KR102263391B1 - Power distribution security device for protection coordination - Google Patents

Power distribution security device for protection coordination Download PDF

Info

Publication number
KR102263391B1
KR102263391B1 KR1020190173749A KR20190173749A KR102263391B1 KR 102263391 B1 KR102263391 B1 KR 102263391B1 KR 1020190173749 A KR1020190173749 A KR 1020190173749A KR 20190173749 A KR20190173749 A KR 20190173749A KR 102263391 B1 KR102263391 B1 KR 102263391B1
Authority
KR
South Korea
Prior art keywords
intelligent distribution
protection cooperation
terminal device
protection
data
Prior art date
Application number
KR1020190173749A
Other languages
Korean (ko)
Inventor
김홍산
김용삼
Original Assignee
한전케이디엔주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한전케이디엔주식회사 filed Critical 한전케이디엔주식회사
Priority to KR1020190173749A priority Critical patent/KR102263391B1/en
Application granted granted Critical
Publication of KR102263391B1 publication Critical patent/KR102263391B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02JCIRCUIT ARRANGEMENTS OR SYSTEMS FOR SUPPLYING OR DISTRIBUTING ELECTRIC POWER; SYSTEMS FOR STORING ELECTRIC ENERGY
    • H02J3/00Circuit arrangements for ac mains or ac distribution networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/163In-band adaptation of TCP data exchange; In-band control procedures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

According to an embodiment, a security device for intelligent distribution for protection coordination comprises: a protection cooperation router installed in a terminal device for intelligent distribution to classify a protection cooperation message transmitted from another terminal device for intelligent distribution and transfer the protection cooperation message received from the outside; a protection cooperation receiver for receiving an external protection cooperation message; a protection cooperation sender for transmitting the protection cooperation message received from the protection cooperation router to the outside; and a user identification module that stores a CA certificate, a device certificate and a session key.

Description

보호협조를 위한 배전 지능화용 보안 장치{Power distribution security device for protection coordination}Power distribution security device for protection coordination

본 발명의 일실시예는 보호협조를 위한 배전 지능화용 보안 장치에 관한 것이다.One embodiment of the present invention relates to a security device for intelligent distribution for protection coordination.

배전 지능화 시스템은 배전선로를 종합적으로 감시하여 전력공급신뢰도를 향상시키기 위한 시스템이다. 배전 지능화 시스템은 배전선로에 설치되어 있는 다양한 개폐장치 및 배전설비의 현장 정보들을 배전 지능화용 단말 장치를 통해 감시 및 계측하여 실시간으로 주장치에 제공할 수 있다.The intelligent distribution system is a system to improve power supply reliability by comprehensively monitoring distribution lines. The intelligent distribution system can monitor and measure field information of various switchgear and distribution facilities installed in the distribution line through a terminal device for intelligent distribution and provide it to the main unit in real time.

배전 지능화 시스템은 주장치, 통신장치, 단말 장치, 개폐장치를 포함하여 구성될 수 있다. 배전 지능화용 단말 장치는 배전선로에 흐르는 전류 및 전압을 계측하고 배전선로 사고 시 상태를 감지하여 주장치로 전송하거나, 주장치로부터 수신한 명령에 따라 개폐 장치의 제어 기능 등을 수행할 수 있다.The intelligent distribution system may include a main device, a communication device, a terminal device, and a switchgear. The terminal device for intelligent distribution may measure the current and voltage flowing in the distribution line, detect the state in the event of a distribution line accident, and transmit it to the main unit, or perform a control function of the switchgear according to a command received from the main unit.

이러한 배전 지능화 시스템은 전력망의 운영이 점차 ICT화 됨에 따라, 각종 IoT 장비 등 통신 장치의 증가가 요구되고 있다. 그러나, 현재 배전선로에 설치된 단말 장치는 각종 계측 및 제어 명령어에 대한 데이터를 평문 메시지 형태로 통신하고 있어 보안이 매우 취약한 실정이다.In such an intelligent distribution system, as the operation of the power grid gradually becomes ICT, an increase in communication devices such as various IoT devices is required. However, the current terminal device installed on the distribution line communicates data for various measurement and control commands in the form of a plain text message, so security is very weak.

본 발명이 이루고자 하는 기술적 과제는 보안에 취약한 배전 지능화 시스템의 통신 구간에서 데이터 보안성 및 신뢰성을 확보할 수 있는 보호협조를 위한 배전 지능화용 보안 장치를 제공하는데 있다.An object of the present invention is to provide a security device for intelligent distribution that can secure data security and reliability in a communication section of an intelligent distribution system that is vulnerable to security.

또한, 국가표준 암호화 알고리즘 준수에 따른 호환성을 확보할 수 있는 보호협조를 위한 배전 지능화용 보안 장치를 제공하는데 있다.In addition, it is to provide a security device for intelligent distribution for protection cooperation that can ensure compatibility according to compliance with national standard encryption algorithms.

실시예에 따르면, 배전 지능화용 단말장치에 설치되어 타 배전 지능화용 단말장치에서 송신되는 보호 협조 메시지를 구분하고 외부에서 수신되는 보호 협조 메시지를 전달하는 보호 협조 라우터; 외부의 보호 협조 메시지를 수신하는 보호 협조 리시버; 상기 보호 협조 라우터로부터 전달받은 보호 협조 메시지를 외부로 송신하는 보호 협조 센더; CA인증서, 디바이스 인증서 및 세션 키를 저장하는 사용자 식별 모듈을 포함하는 것을 특징으로 하는 배전 지능화용 보안 장치를 제공한다.According to an embodiment, a protection cooperation router installed in a terminal device for intelligent distribution, distinguishing a protection cooperation message transmitted from another terminal device for intelligent distribution, and forwarding a protection cooperation message received from the outside; a protection cooperation receiver for receiving an external protection cooperation message; a protection cooperation sender for transmitting the protection cooperation message received from the protection cooperation router to the outside; It provides a security device for intelligent distribution, characterized in that it comprises a user identification module for storing the CA certificate, the device certificate and the session key.

상기 보호협조 센더는 DTLS통신을 이용하여 타 배전 지능화용 단말장치로 보호 협조 메시지를 전송할 수 있다.The protection cooperation sender may transmit a protection cooperation message to another terminal device for intelligent distribution using DTLS communication.

상기 보호 협조 센더는 상기 보호 협조 라우터로부터 보호 협조 메시지를 전달받는 UDP 서버 및 보호 협조 메시지를 타 배전 지능화용 단말장치로 전송하는 DTLS 클라이언트를 포함할 수 있다.The protection cooperation sender may include a UDP server receiving the protection cooperation message from the protection cooperation router and a DTLS client transmitting the protection cooperation message to another terminal device for intelligent distribution.

상기 보호 협조 리시버는 DTLS통신을 이용하여 타 배전 지능화용 단말장치로부터 보호 협조 메시지를 전송받을 수 있다.The protection cooperation receiver may receive a protection cooperation message from another terminal device for intelligent distribution using DTLS communication.

상기 보호 협조 리시버는 타 배전 지능화용 단말장치로부터 보호 협조 메시지를 전달받는 DTLS 서버 및 보호 협조 메시지를 상기 보호 협조 라우터로 전달하는 UDP 클라이언트를 포함할 수 있다.The protection cooperation receiver may include a DTLS server receiving a protection cooperation message from another terminal device for intelligent distribution and a UDP client transmitting the protection cooperation message to the protection cooperation router.

상기 보호 협조 라우터는 시리얼 통신 및 UDP 통신 연결을 초기화하여 연결을 수행하는 시리얼 라우터; 상기 보호 협조 센더와 UDP 통신을 수행하여 보호 협조 메시지를 상기 보호 협조 센더로 전달하는 보호협조 S-라우터 및 상기 보호 협조 리시버와 UDP 통신을 수행하여 보호 협조 메시지를 배전 지능화용 단말 장치로 전달하는 보호협조 R-라우터를 포함할 수 있다.The protection cooperation router may include: a serial router configured to initialize and connect serial communication and UDP communication; Protection that performs UDP communication with the protection cooperation sender and transmits the protection cooperation message to the protection cooperation sender and performs UDP communication with the protection cooperation S-router and the protection cooperation receiver to deliver the protection cooperation message to the terminal device for intelligent distribution It may include a cooperating R-router.

실싱예에 따르면CA(Certificate Authority) 인증서, 디바이스 인증서 및 세션 키를 저장하는 사용자 식별 모듈; 배전 지능화용 단말 장치에서 수신된 DNP(Distributed Network Protocol) 데이터를 암호화 하고, 주장치로부터 수신한 암호문 데이터를 평문 DNP데이터로 복호화하는 암복호 모듈; 상기 CA인증서, 디바이스 인증서 및 세션 키를 이용하여 상기 주장치와 TLS(Transport Layer Security) 프로토콜에 따라 데이터 통신을 수행하며, 상기 암복호 모듈에서 암호화 된 데이터를 상기 주장치로 전송하고 상기 주장치로부터 수신한 암호문 데이터를 수신하는 통신모듈; 배전 지능화용 단말장치에 설치되어 타 배전 지능화용 단말장치에서 송신되는 보호 협조 메시지를 구분하고 외부에서 수신되는 보호 협조 메시지를 전달하는 보호 협조 라우터; 외부의 보호 협조 메시지를 수신하는 보호 협조 리시버; 및 상기 보호 협조 라우터로부터 전달받은 보호 협조 메시지를 외부로 송신하는 보호 협조 센더를 포함하는 배전 지능화용 보안 장치를 제공한다.According to an embodiment, a CA (Certificate   Authority) certificate, a device certificate and a user identification module for storing a session key; an encryption/decryption module for encrypting DNP (Distributed Network   Protocol) data received from the terminal device for intelligent distribution and decrypting the cipher text data received from the main device into plain text DNP data; The CA certificate, the device certificate, and the session key are used to perform data communication with the primary device according to the TLS (Transport Layer Security) protocol, and the encrypted data from the encryption/decryption module is transmitted to the primary device and the cipher text received from the primary device. a communication module for receiving data; a protection cooperation router installed in the intelligent distribution terminal device to classify the protection cooperation message transmitted from other distribution intelligent terminal devices and forwarding the protection cooperation message received from the outside; a protection cooperation receiver for receiving an external protection cooperation message; and a protection cooperation sender for transmitting the protection cooperation message received from the protection cooperation router to the outside.

본 발명인 보호협조를 위한 배전 지능화용 보안 장치는 보안에 취약한 배전 지능화 시스템의 통신 구간에서 데이터 보안성 및 신뢰성을 확보할 수 있다.The present inventors' security device for intelligent distribution for protection cooperation can secure data security and reliability in the communication section of the intelligent distribution system, which is vulnerable to security.

또한, 국가표준 암호화 알고리즘 준수에 따른 호환성을 확보할 수 있다.In addition, compatibility can be secured by complying with the national standard encryption algorithm.

도1은 실시예에 따른 배전 지능화 시스템의 개념도이다.
도2는 실시예에 따른 배전 지능화용 보안 장치의 구성 블록도이다.
도3 은 실시예에 따른 배전 지능화 시스템 보안 서비스 제공 방법의 순서도이다.
도4는 실시예에 따른 자가 테스트 동작을 설명하기 위한 도면이다.
도5는 실시예에 따른 사용자 인증 과정을 설명하기 위한 도면이다.
도6 및 도7은 실시예에 따른 세션 값 검증 과정을 설명하기 위한 도면이다.
도8은 실시예에 따른 암복호 서비스 과정을 설명하기 위한 도면이다.
도9는 실시에에 따른 전자서명 및 전자서명 검증 과정을 설명하기 위한 도면이다.
도 10은 실시예에 따른 배전 지능화용 보안 장치의 동작을 설명하기 위한 도면이다.1 is a conceptual diagram of an intelligent distribution system according to an embodiment.
2 is a configuration block diagram of a security device for intelligent distribution according to an embodiment.
3 is a flowchart of a method for providing an intelligent distribution system security service according to an embodiment.
4 is a diagram for explaining a self-test operation according to an embodiment.
5 is a diagram for explaining a user authentication process according to an embodiment.
6 and 7 are diagrams for explaining a session value verification process according to an embodiment.
8 is a diagram for explaining an encryption/decryption service process according to an embodiment.
9 is a diagram for explaining a digital signature and a digital signature verification process according to an embodiment.
10 is a view for explaining the operation of the security device for intelligent distribution according to the embodiment.

이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 상세히 설명한다.Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings.

다만, 본 발명의 기술 사상은 설명되는 일부 실시 예에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있고, 본 발명의 기술 사상 범위 내에서라면, 실시 예들간 그 구성 요소들 중 하나 이상을 선택적으로 결합, 치환하여 사용할 수 있다.However, the technical spirit of the present invention is not limited to some embodiments described, but may be implemented in various different forms, and within the scope of the technical spirit of the present invention, one or more of the components may be selected between the embodiments. It can be combined and substituted for use.

또한, 본 발명의 실시예에서 사용되는 용어(기술 및 과학적 용어를 포함)는, 명백하게 특별히 정의되어 기술되지 않는 한, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 일반적으로 이해될 수 있는 의미로 해석될 수 있으며, 사전에 정의된 용어와 같이 일반적으로 사용되는 용어들은 관련 기술의 문맥상의 의미를 고려하여 그 의미를 해석할 수 있을 것이다.In addition, terms (including technical and scientific terms) used in the embodiments of the present invention may be generally understood by those of ordinary skill in the art to which the present invention belongs, unless specifically defined and described explicitly. It may be interpreted as a meaning, and generally used terms such as terms defined in advance may be interpreted in consideration of the contextual meaning of the related art.

또한, 본 발명의 실시예에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다.In addition, the terms used in the embodiments of the present invention are for describing the embodiments and are not intended to limit the present invention.

본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함할 수 있고, "A 및(와) B, C 중 적어도 하나(또는 한 개 이상)"로 기재되는 경우 A, B, C로 조합할 수 있는 모든 조합 중 하나 이상을 포함할 수 있다.In the present specification, the singular form may also include the plural form unless otherwise specified in the phrase, and when it is described as "at least one (or more than one) of A and (and) B, C", it is combined with A, B, C It may include one or more of all possible combinations.

또한, 본 발명의 실시 예의 구성 요소를 설명하는 데 있어서, 제1, 제2, A, B, (a), (b) 등의 용어를 사용할 수 있다.In addition, in describing the components of the embodiment of the present invention, terms such as first, second, A, B, (a), (b), etc. may be used.

이러한 용어는 그 구성 요소를 다른 구성 요소와 구별하기 위한 것일 뿐, 그 용어에 의해 해당 구성 요소의 본질이나 차례 또는 순서 등으로 한정되지 않는다.These terms are only used to distinguish the component from other components, and are not limited to the essence, order, or order of the component by the term.

그리고, 어떤 구성 요소가 다른 구성요소에 '연결', '결합' 또는 '접속'된다고 기재된 경우, 그 구성 요소는 그 다른 구성 요소에 직접적으로 연결, 결합 또는 접속되는 경우뿐만 아니라, 그 구성 요소와 그 다른 구성 요소 사이에 있는 또 다른 구성 요소로 인해 '연결', '결합' 또는 '접속' 되는 경우도 포함할 수 있다.And, when it is described that a component is 'connected', 'coupled' or 'connected' to another component, the component is not only directly connected, coupled or connected to the other component, but also with the component It may also include a case of 'connected', 'coupled' or 'connected' due to another element between the other elements.

또한, 각 구성 요소의 "상(위) 또는 하(아래)"에 형성 또는 배치되는 것으로 기재되는 경우, 상(위) 또는 하(아래)는 두 개의 구성 요소들이 서로 직접 접촉되는 경우뿐만 아니라 하나 이상의 또 다른 구성 요소가 두 개의 구성 요소들 사이에 형성 또는 배치되는 경우도 포함한다. 또한, "상(위) 또는 하(아래)"으로 표현되는 경우 하나의 구성 요소를 기준으로 위쪽 방향뿐만 아니라 아래쪽 방향의 의미도 포함할 수 있다.In addition, when it is described as being formed or disposed on "above (above) or below (below)" of each component, the top (above) or bottom (below) is one as well as when two components are in direct contact with each other. Also includes a case in which another component as described above is formed or disposed between two components. In addition, when expressed as "upper (upper) or lower (lower)", the meaning of not only an upper direction but also a lower direction based on one component may be included.

이하, 첨부된 도면을 참조하여 실시예를 상세히 설명하되, 도면 부호에 관계없이 동일하거나 대응하는 구성 요소는 동일한 참조 번호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다.Hereinafter, the embodiment will be described in detail with reference to the accompanying drawings, but regardless of the reference numerals, the same or corresponding components are given the same reference numerals, and the overlapping description thereof will be omitted.

도1은 실시예에 따른 배전 지능화 시스템의 개념도이고, 도2는 실시예에 따른 배전 지능화용 보안 장치의 구성 블록도이다. 도1 및 도2를 참조하면, 배전 지능화 시스템(1)은 배전선로에 설치되는 개폐기(10), 배전 지능화용 단말 장치(20)와 운영실에서 배전 지능화 기기를 원격 감시 제어하기 위한 주 장치(30)로 구성될 수 있다. 배전 지능화 시스템(1)은 주 장치(30)와 통신장치(미도시)간의 데이터 통신에 의해 현장에 설치된 배전 지능화용 단말 장치(20)로부터 배전선로의 각종 데이터를 취득하고 이를 이용하여 배전계통을 감시 관리할 수 있다.1 is a conceptual diagram of an intelligent distribution system according to an embodiment, and FIG. 2 is a block diagram of a security device for intelligent distribution according to an embodiment. 1 and 2, the intelligent distribution system 1 includes a switch 10 installed on a distribution line, a terminal device 20 for intelligent distribution, and a main device 30 for remote monitoring and control of intelligent distribution devices in an operating room. ) can be composed of The intelligent distribution system 1 acquires various data of the distribution line from the terminal device 20 for intelligent distribution installed in the field by data communication between the main device 30 and the communication device (not shown), and uses it to configure the distribution system. can be monitored.

배전 지능화 단말 장치(20)는 데이터 계측 및 배전 지능화 시스템(1)의 주 장치(30)로의 데이터 전송 기능과 이벤트 발생시 보고 기능, 그리고 개폐기(10)의 개폐 감지기능 및 제어기능을 수행할 수 있다. 배전 지능화 단말 장치(20)로부터 수집된 데이터는 단말측 통신장치(미도시)와 주 장치측 통신장치(미도시)를 거쳐 주 장치(30)로 전송될 수 있다. The intelligent distribution terminal device 20 may perform a data measurement and data transmission function to the main device 30 of the intelligent distribution system 1, a reporting function when an event occurs, and an open/close detection function and control function of the switchgear 10. . Data collected from the intelligent distribution terminal device 20 may be transmitted to the main device 30 via a terminal-side communication device (not shown) and a main device-side communication device (not shown).

실시예에 따른 배전 지능화용 보안 장치(100)는 사용자 식별 모듈(110), 암복호 모듈 (120), 통신 모듈(130), 보호 협조 라우터(140), 보호 협조 센더(150) 및 보호 협조 리시버(160)를 포함할 수 있다.The security device 100 for intelligent distribution according to the embodiment includes a user identification module 110 , an encryption/decryption module 120 , a communication module 130 , a protection cooperation router 140 , a protection cooperation sender 150 , and a protection cooperation receiver (160).

실시예에 따른 배전 지능화용 보안 장치(100)는 배전 지능화용 단말장치(20)에 설치되어 주 장치(30), 타 배전 지능화용 단말장치와 데이터 통신을 수행할 수 있다.The intelligent distribution security device 100 according to the embodiment may be installed in the intelligent distribution terminal device 20 to perform data communication with the main device 30 and other intelligent distribution terminal devices.

사용자 식별 모듈(SIM, Subscriber Identification Module)(110)은 CA(Certificate Authority) 인증서, 디바이스 인증서 및 세션 키를 저장할 수 있다.The user identification module (SIM, Subscriber Identification Module) 110 may store a Certificate   Authority (CA) certificate, a device certificate, and a session key.

사용자 식별 모듈(110)은 통신 모듈(130)의 동작 상태에 따라 CA 인증서, 디바이스 인증서 및 세션 키의 사용을 위한 별도의 저장공간을 구비할 수 있다. 사용자 식별 모듈(110)은 보안 장치 내 칩(chip) 형태의 저장공간으로 상호 인증을 위해 발급된 CA 인증서, 디바이스 인증서 및 세션 키를 저장할 수 있다. 사용자 식별 모듈(110)은 보안 장치(100) 구동 시 저장된 CA 인증서, 디바이스 인증서 및 세션 키 객체를 취득하여 보안 장치(100)의 공유 메모리(Shared memory)에 암호화 하여 저장할 수 있다.The user identification module 110 may have a separate storage space for use of the CA certificate, the device certificate, and the session key according to the operating state of the communication module 130 . The user identification module 110 may store a CA certificate, a device certificate, and a session key issued for mutual authentication in a chip-type storage space within the security device. The user identification module 110 may acquire the stored CA certificate, the device certificate, and the session key object when the security device 100 is driven, and encrypt and store the stored CA certificate, the device certificate, and the session key object in the shared memory of the security device 100 .

사용자 식별 모듈(110)은 보안 장치(100)가 구동되면 칩에 저장되어 있는 CA 인증서, 디바이스 인증서 및 세션 키 객체를 취득하며, 공유 메모리를 생성한 후 단말 장치 (20)또는 주 장치(30)가 CA 인증서, 디바이스 인증서 및 세션 키에 접근할 수 있도록 암호화 하여 저장할 수 있다. 사용자 식별 모듈(110)은 다양한 라이브러리를 이용하여 CA 인증서, 디바이스 인증서 및 세션 키 객체의 저장, 조회, 삭제, 변경 등의 기능을 제공할 수 있다.When the security device 100 is driven, the user identification module 110 acquires the CA certificate, the device certificate, and the session key object stored in the chip, and after creating a shared memory, the terminal device 20 or the main device 30 It can be encrypted and stored so that the CA certificate, device certificate, and session key can be accessed. The user identification module 110 may provide functions such as storage, inquiry, deletion, and change of CA certificate, device certificate, and session key object by using various libraries.

암복호 모듈(120) 배전 지능화용 단말 장치(20)에서 수신된 평문 DNP(Distributed Network Protocol) 데이터를 암호화 하고, 주 장치(30)로부터 수신한 암호문 데이터를 평문 DNP 데이터로 복호화할 수 있다.The encryption/decryption module 120 may encrypt plaintext DNP (Distributed Network  Protocol) data received from the terminal device 20 for distribution intelligence, and decrypt the ciphertext data received from the main device 30 into plaintext DNP data.

암복호 모듈(120)은 세션 키를 이용하여 평문 DNP데이터를 암호화할 수 있다.The encryption/decryption module 120 may encrypt the plaintext DNP data using the session key.

암복호 모듈(120)은 세션 키를 이용하여 암호문 데이터를 평문 DNP데이터로 복호화할 수 있다.The encryption/decryption module 120 may decrypt the encrypted text data into plain text DNP data using the session key.

암복호 모듈(120)은 암호화 또는 복호화 과정에서 한국 암호 모듈 검증 제도(KCMVP) 인증을 거친 라이브러리 형태의 ARIA(Academy, Research Institute, Agency)암호 알고리즘을 적용할 수 있다.The encryption/decryption module 120 may apply an ARIA (Academy, Research Institute, Agency) encryption algorithm in the form of a library that has been certified by the Korean Cryptographic Module Verification System (KCMVP) in the encryption or decryption process.

암복호 모듈(120)은 세션 키를 이용하여 주 장치 또는 단말 장치로부터 수신한 전자서명 요청 또는 전자서명 검증 요청을 처리할 수 있다.The encryption/decryption module 120 may process the digital signature request or the digital signature verification request received from the main device or the terminal device using the session key.

암복호 모듈(120)은 통신 모듈(130)의 동작 상태에 따라 대칭키 연산, 비대칭키 연산, HMAC(Hash-based Message Authentication Code), 해시(HASH) 연산 등을 수행할 수 있다.The encryption/decryption module 120 may perform a symmetric key operation, an asymmetric key operation, a Hash-based Message Authentication Code (HMAC), a hash (HASH) operation, etc. according to the operating state of the communication module 130 .

암복호 모듈(120)은 ARIA(Academy, Research Institute, Agency)알고리즘 및 LEA(Lightweight Encryption Algorithm)알고리즘의 ECB(electronic codebook), CBC(cipher-block chaining), CTR(Counter), CCM (Counter with CBC-MAC), GCM(Galois/Counter mode)모드와, 노패딩(NoPadding) ARIA 및 LEA알고리즘의 ECB, CBC모드를 이용한 암호화, 키주입 매커니즘과 전자서명 및 검증을 위한 매커니즘을 수행할 수 있다.Encryption and decryption module 120 is ARIA (Academy, Research Institute, Agency) algorithm and LEA (Lightweight   Encryption   Algorithm) algorithm ECB (electronic codebook), CBC (cipher-block chaining), CTR (Counter), CCM (Counter with CBC) -MAC), GCM (Galois/Counter mode) mode, and NoPadding ARIA and LEA algorithm ECB and CBC mode encryption, key injection mechanism and mechanism for digital signature and verification can be performed.

암복호 모듈(120)은 기존 암호화 되지 않은 데이터를 암복호화 하는 모듈로, 단말 장치(20)로부터 수신한 평문 DNP 데이터를 암호할 수 있다. 암호화 된 데이터는 통신 모듈(130)의 TLS(Transport Layer Security)프로토콜 처리부(133)를 거쳐 변환 후 주 장치(30)로 송신될 수 있다.The encryption/decryption module 120 is a module for encrypting/decrypting existing unencrypted data, and may encrypt the plaintext DNP data received from the terminal device 20 . The encrypted data may be transmitted to the main device 30 after conversion through the TLS (Transport Layer Security) protocol processing unit 133 of the communication module 130 .

또한, 암복호 모듈(120)은 주 장치(30)부터 수신한 암호화 데이터를 복호할 수 있다. 복호화 된 데이터는 TCP(Transmission Control Protocol)프로토콜 처리부(131)를 거쳐 변환 후 단말 장치(20)로 송신될 수 있다.Also, the encryption/decryption module 120 may decrypt encrypted data received from the main device 30 . The decoded data may be transmitted to the terminal device 20 after conversion through the Transmission Control Protocol (TCP) protocol processing unit 131 .

암복호 모듈(120)은 이를 위하여 암복호화를 수행하기 위한 대칭키 알고리즘(ARIA, HMAC), 비대칭키 알고리즘(RSA: Rivet, Shamir, Adelman), 해시 알고리즘, 난수발생기 알고리즘 등을 지원할 수 있다.For this, the encryption/decryption module 120 may support a symmetric key algorithm (ARIA, HMAC), an asymmetric key algorithm (RSA: Rivet, Shamir, Adelman), a hash algorithm, a random number generator algorithm, etc. for performing encryption/decryption.

통신 모듈(130)은 CA인증서, 디바이스 인증서 및 세션 키를 이용하여 주 장치와 TLS프로토콜에 따라 데이터 통신을 수행하며, 암복호 모듈(120)에서 암호화 된 데이터를 주 장치(30)로 전송하고 주 장치(30)로부터 수신한 암호문 데이터를 수신할 수 있다.The communication module 130 performs data communication with the main device according to the TLS protocol using the CA certificate, the device certificate, and the session key, and transmits the data encrypted in the encryption/decryption module 120 to the main device 30 and The ciphertext data received from the device 30 may be received.

통신 모듈(130)은 사용자 식별 모듈(110)에 저장되어 있는 CA인증서 및 디바이스 인증서를 검증하여 세션 키를 생성하여 주 장치(30)에 전송할 수 있다.The communication module 130 may verify the CA certificate and the device certificate stored in the user identification module 110 , generate a session key, and transmit it to the main device 30 .

통신 모듈(130)은 단말 장치(20) 또는 주 장치(30)로부터 크리티컬 메시지를 수신하면 재확인 요청 메시지를 전송할 수 있다.The communication module 130 may transmit a reconfirmation request message upon receiving the critical message from the terminal device 20 or the main device 30 .

통신 모듈(130)은 단말 장치(20) 및 주 장치(30)와의 데이터 통신을 수행하기 위하여, 송수신되는 메시지에 대하여 TCP프로토콜 처리, DNP/SA((Distributed Network Protocol/Secure Authentication))프로토콜 처리, TLS프로토콜 처리를 수행할 수 있다.In order to perform data communication with the terminal device 20 and the main device 30, the communication module 130 performs TCP protocol processing, DNP/SA (Distributed Network Protocol/Secure Authentication) protocol processing, TLS protocol processing can be performed.

통신 모듈(130)은 단말 장치(20)와의 이더넷 통신을 위한 TCP프로토콜 처리부(131), TCP프로토콜 처리에 따라 송수신되는 데이터를 암복호 모듈과 연계하여 처리하는 DNP/SA프로토콜 처리부(132), 주 장치(30)와 통신하기 위해 암복호 모듈(120)과 연계하여 암호화 통신을 수행하는 TLS프로토콜 처리부(133)를 포함할 수 있다.The communication module 130 includes a TCP protocol processing unit 131 for Ethernet communication with the terminal device 20, a DNP/SA protocol processing unit 132 that processes data transmitted and received according to the TCP protocol processing in connection with the encryption/decryption module 132, the main It may include a TLS protocol processing unit 133 for performing encryption communication in connection with the encryption/decryption module 120 to communicate with the device 30 .

실시예에서, DNP/SA프로토콜 처리부(132)는 DNP 프로토콜에 보안 기능을 적용하여 메시지 인증을 위한 절차를 추가적으로 수행할 수 있다. DNP/SA프로토콜 처리부(132)는 크리티컬 메시지(Critical Message) 통신시 해당 메시지를 송신한 단말 장치(20) 또는 주 장치(30)에 대하여 재확인 절차(Challenge-response)를 수행할 수 있다.In an embodiment, the DNP/SA protocol processing unit 132 may additionally perform a procedure for message authentication by applying a security function to the DNP protocol. The DNP/SA protocol processing unit 132 may perform a challenge-response with respect to the terminal device 20 or the main device 30 that has transmitted the corresponding message during critical message communication.

보호 협조 라우터(140)는 타 배전 지능화용 단말장치(21)에서 송신되는 보호 협조 메시지를 구분하고 외부에서 수신되는 보호 협조 메시지를 전달할 수 있다.The protection cooperation router 140 may classify the protection cooperation message transmitted from the other terminal device for intelligent distribution 21 and forward the protection cooperation message received from the outside.

실시예에서 보호 협조 라우터(140)는 시리얼 라우터(141), 보호협조 S-라우터(142) 및 보호협조 R-라우터(143)를 포함할 수 있다.In the embodiment, the protection cooperative router 140 may include a serial router 141 , protection cooperative S-router 142 and protection cooperative R-router 143 .

시리얼 라우터(141)는 배전 지능화용 단말 장치(20)와의 통신과 보호 협조 센더(150) 및 보호 협조 리시버(160)와의 통신을 위한 시리얼 통신과 UDP 통신 연결을 초기화하여 세션 연결을 수립할 수 있다.The serial router 141 may establish a session connection by initiating a serial communication and UDP communication connection for communication with the intelligent distribution terminal device 20 and communication with the protection cooperation sender 150 and the protection cooperation receiver 160 . .

보호 협조 S-라우터(142)는 보호 협조 센더(150)와 UDP(User Datagram Protocol)통신을 수행하여 보호 협조 메시지를 보호 협조 센더(150)로 전달할 수 있다.The protection cooperation S-router 142 may transmit the protection cooperation message to the protection cooperation sender 150 by performing User Datagram Protocol (UDP) communication with the protection cooperation sender 150 .

보호 협조 R-라우터(143)는 보호 협조 리시버(160)와 UDP 통신을 수행하여 시리얼 라우터(141)를 통하여 보호 협조 메시지를 배전 지능화용 단말 장치(20)로 전달할 수 있다.The protection cooperation R-router 143 may transmit the protection cooperation message to the intelligent distribution terminal device 20 through the serial router 141 by performing UDP communication with the protection cooperation receiver 160 .

보호 협조 센더(150)는 보호 협조 라우터(140)로부터 전달받은 보호 협조 메시지를 외부로 송신할 수 있다.The protection cooperation sender 150 may transmit the protection cooperation message received from the protection cooperation router 140 to the outside.

보호협조 센더(150)는 DTLS(Datagram Transport Layer Security)통신을 이용하여 타 배전 지능화용 단말장치(21)로 보호 협조 메시지를 전송할 수 있다.The protection cooperation sender 150 may transmit a protection cooperation message to the other terminal device 21 for intelligent distribution using DTLS (Datagram Transport Layer Security) communication.

실시예에서 보호 협조 센더(150)는 보호 협조 라우터(140)로부터 보호 협조 메시지를 전달받는 UDP 서버(151) 및 보호 협조 메시지를 타 배전 지능화용 단말장치(21)로 전송하는 DTLS 클라이언트(152)를 포함할 수 있다.In the embodiment, the protection cooperation sender 150 transmits the protection cooperation message to the UDP server 151 receiving the protection cooperation message from the protection cooperation router 140 and the DTLS client 152 for transmitting the protection cooperation message to the other terminal device 21 for intelligent distribution. may include.

보호 협조 리시버(160)는 외부의 보호 협조 메시지를 수신할 수 있다.The protection cooperation receiver 160 may receive an external protection cooperation message.

보호 협조 리시버(160)는 DTLS통신을 이용하여 타 배전 지능화용 단말장치(21)로부터 보호 협조 메시지를 전송받을 수 있다.The protection cooperation receiver 160 may receive a protection cooperation message from another terminal device 21 for intelligent distribution using DTLS communication.

실시에에서 보호 협조 리시버(160)는 타 배전 지능화용 단말 장치(21)로부터 보호 협조 메시지를 전달받는 DTLS 서버(161) 및 보호 협조 메시지를 보호 협조 라우터로 전달하는 UDP 클라이언트(162)를 포함할 수 있다.In an embodiment, the protection cooperation receiver 160 may include a DTLS server 161 that receives a protection cooperation message from another distribution intelligent terminal device 21 and a UDP client 162 that delivers the protection cooperation message to the protection cooperation router. can

실시예에 따르면, 배전 지능화용 단말 장치(20)와 배전 지능화용 보안 장치(100)는 시리얼 통신을 통하여 보호 협조 메시지를 송수신하며, 이를 시리얼 라우터(141)와 보호협조 S-라우터(142)를 통해 UDP로 변환한 후 보호 협조 센더(150)에서 DTLS 프로토콜로 변환하여 타 배전 지능화용 단말장치(21)에 보호 협조 메시지를 전송할 수 있다.According to the embodiment, the intelligent distribution terminal device 20 and the intelligent distribution security device 100 transmit and receive protection cooperation messages through serial communication, and transmit and receive protection cooperation messages between the serial router 141 and the protection coordination S-router 142. After conversion to UDP through the protection cooperation sender 150, the DTLS protocol may be converted to transmit the protection cooperation message to the other terminal device 21 for intelligent distribution.

또한, 보호 협조 리시버(160)는 타 배전 지능화용 단말 장치(21)로부터 DTLS 프로토콜로 보호 협조 메시지를 수신하여 UDP프로토콜에 따라 변환한 후, 보호협조 R-라우터(143)와 시리얼 라우터(141)를 통해 배전 지능화용 단말장치(20)로 보호 협조 메시지를 전달할 수 있다.In addition, the protection cooperation receiver 160 receives the protection cooperation message in the DTLS protocol from the other distribution intelligent terminal device 21 and converts it according to the UDP protocol, and then the protection cooperation R-router 143 and the serial router 141. It is possible to transmit the protection cooperation message to the terminal device 20 for intelligent distribution through .

실시예에서, 보호 협조 메시지는 암복호 모듈을 거치지 않는 대신에 보안에 취약한 UDP 프로토콜 DTLS 프로토콜로 변환하여 배전 지능화용 단말 장치(20, 21)간에 보호 협조 메시지를 송수신할 수 있다.In an embodiment, the protection cooperation message may be converted into the UDP protocol DTLS protocol, which is weak in security, instead of going through the encryption/decryption module, and the protection cooperation message may be transmitted and received between the terminal devices 20 and 21 for intelligent distribution.

배전 지능화용 보안 장치(100)는 타 배전 지능화용 단말장치(21)와의 DTLS 핸드 쉐이킹 과정에서 사용자 식별 모듈(110)에 저장된 CA 인증서, 디바이스 인증서 및 세션 키를 사용할 수 있다.The security device 100 for intelligent distribution may use the CA certificate, the device certificate, and the session key stored in the user identification module 110 in the DTLS handshaking process with the other terminal device 21 for intelligent distribution.

배전 지능화용 보안 장치(100)는 보호 협조 대상인 배전 지능화용 단말 장치를 선정하여 사용자 식별 모듈(110)에 단말장치의 개수, IP 등 관련 정보를 저장할 수 있다.The security device for intelligent distribution 100 may select a terminal device for intelligent distribution as a protection cooperation target and store related information, such as the number of terminal devices and IP, in the user identification module 110 .

배전 지능화용 보안 장치(100)는 최대 10개의 배전 지능화용 단말장치와 세션 연결을 수립할 수 있으며, 세션 연결 개수는 선정된 배전 지능화용 단말 장치의 개수에 따라 설정될 수 있다.The intelligent distribution security device 100 may establish session connections with up to 10 intelligent distribution terminal devices, and the number of session connections may be set according to the selected number of intelligent distribution terminal devices.

배전 지능화용 보안 장치(100)는 사전에 정의된 통신 포트를 사용하며 보호 협조 리시버(160)의 UDP 클라이언트(162)가 보호 협조 메시지를 송신할 때까지 대기 상태로 존재하며, 보호 협조 메시지를 수신하면 이를 배전 지능화용 단말장치(20)로 전달할 수 있다.The security device 100 for intelligent distribution uses a predefined communication port and exists in a standby state until the UDP client 162 of the protection cooperation receiver 160 transmits the protection cooperation message, and receives the protection cooperation message. This can be transmitted to the terminal device 20 for intelligent distribution.

도3 은 실시예에 따른 배전 지능화 시스템 보안 서비스 제공 방법의 순서도이다.3 is a flowchart of a method for providing an intelligent distribution system security service according to an embodiment.

도3을 참조하면, 배전 지능화용 보안 장치는 최초 구동시 암복호 알고리즘에 대한 자가 테스트를 수행하는 단계를 더 포함할 수 있다. 배전 지능화용 보안 장치는 자가 테스트 실패시 오류 메시지를 반환하고 서비스를 종료할 수 있다(S301).Referring to FIG. 3 , the security device for intelligent distribution may further include performing a self-test on the encryption/decryption algorithm when initially driven. The security device for intelligent distribution may return an error message when the self-test fails and terminate the service (S301).

도4는 실시예에 따른 자가 테스트 동작을 설명하기 위한 도면이다. 도4를 참조하면, 실시예에서 자가 테스트란 암복호 서비스를 수행하기 위한 사전 단계로써, 암호 알고리즘에 대한 자가 테스트를 의미할 수 있다. 배전 지능화용 보안 장치는 최초 구동시 암복호 알고리즘에 대한 자가 테스트를 수행할 수 있다(S401). 실시예에서, 자가 테스트는 난수 발생기, 엔트로피 수집, 블록암호, 메시지 압축, 메시지 인증코드, 타원곡선 키 교환, ECDSA(Elliptic Curve Digital Signature Algorithm)전자서명 등의 테스트 및 무결성 검사 중 적어도 하나를 통하여 수행될 수 있다. 4 is a diagram for explaining a self-test operation according to an embodiment. Referring to FIG. 4 , in the embodiment, the self-test is a pre-step for performing the encryption/decryption service, and may refer to a self-test of the encryption algorithm. The security device for intelligent distribution may perform a self-test on the encryption/decryption algorithm upon initial operation (S401). In an embodiment, the self-test is performed through at least one of tests and integrity checks such as random number generator, entropy collection, block cipher, message compression, message authentication code, elliptic curve key exchange, ECDSA (Elliptic Curve Digital Signature Algorithm) digital signature, etc. can be

배전 지능화용 보안 장치는 자가 테스트가 정상적으로 수행되면 암복호 서비스를 제공하며, 자가 테스트가 정상적으로 수행되지 않는 경우 암복호 서비스를 제공하지 않을 수 있다. 배전 지능화용 보안 장치는 자가 테스트 실패 시 오류 메시지를 반환하고 암복호 서비스를 종료할 수 있다(S402~404).The security device for intelligent distribution may provide encryption/decryption service when self-test is normally performed, and may not provide encryption/decryption service if self-test is not normally performed. The security device for intelligent distribution may return an error message when the self-test fails and terminate the encryption/decryption service (S402 to 404).

다음으로, 배전 지능화용 보안 장치는 주 장치 또는 배전 지능화용 단말 장치로부터 사용자 인증 요청 메시지를 수신할 수 있다(S302).Next, the security device for intelligent distribution may receive a user authentication request message from the main device or the terminal device for intelligent distribution ( S302 ).

다음으로, 배전 지능화용 보안 장치는 사용자 인증 요청 메시지에 대응하여 사용자 인증을 수행할 수 있다(S303). Next, the security device for intelligent distribution may perform user authentication in response to the user authentication request message (S303).

다음으로, 배전 지능화용 보안 장치가 인증된 사용자에 대하여 세션 값을 생성하여 전송할 수 있다. 세션 값은 키 객체 및 인증서 객체를 포함할 수 있다(S304).Next, the security device for intelligent distribution may generate and transmit a session value for the authenticated user. The session value may include a key object and a certificate object (S304).

사용자 인증은 사용자가 TCP프로토콜 통신을 통해 배전 지능화용 보안 장치에게 사용자 인증 요청 메시지를 보내면 사용자 인증 과정을 수행 후, 세션 값을 사용자에게 전송하는 과정일 수 있다. 사용자 인증에 실패할 경우 배전 지능화용 보안 장치는 통신을 종료하고 대기 모드로 진입할 수 있다.User authentication may be a process of transmitting a session value to a user after performing a user authentication process when a user sends a user authentication request message to a security device for intelligent distribution through TCP protocol communication. If user authentication fails, the security device for intelligent distribution may terminate communication and enter standby mode.

배전 지능화용 보안 장치는 사용자 인증이 성공한 경우 암복호 서비스 요청 메시지 수신 대기 모드로 진입할 수 있다.The security device for intelligent distribution may enter the encryption/decryption service request message reception standby mode when user authentication is successful.

사용자 인증을 수행하는 단계는, 사용자 인증에 필요한 공개키를 교환하는 단계; MAC(Media Access Control)검증에 필요한 시드(Seed) 및 난수를 교환하는 단계; 및 MAC 검증을 수행하는 단계를 포함할 수 있다.The step of performing user authentication may include exchanging a public key required for user authentication; exchanging a seed and a random number required for MAC (Media Access Control) verification; and performing MAC verification.

도5는 실시예에 따른 사용자 인증 과정을 설명하기 위한 도면이다. 도5를 참조하면, 먼저 주 장치 또는 배전 지능화용 단말 장치가 배전 지능화용 보안 장치에 접속한다(S501).5 is a diagram for explaining a user authentication process according to an embodiment. Referring to FIG. 5 , first, a main device or a terminal device for intelligent distribution accesses a security device for intelligent distribution (S501).

다음으로, 배전 지능화용 보안 장치는 RSA 2048bit 키를 생성한다(S502).Next, the security device for intelligent distribution generates an RSA 2048-bit key (S502).

다음으로, 배전 지능화용 보안 장치는 생성한 RSA의 공개키를 주 장치 또는 배전 지능화용 단말 장치로 전송한다(S503).Next, the security device for intelligent distribution transmits the generated public key of the RSA to the main device or the terminal device for intelligent distribution (S503).

다음으로, 주 장치 또는 배전 지능화용 단말 장치는 시드 값을 생성한 후 RSA 공개키로 암호화 한다(S504).Next, the main device or the terminal device for intelligent distribution generates a seed value and encrypts it with the RSA public key (S504).

다음으로, 주 장치 또는 배전 지능화용 단말 장치는 공개키로 암호화 된 시드 값을 배전 지능화용 보안 장치에게 전송한다(S505).Next, the main device or the terminal device for intelligent distribution transmits the seed value encrypted with the public key to the security device for intelligent distribution (S505).

다음으로, 배전 지능화용 보안 장치는 공개키로 암호화 된 시드 값을 RSA 개인키로 복호화한다(S506).Next, the security device for intelligent distribution decrypts the seed value encrypted with the public key with the RSA private key (S506).

다음으로, 배전 지능화용 보안 장치는 난수발생기를 이용하여 난수를 생성 후 주 장치 또는 배전 지능화용 단말 장치로 전송한다(S507).Next, the security device for intelligent distribution generates a random number using the random number generator and transmits it to the main device or the terminal device for intelligent distribution (S507).

다음으로, 배전 지능화용 보안 장치와 주 장치 또는 배전 지능화용 단말 장치는 키 난독화 과정을 수행한다(S508).Next, the security device for intelligent distribution and the main device or the terminal device for intelligent distribution perform a key obfuscation process (S508).

다음으로, 키 난독화에서 생성된 HAMC키와 배전 지능화용 보안 장치에서 생성된 랜덤(Random) 값을 이용하여 MAC 값을 계산한다(S509).Next, a MAC value is calculated using the HAMC key generated in key obfuscation and a random value generated by the security device for intelligent distribution (S509).

다음으로, 주 장치 또는 배전 지능화용 단말 장치는 계산된 MAC 값을 배전 지능화용 보안 장치로 전송한다(S510).Next, the main device or the intelligent distribution terminal device transmits the calculated MAC value to the distribution intelligent security device (S510).

다음으로, 배전 지능화용 보안 장치는 주 장치 또는 배전 지능화용 단말 장치 에서 수신한 MAC 값과 계산된 MAC 값을 비교한다(S511). Next, the security device for intelligent distribution compares the MAC value received from the main device or the terminal device for intelligent distribution with the calculated MAC value (S511).

다음으로, 배전 지능화용 보안 장치는 두 값이 불일치 할 경우 주 장치 또는 배전 지능화용 단말 장치와의 통신 세션을 종료하고 일치할 경우 배전 지능화용 보안 장치의 암복호 서비스를 사용할 수 있는 세션 값을 생성하여 송신한다(S512). Next, if the two values do not match, the security device for distribution intelligence terminates the communication session with the main device or the terminal device for distribution intelligence. If they match, the security device for distribution intelligence generates a session value that can use the encryption/decryption service to transmit (S512).

다음으로, 배전 지능화용 보안 장치는 인증된 사용자로부터 암복호 서비스 요청 메시지를 수신할 수 있다(S305).Next, the security device for intelligent distribution may receive the encryption/decryption service request message from the authenticated user (S305).

다음으로, 배전 지능화용 보안 장치는 암복호 서비스 요청 메시지를 전송한 사용자의 세션 값을 검증할 수 있다(S306).Next, the security device for intelligent distribution may verify the session value of the user who has transmitted the encryption/decryption service request message (S306).

배전 지능화용 보안 장치는 암복호 서비스 요청 메시지를 수신하면 세션 값을 검증할 수 있다. 배전 지능화용 보안 장치는 세션 값이 비정상일 경우 해당 세션을 종료하고 대기 모드로 진입할 수 있다. 배전 지능화용 보안 장치는 세션 값이 정상일 경우 암복호 서비스 요청 메시지를 확인하고 해당 메시지에 따라 암복호 서비스를 수행할 수 있다. 배전 지능화용 보안 장치는 키 생성, 객체 주입, 객체 조회 및 객체 삭제 중 적어도 하나의 과정을 통하여 사용자의 세션 값을 검증할 수 있다.The security device for intelligent distribution may verify the session value upon receiving the encryption/decryption service request message. When the session value is abnormal, the security device for intelligent distribution may terminate the corresponding session and enter the standby mode. When the session value is normal, the security device for intelligent distribution may check the encryption/decryption service request message and perform the encryption/decryption service according to the message. The security device for intelligent distribution may verify the session value of the user through at least one of key generation, object injection, object inquiry, and object deletion.

도6 및 도7은 실시예에 따른 세션 값 검증 과정을 설명하기 위한 도면이다.6 and 7 are diagrams for explaining a session value verification process according to an embodiment.

도6 내지 도7을 참조하여 세션 값 검증 과정을 설명하기로 한다.A session value verification process will be described with reference to FIGS. 6 to 7 .

도6(a)의 키 생성 과정에서는, 주 장치 또는 배전 지능화용 단말 장치가 라벨(label) 데이터를 포함하여 키 생성 암호화 서비스를 요청한다(S601).In the key generation process of FIG. 6( a ), the main device or the terminal device for intelligent distribution requests a key generation encryption service including label data ( S601 ).

다음으로, 배전 지능화용 보안 장치는 난수발생기를 이용하여 난수를 생성한다(S602).Next, the security device for intelligent distribution generates a random number using a random number generator (S602).

다음으로, 배전 지능화용 보안 장치는 생성된 난수와 입력받은 라벨을 이용하여 키를 생성한다(S603).Next, the security device for intelligent distribution generates a key using the generated random number and the received label (S603).

다음으로, 배전 지능화용 보안 장치는 키 생성 암호화 서비스에 대한 결과 값을 주 장치 또는 배전 지능화용 단말 장치로 반환한다(S604).Next, the security device for intelligent distribution returns a result value for the key generation encryption service to the main device or the terminal device for intelligent distribution (S604).

도6(b)의 객체 주입 과정에서는, 주 장치 또는 배전 지능화용 단말 장치는 라벨과 객체 데이터를 포함하여 객체 주입 암호화 서비스를 요청한다(S611).In the object injection process of FIG. 6(b), the main device or the terminal device for intelligent distribution requests an object injection encryption service including a label and object data (S611).

다음으로, 배전 지능화용 보안 장치는 수신 받은 라벨과 객체 데이터를 이용하여 객체를 생성한다(S612).Next, the security device for intelligent distribution creates an object using the received label and object data (S612).

다음으로, 배전 지능화용 보안 장치는 객체 주입 암호화 서비스에 대한 결과 값을 주 장치 또는 배전 지능화용 단말 장치로 반환한다(S613).Next, the security device for intelligent distribution returns the result value for the object injection encryption service to the main device or the terminal device for intelligent distribution (S613).

도7(a)의 객체 조회 과정에서는, 주 장치 또는 배전 지능화용 단말 장치는 라벨 데이터를 포함하여 객체 조회 암호화 서비스를 요청한다(S701).In the object inquiry process of FIG. 7( a ), the main device or the terminal device for intelligent distribution requests an object inquiry encryption service including label data ( S701 ).

다음으로, 배전 지능화용 보안 장치는 수신 받은 라벨과 저장되어 있는 객체의 라벨을 비교하여 조회할 객체의 유무를 확인한다(S702).Next, the security device for intelligent distribution compares the received label with the label of the stored object to confirm whether there is an object to be inquired (S702).

다음으로, 배전 지능화용 보안 장치는 객체 조회 암호화 서비스에 대한 결과 값을 주 장치 또는 배전 지능화용 단말 장치로 반환한다(S703).Next, the security device for intelligent distribution returns a result value for the object inquiry encryption service to the main device or the terminal device for intelligent distribution (S703).

도7(b)의 객체 삭제 과정에서는, 주 장치 또는 배전 지능화용 단말 장치는 라벨 데이터를 포함하여 객체 삭제 암호화 서비스를 요청한다(S711).In the object deletion process of FIG. 7(b), the main device or the terminal device for intelligent distribution requests an object deletion encryption service including label data (S711).

다음으로, 배전 지능화용 보안 장치는 수신 받은 라벨과 저장되어 있는 객체의 라벨을 비교하여 조회할 객체에 유무 확인 후 객체가 존재하는 경우 객체를 삭제한다(S712).Next, the security device for intelligent distribution compares the received label with the label of the stored object, checks whether the object to be inquired exists, and deletes the object if the object exists (S712).

다음으로, 배전 지능화용 보안 장치는 객체 삭제 암호화 서비스에 대한 결과 값을 주 장치 또는 배전 지능화용 단말 장치로 반환한다(S713).Next, the security device for intelligent distribution returns the result value for the object deletion encryption service to the main device or the terminal device for intelligent distribution (S713).

다음으로, 배전 지능화용 보안 장치는 세션 값이 검증된 경우 암복호 서비스 요청 메시지에 따른 암복호 서비스를 수행하고, 암복호 서비스 수행 결과를 회신할 수 있다(S307~308). Next, when the session value is verified, the security device for intelligent distribution may perform encryption/decryption service according to the encryption/decryption service request message, and may return a result of performing encryption/decryption service (S307 to 308).

배전 지능화용 보안 장치는 암복호 서비스가 정상적으로 수행 되면 결과 값을 반환하고 암호 서비스 메시지 수신 대기 모드로 진입할 수 있다. 배전 지능화용 보안 장치는 암복호 서비스가 정상적으로 수행되지 않았을 경우 리턴 값을 반환 후, 암호 서비스 메시지 수신 대기 모드로 진입할 수 있다. 실시예에서, 암복호 서비스를 수행하는 단계는 KCMVP 인증을 거친 라이브러리 형태의 ARIA 암호 알고리즘을 적용하는 단계를 포함할 수 있다.When the encryption/decryption service is normally performed, the security device for intelligent distribution may return a result value and enter the encryption service message reception standby mode. When the encryption/decryption service is not normally performed, the security device for intelligent distribution may return a return value and enter the encryption service message reception standby mode. In an embodiment, performing the encryption/decryption service may include applying the ARIA encryption algorithm in the form of a library that has undergone KCMVP authentication.

도8은 실시예에 따른 암복호 서비스 과정을 설명하기 위한 도면이다. 도8을 참조하여 세션 값 검증 과정을 설명하기로 한다.8 is a diagram for explaining an encryption/decryption service process according to an embodiment. A session value verification process will be described with reference to FIG. 8 .

도8(a)의 암호화 과정에서는, 배전 지능화용 단말 장치가 라벨 데이터와 DNP 평문 데이터를 포함하여 데이터 암호화를 요청한다(S801).In the encryption process of FIG. 8(a), the terminal device for intelligent distribution requests data encryption including label data and DNP plaintext data (S801).

다음으로, 배전 지능화용 보안 장치는 라벨 데이터를 이용하여 키 객체를 조회한다(S802).Next, the security device for intelligent distribution inquires the key object using the label data (S802).

다음으로, 배전 지능화용 보안 장치는 조회한 키 객체와 DNP 평문 데이터를 이용하여 암호화 서비스를 수행한다(S803).Next, the security device for intelligent distribution performs an encryption service using the inquired key object and DNP plaintext data (S803).

다음으로, 배전 지능화용 보안 장치는 암호화 데이터를 주 장치 또는 배전 지능화용 단말 장치로 반환한다(S804). Next, the security device for intelligent distribution returns the encrypted data to the main device or the terminal device for intelligent distribution (S804).

도8(b)의 복호화 과정에서는, 주 장치가 라벨 데이터와 암호 데이터를 포함하여 데이터 복호화를 요청한다(S811).In the decryption process of FIG. 8(b), the main device requests data decryption including label data and encryption data (S811).

다음으로, 배전 지능화용 보안 장치는 라벨 데이터를 이용하여 키를 조회한다(S812).Next, the security device for intelligent distribution inquires the key using the label data (S812).

다음으로, 배전 지능화용 보안 장치는 조회한 키와 암호 데이터를 이용하여 복호화 서비스를 수행한다(S813).Next, the security device for intelligent distribution performs a decryption service using the inquired key and encryption data (S813).

다음으로, 배전 지능화용 보안 장치는 복호화 데이터를 주 장치 또는 배전 지능화용 단말 장치로 반환한다(S814). Next, the security device for intelligent distribution returns the decrypted data to the main device or the terminal device for intelligent distribution (S814).

또한, 배전 지능화용 보안 장치는 세션 키를 이용하여 주 장치 또는 단말 장치로부터 수신한 전자서명 요청 또는 전자서명 검증 요청을 처리할 수 있다(S309). 도3에서는 암복호 서비스 수행 결과값 반환 이후 전자서명 요청 또는 검증 요청을 처리하는 과정이 도시되어 있으나, 이와는 달리 사용자 인증 이후 각 단계의 중간에 전자서명 요청 또는 검증 요청을 처리하는 과정이 포함될 수 있다.In addition, the security device for intelligent distribution may process the digital signature request or the digital signature verification request received from the main device or the terminal device using the session key (S309). 3 illustrates a process of processing a digital signature request or verification request after returning the result of performing the encryption/decryption service, otherwise, a process of processing a digital signature request or verification request may be included in the middle of each step after user authentication. .

배전 지능화용 보안 장치는 조회한 키 객체와 평문 데이터를 이용하여 전자서명 서비스를 수행 후 서비스 요청에 포함된 전자서명 데이터와 비교할 수 있다. 다음으로, 배전 지능화용 보안 장치는 전자서명 검증 결과 값을 주 장치 또는 배전 지능화용 단말 장치로 반환할 수 있다.The security device for intelligent distribution can compare the digital signature data included in the service request after performing the digital signature service using the searched key object and plaintext data. Next, the security device for intelligent distribution may return the digital signature verification result value to the main device or the terminal device for intelligent distribution.

도9는 실시예에 따른 전자서명 및 전자서명 검증 과정을 설명하기 위한 도면이다.9 is a diagram for explaining a digital signature and a digital signature verification process according to an embodiment.

도9를 참조하며 전자서명 및 전자서명 검증 과정을 설명하기로 한다.Referring to FIG. 9, the digital signature and the digital signature verification process will be described.

도9(a)의 전자 서명 과정에서는, 주 장치 또는 배전 지능화용 단말 장치가 라벨 데이터와 DNP 평문 데이터를 포함하여 전자서명을 요청한다(S901).In the electronic signature process of FIG. 9(a), the main device or the terminal device for intelligent distribution requests an electronic signature including label data and DNP plaintext data (S901).

다음으로, 배전 지능화용 보안 장치는 라벨 데이터를 이용하여 키 객체를 조회한다(S902).Next, the security device for intelligent distribution inquires the key object using the label data (S902).

다음으로, 배전 지능화용 보안 장치는 조회한 키 객체와 평문 데이터를 이용하여 전자서명 서비스를 수행한다(S903).Next, the security device for intelligent distribution performs a digital signature service using the searched key object and plaintext data (S903).

다음으로, 배전 지능화용 보안 장치는 전자서명 데이터를 주 장치 또는 배전 지능화용 단말 장치로 반환한다(S904).Next, the security device for intelligent distribution returns the digital signature data to the main device or the terminal device for intelligent distribution (S904).

도9(b)의 전자 서명 검증 과정에서는, 주 장치 또는 배전 지능화용 단말 장치가 라벨 데이터와 평문데이터, 전자서명 데이터를 포함하여 전자서명검증을 요청한다(S911).In the digital signature verification process of FIG. 9(b), the main device or the terminal device for intelligent distribution requests digital signature verification including label data, plaintext data, and digital signature data (S911).

다음으로, 배전 지능화용 보안 장치는 라벨 데이터를 이용하여 키 객체를 조회한다(S912).Next, the security device for intelligent distribution inquires the key object using the label data (S912).

다음으로, 배전 지능화용 보안 장치는 조회한 키 객체와 평문 데이터를 이용하여 전자서명 서비스를 수행 후 서비스 요청에 포함된 전자서명 데이터와 비교한다(S913).Next, the security device for intelligent distribution performs the digital signature service using the inquired key object and plaintext data and compares it with the digital signature data included in the service request (S913).

다음으로, 배전 지능화용 보안 장치는 전자서명 검증 결과 값을 주 장치 또는 배전 지능화용 단말 장치로 반환한다(S914).Next, the security device for intelligent distribution returns the digital signature verification result value to the main device or the terminal device for intelligent distribution (S914).

도 10은 실시예에 따른 배전 지능화용 보안 장치의 동작을 설명하기 위한 도면이다. 도10을 참조하면, 배전 지능화용 보안 장치는 주 장치와 통신시 TLS프로토콜을 사용하여 암호화 통신을 수행할 수 있다. TLS 통신을 하기 위해서는 상호 핸드 쉐이킹(Handshaking) 과정을 거치는데 이 과정에서 CA인증서, 디바이스 인증서, 디바이스 키가 이용될 수 있다. TLS 통신을 위한 핸드 쉐이킹 과정은 보안 장치에서 취득된 인증서를 검증하여 세션 키를 생성 후 보안 장치에 저장하는 과정을 포함한다. 배전 지능화용 보안 장치는 저장된 세션키로 데이터 암복호화를 수행하여 데이터를 송수할 수 있다. 이때, 배전 지능화용 보안 장치는 KCMVP 인증을 거친 라이브러리 형태의 ARIA 암호 모듈을 사용할 수 있다. 배전 지능화용 보안 장치는 TLS 통신 종료 시 저장된 세션 키를 삭제할 수 있다.10 is a view for explaining the operation of the security device for intelligent distribution according to the embodiment. Referring to FIG. 10 , a security device for intelligent distribution may perform encrypted communication using a TLS protocol when communicating with a main device. In order to perform TLS communication, a mutual handshaking process is performed. In this process, a CA certificate, a device certificate, and a device key may be used. The handshaking process for TLS communication includes a process of generating a session key by verifying a certificate obtained from the security device and storing the session key in the security device. The security device for intelligent distribution may transmit and receive data by performing data encryption/decryption with the stored session key. In this case, the security device for intelligent distribution may use an ARIA encryption module in the form of a library that has undergone KCMVP authentication. The security device for intelligent distribution may delete the stored session key when TLS communication is terminated.

본 실시예에서 사용되는 '~부'라는 용어는 소프트웨어 또는 FPGA(field-programmable gate array) 또는 ASIC과 같은 하드웨어 구성요소를 의미하며, '~부'는 어떤 역할들을 수행한다. 그렇지만 '~부'는 소프트웨어 또는 하드웨어에 한정되는 의미는 아니다. '~부'는 어드레싱할 수 있는 저장 매체에 있도록 구성될 수도 있고 하나 또는 그 이상의 프로세서들을 재생시키도록 구성될 수도 있다. 따라서, 일 예로서 '~부'는 소프트웨어 구성요소들, 객체지향 소프트웨어 구성요소들, 클래스 구성요소들 및 태스크 구성요소들과 같은 구성요소들과, 프로세스들, 함수들, 속성들, 프로시저들, 서브루틴들, 프로그램 코드의 세그먼트들, 드라이버들, 펌웨어, 마이크로코드, 회로, 데이터, 데이터베이스, 데이터 구조들, 테이블들, 어레이들, 및 변수들을 포함한다. 구성요소들과 '~부'들 안에서 제공되는 기능은 더 작은 수의 구성요소들 및 '~부'들로 결합되거나 추가적인 구성요소들과 '~부'들로 더 분리될 수 있다. 뿐만 아니라, 구성요소들 및 '~부'들은 디바이스 또는 보안 멀티미디어카드 내의 하나 또는 그 이상의 CPU들을 재생시키도록 구현될 수도 있다.The term '~ unit' used in this embodiment means software or a hardware component such as a field-programmable gate array (FPGA) or ASIC, and '~ unit' performs certain roles. However, '-part' is not limited to software or hardware. The '~ unit' may be configured to reside on an addressable storage medium or may be configured to refresh one or more processors. Thus, as an example, '~' refers to components such as software components, object-oriented software components, class components, and task components, and processes, functions, properties, and procedures. , subroutines, segments of program code, drivers, firmware, microcode, circuitry, data, databases, data structures, tables, arrays, and variables. The functions provided in the components and '~ units' may be combined into a smaller number of components and '~ units' or further separated into additional components and '~ units'. In addition, components and '~ units' may be implemented to play one or more CPUs in a device or secure multimedia card.

상기에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다. Although the above has been described with reference to the preferred embodiments of the present invention, those skilled in the art can variously modify and change the present invention within the scope without departing from the spirit and scope of the present invention as set forth in the claims below. You will understand that it can be done.

1: 배전 지능화 시스템
10: 개폐기
20: 배전 지능화용 단말 장치
30: 주 장치
100: 배전 지능화용 보안 장치
110: 사용자 식별 모듈
120: 암복호 모듈
130: 통신 모듈
140: 보호 협조 라우터
150: 보호 협조 센더
160: 보호 협조 리시버1: Distribution intelligent system
10: switch
20: terminal device for intelligent distribution
30: main device
100: security device for intelligent distribution
110: user identification module
120: encryption/decryption module
130: communication module
140: protection cooperation router
150: protection cooperation sender
160: protection cooperation receiver

Claims (7)

배전 지능화용 단말장치에 설치되어 타 배전 지능화용 단말장치에서 송신되는 보호 협조 메시지를 구분하고 외부에서 수신되는 보호 협조 메시지를 전달하는 보호 협조 라우터;
외부의 보호 협조 메시지를 수신하는 보호 협조 리시버;
상기 보호 협조 라우터로부터 전달받은 보호 협조 메시지를 외부로 송신하는 보호 협조 센더; 및
CA인증서, 디바이스 인증서 및 세션 키의 저장 기능, 객체 주입 기능, 객체 조회 기능 및 삭제 기능을 제공하는 사용자 식별 모듈을 포함하며,
상기 사용자 식별 모듈은 주 장치 또는 상기 배전 지능화용 단말 장치로부터 라벨과 객체 데이터를 포함하는 객체 주입 암호화 서비스 요청 수신시, 수신 받은 라벨과 객체 데이터를 이용하여 객체를 생성하고, 객체 주입 암호화 서비스에 대한 결과 값을 상기 주 장치 또는 상기 배전 지능화용 단말 장치로 반환하며,
상기 사용자 식별 모듈은 상기 주 장치 또는 상기 배전 지능화용 단말 장치로부터 라벨 데이터를 포함하는 객체 조회 암호화 서비스 요청 수신시, 수신 받은 라벨과 저장되어 있는 객체의 라벨을 비교하여 조회할 객체의 유무를 확인하고, 객체 조회 암호화 서비스에 대한 결과 값을 상기 주 장치 또는 상기 배전 지능화용 단말 장치로 반환하며,
상기 사용자 식별 모듈은 상기 주 장치 또는 상기 배전 지능화용 단말 장치로부터 라벨 데이터를 포함하는 객체 삭제 암호화 서비스 요청 수신시, 수신 받은 라벨과 저장되어 있는 객체의 라벨을 비교하여 조회할 객체의 유무 확인 후 객체가 존재하는 경우 객체를 삭제하고, 객체 삭제 암호화 서비스에 대한 결과 값을 상기 주 장치 또는 상기 배전 지능화용 단말 장치로 반환하는 보호협조를 위한 배전 지능화용 보안 장치.a protection cooperation router installed in a terminal device for intelligent distribution to classify a protection cooperation message transmitted from another terminal device for intelligent distribution and forwarding a protection cooperation message received from the outside;
a protection cooperation receiver for receiving an external protection cooperation message;
a protection cooperation sender for transmitting the protection cooperation message received from the protection cooperation router to the outside; and
It includes a user identification module that provides a CA certificate, device certificate and session key storage function, object injection function, object inquiry function, and deletion function,
The user identification module generates an object by using the received label and object data when receiving an object injection encryption service request including a label and object data from the main device or the distribution intelligent terminal device, and for the object injection encryption service returns a result value to the main device or the intelligent distribution terminal device,
When receiving an object inquiry encryption service request including label data from the main device or the intelligent distribution terminal device, the user identification module compares the received label with the label of a stored object to check whether there is an object to be queried and , returning the result value for the object inquiry encryption service to the main device or the intelligent distribution terminal device,
When receiving an object deletion encryption service request including label data from the main device or the intelligent distribution terminal device, the user identification module compares the received label with the label of a stored object to determine whether there is an object to be queried. A security device for intelligent distribution for protection coordination that deletes an object when it exists and returns a result value for the object deletion encryption service to the main device or the intelligent distribution terminal device. 제1항에 있어서,
상기 보호협조 센더는 DTLS통신을 이용하여 타 배전 지능화용 단말장치로 보호 협조 메시지를 전송하는 보호협조를 위한 배전 지능화용 보안 장치.According to claim 1,
The protection cooperation sender is a security device for intelligent distribution for protection coordination that transmits a protection cooperation message to another terminal device for intelligent distribution using DTLS communication. 제2항에 있어서,
상기 보호 협조 센더는 상기 보호 협조 라우터로부터 보호 협조 메시지를 전달받는 UDP 서버 및 보호 협조 메시지를 타 배전 지능화용 단말장치로 전송하는 DTLS 클라이언트를 포함하는 보호협조를 위한 배전 지능화용 보안 장치.3. The method of claim 2,
The protection cooperation sender includes a UDP server receiving the protection cooperation message from the protection cooperation router and a DTLS client for transmitting the protection cooperation message to another intelligent distribution terminal device. 제1항에 있어서,
상기 보호 협조 리시버는 DTLS통신을 이용하여 타 배전 지능화용 단말장치로부터 보호 협조 메시지를 전송받는 보호협조를 위한 배전 지능화용 보안 장치.According to claim 1,
The protection cooperation receiver is a security device for intelligent distribution for protection cooperation that receives a protection cooperation message from another terminal device for intelligent distribution using DTLS communication. 제4항에 있어서,
상기 보호 협조 리시버는 타 배전 지능화용 단말장치로부터 보호 협조 메시지를 전달받는 DTLS 서버 및 보호 협조 메시지를 상기 보호 협조 라우터로 전달하는 UDP 클라이언트를 포함하는 보호협조를 위한 배전 지능화용 보안 장치.5. The method of claim 4,
The protection cooperation receiver includes a DTLS server receiving a protection cooperation message from another terminal device for intelligent distribution and a UDP client transmitting the protection cooperation message to the protection cooperation router. 제1항에 있어서,
상기 보호 협조 라우터는 시리얼 통신 및 UDP 통신 연결을 초기화하여 연결을 수행하는 시리얼 라우터; 상기 보호 협조 센더와 UDP 통신을 수행하여 보호 협조 메시지를 상기 보호 협조 센더로 전달하는 보호협조 S-라우터 및 상기 보호 협조 리시버와 UDP 통신을 수행하여 보호 협조 메시지를 배전 지능화용 단말 장치로 전달하는 보호협조 R-라우터를 포함하는 보호협조를 위한 배전 지능화용 보안 장치.According to claim 1,
The protection cooperation router may include: a serial router configured to initialize and connect serial communication and UDP communication; Protection that performs UDP communication with the protection cooperation sender and transmits the protection cooperation message to the protection cooperation sender and performs UDP communication with the protection cooperation S-router and the protection cooperation receiver to deliver the protection cooperation message to the terminal device for intelligent distribution Security device for intelligent distribution for protection coordination including cooperative R-router. CA(Certificate Authority) 인증서, 디바이스 인증서 및 세션 키의 저장 기능, 객체 주입 기능, 객체 조회 기능 및 삭제 기능을 제공하는 사용자 식별 모듈;
배전 지능화용 단말 장치에서 수신된 DNP(Distributed Network Protocol) 데이터를 암호화 하고, 주장치로부터 수신한 암호문 데이터를 평문 DNP데이터로 복호화하는 암복호 모듈;
상기 CA인증서, 디바이스 인증서 및 세션 키를 이용하여 상기 주장치와 TLS(Transport Layer Security) 프로토콜에 따라 데이터 통신을 수행하며, 상기 암복호 모듈에서 암호화 된 데이터를 상기 주장치로 전송하고 상기 주장치로부터 수신한 암호문 데이터를 수신하는 통신모듈;
배전 지능화용 단말장치에 설치되어 타 배전 지능화용 단말장치에서 송신되는 보호 협조 메시지를 구분하고 외부에서 수신되는 보호 협조 메시지를 전달하는 보호 협조 라우터;
외부의 보호 협조 메시지를 수신하는 보호 협조 리시버; 및
상기 보호 협조 라우터로부터 전달받은 보호 협조 메시지를 외부로 송신하는 보호 협조 센더를 포함하며,
상기 사용자 식별 모듈은 주 장치 또는 상기 배전 지능화용 단말 장치로부터 라벨과 객체 데이터를 포함하는 객체 주입 암호화 서비스 요청 수신시, 수신 받은 라벨과 객체 데이터를 이용하여 객체를 생성하고, 객체 주입 암호화 서비스에 대한 결과 값을 상기 주 장치 또는 상기 배전 지능화용 단말 장치로 반환하며,
상기 사용자 식별 모듈은 상기 주 장치 또는 상기 배전 지능화용 단말 장치로부터 라벨 데이터를 포함하는 객체 조회 암호화 서비스 요청 수신시, 수신 받은 라벨과 저장되어 있는 객체의 라벨을 비교하여 조회할 객체의 유무를 확인하고, 객체 조회 암호화 서비스에 대한 결과 값을 상기 주 장치 또는 상기 배전 지능화용 단말 장치로 반환하며,
상기 사용자 식별 모듈은 상기 주 장치 또는 상기 배전 지능화용 단말 장치로부터 라벨 데이터를 포함하는 객체 삭제 암호화 서비스 요청 수신시, 수신 받은 라벨과 저장되어 있는 객체의 라벨을 비교하여 조회할 객체의 유무 확인 후 객체가 존재하는 경우 객체를 삭제하고, 객체 삭제 암호화 서비스에 대한 결과 값을 상기 주 장치 또는 상기 배전 지능화용 단말 장치로 반환하는 보호협조를 위한 배전 지능화용 보안 장치.a user identification module providing a CA (Certificate Authority) certificate, a device certificate and a session key storage function, an object injection function, an object inquiry function, and a deletion function;
an encryption/decryption module for encrypting DNP (Distributed Network Protocol) data received from the terminal device for intelligent distribution and decrypting the ciphertext data received from the main device into plaintext DNP data;
The CA certificate, the device certificate, and the session key are used to perform data communication with the primary device according to the TLS (Transport Layer Security) protocol, and the encrypted data from the encryption/decryption module is transmitted to the primary device and the cipher text received from the primary device. a communication module for receiving data;
a protection cooperation router installed in a terminal device for intelligent distribution to classify a protection cooperation message transmitted from another terminal device for intelligent distribution and forwarding a protection cooperation message received from the outside;
a protection cooperation receiver for receiving an external protection cooperation message; and
and a protection cooperation sender for transmitting the protection cooperation message received from the protection cooperation router to the outside;
The user identification module generates an object by using the received label and object data when receiving an object injection encryption service request including a label and object data from the main device or the distribution intelligent terminal device, and for the object injection encryption service returns a result value to the main device or the intelligent distribution terminal device,
When receiving an object inquiry encryption service request including label data from the main device or the intelligent distribution terminal device, the user identification module compares the received label with the label of the stored object to determine whether there is an object to be queried and , returning the result value for the object inquiry encryption service to the main device or the intelligent distribution terminal device,
When receiving an object deletion encryption service request including label data from the main device or the intelligent distribution terminal device, the user identification module compares the received label with the label of the stored object to determine whether there is an object to be queried. A security device for intelligent distribution for protection coordination that deletes an object when it exists and returns a result value for the object deletion encryption service to the main device or the intelligent distribution terminal device.
KR1020190173749A 2019-12-24 2019-12-24 Power distribution security device for protection coordination KR102263391B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190173749A KR102263391B1 (en) 2019-12-24 2019-12-24 Power distribution security device for protection coordination

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190173749A KR102263391B1 (en) 2019-12-24 2019-12-24 Power distribution security device for protection coordination

Publications (1)

Publication Number Publication Date
KR102263391B1 true KR102263391B1 (en) 2021-06-10

Family

ID=76377866

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190173749A KR102263391B1 (en) 2019-12-24 2019-12-24 Power distribution security device for protection coordination

Country Status (1)

Country Link
KR (1) KR102263391B1 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20130022760A (en) * 2011-08-26 2013-03-07 한국전력공사 System and method for managing a distribution system
KR20170102076A (en) * 2014-06-24 2017-09-06 구글 인코포레이티드 Mesh network commissioning
KR20190084171A (en) * 2017-12-22 2019-07-16 단국대학교 산학협력단 Dtls based end-to-end security method for internet of things device

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20130022760A (en) * 2011-08-26 2013-03-07 한국전력공사 System and method for managing a distribution system
KR20170102076A (en) * 2014-06-24 2017-09-06 구글 인코포레이티드 Mesh network commissioning
KR20190084171A (en) * 2017-12-22 2019-07-16 단국대학교 산학협력단 Dtls based end-to-end security method for internet of things device

Similar Documents

Publication Publication Date Title
US11722296B2 (en) Device securing communications using two post-quantum cryptography key encapsulation mechanisms
JP5815294B2 (en) Secure field programmable gate array (FPGA) architecture
US10652738B2 (en) Authentication module
US8295489B2 (en) Method for sharing a link key in a ZigBee network and a communication system therefor
US8913747B2 (en) Secure configuration of a wireless sensor network
US20110219438A1 (en) Methods and apparatus for security over fibre channel
EP3476078B1 (en) Systems and methods for authenticating communications using a single message exchange and symmetric key
CA2662166A1 (en) Method and system for establishing real-time authenticated and secured communications channels in a public network
CN104023013A (en) Data transmission method, server side and client
CN103036872B (en) The encryption and decryption method of transfer of data, equipment and system
CN103763356A (en) Establishment method, device and system for connection of secure sockets layers
KR101608815B1 (en) Method and system for providing service encryption in closed type network
US20220209944A1 (en) Secure Server Digital Signature Generation For Post-Quantum Cryptography Key Encapsulations
US20230032099A1 (en) Physical unclonable function based mutual authentication and key exchange
KR102384677B1 (en) Power distribution security device
US20090055645A1 (en) Method and apparatus for checking round trip time based on challenge response, and computer readable medium having recorded thereon program for the method
CN114707160A (en) Quantum key-based VPN (virtual private network) key management system, method and equipment and computer readable medium
US20070177725A1 (en) System and method for transmitting and receiving secret information, and wireless local communication device using the same
KR102263391B1 (en) Power distribution security device for protection coordination
KR101880999B1 (en) End to end data encrypting system in internet of things network and method of encrypting data using the same
KR102442280B1 (en) Security services providing method for distribution intelligence system
KR102384678B1 (en) Cryptographic entity management device for power distribution security device
KR20160146090A (en) Communication method and apparatus in smart-home system
Toğay et al. Secure gateway for the internet of things
KR20190115489A (en) IOT equipment certification system utilizing security technology

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant