KR20120074040A - Security system and its operating method for supervisory control and data acquisition system - Google Patents

Security system and its operating method for supervisory control and data acquisition system Download PDF

Info

Publication number
KR20120074040A
KR20120074040A KR1020100135984A KR20100135984A KR20120074040A KR 20120074040 A KR20120074040 A KR 20120074040A KR 1020100135984 A KR1020100135984 A KR 1020100135984A KR 20100135984 A KR20100135984 A KR 20100135984A KR 20120074040 A KR20120074040 A KR 20120074040A
Authority
KR
South Korea
Prior art keywords
security
scada
key
intrusion
network
Prior art date
Application number
KR1020100135984A
Other languages
Korean (ko)
Inventor
강동주
이종주
김석주
Original Assignee
한국전기연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전기연구원 filed Critical 한국전기연구원
Priority to KR1020100135984A priority Critical patent/KR20120074040A/en
Publication of KR20120074040A publication Critical patent/KR20120074040A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/068Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Abstract

PURPOSE: A security system for an SCADA(Supervisory Control and Data Acquisition) system and operation method thereof are provided to embody safe and high reliable communication by encrypting and decrypting control and measurement information transmitted to a network of the SCADA system and received from the network of the SCADA system. CONSTITUTION: An SCADA server(20) is arranged at the center of a network constituted at a power system. The SCADA server monitors the operation control and state of a lower node. A security apparatus(50) respectively contacts to the SCADA server and the lower node. The security apparatus detects invasion in the network. The security apparatus encrypts data by changing the security key of the transmitted and received data according to detecting results.

Description

SCADA 시스템을 위한 보안 시스템 및 그의 동작 방법{Security system and its operating method for Supervisory Control and Data Acquisition system}Security system and its operating method for SCADA system {Security system and its operating method for Supervisory Control and Data Acquisition system}

본 발명은 SCADA 시스템을 위한 보안 시스템 및 그의 동작방법에 관한 것으로, 보다 상세하게는 감시제어 및 데이터취득(SCADA: Supervisory Control and Data Acquisition, 이하에서는 SCADA로 명시함) 네트워크의 엔드-투-엔드(end-to-end) 통신에서 발생할 수 있는 외부 공격에 대비해 보안성을 향상시킬 수 있는 SCADA 시스템을 위한 보안 시스템 및 그의 동작방법에 관한 것이다.The present invention relates to a security system for a SCADA system and a method of operation thereof, and more particularly, to an end-to-end network of a supervisory control and data acquisition (SCADA) network (hereinafter referred to as SCADA). The present invention relates to a security system for a SCADA system that can improve security against an external attack that may occur in end-to-end communication, and a method of operating the same.

일반적으로 SCADA 시스템은 통신 경로상의 아날로그 또는 디지털 신호를 사용하여 원격장치의 상태정보 데이터를 원격장치(Remote Terminal Unit, RTU)로 수집, 수신, 기록, 표시하여 중앙제어 시스템이 원격장치를 감시제어하는 시스템을 말한다. In general, SCADA system collects, receives, records, and displays status information data of a remote device to a remote terminal unit (RTU) using analog or digital signals on a communication path. Say the system.

이러한 SCADA 시스템을 통해 원격지 상황, 원격지 상의 기기를 실시간으로 중앙 운영자가 감시 및 제어할 수 있으므로, SCADA 시스템은 자동제어, 감시 및 정보 처리 기능을 보유하며 넓은 분야에 걸쳐 폭넓게 사용되고 있는데, 특히 발전/송배전시설, 석유화학플랜트, 제철공정시설, 공장자동화시설, 철도 관리 및 제어, 수자원 관리, 홍수경보 관리 등 여러 종류의 원격지 시설장치를 중앙 집중식으로 감시 제어하는 데 적용되고 있다.The SCADA system can monitor and control the remote situation and the equipment on the remote site in real time. SCADA system has automatic control, monitoring and information processing functions and is widely used in a wide range of fields. It is applied to the centralized monitoring and control of various types of remote facilities such as facilities, petrochemical plants, steel processing facilities, factory automation facilities, railway management and control, water resource management, and flood alarm management.

그러나 우리나라는 외국과 달리 공용 인터넷망과 분리된 전용망 체제의 SCADA 시스템을 운용하고 있기 때문에 보안에 대한 인식이 아직 미약한 상태이다.However, unlike other countries, Korea is operating a SCADA system of a private network system separate from the public internet network, so security awareness is still weak.

외국의 경우 일반적인 차원에서 SCADA용 프로토콜에 대한 암호화 알고리듬이나 암호화 키 기술에 대한 연구는 있어 왔지만, 배전망과 같이 국부적인 시스템의 적용에 머물고 있는데, 이는 외국의 경우 다양한 성격의 네트워크(유선망, 무선망 등)가 혼재되어 있어 전체적인 키 관리의 적용이 어려운 측면이 있기 때문이다.In foreign countries, there have been studies on encryption algorithms and encryption key technologies for SCADA protocols in general, but they remain in the application of local systems such as distribution networks. Etc.) is mixed, which makes it difficult to apply overall key management.

우리나라는 SCADA 시스템의 보안에 대한 인식이 부족한 상태이므로 인터넷 공용망을 대상으로 하는 일반적인 보안 알고리듬과 키관리 기법에 대한 연구는 활발히 진행 중이나 SCADA 시스템에 대한 암호화 및 키관리 알고리듬에 대한 구체적인 연구 역시 미비한 수준이다.Since Korea is not aware of the security of SCADA system, research on general security algorithm and key management technique for internet public network is actively underway, but detailed study on encryption and key management algorithm for SCADA system is also insufficient. to be.

한편, 암호화 방식에는 대칭키(비밀키) 방식과 비대칭키(공개키) 방식이 있다.On the other hand, the encryption method includes a symmetric key (secret key) method and an asymmetric key (public key) method.

도 1 은 일반적인 대칭키 방식과 비 대칭키 방식의 원리가 도시된 도이다.1 is a diagram illustrating the principle of a general symmetric key method and an asymmetric key method.

도 1을 참조하면, 대칭키 방식은 2개의 동일한 키를 양 통신단이 비밀리에 공유하면서 같은 키로 암호화와 복호화 작업을 수행하는데, 비밀리에 공유된다는 전제 하에 상대적으로 낮은 크기의 키가 공유되므로 처리속도는 빠르나 암호화 강도는 상대적으로 약한 측면이 있다.Referring to FIG. 1, in the symmetric key method, two communication terminals share two identical keys secretly and perform encryption and decryption operations with the same key. Although fast, encryption strength is relatively weak.

비 대칭키 방식은 통신채널을 통해 전달되는 공개키로 암호화를 하고, 복호화 시에 수신단에서 가진 비밀키로 복호화를 하는데, 이러한 공개키의 대표적인 예가 인터넷 뱅킹으로 암호화 강도가 강해 보안성이 증대하는 대신 상대적으로 키의 용량이 증가하기 때문에 처리속도가 지연되며 그에 따른 통신 지연을 초래할 수 있다.
The asymmetric key method encrypts with a public key transmitted through a communication channel and decrypts it with a secret key held by a receiver at the time of decryption. A typical example of such a public key is Internet banking, which has a strong encryption strength, thereby increasing security. As the capacity of the key increases, the processing speed is delayed, which may result in communication delay.

본 발명은 상기와 같은 문제점을 보완하기 위해 제안된 것으로 현재 SCADA 네트워크의 end-to-end 통신에서 적용하고 있는 대칭키 방식의 암호화 과정에서, 외부 침입에 대비하여 보안성을 강화할 수 있는 SCADA 시스템을 위한 보안 시스템 및 그의 동작방법을 제공하는 데 그 목적이 있다.The present invention has been proposed to solve the above problems, SCADA system that can enhance the security against external intrusion in the symmetric key encryption process currently applied in the end-to-end communication of the SCADA network It is an object of the present invention to provide a security system and a method of operation thereof.

상기한 목적을 달성하기 위한 본 발명의 일실시예에 따른 SCADA 시스템을 위한 보안 시스템은, 전력 계통에 구축된 네트워크에서 중앙에 위치하여 하위 노드의 동작을 제어하고 상태를 모니터링하는 SCADA 서버; 및 상기 SCADA 서버 및 하위 노드의 각 단에 연결되어 네트워크에서의 침입 여부를 탐지하고, 탐지 결과에 따라 송수신되는 데이터의 보안 키를 교체하여 암호화하는 보안장치를 포함한다.Security system for a SCADA system according to an embodiment of the present invention for achieving the above object, SCADA server located in the central network in the power grid to control the operation of the lower node and monitor the status; And a security device connected to each stage of the SCADA server and the lower node to detect whether an intrusion is detected in the network, and encrypt and replace a security key of data transmitted and received according to the detection result.

상기 보안장치는, 상기 SCADA서버와 연결된 경우 상기 침입 탐지 모듈에서의 탐지 결과에 따라 새로운 보안 키를 생성하고 상기 하위 노드에 연결된 보안장치로 생성된 새로운 보안 키를 배분하는 키 관리 모듈을 포함한다.The security device includes a key management module for generating a new security key according to the detection result of the intrusion detection module and distributing the new security key generated to the security device connected to the lower node when connected to the SCADA server.

이때, 상기 키 관리 모듈은 상기 보안 키를 설정 주기에 따라 갱신하고, 탐지 결과에 따라 새로운 보안 키로 교체되면 교체된 시점에서 다시 상기 설정 주기에 따라 보안 키를 갱신할 수 있다.In this case, the key management module may update the security key according to a setting cycle, and if the security key is replaced with a new security key according to a detection result, the key management module may update the security key again according to the setup cycle.

또한, 본 발명의 또 다른 실시예에 따른 SCADA 시스템을 위한 보안 방법은, 대칭키 방식으로 송수신되는 데이터를 암호화 및 복호화하는 SCADA 시스템을 위한 보안 방법에 있어서, SCADA 네트워크에서 송수신되는 데이터를 분석하여 침입 여부를 탐지하는 제 1 단계; 및 상기 제 1 단계에서 침입이 있는 것으로 탐지되면, 암호화 및 복호화를 위한 보안 키를 교체하여 각 노드에 배분하는 제 2 단계를 포함한다.In addition, the security method for the SCADA system according to another embodiment of the present invention, in the security method for the SCADA system for encrypting and decrypting data transmitted and received in a symmetric key method, intrusion by analyzing the data transmitted and received in the SCADA network Detecting a first step; And a second step of distributing security keys for encryption and decryption and distributing them to each node if it is detected that there is an intrusion in the first step.

상기 3 단계는 제 2 단계 후, 교체 시점을 기준으로 설정된 주기에 따라 보안 키를 갱신 및 배분할 수 있으며, 침입이 탐지된 횟수를 계산하여 계산된 횟수가 기 설정된 기준 횟수 이상인 경우, 보안 키 갱신 주기를 단축하여 배분할 수 있다.
In the third step, after the second step, the security key may be updated and distributed according to a period set based on the replacement point. When the number of times of intrusion is detected and calculated is more than a predetermined reference number, the security key update period Can be shortened and distributed.

상기와 같이 구성 및 동작하는 본 발명의 일실시예에 따른 SCADA 시스템을 위한 보안 시스템 및 그의 동작방법은, SCADA 시스템의 네트워크에서 송수신되는 제어/계측 정보에 대해 암호화/복호화하여 안정적이고 신뢰성 높은 통신을 구현할 수 있는 효과가 있다.Security system for the SCADA system and its operation method according to an embodiment of the present invention configured and operated as described above, the stable and reliable communication by encrypting / decrypting the control / measurement information transmitted and received in the network of the SCADA system There is an effect that can be implemented.

또한, 네트워크 침입 탐지에 따라 보안 키 교체 주기를 유연하게 조정하여 대칭키 알고리즘으로 암호화함에 따라 대칭키 방식에서의 네트워크 보안성을 크게 강화하면서도 보안 키 교체로 인한 트래픽 부담을 최소화 할 수 있는 장점이 있다.In addition, the security key replacement cycle can be flexibly adjusted according to the network intrusion detection to encrypt the symmetric key algorithm, which greatly enhances network security in the symmetric key method and minimizes the traffic burden due to the security key replacement. .

그리고 국부적인 시스템 침입이나 보안 위협 요인을 감지한 경우 전체 시스템으로의 확산을 사전에 차단하여 신뢰성 높은 계통 운용이 이루어질 수 있도록 한다.
And when local system intrusion or security threat is detected, it proactively blocks the spread to the whole system to ensure reliable system operation.

도 1 은 일반적인 대칭키 방식과 비 대칭키 방식의 원리가 도시된 도,
도 2 는 본 발명의 바람직한 실시예에 따른 SCADA 시스템의 구성이 도시된 구성도,
도 3 은 본 발명에 따른 SCADA시스템을 위한 보안 시스템의 동작 원리가 도시된 도,
도 4 는 본 발명의 실시예에 따른 보안장치가 도시된 예시도,
도 5 는 도 4에 따른 보안장치의 구성이 도시된 블록도, 및
도 6 은 본 발명의 일실시예에 따른 SCADA 시스템을 위한 보안 방법의 흐름이 도시된 순서도이다.1 is a view showing the principle of the general symmetric key method and asymmetric key method,
2 is a block diagram showing the configuration of the SCADA system according to an embodiment of the present invention,
3 is a view showing the operating principle of the security system for the SCADA system according to the present invention;
4 is an exemplary view showing a security device according to an embodiment of the present invention;
5 is a block diagram showing the configuration of the security device according to FIG. 4, and
6 is a flow chart illustrating a flow of a security method for a SCADA system according to an embodiment of the present invention.

이하, 첨부된 도면을 참조로 하여 본 발명에 따른 실시예를 설명한다.
Hereinafter, exemplary embodiments of the present invention will be described with reference to the accompanying drawings.

도 2 는 본 발명의 바람직한 실시예에 따른 SCADA 시스템의 구성이 도시된 구성도이다.2 is a block diagram showing the configuration of a SCADA system according to a preferred embodiment of the present invention.

본 발명의 바람직한 실시예에 따른 SCADA 시스템은, 도 2에 도시된 바와 같이 최상단에 위치한 SCADA 서버(20)를 정점으로 개별 지역급전소(RCC: Regional Control Center) 및 지역급전분소(SCC: Sub-regional Control Center)에 설치되는 MTU(master terminal unit) 및 MTU의 하위 노드로서 여러 변전소에 설치되는 RTU(10)를 포함하는 계층적 구조를 갖는다.SCADA system according to a preferred embodiment of the present invention, as shown in Figure 2, the top of the SCADA server 20 located at the top of the individual regional control center (RCC: Regional Control Center) and sub-regional distribution center (SCC: Sub-regional) It has a hierarchical structure including a master terminal unit (MTU) installed in a control center and an RTU 10 installed in various substations as sub-nodes of the MTU.

RTU(remote terminal unit)(10)는 연결된 계통 장치로부터 전력 상태 정보를 계측하고 계측된 정보를 MTU로 전송하는데, 계측된 정보는 RTU와 연동되는 본 발명의 보안 장치(50)를 통해 암호화되어 MTU로 전송된다.The remote terminal unit (RTU) 10 measures the power state information from the connected grid device and transmits the measured information to the MTU. The measured information is encrypted through the security device 50 of the present invention which is linked with the RTU, and the MTU. Is sent to.

MTU는 MTU와 연결된 별도의 보안 장치(50)를 통해 RTU(10)로부터 전송된 정보를 복호화하고, 적어도 하나 이상의 RTU(10)에서 계측된 전력 상태 정보를 취합한 후 상기 보안 장치(50)를 통해 암호화하여 SCADA 서버(20)로 전송한다. 이하에서는 RTU-SCADA 서(20)버 간 데이터 송수신에 있어서 보안 관리방법을 예로 하여 설명하나, 이는 SCADA 네트워크에 있어서, SCADA 서버(20)가 최상위 노드, RTU(10)가 최하위 노드로 구성되기 때문에 설명의 편의를 위한 것으로, SCADA 서버-MTU, MTU-RTU 간 데이터 송수신 과정에서도 적용될 수 있음은 물론이다.The MTU decrypts the information transmitted from the RTU 10 through a separate security device 50 connected to the MTU, collects the power state information measured by the at least one RTU 10, and then collects the security device 50. Encrypted through the SCADA server 20 to be transmitted. Hereinafter, a security management method for transmitting and receiving data between RTU-SCADA servers 20 will be described as an example. However, in the SCADA network, since the SCADA server 20 is configured as the top node and the RTU 10 is configured as the lowest node, For convenience of description, it can be applied to the process of data transmission and reception between the SCADA server-MTU, MTU-RTU.

SCADA 서버(20)는 RTU(10) 또는 MTU와 마찬가지로, SCADA 서버(20)와 연동되는 보안 장치(50)를 통해 MTU로부터 수신되는 전력 상태 정보를 복호화하고, 이를 판독하여 각 MTU 및 RTU(10)의 상태를 감시하고 동작 제어 명령을 내릴 수 있다.Like the RTU 10 or the MTU, the SCADA server 20 decrypts the power state information received from the MTU through the security device 50 interworking with the SCADA server 20, reads the MTU and the RTU 10. ) Status can be monitored and motion control commands can be issued.

RTU(10), MTU 및 SCADA 서버(20)는 SCADA 통신 포트를 통해 데이터가 송수신되는데 상기 통신 포트는 RS-232, RS-485 또는 IP포트를 포함할 수 있으나 한정되는 것은 아니며, 각 보안장치 간에는 보안용 통신 포트를 통해 연결될 수 있다.
The RTU 10, the MTU, and the SCADA server 20 transmit and receive data through a SCADA communication port. The communication port may include, but is not limited to, an RS-232, RS-485, or IP port. Connection can be made via a secure communication port.

한편, 본 발명에 따른 SCADA 시스템에서의 보안 시스템은 네트워크의 침입 탐지 기능과 암호화 기능이 서로 연동되어 종래 대칭키 방식에 비해 보안성이 크게 강화될 수 있다.On the other hand, the security system in the SCADA system according to the present invention can be significantly enhanced security compared to the conventional symmetric key method by interlocking the network intrusion detection function and the encryption function.

도 3 은 본 발명에 따른 SCADA 시스템을 위한 보안 시스템의 동작 원리가 도시된 도이다.3 is a view showing the operating principle of the security system for the SCADA system according to the present invention.

본 발명에 따른 SCADA 시스템을 위한 보안 시스템은 RTU 또는 SCADA 서버로부터 송신되는 데이터가 보안 통신 포트를 통해 보안 장치로 입력되면 입력된 데이터를 설정된 보안 키에 따라 암호화하여 목적지 장치로 전송한다. 상기 데이터는 대칭 키 방식으로 암호화되는데, 비 대칭키 방식에 비해 상대적으로 보안성이 떨어지는 대칭키 방식의 보안성을 강화하기 위하여 상기 보안 키를 일정 주기에 따라 교체한다.The security system for the SCADA system according to the present invention, if the data transmitted from the RTU or SCADA server is input to the security device through the secure communication port, the input data is encrypted according to the set security key and transmitted to the destination device. The data is encrypted using a symmetric key method. The security key is replaced at regular intervals in order to enhance the security of the symmetric key method, which is relatively less secure than the asymmetric key method.

특히, 도 3에 도시된 바와 같이 보안 키를 교체한 후 다음 주기까지의 시간 동안 네트워크로의 침입이 탐지되면 교체 주기 내에 있더라도 보안 키를 갱신하여 새로운 보안키를 통한 암호화를 수행하게 된다.In particular, when intrusion into the network is detected for a time until the next period after replacing the security key as shown in FIG. 3, the security key is updated to perform encryption using the new security key even if it is within the replacement period.

네트워크로의 침입 탐지 기능은 전통적인 방화벽이 탐지할 수 없는 여러 종류의 악의적인 네트워크 트래픽 및 컴퓨터 사용을 탐지하기 위해 구비된 것으로 취약한 서비스에 대한 네트워크 공격과 어플리케이션에서의 데이터 처리 공격(data driven attack) 그리고 권한 상승(privilege escalation) 및 침입자 로그인 / 침입자에 의한 주요 파일 접근 / 멀웜(컴퓨터 바이러스, 트로이 목마, 웜)과 같은 호스트 기반 공격 등을 탐지한다. Intrusion detection into the network is designed to detect various types of malicious network traffic and computer usage that traditional firewalls cannot detect. Network attacks on vulnerable services, data driven attacks on applications, and Detects privilege escalation and intruder logins / key file access by intruders / host-based attacks such as malware (computer viruses, Trojans, worms).

구체적으로는 도 3에 도시된 바와 같이 수신된 데이터를 패턴 분석하고 데이터베이스에 저장된 여러 공격 패턴 정보와 비교하여 일치하는 패턴이 존재하거나 기존과 다른 패턴의 데이터가 입력되면 침입이 발생한 것으로 판단할 수 있으나, 침입 탐지를 위한 구체적인 기법은 상술한 바와 같이 당업자에 의해 용이하게 변용될 수 있음은 물론이다.Specifically, as shown in FIG. 3, the received data may be analyzed by a pattern analysis and compared with various attack pattern information stored in a database, and it may be determined that an invasion occurs when a matching pattern exists or data of a different pattern is input. As a matter of course, specific techniques for intrusion detection may be easily modified by those skilled in the art as described above.

즉, 종래 키 관리 기능은 대칭키 암호의 보안성을 강화하기 위해 주기적으로 키를 교체해 줄 뿐이나, 본 발명에 따른 SCADA시스템을 위한 보안 시스템은 도 3에 도시된 바와 같이, 그러한 주기적인 교체 이외에도 침입탐지시스템을 통해 비정상적인 통신 패턴이 감지되면 교체 주기 내에 있더라도 키를 갱신해줄 수 있도록 한다. 이에 따라 주기 내에서 발생할 수 있는 침입의 가능성을 최소화할 수 있으며, 너무 빈번한 키 교환주기를 설정하여 통신 트래픽을 증가시키고 이에 따라 통신의 효율성 및 신뢰도를 저하시키는 위험을 방지할 수 있다.
That is, the conventional key management function only replaces the key periodically to enhance the security of the symmetric key cryptography, the security system for the SCADA system according to the present invention, as shown in Figure 3, in addition to such periodic replacement If an intrusion detection system detects an abnormal communication pattern, the key can be updated even if it is within the replacement cycle. As a result, the possibility of intrusion that may occur within a period can be minimized, and too frequent key exchange periods can be set to increase communication traffic, thereby preventing the risk of deteriorating communication efficiency and reliability.

도 4 는 본 발명의 실시예에 따른 보안장치가 도시된 예시도로서, 도 4(a)는 보안장치에 암호화 기능 및 침입탐지 기능이 함께 구현된 경우가 도시된 예시도이며, 도 4(b)는 침입탐지 기능은 SCADA 서버에 내장되고, 보안장치에는 암호화 기능이 구현되어 침입탐지 기능과 암호화 기능이 연동하는 경우가 도시된 예시도이다.Figure 4 is an exemplary view showing a security device according to an embodiment of the present invention, Figure 4 (a) is an exemplary view showing a case where the encryption function and the intrusion detection function is implemented in the security device, Figure 4 (b ) Is an example in which the intrusion detection function is embedded in the SCADA server, and the encryption device is implemented in the security device so that the intrusion detection function and the encryption function interwork.

본 발명의 실시예에 따른 보안장치는 상기 SCADA 서버, MTU 및 RTU의 각 단에 연결되어 네트워크로 송신되는 데이터를 암호화하고, 수신되는 데이터를 복호화하여 해당 장치에서 복호화된 데이터를 판독할 수 있도록 한다. 특히 상기 보안장치는 네트워크에서의 침입 여부를 탐지할 수 있으며, 보안장치가 연동하고 있는 장치 종류에 따라 송수신되는 데이터의 보안 키를 교체하여 타 보안장치로 분배할 수 있다.The security device according to an embodiment of the present invention is connected to each stage of the SCADA server, MTU and RTU to encrypt data transmitted to the network, and decrypt the received data so that the decrypted data can be read by the corresponding device. . In particular, the security device can detect whether an intrusion in the network, the security device can be distributed to other security devices by replacing the security key of the data transmitted and received according to the type of the device to which the security device is linked.

이때 상기 침입탐지 기능은 상기 보안장치 또는 SCADA 서버에 구현될 수 있는데, 도 4(a)에 도시된 바와 같이 침입 탐지 기능과 암호화 기능이 함께 외장형의 보안장치에 구현되면 SCADA 네트워크의 각 노드에서 침입 여부를 탐지할 수 있어 보안성을 더욱 강화할 수 있다.In this case, the intrusion detection function may be implemented in the security device or SCADA server. When the intrusion detection function and the encryption function are implemented together in the external security device as shown in FIG. It can detect whether or not it can enhance security.

도 4(b)에 도시된 바와 같이, 침입탐지 기능이 SCADA 서버에 구현되는 예는 현재 우리나라에 구축된 SCADA 시스템은 암호화 기능이 SCADA 서버나 RTU에 내장되는 것이 기술적으로 불가능한 상황에 기인한 것으로 외장형의 보안장치에서는 암호화 기능을 수행하고, SCADA 서버의 통신 포트와 보안 장치의 통신 포트가 연결되어 연동이 이루어지도록 한다.
As shown in Figure 4 (b), the intrusion detection function is implemented in the SCADA server is an example of the SCADA system built in Korea is due to the situation that technically impossible to be embedded in the SCADA server or RTU encryption function external type In the security device of the encryption function, the communication port of the security device and the communication port of the SCADA server is connected to be interlocked.

도 5 는 도 4에 따른 보안장치의 구성이 도시된 블록도로서, 본 명세서에서는 도 4(a)에 도시된 바와 같이 침입 탐지 기능과 암호화 기능이 함께 구현된 보안장치의 구성을 예로 하여 설명하며, 도 5의 구성에서 침입 탐지 모듈이 SCADA 서버에 포함되면, 도 4(b)에 도시된 보안장치의 구성으로 도출될 수 있다.FIG. 5 is a block diagram showing the configuration of the security device according to FIG. 4. In the present specification, an intrusion detection function and an encryption function are both implemented as shown in FIG. 4A. In the configuration of FIG. 5, if the intrusion detection module is included in the SCADA server, the configuration of the security apparatus illustrated in FIG. 4B may be derived.

본 발명의 일실시예에 따른 보안장치(50)는, 도 5에 도시된 바와 같이, 암호화 처리 모듈(150) 및 키 관리 모듈(200)을 포함하며, 침입 탐지 모듈(100)을 더 포함하여 구성될 수 있다.Security apparatus 50 according to an embodiment of the present invention, as shown in Figure 5, includes an encryption processing module 150 and a key management module 200, and further includes an intrusion detection module 100 Can be configured.

암호화 처리 모듈(150)은 연결된 RTU 또는 SCADA 서버로부터 송신되는 데이터를 소정 보안 알고리즘과 보안 키에 따라 암호화하고, 네트워크로부터 수신되는 암호화된 데이터를 보안 알고리즘에 따라 복호화하여 판독할 수 있도록 하며, 침입 탐지 모듈(100)은 도 3을 참조하여 상술한 바와 같이 송수신되는 데이터로부터 네트워크로의 침입 여부를 탐지한다.The encryption processing module 150 encrypts the data transmitted from the connected RTU or SCADA server according to a predetermined security algorithm and a security key, decrypts the encrypted data received from the network according to the security algorithm, and reads the intrusion detection. The module 100 detects intrusion into the network from the data transmitted and received as described above with reference to FIG. 3.

키 관리 모듈(200)은 해당 보안장치가 SCADA 서버 및 RTU 중 어느 장치와 연결되었느냐에 따라 동작이 다소 다를 수 있는데, 상기 SCADA 서버와 연결된 경우에는 기 설정된 주기에 따라 적용된 보안 알고리즘에 대한 보안 키를 갱신하여 암호화 처리 모듈(150)에서 송신되는 데이터를 보안 알고리즘 및 갱신된 보안 키에 따라 암호화하도록 한다. 또한, 갱신된 새로운 보안 키를 네트워크에 연결된 각 RTU로 전송하여 타 보안장치의 암호화 처리모듈에서 데이터를 암호화 또는 복호화할 수 있도록 한다. The key management module 200 may have a slightly different operation depending on which device is connected to the SCADA server or the RTU. When the key management module 200 is connected to the SCADA server, the key management module 200 may provide a security key for a security algorithm applied according to a preset cycle. The data is transmitted by the encryption processing module 150 to be encrypted according to the security algorithm and the updated security key. In addition, the updated new security key is transmitted to each RTU connected to the network so that the encryption processing module of the other security device can encrypt or decrypt the data.

그리고, 침입 탐지 모듈(100)에서 침입을 탐지하게 되면 주기에 따른 갱신 시점이 아니더라도 즉시 새로운 보안 키를 생성하여 데이터 암호화에 적용하고, 생성된 새 보안 키를 각 RTU에 통보하여 각 RTU에 연결된 보안장치에서도 동일하게 갱신된 보안 키로 암호화/복호화가 이루어질 수 있도록 한다.When the intrusion detection module 100 detects an intrusion, a new security key is immediately generated and applied to data encryption even if the intrusion detection time is not updated according to a cycle, and the generated new security key is notified to each RTU to secure the security associated with each RTU. The device can be encrypted / decrypted with the same updated security key.

특히, SCADA 서버에 연결된 보안장치의 키 관리 모듈(200)은 상기 침입 탐지 모듈(100)에서 침입으로 탐지한 횟수를 누적시켜, 기 설정된 기준 횟수 이상이 되면 보안 키를 갱신하는 갱신 주기를 단축시켜서 보다 짧은 시간 간격으로 각 데이터들이 새로운 보안 키로 암호화되도록 할 수 있으며, 갱신 주기를 단축시킨 후에는 다시 침입 탐지 횟수를 누적시켜 지속적인 감시가 이루어지도록 한다.In particular, the key management module 200 of the security device connected to the SCADA server accumulates the number of times detected by the intrusion detection module 100 as an intrusion, and shortens the update cycle of updating the security key when the number of times more than a preset reference number At shorter time intervals, each piece of data can be encrypted with a new security key, and after a shorter update cycle, the number of intrusion detections can be accumulated again for continuous monitoring.

RTU에 연결된 보안장치의 키 관리 모듈(200)은 SCADA 시스템 관리자의 설정에 따라 변용될 수 있으나, 기본적으로는 설정된 주기에 따라 보안 키를 생성하고 각 RTU로 전송하는 동작은 수행하지 않으며, 침입 탐지 모듈(100)에서의 탐지 결과에 따라 새로운 보안 키를 생성하고 이를 하위 노드에 연결된 보안장치 및 SCADA 서버로 통보할 수 있다.The key management module 200 of the security device connected to the RTU may be modified according to the settings of the SCADA system administrator, but basically does not perform the operation of generating the security key and transmitting to each RTU according to a set cycle, and intrusion detection. According to the detection result in the module 100, a new security key may be generated and notified to the security device and the SCADA server connected to the lower node.

또한, 상기 보안 장치는 생성된 보안 키 또는 수신된 보안 키 정보를 저장하는 키저장부(220), 암호화 처리 모듈(150)에서 데이터를 암호화하도록 보안 알고리즘을 저장하는 알고리즘 저장부(240) 및 보안 통신 포트가 구비된 통신모듈(300)을 포함하여 구성될 수 있다.
In addition, the security device is a key storage unit 220 for storing the generated security key or received security key information, the algorithm storage unit 240 for storing the security algorithm to encrypt the data in the encryption processing module 150 and the security It may be configured to include a communication module 300 having a communication port.

상기와 같이 구성된 본 발명의 일실시예에 따른 SCADA 시스템을 위한 보안 방법은 다음과 같이 동작한다.The security method for the SCADA system according to an embodiment of the present invention configured as described above operates as follows.

도 6 은 본 발명의 일실시예에 따른 SCADA 시스템을 위한 보안 방법의 흐름이 도시된 순서도로서, SCADA 서버에 연결된 보안장치를 예로 하여 설명한다.FIG. 6 is a flowchart illustrating a security method for a SCADA system according to an embodiment of the present invention, and will be described using an example of a security device connected to a SCADA server.

우선, SCADA 네트워크에 연결된 각 하위 노드에 구비된 RTU로부터 RTU와 연결된 계통 장치의 암호화된 전력 상태 데이터를 수신하고, RTU에 대한 동작 제어 명령을 암호화하여 해당 RTU로 전송한다.(S10)First, an encrypted power state data of a grid device connected to an RTU is received from an RTU provided in each lower node connected to the SCADA network, and an operation control command for the RTU is encrypted and transmitted to the corresponding RTU.

일정 시간이 경과하면 암호화하는 데 사용된 보안 키를 새로 생성하여 각 RTU로 통보한다.(S20)After a certain time elapses, a new security key used for encryption is generated and notified to each RTU. (S20)

SCADA 서버로 수신되는 데이터 또는 SCADA 서버에서 송신되는 데이터의 패턴이나 트래픽을 분석하여 비 정상적인 데이터 패턴이나 트래픽이 감지되면 해당 지점으로 침입이 발생한 것으로 판단한다.(S30, S40)Analyzing the pattern or traffic of the data received from the SCADA server or the data transmitted from the SCADA server, if an abnormal data pattern or traffic is detected, it is determined that an intrusion has occurred.

침입이 발생하면 즉시 새로운 보안 키를 생성하여, 새로운 보안 키를 통해 데이터 암호화 또는 복호화가 이루어지도록 각 RTU에 분배한다.(S50, S60)When an intrusion occurs, a new security key is generated immediately and distributed to each RTU for data encryption or decryption through the new security key (S50, S60).

새로운 보안 키가 적용된 이후에는 다시 주기에 따라 보안 키가 갱신되는데, 침입에 따라 보안 키가 갱신되면, 새로운 보안 키가 생성된 시점을 기준으로 이전의 기 설정된 교체 주기에 따라 보안 키를 갱신하고 각 RTU에 통보할 수 있다.After the new security key is applied, the security key is renewed according to the cycle again.When the security key is renewed due to the intrusion, the security key is renewed according to the previous preset replacement cycle based on when the new security key is generated. The RTU can be notified.

특히, 일정 횟수 이상으로 침입이 탐지되면 보안 키 교체 주기를 짧게 하여 보다 짧은 시간 간격으로 새로운 보안 키가 설정 및 적용될 수 있으며, 비 침입 탐지 횟수나 시간에 따라 짧아진 교체 주기를 상기 기 설정된 교체 주기로 길게 할 수도 있을 것이다.
In particular, if an intrusion is detected more than a certain number of times, a security key replacement cycle may be shortened so that a new security key may be set and applied at a shorter time interval. You can also lengthen it.

이상과 같이 본 발명에 따른 SCADA 시스템을 위한 보안 시스템 및 그의 동작방법을 예시된 도면을 참조로 하여 설명하였으나 본 명세서에 개시된 실시 예와 도면에 의해 한정되는 것은 아니며, 데이터 암호화를 위한 보안 키를 주기적으로 교체하면서도 네트워크 침입이 탐지되면 즉각적으로 보안 키를 갱신하여 SCADA 시스템의 보안성을 강화시킬 수 있도록 하는 본 발명의 기술사상은 보호되는 범위 이내에서 당업자에 의해 용이하게 변용될 수 있음은 자명하다.As described above, the security system for SCADA system and the operation method thereof according to the present invention have been described with reference to the illustrated drawings, but are not limited to the embodiments and drawings disclosed herein, and the security key for data encryption is periodically It is apparent that the present invention can be easily modified by those skilled in the art within the scope of protection, while the network idea of replacing a network intrusion is detected and immediately updating the security key to enhance the security of the SCADA system.

10: RTU 20: SCADA 서버
50: 보안장치 100: 침입탐지모듈
150: 암호화 처리모듈 200: 키 관리모듈
220: 키 저장부 240: 알고리즘 저장부10: RTU 20: SCADA Server
50: security device 100: intrusion detection module
150: encryption processing module 200: key management module
220: key storage unit 240: algorithm storage unit

Claims (10)

전력 계통에 구축된 네트워크에서 중앙에 위치하여 하위 노드의 동작을 제어하고 상태를 모니터링하는 SCADA 서버; 및
상기 SCADA 서버 및 하위 노드의 각 단에 연결되어 네트워크에서의 침입 여부를 탐지하고, 탐지 결과에 따라 송수신되는 데이터의 보안 키를 교체하여 암호화하는 보안장치
를 포함하는 SCADA 시스템을 위한 보안 시스템.SCADA server located in the central network in the power grid to control the operation of the lower node and monitor the status; And
Security device connected to each stage of the SCADA server and lower nodes to detect the intrusion in the network, and encrypts by replacing the security key of the data transmitted and received according to the detection result
Security system for the SCADA system comprising a. 제 1 항에 있어서,
상기 보안장치는, 연결된 RTU 또는 SCADA 서버로부터 송신되는 데이터를 보안 키에 따라 암호화하고, 네트워크로부터 수신되는 암호화된 데이터를 복호화하여 판독할 수 있도록 하는 암호화 처리 모듈; 및
송수신되는 데이터로부터 네트워크로의 침입 여부를 탐지하는 침입 탐지 모듈
을 포함하는 SCADA 시스템을 위한 보안 시스템.The method of claim 1,
The security apparatus may include an encryption processing module configured to encrypt data transmitted from a connected RTU or SCADA server according to a security key, and to decrypt and read encrypted data received from a network; And
Intrusion detection module that detects intrusion into network from data sent and received
Security system for the SCADA system comprising a. 제 2 항에 있어서,
상기 보안장치는, 상기 SCADA서버와 연결된 경우 상기 침입 탐지 모듈에서의 탐지 결과에 따라 새로운 보안 키를 생성하고 상기 하위 노드에 연결된 보안장치로 생성된 새로운 보안 키를 배분하는 키 관리 모듈
을 더 포함하는 SCADA 시스템을 위한 보안 시스템.The method of claim 2,
When the security device is connected to the SCADA server, the security device generates a new security key according to the detection result of the intrusion detection module and distributes the new security key generated to the security device connected to the lower node.
Security system for the SCADA system further comprising. 제 3 항에 있어서,
상기 키 관리 모듈은 상기 보안 키를 설정 주기에 따라 갱신하고, 탐지 결과에 따라 새로운 보안 키로 교체되면 교체된 시점에서 다시 상기 설정 주기에 따라 보안 키를 갱신하는 SCADA시스템을 위한 보안 시스템.The method of claim 3, wherein
And the key management module updates the security key according to a setting cycle, and renews the security key according to the setup cycle when it is replaced when it is replaced with a new security key according to a detection result. 제 4 항에 있어서,
상기 키 관리 모듈은 상기 침입 탐지 모듈에 의해 침입으로 탐지된 횟수가 설정된 기준 횟수 이상인 경우 보안 키 교체 주기를 단축하는 SCADA 시스템을 위한 보안 시스템.The method of claim 4, wherein
And the key management module shortens a security key replacement cycle when the number of times detected as an intrusion by the intrusion detection module is greater than or equal to a predetermined reference number. 제 1 항에 있어서,
상기 SCADA 서버는 송수신되는 데이터로부터 네트워크로의 침입 여부를 탐지하는 침입 탐지 모듈을 포함하며,
상기 SCADA 서버와 연결된 보안장치는 연결된 RTU 또는 SCADA 서버로부터 송신되는 데이터를 보안 키에 따라 암호화하고, 네트워크로부터 수신되는 암호화된 데이터를 복호화하여 판독할 수 있도록 하는 암호화 처리 모듈; 및
상기 침입 탐지 모듈에서의 탐지 결과에 따라 새로운 보안 키를 생성하고 상기 하위 노드에 연결된 보안장치로 생성된 새로운 보안 키를 배분하는 키 관리 모듈
을 포함하는 SCADA시스템을 위한 보안 시스템.The method of claim 1,
The SCADA server includes an intrusion detection module for detecting whether intrusion into the network from the data transmitted and received,
The security device connected to the SCADA server includes an encryption processing module for encrypting data transmitted from a connected RTU or SCADA server according to a security key, and decrypting and reading encrypted data received from a network; And
Key management module for generating a new security key according to the detection result in the intrusion detection module and distributes the new security key generated to the security device connected to the lower node
Security system for the SCADA system comprising a. 대칭키 방식으로 송수신되는 데이터를 암호화 및 복호화하는 SCADA 시스템을 위한 보안 방법에 있어서,
SCADA 네트워크에서 송수신되는 데이터를 분석하여 침입 여부를 탐지하는 제 1 단계; 및
상기 제 1 단계에서 침입이 있는 것으로 탐지되면, 암호화 및 복호화를 위한 보안 키를 교체하여 각 노드에 배분하는 제 2 단계
를 포함하는 SCADA 시스템을 위한 보안 방법.A security method for a SCADA system for encrypting and decrypting data transmitted and received by a symmetric key method,
A first step of detecting an intrusion by analyzing data transmitted and received in the SCADA network; And
A second step of distributing security keys for encryption and decryption to each node if it is detected that an intrusion exists in the first step
Security method for a SCADA system comprising a. 제 7 항에 있어서,
상기 제 2 단계 후, 교체 시점을 기준으로 설정된 주기에 따라 보안 키를 갱신 및 배분하는 제 3 단계
를 포함하는 SCADA 시스템을 위한 보안 방법.The method of claim 7, wherein
A third step of updating and distributing a security key according to a period set based on a replacement time point after the second step;
Security method for a SCADA system comprising a. 제 8 항에 있어서,
상기 제 3 단계는 침입이 탐지된 횟수를 계산하여 계산된 횟수가 기 설정된 기준 횟수 이상인 경우, 보안 키 갱신 주기를 단축하여 각 노드에 배분하는 SCADA 시스템을 위한 보안 방법.The method of claim 8,
The third step is a security method for a SCADA system that calculates the number of times the intrusion is detected and the number of times calculated is more than a predetermined reference number, the security key update period is shortened and distributed to each node. 제 9 항에 있어서,
상기 제 1 단계는, 송수신되는 데이터의 패턴을 분석하여 비정상적인 패턴이 나타나면 침입이 있는 것으로 판단하는 SCADA 시스템을 위한 보안 방법.The method of claim 9,
The first step is a security method for a SCADA system that determines that there is an intrusion when an abnormal pattern appears by analyzing the pattern of the data transmitted and received.
KR1020100135984A 2010-12-27 2010-12-27 Security system and its operating method for supervisory control and data acquisition system KR20120074040A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020100135984A KR20120074040A (en) 2010-12-27 2010-12-27 Security system and its operating method for supervisory control and data acquisition system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100135984A KR20120074040A (en) 2010-12-27 2010-12-27 Security system and its operating method for supervisory control and data acquisition system

Publications (1)

Publication Number Publication Date
KR20120074040A true KR20120074040A (en) 2012-07-05

Family

ID=46708309

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100135984A KR20120074040A (en) 2010-12-27 2010-12-27 Security system and its operating method for supervisory control and data acquisition system

Country Status (1)

Country Link
KR (1) KR20120074040A (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101429180B1 (en) * 2012-11-30 2014-08-12 유넷시스템주식회사 Control sensor of wireless network security system
KR20200134612A (en) * 2019-05-22 2020-12-02 주식회사 웰바스 Power management system and method interworking with security system
CN114826880A (en) * 2022-03-21 2022-07-29 云南电网有限责任公司信息中心 Method and system for online monitoring of data safe operation

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101429180B1 (en) * 2012-11-30 2014-08-12 유넷시스템주식회사 Control sensor of wireless network security system
KR20200134612A (en) * 2019-05-22 2020-12-02 주식회사 웰바스 Power management system and method interworking with security system
CN114826880A (en) * 2022-03-21 2022-07-29 云南电网有限责任公司信息中心 Method and system for online monitoring of data safe operation
CN114826880B (en) * 2022-03-21 2023-09-12 云南电网有限责任公司信息中心 Data safety operation on-line monitoring system

Similar Documents

Publication Publication Date Title
El Mrabet et al. Cyber-security in smart grid: Survey and challenges
Finogeev et al. Information attacks and security in wireless sensor networks of industrial SCADA systems
Barbosa et al. Intrusion detection in SCADA networks
Gao et al. SCADA communication and security issues
US10284373B2 (en) Smart grid secure communications method and apparatus
JP2013543357A (en) Smart grid and how it works
KR100947211B1 (en) System for active security surveillance
Mahmud et al. A survey on smart grid metering infrastructures: Threats and solutions
CN105245329B (en) A kind of credible industrial control network implementation method based on quantum communications
KR101048286B1 (en) Multi-Cryptographic Apparatus and Method thereof for Securing SCAD Communication
Zhang et al. An adaptive encryption-as-a-service architecture based on fog computing for real-time substation communications
Zhao et al. An overview of cyber security for smart grid
Demirci et al. Software-defined networking for improving security in smart grid systems
KR20120074040A (en) Security system and its operating method for supervisory control and data acquisition system
Xu et al. A unified framework for secured energy resource management in smart grid
Hurst et al. Predicting the effects of DDoS attacks on a network of critical infrastructures
Kotari et al. Investigation of security issues in distributed system monitoring
KR20130085473A (en) Encryption system for intrusion detection system of cloud computing service
KR101871406B1 (en) Method for securiting control system using whitelist and system for the same
Wei et al. Data-centric threats and their impacts to real-time communications in smart grid
Iyer et al. Smart power grids
Cerullo et al. Critical Infrastructure Protection: having SIEM technology cope with network heterogeneity
Lim et al. Security system architecture for data integrity based on a virtual smart meter overlay in a smart grid system
Patel et al. Analysis of SCADA Security models
Stanculescu et al. Vulnerability of SCADA and security solutions for a waste water treatment plant

Legal Events

Date Code Title Description
A201 Request for examination
E601 Decision to refuse application