KR20160076731A - 스마트 그리드 기기 인증 방법 - Google Patents
스마트 그리드 기기 인증 방법 Download PDFInfo
- Publication number
- KR20160076731A KR20160076731A KR1020140187142A KR20140187142A KR20160076731A KR 20160076731 A KR20160076731 A KR 20160076731A KR 1020140187142 A KR1020140187142 A KR 1020140187142A KR 20140187142 A KR20140187142 A KR 20140187142A KR 20160076731 A KR20160076731 A KR 20160076731A
- Authority
- KR
- South Korea
- Prior art keywords
- key
- private key
- certificate
- management server
- smart grid
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
스마트 그리드 기기 인증 방법이 개시된다. 상기 스마트 그리드 기기 인증 방법은 기기 관리자가 스마트 그리드 기기에 대한 기기 정보를 작성하여 인증서 등록 기관에 기기 등록을 요청하는 기기 등록 단계; 키 관리 서버가 상기 인증서 등록 기관에 등록된 기기 정보 및 키 생성 함수를 이용하여 기기 개인키 및 기기 공개키를 생성하는 키 생성 단계; 상기 키 관리 서버가 생성된 기기 개인키를 복수개로 분할하여 복수개의 키 복구 에이전트에 분할 저장하는 개인키 분배 저장 단계; 상기 기기 관리자가 상기 키 관리 서버에 기기 개인키 및 인증서 발급을 요청하는 개인키 및 인증서 발급 요청 단계; 상기 키 관리 서버가 생성한 기기 공개키를 이용하여 인증서버로부터 인증서를 발급받는 인증서 발급 단계; 상기 키 관리 서버가 상기 키 복구 에이전트에 접속하여 상기 인증서에 대응하는 기기의 기기 개인키를 복구하는 개인키 복구 단계; 상기 키 관리 서버가 복구된 기기 개인키와 발급받은 인증서를 기기 관리자로 전송하는 개인키 및 인증서 전송단계; 및 상기 기기 관리자가 전송받은 기기 개인키 및 인증서를 해당 스마트 그리드 기기에 주입하는 개인키 및 인증서 주입 단계를 포함한다.
Description
본 발명은 스마트 그리드 기기 인증 방법에 관한 것으로, 더욱 상세하게는 공개 키 기반 구조(PKI, Public Key Infrastructure)를 적용한 스마트 그리드 기기 인증 방법에 관한 것이다.
기존의 인터넷에서 사용되고 있는 공개 키 기반 구조는 기본적으로 사용자와 기관에 대한 인증을 위한 것으로 인터넷과 같이 안전이 보장되지 않은 공중망 사용자들이 신뢰할 수 있는 기관에서 부여된 한 쌍의 공개 키와 개인 키를 사용함으로써 안전하게 데이터를 전송할 수 있게 해준다. 공개 키 기반 구조는 한 개인이나 기관을 식별할 수 있는 디지털 인증서와 인증서를 저장했다가 필요할 때 불러 쓸 수 있는 디렉토리 서비스를 제공한다.
스마트 그리드에서는 사용자 인증뿐 아니라 다양한 스마트 기기가 자율적인 통신을 하므로 스마트 그리드 네트워크에 접근하는 기기에 대한 인증이 필요하다. 하지만 스마트 그리드 기기는 기존 인터넷 상에서 동작하는 기기들에 비해서 연산속도가 상대적으로 느리고 통신 대역폭도 좁기 때문에 스마트 그리드 기기가 각각 인증서를 발급받는 과정은 속도 저하를 유발할 수 있으며 기존의 공개 키 기반 구조를 그대로 적용하는 것도 어렵다.
한국공개특허공보 10-2005-0078326호에서는 그룹에 가입된 가입자들에게만 기밀성을 유지한 채 데이터를 제공할 수 있는 시스템에 관한 발명이 개시되어 있다. 그러나, 그룹 내에 가입이라는 절차를 따로 거쳐서 인증을 받아야 한다는 점, 그룹 내에서 관리되는 자료에 대한 보안을 위한 공개 키 기반 구조라는 점에서 복수개의 스마트 그리드 기기의 인증을 위하여 적용시키기에는 무리가 있다.
본 발명이 이루고자 하는 기술적 과제는 스마트 그리드 기기 내부에 개인키 및 인증서를 안전하게 주입할 수 있는 스마트 그리드 기기 인증 방법을 제공하는데 있다.
본 발명의 일 실시예에 따르면, 기기 관리자가 스마트 그리드 기기에 대한 기기 정보를 작성하여 인증서 등록 기관에 기기 등록을 요청하는 기기 등록 단계; 키 관리 서버가 상기 인증서 등록 기관에 등록된 기기 정보 및 키 생성 함수를 이용하여 기기 개인키 및 기기 공개키를 생성하는 키 생성 단계; 상기 키 관리 서버가 생성된 기기 개인키를 복수개로 분할하여 복수개의 키 복구 에이전트에 분할 저장하는 개인키 분배 저장 단계; 상기 기기 관리자가 상기 키 관리 서버에 기기 개인키 및 인증서 발급을 요청하는 개인키 및 인증서 발급 요청 단계; 상기 키 관리 서버가 생성한 기기 공개키를 이용하여 인증서버로부터 인증서를 발급받는 인증서 발급 단계; 상기 키 관리 서버가 상기 키 복구 에이전트에 접속하여 상기 인증서에 대응하는 기기의 기기 개인키를 복구하는 개인키 복구 단계; 상기 키 관리 서버가 복구된 기기 개인키와 발급받은 인증서를 기기 관리자로 전송하는 개인키 및 인증서 전송단계; 및 상기 기기 관리자가 전송받은 기기 개인키 및 인증서를 해당 스마트 그리드 기기에 주입하는 개인키 및 인증서 주입 단계를 포함하는 스마트 그리드 기기 인증 방법을 제공한다.
상기 기기 등록 단계는 상기 기기 관리자가 스마트 그리드 기기의 기기 일련번호, 디바이스명, 제조사명 및 스마트 그리드 기기 타입 중 적어도 하나를 포함하는 기기 정보를 작성하는 단계; 상기 기기 관리자가 상기 기기 정보를 상기 인증서 등록 기관에 전송하는 단계; 및 상기 인증서 등록 기관이 상기 기기 정보를 검증하여 해당 스마트 그리드 기기를 데이터 베이스에 저장하는 단계를 포함할 수 있다.
상기 개인키 분배 저장 단계는 상기 키 관리 서버가 기기 개인키를 복수개의 기기 개인키 조각으로 분할하는 단계; 상기 키 관리 서버가 분할 저장할 키 복구 에이전트의 공개키를 이용하여 상기 기기 개인키 조각을 암호화하는 단계; 상기 키 관리 서버가 상기 기기 일련번호를 이용하여 키 위탁 정보를 생성하는 단계; 상기 키 관리 서버가 암호화 된 기기 개인키 조각 및 상기 키 위탁 정보를 대응하는 키 복구 에이전트에 각각 전송하는 단계; 및 상기 키 복구 에이전트가 상기 키 위탁 정보에 따라 상기 기기 개인키 조각을 저장하는 단계를 포함할 수 있다.
상기 개인키 및 인증서 발급 요청 단계는 상기 기기 관리자가 상기 기기 정보 및 키 복구 요청 메시지를 작성하는 단계; 및 상기 기기 관리자가 상기 기기 정보 및 키 복구 요청 메시지를 상기 키 관리 서버에 전송하는 단계를 포함할 수 있다.
상기 인증서 발급 단계는 상기 키 관리 서버가 상기 기기 정보를 이용하여 기기 인증서 요청 양식을 작성하는 단계; 상기 키 관리 서버가 상기 기기 인증서 요청 양식을 상기 인증서버에 전송하는 단계; 상기 인증서버가 기기 공개키를 이용하여 상기 기기 인증서 요청 양식을 검증하는 단계; 상기 인증서버가 검증된 인증서 요청 양식에 대한 인증서를 생성하는 단계; 및 상기 인증서버가 인증서버 개인키를 이용하여 상기 인증서를 암호화하고 상기 키 관리 서버에 발급하는 단계를 포함할 수 있다.
상기 개인키 복구 단계는 상기 키 관리 서버가 상기 키 복구 요청 메시지에 포함된 기기 정보를 추출하여 기기의 유효성을 검증하는 단계; 상기 키 관리 서버가 유효성이 검증된 기기의 일련번호 및 키 복구 요청 명령을 상기 키 복구 에이전트에 전송하는 단계; 상기 키 복구 에이전트가 저장하고 있는 기기 개인키 조각을 키 복구 에이전트 개인키를 이용하여 복구하고 상기 키 관리 서버에 전송하는 단계; 및 상기 키 관리 서버가 복수개의 키 복구 에이전트로부터 수신한 기기 개인키조각을를 디코딩하는 단계를 포함할 수 있다.
본 발명인 스마트 그리드 기기 인증 방법은 기기 관리자가 직접 개인키를 생성하여 저장하지 않고 별도의 키 관리 서버를 통하여 개인키를 발급받도록 함으로써 개인키의 외부 노출 및 유출을 방지하고 결과적으로 스마트 그리드 환경의 보안성과 신뢰성을 향상시킬 수 있다.
또한, 생성된 개인키를 하위 에이전트에 분할하여 저장하고 복구 요청시에만 일시적으로 복구하여 스마트 그리드 기기에 개인키를 주입함으로써 개인키의 외부 노출 및 유출을 원천적으로 방지할 수 있다.
도1은 본 발명의 일실시예에 따른 스마트 그리드 기기 인증 시스템의 개념도,
도2는 본 발명의 일실시예에 따른 스마트 그리드 기기 인증 방법의 순서도,
도3은 본 발명의 일실시예에 따른 기기 등록 과정을 설명하기 위한 도면,
도4는 본 발명의 일실시예에 따른 개인키 분배 저장 과정을 설명하기 위한 도면,
도5는 본 발명의 일실시예에 따른 개인키 및 인증서 발급 요청 과정을 설명하기 위한 도면,
도6은 본 발명의 일실시예에 따른 인증서 발급 과정을 설명하기 위한 도면 및
도7은 본 발명의 일실시예에 따른 개인키 복구 과정을 설명하기 위한 도면이다.
도2는 본 발명의 일실시예에 따른 스마트 그리드 기기 인증 방법의 순서도,
도3은 본 발명의 일실시예에 따른 기기 등록 과정을 설명하기 위한 도면,
도4는 본 발명의 일실시예에 따른 개인키 분배 저장 과정을 설명하기 위한 도면,
도5는 본 발명의 일실시예에 따른 개인키 및 인증서 발급 요청 과정을 설명하기 위한 도면,
도6은 본 발명의 일실시예에 따른 인증서 발급 과정을 설명하기 위한 도면 및
도7은 본 발명의 일실시예에 따른 개인키 복구 과정을 설명하기 위한 도면이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
제2, 제1 등과 같이 서수를 포함하는 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되지는 않는다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제2 구성요소는 제1 구성요소로 명명될 수 있고, 유사하게 제1 구성요소도 제2 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하, 첨부된 도면을 참조하여 실시예를 상세히 설명하되, 도면 부호에 관계없이 동일하거나 대응하는 구성 요소는 동일한 참조 번호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다.
도1은 본 발명의 일실시예에 따른 스마트 그리드 기기 인증 시스템의 개념도이다. 도1을 참조하면, 본 발명의 일실시예에 따른 스마트 그리드 기기 인증 시스템은 기기 관리자(10), 인증서 등록 기관(200), 키 관리 서버(300), 키 복구 에이전트(301~303) 및 인증 서버(400)를 포함하여 구성될 수 있다.
기기 관리자(10)는 복수개의 스마트 그리드 기기와 연결되어 스마트 그리드 기기를 관리하는 시스템일 수 있다. 기기 관리자(10)는 복수개의 스마트 그리드 기기와 연결되어 스마트 그리드 기기의 통신을 포함한 동작을 제어할 수 있다. 기기 관리자(10)는 관리하고 있는 복수개의 스마트 그리드 기기 각각에 대한 기기 정보를 작성할 수 있으며, 키 관리 서버(300)로부터 수신하는 기기 개인키와 인증서를 대응하는 스마트 그리드 기기에 주입할 수 있다. 기기 관리자(10)는 예를 들면, 스마트 그리드 기기가 연결되면 자동으로 기기 개인키 및 인증서 주입 프로그램이 실행되고 연결된 스마트 그리드 기기에 대응하는 기기 개인키와 인증서를 저장하고 있는지 확인한다. 기기 관리자(10)는 기기 개인키와 인증서를 저장하고 있는 경우에는 해당 기기 개인키와 인증서를 스마트 그리드 기기에 주입하고, 저장하고 있지 않은 경우에는 기기 정보를 작성하여 인증서 등록 기관(200)에 기기 등록을 요청한다. 기기 관리자(10)는 기기 등록이 되어 있는 스마트 그리드 기기의 경우에는 키 관리 서버(300)에 기기 개인키 및 인증서 발급을 요청한다.
인증서 등록 기관(200)은 기기 관리자(10)가 전송하여 온 기기 정보를 검증하고 검증된 기기 정보를 저장함으로서 기기 등록을 수행한다. 인증서 등록 기관(200)은 예를 들면, 기기 정보에 포함된 기기 일련번호, 디바이스명, 제조사명, 기기타입 정보가 데이터 베이스에 저장된 정보와 일치하는지 여부를 판단하거나 또는 기기 정보에 포함된 정보의 오류를 통하여 기기 정보를 검증할 수 있다.
키 관리 서버(300)는 인증서 등록 기관(200)에 등록된 기기의 기기 정보를 이용하여 해당 기기의 기기 개인키 및 기기 공개키를 생성한다. 키 관리 서버(300)는 생성된 기기 개인키를 키 복구 에이전트(301~303)에 분배 저장시킬 수 있다.
키 관리 서버(300)는 기기 관리자(10)의 인증서 발급 요청에 따라 인증 서버(400)에 인증서를 요청하고 발급받은 인증서를 기기 개인키와 함께 기기 관리자(10)에 전송한다.
이하 도2 내지 도8을 참고하여 스마트 그리드 기기 인증 방법을 설명하기로 한다.
도2는 본 발명의 일실시예에 따른 스마트 그리드 기기 인증 방법의 순서도이다. 본 발명의 일실시예에서 각 기관과 서버의 공개키는 서로 공유하고 있음을 가정하여 설명하기로 한다.
먼저, 기기 관리자(10)는 스마트 그리드 기기에 대한 기기 정보를 작성하여 인증서 등록 기관(200)에 기기 등록을 요청한다(S201).
도3은 본 발명의 일실시예에 따른 기기 등록 과정을 설명하기 위한 도면이다. 도3을 참조하면, 기기 관리자(10)는 스마트 그리드 기기의 기기 일련번호, 디바이스명, 제조사명 및 스마트 그리드 기기 타입 중 적어도 하나를 포함하는 기기 정보를 생성한다. 기기 관리자(10)는 생성한 기기 정보를 인증서 등록 기관(200)에 전송하고, 인증서 등록 기관(200)은 기기 정보를 검증한다. 인증서 등록 기관(200)은 검증된 기기 정보의 경우 해당 스마트 그리드 기기를 데이터 베이스에 저장함으로써 등록 과정을 완료한다.
키 관리 서버(300)는 인증서 등록 기관(200)에 등록된 기기 정보 및 키 생성 함수를 이용하여 기기 개인키 및 기기 공개키를 생성한다(S202).
키 관리 서버(300)는 생성된 기기 개인키를 복수개로 분할하여 복수개의 키 복구 에이전트(301~303)에 분할 저장한다(S203).
도4는 본 발명의 일실시예에 따른 개인키 분배 저장 과정을 설명하기 위한 도면이다. 도4를 참조하면, 키 관리 서버(300)는 생성한 기기 개인키를 복수개의 기기 개인키 조각으로 분할한다. 기기 개인키 조각의 개수는 키 관리 서버(300)의 하위단에 위치하고 있는 키 복구 에이전트(301~303)의 개수와 동일할 수 있다.
키 관리 서버(300)는 키 관리 서버(300)가 분할 저장할 키 복구 에이전트(301~303)의 공개키를 이용하여 기기 개인키 조각을 암호화 한다. 키 관리 서버(300)는 기기 정보에 포함된 기기 일련정보를 이용하여 키 위탁 정보를 생성한다. 키 위탁 정보는 키 복구 에이전트(301~303)에 분할된 기기 개인키 조각의 분할 저장 명령을 위한 메시지로 기기 일련번호, 해당 키 복구 에이전트(301~303)의 공개키로 암호화 된 기기 개인키 조각, 기기 개인키 조각의 해쉬값, 해당 키 복구 에이전트(301~303)의 식별정보 등이 포함될 수 있다.
즉, 키 관리 서버(300)는 j번째 키 복구 에이전트(301~303)의 공개키를 이용하여 복수개의 기기 개인키 조각 중 하나의 기기 개인키 조각을 암호화하고 이를 키 위탁 정보와 함께 j번째 키 복구 에이전트(301~303)에 전송하여 저장하게 한다.
키 복구 에이전트(301~303)는 기기 개인키 조각 저장이 완료되면 완료 메시지를 키 관리 서버(300)에 전송한다.
기기 관리자(10)는 키 관리 서버(300)에 기기 개인키 및 인증서 발급을 요청한다(S204).
도5는 본 발명의 일실시예에 따른 개인키 및 인증서 발급 요청 과정을 설명하기 위한 도면이다. 도5를 참조하면, 기기 관리자(10)는 기기 정보 및 키 복구 요청 메시지를 작성하고 키 관리 서버(300)에 전송한다. 기기 정보는 기기 일련번호, 디바이스명, 제조사명, 스마트 그리드 기기 타입에 대한 정보를 포함할 수 있으며, 키 복구 요청 메시지는 해당 기기 일련번호에 대응하는 기기 개인키의 복구 및 전송 요청 메시지를 포함한다.
키 관리 서버(300)는 생성한 기기 공개키를 이용하여 인증 서버(400)로부터 인증서를 발급받는다(S205).
도6은 본 발명의 일실시예에 따른 인증서 발급 과정을 설명하기 위한 도면이다. 도6을 참조하면, 키 관리 서버(300)는 기기 정보를 이용하여 기기 인증서 요청 양식을 작성한다. 키 관리 서버(300)는 인증 요청 구문 표준 양식(PKCS #10)을 기반으로 기기 인증서 요청 양식을 작성할 수 있다.
키 관리 서버(300)는 작성된 기기 인증서 요청 양식을 생성한 기기 개인키를 이용하여 암호화 한다. 키 관리 서버(300)는 예를 들면 생성한 기기 개인키를 이용하여 기기 인증서 요청 양식에 전자서명을 하는 방식으로 기기 인증서 요청 양식을 암호화 할 수 있다. 또는 전자서명이 아닌 기기 인증서 요청 양식 자체를 RSA(Rivest-Shamir-Adleman) 또는 디피-헬먼(Diffie-Hellman)암호화 알고리즘 방식을 통하여 암호화 할 수 있으며, 기기 인증서 요청 양식을 16비트 또는 32비트 단위로 암호화 할 수 있는 타원곡선 암호 시스템(ECC, Elliptic Curve Cryptography) 암호화 알고리즘을 이용할 수 있다.
키 관리 서버(300)는 기기 인증서 요청 양식을 인증 서버(400)에 전송한다.
인증 서버(400)는 기기 공개키를 이용하여 기기 인증서 요청 양식을 검증한다. 인증 서버(400)는 기기 공개키를 이용하여 암호화 된 문서를 복호화하고 대응되는 기기 인증서 요청 양식과 동일성을 검토함으로써 기기 인증서 요청 양식이 정당한 키 관리 서버(300)로부터 온 것인지를 검증할 수 있다.
인증 서버(400)는 검증된 기기 인증서 요청 양식에 포함되어 있는 스마트 그리드 기기에 대한 인증서를 생성한다. 인증서는 기기 인증서 프로파일을 준수하여 생성될 수 있으며, 바람직하게는 X.509양식에 맞추어 생성될 수 있다. 인증서에는 기기 인증서 요청 양식에 포함되는 스마트 그리드 기기에 대한 모든 정보가 선택적으로 포함될 수 있다.
인증 서버(400)가 인증 서버(400) 기기 개인키를 이용하여 상기 인증서를 암호화하고 상기 키 관리 서버(300)에 발급한다. 인증 서버(400) 개인키는 비대칭키 방식에 따라 인증 서버(400)에서 직접 생성한 비밀키이며, 인증 서버(400)는 인증 서버(400) 개인키를 이용하여 인증서에 전자서명을 하는 방식으로 인증서를 암호화 할 수 있다. 인증 서버(400)는 암호화 한 인증서를 키 관리 서버(300)에 전송한다.
다음으로, 키 관리 서버(300)는 키 복구 에이전트(301~303)에 접속하여 인증서에 대응하는 기기의 기기 개인키를 복구한다(S206).
도7은 본 발명의 일실시예에 따른 기기 개인키 복구 과정을 설명하기 위한 도면이다. 도7을 참조하면, 키 관리 서버(300)는 키 복구 요청 메시지에 포함된 기기 정보를 추출하여 기기의 유효성을 검증한다.
키 관리 서버(300)는 유효성이 검증된 기기의 일련번호 및 키 복구 요청 명령을 키 복구 에이전트(301~303)에 전송한다.
키 복구 에이전트(301~303)는 저장하고 있는 기기 개인키 조각을 키 복구 에이전트(301~303) 개인키를 이용하여 복구하고 키 관리 서버(300)에 전송한다. 키 복구 에이전트(301~303)는 자신의 공개키로 암호화 된 개인키 조각을 자신의 개인키를 이용하여 복호화하고 해쉬값을 생성한 후 저장된 키 위탁 정보에 포함된 기기 개인키의 해쉬값과 비교함으로써 복구된 개인키 조각의 무결성을 판단할 수 있다.
키 관리 서버(300)는 복수개의 키 복구 에이전트(301~303)로부터 수신한 기기 개인키를 디코딩하여 기기 개인키를 저장한다.
다음으로, 키 관리 서버(300)가 복구된 기기 개인키와 발급받은 인증서를 기기 관리자(10)로 전송한다(S207).
다음으로, 기기 관리자(10)는 전송받은 기기 개인키 및 인증서를 해당 스마트 그리드 기기에 주입한다(S208).
본 실시예에서 사용되는 '~부'라는 용어는 소프트웨어 또는 FPGA(field-programmable gate array) 또는 ASIC과 같은 하드웨어 구성요소를 의미하며, '~부'는 어떤 역할들을 수행한다. 그렇지만 '~부'는 소프트웨어 또는 하드웨어에 한정되는 의미는 아니다. '~부'는 어드레싱할 수 있는 저장 매체에 있도록 구성될 수도 있고 하나 또는 그 이상의 프로세서들을 재생시키도록 구성될 수도 있다. 따라서, 일 예로서 '~부'는 소프트웨어 구성요소들, 객체지향 소프트웨어 구성요소들, 클래스 구성요소들 및 태스크 구성요소들과 같은 구성요소들과, 프로세스들, 함수들, 속성들, 프로시저들, 서브루틴들, 프로그램 코드의 세그먼트들, 드라이버들, 펌웨어, 마이크로코드, 회로, 데이터, 데이터베이스, 데이터 구조들, 테이블들, 어레이들, 및 변수들을 포함한다. 구성요소들과 '~부'들 안에서 제공되는 기능은 더 작은 수의 구성요소들 및 '~부'들로 결합되거나 추가적인 구성요소들과 '~부'들로 더 분리될 수 있다. 뿐만 아니라, 구성요소들 및 '~부'들은 디바이스 또는 보안 멀티미디어카드 내의 하나 또는 그 이상의 CPU들을 재생시키도록 구현될 수도 있다.
상기에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
100: 기기 관리자
200: 인증서 등록 기관
300: 키 관리 서버
301, 302, 303: 키 복구 에이전트
400: 인증 서버
200: 인증서 등록 기관
300: 키 관리 서버
301, 302, 303: 키 복구 에이전트
400: 인증 서버
Claims (6)
- 기기 관리자가 스마트 그리드 기기에 대한 기기 정보를 작성하여 인증서 등록 기관에 기기 등록을 요청하는 기기 등록 단계;
키 관리 서버가 상기 인증서 등록 기관에 등록된 기기 정보 및 키 생성 함수를 이용하여 기기 개인키 및 기기 공개키를 생성하는 키 생성 단계;
상기 키 관리 서버가 생성된 기기 개인키를 복수개로 분할하여 복수개의 키 복구 에이전트에 분할 저장하는 개인키 분배 저장 단계;
상기 기기 관리자가 상기 키 관리 서버에 기기 개인키 및 인증서 발급을 요청하는 개인키 및 인증서 발급 요청 단계;
상기 키 관리 서버가 생성한 기기 공개키를 이용하여 인증서버로부터 인증서를 발급받는 인증서 발급 단계;
상기 키 관리 서버가 상기 키 복구 에이전트에 접속하여 상기 인증서에 대응하는 기기의 기기 개인키를 복구하는 개인키 복구 단계;
상기 키 관리 서버가 복구된 기기 개인키와 발급받은 인증서를 기기 관리자로 전송하는 개인키 및 인증서 전송단계; 및
상기 기기 관리자가 전송받은 기기 개인키 및 인증서를 해당 스마트 그리드 기기에 주입하는 개인키 및 인증서 주입 단계를 포함하는 스마트 그리드 기기 인증 방법.
- 제1항에 있어서, 상기 기기 등록 단계는
상기 기기 관리자가 스마트 그리드 기기의 기기 일련번호, 디바이스명, 제조사명 및 스마트 그리드 기기 타입 중 적어도 하나를 포함하는 기기 정보를 작성하는 단계;
상기 기기 관리자가 상기 기기 정보를 상기 인증서 등록 기관에 전송하는 단계; 및
상기 인증서 등록 기관이 상기 기기 정보를 검증하여 해당 스마트 그리드 기기를 데이터 베이스에 저장하는 단계를 포함하는 스마트 그리드 기기 인증 방법.
- 제2항에 있어서, 상기 개인키 분배 저장 단계는
상기 키 관리 서버가 기기 개인키를 복수개의 기기 개인키 조각으로 분할하는 단계;
상기 키 관리 서버가 분할 저장할 키 복구 에이전트의 공개키를 이용하여 상기 기기 개인키 조각을 암호화하는 단계;
상기 키 관리 서버가 상기 기기 일련번호를 이용하여 키 위탁 정보를 생성하는 단계;
상기 키 관리 서버가 암호화 된 기기 개인키 조각 및 상기 키 위탁 정보를 대응하는 키 복구 에이전트에 각각 전송하는 단계; 및
상기 키 복구 에이전트가 상기 키 위탁 정보에 따라 상기 기기 개인키 조각을 저장하는 단계를 포함하는 스마트 그리드 기기 인증 방법.
- 제3항에 있어서, 상기 개인키 및 인증서 발급 요청 단계는
상기 기기 관리자가 상기 기기 정보 및 키 복구 요청 메시지를 작성하는 단계; 및
상기 기기 관리자가 상기 기기 정보 및 키 복구 요청 메시지를 상기 키 관리 서버에 전송하는 단계를 포함하는 스마트 그리드 기기 인증 방법.
- 제4항에 있어서, 상기 인증서 발급 단계는
상기 키 관리 서버가 상기 기기 정보를 이용하여 기기 인증서 요청 양식을 작성하는 단계;
상기 키 관리 서버가 상기 기기 인증서 요청 양식을 상기 인증서버에 전송하는 단계;
상기 인증서버가 기기 공개키를 이용하여 상기 기기 인증서 요청 양식을 검증하는 단계;
상기 인증서버가 검증된 인증서 요청 양식에 대한 인증서를 생성하는 단계; 및
상기 인증서버가 인증서버 개인키를 이용하여 상기 인증서를 암호화하고 상기 키 관리 서버에 발급하는 단계를 포함하는 스마트 그리드 기기 인증 방법.
- 제4항에 있어서, 상기 개인키 복구 단계는
상기 키 관리 서버가 상기 키 복구 요청 메시지에 포함된 기기 정보를 추출하여 기기의 유효성을 검증하는 단계;
상기 키 관리 서버가 유효성이 검증된 기기의 일련번호 및 키 복구 요청 명령을 상기 키 복구 에이전트에 전송하는 단계;
상기 키 복구 에이전트가 저장하고 있는 기기 개인키 조각을 키 복구 에이전트 개인키를 이용하여 복구하고 상기 키 관리 서버에 전송하는 단계; 및
상기 키 관리 서버가 복수개의 키 복구 에이전트로부터 수신한 기기 개인키조각을를 디코딩하는 단계를 포함하는 스마트 그리드 기기 인증 방법.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020140187142A KR101639714B1 (ko) | 2014-12-23 | 2014-12-23 | 스마트 그리드 기기 인증 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020140187142A KR101639714B1 (ko) | 2014-12-23 | 2014-12-23 | 스마트 그리드 기기 인증 방법 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20160076731A true KR20160076731A (ko) | 2016-07-01 |
| KR101639714B1 KR101639714B1 (ko) | 2016-07-22 |
Family
ID=56500363
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020140187142A KR101639714B1 (ko) | 2014-12-23 | 2014-12-23 | 스마트 그리드 기기 인증 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR101639714B1 (ko) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109639680A (zh) * | 2018-12-14 | 2019-04-16 | 杭州安司源科技有限公司 | 一种三元对等的即时通信身份认证和权限控制方法 |
| KR20200120563A (ko) * | 2019-04-12 | 2020-10-21 | (주)한국공인인증서비스 | IoT 디바이스를 위한 임시 인증서 발급 방법 |
| KR20210102595A (ko) * | 2020-02-12 | 2021-08-20 | 한전케이디엔주식회사 | Ami 기기의 보안 강화 시스템 및 그 방법 |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102078913B1 (ko) * | 2018-03-16 | 2020-04-07 | 주식회사 아도스 | Pki 기반의 사물인터넷 기기 인증방법 및 인증시스템 |
| KR102122731B1 (ko) * | 2018-04-26 | 2020-06-16 | 한국조폐공사 | 블록 체인 기반 키의 저장 및 복원 방법과 이를 이용한 사용자 단말 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20030097550A (ko) * | 2002-06-21 | 2003-12-31 | (주)케이사인 | 인가된 키 복구 서비스 시스템 및 그 방법 |
| KR20130052903A (ko) * | 2011-11-14 | 2013-05-23 | 한전케이디엔주식회사 | 스마트 그리드 기기 보안인증 시스템 및 방법 |
-
2014
- 2014-12-23 KR KR1020140187142A patent/KR101639714B1/ko active IP Right Grant
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20030097550A (ko) * | 2002-06-21 | 2003-12-31 | (주)케이사인 | 인가된 키 복구 서비스 시스템 및 그 방법 |
| KR20130052903A (ko) * | 2011-11-14 | 2013-05-23 | 한전케이디엔주식회사 | 스마트 그리드 기기 보안인증 시스템 및 방법 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109639680A (zh) * | 2018-12-14 | 2019-04-16 | 杭州安司源科技有限公司 | 一种三元对等的即时通信身份认证和权限控制方法 |
| CN109639680B (zh) * | 2018-12-14 | 2021-06-29 | 杭州安司源科技有限公司 | 一种三元对等的即时通信身份认证和权限控制方法 |
| KR20200120563A (ko) * | 2019-04-12 | 2020-10-21 | (주)한국공인인증서비스 | IoT 디바이스를 위한 임시 인증서 발급 방법 |
| KR20210102595A (ko) * | 2020-02-12 | 2021-08-20 | 한전케이디엔주식회사 | Ami 기기의 보안 강화 시스템 및 그 방법 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR101639714B1 (ko) | 2016-07-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110968743B (zh) | 针对隐私数据的数据存储、数据读取方法及装置 | |
| US11139951B2 (en) | Blockchain system and data processing method for blockchain system | |
| CN110519260B (zh) | 一种信息处理方法及信息处理装置 | |
| CA2904615C (en) | Method and apparatus for embedding secret information in digital certificates | |
| JP7454564B2 (ja) | 鍵管理のための方法、ユーザ・デバイス、管理デバイス、記憶媒体及びコンピュータ・プログラム製品 | |
| US20140112470A1 (en) | Method and system for key generation, backup, and migration based on trusted computing | |
| US9742565B2 (en) | Method and system for backing up private key of electronic signature token | |
| US20130129087A1 (en) | Secure Key Generation | |
| CA2990651A1 (en) | Confidential authentication and provisioning | |
| US10880100B2 (en) | Apparatus and method for certificate enrollment | |
| US11831753B2 (en) | Secure distributed key management system | |
| CN106027503A (zh) | 一种基于tpm的云存储数据加密方法 | |
| EP3001599B1 (en) | Method and system for backing up private key of electronic signature token | |
| EP3694142A1 (en) | Management and distribution of keys in distributed environments (ie cloud) | |
| KR101639714B1 (ko) | 스마트 그리드 기기 인증 방법 | |
| CN110740116B (zh) | 一种多应用身份认证的系统及方法 | |
| EP3292654B1 (en) | A security approach for storing credentials for offline use and copy-protected vault content in devices | |
| KR101383810B1 (ko) | 스마트 그리드 기기 보안인증 시스템 및 방법 | |
| JP2014022920A (ja) | 電子署名システム、電子署名方法および電子署名プログラム | |
| CN115795446A (zh) | 在可信计算平台中处理数据的方法及管理装置 | |
| US20210111906A1 (en) | Pseudonym credential configuration method and apparatus | |
| WO2022199796A1 (en) | Method and computer-based system for key management | |
| KR100769439B1 (ko) | 공개 키 기반 구조 기술 기반의 키 프로파일 기법을 이용한 데이터베이스 보안 시스템 | |
| JP2013179473A (ja) | アカウント生成管理システム、アカウント生成管理サーバ、アカウント生成管理方法及びアカウント生成管理プログラム | |
| KR20170086571A (ko) | 추적불가능한 방식으로 서버에 대한 연결 없이 속성들을 인증하기 위한 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20190703 Year of fee payment: 4 |