KR102384678B1 - Cryptographic entity management device for power distribution security device - Google Patents

Cryptographic entity management device for power distribution security device Download PDF

Info

Publication number
KR102384678B1
KR102384678B1 KR1020190173751A KR20190173751A KR102384678B1 KR 102384678 B1 KR102384678 B1 KR 102384678B1 KR 1020190173751 A KR1020190173751 A KR 1020190173751A KR 20190173751 A KR20190173751 A KR 20190173751A KR 102384678 B1 KR102384678 B1 KR 102384678B1
Authority
KR
South Korea
Prior art keywords
certificate
user identification
identification module
key
intelligent distribution
Prior art date
Application number
KR1020190173751A
Other languages
Korean (ko)
Other versions
KR20210081615A (en
Inventor
김홍산
김용삼
Original Assignee
한전케이디엔주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한전케이디엔주식회사 filed Critical 한전케이디엔주식회사
Priority to KR1020190173751A priority Critical patent/KR102384678B1/en
Publication of KR20210081615A publication Critical patent/KR20210081615A/en
Application granted granted Critical
Publication of KR102384678B1 publication Critical patent/KR102384678B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02JCIRCUIT ARRANGEMENTS OR SYSTEMS FOR SUPPLYING OR DISTRIBUTING ELECTRIC POWER; SYSTEMS FOR STORING ELECTRIC ENERGY
    • H02J3/00Circuit arrangements for ac mains or ac distribution networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0877Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Storage Device Security (AREA)

Abstract

실시예에 따르면, 배전 지능화용 보안 장치의 사용자 식별 모듈에 접속하여 키 객체 및 인증서객체 중 적어도 하나를 획득하는 사용자 식별 모듈 접속부; 및 상기 사용자 식별 모듈로부터 획득한 상기 키 객체 및 상기 인증서 객체의 관리 기능을 제공하는 사용자 식별 모듈 관리부를 포함하는 배전 지능화용 보안 장치의 암호화 객체 관리 장치를 제공한다.According to an embodiment, a user identification module connection unit for accessing the user identification module of the security device for intelligent distribution to obtain at least one of a key object and a certificate object; and a user identification module management unit that provides a management function of the key object and the certificate object obtained from the user identification module.

Description

배전 지능화용 보안 장치의 암호화 객체 관리 장치{Cryptographic entity management device for power distribution security device}Cryptographic entity management device for power distribution security device

본 발명의 일실시예는 배전 지능화용 보안 장치의 암호화 객체 관리 장치에 관한 것이다.An embodiment of the present invention relates to an encryption object management device of a security device for intelligent distribution.

배전 지능화 시스템은 배전선로를 종합적으로 감시하여 전력공급신뢰도를 향상시키기 위한 시스템이다. 배전 지능화 시스템은 배전선로에 설치되어 있는 다양한 개폐장치 및 배전설비의 현장 정보들을 배전 지능화용 단말 장치를 통해 감시 및 계측하여 실시간으로 주 장치에 제공할 수 있다.The distribution intelligent system is a system to improve power supply reliability by comprehensively monitoring distribution lines. The intelligent distribution system can monitor and measure field information of various switchgear and distribution facilities installed in the distribution line through a terminal device for intelligent distribution and provide it to the main device in real time.

배전 지능화 시스템은 주 장치, 통신장치, 단말 장치, 개폐장치를 포함하여 구성될 수 있다. 배전 지능화용 단말 장치는 배전선로에 흐르는 전류 및 전압을 계측하고 배전선로 사고 시 상태를 감지하여 주 장치로 전송하거나, 주 장치로부터 수신한 명령에 따라 개폐 장치의 제어 기능 등을 수행할 수 있다.The intelligent distribution system may include a main device, a communication device, a terminal device, and a switchgear. The terminal device for intelligent distribution measures the current and voltage flowing in the distribution line, detects the state in the event of a distribution line accident, and transmits it to the main device, or performs a control function of the switchgear according to a command received from the main device.

이러한 배전 지능화 시스템은 전력망의 운영이 점차 ICT화 됨에 따라, 각종 IoT 장비 등 통신 장치의 증가가 요구되고 있다. 그러나, 현재 배전선로에 설치된 단말 장치는 각종 계측 및 제어 명령어에 대한 데이터를 평문 메시지 형태로 통신하고 있어 보안이 매우 취약한 실정이다.In such an intelligent distribution system, as the operation of the power grid gradually becomes ICT, an increase in communication devices such as various IoT devices is required. However, the current terminal device installed on the distribution line communicates data for various measurement and control commands in the form of a plain text message, so security is very weak.

본 발명이 이루고자 하는 기술적 과제는 보안에 취약한 배전 지능화 시스템의 통신 구간에서 데이터 보안성 및 신뢰성을 확보할 수 있는 배전 지능화용 보안 장치의 암호화 객체 관리 장치를 제공하는데 있다.An object of the present invention is to provide an encryption object management device for a security device for intelligent power distribution that can secure data security and reliability in a communication section of an intelligent power distribution system that is vulnerable to security.

또한, 국가표준 암호화 알고리즘 준수에 따른 호환성을 확보할 수 있는 배전 지능화용 보안 장치의 암호화 객체 관리 장치를 제공하는데 있다.Another object of the present invention is to provide an encryption object management device for a security device for intelligent distribution that can ensure compatibility according to national standard encryption algorithm compliance.

실시예에 따르면, 배전 지능화용 보안 장치의 사용자 식별 모듈에 접속하여 키 객체 및 인증서객체 중 적어도 하나를 획득하는 사용자 식별 모듈 접속부; 및 상기 사용자 식별 모듈로부터 획득한 상기 키 객체 및 상기 인증서 객체의 관리 기능을 제공하는 사용자 식별 모듈 관리부를 포함하는 배전 지능화용 보안 장치의 암호화 객체 관리 장치를 제공한다.According to an embodiment, a user identification module connection unit for accessing the user identification module of the security device for intelligent distribution to obtain at least one of a key object and a certificate object; and a user identification module management unit that provides a management function of the key object and the certificate object obtained from the user identification module.

상기 사용자 식별 모듈 접속부는 상기 키 객체 및 상기 인증서 객체를 상기사용자 식별 모듈에 연결 시 공유 메모리 초기화를 진행하여 상기 사용자 식별 모듈에 저장되어 있는 상기 키 객체 및 상기 인증서 객체를 취득하는 리더부를 포함할 수 있다.The user identification module connection unit may include a reader unit for obtaining the key object and the certificate object stored in the user identification module by performing shared memory initialization when connecting the key object and the certificate object to the user identification module there is.

상기 리더부는 상기 키 객체 및 상기 인증서 객체를 획득한 후, 상기 사용자식별 모듈과의 연결을 해제하고 대기 모드로 진입할 수 있다.After acquiring the key object and the certificate object, the reader unit may release the connection with the user identification module and enter a standby mode.

상기 사용자 식별 모듈 리더부는 상기 사용자 식별 모듈에서 취득한 상기 키객체 상기 인증서 객체를 사전 공유된 암호화 키를 이용하여 암호화 한 후 공유 메모리에 저장하는 객체 암호화부를 포함할 수 있다.The user identification module reader unit may include an object encryption unit that encrypts the key object and the certificate object obtained from the user identification module using a pre-shared encryption key and then stores the encrypted object in a shared memory.

상기 사용자 식별 모듈 관리부는 상기 사용자 식별 모듈에게 상기 키 객체 및 상기 인증서 객체의 저장, 변경, 삭제 및 조회 기능을 제공하는 객체관리부; 상기 키 객체 및 상기 인증서 객체를 암호화하여 저장하고 있는 공유 메모리를 관리하는 공유 메모리 관리부; 및 상기 사용자 식별 모듈의 PIN번호 변경 및 PIN 인증 제한 횟수 설정 기능을 제공하는 PIN 관리부를 포함할 수 있다.The user identification module management unit includes: an object management unit that provides the user identification module with storage, change, deletion and inquiry functions of the key object and the certificate object; a shared memory management unit for managing a shared memory that encrypts and stores the key object and the certificate object; and a PIN management unit that provides a function of changing the PIN number of the user identification module and setting the PIN authentication limit number of times.

상기 키 객체는 디바이스 개인키, DNP 마스터키 및 DNP 업데이트 키를 포함하며, 상기 인증서 객체는CA(Certificate Authority) 인증서, 디바이스 인증서를 포함할 수 있다.The key object includes a device private key, a DNP master key, and a DNP update key, and the certificate object may include a Certificate  Authority (CA) certificate and a device certificate.

실시예에 따르면, CA(Certificate Authority) 인증서, 디바이스 인증서 및 세션 키를 저장하는 사용자 식별 모듈; 배전 지능화용 단말 장치에서 수신된 DNP(Distributed Network Protocol) 데이터를 암호화 하고, 주장치로부터 수신한 암호문 데이터를 평문 DNP데이터로 복호화하는 암복호 모듈; 및 상기 CA인증서, 디바이스 인증서 및 세션 키를 이용하여 상기 주장치와 TLS(Transport Layer Security) 프로토콜에 따라 데이터 통신을 수행하며, 상기 암복호 모듈에서 암호화 된 데이터를 상기 주장치로 전송하고 상기 주장치로부터 수신한 암호문 데이터를 수신하는 통신모듈을 포함하는 배전 지능화용 보안 장치; 및 상기 배전 지능화용 보안 장치의 사용자 식별 모듈에 접속하여 키 객체 및 인증서객체 중 적어도 하나를 획득하는 사용자 식별 모듈 접속부; 및 상기 사용자 식별 모듈로부터 획득한 상기 키 객체 및 상기 인증서 객체의 관리 기능을 제공하는 사용자 식별 모듈 관리부를 포함하는 배전 지능화용 보안 장치의 암호화 객체 관리 장치를 포함하는 배전 지능화 보안 시스템을 제공한다.According to an embodiment, a user identification module for storing a CA (Certificate   Authority) certificate, a device certificate, and a session key; an encryption/decryption module for encrypting DNP (Distributed Network   Protocol) data received from the terminal device for intelligent distribution and decrypting the cipher text data received from the main device into plain text DNP data; and using the CA certificate, device certificate, and session key to perform data communication with the primary device according to a TLS (Transport Layer Security) protocol, and transmit data encrypted by the encryption/decryption module to the primary device and receive from the primary device A security device for intelligent distribution including a communication module for receiving cipher text data; and a user identification module connection unit accessing the user identification module of the security device for intelligent distribution to obtain at least one of a key object and a certificate object. and an encryption object management device of a security device for intelligent distribution including a user identification module manager providing a management function of the key object and the certificate object obtained from the user identification module.

본 발명인 배전 지능화용 보안 장치의 암호화 객체 관리 장치는 보안에 취약한 배전 지능화 시스템의 통신 구간에서 데이터 보안성 및 신뢰성을 확보할 수 있다.The encryption object management apparatus of the security device for intelligent distribution of the present invention can secure data security and reliability in the communication section of the intelligent distribution system, which is weak in security.

또한, 국가표준 암호화 알고리즘 준수에 따른 호환성을 확보할 수 있다.In addition, compatibility can be ensured by complying with the national standard encryption algorithm.

도1은 실시예에 따른 배전 지능화 시스템의 개념도이다.
도2는 실시예에 따른 배전 지능화용 보안 장치의 구성 블록도이다.
도3 은 실시예에 따른 배전 지능화 시스템 보안 서비스 제공 방법의 순서도이다.
도4는 실시예에 따른 자가 테스트 동작을 설명하기 위한 도면이다.
도5는 실시예에 따른 사용자 인증 과정을 설명하기 위한 도면이다.
도6 및 도7은 실시예에 따른 세션 값 검증 과정을 설명하기 위한 도면이다.
도8은 실시예에 따른 암복호 서비스 과정을 설명하기 위한 도면이다.
도9는 실시에에 따른 전자서명 및 전자서명 검증 과정을 설명하기 위한 도면이다.
도 10은 실시예에 따른 배전 지능화용 보안 장치의 동작을 설명하기 위한 도면이다.
도11은 실시예에 따른 배전 지능화용 보안 장치의 암호화 객체 관리 장치의 구성 블록도이다.1 is a conceptual diagram of an intelligent distribution system according to an embodiment.
2 is a block diagram of a security device for intelligent distribution according to an embodiment.
3 is a flowchart of a method for providing an intelligent distribution system security service according to an embodiment.
4 is a diagram for explaining a self-test operation according to an embodiment.
5 is a diagram for explaining a user authentication process according to an embodiment.
6 and 7 are diagrams for explaining a session value verification process according to an embodiment.
8 is a diagram for explaining an encryption/decryption service process according to an embodiment.
9 is a view for explaining a digital signature and a digital signature verification process according to an embodiment.
10 is a diagram for explaining an operation of a security device for intelligent distribution according to an embodiment.
11 is a block diagram of a device for managing an encrypted object of a security device for intelligent distribution according to an embodiment.

이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 상세히 설명한다.Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings.

다만, 본 발명의 기술 사상은 설명되는 일부 실시 예에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있고, 본 발명의 기술 사상 범위 내에서라면, 실시 예들간 그 구성 요소들 중 하나 이상을 선택적으로 결합, 치환하여 사용할 수 있다.However, the technical spirit of the present invention is not limited to some embodiments described, but may be implemented in various different forms, and within the scope of the technical spirit of the present invention, one or more of the components may be selected between the embodiments. It can be used by combining or substituted with .

또한, 본 발명의 실시예에서 사용되는 용어(기술 및 과학적 용어를 포함)는, 명백하게 특별히 정의되어 기술되지 않는 한, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 일반적으로 이해될 수 있는 의미로 해석될 수 있으며, 사전에 정의된 용어와 같이 일반적으로 사용되는 용어들은 관련 기술의 문맥상의 의미를 고려하여 그 의미를 해석할 수 있을 것이다.In addition, terms (including technical and scientific terms) used in the embodiments of the present invention may be generally understood by those of ordinary skill in the art to which the present invention belongs, unless specifically defined and described explicitly. It may be interpreted as a meaning, and generally used terms such as terms defined in advance may be interpreted in consideration of the contextual meaning of the related art.

또한, 본 발명의 실시예에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다.In addition, the terminology used in the embodiments of the present invention is for describing the embodiments and is not intended to limit the present invention.

본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함할 수 있고, "A 및(와) B, C 중 적어도 하나(또는 한 개 이상)"로 기재되는 경우 A, B, C로 조합할 수 있는 모든 조합 중 하나 이상을 포함할 수 있다.In the present specification, the singular form may also include the plural form unless otherwise specified in the phrase, and when it is described as "at least one (or more than one) of A and (and) B, C", it is combined as A, B, C It may include one or more of all possible combinations.

또한, 본 발명의 실시 예의 구성 요소를 설명하는 데 있어서, 제1, 제2, A, B, (a), (b) 등의 용어를 사용할 수 있다.In addition, in describing the components of the embodiment of the present invention, terms such as first, second, A, B, (a), (b), etc. may be used.

이러한 용어는 그 구성 요소를 다른 구성 요소와 구별하기 위한 것일 뿐, 그 용어에 의해 해당 구성 요소의 본질이나 차례 또는 순서 등으로 한정되지 않는다.These terms are only for distinguishing the component from other components, and are not limited to the essence, order, or order of the component by the term.

그리고, 어떤 구성 요소가 다른 구성요소에 '연결', '결합' 또는 '접속'된다고 기재된 경우, 그 구성 요소는 그 다른 구성 요소에 직접적으로 연결, 결합 또는 접속되는 경우뿐만 아니라, 그 구성 요소와 그 다른 구성 요소 사이에 있는 또 다른 구성 요소로 인해 '연결', '결합' 또는 '접속' 되는 경우도 포함할 수 있다.And, when it is described that a component is 'connected', 'coupled' or 'connected' to another component, the component is not only directly connected, coupled or connected to the other component, but also with the component It may also include a case of 'connected', 'coupled' or 'connected' due to another element between the other elements.

또한, 각 구성 요소의 "상(위) 또는 하(아래)"에 형성 또는 배치되는 것으로 기재되는 경우, 상(위) 또는 하(아래)는 두 개의 구성 요소들이 서로 직접 접촉되는 경우뿐만 아니라 하나 이상의 또 다른 구성 요소가 두 개의 구성 요소들 사이에 형성 또는 배치되는 경우도 포함한다. 또한, "상(위) 또는 하(아래)"으로 표현되는 경우 하나의 구성 요소를 기준으로 위쪽 방향뿐만 아니라 아래쪽 방향의 의미도 포함할 수 있다.In addition, when it is described as being formed or disposed on "above (above) or under (below)" of each component, top (above) or under (below) is one as well as when two components are in direct contact with each other. Also includes a case in which another component as described above is formed or disposed between two components. In addition, when expressed as “upper (upper) or lower (lower)”, a meaning of not only an upper direction but also a lower direction based on one component may be included.

이하, 첨부된 도면을 참조하여 실시예를 상세히 설명하되, 도면 부호에 관계없이 동일하거나 대응하는 구성 요소는 동일한 참조 번호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다.Hereinafter, the embodiment will be described in detail with reference to the accompanying drawings, but the same or corresponding components are given the same reference numerals regardless of reference numerals, and overlapping descriptions thereof will be omitted.

도1은 실시예에 따른 배전 지능화 시스템의 개념도이고, 도2는 실시예에 따른 배전 지능화용 보안 장치의 구성 블록도이다. 도1 및 도2를 참조하면, 배전 지능화 시스템(1)은 배전선로에 설치되는 개폐기(10), 배전 지능화용 단말 장치(20)와 운영실에서 배전 지능화 기기를 원격 감시 제어하기 위한 주 장치(30)로 구성될 수 있다. 배전 지능화 시스템(1)은 주 장치(30)와 통신장치(미도시)간의 데이터 통신에 의해 현장에 설치된 배전 지능화용 단말 장치(20)로부터 배전선로의 각종 데이터를 취득하고 이를 이용하여 배전계통을 감시 관리할 수 있다.Fig. 1 is a conceptual diagram of an intelligent distribution system according to an embodiment, and Fig. 2 is a configuration block diagram of a security device for intelligent distribution according to the embodiment. 1 and 2, the intelligent distribution system 1 includes a switch 10 installed on a distribution line, a terminal device 20 for intelligent distribution, and a main device 30 for remote monitoring and controlling the intelligent distribution device in the operating room. ) may consist of The intelligent distribution system 1 acquires various data of the distribution line from the intelligent distribution terminal device 20 installed in the field by data communication between the main device 30 and the communication device (not shown), and uses it to configure the distribution system. can be monitored.

배전 지능화 단말 장치(20)는 데이터 계측 및 배전 지능화 시스템(1)의 주 장치(30)로의 데이터 전송 기능과 이벤트 발생시 보고 기능, 그리고 개폐기(10)의 개폐 감지기능 및 제어기능을 수행할 수 있다. 배전 지능화 단말 장치(20)로부터 수집된 데이터는 단말측 통신장치(미도시)와 주 장치측 통신장치(미도시)를 거쳐 주 장치(30)로 전송될 수 있다. The intelligent distribution terminal device 20 may perform a data measurement and data transmission function to the main device 30 of the intelligent distribution system 1, a reporting function when an event occurs, and an opening/closing detection function and control function of the switchgear 10. . Data collected from the intelligent distribution terminal device 20 may be transmitted to the main device 30 via a terminal-side communication device (not shown) and a main device-side communication device (not shown).

실시예에 따른 배전 지능화용 보안 장치(100)는 사용자 식별 모듈(110), 암복호 모듈 (120)및 통신 모듈(130)을 포함할 수 있다.The security device 100 for intelligent distribution according to an embodiment may include a user identification module 110 , an encryption/decryption module 120 , and a communication module 130 .

사용자 식별 모듈(SIM, Subscriber Identification Module)(110)은 CA인증서, 디바이스 인증서 및 세션 키를 저장할 수 있다.The user identification module (SIM, Subscriber Identification Module) 110 may store a CA certificate, a device certificate, and a session key.

사용자 식별 모듈(110)은 통신 모듈(130)의 동작 상태에 따라 CA 인증서, 디바이스 인증서 및 세션 키의 사용을 위한 별도의 저장공간을 구비할 수 있다. 사용자 식별 모듈(110)은 보안 장치 내 칩(chip) 형태의 저장공간으로 상호 인증을 위해 발급된 CA 인증서, 디바이스 인증서 및 세션 키를 저장할 수 있다. 사용자 식별 모듈(110)은 보안 장치(100) 구동 시 저장된 CA(Certificate Authority) 인증서, 디바이스 인증서 및 세션 키 객체를 취득하여 보안 장치(100)의 공유 메모리(Shared memory)에 암호화 하여 저장할 수 있다.The user identification module 110 may have a separate storage space for use of the CA certificate, the device certificate, and the session key according to the operating state of the communication module 130 . The user identification module 110 may store a CA certificate, a device certificate, and a session key issued for mutual authentication in a chip-type storage space in the security device. The user identification module 110 obtains a CA (Certificate   Authority) certificate, a device certificate, and a session key object stored when the security device 100 is driven, and may be encrypted and stored in a shared memory of the security device 100 .

사용자 식별 모듈(110)은 보안 장치(100)가 구동되면 칩에 저장되어 있는 CA 인증서, 디바이스 인증서 및 세션 키 객체를 취득하며, 공유 메모리를 생성한 후 단말 장치 (20)또는 주 장치(30)가 CA 인증서, 디바이스 인증서 및 세션 키에 접근할 수 있도록 암호화 하여 저장할 수 있다. 사용자 식별 모듈(110)은 다양한 라이브러리를 이용하여 CA 인증서, 디바이스 인증서 및 세션 키 객체의 저장, 조회, 삭제, 변경 등의 기능을 제공할 수 있다.When the security device 100 is driven, the user identification module 110 acquires a CA certificate, a device certificate, and a session key object stored in the chip, and after creating a shared memory, the terminal device 20 or the main device 30 It can be encrypted and stored so that the CA certificate, device certificate, and session key can be accessed. The user identification module 110 may provide functions such as storage, inquiry, deletion, and change of the CA certificate, the device certificate, and the session key object by using various libraries.

암복호 모듈(120) 배전 지능화용 단말 장치(20)에서 수신된 평문 DNP 데이터를 암호화 하고, 주 장치(30)로부터 수신한 암호문 데이터를 평문 DNP(Distributed Network Protocol) 데이터로 복호화할 수 있다.The encryption/decryption module 120 may encrypt the plaintext DNP data received from the terminal device 20 for distribution intelligence, and decrypt the ciphertext data received from the main device 30 into plaintext DNP (Distributed Network   Protocol) data.

암복호 모듈(120)은 세션 키를 이용하여 평문 DNP데이터를 암호화할 수 있다.The encryption/decryption module 120 may encrypt the plaintext DNP data using the session key.

암복호 모듈(120)은 세션 키를 이용하여 암호문 데이터를 평문 DNP데이터로 복호화할 수 있다.The encryption/decryption module 120 may decrypt the encrypted text data into plain text DNP data using the session key.

암복호 모듈(120)은 암호화 또는 복호화 과정에서 한국 암호 모듈 검증 제도(KCMVP) 인증을 거친 라이브러리 형태의 ARIA(Academy, Research Institute, Agency)암호 알고리즘을 적용할 수 있다.The encryption/decryption module 120 may apply an ARIA (Academy, Research Institute, Agency) encryption algorithm in the form of a library that has undergone Korea Cryptographic Module Verification System (KCMVP) authentication in the encryption or decryption process.

암복호 모듈(120)은 세션 키를 이용하여 주 장치 또는 단말 장치로부터 수신한 전자서명 요청 또는 전자서명 검증 요청을 처리할 수 있다.The encryption/decryption module 120 may process the digital signature request or the digital signature verification request received from the main device or the terminal device using the session key.

암복호 모듈(120)은 통신 모듈(130)의 동작 상태에 따라 대칭키 연산, 비대칭키 연산, HMAC(Hash-based Message Authentication Code), 해시(HASH) 연산 등을 수행할 수 있다.The encryption/decryption module 120 may perform a symmetric key operation, an asymmetric key operation, a Hash-based Message Authentication Code (HMAC), a hash (HASH) operation, etc. according to the operating state of the communication module 130 .

암복호 모듈(120)은 ARIA(Academy, Research Institute, Agency)알고리즘 및 LEA(Lightweight Encryption Algorithm)알고리즘의 ECB(electronic codebook), CBC(cipher-block chaining), CTR(Counter), CCM(Counter with CBC-MAC), GCM(Galois/Counter mode)모드와, 노 패딩(NoPadding) ARIA 및 LEA알고리즘의 ECB, CBC모드를 이용한 암호화, 키주입 매커니즘과 전자서명 및 검증을 위한 매커니즘을 수행할 수 있다.Encryption and decryption module 120 is ARIA (Academy, Research Institute, Agency) algorithm and LEA (Lightweight   Encryption   Algorithm) algorithm ECB (electronic codebook), CBC (cipher-block chaining), CTR (Counter), CCM (Counter with CBC) -MAC), GCM (Galois/Counter mode) mode, and NoPadding ARIA and LEA algorithm ECB and CBC mode encryption, key injection mechanism and mechanism for digital signature and verification can be performed.

암복호 모듈(120)은 기존 암호화 되지 않은 데이터를 암복호화 하는 모듈로, 단말 장치(20)로부터 수신한 평문 DNP 데이터를 암호할 수 있다. 암호화 된 데이터는 통신 모듈(130)의 TLS(Transport Layer Security)프로토콜 처리부(133)를 거쳐 변환 후 주 장치(30)로 송신될 수 있다.The encryption/decryption module 120 is a module for encrypting/decrypting existing unencrypted data, and may encrypt the plaintext DNP data received from the terminal device 20 . The encrypted data may be transmitted to the main device 30 after conversion through the TLS (Transport Layer Security) protocol processing unit 133 of the communication module 130 .

또한, 암복호 모듈(120)은 주 장치(30)부터 수신한 암호화 데이터를 복호할 수 있다. 복호화 된 데이터는 TCP(Transmission Control Protocol)프로토콜 처리부(131)를 거쳐 변환 후 단말 장치(20)로 송신될 수 있다.Also, the encryption/decryption module 120 may decrypt encrypted data received from the main device 30 . The decoded data may be transmitted to the terminal device 20 after being converted through a Transmission Control Protocol (TCP) protocol processing unit 131 .

암복호 모듈(120)은 이를 위하여 암복호화를 수행하기 위한 대칭키 알고리즘(ARIA, HMAC), 비대칭키 알고리즘(RSA: Rivet, Shamir, Adelman), 해시 알고리즘, 난수발생기 알고리즘 등을 지원할 수 있다.For this purpose, the encryption/decryption module 120 may support a symmetric key algorithm (ARIA, HMAC), an asymmetric key algorithm (RSA: Rivet, Shamir, Adelman), a hash algorithm, a random number generator algorithm, etc. for performing encryption/decryption.

통신 모듈(130)은 CA인증서, 디바이스 인증서 및 세션 키를 이용하여 주 장치와 TLS프로토콜에 따라 데이터 통신을 수행하며, 암복호 모듈(120)에서 암호화 된 데이터를 주 장치(30)로 전송하고 주 장치(30)로부터 수신한 암호문 데이터를 수신할 수 있다.The communication module 130 performs data communication with the main device according to the TLS protocol using the CA certificate, the device certificate, and the session key, and transmits the data encrypted in the encryption/decryption module 120 to the main device 30 and The ciphertext data received from the device 30 may be received.

통신 모듈(130)은 사용자 식별 모듈(110)에 저장되어 있는 CA인증서 및 디바이스 인증서를 검증하여 세션 키를 생성하여 주 장치(30)에 전송할 수 있다.The communication module 130 may verify the CA certificate and the device certificate stored in the user identification module 110 , generate a session key, and transmit it to the main device 30 .

통신 모듈(130)은 단말 장치(20) 또는 주 장치(30)로부터 크리티컬 메시지를 수신하면 재확인 요청 메시지를 전송할 수 있다.The communication module 130 may transmit a reconfirmation request message upon receiving the critical message from the terminal device 20 or the main device 30 .

통신 모듈(130)은 단말 장치(20) 및 주 장치(30)와의 데이터 통신을 수행하기 위하여, 송수신되는 메시지에 대하여 TCP프로토콜 처리, DNP/SA((Distributed Network Protocol/Secure Authentication))프로토콜 처리, TLS프로토콜 처리를 수행할 수 있다.In order to perform data communication with the terminal device 20 and the main device 30, the communication module 130 performs TCP protocol processing, DNP/SA (Distributed Network Protocol/Secure Authentication) protocol processing, TLS protocol processing can be performed.

통신 모듈(130)은 단말 장치(20)와의 이더넷 통신을 위한 TCP프로토콜 처리부(131), TCP프로토콜 처리에 따라 송수신되는 데이터를 암복호 모듈과 연계하여 처리하는 DNP/SA프로토콜 처리부(132), 주 장치(30)와 통신하기 위해 암복호 모듈(120)과 연계하여 암호화 통신을 수행하는 TLS프로토콜 처리부(133)를 포함할 수 있다.The communication module 130 includes a TCP protocol processing unit 131 for Ethernet communication with the terminal device 20, a DNP/SA protocol processing unit 132 for processing data transmitted and received according to the TCP protocol processing in connection with the encryption/decryption module 132, the main It may include a TLS protocol processing unit 133 for performing encryption communication in conjunction with the encryption/decryption module 120 to communicate with the device 30 .

실시예에서, DNP/SA프로토콜 처리부(132)는 DNP 프로토콜에 보안 기능을 적용하여 메시지 인증을 위한 절차를 추가적으로 수행할 수 있다. DNP/SA프로토콜 처리부(132)는 크리티컬 메시지(Critical Message) 통신시 해당 메시지를 송신한 단말 장치(20) 또는 주 장치(30)에 대하여 재확인 절차(Challenge-response)를 수행할 수 있다.In an embodiment, the DNP/SA protocol processing unit 132 may additionally perform a procedure for message authentication by applying a security function to the DNP protocol. When communicating a critical message, the DNP/SA protocol processing unit 132 may perform a challenge-response with respect to the terminal device 20 or the main device 30 that has transmitted the corresponding message.

도3 은 실시예에 따른 배전 지능화 시스템 보안 서비스 제공 방법의 순서도이다.3 is a flowchart of a method for providing an intelligent distribution system security service according to an embodiment.

도3을 참조하면, 배전 지능화용 보안 장치는 최초 구동시 암복호 알고리즘에 대한 자가 테스트를 수행하는 단계를 더 포함할 수 있다. 배전 지능화용 보안 장치는 자가 테스트 실패시 오류 메시지를 반환하고 서비스를 종료할 수 있다(S301).Referring to FIG. 3 , the security device for intelligent distribution may further include performing a self-test on the encryption/decryption algorithm upon initial operation. The security device for intelligent distribution may return an error message when the self-test fails and terminate the service (S301).

도4는 실시예에 따른 자가 테스트 동작을 설명하기 위한 도면이다. 도4를 참조하면, 실시예에서 자가 테스트란 암복호 서비스를 수행하기 위한 사전 단계로써, 암호 알고리즘에 대한 자가 테스트를 의미할 수 있다. 배전 지능화용 보안 장치는 최초 구동시 암복호 알고리즘에 대한 자가 테스트를 수행할 수 있다(S401). 실시예에서, 자가 테스트는 난수 발생기, 엔트로피 수집, 블록암호, 메시지 압축, 메시지 인증코드, 타원곡선 키 교환, ECDSA(Elliptic Curve Digital Signature Algorithm)전자서명 등의 테스트 및 무결성 검사 중 적어도 하나를 통하여 수행될 수 있다. 4 is a diagram for explaining a self-test operation according to an embodiment. Referring to FIG. 4 , in the embodiment, the self-test is a pre-step for performing an encryption/decryption service, and may refer to a self-test of an encryption algorithm. The security device for intelligent distribution may perform a self-test on the encryption/decryption algorithm upon initial operation (S401). In an embodiment, the self-test is performed through at least one of tests and integrity checks such as random number generator, entropy collection, block cipher, message compression, message authentication code, elliptic curve key exchange, ECDSA (Elliptic Curve Digital Signature Algorithm) digital signature, etc. can be

배전지능화용 보안 장치는 자가 테스트가 정상적으로 수행되면 암복호 서비스를 제공하며, 자가 테스트가 정상적으로 수행되지 않는 경우 암복호 서비스를 제공하지 않을 수 있다. 배전 지능화용 보안 장치는 자가 테스트 실패 시 오류 메시지를 반환하고 암복호 서비스를 종료할 수 있다(S402~404).The security device for intelligent distribution provides encryption/decryption service when self-test is normally performed, and may not provide encryption/decryption service when self-test is not normally performed. The security device for intelligent distribution may return an error message when the self-test fails and terminate the encryption/decryption service (S402 to 404).

다음으로, 배전 지능화용 보안 장치는 주 장치 또는 배전 지능화용 단말 장치로부터 사용자 인증 요청 메시지를 수신할 수 있다(S302).Next, the security device for intelligent distribution may receive a user authentication request message from the main device or the terminal device for intelligent distribution (S302).

다음으로, 배전 지능화용 보안 장치는 사용자 인증 요청 메시지에 대응하여 사용자 인증을 수행할 수 있다(S303). Next, the security device for intelligent distribution may perform user authentication in response to the user authentication request message (S303).

다음으로, 배전 지능화용 보안 장치가 인증된 사용자에 대하여 세션 값을 생성하여 전송할 수 있다. 세션 값은 키 객체 및 인증서 객체를 포함할 수 있다(S304).Next, the security device for intelligent distribution may generate and transmit a session value for the authenticated user. The session value may include a key object and a certificate object (S304).

사용자 인증은 사용자가 TCP프로토콜 통신을 통해 배전 지능화용 보안 장치에게 사용자 인증 요청 메시지를 보내면 사용자 인증 과정을 수행 후, 세션 값을 사용자에게 전송하는 과정일 수 있다. 사용자 인증에 실패할 경우 배전 지능화용 보안 장치는 통신을 종료하고 대기 모드로 진입할 수 있다.User authentication may be a process of transmitting a session value to a user after performing a user authentication process when a user sends a user authentication request message to a security device for intelligent distribution through TCP protocol communication. If user authentication fails, the security device for intelligent distribution may terminate communication and enter standby mode.

배전 지능화용 보안 장치는 사용자 인증이 성공한 경우 암복호 서비스 요청 메시지 수신 대기 모드로 진입할 수 있다.The security device for intelligent distribution may enter the encryption/decryption service request message reception standby mode when user authentication is successful.

사용자 인증을 수행하는 단계는, 사용자 인증에 필요한 공개키를 교환하는 단계; MAC(Media Access Control)검증에 필요한 시드(Seed) 및 난수를 교환하는 단계; 및 MAC 검증을 수행하는 단계를 포함할 수 있다.The step of performing user authentication may include exchanging a public key required for user authentication; exchanging a seed and a random number required for MAC (Media Access Control) verification; and performing MAC verification.

도5는 실시예에 따른 사용자 인증 과정을 설명하기 위한 도면이다. 도5를 참조하면, 먼저 주 장치 또는 배전 지능화용 단말 장치가 배전 지능화용 보안 장치에 접속한다(S501).5 is a diagram for explaining a user authentication process according to an embodiment. Referring to FIG. 5 , first, a main device or a terminal device for intelligent distribution accesses a security device for intelligent distribution ( S501 ).

다음으로, 배전 지능화용 보안 장치는 RSA 2048bit 키를 생성한다(S502).Next, the security device for intelligent distribution generates an RSA 2048-bit key (S502).

다음으로, 배전 지능화용 보안 장치는 생성한 RSA의 공개키를 주 장치 또는 배전 지능화용 단말 장치로 전송한다(S503).Next, the security device for intelligent distribution transmits the generated RSA public key to the main device or the terminal device for intelligent distribution (S503).

다음으로, 주 장치 또는 배전 지능화용 단말 장치는 시드 값을 생성한 후 RSA 공개키로 암호화 한다(S504).Next, the main device or the terminal device for intelligent distribution generates a seed value and encrypts it with the RSA public key (S504).

다음으로, 주 장치 또는 배전 지능화용 단말 장치는 공개키로 암호화 된 시드 값을 배전 지능화용 보안 장치에게 전송한다(S505).Next, the main device or the terminal device for intelligent distribution transmits the seed value encrypted with the public key to the security device for intelligent distribution (S505).

다음으로, 배전 지능화용 보안 장치는 공개키로 암호화 된 시드 값을 RSA 개인키로 복호화한다(S506).Next, the security device for intelligent distribution decrypts the seed value encrypted with the public key with the RSA private key (S506).

다음으로, 배전 지능화용 보안 장치는 난수발생기를 이용하여 난수를 생성 후 주 장치 또는 배전 지능화용 단말 장치로 전송한다(S507).Next, the security device for intelligent distribution generates a random number using the random number generator and transmits it to the main device or the terminal device for intelligent distribution (S507).

다음으로, 배전 지능화용 보안 장치와 주 장치 또는 배전 지능화용 단말 장치는 키 난독화 과정을 수행한다(S508).Next, the security device for intelligent distribution and the main device or the terminal device for intelligent distribution perform a key obfuscation process (S508).

다음으로, 키 난독화에서 생성된 HAMC키와 배전 지능화용 보안 장치에서 생성된 랜덤(Random) 값을 이용하여 MAC 값을 계산한다(S509).Next, a MAC value is calculated using the HAMC key generated in key obfuscation and a random value generated in the security device for intelligent distribution (S509).

다음으로, 주 장치 또는 배전 지능화용 단말 장치는 계산된 MAC 값을 배전 지능화용 보안 장치로 전송한다(S510).Next, the main device or the terminal device for intelligent distribution transmits the calculated MAC value to the security device for intelligent distribution (S510).

다음으로, 배전 지능화용 보안 장치는 주 장치 또는 배전 지능화용 단말 장치 에서 수신한 MAC 값과 계산된 MAC 값을 비교한다(S511). Next, the security device for intelligent distribution compares the MAC value received from the main device or the terminal device for intelligent distribution and the calculated MAC value (S511).

다음으로, 배전 지능화용 보안 장치는 두 값이 불일치 할 경우 주 장치 또는 배전 지능화용 단말 장치와의 통신 세션을 종료하고 일치할 경우 배전 지능화용 보안 장치의 암복호 서비스를 사용할 수 있는 세션 값을 생성하여 송신한다(S512). Next, if the two values do not match, the security device for distribution intelligence terminates the communication session with the main device or the terminal device for distribution intelligence. to transmit (S512).

다음으로, 배전 지능화용 보안 장치는 인증된 사용자로부터 암복호 서비스 요청 메시지를 수신할 수 있다(S305).Next, the security device for intelligent distribution may receive the encryption/decryption service request message from the authenticated user (S305).

다음으로, 배전 지능화용 보안 장치는 암복호 서비스 요청 메시지를 전송한 사용자의 세션 값을 검증할 수 있다(S306).Next, the security device for intelligent distribution may verify the session value of the user who has transmitted the encryption/decryption service request message (S306).

배전 지능화용 보안 장치는 암복호 서비스 요청 메시지를 수신하면 세션 값을 검증할 수 있다. 배전 지능화용 보안 장치는 세션 값이 비정상일 경우 해당 세션을 종료하고 대기 모드로 진입할 수 있다. 배전 지능화용 보안 장치는 세션 값이 정상일 경우 암복호 서비스 요청 메시지를 확인하고 해당 메시지에 따라 암복호 서비스를 수행할 수 있다. 배전 지능화용 보안 장치는 키 생성, 객체 주입, 객체 조회 및 객체 삭제 중 적어도 하나의 과정을 통하여 사용자의 세션 값을 검증할 수 있다.The security device for intelligent distribution may verify the session value upon receiving the encryption/decryption service request message. When the session value is abnormal, the security device for intelligent distribution may terminate the corresponding session and enter the standby mode. When the session value is normal, the security device for intelligent distribution may check the encryption/decryption service request message and perform encryption/decryption service according to the message. The security device for intelligent distribution may verify the session value of the user through at least one of key generation, object injection, object inquiry, and object deletion.

도6 및 도7은 실시예에 따른 세션 값 검증 과정을 설명하기 위한 도면이다.6 and 7 are diagrams for explaining a session value verification process according to an embodiment.

도6 내지 도7을 참조하여 세션 값 검증 과정을 설명하기로 한다.A session value verification process will be described with reference to FIGS. 6 to 7 .

도6(a)의 키 생성 과정에서는, 주 장치 또는 배전 지능화용 단말 장치가 라벨(label) 데이터를 포함하여 키 생성 암호화 서비스를 요청한다(S601).In the key generation process of FIG. 6( a ), the main device or the terminal device for intelligent distribution requests a key generation encryption service including label data ( S601 ).

다음으로, 배전 지능화용 보안 장치는 난수발생기를 이용하여 난수를 생성한다(S602).Next, the security device for intelligent distribution generates a random number using a random number generator (S602).

다음으로, 배전 지능화용 보안 장치는 생성된 난수와 입력받은 라벨을 이용하여 키를 생성한다(S603).Next, the security device for intelligent distribution generates a key using the generated random number and the received label (S603).

다음으로, 배전 지능화용 보안 장치는 키 생성 암호화 서비스에 대한 결과 값을 주 장치 또는 배전 지능화용 단말 장치로 반환한다(S604).Next, the security device for intelligent distribution returns a result value for the key generation encryption service to the main device or the terminal device for intelligent distribution (S604).

도6(b)의 객체 주입 과정에서는, 주 장치 또는 배전 지능화용 단말 장치는 라벨과 객체 데이터를 포함하여 객체 주입 암호화 서비스를 요청한다(S611).In the object injection process of FIG. 6(b), the main device or the terminal device for intelligent distribution requests an object injection encryption service including a label and object data (S611).

다음으로, 배전 지능화용 보안 장치는 수신 받은 라벨과 객체 데이터를 이용하여 객체를 생성한다(S612).Next, the security device for intelligent distribution creates an object using the received label and object data (S612).

다음으로, 배전 지능화용 보안 장치는 객체 주입 암호화 서비스에 대한 결과 값을 주 장치 또는 배전 지능화용 단말 장치로 반환한다(S613).Next, the security device for intelligent distribution returns the result value for the object injection encryption service to the main device or the terminal device for intelligent distribution (S613).

도7(a)의 객체 조회 과정에서는, 주 장치 또는 배전 지능화용 단말 장치는 라벨 데이터를 포함하여 객체 조회 암호화 서비스를 요청한다(S701).In the object inquiry process of FIG. 7( a ), the main device or the terminal device for intelligent distribution requests an object inquiry encryption service including label data ( S701 ).

다음으로, 배전 지능화용 보안 장치는 수신 받은 라벨과 저장되어 있는 객체의 라벨을 비교하여 조회할 객체의 유무를 확인한다(S702).Next, the security device for intelligent distribution compares the received label with the label of the stored object to confirm the existence of the object to be inquired (S702).

다음으로, 배전 지능화용 보안 장치는 객체 조회 암호화 서비스에 대한 결과 값을 주 장치 또는 배전 지능화용 단말 장치로 반환한다(S703).Next, the security device for intelligent distribution returns the result value for the object inquiry encryption service to the main device or the terminal device for intelligent distribution (S703).

도7(b)의 객체 삭제 과정에서는, 주 장치 또는 배전 지능화용 단말 장치는 라벨 데이터를 포함하여 객체 삭제 암호화 서비스를 요청한다(S711).In the object deletion process of FIG. 7(b), the main device or the terminal device for intelligent distribution requests an object deletion encryption service including label data (S711).

다음으로, 배전 지능화용 보안 장치는 수신 받은 라벨과 저장되어 있는 객체의 라벨을 비교하여 조회할 객체에 유무 확인 후 객체가 존재하는 경우 객체를 삭제한다(S712).Next, the security device for intelligent distribution compares the received label with the label of the stored object, checks whether the object to be inquired exists, and deletes the object if the object exists (S712).

다음으로, 배전 지능화용 보안 장치는 객체 삭제 암호화 서비스에 대한 결과 값을 주 장치 또는 배전 지능화용 단말 장치로 반환한다(S713).Next, the security device for intelligent distribution returns the result value for the object deletion encryption service to the main device or the terminal device for intelligent distribution (S713).

다음으로, 배전 지능화용 보안 장치는 세션 값이 검증된 경우 암복호 서비스 요청 메시지에 따른 암복호 서비스를 수행하고, 암복호 서비스 수행 결과를 회신할 수 있다(S307~308). Next, when the session value is verified, the security device for intelligent distribution may perform encryption/decryption service according to the encryption/decryption service request message and return the encryption/decryption service execution result (S307 to 308).

배전 지능화용 보안 장치는 암복호 서비스가 정상적으로 수행 되면 결과 값을 반환하고 암호 서비스 메시지 수신 대기 모드로 진입할 수 있다. 배전 지능화용 보안 장치는 암복호 서비스가 정상적으로 수행되지 않았을 경우 리턴 값을 반환 후, 암호 서비스 메시지 수신 대기 모드로 진입할 수 있다. 실시예에서, 암복호 서비스를 수행하는 단계는 KCMVP 인증을 거친 라이브러리 형태의 ARIA 암호 알고리즘을 적용하는 단계를 포함할 수 있다.When the encryption/decryption service is normally performed, the security device for intelligent distribution may return a result value and enter the encryption service message reception standby mode. When the encryption/decryption service is not normally performed, the security device for intelligent distribution may return a return value and enter the encryption service message reception standby mode. In an embodiment, performing the encryption/decryption service may include applying the ARIA encryption algorithm in the form of a library that has undergone KCMVP authentication.

도8은 실시예에 따른 암복호 서비스 과정을 설명하기 위한 도면이다. 도8을 참조하여 세션 값 검증 과정을 설명하기로 한다.8 is a diagram for explaining an encryption/decryption service process according to an embodiment. A session value verification process will be described with reference to FIG. 8 .

도8(a)의 암호화 과정에서는, 배전 지능화용 단말 장치가 라벨 데이터와 DNP 평문 데이터를 포함하여 데이터 암호화를 요청한다(S801).In the encryption process of FIG. 8(a), the intelligent distribution terminal device requests data encryption including label data and DNP plaintext data (S801).

다음으로, 배전 지능화용 보안 장치는 라벨 데이터를 이용하여 키 객체를 조회한다(S802).Next, the security device for intelligent distribution inquires the key object using the label data (S802).

다음으로, 배전 지능화용 보안 장치는 조회한 키 객체와 DNP 평문 데이터를 이용하여 암호화 서비스를 수행한다(S803).Next, the security device for intelligent distribution performs an encryption service using the inquired key object and DNP plaintext data (S803).

다음으로, 배전 지능화용 보안 장치는 암호화 데이터를 주 장치 또는 배전 지능화용 단말 장치로 반환한다(S804). Next, the security device for intelligent distribution returns the encrypted data to the main device or the terminal device for intelligent distribution (S804).

도8(b)의 복호화 과정에서는, 주 장치가 라벨 데이터와 암호 데이터를 포함하여 데이터 복호화를 요청한다(S811).In the decryption process of FIG. 8(b), the main device requests data decryption including label data and encryption data (S811).

다음으로, 배전 지능화용 보안 장치는 라벨 데이터를 이용하여 키를 조회한다(S812).Next, the security device for intelligent distribution inquires the key using the label data (S812).

다음으로, 배전 지능화용 보안 장치는 조회한 키와 암호 데이터를 이용하여 복호화 서비스를 수행한다(S813).Next, the security device for intelligent distribution performs a decryption service using the inquired key and encryption data (S813).

다음으로, 배전 지능화용 보안 장치는 복호화 데이터를 주 장치 또는 배전 지능화용 단말 장치로 반환한다(S814). Next, the security device for intelligent distribution returns the decrypted data to the main device or the terminal device for intelligent distribution (S814).

또한, 배전 지능화용 보안 장치는 세션 키를 이용하여 주 장치 또는 단말 장치로부터 수신한 전자서명 요청 또는 전자서명 검증 요청을 처리할 수 있다(S309). 도3에서는 암복호 서비스 수행 결과값 반환 이후 전자서명 요청 또는 검증 요청을 처리하는 과정이 도시되어 있으나, 이와는 달리 사용자 인증 이후 각 단계의 중간에 전자서명 요청 또는 검증 요청을 처리하는 과정이 포함될 수 있다.In addition, the security device for intelligent distribution may process the digital signature request or the digital signature verification request received from the main device or the terminal device using the session key (S309). 3 illustrates a process of processing a digital signature request or verification request after returning the result of performing the encryption/decryption service, otherwise, a process of processing a digital signature request or verification request may be included in the middle of each step after user authentication. .

배전 지능화용 보안 장치는 조회한 키 객체와 평문 데이터를 이용하여 전자서명 서비스를 수행 후 서비스 요청에 포함된 전자서명 데이터와 비교할 수 있다. 다음으로, 배전 지능화용 보안 장치는 전자서명 검증 결과 값을 주 장치 또는 배전 지능화용 단말 장치로 반환할 수 있다.The security device for intelligent distribution can compare the digital signature data included in the service request after performing the digital signature service using the inquired key object and plaintext data. Next, the security device for intelligent distribution may return the digital signature verification result value to the main device or the terminal device for intelligent distribution.

도9는 실시예에 따른 전자서명 및 전자서명 검증 과정을 설명하기 위한 도면이다.9 is a view for explaining a digital signature and a digital signature verification process according to an embodiment.

도9를 참조하며 전자서명 및 전자서명 검증 과정을 설명하기로 한다.Referring to FIG. 9, the digital signature and the digital signature verification process will be described.

도9(a)의 전자 서명 과정에서는, 주 장치 또는 배전 지능화용 단말 장치가 라벨 데이터와 DNP 평문 데이터를 포함하여 전자서명을 요청한다(S901).In the electronic signature process of FIG. 9(a), the main device or the terminal device for intelligent distribution requests an electronic signature including label data and DNP plaintext data (S901).

다음으로, 배전 지능화용 보안 장치는 라벨 데이터를 이용하여 키 객체를 조회한다(S902).Next, the security device for intelligent distribution inquires the key object using the label data (S902).

다음으로, 배전 지능화용 보안 장치는 조회한 키 객체와 평문 데이터를 이용하여 전자서명 서비스를 수행한다(S903).Next, the security device for intelligent distribution performs a digital signature service using the searched key object and plaintext data (S903).

다음으로, 배전 지능화용 보안 장치는 전자서명 데이터를 주 장치 또는 배전 지능화용 단말 장치로 반환한다(S904).Next, the security device for intelligent distribution returns the digital signature data to the main device or the terminal device for intelligent distribution (S904).

도9(b)의 전자 서명 검증 과정에서는, 주 장치 또는 배전 지능화용 단말 장치가 라벨 데이터와 평문데이터, 전자서명 데이터를 포함하여 전자서명검증을 요청한다(S911).In the digital signature verification process of FIG. 9(b), the main device or the terminal device for intelligent distribution requests digital signature verification including label data, plaintext data, and digital signature data (S911).

다음으로, 배전 지능화용 보안 장치는 라벨 데이터를 이용하여 키 객체를 조회한다(S912).Next, the security device for intelligent distribution inquires the key object using the label data (S912).

다음으로, 배전 지능화용 보안 장치는 조회한 키 객체와 평문 데이터를 이용하여 전자서명 서비스를 수행 후 서비스 요청에 포함된 전자서명 데이터와 비교한다(S913).Next, the security device for intelligent distribution performs the digital signature service using the inquired key object and plaintext data, and compares it with the digital signature data included in the service request (S913).

다음으로, 배전 지능화용 보안 장치는 전자서명 검증 결과 값을 주 장치 또는 배전 지능화용 단말 장치로 반환한다(S914).Next, the security device for intelligent distribution returns the digital signature verification result value to the main device or the terminal device for intelligent distribution (S914).

도 10은 실시예에 따른 배전 지능화용 보안 장치의 동작을 설명하기 위한 도면이다. 도10을 참조하면, 배전 지능화용 보안 장치는 주 장치와 통신시 TLS프로토콜을 사용하여 암호화 통신을 수행할 수 있다. TLS 통신을 하기 위해서는 상호 핸드 쉐이킹(Handshaking) 과정을 거치는데 이 과정에서 CA인증서, 디바이스 인증서, 디바이스 키가 이용될 수 있다. TLS 통신을 위한 핸드 쉐이킹 과정은 보안 장치에서 취득된 인증서를 검증하여 세션 키를 생성 후 보안 장치에 저장하는 과정을 포함한다. 배전 지능화용 보안 장치는 저장된 세션키로 데이터 암복호화를 수행하여 데이터를 송수할 수 있다. 이때, 배전 지능화용 보안 장치는 KCMVP 인증을 거친 라이브러리 형태의 ARIA 암호 모듈을 사용할 수 있다. 배전 지능화용 보안 장치는 TLS 통신 종료 시 저장된 세션 키를 삭제할 수 있다.10 is a view for explaining the operation of the security device for intelligent distribution according to the embodiment. Referring to FIG. 10 , the security device for intelligent distribution may perform encrypted communication using the TLS protocol when communicating with the main device. In order to perform TLS communication, a mutual handshaking process is performed. In this process, a CA certificate, a device certificate, and a device key may be used. The handshaking process for TLS communication includes a process of generating a session key by verifying a certificate obtained from the security device and storing the session key in the security device. The security device for intelligent distribution may transmit and receive data by performing data encryption/decryption with the stored session key. In this case, the security device for intelligent distribution may use an ARIA encryption module in the form of a library that has undergone KCMVP authentication. The security device for intelligent distribution may delete the stored session key when TLS communication is terminated.

도11은 실시예에 따른 배전 지능화용 보안 장치의 암호화 객체 관리 장치의 구성 블록도이다. 도11을 참조하면, 실시예에 따른 배전 지능화용 보안 장치의 암호화 객체 관리 장치(200)는 사용자 식별 모듈 접속부(210) 및 사용자 식별 모듈 관리부(220)를 포함할 수 있다.11 is a block diagram of a device for managing an encrypted object of a security device for intelligent distribution according to an embodiment. Referring to FIG. 11 , the encryption object management apparatus 200 of the security device for intelligent distribution according to the embodiment may include a user identification module connection unit 210 and a user identification module management unit 220 .

실시예에서 키 객체는 디바이스 개인키, DNP 마스터키 및 DNP 업데이트 키를 포함하며, 인증서 객체는CA(Certificate Authority) 인증서, 디바이스 인증서를 포함할 수 있다. 사용자 식별 모듈(110)의 파일 구성은 상위 구조인 DF(Dedicated files)와 하위 구조인 EF(Elementary files)로 구성될 수 있다. 사용작 식별 모듈은 배전 분야를 기준으로 DF를 나누고 그 하위인 EF에 키 객체 및 인증서 객체를 저장하여 관리할 수 있다.In an embodiment, the key object includes a device private key, a DNP master key, and a DNP update key, and the certificate object may include a Certificate  Authority (CA) certificate and a device certificate. The file configuration of the user identification module 110 may be composed of an upper structure DF (Dedicated files) and a lower structure EF (Elementary files). The user identification module can manage by dividing the DF based on the distribution field and storing the key object and the certificate object in the subordinate EF.

실시에에서, 디바이스 개인키는 DTLS 및 TLS프로토콜에서 사용되는 현 디바이스의 개인키를 의미할 수 있으며, DNP 마스터키는 DNP 통신을 위해 사용되는 사전 공유키를 의미할 수 있으며, DNP 업데이트 키는 DNP 통신을 위해 사용되는 업데이트 키를 의미할 수 있다.In an embodiment, the device private key may mean the private key of the current device used in DTLS and TLS protocols, the DNP master key may mean a pre-shared key used for DNP communication, and the DNP update key is DNP It may mean an update key used for communication.

실시예에서, CA 인증서는 배전 지능화용 보안 장치, 주 장치, 배전 지능화용단말 장치간에 사용되는 CA인증서를 의미할 수 있으며, 디바이스 인증서는 DTLS, TLS프로토콜에서 사용되는 현 디바이스 인증서를 의미할 수 있다.In an embodiment, the CA certificate may mean a CA certificate used between the security device for intelligent distribution, the main device, and the terminal device for intelligent distribution, and the device certificate may mean the current device certificate used in DTLS and TLS protocols. .

키 객체 및 인증서 객체의 주입 및 추출, 삭제 등은 사용자 식별 모듈(110)의 칩을 통하여 이루어지며, 사용자 식별 모듈(110)의 파일 식별 정보(File ID)를 이용하여 저장될 수 있다.Injection, extraction, deletion, etc. of the key object and the certificate object are performed through the chip of the user identification module 110 , and may be stored using the file identification information (File ID) of the user identification module 110 .

실시예에서, 사용자 식별 모듈(110)은 FTPS Upload id, FTPS Upload passwd, FTPS download id, FTPS download passwd를 이용하여 키 객체 및 인증서 객체를 저장할 수 있다. FTPS Upload id는 FTPS 업로드를 위한 계정을 의미할 수 있으며, FTPS Upload passwd는 FTPS 업로드를 위한 패스워드를 의미할 수 있으며, FTPS download id는 FTPS 다운로드를 위한 계정을 의미할 수 있으며, FTPS download passwd는FTPS 다운로드를 위한 패스워드를 의미할 수 있다.In an embodiment, the user identification module 110 may store the key object and the certificate object using FTPS Upload id, FTPS Upload passwd, FTPS download id, and FTPS download passwd. FTPS Upload id may mean an account for FTPS upload, FTPS Upload passwd may mean a password for FTPS upload, FTPS download id may mean an account for FTPS download, FTPS download passwd is FTPS It may mean a password for downloading.

사용자 식별 모듈 접속부(210)는 배전 지능화용 보안 장치의 사용자 식별 모듈(110)에 접속하여 키 객체 및 인증서 객체 중 적어도 하나를 획득할 수 있다. 사용자 식별 모듈 접속부(210)는 배전 지능화용 보안 장치가 구동되면 사용자 식별 모듈(110)의 칩에 저장되어 있는 키 객체 및 인증서 객체를 획득하며, 공유 메모리를 생성한 후 다른 프로세스가 인증서 및 키를 사용할 수 있도록 암호화 하여 저장할 수 있다.The user identification module connection unit 210 may obtain at least one of a key object and a certificate object by accessing the user identification module 110 of the security device for intelligent distribution. The user identification module connection unit 210 acquires a key object and a certificate object stored in the chip of the user identification module 110 when the security device for intelligent distribution is driven, and after creating a shared memory, another process receives the certificate and key It can be encrypted and stored so that it can be used.

사용자 식별 모듈 접속부(210)는 리더부(211) 및 객체 암호화부(212)를 포함할 수 있다.The user identification module connection unit 210 may include a reader unit 211 and an object encryption unit 212 .

리더부(211)는 키 객체 및 인증서 객체를 사용자 식별 모듈(110)에 연결 시 공유 메모리 초기화를 진행하여 사용자 식별 모듈(110)에 저장되어 있는 키 객체 및 인증서 객체를 취득할 수 있다. 리더부(211)는 키 객체 및 인증서 객체를 획득한 후, 사용자 식별 모듈(110)과의 연결을 해제하고 대기 모드로 진입할 수 있다. When the key object and the certificate object are connected to the user identification module 110 , the reader unit 211 may initialize the shared memory to obtain the key object and the certificate object stored in the user identification module 110 . After obtaining the key object and the certificate object, the reader unit 211 may release the connection with the user identification module 110 and enter the standby mode.

리더부(211)는 주 장치 및 배전 지능화용 단말장치에서 사용할 키 객체 및 인증서 객체를 안전하게 획득하기 위해 사용자 식별 모듈(110)의 칩에 연결될 수 있다. 리더부(211)는 주 장치 및 배전 지능화용 단말장치가 사용할 수 있도록 획득한 키 객체 및 인증서 객체 데이터를 공유 메모리에 저장할 수 있다. 이 때, 리더부(211)는 공유 메모리 초기화를 수행할 수 있다. 리더부(211)는 공유 메모리의 초기화가 실패 할 경우 사용자 식별 모듈(110)의 구동을 종료시킬 수 있다.The reader unit 211 may be connected to the chip of the user identification module 110 in order to safely obtain a key object and a certificate object to be used in the main device and the terminal device for intelligent distribution. The reader unit 211 may store the acquired key object and certificate object data in the shared memory so that the main device and the terminal device for intelligent distribution can use it. In this case, the reader unit 211 may initialize the shared memory. The reader unit 211 may terminate the operation of the user identification module 110 when initialization of the shared memory fails.

공유 메모리 초기화가 성공적으로 수행되면, 리더부(211)는 사용자 식별 모듈(110)의 칩에 저장되어 있는 키 객체 및 인증서 객체를 획득할 수 있다. 리더부(211)는 획득하려는 객체의 개수만큼 사용자 식별 모듈(110)의 칩에서 해당 주소의 객체 값을 읽어올 수 있다. 리더부(211)는 객체 취득에 실패할 경우에는 사용자 식별 모듈(110)과의 연결 및 공유 메모리를 해제할 수 있다. When the shared memory initialization is successfully performed, the reader unit 211 may acquire the key object and the certificate object stored in the chip of the user identification module 110 . The reader unit 211 may read the object value of the corresponding address from the chip of the user identification module 110 as much as the number of objects to be acquired. The reader unit 211 may release the connection and shared memory with the user identification module 110 when the object acquisition fails.

리더부(211)는 키 객체 및 인증서 객체를 정상적으로 획득한 경우 안전한 데이터 저장을 위해 객체 암호화부(212)로 전달할 수 있다. 또한, 리더부(211)는 모든 객체를 정상적으로 획득한 경우, 사용자 식별 모듈(110)과의 연결을 해제한 후 주 장치 또는 배전 지능화용 단말장치에서 공유 메모리를 참조 할 수 있도록 대기 모드를 유지할 수 있다.When the key object and the certificate object are normally obtained, the reader unit 211 may transmit the key object and the certificate object to the object encryption unit 212 for secure data storage. In addition, when all objects are normally acquired, the reader unit 211 may maintain a standby mode so that the main device or the terminal device for intelligent distribution can refer to the shared memory after disconnecting from the user identification module 110 . there is.

객체 암호화부(212)는 사용자 식별 모듈(110)에서 취득한 키 객체 인증서 객체를 사전 공유된 암호화 키를 이용하여 암호화 한 후 공유 메모리에 저장할 수 있다.The object encryption unit 212 may encrypt the key object certificate object obtained from the user identification module 110 using a pre-shared encryption key and then store it in the shared memory.

객체 암호화부(212)는 사용자 식별 모듈(110)의 칩에서 획득한 객체 데이터를 공유 메모리에 안전하게 저장하기 위해 암호화 처리를 수행할 수 있다. 객체 암호화부(212)는 사전 공유된 암호화 키를 이용하여 키 객체 및 인증서 객체를 암호화 한 뒤 공유 메모리 에 저장할 수 있다. 객체 암호화부(212)는 암호화 처리 또는 공유 메모리에 저장이 실패할 경우, 사용자 식별 모듈(110)과의 연결 및 공유 메모리를 해제할 수 있다. The object encryption unit 212 may perform encryption processing to securely store the object data obtained from the chip of the user identification module 110 in the shared memory. The object encryption unit 212 may encrypt the key object and the certificate object using the pre-shared encryption key and then store it in the shared memory. When the encryption processing or storage in the shared memory fails, the object encryption unit 212 may release the connection with the user identification module 110 and the shared memory.

리더부(211)는 객체 암호화가 정상적으로 처리되면, 다음 객체에 대한 처리를 위하여 사용자 식별 모듈(110)에 접근할 수 있다.When the object encryption is normally processed, the reader unit 211 may access the user identification module 110 to process the next object.

사용자 식별 모듈 관리부(220)는 사용자 식별 모듈(110)로부터 획득한 키 객체 및 인증서 객체의 관리 기능을 제공할 수 있다.The user identification module management unit 220 may provide a management function of the key object and the certificate object obtained from the user identification module 110 .

사용자 식별 모듈 관리부(220)는 객체 관리부(221), 공유 메모리 관리부(222), PIN관리부(223)를 포함할 수 있다.The user identification module management unit 220 may include an object management unit 221 , a shared memory management unit 222 , and a PIN management unit 223 .

객체 관리부(221)는 사용자 식별 모듈(110)에게 키 객체 및 인증서 객체의 저장, 변경, 삭제 및 조회 기능을 제공할 수 있다. The object management unit 221 may provide the user identification module 110 with functions of storing, changing, deleting, and retrieving a key object and a certificate object.

공유 메모리 관리부(222)는 키 객체 및 인증서 객체를 암호화하여 저장할 수 있다. 공유 메모리 관리부(222)는 배전 지능화용 보안 장치에서 실행되고 있는 프로세스가 사용하는 키 객체 및 인증서 객체를 키 암호화 하여 저장하고 있는 공유 메모리가 정상적으로 생성되어 있는지 여부를 확인하는 기능을 제공할 수 있다.The shared memory management unit 222 may encrypt and store the key object and the certificate object. The shared memory management unit 222 may provide a function of confirming whether the shared memory stored by key-encrypting the key object and the certificate object used by the process running in the security device for intelligent distribution is normally generated.

PIN관리부(223)는 사용자 식별 모듈(110)의 PIN번호 변경 및 PIN 인증 제한 횟수 설정 기능을 제공할 수 있다. PIN관리부(223)는 사용자 식별 모듈(110)의 칩의 PIN 번호를 변경하거나 리셋 카운터(Reset counter) 를 초기화하는 기능을 제공할 수 있다. 사용자 식별 모듈(110)의 칩의 PIN번호는 4-16자리로 변경이 가능하다. PIN관리부(223)는 PIN인증 제한 수로 설정된 리셋 카운터 이상 PIN번호 입력이 틀리면, 이후 사용자 식별 모듈(110) 칩의 사용을 차단할 수 있다. 예를 들면, PIN관리부(223)는 리셋 카운터를 5로 설정할 수 있으며, 리셋 카운터 설정 값 이상으로 PIN 인증에 실패하면 사용자 식별 모듈(110) 칩의 사용을 차단할 수 있다.The PIN management unit 223 may provide a function of changing the PIN number of the user identification module 110 and setting the PIN authentication limit number of times. The PIN management unit 223 may provide a function of changing the PIN number of the chip of the user identification module 110 or of initializing a reset counter. The PIN number of the chip of the user identification module 110 can be changed to 4-16 digits. The PIN management unit 223 may block the subsequent use of the user identification module 110 chip when the PIN number input is incorrect more than the reset counter set to the PIN authentication limit. For example, the PIN management unit 223 may set the reset counter to 5, and may block use of the user identification module 110 chip when PIN authentication fails by more than the reset counter setting value.

본 실시예에서 사용되는 '~부'라는 용어는 소프트웨어 또는 FPGA(field-programmable gate array) 또는 ASIC과 같은 하드웨어 구성요소를 의미하며, '~부'는 어떤 역할들을 수행한다. 그렇지만 '~부'는 소프트웨어 또는 하드웨어에 한정되는 의미는 아니다. '~부'는 어드레싱할 수 있는 저장 매체에 있도록 구성될 수도 있고 하나 또는 그 이상의 프로세서들을 재생시키도록 구성될 수도 있다. 따라서, 일 예로서 '~부'는 소프트웨어 구성요소들, 객체지향 소프트웨어 구성요소들, 클래스 구성요소들 및 태스크 구성요소들과 같은 구성요소들과, 프로세스들, 함수들, 속성들, 프로시저들, 서브루틴들, 프로그램 코드의 세그먼트들, 드라이버들, 펌웨어, 마이크로코드, 회로, 데이터, 데이터베이스, 데이터 구조들, 테이블들, 어레이들, 및 변수들을 포함한다. 구성요소들과 '~부'들 안에서 제공되는 기능은 더 작은 수의 구성요소들 및 '~부'들로 결합되거나 추가적인 구성요소들과 '~부'들로 더 분리될 수 있다. 뿐만 아니라, 구성요소들 및 '~부'들은 디바이스 또는 보안 멀티미디어카드 내의 하나 또는 그 이상의 CPU들을 재생시키도록 구현될 수도 있다.The term '~ unit' used in this embodiment means software or hardware components such as field-programmable gate array (FPGA) or ASIC, and '~ unit' performs certain roles. However, '-part' is not limited to software or hardware. '~unit' may be configured to reside on an addressable storage medium or may be configured to refresh one or more processors. Thus, as an example, '~' refers to components such as software components, object-oriented software components, class components, and task components, and processes, functions, properties, and procedures. , subroutines, segments of program code, drivers, firmware, microcode, circuitry, data, databases, data structures, tables, arrays, and variables. The functions provided in the components and '~ units' may be combined into a smaller number of components and '~ units' or further separated into additional components and '~ units'. In addition, components and '~ units' may be implemented to play one or more CPUs in a device or secure multimedia card.

상기에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다. Although the above has been described with reference to the preferred embodiment of the present invention, those skilled in the art can variously modify and change the present invention within the scope without departing from the spirit and scope of the present invention as described in the claims below. You will understand that it can be done.

1: 배전 지능화 시스템
10: 개폐기
20: 배전 지능화용 단말 장치
30: 주 장치
100: 배전 지능화용 보안 장치
110: 사용자 식별 모듈
120: 암복호 모듈
130: 통신 모듈
200: 배전 지능화용 보안 장치의 암호화 객체 관리 장치
210: 사용자 식별 모듈 접속부
220: 사용자 식별 모듈 관리부1: Distribution intelligent system
10: switch
20: terminal device for intelligent distribution
30: main device
100: security device for intelligent distribution
110: user identification module
120: encryption/decryption module
130: communication module
200: Encryption object management device of security device for intelligent distribution
210: user identification module connection unit
220: user identification module management unit

Claims (7)

배전 지능화용 보안 장치의 사용자 식별 모듈에 접속하여 키 객체 및 인증서 객체 중 적어도 하나를 획득하는 사용자 식별 모듈 접속부; 및
상기 사용자 식별 모듈로부터 획득한 상기 키 객체 및 상기 인증서 객체의 관리 기능을 제공하는 사용자 식별 모듈 관리부를 포함하며,
상기 사용자 식별 모듈 접속부는 상기 키 객체 및 상기 인증서 객체를 상기 사용자 식별 모듈에 연결 시 공유 메모리 초기화를 진행하여 상기 사용자 식별 모듈에 저장되어 있는 상기 키 객체 및 상기 인증서 객체를 취득하는 리더부를 포함하고,
상기 리더부는 상기 공유 메모리 초기화가 성공하면, 획득하려는 객체의 개수만큼 상기 사용자 식별 모듈의 칩에서 해당 주소의 객체 값을 읽어오되 객체 취득에 실패하면 상기 사용자 식별 모듈과의 연결 및 공유 메모리를 해제하며,
상기 리더부는 상기 키 객체 및 상기 인증서 객체를 정상적으로 획득한 경우 상기 사용자 식별 모듈과의 연결을 해제한 후 주 장치 또는 배전 지능화용 단말장치에서 공유 메모리를 참조 할 수 있도록 대기 모드를 유지하는 배전 지능화용 보안 장치의 암호화 객체 관리 장치.a user identification module connection unit accessing the user identification module of the security device for intelligent distribution to obtain at least one of a key object and a certificate object; and
and a user identification module management unit that provides a management function of the key object and the certificate object obtained from the user identification module,
The user identification module connection unit includes a reader unit for acquiring the key object and the certificate object stored in the user identification module by performing shared memory initialization when connecting the key object and the certificate object to the user identification module,
When the shared memory initialization is successful, the reader unit reads the object value of the corresponding address from the chip of the user identification module as many as the number of objects to be acquired, but if the object acquisition fails, the connection with the user identification module and the shared memory are released, ,
When the key object and the certificate object are normally obtained, the reader unit releases the connection with the user identification module and then maintains a standby mode so that the main device or the distribution intelligent terminal device can refer to the shared memory. Cryptographic object management device in secure device. 제1항에 있어서,
상기 사용자 식별 모듈은 통신 모듈의 동작 상태에 따라 CA 인증서, 디바이스 인증서 및 세션 키의 사용을 위한 칩(chip) 형태의 저장공간을 제공하며, 구동시 상기 칩 형태의 저장공간에 저장되어 있는 상기 CA 인증서, 상기 디바이스 인증서 및 상기 세션 키 객체를 취득하여 공유 메모리를 생성한 후 상기 배전 지능화용 단말 장치 또는 상기 주 장치가 상기 CA 인증서, 상기 디바이스 인증서 및 상기 세션 키에 접근할 수 있도록 암호화 하여 저장하며, 기 설정된 라이브러리를 이용하여 상기 CA 인증서, 상기 디바이스 인증서 및 상기 세션 키 객체의 저장, 조회, 삭제 및 변경 기능을 제공하는 배전 지능화용 보안 장치의 암호화 객체 관리 장치.According to claim 1,
The user identification module provides a chip-type storage space for use of a CA certificate, a device certificate, and a session key according to the operating state of the communication module, and the CA stored in the chip-type storage space when driven After generating a shared memory by acquiring the certificate, the device certificate, and the session key object, the terminal device for intelligent distribution or the main device can access the CA certificate, the device certificate, and the session key and store it by encrypting it. , Encryption object management apparatus of a security device for intelligent distribution that provides storage, inquiry, deletion and change functions of the CA certificate, the device certificate, and the session key object using a preset library. 삭제delete 제1항에 있어서,
상기 사용자 식별 모듈의 리더부는 상기 사용자 식별 모듈에서 취득한 상기 키 객체 상기 인증서 객체를 사전 공유된 암호화 키를 이용하여 암호화 한 후 공유 메모리에 저장하는 객체 암호화부를 포함하는 배전 지능화용 보안 장치의 암호화 객체 관리 장치.According to claim 1,
The reader unit of the user identification module encrypts the key object and the certificate object obtained from the user identification module using a pre-shared encryption key and then stores the encrypted object in a shared memory. Device. 제1항에 있어서,
상기 사용자 식별 모듈 관리부는 상기 사용자 식별 모듈에게 상기 키 객체 및 상기 인증서 객체의 저장, 변경, 삭제 및 조회 기능을 제공하는 객체관리부; 상기 키 객체 및 상기 인증서 객체를 암호화하여 저장하고 있는 공유 메모리를 관리하는 공유 메모리 관리부; 및 상기 사용자 식별 모듈의 PIN번호 변경 및 PIN 인증 제한 횟수 설정 기능을 제공하는 PIN 관리부를 포함하는 배전 지능화용 보안 장치의 암호화 객체 관리 장치.According to claim 1,
The user identification module management unit includes: an object management unit that provides storage, change, deletion and inquiry functions of the key object and the certificate object to the user identification module; a shared memory management unit for managing a shared memory in which the key object and the certificate object are encrypted and stored; and a PIN management unit that provides a function of changing the PIN number of the user identification module and setting the PIN authentication limit number. 제1항에 있어서,
상기 키 객체는 디바이스 개인키, DNP 마스터키 및 DNP 업데이트 키를 포함하며, 상기 인증서 객체는 CA(Certificate Authority) 인증서, 디바이스 인증서를 포함하는 배전 지능화용 보안 장치의 암호화 객체 관리 장치.According to claim 1,
The key object includes a device private key, a DNP master key, and a DNP update key, and the certificate object includes a Certificate Authority (CA) certificate and a device certificate. CA(Certificate Authority) 인증서, 디바이스 인증서 및 세션 키를 저장하는 사용자 식별 모듈; 배전 지능화용 단말 장치에서 수신된 DNP(Distributed Network Protocol) 데이터를 암호화 하고, 주장치로부터 수신한 암호문 데이터를 평문 DNP데이터로 복호화하는 암복호 모듈; 및 상기 CA 인증서, 디바이스 인증서 및 세션 키를 이용하여 상기 주장치와 TLS(Transport Layer Security) 프로토콜에 따라 데이터 통신을 수행하며, 상기 암복호 모듈에서 암호화 된 데이터를 상기 주장치로 전송하고 상기 주장치로부터 수신한 암호문 데이터를 수신하는 통신모듈을 포함하는 배전 지능화용 보안 장치; 및
상기 배전 지능화용 보안 장치의 사용자 식별 모듈에 접속하여 키 객체 및 인증서객체 중 적어도 하나를 획득하는 사용자 식별 모듈 접속부; 및 상기 사용자 식별 모듈로부터 획득한 상기 키 객체 및 상기 인증서 객체의 관리 기능을 제공하는 사용자 식별 모듈 관리부를 포함하는 배전 지능화용 보안 장치의 암호화 객체 관리 장치를 포함하며,
상기 사용자 식별 모듈 접속부는 상기 키 객체 및 상기 인증서 객체를 상기 사용자 식별 모듈에 연결 시 공유 메모리 초기화를 진행하여 상기 사용자 식별 모듈에 저장되어 있는 상기 키 객체 및 상기 인증서 객체를 취득하는 리더부를 포함하고,
상기 리더부는 상기 공유 메모리 초기화가 성공하면, 획득하려는 객체의 개수만큼 상기 사용자 식별 모듈의 칩에서 해당 주소의 객체 값을 읽어오되 객체 취득에 실패하면 상기 사용자 식별 모듈과의 연결 및 공유 메모리를 해제하며,
상기 리더부는 상기 키 객체 및 상기 인증서 객체를 정상적으로 획득한 경우 상기 사용자 식별 모듈과의 연결을 해제한 후 상기 주 장치 또는 상기 배전 지능화용 단말장치에서 공유 메모리를 참조 할 수 있도록 대기 모드를 유지하는 배전 지능화 보안 시스템.a user identification module that stores a Certificate Authority (CA) certificate, a device certificate, and a session key; an encryption/decryption module for encrypting DNP (Distributed Network Protocol) data received from the terminal device for intelligent distribution, and decrypting the encrypted text data received from the main device into plain text DNP data; and performing data communication with the primary device according to the TLS (Transport Layer Security) protocol using the CA certificate, device certificate, and session key, and transmits data encrypted by the encryption/decryption module to the primary device and receives from the primary device A security device for intelligent distribution including a communication module for receiving cipher text data; and
a user identification module connection unit accessing the user identification module of the security device for intelligent distribution to obtain at least one of a key object and a certificate object; and an encryption object management device for a security device for intelligent distribution including a user identification module management unit that provides a management function of the key object and the certificate object obtained from the user identification module,
The user identification module connection unit includes a reader unit for acquiring the key object and the certificate object stored in the user identification module by performing shared memory initialization when connecting the key object and the certificate object to the user identification module,
When the shared memory initialization is successful, the reader unit reads the object value of the corresponding address from the chip of the user identification module as many as the number of objects to be acquired, but if the object acquisition fails, the connection with the user identification module and the shared memory are released, ,
When the reader unit normally acquires the key object and the certificate object, after disconnecting from the user identification module, the main device or the distribution intelligent terminal device maintains a standby mode so that the shared memory can be referenced. Intelligent security system.
KR1020190173751A 2019-12-24 2019-12-24 Cryptographic entity management device for power distribution security device KR102384678B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190173751A KR102384678B1 (en) 2019-12-24 2019-12-24 Cryptographic entity management device for power distribution security device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190173751A KR102384678B1 (en) 2019-12-24 2019-12-24 Cryptographic entity management device for power distribution security device

Publications (2)

Publication Number Publication Date
KR20210081615A KR20210081615A (en) 2021-07-02
KR102384678B1 true KR102384678B1 (en) 2022-04-08

Family

ID=76896995

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190173751A KR102384678B1 (en) 2019-12-24 2019-12-24 Cryptographic entity management device for power distribution security device

Country Status (1)

Country Link
KR (1) KR102384678B1 (en)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101538927B1 (en) * 2013-10-25 2015-07-23 대우조선해양 주식회사 PLC data management system for preemptive and method thereof
KR101648885B1 (en) * 2014-01-24 2016-08-30 주식회사 케이디링크 a smart pay phone and operation method that having smart card reader that recognize smart card including universal subscriber information

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102458351B1 (en) * 2015-10-02 2022-10-26 삼성전자주식회사 Authentication apparatus based on public key cryptosystem, mobile device having the same and authentication method thereof
KR20190079926A (en) * 2017-12-28 2019-07-08 주식회사 에스씨테크원 Personal identification number substitution authentication apparatus using biometric information in security card and method thereof

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101538927B1 (en) * 2013-10-25 2015-07-23 대우조선해양 주식회사 PLC data management system for preemptive and method thereof
KR101648885B1 (en) * 2014-01-24 2016-08-30 주식회사 케이디링크 a smart pay phone and operation method that having smart card reader that recognize smart card including universal subscriber information

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
김태훈 et al "안전한 배전계통 운영을 위한 배전지능화시스템 보안기술 구현에 관한 연구." 한국통신학회 학술대회논문집, pp. 803-804(2018.) 1부.*

Also Published As

Publication number Publication date
KR20210081615A (en) 2021-07-02

Similar Documents

Publication Publication Date Title
US11722296B2 (en) Device securing communications using two post-quantum cryptography key encapsulation mechanisms
EP3453135B1 (en) System and method for encryption and decryption based on quantum key distribution
US10965453B2 (en) System and method for authenticated encryption based on device fingerprint
US8396218B2 (en) Cryptographic module distribution system, apparatus, and program
US20160337354A1 (en) System and method for securing machine-to-machine communications
CN111435913B (en) Identity authentication method and device for terminal of Internet of things and storage medium
KR101103403B1 (en) Control method of data management system with emproved security
JP2012050066A (en) Secure field-programmable gate array (fpga) architecture
CN108809633B (en) Identity authentication method, device and system
CN110690956B (en) Bidirectional authentication method and system, server and terminal
US20190268145A1 (en) Systems and Methods for Authenticating Communications Using a Single Message Exchange and Symmetric Key
CN107104795B (en) Method, framework and system for injecting RSA key pair and certificate
KR20170047717A (en) Server and method for managing smart home environment thereby, method for joining smart home environment and method for connecting communication session with smart device
CN110362984B (en) Method and device for operating service system by multiple devices
KR101952329B1 (en) Method for generating address information used in transaction of cryptocurrency based on blockchain, electronic apparatus and computer readable recording medium
KR102384677B1 (en) Power distribution security device
CN111654503A (en) Remote control method, device, equipment and storage medium
US20180287796A1 (en) Security key hopping
KR101745482B1 (en) Communication method and apparatus in smart-home system
KR102384678B1 (en) Cryptographic entity management device for power distribution security device
US8589690B2 (en) Information processing apparatus, server apparatus, medium recording information processing program and information processing method
KR102442280B1 (en) Security services providing method for distribution intelligence system
KR102263391B1 (en) Power distribution security device for protection coordination
CN109412788A (en) Cloud storage method of controlling security and system are acted on behalf of in anti-quantum calculation based on public keys pond
KR102404066B1 (en) Security device and method for power control system

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant