KR20080038964A - Authenticating system between devices and creating system of secret key and method thereof - Google Patents
Authenticating system between devices and creating system of secret key and method thereof Download PDFInfo
- Publication number
- KR20080038964A KR20080038964A KR1020060106551A KR20060106551A KR20080038964A KR 20080038964 A KR20080038964 A KR 20080038964A KR 1020060106551 A KR1020060106551 A KR 1020060106551A KR 20060106551 A KR20060106551 A KR 20060106551A KR 20080038964 A KR20080038964 A KR 20080038964A
- Authority
- KR
- South Korea
- Prior art keywords
- authentication
- modulo
- value
- module
- devices
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04B—TRANSMISSION
- H04B3/00—Line transmission systems
- H04B3/54—Systems for transmission via power distribution lines
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Small-Scale Networks (AREA)
Abstract
Description
도 1은 본 발명의 바람직한 실시예에 따른 기기 간 인증 시스템을 개략적으로 도시한 시스템 구성도이다.1 is a system configuration diagram schematically showing an inter-device authentication system according to a preferred embodiment of the present invention.
도 2는 본 발명의 바람직한 실시예에 따른 기기 간 인증 방법을 개략적으로 도시한 다이어 그램이다.2 is a diagram schematically illustrating a method for authentication between devices according to a preferred embodiment of the present invention.
도 3은 본 발명의 바람직한 실시예에 따른 인증 데이터 전달을 위한 프레임을 프레임 구성도이다.3 is a frame diagram illustrating a frame for transmitting authentication data according to an embodiment of the present invention.
도 4은 본 발명의 바람직한 실시예에 따른 인증 성공 프레임을 도시한 프레임 구성도이다.4 is a frame diagram illustrating an authentication success frame according to a preferred embodiment of the present invention.
도 5은 본 발명의 바람직한 실시예에 따른 인증 실패 프레임을 도시한 프레임 구성도이다.5 is a frame diagram illustrating an authentication failure frame according to a preferred embodiment of the present invention.
도 6은 본 발명의 바람직한 실시예에 따른 보안키 생성 시스템을 개략적으로 도시한 시스템 구성도이다.6 is a system configuration diagram schematically showing a security key generation system according to a preferred embodiment of the present invention.
<도면의 주요부분에 대한 부호의 설명><Description of the symbols for the main parts of the drawings>
10 : 인증기기 110: 인증기기 인증모듈10: authentication device 110: authentication device authentication module
20 : 기기 220 : 기기 인증모듈20: device 220: device authentication module
30 : 보안키 생성모듈30: security key generation module
본 발명은 전력선 통신(Power Line Communication) 매체접근제어(MAC) 계층에서의 기기 간 인증 및 보안키(secret key) 생성 시스템 그리고 그 방법에 관한 것으로, 더욱 상세하게는 PLC 기기들이 개별적인 인증절차를 수행하여 인가된 기기인지 아닌지를 확인할 수 있을 뿐만 아니라, 상기 인증절차를 통해 생성된 값들을 키생성함수(KGF, Key Generation Function)의 입력 값으로 다시 사용하여 상호간의 보안키를 생성할 수 있는 기기 간 인증 및 보안키 생성 시스템 그리고 그 방법에 관한 것이다.The present invention relates to an inter-device authentication and secret key generation system and method thereof in a Power Line Communication (MAC) layer, and more particularly, PLC devices perform individual authentication procedures. Not only whether the device is authorized or not, but also between devices that can generate mutual security keys by using the values generated through the authentication procedure as input values of a key generation function (KGF). Authentication and security key generation system and method thereof.
현재 KS X 4600-1 규격에서 PLC 네트워크에서의 데이터 통신에는 보안을 위하여 56-비트 DES 방식의 암호화가 사용한다. 동일한 물리적 네트워크 상에 공존하는 셀들을 구분해 주는 역할을 하는 것은 46-비트 길이의 GID로서 이는 동일한 물리적 네트워크 내에 무한개의 서로 다른 셀들이 공존할 수 있음을 의미한다. GID가 동일한 경우에만 스테이션들 간의 통신이 허용된다. In the current KS X 4600-1 standard, 56-bit DES encryption is used for data communication in a PLC network for security. It is a 46-bit long GID that distinguishes cells that coexist on the same physical network, which means that infinite number of different cells can coexist in the same physical network. Communication between stations is allowed only if the GIDs are identical.
이와 같이 동일 셀에 속한 스테이션들은 암호화 키를 공유하며 56-비트 DES 방식의 암호화를 통해 데이터 통신에 대한 더욱 확고한 보안을 보장한다. 그러나, 이러한 방법을 사용하게 되면 새롭게 PLC망이 구성될 경우 관리자에 의한 수정이 모든 기기에 대하여 필요하게 되며, 같은 그룹에 존재하는 모든 기기들이 동일한 보안키를 사용한다면 외부로부터의 공격에 쉽게 노출될 수 있다. DES 알고리즘을 사용해 암호화 할 경우 송신기의 가장 앞부분에 암호화(Encryption) 모듈을 사용하여 데이터를 암호화한 후 전송하게 된다. As such, stations belonging to the same cell share an encryption key, and 56-bit DES encryption ensures stronger security for data communication. However, using this method, if a new PLC network is configured, modification by the administrator is required for all devices, and if all devices in the same group use the same security key, they may be easily exposed to attacks from the outside. Can be. When encrypting using the DES algorithm, the data is encrypted and transmitted using an encryption module at the front of the transmitter.
DES 알고리즘의 경우 64비트의 값을 입력받아 실제 key를 사용하여 연산을 할 때는 56비트 기반으로 연산하고 있으나 DES 알고리즘을 사용하여 암호화/복호화 과정을 수행하려고 하면 인가된 기기는 64비트의 보안키를 공유해야 한다. In the case of the DES algorithm, when the 64-bit value is input and the operation is performed using the actual key, the 56-bit operation is performed. However, when the encryption / decryption process is performed using the DES algorithm, the authorized device uses the 64-bit security key. Must share
또한, 기기 간 인증과정을 통해 인가된 기기만이 네트워크를 구성하고 PLC 기술을 사용해 데이터를 전송할 수 있도록 해야 함에도 불구하고, 현재까지의 PLC 기술은 기기 간 인증을 위한 어떠한 방법도 제시하지 않고 있다.In addition, despite the need to allow only authorized devices to form a network and transmit data using PLC technology through the device-to-device authentication process, the PLC technology to date does not present any method for device-to-device authentication.
상기와 같은 문제점을 해결하기 위해 안출된 것으로써, 본 발명의 목적은 PLC 기기들이 개별적으로 인증절차를 수행하여 인가된 기기인지 아닌지를 확인할 수 있고, 인증절차를 통해 생성된 값들을 키생성함수(KGF, Key Generation Function)의 입력 값으로 다시 사용하여 상호간의 고유한 보안키를 생성할 수 있는 기기 간 인증 및 보안키 생성 시스템 그리고 그 방법을 제공하는 데 있다.In order to solve the above problems, an object of the present invention is to verify whether or not the PLC device is an authorized device by performing the authentication procedure individually, and the key generation function ( The present invention provides a system for authentication and security key generation between devices that can generate unique security keys by using them again as input values for KGF (Key Generation Function) and methods.
상기와 같은 목적을 달성하기 위해 본 발명에 따른 기기 간 인증 시스템은 각종 기기 간에 인증을 수행하는 시스템에 있어서, 인증기기와 기기 간에 공유값(초기값a modulo p)을 공유하고 램덤 값 x {1,2,...,p-1}를 선택하여 ax를 계산하여 계산값을 기기에 전송하고, 기기로부터 전송된 ay값으로부터 (ay)x를 계산하여 기기로부터 전송된 (ax)y 값과 일치하는지 여부를 확인하여 인증을 수행하는 인증기기 인증모듈과 인증기기와 기기 간에 공유값(초기값a modulo p)를 공유하고 램덤 값 y {1,2,...,p-1}를 선택하여 ay를 계산하여 계산값을 인증기기에 전송하고, 인증기기로부터 전송된 ax값으로부터 (ax)y를 계산하여 인증기기로 전송하는 기기 인증모듈을 포함하는 것을 특징으로 한다.In order to achieve the above object, the inter-device authentication system according to the present invention is a system for performing authentication between various devices, wherein the shared value (initial value: modulo p) is shared between the authentication device and the device, and a random value x {1 , 2, ..., p-1} to calculate a x and send the calculated value to the device, and calculate (a y ) x from the a y value sent from the device to send (a x ) The shared value (initial value: modulo p) is shared between the authentication device authentication module and the authentication device and the device performing authentication by checking whether or not it matches y value, and the random value y {1,2, ..., p- 1} to calculate the a y to transmit the calculated value to the authentication device, characterized in that it comprises a device authentication module for calculating (a x ) y from the a x value transmitted from the authentication device to transmit to the authentication device do.
여기서, 상기 인증기기 인증모듈은 일치하는 경우 인증 성공 구분자를 포함하는 인증 성공 프레임을 전송하고, 일치하지 않는 경우 인증 실패 구분자를 포함하는 인증 실패 프레임을 기기에 전송하여 인증을 확인하는 것을 특징으로 한다.In this case, the authentication device authentication module transmits an authentication success frame including an authentication success separator when it matches, and verifies authentication by transmitting an authentication failure frame including an authentication failure separator to the device. .
한편, 본 발명에 따른 보안키 생성 시스템은 제 1항 또는 제 2항의 인증 시스템에 의해 수행되는 순차적인 계산값 중 수학식 1에 따른 8개의 값을 8비트로 변환하여 64비트 보안키를 생성하는 보안키 생성모듈을 포함하는 것을 특징으로 한다.On the other hand, the security key generation system according to the present invention is a security that generates a 64-bit security key by converting the eight values according to the equation (1) of the sequential calculation values performed by the authentication system of
<수학식 1><Equation 1>
a1 (modulo p), a2 (modulo p), a3 (modulo p), a4 (modulo p), a5 (modulo p), a6 (modulo p), a7 (modulo p), a8 (modulo p)a 1 (modulo p), a 2 (modulo p), a 3 (modulo p), a 4 (modulo p), a 5 (modulo p), a 6 (modulo p), a 7 (modulo p), a 8 (modulo p)
한편, 본 발명에 따른 기기 간 인증 방법은 인증기기와 기기 간에 공유값(초기값 a modulo p)을 공유하고 인증기기 인증모듈이 램덤 값 x를 선택하여 ax를 계산하여 기기로 전송하는 단계와 기기 인증모듈이 랜덤 값 y를 선택하여 ay를 계산하여 인증기기로 전송하는 단계와 상기 기기 인증모듈이 인증기기로부터 전송된 ax로부터 (ax)y를 계산하여 인증기기로 전송하는 단계와 상기 인증기기 인증모듈이 기기로부터 전송된 ay로부터 (ay)x를 계산하여 상기 기기로부터 전송된 (ax)y 값과 일치 여부를 확인하여 인증을 수행하는 단계를 포함하는 것을 특징으로 한다.On the other hand, the authentication method between devices according to the present invention comprises the steps of sharing a shared value (initial value a modulo p) between the authentication device and the device and the authentication device authentication module selects a random value x and calculates a x and sends it to the device; The device authentication module selects a random value y to calculate a y and sends it to the authentication device. The device authentication module calculates (a x ) y from a x transmitted from the authentication device and sends it to the authentication device. characterized by comprising the steps of: from a y transmitted from the authentication device, the authentication module unit to calculate x (a y) determine the (a x) y values match transmitted from the device to authenticate .
여기서, 상기 인증을 수행하는 단계는 기기로부터 전송된 (ax)y 값과 (ay)x 값이 일치하는 경우 인증 성공 구분자를 포함하는 인증성공 프레임을 생성하여 기기로 전송하고, 불일치하는 경우 인증 실패 구분자를 포함하는 인증실패 프레임을 생성하여 기기로 전송하는 것을 특징으로 한다.Here, in the performing of the authentication, if the (a x ) y value and the (a y ) x value transmitted from the device match, generate an authentication success frame including an authentication success delimiter and transmit it to the device, and if there is a mismatch And generating an authentication failure frame including an authentication failure identifier and transmitting the same to the device.
또한, 본 발명에 따른 보안키 생성 방법은 제 4항 또는 제 5항의 인증 방법을 통한 순차적인 계산값 중 보안키 생성모듈이 수학식 1에 해당하는 8개 값의 추출하는 단계와 상기 추출된 8개 값을 8비트로 변환하여 64비트의 보안키를 생성하는 것을 특징으로 한다.In addition, the security key generation method according to the present invention comprises the steps of extracting the eight values corresponding to Equation 1 of the security key generation module of the sequential calculation values through the authentication method of claim 4 or claim 5 and the extracted 8 Converts the values into 8 bits to generate a 64-bit security key.
<수학식 1> <Equation 1>
a1 (modulo p), a2 (modulo p), a3 (modulo p), a4 (modulo p), a5 (modulo p), a6 (modulo p), a7 (modulo p), a8 (modulo p)a 1 (modulo p), a 2 (modulo p), a 3 (modulo p), a 4 (modulo p), a 5 (modulo p), a 6 (modulo p), a 7 (modulo p), a 8 (modulo p)
이하, 본 발명의 구체적인 구성 및 작용에 대하여 도면 및 실시예를 참조하여 상세하게 설명하기로 한다.Hereinafter, the specific configuration and operation of the present invention will be described in detail with reference to the drawings and the embodiments.
도 1은 본 발명의 바람직한 실시예에 따른 기기 간 인증 시스템을 개략적으로 도시한 시스템 구성도이다.1 is a system configuration diagram schematically showing an inter-device authentication system according to a preferred embodiment of the present invention.
도 1을 참조하면, 본 발명에 따른 기기 간 인증 시스템은 기기(10)와 인증기기(20) 간에 인증을 수행하는 인증기기 인증모듈(110)과 기기 인증모듈(210)을 포함하여 구성된다.Referring to FIG. 1, the inter-device authentication system according to the present invention includes an authentication
상기 인증모듈은 공유값(초기 값 a, modulo p)을 가지고 있고, 랜덤 넘버를 생성하고 본 발명에 따른 연산을 수행할 수 있는 프로그램을 구비하고 있다. 이러한 값을 인자로 생성된 값을 상대 기기에 전송하고, 그 값을 비교하여 인증기능을 수행한다.The authentication module has a shared value (initial value a, modulo p), and has a program for generating a random number and performing an operation according to the present invention. The value generated as a factor is transmitted to the external device, and the value is compared to perform an authentication function.
도 2는 본 발명의 바람직한 실시예에 따른 기기 간 인증 방법을 개략적으로 도시한 다이어 그램이고, 도 3은 본 발명의 바람직한 실시예에 따른 인증 데이터 전달을 위한 프레임을 프레임 구성도이다.2 is a diagram schematically showing a method for authentication between devices according to a preferred embodiment of the present invention, Figure 3 is a frame configuration frame for the authentication data transmission in accordance with a preferred embodiment of the present invention.
기기 간 인증은 특정 기기에 한정되는 것이 아니지만 도 2에서는 인증기기(Authenticator)와 PLC 기기(Device) 간을 예로 설명하고 있다. Although device-to-device authentication is not limited to a specific device, FIG. 2 illustrates an example between an authenticator and a PLC device.
도 2 및 도 3을 참조하면, 설계된 메커니즘에서 인가된 모든 기기는 동일한 두 개의 요소 값(초기 값 a, modulo p) 를 공유해야 한다. 기기 간 인증 메커니즘을 절차는 다음과 같다.2 and 3, in the designed mechanism, all devices authorized must share the same two element values (initial value a, modulo p). The procedure for authentication between devices is as follows.
예를 들어, 인가된 기기들이 modulo p를 공유하고 있다면, 초기 값 a에 따른 ai(modulo p){단, i=1,2,....,p-1} 값은 하기 <표-1>과 같은 결과를 나타내게 된다.For example, if authorized devices share a modulo p, a i (modulo p) {where i = 1,2, ...., p-1} according to the initial value a is given in the following table. 1> result.
여기서, modulo 연산은 최초의 연산수를 제2의 연산수로 나누었을 때의 나머지를 결과로 하는 산술 연산을 말하며, 예를 들어 7 modulo 5인 경우 연산값은 2가 된다.Here, the modulo operation is an arithmetic operation that results in the remainder when the first operation is divided by the second operation. For example, in the case of 7 modulo 5, the operation value is 2.
이후, 인증기기 인증모듈(110)은 랜덤 값 x, 기기 인증모듈(210)은 랜덤 값 y를 정해진 범위 1,2,...,p-1안에서 선택한다.Thereafter, the authentication
예를 들어, 인증기기와 기기가 초기값 a=2, p=11를 공유하고, 만약 인증기기인증모듈이 가 x=2, 기기 인증모듈이 y=4를 랜덤하게 선택한다. For example, the authentication device and the device share initial values a = 2, p = 11, and if the authentication device authentication module selects x = 2 and the device authentication module randomly selects y = 4.
선택된 랜덤 값을 사용해 인증기기 인증모듈(110)은 a x 를, 기기 인증모듈(210)은 a y 를 계산하여 인증기기로 전송한다. 상기 예에서, 인증기기 인증모듈(110)은 ax = 4를 계산하고, 기기 인증모듈(210)은 ay=16을 계산하여 그 결과를 상호 전송한다.Using the selected random value, the authentication
이어서, 인증기기 인증모듈(110)은 자신이 생성한 값과 기기(20)로부터 수신한 값을 통해 (a y ) x 를, 기기 인증모듈(210)은 인증기기(10)로부터 수신한 값을 통해 (a x ) y 를 계산하여 생성한다.Subsequently, the authentication
상기예에 따른 계산 과정은 하기 표 2과 같다.The calculation process according to the above example is shown in Table 2 below.
인증기기 인증모듈(110)는 기기(20)로부터 ay값(8)을 전송받아 (ay)x= (16)2 를 modulo 연산에 의해 계산하면 (256 modulo 11) = 3이된다. 한편, 기기 인증모듈(210)는 인증기기(10)로부터 ax 값(16)을 전송받아 (a x ) y = (4)4을 modulo 연산에 의해 계산하면 (256 modulo 11) = 3이 된다.The authentication
기기(20)가 (a x ) y 값을 인증기기(10)에 전송하면, 인증기기 인증모듈(110)은 자신이 생성한 (a y ) x 값과 비교하여 3이라는 값이 일치하면 ‘인증 성공’ 메시지를 일치하지 않으면 ‘인증 실패’ 메시지를 기기(10)에 전송하여 인증을 수행한다.When the
본 발명은 한국산업규격 KS X 4600-1의 MAC 계층 규격을 기반으로 하므로 전송되는 프레임이 인증을 위한 프레임인 것을 표시해야 하고, 또한 인증성공과 인증실패를 전달할 수 있는 프레임이 정의되어야 한다. 따라서, 하기 <표3> 같이 새로운 구분자를 정의한다. Since the present invention is based on the MAC layer standard of Korean Industrial Standard KS X 4600-1, it should indicate that the transmitted frame is a frame for authentication, and also a frame capable of transmitting authentication success and authentication failure should be defined. Therefore, a new delimiter is defined as shown in Table 3 below.
상기 <표3> 에서 굵은선 처리된 3개의 구분자가 새롭게 정의한 프레임이며,굵은선 처리되지 않은 부분은 기존 규격에서 사용하고 있는 구분자이다. 새롭게 추가된 프레임의 구분자는 기존 규격에서 사용가능한 구분자로 기술되어 있는 부분을 사용한다.In Table 3, the three delimiters processed by the thick line are newly defined frames, and the part not processed by the thick line is the delimiter used in the existing standard. The delimiter of the newly added frame uses the part described as the delimiter available in the existing standard.
<표3> 같이 구분자‘001’은 기기 간 인증을 위해 교환되는 프레임이다. 따라서, 인증값이 전달되어야 하므로 PSDU는 Long PSDU가 되어야 한다. 이러한 방법으로 새롭게 정의된 프레임의 상세 내용은 도 3과 같으므로 구체적인 설명은 생략하기로 한다.As shown in <Table 3>, the separator '001' is a frame exchanged for authentication between devices. Therefore, since the authentication value must be delivered, the PSDU must be a Long PSDU. Details of the frame newly defined in this manner are the same as in FIG. 3, and thus a detailed description thereof will be omitted.
상기와 같은 <표3>을 바탕으로 상기 인증절차에서 인증기기 인증모듈(110)은 (a x ) y 값과 (a y ) x 값을 비교하여 인증이 성공되었는지 아니면 인증이 실패되어 PLC 네트워크에 포함시킬 수 없는 지의 결과를 전송해 주어야 하며, 이를 위해 일치하는 경우 인증 성공 프레임을 일치하지 않는 경우 인증 실패 프레임을 생성하여 기기(20)에 전송한다.Based on the Table 3, the authentication
도 4는 본 발명의 바람직한 실시예에 따른 인증 성공 프레임을 도시한 프레임 구성도이고, 도 5는 본 발명의 바람직한 실시예에 따른 인증 실패 프레임을 도시한 프레임 구성도이다.4 is a frame diagram showing an authentication success frame according to a preferred embodiment of the present invention, Figure 5 is a frame diagram showing an authentication failure frame according to a preferred embodiment of the present invention.
도 4 및 도 5를 참조하면, 인증 성공 프레임은 인증 성공 구분자(control frame : 100)를 포함하고 short PSDU로 기기(20)에 전송되어 인증 성공이 확인 된다. 한편, 인증 실패 프레임은 인증 실패 구분자(control frame : 110)를 포함하고 short PSDU로 기기(20)에 전송되어 인증 실패가 확인된다.4 and 5, the authentication success frame includes an authentication success identifier (control frame 100) and is transmitted to the
도 6은 본 발명의 바람직한 실시예에 따른 보안키 생성 시스템을 개략적으로 도시한 시스템 구성도이다.6 is a system configuration diagram schematically showing a security key generation system according to a preferred embodiment of the present invention.
도 6을 참조하면, 본 발명에 따른 보안키 생성 시스템은 인증 과정에서 생성되는 값을 입력 값으로 하여 두 기기 간 공유키를 생성하는 키생성함수(Key Generation Function)를 구비하는 보안키 생성모듈(30)을 포함하여 구성된다. 이렇게 생성된 보안키는 데이터를 암호화하는 키로 사용된다.Referring to FIG. 6, the security key generation system according to the present invention includes a security key generation module having a key generation function for generating a shared key between two devices using a value generated during the authentication process as an input value ( 30). The generated security key is used as a key for encrypting data.
보다 구체적으로, 앞서, 기기 간 인증을 위해 두 기기는 랜덤 값을 생성하고 이를 통해 연산되고 교환된 결과를 통해 인증 절차를 수행하는 메커니즘을 설명하였다. 이 메커니즘에서 두 기기는 순차적인 계산 값을 가지게 된다. 따라서, 이러한 순차적 값들 중 하기 수학식1과 같은 처음 8개의 값을 각 8비트의 값으로 변환하면 도 6과 같이 64비트의 고유의 보안키를 생성할 수 있게 된다.More specifically, the foregoing has described a mechanism for performing authentication process based on a result of calculating and exchanging random values through two devices for authentication between devices. In this mechanism, both devices have sequential calculations. Therefore, when the first eight values, such as Equation 1, among these sequential values are converted into 8-bit values, a unique 64-bit security key can be generated as shown in FIG.
<수학식 1><Equation 1>
- a 1 (modulo p), a 2 (modulo p), a 3 (modulo p), a 4 (modulo p), a 1 (modulo p ), a 2 (modulo p ), a 3 (modulo p ), a 4 (modulo p ),
a 5 (modulo p), a 6 (modulo p), a 7 (modulo p), a 8 (modulo p) a 5 (modulo p ), a 6 (modulo p ), a 7 (modulo p ), a 8 (modulo p )
PLC 망에서의 기기 간 인증이란 인가된 PLC 기기를 확인하기 위한 절차를 말한다. 기기 간 인증에서 가장 중요한 부분은 사용자가 특정 절차를 수행하지 않아도 기기 간의 능동적인 절차에 따라 수행되어야 한다는 것이다. Device-to-device authentication in a PLC network refers to a procedure for checking an authorized PLC device. The most important part of device-to-device authentication is that a user must perform a proactive procedure between devices without having to perform a specific procedure.
현재까지의 대부분의 기술에서 사용되는 인증방식은 관리자에 의한 수동적 인증이나 접속을 인가할 기기들의 리스트 (Access Control List)를 미리 입력하여 인증하는 제한적 방식이다. 그러나, 본 발명에서 제시하는 인증방법은 능동적이고 확장 가능하여 PLC 네트워크를 구성하기 위한 안전하고 효율적인 방법이라 할 수 있다. The authentication method used in most technologies up to now is a limited method of authenticating by inputting an access control list in advance for manual authentication by an administrator or access. However, the authentication method proposed in the present invention can be said to be a safe and efficient method for constructing a PLC network since it is active and extensible.
또한, 본 발명에서 제시하는 보안키 생성 시스템의 경우 그룹에 존재하는 모든 PLC 기기가 동일한 보안키를 사용하는 것이 아니라 초기 기기 인증 시 랜덤하게 생성되는 값을 사용하므로 두 기기의 고유한 보안키를 생성할 수 있어 안전한 네트워크를 구성할 수 있게 한다. In addition, in the security key generation system proposed in the present invention, since all PLC devices in the group do not use the same security key but use randomly generated values during initial device authentication, unique security keys of the two devices are generated. It allows you to build a secure network.
이상에서 설명한 본 발명의 상세한 설명에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 본 발명의 보호범위는 상기 실시예에 한정되는 것이 아니며, 해당 기술분야의 통상의 지식을 갖는 자라면 본 발명의 사상 및 기술영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.Although the detailed description of the present invention described above has been described with reference to the preferred embodiment of the present invention, the protection scope of the present invention is not limited to the above embodiment, and those skilled in the art will appreciate It will be understood that various modifications and changes can be made in the present invention without departing from the spirit and scope of the invention.
Claims (6)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020060106551A KR100863644B1 (en) | 2006-10-31 | 2006-10-31 | Authenticating System Between Devices And Creating System Of Secret Key And Method Thereof |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020060106551A KR100863644B1 (en) | 2006-10-31 | 2006-10-31 | Authenticating System Between Devices And Creating System Of Secret Key And Method Thereof |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20080038964A true KR20080038964A (en) | 2008-05-07 |
KR100863644B1 KR100863644B1 (en) | 2008-10-15 |
Family
ID=39647337
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020060106551A KR100863644B1 (en) | 2006-10-31 | 2006-10-31 | Authenticating System Between Devices And Creating System Of Secret Key And Method Thereof |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100863644B1 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101701202B1 (en) | 2016-11-01 | 2017-02-06 | 큐브바이트 주식회사 | Security authentication system and method using a plurality of paging code units |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
SG95612A1 (en) | 1999-12-24 | 2003-04-23 | Kent Ridge Digital Labs | Remote authentication based on exchanging signals representing biometrics information |
US6703923B2 (en) | 2001-04-18 | 2004-03-09 | Thomson Licensing S.A. | Apparatus for providing security on a powerline-modem network |
KR100456624B1 (en) * | 2002-08-09 | 2004-11-10 | 한국전자통신연구원 | Authentication and key agreement scheme for mobile network |
US7739513B2 (en) | 2005-02-22 | 2010-06-15 | Sony Corporation | Secure device authentication |
-
2006
- 2006-10-31 KR KR1020060106551A patent/KR100863644B1/en active IP Right Grant
Also Published As
Publication number | Publication date |
---|---|
KR100863644B1 (en) | 2008-10-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109600350B (en) | System and method for secure communication between controllers in a vehicle network | |
CN103746794B (en) | Encryption key generation method and device | |
EP0977396B1 (en) | Method for establishing a key using over-the-air communication and password protocol | |
KR101095239B1 (en) | Secure communications | |
CN101828357B (en) | Credential provisioning method and device | |
CN108599925B (en) | Improved AKA identity authentication system and method based on quantum communication network | |
JP4000111B2 (en) | Communication apparatus and communication method | |
US6952475B1 (en) | Method and arrangement for the computer-aided exchange of cryptographic keys between a first computer unit and a second computer unit | |
US8295489B2 (en) | Method for sharing a link key in a ZigBee network and a communication system therefor | |
CN104821933A (en) | Device and method certificate generation | |
CN110020524B (en) | Bidirectional authentication method based on smart card | |
CN108712252B (en) | Symmetric key pool and relay-crossing based AKA identity authentication system and method | |
CN104303450A (en) | Determination of cryptographic keys | |
KR20120079892A (en) | Method for authenticating personal network entity | |
CN101562519B (en) | Digital certificate management method of user packet communication network and user terminal for accessing into user packet communication network | |
CN111416712B (en) | Quantum secret communication identity authentication system and method based on multiple mobile devices | |
CN111147257A (en) | Identity authentication and information confidentiality method, monitoring center and remote terminal unit | |
CN106209756A (en) | Password update method, subscriber equipment, subscriber location servers and territory router | |
US9774630B1 (en) | Administration of multiple network system with a single trust module | |
KR100863644B1 (en) | Authenticating System Between Devices And Creating System Of Secret Key And Method Thereof | |
US20230064441A1 (en) | Secured communication between a device and a remote server | |
KR101575040B1 (en) | Different Units Same Security for instrumentation control | |
CN100389634C (en) | Synchronously attach protecting method and relative power authentifying method | |
CN114301593B (en) | EAP authentication system and method based on quantum key | |
US11546176B2 (en) | System and method for authentication and cryptographic ignition of remote devices |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E90F | Notification of reason for final refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20121002 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20131001 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20141001 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20151001 Year of fee payment: 8 |
|
FPAY | Annual fee payment |
Payment date: 20161005 Year of fee payment: 9 |
|
FPAY | Annual fee payment |
Payment date: 20171011 Year of fee payment: 10 |