[go: up one dir, main page]

KR102779052B1 - Entrance device management method - Google Patents

Entrance device management method Download PDF

Info

Publication number
KR102779052B1
KR102779052B1 KR1020240158306A KR20240158306A KR102779052B1 KR 102779052 B1 KR102779052 B1 KR 102779052B1 KR 1020240158306 A KR1020240158306 A KR 1020240158306A KR 20240158306 A KR20240158306 A KR 20240158306A KR 102779052 B1 KR102779052 B1 KR 102779052B1
Authority
KR
South Korea
Prior art keywords
access device
authentication
access
key
certificate
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
KR1020240158306A
Other languages
Korean (ko)
Inventor
박용석
이인우
Original Assignee
(유)시원이엔지
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (유)시원이엔지 filed Critical (유)시원이엔지
Priority to KR1020240158306A priority Critical patent/KR102779052B1/en
Application granted granted Critical
Publication of KR102779052B1 publication Critical patent/KR102779052B1/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00571Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated by interacting with a central unit
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00309Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks
    • G07C2009/00412Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks the transmitted data signal being encrypted

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명의 일측면에 따른 출입기기 관리 방법은 공개키기반구조(Public Key Infrastructure)를 이용하여 인증장치가 출입기기부를 관리하는 것으로, 공개키 및 개인키를 이용하여 상기 인증장치 및 상기 출입기기부의 출입기기가 상호 인증하는 단계; 상기 인증장치 또는 상기 출입기기가 생성한 비밀키를 상기 인증장치 및 상기 출입기기가 공유하여 암호화 통신을 준비하는 단계; 상기 인증장치 및 상기 출입기기는 상기 출입기기에 설치된 프로그램의 인증을 위한 프로그램인증키를 상기 비밀키로 암호화 및 복호화함으로써 상기 인증장치가 상기 프로그램에 대한 인증을 수행하는 단계; 상기 인증장치가 상기 프로그램에 대한 인증에 기초하여 인증서를 생성하여 상기 출입기기로 전송하는 단계를 포함하는 출입기기 관리 방법이 제공된다.According to one aspect of the present invention, an access device management method is provided, which comprises: a step of mutually authenticating the access device of the access device unit by using a public key infrastructure through an authentication device; a step of preparing encrypted communication by sharing a secret key generated by the authentication device or the access device with the authentication device and the access device; a step of encrypting and decrypting a program authentication key for authenticating a program installed in the access device with the secret key, so that the authentication device performs authentication for the program; and a step of generating a certificate based on the authentication for the program and transmitting it to the access device by the authentication device.

Description

출입기기 관리 방법{ENTRANCE DEVICE MANAGEMENT METHOD}{ENTRANCE DEVICE MANAGEMENT METHOD}

본 발명은 출입기기 관리 방법에 관한 것이다.The present invention relates to a method for managing an access device.

특정 공간으로 물품, 차량 및 사람의 출입을 관리하기 위한 다양한 시스템이 구축되어 운영되고 있다.Various systems are built and operated to manage the entry and exit of goods, vehicles, and people into specific spaces.

이러한 시스템들은 인증장치와 다양한 출입기기들로 구성되어 있다. 인증장치는 시스템에 포함된 출입기기들에 대한 인증을 수행해야 하며, 출입기기들 사이의 통신이 이루어져야 한다. These systems consist of an authentication device and various access devices. The authentication device must perform authentication for the access devices included in the system, and communication must be established between the access devices.

이러한 과정을 통하여 외부에서의 해킹, 무단 접속 또는 변조/위조 장치들에 대한 차단이 이루어져야 한다. Through this process, external hacking, unauthorized access, or tampering/forgery devices must be blocked.

공개특허  10-2023-0066694 (공개일 : 2023년05월16일)Publication Patent No. 10-2023-0066694 (Publication Date: May 16, 2023)

본 발명의 실시예에 따른 출입기기 관리 방법은 외부로부터의 해킹 등에 대해 출입 관리 시스템을 보다 안전하게 보호하기 위한 것이다. The access device management method according to an embodiment of the present invention is to more safely protect the access control system against hacking from the outside, etc.

본 발명의 실시예에 따른 출입기기 관리 방법은 출입자의 통제 및 관리를 제공하기 위한 것이다.An access device management method according to an embodiment of the present invention is intended to provide control and management of entrants.

본 출원의 과제는 이상에서 언급한 과제로 제한되지 않으며, 언급되지 않는 또 다른 과제는 아래의 기재로부터 통상의 기술자에게 명확하게 이해될 수 있을 것이다.The subject matter of the present application is not limited to the subjects mentioned above, and other subjects not mentioned will be clearly understood by those skilled in the art from the description below.

본 발명의 일측면에 따른 출입기기 관리 방법은 공개키기반구조(Public Key Infrastructure)를 이용하여 인증장치가 출입기기부를 관리한다. 본 발명의 일측면에 따르면, 공개키 및 개인키를 이용하여 상기 인증장치 및 상기 출입기기부의 출입기기가 상호 인증하는 단계; 상기 인증장치 또는 상기 출입기기가 생성한 비밀키를 상기 인증장치 및 상기 출입기기가 공유하여 암호화 통신을 준비하는 단계; 상기 인증장치 및 상기 출입기기는 상기 출입기기에 설치된 프로그램의 인증을 위한 프로그램인증키를 상기 비밀키로 암호화 및 복호화함으로써 상기 인증장치가 상기 프로그램에 대한 인증을 수행하는 단계; 상기 인증장치가 상기 프로그램에 대한 인증에 기초하여 인증서를 생성하여 상기 출입기기로 전송하는 단계를 포함하는 출입기기 관리 방법이 제공된다. According to one aspect of the present invention, an access device management method uses a public key infrastructure to allow an authentication device to manage an access device unit. According to one aspect of the present invention, an access device management method is provided, including: a step for mutually authenticating the authentication device and the access device of the access device unit using a public key and a private key; a step for preparing encrypted communication by sharing a secret key generated by the authentication device or the access device with the authentication device and the access device; a step for the authentication device and the access device to perform authentication of a program by encrypting and decrypting a program authentication key for authenticating a program installed in the access device with the secret key; and a step for the authentication device to generate a certificate based on the authentication of the program and transmit it to the access device.

상기 상호 인증 단계에서 상기 인증장치는 출입기기용 인증상수를 생성하여 상기 출입기기로 전송하고, 상기 출입기기가 디지털서명 알고리즘을 통하여 상기 출입기기용 인증상수에 상기 출입기기의 개인키로 서명하여 생성한 출입기기용 디지털서명을 상기 출입기기로부터 수신받아 디지털서명 검증알고리즘을 통하여 상기 출입기기의 공개키와 상기 출입기기용 인증상수로 상기 출입기기용 디지털서명을 검증하여 성공 여부를 확인함으로써 상기 출입기기를 인증하고, 상기 인증장치는 인증장치용 인증상수를 생성하고, 디지털서명 알고리즘을 통하여 상기 인증장치용 인증상수에 상기 인증장치의 개인키로 서명하여 생성한 인증장치용 디지털서명과 상기 인증장치용 인증상수를 상기 출입기기로 전송하고, 상기 출입기기가 디지털서명 검증알고리즘을 통하여 상기 인증장치의 공개키와 상기 인증장치용 인증상수로 상기 인증장치용 디지털서명을 검증하여 성공 여부를 확인함으로써 상기 인증장치를 인증할 수 있다.In the mutual authentication step, the authentication device generates an authentication constant for an access device and transmits it to the access device, and the access device receives a digital signature for an access device generated by signing the authentication constant for the access device with the private key of the access device through a digital signature algorithm from the access device, and verifies the digital signature for the access device with the public key of the access device and the authentication constant for the access device through a digital signature verification algorithm to confirm success, thereby authenticating the access device, and the authentication device generates an authentication constant for the authentication device, and transmits a digital signature for the authentication device generated by signing the authentication constant for the authentication device with the private key of the authentication device through a digital signature algorithm and the authentication constant for the authentication device to the access device, and the access device verifies the digital signature for the authentication device with the public key of the authentication device and the authentication constant for the authentication device through a digital signature verification algorithm to confirm success, thereby authenticating the authentication device.

상기 암호화 통신을 준비하는 단계에서, 상기 출입기기는 상기 비밀키를 생성하고 상기 생성된 비밀키를 상기 인증장치의 공개키로 암호화하여 비밀키암호데이터를 생성하여 상기 인증장치로 전송하고, 상기 인증장치는 상기 출입기기로부터 수신한 상기 비밀키암호데이터를 상기 인증장치의 개인키로 복호화하여 상기 비밀키를 공유하거나, 또는 상기 인증장치는 상기 비밀키를 생성하고 상기 생성된 비밀키를 상기 출입기기의 공개키로 암호화하여 비밀키암호데이터를 생성하여 상기 출입기기로 전송하고, 상기 출입기기는 상기 인증장치로부터 수신한 상기 비밀키암호데이터를 상기 출입기기의 개인키로 복호화하여 상기 비밀키를 공유하거나, 또는 상기 인증장치와 상기 출입기기가 키교환 알고리즘을 이용하여 비밀키를 공유할 수 있다.In the step of preparing the encrypted communication, the access device generates the secret key and encrypts the generated secret key with the public key of the authentication device to generate secret key encrypted data and transmits the same to the authentication device, and the authentication device decrypts the secret key encrypted data received from the access device with the private key of the authentication device and shares the secret key, or the authentication device generates the secret key and encrypts the generated secret key with the public key of the access device to generate secret key encrypted data and transmits the same to the access device, and the access device decrypts the secret key encrypted data received from the authentication device with the private key of the access device and shares the secret key, or the authentication device and the access device can share the secret key using a key exchange algorithm.

상기 프로그램을 인증하는 단계에서, 상기 인증장치는 프로그램인증키를 생성하고, 상기 프로그램인증키를 상기 비밀키로 암호화하여 상기 출입기기로 송신하고, 상기 출입기기는 상기 암호화된 프로그램인증키를 상기 비밀키로 복호화하고, 상기 복호화된 프로그램인증키가 상기 출입기기에 저장된 프로그램인증키와 동일한 지 비교한 결과값을 상기 인증장치로 송신하고, 상기 인증장치는 상기 결과값에 따라 상기 프로그램를 인증할 수 있다. In the step of authenticating the above program, the authentication device generates a program authentication key, encrypts the program authentication key with the secret key and transmits it to the access device, the access device decrypts the encrypted program authentication key with the secret key, compares whether the decrypted program authentication key is identical to the program authentication key stored in the access device, and transmits the result value to the authentication device, and the authentication device can authenticate the program based on the result value.

상기 인증서는 상기 인증장치의 공개키 및 CA(Certificate Authority) 정보, 소유자정보, 지문, 및 디지털서명지문을 포함하며, 상기 CA정보는 상기 인증장치의 운영기관정보, 담당자정보, 기기식별정보 및 상기 인증장치의 주소 중 하나 이상을 포함하고, 상기 소유자정보는 상기 출입기기의 공개키, 출입기기식별정보, 상기 출입기기의 주소, 출입기기인증실패정보, 유효기간 중 하나 이상을 포함할 수 있다. The above certificate includes a public key of the authentication device, CA (Certificate Authority) information, owner information, a fingerprint, and a digital signature fingerprint, and the CA information includes one or more of the operating agency information of the authentication device, the person in charge information, the device identification information, and the address of the authentication device, and the owner information may include one or more of the public key of the access device, the access device identification information, the address of the access device, the access device authentication failure information, and the expiration date.

상기 출입기기부는 상기 출입기기에 해당되는 제1 출입기기와 다른 하나의 출입기기에 해당되는 제2 출입기기를 포함하며, 상기 인증서로 상기 제1 출입기기와 상기 제2 출입기기 사이에서 통신이 이루어지는 과정은, 상기 제1 출입기기 및 상기 제2 출입기기 중 하나가 다른 하나의 인증서를 요청하는 단계, 상기 제1 출입기기가 상기 제2 출입기기로부터 수신된 인증서의 조작 여부, 상기 제2 출입기기로부터 수신된 인증서가 상기 인증장치에 의하여 생성된 것인지의 여부, 및 상기 제1 출입기기 및 상기 제2 출입기기가 동일한 인증장치그룹에 속하는지의 여부를 확인하여 상기 인증서를 검증하는 단계, 상기 제2 출입기기로부터 수신된 인증서가 검증될 경우, 상기 제1 출입기기 및 상기 제2 출입기기 사이에 세션(session)이 설정되는 단계, 및 상기 제1 출입기기와 상기 제2 출입기기가 상기 설정된 세션을 검증하는 단계를 포함할 수 있다. The above access device unit includes a first access device corresponding to the access device and a second access device corresponding to another access device, and a process for communicating between the first access device and the second access device using the certificate may include a step in which one of the first access device and the second access device requests the other certificate, a step in which the first access device verifies the certificate by checking whether the certificate received from the second access device has been manipulated, whether the certificate received from the second access device was generated by the authentication device, and whether the first access device and the second access device belong to the same authentication device group, a step in which a session is established between the first access device and the second access device when the certificate received from the second access device is verified, and a step in which the first access device and the second access device verify the established session.

상기 제1 출입기기가 상기 수신받은 제2 출입기기의 인증서로 상기 인증장치의 공개키및 CA(Certificate Authority) 정보와, 상기 제2 출입기기의 소유자정보, 지문, 및 디지털서명지문을 생성하고, 상기 제2 출입기기로부터 수신된 인증서의 조작 여부를 확인하기 위하여 상기 인증장치의 공개키및 CA정보와, 상기 제2 출입기기의 소유자정보로 상기 제2 출입기기의 지문을 신규로 생성하여 상기 제2 출입기기의 인증서로 생성된 지문과 상기 신규로 생성된 지문이 동일한지를 확인할 수 있다. The first access device generates a public key and CA (Certificate Authority) information of the authentication device, owner information, a fingerprint, and a digital signature fingerprint of the second access device using the certificate of the second access device received above, and in order to check whether the certificate received from the second access device has been tampered with, a new fingerprint of the second access device is generated using the public key and CA information of the authentication device and the owner information of the second access device, and it is possible to check whether the fingerprint generated with the certificate of the second access device and the newly generated fingerprint are the same.

상기 제1 출입기기가 상기 수신받은 제2 출입기기의 인증서로 상기 인증장치의 공개키 및 CA(Certificate Authority) 정보와, 상기 제2 출입기기의 소유자정보, 지문, 및 디지털서명지문을 생성하고, 상기 제2 출입기기로부터 수신된 인증서가 상기 인증장치에 의하여 생성된 것인지의 여부를 확인하기 위하여 디지털서명 검증알고리즘에 따라 상기 제2 출입기기의 지문과 상기 인증장치의 공개키로 상기 제2 출입기기의 디지털서명지문을 검증하여 성공 여부를 확인할 수 있다. The first access device generates a public key and CA (Certificate Authority) information of the authentication device, owner information, fingerprint, and digital signature fingerprint of the second access device using the certificate of the second access device received above, and verifies the digital signature fingerprint of the second access device with the fingerprint of the second access device and the public key of the authentication device according to a digital signature verification algorithm to confirm whether the certificate received from the second access device was generated by the authentication device, thereby confirming the success or failure.

상기 제1 출입기기가 상기 수신받은 제2 출입기기의 인증서로 상기 인증장치의 공개키 및 CA(Certificate Authority) 정보와, 상기 제2 출입기기의 소유자정보, 지문, 및 디지털서명지문을 생성하고, 상기 제1 출입기기 및 상기 제2 출입기기가 동일한 인증장치그룹에 속하는지의 여부를 확인하기 위하여 상기 제1 출입기기에 저장된 상기 인증장치의 공개키와 상기 제2 출입기기의 인증서로 생성된 공개키가 동일한지 판단하고, 상기 제1 출입기기에 저장된 상기 인증장치의 CA정보와 상기 제2 출입기기의 인증서로 생성된 CA정보가 동일한지 확인할 수 있다. The first access device generates a public key and CA (Certificate Authority) information of the authentication device with the received certificate of the second access device, and owner information, a fingerprint, and a digital signature fingerprint of the second access device, and determines whether the public key of the authentication device stored in the first access device and the public key generated with the certificate of the second access device are the same in order to confirm whether the first access device and the second access device belong to the same authentication device group, and confirms whether the CA information of the authentication device stored in the first access device and the CA information generated with the certificate of the second access device are the same.

상기 세션을 설정하는 단계에서, 상기 제1 출입기기는 상기 제2 출입기기의 소유자정보의 구성요소 중 하나 이상을 상기 인증장치로 전송하고, 상기 제1 출입기기 및 상기 제2 출입기기 사이의 통신을 위한 세션 ID, 상기 제1 출입기기 및 상기 제2 출입기기 사이의 암호화 통신을 위한 비밀키, 상기 제2 출입기기의 소유자정보을 상기 인증장치로부터 수신하며, 상기 제2 출입기기는 상기 세션ID, 상기 제1 출입기기 및 상기 제2 출입기기 사이의 암호화 통신을 위한 비밀키, 상기 제1 출입기기의 소유자정보를 상기 인증장치로부터 수신하여 상기 제1 출입기기 및 상기 제2 출입기기 사이에 세션이 설정될 수 있다. In the step of establishing the session, the first access device transmits at least one of the components of the owner information of the second access device to the authentication device, and receives a session ID for communication between the first access device and the second access device, a secret key for encrypted communication between the first access device and the second access device, and the owner information of the second access device from the authentication device, and the second access device receives the session ID, the secret key for encrypted communication between the first access device and the second access device, and the owner information of the first access device from the authentication device, so that a session can be established between the first access device and the second access device.

상기 세션을 검증하는 단계에서, 상기 제1 출입기기와 상기 제2 출입기기는 상기 인증장치로부터 수신받은 상기 세션ID를 상기 인증장치로부터 수신받은 비밀키로 암호화하여 상호 전송하고, 상호 전송된 상기 세션 ID를 상기 비밀키로 복호화하여 상호 전송된 상기 세션 ID가 동일한 지를 확인하는 세션 검증 단계를 포함할 수 있다. In the step of verifying the session, the first access device and the second access device may include a session verification step of mutually transmitting the session ID received from the authentication device by encrypting it with a secret key received from the authentication device, and decrypting the mutually transmitted session ID with the secret key to confirm whether the mutually transmitted session ID is the same.

상기 제1 출입기기가 상기 수신받은 제2 출입기기의 인증서로 상기 인증장치의 공개키 및 CA(Certificate Authority) 정보와, 상기 제2 출입기기의 소유자정보, 지문, 및 디지털서명지문을 생성하고, 상기 세션 설정 단계의 상기 인증장치는 상기 제1 출입기기로부터 상기 제2 출입기기의 소유자정보의 구성요소 중 하나 이상을 수신하고, 상기 수신한 제2 출입기기의 소유자정보의 구성요소 중 하나 이상을 이용하여 상기 인증장치에 구비된 소유자정보그룹에서 상기 제2 출입기기의 소유자정보를 취득하여 상기 제1 출입기기로 전송할 수 있다.The first access device generates a public key and CA (Certificate Authority) information of the authentication device with the received certificate of the second access device, and owner information, a fingerprint, and a digital signature fingerprint of the second access device, and the authentication device of the session setup step receives at least one of the elements of the owner information of the second access device from the first access device, and acquires owner information of the second access device from an owner information group provided in the authentication device using at least one of the elements of the received owner information of the second access device, and transmits the acquired owner information to the first access device.

상기 제1 출입기기가 상기 수신받은 제2 출입기기의 인증서로 상기 인증장치의 공개키 및 CA(Certificate Authority) 정보와, 상기 제2 출입기기의 소유자정보, 지문, 및 디지털서명지문을 생성하고, 상기 세션 설정 단계의 상기 인증장치는 상기 제1 출입기기로부터 수신된 상기 제2 출입기기의 소유자정보의 구성요소 중 하나 이상을 이용하여 상기 인증장치에 구비된 소유자정보그룹에서 상기 제2 출입기기의 소유자정보를 취득하며 상기 취득된 제2 출입기기의 소유자정보를 상기 제1 출입기기로 송신하고, 상기 인증장치와 상기 제1 출입기기 간의 세션 정보를 이용하여 상기 소유자정보그룹에서 상기 제1 출입기기의 소유자정보를 취득하며 상기 취득된 제1 출입기기의 소유자정보를 상기 제2 출입기기로 송신하며, 상기 제1 출입기기는 상기 제2 출입기기로부터 수신된 인증서로부터 생성된 소유자정보와 상기 인증장치로부터 수신된 제2 출입기기의 소유자정보를 비교하여 상기 제2 출입기기의 미인증 여부를 판단하고, 상기 인증장치로부터 수신된 제2 출입기기의 소유자정보를 통하여 상기 제2 출입기기의 위조 및 변조 여부를 판단하고, 상기 제2 출입기기는 상기 인증장치로부터 수신된 상기 제1 출입기기의 소유자정보를 통하여 상기 제1 출입기기의 위조 및 변조 여부를 판단하며, 상기 제1 출입기기가 상기 제2 출입기기의 위조 및 변조 미발생과, 미인증 여부를 판단하고, 상기 제2 출입기기가 상기 제1 출입기기의 위조 및 변조의 미발생을 판단할 경우, 상기 제1 출입기기와 상기 제2 출입기기는 상호간에 세션을 설정할 수 있다.The first access device generates a public key and CA (Certificate Authority) information of the authentication device with the received certificate of the second access device, and the owner information, fingerprint, and digital signature fingerprint of the second access device, and the authentication device of the session setup step acquires the owner information of the second access device from an owner information group provided in the authentication device using at least one of the components of the owner information of the second access device received from the first access device and transmits the acquired owner information of the second access device to the first access device, and acquires the owner information of the first access device from the owner information group using session information between the authentication device and the first access device and transmits the acquired owner information of the first access device to the second access device, and the first access device compares the owner information generated from the certificate received from the second access device with the owner information of the second access device received from the authentication device to determine whether the second access device is not authenticated, and determines whether the second access device is forged or altered through the owner information of the second access device received from the authentication device, The second access device determines whether the first access device has been forged or altered through the owner information of the first access device received from the authentication device, and if the first access device determines whether forgery or alteration of the second access device has not occurred and whether it has not been authenticated, and if the second access device determines whether forgery or alteration of the first access device has not occurred, the first access device and the second access device can establish a session between each other.

상기 제1 출입기기와 상기 제2 출입기기는 상기 제1 출입기기 및 상기 제2 출입기기의 유효기간 중 서로 중첩되는 기간에만 통신을 수행할 수 있다. The above first access device and the above second access device can perform communication only during the overlapping period among the valid periods of the first access device and the above second access device.

상기 인증장치 및 상기 출입기기가 서로 다른 회선을 통하여 인터넷망에 접속할 경우, 상기 인증장치가 속한 네트워크를 관할하는 게이트웨이의 설정을 통하여 상기 인증장치의 접속포트가 상기 게이트웨이를 거쳐 상기 출입기기와 통신할 수 있도록 개방될 수 있다.When the above authentication device and the access device are connected to the Internet through different lines, the connection port of the authentication device can be opened to communicate with the access device through the gateway by setting the gateway that manages the network to which the authentication device belongs.

본 발명의 다른 측면에 따르면, 출입통제서버가 관리자의 로그인 정보를 전송받는 로그인 단계; 상기 출입통제서버가 관리자의 입력장치 조작에 따라 출입기기에 대한 정보를 제공하는 장치관리단계; 상기 출입통제서버가 관리자의 입력장치 조작에 따라 출입기기별 출입자의 출입기록을 제공하는 출입관리단계; 상기 출입통제서버가 관리자의 입력장치 조작에 따라 상기 출입자에 대한 개인정보를 제공하는 출입자관리단계를 포함하며, 상기 장치관리단계에서 상기 출입기기에 대한 정보는 상기 출입기기의 장치 ID, 펌웨어 버전 및 네트워크 주소 정보를 포함하고, 상기 출입관리단계에서 출입자의 출입기록은 인증일자, 출입자 ID, 출입자의 부서, 출입기기 ID를 포함하고, 상기 출입자관리단계에서 상기 출입자에 대한 개인정보는 출입자 ID, 출입자의 이름, 출입권한, 부서 및 직급을 포함한다. According to another aspect of the present invention, the present invention comprises: a login step in which an access control server receives login information of an administrator; a device management step in which the access control server provides information on access devices according to an input device operation by an administrator; an access management step in which the access control server provides an access record of an entrant for each access device according to an input device operation by the administrator; and an access control step in which the access control server provides personal information about the entrant according to an input device operation by the administrator. In the device management step, the information about the access device includes a device ID, a firmware version, and network address information of the access device. In the access management step, the access record of the entrant includes an authentication date, an entrant ID, an entrant department, and an access device ID. In the access management step, personal information about the entrant includes an entrant ID, an entrant name, access authority, department, and position.

본 발명의 실시예에 따른 출입기기 관리 방법은 인증장치 및 출입기기 상호간의 인증뿐만 아니라 인증장치가 출입기기에 설치된 프로그램까지 인증함으로써 외부로부터의 해킹 등에 대해 출입 관리 시스템을 보다 안전하게 보호할 수 있다.The access device management method according to an embodiment of the present invention can protect the access control system more safely against hacking from the outside, etc., by not only authenticating between the authentication device and the access device, but also authenticating the program installed in the access device by the authentication device.

본 발명의 실시예에 따른 출입기기 관리 방법은 장치관리단계, 출입관리단계 및 출입자관리단계를 통하여 출입자의 통제 및 관리를 효율적으로 제공할 수 있다.The access device management method according to an embodiment of the present invention can efficiently provide control and management of entrants through a device management step, an access control step, and an access control step.

본 출원의 효과는 이상에서 언급한 효과로 제한되지 않으며, 언급되지 않는 또 다른 효과는 아래의 기재로부터 통상의 기술자에게 명확하게 이해될 수 있을 것이다.The effects of the present application are not limited to the effects mentioned above, and other effects not mentioned will be clearly understood by those skilled in the art from the description below.

도 1은 본 발명의 실시예에 따른 출입기기 관리 방법이 구현될 수 있는 출입 관리 시스템의 일례를 나타낸다.
도 2는 본 발명의 실시예에 따른 출입기기 관리 방법을 나타낸다.
도 3는 인증장치와 출입기기 사이의 상호 인증 절차를 나타낸다.
도 4 및 도 5는 인증장치와 출입기기 사이의 암호화 통신을 준비하는 절차를 나타낸다.
도 6 및 도 7은 프로그램을 인증하는 단계를 설명하기 위한 것이다.
도 8은 출입기기 간의 통신 과정을 나타낸다.
도 9는 출입기기 간의 통신 과정 중 인증서 검증에서의 인증서 조작 여부 확인 과정을 나타낸다.
도 10은 출입기기 간의 통신 과정 중 인증서 검증에서의 인증장치에 의하여 생성된 것인지의 여부를 확인하는 과정을 나타낸다.
도 11은 출입기기 간의 통신 과정 중 인증서 검증에서의 제1 출입기기 및 제2 출입기기가 동일한 인증장치그룹에 속하는지의 여부를 확인하는 과정을 나타낸다.
도 12는 세션 설정 과정 및 세션 검증 과정을 설명하기 위한 것이다.
도 13은 인증장치의 세션 설정 과정을 나타낸다. FIG. 1 illustrates an example of an access control system in which an access device management method according to an embodiment of the present invention can be implemented.
Figure 2 illustrates an access device management method according to an embodiment of the present invention.
Figure 3 shows a mutual authentication procedure between an authentication device and an access device.
Figures 4 and 5 illustrate a procedure for preparing encrypted communication between an authentication device and an access device.
Figures 6 and 7 are intended to explain the steps for authenticating a program.
Figure 8 shows the communication process between input/output devices.
Figure 9 shows the process of checking whether a certificate has been manipulated during certificate verification during the communication process between access devices.
Figure 10 shows a process for verifying whether a certificate was generated by an authentication device during a communication process between access devices.
Figure 11 shows a process for verifying whether a first access device and a second access device belong to the same authentication device group during certificate verification during a communication process between access devices.
Figure 12 is intended to explain the session setup process and session verification process.
Figure 13 shows the session setup process of the authentication device.

이하 본 발명의 실시예에 대하여 첨부한 도면을 참조하여 상세하게 설명하기로 한다. 다만, 첨부된 도면은 본 발명의 내용을 보다 쉽게 개시하기 위하여 설명되는 것일 뿐, 본 발명의 범위가 첨부된 도면의 범위로 한정되는 것이 아님은 이 기술분야의 통상의 지식을 가진 자라면 용이하게 알 수 있을 것이다.Hereinafter, embodiments of the present invention will be described in detail with reference to the attached drawings. However, the attached drawings are only described to more easily disclose the contents of the present invention, and it will be readily apparent to those skilled in the art that the scope of the present invention is not limited to the scope of the attached drawings.

또한, 본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. In addition, the terminology used in this application is only used to describe specific embodiments and is not intended to limit the present invention. The singular expression includes the plural expression unless the context clearly indicates otherwise.

본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.In this application, it should be understood that terms such as “include” or “have” are intended to specify the presence of a feature, number, step, operation, component, part or combination thereof described in the specification, but do not exclude in advance the possibility of the presence or addition of one or more other features, numbers, steps, operations, components, parts or combinations thereof.

도 1은 본 발명의 실시예에 따른 출입기기 관리 방법이 구현될 수 있는 출입 관리 시스템의 일례를 나타낸다. 본 발명의 실시예에 따른 출입기기 관리 방법은 공개키기반구조(Public Key Infrastructure)를 이용하여 인증장치(100)가 출입기기부(200)를 관리하는 방법에 관한 것이다. Figure 1 shows an example of an access control system in which an access control device management method according to an embodiment of the present invention can be implemented. The access control device management method according to an embodiment of the present invention relates to a method in which an authentication device (100) manages an access control device unit (200) using a public key infrastructure.

도 1에 도시된 바와 같이, 출입기기부(200)는 출입기기(210)를 포함하며, 출입기기(210)는 RF 카드 리더나 생체정보 리더(예를 들어, 홍채 스캐너, 지문 스캐너, 정맥 스캐너, 안면 스캐너 등)와 같은 리더기, ACU(ACCESS CONTROL UNIT), 출입통제서버일 수 있으나 이외의 다른 장치일 수도 있다. As illustrated in FIG. 1, the access device unit (200) includes an access device (210), and the access device (210) may be a reader such as an RF card reader or a biometric information reader (e.g., an iris scanner, a fingerprint scanner, a vein scanner, a facial scanner, etc.), an ACU (ACCESS CONTROL UNIT), an access control server, or may be another device.

인증장치(100)는 출입기기부(200)의 인증, 보증, 위변조 알림 등을 수행할 수 있다. ACU는 출입기기(210)간 통신을 중계하고, 출입통제서버가 다운 시 임시 서버 역할을 할 수 있다. 출입통제서버는 출입 관리 시스템에 필요한 데이터베이스를 저장할 수 있다. The authentication device (100) can perform authentication, guarantee, forgery notification, etc. of the access device (200). The ACU relays communication between access devices (210) and can act as a temporary server when the access control server is down. The access control server can store a database required for the access management system.

본 발명의 실시예에 따른 출입기기 관리 방법은 공개키 및 개인키를 이용하여 인증장치(100) 및 출입기기부(200)의 출입기기(210)가 상호 인증하는 단계를 포함한다. 즉, 인증장치(100)가 출입기기(210)를 인증하고, 출입기기(210)가 인증장치(100)를 인증할 수 있다. 이와 같이 인증장치(100)와 출입기기(210)가 상호 인증하는 과정을 거침으로써 인증장치(100)가 인증되거나 인증되지 않은 출입기기(210)를 정확하게 확인할 수 있다.The access device management method according to an embodiment of the present invention includes a step of mutually authenticating an authentication device (100) and an access device (210) of an access device unit (200) using a public key and a private key. That is, the authentication device (100) can authenticate an access device (210), and the access device (210) can authenticate the authentication device (100). By going through the process of mutually authenticating the authentication device (100) and the access device (210) in this way, the authentication device (100) can accurately identify an authenticated or unauthenticated access device (210).

본 발명의 실시예에 따른 출입기기 관리 방법은 인증장치(100) 또는 출입기기(210)가 생성한 비밀키를 인증장치(100) 및 출입기기(210)가 공유하여 암호화 통신을 준비하는 단계를 포함한다. 이에 따라 인증장치(100)와 출입기기(210) 사이의 통신은 비밀키를 통하여 이루어질 수 있다. The access device management method according to an embodiment of the present invention includes a step of preparing encrypted communication by having the authentication device (100) and the access device (210) share a secret key generated by the authentication device (100) or the access device (210). Accordingly, communication between the authentication device (100) and the access device (210) can be accomplished through the secret key.

인증장치(100) 및 출입기기(210) 사이의 상호 인증은 PKI 기반, 즉, 비대칭키(공개키, 개인키) 기반으로 이루어지고, 인증장치(100)와 출입기기(210)의 암호화 통신은 대칭키(비밀키) 기반으로 이루어질 수 있다. Mutual authentication between the authentication device (100) and the access device (210) is performed based on PKI, i.e., asymmetric keys (public key, private key), and encrypted communication between the authentication device (100) and the access device (210) can be performed based on symmetric keys (secret keys).

상기 암호화 통신 준비 단계는 인증장치(100)에 의한 출입기기(210)의 인증과 출입기기(210)에 의한 인증장치(100)의 인증 사이에 이루어질수도 있고, 인증장치(100)와 출입기기(210) 사이의 상호 인증 이후에 이루어질 수도 있다. The above-mentioned encrypted communication preparation step may be performed between the authentication of the access device (210) by the authentication device (100) and the authentication of the authentication device (100) by the access device (210), or may be performed after mutual authentication between the authentication device (100) and the access device (210).

본 발명의 실시예에 따른 출입기기 관리 방법은 인증장치(100) 및 출입기기(210)는 출입기기(210)에 설치된 프로그램의 인증을 위한 프로그램인증키를 비밀키로 암호화 및 복호화함으로써 인증장치(100)가 프로그램에 대한 인증을 수행하는 단계를 포함한다. 출입기기(210)에는 출입기기(210)의 동작을 위한 프로그램(예를 들어, 펌웨어, 소프트웨어 등)가 설치될 수 있다. 프로그램인증키는 해시값 형태일 수 있으며, 프로그램인증키의 해시(hash)값은 비밀키에 의하여 암호화되고 복호화될 수 있다. The access device management method according to an embodiment of the present invention includes a step in which the authentication device (100) and the access device (210) perform authentication of a program by encrypting and decrypting a program authentication key for authenticating a program installed in the access device (210) with a secret key. A program (e.g., firmware, software, etc.) for the operation of the access device (210) may be installed in the access device (210). The program authentication key may be in the form of a hash value, and the hash value of the program authentication key may be encrypted and decrypted by a secret key.

프로그램인증키는 펌웨어타입(firmware type) 인증키와 소프트웨어타입(software type) 인증키 중 적어도 하나를 포함할 수 있다. 펌웨어타입 인증키는 펌웨어의 해시값, 사이즈 및 버전과 출입기기 모델명, 일련번호 및 생산일 중 하나 이상으로 구성될 수 있다. The program authentication key may include at least one of a firmware type authentication key and a software type authentication key. The firmware type authentication key may be composed of one or more of a hash value, size, and version of the firmware, and an access device model name, serial number, and production date.

소프트웨어타입 인증키는 운영체제 종류 및 버전, 출입기기소프트웨어 버전 및 구성파일목록, 출입기기소프트웨어 구성화일별 이름, 해시값 및 사이즈, 하드웨어 고유정보 중 하나 이상으로 구성될 수 있다. The software type authentication key may consist of one or more of the following: operating system type and version, access device software version and configuration file list, access device software configuration file name, hash value and size, and hardware unique information.

본 발명의 실시예에 따른 출입기기 관리 방법은 인증장치(100)가 프로그램에 대한 인증에 기초하여 인증서를 생성하여 출입기기(210)로 전송하는 단계를 포함한다. An access device management method according to an embodiment of the present invention includes a step in which an authentication device (100) generates a certificate based on authentication for a program and transmits the certificate to an access device (210).

본 발명의 실시예에 따른 출입기기 관리 방법은 인증장치(100) 및 출입기기(210) 상호간의 인증뿐만 아니라 인증장치(100)가 출입기기(210)에 설치된 프로그램까지 인증함으로써 외부로부터의 해킹 등에 대해 출입 통제 시스템을 보다 안전하게 보호할 수 있다. The access device management method according to an embodiment of the present invention can protect the access control system more safely against hacking from the outside by not only authenticating the authentication device (100) and the access device (210) but also authenticating the program installed in the access device (210).

도 3에 도시된 바와 같이, 상호 인증 단계에서 인증장치(100)는 출입기기용 인증상수를 생성하여 출입기기(210)로 전송할 수 있다. 인증장치(100)는 생성된 출입기기용 인증상수를 인증장치(100)에 저장할 수 있다. As illustrated in FIG. 3, in the mutual authentication step, the authentication device (100) can generate an authentication constant for an access device and transmit it to the access device (210). The authentication device (100) can store the generated authentication constant for an access device in the authentication device (100).

인증장치(100)는, 출입기기(210)가 디지털서명 알고리즘을 통하여 출입기기용 인증상수에 출입기기(210)의 개인키로 서명하여 생성한 출입기기용 디지털서명을 출입기기(210)로부터 수신받을 수 있다. The authentication device (100) can receive, from the access device (210), a digital signature for the access device created by signing an authentication constant for the access device with the private key of the access device (210) through a digital signature algorithm.

인증장치(100)는 디지털서명 검증알고리즘을 통하여 출입기기(210)의 공개키 및 상기 출입기기용 인증상수로 상기 출입기기용 디지털서명을 검증할 수 있다. 인증장치(100)는 검증에 대한 성공 여부를 확인함으로써 출입기기(210)를 인증할 수 있다. The authentication device (100) can verify the digital signature for the access device (210) using the public key of the access device (210) and the authentication constant for the access device through a digital signature verification algorithm. The authentication device (100) can authenticate the access device (210) by checking whether the verification is successful.

또한, 도 3에 도시된 바와 같이, 인증장치(100)는 인증장치용 인증상수를 생성할 수 있다. 인증장치(100)는 생성된 인증장치용 인증상수를 인증장치(100)에 저장할 수 있다. In addition, as illustrated in FIG. 3, the authentication device (100) can generate an authentication constant for the authentication device. The authentication device (100) can store the generated authentication constant for the authentication device in the authentication device (100).

인증장치(100)는 디지털서명 알고리즘을 통하여 인증장치용 인증상수에 인증장치(100)의 개인키로 서명하여 생성한 인증장치용 디지털서명과 인증장치용 인증상수를 출입기기(210)로 전송할 수 있다. The authentication device (100) can transmit a digital signature for the authentication device and an authentication constant for the authentication device, which are created by signing the authentication constant for the authentication device with the private key of the authentication device (100) through a digital signature algorithm, to the access device (210).

출입기기(210)는 디지털서명 검증알고리즘을 통하여 인증장치(100)의 공개키와 상기 인증장치용 인증상수로 상기 인증장치용 디지털서명을 검증하고 검증에 대한 성공 여부를 확인함으로써 인증장치(100)를 인증할 수 있다.The access device (210) can authenticate the authentication device (100) by verifying the digital signature for the authentication device using the public key of the authentication device (100) and the authentication constant for the authentication device through a digital signature verification algorithm and confirming whether the verification is successful.

동일한 디지털서명 알고리즘과 디지털서명 검증알고리즘이 인증장치 및 출입기기에 모두 설치될 수 있다. 디지털서명 알고리즘과 디지털서명 검증알고리즘은 소프트웨어적으로 구현될 수도 있고 하드웨어적으로 구현될 수도 있다.The same digital signature algorithm and digital signature verification algorithm can be installed in both the authentication device and the access device. The digital signature algorithm and digital signature verification algorithm can be implemented in software or hardware.

공개키는 인증장치(100) 및 출입기기(210)에 공개되는 것이므로 출입기기(210)가 인증장치(100)를 인증하기 전에 출입기기(210)가 인증장치(100)의 공개키를 인증장치(100)로부터 전송받아 저장할 수 있다. Since the public key is disclosed to the authentication device (100) and the access device (210), before the access device (210) authenticates the authentication device (100), the access device (210) can receive and store the public key of the authentication device (100) from the authentication device (100).

또한, 인증장치(100)의 공개키와 개인키는 서로 한쌍으로 디지털서명 및 디지털서명검증을 수행하므로 출입기기(210)가 인증장치(100)의 공개키와 인증장치용 인증상수로 인증장치용 디지털서명을 검증하여 성공했다는 것은 인증장치용 디지털서명이 외부의 다른 장치가 아닌 인증장치(100)에 의해서 생성된 것임을 확인할 수 있다. In addition, since the public key and private key of the authentication device (100) perform digital signature and digital signature verification as a pair, the fact that the access device (210) successfully verifies the digital signature for the authentication device using the public key of the authentication device (100) and the authentication constant for the authentication device confirms that the digital signature for the authentication device was generated by the authentication device (100) and not by another external device.

이러한 인증장치(100)의 공개키 및 개인키를 이용하여 인증장치용 인증상수에 대한 디지털서명 및 디지털서명검증이 이루어짐으로써 출입기기(210)가 인증장치(100)를 인증할 수 있다.By using the public key and private key of the authentication device (100), a digital signature and digital signature verification for the authentication constant for the authentication device are performed, so that the access device (210) can authenticate the authentication device (100).

앞서 설명된 출입기기용 인증상수 및 인증장치용 인증상수는 인증장치(100)의 난수 발생기에 의하여 생성될 수 있다.The authentication constant for the access device and the authentication constant for the authentication device described above can be generated by the random number generator of the authentication device (100).

이상에서 설명된 바와같이, 인증장치(100) 및 출입기기(210)의 개인키 및 공개키로 디지털서명의 생성 및 검증이 성공한다는 것은 각각의 디지털서명이 인증장치(100) 및 출입기기(210)에서 생성된 것임을 확인하는 것이므로 이를 통하여 출입기기(210) 및 인증장치(100)가 서로 인증할 수 있다. As described above, the successful creation and verification of a digital signature using the private key and public key of the authentication device (100) and the access device (210) confirms that each digital signature was created by the authentication device (100) and the access device (210), and thus the access device (210) and the authentication device (100) can authenticate each other.

즉, 출입기기용 인증상수 및 인증장치용 인증상수는 디지털서명 알고리즘에 따라 개인키로 서명되고 디지털서명 검증 알고리즘에 따라 공개키와 인증상수로 검증될 수 있다.That is, the authentication constant for the access device and the authentication constant for the authentication device can be signed with a private key according to a digital signature algorithm and verified with a public key and the authentication constant according to a digital signature verification algorithm.

도 4에 도시된 바와 같이, 암호화 통신을 준비하는 단계에서, 출입기기(210)는 비밀키를 생성할 수 있다. 출입기기(210)는 생성된 비밀키를 인증장치(100)의 공개키로 암호화하여 비밀키암호데이터를 생성할 수 있다. 출입기기(210)는 생성된 비밀키암호데이터를 인증장치(100)로 전송할 수 있다. As shown in Fig. 4, in the step of preparing encrypted communication, the access device (210) can generate a secret key. The access device (210) can encrypt the generated secret key with the public key of the authentication device (100) to generate secret key encryption data. The access device (210) can transmit the generated secret key encryption data to the authentication device (100).

인증장치(100)는 출입기기(210)로부터 수신한 비밀키암호데이터를 인증장치(100)의 개인키로 복호화하여 비밀키를 공유할 수 있다. The authentication device (100) can decrypt the secret key encryption data received from the access device (210) with the private key of the authentication device (100) and share the secret key.

또는 도 5에 도시된 바와 같이, 암호화 통신을 준비하는 단계에서, 인증장치(100)는 비밀키를 생성하고, 생성된 비밀키를 출입기기(210)의 공개키로 암호화하여 비밀키암호데이터를 생성할 수 있다. Or, as illustrated in FIG. 5, in the step of preparing encrypted communication, the authentication device (100) can generate a secret key and encrypt the generated secret key with the public key of the access device (210) to generate secret key encrypted data.

인증장치(100)는 생성된 비밀키암호데이터를 출입기기(210)로 전송할 수 있다. 출입기기(210)는 인증장치(100)로부터 수신한 비밀키암호데이터를 출입기기(210)의 개인키로 복호화하여 비밀키를 공유할 수 있다. The authentication device (100) can transmit the generated secret key encryption data to the access device (210). The access device (210) can decrypt the secret key encryption data received from the authentication device (100) with the private key of the access device (210) and share the secret key.

이와 같이 비밀키를 공유하는 과정에서 출입장치에 공개된 인증장치(100)의 공개키로 출입기기(210)가 비밀키를 암호화하거나, 인증장치(100)에 공개된 출입기기(210)의 공개키로 인증장치(100)가 비밀키를 암호화함으로써 인증장치(100) 및 출입기기(210)는 비밀키를 공유할 수 있다. In this way, in the process of sharing a secret key, the access device (210) can share a secret key by encrypting the secret key with the public key of the authentication device (100) disclosed to the access device, or by encrypting the secret key with the public key of the access device (210) disclosed to the authentication device (100).

이밖에 도면에는 도시되어 있지 않으나, 인증장치(100)와 출입기기(210)가 키교환 알고리즘을 이용하여 비밀키를 공유할 수 있다. 키교환 알고리즘은 Diffie-Hellman 알고리즘을 포함하며, 인증장치(100)와 출입기기(210) 모두에 동일한 키교환 알고리즘이 설치될 수 있다. In addition, although not shown in the drawing, the authentication device (100) and the access device (210) can share a secret key using a key exchange algorithm. The key exchange algorithm includes the Diffie-Hellman algorithm, and the same key exchange algorithm can be installed in both the authentication device (100) and the access device (210).

도 6에 도시된 바와 같이, 프로그램을 인증하는 단계에서, 인증장치(100)는 출입기기(210)로부터 비밀키를 통하여 암호화된 프로그램인증키를 수신받아 비밀키로 복호화할 수 있다. As illustrated in FIG. 6, in the step of authenticating a program, the authentication device (100) can receive a program authentication key encrypted using a secret key from the access device (210) and decrypt it using the secret key.

인증장치(100)는 인증장치(100)에 저장된 프로그램인증키그룹에서 출입기기(210)의 프로그램인증키를 검색한 후 복호화된 프로그램인증키와 비교하여 동일하면 출입기기(210)의 프로그램을 인증할 수 있다.The authentication device (100) searches for the program authentication key of the access device (210) from the program authentication key group stored in the authentication device (100), compares it with the decrypted program authentication key, and if they are the same, the program of the access device (210) can be authenticated.

앞서에서는 인증장치(100)가 프로그램인증키의 동일 여부를 판단하였으나, 도 7에 도시된 바와 같이, 출입기기(210)가 프로그램인증키의 동일 여부를 판단할 수도 있다. In the previous example, the authentication device (100) determined whether the program authentication keys were identical, but as shown in FIG. 7, the access device (210) can also determine whether the program authentication keys were identical.

즉, 인증장치(100)는 프로그램인증키를 생성하고, 상기 프로그램인증키를 비밀키로 암호화하여 출입기기(210)로 송신할 수 있다. That is, the authentication device (100) can generate a program authentication key, encrypt the program authentication key with a secret key, and transmit it to the access device (210).

출입기기(210)는 암호화된 프로그램인증키를 비밀키로 복호화하고, 복호화된 프로그램인증키가 출입기기(210)에 저장된 프로그램인증키와 동일한 지 비교한 결과값을 인증장치(100)로 송신할 수 있다. 이 때 결과값 역시 비밀키로 암호화되고, 인증장치(100)에서 비밀키로 복호화될 수 있다.The access device (210) can decrypt an encrypted program authentication key with a secret key and transmit the result of comparing whether the decrypted program authentication key is identical to the program authentication key stored in the access device (210) to the authentication device (100). At this time, the result value can also be encrypted with a secret key and decrypted with the secret key in the authentication device (100).

인증장치(100)는 결과값에 따라 프로그램을 인증할 수 있다. 즉, 인증장치(100)는 결과값이 프로그램인증키가 동일한 것에 해당될 경우 프로그램을 인증할 수 있다. The authentication device (100) can authenticate a program based on the result value. That is, the authentication device (100) can authenticate a program if the result value corresponds to the same program authentication key.

인증서는 인증장치(100)의 공개키 및 CA(Certificate Authority) 정보, 소유자정보, 지문, 및 디지털서명지문을 포함할 수 있다. 디지털서명지문은 인증장치(100)의 개인키로 지문을 암호화한 것일 수 있다. The certificate may include a public key and CA (Certificate Authority) information of the authentication device (100), owner information, a fingerprint, and a digital signature fingerprint. The digital signature fingerprint may be a fingerprint encrypted with the private key of the authentication device (100).

CA정보는 인증장치(100)의 운영기관정보, 담당자정보, 인증장치(100)의 기기식별정보 및 주소 중 하나 이상을 포함할 수 있다. CA information may include one or more of the operating agency information of the authentication device (100), the person in charge information, the device identification information of the authentication device (100), and the address.

소유자정보는 출입기기(210)의 공개키, 출입기기식별정보, 출입기기(210)의 주소, 출입기기인증실패정보, 유효기간 중 하나 이상을 포함할 수 있다.출입기기(210)는 인증장치(100)로부터 수신한 인증서를 출입기기간 통신에 이용할 수 있다.Owner information may include one or more of the public key of the access device (210), access device identification information, address of the access device (210), access device authentication failure information, and expiration date. The access device (210) may use a certificate received from the authentication device (100) for communication between access devices.

다음으로 도면을 참조하여 출입기기 사이의 통신에 대해 설명한다.Next, the communication between the access devices is explained with reference to the drawings.

출입기기부(200)는 출입기기(210)에 해당되는 제1 출입기기(210)와 다른 하나의 출입기기(220)에 해당되는 제2 출입기기(220)를 포함할 수 있다. 앞서에서 인증장치(100)와 제1 출입기기(210)의 인증 절차를 통하여 인증장치(100)는 제1 출입기기(210)에 인증서를 전송하는 과정에 대해 설명하였다. 제2 출입기기(220) 역시 인증장치(100)와의 통신을 통하여 이와 같은 방법으로 인증서를 전송받을 수 있다. The access device unit (200) may include a first access device (210) corresponding to an access device (210) and a second access device (220) corresponding to another access device (220). The process of the authentication device (100) transmitting a certificate to the first access device (210) through the authentication procedure of the authentication device (100) and the first access device (210) has been described above. The second access device (220) may also receive a certificate in the same manner through communication with the authentication device (100).

인증서로 제1 출입기기(210)와 제2 출입기기(220) 사이에서 통신이 이루어지는 과정(이하, 기기간 통신 과정)은 제1 출입기기(210) 및 제2 출입기기(220) 중 하나가 다른 하나의 인증서를 요청하는 단계를 포함할 수 있다. 즉, 제1 출입기기(210)가 제2 출입기기(220)의 인증서를 제2 출입기기(220)에게 요청하거나, 제2 출입기기(220)가 제1 출입기기(210)의 인증서를 제1 출입기기(210)에게 요청하거나, 제1 출입기기(210) 및 제2 출입기기(220)가 서로 상대방의 인증서를 요청할 수도 있다. The process of communicating between the first access device (210) and the second access device (220) using a certificate (hereinafter, the device-to-device communication process) may include a step in which one of the first access device (210) and the second access device (220) requests the certificate of the other. That is, the first access device (210) may request the certificate of the second access device (220) from the second access device (220), the second access device (220) may request the certificate of the first access device (210) from the first access device (210), or the first access device (210) and the second access device (220) may request each other's certificate.

기기간 통신 과정은 제1 출입기기(210)가 제2 출입기기(220)로부터 수신된 인증서의 조작 여부, 제2 출입기기(220)로부터 수신된 인증서가 인증장치(100)에 의하여 생성된 것인지의 여부, 및 제1 출입기기(210) 및 제2 출입기기(220)가 동일한 인증장치그룹에 속하는지의 여부를 확인하여 인증서를 검증하는 단계를 포함할 수있다. The device-to-device communication process may include a step of verifying a certificate by checking whether the certificate received from the second access device (220) has been manipulated by the first access device (210), whether the certificate received from the second access device (220) was generated by the authentication device (100), and whether the first access device (210) and the second access device (220) belong to the same authentication device group.

기기간 통신 과정은 제2 출입기기(220)로부터 수신된 인증서가 검증될 경우, 제1 출입기기(210) 및 제2 출입기기(220) 사이에 세션(session)이 설정되는 단계를 포함한다. The device-to-device communication process includes a step of establishing a session between the first access device (210) and the second access device (220) when a certificate received from the second access device (220) is verified.

또한, 기기간 통신 과정은 제1 출입기기(210)와 제2 출입기기(220)가 설정된 세션을 검증하는 단계를 포함한다. Additionally, the device-to-device communication process includes a step of verifying the session established between the first access device (210) and the second access device (220).

제2 출입기기(220)가 인증서를 요청하는 경우에도 제1 출입기기(210)가 인증서를 요청하는 경우에서 인증서를 검증하는 과정과 동일한 과정으로 인증서가 검증될 수 있다.Even when the second access device (220) requests a certificate, the certificate can be verified through the same process as verifying the certificate when the first access device (210) requests the certificate.

또한, 제1 출입기기(210) 및 제2 출입기기(220)가 상대방의 인증서를 상호인증할 경우에도 상기 동일한 과정을 통하여 인증서를 검증할 수 있다. In addition, when the first access device (210) and the second access device (220) mutually authenticate each other's certificates, the certificates can be verified through the same process.

인증서를 통하여 출입기기간 통신이 이루어질 경우, 인증장치(100)는 제1 출입기기(210)와 제2 출입기기(220) 간의 접속 내역을 기록하고 조회할 수 있다.When communication between access devices is made through a certificate, the authentication device (100) can record and check the connection history between the first access device (210) and the second access device (220).

이하에서는 도 8에 도시된 바와 같이, 제1 출입기기(210)가 제2 출입기기(220)의 인증서를 요청하는 것으로 하여 제1 출입기기(210) 및 제2 출입기기(220) 사이의 통신 과정에 대해 보다 상세히 설명한다. Hereinafter, as illustrated in FIG. 8, the communication process between the first access device (210) and the second access device (220) will be described in more detail, with the first access device (210) requesting a certificate from the second access device (220).

도 9에 도시된 바와 같이, 제1 출입기기(210)가, 수신받은 제2 출입기기(220)의 인증서로 인증장치(100)의 공개키및 CA(Certificate Authority) 정보와, 제2 출입기기(220)의 소유자정보, 지문, 및 디지털서명지문을 생성할 수 있다. As illustrated in FIG. 9, the first access device (210) can generate the public key and CA (Certificate Authority) information of the authentication device (100) using the certificate of the second access device (220) received, as well as the owner information, fingerprint, and digital signature fingerprint of the second access device (220).

제1 출입기기(210)는 제2 출입기기(220)로부터 수신된 인증서의 조작 여부를 확인하기 위하여 인증장치(100)의 공개키및 CA정보와, 제2 출입기기(220)의 소유자정보로 제2 출입기기(220)의 지문을 신규로 생성할 수 있다.The first access device (210) can newly generate a fingerprint of the second access device (220) using the public key and CA information of the authentication device (100) and the owner information of the second access device (220) to check whether the certificate received from the second access device (220) has been manipulated.

제1 출입기기(210)는 제2 출입기기(220)의 인증서로 생성된 지문과 신규로 생성된 지문이 동일한지를 확인할 수 있다. The first access device (210) can verify whether the fingerprint generated with the certificate of the second access device (220) and the newly generated fingerprint are the same.

제2 출입기기(220)의 인증서로 생성된 지문과 신규로 생성된 지문이 동일할 경우, 제1 출입기기(210)는 제2 출입기기(220)로부터 수신된 인증서가 조작되지 않았다는 것을 확인할 수 있다.If the fingerprint generated with the certificate of the second access device (220) and the newly generated fingerprint are the same, the first access device (210) can confirm that the certificate received from the second access device (220) has not been tampered with.

앞서 설명된 바와 같이, 제1 출입기기(210)가 수신받은 제2 출입기기(220)의 인증서로 인증장치(100)의 공개키 및 CA(Certificate Authority) 정보와, 제2 출입기기(220)의 소유자정보, 지문, 및 디지털서명지문을 생성할 수 있다. As described above, the first access device (210) can generate the public key and CA (Certificate Authority) information of the authentication device (100) using the certificate of the second access device (220) received, as well as the owner information, fingerprint, and digital signature fingerprint of the second access device (220).

도 10에 도시된 바와 같이, 제1 출입기기(210)는 제2 출입기기(220)로부터 수신된 인증서가 인증장치(100)에 의하여 생성된 것인지의 여부 확인하기 위하여 디지털서명 검증알고리즘에 따라 제2 출입기기(220)의 지문과 인증장치(100)의 공개키로 제2 출입기기(220)의 디지털서명지문을 검증하여 검증의 성공 여부를 확인할 수 있다.As shown in Fig. 10, the first access device (210) can verify whether the certificate received from the second access device (220) was generated by the authentication device (100) by verifying the digital signature fingerprint of the second access device (220) with the fingerprint of the second access device (220) and the public key of the authentication device (100) according to the digital signature verification algorithm, thereby confirming whether the verification was successful.

상기 검증이 성공할 경우, 제1 출입기기(210)는 제2 출입기기(220)로부터 수신된 인증서가 인증장치(100)에 의하여 생성된 것으로 확인할 수 있다. If the above verification is successful, the first access device (210) can confirm that the certificate received from the second access device (220) was generated by the authentication device (100).

앞서와 마찬가지로 제1 출입기기(210)가, 수신받은 제2 출입기기(220)의 인증서로 인증장치(100)의 공개키 및 CA(Certificate Authority) 정보와, 제2 출입기기(220)의 소유자정보, 지문, 및 디지털서명지문을 생성할 수 있다. As before, the first access device (210) can generate the public key and CA (Certificate Authority) information of the authentication device (100) using the certificate of the second access device (220) received, as well as the owner information, fingerprint, and digital signature fingerprint of the second access device (220).

도 11에 도시된 바와 같이, 제1 출입기기(210)는 제1 출입기기(210) 및 제2 출입기기(220)가 동일한 인증장치그룹에 속하는지의 여부를 확인하기 위하여 제1 출입기기(210)에 저장된 인증장치(100)의 공개키와 제2 출입기기(220)의 인증서로 생성된 공개키가 동일한지 판단할 수 있다.As illustrated in FIG. 11, the first access device (210) can determine whether the public key of the authentication device (100) stored in the first access device (210) and the public key generated by the certificate of the second access device (220) are the same in order to confirm whether the first access device (210) and the second access device (220) belong to the same authentication device group.

또한, 제1 출입기기(210)는 제1 출입기기(210)에 저장된 인증장치(100)의 CA정보와 제2 출입기기(220)의 인증서로 생성된 CA정보가 동일한지 확인할 수 있다. In addition, the first access device (210) can verify whether the CA information of the authentication device (100) stored in the first access device (210) and the CA information generated by the certificate of the second access device (220) are the same.

제1 출입기기(210)는 공개키 및 CA 정보가 동일할 경우, 제1 출입기기(210) 및 제2 출입기기(220)가 동일한 인증장치그룹에 속해있다고 판단할 수 있다. 다시 말해서 제1 출입기기(210)는, 제1 출입기기(210) 및 제2 출입기기(220)가 동일한 인증장치(100)에 의하여 관리된다고 판단할 수 있다. The first access device (210) can determine that the first access device (210) and the second access device (220) belong to the same authentication device group if the public key and CA information are the same. In other words, the first access device (210) can determine that the first access device (210) and the second access device (220) are managed by the same authentication device (100).

다음으로 도 8을 참조하여 설명된 세션 설정 과정에 대해 보다 상세히 설명한다.Next, the session setup process described with reference to Fig. 8 is described in more detail.

도 12에 도시된 바와 같이, 세션을 설정하는 단계에서, 제1 출입기기(210)는 제2 출입기기(220)의 소유자정보의 구성요소 중 하나 이상을 인증장치(100)로 전송할 수 있다. As illustrated in FIG. 12, in the step of establishing a session, the first access device (210) may transmit one or more of the components of the owner information of the second access device (220) to the authentication device (100).

소유자정보는 앞서 도 8을 통하여 설명된 바와 같이, 제2 출입기기(220)로부터 수신된 제2 출입기기(220)의 인증서를 통하여 도출될 수 있다. Owner information can be derived through the certificate of the second access device (220) received from the second access device (220), as explained above through FIG. 8.

제1 출입기기(210)는 제1 출입기기(210) 및 제2 출입기기(220) 사이의 통신을 위한 세션 ID, 제1 출입기기(210) 및 제2 출입기기(220) 사이의 암호화 통신을 위한 비밀키, 제2 출입기기(220)의 소유자정보를 인증장치(100)로부터 수신할 수 있다. The first access device (210) can receive a session ID for communication between the first access device (210) and the second access device (220), a secret key for encrypted communication between the first access device (210) and the second access device (220), and owner information of the second access device (220) from the authentication device (100).

앞서 도 9 내지 도 11을 통하여 설명된 소유자정보는 제2 출입기기(220)로부터 전송된 제2 출입기기(220)의 인증서에 포함된 정보이고, 도 12의 소유자정보는 인증장치(100)로부터 수신된 것일 수 있다. The owner information described above through FIGS. 9 to 11 is information included in the certificate of the second access device (220) transmitted from the second access device (220), and the owner information of FIG. 12 may be received from the authentication device (100).

또한, 도 2를 참조하여 설명된 비밀키는 인증장치(100)와 제1 출입기기(210) 사이의 통신을 위한 것이고, 도 12에서의 비밀키는 제1 출입기기(210)와 제2 출입기기(220) 사이의 통신을 위한 것으로, 인증장치(100)가 제1 출입기기(210)와 제2 출입기기(220)에 모두 전송할 수 있다. 이 때 동일한 비밀키 또는 서로 다른 비밀키가 인증장치(100)/제1 출입기기(210) 사이 및 제1 출입기기(210)/제2 출입기기(220) 사이의 통신에 사용될 수 있다.In addition, the secret key described with reference to FIG. 2 is for communication between the authentication device (100) and the first access device (210), and the secret key in FIG. 12 is for communication between the first access device (210) and the second access device (220), and the authentication device (100) can transmit to both the first access device (210) and the second access device (220). At this time, the same secret key or different secret keys can be used for communication between the authentication device (100)/the first access device (210) and between the first access device (210)/the second access device (220).

제2 출입기기(220)는 세션ID, 제1 출입기기(210) 및 제2 출입기기(220) 사이의 암호화 통신을 위한 비밀키, 제1 출입기기의 소유자정보를 인증장치(100)로부터 수신하여 제1 출입기기(210) 및 제2 출입기기(220) 사이에 세션이 설정될 수 있다.The second access device (220) receives a session ID, a secret key for encrypted communication between the first access device (210) and the second access device (220), and the owner information of the first access device from the authentication device (100), so that a session can be established between the first access device (210) and the second access device (220).

세션을 검증하는 단계에서, 도 12에 도시된 바와 같이, 제1 출입기기(210)와 제2 출입기기(220)는 인증장치(100)로부터 수신받은 세션ID를 인증장치(100)로부터 수신받은 비밀키로 암호화하여 상호 전송하고, 상호 전송된 세션 ID를 상기 비밀키로 복호화하여상호 전송된 세션 ID가 동일한 지를 확인하여 세션 검증을 수행할 수 있다. In the step of verifying a session, as illustrated in FIG. 12, the first access device (210) and the second access device (220) can perform session verification by encrypting the session ID received from the authentication device (100) with a secret key received from the authentication device (100) and transmitting the encrypted session ID to each other, decrypting the encrypted session ID with the secret key, and confirming whether the encrypted session IDs are the same.

앞서 도 9 내지 도 11을 통하여 설명된 바와 같이, 제1 출입기기(210)가 수신받은 제2 출입기기(220)의 인증서로 인증장치(100)의 공개키 및 CA(Certificate Authority) 정보와, 제2 출입기기(220)의 소유자정보, 지문, 및 디지털서명지문을 생성할 수 있다.As explained above through FIGS. 9 to 11, the first access device (210) can generate the public key and CA (Certificate Authority) information of the authentication device (100) using the certificate of the second access device (220) received, as well as the owner information, fingerprint, and digital signature fingerprint of the second access device (220).

도 12 및 도 13에 도시된 바와 같이, 세션 설정 단계의 인증장치(100)는 제1 출입기기(210)로부터 제2 출입기기(220)의 소유자정보의 구성요소 중 하나 이상을 수신할 수 있다. As illustrated in FIGS. 12 and 13, the authentication device (100) in the session setup step can receive one or more of the components of the owner information of the second access device (220) from the first access device (210).

도 13에 도시된 바와 같이, 인증장치(100)는 수신한 제2 출입기기(220)의 소유자정보의 구성요소 중 하나 이상을 이용하여 인증장치(100)에 구비된 소유자정보그룹에서 제2 출입기기(220)의 소유자정보를 취득하여 제1 출입기기(210)로 전송할 수 있다. As illustrated in FIG. 13, the authentication device (100) can acquire the owner information of the second access device (220) from the owner information group provided in the authentication device (100) by using one or more of the components of the owner information of the received second access device (220) and transmit it to the first access device (210).

예를 들어, 인증장치(100)는 수신된 제2 출입기기(220)의 소유자정보 중 제2 출입기기(220)의 공개키 및 제2 출입기기(220)의 출입기기식별정보와, 취득된 제2 출입기기(220)의 소유자정보 중 제2 출입기기(220)의 공개키 및 제2 출입기기(220)의 출입기기식별정보가 서로 동일한 지를 판단할 수 있다. 이를 통하여 인증장치(100)는 제2 출입기기(220)의 소유자정보의 변조를 확인할 수 있다. For example, the authentication device (100) can determine whether the public key of the second access device (220) and the access device identification information of the second access device (220) among the received owner information of the second access device (220) are identical to the public key of the second access device (220) and the access device identification information of the second access device (220) among the acquired owner information of the second access device (220). Through this, the authentication device (100) can check for falsification of the owner information of the second access device (220).

도 9 내지 도 11을 통하여 설명된 바와 같이, 제1 출입기기(210)가 수신받은 제2 출입기기(220)의 인증서로 인증장치(100)의 공개키 및 CA(Certificate Authority) 정보와, 제2 출입기기(220)의 소유자정보, 지문, 및 디지털서명지문을 생성할 수 있다. As explained through FIGS. 9 to 11, the first access device (210) can generate the public key and CA (Certificate Authority) information of the authentication device (100) using the certificate of the second access device (220) received, as well as the owner information, fingerprint, and digital signature fingerprint of the second access device (220).

또한, 도 13을 통하여 설명된 바와 같이, 세션 설정 단계의 인증장치(100)는 제1 출입기기(210)로부터 수신된 제2 출입기기(220)의 소유자정보의 구성요소 중 하나 이상을 이용하여 인증장치(100)에 구비된 소유자정보그룹에서 제2 출입기기(220)의 소유자정보를 취득할 수 있다. 인증장치(100)는 취득된 제2 출입기기(220)의 소유자정보를 제1 출입기기(210)로 송신할 수 있다. In addition, as explained through FIG. 13, the authentication device (100) in the session setup step can obtain the owner information of the second access device (220) from the owner information group provided in the authentication device (100) by using one or more of the components of the owner information of the second access device (220) received from the first access device (210). The authentication device (100) can transmit the obtained owner information of the second access device (220) to the first access device (210).

인증장치(100)는, 인증장치(100)와 제1 출입기기(210) 간의 세션 정보를 이용하여 소유자정보그룹에서 제1 출입기기(210)의 소유자정보를 취득하며 취득된 제1 출입기기(210)의 소유자정보를 제2 출입기기(220)로 송신할 수 있다. The authentication device (100) can obtain the owner information of the first access device (210) from the owner information group using the session information between the authentication device (100) and the first access device (210) and transmit the obtained owner information of the first access device (210) to the second access device (220).

세션정보는 인증장치(100)가 제1 출입기기(210)를 인증하는 과정이나 인증 이후에 제1 출입기기(210)와의 통신을 위하여 할당된 정보로서, 제1 출입기기(210)와 제2 출입기기(220)의 통신을 위한 세션ID와는 다를 수 있다. Session information is information allocated for communication with the first access device (210) during the process of authenticating the first access device (210) by the authentication device (100) or after authentication, and may be different from the session ID for communication between the first access device (210) and the second access device (220).

제1 출입기기(210)는 제2 출입기기(220)로부터 수신된 인증서로부터 생성된 소유자정보와 인증장치(100)로부터 수신된 제2 출입기기(220)의 소유자정보를 비교하여 제2 출입기기(220)의 미인증 여부를 판단할 수 있다. 즉, 제1 출입기기(210)는 서로 일치하는 경우 정상으로 판단하고, 서로 일치하지 않는 경우 미인증기기로 판단할 수 있다. The first access device (210) can compare the owner information generated from the certificate received from the second access device (220) with the owner information of the second access device (220) received from the authentication device (100) to determine whether the second access device (220) is not authenticated. That is, the first access device (210) can determine that the two devices are normal if they match, and can determine that the two devices are not authenticated if they do not match.

제1 출입기기(210)는 인증장치(100)로부터 수신된 제2 출입기기(220)의 소유자정보를 통하여 제2 출입기기의 위조 및 변조 여부를 판단할 수 있다. 즉, 제1 출입기기(210)는 인증장치(100)로부터 수신된 제2 출입기기(220)의 소유자정보를 신뢰하며, 인증장치(100)로부터 수신된 제2 출입기기(220)의 소유자정보에 있는 위조 및 변조 정보 상에 위조 및 변조가 없다는 내용이 포함될 경우 제2 출입기기(210)의 위조 및 변조가 없다고 판단할 수 있다.The first access device (210) can determine whether the second access device (220) has been forged or altered through the owner information of the second access device (220) received from the authentication device (100). That is, the first access device (210) trusts the owner information of the second access device (220) received from the authentication device (100), and if the forgery and alteration information in the owner information of the second access device (220) received from the authentication device (100) includes the content that there is no forgery or alteration, it can determine that there is no forgery or alteration of the second access device (210).

또한, 제2 출입기기(220)는 인증장치(100)로부터 수신된 제1 출입기기(210)의 소유자정보를 통하여 제1 출입기기(210)의 위조 및 변조 여부를 판단할 수 있다. 즉, 제2 출입기기(220)는 인증장치(100)로부터 수신된 제1 출입기기(210)의 소유자정보를 신뢰하며, 인증장치(100)로부터 수신된 제1 출입기기(210)의 소유자정보에 있는 위조 및 변조 정보 상에 위조 및 변조가 없다는 내용이 포함될 경우 제1 출입기기(210)의 위/변조가 없다고 판단할 수 있다.In addition, the second access device (220) can determine whether the first access device (210) has been forged or altered through the owner information of the first access device (210) received from the authentication device (100). That is, the second access device (220) trusts the owner information of the first access device (210) received from the authentication device (100), and if the forgery and alteration information in the owner information of the first access device (210) received from the authentication device (100) includes the content that there is no forgery or alteration, it can determine that there is no forgery/alteration of the first access device (210).

제1 출입기기(210)가 제2 출입기기(220)의 위조 및 변조 미발생과, 미인증 여부를 판단하고, 제2 출입기기(220)가 제1 출입기기(210)의 위조 및 변조의 미발생을 판단할 경우, 제1 출입기기(210)와 제2 출입기기(220)는 상호간에 세션을 설정할 수 있다. When the first access device (210) determines whether the second access device (220) has been forged or tampered with and whether it has not been authenticated, and when the second access device (220) determines whether the first access device (210) has been forged or tampered with, the first access device (210) and the second access device (220) can establish a session with each other.

인증장치(100)는 제1 출입기기(210)와의 세션 정보를 이용하여 인증장치(100)의 소유자정보그룹에서 제1 출입기기(210)의 소유자정보를 검색하고, 제1 출입기기(210)가 보낸 제2출입기기(220)의 소유자정보 구성요소 중 하나 이상을 이용하여 인증장치(100)의 소유자정보그룹에서 제2출입기기(220)의 소유자정보를 검색하여 제1 출입기기(210) 및 제2 출입기기(220)의 위조 및 변조 여부를 확인할 수 있다.The authentication device (100) searches for the owner information of the first access device (210) in the owner information group of the authentication device (100) using session information with the first access device (210), and searches for the owner information of the second access device (220) in the owner information group of the authentication device (100) using at least one of the owner information components of the second access device (220) sent by the first access device (210), thereby enabling the authentication device (100) to check whether the first access device (210) and the second access device (220) have been forged or altered.

출입기기인증실패정보는 인증장치(100)의 소유자정보그룹 검색에 따라 취득된 제1 출입기기(210) 및 제2 출입기기(220)의 소유자정보의 구성요소 중 하나일 수 있으며, 제1 출입기기(210) 및 제2 출입기기(220)가 인증장치(100)에 의하여 정상적으로 인증되었는지에 대한 정보를 포함할 수 있다. The access device authentication failure information may be one of the components of the owner information of the first access device (210) and the second access device (220) acquired by searching the owner information group of the authentication device (100), and may include information on whether the first access device (210) and the second access device (220) were normally authenticated by the authentication device (100).

또한, 인증장치(100)는 제1 출입기기(210)로부터 전송된 제2 출입기기(220)의 소유자정보에 포함된 제2 출입기기(220)의 주소와 인증장치(100)의 소유자정보그룹에서 취득된 제2 출입기기(220)의 소유자정보에 포함된 제2 출입기기(220)의 주소가 동일한 지를 비교하여 제2 출입기기(220)의 주소가 무단으로 변경되었는 지를 확인할 수 있다. In addition, the authentication device (100) can compare whether the address of the second access device (220) included in the owner information of the second access device (220) transmitted from the first access device (210) and the address of the second access device (220) included in the owner information of the second access device (220) acquired from the owner information group of the authentication device (100) are the same, thereby confirming whether the address of the second access device (220) has been changed without authorization.

제1 출입기기(210)와 제2 출입기기(220)는 제1 출입기기(210) 및 제2 출입기기(220)의 유효기간 중 서로 중첩되는 기간에만 통신을 수행할 수있다. 예를 들어, 제1 출입기기(210)의 유효기간이 2024년 1월1일부터 12월31일이고 제2 출입기기(220)의 유효기간이 2024년 7월1일부터 2025년 6월30일인 경우, 제1 출입기기(210) 및 제2 출입기기(220)의 중첩기간은 2024년 7월1일부터 2024년 12월31일까지 일 수 있다.The first access device (210) and the second access device (220) can perform communication only during the overlapping period of the validity periods of the first access device (210) and the second access device (220). For example, if the validity period of the first access device (210) is from January 1, 2024 to December 31, 2024 and the validity period of the second access device (220) is from July 1, 2024 to June 30, 2025, the overlapping period of the first access device (210) and the second access device (220) can be from July 1, 2024 to December 31, 2024.

제1 출입기기(210) 및 제2 출입기기(220)의 유효기간은 인증장치(100)가 갖고 있는 제1 출입기기(210) 및 제2 출입기기(220)의 인증서 상의 소유자정보에 포함될 수 있다. The validity period of the first access device (210) and the second access device (220) may be included in the owner information on the certificate of the first access device (210) and the second access device (220) held by the authentication device (100).

통신을 하려는 현재 시각이 상기 중첩 기간에 포함되어 있어야 제1 출입기기(210) 및 제2 출입기기(220) 사이의 통신이 이루어질 수 있으며, 상기 현재 시간이 중첩 기간을 벗어날 경우 통신이 이루어지지 않을 수 있다.Communication between the first access device (210) and the second access device (220) can be made only when the current time to communicate is included in the overlapping period, and communication may not be made if the current time is outside the overlapping period.

인증장치(100) 및 출입기기(210)는 서로 다른 회선을 통하여 인터넷망에 접속할 수 있다. 예를 들어, 인증장치(100) 및 출입기기(210)는 서로 다른 인터넷 서비스 공급자의 망에 각각 접속하거나, 동일한 인터넷 서비스 공급자의 서로 다른 회선을 통하여 인터넷망에 접속할 수 있다. The authentication device (100) and the access device (210) can connect to the Internet through different lines. For example, the authentication device (100) and the access device (210) can each connect to the networks of different Internet service providers, or connect to the Internet through different lines of the same Internet service provider.

인증장치(100)가 속한 네트워크를 관할하는 게이트웨이(gateway)의 설정을 통하여 인증장치(100)의 접속포트가 상기 게이트웨이를 거쳐 출입기기(210)와 통신할 수 있도록 개방될 수 있다.By setting up a gateway that controls the network to which the authentication device (100) belongs, the connection port of the authentication device (100) can be opened to communicate with the access device (210) via the gateway.

인증장치(100)와 출입기기(210)는 게이트웨이를 거쳐 서로 통신할 수 있는데, 서로 다른 회선을 통하여 통신할 경우, 인증장치(100)와 출입기기(210)의 통신이 이루어지지 않을 수 있다. 게이트웨이는 인증장치(100)의 접속포트가 상기 게이트웨이 외부의 서로 다른 회선에 개방되도록 설정함으로써 인증장치(100)와 출입기기(210) 사이의 통신이 이루어지도록 할 수 있다.The authentication device (100) and the access device (210) can communicate with each other via the gateway. However, if they communicate via different lines, communication between the authentication device (100) and the access device (210) may not occur. The gateway can enable communication between the authentication device (100) and the access device (210) by setting the connection port of the authentication device (100) to be open to different lines outside the gateway.

게이트웨이는 라우터나 공유기와는 다른 별개의 장치일 수도 있고, 라우터나 공유기가 게이트웨이의 기능을 수행할 수도 있다. A gateway may be a separate device from a router or shared router, or a router or shared router may perform the gateway function.

본 발명의 다른 실시예에 따른 출입기기 관리 방법은 출입통제서버가 관리자의 로그인 정보를 전송받는 로그인 단계, 출입통제서버가 관리자의 입력장치 조작에 따라 출입기기에 대한 정보를 제공하는 장치관리단계, 출입통제서버가 관리자의 입력장치 조작에 따라 출입기기별 출입자의 출입기록을 제공하는 출입관리단계, 출입통제서버가 관리자의 입력장치 조작에 따라 출입자에 대한 개인정보를 제공하는 출입자관리단계를 포함한다. According to another embodiment of the present invention, an access device management method includes a login step in which an access control server receives login information of an administrator, a device management step in which the access control server provides information on an access device according to an input device operation by an administrator, an access management step in which the access control server provides an access record of an entrant for each access device according to an input device operation by an administrator, and an access user management step in which the access control server provides personal information on an entrant according to an input device operation by an administrator.

관리자의 입력장치는 키보드, 마우스, 터치 스크린, 스타일러스 펜일 수 있으나 본 발명이 이에 한정되는 것은 아니다. The administrator's input device may be a keyboard, mouse, touch screen, or stylus pen, but the present invention is not limited thereto.

이 때 장치관리단계에서 출입기기에 대한 정보는 출입기기의 장치 ID, 펌웨어 버전 및 네트워크 주소 정보를 포함할 수 있다. At this time, in the device management stage, information about the access device may include the device ID, firmware version, and network address information of the access device.

출입관리단계에서 출입자의 출입기록은 인증일자, 출입자 ID, 출입자의 부서, 출입기기 ID를 포함할 수 있다. At the entry control stage, the entry/exit record of an entrant may include the authentication date, entrant ID, entrant's department, and entry/exit device ID.

출입자관리단계에서 출입자에 대한 개인정보는 출입자 ID, 출입자의 이름, 출입권한, 부서 및 직급을 포함할 수 있다. In the access control stage, personal information about entrants may include the entrant ID, entrant's name, access rights, department, and position.

이상과 같이 본 발명에 따른 실시예를 살펴보았으며, 앞서 설명된 실시예 이외에도 본 발명이 그 취지나 범주에서 벗어남이 없이 다른 특정 형태로 구체화 될 수 있다는 사실은 해당 기술에 통상의 지식을 가진 이들에게는 자명한 것이다. 그러므로, 상술된 실시예는 제한적인 것이 아니라 예시적인 것으로 여겨져야 하고, 이에 따라 본 발명은 상술한 설명에 한정되지 않고 첨부된 청구항의 범주 및 그 동등 범위 내에서 변경될 수도 있다.As described above, the embodiments according to the present invention have been examined, and it is obvious to those skilled in the art that the present invention can be embodied in other specific forms without departing from the spirit or scope thereof in addition to the embodiments described above. Therefore, the above-described embodiments should be considered as illustrative rather than restrictive, and accordingly, the present invention is not limited to the above description, but may be modified within the scope of the appended claims and their equivalents.

인증장치(100)
출입기기부(200)
출입기기, 제1 출입기기(210)
제2 출입기기(220)Authentication device (100)
Entry/Exit Device Department (200)
Entry device, 1st entry device (210)
2nd Entry Device (220)

Claims (17)

공개키기반구조(Public Key Infrastructure)를 이용하여 인증장치가 출입기기부를 관리하는 출입기기 관리 방법에 있어서,
공개키 및 개인키를 이용하여 상기 인증장치 및 상기 출입기기부의 출입기기가 상호 인증하는 단계;
상기 인증장치 또는 상기 출입기기가 생성한 비밀키를 상기 인증장치 및 상기 출입기기가 공유하여 암호화 통신을 준비하는 단계;
상기 인증장치 및 상기 출입기기는 상기 출입기기에 설치된 프로그램의 인증을 위한 프로그램인증키를 상기 비밀키로 암호화 및 복호화함으로써 상기 인증장치가 상기 프로그램에 대한 인증을 수행하는 단계; 및
상기 인증장치가 상기 프로그램에 대한 인증에 기초하여 인증서를 생성하여 상기 출입기기로 전송하는 단계를 포함하고,
상기 상호 인증 단계에서
상기 인증장치는
출입기기용 인증상수를 생성하여 상기 출입기기로 전송하고, 상기 출입기기가 디지털서명 알고리즘을 통하여 상기 출입기기용 인증상수에 상기 출입기기의 개인키로 서명하여 생성한 출입기기용 디지털서명을 상기 출입기기로부터 수신받아 디지털서명 검증알고리즘을 통하여 상기 출입기기의 공개키와 상기 출입기기용 인증상수로 상기 출입기기용 디지털서명을 검증하여 성공 여부를 확인함으로써 상기 출입기기를 인증하고,
상기 인증장치는
인증장치용 인증상수를 생성하고, 디지털서명 알고리즘을 통하여 상기 인증장치용 인증상수에 상기 인증장치의 개인키로 서명하여 생성한 인증장치용 디지털서명과 상기 인증장치용 인증상수를 상기 출입기기로 전송하고,
상기 출입기기가
디지털서명 검증알고리즘을 통하여 상기 인증장치의 공개키와 상기 인증장치용 인증상수로 상기 인증장치용 디지털서명을 검증하여 성공 여부를 확인함으로써 상기 인증장치를 인증하는 것을 특징으로 하는 출입기기 관리 방법.In a method for managing access devices using a public key infrastructure, an authentication device manages an access device section.
A step for mutually authenticating the authentication device and the access device of the access device unit using a public key and a private key;
A step of preparing encrypted communication by sharing a secret key generated by the authentication device or the access device between the authentication device and the access device;
The authentication device and the access device perform a step of authenticating the program by encrypting and decrypting the program authentication key for authenticating the program installed in the access device with the secret key; and
The above authentication device comprises a step of generating a certificate based on authentication for the above program and transmitting it to the access device,
In the above mutual authentication step
The above authentication device
An authentication constant for an access device is generated and transmitted to the access device, and the access device receives a digital signature for the access device generated by signing the authentication constant for the access device with the private key of the access device through a digital signature algorithm, and verifies the digital signature for the access device with the public key of the access device and the authentication constant for the access device through a digital signature verification algorithm to confirm success, thereby authenticating the access device.
The above authentication device
Generate an authentication constant for an authentication device, sign the authentication constant for the authentication device with the private key of the authentication device through a digital signature algorithm, and transmit the digital signature for the authentication device and the authentication constant for the authentication device to the access device.
The above entry/exit device
An access control method characterized in that the authentication device is authenticated by verifying the digital signature for the authentication device using the public key of the authentication device and the authentication constant for the authentication device through a digital signature verification algorithm to confirm success. 삭제delete 제1항에 있어서,
상기 암호화 통신을 준비하는 단계에서,
상기 출입기기는 상기 비밀키를 생성하고 상기 생성된 비밀키를 상기 인증장치의 공개키로 암호화하여 비밀키암호데이터를 생성하여 상기 인증장치로 전송하고, 상기 인증장치는 상기 출입기기로부터 수신한 상기 비밀키암호데이터를 상기 인증장치의 개인키로 복호화하여 상기 비밀키를 공유하거나,
또는 상기 인증장치는 상기 비밀키를 생성하고 상기 생성된 비밀키를 상기 출입기기의 공개키로 암호화하여 비밀키암호데이터를 생성하여 상기 출입기기로 전송하고, 상기 출입기기는 상기 인증장치로부터 수신한 상기 비밀키암호데이터를 상기 출입기기의 개인키로 복호화하여 상기 비밀키를 공유하거나,
또는 상기 인증장치와 상기 출입기기가 키교환 알고리즘을 이용하여 비밀키를 공유하는 것을 특징으로 하는 출입기기 관리 방법.In the first paragraph,
In the step of preparing the above encrypted communication,
The above access device generates the secret key and encrypts the generated secret key with the public key of the authentication device to generate secret key encrypted data and transmits it to the authentication device, and the authentication device decrypts the secret key encrypted data received from the access device with the private key of the authentication device to share the secret key, or
Or, the authentication device generates the secret key and encrypts the generated secret key with the public key of the access device to generate secret key encrypted data and transmits it to the access device, and the access device decrypts the secret key encrypted data received from the authentication device with the private key of the access device to share the secret key, or
Or, an access device management method characterized in that the authentication device and the access device share a secret key using a key exchange algorithm. 제1항에 있어서,
상기 프로그램을 인증하는 단계에서,
상기 인증장치는 상기 출입기기로부터 상기 비밀키를 통하여 암호화된 프로그램인증키를 수신받아 상기 비밀키로 복호화하고, 상기 인증장치에 저장된 프로그램인증키그룹에서 상기 출입기기의 프로그램인증키를 검색한 후 상기 복호화된 프로그램인증키와 동일여부를 확인하여 상기 출입기기의 프로그램을 인증하는 것을 특징으로 하는 출입기기 관리 방법.In the first paragraph,
At the stage of authenticating the above program,
An access device management method characterized in that the authentication device receives an encrypted program authentication key from the access device through the secret key, decrypts it with the secret key, searches for the program authentication key of the access device from the program authentication key group stored in the authentication device, and then authenticates the program of the access device by confirming whether it is identical to the decrypted program authentication key. 제1항에 있어서,
상기 프로그램을 인증하는 단계에서,
상기 인증장치는 프로그램인증키를 생성하고, 상기 프로그램인증키를 상기 비밀키로 암호화하여 상기 출입기기로 송신하고,
상기 출입기기는 상기 암호화된 프로그램인증키를 상기 비밀키로 복호화하고, 상기 복호화된 프로그램인증키가 상기 출입기기에 저장된 프로그램인증키와 동일한 지 비교한 결과값을 상기 인증장치로 송신하고,
상기 인증장치는 상기 결과값에 따라 상기 프로그램를 인증하는 것을 특징으로 하는 출입기기 관리 방법.In the first paragraph,
At the stage of authenticating the above program,
The above authentication device generates a program authentication key, encrypts the program authentication key with the secret key, and transmits it to the access device.
The above access device decrypts the encrypted program authentication key with the secret key, compares whether the decrypted program authentication key is identical to the program authentication key stored in the above access device, and transmits the result to the authentication device.
An access device management method characterized in that the above authentication device authenticates the above program according to the above result value. 제1항에 있어서,
상기 인증서는 상기 인증장치의 공개키 및 CA(Certificate Authority) 정보, 소유자정보, 지문, 및 디지털서명지문을 포함하며,
상기 CA정보는 상기 인증장치의 운영기관정보, 담당자정보, 기기식별정보 및 상기 인증장치의 주소 중 하나 이상을 포함하고,
상기 소유자정보는 상기 출입기기의 공개키, 출입기기식별정보, 상기 출입기기의 주소, 출입기기인증실패정보, 유효기간 중 하나 이상을 포함하는 것을 특징으로 하는 출입기기 관리 방법.In the first paragraph,
The above certificate includes the public key of the authentication device, CA (Certificate Authority) information, owner information, fingerprint, and digital signature fingerprint.
The above CA information includes at least one of the operating agency information, person in charge information, device identification information, and address of the above authentication device.
An access device management method, characterized in that the above owner information includes at least one of the public key of the access device, access device identification information, the address of the access device, access device authentication failure information, and the expiration date. 제6항에 있어서,
상기 출입기기부는 상기 출입기기에 해당되는 제1 출입기기와 다른 하나의 출입기기에 해당되는 제2 출입기기를 포함하며,
상기 인증서로 상기 제1 출입기기와 상기 제2 출입기기 사이에서 통신이 이루어지는 과정은,
상기 제1 출입기기 및 상기 제2 출입기기 중 하나가 다른 하나의 인증서를 요청하는 단계,
상기 제1 출입기기가 상기 제2 출입기기로부터 수신된 인증서의 조작 여부, 상기 제2 출입기기로부터 수신된 인증서가 상기 인증장치에 의하여 생성된 것인지의 여부, 및 상기 제1 출입기기 및 상기 제2 출입기기가 동일한 인증장치그룹에 속하는지의 여부를 확인하여 상기 인증서를 검증하는 단계,
상기 제2 출입기기로부터 수신된 인증서가 검증될 경우, 상기 제1 출입기기 및 상기 제2 출입기기 사이에 세션(session)이 설정되는 단계, 및
상기 제1 출입기기와 상기 제2 출입기기가 상기 설정된 세션을 검증하는 단계를 포함하는 것을 특징으로 하는 출입기기 관리 방법.In Article 6,
The above entry/exit device section includes a first entry/exit device corresponding to the above entry/exit device and a second entry/exit device corresponding to another entry/exit device.
The process of communication between the first access device and the second access device using the above certificate is as follows:
A step in which one of the first entry/exit device and the second entry/exit device requests another certificate;
A step of verifying the certificate by checking whether the first access device has manipulated the certificate received from the second access device, whether the certificate received from the second access device was generated by the authentication device, and whether the first access device and the second access device belong to the same authentication device group.
A step of establishing a session between the first access device and the second access device when the certificate received from the second access device is verified, and
An access device management method, characterized in that it includes a step of verifying the established session by the first access device and the second access device. 제7항에 있어서,
상기 제1 출입기기가
상기 수신받은 제2 출입기기의 인증서로 상기 인증장치의 공개키및 CA(Certificate Authority) 정보와, 상기 제2 출입기기의 소유자정보, 지문, 및 디지털서명지문을 생성하고,
상기 제2 출입기기로부터 수신된 인증서의 조작 여부를 확인하기 위하여 상기 인증장치의 공개키및 CA정보와, 상기 제2 출입기기의 소유자정보로 상기 제2 출입기기의 지문을 신규로 생성하여 상기 제2 출입기기의 인증서로 생성된 지문과 상기 신규로 생성된 지문이 동일한지를 확인하는 것을 특징으로 하는 출입기기 관리 방법.In Article 7,
The above first entry/exit device
Generate the public key and CA (Certificate Authority) information of the authentication device, the owner information, fingerprint, and digital signature fingerprint of the second access device using the certificate of the second access device received above,
An access device management method characterized in that, in order to verify whether a certificate received from the second access device has been manipulated, a new fingerprint of the second access device is generated using the public key and CA information of the authentication device and the owner information of the second access device, and it is verified whether the fingerprint generated using the certificate of the second access device and the newly generated fingerprint are the same. 제7항에 있어서,
상기 제1 출입기기가
상기 수신받은 제2 출입기기의 인증서로 상기 인증장치의 공개키 및 CA(Certificate Authority) 정보와, 상기 제2 출입기기의 소유자정보, 지문, 및 디지털서명지문을 생성하고,
상기 제2 출입기기로부터 수신된 인증서가 상기 인증장치에 의하여 생성된 것인지의 여부를 확인하기 위하여 디지털서명 검증알고리즘에 따라 상기 제2 출입기기의 지문과 상기 인증장치의 공개키로 상기 제2 출입기기의 디지털서명지문을 검증하여 성공 여부를 확인하는 것을 특징으로 하는 출입기기 관리 방법. In Article 7,
The above first entry/exit device
Generate the public key and CA (Certificate Authority) information of the authentication device, the owner information, fingerprint, and digital signature fingerprint of the second access device using the certificate of the second access device received above,
An access device management method characterized in that the digital signature fingerprint of the second access device is verified using the fingerprint of the second access device and the public key of the authentication device according to a digital signature verification algorithm to confirm whether the certificate received from the second access device was generated by the authentication device, and the success or failure is confirmed. 제7항에 있어서,
상기 제1 출입기기가
상기 수신받은 제2 출입기기의 인증서로 상기 인증장치의 공개키 및 CA(Certificate Authority) 정보와, 상기 제2 출입기기의 소유자정보, 지문, 및 디지털서명지문을 생성하고,
상기 제1 출입기기 및 상기 제2 출입기기가 동일한 인증장치그룹에 속하는지의 여부를 확인하기 위하여 상기 제1 출입기기에 저장된 상기 인증장치의 공개키와 상기 제2 출입기기의 인증서로 생성된 공개키가 동일한지 판단하고, 상기 제1 출입기기에 저장된 상기 인증장치의 CA정보와 상기 제2 출입기기의 인증서로 생성된 CA정보가 동일한지 확인하는 것을 특징으로 하는 출입기기 관리 방법.In Article 7,
The above first entry/exit device
Generate the public key and CA (Certificate Authority) information of the authentication device, the owner information, fingerprint, and digital signature fingerprint of the second access device using the certificate of the second access device received above,
An access device management method characterized in that it is determined whether the public key of the authentication device stored in the first access device and the public key generated by the certificate of the second access device are the same in order to confirm whether the first access device and the second access device belong to the same authentication device group, and it is confirmed whether the CA information of the authentication device stored in the first access device and the CA information generated by the certificate of the second access device are the same. 제7항에 있어서,
상기 세션을 설정하는 단계에서,
상기 제1 출입기기는
상기 제2 출입기기의 소유자정보의 구성요소 중 하나 이상을 상기 인증장치로 전송하고,
상기 제1 출입기기 및 상기 제2 출입기기 사이의 통신을 위한 세션 ID, 상기 제1 출입기기 및 상기 제2 출입기기 사이의 암호화 통신을 위한 비밀키, 상기 제2 출입기기의 소유자정보를 상기 인증장치로부터 수신하며,
상기 제2 출입기기는
상기 세션ID, 상기 제1 출입기기 및 상기 제2 출입기기 사이의 암호화 통신을 위한 비밀키, 상기 제1 출입기기의 소유자정보를 상기 인증장치로부터 수신하여 상기 제1 출입기기 및 상기 제2 출입기기 사이에 세션이 설정되는 것을 특징으로 하는 출입기기 관리 방법.In Article 7,
In the step of setting up the above session,
The above first entry/exit device
Transmitting at least one component of the owner information of the second access device to the authentication device,
A session ID for communication between the first access device and the second access device, a secret key for encrypted communication between the first access device and the second access device, and owner information of the second access device are received from the authentication device,
The above second entry/exit device
An access device management method characterized in that a session is established between the first access device and the second access device by receiving the session ID, a secret key for encrypted communication between the first access device and the second access device, and owner information of the first access device from the authentication device. 제11항에 있어서,
상기 세션을 검증하는 단계에서,
상기 제1 출입기기와 상기 제2 출입기기는
상기 인증장치로부터 수신받은 상기 세션ID를 상기 인증장치로부터 수신받은 비밀키로 암호화하여 상호 전송하고, 상호 전송된 상기 세션 ID를 상기 비밀키로 복호화하여 상호 전송된 상기 세션 ID가 동일한 지를 확인하는 세션 검증 단계를 포함하는 것을 특징으로 하는 출입기기 관리 방법.In Article 11,
In the step of verifying the above session,
The above first entry/exit device and the above second entry/exit device
An access device management method characterized by including a session verification step of encrypting the session ID received from the authentication device with a secret key received from the authentication device and transmitting it to each other, and decrypting the mutually transmitted session ID with the secret key to confirm whether the mutually transmitted session ID is the same. 제7항 또는 제11항에 있어서,
상기 제1 출입기기가
상기 수신받은 제2 출입기기의 인증서로 상기 인증장치의 공개키 및 CA(Certificate Authority) 정보와, 상기 제2 출입기기의 소유자정보, 지문, 및 디지털서명지문을 생성하고,
상기 세션 설정 단계의 상기 인증장치는
상기 제1 출입기기로부터 상기 제2 출입기기의 소유자정보의 구성요소 중 하나 이상을 수신하고,
상기 수신한 제2 출입기기의 소유자정보의 구성요소 중 하나 이상을 이용하여 상기 인증장치에 구비된 소유자정보그룹에서 상기 제2 출입기기의 소유자정보를 취득하여 상기 제1 출입기기로 전송하는 것을 특징으로 하는 출입기기 관리 방법.In clause 7 or 11,
The above first entry/exit device
Generate the public key and CA (Certificate Authority) information of the authentication device, the owner information, fingerprint, and digital signature fingerprint of the second access device using the certificate of the second access device received above,
The above authentication device in the above session setup step
Receiving at least one component of the owner information of the second access device from the first access device,
An access device management method characterized in that the owner information of the second access device is acquired from the owner information group provided in the authentication device by using at least one of the components of the owner information of the second access device received, and the owner information is transmitted to the first access device. 제11항에 있어서,
상기 제1 출입기기가
상기 수신받은 제2 출입기기의 인증서로 상기 인증장치의 공개키 및 CA(Certificate Authority) 정보와, 상기 제2 출입기기의 소유자정보, 지문, 및 디지털서명지문을 생성하고,
상기 세션 설정 단계의 상기 인증장치는
상기 제1 출입기기로부터 수신된 상기 제2 출입기기의 소유자정보의 구성요소 중 하나 이상을 이용하여 상기 인증장치에 구비된 소유자정보그룹에서 상기 제2 출입기기의 소유자정보를 취득하며 상기 취득된 제2 출입기기의 소유자정보를 상기 제1 출입기기로 송신하고,
상기 인증장치와 상기 제1 출입기기 간의 세션 정보를 이용하여 상기 소유자정보그룹에서 상기 제1 출입기기의 소유자정보를 취득하며 상기 취득된 제1 출입기기의 소유자정보를 상기 제2 출입기기로 송신하며,
상기 제1 출입기기는 상기 제2 출입기기로부터 수신된 인증서로부터 생성된 소유자정보와 상기 인증장치로부터 수신된 제2 출입기기의 소유자정보를 비교하여 상기 제2 출입기기의 미인증 여부를 판단하고, 상기 인증장치로부터 수신된 제2 출입기기의 소유자정보를 통하여 상기 제2 출입기기의 위조 및 변조 여부를 판단하고,
상기 제2 출입기기는 상기 인증장치로부터 수신된 상기 제1 출입기기의 소유자정보를 통하여 상기 제1 출입기기의 위조 및 변조 여부를 판단하며,
상기 제1 출입기기가 상기 제2 출입기기의 위조 및 변조 미발생과, 미인증 여부를 판단하고, 상기 제2 출입기기가 상기 제1 출입기기의 위조 및 변조의 미발생을 판단할 경우, 상기 제1 출입기기와 상기 제2 출입기기는 상호간에 세션을 설정하는 것을 특징으로 하는 출입기기 관리 방법. In Article 11,
The above first entry/exit device
Generate the public key and CA (Certificate Authority) information of the authentication device, the owner information, fingerprint, and digital signature fingerprint of the second access device using the certificate of the second access device received above,
The above authentication device in the above session setup step
By using at least one component of the owner information of the second access device received from the first access device, the owner information of the second access device is acquired from the owner information group provided in the authentication device, and the acquired owner information of the second access device is transmitted to the first access device.
By using the session information between the above authentication device and the first access device, the owner information of the first access device is acquired from the owner information group, and the acquired owner information of the first access device is transmitted to the second access device.
The first access device determines whether the second access device is not authenticated by comparing the owner information generated from the certificate received from the second access device with the owner information of the second access device received from the authentication device, and determines whether the second access device is forged or altered through the owner information of the second access device received from the authentication device.
The second access device determines whether the first access device is forged or altered through the owner information of the first access device received from the authentication device.
An access device management method characterized in that when the first access device determines whether forgery or alteration of the second access device has occurred and whether it has not been authenticated, and when the second access device determines whether forgery or alteration of the first access device has occurred, the first access device and the second access device establish a session with each other. 제7항에 있어서,
상기 제1 출입기기와 상기 제2 출입기기는 상기 제1 출입기기 및 상기 제2 출입기기의 유효기간 중 서로 중첩되는 기간에만 통신을 수행하는 것을 특징으로 하는 출입기기 관리 방법.In Article 7,
An access device management method, characterized in that the first access device and the second access device perform communication only during an overlapping period among the valid periods of the first access device and the second access device. 제1항에 있어서,
상기 인증장치 및 상기 출입기기가 서로 다른 회선을 통하여 인터넷망에 접속할 경우,
상기 인증장치가 속한 네트워크를 관할하는 게이트웨이의 설정을 통하여 상기 인증장치의 접속포트가 상기 게이트웨이를 거쳐 상기 출입기기와 통신할 수 있도록 개방되는 것을 특징으로 하는 출입기기 관리 방법.In the first paragraph,
When the above authentication device and the above access device connect to the Internet through different lines,
An access device management method characterized in that the access port of the authentication device is opened to communicate with the access device via the gateway by setting a gateway that governs the network to which the authentication device belongs. 삭제delete
KR1020240158306A 2024-11-08 2024-11-08 Entrance device management method Active KR102779052B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020240158306A KR102779052B1 (en) 2024-11-08 2024-11-08 Entrance device management method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020240158306A KR102779052B1 (en) 2024-11-08 2024-11-08 Entrance device management method

Publications (1)

Publication Number Publication Date
KR102779052B1 true KR102779052B1 (en) 2025-03-12

Family

ID=94977794

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020240158306A Active KR102779052B1 (en) 2024-11-08 2024-11-08 Entrance device management method

Country Status (1)

Country Link
KR (1) KR102779052B1 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190049133A (en) * 2017-11-01 2019-05-09 경희대학교 산학협력단 Method and system for secure shared key exchange
KR102366869B1 (en) * 2021-09-03 2022-02-23 (주)케이스마텍 System and method for extending and providing digital key service
KR20230066694A (en) 2021-11-08 2023-05-16 주식회사 엘지유플러스 Unmanned telecommunications station access certification management method and system using smart device
KR20240047822A (en) * 2022-10-05 2024-04-12 주식회사 튠잇 A system and method for controlling door lock

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190049133A (en) * 2017-11-01 2019-05-09 경희대학교 산학협력단 Method and system for secure shared key exchange
KR102366869B1 (en) * 2021-09-03 2022-02-23 (주)케이스마텍 System and method for extending and providing digital key service
KR20230066694A (en) 2021-11-08 2023-05-16 주식회사 엘지유플러스 Unmanned telecommunications station access certification management method and system using smart device
KR20240047822A (en) * 2022-10-05 2024-04-12 주식회사 튠잇 A system and method for controlling door lock

Similar Documents

Publication Publication Date Title
US9654468B2 (en) System and method for secure remote biometric authentication
CN109410406B (en) Authorization method, device and system
US7409543B1 (en) Method and apparatus for using a third party authentication server
CN102217277B (en) Method and system for token-based authentication
KR102202547B1 (en) Method and system for verifying an access request
US7698565B1 (en) Crypto-proxy server and method of using the same
US8499147B2 (en) Account management system, root-account management apparatus, derived-account management apparatus, and program
US20040059924A1 (en) Biometric private key infrastructure
CN110990827A (en) Identity information verification method, server and storage medium
US20070192601A1 (en) System and method for user identification and authentication
CN112396735B (en) Internet automobile digital key safety authentication method and device
JPH06223041A (en) Rarge-area environment user certification system
JP2013084034A (en) Template distribution type cancelable biometric authentication system and method therefor
CN113886771A (en) A software authorization authentication method
JP2018035515A (en) Electronic lock system
CN111224784A (en) A Distributed Authentication and Authorization Method Based on Hardware Root of Trust Role Separation
JP2021050556A (en) Authentication system
KR20010052103A (en) A remotely accessible private space using a fingerprint
KR100656355B1 (en) User authentication method, service authentication method and apparatus using the divided user authentication key
KR101996317B1 (en) Block chain based user authentication system using authentication variable and method thereof
CN119109692A (en) A security authentication system and method for vehicle-mounted device data transmission
JP2018022941A (en) Management system, management server and management program
US20240121083A1 (en) Secure restoration of private key
KR102779052B1 (en) Entrance device management method
TWI725623B (en) Point-to-point authority management method based on manager's self-issued tickets

Legal Events

Date Code Title Description
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20241108

PA0201 Request for examination

Patent event code: PA02011R01I

Patent event date: 20241108

Comment text: Patent Application

PA0302 Request for accelerated examination

Patent event date: 20241108

Patent event code: PA03022R01D

Comment text: Request for Accelerated Examination

Patent event date: 20241108

Patent event code: PA03021R01I

Comment text: Patent Application

E902 Notification of reason for refusal
PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20250114

Patent event code: PE09021S01D

E701 Decision to grant or registration of patent right
PE0701 Decision of registration

Patent event code: PE07011S01D

Comment text: Decision to Grant Registration

Patent event date: 20250228

GRNT Written decision to grant
PR0701 Registration of establishment

Comment text: Registration of Establishment

Patent event date: 20250305

Patent event code: PR07011E01D

PR1002 Payment of registration fee

Payment date: 20250305

End annual number: 3

Start annual number: 1

PG1601 Publication of registration