KR20120050364A - Security system and method for data communication in factory - Google Patents

Security system and method for data communication in factory Download PDF

Info

Publication number
KR20120050364A
KR20120050364A KR1020100119874A KR20100119874A KR20120050364A KR 20120050364 A KR20120050364 A KR 20120050364A KR 1020100119874 A KR1020100119874 A KR 1020100119874A KR 20100119874 A KR20100119874 A KR 20100119874A KR 20120050364 A KR20120050364 A KR 20120050364A
Authority
KR
South Korea
Prior art keywords
automation equipment
information
authentication code
equipment
automation
Prior art date
Application number
KR1020100119874A
Other languages
Korean (ko)
Inventor
정수환
노효선
김영한
Original Assignee
숭실대학교산학협력단
(주) 엠엠씨 테크놀로지
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 숭실대학교산학협력단, (주) 엠엠씨 테크놀로지 filed Critical 숭실대학교산학협력단
Publication of KR20120050364A publication Critical patent/KR20120050364A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0485Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication

Abstract

PURPOSE: A security system for data communication in a factory and a method thereof are provided to safely transfer information by generating an encryption key. CONSTITUTION: A company intranet(100) includes an enterprise authentication server(101) and a central data managing server(102). The company intranet is connected to the internet through a gateway(103). An enterprise communicates with a local media gateway(200) of a factory regionally dispersed through the internet. The local media gateway manages various automation equipments existing in the factory. The local media gateway keeps information collected from the automation equipments. The local media gateway transfers the collected information to the central data managing server.

Description

공장 내 정보 전달을 위한 보안 시스템 및 방법 {SECURITY SYSTEM AND METHOD FOR DATA COMMUNICATION IN FACTORY}SECURITY SYSTEM AND METHOD FOR DATA COMMUNICATION IN FACTORY}

개시된 기술은 공장 내 정보 전달을 위한 보안 시스템 및 방법에 관한 것이다.The disclosed technology relates to a security system and method for information delivery in a factory.

최근 무선 네트워크 기술의 빠른 발전으로 모바일 통신 기술 또한 다양한 형태로 변화하고 있다. 그 중 새로운 형태의 통신 기술로서 사람의 관여 없이 장비들 스스로 다양한 통신 기술을 이용하여 장비들 간의 통신 환경을 구축하는 M2M (Machine to Machine) 통신 기술에 대한 연구가 활발하게 진행되고 있다. M2M 통신은 무선뿐만 아니라 유선 통신 기술을 활용하여 통신이 가능하지만 최근에는 무선 통신 기술을 이용하는 방법이 보다 많은 관심을 받고 있다. M2M 통신은 판매관리 시스템, 기계 및 설비의 원격 모니터링, 운송, 그리고 수도 및 전기 사용량 등을 자동 측정하는 스마트 미터기 등 다양한 분야에서 확대 적용되고 있다. 이러한 M2M은 기존의 무선 통신 기술인 와이파이 이외에도 쓰리지피피(3GPP), 와이브로(WiBro), 와이맥스(Wi-Max), 지그비(Zigbee), 블루투스(Bluetooth) 등 다양한 형태의 무선 통신 기술을 적용할 수 있다. Recently, with the rapid development of wireless network technology, mobile communication technology is also changing in various forms. Among them, as a new type of communication technology, researches on M2M (Machine to Machine) communication technology, which establishes a communication environment between devices using various communication technologies themselves, without human involvement, are being actively conducted. M2M communication can be carried out using a wired communication technology as well as wireless, but recently, a method of using a wireless communication technology is receiving more attention. M2M communication is expanding in many applications, including sales management systems, remote monitoring of machinery and equipment, transportation, and smart meters that automatically measure water and electricity usage. The M2M can be applied to various types of wireless communication technologies such as 3GPP, WiBro, Wi-Max, Zigbee, and Bluetooth in addition to the existing wireless communication technology, Wi-Fi. .

그러나, 이러한 M2M 통신은 장비들 간의 통신을 위해 다양한 무선 기술을 사용함에 따른 보안 취약성이 존재한다. 특히 정보의 노출, 정보의 도용, 정보의 불법 변경 및 삭제 등에 따른 보안 문제가 존재하고, 물리적으로 장비의 도난, 파손 등에 따른 보안 위협이 존재한다. 따라서, M2M 통신 환경에서 이러한 보안 위협으로부터 안전한 정보 전달을 위해서는 장비들을 인증하고, 인증된 장비들 간에 암호화 통신을 지원하기 위한 보안 시스템이 필요하다. 그러나 공장에 설치되는 장비들의 경우 CPU 성능, 메모리 성능이 낮을 수 있기 때문에 적은 계산 능력, 메모리 성능에서도 원활하게 동작할 수 있는 경량화된 보안 시스템이 필요하다.However, such M2M communication has security vulnerabilities due to the use of various radio technologies for communication between devices. In particular, there are security problems due to exposure of information, theft of information, illegal alteration and deletion of information, and security threats due to physical theft and damage of equipment. Therefore, in order to securely transmit information from such a security threat in an M2M communication environment, a security system for authenticating devices and supporting encrypted communication between authenticated devices is required. However, the equipment installed at the factory may have low CPU performance and memory performance, and thus, a lightweight security system that can operate smoothly even with low computing power and memory performance is required.

개시된 기술이 이루고자 하는 기술적 과제는 장비들 간의 상호 인증 및 암호화 키 교환, 장비와 네트워크 장비들 간의 상호 인증 및 암호화 키 교환을 제공하는 데 있다.The technical problem to be achieved by the disclosed technology is to provide mutual authentication and encryption key exchange between equipments, mutual authentication and encryption key exchange between equipment and network equipment.

또한, 개시된 기술이 이루고자 하는 기술적 과제는 생성된 암호화 키를 이용하여 안전하게 정보를 전달하기 위한 보안 시스템을 제공하는 데 있다.In addition, the technical problem to be achieved by the disclosed technology is to provide a security system for securely delivering information using the generated encryption key.

상기의 기술적 과제를 이루기 위해 개시된 기술의 제 1 측면은, 공장 내 정보 전달을 위한 보안 방법에 있어서, (a) 제 1 자동화 장비가 상기 제 1 자동화 장비의 ID 정보가 포함된 비콘 메시지를, 제 2 자동화 장비가 상기 제 2 자동화 장비의 ID 정보가 포함된 비콘 메시지를 각각 브로드캐스팅하는 단계; (b) 상기 제 1 자동화 장비는 상기 제 2 자동화 장비의 상기 ID 정보 및 소정의 제 1 비밀키에 근거하여 보안키를 생성하고, 상기 보안키에 근거하여 제 1 인증 코드를 생성하고, 상기 제 1 인증 코드를 상기 제 2 자동화 장비에 전달하는 단계; (c) 상기 제 2 자동화 장비가 상기 제 1 자동화 장비의 상기 ID 정보 및 소정의 제 2 비밀키에 근거하여 보안키를 생성하고, 상기 보안키에 근거하여 상기 제 1 인증 코드를 생성하여 상기 제 1 자동화 장비로부터 수신한 상기 제 1 인증코드를 인증하는 단계; (d) 상기 제 2 자동화 장비가 상기 보안키, 상기 제 1 및 제 2 자동화 장비의 상기 ID 정보들에 근거하여 제 2 인증코드를 생성하여 상기 제 1 자동화 장비에 전달하는 단계; 및 (e) 상기 제 1 자동화 장비가 상기 보안키, 상기 제 1 및 제 2 자동화 장비들의 상기 ID 정보들에 근거하여 제 2 인증코드를 생성하여 상기 제 2 자동화 장비로부터 수신한 상기 제 2 인증코드를 인증하는 단계를 포함한다.According to a first aspect of the disclosed technology to achieve the above technical problem, in a security method for in-factory information transmission, (a) the first automation equipment is a beacon message containing the ID information of the first automation equipment, 2 each automation equipment broadcasting a beacon message including ID information of said second automation equipment; (b) the first automation equipment generates a security key based on the ID information of the second automation equipment and a predetermined first secret key, generates a first authentication code based on the security key, Passing an authentication code to the second automated equipment; (c) the second automation equipment generates a security key based on the ID information of the first automation equipment and a predetermined second secret key, and generates the first authentication code based on the security key to generate the first authentication code. 1 authenticating the first authentication code received from the automated equipment; (d) generating, by the second automation equipment, a second authentication code based on the security keys, the ID information of the first and second automation equipment, and delivering the second authentication code to the first automation equipment; And (e) the second authentication code generated by the first automation device based on the security keys, the ID information of the first and second automation devices, and received from the second automation device. Authenticating.

상기의 기술적 과제를 이루기 위해 개시된 기술의 제 2 측면은, 공장 내 정보 전달을 위한 보안 방법에 있어서, (a) 이동 관리자가 상기 이동 관리자의 ID 정보가 포함된 비콘 메시지를, 자동화 장비가 상기 자동화 장비의 ID 정보가 포함된 비콘 메시지를 각각 브로드캐스팅하는 단계; (b) 상기 이동 관리자는 상기 자동화 장비의 ID 정보 및 상기 이동 관리자의 비밀키에 근거하여 보안키를 생성하고, 상기 보안키에 근거하여 제 1 인증코드를 생성하고, 상기 제 1 인증코드를 상기 자동화 장비에 전달하는 단계; (c) 상기 자동화 장비가 상기 이동 관리자의 상기 ID 정보 및 상기 자동화 장비의 비밀키에 근거하여 보안키를 생성하고, 상기 보안키에 근거하여 상기 제 1 인증코드를 생성하여 상기 이동 관리자로부터 수신한 상기 제 1 인증코드를 인증하는 단계; (d) 상기 자동화 장비가 상기 보안키, 상기 이동 관리자 및 상기 자동화 장비의 상기 ID 정보들에 근거하여 제 2 인증코드를 생성하여 상기 이동 관리자에 전달하는 단계; 및 (e) 상기 이동 관리자가 상기 보안키, 상기 이동 관리자 및 상기 자동화 장비의 상기 ID 정보들에 근거하여 상기 제 2 인증코드를 생성하여 상기 자동화 장비로부터 수신한 상기 제 2 인증코드를 인증하는 단계를 포함한다.According to a second aspect of the disclosed technology to achieve the above technical problem, in a security method for in-factory information transmission, (a) a mobile manager transmits a beacon message including ID information of the mobile manager, and the automation equipment performs the automation Broadcasting a beacon message including ID information of the device, respectively; (b) the mobile manager generates a security key based on ID information of the automated equipment and the secret key of the mobile manager, generates a first authentication code based on the security key, and converts the first authentication code into the first authentication code. Delivering to automated equipment; (c) the automated device generates a security key based on the ID information of the mobile manager and the secret key of the automated device, and generates the first authentication code based on the security key to receive from the mobile manager. Authenticating the first authentication code; (d) generating, by the automation equipment, a second authentication code based on the security key, the movement manager, and the ID information of the automation equipment, and transmitting the second authentication code to the movement manager; And (e) the mobile manager generating the second authentication code based on the security key, the mobile manager, and the ID information of the automation device to authenticate the second authentication code received from the automation device. It includes.

개시된 기술은 다음의 효과를 가질 수 있다. 다만, 특정 실시예가 다음의 효과를 전부 포함하여야 한다거나 다음의 효과만을 포함하여야 한다는 의미는 아니므로, 개시된 기술의 권리범위는 이에 의하여 제한되는 것으로 이해되어서는 아니 될 것이다.The disclosed technique may have the following effects. It is to be understood, however, that the scope of the disclosed technology is not to be construed as limited thereby, as it is not meant to imply that a particular embodiment should include all of the following effects or only the following effects.

일 실시예에 따른 공장 내 정보 전달을 위한 보안 시스템 및 방법은 장비들 간의 상호 인증 및 암호화 키 교환, 장비와 네트워크 장비들 간의 상호 인증 및 암호화 키 교환을 제공할 수 있고, 생성된 암호화 키를 이용하여 안전하게 정보를 전달하기 위한 보안 시스템을 제공할 수 있다.The security system and method for in-factory information transmission according to an embodiment may provide mutual authentication and encryption key exchange between equipments, mutual authentication and encryption key exchange between equipment and network equipment, and use the generated encryption key. It can provide a security system for transmitting information safely.

또한, 일 실시예에 따른 공장 내 정보 전달을 위한 보안 시스템 및 방법은 이질적인 통신망이 혼재한 자동화 장비간 통신 네트워크 환경에서 통신 기술에 독립적인 보안 시스템을 제공할 수 있고, 자동화 장비들 간의 직접적인 통신을 통해 상호 인증 및 암호화 키 교환이 가능하기 때문에 M2M 통신 환경에서 빠른 인증 및 키 교환이 가능할 수 있다.In addition, the security system and method for in-factory information transmission according to an embodiment may provide a security system independent of the communication technology in the communication network environment between the automation equipment mixed with heterogeneous communication network, and direct communication between the automation equipment Through mutual authentication and encryption key exchange, fast authentication and key exchange may be possible in an M2M communication environment.

도 1은 본 발명의 실시예에 따른 공장 내 정보 전달을 위한 보안 시스템을 나타내는 도면이다.
도 2는 본 발명의 실시예에 따른 공장 내 정보 전달을 위한 보안 시스템을 나타내는 도면이다.
도 3은 본 발명의 실시예에 따른 공장 내 정보 전달을 위한 보안 방법을 나타내는 순서도이다.
도 4는 본 발명의 실시예에 따른 공장 내 정보 전달을 위한 보안 방법을 나타내는 도면이다.1 is a view showing a security system for delivery of information in a factory according to an embodiment of the present invention.
2 is a diagram showing a security system for information transmission in a factory according to an embodiment of the present invention.
3 is a flowchart illustrating a security method for information transmission in a factory according to an embodiment of the present invention.
4 is a diagram illustrating a security method for information transmission in a factory according to an embodiment of the present invention.

개시된 기술에 관한 설명은 구조적 내지 기능적 설명을 위한 실시예에 불과하므로, 개시된 기술의 권리범위는 본문에 설명된 실시예에 의하여 제한되는 것으로 해석되어서는 아니 된다. 즉, 실시예는 다양한 변경이 가능하고 여러 가지 형태를 가질 수 있으므로 개시된 기술의 권리범위는 기술적 사상을 실현할 수 있는 균등물들을 포함하는 것으로 이해되어야 한다.The description of the disclosed technique is merely an example for structural or functional explanation and the scope of the disclosed technology should not be construed as being limited by the embodiments described in the text. That is, the embodiments may be variously modified and may have various forms, and thus the scope of the disclosed technology should be understood to include equivalents capable of realizing the technical idea.

한편, 본 출원에서 서술되는 용어의 의미는 다음과 같이 이해되어야 할 것이다.Meanwhile, the meaning of the terms described in the present application should be understood as follows.

단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한 복수의 표현을 포함하는 것으로 이해되어야 하고, "포함하다" 또는 "가지다" 등의 용어는 설시된 특징, 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.Singular expressions should be understood to include plural expressions unless the context clearly indicates otherwise, and terms such as "include" or "have" refer to features, numbers, steps, operations, components, parts, or parts thereof described. It is to be understood that the combination is intended to be present, but not to exclude in advance the possibility of the presence or addition of one or more other features or numbers, steps, operations, components, parts or combinations thereof.

각 단계들은 문맥상 명백하게 특정 순서를 기재하지 않은 이상 명기된 순서와 다르게 일어날 수 있다. 즉, 각 단계들은 명기된 순서와 동일하게 일어날 수도 있고 실질적으로 동시에 수행될 수도 있으며 반대의 순서대로 수행될 수도 있다.Each step may occur differently from the stated order unless the context clearly dictates the specific order. That is, each step may occur in the same order as specified, may be performed substantially simultaneously, or may be performed in the reverse order.

여기서 사용되는 모든 용어들은 다르게 정의되지 않는 한, 개시된 기술이 속하는 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가진다. 일반적으로 사용되는 사전에 정의되어 있는 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한 이상적이거나 과도하게 형식적인 의미를 지니는 것으로 해석될 수 없다.
All terms used herein have the same meaning as commonly understood by one of ordinary skill in the art to which the disclosed technology belongs, unless otherwise defined. Generally, the terms defined in the dictionary used are to be interpreted to coincide with the meanings in the context of the related art, and should not be interpreted as having ideal or excessively formal meanings unless clearly defined in the present application.

도 1은 본 발명의 실시예에 따른 공장 내 정보 전달을 위한 보안 시스템을 나타내는 도면이다. 도 1을 참조하면, 기업 내부 전산망(100)은 기업 인증 서버(101) 및 중앙 정보 데이터 관리 서버(102)를 포함할 수 있다. 기업 내부 전산망(100)은 게이트웨이(103)을 통해 외부 인터넷과 연결된다. 1 is a view showing a security system for delivery of information in a factory according to an embodiment of the present invention. Referring to FIG. 1, an internal computer network 100 may include an enterprise authentication server 101 and a central information data management server 102. The corporate internal computer network 100 is connected to the external Internet through the gateway 103.

기업은 인터넷을 통해 지역적으로 분산되어 있는 공장의 지역 장비 게이트웨이(200)와 통신하며 공장 내부의 여러 장비들을 원격 관리하거나 필요한 정보를 공장 내부의 장비들로부터 수집한다. 지역 장비 게이트웨이(200)는 공장에 존재하는 다양한 자동화 장비들을 관리하고, 자동화 장비들로부터 수집된 정보를 보관하고, 중앙 정보 데이터 관리 서버(102)로 전달하는 역할을 담당한다.The enterprise communicates with the regional equipment gateway 200 of the factory, which is distributed locally through the Internet, and remotely manages various equipment in the factory or collects necessary information from the equipment inside the factory. The regional equipment gateway 200 is responsible for managing various automation equipment existing in the factory, storing information collected from the automation equipment, and delivering it to the central information data management server 102.

지역 장비 게이트웨이(200)는 공장 내부의 자동화 장비들과 통신하기 위해 무선 AP(Access Point, 이하 'AP'라 함)들(210,220)을 이용한 무선 네트워크를 구성하고, 각각의 자동화 장비들은 애드 혹 네트워크로 장비들 간에 직접적으로 통신할 수 있다. 여기에서, 자동화 장비들간에는 UWB(Ultra Wideband), Zigbee, 6LoWPAN, 와이파이를 통해 통신할 수 있다. 자동화 장비들은 지역 장비 게이트웨이(200)의 요청에 따라 필요한 정보들을 AP(210,220)를 통해 전달한다. 도 1에 나타난 자동화 장비(AM, Automatic Machine)는 서로 다른 종류에 해당할 수 있고, 대표적으로 제 1 자동화 장비(310) 및 제 2 자동화 장비(320)를 통해서 공장 내 정보 전달을 위한 보안 방법을 나타낼 수 있으며, 도 2 및 도 3에서 상세하게 설명될 것이다.The regional equipment gateway 200 forms a wireless network using wireless access points (APs) 210 and 220 to communicate with automation equipment inside a factory, and each automation equipment is an ad hoc network. This allows direct communication between devices. Here, the automation equipment can communicate via UWB (Ultra Wideband), Zigbee, 6LoWPAN, Wi-Fi. The automation equipment delivers necessary information through the APs 210 and 220 according to a request of the local equipment gateway 200. The automatic equipment (AM) shown in FIG. 1 may correspond to different types, and typically, a security method for transmitting information in a factory through the first automation equipment 310 and the second automation equipment 320. 2 and 3 will be described in detail.

도 2는 본 발명의 실시에에 따른 공장 내 정보 전달을 위한 보안 시스템을 나타내는 도면이다. 도 2를 참조하면, 공장 내 정보 전달을 위한 보안 시스템은 인증서버(101), 지역 장비 게이트웨이(200), 제 1 자동화 장비(310) 및 제 2 자동화 장비(320)를 포함한다.2 is a diagram illustrating a security system for information transmission in a factory according to an embodiment of the present invention. Referring to FIG. 2, a security system for information transmission in a factory includes an authentication server 101, a local equipment gateway 200, a first automation equipment 310, and a second automation equipment 320.

인증서버(101)는 제 1 및 제 2 자동화 장비들(310,320)을 EAP(Extensible Authentication Protocol)-TLS(Transfer Level Security)를 통해 초기 인증한다. 공장에 설치되는 자동화 장비를 인증서버(101)가 초기 인증하는 방법은 두 가지를 병행할 수 있다. 첫째는 자동화 장비가 공장에 설치되기 전에 사전에 인증서버(101)에서 생성한 초기 비밀 키를 자동화 장비에 분배한 다음에 공장에 설치하고 이후에 사전 분배한 초기 비밀 키를 이용하여 초기 인증을 수행할 수 있다. 이러한 방법을 사용할 경우 자동화 장비에는 비밀 키를 안전하게 보관할 수 있는 스마트 카드 또는 보안이 적용된 칩이 필요하다. 둘째는 EAP-TLS를 통한 초기 인증방법이 있다. 본 발명에서는 EAP-TLS를 이용하여 자동화 장비가 인증서버(101)에 초기 인증을 수행하는 것을 나타낸다. 또한, 인증서버(101)는 지역 장비 게이트웨이(200)에 자동화 장비들(310,320)의 ID 정보들 및 임시키를 전달한다. 여기에서, 인증서버(101)는 IPSEC(IP Security Protocol)로 보안된 채널을 통해 ID 정보들 및 임시키를 지역 장비 게이트웨이(200)에 전달할 수 있다.The authentication server 101 initially authenticates the first and second automation devices 310 and 320 through EAP (Extensible Authentication Protocol) -TLS (Transfer Level Security). The authentication server 101 may initially authenticate the automated equipment installed in the factory. First, before the automation equipment is installed in the factory, the initial secret key generated by the authentication server 101 is distributed to the automation equipment, and then installed in the factory, and then the initial authentication is performed using the initial secret key previously distributed. can do. In this way, the automation equipment requires a smart card or a secure chip to securely store the secret key. Secondly, there is an initial authentication method through EAP-TLS. In the present invention, it shows that the automated equipment performs the initial authentication to the authentication server 101 using the EAP-TLS. In addition, the authentication server 101 transmits the ID information and the temporary key of the automation equipments 310 and 320 to the local equipment gateway 200. Here, the authentication server 101 may transmit the ID information and the temporary key to the local device gateway 200 through a channel secured with IP Security Protocol (IPSEC).

지역 장비 게이트웨이(200)는 인증서버(101)로부터 수신한 자동화 장비들(310,320)의 ID 정보들에 근거하여 제 1 및 제 2 비밀키들을 생성하고, 제 1 자동화 장비(310)에 제 1 비밀키를 전달하고, 제 2 자동화 장비(320)에 제 2 비밀키를 전달한다. 비밀키는 자동화 장비들(310,320)이 자신의 ID 정보만을 가지고 다른 장비들과 암호화된 키를 공유하고 상호 인증하는데 사용하는 키에 해당할 수 있다.The local equipment gateway 200 generates first and second secret keys based on ID information of the automation equipments 310 and 320 received from the authentication server 101, and generates a first secret to the first automation equipment 310. Pass the key, and pass the second secret key to the second automation equipment (320). The secret key may correspond to a key used by the automation devices 310 and 320 to share and mutually authenticate an encrypted key with other devices using only their ID information.

제 1 자동화 장비(310)는 제 1 자동화 장비(310)의 ID 정보가 포함된 비콘 메시지를 브로드캐스팅하고, 제 2 자동화 장비(320)의 ID 정보 및 소정의 제 1 비밀키에 근거하여 보안키를 생성한다. 소정의 제 1 비밀키는 지역 장비 게이트웨이(200)에 의해 생성되어 제 1 자동화 장비(310)가 수신한 키에 해당한다. 보안키는 자동화 장비들(310,320)이 지역 장비 게이트웨이(200)로부터 수신한 비밀키를 이용하여 공장 내 자동화 장비들(310,320)끼리 상호 인증을 위해 사용되는 키에 해당할 수 있다. 여기에서, 보안키는 제 1 및 제 2 자동화 장비들(310,320)의 동일한 랜덤 변수 생성 장치에 기반하여 생성될 수 있다. 제 1 자동화 장비(310)는 보안키에 근거하여 제 1 인증코드를 생성하고, 제 1 인증코드를 제 2 자동화 장비(320)에 전달하고, 보안키, 제 1 및 제 2 자동화 장비들(310,320)의 ID 정보들에 근거하여 제 2 인증코드를 생성하여 제 2 자동화 장비(320)로부터 수신한 제 2 인증코드를 인증할 수 있다. 일 예로서, 제 1 자동화 장비(310)가 생성한 제 2 인증 코드가 제 2 자동화 장비(320)로부터 수신한 제 2 인증코드가 동일한 경우, 제 1 자동화 장비(310)는 제 2 자동화 장비(320)를 인증할 수 있다.The first automation equipment 310 broadcasts a beacon message including the ID information of the first automation equipment 310 and based on the ID information of the second automation equipment 320 and the predetermined first secret key. Create The predetermined first secret key is generated by the local equipment gateway 200 and corresponds to the key received by the first automation equipment 310. The security key may correspond to a key used for mutual authentication between automation equipments 310 and 320 in a factory using a secret key received by the automation equipments 310 and 320 from the local equipment gateway 200. Here, the security key may be generated based on the same random variable generating device of the first and second automation equipment (310,320). The first automation equipment 310 generates a first authentication code based on the security key, transfers the first authentication code to the second automation equipment 320, and the security key, first and second automation equipment 310, 320. The second authentication code received from the second automation equipment 320 may be authenticated by generating a second authentication code based on the ID information of. As an example, when the second authentication code generated by the first automation equipment 310 is the same as the second authentication code received from the second automation equipment 320, the first automation equipment 310 may be configured as the second automation equipment ( 320).

제 2 자동화 장비(320)는 제 2 자동화 장비(320)의 ID 정보가 포함된 비콘 메시지를 브로드캐스팅하고, 제 1 자동화 장비(310)의 ID 정보 및 소정의 제 2 비밀키에 근거하여 보안키를 생성한다. 소정의 제 2 비밀키는 지역 장비 게이트웨이(200)에 의해 생성되어 제 2 자동화 장비(320)가 수신한 키에 해당한다. 제 2 자동화 장비(320)는 보안키에 근거하여 제 1 인증코드를 생성하여 제 1 자동화 장비(310)로부터 수신한 제 1 인증코드를 인증하고, 보안키, 제 1 및 제 2 자동화 장비들(310,320)의 ID 정보들에 근거하여 제 2 인증코드를 생성하여 제 1 자동화 장비(310)에 전달한다. 일 예로서, 제 2 자동화 장비(320)가 생성한 제 1 인증 코드가 제 1 자동화 장비(310)로부터 수신한 제 1 인증 코드가 동일한 경우, 제 2 자동화 장비(320)는 제 1 자동화 장비(310)를 인증할 수 있다.The second automation equipment 320 broadcasts a beacon message including the ID information of the second automation equipment 320 and based on the ID information of the first automation equipment 310 and the predetermined second secret key. Create The predetermined second secret key is generated by the local equipment gateway 200 and corresponds to the key received by the second automation equipment 320. The second automation equipment 320 generates a first authentication code based on the security key to authenticate the first authentication code received from the first automation equipment 310, and the security key, the first and second automation equipment ( The second authentication code is generated based on the ID information of 310 and 320 and transmitted to the first automation equipment 310. As an example, when the first authentication code generated by the second automation equipment 320 is the same as the first authentication code received from the first automation equipment 310, the second automation equipment 320 may include the first automation equipment ( 310 may be authenticated.

제 1 및 제 2 자동화 장비들(310,320)는 공장 내 정보 전달을 위한 보안 시스템을 통하여, 인증 서버(101)의 도움없이 상호 인증 및 보안키, 인증코드 등의 암호화 키를 공유할 수 있기 때문에 통신 오버헤드 및 메시지 오버헤드를 줄일 수 있다.
Since the first and second automation devices 310 and 320 can share encryption keys such as mutual authentication and security keys and authentication codes without the help of the authentication server 101 through a security system for information transmission in a factory, Overhead and message overhead can be reduced.

도 3은 본 발명의 실시예에 따른 공장 내 정보 전달을 위한 보안 방법을 나타내는 순서도이다. 도 3을 참조하면, 제 1 자동화 장비(310) 및 제 2 자동화 장비(320)는 EAP(Extensible Authentication Protocol)-TLS(Transfer Level Security)를 통해 인증 서버(101)에 초기 인증한다(S205,S210). 공장에 설치되는 자동화 장비를 인증서버(101)가 초기 인증하는 방법은 두 가지를 병행할 수 있다. 첫째는 자동화 장비가 공장에 설치되기 전에 사전에 인증서버(101)에서 생성한 초기 비밀 키를 자동화 장비에 분배한 다음에 공장에 설치하고 이후에 사전 분배한 초기 비밀 키를 이용하여 초기 인증을 수행할 수 있다. 이러한 방법을 사용할 경우 자동화 장비에는 비밀 키를 안전하게 보관할 수 있는 스마트 카드 또는 보안이 적용된 칩이 필요하다. 둘째는 EAP-TLS를 통한 초기 인증방법이 있다. 본 발명에서는 EAP-TLS를 이용하여 자동화 장비가 인증서버(101)에 초기 인증을 수행하는 것을 나타내며, 이 분야에 종사하는 자라면 충분히 이해할 수 있을 것이다.3 is a flowchart illustrating a security method for information transmission in a factory according to an embodiment of the present invention. Referring to FIG. 3, the first automation equipment 310 and the second automation equipment 320 initially authenticate to the authentication server 101 through EAP (Extensible Authentication Protocol) -TLS (Transfer Level Security) (S205, S210). ). The authentication server 101 may initially authenticate the automated equipment installed in the factory. First, before the automation equipment is installed in the factory, the initial secret key generated by the authentication server 101 is distributed to the automation equipment, and then installed in the factory, and then the initial authentication is performed using the initial secret key previously distributed. can do. In this way, the automation equipment requires a smart card or a secure chip to securely store the secret key. Secondly, there is an initial authentication method through EAP-TLS. In the present invention, using the EAP-TLS indicates that the automated equipment performs the initial authentication to the authentication server 101, those skilled in the art will fully understand.

인증 서버(101)는 지역 장비 게이트웨이(200)에 제 1 및 제 2 자동화 장비들(310,320)의 ID 정보들 및 임시키를 전달한다(S215). 여기에서, 인증서버(101)는 IPSEC(IP Security Protocol)로 보안된 채널을 통해 ID 정보들 및 임시키를 지역 장비 게이트웨이(200)에 전달할 수 있다.The authentication server 101 transmits ID information and temporary key of the first and second automation devices 310 and 320 to the local device gateway 200 (S215). Here, the authentication server 101 may transmit the ID information and the temporary key to the local device gateway 200 through a channel secured with IP Security Protocol (IPSEC).

지역 장비 게이트웨이(200)는 제 1 및 제 2 자동화 장비들(310,320)의 ID 정보들에 근거하여 제 1 및 제 2 비밀키들을 생성한다(S220). 지역 장비 게이트웨이(200)는 Maurer와 Yacob이 제안한 ID 기반의 서명 기법을 이용하여 다음 수학식 1과 같이 비밀키를 생성할 수 있다. 여기에서, 지역 장비 게이트웨이(200)에 의해 생성되는 비밀키는 제 1 자동화 장비(310)를 위해 제 1 비밀키, 제 2 자동화 장비(320)를 위해 제 2 비밀키를 생성될 수 있다.The local equipment gateway 200 generates first and second secret keys based on ID information of the first and second automation equipments 310 and 320 (S220). The local device gateway 200 may generate a secret key as shown in Equation 1 using an ID-based signature scheme proposed by Maurer and Yacob. Here, the secret key generated by the local equipment gateway 200 may generate a first secret key for the first automation equipment 310 and a second secret key for the second automation equipment 320.

Figure pat00001
Figure pat00001

Figure pat00002
Figure pat00002

수학식 1에서 사용된 SK(Secret Key)는 비밀키를 나타내며, AM(Automatic Machine)은 자동화 장비를 나타내며, ri는 비밀키를 생성하기 위해 사용하는 임의의 수로 지역 장비 게이트웨이(200)에서 비밀키를 생성할 때 임의로 선택될 수 있다. SK (Secret Key) used in Equation 1 represents the secret key, AM (Automatic Machine) represents the automation equipment, r i is an arbitrary number used to generate a secret key secret at the local equipment gateway 200 It can be chosen arbitrarily when generating a key.

지역 장비 게이트웨이(200)는 제 1 비밀키를 임시키로 암호화하여 제 1 자동화 장비(310)에 전달하고(S225), 제 2 비밀키를 임시키로 암호화하여 제 2 자동화 장비에 전달한다(S230).The local device gateway 200 encrypts the first secret key with the temporary key and transmits the first secret device 310 to the first automation equipment 310 (S225), and encrypts the second secret key with the temporary key and transmits the second private key to the second automation equipment (S230).

제 1 자동화 장비(310)가 제 1 자동화 장비(310)의 ID 정보가 포함된 비콘 메시지를, 제 2 자동화 장비(320)가 제 2 자동화 장비(320)의 ID 정보가 포함된 비콘 메시지를 각각 브로드캐스팅한다(S235). 보다 상세하게는, 자동화 장비들(310,320)은 자신의 주변 자동화 장비와 암호화 통신을 위한 보안 채널을 형성하기 위하여 비콘 메시지를 주기적으로 브로드캐스팅하며, 비콘 메시지에는 자동화 장비들(310,320)이 자신의 ID 정보를 포함하여 브로드캐스팅할 수 있다.The first automation equipment 310 sends a beacon message including ID information of the first automation equipment 310, and the second automation equipment 320 sends a beacon message including ID information of the second automation equipment 320, respectively. Broadcast (S235). More specifically, the automation devices 310 and 320 periodically broadcast a beacon message to form a secure channel for encrypted communication with their peripheral automation device, and the automation devices 310 and 320 have their IDs. You can broadcast it with information.

제 1 자동화 장비(310)는 제 2 자동화 장비(320)의 ID 정보 및 소정의 제 1 비밀키에 근거하여 보안키를 생성하고, 보안키에 근거하여 제 1 인증 코드를 생성하고(S240), 제 1 자동화 장비(310)는 제 2 자동화 장비(320)에 제 1 인증 코드를 전달한다(S245).제 1 자동화 장비(310)는 제 2 자동화 장비(320)가 브로드캐스팅하는 비콘 메시지를 수신하면, 상호 인증을 위해 제 2 자동화 장비(320)의 ID 정보를 이용하여 보안키를 수학식 2와 같이 생성할 수 있다.The first automation equipment 310 generates a security key based on the ID information of the second automation equipment 320 and the predetermined first secret key, generates a first authentication code based on the security key (S240), The first automation equipment 310 transmits the first authentication code to the second automation equipment 320 (S245). The first automation equipment 310 receives a beacon message broadcast by the second automation equipment 320. In this case, a security key may be generated as shown in Equation 2 by using ID information of the second automation device 320 for mutual authentication.

Figure pat00003
Figure pat00003

수학식 2에서 사용된 SSK(Secure Sesseion Key)는 보안키이며, Ki는 매번 다른 보안키를 생성하기 위하여 보안키를 생성하는 자동화 장비가 임의로 선택하는 임의의 수에 해당한다. 수학식 2에서 보안키를 생성한 다음, 보안키와 보안키를 생성하기 위한 Ki를 포함하여 제 1 인증코드를 수학식 3과 같이 생성할 수 있다.The SSK (Secure Sesseion Key) used in Equation 2 is a security key, and K i corresponds to an arbitrary number arbitrarily selected by the automation equipment generating the security key to generate a different security key each time. After the security key is generated in Equation 2, the first authentication code may be generated as shown in Equation 3 including K i for generating the security key and the security key.

Figure pat00004
Figure pat00004

수학식 3에서 사용된 MACAM1(Message Authentication Code)는 제 1 인증코드에 해당하고, Ki는 매번 다른 보안키를 생성하기 위하여 보안키를 생성하는 자동화 장비가 임의로 선택하는 임의의 수에 해당한다. 제1 자동화 장비(310)는 수학식 3을 통해 생성된 제 1 인증 코드를 제 2 자동화 장비(320)로 전달한다.MAC AM1 (Message Authentication Code) used in Equation 3 corresponds to the first authentication code, and K i corresponds to an arbitrary number arbitrarily selected by the automation equipment generating the security key to generate a different security key each time. . The first automation equipment 310 transmits the first authentication code generated through Equation 3 to the second automation equipment 320.

제 2 자동화 장비(320)는 제 1 자동화 장비(310)의 ID 정보 및 소정의 제 2 비밀키에 근거하여 보안키를 생성하고, 보안키에 근거하여 제 1 인증 코드를 생성하고, 제 1 자동화 장비(310)로부터 수신한 제 1 인증코드를 인증한다(S250). 보다 상세하게는, 제 2 자동화 장비(320)가 생성한 제 1 인증 코드와 제 1 자동화 장비(310)로부터 수신한 제 1 인증 코드가 동일한 경우, 제 2 자동화 장비(320)는 제 1 자동화 장비(310)를 인증한다. 제 1 자동화 장비(310)는 제 2 자동화 장비(320)가 브로드캐스팅하는 비콘 메시지를 수신하면, 상호 인증을 수신하기 위해 제 2 자동화 장비(320)의 ID 정보를 이용하여 보안키를 수학식 4와 같이 생성할 수 있다.The second automation equipment 320 generates a security key based on the ID information of the first automation equipment 310 and the predetermined second secret key, generates a first authentication code based on the security key, and generates the first automation. The first authentication code received from the device 310 to authenticate (S250). More specifically, when the first authentication code generated by the second automation equipment 320 and the first authentication code received from the first automation equipment 310 are the same, the second automation equipment 320 is the first automation equipment. Authenticate 310. When the first automation equipment 310 receives the beacon message broadcast by the second automation equipment 320, the first automation equipment 310 uses the ID information of the second automation equipment 320 to receive mutual authentication. Can be generated as

Figure pat00005
Figure pat00005

수학식 4에서 사용된 SSK는 보안키이며, Ki는 매번 다른 보안키를 생성하기 위하여 보안키를 생성하는 자동화 장비가 임의로 선택하는 임의의 수에 해당한다. 수학식 2에서 생성된 보안키와 수학식 4에서 생성된 보안키는 동일한 알고리즘에 의해 생성된 동일한 키에 해당할 수 있다. 수학식 4에서 보안키를 생성한 이후, 보안키와 보안키를 생성하기 위한 Ki를 포함하여 제 1 인증코드를 수학식 5과 같이 생성할 수 있다. The SSK used in Equation 4 is a security key, and K i corresponds to an arbitrary number arbitrarily selected by the automated equipment generating the security key to generate a different security key each time. The security key generated in Equation 2 and the security key generated in Equation 4 may correspond to the same key generated by the same algorithm. After generating the security key in Equation 4, the first authentication code can be generated as shown in Equation 5 including K i for generating the security key and the security key.

Figure pat00006
Figure pat00006

수학식 5에서 사용된 MACAM1(Message Authentication Code)는 제 1 인증코드에 해당하고, Ki는 매번 다른 보안키를 생성하기 위하여 보안키를 생성하는 자동화 장비가 임의로 선택하는 임의의 수에 해당한다. 수학식 5에서 생성된 제 1 인증코드와 제 1 자동화 장비(310)로부터 수신한 수학식 3에서 생성된 제 1 인증코드가 동일한 경우, 제 2 자동화 장비(320)는 제 1 자동화 장비(310)를 인증할 수 있다.MAC AM1 (Message Authentication Code) used in Equation 5 corresponds to the first authentication code, and K i corresponds to an arbitrary number arbitrarily selected by the automation equipment generating the security key to generate a different security key each time. . When the first authentication code generated in Equation 5 and the first authentication code generated in Equation 3 received from the first automation equipment 310 are the same, the second automation equipment 320 is the first automation equipment 310. Can be authenticated.

제 2 자동화 장비(320)는 제 1 및 제 2 자동화 장비들(310,320)의 ID 정보들에 근거하여 제 2 인증코드를 생성하고(S255),제 2 자동화 장비(320)는 제 1 자동화 장비(310)에 제 2 인증 코드를 전달한다(S260). 제 2 자동화 장비(320)는 수학식 6과 같이 제 2 인증 코드를 생성할 수 있다.The second automation equipment 320 generates a second authentication code based on ID information of the first and second automation equipments 310 and 320 (S255), and the second automation equipment 320 generates the first automation equipment ( The second authentication code is transmitted to 310 (S260). The second automation equipment 320 may generate a second authentication code as shown in Equation 6.

Figure pat00007
Figure pat00007

수학식 6에서 사용된 MACAM2 (Message Authentication Code)는 제 2 인증코드에 해당하고, Ki는 매번 다른 보안키를 생성하기 위하여 보안키를 생성하는 자동화 장비가 임의로 선택하는 임의의 수에 해당한다.MAC AM2 ( Message Authentication Code) used in Equation 6 corresponds to the second authentication code, and K i corresponds to an arbitrary number arbitrarily selected by the automation equipment generating the security key to generate a different security key each time. .

제 1 자동화 장비(310)는 보안키, 제 1 및 제 2 자동화 장비들(310,320)의 ID 정보들에 근거하여 제 2 인증코드를 생성하여 제 2 자동화 장비(320)로부터 수신한 제 2 인증코드를 인증한다(S265). 보다 상세하게는, 제 1 자동화 장비(310)가 생성한 제 2 인증 코드와 제 2 자동화 장비(320)로부터 수신한 제 2 인증 코드가 동일한 경우, 제 1 자동화 장비(310)가 제 2 자동화 장비(320)를 인증한다. 제 1 자동화 장비(310)는 수학식 7과 같이 제 2 인증코드를 생성할 수 있다.The first automation equipment 310 generates a second authentication code based on the security keys, ID information of the first and second automation equipments 310 and 320, and receives the second authentication code received from the second automation equipment 320. Authenticate (S265). More specifically, when the second authentication code generated by the first automation equipment 310 and the second authentication code received from the second automation equipment 320 are the same, the first automation equipment 310 is the second automation equipment. Authenticate 320. The first automation equipment 310 may generate a second authentication code as shown in Equation (7).

Figure pat00008
Figure pat00008

수학식 7에서 사용된 MACAM2 (Message Authentication Code)는 제 2 인증코드에 해당하고, Ki는 매번 다른 보안키를 생성하기 위하여 보안키를 생성하는 자동화 장비가 임의로 선택하는 임의의 수에 해당한다. 제 1 자동화 장비(310)는 수학식 7에서 생성된 제 2 인증코드와 제 2 자동화 장비(320)로부터 수신한 제 2 인증코드가 동일한 경우, 제 2 자동화 장비(310)를 인증할 수 있다. MAC AM2 ( Message Authentication Code) used in Equation 7 corresponds to the second authentication code, and K i corresponds to an arbitrary number arbitrarily selected by the automation equipment generating the security key to generate a different security key each time. . When the second authentication code generated in Equation 7 and the second authentication code received from the second automation equipment 320 are the same, the first automation equipment 310 may authenticate the second automation equipment 310.

상기의 과정을 통해 공장에 설치된 자동화 장비들(310,320)은 자체적으로 상호 인증할 수 있고, 비밀키, 보안키, 인증코드와 같은 암호화 키를 인증서버(101)의 도움없이 생성 및 공유 가능하다.
Through the above process, the automated equipments 310 and 320 installed in the factory may mutually authenticate themselves, and generate and share an encryption key such as a secret key, a security key, and an authentication code without the help of the authentication server 101.

도 4는 본 발명의 실시예에 따른 공장 내 정보 전달을 위한 보안 방법을 나타내는 도면이다. 도 4를 참조하면, 인증 서버(101)로부터 인증받은 이동 관리자(400)가 공장을 방문하여 필요한 정보를 직접 수집하고, 이동 관리자(400)가 소유하고 있는 이동 단말의 모바일 통신 인터페이스를 통해 중앙 정보 데이터 관리 서버(102)로 데이터를 전달한다. 이동 관리자(400)가 사용하는 이동 단말은 PDA, 스마트폰, 노트북 등 모바일 통신이 가능한 단말을 포함하고, 모바일 통신은 와이파이, 와이브로(WiBro), 와이맥스(Wi-Max), 쓰리지피피(3GPP) 등을 포함할 수 있다.4 is a diagram illustrating a security method for information transmission in a factory according to an embodiment of the present invention. Referring to FIG. 4, a mobile manager 400 authenticated by the authentication server 101 visits a factory and collects necessary information directly, and provides central information through a mobile communication interface of a mobile terminal owned by the mobile manager 400. Transfer data to the data management server 102. The mobile terminal used by the mobile manager 400 includes a terminal capable of mobile communication such as a PDA, a smartphone, a laptop, and the like, and the mobile communication includes Wi-Fi, WiBro, Wi-Max, and 3GPP. And the like.

이동 관리자(400)는 인증 서버(101)로부터 인증을 받는다(S410). 이동 관리자(400) 및 자동화 장비(310)는 EAP(Extensible Authentication Protocol)-TLS(Transfer Level Security)를 통해 인증 서버(101)에 초기 인증을 받는다. 이동 관리자(400) 및 자동화 장비(310)의 인증 서버(101)에 대한 초기 인증은 동시적이지 않을 수 있다.The movement manager 400 receives an authentication from the authentication server 101 (S410). The mobile manager 400 and the automation equipment 310 receive initial authentication with the authentication server 101 through Extensible Authentication Protocol (EAP) -Transfer Level Security (TLS). Initial authentication to the authentication server 101 of the mobile manager 400 and the automation equipment 310 may not be simultaneous.

지역 장비 게이트웨이(200)는 인증 서버로부터 이동 관리자(400) 및 자동화 장비(310)의 ID 정보들 및 임시키를 수신하여 ID 정보들에 근거하여 이동 관리자(400) 및 자동화 장비(310)의 비밀키를 생성한다(S420). 여기에서, 인증서버(101)는 IPSEC(IP Security Protocol)로 보안된 채널을 통해 ID 정보들 및 임시키를 지역 장비 게이트웨이(200)에 전달할 수 있다. 지역 장비 게이트웨이(200)는 이동 관리자(400)의 비밀키를 임시키로 암호화하여 이동 관리자(400)에 전달하고(S430), 자동화 장비(310)의 비밀키를 임시키로 암호화하여 자동화 장비(310)에 전달한다.The regional equipment gateway 200 receives the ID information and the temporary key of the mobile manager 400 and the automation equipment 310 from the authentication server and secrets the mobile manager 400 and the automation equipment 310 based on the ID information. A key is generated (S420). Here, the authentication server 101 may transmit the ID information and the temporary key to the local device gateway 200 through a channel secured with IP Security Protocol (IPSEC). The local equipment gateway 200 encrypts the secret key of the mobile manager 400 as a temporary key and transmits the secret key of the mobile manager 400 to the mobile manager 400 (S430), and encrypts the private key of the automation equipment 310 as a temporary key to automate the equipment 310. To pass on.

비밀키를 발급받은 이동 관리자(400)는 해당 공장으로 이동하여, 공장에서 필요한 정보를 이동 관리자(400)가 가진 이동 단말과 공장의 자동화 장비(310)가 직접 암호화 통신을 하며 주고 받게 된다(S440). 도 3에 나타난 제 1 자동화 장비(310) 및 제 2 자동화 장비(320) 간의 상호 인증과정은 이동 관리자(400) 및 자동화 장비(310) 간의 상호 인증과정에 동일하게 적용될 수 있다.
The mobile manager 400, which has been issued a secret key, moves to the corresponding factory, and the mobile terminal having the mobile manager 400 and the automation device 310 of the factory communicate directly with each other through encrypted communication (S440). ). The mutual authentication process between the first automation equipment 310 and the second automation equipment 320 shown in FIG. 3 may be equally applied to the mutual authentication process between the mobile manager 400 and the automation equipment 310.

상기에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
It will be apparent to those skilled in the art that various modifications and variations can be made in the present invention without departing from the spirit or scope of the present invention as defined by the following claims It can be understood that

101 : 인증서버 200 : 지역 장비 게이트웨이
310 : 제 1 자동화 장비 320 : 제 2 자동화 장비
400 : 이동 관리자101: authentication server 200: regional equipment gateway
310: first automation equipment 320: second automation equipment
400: move manager

Claims (18)

(a) 제 1 자동화 장비가 상기 제 1 자동화 장비의 ID 정보가 포함된 비콘 메시지를, 제 2 자동화 장비가 상기 제 2 자동화 장비의 ID 정보가 포함된 비콘 메시지를 각각 브로드캐스팅하는 단계;
(b) 상기 제 1 자동화 장비는 상기 제 2 자동화 장비의 상기 ID 정보 및 소정의 제 1 비밀키에 근거하여 보안키를 생성하고, 상기 보안키에 근거하여 제 1 인증 코드를 생성하고, 상기 제 1 인증 코드를 상기 제 2 자동화 장비에 전달하는 단계;
(c) 상기 제 2 자동화 장비가 상기 제 1 자동화 장비의 상기 ID 정보 및 소정의 제 2 비밀키에 근거하여 보안키를 생성하고, 상기 보안키에 근거하여 상기 제 1 인증 코드를 생성하여 상기 제 1 자동화 장비로부터 수신한 상기 제 1 인증코드를 인증하는 단계;
(d) 상기 제 2 자동화 장비가 상기 보안키, 상기 제 1 및 제 2 자동화 장비들의 상기 ID 정보들에 근거하여 제 2 인증코드를 생성하여 상기 제 1 자동화 장비에 전달하는 단계; 및
(e) 상기 제 1 자동화 장비가 상기 보안키, 상기 제 1 및 제 2 자동화 장비들의 상기 ID 정보들에 근거하여 제 2 인증코드를 생성하여 상기 제 2 자동화 장비로부터 수신한 상기 제 2 인증코드를 인증하는 단계를 포함하는 공장 내 정보 전달을 위한 보안 방법.(a) the first automation equipment broadcasting a beacon message including ID information of the first automation equipment and the second automation equipment broadcasting a beacon message including ID information of the second automation equipment;
(b) the first automation equipment generates a security key based on the ID information of the second automation equipment and a predetermined first secret key, generates a first authentication code based on the security key, Passing an authentication code to the second automated equipment;
(c) the second automation equipment generates a security key based on the ID information of the first automation equipment and a predetermined second secret key, and generates the first authentication code based on the security key to generate the first authentication code. 1 authenticating the first authentication code received from the automated equipment;
(d) generating, by the second automation equipment, a second authentication code based on the security keys, the ID information of the first and second automation equipments, and transmitting the second authentication code to the first automation equipment; And
(e) the first automation equipment generates a second authentication code based on the security key, the ID information of the first and second automation equipment, and receives the second authentication code received from the second automation equipment. Security method for delivery of information in the factory, including authenticating. 제 1 항에 있어서,
상기 (a) 단계는
(a1) 상기 제 1 및 제 2 자동화 장비들이 EAP(Extensible Authentication Protocol)-TLS(Transfer Level Security)를 통해 인증 서버에 초기 인증하는 단계;
(a2) 지역 장비 게이트웨이가 상기 인증 서버로부터 상기 제 1 및 제 2 자동화 장비들의 상기 ID 정보들 및 임시키를 수신하는 단계;
(a3) 상기 지역 장비 게이트웨이가 상기 ID 정보들에 근거하여 상기 제 1 및 제 2 비밀키들을 생성하는 단계; 및
(a4) 상기 지역 장비 게이트웨이가 상기 제 1 비밀키를 상기 임시키로 암호화하여 상기 제 1 자동화 장비에 전달하고, 상기 제 2 비밀키를 상기 임시키로 암호화하여 상기 제 2 자동화 장비에 전달하는 단계를 더 포함하는 공장 내 정보 전달을 위한 보안 방법.The method of claim 1,
The step (a)
(a1) initial authentication by the first and second automation devices to an authentication server through Extensible Authentication Protocol (EAP) -Transfer Level Security (TLS);
(a2) receiving, by the local equipment gateway, the ID information and the temporary key of the first and second automation equipment from the authentication server;
(a3) the local equipment gateway generating the first and second secret keys based on the ID information; And
(a4) the local equipment gateway encrypting the first secret key with the temporary key and transmitting the encrypted data to the first automation device, and encrypting the second secret key with the temporary key and delivering the second private device to the second automation equipment. Including security method for in-house information delivery. 제 2 항에 있어서,
상기 (a2) 단계는
상기 지역 장비 게이트웨이가 IPSEC(IP Security Protocol)로 보안된 채널을 통해 상기 ID 정보들 및 상기 임시키를 수신하는 공장 내 정보 전달을 위한 보안 방법.The method of claim 2,
Step (a2) is
And the local equipment gateway receiving the ID information and the temporary key through a channel secured with IP Security Protocol (IPSEC). 제 1 항에 있어서,
상기 제 1 및 제 2 자동화 장비들에 의해 생성된 보안키는 동일한 랜덤 변수 생성 장치에 기반하는 공장 내 정보 전달을 위한 보안 방법.The method of claim 1,
And a security key generated by the first and second automation equipment is based on the same random variable generating device. 제 1 항에 있어서,
상기 (c) 단계는
상기 제 2 자동화 장비가 생성한 상기 제 1 인증 코드와 상기 제 1 자동화 장비로부터 수신한 상기 제 1 인증 코드가 동일한 경우, 상기 제 2 자동화 장비가 상기 제 1 자동화 장비를 인증하는 공장 내 정보 전달을 위한 보안 방법.The method of claim 1,
The step (c)
When the first authentication code generated by the second automation equipment and the first authentication code received from the first automation equipment are the same, the second automation equipment may transmit information in a factory that authenticates the first automation equipment. Security method for 제 1 항에 있어서,
상기 (e) 단계는
상기 제 1 자동화 장비가 생성한 상기 제 2 인증 코드와 상기 제 2 자동화 장비로부터 수신한 상기 제 2 인증 코드가 동일한 경우, 상기 제 1 자동화 장비가 상기 제 2 자동화 장비를 인증하는 공장 내 정보 전달을 위한 보안 방법.The method of claim 1,
The step (e)
When the second authentication code generated by the first automation equipment and the second authentication code received from the second automation equipment are the same, the first automation equipment may transmit information in a factory that authenticates the second automation equipment. Security method for 제 1 자동화 장비의 ID 정보가 포함된 비콘 메시지를 브로드캐스팅하고, 제 2 자동화 장비의 ID 정보 및 소정의 제 1 비밀키에 근거하여 보안키를 생성하고, 상기 보안키에 근거하여 제 1 인증코드를 생성하고, 상기 제 1 인증코드를 상기 제 2 자동화 장비에 전달하고, 상기 보안키, 상기 제 1 및 제 2 자동화 장비들의 상기 ID 정보들에 근거하여 제 2 인증코드를 생성하여 상기 제 2 자동화 장비로부터 수신한 제 2 인증코드를 인증하는 제 1 자동화 장비; 및
상기 제 2 자동화 장비의 ID 정보가 포함된 비콘 메시지를 브로드캐스팅하고, 상기 제 1 자동화 장비의 상기 ID 정보 및 소정의 제 2 비밀키에 근거하여 보안키를 생성하고, 상기 보안키에 근거하여 상기 제 1 인증 코드를 생성하여 상기 제 1 자동화 장비로부터 수신한 상기 제 1 인증코드를 인증하고, 상기 보안키, 상기 제 1 및 제 2 자동화 장비들의 상기 ID 정보들에 근거하여 상기 제 2 인증코드를 생성하여 상기 제 1 자동화 장비에 전달하는 제 2 자동화 장비를 포함하는 공장 내 정보 전달을 위한 보안 시스템.Broadcasting a beacon message including the ID information of the first automation equipment, generating a security key based on the ID information of the second automation equipment and a predetermined first secret key, and based on the security key, a first authentication code Generate and transmit the first authentication code to the second automation device, generate a second authentication code based on the security information, the ID information of the first and second automation devices, and generate the second automation device. First automation equipment for authenticating a second authentication code received from the equipment; And
Broadcasting a beacon message including ID information of the second automation device, generating a security key based on the ID information of the first automation device and a predetermined second secret key, and based on the security key, Generate a first authentication code to authenticate the first authentication code received from the first automation equipment, and generate the second authentication code based on the security key, the ID information of the first and second automation equipment. A security system for in-factory information delivery comprising a second automation equipment to generate and deliver to the first automation equipment. 제 7 항에 있어서,
상기 제 1 및 제 2 자동화 장비들을 EAP(Extensible Authentication Protocol)-TLS(Transfer Level Security)를 통해 초기 인증하고, 상기 지역 장비 게이트웨이에 상기 제 1 및 제 2 자동화 장비들의 상기 ID 정보들 및 임시키를 전달하는 인증 서버; 및
상기 ID 정보들에 근거하여 상기 제 1 및 제 2 비밀키들을 생성하고, 상기 제 1 자동화 장비에 상기 제 1 비밀키를 전달하고, 상기 제 2 자동화 장비에 상기 제 2 비밀키를 전달하는 지역 장비 게이트웨이를 더 포함하는 공장 내 정보 전달을 위한 보안 시스템.The method of claim 7, wherein
Initially authenticate the first and second automation devices through Extensible Authentication Protocol (EAP) -Transfer Level Security (TLS), and provide the local device gateway with the ID information and temporary key of the first and second automation devices. An authentication server for transmitting; And
Local equipment that generates the first and second secret keys based on the ID information, delivers the first secret key to the first automation equipment, and delivers the second secret key to the second automation equipment. Security system for in-house information delivery further comprising a gateway. 제 8 항에 있어서,
상기 인증 서버는
IPSEC(IP Security Protocol)로 보안된 채널을 통해 상기 ID 정보들 및 상기 임시키를 전달하는 공장 내 정보 전달을 위한 보안 시스템.The method of claim 8,
The authentication server
Security system for in-house information delivery to deliver the ID information and the temporary key through a channel secured with IP Security Protocol (IPSEC). 제 7 항에 있어서,
상기 제 1 및 제 2 자동화 장비들에 의해 생성된 보안키는 동일한 랜덤 변수 생성 장치에 기반하는 공장 내 정보 전달을 위한 보안 시스템.The method of claim 7, wherein
And a security key generated by the first and second automation equipment is based on the same random variable generating device. 제 7 항에 있어서,
상기 제 1 자동화 장비는
상기 제 1 자동화 장비가 생성한 상기 제 2 인증 코드와 상기 제 2 자동화 장비로부터 수신한 상기 제 2 인증 코드가 동일한 경우, 상기 제 2 자동화 장비를 인증하는 공장 내 정보 전달을 위한 보안 시스템.The method of claim 7, wherein
The first automation equipment
And if the second authentication code generated by the first automation equipment and the second authentication code received from the second automation equipment are the same, authenticating the second automation equipment. 제 7 항에 있어서,
상기 제 2 자동화 장비는
상기 제 2 자동화 장비가 생성한 상기 제 1 인증 코드와 상기 제 1 자동화 장비로부터 수신한 상기 제 1 인증 코드가 동일한 경우, 상기 제 1 자동화 장비를 인증하는 공장 내 정보 전달을 위한 보안 시스템.The method of claim 7, wherein
The second automation equipment
And when the first authentication code generated by the second automation equipment and the first authentication code received from the first automation equipment are the same, authenticating the first automation equipment. (a) 이동 관리자가 상기 이동 관리자의 ID 정보가 포함된 비콘 메시지를, 자동화 장비가 상기 자동화 장비의 ID 정보가 포함된 비콘 메시지를 각각 브로드캐스팅하는 단계;
(b) 상기 이동 관리자는 상기 자동화 장비의 ID 정보 및 상기 이동 관리자의 비밀키에 근거하여 보안키를 생성하고, 상기 보안키에 근거하여 제 1 인증코드를 생성하고, 상기 제 1 인증코드를 상기 자동화 장비에 전달하는 단계;
(c) 상기 자동화 장비가 상기 이동 관리자의 상기 ID 정보 및 상기 자동화 장비의 비밀키에 근거하여 보안키를 생성하고, 상기 보안키에 근거하여 상기 제 1 인증코드를 생성하여 상기 이동 관리자로부터 수신한 상기 제 1 인증코드를 인증하는 단계;
(d) 상기 자동화 장비가 상기 보안키, 상기 이동 관리자 및 상기 자동화 장비의 상기 ID 정보들에 근거하여 제 2 인증코드를 생성하여 상기 이동 관리자에 전달하는 단계; 및
(e) 상기 이동 관리자가 상기 보안키, 상기 이동 관리자 및 상기 자동화 장비의 상기 ID 정보들에 근거하여 상기 제 2 인증코드를 생성하여 상기 자동화 장비로부터 수신한 상기 제 2 인증코드를 인증하는 단계를 포함하는 공장 내 정보 전달을 위한 보안 방법.(a) the mobile manager broadcasting a beacon message including the ID information of the mobile manager, and the automation device broadcasting a beacon message including the ID information of the automation device;
(b) the mobile manager generates a security key based on ID information of the automated equipment and the secret key of the mobile manager, generates a first authentication code based on the security key, and converts the first authentication code into the first authentication code. Delivering to automated equipment;
(c) the automated device generates a security key based on the ID information of the mobile manager and the secret key of the automated device, and generates the first authentication code based on the security key to receive from the mobile manager. Authenticating the first authentication code;
(d) generating, by the automation equipment, a second authentication code based on the security key, the movement manager, and the ID information of the automation equipment, and transmitting the second authentication code to the movement manager; And
(e) the mobile manager generating the second authentication code based on the security key, the mobile manager, and the ID information of the automation device to authenticate the second authentication code received from the automation device; Including security method for in-house information delivery. 제 13 항에 있어서,
상기 (a) 단계는
(a1) 이동 관리자 및 자동화 장비가 EAP(Extensible Authentication Protocol)-TLS(Transfer Level Security)를 통해 인증 서버에 초기 인증하는 단계;
(a2) 지역 장비 게이트웨이가 상기 인증 서버로부터 상기 이동 관리자 및 상기 자동화 장비의 ID 정보 및 임시키를 수신하는 단계;
(a3) 상기 지역 장비 게이트웨이가 상기 ID 정보들에 근거하여 상기 이동 관리자의 비밀키 및 상기 자동화 장비의 비밀키를 생성하는 단계; 및
(a4) 상기 지역 장비 게이트웨이가 상기 이동 관리자의 상기 비밀키를 상기 임시키로 암호화하여 상기 이동 관리자에 전달하고, 상기 자동화 장비의 상기 비밀키를 상기 임시키를 암호화하여 상기 자동화 장비에 전달하는 단계를 더 포함하는 공장 내 정보 전달을 위한 보안 방법.The method of claim 13,
The step (a)
(a1) initial authentication by the mobile manager and the automation equipment to the authentication server through Extensible Authentication Protocol (EAP) -Transfer Level Security (TLS);
(a2) receiving, by a local equipment gateway, ID information and temporary keys of the mobile manager and the automation equipment from the authentication server;
(a3) generating, by the local equipment gateway, a secret key of the mobile manager and a secret key of the automation device based on the ID information; And
(a4) the local equipment gateway encrypting the secret key of the mobile manager with the temporary key and delivering the secret key to the mobile manager, and encrypting the temporary key of the automated equipment to the automation device; Security method for information delivery in the factory further comprising. 제 14 항에 있어서,
상기 (a2) 단계는
상기 지역 장비 게이트웨이가 IPSEC(IP Security Protocol)로 보안된 채널을 통해 상기 ID 정보 및 상기 임시키를 수신하는 공장 내 정보 전달을 위한 보안 방법.15. The method of claim 14,
Step (a2) is
And the local equipment gateway receiving the ID information and the temporary key through a channel secured with IP Security Protocol (IPSEC). 제 13 항에 있어서,
상기 이동 관리자 및 상기 자동화 장비에 의해 생성된 보안키는 동일한 랜덤 변수 생성 장치에 기반하는 공장 내 정보 전달을 위한 보안 방법.The method of claim 13,
The security key generated by the mobile manager and the automation equipment is a security method for information transfer in the factory based on the same random variable generating device. 제 13 항에 있어서,
상기 (c) 단계는
상기 자동화 장비가 생성한 상기 제 1 인증 코드와 상기 이동 관리자로부터 수신한 상기 제 1 인증 코드가 동일한 경우, 상기 자동화 장비가 상기 이동 관리자를 인증하는 공장 내 정보 전달을 위한 보안 방법.The method of claim 13,
The step (c)
And when the first authentication code generated by the automation equipment and the first authentication code received from the movement manager are the same, the automation equipment authenticates the movement manager. 제 13 항에 있어서,
상기 (e) 단계는
상기 이동 관리자가 생성한 상기 제 2 인증 코드와 상기 자동화 장비로부터 수신한 상기 제 2 인증 코드가 동일한 경우, 상기 이동 관리자가 상기 자동화 장비를 인증하는 공장 내 정보 전달을 위한 보안 방법.The method of claim 13,
The step (e)
And when the second authentication code generated by the mobile manager is identical to the second authentication code received from the automated equipment, the mobile manager authenticates the automated equipment.
KR1020100119874A 2010-11-10 2010-11-29 Security system and method for data communication in factory KR20120050364A (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20100111356 2010-11-10
KR1020100111356 2010-11-10

Publications (1)

Publication Number Publication Date
KR20120050364A true KR20120050364A (en) 2012-05-18

Family

ID=46267887

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100119874A KR20120050364A (en) 2010-11-10 2010-11-29 Security system and method for data communication in factory

Country Status (1)

Country Link
KR (1) KR20120050364A (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160149457A (en) * 2015-06-18 2016-12-28 주식회사 에이치오텍 Plant data transmission managing device and method
KR102119607B1 (en) * 2019-08-27 2020-06-05 주식회사 웹게이트 Automatic system for list management of a picture security apparatus
KR102298094B1 (en) * 2021-03-26 2021-09-03 주식회사 브로넥스 Factory automation system using opc-ua protocol

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160149457A (en) * 2015-06-18 2016-12-28 주식회사 에이치오텍 Plant data transmission managing device and method
KR102119607B1 (en) * 2019-08-27 2020-06-05 주식회사 웹게이트 Automatic system for list management of a picture security apparatus
KR102298094B1 (en) * 2021-03-26 2021-09-03 주식회사 브로넥스 Factory automation system using opc-ua protocol

Similar Documents

Publication Publication Date Title
JP6293800B2 (en) System and method for performing link setup and authentication
US8429404B2 (en) Method and system for secure communications on a managed network
US9465950B2 (en) Methods, apparatuses, and computer-readable storage media for securely accessing social networking data
US8150372B2 (en) Method and system for distributing data within a group of mobile units
US10080136B2 (en) Credibility token system for over the air multi-programming of a wireless device and method of operation
Salazar Soler Wireless networks
US20160360404A1 (en) Flexible configuration and authentication of wireless devices
CN101208981A (en) Security parameters for negotiation protecting management frames in wireless networks
US20190044740A1 (en) Oracle authentication using multiple memory pufs
CN103314606A (en) Authentication and authorization of cognitive radio devices
CN101917272A (en) Secret communication method and system among neighboring user terminals
US11297496B2 (en) Encryption and decryption of management frames
CN101911637A (en) In wireless mesh communications network, be used to launch the method and apparatus of multicast packet
US20160366124A1 (en) Configuration and authentication of wireless devices
KR20120050364A (en) Security system and method for data communication in factory
US10574441B2 (en) Management of cryptographic keys
Porambage et al. Managing mobile relays for secure e2e connectivity of low-power iot devices
JPWO2019054372A1 (en) Data transfer system and data transfer method
Yun et al. Ticket-based authentication protocol for underwater wireless sensor network
JP4498871B2 (en) Wireless communication device
Williams The IEEE 802.11 b security problem. 1
Yadav et al. A provably secure and efficient 5g-aka authentication protocol using blockchain
US11665544B2 (en) Multicast containment in a multiple pre-shared key (PSK) wireless local area network (WLAN)
Nasiraee et al. A novel three party key establishment scheme in the context of Internet-of-Things
US20230308868A1 (en) Method, devices and system for performing key management

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application