KR102546324B1 - 수처리 산업제어시스템을 위한 하드웨어 기반 키 관리 및 통합접근제어 시스템 및 방법 - Google Patents

수처리 산업제어시스템을 위한 하드웨어 기반 키 관리 및 통합접근제어 시스템 및 방법 Download PDF

Info

Publication number
KR102546324B1
KR102546324B1 KR1020210012314A KR20210012314A KR102546324B1 KR 102546324 B1 KR102546324 B1 KR 102546324B1 KR 1020210012314 A KR1020210012314 A KR 1020210012314A KR 20210012314 A KR20210012314 A KR 20210012314A KR 102546324 B1 KR102546324 B1 KR 102546324B1
Authority
KR
South Korea
Prior art keywords
water treatment
authentication code
water
data collection
control system
Prior art date
Application number
KR1020210012314A
Other languages
English (en)
Other versions
KR20210098368A (ko
Inventor
박현주
박한나
Original Assignee
주식회사 시옷
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 시옷 filed Critical 주식회사 시옷
Publication of KR20210098368A publication Critical patent/KR20210098368A/ko
Application granted granted Critical
Publication of KR102546324B1 publication Critical patent/KR102546324B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0877Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

본 개시는 수처리 산업제어시스템을 위한 하드웨어 기반 키 관리 및 통합접근제어 시스템에 관한 것이다. 수처리 산업제어 시스템은, 하나 이상의 수데이터 수집 디바이스, 하나 이상의 수처리 서비스 및 IoT 플랫폼과 연결되어 데이터 및 인증코드를 송수신하는 데이터 송수신부, 하나 이상의 수데이터 수집 디바이스, 하나 이상의 수처리 서비스 및 IoT 플랫폼 중의 하나로부터 개별적으로 생성되어 수신된 공개키와 식별자에 기초하여 인증코드를 생성하는 인증코드 생성부, 인증코드 생성부로부터 생성된 인증코드를 검증 및 관리하는 인증코드 관리부 및 통합접근제어 시스템의 개인키 및 공개키 쌍을 생성하며, 하나 이상의 수데이터 수집 디바이스, 하나 이상의 수처리 서비스 및 IoT 플랫폼 중 적어도 하나의 공개키를 수신해 저장 및 관리하는 키 관리부를 포함한다.

Description

수처리 산업제어시스템을 위한 하드웨어 기반 키 관리 및 통합접근제어 시스템 및 방법{METHOD AND SYSTEM FOR HARDWARE-BASED KEY MANAGEMENT AND INTEGRATED ACCESS CONTROL FOR INDUSTRIAL WATER TREATMENT}
본 개시는 수처리 산업제어시스템을 위한 하드웨어 기반 키 관리 및 통합접근제어 시스템 및 방법에 관한 것이다.
수처리와 관련된 센서들과 장비들과 같은 구성요소들이 유선 형태로 연결된 종래의 수처리 시스템은, 사람이 직접 운영 및 관리하기위해 현장을 방문해야 하고, 여러 구성요소들이 수동으로 연결되어 사용되었다. 하지만 최근 통신기술의 발달과 사물인터넷의 도입으로, 시스템의 운영상 발생가능한 인적 오류의 방지 및 정밀한 점검 및 관리를 효율적으로 제공하기 위해, 시스템은 점차 무선 통신을 이용하여 원격에서 통합 관리하는 형태로 변화하고 있다.
수처리 산업제어를 위해 설치되는 디바이스들의 수량과 규모는, 예를 들어, 일반 가정까지 상수를 전달하는 수도계량기부터 맨홀, 가압장, 정수장 등 공공인프라에 이르기까지 그 규모가 매우 방대할 뿐 아니라 생활과 밀접하게 연결되어 있기 때문에, 원격으로 수처리 산업제어시스템을 제어하는 시스템의 운영 안정성과 신뢰성이 요구된다.
최근 면밀한 현장 상황 파악을 위해, 시스템 종단의 센싱 디바이스의 수가 기하급수적으로 늘어나고 있으며, 많은 수의 하위 디바이스가 중앙통제시스템까지 직접 연결되는 방향으로 시스템 구성이 변경되고 있다. 따라서, 이러한 시스템에서 암호화되지 않은 데이터의 노출을 막기 위한 하드웨어 기반 키 관리와 하위 단말부터 중앙통제시스템까지의 통합적인 접근제어는, 악의적인 공격자로부터 전체 수처리 제어시스템을 안전성과 신뢰성 있게 운영하기 위해 반드시 필요하다.
종래 기술에 따른 수처리 시스템에서는 서비스를 유선으로만 제공하거나, 일부 구간은 유선 형태로만 운영되고, 다른 일부 구간은 무선으로 처리되는 등 수처리 산업제어를 구성하는 모든 요소를 통합적으로 관리되지 않고 있다. 하지만 수처리 산업제어시스템의 안전성과 신뢰성 확보를 위해 모든 요소들의 구간을 별도로 분리하지 않고, 현장의 단말부터 중앙통제시스템까지 통합적으로 운영하기위해, 수처리산업제어를 구성하는 모든 요소를 통합적으로 접근제어 할 수 있는 방법이 필요하다.
본 개시는 상기와 같은 문제점을 해결하기 위한 수처리 산업제어시스템을 위한 하드웨어 기반 키 관리 및 통합접근제어 시스템 및 방법을 제공한다.
본 발명은, 수처리 산업제어시스템을 구성하는 모든 물리적인 기기 및 서비스까지 통합적으로 관리할 수 있도록, 수처리제어시스템을 구성하는 모든 구성요소가 각각 키를 생성하고, 통합접근제어 시스템을 통해 키를 등록, 접근제어 인증코드를 생성, 발급 및 전송함으로써, 모든 구성요소들이 동일하게 관리될 수 있도록 구성된다.
통합접근제어 시스템이 생성, 발급 및 전송하는 접근제어 인증코드는 하위 디바이스 또는 서비스와 매칭되어 저장 및 관리되므로, 시스템 내에서 서비스와 디바이스간 상호인증과 운영성을 보장한다.
또한, 통합접근제어 시스템에서 하위서비스는 수처리산업의 특성을 반영하여 수처리 운영 및 관리 주체인 지자체 단위(읍, 면, 동 등)로 구성될 수 있으며, 또는 별도의 수처리서비스단위로 구분되어 운영 및 제공될 수 있다.
본 개시의 일 실시예에 따른 수처리 산업제어시스템을 위한 하드웨어 기반의 키 관리 및 통합접근제어 시스템은, 하나 이상의 수데이터 수집 디바이스, 하나 이상의 수처리 서비스 및 IoT 플랫폼과 연결되어 데이터 및 인증코드를 송수신하는 데이터 송수신부, 하나 이상의 수데이터 수집 디바이스, 하나 이상의 수처리 서비스 및 IoT 플랫폼 중 적어도 하나로부터 개별적으로 생성되어 수신된 공개키와 식별자에 기초하여 인증코드를 생성하는 인증코드 생성부, 인증코드 생성부로부터 생성된 인증코드를 검증 및 관리하는 인증코드 관리부 및 통합접근제어 시스템의 개인키 및 공개키 쌍을 생성하여, 하나 이상의 수데이터 수집 디바이스, 하나 이상의 수처리 서비스 및 IoT 플랫폼 중 적어도 하나의 공개키를 수신해 저장 및 관리하는 키 관리부를 포함할 수 있다.
일 실시예에 따르면, 통합접근제어 시스템은 하나 이상의 수데이터 수집 디바이스, 하나 이상의 수처리 서비스 및 IoT 플랫폼 중 적어도 하나로부터 수신된 암호화된 데이터를 복호화하고, 데이터 송수신부를 통해 송신하는 데이터들을 암호화하도록 구성된 암호처리부를 더 포함할 수 있고, 암호처리부는 하나 이상의 수데이터 수집 디바이스, 하나 이상의 수처리 서비스 및 IoT 플랫폼으로부터 수신된 인증코드 생성 요청을 복호화하도록 더 구성될 수 있다.
일 실시예에 따르면, 통합접근제어 시스템의 인증코드 관리부는, 하나 이상의 수데이터 수집 디바이스, 수처리 서비스 및 IoT 플랫폼 중 적어도 하나의 식별자를 저장하는 상호 매칭 테이블을 더 포함할 수 있다.
일 실시예에 따르면, 통합접근제어 시스템은 상호 매칭 테이블, 인증코드, 개인키 및 공개키를 이용하여, 하나 이상의 수데이터 수집 디바이스, 하나 이상의 수처리 시스템 및 IoT 플랫폼 중 적어도 하나의 상호 인증과 비인가된 접근을 제어하는 접근제어 처리부를 더 포함할 수 있다.
일 실시예에 따르면, 하나 이상의 수데이터 수집 디바이스 및 하나 이상의 수처리 서비스는, 통합접근제어 시스템 및 IoT 플랫폼과 연결되어 데이터 및 인증코드를 송수신하는 데이터 송수신부, 인증코드 생성부에 의해 생성된 인증코드를 수신하여 저장하고, 인증코드를 이용하여 인증 처리를 수행하는 인증 처리부, 개인키 및 공개키 쌍을 생성하며, 통합접근제어 시스템, 하나 이상의 수데이터 수집 디바이스, 하나 이상의 수처리 서비스 및 IoT 플랫폼 중 적어도 하나의 공개키를 수신해 저장 및 관리하는 키 관리부, 통합접근제어 시스템, 하나 이상의 수데이터 수집 디바이스, 하나 이상의 수처리 서비스 및 IoT 플랫폼 중 적어도 하나로부터 수신된 암호화된 데이터를 복호화하고, 데이터 송수신부를 통해 송신하는 데이터들을 암호화하도록 구성된 암호화 처리부 및 물환경데이터를 수집, 저장 또는 가공하도록 구성된 데이터 센싱부를 포함할 수 있다.
일 실시예에 따르면, IoT 플랫폼은, 통합접근제어 시스템, 하나 이상의 수데이터 수집 디바이스 및 하나 이상의 수처리 서비스와 연결되어 데이터 및 인증코드를 송수신하고, 인증코드를 저장 및 인증 처리하고, IoT 플랫폼의 개인키 및 공개키 쌍을 생성하며, 통합접근제어 시스템, 하나 이상의 수데이터 수집 디바이스 및 하나 이상의 수처리 서비스 중 적어도 하나의 공개키를 수신하여 저장 및 관리하고, 통합접근제어 시스템, 하나 이상의 수데이터 수집 디바이스 및 하나 이상의 수처리 서비스 중 적어도 하나로부터 수신된 암호화된 데이터를 복호화하고, 데이터 송수신부를 통해 송신하는 데이터들을 암호화하도록 더 구성될 수 있다.
일 실시예에 따르면, 수처리 산업제어시스템을 위한 하드웨어 기반 키 관리 및 통합접근제어 방법은, 통합접근제어 시스템이 IoT 플랫폼, 하나 이상의 수데이터 수집 디바이스 및 하나 이상의 수처리 서비스 중 적어도 하나로부터 공개키와 식별자를 수신하는 단계, 수신한 공개키 및 식별자를 검증하고, 인증코드를 생성하는 단계, 상호 매칭 테이블에 인증코드를 기록하는 단계, 인증코드를 발급하여 IoT 플랫폼, 하나 이상의 수데이터 수집 디바이스 및 하나 이상의 수처리 서비스 중 적어도 하나에게 전송하는 단계, 인증코드를 이용해, IoT 플랫폼, 하나 이상의 수데이터 수집 디바이스 및 하나 이상의 수처리 서비스 중 적어도 하나의 접근을 제어하는 단계를 포함할 수 있다.
일 실시예에 따르면, 통합접근제어 시스템이 IoT 플랫폼, 하나 이상의 수데이터 수집 디바이스 및 하나 이상의 수처리 서비스 중 적어도 하나로부터 공개키 및 식별자를 수신하는 단계는, 수처리 서비스가 신규 서비스인지 검증하는 단계, 수처리 서비스의 정보를 입력 받는 단계, 수처리 서비스의 키 입력이 완료되었는지 검증하는 단계를 포함할 수 있다.
일 실시예에 따르면, 통합접근제어 시스템이 IoT 플랫폼, 하나 이상의 수데이터 수집 디바이스 및 하나 이상의 수처리 서비스 중 적어도 하나로부터 공개키 및 식별자를 수신하는 단계는, 수데이터 수집 디바이스가 신규 디바이스인지 검증하는 단계, 수데이터 수집 디바이스의 정보를 입력 받는 단계, 수데이터 수집 디바이스가 통합접근제어 시스템에 등록된 수처리 서비스와 매칭되는지 확인하는 단계 및 수데이터 수집 디바이스의 키 입력이 완료되었는지 검증하는 단계를 포함할 수 있다.
일 실시예에 따르면, 인증코드를 이용해, IoT 플랫폼, 하나 이상의 수데이터 수집 디바이스 및 하나 이상의 수처리 서비스의 접근을 제어하는 단계는, 하나 이상의 수데이터 수집 디바이스 중 하나가 하나 이상의 수처리 서비스 중 하나에 인증코드 및 데이터를 전송하는 단계, 하나 이상의 수처리 서비스 중 하나가 수신한 인증코드를 검증하는 단계, 하나 이상의 수처리 서비스 중 하나가 인증코드의 검증 성공 시 데이터를 복호화하는 단계, 하나 이상의 수처리 서비스 중 하나가 인증코드의 검증 실패 시 데이터를 삭제하는 단계, 하나 이상의 수처리 서비스 중 하나가 하나 이상의 수데이터 수집 디바이스 중 하나에 인증코드 및 데이터를 전송하는 단계, 하나 이상의 수데이터 수집 디바이스 중 하나가 수신한 인증코드를 검증하는 단계, 하나 이상의 수데이터 수집 디바이스 중 하나가 인증코드의 검증 성공 시 데이터를 복호화하는 단계 및 하나 이상의 수데이터 수집 디바이스 중 하나가 인증코드의 검증 실패 시 데이터를 삭제하는 단계를 포함할 수 있다.
본 개시의 다양한 실시예들에 따르면, 수처리 산업제어시스템을 구성하는 모든 요소들에 대해 통합적으로 인증코드 기반의 관리를 할 수 있어, 수처리 산업제어시스템을 구성하는 모든 요소간 상호 인증과 비인가된 접근을 제어할 수 있다.
또한, 본 개시의 실시예들에 따르면, 수처리 산업제어시스템을 구성하는 모든 요소들이 개별적으로 비밀키 값을 생성하고, 해당 비밀키 값을 하드웨어를 기반으로 처리하도록 하여 외부로 비밀키 값이 노출되지 않도록 함으로서 보안성을 향상시킬 수 있다.
본 개시의 실시예들은, 이하 설명하는 첨부 도면들을 참조하여 설명될 것이며, 여기서 유사한 참조 번호는 유사한 요소들을 나타내지만, 이에 한정되지는 않는다.
도 1은, 본 개시의 일 실시예에 따른 수처리 산업제어시스템을 나타내는 블록도이다.
도 2는, 본 개시의 일 실시예에 따른 통합접근제어 시스템의 내부 구성을 나타내는 블록도이다.
도 3은, 본 개시의 일 실시예에 따른 수데이터 수집 디바이스 또는 수처리 서비스의 내부 구성을 나타내는 블록도이다.
도 4는, 본 개시의 일 실시예에 따른 통합접근제어 시스템에 신규 서비스를 등록하는 방법을 설명하기 위한 흐름도이다.
도 5는, 본 개시의 일 실시예에 따른 통합접근제어 시스템에 신규 디바이스를 등록하는 방법을 설명하기 위한 흐름도이다.
도 6은, 본 개시의 일 실시예에 따른 신규 서비스 및 신규 디바이스 등록 후 접근제어 방법을 설명하기 위한 흐름도이다.
이하, 본 개시의 실시를 위한 구체적인 내용을 첨부된 도면을 참조하여 상세히 설명한다. 다만, 이하의 설명에서는 본 개시의 요지를 불필요하게 흐릴 우려가 있는 경우, 널리 알려진 기능이나 구성에 관한 구체적 설명은 생략하기로 한다.
첨부된 도면에서, 동일하거나 대응하는 구성요소에는 동일한 참조부호가 부여되어 있다. 또한, 이하의 실시예들의 설명에 있어서, 동일하거나 대응하는 구성요소를 중복하여 기술하는 것이 생략될 수 있다. 그러나 구성요소에 관한 기술이 생략되어도, 그러한 구성요소가 어떤 실시예에 포함되지 않는 것으로 의도되지는 않는다.
개시된 실시예의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 개시는 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 개시가 완전하도록 하고, 본 개시가 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것일 뿐이다.
본 개시에서 사용되는 용어에 대해 간략히 설명하고, 개시된 실시예에 대해 구체적으로 설명하기로 한다.
본 개시에서 사용되는 용어는 본 개시에서의 기능을 고려하면서 가능한 현재 널리 사용되는 일반적인 용어들을 선택하였으나, 이는 관련 분야에 종사하는 기술자의 의도 또는 판례, 새로운 기술의 출현 등에 따라 달라질 수 있다. 또한, 특정한 경우는 출원인이 임의로 선정한 용어도 있으며, 이 경우 해당되는 발명의 설명 부분에서 상세히 그 의미를 기재할 것이다. 따라서 본 개시에서 사용되는 용어는 단순한 용어의 명칭이 아닌, 그 용어가 가지는 의미와 본 개시의 전반에 걸친 내용을 토대로 정의되어야 한다.
본 개시에서의 단수의 표현은 문맥상 명백하게 단수인 것으로 특정하지 않는 한, 복수의 표현을 포함한다. 또한 복수의 표현은 문맥상 명백하게 복수인 것으로 특정하지 않는 한, 단수의 표현을 포함한다.
본 개시의 전체에서 어떤 부분이 어떤 구성요소를 '포함'한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있음을 의미한다.
본 개시에서, 용어 '부'라는 용어는 소프트웨어 또는 하드웨어 구성요소를 의미하며, '부'는 어떤 역할들을 수행한다. 그렇지만 '부'는 소프트웨어 또는 하드웨어에 한정되는 의미는 아니다. '부'는 어드레싱할 수 있는 저장 매체에 있도록 구성될 수도 있고 하나 또는 그 이상의 프로세서들을 재생시키도록 구성될 수도 있다. 따라서, 일 예로서 '부'는 소프트웨어 구성요소들, 객체지향 소프트웨어 구성요소들, 클래스 구성요소들 및 태스크 구성요소들과 같은 구성요소들과, 프로세스들, 함수들, 속성들, 프로시저들, 서브루틴들, 프로그램 코드의 세그먼트들, 드라이버들, 펌웨어, 마이크로 코드, 회로, 데이터, 데이터베이스, 데이터 구조들, 테이블들, 어레이들 또는 변수들 중 적어도 하나를 포함할 수 있다. 구성요소들과 '부'들은 안에서 제공되는 기능은 더 작은 수의 구성요소들 및 '부'들로 결합되거나 추가적인 구성요소들과 '부'들로 더 분리될 수 있다.
본 개시에서, '시스템'은 서버 장치와 클라우드 장치 중 적어도 하나의 장치를 포함할 수 있으나, 이에 한정되는 것은 아니다. 예를 들어, 시스템은 하나 이상의 서버 장치로 구성될 수 있다. 다른 예로서, 시스템은 하나 이상의 클라우드 장치로 구성될 수 있다. 또 다른 예로서, 시스템은 서버 장치와 클라우드 장치가 함께 구성되어 동작될 수 있다.
본 개시에서, '시스템'은 하나 이상의 IoT 디바이스, 컴퓨팅 장치, 보안 모듈, 또는 이들이 결합된 형태를 포함하는 구성을 지칭할 수 있으며, 예를 들어, 하나 이상의 컴퓨팅 장치, 서버 장치, 또는 클라우드 서비스를 제공하는 분산된 컴퓨팅 장치를 지칭할 수 있으나, 이에 한정되는 것은 아니다.
본 개시에서, 'IoT 플랫폼(Internet of Things platform)'은, 네트워크 상에서 서비스로서 확장 가능한 컴퓨팅 자원들을 제공하는 클라우드 컴퓨팅 시스템 또는 클라우드 컴퓨팅 인프라스트럭쳐(cloud computing infrastructure)를 지칭할 수 있다. 구체적으로, 클라우드 컴퓨팅은, 컴퓨팅 자원과 그 내부의 기술적인 구조(예를 들어, 서버, 저장소, 네트워크 등) 사이의 추상화(abstraction)를 제공하는 컴퓨팅 능력을 의미할 수 있으며, 이를 이용하여, 서비스 제공자와의 상호 작용이나 관리 노력을 최소화하면서 신속하게 제공될 수 있는 구성 가능한 컴퓨팅 자원의 공유 풀에 대한 온디맨드(on-demand) 네트워크 엑세스를 제공할 수 있다. 이에 따라 사용자는, 클라우드에서, 컴퓨팅 자원을 제공하는데 사용되는 물리적 시스템(또는 시스템의 위치) 등을 알 필요 없이, 가상의 컴퓨팅 자원들(예를 들어, 저장소, 데이터, 애플리케이션, 및 가상화된 컴퓨팅 시스템 등)에 접근할 수 있다. 이하 본 개시의 다양한 실시예들을 설명함에 있어서, IoT 플랫폼은 '클라우드'와 상호 교환적으로 사용되거나, 클라우드의 적어도 일부를 지칭할 수 있다.
도 1은, 본 개시의 일 실시예에 따른 수처리 산업제어시스템(100)을 나타내는 블록도이다.
일 실시예에 따르면, 도 1에 도시된 바와 같이, 수처리 산업제어시스템(100)은 IoT 플랫폼(110), 통합접근제어 시스템(120), 수데이터 수집 디바이스(130_1, 130_2, ..., 130_n) 및 수처리 서비스(140_1, 140_2, ..., 140_n)를 포함할 수 있다.
일 실시예에 따르면, 수처리 산업제어시스템(100)을 구성하는 모든 물리적인 기기 및 서비스까지 통합적으로 관리할 수 있도록, 수처리 산업제어시스템(100)을 구성하는 모든 구성요소가 각각 키(예를 들어, 개인키 또는 공개키)를 생성하고, 통합접근제어 시스템(120)을 통해 키를 등록하고, 접근제어 인증코드를 생성, 발급 및 전송함으로써, 모든 구성요소들의 보안 및 접근제어 기능이 동일하게 관리될 수 있도록 구성될 수 있다.
IoT 플랫폼(110)은, IoT 플랫폼(110)에 연결된 통합접근제어 시스템(120), 수데이터 수집 디바이스(130_1, 130_2, ..., 130_n) 및 수처리 서비스(140_1, 140_2, ..., 140_n) 사이의 하드웨어 연결, 통신 프로토콜 처리, 보안과 인증, 데이터의 취합, 시각화 및 분석, 이들 기능을 다른 서비스와 통합하는 기능을 제공할 수 있으나, 이에 한정되지 않는다.
일 실시예에서, IoT 플랫폼(110)은, 수데이터 수집 디바이스(130_1, 130_2, ..., 130_n) 및 수처리 서비스(140_1, 140_2, ..., 140_n)의 관리를 위한 데이터를 저장 및 전송하는 기능을 제공할 수 있다. 수데이터 수집 디바이스(130_1, 130_2, ..., 130_n) 및 수처리 서비스(140_1, 140_2, ..., 140_n)의 관리에 사용되는 데이터는, 수데이터 수집 디바이스(130_1, 130_2, ..., 130_n) 및 수처리 서비스(140_1, 140_2, ..., 140_n)의 온보딩(onboarding)에 사용되는 데이터, 수데이터 수집 디바이스(130_1, 130_2, ..., 130_n) 및 수처리 서비스(140_1, 140_2, ..., 140_n)의 관리에 사용되는 데이터, 및 수데이터 수집 디바이스(130_1, 130_2, ..., 130_n) 및 수처리 서비스(140_1, 140_2, ..., 140_n)의 보안 실행에 사용되는 데이터를 포함할 수 있다. 예를 들어, IoT 플랫폼(110)에 저장되는 데이터는, 수데이터 수집 디바이스(130_1, 130_2, ..., 130_n) 및 수처리 서비스(140_1, 140_2, ..., 140_n)의 식별자(ID), 수데이터 수집 디바이스(130_1, 130_2, ..., 130_n) 및 수처리 서비스(140_1, 140_2, ..., 140_n)의 온보딩을 위한 세션 키(session key), 수데이터 수집 디바이스(130_1, 130_2, ..., 130_n) 및 수처리 서비스(140_1, 140_2, ..., 140_n)의 온보딩 제어에 사용되는 IoT 방화벽(firewall) 규칙, 수데이터 수집 디바이스(130_1, 130_2, ..., 130_n) 및 수처리 서비스(140_1, 140_2, ..., 140_n)들과 송수신되는 다양한 데이터를 포함할 수 있다. 또한, IoT 플랫폼(110)은, 수처리 서비스(140_1, 140_2, ..., 140_n)에 의해 수데이터 수집 디바이스(130_1, 130_2, ..., 130_n) 에게 제공될 서비스에 관한 데이터를 저장 및 전송할 수 있다. 예를 들어, IoT 플랫폼(110)에 저장되는 데이터는, 수처리 서비스(140_1, 140_2, ..., 140_n)에 의해 제공되는 서비스 등록에 필요한 데이터, 서비스 식별자(ID), 서비스 제공을 위한 세션 키, 수데이터 수집 디바이스(130_1, 130_2, ..., 130_n) 및 수처리 서비스(140_1, 140_2, ..., 140_n) 사이에 송수신되는 다양한 데이터를 포함할 수 있다.
통합접근제어 시스템(120)은, IoT 플랫폼(110)을 통해 수데이터 수집 디바이스(130_1, 130_2, ..., 130_n) 및 수처리 서비스(140_1, 140_2, ..., 140_n) 사이의 통신 보안과 인증, 접근을 제어하는 기능을 제공할 수 있으나, 이에 한정되지 않는다.
일 실시예에서, 통합접근제어 시스템(120)은, 수데이터 수집 디바이스(130_1, 130_2, ..., 130_n) 및 수처리 서비스(140_1, 140_2, ..., 140_n)로부터 서비스 식별자, 서비스 공개키, 디바이스 식별자 및 디바이스 공개키 등을 수신하여 인증코드를 발급 및 송수신할 수 있다.
일 실시예에서, 통합접근제어 시스템(120)은 수데이터 수집 디바이스(130_1, 130_2, ..., 130_n) 및 수처리 서비스(140_1, 140_2, ..., 140_n)로부터 수신한 서비스 공개키 및 디바이스 공개키를 저장 및 송수신 할 수 있다.
통합접근제어 시스템(120)은 발급한 인증코드를 기초로 수데이터 수집 디바이스(130_1, 130_2, ..., 130_n) 및 수처리 서비스(140_1, 140_2, ..., 140_n)에 대한 접근제어를 처리할 수 있다. 또한, 통합접근제어 시스템(120)은 수데이터 수집 디바이스(130_1, 130_2, ..., 130_n) 및 수처리 서비스(140_1, 140_2, ..., 140_n)에서 생성 및 송수신 데이터를 암호 처리할 수 있다.
한편, 수데이터 수집 디바이스(130_1, 130_2, ..., 130_n)는 수데이터를 수집, 수데이터 송수신, 디바이스 인증 처리, 키 생성 및 송수신 등의 관리 및 암호화 처리 등을 수행할 수 있으나, 이에 한정되지 않는다.
일 실시예에서, 수데이터 수집 디바이스(130_1, 130_2, ..., 130_n)는 상하수도 사업소, 배수장, 댐, 호수 등의 수처리 장소에 설치되어, 수데이터를 수집할 수 있다. 수데이터는, 수데이터 수집 디바이스(130_1, 130_2, ..., 130_n)에 포함된 데이터 센싱부(미도시)에 의해 수집된 유량 데이터, 미생물 데이터, 화학물질 데이터 등과 같은 물환경데이터를 포함할 수 있으나, 이에 한정되지 않는다.
수처리 서비스(140_1, 140_2, ..., 140_n)는, 수데이터 수집 디바이스(130_1, 130_2, ..., 130_n)와 연관된 다양한 서비스를 제공하는 하나 이상의 컴퓨팅 장치를 포함하는 서버 장치일 수 있다. 예를 들어, 수처리 서비스(140_1, 140_2, ..., 140_n)는, 실시간 수질정보 시스템, 물환경 정보 시스템, 수질자동측정망, 농업용 저수지 수질정보시스템 등에 의해 제공되는 다양한 서비스를 IoT 플랫폼(110)을 통해 사용자 단말(미도시)에게 제공할 수 있다.
또한, 수처리 서비스(140_1, 140_2, ..., 140_n)는 데이터 송수신, 서비스 인증 처리, 키 생성 및 송수신 등의 관리, 암호화 처리 및 수데이터 분석 등을 수행할 수 있으나, 이에 한정되지 않는다.
일 실시예에서, 수처리 서비스(140_1, 140_2, ..., 140_n)는 수신한 수데이터 등의 빅데이터를 기초로 인공신경망과 같은 인공지능 기술을 통해 분석 데이터를 추출할 수도 있으며, 이를 IoT 플랫폼(110)을 통해 사용자 단말(미도시)에게 제공할 수 있다.
도 2는, 본 개시의 일 실시예에 따른 통합접근제어 시스템(120)의 내부 구성을 나타내는 블록도이다. 통합접근제어 시스템(120)은 데이터 송수신부(210), 인증코드 생성부(220), 인증코드 관리부(230), 키 관리부(240), 접근제어 처리부(250) 및 암호처리부(260)를 포함할 수 있다.
데이터 송수신부(210)는 통합접근제어 시스템(120)이 송수신하는 인증코드, 키, 수처리 데이터 등을 포함한 다양한 데이터들을 송수신할 수 있으나, 이에 제한되지 않는다.
일 실시예에서, 데이터 송수신부(210)는 하나 이상의 수데이터 수집 디바이스(130_1, 130_2, ..., 130_n), 수처리 서비스(140_1, 140_2, ..., 140_n) 및 IoT 플랫폼(110)과 연결되어 데이터 및 인증코드를 송수신할 수 있다.
인증코드 생성부(220)는 수데이터 수집 디바이스(130_1, 130_2, ..., 130_n) 및 수처리 서비스(140_1, 140_2, ..., 140_n)들의 공개키와 식별자를 포함하는 정보(예를 들어, 신규 서비스 등록 요청)를 수신하여 해당 정보에 대한 검증이 정상적으로 완료되면 인증코드를 발급할 수 있다. 인증코드는 예를 들어, 종래의 공인 인증 기관의 인증서, 공인인증서와 같은 일종의 전자서명을 의미할 수 있으나, 이에 제한되지 않는다.
일 실시예에서, 인증코드 생성부(220)는, 인증코드 생성 요청을 기초로 인증코드를 생성할 수 있다. 인증코드 생성부(220)는, 데이터 송수신부(210)에 의해 수데이터 수집 디바이스(130_1, 130_2, ..., 130_n) 및 수처리 서비스(140_1, 140_2, ..., 140_n)로부터 수신한 인증코드 생성 요청에 포함된 공개키, 식별자 등을 포함하는 정보에 대한 검증을 진행할 수 있다. 예를 들어, IoT 플랫폼(110)이 제공하는 수처리 서비스에 관한 정보(예를 들어, 수처리 서비스 식별자)는 IoT 플랫폼(110)에 사전 등록될 수 있다. 따라서, 인증코드 생성부(220)는, IoT 플랫폼(110)으로부터 사전 등록된 수처리 서비스 식별자를 포함하는 서비스 정보를 제공받을 수 있다. 인증코드 생성부(220)는 IoT 플랫폼(110)으로부터 수신한 수처리 서비스 식별자와 데이터 송수신부(210)로부터 수신한 인증코드 생성 요청에 포함된 수처리 서비스 식별자를 비교함으로써, 해당 수처리 서비스의 유효성을 검증할 수 있다.
이와 함께, 인증코드 생성부(220)는 수처리 서비스 식별자의 검증을 통해 인증코드 생성 요청에 포함된 공개키에 대한 검증도 진행할 수 있다.
인증코드 생성 요청이 암호화된 상태이면, 인증코드 생성부(220)는, 암호화된 인증코드 생성 요청을 복호화할 수 있다. 이 경우, 인증코드 생성부(220)는 복호화된 인증코드 생성 요청 신호에 포함된 메시지 타입을 통해 해당 신호가 인증코드 생성 요청 신호임을 인식할 수 있다.
인증코드 생성부(220)는 공개키와 수처리 서비스 식별자에 대한 검증이 정상으로 판단되면, 인증코드를 생성할 수 있다. 인증코드 생성부(220)는, 인증코드 생성 요청 신호의 일부 정보가 포함된 인증코드를 생성할 수 있다. 일 실시예에서, 인증코드는, 수처리 서비스 식별자(ID), 수데이터 수집 디바이스 ID, UID(Unique ID), 난수, 트랜잭션 ID, 유효 시간, 유효 횟수, 접근 제어 정책, 암호화 알고리즘 중 적어도 하나를 포함할 수 있다. 여기서, 트랜잭션 ID는, 인증코드 생성부(220)가 인증코드 생성 요청 신호를 수신한 순서에 따라 생성되는 ID이다. 유효 시간은 인증코드의 유효 기간이며, 유효 횟수는, 인증코드가 저장된 인증서가 저장된 IoT 플랫폼(110) 또는 통합접근제어 시스템(120)이 하나 이상의 수처리 서비스(140_1, 140_2, ..., 140_n)를 제공하기 위해 수데이터 수집 디바이스(130_1, 130_2, ..., 130_n)와 통신할 수 있는 횟수를 나타낸다. 접근 제어 정책은, 수처리 서비스(140_1, 140_2, ..., 140_n)가 IoT 플랫폼(110) 또는 통합접근제어 시스템(120)을 통해 접근 가능한 수데이터 수집 디바이스(130_1, 130_2, ..., 130_n)를 나타낼 수 있으나, 이에 제한되지 않는다. 암호화 알고리즘은, 인증코드 생성부(220)가 생성한 인증코드를 암호처리부(260)에서 암호화할 때 사용하는 암호화 알고리즘을 나타낼 수 있다.
인증코드 관리부(230)는 인증코드 생성부(220)로부터 생성된 인증코드를 검증 및 관리하는 기능을 수행할 수 있으나, 이에 제한되지 않는다.
또한, 인증코드 관리부(230)는 인증코드 생성부(220)로부터 생성된 인증코드를 저장할 수 있으며, 별도의 인증코드 테이블을 포함할 수 있다. 일 실시예에서, 인증코드 관리부(230)는, 하나 이상의 수데이터 수집 디바이스(130_1, 130_2, ..., 130_n), 수처리 서비스(140_1, 140_2, ..., 140_n) 및 IoT 플랫폼(110)의 식별자 및 정보를 저장하는 상호 매칭 테이블을 포함할 수 있다.
키 관리부(240)는 통합접근제어 시스템(120)의 개인키 및 공개키 쌍을 생성할 수 있고, 통합접근제어 시스템(120)의 공개키를 송수신 할 수 있다. 또한, 수데이터 수집 디바이스(130_1, 130_2, ..., 130_n) 및 수처리 서비스(140_1, 140_2, ..., 140_n)와 같이 수처리 산업제어시스템을 이용하는 모든 구성요소들의 공개키를 수신해 저장 및 관리하는 기능을 수행할 수 있다.
접근제어 처리부(250)는 인증코드 및 키를 이용하여, 수데이터 수집 디바이스(130_1, 130_2, ..., 130_n) 및 수처리 서비스(140_1, 140_2, ..., 140_n)와 같이 수처리 산업제어시스템을 이용하는 모든 구성요소의 상호 인증과 악의적인 접근을 제어하는 기능을 수행할 수 있다.
암호처리부(260)는 데이터 송수신부(210)가 송수신하는 다양한 데이터들을 암호화 및 복호화 할 수 있다. 또한, 암호처리부(260)는 개인키 및/또는 암호화 알고리즘을 이용해 데이터를 암호화할 수 있으며, 수처리 산업제어시스템을 이용하는 구성요소로부터 수신한 공개키를 이용해, 그 구성요소로부터 수신한 암호화된 데이터를 복호화 할 수 있다. 예를 들어, 암호처리부(260)는 수처리 서비스(140_1, 140_2, ..., 140_n)로부터 수신한 공개키 및/또는 암호화 알고리즘을 이용해, 수처리 서비스(140_1, 140_2, ..., 140_n)가 개인키를 이용해 암호화한 데이터를 복호화 할 수 있다.
도 3은, 본 개시의 일 실시예에 따른 수데이터 수집 디바이스 또는 수처리 서비스(300)의 내부 구성을 나타내는 블록도이다. 수데이터 수집 디바이스 또는 수처리 서비스(300)는, 데이터 송수신부(310), 인증 처리부(320), 키 관리부(330), 암호화 처리부(340) 및 데이터 센싱부(350)를 포함할 수 있다. 도 3에서는, 수데이터 수집 디바이스 또는 수처리 서비스가 동일한 구성요소들을 포함하는 것으로 도시되었으나, 이에 한정되지 않는다. 예를 들어, 수데이터 수집 디바이스 및 수처리 서비스는 도 3에 도시된 구성요소들 중 일부만을 포함하거나, 그 구성요소들에 더하여 다른 구성요소들을 더 포함할 수도 있다.
데이터 송수신부(310)는, 수데이터 수집 디바이스 또는 수처리 서비스(300)가 송수신하는 인증코드, 키, 수처리 데이터 등을 포함한 다양한 데이터들을 송수신할 수 있다.
인증 처리부(320)는, 통합접근제어 시스템(120)의 인증코드 생성부(220)가 발급한 인증코드를 수신하여 저장하고, 이 인증코드를 이용하여 인증 처리를 수행할 수 있다.
키 관리부(330)는, 수데이터 수집 디바이스 또는 수처리 서비스(300)의 개인키 및 공개키 쌍을 생성할 수 있고, 수데이터 수집 디바이스 또는 수처리 서비스(300)의 공개키를 송수신 할 수 있다. 또한, 다른 수데이터 수집 디바이스(130_1, 130_2, ..., 130_n) 및 수처리 서비스(140_1, 140_2, ..., 140_n)들의 공개키를 수신해 저장 및 관리하는 기능을 수행할 수 있으나, 이에 한정되지 않는다.
암호화 처리부(340)는 데이터 송수신부(310)가 송수신하는 다양한 데이터들을 암호화 및 복호화 할 수 있다. 또한, 암호화 처리부(340)는 개인키를 이용해 데이터를 암호화할 수 있으며, 수처리 산업제어시스템을 이용하는 다른 구성요소로부터 수신한 공개키를 이용해, 그 구성요소로부터 수신한 암호화된 데이터를 복호화 할 수 있다.
데이터 센싱부(350)는, 유량 데이터, 미생물 데이터, 화학물질 데이터 등과 같은 물환경데이터를 수집 및 저장할 수 있으나, 데이터 센싱부(350)에 의해 수집되는 데이터는 이에 한정되지 않는다. 또한, 데이터 센싱부(350)는, 수처리 산업제어시스템에서 이용할 수 있도록 수집 및 저장한 데이터를 가공하여 저장할 수도 있다.
도 4는, 본 개시의 일 실시예에 따른 통합접근제어 시스템(120)에 신규 서비스를 등록하는 방법(400)을 설명하기 위한 흐름도이다.
도시된 바와 같이, 통합접근제어 시스템(120)에 신규 서비스를 등록하는 방법(400)은, 수처리 서비스(140)가 통합접근제어 시스템(120)에게 신규 서비스 등록 요청을 송신하는 단계(S410)로 개시될 수 있다.
단계(S420)에서, 통합접근제어 시스템(120)은 수신한 신규 서비스 등록 요청이 신규 서비스에 관한 것인지를 검증할 수 있다. 신규 서비스가 아닐 경우, 다시 단계(S410)으로 돌아가, 통합접근제어 시스템(120)은 수처리 서비스(140)에게 신규 서비스 등록 요청을 송신하거나, 또 다른 신규 서비스 등록 요청의 수신을 대기할 수 있다. 신규 서비스가 맞을 경우, 단계(S430)으로 진행할 수 있다.
단계(S430)에서, 수처리 서비스(140)는 통합접근제어 시스템(120)에게 신규 서비스 정보를 입력(또는 송신)할 수 있다. 일 실시예에서, 신규 서비스 정보는 서비스 식별자 및 서비스 공개키를 포함할 수 있으며, 이에 제한되지 않는다.
단계(S440)에서, 통합접근제어 시스템(120)은 수신한 신규 서비스 정보가 포함하고 있는 서비스 공개키 입력이 완료되었는지 확인할 수 있다. 서비스 공개키의 입력이 완료되지 않았을 경우, 다시 단계(S430)으로 돌아가, 통합접근제어 시스템(120)은 수처리 서비스(140)에게 서비스 공개키 입력 요청을 송신하거나 서비스 공개키의 수신을 대기할 수 있다. 서비스 공개키의 입력이 완료되었을 경우, 단계(S450)으로 진행할 수 있다.
단계(S450)에서, 통합접근제어 시스템(120)은 수처리 인증코드를 생성할 수 있다.
일 실시예에서, 도 2를 참조하면, 통합접근제어 시스템(120)의 인증코드 생성부(220)는, 인증코드 생성 요청을 기초로 인증코드를 생성할 수 있다. 인증코드 생성부(220)는, 데이터 송수신부(210)에 의해 수처리 서비스(140_1, 140_2, ..., 140_n)로부터 수신한 인증코드 생성 요청에 포함된 공개키, 식별자 등을 포함하는 정보에 대한 검증을 진행할 수 있다. 예를 들어, IoT 플랫폼(110)이 제공하는 수처리 서비스에 관한 정보(예를 들어, 수처리 서비스 식별자)는 IoT 플랫폼(110)에 사전 등록될 수 있다. 따라서, 인증코드 생성부(220)는, IoT 플랫폼(110)으로부터 사전 등록된 수처리 서비스 식별자를 포함하는 서비스 정보를 제공받을 수 있다. 인증코드 생성부(220)는 IoT 플랫폼(110)으로부터 수신한 수처리 서비스 식별자와 데이터 송수신부(210)로부터 수신한 인증코드 생성 요청에 포함된 수처리 서비스 식별자를 비교함으로써, 해당 수처리 서비스의 유효성을 검증할 수 있다. 이와 함께, 인증코드 생성부(220)는 수처리 서비스 식별자의 검증을 통해 인증코드 생성 요청에 포함된 공개키에 대한 검증도 진행할 수 있다.
일 실시예에서, 인증코드 생성 요청이 암호화된 상태이면, 인증코드 생성부(220)는, 암호화된 인증코드 생성 요청을 복호화할 수 있다. 이 경우, 인증코드 생성부(220)는 복호화된 인증코드 생성 요청 신호에 포함된 메시지 타입을 통해 해당 신호가 인증코드 생성 요청 신호임을 인식할 수 있다.
인증코드 생성부(220)는 공개키와 수처리 서비스 식별자에 대한 검증이 정상으로 판단되면, 인증코드를 생성할 수 있다. 인증코드 생성부(220)는, 인증코드 생성 요청 신호의 일부 정보가 포함된 인증코드를 생성할 수 있다. 일 실시예에서, 인증코드는, 수처리 서비스 식별자(ID), 수데이터 수집 디바이스 ID, UID(Unique ID), 난수, 트랜잭션 ID, 유효 시간, 유효 횟수, 접근 제어 정책, 암호화 알고리즘 중 적어도 하나를 포함할 수 있다. 여기서, 트랜잭션 ID는, 인증코드 생성부(220)가 인증코드 생성 요청 신호를 수신한 순서에 따라 생성되는 ID이다. 유효 시간은 인증코드의 유효 기간이며, 유효 횟수는, 인증코드가 저장된 인증서가 저장된 IoT 플랫폼(110) 또는 통합접근제어 시스템(120)이 하나 이상의 수처리 서비스(140_1, 140_2, ..., 140_n)를 제공하기 위해 수데이터 수집 디바이스(130_1, 130_2, ..., 130_n)와 통신할 수 있는 횟수를 나타낸다. 접근 제어 정책은, 수처리 서비스(140_1, 140_2, ..., 140_n)가 IoT 플랫폼(110) 또는 통합접근제어 시스템(120)을 통해 접근 가능한 수데이터 수집 디바이스(130_1, 130_2, ..., 130_n)를 나타낼 수 있으나, 이에 제한되지 않는다. 암호화 알고리즘은, 인증코드 생성부(220)가 생성한 인증코드를 암호처리부(260)에서 암호화할 때 사용하는 암호화 알고리즘을 나타낼 수 있다.
단계(S460)에서, 통합접근제어 시스템(120)은 수처리 인증코드를 테이블에 기록할 수 있다.
일 실시예에서, 도 2를 참조하면, 통합접근제어 시스템(120)의 인증코드 관리부(230)는 인증코드 생성부(220)로부터 생성된 인증코드를 저장할 수 있으며, 별도의 인증코드 테이블을 포함할 수 있다. 예를 들어, 인증코드 관리부(230)는, 하나 이상의 수데이터 수집 디바이스(130_1, 130_2, ..., 130_n), 수처리 서비스(140_1, 140_2, ..., 140_n) 및 IoT 플랫폼(110)의 식별자 및 정보를 저장하는 상호 매칭 테이블을 포함할 수 있다.
단계(S470)에서, 통합접근제어 시스템(120)은 인증코드를 발급하고, 단계(S480)에서, 통합접근제어 시스템(120)은 발급한 인증코드를 수처리 서비스(140)에게 전송할 수 있다.
도 5는, 본 개시의 일 실시예에 따른 통합접근제어 시스템(120)에 신규 디바이스를 등록하는 방법(500)을 설명하기 위한 흐름도이다.
도시된 바와 같이, 통합접근제어 시스템(120)에 신규 디바이스를 등록하는 방법(500)은 수데이터 수집 디바이스(130)가 통합접근제어 시스템(120)에게 신규 디바이스 등록 요청을 송신하는 단계(S510)로 개시될 수 있다.
단계(S520)에서, 통합접근제어 시스템(120)은 수신한 신규 디바이스 등록 요청이 신규 디바이스에 관한 것인지를 검증할 수 있다. 신규 디바이스가 아닐 경우, 다시 단계(S510)으로 돌아가, 통합접근제어 시스템(120)은 수데이터 수집 디바이스(130)에게 신규 디바이스 등록 요청을 송신하거나, 또 다른 신규 디바이스 등록 요청의 수신을 대기할 수 있다. 신규 디바이스가 맞을 경우, 단계(S530)으로 진행할 수 있다.
단계(S530)에서, 수데이터 수집 디바이스(130)는 통합접근제어 시스템(120)에게 신규 디바이스 정보를 입력(또는 송신)할 수 있다. 신규 디바이스 정보는 디바이스 식별자, 디바이스 공개키 및 대상 서비스 식별자를 포함할 수 있으며 이에 제한되지 않는다.
단계(S540)에서, 통합접근제어 시스템(120)은 수신한 신규 디바이스 정보에 포함된 대상 서비스 식별자에 대응하는 통합접근제어 시스템(120)에 연결된 수처리 서비스(140)가 존재하는지 검증할 수 있다. 대상 서비스 식별자에 대응하는 수처리 서비스(140)가 존재하지 않을 경우, 다시 단계(S530)으로 돌아가, 통합접근제어 시스템(120)은 수데이터 수집 디바이스(130)에게 신규 디바이스 정보 입력 요청을 송신하거나, 디바이스와 서비스가 매칭되는 또 다른 신규 디바이스 정보의 수신을 대기할 수 있다. 대상 서비스 식별자에 대응하는 수처리 서비스(140)가 존재할 경우, 단계(S550)으로 진행할 수 있다.
단계(S550)에서, 통합접근제어 시스템(120)은 수신한 신규 디바이스 정보가 포함하고 있는 디바이스 공개키 입력이 완료되었는지 확인할 수 있다. 디바이스 공개키의 입력이 완료되지 않았을 경우, 다시 단계(S530)으로 돌아가, 통합접근제어 시스템(120)은 수데이터 수집 디바이스(130)에게 디바이스 공개키 입력 요청을 송신하거나 디바이스 공개키의 수신을 대기할 수 있다. 디바이스 공개키의 입력이 완료되었을 경우, 단계(S560)으로 진행할 수 있다.
단계(S560)에서, 통합접근제어 시스템(120)은 수처리 인증코드를 생성할 수 있다.
일 실시예에서, 도 2를 참조하면, 통합접근제어 시스템(120)의 인증코드 생성부(220)는, 인증코드 생성 요청을 기초로 인증코드를 생성할 수 있다. 인증코드 생성부(220)는, 데이터 송수신부(210)에 의해 수데이터 수집 디바이스(130_1, 130_2, ..., 130_n)로부터 수신한 인증코드 생성 요청에 포함된 공개키, 식별자 등을 포함하는 정보에 대한 검증을 진행할 수 있다. 예를 들어, IoT 플랫폼(110)이 제공하는 수처리 서비스에 관한 정보(예를 들어, 수처리 서비스 식별자)는 IoT 플랫폼(110)에 사전 등록될 수 있다. 따라서, 인증코드 생성부(220)는, IoT 플랫폼(110)으로부터 사전 등록된 수처리 서비스 식별자를 포함하는 서비스 정보를 제공받을 수 있다. 인증코드 생성부(220)는 IoT 플랫폼(110)으로부터 수신한 수처리 서비스 식별자와 데이터 송수신부(210)로부터 수신한 인증코드 생성 요청에 포함된 수처리 서비스 식별자를 비교함으로써, 해당 수처리 서비스의 유효성을 검증할 수 있다. 이와 함께, 인증코드 생성부(220)는 수처리 서비스 식별자의 검증을 통해 인증코드 생성 요청에 포함된 공개키에 대한 검증도 진행할 수 있다.
일 실시예에서, 인증코드 생성 요청이 암호화된 상태이면, 인증코드 생성부(220)는, 암호화된 인증코드 생성 요청을 복호화할 수 있다. 이 경우, 인증코드 생성부(220)는 복호화된 인증코드 생성 요청 신호에 포함된 메시지 타입을 통해 해당 신호가 인증코드 생성 요청 신호임을 인식할 수 있다.
인증코드 생성부(220)는 공개키와 수처리 서비스 식별자에 대한 검증이 정상으로 판단되면, 인증코드를 생성할 수 있다. 인증코드 생성부(220)는, 인증코드 생성 요청 신호의 일부 정보가 포함된 인증코드를 생성할 수 있다. 일 실시예에서, 인증코드는, 수처리 서비스 식별자(ID), 수데이터 수집 디바이스 ID, UID(Unique ID), 난수, 트랜잭션 ID, 유효 시간, 유효 횟수, 접근 제어 정책, 암호화 알고리즘 중 적어도 하나를 포함할 수 있다. 여기서, 트랜잭션 ID는, 인증코드 생성부(220)가 인증코드 생성 요청 신호를 수신한 순서에 따라 생성되는 ID이다. 유효 시간은 인증코드의 유효 기간이며, 유효 횟수는, 인증코드가 저장된 인증서가 저장된 IoT 플랫폼(110) 또는 통합접근제어 시스템(120)이 하나 이상의 수처리 서비스(140_1, 140_2, ..., 140_n)를 제공하기 위해 수데이터 수집 디바이스(130_1, 130_2, ..., 130_n)와 통신할 수 있는 횟수를 나타낸다. 접근 제어 정책은, 수처리 서비스(140_1, 140_2, ..., 140_n)가 IoT 플랫폼(110) 또는 통합접근제어 시스템(120)을 통해 접근 가능한 수데이터 수집 디바이스(130_1, 130_2, ..., 130_n)를 나타낼 수 있으나, 이에 제한되지 않는다. 암호화 알고리즘은, 인증코드 생성부(220)가 생성한 인증코드를 암호처리부(260)에서 암호화할 때 사용하는 암호화 알고리즘을 나타낼 수 있다.
단계(S570)에서, 통합접근제어 시스템(120)은 수처리 인증코드를 테이블에 기록할 수 있다.
일 실시예에서, 도 2를 참조하면, 통합접근제어 시스템(120)의 인증코드 관리부(230)는 인증코드 생성부(220)로부터 생성된 인증코드를 저장할 수 있으며, 별도의 인증코드 테이블을 포함할 수 있다. 예를 들어, 인증코드 관리부(230)는, 하나 이상의 수데이터 수집 디바이스(130_1, 130_2, ..., 130_n), 수처리 서비스(140_1, 140_2, ..., 140_n) 및 IoT 플랫폼(110)의 식별자 및 정보를 저장하는 상호 매칭 테이블을 포함할 수 있다.
단계(S580)에서, 통합접근제어 시스템(120)은 인증코드를 발급하고, 단계(S590)에서, 통합접근제어 시스템(120)은 발급한 인증코드를 수데이터 수집 디바이스(130)에게 전송할 수 있다.
도 6은, 본 개시의 일 실시예에 따른 신규 서비스 및 신규 디바이스 등록 후 접근제어의 예시를 나타내는 도면이다. 도 6에서는 수데이터 수집 디바이스(130)와 수처리 서비스(140)가 직접 연결된 것으로 도시되어 있지만, 도 1에 도시되고 전술한 바와 같이, 수집 디바이스(130)와 수처리 서비스(140)는 IoT 플랫폼(110) 또는 통합접근제어 시스템(120) 등을 통해 연결될 수 있다.
수데이터 수집 디바이스(130)는 IoT 플랫폼(110) 또는 통합접근제어 시스템(120)을 통해 수처리 서비스(140)에게 인증코드 및 데이터를 전송할 수 있다(S610).
수처리 서비스(140)는 수데이터 수집 디바이스(130)로부터 수신한 인증코드를 검증할 수 있다(S620).
수처리 서비스(140)에서 인증코드 검증 성공 시 데이터를 복호화 할 수 있다(S630).
수처리 서비스(140)에서 인증코드 검증 실패 시 데이터를 폐기할 수 있다(S640).
수처리 서비스(140)는 IoT 플랫폼(110) 또는 통합접근제어 시스템(120)을 통해 수데이터 수집 디바이스(130)에게 인증코드 및 데이터를 전송할 수 있다(S650).
수데이터 수집 디바이스(130)에서 수처리 서비스(140)로부터 수신한 인증코드를 검증할 수 있다(S660).
수데이터 수집 디바이스(130)에서 인증코드 검증 성공 시 데이터를 복호화 할 수 있다(S670).
수데이터 수집 디바이스(130)에서 인증코드 검증 실패 시 데이터를 폐기할 수 있다(S680).
이상 설명된 다양한 실시예에 따른 시스템은, 데스크탑 컴퓨터, 랩탑 컴퓨터, 무선 전화기, 셀룰러 전화기, 무선 멀티미디어 디바이스, PDA, 컴퓨터의 외부에 설치된 모뎀이나 내부에 설치된 모뎀, 무선 채널을 통해 통신하는 디바이스 등과 같은 다양한 타입들의 디바이스들을 나타낼 수도 있다. 이와 같은 디바이스는, 액세스 단말기 (access terminal; AT), 액세스 유닛, 가입자 유닛, 이동국, 모바일 디바이스, 모바일 유닛, 모바일 전화기, 모바일, 원격국, 원격 단말, 원격 유닛, 유저 디바이스, 유저 장비 (user equipment), 핸드헬드 디바이스 등과 같은 다양한 이름들을 가질 수도 있다. 본원에 설명된 임의의 디바이스는, 이상 설명한 인터넷 상에서 불법 콘텐츠의 배포를 방지하는 방법의 실행에 필요한 명령들 및 데이터를 저장하기 위한 메모리, 뿐만 아니라 하드웨어, 소프트웨어, 펌웨어, 또는 이들의 조합들을 가질 수도 있다.
본원에 기술된 기법들은 다양한 수단에 의해 구현될 수도 있다. 예를 들어, 이러한 기법들은 하드웨어, 펌웨어, 소프트웨어, 또는 이들의 조합으로 구현될 수도 있다. 본원의 개시와 연계하여 설명된 다양한 예시 적인 논리적 블록들, 모듈들, 회로들, 및 알고리즘 단계들은 전자 하드웨어, 컴퓨터 소프트웨어, 또는 양자의 조합들로 구현될 수도 있음을 당업자들은 더 이해할 것이다. 하드웨어 및 소프트웨어의 이러한 상호교환성을 명확하게 설명하기 위해, 다양한 예시 적인 컴포넌트들, 블록들, 모듈들, 회로들, 및 단계들이 그들의 기능성의 관점에서 일반적으로 위에서 설명되었다. 그러한 기능이 하드웨어로서 구현되는지 또는 소프트웨어로서 구현되는 지의 여부는, 특정 애플리케이션 및 전체 시스템에 부과되는 설계 제약들에 따라 달라진다. 당업자들은 각각의 특정 애플리케이션을 위해 다양한 방식들로 설명된 기능을 구현할 수도 있으나, 그러한 구현 결정들은 본 개시의 범위로부터 벗어나게 하는 것으로 해석되어서는 안된다.
하드웨어 구현에서, 기법들을 수행하는 데 이용되는 프로세싱 유닛들은, 하나 이상의 ASIC들, DSP들, 디지털 신호 프로세싱 디바이스들 (digital signal processing devices; DSPD들), 프로그램가능 논리 디바이스들 (programmable logic devices; PLD들), 필드 프로그램가능 게이트 어레이들 (field programmable gate arrays; FPGA들), 프로세서들, 제어기들, 마이크로제어기들, 마이크로프로세서들, 전자 디바이스들, 본원에 설명된 기능들을 수행하도록 설계된 다른 전자 유닛들, 컴퓨터, 또는 이들의 조합 내에서 구현될 수도 있다.
따라서, 본원의 개시와 연계하여 설명된 다양한 예시 적인 논리 블록들, 모듈들, 및 회로들은 범용 프로세서, DSP, ASIC, FPGA나 다른 프로그램 가능 논리 디바이스, 이산 게이트나 트랜지스터 로직, 이산 하드웨어 컴포넌트들, 또는 본원에 설명된 기능들을 수행하도록 설계된 것들의 임의의 조합으로 구현되거나 수행될 수도 있다. 범용 프로세서는 마이크로프로세서일 수도 있지만, 대안에서, 프로세서는 임의의 종래의 프로세서, 제어기, 마이크로제어기, 또는 상태 머신일 수도 있다. 프로세서는 또한 컴퓨팅 디바이스들의 조합, 예를 들면, DSP와 마이크로프로세서, 복수의 마이크로프로세서들, DSP 코어와 연계한 하나 이상의 마이크로프로세서들, 또는 임의의 다른 그러한 구성의 조합으로써 구현될 수도 있다.
펌웨어 및/또는 소프트웨어 구현에 있어서, 기법들은 랜덤 액세스 메모리 (random access memory; RAM), 판독 전용 메모리 (read-only memory; ROM), 불휘발성 RAM (non-volatile random access memory; NVRAM), PROM (programmable read-only memory), EPROM (erasable programmable read-only memory), EEPROM (electrically erasable PROM), 플래시 메모리, 컴팩트 디스크 (compact disc; CD), 자기 또는 광학 데이터 스토리지 디바이스 등과 같은 컴퓨터 판독가능 매체 상에 저장된 명령들로써 구현될 수도 있다. 명령들은 하나 이상의 프로세서들에 의해 실행 가능할 수도 있고, 프로세서(들)로 하여금 본원에 설명된 기능의 특정 양태들을 수행하게 할 수도 있다.
소프트웨어로 구현되면, 상기 기능들은 하나 이상의 명령들 또는 코드로서 컴퓨터 판독 가능한 매체 상에 저장되거나 또는 컴퓨터 판독 가능한 매체를 통해 전송될 수도 있다. 컴퓨터 판독가능 매체들은 한 장소에서 다른 장소로 컴퓨터 프로그램의 전송을 용이하게 하는 임의의 매체를 포함하여 컴퓨터 저장 매체들 및 통신 매체들 양자를 포함한다. 저장 매체들은 컴퓨터에 의해 액세스될 수 있는 임의의 이용 가능한 매체들일 수도 있다. 비제한적인 예로서, 이러한 컴퓨터 판독가능 매체는 RAM, ROM, EEPROM, CD-ROM 또는 다른 광학 디스크 스토리지, 자기 디스크 스토리지 또는 다른 자기 스토리지 디바이스들, 또는 소망의 프로그램 코드를 명령들 또는 데이터 구조들의 형태로 이송 또는 저장하기 위해 사용될 수 있으며 컴퓨터에 의해 액세스될 수 있는 임의의 다른 매체를 포함할 수 있다. 또한, 임의의 접속이 컴퓨터 판독가능 매체로 적절히 칭해진다.
예를 들어, 소프트웨어가 동축 케이블, 광섬유 케이블, 연선, 디지털 가입자 회선 (DSL), 또는 적외선, 무선, 및 마이크로파와 같은 무선 기술들을 사용하여 웹사이트, 서버, 또는 다른 원격 소스로부터 전송되면, 동축 케이블, 광섬유 케이블, 연선, 디지털 가입자 회선, 또는 적외선, 무선, 및 마이크로파와 같은 무선 기술들은 매체의 정의 내에 포함된다. 본원에서 사용된 디스크 (disk)와 디스크 (disc)는, CD, 레이저 디스크, 광 디스크, DVD (digital versatile disc), 플로피디스크, 및 블루레이 디스크를 포함하며, 여기서 디스크들 (disks) 은 보통 자기적으로 데이터를 재생하고, 반면 디스크들 (discs) 은 레이저를 이용하여 광학적으로 데이터를 재생한다. 위의 조합들도 컴퓨터 판독가능 매체들의 범위 내에 포함되어야 한다.
소프트웨어 모듈은 RAM 메모리, 플래시 메모리, ROM 메모리, EPROM 메모리, EEPROM 메모리, 레지스터들, 하드 디스크, 이동식 디스크, CD-ROM, 또는 공지된 임의의 다른 형태의 저장 매체 내에 상주할 수도 있다. 예시 적인 저장 매체는, 프로세가 저장 매체로부터 정보를 판독하거나 저장 매체에 정보를 기록할 수 있도록, 프로세서에 커플링 될 수 있다. 대안으로, 저장 매체는 프로세서에 통합될 수도 있다. 프로세서와 저장 매체는 ASIC 내에 존재할 수도 있다. ASIC은 유저 단말 내에 존재할 수도 있다. 대안으로, 프로세서와 저장 매체는 유저 단말에서 개별 컴포넌트들로써 존재할 수도 있다.
본 개시의 앞선 설명은 당업자들이 본 개시를 행하거나 이용하는 것을 가능하게 하기 위해 제공된다. 본 개시의 다양한 수정예들이 당업자들에게 쉽게 자명할 것이고, 본원에 정의된 일반적인 원리들은 본 개시의 취지 또는 범위를 벗어나지 않으면서 다양한 변형예들에 적용될 수도 있다. 따라서, 본 개시는 본원에 설명된 예들에 제한되도록 의도된 것이 아니고, 본원에 개시된 원리들 및 신규한 특징들과 일관되는 최광의의 범위가 부여되도록 의도된다.
비록 예시 적인 구현예들이 하나 이상의 독립형 컴퓨터 시스템의 맥락에서 현재 개시된 주제의 양태들을 활용하는 것을 언급할 수도 있으나, 본 주제는 그렇게 제한되지 않고, 오히려 네트워크나 분산 컴퓨팅 환경과 같은 임의의 컴퓨팅 환경과 연계하여 구현될 수도 있다. 또 나아가, 현재 개시된 주제의 양상들은 복수의 프로세싱 칩들이나 디바이스들에서 또는 그들에 걸쳐 구현될 수도 있고, 스토리지는 복수의 디바이스들에 걸쳐 유사하게 영향을 받게 될 수도 있다. 이러한 디바이스들은 PC들, 네트워크 서버들, 및 핸드헬드 디바이스들을 포함할 수도 있다.
비록 본 주제가 구조적 특징들 및/또는 방법론적 작용들에 특정한 언어로 설명되었으나, 첨부된 청구항들에서 정의된 주제가 위에서 설명된 특정 특징들 또는 작용들로 반드시 제한되는 것은 아님이 이해될 것이다. 오히려, 위에서 설명된 특정 특징들 및 작용들은 청구항들을 구현하는 예시 적인 형태로서 설명된다.
이 명세서에서 언급된 방법은 특정 실시예들을 통하여 설명되었지만, 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의해 읽힐 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 광데이터 저장장치 등이 있다. 또한, 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다. 그리고, 실시예들을 구현하기 위한 기능적인(functional) 프로그램, 코드 및 코드 세그먼트들은 본 발명이 속하는 기술분야의 프로그래머들에 의해 용이하게 추론될 수 있다.
본 명세서에서는 본 개시가 일부 실시예들과 관련하여 설명되었지만, 본 발명이 속하는 기술분야의 통상의 기술자가 이해할 수 있는 본 개시의 범위를 벗어나지 않는 범위에서 다양한 변형 및 변경이 이루어질 수 있다는 점을 알아야 할 것이다. 또한, 그러한 변형 및 변경은 본 명세서에 첨부된 특허청구의 범위 내에 속하는 것으로 생각되어야 한다.
100: 수처리 산업제어시스템
110: IoT 플랫폼
120: 통합접근제어 시스템
130, 130_1, 130_2, ..., 130_n: 수데이터 수집 디바이스
140, 140_1, 140_2, ..., 140_n: 수처리 서비스
210: 데이터 송수신부
220: 인증코드 생성부
230: 인증코드 관리부
240: 키 관리부
250: 접근제어 처리부
260: 암호처리부

Claims (10)

  1. 수처리 산업제어시스템을 위한 하드웨어 기반의 키 관리 및 통합접근제어 시스템에 있어서,
    하나 이상의 수데이터 수집 디바이스, 하나 이상의 수처리 서비스 및 IoT 플랫폼과 연결되어 데이터 및 인증코드를 송수신하는 데이터 송수신부;
    상기 하나 이상의 수데이터 수집 디바이스, 상기 하나 이상의 수처리 서비스 및 상기 IoT 플랫폼 중 적어도 하나로부터 개별적으로 생성되어 수신된 공개키와 식별자에 기초하여 인증코드를 생성하는 인증코드 생성부;
    상기 인증코드 생성부로부터 생성된 상기 인증코드를 검증 및 관리하는 인증코드 관리부;
    상기 통합접근제어 시스템의 개인키 및 공개키 쌍을 생성하며, 상기 하나 이상의 수데이터 수집 디바이스, 상기 하나 이상의 수처리 서비스 및 상기 IoT 플랫폼 중 적어도 하나의 상기 공개키를 수신해 저장 및 관리하는 키 관리부; 및
    상기 하나 이상의 수데이터 수집 디바이스, 상기 하나 이상의 수처리 서비스 및 상기 IoT 플랫폼 중 적어도 하나로부터 수신된 암호화된 데이터를 복호화하고, 상기 데이터 송수신부를 통해 송신하는 데이터들을 암호화하도록 구성된 암호처리부
    를 포함하고,
    상기 암호처리부는, 상기 하나 이상의 수데이터 수집 디바이스, 상기 하나 이상의 수처리 서비스 및 상기 IoT 플랫폼 중 적어도 하나로부터 수신된 인증코드 생성 요청을 복호화하도록 더 구성된,
    수처리 산업제어시스템.
  2. 삭제
  3. 제1항에 있어서,
    상기 인증코드 관리부는,
    상기 하나 이상의 수데이터 수집 디바이스, 상기 하나 이상의 수처리 서비스 및 상기 IoT 플랫폼 중 적어도 하나의 식별자를 저장하는 상호 매칭 테이블
    을 더 포함하는, 수처리 산업제어시스템.
  4. 제3항에 있어서,
    상기 상호 매칭 테이블, 상기 인증코드, 상기 개인키 및 공개키를 이용하여, 상기 하나 이상의 수데이터 수집 디바이스, 상기 하나 이상의 수처리 시스템 및 상기 IoT 플랫폼 중 적어도 하나의 상호 인증과 비인가된 접근을 제어하는 접근제어 처리부
    를 더 포함하는, 수처리 산업제어시스템.
  5. 제1항에 있어서,
    상기 하나 이상의 수데이터 수집 디바이스 및 상기 하나 이상의 수처리 서비스 각각은,
    상기 통합접근제어 시스템 및 상기 IoT 플랫폼과 연결되어 상기 데이터 및 인증코드를 송수신하는 데이터 송수신부;
    상기 인증코드 생성부에 의해 생성된 상기 인증코드를 수신하여 저장하고, 상기 인증코드를 이용하여 인증 처리를 수행하는 인증 처리부;
    개인키 및 공개키 쌍을 생성하며, 상기 통합접근제어 시스템, 상기 하나 이상의 수데이터 수집 디바이스, 상기 하나 이상의 수처리 서비스 및 상기 IoT 플랫폼 중 적어도 하나의 상기 공개키를 수신해 저장 및 관리하는 키 관리부;
    상기 통합접근제어 시스템, 상기 하나 이상의 수데이터 수집 디바이스, 상기 하나 이상의 수처리 서비스 및 상기 IoT 플랫폼 중 적어도 하나로부터 수신된 암호화된 데이터를 복호화하고, 상기 데이터 송수신부를 통해 송신하는 데이터들을 암호화하도록 구성된 암호화 처리부; 및
    물환경데이터를 수집, 저장 또는 가공하도록 구성된 데이터 센싱부
    를 포함하는, 수처리 산업제어시스템.
  6. 제5항에 있어서,
    상기 IoT 플랫폼은,
    상기 통합접근제어 시스템, 상기 하나 이상의 수데이터 수집 디바이스 및 상기 하나 이상의 수처리 서비스와 연결되어 상기 데이터 및 인증코드를 송수신하고, 상기 인증코드를 저장 및 인증 처리하고, 상기 IoT 플랫폼의 개인키 및 공개키 쌍을 생성하며,
    상기 통합접근제어 시스템, 상기 하나 이상의 수데이터 수집 디바이스 및 상기 하나 이상의 수처리 서비스 중 적어도 하나의 상기 공개키를 수신하여 저장 및 관리하고, 상기 통합접근제어 시스템, 상기 하나 이상의 수데이터 수집 디바이스 및 상기 하나 이상의 수처리 서비스 중 적어도 하나로부터 수신된 암호화된 데이터를 복호화하고, 상기 데이터 송수신부를 통해 송신하는 데이터들을 암호화하도록 더 구성된
    수처리 산업제어시스템.
  7. 수처리 산업제어시스템을 위한 하드웨어 기반의 키 관리 및 통합접근제어 방법에 있어서,
    통합접근제어 시스템이 IoT 플랫폼, 하나 이상의 수데이터 수집 디바이스 및 하나 이상의 수처리 서비스 중 적어도 하나로부터 공개키와 식별자를 수신하는 단계;
    상기 수신한 공개키 및 식별자를 검증하고, 인증코드를 생성하는 단계;
    상호 매칭 테이블에 상기 인증코드를 기록하는 단계;
    상기 인증코드를 발급하여 상기 IoT 플랫폼, 상기 하나 이상의 수데이터 수집 디바이스 및 상기 하나 이상의 수처리 서비스 중 적어도 하나에게 전송하는 단계;
    상기 인증코드를 이용해, 상기 IoT 플랫폼, 상기 하나 이상의 수데이터 수집 디바이스 및 상기 하나 이상의 수처리 서비스 중 적어도 하나의 접근을 제어하는 단계를 포함하고,
    상기 통합접근제어 시스템이 상기 IoT 플랫폼, 상기 하나 이상의 수데이터 수집 디바이스 및 상기 하나 이상의 수처리 서비스 중 적어도 하나로부터 공개키 및 식별자를 수신하는 단계는,
    상기 수처리 서비스가 신규 서비스인지 검증하는 단계;
    상기 수처리 서비스의 정보를 입력 받는 단계; 및
    상기 수처리 서비스의 키 입력이 완료되었는지 검증하는 단계
    를 포함하는, 통합접근제어 방법.
  8. 삭제
  9. 제7항에 있어서,
    상기 통합접근제어 시스템이 상기 IoT 플랫폼, 상기 하나 이상의 수데이터 수집 디바이스 및 상기 하나 이상의 수처리 서비스 중 적어도 하나로부터 공개키 및 식별자를 수신하는 단계는,
    상기 수데이터 수집 디바이스가 신규 디바이스인지 검증하는 단계;
    상기 수데이터 수집 디바이스의 정보를 입력 받는 단계;
    상기 수데이터 수집 디바이스가 상기 통합접근제어 시스템에 등록된 상기 수처리 서비스와 매칭되는지 확인하는 단계; 및
    상기 수데이터 수집 디바이스의 키 입력이 완료되었는지 검증하는 단계
    를 포함하는, 통합접근제어 방법.
  10. 제7항에 있어서,
    상기 인증코드를 이용해, 상기 IoT 플랫폼, 상기 하나 이상의 수데이터 수집 디바이스 및 상기 하나 이상의 수처리 서비스의 접근을 제어하는 단계는,
    상기 하나 이상의 수데이터 수집 디바이스 중 하나가 상기 하나 이상의 수처리 서비스 중 하나에 상기 인증코드 및 데이터를 전송하는 단계;
    상기 하나 이상의 수처리 서비스 중 하나가 수신한 상기 인증코드를 검증하는 단계;
    상기 하나 이상의 수처리 서비스 중 하나가 상기 인증코드의 검증 성공 시 데이터를 복호화하는 단계;
    상기 하나 이상의 수처리 서비스 중 하나가 상기 인증코드의 검증 실패 시 데이터를 삭제하는 단계;
    상기 하나 이상의 수처리 서비스 중 하나가 상기 하나 이상의 수데이터 수집 디바이스 중 하나에 상기 인증코드 및 데이터를 전송하는 단계;
    상기 하나 이상의 수데이터 수집 디바이스 중 하나가 수신한 상기 인증코드를 검증하는 단계;
    상기 하나 이상의 수데이터 수집 디바이스 중 하나가 상기 인증코드의 검증 성공 시 데이터를 복호화하는 단계; 및
    상기 하나 이상의 수데이터 수집 디바이스 중 하나가 상기 인증코드의 검증 실패 시 데이터를 삭제하는 단계
    를 포함하는, 통합접근제어 방법
KR1020210012314A 2020-01-31 2021-01-28 수처리 산업제어시스템을 위한 하드웨어 기반 키 관리 및 통합접근제어 시스템 및 방법 KR102546324B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020200011586 2020-01-31
KR20200011586 2020-01-31

Publications (2)

Publication Number Publication Date
KR20210098368A KR20210098368A (ko) 2021-08-10
KR102546324B1 true KR102546324B1 (ko) 2023-06-21

Family

ID=77316305

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210012314A KR102546324B1 (ko) 2020-01-31 2021-01-28 수처리 산업제어시스템을 위한 하드웨어 기반 키 관리 및 통합접근제어 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR102546324B1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102695372B1 (ko) * 2021-12-07 2024-08-16 한국전자통신연구원 크리덴셜 관리 장치 및 방법

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101467527B1 (ko) * 2014-08-29 2014-12-01 주식회사 이코우 지능형 시스템을 이용한 수처리 원격감시 제어장치
US20160163177A1 (en) 2007-10-24 2016-06-09 Michael Edward Klicpera Water Use/Water Energy Use Monitor and/or Leak Detection System
KR101683277B1 (ko) 2016-04-07 2016-12-06 주식회사 코엔텍 수질관리시설의 현장 작업자용 가상시뮬레이션 안내 및 조치관리 시스템

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101571609B1 (ko) * 2013-12-06 2015-11-24 한국수자원공사 모바일기기를 이용한 수처리 시설의 관리제어 시스템
KR20150098276A (ko) * 2014-02-19 2015-08-28 호남대학교 산학협력단 간이 상수도 원격 관리 시스템

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160163177A1 (en) 2007-10-24 2016-06-09 Michael Edward Klicpera Water Use/Water Energy Use Monitor and/or Leak Detection System
KR101467527B1 (ko) * 2014-08-29 2014-12-01 주식회사 이코우 지능형 시스템을 이용한 수처리 원격감시 제어장치
KR101683277B1 (ko) 2016-04-07 2016-12-06 주식회사 코엔텍 수질관리시설의 현장 작업자용 가상시뮬레이션 안내 및 조치관리 시스템

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
손승원 외 2명 공역, 암호학과 네트워크 보안, McGraw-Hill Korea (2008.01.25.)*

Also Published As

Publication number Publication date
KR20210098368A (ko) 2021-08-10

Similar Documents

Publication Publication Date Title
US10110571B2 (en) Securing internet of things communications across multiple vendors
CN110324276B (zh) 一种登录应用的方法、系统、终端和电子设备
US20160043871A1 (en) Wireless Connections to a Wireless Access Point
US10211977B1 (en) Secure management of information using a security module
TW201837776A (zh) 資料金鑰的保護方法、裝置和系統
US20210152545A1 (en) Systems and methods for authenticating device through iot cloud using hardware security module
WO2019019887A1 (zh) 服务器认证接入终端的方法、装置、系统、服务器及计算机可读存储介质
CN104021333A (zh) 移动安全表袋
CN104412273A (zh) 用于进行激活的方法和系统
CN111541542A (zh) 请求的发送和验证方法、装置及设备
KR102377045B1 (ko) 하드웨어 보안 모듈을 이용한 클라우드를 통한 IoT(Internet of Thing) 디바이스 인증 시스템 및 방법
US20220400015A1 (en) Method and device for performing access control by using authentication certificate based on authority information
CN115129332A (zh) 固件烧录方法、计算机设备及可读存储介质
KR102546324B1 (ko) 수처리 산업제어시스템을 위한 하드웨어 기반 키 관리 및 통합접근제어 시스템 및 방법
WO2018227471A1 (zh) 生物特征数据的安全处理方法、装置、传感器及终端设备
Caballero-Gil et al. Research on smart-locks cybersecurity and vulnerabilities
KR101206854B1 (ko) 고유식별자 기반 인증시스템 및 방법
KR20040028086A (ko) 무선단말에서의 컨텐츠 저작권 관리 시스템 및 그 방법
WO2019234801A1 (ja) サービス提供システム及びサービス提供方法
KR20170085423A (ko) 사용자 단말 장치 및 이에 의한 개인 정보 제공 방법
KR101856530B1 (ko) 사용자 인지 기반 암호화 프로토콜을 제공하는 암호화 시스템 및 이를 이용하는 온라인 결제 처리 방법, 보안 장치 및 거래 승인 서버
CN116781359A (zh) 一种使用网络隔离和密码编译的门户安全设计方法
KR102481213B1 (ko) 로그인 인증 처리를 위한 시스템 및 방법
KR102053993B1 (ko) 인증서를 이용한 사용자 인증 방법
JP5665592B2 (ja) サーバ装置並びにコンピュータシステムとそのログイン方法

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right