KR20180052414A - 보안 기기의 인증 기반 연동 장치 및 방법 - Google Patents

보안 기기의 인증 기반 연동 장치 및 방법 Download PDF

Info

Publication number
KR20180052414A
KR20180052414A KR1020160149682A KR20160149682A KR20180052414A KR 20180052414 A KR20180052414 A KR 20180052414A KR 1020160149682 A KR1020160149682 A KR 1020160149682A KR 20160149682 A KR20160149682 A KR 20160149682A KR 20180052414 A KR20180052414 A KR 20180052414A
Authority
KR
South Korea
Prior art keywords
security device
certificate
key
security
communication
Prior art date
Application number
KR1020160149682A
Other languages
English (en)
Inventor
최병환
Original Assignee
주식회사 윈스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 윈스 filed Critical 주식회사 윈스
Priority to KR1020160149682A priority Critical patent/KR20180052414A/ko
Publication of KR20180052414A publication Critical patent/KR20180052414A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3273Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 보안 기기의 인증 기반 연동 장치 및 방법에 관한 것으로, 특히 보안 기기의 망 구성을 고려한 장비 식별 및 인증을 구현함으로써 보안 기기간의 연동을 시도하는 기기를 식별할 수 있어, 보안 기기간의 인증의 무결성을 강화할 수 있도록 한 보안 기기의 인증 기반 연동 장치 및 방법에 관한 것이다.
또한, 본 발명에 따르면, 하기의 제1 보안 기기와 제2 보안 기기에서 개인키를 생성하고 제1 보안 기기와 제2 보안 기기에 대하여 공개키 기반 인증서를 발급하여 전송하며, 하기의 제1 보안 기기와 제2 보안 기기에 발급한 공개키 기반 인증서의 유효성을 판단하는 보안 기기 인증서 발급 시스템; 상기 보안 기기 인증서 발급 시스템에 인증서 발급 요청을 하여 발급된 공개키와 개인키를 저장하여 관리하며, 상기 제2 보안 기기와 인증서 기반 상호 인증과 시리얼 상호 인증을 수행하고, 통신키를 교환하며, 통신키에 기반하여 대칭키 암호화 통신을 수행하는 제1 보안 기기; 및 상기 보안 기기 인증서 발급 시스템에 인증서 발급 요청을 하여 발급된 공개키와 개인키를 저장하여 관리하며, 상기 제1 보안 기기와 인증서 기반 상호 인증과 시리얼 상호 인증을 수행하고, 통신키를 교환하며, 통신키에 기반하여 대칭키 암호화 통신을 수행하는 제2 보안 기기를 포함하는 보안 기기의 인증 기반 연동 장치 및 방법을 제공한다.

Description

보안 기기의 인증 기반 연동 장치 및 방법{Linking apparatus based on the ceritification security device and method thereof}
본 발명은 보안 기기의 인증 기반 연동 장치 및 방법에 관한 것으로, 특히 보안 기기의 망 구성을 고려한 장비 식별 및 인증을 구현함으로써 보안 기기간의 연동을 시도하는 기기를 식별할 수 있어, 보안 기기간의 인증의 무결성을 강화할 수 있도록 한 보안 기기의 인증 기반 연동 장치 및 방법에 관한 것이다.
최근 빅데이터가 이슈가 되면서 보안기기 간의 데이터를 연동하여 활용하는 경우가 빈번하게 발생하고 있다.
이는 데이터를 활용한다는 긍정적인 측면이 있지만, 보안기기의 데이터는 웹데이터 보다 더 중요하게 관리가 되어야 하고 데이터 보안에 더 신경을 써야 한다.
보안기기의 데이터는 사용자의 정보뿐만이 아니라 자산정보(IP, 이벤트정보, 시스템정보 등)를 포함하고 있기 때문에 해킹으로부터 보호되어야 하고, 보안기기간에 상호 신뢰성을 확보하기 위하여 상호 식별 및 인증을 제공해야 한다.
국내공개번호 10-2006-0046362호 국내공개번호 10-2008-0022490호
본 발명은 상기와 같은 필요를 충족시키기 위하여 안출된 것으로, 보안 기기의 망구성을 고려한 장비 식별 및 인증을 구현함으로써 보안 기기간의 연동을 시도하는 기기를 식별할 수 있어, 보안기기간의 인증의 무결성을 강화할 수 있도록 한 보안 기기의 식별 및 인증을 통하여 데이터 및 시스템 연동을 수행하기 위한 장치 및 이를 위한 방법을 제공하는 데 있다.
본 발명의 일 측면은 하기의 제1 보안 기기와 제2 보안 기기에 대하여 공개키 기반 인증서를 발급하여 개인키는 제1 보안기기와 제2보안기기에서 각각 생성하여 관리되고, 하기의 제1 보안 기기와 제2 보안 기기에 발급한 공개키 기반 인증서의 유효성을 판단하는 보안 기기 인증서 발급 시스템; 상기 보안 기기 인증서 발급 시스템에 인증서 발급 요청을 하여 발급된 공개키와 개인키를 저장하여 관리하며, 상기 제2 보안 기기와 인증서 기반 상호 인증과 시리얼 상호 인증을 수행하고, 통신키를 교환하며, 통신키에 기반하여 대칭키 암호화 통신을 수행하는 제1 보안 기기; 및 상기 보안 기기 인증서 발급 시스템에 인증서 발급 요청을 하여 발급된 공개키와 개인키를 저장하여 관리하며, 상기 제1 보안 기기와 인증서 기반 상호 인증과 시리얼 상호 인증을 수행하고, 통신키를 교환하며, 통신키에 기반하여 대칭키 암호화 통신을 수행하는 제2 보안 기기를 포함한다.
또한, 본 발명의 일 측면의 상기 제1 보안 기기와 제2 보안 기기는 인증서Type, KeySize, MessageDigest Type, 장비시리얼, 장비권한정보, Common Name의 데이터를 포함하는 발급 요청 메시지를 전송하여 상기 보안 기기 인증서 발급 시스템에 인증서 발급 요청을 수행한다.
또한, 본 발명의 일 측면의 상기 제1 보안 기기와 상기 제2 보안 기기는 네트워크 통신을 연결하고, 각각의 인증서를 서로 교환한 후, 각각의 인증서에 포함되어 있는 Common Name의 데이터가 상기 보안기기 인증서 발급시스템에서 발급된 것인지를 확인하여 인증서 기반 상호 인증을 수행하고, 각각의 인증서에 포함되어 있는 시리얼 정보와 제1 및 제2 보안 기기 각각에 등록되어 있는 연동 시리얼 정보를 비교하여 유효한지 판단하여 시리얼 상호 인증을 수행한다.
또한, 본 발명의 일 측면의 상기 제1 보안 기기와 상기 제2 보안 기기는 교환한 인증서를 기반하여 TLS 암호화 구간을 생성하여 통신키를 교환하고, TLS 암호 구간을 종료하도록 한다.
또한, 본 발명의 일 측면의 상기 제1 보안 기기와 제2 보안 기기의 각각은
상기 보안 기기 인증서 발급 시스템에 개인키를 생성한 후 인증서 발급 요청 메시지를 전송하여 상기 보안 기기 인증서 발급 시스템에서 생성된 공개키 기반 인증서를 전송받아 저장하여 관리하는 인증서 발급부; 저장하여 관리하고 있는 공개키 기반 인증서를 상기 보안 기기 인증서 발급시스템에 전달하여 인증서의 유효성 판단을 요청하고 그 결과를 전송받는 인증서 유효성 판단부; 상대방 보안 기기와 인증서를 서로 교환한 후, 인증서 기반 상호 인증과 시리얼 상호 인증을 수행하는 상호 인증부; 상대방 보안 기기와 TLS 암호구간을 형성하여 통신키를 교환하고, TLS 암호 구간을 종료하는 통신키 교환부; 및 상대방 보안 기기와 통신키에 기반하여 대칭키 암호화 통신을 수행하는 보안 전송 서브 블럭을 포함한다.
한편, 본 발명의 다른 측면은 (A) 보안 기기 인증서 발급 시스템이 제1 보안 기기와 제2 보안 기기에서 개인키를 생성하고 제1 보안 기기와 제2 보안 기기로부터 인증서 발급 요청을 접수하면, 상기의 제1 보안 기기와 제2 보안 기기에 대하여 공개키 기반 인증서를 발급하여 전송하는 단계; (B) 상기 보안 기기 인증서 발급 시스템은 상기의 제1 보안 기기와 제2 보안 기기에 발급한 공개키 기반 인증서의 유효성을 판단하는 단계; (C) 상기 제1 보안 기기와 제2 보안 기기간에 인증서 기반 상호 인증과 시리얼 상호 인증을 수행하는 단계; 및 (D) 상기 제1 보안 기기와 제2 보안 기기간에 통신키를 교환하며, 통신키에 기반하여 대칭키 암호화 통신을 수행하는 단계를 포함한다.
또한, 본 발명의 다른 측면의 상기 (A) 단계에서 상기 제1 보안 기기와 상기 제2 보안 기기는 인증서Type, KeySize, MessageDigest Type, 장비시리얼, 장비권한정보, Common Name의 데이터를 포함하는 발급 요청 메시지를 전송하여 상기 보안 기기 인증서 발급 시스템에 인증서 발급 요청을 수행한다.
또한, 본 발명의 다른 측면의 상기 (C) 단계는 (C-1) 상기 제1 보안 기기와 상기 제2 보안 기기는 네트워크 통신을 연결하고, 각각의 인증서를 서로 교환하는 단계; (C-2) 상기 제1 보안 기기와 제2 보안 기기는 각각의 인증서에 포함되어 있는 Common Name의 데이터가 상기 보안 기기 인증서 발급시스템에서 발급된 것인지를 확인하여 인증서 기반 상호 인증을 수행하는 단계; 및 (C-3) 상기 제1 보안 기기와 제2 보안 기기는 각각의 인증서에 포함되어 있는 시리얼 정보와 상기 제1 보안 기기 및 제2 보안 기기 각각에 등록되어 있는 연동 시리얼 정보를 비교하여 유효한지 판단하여 시리얼 상호 인증을 수행하는 단계를 포함한다.
또한, 본 발명의 다른 측면의 상기 (D) 단계는 (D-1) 상기 제1 보안 기기와 상기 제2 보안 기기는 교환한 인증서를 기반하여 TLS 암호화 구간을 생성하는 단계; (D-2) 상기 제1 보안 기기와 상기 제2 보안 기기는 교환한 인증서에 기반하여 통신키를 교환하고, TLS 암호 구간을 종료하도록 하는 단계; 및 (D-3) 상기 제1 보안 기기와 상기 제2 보안 기기는 통신키에 기반하여 대칭키 암호화 통신을 수행하는 단계를 포함한다.
상기와 같은 본 발명에 따르면 보안 기기간에 상호 신뢰성을 확보하기 위하여 상호 식별 및 인증을 제공하여 사용자의 정보뿐만이 아니라 자산정보(IP, 이벤트정보, 시스템정보 등)를 포함하고 있는 보안 기기의 데이터는 해킹으로부터 보호할 수 있다.
또한, 본 발명에 따르면, 보안 기기의 망구성을 고려한 장비 식별 및 인증을 구현함으로써 보안 기기간의 연동을 시도하는 기기를 식별할 수 있어, 보안 기기간의 인증의 무결성을 강화할 수 있다.
도 1은 본 발명의 바람직한 일 실시예에 따른 보안 기기의 인증 기반 연동 장치의 구성도이다.
도 2는 도 1의 보안 기기의 내부 구성도이다.
도 3은 본 발명의 바람직한 일 실시예에 따른 보안 기기의 인증 기반 연동 방법의 흐름도이다.
본 발명과 본 발명의 동작상의 이점 및 본 발명의 실시에 의하여 달성되는 목적을 설명하기 위하여 이하에서는 본 발명의 바람직한 실시예를 예시하고 이를 참조하여 살펴본다.
먼저, 본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로서, 본 발명을 한정하려는 의도가 아니며, 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함할 수 있다. 또한 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서 상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
본 발명을 설명함에 있어서, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략한다.
도 1은 본 발명의 바람직한 일 실시예에 따른 보안 기기의 인증 기반 연동 장치의 구성도이다.
도 1을 참조하면, 본 발명의 바람직한 일 실시예에 따른 보안 기기의 인증 기반 연동 장치는 보안 기기 인증서 발급 시스템(100), 제1 보안기기(200) 및 제2 보안 기기(300)를 포함한다.
상기 보안 기기 인증서 발급 시스템(100)은 제1 보안 기기(200)와 제2 보안 기기(300)에서 개인키를 생성 후 제1 보안 기기(200)와 제2 보안 기기(300)로부터 인증서 발급 요청 메시지를 수신하면 해당 보안 기기(제1 보안 기기(200)와 제2 보안 기기(300))의 공개키 기반 인증서를 생성하여 생성된 공개키 기반 인증서를 해당하는 보안 기기(제1 보안 기기(200)와 제2 보안 기기(300)로 전송한다.
또한, 보안 기기 인증서 발급 시스템(100)은 해당 보안 기기(200, 300)로부터 인증서 유효성 판단 요청을 접수하면 해당 보안 기기(200,300)로부터 전송된 인증서의 유효성을 판단하여 판단 결과를 해당 보안 기기(200, 300)로 알려준다.
또한, 보안 기기 인증서 발급 시스템(100)은 보안 기기(200, 300)간 시리얼 상호 인증 단계에서 연동 시리얼 정보를 요청하는 경우에 저장하여 관리하고 있는 연동 시리얼 정보를 제공한다.
한편, 제1 보안 기기(200)와 제2 보안 기기(300)는 개인키를 생성하여 저장 관리하고 공개키 기반 인증서 발급 요청 메시지를 보안 기기 인증서 발급 시스템(100)에 전송하여 공개키 기반 인증서를 전송받아 저장하여 관리한다.
또한, 제1 보안 기기(200)와 제2 보안 기기(300)는 서로간에 저장하고 있는 인증서를 교환하여 인증서 기반 상호 인증과 시리얼 상호 인증을 수행한다.
그리고, 제1 보안 기기(200)와 제2 보안 기기(300)는 주고 받은 보안기기 인증서를 기반하여 TLS 암호화 구간을 생성하고, 생성된 TLS 암호 구간에 보안 네트워크를 통하여 통신키를 서로 교환하며, 통신키를 기반하여 대칭키 암호화 통신을 하여, 보안 기기 간에 신뢰성 있는 데이터 통신 및 상호인증을 기반하여 통신을 수행한다.
이와 같은 본 발명의 바람직한 일 실시예에 따른 보안 기기의 인증 기반 연동 장치의 동작을 살펴보면 다음과 같다.
먼저, 상기 보안 기기 인증서 발급 시스템(100)은 제1 보안 기기(200)와 제2 보안 기기(300)는 개인키를 생성 후 제1 보안 기기(200)와 제2 보안 기기(300)로부터 인증서 발급 요청 메시지를 수신하면 해당 보안 기기(제1 보안 기기(200)와 제2 보안 기기(300))의 공개키 기반 인증서를 생성하여 생성된 공개키 기반 인증서를 해당하는 보안 기기(제1 보안 기기(200)와 제2 보안 기기(300)로 전송한다.
물론, 보안 기기 인증서 발급 시스템(100)은 생성된 공개키 기반 인증서를 저장하여 관리하고 있다.
이때, 발급 요청 메시지는 인증서Type,KeySize, MessageDigest Type,장비시리얼,장비권한정보,Common Name의 데이터를 포함한다.
상기 장비권한정보는 Top_Node_Code, Sub_Node_Code, Device_Code, Organize_Name, Top_Node_Name, Sub_Node_Name, Ethernet_MAC, Device_IP를 포함 한다.
이때, 보안 기기(200, 300)는 Common Name으로 도메인 정보 또는 IP 정보를 전송하게 된다.
그리고, 보안 기기 인증서 발급 시스템(100)은 장비 시리얼에 추가적인 시리얼 정보를 추가하여 인증서를 생성하게 되는데 이는 연동 시리얼 정보라 불린다. 이러한 연동 시리얼 정보는 보안 기기 인증서 발급 시스템(100)에 저장되어 관리된다.
한편, 제1 보안 기기(200)와 제2 보안 기기(300)는 개인키를 생성하여 저장 관리하고 상기 보안 기기 인증서 발급 시스템(100)에서 전송된 공개키 기반 인증서를 전송받아 저장하여 관리한다.
이처럼, 보안 기기의 공개키 기반 인증서는 보안기기 인증서 발급시스템(100)의 서명(Sign)을 수행한 것으로, 보안기기 인증서 발급시스템(100)과 제1 보안 기기(200) 및 제2 보안 기기(300)에 저장 관리된다.
이와 달리 보안 기기의 개인키는 공개되지 않는 비밀키로, 해당하는 보안 기기(제1 보안 기기(200)와 제2 보안 기기)에만 저장하여 관리된다.
한편, 공개키 기반 인증서를 발급받아 저장하여 관리하고 있는 보안 기기(200, 300)는 해당 보안 기기(200, 300)의 공개키 기반 인증서를 보안 기기 인증서 발급시스템(100)에 전달하여 인증서의 유효성 판단 요청하고 그 결과를 전송받을 수 있다.
상기 공개키 기반 인증서를 보안 기기 인증서 발급 시스템(100)에서 발급받아 저장하여 관리하고 있는 보안 기기(200, 300)는 해당 보안 기기(200, 300)의 공개키 기반 인증서를 보안 기기 인증서 발급 시스템(100)에 전송하면서 인증서에 포함되어 있는 인증서Type,KeySize, MessageDigest Type,장비시리얼,장비권한정보,Common Name의 유효성 판단을 요청한다.
그러면, 보안 기기 인증서 발급 시스템(100)은 보안 기기(200, 300)로부터 전송받은 인증서를 데이터베이스에 저장하여 관리하고 있는 공개키 기반 인증서와 비교하여 동일한지를 판단하여 그 결과 동일하면 유효하다는 판단을 해당 보안 기기(200, 300)로 알려주고, 동일하지 않다면 유효하지 않다는 판단 결과를 해당 보안 기기(200, 300)로 알려준다.
한편, 제1 보안 기기(200)와 제2 보안 기기(300)는 구비하고 있는 보안 전송 서브 블럭을 통하여 네트워크 통신을 연결하고, 각각의 인증서를 서로 교환한 후, 각각의 인증서에 포함되어 있는 Common Name의 데이터가 보안기기 인증서 발급시스템(100)에서 발급된 것인지를 확인한다.
그리고, 제1 보안 기기(200)와 제2 보안 기기(300)는 교환한 인증서에 포함되어 있는 시리얼 정보와 보안 기기 각각에 등록되어 있는 연동 시리얼 정보를 비교하여 유효한지 판단한다.
이때, 제1 보안 기기(200)와 제2 보안 기기(300)는 상대방의 연동 시리얼 정보를 보안 기기 인증서 발급 시스템(100)에서 전송받는다.
상기 제1 보안 기기(200)와 제2 보안 기기(300)는 교환한 인증서에 포함되어 있는 시리얼 정보와 보안 기기 각각에 등록되어 있는 연동 시리얼 정보를 비교하여 등록되어 있는 정보와 일치하면 유효하고, 그렇지 않다면 유효하지 않은 것으로 판단한다.
한편, 상기 제1 보안 기기(200)와 제2 보안 기기(300)는 주고 받은 보안기기 인증서를 기반하여 TLS(Transport Layer Security) 암호화 구간을 생성한다.
그리고, 상기 제1 보안 기기(200)와 제2 보안 기기(300)는 생성된 TLS 암호 구간에 의해 각각의 보안기기간에 암호화 통신을 할 수 있는 보안 네트워크 연결이 형성되었으며 이 보안 네트워크를 통하여 통신키를 서로 교환한다.
이때, 상기 제1 보안 기기(200)와 제2 보안 기기(300)는 통신키를 상대방으로부터 전송받은 공개키 기반 인증서를 사용하여 암호화하여 전송하며, 상대방 보안 기기(200, 300)는 저장하여 관리하고 있는 개인키를 이용하여 복호화하여 통신키를 획득한다.
상기 제1 보안 기기(200)와 제2 보안 기기(300)는 TLS 암호 구간을 종료하도록 한 후에, 통신키를 기반하여 대칭키 암호화 통신을 하여, 보안 기기 간에 신뢰성 있는 데이터 통신 및 상호인증을 기반하여 통신을 수행한다.
도 2는 도 1의 보안 기기의 상세 구성도이다.
도 2를 참조하면, 도 1의 보안 기기는 인증서 발급부(10), 인증서 유효성 판단부(20), 상호 인증부(30), 통신키 교환부(40), 보안 전송 서브 블럭(50)을 구비하고 있다.
상기 인증서 발급부(10)는 개인키를 생성하여 저장하여 관리하고 보안 기기 인증서 발급 시스템(100)에 인증서 발급 요청 메시지를 전송하여 보안 기기 인증서 발급 시스템(100)에서 생성된 공개키 기반 인증서를 전송받아 저장하여 관리한다.
이때, 발급 요청 메시지는 인증서Type, KeySize, MessageDigest Type, 장비시리얼, 장비권한정보, Common Name의 데이터를 포함한다.
상기 장비권한정보는 Top_Node_Code, Sub_Node_Code, Device_Code, Organize_Name, Top_Node_Name, Sub_Node_Name, Ethernet_MAC, Device_IP를 포함 한다.
이때, 인증서 발급부(10)는 Common Name으로 도메인 정보 또는 IP 정보를 전송하게 된다.
한편, 인증서 유효성 판단부(20)는 저장하여 관리하고 있는 공개키 기반 인증서를 보안 기기 인증서 발급시스템(100)에 전달하여 인증서의 유효성 판단 요청하고 그 결과를 전송받을 수 있다.
상기 인증서 유효성 판단부(20)는 보안 기기 인증서 발급 시스템(100)에서 발급받아 저장하여 관리하고 있는 공개키 기반 인증서를 보안 기기 인증서 발급 시스템(100)에 전송하면서 인증서에 포함되어 있는 인증서Type,KeySize, MessageDigest Type,장비시리얼,장비권한정보,Common Name의 유효성 판단을 요청한다.
그러면, 보안 기기 인증서 발급 시스템(100)은 인증서 유효성 판단부(20)로부터 전송받은 인증서를 데이터베이스에 저장하여 관리하고 있는 공개키 기반 인증서와 비교하여 동일한지를 판단하여 그 결과 동일하면 유효하다는 판단을 해당 인증서 유효성 판단부(20)로 알려주고, 동일하지 않다면 유효하지 않다는 판단 결과를 해당 인증서 유효성 판단부(20)로 알려준다.
한편, 보안 전송 서브 블럭(50)은 네트워크 통신을 연결하며, 이에 따라 상호 인증부(30)는 상대방 보안 기기와 각각의 인증서를 서로 교환한 후, 각각의 인증서에 포함되어 있는 Common Name의 데이터가 보안기기 인증서 발급시스템(100)에서 발급된 것인지를 확인한다.
그리고, 상호 인증부(30)는 교환한 인증서에 포함되어 있는 시리얼 정보와 보안 기기 각각에 등록되어 있는 연동 시리얼 정보를 비교하여 유효한지 판단한다.
이때, 상호 인증부(30)는 상대방의 연동 시리얼 정보를 보안 기기 인증서 발급 시스템(100)에서 전송받는다.
상기 상호 인증부(30)는 교환한 인증서에 포함되어 있는 시리얼 정보와 보안 기기 각각에 등록되어 있는 연동 시리얼 정보를 비교하여 등록되어 있는 정보와 일치하면 유효하고, 그렇지 않다면 유효하지 않은 것으로 판단한다.
한편, 통신키 교환부(40)는 주고 받은 보안기기 인증서를 기반하여 TLS(Transport Layer Security) 암호화 구간을 생성한다.
그리고, 통신키 교환부(40)는 생성된 TLS 암호 구간에 의해 각각의 보안기기간에 암호화 통신을 할 수 있는 보안 네트워크 연결이 형성되었으며 이 보안 네트워크를 통하여 통신키를 서로 교환한다.
이때, 통신키 교환부(40)는 통신키를 상대방으로부터 전송받은 공개키 기반 인증서를 사용하여 암호화하여 전송하며, 상대방 보안 기기는 저장하여 관리하고 있는 개인키를 이용하여 복호화하여 통신키를 획득한다.
상기 통신키 교환부(40)는 TLS 암호 구간을 종료하도록 하며, 이후에, 보안 전송 서브 블럭(50)은 통신키를 기반하여 대칭키 암호화 통신을 하여, 보안 기기 간에 신뢰성 있는 데이터 통신 및 상호인증을 기반하여 통신을 수행한다.
도 3은 본 발명의 바람직한 일 실시예에 따른 보안 기기의 인증 기반 연동 방법의 흐름도이다.
도 3을 참조하면, 본 발명의 바람직한 일 실시예에 따른 보안 기기의 인증 기반 연동 방법은 보안 기기 인증서 발급 단계(S100), 보안 기기 인증서 유효성 판단 단계(S200), 보안 기기 인증서 기반 상호 인증 단계(S300), 보안 기기 시리얼 상호 인증 단계(S400), 보안 기기간 TLS 암호 구간 생성 단계(S500), 보안 기기 데이터 통신키 교환 단계(S600), 보안 기기간 TLS 암호 구간 소멸 단계(S700), 보안 기기 간 암호화 데이터 통신 단계(S800)을 구비하고 있다.
상기 보안 기기 인증서 발급 단계(S100)에서는 보안 기기 인증서 발급 시스템(100)이 제1 보안 기기(200)와 제2 보안 기기(300)로부터 인증서Type, KeySize, MessageDigest Type,장비시리얼,장비권한정보,Common Name의 데이터를 포함한 인증서 발급 요청 메시지를 수신하여 해당 보안 기기(제1 보안 기기(200)와 제2 보안 기기(300))의 공개키 기반 인증서와 개인키를 생성하여 해당 보안 기기(제1 보안 기기(200)와 제2 보안 기기(300))로 전송한다.
상기 장비권한정보에는 Top_Node_Code, Sub_Node_Code, Device_Code, Organize_Name, Top_Node_Name, Sub_Node_Name, Ethernet_MAC, Device_IP가 포함된다.
상기 보안 기기의 공개키 기반 인증서는 보안기기 인증서 발급시스템(100)의 서명(Sign)을 수행한 것으로, 보안기기 인증서 발급시스템(100)과 해당 보안기기(제1 보안 기기(200)와 제2 보안 기기(300))에 각각 저장하여 관리된다.
그리고, 상기 보안 기기의 개인키는 공개되지 않는 비밀키로, 해당 보안 기기(제1 보안 기기(200)와 제2 보안 기기(300))에만 저장하여 관리된다.
이때, 보안 기기(200, 300)는 Common Name으로 도메인 정보 또는 IP 정보를 전송하게 된다.
그리고, 보안 기기 인증서 발급 시스템(100)은 장비 시리얼에 추가적인 시리얼 정보를 추가하여 인증서를 생성하게 되는데 이는 연동 시리얼 정보라 불린다. 이러한 연동 시리얼 정보는 보안 기기 인증서 발급 시스템(100)에 저장되어 관리된다.
다음으로, 보안기기 인증서 유효성 판단 단계(S200)에서는 공개키 기반 인증서를 발급받아 저장하여 관리하고 있는 보안 기기(200, 300)가 해당 보안 기기(200, 300)의 공개키 기반 인증서를 보안 기기 인증서 발급시스템(100)에 전달하여 인증서의 유효성 판단을 요청하고 그 결과를 전송받는다.
즉, 공개키 기반 인증서를 보안 기기 인증서 발급 시스템(100)에서 발급받아 저장하여 관리하고 있는 보안 기기(200, 300)는 해당 보안 기기(200, 300)의 공개키 기반 인증서를 보안 기기 인증서 발급 시스템(100)에 전송하면서 인증서에 포함되어 있는 인증서Type,KeySize, MessageDigest Type,장비시리얼,장비권한정보,Common Name의 유효성 판단을 요청한다.
그러면, 보안 기기 인증서 발급 시스템(100)은 보안 기기(200, 300)로부터 전송받은 인증서를 데이터베이스에 저장하여 관리하고 있는 공개키 기반 인증서와 동일한지를 판단하여 그 결과 동일하면 유효하다는 판단을 해당 보안 기기(200, 300로 알려주고, 동일하지 않다면 유효하지 않다는 판단 결과를 해당 보안 기기(200, 300)로 알려준다.
상기 보안 기기 인증서 발급 시스템(100)으로부터 동일하다는 판단 결과를 얻으면 유효한 인증서이고, 동일하지 않다는 판단 결과를 얻으면 유효하지 않는 인증서이다.
다음으로, 보안 기기 인증서 기반 상호 인증 단계(S300)에서는 서로 다른 보안 기기(200, 300)간에 보안 전송 서브 블럭을 통하여 네트워크 통신을 연결하고, 각각의 인증서를 서로 교환한 후, 각각의 인증서에 포함되어 있는 Common Name의 데이터가 보안기기 인증서 발급시스템(100)에 발급된 것인지를 확인한다.
다음으로, 보안 기기 시리얼 상호 인증 단계(S400)에서는 보안 기기 인증서 기반 상호 인증 단계에서 주고 받은 보안 기기 인증서에 포함되어 있는 시리얼 정보와 보안 기기 각각에 등록되어 있는 연동 시리얼 정보를 비교하여 유효한지 판단한다. 등록되어 있는 정보와 일치하면 유효하고, 그렇지 않다면 유효하지 않은 것으로 판단한다.
다음으로, 보안 기기 간 TLS 암호 구간 생성 단계(S500)에서는 보안 기기간(200,300)에 보안 기기 인증서 기반 상호 인증 단계에서 주고 받은 보안기기 인증서를 기반하여 TLS 암호화 구간을 생성한다.
다음으로, 보안기기 데이터 통신키 교환 단계(S600)에서는 보안 기기간 TLS 암호 구간 생성 단계에서 생성된 TLS 암호 구간에 의해 각각의 보안기기간에 암호화 통신을 할 수 있는 보안 네트워크 연결이 형성되었으며 이 보안 네트워크를 통하여 통신키를 서로 교환한다.
다음으로, 보안 기기 간 TLS 암호 구간 소멸 단계(S700)에서는 TLS 암호 구간을 종료하도록 한다.
다음으로, 보안 기기 간 암호화 데이터 통신 단계(S800)에서는 통신키를 기반하여 대칭키 암호화 통신을 하여, 보안 기기 간에 신뢰성 있는 데이터 통신 및 상호인증을 기반하여 통신을 수행한다.
이처럼 본 발명은 통신키를 서로 공유하기까지 2단계의 상호 인증을 통하여 통신키를 비밀성을 보장하도록 한다.
여기에서 2단계 상호 인증은 보안기기 인증서 유효성 판단 단계에 결합된 보안기기 인증서 기반 상호 인증 단계와 보안기기 시리얼 상호 인증 단계를 포함한다.
상기와 같은 본 발명에 따르면 보안 기기간에 상호 신뢰성을 확보하기 위하여 상호 식별 및 인증을 제공하여 사용자의 정보뿐만이 아니라 자산정보(IP, 이벤트정보, 시스템정보 등)를 포함하고 있는 보안 기기의 데이터는 해킹으로부터 보호할 수 있다.
또한, 본 발명에 따르면, 보안 기기의 망구성을 고려한 장비 식별 및 인증을 구현함으로써 보안 기기간의 연동을 시도하는 기기를 식별할 수 있어, 보안 기기간의 인증의 무결성을 강화할 수 있다.
이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서 본 발명에 기재된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상이 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의해서 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
10 : 인증서 발급부 20 : 인증서 유효성 판단부
30 : 상호 인증부 40 : 통신키 교환부
50 : 보안 전송 서브 블럭 100 : 보안 기기 인증서 발급 시스템
200, 300 : 보안 기기

Claims (9)

  1. 하기의 개인키는 제1 보안기기와 제2보안기기에서 각각 생성하여 관리되고 제1 보안 기기와 제2 보안 기기에 대하여 공개키 기반 인증서를 발급하여 전송하며, 하기의 제1 보안 기기와 제2 보안 기기에 발급한 공개키 기반 인증서의 유효성을 판단하는 보안 기기 인증서 발급 시스템;
    상기 보안 기기 인증서 발급 시스템에 인증서 발급 요청을 하여 발급된 공개키와 개인키를 저장하여 관리하며, 상기 제2 보안 기기와 인증서 기반 상호 인증과 시리얼 상호 인증을 수행하고, 통신키를 교환하며, 통신키에 기반하여 대칭키 암호화 통신을 수행하는 제1 보안 기기; 및
    상기 보안 기기 인증서 발급 시스템에 인증서 발급 요청을 하여 발급된 공개키와 개인키를 저장하여 관리하며, 상기 제1 보안 기기와 인증서 기반 상호 인증과 시리얼 상호 인증을 수행하고, 통신키를 교환하며, 통신키에 기반하여 대칭키 암호화 통신을 수행하는 제2 보안 기기를 포함하는 보안 기기의 인증 기반 연동 장치.
  2. 청구항 1항에 있어서,
    상기 제1 보안 기기와 제2 보안 기기는 인증서Type, KeySize, MessageDigest Type, 장비시리얼, 장비권한정보, Common Name의 데이터를 포함하는 발급 요청 메시지를 전송하여 상기 보안 기기 인증서 발급 시스템에 인증서 발급 요청을 수행하는 보안 기기의 인증 기반 연동 장치.
  3. 청구항 1항에 있어서,
    상기 제1 보안 기기와 상기 제2 보안 기기는 네트워크 통신을 연결하고, 각각의 인증서를 서로 교환한 후, 각각의 인증서에 포함되어 있는 Common Name의 데이터가 상기 보안기기 인증서 발급시스템에서 발급된 것인지를 확인하여 인증서 기반 상호 인증을 수행하고, 각각의 인증서에 포함되어 있는 시리얼 정보와 제1 및 제2 보안 기기 각각에 등록되어 있는 연동 시리얼 정보를 비교하여 유효한지 판단하여 시리얼 상호 인증을 수행하는 보안 기기의 인증 기반 연동 장치.
  4. 청구항 3항에 있어서,
    상기 제1 보안 기기와 상기 제2 보안 기기는 교환한 인증서를 기반하여 TLS 암호화 구간을 생성하여 통신키를 교환하고, TLS 암호 구간을 종료하도록 하는 보안 기기의 인증 기반 연동 장치.
  5. 청구항 1항에 있어서,
    상기 제1 보안 기기와 제2 보안 기기의 각각은
    개인키를 생성하여 저장하여 관리하고, 상기 보안 기기 인증서 발급 시스템에 인증서 발급 요청 메시지를 전송하여 상기 보안 기기 인증서 발급 시스템에서 생성된 공개키 기반 인증서를 전송받아 저장하여 관리하는 인증서 발급부;
    저장하여 관리하고 있는 공개키 기반 인증서를 상기 보안 기기 인증서 발급시스템에 전달하여 인증서의 유효성 판단을 요청하고 그 결과를 전송받는 인증서 유효성 판단부;
    상대방 보안 기기와 인증서를 서로 교환한 후, 인증서 기반 상호 인증과 시리얼 상호 인증을 수행하는 상호 인증부;
    상대방 보안 기기와 TLS 암호구간을 형성하여 통신키를 교환하고, TLS 암호 구간을 종료하는 통신키 교환부; 및
    상대방 보안 기기와 통신키에 기반하여 대칭키 암호화 통신을 수행하는 보안 전송 서브 블럭을 포함하는 보안 기기의 인증 기반 연동 장치.
  6. (A) 보안 기기 인증서 발급 시스템이 제1 보안 기기와 제2 보안 기기에서 개인키를 생성하고 제1 보안 기기와 제2 보안 기기로부터 인증서 발급 요청을 접수하면, 상기의 제1 보안 기기와 제2 보안 기기에 대하여 공개키 기반 인증서를 발급하여 전송하는 단계;
    (B) 상기 보안 기기 인증서 발급 시스템은 상기의 제1 보안 기기와 제2 보안 기기에 발급한 공개키 기반 인증서의 유효성을 판단하는 단계;
    (C) 상기 제1 보안 기기와 제2 보안 기기간에 인증서 기반 상호 인증과 시리얼 상호 인증을 수행하는 단계; 및
    (D) 상기 제1 보안 기기와 제2 보안 기기간에 통신키를 교환하며, 통신키에 기반하여 대칭키 암호화 통신을 수행하는 단계를 포함하는 보안 기기의 인증 기반 연동 방법.
  7. 청구항 6항에 있어서,
    상기 (A) 단계에서 상기 제1 보안 기기와 상기 제2 보안 기기는 인증서Type, KeySize, MessageDigest Type, 장비시리얼, 장비권한정보, Common Name의 데이터를 포함하는 발급 요청 메시지를 전송하여 상기 보안 기기 인증서 발급 시스템에 인증서 발급 요청을 수행하는 보안 기기의 인증 기반 연동 방법.
  8. 청구항 6항에 있어서,
    상기 (C) 단계는
    (C-1) 상기 제1 보안 기기와 상기 제2 보안 기기는 네트워크 통신을 연결하고, 각각의 인증서를 서로 교환하는 단계;
    (C-2) 상기 제1 보안 기기와 제2 보안 기기는 각각의 인증서에 포함되어 있는 Common Name의 데이터가 상기 보안 기기 인증서 발급시스템에서 발급된 것인지를 확인하여 인증서 기반 상호 인증을 수행하는 단계; 및
    (C-3) 상기 제1 보안 기기와 제2 보안 기기는 각각의 인증서에 포함되어 있는 시리얼 정보와 상기 제1 보안 기기 및 제2 보안 기기 각각에 등록되어 있는 연동 시리얼 정보를 비교하여 유효한지 판단하여 시리얼 상호 인증을 수행하는 단계를 포함하는 보안 기기의 인증 기반 연동 방법.
  9. 청구항 8항에 있어서,
    상기 (D) 단계는
    (D-1) 상기 제1 보안 기기와 상기 제2 보안 기기는 교환한 인증서를 기반하여 TLS 암호화 구간을 생성하는 단계;
    (D-2) 상기 제1 보안 기기와 상기 제2 보안 기기는 교환한 인증서에 기반하여 통신키를 교환하고, TLS 암호 구간을 종료하도록 하는 단계; 및
    (D-3) 상기 제1 보안 기기와 상기 제2 보안 기기는 통신키에 기반하여 대칭키 암호화 통신을 수행하는 단계를 포함하는 보안 기기의 인증 기반 연동 방법.
KR1020160149682A 2016-11-10 2016-11-10 보안 기기의 인증 기반 연동 장치 및 방법 KR20180052414A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160149682A KR20180052414A (ko) 2016-11-10 2016-11-10 보안 기기의 인증 기반 연동 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160149682A KR20180052414A (ko) 2016-11-10 2016-11-10 보안 기기의 인증 기반 연동 장치 및 방법

Publications (1)

Publication Number Publication Date
KR20180052414A true KR20180052414A (ko) 2018-05-18

Family

ID=62454056

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160149682A KR20180052414A (ko) 2016-11-10 2016-11-10 보안 기기의 인증 기반 연동 장치 및 방법

Country Status (1)

Country Link
KR (1) KR20180052414A (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10958630B2 (en) * 2016-02-21 2021-03-23 Geir Christian Karlsen System and method for securely exchanging data between devices

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10958630B2 (en) * 2016-02-21 2021-03-23 Geir Christian Karlsen System and method for securely exchanging data between devices

Similar Documents

Publication Publication Date Title
EP2356772B1 (en) Quantum key distribution
CN102970299B (zh) 文件安全保护系统及其方法
EP1610202B1 (en) Using a portable security token to facilitate public key certification for devices in a network
US20090240941A1 (en) Method and apparatus for authenticating device in multi domain home network environment
JP2020080530A (ja) データ処理方法、装置、端末及びアクセスポイントコンピュータ
US10742426B2 (en) Public key infrastructure and method of distribution
US8274401B2 (en) Secure data transfer in a communication system including portable meters
CN100561919C (zh) 一种宽带接入用户认证方法
KR20110071201A (ko) 사용자 간 상호 인증 시스템 및 그 방법
CN113382002B (zh) 数据请求方法、请求应答方法、数据通信系统及存储介质
Kravitz Transaction immutability and reputation traceability: Blockchain as a platform for access controlled iot and human interactivity
CN101637004B (zh) 用于通信系统中的前缀可达性的方法
WO2008002081A1 (en) Method and apparatus for authenticating device in multi domain home network environment
CN104735064B (zh) 一种标识密码系统中标识安全撤销并更新的方法
CN112565294A (zh) 一种基于区块链电子签名的身份认证方法
TWI556618B (zh) Network Group Authentication System and Method
CN114091009A (zh) 利用分布式身份标识建立安全链接的方法
CN109995723B (zh) 一种域名解析系统dns信息交互的方法、装置及系统
KR20090002328A (ko) 무선 센서 네트워크에서의 새로운 장치 참여 방법
CN114760046A (zh) 一种身份鉴别方法和装置
KR20180052414A (ko) 보안 기기의 인증 기반 연동 장치 및 방법
CN113676330B (zh) 一种基于二级密钥的数字证书申请系统及方法
CN104820807A (zh) 一种智能卡数据处理方法
CN111541708B (zh) 一种基于电力配电的身份认证方法
JP2005278065A (ja) 認証用鍵の更新システム、認証用鍵の更新方法および認証用鍵の更新プログラム

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E601 Decision to refuse application