KR102351535B1 - System and method for enhanced security of ami devices - Google Patents

System and method for enhanced security of ami devices Download PDF

Info

Publication number
KR102351535B1
KR102351535B1 KR1020200016760A KR20200016760A KR102351535B1 KR 102351535 B1 KR102351535 B1 KR 102351535B1 KR 1020200016760 A KR1020200016760 A KR 1020200016760A KR 20200016760 A KR20200016760 A KR 20200016760A KR 102351535 B1 KR102351535 B1 KR 102351535B1
Authority
KR
South Korea
Prior art keywords
authentication information
security authentication
ami
security
devices
Prior art date
Application number
KR1020200016760A
Other languages
Korean (ko)
Other versions
KR20210102595A (en
Inventor
김태훈
현무용
김민용
김성철
Original Assignee
한전케이디엔주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한전케이디엔주식회사 filed Critical 한전케이디엔주식회사
Priority to KR1020200016760A priority Critical patent/KR102351535B1/en
Publication of KR20210102595A publication Critical patent/KR20210102595A/en
Application granted granted Critical
Publication of KR102351535B1 publication Critical patent/KR102351535B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0827Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving distinctive intermediate devices or communication paths
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • GPHYSICS
    • G08SIGNALLING
    • G08CTRANSMISSION SYSTEMS FOR MEASURED VALUES, CONTROL OR SIMILAR SIGNALS
    • G08C2200/00Transmission systems for measured values, control or similar signals

Abstract

본 발명의 AMI 기기의 보안 강화 시스템은 AMI 시스템을 구성하는 대량의 AMI 기기들 각각에 대한 보안인증 정보를 저장하고, 상기 대량의 AMI 기기들에 대한 인증서 주입 명령을 출력하는 보안인증정보 관리 장치; 및 상기 대량의 AMI 기기들과 연결되고, 상기 보안인증정보 관리 장치로부터 전달된 인증서 주입 명령에 응답하여, 상기 대량의 AMI 기기들 각각에게 대응된 보안인증 정보를 일괄적으로 주입하는 보안인증정보 주입장치를 포함하되, 상기 보안인증정보 주입장치는 상기 대량의 AMI 기기들 각각에 대하여 식별정보를 요청한 후, 상기 식별정보에 의거하여 상기 보안인증정보를 전달하는 것을 특징으로 한다. 따라서, 본 발명은 인증센터에서 일괄적으로 발급한 보안인증 정보를 대량의 AMI 기기로 주입하고 관리하되, 상기 대량의 AMI 기기들과 유선으로 연결된 하나의 장치를 통해 처리함으로써, 상기 보안인증정보의 주입 및 관리가 체계적으로 이루어질 수 있도록 하는 장점이 있다.The security enhancement system for an AMI device of the present invention includes: a security authentication information management device that stores security authentication information for each of a large amount of AMI devices constituting the AMI system, and outputs a certificate injection command for the mass of AMI devices; and security authentication information injection connected to the mass of AMI devices and collectively injecting security authentication information corresponding to each of the mass of AMI devices in response to a certificate injection command transmitted from the security authentication information management device Including a device, wherein the security authentication information injection device is characterized in that after requesting identification information for each of the mass of AMI devices, the security authentication information is transmitted based on the identification information. Therefore, the present invention injects and manages the security authentication information collectively issued by the authentication center to a large amount of AMI devices, and processes it through one device connected to the large amount of AMI devices by wire, so that the security authentication information There is an advantage in that injection and management can be systematically performed.

Description

AMI 기기의 보안 강화 시스템 및 그 방법{SYSTEM AND METHOD FOR ENHANCED SECURITY OF AMI DEVICES}SYSTEM AND METHOD FOR ENHANCED SECURITY OF AMI DEVICES

본 발명은 AMI 시스템에 관한 것으로서, 보다 상세하게는, AMI 시스템을 구성하는 대량의 AMI 기기 각각의 보안을 강화시키기 위한 AMI 기기의 보안 강화 시스템 및 그 방법에 관한 것이다.The present invention relates to an AMI system, and more particularly, to a system for enhancing the security of an AMI device and a method therefor for enhancing the security of each of a large number of AMI devices constituting the AMI system.

최근, 전기로 구동하는 모든 시설과 기기를 다양한 통신 네트워크를 통해 연결하는 스마트 그리드(smart grid)(일명, 지능형 전력망) 개념이 등장하였고, 수용가와 공급자인 전력회사 간 양방향 데이터 통신을 구현하기 위해, 상기 스마트 그리드에는 AMI(Advanced Metering Infrastructure) 시스템(일명, 양방향 원격검침 시스템 또는 양방향 검침 인프라 시스템)이 필수적으로 구축되어야 한다. 이 때, AMI 시스템은 유/무선 통신을 이용하여 원격에서 에너지 사용량을 실시간으로 검침하고, 양방향 정보 교환을 통해 에너지 사용량을 효율적으로 관리하는 시스템으로서, 검침된 에너지 사용량을 관리하여 소비성향, 수요분석, 에너지 절감 및 대책 수립 등 효율적인 에너지 활용 서비스를 제공하는 시스템을 말한다.Recently, a smart grid (aka, intelligent power grid) concept that connects all electricity-driven facilities and devices through various communication networks has emerged. In the smart grid, an AMI (Advanced Metering Infrastructure) system (aka, a two-way remote metering system or a two-way metering infrastructure system) must be essentially built. At this time, the AMI system is a system that remotely meter-reads energy usage in real time using wired/wireless communication and efficiently manages energy usage through two-way information exchange. , refers to a system that provides efficient energy utilization services such as energy saving and countermeasures establishment.

한편, 이러한 지능형 전력망은, 유/무선 통신을 이용하여 전달되는 정보(예컨대, 에너지 사용량 등)의 보호를 위해, 기기들 간 상호 인증, 암호화 저장, 암호화 통신 등, 기존 전력망에서 고려하지 않았던 보안 기능들을 필수로 필요로 하게 되었다. 예를 들어, AMI 기기 및 통신 접점에 대한 보안강화가 필요하고, 보안이 취약한 단말로 인한 보안 위협의 증가에 따른 대책이 필요하게 되었다.On the other hand, such an intelligent power grid is a security function not considered in the existing power grid, such as mutual authentication between devices, encrypted storage, encrypted communication, etc., to protect information (eg, energy usage, etc.) transmitted using wired/wireless communication became a necessity. For example, it is necessary to strengthen the security of AMI devices and communication contact points, and countermeasures are needed according to the increase in security threats caused by terminals with weak security.

이로 인해, 최근에는 지능형 전력망에 전자인증서 기반의 AMI 기기 인증 체계를 구축하여 인증서 기반의 상호 인증 등 보안 통신 환경을 지원하고 있다. For this reason, recently, an electronic certificate-based AMI device authentication system has been established in an intelligent power grid to support a secure communication environment such as certificate-based mutual authentication.

상기 AMI 기기 인증 체계에서는 개인키와 서명용 인증서, 키 교환용 인증서, 인증서버 인증서 등(이하 “보안인증 정보”라 한다)이 단말 장치에 탑재되는데 이러한 보안인증 정보는 외부로 노출 시 통신 데이터의 유출을 야기할 수 있다. 하지만 이러한 인증서를 관리하고 주입하기 위한 체계가 미흡하여 보안성을 유지하기가 어려운 상황이며, 상기 보안인증 정보를 안전하게 저장하고 관리함으로서, 대량의 AMI 기기 각각의 보안을 유지시키는 체계화된 시스템이 필요한 실정이다.In the AMI device authentication system, a private key, a certificate for signing, a certificate for key exchange, a certificate server certificate, etc. (hereinafter referred to as “security authentication information”) are mounted on the terminal device. can cause However, it is difficult to maintain security because the system for managing and injecting these certificates is insufficient, and a systematic system is needed to safely store and manage the security authentication information, thereby maintaining the security of each of a large number of AMI devices. to be.

한국 등록 특허번호 10-1491553호(“인증서 기반의 DMS를 이용한 안전한 스마트그리드 통신 시스템 및 방법”)Korean Patent No. 10-1491553 (“Safe Smart Grid Communication System and Method Using Certificate-based DMS”)

따라서 본 발명은 인증센터에서 일괄적으로 발급한 보안인증 정보를 대량의 AMI 기기로 주입하고 관리하되, 상기 대량의 AMI 기기들과 유선으로 연결된 하나의 장치를 통해 처리함으로써, 상기 보안인증정보의 주입 및 관리가 체계적으로 이루어질 수 있도록 하는 AMI 기기의 보안 강화 시스템 및 그 방법을 제공하고자 한다. Therefore, the present invention injects and manages the security authentication information collectively issued by the authentication center to a large amount of AMI devices, and processes it through one device connected to the large amount of AMI devices by wire, thereby injecting the security authentication information and to provide a system and method for enhancing the security of AMI devices that can be systematically managed.

또한, 본 발명은 상기 보안인증정보를 체계적으로 주입하고 관리함으로써, 상기 보안인증정보의 보안성 유지가 용이하고, 이로 인해, AMI 기기 각각의 보안 유지가 용이하도록 하는 AMI 기기의 보안 강화 시스템 및 그 방법을 제공하고자 한다.In addition, the present invention provides a system for enhancing the security of an AMI device, and a system for enhancing the security of each AMI device that facilitates maintaining the security of the security authentication information by systematically injecting and managing the security authentication information. We want to provide a way.

상기 목적을 달성하기 위해, 본 발명에서 제공하는 AMI 기기의 보안 강화 시스템은 AMI 시스템을 구성하는 대량의 AMI 기기들 각각에 대한 보안인증 정보를 저장하고, 상기 대량의 AMI 기기들에 대한 인증서 주입 명령을 출력하는 보안인증정보 관리 장치; 및 상기 대량의 AMI 기기들과 연결되고, 상기 보안인증정보 관리 장치로부터 전달된 인증서 주입 명령에 응답하여, 상기 대량의 AMI 기기들 각각에게 대응된 보안인증 정보를 일괄적으로 주입하는 보안인증정보 주입장치를 포함하되, 상기 보안인증정보 주입장치는 상기 대량의 AMI 기기들 각각에 대하여 식별정보를 요청한 후, 상기 식별정보에 의거하여 상기 보안인증정보를 전달하는 것을 특징으로 한다. In order to achieve the above object, the security enhancement system for AMI devices provided in the present invention stores security authentication information for each of a large amount of AMI devices constituting the AMI system, and provides a certificate injection command for the large amount of AMI devices. Security authentication information management device for outputting; and security authentication information injection connected to the mass of AMI devices and collectively injecting security authentication information corresponding to each of the mass of AMI devices in response to a certificate injection command transmitted from the security authentication information management device Including a device, wherein the security authentication information injection device is characterized in that after requesting identification information for each of the mass of AMI devices, the security authentication information is transmitted based on the identification information.

바람직하게는, 상기 보안인증 정보는 상기 AMI 기기들 각각에 대하여 인증센터에서 일괄적으로 발급한 인증서; 및 상기 인증서에 대응된 키 정보를 포함할 수 있다.Preferably, the security authentication information includes a certificate collectively issued by an authentication center for each of the AMI devices; and key information corresponding to the certificate.

바람직하게는, 상기 AMI 기기의 보안 강화 시스템은 상기 대량의 AMI 기기들과 상기 보안인증정보 주입장치를 연결하는 중계 장치를 더 포함할 수 있다.Preferably, the security enhancement system of the AMI device may further include a relay device for connecting the mass of AMI devices and the security authentication information injection device.

바람직하게는, 상기 중계 장치는 상기 대량의 AMI 기기들이 AMI 모뎀인 경우, 상기 AMI 모뎀들과 USB 케이블을 통해 1;1로 연결되고, RS-485 케이블을 이용하여 상호 시리얼 통신을 하는 다수의 제1 인터페이스 장치들; 및 상기 제1 인터페이스 장치들 중 하나와 RS-485 통신을 하고, 상기 보안인증정보 주입장치와 USB 통신을 하는 제2 인터페이스 장치를 포함할 수 있다.Preferably, when the mass of AMI devices are AMI modems, the relay device is connected 1:1 with the AMI modems through a USB cable, and uses a RS-485 cable for mutual serial communication. 1 interface devices; and a second interface device that performs RS-485 communication with one of the first interface devices and performs USB communication with the security authentication information injection device.

바람직하게는, 상기 중계 장치는 상기 대량의 AMI 기기들이 DCU인 경우, 다수의 포트들을 포함하고, 각 포트별로 고유한 DCU를 연결하는 DCU 연결 중계기로 구현될 수 있다.Preferably, when the mass of AMI devices are DCUs, the relay device may be implemented as a DCU-connected repeater that includes a plurality of ports and connects a unique DCU for each port.

한편, 상기 목적을 달성하기 위해, 본 발명에서 제공하는 AMI 기기의 보안 강화 방법은 AMI 시스템을 구성하는 대량의 AMI 기기들 각각에 대한 보안인증정보를 관리하는 보안인증정보 관리 장치; 및 상기 보안인증정보 관리 장치의 명령에 의거하여 상기 대량의 AMI 기기들 각각에게 대응된 보안인증정보를 일괄적으로 주입하는 보안인증정보 주입장치를 포함하고, 외부의 인증센터와 연동하는 AMI 기기의 보안 강화 시스템을 이용한 AMI 기기의 보안 강화 방법에 있어서, 인증관리자 단말로부터 인증서 발급 신청 메시지를 수신한 상기 인증센터에서 상기 보안인증정보를 생성하는 보안인증정보 생성단계; 상기 보안인증정보를 상기 보안인증정보 관리 장치에 저장하는 보안인증정보 저장단계; 및 상기 보안인증정보 관리 장치의 인증서 주입 명령에 응답하여, 상기 보안인증정보 주입장치가 상기 대량의 AMI 기기들 각각에게 대응된 보안 인증정보를 일괄적으로 주입하는 보안인증정보 주입단계를 포함하되, 상기 보안인증정보 주입단계는 상기 대량의 AMI 기기들 각각에 대하여 식별정보를 요청하는 기기 정보 요청단계; 및 상기 대량의 AMI 기기들 각각으로부터 수신된 기기 정보에 의거하여 상기 보안인증정보를 전달하는 보안인증정보 전달단계를 포함하는 것을 특징으로 한다. On the other hand, in order to achieve the above object, the security enhancement method of the AMI device provided by the present invention is a security authentication information management device for managing security authentication information for each of a large amount of AMI devices constituting the AMI system; and a security authentication information injection device for collectively injecting security authentication information corresponding to each of the mass of AMI devices according to a command of the security authentication information management device, wherein the AMI device interworking with an external authentication center A method for enhancing the security of an AMI device using a security enhancement system, comprising: a security authentication information generation step of generating the security authentication information in the authentication center receiving a certificate issuance application message from an authentication manager terminal; a security authentication information storage step of storing the security authentication information in the security authentication information management device; and a security authentication information injection step in which the security authentication information injection device collectively injects the security authentication information corresponding to each of the mass AMI devices in response to the certificate injection command of the security authentication information management device, The security authentication information injection step includes a device information request step of requesting identification information for each of the mass AMI devices; and a security authentication information delivery step of delivering the security authentication information based on the device information received from each of the mass of AMI devices.

바람직하게는, 상기 보안인증정보 생성단계는 상기 AMI 기기들 각각에 대한 인증서 및 상기 인증서에 대응된 키 정보를 생성할 수 있다.Preferably, the generating of the security authentication information may generate a certificate for each of the AMI devices and key information corresponding to the certificate.

바람직하게는, 상기 보안인증정보 저장단계는 상기 보안인증정보가 저장된 물리적 매체를 통해 상기 보안인증정보를 저장할 수 있다.Preferably, the step of storing the security authentication information may store the security authentication information through a physical medium in which the security authentication information is stored.

바람직하게는, 상기 방법은 상기 보안인증정보를 전달받은 AMI 기기들 각각이 수신된 보안인증정보를 저장한 후, 상기 보안인증정보에 대한 검증을 실시하는 보안인증정보 검증단계; 상기 AMI 기기들 각각이 상기 검증 결과를 상기 보안인증정보 주입장치로 전송하는 검증결과 보고단계; 및 상기 보안인증정보 주입장치가 상기 AMI 기기들 각각의 검증 결과를 취합하여 상기 보안인증정보 관리 장치로 보안인증정보 주입결과를 보고하는 주입결과 보고 단계를 더 포함할 수 있다.Preferably, the method comprises: a security authentication information verification step of performing verification on the security authentication information after each of the AMI devices that have received the security authentication information store the received security authentication information; a verification result reporting step in which each of the AMI devices transmits the verification result to the security authentication information injection device; and an injection result reporting step in which the security authentication information injection device collects the verification results of each of the AMI devices and reports the security authentication information injection result to the security authentication information management device.

본 발명의 AMI 기기의 보안 강화 시스템 및 그 방법은 인증센터에서 일괄적으로 발급한 보안인증 정보를 대량의 AMI 기기로 주입하고 관리하되, 상기 대량의 AMI 기기들과 유선으로 연결된 하나의 장치를 통해 처리함으로써, 상기 보안인증정보의 주입 및 관리가 체계적으로 이루어질 수 있도록 하는 장점이 있다. 또한, 본 발명은 상기 보안인증정보를 체계적으로 주입하고 관리함으로써, 상기 보안인증정보의 보안성 유지가 용이하고, 이로 인해, AMI 기기 각각의 보안 유지가 용이한 장점이 있다.The security enhancement system and method for AMI devices of the present invention injects and manages security authentication information collectively issued by an authentication center into a large amount of AMI devices, but through a single device connected to the large amount of AMI devices by wire. By processing, there is an advantage in that the injection and management of the security authentication information can be systematically performed. In addition, the present invention has an advantage in that it is easy to maintain the security of the security authentication information by systematically injecting and managing the security authentication information, and thus, it is easy to maintain the security of each AMI device.

도 1은 본 발명의 일 실시 예에 따른 AMI 기기의 보안 강화 시스템에 대한 전반적인 시스템 구성도이다.
도 2는 본 발명의 일 실시 예에 따른 AMI 기기의 보안 강화 방법에 대한 개략적인 처리 흐름도이다.
도 3은 본 발명의 일 실시 예에 따른 보안인증정보 일괄 주입과정에 대한 개략적인 처리 흐름도이다.
도 4 및 도 5는 AMI 기기가 모뎀인 경우, 본 발명의 일 실시 예에 따른 보안 강화 시스템 및 그 처리 절차를 설명하기 위한 도면들이다.
도 6 내지 도 8은 AMI 기기가 DCU인 경우, 본 발명의 일 실시 예에 따른 보안 강화 시스템 및 그 처리 절차를 설명하기 위한 도면들이다.1 is an overall system configuration diagram of a system for enhancing security of an AMI device according to an embodiment of the present invention.
2 is a schematic flowchart of a method for enhancing security of an AMI device according to an embodiment of the present invention.
3 is a schematic flowchart of a security authentication information batch injection process according to an embodiment of the present invention.
4 and 5 are diagrams for explaining a security enhancement system and a processing procedure thereof according to an embodiment of the present invention when the AMI device is a modem.
6 to 8 are diagrams for explaining a security enhancement system and its processing procedure according to an embodiment of the present invention when the AMI device is a DCU.

아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시 예에 대하여 설명하되, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시 예에 한정되지 않는다. 한편 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다. 또한 상세한 설명을 생략하여도 본 기술 분야의 당업자가 쉽게 이해할 수 있는 부분의 설명은 생략하였다.Hereinafter, an embodiment of the present invention will be described with reference to the accompanying drawings, but it will be described in detail so that those of ordinary skill in the art to which the present invention pertains can easily practice the present invention. However, the present invention may be implemented in several different forms and is not limited to the embodiments described herein. On the other hand, in order to clearly explain the present invention in the drawings, parts irrelevant to the description are omitted, and similar reference numerals are attached to similar parts throughout the specification. In addition, even if the detailed description is omitted, descriptions of parts that can be easily understood by those skilled in the art are omitted.

명세서 및 청구범위 전체에서, 어떤 부분이 어떤 구성 요소를 포함한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성 요소를 제외하는 것이 아니라 다른 구성 요소를 더 포함할 수 있는 것을 의미한다.Throughout the specification and claims, when a part includes a certain element, it means that other elements may be further included, rather than excluding other elements, unless specifically stated to the contrary.

도 1은 본 발명의 일 실시 예에 따른 AMI 기기의 보안 강화 시스템에 대한 전반적인 시스템 구성도이다. 도 1을 참조하면, 본 발명의 일 실시 예에 따른 AMI 기기의 보안 강화 시스템(100)은 보안인증정보 관리 장치(110), 보안인증정보 주입장치(120), 및 중계장치(130)를 포함하고, 인증관리자 단말장치(20) 및 보안인증정보 관리 시스템 관리자 단말장치(40)를 통해 인증센터(10)와 연동하여, AMI 기기별 보안인증정보를 대량의 AMI 기기들(50a, 50b)에게 일괄적으로 주입한다. 이 때, 상기 보안인증정보는 AMI 시스템을 구성하는 대량의 AMI 기기들(50a, 50b) 각각에 대하여 인증센터에서 일괄적으로 발급한 인증서, 및 상기 인증서에 대응된 키 정보를 포함할 수 있다. 1 is an overall system configuration diagram of a system for enhancing security of an AMI device according to an embodiment of the present invention. Referring to FIG. 1 , the security enhancement system 100 for an AMI device according to an embodiment of the present invention includes a security authentication information management device 110 , a security authentication information injection device 120 , and a relay device 130 . And, in conjunction with the authentication center 10 through the authentication manager terminal device 20 and the security authentication information management system manager terminal device 40, security authentication information for each AMI device is provided to a large amount of AMI devices 50a and 50b. inject in batches. In this case, the security authentication information may include a certificate collectively issued by the authentication center for each of a large number of AMI devices 50a and 50b constituting the AMI system, and key information corresponding to the certificate.

상기 보안인증정보를 AMI 기기들(50a, 50b)에게 주입하기 위해, 인증관리자 단말장치(20)는, 인증관리자의 요청에 응답하여, 인증센터(10)로 인증서 발급을 신청하고(S101), 인증센터(10)로부터 일괄적으로 발급된 인증서가 전달되면(S103), 그 인증서 및 키 정보를 물리적 매체(30)에 저장한다(S105). 이 때, 물리적 매체(30)는 오프라인 상에서의 데이터 전달 수단인 CD(Compact Disc) 또는 USB(Universal Serial Bus) 메모리 일 수 있다.In order to inject the security authentication information to the AMI devices (50a, 50b), the authentication manager terminal device 20, in response to the request of the authentication manager, applies for issuance of a certificate to the authentication center 10 (S101), When the certificates issued collectively from the authentication center 10 are delivered (S103), the certificate and key information are stored in the physical medium 30 (S105). In this case, the physical medium 30 may be a CD (Compact Disc) or USB (Universal Serial Bus) memory, which is an offline data transfer means.

한편, 보안인증정보 관리 시스템 관리자 단말장치(40)는 물리적 매체(30)로부터 상기 인증서 및 키 정보를 전달받아(S107), AMI 기기의 보안 강화 시스템(100)에 등록한다(S109). On the other hand, the security authentication information management system manager terminal device 40 receives the certificate and key information from the physical medium 30 (S107), and registers it in the security enhancement system 100 of the AMI device (S109).

그러면, AMI 기기의 보안 강화 시스템(100)은 상기 인증서 및 키 정보를 내부적으로 전송하여(S111), 대량의 AMI 기기들(50a, 50b)에 일괄 주입한다. 이를 위해, 보안인증정보 관리장치(110)는 대량의 AMI 기기들(50a, 50b) 각각에 대한 보안인증 정보를 저장하고, 상기 대량의 AMI 기기들(50a, 50b)에 대한 인증서 주입명령을 출력한다. 즉, 보안인증정보 관리장치(110)는, 보안인증정보 관리 시스템 관리자 단말장치(40)로부터 대량의 AMI 기기들(50a, 50b) 각각에 대응된 인증서 및 키 정보를 전달받아 저장하고, 상기 인증서 및 키 정보를 인증서 주입 명령과 함께 보안인증정보 주입장치(120)로 전송(S111)한다.Then, the security enhancement system 100 of the AMI device internally transmits the certificate and key information (S111), and batch-injects the certificate and key information into a large number of AMI devices 50a and 50b. To this end, the security authentication information management apparatus 110 stores security authentication information for each of the mass AMI devices 50a and 50b, and outputs a certificate injection command for the mass AMI devices 50a and 50b. do. That is, the security authentication information management device 110 receives and stores a certificate and key information corresponding to each of the large amounts of AMI devices 50a and 50b from the security authentication information management system manager terminal device 40, and stores the certificate. and transmits the key information to the security authentication information injection device 120 together with the certificate injection command (S111).

보안인증정보 주입장치(120)는 보안인증정보 관리 장치(110)로부터 전달된 인증서 주입 명령에 응답하여, 대량의 AMI 기기들(50a, 50b) 각각에게 대응된 보안인증 정보를 일괄적으로 주입한다. 이를 위해, 보안인증정보 주입장치(120)는 대량의 AMI 기기들(50a, 50b)과 물리적으로 연결되며, 도 1에 예시된 바와 같이, 중계 장치(130)를 통해, 보안인증정보 주입장치(120)와 대량의 AMI 기기들(50a, 50b)을 물리적으로 연결할 수 있다.The security authentication information injection device 120 responds to the certificate injection command transmitted from the security authentication information management device 110, and collectively injects the corresponding security authentication information to each of the large amounts of AMI devices 50a and 50b. . To this end, the security authentication information injection device 120 is physically connected to a large number of AMI devices 50a and 50b, and as illustrated in FIG. 1 , through the relay device 130, the security authentication information injection device ( 120) and a large number of AMI devices 50a and 50b may be physically connected.

이 때, 상기 대량의 AMI 기기들이 모뎀(예컨대, PLC 모뎀 또는 무선 모뎀)(50a)으로 구성된 경우, 중계 장치(130)는, AMI 모뎀들(50a)과 USB 케이블을 통해 1;1로 연결되고 RS-485 케이블을 이용하여 상호 시리얼 통신을 하는 다수의 제1 인터페이스 장치들(132), 및 제1 인터페이스 장치들(132) 중 하나와 RS-485 통신을 하고 보안인증정보 주입장치(120)와 USB 통신을 하는 제2 인터페이스 장치(131)를 포함한다. 한편, 상기 대량의 AMI 기기들이 DCU(50b)로 구성된 경우, 중계 장치(130)는, 이더넷 케이블을 통해 보안인증정보 주입장치(120)와 연결되어 TCP/IP 통신을 수행하는 DCU 연결 중계기(일명, 스위치)(133)로 구현되며, DCU 연결 중계기(133)는 다수의 포트들을 포함하고, 각 포트별로 고유한 DCU를 연결한다. At this time, when the mass of AMI devices are configured with a modem (eg, a PLC modem or a wireless modem) 50a, the relay device 130 is connected 1:1 with the AMI modems 50a through a USB cable and A plurality of first interface devices 132 for mutual serial communication using an RS-485 cable, and RS-485 communication with one of the first interface devices 132 and with the security authentication information injection device 120 and a second interface device 131 for USB communication. On the other hand, when the mass of AMI devices are configured with the DCU 50b, the relay device 130 is connected to the security authentication information injection device 120 through an Ethernet cable to perform TCP/IP communication. , switch) 133, and the DCU connection repeater 133 includes a plurality of ports, and connects a unique DCU for each port.

도 2는 본 발명의 일 실시 예에 따른 AMI 기기의 보안 강화 방법에 대한 개략적인 처리 흐름도이다. 도 1 및 도 2를 참조하면, 도 1에 예시된 바와 같은 AMI 기기의 보안 강화 시스템을 이용한 AMI 기기의 보안 강화 방법은 다음과 같다.2 is a schematic flowchart of a method for enhancing security of an AMI device according to an embodiment of the present invention. 1 and 2 , a method for enhancing security of an AMI device using the system for enhancing security of an AMI device as illustrated in FIG. 1 is as follows.

먼저, 단계 S210에서는, 인증센터(10)가 보안인증정보를 생성한다. 즉, 단계 S210에서는, 인증관리자 단말(20)로부터 인증서 발급 신청 메시지를 수신한, 인증센터(10)가 보안인증정보를 생성하여 인증관리자 단말(20)로 전달한다. 이 때, 보안인증정보는 상기 AMI 기기들(50a, 50b) 각각에 대한 인증서 및 상기 인증서에 대응된 키 정보를 포함하며, 인증센터(10)는 상기 보안인증정보를 일괄적으로 생성하여 인증관리자 단말(20)로 전달할 수 있다. First, in step S210, the authentication center 10 generates security authentication information. That is, in step S210 , the authentication center 10 , which receives the certificate issuance application message from the authentication manager terminal 20 , generates security authentication information and transmits it to the authentication manager terminal 20 . At this time, the security authentication information includes a certificate for each of the AMI devices 50a and 50b and key information corresponding to the certificate, and the authentication center 10 collectively generates the security authentication information to create an authentication manager It can be transmitted to the terminal 20 .

단계 S220에서는, 보안인증정보 관리 장치(110)가 단계 S210에서 생성한 보안인증정보를 저장한다. 이를 위해, 인증관리자 단말(20)은 상기 보안인증정보를 보안인증정보 관리 시스템 관리자 단말장치(40)로 전달하되, 물리적 매체(예컨대, CD, USB 메모리 등)(30)를 이용하여 상기 보안인증정보를 전달하고, 보안인증정보 관리 시스템 관리자 단말장치(40)는 상기 보안인증정보를 보안인증정보 관리 장치(110)에 저장한다. In step S220, the security authentication information management device 110 stores the security authentication information generated in step S210. To this end, the authentication manager terminal 20 transmits the security authentication information to the security authentication information management system manager terminal device 40, but the security authentication using a physical medium (eg, CD, USB memory, etc.) 30 The information is transmitted, and the security authentication information management system manager terminal device 40 stores the security authentication information in the security authentication information management device 110 .

단계 S230에서는, 보안인증정보 주입장치(120)가 상기 대량의 AMI 기기들(50a, 50b) 각각에게 대응된 보안 인증정보를 일괄적으로 주입한다. 즉, 단계 S230에서는, 보안인증정보 관리 장치(110)의 인증서 주입 명령에 응답하여, 보안인증정보 주입장치(120)가 상기 대량의 AMI 기기들(50a, 50b) 각각에게 대응된 보안 인증정보를 일괄적으로 주입한다.In step S230, the security authentication information injection device 120 collectively injects the corresponding security authentication information to each of the mass of AMI devices (50a, 50b). That is, in step S230, in response to the certificate injection command of the security authentication information management device 110, the security authentication information injection device 120 the security authentication information corresponding to each of the mass of AMI devices (50a, 50b) inject in batches.

단계 S240에서는, 상기 보안인증정보를 수신한 AMI 기기들(50a, 50b) 각각이 수신된 보안인증정보를 검증한다. 이를 위해, AMI 기기들(50a, 50b) 각각은 상기 보안인증정보를 저장한 후, 주입 전/후 보안인증정보에 대한 크기를 비교하고, 개인키와 공개키의 키쌍일치시험(Key-Pair Test)을 실시한다. In step S240, each of the AMI devices 50a and 50b that has received the security authentication information verifies the received security authentication information. To this end, each of the AMI devices 50a and 50b stores the security authentication information, compares the size of the security authentication information before and after injection, and performs a key-pair test between the private key and the public key. ) is carried out.

단계 S250에서는, 상기 보안인증정보에 대한 검증을 실시한 AMI 기기들(50a, 50b) 각각이 그 검증 결과를 보고한다. 즉, 단계 S250에서는, AMI 기기들(50a, 50b) 각각이 상기 검증 결과를 보안인증정보 주입장치(120)로 전송한다. In step S250, each of the AMI devices 50a and 50b that has verified the security authentication information reports the verification result. That is, in step S250 , each of the AMI devices 50a and 50b transmits the verification result to the security authentication information injection device 120 .

단계 S260에서는, 보안인증정보 주입장치(120)가 보안인증정보 관리 장치(110)에게 보안인증정보 주입 결과를 보고한다. 즉, 단계 S260에서는, 보안인증정보 주입장치(120)가 AMI 기기들 각각(50a, 50b)의 검증 결과를 취합하여, 보안인증정보 관리 장치(110)로 상기 보안인증정보 주입결과를 보고한다. In step S260 , the security authentication information injection device 120 reports the security authentication information injection result to the security authentication information management device 110 . That is, in step S260 , the security authentication information injection device 120 collects the verification results of each of the AMI devices 50a and 50b and reports the security authentication information injection result to the security authentication information management device 110 .

도 3은 상기 단계 S230에 대한 개략적인 처리 흐름도로서, 본 발명의 일 실시 예에 따른 보안인증정보 일괄 주입과정에 대한 개략적인 처리 과정을 예시하고 있다. 도 1 및 도 3을 참조하면, 본 발명의 일 실시 예에 따라 보안인증정보를 일괄적으로 주입하기 위해, 보안인증정보 주입장치(120)는, 단계 S231에서, 기기 정보를 요청한다. 즉, 단계 S231에서, 보안인증정보 주입장치(120)는 대량의 AMI 기기들(50a, 50b) 각각에 대하여 식별정보를 요청하는 기기 정보 요청한다. 이 때, 보안인증정보 주입장치(120)는 대량의 AMI 기기들(50a, 50b)의 종류에 따라 대응된 식별정보를 요청하는데, 대량의 AMI 기기들(50a, 50b)이 모뎀인 경우, 보안인증정보 주입장치(120)는 모뎀이 연결된 순서에 따라 모뎀들 각각의 고유정보(예컨대, MAC ID, 시리얼 번호 등)를 요청하고, 대량의 AMI 기기들(50a, 50b)이 DCU인 경우, 보안인증정보 주입장치(120)는 DCU 연결 중계기(133)의 포트 순서에 따라 대응된 포트에 연결된 DCU의 고유정보(예컨대, MAC ID, 시리얼 번호 등)를 요청할 수 있다.3 is a schematic process flow diagram for the step S230, and illustrates a schematic process for a security authentication information batch injection process according to an embodiment of the present invention. 1 and 3 , in order to collectively inject security authentication information according to an embodiment of the present invention, the security authentication information injection device 120 requests device information in step S231. That is, in step S231, the security authentication information injection device 120 requests device information for requesting identification information for each of a large amount of AMI devices (50a, 50b). At this time, the security authentication information injection device 120 requests corresponding identification information according to the types of a large number of AMI devices 50a and 50b. The authentication information injection device 120 requests unique information (eg, MAC ID, serial number, etc.) of each of the modems according to the order in which the modems are connected, and when a large number of AMI devices 50a and 50b are DCUs, security The authentication information injection device 120 may request unique information (eg, MAC ID, serial number, etc.) of the DCU connected to the corresponding port according to the port order of the DCU connection repeater 133 .

단계 S232에서는, 단계 S231의 기기 정보 요청에 대한 응답으로, 대량의 AMI 기기들 각각으로부터 대응된 기기정보(예컨대, 식별정보)가 전달되면, 그 기기 정보에 의거하여 상기 보안인증정보를 전달한다.In step S232, when corresponding device information (eg, identification information) is transmitted from each of a large amount of AMI devices in response to the device information request of step S231, the security authentication information is transmitted based on the device information.

도 4 및 도 5는 AMI 기기가 모뎀인 경우, 본 발명의 일 실시 예에 따른 보안 강화 시스템 및 그 처리 절차를 설명하기 위한 도면들이다.4 and 5 are diagrams for explaining a security enhancement system and its processing procedure according to an embodiment of the present invention when the AMI device is a modem.

도 4는 본 발명의 일 실시 예에 따른 보안 강화 시스템과 AMI 모뎀을 연결한 경우의 예를 도시한 도면이다. 도 4를 참조하면, 본 발명의 일 실시 예에 따른 보안 강화 시스템은 다수의 AMI 기기인 모뎀들(50a)을 하나의 보안인증정보 주입장치(120)에 연결시키기 위해, 상기 모뎀들(50a) 각각과 1:1로 연결된 제1 인터페이스 장치들(132), 및 보안인증정보 주입장치(120)와 USB 케이블로 연결된 제2 인터페이스 장치(131)를 포함할 수 있다. 이 때, 제1 인터페이스 장치들(132)과 제2 인터페이스 장치(131)는 RS-485 케이블로 연결되어, 시리얼 통신을 하고, 상기 모뎀들(50a) 각각과 제1 인터페이스 장치들(132)은 모뎀들(50a) 각각에 내장된 USB 콘솔을 이용하여 USB 통신을 한다. 4 is a diagram illustrating an example in which the security enhancement system and the AMI modem are connected according to an embodiment of the present invention. Referring to FIG. 4 , the security enhancement system according to an embodiment of the present invention connects modems 50a, which are a plurality of AMI devices, to one security authentication information injection device 120, the modems 50a It may include the first interface devices 132 connected to each other 1:1, and the second interface device 131 connected to the security authentication information injection device 120 and the USB cable. At this time, the first interface devices 132 and the second interface device 131 are connected by an RS-485 cable to perform serial communication, and each of the modems 50a and the first interface devices 132 are connected to each other. USB communication is performed using a USB console built into each of the modems 50a.

한편, 보안인증정보 주입장치(120)는, 보안인증정보 관리장치(110)로부터 전달된 보안인증정보를 모뎀들(50a)에게 전달하기 위해, 제2 인터페이스장치(131) 및 제1 인터페이스장치들(132)을 이용하여 대응된 모뎀들(50a)에 접근한다. 이를 위해, 보안인증정보 주입장치(120)는, 워크스테이션을 사용하며 가장 범용적으로 쓰이는 USB A Type 포트를 포함하고, USB A Type to RS-485 장비로 구현된 제2 인터페이스장치(131)를 이용하여 제1 인터페이스 장치들(132)과 RS-485 연결할 수 있다. 즉, 보안인증정보 주입장치(120)는 모뎀들(50a) 각각에 대응된 제1 인터페이스장치들(132)에 MAC ID를 부여하고 해당 MAC ID를 통해 모뎀의 MAC 정보와 시리얼 정보를 식별한다.On the other hand, the security authentication information injection device 120, in order to transfer the security authentication information transmitted from the security authentication information management device 110 to the modems (50a), the second interface device 131 and the first interface devices 132 is used to access the corresponding modems 50a. To this end, the security authentication information injection device 120 uses a workstation and includes a USB A Type port most commonly used, and a second interface device 131 implemented as a USB A Type to RS-485 device. It can be used for RS-485 connection with the first interface devices 132 . That is, the security authentication information injection device 120 assigns a MAC ID to the first interface devices 132 corresponding to each of the modems 50a, and identifies MAC information and serial information of the modem through the MAC ID.

도 4의 예에서는, 하나의 보안인증정보 주입장치(120)에 5개의 모뎀이 연결된 예를 도시하고 있지만, 본 발명이 도 4에 예시된 내용에 의해 제한되는 것은 아니다. 즉, 상기 모뎀들(50a)을 다단계로 연결(Cascading)하여 최대 200대까지 모뎀을 연결할 수 있다.In the example of FIG. 4 , an example in which five modems are connected to one security authentication information injection device 120 is illustrated, but the present invention is not limited by the contents illustrated in FIG. 4 . That is, by cascading the modems 50a in multiple stages, up to 200 modems can be connected.

도 5는 도 4에 예시된 보안 강화 시스템을 이용하여 AMI 기기의 보안을 강화시키기 위한 처리 절차를 설명하기 위한 도면으로서, 보안인증정보 관리장치(110)의 명령에 응답하여 보안인증정보 주입장치(120)가 대량의 AMI 모뎀들(50a)에게 보안인증정보를 전달하는 처리 절차의 예가 도시되어 있다. 도 5의 예에서는, 보안인증정보 주입장치(120)와 제1 인터페이스 장치(일명, 모뎀연결 인터페이스 장치(RS-485 to USB Console))(132) 사이에 연결된 제1 인터페이스 장치(131)를 생략하였다. 도 5를 참조하여 본 발명의 일 실시 예에 따른 AMI 기기의 보안 강화 방법을 설명하면 다음과 같다. 먼저, 보안인증정보 관리장치(110)가 대량 모뎀 인증서 주입을 명령하면(S301), 보안인증정보 주입장치(120)는 대량의 AMI 모뎀들(50a) 중 하나의 모뎀을 순차적으로 선택하여 해당 모뎀으로부터 그 모뎀의 고유정보를 전달받고, 그 고유정보를 이용하여 해당 모뎀에게 보안인증정보를 전송하는 일련의 과정을 수행한다. 5 is a view for explaining a processing procedure for strengthening the security of an AMI device using the security reinforcement system illustrated in FIG. 4 , and in response to a command from the security authentication information management device 110 An example of a processing procedure in which 120) transmits security authentication information to a large number of AMI modems 50a is shown. In the example of FIG. 5 , the first interface device 131 connected between the security authentication information injection device 120 and the first interface device (aka, modem connection interface device (RS-485 to USB Console)) 132 is omitted. did A method for enhancing security of an AMI device according to an embodiment of the present invention will be described with reference to FIG. 5 . First, when the security authentication information management device 110 commands the mass modem certificate injection (S301), the security authentication information injection device 120 sequentially selects one modem from among the mass AMI modems 50a and selects the corresponding modem. It receives the modem's unique information from it, and performs a series of processes of transmitting security authentication information to the corresponding modem using the unique information.

도 5의 예에서는, 보안인증정보 주입장치(120)가 대량의 AMI 모뎀들(50a) 중 1번 모뎀을 선택하여 1번 모뎀으로부터 고유정보를 전달받고, 그 고유정보를 이용하여 1번 모뎀에게 보안인증정보를 전송하는 과정을 예로 들어 설명하고 있다. 즉, 보안인증정보 관리장치(110)로부터 대량 모뎀 인증서 주입 명령을 전달받은(S301) 보안인증정보 주입장치(120)는 사전에 부여된 제1 인터페이스 장치(일명, 모뎀연결 인터페이스 장치(RS-485 to USB Console))(132)의 MAC ID를 통해 1번 모뎀을 식별한다. 그리고, 제1 인터페이스 장치(일명, 모뎀연결 인터페이스 장치(RS-485 to USB Console))(132)를 거쳐 1번 모뎀에게 고유정보(예컨대, MAC ID, 시리얼 번호 등)를 요청한다(S303, S305). 그러면, 1번 모뎀은 제1 인터페이스 장치(일명, 모뎀연결 인터페이스 장치(RS-485 to USB Console))(132)를 통해 자신의 고유정보를 보안인증정보 주입장치(120)로 전달하고(S307, S309), 보안인증정보 주입장치(120)는 상기 1번 모뎀의 고유정보를 보안인증정보 관리장치(110)로 전달한다(S311).In the example of FIG. 5 , the security authentication information injection device 120 selects modem 1 from among a large number of AMI modems 50a, receives unique information from modem 1, and sends the unique information to modem 1 using the unique information. The process of transmitting security authentication information is described as an example. That is, the security authentication information injection device 120 that has received the mass modem certificate injection command from the security authentication information management device 110 (S301) is a pre-given first interface device (aka, modem connection interface device (RS-485) to USB Console)) (132) to identify modem 1 through the MAC ID. Then, the first interface device (aka, modem connection interface device (RS-485 to USB Console)) 132 to request unique information (eg, MAC ID, serial number, etc.) from the first modem (S303, S305) ). Then, the first modem transmits its own information to the security authentication information injection device 120 through the first interface device (aka, modem connection interface device (RS-485 to USB Console)) 132 (S307, S309), the security authentication information injection device 120 transmits the unique information of the first modem to the security authentication information management device 110 (S311).

한편, 상기 1번 모뎀의 고유정보를 수신한 보안인증정보 관리장치(110)는 1번 모뎀의 보안인증정보(예컨대, 인증서 및 키 정보)를 보안인증정보 주입장치(120) 및 제1 인터페이스 장치(일명, 모뎀연결 인터페이스 장치(RS-485 to USB Console))(132)를 거쳐 1번 모뎀에게 전달한다(S313 내지 S317). 그러면, 1번 모뎀은 그 보안인증정보를 AMI 모뎀 내부의 하드웨어 보안모듈(51a)로 전송하고(S319), AMI 모뎀 내부의 하드웨어 보안모듈(51a)은 상기 1번 모뎀 보안인증정보를 저장한 후, 주입된 보안인증정보를 검증한다(S321). 이를 위해, 하드웨어 보안모듈(51a)은 주입 전/후 보안인증정보에 대한 크기를 비교하고, 개인키와 공개키의 키쌍일치시험(Key-Pair Test)을 실시한다.On the other hand, the security authentication information management device 110 that has received the unique information of the first modem transmits the security authentication information (eg, certificate and key information) of the first modem to the security authentication information injection device 120 and the first interface device. (aka, modem connection interface device (RS-485 to USB Console)) 132 is transmitted to the first modem (S313 to S317). Then, the modem No. 1 transmits the security authentication information to the hardware security module 51a inside the AMI modem (S319), and the hardware security module 51a inside the AMI modem stores the security authentication information for the modem No. 1 , verify the injected security authentication information (S321). To this end, the hardware security module 51a compares the sizes of security authentication information before and after injection, and performs a key-pair test of the private key and the public key.

상기 주입된 보안인증정보에 대한 검증을 수행한 AMI 모뎀 내 하드웨어 보안모듈(51a)은 상기 검증결과를 상위로 전송한다. 즉, AMI 모뎀 내 하드웨어 보안모듈(51a)은 1번 모뎀 검증 성공 메시지를 AMI 모뎀(50a) 및 제1 인터페이스 장치(일명, 모뎀연결 인터페이스 장치(RS-485 to USB Console))(132)를 거쳐 보안인증정보 주입장치(120)에게 전달한다(S323, S325, S327).The hardware security module 51a in the AMI modem that has verified the injected security authentication information transmits the verification result to the upper level. That is, the hardware security module 51a within the AMI modem transmits the modem verification success message 132 through the AMI modem 50a and the first interface device (aka, modem connection interface device (RS-485 to USB Console)) 132 . It is transmitted to the security authentication information injection device 120 (S323, S325, S327).

이와 같이 하여 1번 모뎀에 대한 보안인증정보 주입이 완료되면, 보안인증정보 주입장치(120)는 2번부터 N번까지의 모뎀을 순차적으로 선택한 후, 상기 일련의 처리 과정들(S303 내지 S327)(A)을 반복 수행한다. 만약에 대량의 AMI 모뎀들(50a)이 200개의 AMI 모뎀을 포함하는 경우, 보안인증정보 주입장치(120)는 상기 일련의 처리 과정들(S303 내지 S327)(A)을 200번 반복 수행할 수 있다. In this way, when the injection of security authentication information for modem 1 is completed, the security authentication information injection device 120 sequentially selects modems 2 to N, and then performs the above series of processing steps (S303 to S327). (A) is repeated. If the mass of AMI modems 50a include 200 AMI modems, the security authentication information injection device 120 may repeat the series of processing steps S303 to S327 (A) 200 times. have.

상기 모든 AMI 모뎀들 각각에 대하여 상기 일련의 보안인증정보 주입과정들(S303 내지 S327)(A)을 수행한 경우, 보안인증정보 주입장치(120)는 보안인증정보 관리장치(110)에게 대량 모뎀 보안인증정보 주입 완료 메시지를 전송하고(S329), 처리 과정을 종료한다. When the series of security authentication information injection processes (S303 to S327) (A) are performed for each of the AMI modems, the security authentication information injection device 120 sends the security authentication information management device 110 to the mass modem. The security authentication information injection completion message is transmitted (S329), and the processing process is terminated.

도 6 내지 도 8은 AMI 기기가 DCU인 경우, 본 발명의 일 실시 예에 따른 보안 강화 시스템 및 그 처리 절차를 설명하기 위한 도면들이다.6 to 8 are diagrams for explaining a security enhancement system and a processing procedure thereof according to an embodiment of the present invention when the AMI device is a DCU.

도 6은 본 발명의 일 실시 예에 따른 보안 강화 시스템과 DCU 장치를 연결한 경우의 예를 도시한 도면이다. 도 6을 참조하면, 본 발명의 일 실시 예에 따른 보안 강화 시스템은 다수의 AMI 기기인 DCU 장치들(50b)을 하나의 보안인증정보 주입장치(120)에 연결시키고, 보안인증정보 관리 장치(110)로부터 전달되는 보안인증정보를 전달받기 위해, DCU 연결 중계기(133)를 포함할 수 있다. 이 때, DCU 연결 중계기(133)는 네트워크 스위치(하나의 네트워크 라인에 여러 대의 이더넷 케이블을 꽂을 수 있는 장비)를 사용하며, 이더넷 케이블을 통해 보안인증정보 주입장치(120)와 연결되어 TCP/IP 통신을 수행한다. 또한, DCU 연결 중계기(133)는 다수의 포트들(최대 24 포트) 및 상기 포트들을 제어하는 스위칭 엔진을 포함하고, 각 포트별로 고유한 DCU를 연결할 수 있다. DCU 연결 중계기(133)가 24포트 스위치를 사용할 경우, 한 번에 23개의 DCU에 대한 인증서를 주입할 수 있다. 즉, 도 6에 예시된 보안 강화 시스템의 경우, 24포트 스위치로 구성된 DCU 연결 중계기(133)의 하나의 포트에는 보안인증정보 주입장치(120)를 연결하고, 나머지 23개의 포트에 서로 다른 다수의 DCU들을 연결하여 대응된 각각의 DCU들에게 보안인증정보 주입장치(120)로부터 전달된 보안인증정보를 주입할 수 있다.6 is a diagram illustrating an example in which a security enhancement system and a DCU device are connected according to an embodiment of the present invention. 6, the security enhancement system according to an embodiment of the present invention connects a plurality of AMI devices, DCU devices 50b, to one security authentication information injection device 120, and a security authentication information management device ( In order to receive the security authentication information transmitted from 110), the DCU connection repeater 133 may be included. At this time, the DCU connection repeater 133 uses a network switch (equipment capable of plugging multiple Ethernet cables into one network line), and is connected to the security authentication information injection device 120 through an Ethernet cable and is TCP/IP carry out communication In addition, the DCU connection repeater 133 includes a plurality of ports (up to 24 ports) and a switching engine for controlling the ports, and can connect a unique DCU for each port. When the DCU connection repeater 133 uses a 24-port switch, certificates for 23 DCUs can be injected at a time. That is, in the case of the security enhancement system illustrated in FIG. 6 , the security authentication information injection device 120 is connected to one port of the DCU connection repeater 133 composed of a 24-port switch, and a plurality of different By connecting the DCUs, the security authentication information transmitted from the security authentication information injection device 120 may be injected into each of the corresponding DCUs.

이 때, DCU 연결 중계기(예컨대, 스위치)(133)는 상기 DCU 각각에게 보안인증정보를 순차적으로 주입하기 위해, 포트 보안(Port-Security) 기능을 사용할 수 있는데, 이와 같이, DCU 연결 중계기(스위치)(133)에서 포트 보안(Port- Security) 기능을 실행하면 특정 MAC 주소를 가진 DCU만 DCU 연결 중계기(133)를 통하여 정보주입 시스템에 연결된다. 즉, DCU 연결 중계기(133)는 포트 보안 기능을 통하여 스위치 포트로 학습되는 MAC 주소를 주입대상 DCU의 MAC 주소로 제한하여 다른 DCU의 MAC 주소가 학습될 경우 연결을 차단한다. 도 7은 이러한 학습 과정의 예를 나타낸 도면으로서, 외부의 정보관리 시스템에 의한 포트 보안 설정을 반복 실행하는 과정의 예를 나타낸다. 스위칭 엔진은 상기 학습 결과에 의거하여, 보안인증 정보 주입대상인 DCU와 연결된 포트만을 활성화하고 해당 DCU를 제외한 나머지 모든 포트를 비활성화함으로써, DCU 별로 대응된 보안인증 정보를 주입할 수 있도록 한다. 그리고, 각 포트별로 상기 과정을 반복 수행함으로써, 모든 DCU에 순차적으로 보안인증 정보를 주입할 수 있다.At this time, the DCU-connected repeater (eg, switch) 133 may use a port-security function to sequentially inject security authentication information to each of the DCUs. As such, the DCU-connected repeater (switch) ) ( 133 ), when the Port-Security function is executed, only the DCU having a specific MAC address is connected to the information injection system through the DCU connection repeater 133 . That is, the DCU connection repeater 133 restricts the MAC address learned through the switch port to the MAC address of the injection target DCU through the port security function, and blocks the connection when the MAC address of another DCU is learned. 7 is a diagram showing an example of such a learning process, and shows an example of a process of repeatedly executing port security settings by an external information management system. Based on the learning result, the switching engine activates only the port connected to the DCU, which is the security authentication information injection target, and deactivates all ports except for the DCU, so that the corresponding security authentication information can be injected for each DCU. And, by repeating the above process for each port, it is possible to sequentially inject security authentication information into all DCUs.

도 8은 도 6에 예시된 보안 강화 시스템을 이용하여 AMI 기기의 보안을 강화시키기 위한 처리 절차를 설명하기 위한 도면으로서, 보안인증정보 관리장치(110)의 명령에 응답하여 보안인증정보 주입장치(120)가 대량의 DCU들(50b)에게 보안인증정보를 전달하는 처리 절차의 예가 도시되어 있다.8 is a view for explaining a processing procedure for strengthening the security of an AMI device using the security reinforcement system illustrated in FIG. 6 , and in response to a command from the security authentication information management device 110 An example of a processing procedure in which 120) transmits security authentication information to a large number of DCUs 50b is shown.

도 8을 참조하여 본 발명의 일 실시 예에 따른 AMI 기기의 보안 강화 방법을 설명하면 다음과 같다. A method for enhancing security of an AMI device according to an embodiment of the present invention will be described with reference to FIG. 8 .

먼저, AMI용 DCU는 TCP/IP 통신을 하기 때문에 현장에 설치될 때 IP를 부여받는다. 따라서 DCU가 공장에서 출고될 때는 모두 동일한 IP로 생산되고, 보안인증정보가 주입될 때도 모든 DCU는 동일한 IP를 가지고 있는 상태이다. 이러한 DCU들은 모두 이더넷 케이블을 통해 DCU 연결 중계기(133)에 연결되고, 이 때 모든 DCU들이 동일한 IP를 가지고 있기 때문에 개별 DCU와 통신이 불가능한 상태이다.First, because DCU for AMI communicates with TCP/IP, an IP is assigned when installed in the field. Therefore, when DCUs are released from the factory, they are all produced with the same IP, and when security authentication information is injected, all DCUs have the same IP. All of these DCUs are connected to the DCU-connected repeater 133 through an Ethernet cable, and since all DCUs have the same IP, communication with individual DCUs is impossible.

따라서, 보안인증정보 관리장치(110)가 대량 DCU 인증서 주입을 명령하면(S401), 보안인증정보 주입장치(120)는 대량의 DCU들(50b) 중 하나의 DCU를 순차적으로 선택하여 해당 DCU로부터 그 DCU의 고유정보를 전달받고, 그 고유정보를 이용하여 해당 DCU에게 보안인증정보를 전송하는 일련의 과정을 수행한다. Therefore, when the security authentication information management device 110 commands the bulk DCU certificate injection (S401), the security authentication information injection device 120 sequentially selects one DCU from among the large amount of DCUs 50b and from the DCU. It receives the unique information of the DCU and performs a series of processes of transmitting security authentication information to the corresponding DCU using the unique information.

도 8의 예에서는, 보안인증정보 주입장치(120)가 대량의 DCU들(50b) 중 2번 DCU를 선택하여 2번 DCU로부터 고유정보를 전달받고, 그 고유정보를 이용하여 2번 DCU에게 보안인증정보를 전송하는 과정을 예로 들어 설명하고 있다. 즉, 보안인증정보 관리장치(110)로부터 대량 DCU 인증서 주입명령을 전달받은(S401) 보안인증정보 주입장치(120)는 DCU 각각의 고유정보(예컨대, MAC Address 및 시리얼 번호)를 식별하고, DCU 연결 중계기(133)의 포트들 중 보안인증정보 주입장치(120)와 연결된 포트(1번)과, 첫 번째 주입대상 DCU와 연결된 포트(2번)를 제외한 나머지 모든 포트들을 비활성화 한다(S403). In the example of FIG. 8 , the security authentication information injection device 120 selects DCU No. 2 among a large number of DCUs 50b, receives unique information from DCU No. 2, and uses the unique information to secure the DCU No. 2 The process of transmitting authentication information is described as an example. That is, the security authentication information injection device 120 that has received the bulk DCU certificate injection command from the security authentication information management device 110 (S401) identifies unique information (eg, MAC address and serial number) of each DCU, and the DCU Among the ports of the connection repeater 133, all ports except for the port (No. 1) connected to the security authentication information injection device 120 and the port (No. 2) connected to the first DCU to be injected are inactivated (S403).

그러면, DCU 연결 중계기(133)는 DCU(50b)에게 2번 포트에 연결된 DCU 고유정보(예컨대, MAC Address 및 시리얼 번호)를 요청하고(S405), 그에 대한 응답으로 2번 포트에 연결된 DCU 고유정보를 전달받아(S407), 이를 보안인증정보 주입장치(120)로 전송한다(S409).Then, the DCU-connected repeater 133 requests DCU-specific information (eg, MAC Address and serial number) connected to port 2 from the DCU 50b (S405), and in response thereto, DCU-specific information connected to port 2 is transmitted (S407), and transmits it to the security authentication information injection device 120 (S409).

보안인증정보 주입장치(120)는 상기 2번 DCU에 대한 고유정보를 보안인증정보 관리장치(110)로 전달하고(S411), 보안인증정보 관리장치(110)로부터 2번 DCU의 보안인증정보를 전달받아(S413) DCU 연결 중계기(133)로 주입한다(S415).The security authentication information injection device 120 transmits the unique information about the No. 2 DCU to the security authentication information management device 110 (S411), and the security authentication information of the No. 2 DCU from the security authentication information management device 110 It is received (S413) and injected into the DCU-connected repeater 133 (S415).

상기 보안인증정보를 전달받은 DCU 연결 중계기(133)는 그 보안인증정보를 해당 DCU(즉, 2번 DCU)에 주입한다(S417). 그러면, 상기 보안인증정보가 주입된 DCU(50b)는 상기 보안인증정보를 저장하고, 키페어 테스트를 통해 개인키와 인증서가 정상적으로 주입되었는지를 검증한다(S419).The DCU connection repeater 133 that has received the security authentication information injects the security authentication information into the corresponding DCU (ie, No. 2 DCU) (S417). Then, the DCU 50b into which the security authentication information is injected stores the security authentication information and verifies whether the private key and the certificate are normally injected through a key pair test (S419).

상기 주입된 보안인증정보에 대한 검증을 수행한 DCU(50b)는 상기 검증결과를 상위로 전송한다. 즉, DCU(50b)는 2번 DCU 검증 성공 메시지를 DCU 연결 중계기(133)를 거쳐 보안인증정보 주입장치(120)에게 전달한다(S421, S423).The DCU 50b, which has verified the injected security authentication information, transmits the verification result to the upper level. That is, the DCU 50b transmits the No. 2 DCU verification success message to the security authentication information injection device 120 via the DCU connection relay 133 (S421, S423).

이와 같이 하여 2번 DCU에 대한 보안인증정보 주입이 완료되면, 보안인증정보 주입장치(120)는 3번부터 N번까지의 DCU를 순차적으로 선택한 후, 상기 일련의 처리 과정들(S403 내지 S423)(B)을 반복 수행한다. 만약에 DCU 연결 중계기(133)가 24포트 스위치인 경우, 상기 일련의 처라 과정들(S403 내지 S423)(B)을 23번 반복 수행할 수 있다. 특히, 단계 S403에서는, 이전에 활성화되었던 포트들 중 1번 포트를 제외한 나머지 하나의 포트를 비활성화하고, 다음의 포트를 순차적으로 활성화한다. 예를 들어, 2번 DCU에 대한 보안인증정보 주입이 완료된 후에는, 단계 S403에서, 보안인증정보 주입장치(120)가 DCU 연결 중계기(133)의 2번 포트를 비활성화하고, DCU 연결 중계기(133)의 3번 포트를 활성화시킨다. In this way, when the injection of security authentication information into DCU No. 2 is completed, the security authentication information injection device 120 sequentially selects DCUs No. (B) is repeated. If the DCU-connected repeater 133 is a 24-port switch, the series of processing steps S403 to S423 (B) may be repeated 23 times. In particular, in step S403, one port other than the first port among previously activated ports is inactivated, and subsequent ports are sequentially activated. For example, after the injection of security authentication information into DCU 2 is completed, in step S403 , the security authentication information injection device 120 deactivates port 2 of the DCU connection repeater 133, and the DCU connection repeater 133 ) of port 3 is activated.

한편, 상기 DCU 연결 중계기(133)에 연결된 모든 DCU들에 대하여 상기 일련의 보안인증정보 주입과정들(S403 내지 S423)(B)을 수행한 경우, 보안인증정보 주입장치(120)는 보안인증정보 관리장치(110)에게 대량 DCU 보안인증정보 주입 완료 메시지를 전송하고(S425), 처리 과정을 종료한다. On the other hand, when the series of security authentication information injection processes ( S403 to S423 ) (B) are performed for all DCUs connected to the DCU connection relay 133 , the security authentication information injection device 120 provides the security authentication information It transmits a mass DCU security authentication information injection completion message to the management device 110 (S425), and ends the processing process.

상술한 예시적인 시스템에서, 방법들은 일련의 단계 또는 블록으로써 순서도를 기초로 설명되고 있지만, 본 발명은 단계들의 순서에 한정되는 것은 아니며, 어떤 단계는 상술한 바와 다른 단계와 다른 순서로 또는 동시에 발생할 수 있다. In the exemplary system described above, the methods are described on the basis of a flowchart as a series of steps or blocks, however, the present invention is not limited to the order of steps, and some steps may occur in a different order or concurrently with other steps as described above. can

또한, 당업자라면 순서도에 나타낸 단계들이 배타적이지 않고, 다른 단계가 포함되거나 순서도의 하나 또는 그 이상의 단계가 본 발명의 범위에 영향을 미치지 않고 삭제될 수 있음을 이해할 수 있을 것이다.In addition, those skilled in the art will understand that the steps shown in the flowchart are not exhaustive and that other steps may be included or that one or more steps of the flowchart may be deleted without affecting the scope of the present invention.

Claims (9)

AMI 시스템을 구성하는 대량의 AMI 기기들;
상기 대량의 AMI 기기들 각각에 대하여 인증센터에서 일괄적으로 발급한 인증서, 및 상기 인증서에 대응된 키 정보를 포함하는 보안인증 정보를 저장하고, 상기 대량의 AMI 기기들에 대한 인증서 주입 명령을 출력하는 보안인증정보 관리 장치; 및
상기 대량의 AMI 기기들과 유선으로 연결되고, 상기 보안인증정보 관리 장치로부터 전달된 인증서 주입 명령에 응답하여, 상기 대량의 AMI 기기들 각각에게 대응된 보안인증 정보를 일괄적으로 주입하되, 상기 대량의 AMI 기기들 각각에 대하여 식별정보를 요청한 후, 상기 식별정보에 의거하여 상기 보안인증정보를 전달하는 보안인증정보 주입장치를 포함하되,
상기 AMI 기기들 각각은
상기 보안인증정보를 전달받아 저장한 후, 상기 보안인증정보에 대한 검증을 실시하되, 주입 전/후의 보안인증정보에 대한 크기를 비교하고, 상기 보안인증정보에 포함된 키 정보에 의거하여 상기 보안인증정보에 대한 검증을 실시한 후, 그 결과를 상기 보안인증정보 주입장치로 전송하고,
상기 보안인증정보 주입장치는
상기 AMI 기기들 각각의 검증 결과를 취합하여 상기 보안인증정보 관리 장치로 보안인증정보 주입결과를 보고하는 것을 특징으로 하는 AMI 기기의 보안 강화 시스템.A large number of AMI devices constituting the AMI system;
Storing security authentication information including a certificate collectively issued by the authentication center for each of the mass AMI devices and key information corresponding to the certificate, and outputting a certificate injection command for the mass AMI devices security authentication information management device; and
Connected to the mass of AMI devices by wire, and in response to a certificate injection command transmitted from the security authentication information management device, security authentication information corresponding to each of the mass of AMI devices is collectively injected, but the mass After requesting identification information for each of the AMI devices of a security authentication information injection device for transmitting the security authentication information based on the identification information,
Each of the AMI devices
After receiving and storing the security authentication information, the security authentication information is verified, the size of the security authentication information before and after injection is compared, and the security is based on the key information included in the security authentication information. After verifying the authentication information, the result is transmitted to the security authentication information injection device,
The security authentication information injection device is
The security enhancement system for AMI devices, characterized in that by collecting the verification results of each of the AMI devices, the security authentication information injection result is reported to the security authentication information management device. 삭제delete 제1항에 있어서, 상기 AMI 기기의 보안 강화 시스템은
상기 대량의 AMI 기기들과 상기 보안인증정보 주입장치를 연결하는 중계 장치를 더 포함하는 것을 특징으로 하는 AMI 기기의 보안 강화 시스템.According to claim 1, wherein the security enhancement system of the AMI device is
The system for enhancing security of AMI devices, characterized in that it further comprises a relay device connecting the mass of AMI devices and the security authentication information injection device. 제3항에 있어서, 상기 중계 장치는
상기 대량의 AMI 기기들이 AMI 모뎀인 경우,
상기 AMI 모뎀들과 USB 케이블을 통해 1:1로 연결되고, RS-485 케이블을 이용하여 상호 시리얼 통신을 하는 다수의 제1 인터페이스 장치들; 및
상기 제1 인터페이스 장치들 중 하나와 RS-485 통신을 하고, 상기 보안인증정보 주입장치와 USB 통신을 하는 제2 인터페이스 장치를 포함하는 것을 특징으로 하는 AMI 기기의 보안 강화 시스템.According to claim 3, wherein the relay device
When the mass of AMI devices are AMI modems,
a plurality of first interface devices that are 1:1 connected to the AMI modems through a USB cable and perform serial communication with each other using an RS-485 cable; and
and a second interface device that performs RS-485 communication with one of the first interface devices and performs USB communication with the security authentication information injection device. 제3항에 있어서, 상기 중계 장치는
상기 대량의 AMI 기기들이 DCU인 경우,
이더넷 케이블을 통해 상기 보안인증정보 주입장치와 연결되어 TCP/IP 통신을 수행하며,
다수의 포트들을 포함하고, 각 포트별로 고유한 DCU를 연결하는 DCU 연결 중계기로 구현된 것을 특징으로 하는 AMI 기기의 보안 강화 시스템.According to claim 3, wherein the relay device
When the large number of AMI devices are DCUs,
It is connected to the security authentication information injection device through an Ethernet cable and performs TCP/IP communication,
Security enhancement system for AMI devices, characterized in that it includes a plurality of ports and is implemented as a DCU-connected repeater that connects a unique DCU for each port. AMI 시스템을 구성하는 대량의 AMI 기기들 각각에 대한 보안인증정보를 관리하는 보안인증정보 관리 장치; 및 상기 대량의 AMI 기기들과 유선으로 연결되고, 상기 보안인증정보 관리 장치의 명령에 의거하여 상기 대량의 AMI 기기들 각각에게 대응된 보안인증정보를 일괄적으로 주입하는 보안인증정보 주입장치를 포함하고, 외부의 인증센터와 연동하는 AMI 기기의 보안 강화 시스템을 이용한 AMI 기기의 보안 강화 방법에 있어서,
인증관리자 단말로부터 인증서 발급 신청 메시지를 수신한 상기 인증센터에서 상기 보안인증정보를 생성하되, 상기 AMI 기기들 각각에 대한 인증서 및 상기 인증서에 대응된 키 정보를 일괄적으로 생성하는 보안인증정보 생성단계;
상기 보안인증정보를 상기 보안인증정보 관리 장치에 저장하는 보안인증정보 저장단계;
상기 보안인증정보 관리 장치의 인증서 주입 명령에 응답하여, 상기 보안인증정보 주입장치가 상기 대량의 AMI 기기들 각각에게 대응된 보안 인증정보를 일괄적으로 주입하되, 상기 대량의 AMI 기기들 각각에 대하여 식별정보를 요청한 후, 상기 식별정보에 의거하여 상기 보안인증정보를 전달하는 보안인증정보 주입단계;
상기 보안인증정보를 전달받은 AMI 기기들 각각이 수신된 보안인증정보를 저장한 후, 상기 보안인증정보에 대한 검증을 실시하되, 주입 전/후의 보안인증정보에 대한 크기를 비교하고, 상기 보안인증정보에 포함된 키 정보에 의거하여 상기 보안인증정보에 대한 검증을 실시하는 보안인증정보 검증단계;
상기 AMI 기기들 각각이 상기 검증 결과를 상기 보안인증정보 주입장치로 전송하는 검증결과 보고단계; 및
상기 보안인증정보 주입장치가 상기 AMI 기기들 각각의 검증 결과를 취합하여 상기 보안인증정보 관리 장치로 보안인증정보 주입결과를 보고하는 주입결과 보고 단계를 포함하는 것을 특징으로 하는 AMI 기기의 보안 강화 방법.a security authentication information management device for managing security authentication information for each of a large number of AMI devices constituting the AMI system; and a security authentication information injection device connected to the mass of AMI devices by wire and collectively injecting security authentication information corresponding to each of the mass of AMI devices according to a command of the security authentication information management device. And, in the method of strengthening the security of the AMI device using the system for enhancing the security of the AMI device that interworks with an external authentication center,
A security authentication information generation step of generating the security authentication information in the authentication center receiving the certificate issuance application message from the authentication manager terminal, and collectively generating a certificate for each of the AMI devices and key information corresponding to the certificate ;
a security authentication information storage step of storing the security authentication information in the security authentication information management device;
In response to the certificate injection command of the security authentication information management device, the security authentication information injection device collectively injects the security authentication information corresponding to each of the mass AMI devices, but for each of the mass AMI devices after requesting identification information, a security authentication information injection step of transmitting the security authentication information based on the identification information;
After each of the AMI devices that have received the security authentication information store the received security authentication information, the security authentication information is verified, and the size of the security authentication information before and after injection is compared, and the security authentication a security authentication information verification step of verifying the security authentication information based on key information included in the information;
a verification result reporting step in which each of the AMI devices transmits the verification result to the security authentication information injection device; and
and an injection result reporting step in which the security authentication information injection device collects the verification results of each of the AMI devices and reports the security authentication information injection result to the security authentication information management device. . 삭제delete 제6항에 있어서, 상기 보안인증정보 저장단계는
상기 보안인증정보가 저장된 물리적 매체를 통해 상기 보안인증정보를 저장하는 것을 특징으로 하는 AMI 기기의 보안 강화 방법.7. The method of claim 6, wherein the storing of the security authentication information comprises:
The security enhancement method of an AMI device, characterized in that the security authentication information is stored through a physical medium in which the security authentication information is stored. 삭제delete
KR1020200016760A 2020-02-12 2020-02-12 System and method for enhanced security of ami devices KR102351535B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200016760A KR102351535B1 (en) 2020-02-12 2020-02-12 System and method for enhanced security of ami devices

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200016760A KR102351535B1 (en) 2020-02-12 2020-02-12 System and method for enhanced security of ami devices

Publications (2)

Publication Number Publication Date
KR20210102595A KR20210102595A (en) 2021-08-20
KR102351535B1 true KR102351535B1 (en) 2022-01-13

Family

ID=77466691

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200016760A KR102351535B1 (en) 2020-02-12 2020-02-12 System and method for enhanced security of ami devices

Country Status (1)

Country Link
KR (1) KR102351535B1 (en)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101991902B1 (en) * 2018-05-04 2019-06-21 한전케이디엔 주식회사 Smart data concentration unit for ami shadow area

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101383810B1 (en) * 2011-11-14 2014-04-14 한전케이디엔주식회사 System and method for certificating security smart grid devices
KR101491553B1 (en) 2013-11-06 2015-02-09 순천향대학교 산학협력단 Secure SmartGrid Communication System and Method using DMS based on Certification
KR101639714B1 (en) * 2014-12-23 2016-07-22 한전케이디엔주식회사 A method for authenticating a device of smart grid

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101991902B1 (en) * 2018-05-04 2019-06-21 한전케이디엔 주식회사 Smart data concentration unit for ami shadow area

Also Published As

Publication number Publication date
KR20210102595A (en) 2021-08-20

Similar Documents

Publication Publication Date Title
CN105207287B (en) A kind of charging pile management system and method
RU2552166C2 (en) Method and device for call-reply authentication
CN102742250B (en) Secret key transmitting method based on transport layer safety, intelligent meter reading terminal and server
KR101681797B1 (en) System for Remote Monitoring of Programmable Logic Controller Using Mobile Device
CN103227776A (en) Configuration method, configuration device, computer program product and control system
CN106027473B (en) Identity card card-reading terminal and cloud authentication platform data transmission method and system
CN108650261B (en) Mobile terminal system software burning method based on remote encryption interaction
CN103366278B (en) Process the method and system of operation requests
CN109905869A (en) Data transmission method between a kind of charging equipment and smart machine
CN110324820A (en) A kind of Internet of Things safety right appraisal method, system and readable medium
CN106027475A (en) Secret key obtaining method and identity card information transmission method and system
KR102351535B1 (en) System and method for enhanced security of ami devices
CN107223328A (en) A kind of method and system of Root authority management and control
CN117395001B (en) Internet of vehicles secure communication method and system based on quantum key chip
CN109166199A (en) A kind of generation method of password, device and equipment
CN109039613A (en) A kind of quantum key distribution system and method
CN111064752B (en) Preset secret key sharing system and method based on public network
CN108881256A (en) Key exchange method, device, water power stake and the network equipment
CN110035082A (en) A kind of interchanger admission authentication method, interchanger and system
CN106027477A (en) Identity card reading response method
CN109150850A (en) A kind of electric power enterprise unsymmetrical key distribution management tool based on privately owned block chain
CN216391430U (en) Power distribution automation terminal access control system with quantum encryption function
CN113382396B (en) Offline power conversion method, system and equipment
CN109195139A (en) Data transmission method, device, platform and the medium of M2M management platform and eSIM card
CN107426178A (en) A kind of data managing method and system of virtual key

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant