KR20220131437A - Security certification system for group security policy and encryption key management and its management method - Google Patents
Security certification system for group security policy and encryption key management and its management method Download PDFInfo
- Publication number
- KR20220131437A KR20220131437A KR1020210035457A KR20210035457A KR20220131437A KR 20220131437 A KR20220131437 A KR 20220131437A KR 1020210035457 A KR1020210035457 A KR 1020210035457A KR 20210035457 A KR20210035457 A KR 20210035457A KR 20220131437 A KR20220131437 A KR 20220131437A
- Authority
- KR
- South Korea
- Prior art keywords
- group
- policy
- security
- key
- key management
- Prior art date
Links
- 238000007726 management method Methods 0.000 title claims abstract description 160
- 238000004891 communication Methods 0.000 claims abstract description 68
- 230000008859 change Effects 0.000 claims abstract description 9
- 230000005540 biological transmission Effects 0.000 claims abstract description 6
- 238000000034 method Methods 0.000 claims description 42
- 239000008186 active pharmaceutical agent Substances 0.000 claims description 27
- 230000008569 process Effects 0.000 claims description 17
- 238000012550 audit Methods 0.000 claims description 9
- 238000012545 processing Methods 0.000 claims description 8
- 230000004044 response Effects 0.000 claims description 6
- 238000012790 confirmation Methods 0.000 claims description 2
- 238000012360 testing method Methods 0.000 description 9
- 238000010586 diagram Methods 0.000 description 5
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000010998 test method Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
- H04L9/0833—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/065—Network architectures or network communication protocols for network security for supporting key management in a packet data network for group communications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
Description
본 발명은 그룹 보안 정책 및 암호화 키 관리 기능을 갖는 보안인증시스템 및 그 관리 방법에 관한 것으로서, 더욱 상세하게는 그룹 통신시 그룹 보안 정책의 관리 기능을 통해 통신 그룹의 변경을 실시간으로 반영하여 그룹키를 실시간으로 관리할 수 있는 그룹 보안 정책 및 암호화 키 관리 기능을 갖는 보안인증시스템 및 그 관리 방법에 관한 것이다.The present invention relates to a security authentication system having a group security policy and encryption key management function, and a management method thereof, and more particularly, to a group key by reflecting changes in a communication group in real time through a group security policy management function during group communication. It relates to a security authentication system having a group security policy and encryption key management function that can manage in real time, and a management method therefor.
철도는 대규모 승객 및 화물 운송을 위한 교통수단으로서 안전한 운영을 위해 철도 인프라, 차량, 신호통신, 관제 등 다양한 시스템이 존재하며, 각 시스템은 유기적으로 연결되어 운영된다.As a means of transport for large-scale passenger and freight transportation, various systems such as railway infrastructure, vehicles, signal communication, and control exist for safe operation, and each system is organically connected and operated.
특히, 철도의 안전한 운행과 효율적인 운영을 위해 열차제어시스템은 지상과 차상의 제어시스템(예 : 차상제어장치, 지상제어장치) 간 무선통신을 기반으로 열차를 제어하는 시스템으로 발전되어 왔다.In particular, for the safe operation and efficient operation of railways, the train control system has been developed into a system that controls trains based on wireless communication between the ground and on-board control systems (eg, on-board control device, ground control device).
일 예로 도시철도의 CBTC(communication-based train control) 시스템, 및 유럽의 ETCS(European Train Control System) 등이 대표적이다. 이러한 열차제어시스템은 차상제어장치와 지상제어장치 간 무선통신을 기반으로 바이탈(Vital) 정보(예 : 열차의 정지나 속도 제어를 위한 정보)가 전송되므로, 무선통신 보안 위협 또는 공격으로부터 상기 전송되는 정보(예 : 열차제어 메시지)의 무결성(즉, 망실, 훼손, 손상, 변조 등에 의해 정보가 변경되지 않고 완전한 상태를 유지하는 것)이 확보되지 못한다면 안전에 치명적인 문제점이 발생되며, 이는 곧 대형 사고로 이어질 수 있다. 이상의 차-지상간 무선통신을 기반으로 열차를 안전하게 제어하는 시스템과 관련된 선행기술로 등록특허 제10-1978794호 등이 제안된 바 있다. As an example, a CBTC (communication-based train control) system of urban railroads, and a European ETCS (European Train Control System) are representative. In such a train control system, vital information (eg, information for stopping or speed control of a train) is transmitted based on wireless communication between the on-board control device and the ground control device, so If the integrity of information (eg, train control message) is not secured (that is, information is not changed due to loss, damage, damage, falsification, etc.), a fatal problem for safety occurs, which is a major accident can lead to Patent Registration No. 10-1978794 has been proposed as a prior art related to a system for safely controlling a train based on the above-described vehicle-ground wireless communication.
이러한 철도 네트워크를 통해 전송되는 데이터는 unicast, multicast, broadcast 통신 방식을 사용할 수 있으며, 이러한 데이터의 통신보안을 위한 보안인증시스템은 다양한 데이터 전송방식을 지원할 수 있어야 한다. Data transmitted through such a railway network can use unicast, multicast, and broadcast communication methods, and a security authentication system for communication security of these data must be able to support various data transmission methods.
특히, 보안인증시스템은 데이터의 기밀성 보장을 위해 암호화를 수행하는데, 멀티캐스트 통신 시 그룹의 형태로 통신을 수행하는 경우에도 통신그룹 정책 관리 및 그룹 멤버의 가입/탈퇴에 따른 그룹 암호화키 관리를 통해 그룹 암호화 통신을 수행하여야 한다.In particular, the security authentication system performs encryption to ensure data confidentiality. Even when communication is performed in the form of a group during multicast communication, through communication group policy management and group encryption key management according to group member joining/withdrawal, Group encrypted communication must be performed.
종래에는 이러한 철도 네트워크를 통해 전송되는 데이터의 암호화 및 복호화를 위해 필요한 대칭키를 송수신부에서 안전하게 공유하기 위해 공개키 기반의 암호화 방식을 사용한다. Conventionally, a public key-based encryption method is used to securely share a symmetric key required for encryption and decryption of data transmitted through such a railway network in a transceiver.
그러나, 멀티캐스트 방식의 그룹 통신(한 송신자가 다수의 수신자에게 메시지 전송)에 이러한 암호화 방법을 적용할 경우 각 수신자의 공개키를 이용하여 대칭키를 암호화하여 전송해야하므로 메시지의 오버헤드가 증가한다. However, when this encryption method is applied to multicast group communication (a sender transmits a message to multiple recipients), the message overhead increases because the symmetric key must be encrypted and transmitted using the public key of each recipient. .
물론, 이러한 문제를 해결하고자 그룹 통신의 암호화를 위해 그룹키를 사용하는 방법이 있다. 이는 키 관리 서버에 사전에 정의된 통신 그룹을 등록하고, 각 그룹에 속한 멤버들은 키 관리 서버에서 자신이 속한 그룹의 그룹키를 전송받아 암호화하므로 동일한 그룹 내 하나의 암호화 키만 사용할 수 있어 암호화 시 오버헤드를 줄일 수 있다. Of course, in order to solve this problem, there is a method of using a group key for encryption of group communication. This registers a communication group defined in advance in the key management server, and members belonging to each group receive and encrypt the group key of their group from the key management server, so only one encryption key in the same group can be used. head can be reduced.
그러나, 통신 그룹(멀티캐스트 그룹)의 멤버가 동적으로 변경되는 경우, 변경된 그룹의 멤버들에게 새로운 그룹키를 배포해야 함에도 키 관리 서버에 그룹 정보가 실시간으로 반영되지 않으면 그룹을 탈퇴한 더 이상 유효하지 않은 사용자가 암호화키를 보유하게 되므로 보안 취약점이 발생할 수 있다. However, if the member of the communication group (multicast group) is dynamically changed, the group information is not reflected in real time in the key management server even though the new group key must be distributed to the members of the changed group, leaving the group is no longer valid A security vulnerability may occur because a user who does not have the encryption key has the encryption key.
따라서, 본 발명은 이러한 문제점들을 해결하기 위한 것으로서 본 발명은 그룹 통신시 그룹 보안 정책의 관리 기능을 통해 통신 그룹의 변경을 실시간으로 반영하여 그룹키를 실시간으로 관리할 수 있는 그룹 보안 정책 및 암호화 키 관리 기능을 갖는 보안인증시스템 및 그 관리 방법을 제공하는데 그 목적이 있다.Accordingly, the present invention is to solve these problems, and the present invention provides a group security policy and encryption key that can manage the group key in real time by reflecting the change of the communication group in real time through the management function of the group security policy during group communication. An object of the present invention is to provide a security authentication system having a management function and a management method therefor.
특히, 본 발명은 기존 키관리서버의 변경없이도 실시간 그룹 정책 관리가 가능한 보안인증시스템 및 그 관리 방법을 제공하는데 그 목적이 있다.In particular, an object of the present invention is to provide a security authentication system capable of real-time group policy management without changing an existing key management server and a management method thereof.
이와 같은 기술적 과제를 해결하기 위해 본 발명은; The present invention in order to solve this technical problem;
데이터 전송 시 통신보안을 위해 메시지를 송수신하는 송수신 장치에 구비되어 상기 메시지를 암호화 및 복호화하는 보안단말기와, 보안 인증서를 관리하는 인증서 관리서버와, 암호화 키를 생성하고 관리하는 키 관리서버와, 상기 인증서 관리서버와 키 관리서버 및 보안단말기와 인터페이스되어 통신 그룹의 보안 정책을 실시간으로 관리하고 상기 보안단말기의 그룹 정책 요청시 그룹 정책을 상기 보안단말기에 제공하는 그룹정책관리자를 포함하는 것을 특징으로 하는 그룹 보안 정책 및 암호화 키 관리 기능을 갖는 보안인증시스템을 제공한다.A security terminal provided in a transceiver device for transmitting and receiving messages for communication security during data transmission to encrypt and decrypt the message, a certificate management server for managing security certificates, a key management server for generating and managing encryption keys; A group policy manager that interfaces with the certificate management server, the key management server, and the security terminal to manage the security policy of the communication group in real time and provides the group policy to the security terminal when the group policy of the security terminal is requested It provides a security authentication system having a group security policy and encryption key management function.
이때, 상기 인증서 관리서버와 그룹정책관리자는 통신 보안을 위한 인증을 담당하는 보안 인증서버에 포함되는 것을 특징으로 한다.In this case, the certificate management server and the group policy manager are characterized in that they are included in the security authentication server in charge of authentication for communication security.
그리고, 상기 그룹정책관리자는 내부에 전체적인 그룹 보안 정책을 저장하는 데이터베이스로서 그룹 보안 정책 DB와, 시스템 운영과 관련된 로그 저장소인 감사 로그와, 그룹 정책 관리에 대한 API를 제공하는 그룹 관리 API와, 상기 보안단말기의 그룹 정책 요청에 대한 API를 제공하는 정책 API와, 그룹에 가입된 멤버에게 그룹 정책 및 그룹 멤버 변경 시 해당 그룹의 정책 갱신을 통보하는 그룹 정책 갱신 통지 모듈과, 인증된 보안단말기만 해당 시스템에 접근 가능하도록 상기 그룹 관리 API 및 정책 API를 통한 요청 수신시 인증 절차를 수행하는 인증 모듈과, 주요 감사 로그를 기록하는 감사 로거와, 상기 그룹 관리 API를 통해 그룹 정책 요청 수신 시 해당 요청을 처리하고 상기 정책 API를 통해 그룹 정책을 전달하는 그룹정책 제어 모듈과, 변경된 그룹 정책에 따라 그룹 정책에 대한 암호화 키 생성 요청을 키 관리서버에 전송하는 키 관리서버 API를 포함하는 것을 특징으로 한다.In addition, the group policy manager includes a group security policy DB as a database for storing the overall group security policy therein, an audit log that is a log storage related to system operation, a group management API that provides APIs for group policy management, and the Policy API that provides API for group policy request from secure terminal, group policy update notification module that notifies group members to update group policy and group policy when group member is changed, and only for authenticated secure terminals An authentication module that performs an authentication procedure upon receiving a request through the group management API and policy API, an audit logger that records major audit logs, and a group policy request through the group management API to access the system. It is characterized in that it comprises a group policy control module that processes and delivers a group policy through the policy API, and a key management server API that transmits a request for generating an encryption key for the group policy to the key management server according to the changed group policy.
또한, 상기 보안단말기는 그룹 통신 시 그룹 정책을 받기 위해 상기 그룹정책관리자에게 자신의 통신 그룹과 관련된 정책을 요청하고, 자신이 속한 그룹 정책을 저장 및 관리하는 것을 특징으로 한다.In addition, the secure terminal requests a policy related to its communication group from the group policy manager to receive the group policy during group communication, and stores and manages the group policy to which it belongs.
그리고, 상기 그룹정책관리자는 그룹 정책을 관리하는 시스템 관리자로부터 그룹 정책 생성 요청이 오면 그룹 정책 제어 모듈에서 그룹 정책을 생성하고 해당 그룹의 키 아이디를 생성하여 키 관리서버에 해당 그룹키의 생성을 요청하고, 상기 키 관리서버에서 상기 그룹키 생성 요청에 의한 그룹키 생성에 따른 ack 신호를 전송받으면 상기 시스템 관리자에게 그룹 정책 생성 완료에 대한 ack를 전송하는 것을 특징으로 한다.In addition, when a group policy creation request comes from a system administrator who manages the group policy, the group policy manager creates a group policy in the group policy control module, generates a key ID for the group, and requests the key management server to generate a corresponding group key. and, when the key management server receives an ack signal according to the group key generation according to the group key generation request, it transmits an ack for the completion of group policy generation to the system administrator.
아울러, 상기 그룹정책관리자는 그룹 정책을 관리하는 시스템 관리자로부터 그룹 멤버의 가입 요청을 받으면 그룹 정책 제어 모듈에서 그룹 정책에 멤버를 추가하여 변경하고 해당 멤버가 해당 그룹의 그룹키를 전송받을 수 있도록 키 관리서버에 접근 권한 등록을 요청하고, 상기 키 관리서버의 키 접근 권한 등록 처리 완료에 따른 ack 신호를 전송받으면 시스템 관리자에게 그룹 멤버 가입 완료에 대한 ack를 전송하는 것을 특징으로 한다.In addition, when the group policy manager receives a group member's subscription request from the system administrator who manages the group policy, the group policy control module adds and changes the member to the group policy, and provides a key so that the member can receive the group key of the group. It is characterized in that when a request for access right registration is requested from the management server and an ack signal according to the completion of the key access right registration processing of the key management server is received, an ack for group membership registration is transmitted to the system administrator.
그리고, 상기 보안단말기는 내부의 LGPS를 조회하여 해당 그룹 정책이 없으면 상기 그룹정책관리자에게 자신의 그룹 정책을 요청하여 전송받아 자신의 LGPS에 저장하고, 자신의 통신 그룹의 키 아이디를 검색하여 키 아이디에 해당하는 그룹키를 키 관리서버에 요청하여 그룹키를 전송받는 것을 특징으로 한다.In addition, the security terminal inquires the internal LGPS and, if there is no corresponding group policy, requests and receives the group policy from the group policy manager, receives it, stores it in its own LGPS, retrieves the key ID of its communication group, and retrieves the key ID It is characterized in that it receives the group key by requesting the group key corresponding to the key management server.
또한, 상기 그룹정책관리자는 시스템 관리자로부터 그룹 멤버의 탈퇴 요청을 수신받으면 해당 그룹에서 멤버 탈퇴를 처리하고 해당 그룹의 새로운 키 아이디를 생성하고 해당 그룹의 새로운 키 아이디에 대한 새로운 그룹 키 생성과 기존 그룹 멤버의 키 접근 권한 등록을 키 관리서버에 요청 처리하고, 새로운 그룹 정책이 갱신되었음을 기존 멤버인 보안단말기에 통보하는 것을 특징으로 한다.In addition, when the group policy manager receives a request for withdrawal of a group member from the system administrator, the group policy manager processes member withdrawal from the corresponding group, generates a new key ID for the group, creates a new group key for the new key ID of the group, and creates a new group key for the existing group It is characterized in that the member's key access right registration request is processed to the key management server, and the security terminal of the existing member is notified that the new group policy has been updated.
이때, 상기 기존 멤버인 보안단말기는 기존 그룹 정책을 삭제하고 갱신된 그룹 정책을 조회하여 키 관리서버로부터 그룹키를 전송받는 것을 특징으로 한다.In this case, the security terminal, which is an existing member, deletes the existing group policy, inquires the updated group policy, and receives the group key from the key management server.
또한, 본 발명은;In addition, the present invention;
그룹 정책을 관리하는 시스템 관리자로부터 그룹 정책 생성 요청에 따라 그룹정책관리자에서 그룹 정책을 생성하고 해당 그룹의 키 아이디를 생성하는 제1단계; 상기 그룹정책관리자에서 생성된 키 아이디를 이용하여 키 관리서버에 해당 그룹키 생성을 요청하고, 상기 키 관리서버에서 그룹키 생성에 따른 ack 신호를 수신하는 제2단계; 및 상기 그룹정책관리자에서 상기 시스템 관리자에게 그룹 정책 생성 완료에 대한 ack를 전송하는 제3단계;를 포함하는 것을 특징으로 하는 그룹 보안 정책 및 암호화 키 관리 방법도 제공한다.A first step of creating a group policy in the group policy manager in response to a group policy creation request from a system administrator who manages the group policy and generating a key ID of the group; a second step of requesting a key management server to generate a corresponding group key using the key ID generated by the group policy manager, and receiving an ack signal according to the generation of the group key from the key management server; and a third step of transmitting, from the group policy manager to the system manager an ack for completion of group policy creation; it also provides a group security policy and encryption key management method comprising:
또한, 본 발명은;In addition, the present invention;
그룹 정책을 관리하는 시스템 관리자로부터 그룹 멤버의 가입 요청을 받은 그룹정책관리자에서 그룹 정책에 멤버를 추가 변경하는 제1단계; 상기 그룹정책관리자에서 해당 멤버가 해당 그룹의 암호화 키를 전송받을 수 있도록 키 관리서버에 접근 권한 등록을 요청하고, 상기 키 관리서버로부터 키 접근 권한 등록 처리의 완료에 따른 ack 신호를 수신하는 제2단계; 및 상기 그룹정책관리자에서 시스템 관리자에게 그룹 멤버 가입 완료에 대한 ack를 전송하는 제3단계;를 포함하는 것을 특징으로 하는 그룹 보안 정책 및 암호화 키 관리 방법도 제공한다.A first step of adding and changing members to the group policy by the group policy manager receiving a request for joining the group member from the system manager who manages the group policy; A second requesting access right registration from the key management server so that the member can receive the encryption key of the corresponding group from the group policy manager, and receiving an ack signal according to the completion of the key access right registration processing from the key management server step; and a third step of transmitting, from the group policy manager to the system administrator, an ack for group membership completion.
또한, 본 발명은;In addition, the present invention;
보안단말기에서 내부의 LGPS를 조회하여 그룹 정책을 조회하여 해당 그룹 정책이 없으면 그룹정책관리자에게 자신의 그룹 정책을 요청하고, 그룹정책관리자에서 조회된 해당 보안단말기의 정보와 그룹 보안 정책을 전송받는 제1단계; 및 상기 보안단말기에서 새로운 그룹 정책을 자신의 LGPS에 저장하고 자신의 통신 그룹의 키 아이디를 검색하여 키 아이디에 해당하는 그룹키를 키 관리서버에 요청하고, 상기 키 관리서버로부터 해당 보안단말기의 접근 권한 확인에 따른 그룹키를 전송받는 제2단계;를 포함하는 것을 특징으로 하는 그룹 보안 정책 및 암호화 키 관리 방법도 제공한다.If there is no corresponding group policy by inquiring the internal LGPS from the security terminal, the system requests the group policy manager for his/her own group policy and receives the information of the security terminal and the group security policy retrieved from the group policy manager.
또한, 본 발명은;In addition, the present invention;
그룹 정책을 관리하는 시스템 관리자로부터 그룹 멤버의 탈퇴 요청을 수신 받은 그룹정책관리자에서 해당 그룹에서 멤버 탈퇴를 처리하고 해당 그룹의 새로운 키 아이디를 생성하는 제1단계; 상기 그룹정책관리자에서 해당 그룹의 새로운 키 아이디에 대한 새로운 그룹 키 생성과 기존 그룹 멤버의 키 접근 권한 등록을 키 관리서버에 요청하여 처리하는 제2단계; 상기 그룹정책관리자에서 탈퇴 멤버인 보안단말기에게 그룹정책의 변경사항을 통보하여 탈퇴한 보안단말기에서 해당 그룹 정책을 삭제하는 제3단계; 및 상기 그룹정책관리자에서 새로운 그룹 정책이 갱신되었음을 기존 멤버인 보안단말기에 통보하고, 기존 멤버인 보안단말기에서는 기존 그룹 정책을 삭제하는 제4단계;를 포함하는 것을 특징으로 하는 그룹 보안 정책 및 암호화 키 관리 방법도 제공한다.A first step of processing the member withdrawal from the group and generating a new key ID of the group in the group policy manager receiving a request for withdrawal of the group member from the system administrator who manages the group policy; a second step of requesting from the group policy manager to generate a new group key for a new key ID of the corresponding group and to register key access rights of existing group members to a key management server; a third step of notifying the group policy manager of the change of the group policy to the security terminal that is a member with whom the group has left, and deleting the corresponding group policy from the security terminal that has withdrawn; and a fourth step of notifying an existing member secure terminal that the new group policy has been updated in the group policy manager, and deleting the existing group policy from the existing member secure terminal; Management methods are also provided.
여기서, 상기 제1단계는 탈퇴한 멤버를 제외한 그룹의 멤버인 보안단말기에게 새로운 키 아이디를 생성하여 공유하는 단계인 것을 특징으로 한다.Here, the first step is characterized in that it is a step of generating and sharing a new key ID to a secure terminal that is a member of the group except for the member who has withdrawn.
본 발명에 따르면, 그룹 보안 정책 관리 기능을 통해 통신 그룹의 변경을 실시간으로 반영하여 그룹 통신시 그룹키를 실시간으로 관리할 수 있다. According to the present invention, the group key can be managed in real time during group communication by reflecting the change of the communication group in real time through the group security policy management function.
특히, 본 발명에 따르면 기존의 보안인증시스템에서 키 관리서버의 변경없이 그룹정책관리자를 추가하여 실시간으로 그룹 정책 관리할 수 있는 장점이 있다.In particular, according to the present invention, there is an advantage that group policy management can be performed in real time by adding a group policy manager without changing the key management server in the existing security authentication system.
도 1은 본 발명에 따른 그룹 보안 정책 및 암호화 키 관리 기능을 갖는 보안인증시스템의 구성도이다.
도 2는 본 발명에 따른 그룹정책관리자의 상새 구성도이다.
도 3은 본 발명에 따른 보안인증시스템을 이용한 그룹 정책 생성 절차 흐름도이다.
도 4는 본 발명에 따른 보안인증시스템을 이용한 그룹 멤버 가입 절차 흐름도이다.
도 5는 본 발명에 따른 보안인증시스템을 이용한 그룹 정책 조회 절차 흐름도이다.
도 6은 본 발명에 따른 보안인증시스템을 이용한 그룹 멤버 탈퇴 절차 흐름도이다.
도 7은 본 발명에 따른 보안인증시스템을 이용한 그룹정책관리자 테스트 방법을 설명하기 위해 도시한 도면이다.
도 8은 본 발명에 따른 보안인증시스템을 이용한 그룹 보안 정책 및 암호화 키 관리 테스트 결과 이벤트 발생 시점의 캡쳐 화면 예이다.
도 9는 본 발명에 따른 보안인증시스템을 이용한 그룹 보안 정책 및 암호화 키 관리 테스트 결과 새로운 암호화 키 수신 소요시간의 캡쳐 화면 예이다.
도 10은 본 발명에 따른 보안인증시스템을 이용한 그룹 보안 정책 및 암호화 키 관리 테스트결과 이벤트 종료 시점의 화면 예이다.1 is a configuration diagram of a security authentication system having a group security policy and encryption key management function according to the present invention.
2 is a schematic diagram of a group policy manager according to the present invention.
3 is a flowchart of a group policy creation procedure using the security authentication system according to the present invention.
4 is a flowchart of a group member subscription procedure using the security authentication system according to the present invention.
5 is a flowchart of a group policy inquiry procedure using the security authentication system according to the present invention.
6 is a flowchart of a group member withdrawal procedure using the security authentication system according to the present invention.
7 is a diagram illustrating a group policy manager test method using the security authentication system according to the present invention.
8 is an example of a capture screen at the time of occurrence of a group security policy and encryption key management test result event using the security authentication system according to the present invention.
9 is an example of a screen capture of the time required to receive a new encryption key as a result of a group security policy and encryption key management test using the security authentication system according to the present invention.
10 is an example of a screen at the end of the group security policy and encryption key management test result event using the security authentication system according to the present invention.
이하, 본 발명에 따른 그룹 보안 정책 및 암호화 키 관리 기능을 갖는 보안인증시스템 및 그 관리 방법을 첨부한 도면을 참고로 하여 상세히 기술되는 실시 예에 의하여 그 특징들을 이해할 수 있을 것이다. Hereinafter, a security authentication system having a group security policy and an encryption key management function according to the present invention and a management method thereof will be understood according to the embodiments described in detail with reference to the accompanying drawings.
이에 앞서, 본 명세서 및 청구범위에 사용된 용어나 단어는 통상적이거나 사전적인 의미로 한정해서 해석되어서는 아니 되며, 발명자는 그 자신의 발명을 가장 최선의 방법으로 설명하기 위해 용어의 개념을 적절하게 정의할 수 있다는 원칙에 입각하여 본 발명의 기술적 사상에 부합하는 의미와 개념으로 해석되어야만 한다.Prior to this, the terms or words used in the present specification and claims should not be construed as being limited to conventional or dictionary meanings, and the inventor should properly understand the concept of the term in order to best describe his invention. Based on the principle that it can be defined, it should be interpreted as meaning and concept consistent with the technical idea of the present invention.
따라서, 본 명세서에 기재된 실시 예와 도면에 도시된 구성은 본 발명의 가장 바람직한 일 실시 예에 불과할 뿐이고, 본 발명의 기술적 사상을 모두 대변하는 것은 아니므로, 본 출원시점에 있어서 이들은 대체할 수 있는 다양한 균등물과 변형 예들이 있을 수 있음을 이해하여야 한다. Accordingly, the embodiments described in this specification and the configurations shown in the drawings are only the most preferred embodiment of the present invention, and do not represent all of the technical spirit of the present invention, so at the time of the present application, they can be replaced It should be understood that various equivalents and modifications may exist.
도 1 내지 도 2를 참고하면, 본 발명에 따른 그룹 보안 정책 및 암호화 키 관리 기능을 갖는 보안인증시스템은 그룹 보안 정책 관리 기능을 통해 통신 그룹의 변경을 실시간으로 반영하여 그룹 통신시 그룹키를 실시간으로 관리할 수 있으며 키 관리서버의 변경없이 그룹정책관리자를 추가하여 실시간 그룹 정책 관리가 가능한 시스템이다.1 to 2, the security authentication system having the group security policy and encryption key management function according to the present invention reflects the change of the communication group in real time through the group security policy management function to generate the group key during group communication in real time. It is a system that enables real-time group policy management by adding a group policy manager without changing the key management server.
여기서, 도 1은 철도에 적용된 본 발명에 따른 그룹 보안 정책 및 암호화 키 관리 기능을 갖는 보안인증시스템의 구성도로서, 데이터 전송 시 통신보안을 위해 메시지를 전송하는 송수신 장치로서 열차(100)의 열차제어시스템(102)과 지상의 ATS 관제(300)에 보안 단말기(110,110')가 구비된다. 이때 상기 보안 단말기(110,110')는 송신하는 메시지를 암호화하고, 수신받는 메시지는 복호화를 수행하여 데이터의 기밀성을 보장한다. Here, FIG. 1 is a configuration diagram of a security authentication system having a group security policy and encryption key management function according to the present invention applied to a railway, and is a transmission/reception device for transmitting a message for communication security during data transmission.
이러한 보안인증시스템의 구성에서 그룹 통신을 사용하는 경우, 송수신 장치의 통신그룹과 관련된 정책(예를 들면, 통신 그룹의 멤버의 가입이나 탈퇴와 같이 변경 사항 등)은 보안인증시스템의 보안단말기(110,110')에도 동일하게 적용되어야 그룹통신의 보안을 유지할 수 있다. When group communication is used in the configuration of such a security authentication system, the policy related to the communication group of the transceiver device (for example, changes such as membership or withdrawal of a member of the communication group) is applied to the
본 발명에서는 보안단말기(110,110')와 보안 인프라 관리서버(200)를 포함하는 보안인증시스템에서 멀티캐스트 방식에 대한 통신그룹 정책 관리를 위해 보안 인프라 관리서버(200)에 구비되는 그룹정책관리자(214)와 이러한 그룹 정책을 보안단말기(110,110')에 실시간으로 전송하여 그룹 암호화 통신을 수행하는 방법을 제안한다.In the present invention, the
이하, 본 발명의 보안인증시스템을 좀 더 구체적으로 설명한다.Hereinafter, the security authentication system of the present invention will be described in more detail.
우선 상기 열차(100)에는 열차의 운행을 제어하는 열차제어시스템(102)과, 보안 인프라 관리서버(200) 등의 지상장치와 열차제어 메시지 전송을 위한 통신장치(104)가 구비되며, 이러한 열차제어시스템(102)과 통신장치(104)인 무선 통신모뎀 사이에 철도 차/지상간 열차제어 메시지 전송시 통신보안을 위해 보안단말기(110)가 위치한다. 물론, 지상의 ATS 관제(300)에도 보안 단말기(110')가 구비된다.First, the
이러한 보안단말기(110,110')는 열차제어를 위한 메시지의 무결성 검증, 암복호화 등을 수행하며, 이를 위해 보안 인프라 관리서버(200)와 별도의 통신을 통해 보안인증서, 암호화키 등을 전송받는다. These
그리고, 상기 보안 인프라 관리서버(200)는 통신 보안을 위한 인증을 담당하는 보안 인증서버(210)와, 암호화 키를 생성하고 관리하는 키 관리서버(220)로 구성된다. The security
이때, 상기 보안 인증서버(210)는 보안 인증서를 관리하는 인증서 관리서버(212)와, 통신 그룹의 보안 정책을 실시간으로 관리하는 그룹정책관리자(214)를 포함한다.In this case, the
그리고, 상기 그룹정책관리자(214)는 통신 그룹의 정책을 관리하고, 그룹 정책 요청 시 그룹 정책을 제공하며 인증서 관리서버(212)와 키 관리서버(220) 및 보안단말기(110,110')와 인터페이스된다. In addition, the
이러한 그룹정책관리자(214)는 내부에 전체적인 그룹 보안 정책을 저장하는 데이터베이스로서 그룹 보안 정책 DB(214a)와, 시스템 운영과 관련된 로그 저장소인 감사 로그(214b)를 포함한다.The
또한, 상기 그룹정책관리자(214)는 그룹 정책의 생성, 삭제, 그룹 멤버 가입, 그룹 멤버 탈퇴 등 그룹 정책 관리에 대한 API를 제공하는 그룹 관리 API(214c)를 더 포함한다. 이러한 그룹 관리 API(214c)는 보안인증시스템을 적용하는 시스템(예를 들면, 열차제어시스템, 철도 통신 네트워크 등)에서 통신그룹 정책을 받아온다. In addition, the
이에 더해 상기 그룹정책관리자(214)는 보안단말기(110,110')의 그룹 정책 요청에 대한 API를 제공하는 정책 API(214d)와, 그룹에 가입된 멤버에게 그룹 정책 및 그룹 멤버 변경 시 해당 그룹의 정책 갱신을 통보하는 그룹 정책 갱신 통지 모듈(214e)과, 인증된 보안단말기(110,110')만 해당 시스템에 접근 가능하도록 상기 그룹 관리 API(214c) 및 정책 API(214d)를 통한 요청 수신시 인증 절차를 수행하는 인증 모듈(214f)를 더 포함한다. In addition, the
또한, 상기 그룹정책관리자(214)는 시스템 변경 등 주요 감사 로그를 기록하는 감사 로거(214g)와, 상기 그룹 관리 API(214c)를 통해 그룹 정책 요청 수신 시 해당 요청을 처리하고 상기 정책 API(214d)를 통해 그룹 정책을 전달하는 그룹정책 제어 모듈(214h)을 더 포함한다.In addition, the
그리고, 상기 그룹정책관리자(214)는 변경된 그룹 정책에 따라 키 관리서버 Agent(214i)를 통해 그룹 정책에 대한 암호화 키 생성 요청을 키 관리서버(220)에 전송하고, 상기 키 관리서버(220)는 이 요청을 통해 그룹 암호화 키를 생성하고 관리한다.Then, the
한편, 상기 보안단말기(110,110')는 그룹 통신 시(유니캐스트인 경우 멤버가 2개인 그룹, 멀티캐스트인 경우 멀티캐스트 그룹) 그룹 정책을 받기 위해 그룹정책관리자(214)에게 자신의 통신 그룹과 관련된 정책을 요청한다. On the other hand, the
그리고, 상기 보안단말기(110,110')는 자신이 속한 그룹 정책을 저장/관리하고, 그룹 통신 시 해당하는 그룹 정책이 없을 경우 그룹정책관리자(214)에게 그룹 정책을 요청하는 기능(LGSP: local group security policy)을 포함한다. In addition, the
이하, 도 3을 참고로 본 발명에 따른 그룹 보안 정책 및 암호화 키 관리 기능을 갖는 보안인증시스템을 이용한 통신 그룹 정책 생성 과정을 설명한다. Hereinafter, a communication group policy creation process using a security authentication system having a group security policy and an encryption key management function according to the present invention will be described with reference to FIG. 3 .
우선 시스템 관리자(1)는 그룹 정책을 관리하는 주체로서, 보안인증시스템 외부에 있는 관리자이다. First of all, the
본 발명의 보안인증시스템은 시스템 관리자(1)로부터 그룹 정책 생성 요청이 오면, 그룹정책관리자(214) 내부의 그룹 정책 제어 모듈(214h)에서 그룹 정책을 생성하고, 해당 그룹의 키 아이디를 생성한다. In the security authentication system of the present invention, when a group policy creation request is received from the
그리고, 상기 그룹정책관리자(214)는 생성된 키 아이디를 이용하여 키 관리서버(220)에 해당 그룹키 생성을 요청한다. Then, the
이에 따라 키 관리서버(220)는 그룹키 생성 요청을 처리하여 그룹키를 생성하고 ack 신호를 그룹정책관리자(214)에 전송하고, 이후 그룹정책관리자(214)는 시스템 관리자(1)에게 그룹 정책 생성 완료에 대한 ack를 전송한다.Accordingly, the
다음으로 도 4를 참고로 본 발명에 따른 그룹 보안 정책 및 암호화 키 관리 기능을 갖는 보안인증시스템을 이용한 그룹 멤버 가입 과정을 설명한다. Next, a group member subscription process using a security authentication system having a group security policy and encryption key management function according to the present invention will be described with reference to FIG. 4 .
그룹정책관리자(214)는 시스템 관리자(1)로부터 그룹 멤버의 가입 요청을 받으면, 그룹 정책 제어 모듈(214h)에서 그룹 정책에 멤버(도 4에서는 entity)를 추가하여 변경하고, 해당 멤버가 해당 그룹의 암호화 키(그룹키)를 전송받을 수 있도록 키 관리서버(220)에 접근 권한 등록을 요청한다. When the
이에 따라 상기 키 관리서버(220)에서 키 접근 권한 등록 처리가 완료되면 그룹정책관리자(214)에게 ack 신호를 전송하고, 이후 그룹정책관리자(214)는 시스템 관리자(1)에게 그룹 멤버 가입 완료에 대한 ack를 전송하여 그룹 멤버 가입 절차를 완료한다.Accordingly, when the key access right registration process in the
다음으로 도 5를 참고로 본 발명에 따른 그룹 보안 정책 및 암호화 키 관리 기능을 갖는 보안인증시스템을 이용한 그룹 정책 조회 과정을 설명한다. Next, a group policy inquiry process using a security authentication system having a group security policy and encryption key management function according to the present invention will be described with reference to FIG. 5 .
이는 보안단말기(110,110')에 최초로 패킷이 수신된 상황으로, 보안단말기(110,110')는 내부의 LGPS를 조회하여 그룹 정책을 조회한다. This is a situation in which the first packet is received by the
상기 보안단말기(110,110')는 해당 그룹 정책이 없을 경우, 그룹정책관리자(214)에게 자신의 그룹 정책을 요청하고, 그룹정책관리자(214)는 해당 보안단말기(110,110')의 정보와 그룹 보안 정책을 조회하여 그룹 보안 정책을 전송한다. When there is no corresponding group policy, the
이에 상기 보안단말기(110,110')는 새로운 그룹 정책을 자신의 LGPS에 저장하고, 자신의 통신 그룹의 키 아이디를 검색하여, 키 아이디에 해당하는 그룹키를 키 관리서버(220)에 요청한다. Accordingly, the
상기 키 관리서버(220)는 보안단말기(110,110')의 그룹키 요청에 대해 해당 보안단말기(110,110')의 접근 권한을 확인 후 그룹키를 전송한다.The
다음으로 도 6을 참고로 본 발명에 따른 그룹 보안 정책 및 암호화 키 관리 기능을 갖는 보안인증시스템을 이용하여 통신 그룹에서 멤버 하나가 탈퇴할 때 새로운 그룹 정책을 생성하는 과정을 설명한다. Next, a process of creating a new group policy when one member withdraws from a communication group using the security authentication system having a group security policy and encryption key management function according to the present invention will be described with reference to FIG. 6 .
우선 그룹정책관리자(214)는 시스템 관리자(1)로부터 그룹 멤버의 탈퇴 요청을 수신받으면 해당 그룹에서 멤버 탈퇴를 처리하고, 해당 그룹의 새로운 키 아이디를 생성한다. First, when the
이 경우 탈퇴한 멤버인 보안단말기(110b)는 기존의 그룹 키 아이디를 보유하고 있으므로, 탈퇴한 멤버를 제외한 그룹의 멤버인 보안단말기(110a)에게 새로운 키 아이디를 생성하여 공유한다. In this case, since the
그리고, 상기 그룹정책관리자(214)는 해당 그룹의 새로운 키 아이디에 대한 새로운 그룹 키 생성과 기존 그룹 멤버의 키 접근 권한 등록을 키 관리서버(220)에 요청한다. Then, the
이와 같은 그룹정책관리자(214)의 요청에 따라 상기 키 관리서버(220)는 해당 요청을 처리하여 완료한다. In response to the request of the
이후 상기 그룹정책관리자(214)는 탈퇴 멤버인 보안단말기(110b)에게 그룹정책의 변경사항을 통보하고, 탈퇴한 보안단말기(110b)는 해당 그룹 정책을 삭제한다. Thereafter, the
그리고, 상기 그룹정책관리자(214)는 새로운 그룹 정책이 갱신되었음(멤버 탈퇴에 따른 새로운 그룹키 아이디 생성)을 기존 멤버인 보안단말기(110a)에 통보하고, 기존 멤버인 보안단말기(110a)에서는 기존 그룹 정책을 삭제하여 응답한다. Then, the
이상의 과정을 통해 그룹 멤버 탈퇴의 처리가 완료되고, 이후 기존 멤버들인 보안단말기(110a)는 갱신된 그룹 정책을 조회하여 그룹키를 전송받는다.The group member withdrawal process is completed through the above process, and thereafter, the
이와 같은 본 발명에 따른 그룹 보안 정책 및 암호화 키 관리 기능을 갖는 보안인증시스템의 그룹 보안 정책 관리 기능을 구현하여 검증을 수행하였다.The verification was performed by implementing the group security policy management function of the security authentication system having the group security policy and encryption key management function according to the present invention.
도 7은 그룹정책관리자 테스트를 위한 방법을 설명하기 위해 도시한 도면으로, 그룹정책관리자(214)와, 2대의 보안단말기(110,110'), 키 관리서버(220)로 테스트를 수행하며, 이러한 그룹정책관리자(214)의 테스트 방법은 다음과 같다.7 is a diagram illustrating a method for testing the group policy manager. The
우선 그룹정책관리자(214)는 그룹 정책 갱신 이벤트 발생 시점부터 연결된 모든 보안단말기(110,110')가 그룹 정책을 갱신하여 키 관리 서버(220)에게 변경된 그룹 정책에 대한 갱신된 암호화 키를 수신할 때까지의 시간을 측정하고, 총 소요시간(Ta)은 마지막 RSD의 키 갱신 시점(EP)에서 그룹 정책 변경 시점(SP)을 뺀 값이다.First, the
이상에서 설명한 본 발명에 따른 그룹 보안 정책 및 암호화 키 관리 기능을 갖는 보안인증시스템의 테스트 결과는 도 8 내지 도 10과 같다. The test results of the security authentication system having the group security policy and encryption key management function according to the present invention described above are shown in FIGS. 8 to 10 .
도 8은 본 발명에 따른 보안인증시스템을 이용한 그룹 보안 정책 및 암호화 키 관리 테스트 결과 이벤트 발생 시점의 캡쳐 화면 예로서, 이벤트 발생 시점(그룹정책관리자)은 "2020-11-17 19:26:51,203"임을 알 수 있다. 8 is an example of a capture screen at the time of occurrence of an event as a result of a group security policy and encryption key management test using the security authentication system according to the present invention. "It can be seen that
그리고, 도 9는 본 발명에 따른 보안인증시스템을 이용한 그룹 보안 정책 및 암호화 키 관리 테스트 결과 새로운 암호화 키 수신 소요시간의 캡쳐 화면 예로서, 새로운 암호화 키 요청 및 수신 소요시간(보안단말기)은 "185ms"임을 알 수 있다. And, FIG. 9 is an example of a capture screen of a new encryption key reception time as a result of a group security policy and encryption key management test using the security authentication system according to the present invention, and the new encryption key request and reception time (security terminal) is "185 ms "It can be seen that
또한, 도 10은 본 발명에 따른 보안인증시스템을 이용한 그룹 보안 정책 및 암호화 키 관리 테스트결과 이벤트 종료 시점의 화면 예로서, 이벤트 발생 공지 시간(보안단말기)은 "2020-11-17 19:26:51,577"임을 알 수 있다.In addition, Figure 10 is an example of the screen at the end of the group security policy and encryption key management test result event using the security authentication system according to the present invention, the event occurrence notification time (security terminal) is "2020-11-17 19:26: It can be seen that it is 51,577".
이에 따라 총 소요 시간은 "374ms"임을 알 수 있다.Accordingly, it can be seen that the total required time is "374 ms".
이상과 같이 본 발명의 그룹 보안 정책 관리 기능을 통해, 통신 그룹의 변경을 실시간으로 반영하여 그룹 통신시 그룹키를 실시간으로 관리할 수 있다. As described above, through the group security policy management function of the present invention, the group key can be managed in real time during group communication by reflecting the change of the communication group in real time.
또한, 기존 키관리서버의 변경없이 그룹정책관리자를 추가하여 실시간 그룹 정책 관리가 가능하다.In addition, real-time group policy management is possible by adding a group policy manager without changing the existing key management server.
위에서 설명한 본 발명에 따른 그룹 보안 정책 및 암호화 키 관리 방법에 대해 정리하면, 본 발명은 그룹 정책을 관리하는 시스템 관리자(1)로부터 그룹 정책 생성 요청에 따라 그룹정책관리자(214)에서 그룹 정책을 생성하고 해당 그룹의 키 아이디를 생성하는 제1-1단계와 상기 그룹정책관리자(214)에서 생성된 키 아이디를 이용하여 키 관리서버(220)에 해당 그룹키 생성을 요청하고, 상기 키 관리서버(220)에서 그룹키 생성에 따른 ack 신호를 수신하는 제2-1단계 및 상기 그룹정책관리자(214)에서 상기 시스템 관리자(1)에게 그룹 정책 생성 완료에 대한 ack를 전송하는 제3-1단계를 포함하여 구성된다.Summarizing the group security policy and encryption key management method according to the present invention described above, the present invention creates a group policy in the
또한, 본 발명은 그룹 정책을 관리하는 시스템 관리자(1)로부터 그룹 멤버의 가입 요청을 받은 그룹정책관리자(214)에서 그룹 정책에 멤버를 추가 변경하는 제1-2단계와 상기 그룹정책관리자(214)에서 해당 멤버가 해당 그룹의 암호화 키를 전송받을 수 있도록 키 관리서버(220)에 접근 권한 등록을 요청하고, 상기 키 관리서버(220)로부터 키 접근 권한 등록 처리의 완료에 따른 ack 신호를 수신하는 제2-2단계 및 상기 그룹정책관리자(214)에서 시스템 관리자에게 그룹 멤버 가입 완료에 대한 ack를 전송하는 제3-2단계를 포함하여 구성된다.In addition, according to the present invention, the
또한, 본 발명은 보안단말기(110,110')에서 내부의 LGPS를 조회하여 그룹 정책을 조회하여 해당 그룹 정책이 없으면 그룹정책관리자(214)에게 자신의 그룹 정책을 요청하고, 그룹정책관리자(214)에서 조회된 해당 보안단말기(110,110')의 정보와 그룹 보안 정책을 전송받는 제1-3단계 및 상기 보안단말기(110,110')에서 새로운 그룹 정책을 자신의 LGPS에 저장하고 자신의 통신 그룹의 키 아이디를 검색하여 키 아이디에 해당하는 그룹키를 키 관리서버(220)에 요청하고, 상기 키 관리서버로(220)부터 해당 보안단말기의 접근 권한 확인에 따른 그룹키를 전송받는 제2-3단계를 포함하여 구성된다.In addition, the present invention inquires the group policy by inquiring the internal LGPS from the
또한, 본 발명은 그룹 정책을 관리하는 시스템 관리자로(1)부터 그룹 멤버의 탈퇴 요청을 수신 받은 그룹정책관리자(214)에서 해당 그룹에서 멤버 탈퇴를 처리하고 해당 그룹의 새로운 키 아이디를 생성하는 제1-4단계와 상기 그룹정책관리자(214)에서 해당 그룹의 새로운 키 아이디에 대한 새로운 그룹 키 생성과 기존 그룹 멤버의 키 접근 권한 등록을 키 관리서버(220)에 요청하여 처리하는 제2-4단계와 상기 그룹정책관리자(214)에서 탈퇴 멤버인 보안단말기(110b)에게 그룹정책의 변경사항을 통보하여 탈퇴한 보안단말기(110b)에서 해당 그룹 정책을 삭제하는 제3-4단계 및 상기 그룹정책관리자(214)에서 새로운 그룹 정책이 갱신되었음을 기존 멤버인 보안단말기(110a)에 통보하고, 기존 멤버인 보안단말기(110a)에서는 기존 그룹 정책을 삭제하는 제4단계를 포함하여 구성된다.In addition, the present invention provides a method for processing member withdrawal from the group and generating a new key ID for the group in the
여기서, 상기 제1-4단계는 탈퇴한 멤버를 제외한 그룹의 멤버인 보안단말기(110a)에게 새로운 키 아이디를 생성하여 공유하는 단계인 것을 특징으로 한다.Here, the steps 1-4 are characterized in that a new key ID is generated and shared with the
이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형 가능한 것으로, 본 발명의 보호범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.The above description is merely illustrative of the technical idea of the present invention, and various modifications and variations are possible without departing from the essential characteristics of the present invention by those skilled in the art to which the present invention pertains. The scope of protection should be interpreted by the following claims, and all technical ideas within the equivalent range should be construed as being included in the scope of the present invention.
100: 열차 102: 열차제어시스템
104: 통신장치 110,110': 보안 단말기
200: 보안 인프라 관리서버 210: 보안 인증서버
220: 키 관리서버 212: 인증서 관리서버
214: 그룹정책관리자 300: ATS 관제100: train 102: train control system
104: communication device 110,110': secure terminal
200: security infrastructure management server 210: security authentication server
220: key management server 212: certificate management server
214: group policy manager 300: ATS control
Claims (14)
A security terminal provided in a transceiver device for transmitting and receiving messages for communication security during data transmission to encrypt and decrypt the message, a certificate management server for managing security certificates, a key management server for generating and managing encryption keys; A group policy manager that interfaces with the certificate management server, the key management server, and the security terminal to manage the security policy of the communication group in real time and provides the group policy to the security terminal when the group policy of the security terminal is requested Security authentication system with group security policy and encryption key management function.
상기 인증서 관리서버와 그룹정책관리자는 통신 보안을 위한 인증을 담당하는 보안 인증서버에 포함되는 것을 특징으로 하는 그룹 보안 정책 및 암호화 키 관리 기능을 갖는 보안인증시스템.
The method of claim 1,
The security authentication system having a group security policy and encryption key management function, characterized in that the certificate management server and the group policy manager are included in a security authentication server in charge of authentication for communication security.
상기 그룹정책관리자는 내부에 전체적인 그룹 보안 정책을 저장하는 데이터베이스로서 그룹 보안 정책 DB와, 시스템 운영과 관련된 로그 저장소인 감사 로그와, 그룹 정책 관리에 대한 API를 제공하는 그룹 관리 API와, 상기 보안단말기의 그룹 정책 요청에 대한 API를 제공하는 정책 API와, 그룹에 가입된 멤버에게 그룹 정책 및 그룹 멤버 변경 시 해당 그룹의 정책 갱신을 통보하는 그룹 정책 갱신 통지 모듈과, 인증된 보안단말기만 해당 시스템에 접근 가능하도록 상기 그룹 관리 API 및 정책 API를 통한 요청 수신시 인증 절차를 수행하는 인증 모듈과, 주요 감사 로그를 기록하는 감사 로거와, 상기 그룹 관리 API를 통해 그룹 정책 요청 수신 시 해당 요청을 처리하고 상기 정책 API를 통해 그룹 정책을 전달하는 그룹정책 제어 모듈과, 변경된 그룹 정책에 따라 그룹 정책에 대한 암호화 키 생성 요청을 키 관리서버에 전송하는 키 관리서버 API를 포함하는 것을 특징으로 하는 그룹 보안 정책 및 암호화 키 관리 기능을 갖는 보안인증시스템.
The method of claim 1,
The group policy manager includes a group security policy DB as a database for storing the overall group security policy therein, an audit log that is a log storage related to system operation, a group management API that provides APIs for group policy management, and the security terminal Policy API that provides API for requesting group policy, Group Policy Update Notification module that notifies group members to update the group policy when group policy and group members are changed An authentication module that performs an authentication procedure upon receipt of a request through the group management API and policy API to be accessible, an audit logger that records major audit logs, and a group policy request processing when receiving a group policy request through the group management API, A group policy control module comprising: a group policy control module that delivers a group policy through the policy API; and a key management server API that transmits a request to generate an encryption key for the group policy to the key management server according to the changed group policy and a security authentication system having an encryption key management function.
상기 보안단말기는 그룹 통신 시 그룹 정책을 받기 위해 상기 그룹정책관리자에게 자신의 통신 그룹과 관련된 정책을 요청하고, 자신이 속한 그룹 정책을 저장 및 관리하는 것을 특징으로 하는 그룹 보안 정책 및 암호화 키 관리 기능을 갖는 보안인증시스템.
The method of claim 1,
Group security policy and encryption key management function, characterized in that the security terminal requests a policy related to its communication group from the group policy manager to receive the group policy during group communication, and stores and manages the group policy to which it belongs A security authentication system with
상기 그룹정책관리자는 그룹 정책을 관리하는 시스템 관리자로부터 그룹 정책 생성 요청이 오면 그룹 정책 제어 모듈에서 그룹 정책을 생성하고 해당 그룹의 키 아이디를 생성하여 키 관리서버에 해당 그룹키의 생성을 요청하고, 상기 키 관리서버에서 상기 그룹키 생성 요청에 의한 그룹키 생성에 따른 ack 신호를 전송받으면 상기 시스템 관리자에게 그룹 정책 생성 완료에 대한 ack를 전송하는 것을 특징으로 하는 그룹 보안 정책 및 암호화 키 관리 기능을 갖는 보안인증시스템.
The method of claim 1,
When the group policy manager receives a group policy creation request from the system administrator who manages the group policy, the group policy control module creates a group policy, generates a key ID for the group, and requests the key management server to generate a corresponding group key, Having a group security policy and encryption key management function, characterized in that when the key management server receives an ack signal according to the group key generation in response to the group key generation request, it transmits an ack indicating the completion of group policy generation to the system administrator security authentication system.
상기 그룹정책관리자는 그룹 정책을 관리하는 시스템 관리자로부터 그룹 멤버의 가입 요청을 받으면 그룹 정책 제어 모듈에서 그룹 정책에 멤버를 추가하여 변경하고 해당 멤버가 해당 그룹의 그룹키를 전송받을 수 있도록 키 관리서버에 접근 권한 등록을 요청하고, 상기 키 관리서버의 키 접근 권한 등록 처리 완료에 따른 ack 신호를 전송받으면 시스템 관리자에게 그룹 멤버 가입 완료에 대한 ack를 전송하는 것을 특징으로 하는 그룹 보안 정책 및 암호화 키 관리 기능을 갖는 보안인증시스템.
The method of claim 1,
When the group policy manager receives a group member's subscription request from the system manager who manages the group policy, the group policy control module adds and changes the member to the group policy, and the key management server so that the member can receive the group key of the group Group security policy and encryption key management, characterized in that when a request for access right registration is requested and an ack signal is received according to the completion of the key access right registration processing of the key management server, an ack for group membership registration is transmitted to the system administrator Functional security authentication system.
상기 보안단말기는 내부의 LGPS를 조회하여 해당 그룹 정책이 없으면 상기 그룹정책관리자에게 자신의 그룹 정책을 요청하여 전송받아 자신의 LGPS에 저장하고, 자신의 통신 그룹의 키 아이디를 검색하여 키 아이디에 해당하는 그룹키를 키 관리서버에 요청하여 그룹키를 전송받는 것을 특징으로 하는 그룹 보안 정책 및 암호화 키 관리 기능을 갖는 보안인증시스템.
The method of claim 1,
The security terminal searches the internal LGPS and, if there is no corresponding group policy, requests and receives the group policy from the group policy manager, receives it, stores it in its own LGPS, retrieves the key ID of its communication group, and corresponds to the key ID A security authentication system having a group security policy and encryption key management function, characterized in that the group key is transmitted by requesting the group key from the key management server.
상기 그룹정책관리자는 시스템 관리자로부터 그룹 멤버의 탈퇴 요청을 수신받으면 해당 그룹에서 멤버 탈퇴를 처리하고 해당 그룹의 새로운 키 아이디를 생성하고 해당 그룹의 새로운 키 아이디에 대한 새로운 그룹 키 생성과 기존 그룹 멤버의 키 접근 권한 등록을 키 관리서버에 요청 처리하고, 새로운 그룹 정책이 갱신되었음을 기존 멤버인 보안단말기에 통보하는 것을 특징으로 하는 그룹 보안 정책 및 암호화 키 관리 기능을 갖는 보안인증시스템.
The method of claim 1,
When the group policy manager receives a request for withdrawal of a group member from the system administrator, it processes member withdrawal from the group, generates a new key ID for the group, creates a new group key for the new key ID of the group, and creates a new group key for existing group members A security authentication system having a group security policy and encryption key management function, characterized in that the key access right registration request is processed to the key management server, and the new group policy is updated to the security terminal that is an existing member.
상기 기존 멤버인 보안단말기는 기존 그룹 정책을 삭제하고 갱신된 그룹 정책을 조회하여 키 관리서버로부터 그룹키를 전송받는 것을 특징으로 하는 그룹 보안 정책 및 암호화 키 관리 기능을 갖는 보안인증시스템.
9. The method of claim 8,
The security authentication system having a group security policy and encryption key management function, wherein the security terminal, which is an existing member, deletes the existing group policy, retrieves the updated group policy, and receives the group key from the key management server.
상기 그룹정책관리자에서 생성된 키 아이디를 이용하여 키 관리서버에 해당 그룹키 생성을 요청하고, 상기 키 관리서버에서 그룹키 생성에 따른 ack 신호를 수신하는 제2단계; 및
상기 그룹정책관리자에서 상기 시스템 관리자에게 그룹 정책 생성 완료에 대한 ack를 전송하는 제2단계;를 포함하는 것을 특징으로 하는 그룹 보안 정책 및 암호화 키 관리 방법.
A first step of creating a group policy in the group policy manager in response to a group policy creation request from a system administrator who manages the group policy and generating a key ID of the group;
a second step of requesting a key management server to generate a corresponding group key using the key ID generated by the group policy manager, and receiving an ack signal according to the generation of the group key from the key management server; and
A group security policy and encryption key management method comprising a; a second step of transmitting an ack for completion of group policy creation from the group policy manager to the system manager.
상기 그룹정책관리자에서 해당 멤버가 해당 그룹의 암호화 키를 전송받을 수 있도록 키 관리서버에 접근 권한 등록을 요청하고, 상기 키 관리서버로부터 키 접근 권한 등록 처리의 완료에 따른 ack 신호를 수신하는 제2단계; 및
상기 그룹정책관리자에서 시스템 관리자에게 그룹 멤버 가입 완료에 대한 ack를 전송하는 제3단계;를 포함하는 것을 특징으로 하는 그룹 보안 정책 및 암호화 키 관리 방법.
A first step of adding and changing members to the group policy by the group policy manager receiving a request for joining the group member from the system manager who manages the group policy;
A second requesting access right registration from the key management server so that the member can receive the encryption key of the corresponding group from the group policy manager, and receiving an ack signal according to the completion of the key access right registration processing from the key management server step; and
A group security policy and encryption key management method comprising a; a third step of transmitting, from the group policy manager to the system administrator an ack for group membership completion.
상기 보안단말기에서 새로운 그룹 정책을 자신의 LGPS에 저장하고 자신의 통신 그룹의 키 아이디를 검색하여 키 아이디에 해당하는 그룹키를 키 관리서버에 요청하고, 상기 키 관리서버로부터 해당 보안단말기의 접근 권한 확인에 따른 그룹키를 전송받는 제2단계;를 포함하는 것을 특징으로 하는 그룹 보안 정책 및 암호화 키 관리 방법.
If there is no corresponding group policy by inquiring the internal LGPS from the security terminal, the system requests the group policy manager for his/her own group policy and receives the information of the security terminal and the group security policy retrieved from the group policy manager. Stage 1; and
The secure terminal stores the new group policy in its own LGPS, retrieves the key ID of its communication group, requests the group key corresponding to the key ID to the key management server, and accesses the security terminal from the key management server A group security policy and encryption key management method comprising; a second step of receiving the group key according to the confirmation.
상기 그룹정책관리자에서 해당 그룹의 새로운 키 아이디에 대한 새로운 그룹 키 생성과 기존 그룹 멤버의 키 접근 권한 등록을 키 관리서버에 요청하여 처리하는 제2단계;
상기 그룹정책관리자에서 탈퇴 멤버인 보안단말기에게 그룹정책의 변경사항을 통보하여 탈퇴한 보안단말기에서 해당 그룹 정책을 삭제하는 제3단계; 및
상기 그룹정책관리자에서 새로운 그룹 정책이 갱신되었음을 기존 멤버인 보안단말기에 통보하고, 기존 멤버인 보안단말기에서는 기존 그룹 정책을 삭제하는 제4단계;를 포함하는 것을 특징으로 하는 그룹 보안 정책 및 암호화 키 관리 방법.
A first step of processing the member withdrawal from the group and generating a new key ID of the group in the group policy manager receiving a request for withdrawal of the group member from the system administrator who manages the group policy;
a second step of requesting from the group policy manager to generate a new group key for a new key ID of the corresponding group and to register key access rights of existing group members to a key management server;
a third step of notifying the group policy manager of the change of the group policy to the security terminal that is a member with whom the group has left, and deleting the corresponding group policy from the security terminal that has withdrawn; and
and a fourth step of notifying a security terminal that is an existing member that the new group policy has been updated in the group policy manager, and deleting the existing group policy from the security terminal that is an existing member; group security policy and encryption key management, comprising: Way.
상기 제1단계는 탈퇴한 멤버를 제외한 그룹의 멤버인 보안단말기에게 새로운 키 아이디를 생성하여 공유하는 단계인 것을 특징으로 하는 그룹 보안 정책 및 암호화 키 관리 방법.
14. The method of claim 13,
The first step is a group security policy and encryption key management method, characterized in that it is a step of creating and sharing a new key ID to a secure terminal that is a member of the group except for the member who has withdrawn.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020210035457A KR102648508B1 (en) | 2021-03-18 | 2021-03-18 | Security certification system for group security policy and encryption key management and its management method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020210035457A KR102648508B1 (en) | 2021-03-18 | 2021-03-18 | Security certification system for group security policy and encryption key management and its management method |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20220131437A true KR20220131437A (en) | 2022-09-28 |
KR102648508B1 KR102648508B1 (en) | 2024-03-20 |
Family
ID=83461063
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020210035457A KR102648508B1 (en) | 2021-03-18 | 2021-03-18 | Security certification system for group security policy and encryption key management and its management method |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102648508B1 (en) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20090095976A (en) * | 2008-03-07 | 2009-09-10 | 한국정보보호진흥원 | Method for managing group of dynamic multicast efficiently |
KR20100085424A (en) * | 2009-01-20 | 2010-07-29 | 성균관대학교산학협력단 | Group key distribution method and server and client for implementing the same |
KR20150053604A (en) * | 2013-11-08 | 2015-05-18 | 넷큐브테크놀러지 주식회사 | Method, server and computer-readable recording medium for controlling terminal |
KR20170065469A (en) * | 2017-04-04 | 2017-06-13 | 김광 | System and Method for Certificate Management Using SIM Card |
KR20180005095A (en) * | 2016-07-05 | 2018-01-15 | 주식회사 케이티 | Apparatus and method for sharing information |
KR101978794B1 (en) | 2017-10-17 | 2019-05-15 | 아주대학교산학협력단 | Train communication system, device and method |
-
2021
- 2021-03-18 KR KR1020210035457A patent/KR102648508B1/en active IP Right Grant
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20090095976A (en) * | 2008-03-07 | 2009-09-10 | 한국정보보호진흥원 | Method for managing group of dynamic multicast efficiently |
KR20100085424A (en) * | 2009-01-20 | 2010-07-29 | 성균관대학교산학협력단 | Group key distribution method and server and client for implementing the same |
KR20150053604A (en) * | 2013-11-08 | 2015-05-18 | 넷큐브테크놀러지 주식회사 | Method, server and computer-readable recording medium for controlling terminal |
KR20180005095A (en) * | 2016-07-05 | 2018-01-15 | 주식회사 케이티 | Apparatus and method for sharing information |
KR20170065469A (en) * | 2017-04-04 | 2017-06-13 | 김광 | System and Method for Certificate Management Using SIM Card |
KR101978794B1 (en) | 2017-10-17 | 2019-05-15 | 아주대학교산학협력단 | Train communication system, device and method |
Also Published As
Publication number | Publication date |
---|---|
KR102648508B1 (en) | 2024-03-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102142974B (en) | Method and system for authorizing management of terminals of internet of things | |
CN111049660A (en) | Certificate distribution method, system, device and equipment, and storage medium | |
WO2018010474A1 (en) | Method and apparatus for secure communication between vehicle-to-everything terminals | |
KR20200123484A (en) | Dynamic domain key exchange for authenticated D2D(Device toDevice) communication | |
CN101262342A (en) | Distributed authorization and validation method, device and system | |
JP3920583B2 (en) | COMMUNICATION SECURITY MAINTAINING METHOD, APPARATUS THEREOF, AND PROCESSING PROGRAM THEREOF | |
CN112003691B (en) | Distributed key management system applied to urban rail transit | |
KR102282633B1 (en) | Method of linkage certification between railway control system and multiple radio-blocking devices | |
JP2021510481A (en) | Encryption method and its system using activation code for withdrawal of digital certificate | |
EP3879749A1 (en) | Method and system for automatically generating and managing railway keys | |
CN115801461B (en) | Vehicle encryption communication system and method for vehicle-road cloud cooperation | |
JP2018160821A (en) | Utilization-of-service authentication system and utilization-of-service authentication method | |
CN106027473A (en) | Identity card reading terminal and cloud authentication platform data transmission method and system | |
Su et al. | Blockchain‐based internet of vehicles privacy protection system | |
KR20190056661A (en) | Secure Communication Method through RSU-based Group Key in Vehicular Network | |
CN104468074A (en) | Method and equipment for authentication between applications | |
CN114430552A (en) | Internet of vehicles v2v efficient communication method based on message pre-authentication technology | |
CN111768189B (en) | Charging pile operation method, device and system based on block chain | |
KR102648508B1 (en) | Security certification system for group security policy and encryption key management and its management method | |
CN115225346B (en) | Data evidence storage system oriented to credit investigation big data field | |
CN112235368B (en) | RFID equipment management system based on alliance block chain | |
Muniandi | Blockchain‐enabled balise data security for train control system | |
Lv et al. | A security vehicle network organization method for railway freight train based on lightweight authentication and property verification | |
CN112422563A (en) | Weather data encryption and decryption service system based on hybrid cryptography | |
JP4397712B2 (en) | Distributed authentication method, distributed authentication system, and authentication server |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
E902 | Notification of reason for refusal | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |