위한 도면들이다.4 and 5 are diagrams for explaining a security enhancement system and its processing procedure according to an embodiment of the present invention when the AMI device is a modem.
도 4는 본 발명의 일 실시 예에 따른 보안 강화 시스템과 AMI 모뎀을 연결한 경우의 예를 도시한 도면이다. 도 4를 참조하면, 본 발명의 일 실시 예에 따른 보안 강화 시스템은 다수의 AMI 기기인 모뎀들(50a)을 하나의 보안인증정보 주입장치(120)에 연결시키기 위해, 상기 모뎀들(50a) 각각과 1:1로 연결된 제1 인터페이스 장치들(132), 및 보안인증정보 주입장치(120)와 USB 케이블로 연결된 제2 인터페이스 장치(131)를 포함할 수 있다. 이 때, 제1 인터페이스 장치들(132)과 제2 인터페이스 장치(131)는 RS-485 케이블로 연결되어, 시리얼 통신을 하고, 상기 모뎀들(50a) 각각과 제1 인터페이스 장치들(132)은 모뎀들(50a) 각각에 내장된 USB 콘솔을 이용하여 USB 통신을 한다. 4 is a diagram illustrating an example in which the security enhancement system and the AMI modem are connected according to an embodiment of the present invention. Referring to FIG. 4 , the security enhancement system according to an embodiment of the present invention connects
한편, 보안인증정보 주입장치(120)는, 보안인증정보 관리장치(110)로부터 전달된 보안인증정보를 모뎀들(50a)에게 전달하기 위해, 제2 인터페이스장치(131) 및 제1 인터페이스장치들(132)을 이용하여 대응된 모뎀들(50a)에 접근한다. 이를 위해, 보안인증정보 주입장치(120)는, 워크스테이션을 사용하며 가장 범용적으로 쓰이는 USB A Type 포트를 포함하고, USB A Type to RS-485 장비로 구현된 제2 인터페이스장치(131)를 이용하여 제1 인터페이스 장치들(132)과 RS-485 연결할 수 있다. 즉, 보안인증정보 주입장치(120)는 모뎀들(50a) 각각에 대응된 제1 인터페이스장치들(132)에 MAC ID를 부여하고 해당 MAC ID를 통해 모뎀의 MAC 정보와 시리얼 정보를 식별한다.On the other hand, the security authentication
도 4의 예에서는, 하나의 보안인증정보 주입장치(120)에 5개의 모뎀이 연결된 예를 도시하고 있지만, 본 발명이 도 4에 예시된 내용에 의해 제한되는 것은 아니다. 즉, 상기 모뎀들(50a)을 다단계로 연결(Cascading)하여 최대 200대까지 모뎀을 연결할 수 있다.In the example of FIG. 4 , an example in which five modems are connected to one security authentication
도 5는 도 4에 예시된 보안 강화 시스템을 이용하여 AMI 기기의 보안을 강화시키기 위한 처리 절차를 설명하기 위한 도면으로서, 보안인증정보 관리장치(110)의 명령에 응답하여 보안인증정보 주입장치(120)가 대량의 AMI 모뎀들(50a)에게 보안인증정보를 전달하는 처리 절차의 예가 도시되어 있다. 도 5의 예에서는, 보안인증정보 주입장치(120)와 제1 인터페이스 장치(일명, 모뎀연결 인터페이스 장치(RS-485 to USB Console))(132) 사이에 연결된 제1 인터페이스 장치(131)를 생략하였다. 도 5를 참조하여 본 발명의 일 실시 예에 따른 AMI 기기의 보안 강화 방법을 설명하면 다음과 같다. 먼저, 보안인증정보 관리장치(110)가 대량 모뎀 인증서 주입을 명령하면(S301), 보안인증정보 주입장치(120)는 대량의 AMI 모뎀들(50a) 중 하나의 모뎀을 순차적으로 선택하여 해당 모뎀으로부터 그 모뎀의 고유정보를 전달받고, 그 고유정보를 이용하여 해당 모뎀에게 보안인증정보를 전송하는 일련의 과정을 수행한다. 5 is a view for explaining a processing procedure for strengthening the security of an AMI device using the security reinforcement system illustrated in FIG. 4 , and in response to a command from the security authentication
도 5의 예에서는, 보안인증정보 주입장치(120)가 대량의 AMI 모뎀들(50a) 중 1번 모뎀을 선택하여 1번 모뎀으로부터 고유정보를 전달받고, 그 고유정보를 이용하여 1번 모뎀에게 보안인증정보를 전송하는 과정을 예로 들어 설명하고 있다. 즉, 보안인증정보 관리장치(110)로부터 대량 모뎀 인증서 주입 명령을 전달받은(S301) 보안인증정보 주입장치(120)는 사전에 부여된 제1 인터페이스 장치(일명, 모뎀연결 인터페이스 장치(RS-485 to USB Console))(132)의 MAC ID를 통해 1번 모뎀을 식별한다. 그리고, 제1 인터페이스 장치(일명, 모뎀연결 인터페이스 장치(RS-485 to USB Console))(132)를 거쳐 1번 모뎀에게 고유정보(예컨대, MAC ID, 시리얼 번호 등)를 요청한다(S303, S305). 그러면, 1번 모뎀은 제1 인터페이스 장치(일명, 모뎀연결 인터페이스 장치(RS-485 to USB Console))(132)를 통해 자신의 고유정보를 보안인증정보 주입장치(120)로 전달하고(S307, S309), 보안인증정보 주입장치(120)는 상기 1번 모뎀의 고유정보를 보안인증정보 관리장치(110)로 전달한다(S311).In the example of FIG. 5 , the security authentication
한편, 상기 1번 모뎀의 고유정보를 수신한 보안인증정보 관리장치(110)는 1번 모뎀의 보안인증정보(예컨대, 인증서 및 키 정보)를 보안인증정보 주입장치(120) 및 제1 인터페이스 장치(일명, 모뎀연결 인터페이스 장치(RS-485 to USB Console))(132)를 거쳐 1번 모뎀에게 전달한다(S313 내지 S317). 그러면, 1번 모뎀은 그 보안인증정보를 AMI 모뎀 내부의 하드웨어 보안모듈(51a)로 전송하고(S319), AMI 모뎀 내부의 하드웨어 보안모듈(51a)은 상기 1번 모뎀 보안인증정보를 저장한 후, 주입된 보안인증정보를 검증한다(S321). 이를 위해, 하드웨어 보안모듈(51a)은 주입 전/후 보안인증정보에 대한 크기를 비교하고, 개인키와 공개키의 키쌍일치시험(Key-Pair Test)을 실시한다.On the other hand, the security authentication
상기 주입된 보안인증정보에 대한 검증을 수행한 AMI 모뎀 내 하드웨어 보안모듈(51a)은 상기 검증결과를 상위로 전송한다. 즉, AMI 모뎀 내 하드웨어 보안모듈(51a)은 1번 모뎀 검증 성공 메시지를 AMI 모뎀(50a) 및 제1 인터페이스 장치(일명, 모뎀연결 인터페이스 장치(RS-485 to USB Console))(132)를 거쳐 보안인증정보 주입장치(120)에게 전달한다(S323, S325, S327).The
이와 같이 하여 1번 모뎀에 대한 보안인증정보 주입이 완료되면, 보안인증정보 주입장치(120)는 2번부터 N번까지의 모뎀을 순차적으로 선택한 후, 상기 일련의 처리 과정들(S303 내지 S327)(A)을 반복 수행한다. 만약에 대량의 AMI 모뎀들(50a)이 200개의 AMI 모뎀을 포함하는 경우, 보안인증정보 주입장치(120)는 상기 일련의 처리 과정들(S303 내지 S327)(A)을 200번 반복 수행할 수 있다. In this way, when the injection of security authentication information for
상기 모든 AMI 모뎀들 각각에 대하여 상기 일련의 보안인증정보 주입과정들(S303 내지 S327)(A)을 수행한 경우, 보안인증정보 주입장치(120)는 보안인증정보 관리장치(110)에게 대량 모뎀 보안인증정보 주입 완료 메시지를 전송하고(S329), 처리 과정을 종료한다. When the series of security authentication information injection processes (S303 to S327) (A) are performed for each of the AMI modems, the security authentication
도 6 내지 도 8은 AMI 기기가 DCU인 경우, 본 발명의 일 실시 예에 따른 보안 강화 시스템 및 그 처리 절차를 설명하기 위한 도면들이다.6 to 8 are diagrams for explaining a security enhancement system and a processing procedure thereof according to an embodiment of the present invention when the AMI device is a DCU.
도 6은 본 발명의 일 실시 예에 따른 보안 강화 시스템과 DCU 장치를 연결한 경우의 예를 도시한 도면이다. 도 6을 참조하면, 본 발명의 일 실시 예에 따른 보안 강화 시스템은 다수의 AMI 기기인 DCU 장치들(50b)을 하나의 보안인증정보 주입장치(120)에 연결시키고, 보안인증정보 관리 장치(110)로부터 전달되는 보안인증정보를 전달받기 위해, DCU 연결 중계기(133)를 포함할 수 있다. 이 때, DCU 연결 중계기(133)는 네트워크 스위치(하나의 네트워크 라인에 여러 대의 이더넷 케이블을 꽂을 수 있는 장비)를 사용하며, 이더넷 케이블을 통해 보안인증정보 주입장치(120)와 연결되어 TCP/IP 통신을 수행한다. 또한, DCU 연결 중계기(133)는 다수의 포트들(최대 24 포트) 및 상기 포트들을 제어하는 스위칭 엔진을 포함하고, 각 포트별로 고유한 DCU를 연결할 수 있다. DCU 연결 중계기(133)가 24포트 스위치를 사용할 경우, 한 번에 23개의 DCU에 대한 인증서를 주입할 수 있다. 즉, 도 6에 예시된 보안 강화 시스템의 경우, 24포트 스위치로 구성된 DCU 연결 중계기(133)의 하나의 포트에는 보안인증정보 주입장치(120)를 연결하고, 나머지 23개의 포트에 서로 다른 다수의 DCU들을 연결하여 대응된 각각의 DCU들에게 보안인증정보 주입장치(120)로부터 전달된 보안인증정보를 주입할 수 있다.6 is a diagram illustrating an example in which a security enhancement system and a DCU device are connected according to an embodiment of the present invention. 6, the security enhancement system according to an embodiment of the present invention connects a plurality of AMI devices,
이 때, DCU 연결 중계기(예컨대, 스위치)(133)는 상기 DCU 각각에게 보안인증정보를 순차적으로 주입하기 위해, 포트 보안(Port-Security) 기능을 사용할 수 있는데, 이와 같이, DCU 연결 중계기(스위치)(133)에서 포트 보안(Port- Security) 기능을 실행하면 특정 MAC 주소를 가진 DCU만 DCU 연결 중계기(133)를 통하여 정보주입 시스템에 연결된다. 즉, DCU 연결 중계기(133)는 포트 보안 기능을 통하여 스위치 포트로 학습되는 MAC 주소를 주입대상 DCU의 MAC 주소로 제한하여 다른 DCU의 MAC 주소가 학습될 경우 연결을 차단한다. 도 7은 이러한 학습 과정의 예를 나타낸 도면으로서, 외부의 정보관리 시스템에 의한 포트 보안 설정을 반복 실행하는 과정의 예를 나타낸다. 스위칭 엔진은 상기 학습 결과에 의거하여, 보안인증 정보 주입대상인 DCU와 연결된 포트만을 활성화하고 해당 DCU를 제외한 나머지 모든 포트를 비활성화함으로써, DCU 별로 대응된 보안인증 정보를 주입할 수 있도록 한다. 그리고, 각 포트별로 상기 과정을 반복 수행함으로써, 모든 DCU에 순차적으로 보안인증 정보를 주입할 수 있다.At this time, the DCU-connected repeater (eg, switch) 133 may use a port-security function to sequentially inject security authentication information to each of the DCUs. As such, the DCU-connected repeater (switch) ) ( 133 ), when the Port-Security function is executed, only the DCU having a specific MAC address is connected to the information injection system through the
도 8은 도 6에 예시된 보안 강화 시스템을 이용하여 AMI 기기의 보안을 강화시키기 위한 처리 절차를 설명하기 위한 도면으로서, 보안인증정보 관리장치(110)의 명령에 응답하여 보안인증정보 주입장치(120)가 대량의 DCU들(50b)에게 보안인증정보를 전달하는 처리 절차의 예가 도시되어 있다.8 is a view for explaining a processing procedure for strengthening the security of an AMI device using the security reinforcement system illustrated in FIG. 6 , and in response to a command from the security authentication
도 8을 참조하여 본 발명의 일 실시 예에 따른 AMI 기기의 보안 강화 방법을 설명하면 다음과 같다. A method for enhancing security of an AMI device according to an embodiment of the present invention will be described with reference to FIG. 8 .
먼저, AMI용 DCU는 TCP/IP 통신을 하기 때문에 현장에 설치될 때 IP를 부여받는다. 따라서 DCU가 공장에서 출고될 때는 모두 동일한 IP로 생산되고, 보안인증정보가 주입될 때도 모든 DCU는 동일한 IP를 가지고 있는 상태이다. 이러한 DCU들은 모두 이더넷 케이블을 통해 DCU 연결 중계기(133)에 연결되고, 이 때 모든 DCU들이 동일한 IP를 가지고 있기 때문에 개별 DCU와 통신이 불가능한 상태이다.First, because DCU for AMI communicates with TCP/IP, an IP is assigned when installed in the field. Therefore, when DCUs are released from the factory, they are all produced with the same IP, and when security authentication information is injected, all DCUs have the same IP. All of these DCUs are connected to the DCU-connected
따라서, 보안인증정보 관리장치(110)가 대량 DCU 인증서 주입을 명령하면(S401), 보안인증정보 주입장치(120)는 대량의 DCU들(50b) 중 하나의 DCU를 순차적으로 선택하여 해당 DCU로부터 그 DCU의 고유정보를 전달받고, 그 고유정보를 이용하여 해당 DCU에게 보안인증정보를 전송하는 일련의 과정을 수행한다. Therefore, when the security authentication
도 8의 예에서는, 보안인증정보 주입장치(120)가 대량의 DCU들(50b) 중 2번 DCU를 선택하여 2번 DCU로부터 고유정보를 전달받고, 그 고유정보를 이용하여 2번 DCU에게 보안인증정보를 전송하는 과정을 예로 들어 설명하고 있다. 즉, 보안인증정보 관리장치(110)로부터 대량 DCU 인증서 주입명령을 전달받은(S401) 보안인증정보 주입장치(120)는 DCU 각각의 고유정보(예컨대, MAC Address 및 시리얼 번호)를 식별하고, DCU 연결 중계기(133)의 포트들 중 보안인증정보 주입장치(120)와 연결된 포트(1번)과, 첫 번째 주입대상 DCU와 연결된 포트(2번)를 제외한 나머지 모든 포트들을 비활성화 한다(S403). In the example of FIG. 8 , the security authentication
그러면, DCU 연결 중계기(133)는 DCU(50b)에게 2번 포트에 연결된 DCU 고유정보(예컨대, MAC Address 및 시리얼 번호)를 요청하고(S405), 그에 대한 응답으로 2번 포트에 연결된 DCU 고유정보를 전달받아(S407), 이를 보안인증정보 주입장치(120)로 전송한다(S409).Then, the DCU-connected
보안인증정보 주입장치(120)는 상기 2번 DCU에 대한 고유정보를 보안인증정보 관리장치(110)로 전달하고(S411), 보안인증정보 관리장치(110)로부터 2번 DCU의 보안인증정보를 전달받아(S413) DCU 연결 중계기(133)로 주입한다(S415).The security authentication
상기 보안인증정보를 전달받은 DCU 연결 중계기(133)는 그 보안인증정보를 해당 DCU(즉, 2번 DCU)에 주입한다(S417). 그러면, 상기 보안인증정보가 주입된 DCU(50b)는 상기 보안인증정보를 저장하고, 키페어 테스트를 통해 개인키와 인증서가 정상적으로 주입되었는지를 검증한다(S419).The
상기 주입된 보안인증정보에 대한 검증을 수행한 DCU(50b)는 상기 검증결과를 상위로 전송한다. 즉, DCU(50b)는 2번 DCU 검증 성공 메시지를 DCU 연결 중계기(133)를 거쳐 보안인증정보 주입장치(120)에게 전달한다(S421, S423).The
이와 같이 하여 2번 DCU에 대한 보안인증정보 주입이 완료되면, 보안인증정보 주입장치(120)는 3번부터 N번까지의 DCU를 순차적으로 선택한 후, 상기 일련의 처리 과정들(S403 내지 S423)(B)을 반복 수행한다. 만약에 DCU 연결 중계기(133)가 24포트 스위치인 경우, 상기 일련의 처라 과정들(S403 내지 S423)(B)을 23번 반복 수행할 수 있다. 특히, 단계 S403에서는, 이전에 활성화되었던 포트들 중 1번 포트를 제외한 나머지 하나의 포트를 비활성화하고, 다음의 포트를 순차적으로 활성화한다. 예를 들어, 2번 DCU에 대한 보안인증정보 주입이 완료된 후에는, 단계 S403에서, 보안인증정보 주입장치(120)가 DCU 연결 중계기(133)의 2번 포트를 비활성화하고, DCU 연결 중계기(133)의 3번 포트를 활성화시킨다. In this way, when the injection of security authentication information into DCU No. 2 is completed, the security authentication
한편, 상기 DCU 연결 중계기(133)에 연결된 모든 DCU들에 대하여 상기 일련의 보안인증정보 주입과정들(S403 내지 S423)(B)을 수행한 경우, 보안인증정보 주입장치(120)는 보안인증정보 관리장치(110)에게 대량 DCU 보안인증정보 주입 완료 메시지를 전송하고(S425), 처리 과정을 종료한다. On the other hand, when the series of security authentication information injection processes ( S403 to S423 ) (B) are performed for all DCUs connected to the
상술한 예시적인 시스템에서, 방법들은 일련의 단계 또는 블록으로써 순서도를 기초로 설명되고 있지만, 본 발명은 단계들의 순서에 한정되는 것은 아니며, 어떤 단계는 상술한 바와 다른 단계와 다른 순서로 또는 동시에 발생할 수 있다. In the exemplary system described above, the methods are described on the basis of a flowchart as a series of steps or blocks, however, the present invention is not limited to the order of steps, and some steps may occur in a different order or concurrently with other steps as described above. can
또한, 당업자라면 순서도에 나타낸 단계들이 배타적이지 않고, 다른 단계가 포함되거나 순서도의 하나 또는 그 이상의 단계가 본 발명의 범위에 영향을 미치지 않고 삭제될 수 있음을 이해할 수 있을 것이다.In addition, those skilled in the art will understand that the steps shown in the flowchart are not exhaustive and that other steps may be included or that one or more steps of the flowchart may be deleted without affecting the scope of the present invention.
Claims (9)
상기 대량의 AMI 기기들 각각에 대하여 인증센터에서 일괄적으로 발급한 인증서, 및 상기 인증서에 대응된 키 정보를 포함하는 보안인증 정보를 저장하고, 상기 대량의 AMI 기기들에 대한 인증서 주입 명령을 출력하는 보안인증정보 관리 장치; 및
상기 대량의 AMI 기기들과 유선으로 연결되고, 상기 보안인증정보 관리 장치로부터 전달된 인증서 주입 명령에 응답하여, 상기 대량의 AMI 기기들 각각에게 대응된 보안인증 정보를 일괄적으로 주입하되, 상기 대량의 AMI 기기들 각각에 대하여 식별정보를 요청한 후, 상기 식별정보에 의거하여 상기 보안인증정보를 전달하는 보안인증정보 주입장치를 포함하되,
상기 AMI 기기들 각각은
상기 보안인증정보를 전달받아 저장한 후, 상기 보안인증정보에 대한 검증을 실시하되, 주입 전/후의 보안인증정보에 대한 크기를 비교하고, 상기 보안인증정보에 포함된 키 정보에 의거하여 상기 보안인증정보에 대한 검증을 실시한 후, 그 결과를 상기 보안인증정보 주입장치로 전송하고,
상기 보안인증정보 주입장치는
상기 AMI 기기들 각각의 검증 결과를 취합하여 상기 보안인증정보 관리 장치로 보안인증정보 주입결과를 보고하는 것을 특징으로 하는 AMI 기기의 보안 강화 시스템.A large number of AMI devices constituting the AMI system;
Storing security authentication information including a certificate collectively issued by the authentication center for each of the mass AMI devices and key information corresponding to the certificate, and outputting a certificate injection command for the mass AMI devices security authentication information management device; and
Connected to the mass of AMI devices by wire, and in response to a certificate injection command transmitted from the security authentication information management device, security authentication information corresponding to each of the mass of AMI devices is collectively injected, but the mass After requesting identification information for each of the AMI devices of a security authentication information injection device for transmitting the security authentication information based on the identification information,
Each of the AMI devices
After receiving and storing the security authentication information, the security authentication information is verified, the size of the security authentication information before and after injection is compared, and the security is based on the key information included in the security authentication information. After verifying the authentication information, the result is transmitted to the security authentication information injection device,
The security authentication information injection device is
The security enhancement system for AMI devices, characterized in that by collecting the verification results of each of the AMI devices, the security authentication information injection result is reported to the security authentication information management device.
상기 대량의 AMI 기기들과 상기 보안인증정보 주입장치를 연결하는 중계 장치를 더 포함하는 것을 특징으로 하는 AMI 기기의 보안 강화 시스템.According to claim 1, wherein the security enhancement system of the AMI device is
The system for enhancing security of AMI devices, characterized in that it further comprises a relay device connecting the mass of AMI devices and the security authentication information injection device.
상기 대량의 AMI 기기들이 AMI 모뎀인 경우,
상기 AMI 모뎀들과 USB 케이블을 통해 1:1로 연결되고, RS-485 케이블을 이용하여 상호 시리얼 통신을 하는 다수의 제1 인터페이스 장치들; 및
상기 제1 인터페이스 장치들 중 하나와 RS-485 통신을 하고, 상기 보안인증정보 주입장치와 USB 통신을 하는 제2 인터페이스 장치를 포함하는 것을 특징으로 하는 AMI 기기의 보안 강화 시스템.According to claim 3, wherein the relay device
When the mass of AMI devices are AMI modems,
a plurality of first interface devices that are 1:1 connected to the AMI modems through a USB cable and perform serial communication with each other using an RS-485 cable; and
and a second interface device that performs RS-485 communication with one of the first interface devices and performs USB communication with the security authentication information injection device.
상기 대량의 AMI 기기들이 DCU인 경우,
이더넷 케이블을 통해 상기 보안인증정보 주입장치와 연결되어 TCP/IP 통신을 수행하며,
다수의 포트들을 포함하고, 각 포트별로 고유한 DCU를 연결하는 DCU 연결 중계기로 구현된 것을 특징으로 하는 AMI 기기의 보안 강화 시스템.According to claim 3, wherein the relay device
When the large number of AMI devices are DCUs,
It is connected to the security authentication information injection device through an Ethernet cable and performs TCP/IP communication,
Security enhancement system for AMI devices, characterized in that it includes a plurality of ports and is implemented as a DCU-connected repeater that connects a unique DCU for each port.
인증관리자 단말로부터 인증서 발급 신청 메시지를 수신한 상기 인증센터에서 상기 보안인증정보를 생성하되, 상기 AMI 기기들 각각에 대한 인증서 및 상기 인증서에 대응된 키 정보를 일괄적으로 생성하는 보안인증정보 생성단계;
상기 보안인증정보를 상기 보안인증정보 관리 장치에 저장하는 보안인증정보 저장단계;
상기 보안인증정보 관리 장치의 인증서 주입 명령에 응답하여, 상기 보안인증정보 주입장치가 상기 대량의 AMI 기기들 각각에게 대응된 보안 인증정보를 일괄적으로 주입하되, 상기 대량의 AMI 기기들 각각에 대하여 식별정보를 요청한 후, 상기 식별정보에 의거하여 상기 보안인증정보를 전달하는 보안인증정보 주입단계;
상기 보안인증정보를 전달받은 AMI 기기들 각각이 수신된 보안인증정보를 저장한 후, 상기 보안인증정보에 대한 검증을 실시하되, 주입 전/후의 보안인증정보에 대한 크기를 비교하고, 상기 보안인증정보에 포함된 키 정보에 의거하여 상기 보안인증정보에 대한 검증을 실시하는 보안인증정보 검증단계;
상기 AMI 기기들 각각이 상기 검증 결과를 상기 보안인증정보 주입장치로 전송하는 검증결과 보고단계; 및
상기 보안인증정보 주입장치가 상기 AMI 기기들 각각의 검증 결과를 취합하여 상기 보안인증정보 관리 장치로 보안인증정보 주입결과를 보고하는 주입결과 보고 단계를 포함하는 것을 특징으로 하는 AMI 기기의 보안 강화 방법.a security authentication information management device for managing security authentication information for each of a large number of AMI devices constituting the AMI system; and a security authentication information injection device connected to the mass of AMI devices by wire and collectively injecting security authentication information corresponding to each of the mass of AMI devices according to a command of the security authentication information management device. And, in the method of strengthening the security of the AMI device using the system for enhancing the security of the AMI device that interworks with an external authentication center,
A security authentication information generation step of generating the security authentication information in the authentication center receiving the certificate issuance application message from the authentication manager terminal, and collectively generating a certificate for each of the AMI devices and key information corresponding to the certificate ;
a security authentication information storage step of storing the security authentication information in the security authentication information management device;
In response to the certificate injection command of the security authentication information management device, the security authentication information injection device collectively injects the security authentication information corresponding to each of the mass AMI devices, but for each of the mass AMI devices after requesting identification information, a security authentication information injection step of transmitting the security authentication information based on the identification information;
After each of the AMI devices that have received the security authentication information store the received security authentication information, the security authentication information is verified, and the size of the security authentication information before and after injection is compared, and the security authentication a security authentication information verification step of verifying the security authentication information based on key information included in the information;
a verification result reporting step in which each of the AMI devices transmits the verification result to the security authentication information injection device; and
and an injection result reporting step in which the security authentication information injection device collects the verification results of each of the AMI devices and reports the security authentication information injection result to the security authentication information management device. .
상기 보안인증정보가 저장된 물리적 매체를 통해 상기 보안인증정보를 저장하는 것을 특징으로 하는 AMI 기기의 보안 강화 방법.7. The method of claim 6, wherein the storing of the security authentication information comprises:
The security enhancement method of an AMI device, characterized in that the security authentication information is stored through a physical medium in which the security authentication information is stored.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020200016760A KR102351535B1 (en) | 2020-02-12 | 2020-02-12 | System and method for enhanced security of ami devices |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020200016760A KR102351535B1 (en) | 2020-02-12 | 2020-02-12 | System and method for enhanced security of ami devices |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20210102595A KR20210102595A (en) | 2021-08-20 |
KR102351535B1 true KR102351535B1 (en) | 2022-01-13 |
Family
ID=77466691
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020200016760A KR102351535B1 (en) | 2020-02-12 | 2020-02-12 | System and method for enhanced security of ami devices |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102351535B1 (en) |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101991902B1 (en) * | 2018-05-04 | 2019-06-21 | 한전케이디엔 주식회사 | Smart data concentration unit for ami shadow area |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101383810B1 (en) * | 2011-11-14 | 2014-04-14 | 한전케이디엔주식회사 | System and method for certificating security smart grid devices |
KR101491553B1 (en) | 2013-11-06 | 2015-02-09 | 순천향대학교 산학협력단 | Secure SmartGrid Communication System and Method using DMS based on Certification |
KR101639714B1 (en) * | 2014-12-23 | 2016-07-22 | 한전케이디엔주식회사 | A method for authenticating a device of smart grid |
-
2020
- 2020-02-12 KR KR1020200016760A patent/KR102351535B1/en active IP Right Grant
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101991902B1 (en) * | 2018-05-04 | 2019-06-21 | 한전케이디엔 주식회사 | Smart data concentration unit for ami shadow area |
Also Published As
Publication number | Publication date |
---|---|
KR20210102595A (en) | 2021-08-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105207287B (en) | A kind of charging pile management system and method | |
RU2552166C2 (en) | Method and device for call-reply authentication | |
CN102742250B (en) | Secret key transmitting method based on transport layer safety, intelligent meter reading terminal and server | |
KR101681797B1 (en) | System for Remote Monitoring of Programmable Logic Controller Using Mobile Device | |
CN103227776A (en) | Configuration method, configuration device, computer program product and control system | |
CN106027473B (en) | Identity card card-reading terminal and cloud authentication platform data transmission method and system | |
CN108650261B (en) | Mobile terminal system software burning method based on remote encryption interaction | |
CN103366278B (en) | Process the method and system of operation requests | |
CN109905869A (en) | Data transmission method between a kind of charging equipment and smart machine | |
CN110324820A (en) | A kind of Internet of Things safety right appraisal method, system and readable medium | |
CN106027475A (en) | Secret key obtaining method and identity card information transmission method and system | |
KR102351535B1 (en) | System and method for enhanced security of ami devices | |
CN107223328A (en) | A kind of method and system of Root authority management and control | |
CN117395001B (en) | Internet of vehicles secure communication method and system based on quantum key chip | |
CN109166199A (en) | A kind of generation method of password, device and equipment | |
CN109039613A (en) | A kind of quantum key distribution system and method | |
CN111064752B (en) | Preset secret key sharing system and method based on public network | |
CN108881256A (en) | Key exchange method, device, water power stake and the network equipment | |
CN110035082A (en) | A kind of interchanger admission authentication method, interchanger and system | |
CN106027477A (en) | Identity card reading response method | |
CN109150850A (en) | A kind of electric power enterprise unsymmetrical key distribution management tool based on privately owned block chain | |
CN216391430U (en) | Power distribution automation terminal access control system with quantum encryption function | |
CN113382396B (en) | Offline power conversion method, system and equipment | |
CN109195139A (en) | Data transmission method, device, platform and the medium of M2M management platform and eSIM card | |
CN107426178A (en) | A kind of data managing method and system of virtual key |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |