KR20130034771A - Method and apparatus for providing security service - Google Patents

Method and apparatus for providing security service Download PDF

Info

Publication number
KR20130034771A
KR20130034771A KR1020110098827A KR20110098827A KR20130034771A KR 20130034771 A KR20130034771 A KR 20130034771A KR 1020110098827 A KR1020110098827 A KR 1020110098827A KR 20110098827 A KR20110098827 A KR 20110098827A KR 20130034771 A KR20130034771 A KR 20130034771A
Authority
KR
South Korea
Prior art keywords
code
field
function code
security
execution
Prior art date
Application number
KR1020110098827A
Other languages
Korean (ko)
Other versions
KR101902016B1 (en
Inventor
최문석
백종목
임용훈
주성호
김충효
명노길
Original Assignee
한국전력공사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전력공사 filed Critical 한국전력공사
Priority to KR1020110098827A priority Critical patent/KR101902016B1/en
Publication of KR20130034771A publication Critical patent/KR20130034771A/en
Application granted granted Critical
Publication of KR101902016B1 publication Critical patent/KR101902016B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Small-Scale Networks (AREA)

Abstract

PURPOSE: A security service providing method and an apparatus are provided to reduce a network traffic and to prevent the delay of an electric energy transformation automating service due to the reduction of the network traffic. CONSTITUTION: A security service transmission part(110) comprises a function code generator(111), an execution code generator(112), a security controller field generator(113), a security protocol data unit generator(114), and a transmitter(115). The function code generator generates a first function code of an authentication process resuming command, a second function code of a service execution resuming command, a third function code of a security key generation and renewal command, a fourth function code of a time error range changing command. The execution code generator generates the execution code for the execution of a command of the function code. The security controller field generator generates the security controller field by combining the function code and the execution code. The security protocol data unit generator inserts the security controller field into an extra field equipped in the protocol data unit and generates the security protocol data unit. The transmitter transmits the security protocol data unit. [Reference numerals] (111) Function code generator; (112) Execution code generator; (113) Security controller field generator; (114) Security protocol data unit generator; (115) Transmitter; (121) Receiver; (122) Function code check unit; (123) Operation performing unit; (124) Response controller field generator; (125) Response protocol data unit generator; (126) Reply unit;

Description

보안서비스 제공 방법 및 장치{Method and Apparatus for providing security service}Method and apparatus for providing security service {Method and Apparatus for providing security service}

본 발명은 보안서비스 제공 방법 및 장치에 관한 것이다. 더욱 상세하게, 본 발명은 변전 자동화 시스템에 있어서, 보다 효율적인 네트워크 자원의 활용이 가능한 보안서비스 제공 방법 및 장치에 관한 것이다. The present invention relates to a security service providing method and apparatus. More specifically, the present invention relates to a security service providing method and apparatus capable of utilizing more efficient network resources in a substation automation system.

IEC 61850(International Electrotechnical Commission) 프로토콜은 변전자동화를 목적으로, 변전소 기기들이 다루고 있는 다양한 정보를 추상화된 데이터 모델로 정의하고 있으며 이 데이터 모델들을 이용하여 MMS(Manufacturing Message Specification), GOOSE(Generic Object Oriented Substation Event) 및 SMV(Sample multicast Value) 등과 같은 다양한 프로토콜과의 맵핑을 지원하고 있다. 변전자동화에서는 송전선 계측 데이터 이외에도 전력기기 제어 데이터와 같은 전력서비스에 중요한 역할을 하는 데이터들이 통신망을 통해 전달되기 때문에 안전하고 안정적인 전력 서비스를 위해서는 높은 수준의 정보 보안이 뒷받침되어야 하며 전력망의 정보보안을 위해서는 암호화, 인증 및 접근제어와 같은 다양한 보안서비스가 제공되어야 한다.The IEC 61850 (International Electrotechnical Commission) protocol defines a variety of information handled by substation equipment as an abstract data model for the purpose of automation of substations.These data models are used for manufacturing message specification (MMS) and generic object oriented substation. It supports mapping with various protocols such as event and sample multicast value (SMV). In substation automation, in addition to transmission line measurement data, data that plays an important role in power service such as power equipment control data is transmitted through communication network. Therefore, high level information security must be supported for safe and stable power service. Various security services such as encryption, authentication and access control should be provided.

국제 표준 기구인 IEC의 TC(Technical Committee) 57은 전력망을 위한 정보 보안 중요성을 인식하고 1999년에 WG(Working Group) 15를 구성하였다. WG 15의 목적과 범위는 IEC TC 57에서 정의한 전력 통신 프로토콜들을 위한 E2E(End-to-End) 보안 표준을 개발하는 것이다. 특히, IEC 62351-6은 IEC 61850 표준을 기반으로 하거나 그로부터 파생된 모든 프로토콜들의 보안을 위한 메시지, 절차, 알고리즘을 제공한다. 변전소 내의 일부 통신 데이터는 대량의 데이터 전송을 요하면서도 4ms 이내로 전송되어야 한다. 이러한 특성은 보안서비스의 제약을 가져오기 때문에 IEC 62351-6에서는 데이터 무결성 보장과 인증 서비스를 위해 메시지 인증 코드(MAC; Message Authentication Code)와 디지털 서명의 사용만 필수사항으로 제시하고 있으며, 데이터 연산 및 검증에 많은 시간과 자원을 소모하는 암호화 기법의 사용은 권하지 않고 있다.The Technical Committee 57 of the IEC, the international standard organization, recognized the importance of information security for the power grid and formed the Working Group 15 in 1999. The purpose and scope of WG 15 is to develop an end-to-end security standard for power communication protocols defined in IEC TC 57. In particular, IEC 62351-6 provides messages, procedures and algorithms for the security of all protocols based on or derived from the IEC 61850 standard. Some communication data in the substation needs to be transmitted within 4ms while requiring a large amount of data transmission. Because of these limitations of security services, IEC 62351-6 only requires the use of Message Authentication Codes (MACs) and digital signatures to ensure data integrity and authentication services. We do not recommend the use of encryption techniques that consume a lot of time and resources for verification.

안정적인 변전 자동화 서비스의 제공을 위해서는 보안키를 기기간에 어떻게 공유하느냐가 가장 중요한 난제이다. 따라서, 표준 프로토콜을 운영하더라도 안정적인 변전자동화 시스템의 구현을 위해서는, 기기간 보안키를 생성, 공유 및 갱신하는 방법을 별도로 설계, 운영해야 할 필요성이 있다.How to share the security key between the devices is the most important challenge to provide a stable automation service. Therefore, even if the standard protocol is operated, it is necessary to separately design and operate a method for generating, sharing, and updating the security key between devices in order to implement a stable substation automation system.

본 발명의 목적은 프로토콜 데이터 유닛에 구비되는 여분의 필드(Reserved field)를 수정하여 보안 컨트롤러 필드로써 활용하여, 별도의 프로토콜을 생성하는 것에 비하여, 네트워크 트래픽이 현저히 줄어들게 하는 것이다. 더불어, 본 발명은 네트워크 트래픽의 감소로 인해 변전 자동화 서비스의 지연을 유발시키지 않게 하는 것을 목적으로 한다.An object of the present invention is to modify the reserved field included in the protocol data unit and to utilize it as a security controller field, thereby significantly reducing network traffic as compared to generating a separate protocol. In addition, it is an object of the present invention not to cause a delay of a substation automation service due to the reduction of network traffic.

그리고, 본 발명은 표준 프로토콜에서 정의된 여분의 필드를 활용하여 보안키 갱신 및 시간오차 설정정보 등을 공유함으로써, 별도의 보안 프로토콜의 운영 없이도 높은 보안성을 확보할 수 있는 것을 목적으로 한다. 즉, 본 발명은 변전 자동화 표준 프로토콜의 최소한의 수정만으로도 보안키 관리 등이 가능하여 보다 효율적인 네트워크 자원의 활용이 가능하게 하는 것을 목적으로 한다.In addition, an object of the present invention is to secure a high security without the operation of a separate security protocol by sharing the security key update and time error setting information using the extra field defined in the standard protocol. That is, an object of the present invention is to enable the management of security keys, etc., with minimal modification of the substation automation standard protocol, thereby enabling more efficient use of network resources.

또한, 본 발명은 변전 자동화 수행 중에도 보안키 갱신 및 시간 동기화가 가능하므로 보안 키 관리가 용이하게 하는 것을 목적으로 한다.In addition, an object of the present invention is to facilitate security key management since security key update and time synchronization are possible even during automation of substation.

상기한 목적을 달성하기 위한 본 발명에 따른 보안서비스 제공 방법은 인증 절차 개시 명령에 대한 제 1 기능 코드, 서비스 수행 개시 명령에 대한 제 2 기능 코드, 보안키의 생성 및 갱신 명령에 대한 제 3 기능 코드, 및 시간오차범위 변경 명령에 대한 제 4 기능 코드 중의 하나에 대한 기능 코드를 생성하는 단계; 상기 기능 코드에 따른 명령의 수행을 위한 수행 코드를 생성하는 단계; 상기 기능 코드 및 상기 수행 코드를 결합하여, 보안 컨트롤러 필드를 생성하는 단계; 프로토콜 데이터 유닛에 구비되는 여분 필드에 상기 보안 컨트롤러 필드를 삽입하여, 보안 프로토콜 데이터 유닛을 생성하는 단계; 및 상기 보안 프로토콜 데이터 유닛을 전송하는 단계를 포함한다.Security service providing method according to the present invention for achieving the above object is the first function code for the authentication procedure start command, the second function code for the service execution start command, the third function for the generation and update command of the security key Generating a function code for one of the code and the fourth function code for the time error range change command; Generating an execution code for performing an instruction according to the function code; Combining the function code and the performance code to generate a security controller field; Inserting the security controller field into an extra field included in a protocol data unit to generate a security protocol data unit; And transmitting the secure protocol data unit.

이 때, 상기 프로토콜 데이터 유닛은 헤더(Header) 필드, VLAN 정보를 포함하는 상기 헤더 필드에 대한 CRC 필드, 변전 자동화 프로토콜 필드, 및 상기 변전 자동화 프로토콜 필드에 대한 인증 데이터를 구비하는 연장(Extension) 필드가 순차적으로 나열되어 형성되며, 상기 헤더 필드와 상기 CRC 필드 사이에, 상기 연장 필드의 길이를 표현하는 길이(Length) 필드 및 상기 여분 필드가 형성된다.At this time, the protocol data unit includes a header field, a CRC field for the header field including VLAN information, a transformation automation protocol field, and an extension field including authentication data for the transformation automation protocol field. Are sequentially formed, and a length field and a redundant field representing the length of the extension field are formed between the header field and the CRC field.

이 때, 상기 기능 코드를 생성하는 단계에서 상기 제 1 기능 코드가 생성된 경우, 상기 수행 코드를 생성하는 단계에서, 데이터 무결성 검사에 관한 인증 절차를 수행하기 위한 제 1 수행 코드가 생성되며, 상기 기능 코드를 생성하는 단계에서 상기 제 2 기능 코드가 생성된 경우, 상기 수행 코드를 생성하는 단계에서, 상기 보안 프로토콜 데이터 유닛에 의한 서비스의 수행 개시를 위한 제 2 수행 코드가 생성되며, 상기 기능 코드를 생성하는 단계에서 상기 제 3 기능 코드가 생성된 경우, 상기 수행 코드를 생성하는 단계에서, 암호용 보안키 알고리즘, 상기 보안키의 사이즈 및 상기 암호용 보안키의 생성을 위한 생성 함수를 표현하는 제 3 수행 코드가 생성되며, 상기 기능 코드를 생성하는 단계에서 상기 제 3 기능 코드가 생성된 경우, 상기 수행 코드를 생성하는 단계에서, 재생공격 방어를 위한 시간오차 범위 변경의 수행을 위한 제 4 수행 코드가 생성된다.At this time, when the first function code is generated in the step of generating the function code, in the step of generating the execution code, a first execution code for performing an authentication procedure relating to data integrity check is generated. When the second function code is generated in the step of generating the function code, in the step of generating the execution code, a second execution code for starting the service by the security protocol data unit is generated, and the function code In the step of generating the third function code is generated, in the step of generating the execution code, expressing a cryptographic security key algorithm, the size of the security key and the generation function for generating the cryptographic security key A third execution code is generated, and when the third function code is generated in the step of generating the function code, the execution code In the step of sex, a fourth code for performing the execution of the change time, the error range for the playback attack protection is produced.

이 때, 상기 여분 필드는 1 바이트(byte)로 형성되며, 상기 여분 필드에서 상기 기능 코드는 2 비트(bit), 상기 수행 코드는 6 비트(bit)로 구현될 수 있다.In this case, the redundant field may be formed of 1 byte, and the function code may be 2 bits and the execution code may be implemented in 6 bits.

이 때, 상기 기능 코드는 상기 여분 필드에 있어서, 최상위 두 개의 비트에 구현될 수 있다.In this case, the function code may be implemented in the two most significant bits of the redundant field.

이 때, 상기 변전 자동화 프로토콜 필드는 GOOSE(Generic Object Oriented Substation Event) 또는 SMV(Sample Multicast Value) 프로토콜 필드일 수 있다.At this time, the substation automation protocol field may be a GOOSE (Generic Object Oriented Substation Event) or SMV (Sample Multicast Value) protocol field.

이 때, 상기 보안 프로토콜 데이터 유닛을 수신하는 단계; 상기 보안 프로토콜 데이터 유닛에서 상기 기능 코드를 확인하는 단계; 및 상기 수행 코드를 참조하여, 상기 기능 코드에 대응되는 동작을 수행하는 단계를 더 포함할 수 있다.At this time, receiving the secure protocol data unit; Confirming the function code in the secure protocol data unit; And performing an operation corresponding to the function code with reference to the execution code.

이 때, 상기 기능 코드에 대응되는 동작을 수행한 후, 상기 기능 코드 및 수행 완료 또는 수행 오류에 대한 응답 코드가 결합된 응답 컨트롤러 필드를 생성하는 단계; 상기 프로토콜 데이터 유닛에 구비되는 응답 여분 필드에 상기 응답 컨트롤러 필드를 삽입하여, 응답 프로토콜 데이터 유닛을 생성하는 단계; 및 상기 응답 프로토콜 데이터 유닛을 회신하는 단계를 더 포함할 수 있다.In this case, after performing an operation corresponding to the function code, generating a response controller field in which the function code and a response code for execution completion or execution error are combined; Generating a response protocol data unit by inserting the response controller field into a response spare field provided in the protocol data unit; And returning the response protocol data unit.

이 때, 상기 응답 여분 필드는 1 바이트(byte)로 형성되며, 상기 응답 여분 필드에서 상기 기능 코드는 2 비트(bit), 상기 응답 코드는 6 비트(bit)로 구현될 수 있다.In this case, the response redundant field may be formed of 1 byte, and the function code may be 2 bits and the response code may be 6 bits.

이 때, 상기 기능 코드는 상기 응답 여분 필드에 있어서, 최상위 두 개의 비트에 구현될 수 있다.
In this case, the function code may be implemented in the two most significant bits of the response spare field.

또한, 상기한 목적을 달성하기 위한 본 발명에 따른 보안서비스 제공 장치는 인증 절차 개시 명령에 대한 제 1 기능 코드, 서비스 수행 개시 명령에 대한 제 2 기능 코드, 보안키의 생성 및 갱신 명령에 대한 제 3 기능 코드, 및 시간오차범위 변경 명령에 대한 제 4 기능 코드 중의 하나에 대한 기능 코드를 생성하는 기능 코드 생성부; 상기 기능 코드에 따른 명령의 수행을 위한 수행 코드를 생성하는 수행 코드 생성부; 상기 기능 코드 및 상기 수행 코드를 결합하여, 보안 컨트롤러 필드를 생성하는 보안 컨트롤러 필드 생성부; 프로토콜 데이터 유닛에 구비되는 여분 필드에 상기 보안 컨트롤러 필드를 삽입하여, 보안 프로토콜 데이터 유닛을 생성하는 보안 프로토콜 데이터 유닛 생성부; 및 상기 보안 프로토콜 데이터 유닛을 전송하는 전송부를 포함한다.In addition, the security service providing apparatus according to the present invention for achieving the above object is a first function code for the authentication procedure start command, the second function code for the service execution start command, the security key generation and update command A function code generator for generating a function code for one of a third function code and a fourth function code for a time error range change command; An execution code generation unit for generating an execution code for executing an instruction according to the function code; A security controller field generator for generating a security controller field by combining the function code and the execution code; A security protocol data unit generation unit inserting the security controller field into an extra field included in a protocol data unit to generate a security protocol data unit; And a transmission unit for transmitting the security protocol data unit.

이 때, 상기 프로토콜 데이터 유닛은 헤더(Header) 필드, VLAN 정보를 포함하는 상기 헤더 필드에 대한 CRC 필드, 변전 자동화 프로토콜 필드, 및 상기 변전 자동화 프로토콜 필드에 대한 인증 데이터를 구비하는 연장(Extension) 필드가 순차적으로 나열되어 형성되며, 상기 헤더 필드와 상기 CRC 필드 사이에, 상기 연장 필드의 길이를 표현하는 길이(Length) 필드 및 상기 여분 필드가 형성될 수 있다.At this time, the protocol data unit includes a header field, a CRC field for the header field including VLAN information, a transformation automation protocol field, and an extension field including authentication data for the transformation automation protocol field. Are sequentially formed and formed, and a length field and a redundant field representing the length of the extension field may be formed between the header field and the CRC field.

이 때, 상기 기능 코드 생성부에서 상기 제 1 기능 코드가 생성된 경우, 상기 수행 코드 생성부는 데이터 무결성 검사에 관한 인증 절차를 수행하기 위한 제 1 수행 코드를 생성하며, 상기 기능 코드 생성부에서 상기 제 2 기능 코드가 생성된 경우, 상기 수행 코드 생성부는 상기 보안 프로토콜 데이터 유닛에 의한 서비스의 수행 개시를 위한 제 2 수행 코드를 생성하며, 상기 기능 코드 생성부에서 상기 제 3 기능 코드가 생성된 경우, 상기 수행 코드 생성부는 암호용 보안키 알고리즘, 상기 보안키의 사이즈 및 상기 암호용 보안키의 생성을 위한 생성 함수를 표현하는 제 3 수행 코드를 생성하며, 상기 기능 코드 생성부에서 상기 제 4 기능 코드가 생성된 경우, 상기 수행 코드 생성부는 재생공격 방어를 위한 시간오차 범위 변경의 수행을 위한 제 4 수행 코드를 생성할 수 있다.At this time, when the first function code is generated by the function code generator, the execution code generator generates a first execution code for performing an authentication procedure relating to data integrity check, and the function code generator When the second function code is generated, the execution code generation unit generates a second execution code for starting the service by the security protocol data unit, and when the third function code is generated by the function code generation unit. The execution code generation unit generates a third execution code representing an encryption security key algorithm, a size of the security key, and a generation function for generating the encryption security key, and wherein the function code generator generates the fourth function. When the code is generated, the execution code generation unit performs a fourth execution code for changing the time error range for the defense of the replay attack. The can be created.

이 때, 상기 여분 필드는 1 바이트(byte)로 형성되며, 상기 여분 필드에서 상기 기능 코드는 2 비트(bit), 상기 수행 코드는 6 비트(bit)로 구현될 수 있다.In this case, the redundant field may be formed of 1 byte, and the function code may be 2 bits and the execution code may be implemented in 6 bits.

이 때, 상기 기능 코드는 상기 여분 필드에 있어서, 최상위 두 개의 비트에 구현될 수 있다.In this case, the function code may be implemented in the two most significant bits of the redundant field.

이 때, 상기 변전 자동화 프로토콜 필드는 GOOSE(Generic Object Oriented Substation Event) 또는 SMV(Sample Multicast Value) 프로토콜 필드일 수 있다.At this time, the substation automation protocol field may be a GOOSE (Generic Object Oriented Substation Event) or SMV (Sample Multicast Value) protocol field.

이 때, 상기 보안 프로토콜 데이터 유닛을 수신하는 수신부; 상기 보안 프로토콜 데이터 유닛에서 상기 기능 코드를 확인하는 기능 코드 확인부; 및 상기 수행 코드를 참조하여, 상기 기능 코드에 대응되는 동작을 수행하는 동작 수행부를 더 포함할 수 있다.At this time, the receiving unit for receiving the security protocol data unit; A function code checking unit for checking the function code in the security protocol data unit; And an operation execution unit that performs an operation corresponding to the function code with reference to the execution code.

이 때, 상기 기능 코드에 대응되는 동작을 수행한 후, 상기 기능 코드 및 수행 완료 또는 수행 오류에 대한 응답 코드가 결합된 응답 컨트롤러 필드를 생성하는 응답 컨트롤러 필드 생성부; 상기 프로토콜 데이터 유닛에 구비되는 응답 여분 필드에 상기 응답 컨트롤러 필드를 삽입하여, 응답 프로토콜 데이터 유닛을 생성하는 응답 프로토콜 데이터 유닛 생성부; 및 상기 응답 프로토콜 데이터 유닛을 회신하는 회신부를 더 포함할 수 있다.At this time, after performing the operation corresponding to the function code, the response controller field generating unit for generating a response controller field combined with the function code and the response code for the completion or execution error; A response protocol data unit generation unit for generating a response protocol data unit by inserting the response controller field into a response spare field included in the protocol data unit; And a replying unit for returning the response protocol data unit.

이 때, 상기 응답 여분 필드는 1 바이트(byte)로 형성되며, 상기 응답 여분 필드에서 상기 기능 코드는 2 비트(bit), 상기 응답 코드는 6 비트(bit)로 구현될 수 있다.In this case, the response redundant field may be formed of 1 byte, and the function code may be 2 bits and the response code may be 6 bits.

이 때, 상기 기능 코드는 상기 응답 여분 필드에 있어서, 최상위 두 개의 비트에 구현될 수 있다.In this case, the function code may be implemented in the two most significant bits of the response spare field.

본 발명에 따르면, 프로토콜 데이터 유닛에 구비되는 여분의 필드를 수정하여 보안 컨트롤러 필드로써 활용하여, 별도의 프로토콜을 생성하는 것에 비하여, 네트워크 트래픽이 현저히 줄어든다. 더불어, 본 발명은 네트워크 트래픽의 감소로 인해 변전 자동화 서비스의 지연을 유발시키지 않고, 오버헤드로 동작하지 않는다. According to the present invention, network traffic is significantly reduced compared to generating a separate protocol by modifying an extra field included in the protocol data unit and using it as a security controller field. In addition, the present invention does not cause a delay of the substation automation service due to the reduction of network traffic, and does not operate with overhead.

그리고, 본 발명은 표준 프로토콜에서 정의된 여분의 필드(Reserved field)를 활용하여 보안키 갱신 및 시간오차 설정정보 등을 공유함으로써, 별도의 보안 프로토콜의 운영 없이도 높은 보안성을 확보할 수 있다. 따라서, 본 발명은 변전 자동화 표준 프로토콜의 최소한의 수정만으로도 보안키 관리 등이 가능하여 보다 효율적인 네트워크 자원의 활용이 가능하다.In addition, the present invention utilizes a reserved field defined in the standard protocol to share the security key update and time error setting information, thereby ensuring high security without the operation of a separate security protocol. Therefore, the present invention enables security key management and the like with minimal modification of the substation automation standard protocol, thereby enabling more efficient use of network resources.

또한, 본 발명은 변전 자동화 수행 중에도 보안키 갱신 및 시간 동기화가 가능하므로 보안 키 관리가 용이하다.In addition, the present invention facilitates security key management since security key update and time synchronization are possible even during automation of substation.

도 1은 본 발명에 따른 보안서비스 제공 방법에 있어서, 보안 프로토콜 데이터 유닛을 생성 및 전송하는 방법을 설명하기 위한 플로우챠트이다.
도 2는 본 발명에 따른 보안 서비스 제공 방법에 있어서, 프로토콜 데이터 유닛의 구성을 나타낸 도면이다.
도 3은 본 발명에 따른 보안 서비스 제공 방법에 있어서, 기능 코드 및 수행 코드를 포함하는 보안 컨트롤러 필드의 일 실시예이다.
도 4는 본 발명에 따른 보안 서비스 제공 방법에 있어서, 기능 코드를 구현한 일 실시예이다.
도 5는 본 발명에 따른 보안서비스 제공 방법에 있어서, 보안 프로토콜 데이터 유닛을 수신하고 이에 대하여 회신하는 방법을 설명하기 위한 플로우챠트이다.
도 6은 본 발명에 따른 보안 서비스 제공 방법에 있어서, 기능 코드 및 응답 코드를 포함하는 응답 컨트롤러 필드의 일 실시예이다.
도 7은 본 발명에 따른 보안서비스 제공 방법에 있어서, 보안 프로토콜 데이터 유닛을 수신하고 이에 대하여 회신하는 방법의 일 실시예를 설명하기 위한 플로우챠트이다.
도 8은 본 발명에 따른 보안서비스 제공 장치의 구성을 나타낸 블록도이다.1 is a flowchart illustrating a method for generating and transmitting a security protocol data unit in a method for providing a security service according to the present invention.
2 is a diagram illustrating a configuration of a protocol data unit in the security service providing method according to the present invention.
3 is a view illustrating a security controller field including a function code and an execution code in a method for providing a security service according to the present invention.
4 is an embodiment of implementing a function code in the security service providing method according to the present invention.
FIG. 5 is a flowchart illustrating a method of receiving and returning a security protocol data unit in a method of providing a security service according to the present invention.
6 is an embodiment of a response controller field including a function code and a response code in the security service providing method according to the present invention.
7 is a flowchart for explaining an embodiment of a method for receiving and returning a security protocol data unit in a method for providing a security service according to the present invention.
8 is a block diagram showing the configuration of a security service providing apparatus according to the present invention.

본 발명을 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다. 여기서, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능, 및 구성에 대한 상세한 설명은 생략한다. 본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. 따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.
The present invention will now be described in detail with reference to the accompanying drawings. Hereinafter, a repeated description, a known function that may obscure the gist of the present invention, and a detailed description of the configuration will be omitted. Embodiments of the present invention are provided to more fully describe the present invention to those skilled in the art. Accordingly, the shape and size of elements in the drawings may be exaggerated for clarity.

이하에서는 본 발명에 따른 보안서비스 제공 방법에 대하여 설명하도록 한다. Hereinafter, a security service providing method according to the present invention will be described.

도 1은 본 발명에 따른 보안서비스 제공 방법에 있어서, 보안 프로토콜 데이터 유닛을 생성 및 전송하는 방법을 설명하기 위한 플로우챠트이다. 도 2는 본 발명에 따른 보안 서비스 제공 방법에 있어서, 프로토콜 데이터 유닛의 구성을 나타낸 도면이다. 도 3은 본 발명에 따른 보안 서비스 제공 방법에 있어서, 기능 코드 및 수행 코드를 포함하는 보안 컨트롤러 필드의 일 실시예이다. 도 4는 본 발명에 따른 보안 서비스 제공 방법에 있어서, 기능 코드를 구현한 일 실시예이다. 도 5는 본 발명에 따른 보안서비스 제공 방법에 있어서, 보안 프로토콜 데이터 유닛을 수신하고 이에 대하여 회신하는 방법을 설명하기 위한 플로우챠트이다. 도 6은 본 발명에 따른 보안 서비스 제공 방법에 있어서, 기능 코드 및 응답 코드를 포함하는 응답 컨트롤러 필드의 일 실시예이다.
1 is a flowchart illustrating a method for generating and transmitting a security protocol data unit in a method for providing a security service according to the present invention. 2 is a diagram illustrating a configuration of a protocol data unit in the security service providing method according to the present invention. 3 is a view illustrating a security controller field including a function code and an execution code in a method for providing a security service according to the present invention. 4 is an embodiment of implementing a function code in the security service providing method according to the present invention. FIG. 5 is a flowchart illustrating a method of receiving and returning a security protocol data unit in a method of providing a security service according to the present invention. 6 is an embodiment of a response controller field including a function code and a response code in the security service providing method according to the present invention.

도 1을 참조하면, 본 발명에 따른 보안서비스 제공 방법은 먼저, 기능 코드를 생성한다(S101). 이 때, 기능 코드는 인증 절차 개시 명령에 대한 제 1 기능 코드, 서비스 수행 개시 명령에 대한 제 2 기능 코드, 보안키의 생성 및 갱신 명령에 대한 제 3 기능 코드, 및 시간오차범위 변경 명령에 대한 제 4 기능 코드 중의 하나에 해당한다. Referring to Figure 1, the security service providing method according to the present invention, first generates a function code (S101). In this case, the function code includes a first function code for the authentication procedure start command, a second function code for the service performance start command, a third function code for the generation and update command of the security key, and a time error range change command. Corresponds to one of the fourth function codes.

단계(S101)에서 생성된 기능 코드에 따른 명령의 수행을 위한 수행 코드를 생성한다(S102). 단계(S101)에서 제 1 기능 코드가 생성된 경우, 단계(S102)에서는 데이터 무결성 검사에 관한 인증 절차를 수행하기 위한 제 1 수행 코드가 생성된다. 단계(S101)에서 제 2 기능 코드가 생성된 경우, 단계(S102)에서는 보안 프로토콜 데이터 유닛에 의한 서비스의 수행 개시를 위한 제 2 수행 코드가 생성된다. An execution code for performing an instruction according to the function code generated in step S101 is generated (S102). When the first function code is generated in step S101, in step S102, a first performing code for performing an authentication procedure relating to data integrity check is generated. When the second function code is generated in step S101, in step S102, a second execution code for starting the performance of the service by the security protocol data unit is generated.

이 때, 보안 프로토콜 데이터 유닛은 도 2와 함께 참조하면, 헤더(Header) 필드, 길이(LEN; length) 필드, 여분(Reseved) 필드, CRC 필드, 변전 자동화 프로토콜 필드, 연장(Extension) 필드가 순차적으로 나열되어 형성될 수 있다. 여기서, CRC 필드는 VLAN 정보를 포함하는 헤더(Header) 필드에 대한 필드이다. 그리고, 변전 자동화 프로토콜 필드는 GOOSE(Generic Object Oriented Substation Event) 또는 SMV(Sample Multicast Value) 프로토콜 필드일 수 있다. 또한, 연장(Extension) 필드는 변전 자동화 프로토콜 필드에 대한 인증 데이터를 구비하는 필드이다. 또한, 길이(LEN; length) 필드는 연장(Extension) 필드의 길이를 표현하는 필드이다. 또한, 여분(Reserved) 필드는 1 바이트(byte)로 형성된다. 그리고, 본 발명에 따른 보안서비스 제공 방법에서의 보안 프로토콜 데이터 유닛은 IEC 62351-6에서 정의된 것일 수 있다.In this case, referring to FIG. 2, the security protocol data unit sequentially includes a header field, a length field, a reserved field, a CRC field, a substation automation protocol field, and an extension field. It can be formed as listed. Here, the CRC field is a field for a header field including VLAN information. The substation automation protocol field may be a GOOSE (Generic Object Oriented Substation Event) or a SMV (Sample Multicast Value) protocol field. In addition, the Extension field is a field having authentication data for the substation automation protocol field. In addition, the length (LEN) field is a field representing the length of the extension field. In addition, the reserved field is formed of 1 byte. In addition, the security protocol data unit in the security service providing method according to the present invention may be one defined in IEC 62351-6.

그리고, 단계(S101)에서 제 3 기능 코드가 생성된 경우, 단계(S102)에서는 암호용 보안키 알고리즘, 보안키의 사이즈 및 상기 암호용 보안키의 생성을 위한 생성 함수를 표현하는 제 3 수행 코드가 생성된다. 단계(S101)에서 제 4 기능 코드가 생성된 경우, 단계(S102)에서는 재생 공격 방어를 위한 시간오차 범위 변경의 수행을 위한 제 4 수행 코드가 생성된다.When the third function code is generated in step S101, in step S102, a third execution code representing an encryption security key algorithm, a size of the security key, and a generation function for generating the encryption security key. Is generated. When the fourth function code is generated in step S101, a fourth execution code is generated in step S102 for performing a time error range change for replay attack defense.

그리고, 단계(S101)에서 생성된 기능 코드 및 단계(S102)에서 생성된 수행 코드를 결합하여, 보안 컨트롤러 필드를 생성한다(S103). Then, the function code generated in step S101 and the execution code generated in step S102 are combined to generate a security controller field (S103).

보안 컨트롤러 필드의 일 실시예에 대하여 도 3 및 도 4와 함께 참조하면, 기능 코드는 2 비트(bit), 수행 코드는 6 비트(bit)로 구현될 수 있다. 그리고, 기능 코드는 여분 필드에 있어서, 최상위 두 개의 비트(Bit 7, Bit 6)에 구현되며, 수행 코드는 기능 코드가 구현된 비트 이하의 여섯 개의 비트(Bit 5, Bit 4, Bit 3, Bit 2, Bit 1, Bit 0)에 구현될 수 있다. Referring to FIG. 3 and FIG. 4 for one embodiment of the security controller field, the function code may be implemented in 2 bits and the execution code in 6 bits. In addition, the function code is implemented in the top two bits (Bit 7, Bit 6) in the extra field, and the execution code is composed of six bits (Bit 5, Bit 4, Bit 3, Bit) less than the bit in which the function code is implemented. 2, Bit 1, Bit 0) can be implemented.

이 때, 제 1 기능 코드, 제 2 기능 코드, 제 3 기능 코드, 및 제 4 기능 코드는 각각 '00', '01', '10', 및 '11'으로 표현될 수 있다. 즉, 기능 코드 '00'은 별도의 보안 설정이 없음을 의미하며, 이에 따라 해당 코드를 수신한 기기는 보안키 등에 대한 별도의 변경 없이 IEC 62351-6에서 정의한 바와 같이 데이터 무결성 검사를 위해 인증 절차를 수행한다. 그리고, 인증값이 일치할 경우, GOOSE/SMV 서비스를 수행한다. 기능 코드 '01'은 해당 필드가 여분 비트(Reserved bit)에 해당하고, 이에 따라, 해당 코드를 수신한 기기는 별도의 인증 절차 없이 바로 서비스 수행을 개시한다. 기능 코드 '10'은 암호용 보안키의 생성 및 갱신에 대한 명령 코드이다. 기능 코드 '11'은 재생공격 방어를 위한 시간오차 범위 변경 명령에 대한 코드이다.In this case, the first function code, the second function code, the third function code, and the fourth function code may be represented by '00', '01', '10', and '11', respectively. That is, the function code '00' means that there is no separate security setting. Accordingly, the device receiving the code has no authentication procedure for data integrity check as defined in IEC 62351-6. Perform If the authentication values match, the GOOSE / SMV service is performed. The function code '01' corresponds to a reserved bit in the corresponding field, and accordingly, the device receiving the code immediately starts service without additional authentication. Function code '10' is a command code for the generation and update of the encryption security key. The function code '11' is a code for a time error range change command for replay attack defense.

그리고, 수행 코드는 기능 코드의 값에 따라 변하는 데이터로, 보안 컨트롤러 필드의 일 실시예에서는 기능 코드가 '00'인 경우, 수행 코드는 Null data로 채워질 수 있다. 기능 코드가 '01'인 경우, 수행 코드는 여분(Reserved) 필드 데이터로 채워질 수 있다. 기능 코드가 '10'인 경우, 수행 코드 6 비트 중 상위 3 비트는 데이터 기밀성 보장을 위한 암호용 보안키 알고리즘 및 보안키 사이즈를 표현하는 데이터로 채워지며, 하위 3 비트는 암호용 보안키 생성을 위한 생성 함수에 대한 데이터로 채워질 수 있다. 기능 코드가 '11'인 경우 재생공격 방지를 위해 허용 가능한 시간오차 범위를 임의의 시간 단위(ex; 10초)로 설정하는 데이터로 채워질 수 있다.And, the execution code is data that changes according to the value of the function code. In one embodiment of the security controller field, when the function code is '00', the execution code may be filled with null data. If the function code is '01', the execution code may be filled with reserved field data. If the function code is '10', the upper 3 bits of the execution code 6 bits are filled with data representing the encryption security key algorithm and the security key size to ensure data confidentiality, and the lower 3 bits contain the encryption security key generation. Can be populated with data about the generated function. If the function code is '11', it may be filled with data that sets an allowable time error range in an arbitrary time unit (eg, 10 seconds) to prevent a replay attack.

그리고, 프로토콜 데이터 유닛에 구비되는 여분(Reserved) 필드에 단계(S103)에서 생성된 보안 컨트롤러 필드를 삽입하여, 보안 프로토콜 데이터 유닛을 생성한다(S104). 본 발명은 프로토콜 데이터 유닛에 구비되는 여분의 필드(Reserved field)를 활용하여 보안키 갱신 및 시간오차 설정정보 등을 공유함으로써 별도의 프로토콜의 운영 없이도 높은 보안성을 확보할 수 있다.Then, the security controller field generated in step S103 is inserted into the reserved field included in the protocol data unit to generate a security protocol data unit (S104). The present invention can secure high security without the operation of a separate protocol by sharing the security key update and time error setting information by utilizing the reserved field provided in the protocol data unit.

그리고, 단계(S104)에서 생성된 보안 프로토콜 데이터 유닛을 특정 기기에 전송한다(S105).
Then, the security protocol data unit generated in step S104 is transmitted to the specific device (S105).

도 5를 참조하면, 본 발명에 따른 보안서비스 제공 방법에 있어서, 보안 프로토콜 데이터 유닛을 수신하고 이에 회신하는 방법은 먼저, 도 1에 따라 생성된 보안 프로토콜 데이터 유닛을 수신한다(S201).Referring to FIG. 5, in the method for providing a security service according to the present invention, a method of receiving and returning a security protocol data unit first receives a security protocol data unit generated according to FIG. 1 (S201).

그리고, 단계(S201)에서 수신된 보안 프로토콜 데이터 유닛에서 기능 코드를 확인한다(S202).Then, the function code is checked in the security protocol data unit received in step S201 (S202).

그리고, 보안 프로토콜 데이터 유닛의 수행 코드를 참조하여, 기능 코드에 대응되는 동작을 수행한다(S203). 즉, 단계(S202)에서 제 1 기능 코드가 확인되었다면, 별도의 보안키의 생성 및 갱신 절차 없이 인증 절차를 개시한다. 그리고, 단계(S202)에서 제 2 기능 코드가 확인되었다면, 보안 프로토콜 데이터 유닛의 해당 보안 컨트롤러 필드를 여분 필드로 간주 후, 서비스를 수행한다. 단계(S202)에서 제 3 기능 코드가 확인되었다면, 보안키를 생성 및 갱신한다. 단계(S202)에서 제 4 기능 코드가 확인되었다면, 재생공격 방지를 위해 허용 가능한 시간오차 범위를 임의의 시간 단위(ex; 10초)로 설정한다.The operation corresponding to the function code is performed by referring to the execution code of the security protocol data unit (S203). That is, if the first function code is confirmed in step S202, the authentication procedure is started without a separate security key generation and update procedure. If the second function code is confirmed in step S202, the corresponding security controller field of the security protocol data unit is regarded as an extra field and then service is performed. If the third function code is confirmed in step S202, a security key is generated and updated. If the fourth function code is confirmed in step S202, the allowable time error range is set in an arbitrary time unit (for example, 10 seconds) to prevent the replay attack.

단계(S203) 즉, 기능 코드에 대응되는 동작을 수행 후, 응답 컨트롤러 필드를 생성한다(S204).In other words, after performing an operation corresponding to the function code (S203), a response controller field is generated (S204).

그리고, 프로토콜 데이터 유닛에 구비되는 여분 필드 즉, 응답 여분 필드에 단계(S204)에서 생성된 응답 컨트롤러 필드를 삽입하여, 응답 프로토콜 데이터 유닛을 생성한다(S205). 이 때, 응답 여분 필드는 1 바이트(byte)로 형성될 수 있다. 이 때, 응답 컨트롤러 필드는 수신한 기능 코드와 동일한 데이터를 갖는 기능 코드, 및 수행 완료 또는 수행 오류에 대한 응답 코드가 결합된 것이다. 이 때, 응답 컨트롤러 필드의 일 실시예는, 도 6과 같이 구현될 수 있다. 기능 코드는 2 비트(bit), 수행 코드는 6 비트(bit)로 구현될 수 있다. 그리고, 기능 코드는 응답 컨트롤러 필드 구체적으로, 응답 여분 필드에 있어서, 최상위 두 개의 비트(Bit 7, Bit 6)에 구현되며, 응답 코드는 기능 코드가 구현된 비트 이하의 여섯 개의 비트(Bit 5, Bit 4, Bit 3, Bit 2, Bit 1, Bit 0)에 구현될 수 있다. 그리고, 응답 코드에 있어서의 최상위 비트(Bit 5)는 수행 결과를 표시하고, 나머지 다섯 개의 비트 (Bit 4, Bit 3, Bit 2, Bit 1, Bit 0)는 수행 완료 ACK 또는 오류 메시지 코드를 표현하도록 형성될 수 있다.Then, the response controller field generated in step S204 is inserted into the redundant field included in the protocol data unit, that is, the response redundant field, to generate a response protocol data unit (S205). In this case, the response spare field may be formed of 1 byte. At this time, the response controller field is a combination of a function code having the same data as the received function code, and a response code for execution completion or execution error. In this case, one embodiment of the response controller field may be implemented as shown in FIG. 6. The function code may be implemented in 2 bits and the execution code in 6 bits. In addition, the function code is implemented in the response controller field, specifically, the top two bits (Bit 7, Bit 6) in the response redundant field, and the response code includes six bits (Bit 5, less than the bit in which the function code is implemented). Bit 4, Bit 3, Bit 2, Bit 1, Bit 0) can be implemented. The most significant bit (Bit 5) in the response code indicates an execution result, and the remaining five bits (Bit 4, Bit 3, Bit 2, Bit 1, Bit 0) represent an execution completion ACK or an error message code. It can be formed to.

그리고, 단계(S205)에서 생성된 응답 프로토콜 데이터 유닛을 보안 프로토콜 데이터 유닛을 전송한 기기로 회신한다(S206).
The response protocol data unit generated in step S205 is returned to the device that transmitted the security protocol data unit (S206).

이하에서는, 본 발명에 따른 보안서비스 제공 방법에 있어서, 보안 프로토콜 데이터 유닛을 수신하고, 회신할 때까지의 단계에 대한 일 실시예에 대하여 설명하도록 한다.In the following description, an embodiment of a method for receiving and returning a security protocol data unit in a security service providing method according to the present invention will be described.

도 7은 본 발명에 따른 보안서비스 제공 방법에 있어서, 보안 프로토콜 데이터 유닛을 수신하고 이에 대하여 회신하는 방법의 일 실시예를 설명하기 위한 플로우챠트이다. 이 때, 기능 코드 및 수행 코드를 포함하는 보안 컨트롤러 필드는 도 3 및 도 4에 도시된 것을 사용한다.
7 is a flowchart for explaining an embodiment of a method for receiving and returning a security protocol data unit in a method for providing a security service according to the present invention. In this case, the security controller field including the function code and the execution code uses the ones shown in FIGS. 3 and 4.

도 7을 참조하면, 먼저, 보안 프로토콜 데이터 유닛을 수신한다(S301). 그리고, 단계(S301)에서 수신된 보안 프로토콜 데이터 유닛에서 기능 코드를 확인한다(S302).Referring to FIG. 7, first, a security protocol data unit is received (S301). Then, the function code is checked in the security protocol data unit received in step S301 (S302).

기능 코드의 첫 번째 즉, 최상위 비트가 0인지를 판단한다(S303). 단계(S303)의 판단 결과 기능 코드의 최상위 비트가 0인 경우, 기능 코드의 두 번째 비트가 0인지를 판단한다(S304). It is determined whether the first, that is, most significant bit of the function code is 0 (S303). If it is determined in step S303 that the most significant bit of the function code is 0, it is determined whether the second bit of the function code is 0 (S304).

단계(S304)의 판단 결과, 기능 코드의 두 번째 비트가 0인 경우, 해당 기능 코드는 '00'이므로, 별도의 보안 설정이 없는 것으로 판단하고, 이에 따라 해당 코드를 수신한 기기는 보안키 등에 대한 별도의 변경 없이 IEC 62351-6에서 정의한 바와 같이 데이터 무결성 검사를 위해 인증 절차를 수행한다. 즉, 인증 코드가 상호 일치하는지를 판단한다(S305). 단계(S305)의 판단 결과, 인증 코드가 일치한다면, GOOSE/SMV 서비스를 수행한다(S306). 반면, 단계(S305)의 판단 결과, 인증 코드가 일치하지 않는다면, 절차를 종료한다.As a result of the determination in step S304, when the second bit of the function code is 0, since the corresponding function code is '00', it is determined that there is no separate security setting. The authentication procedure is performed to check data integrity as defined in IEC 62351-6, without any change. In other words, it is determined whether the authentication codes coincide with each other (S305). As a result of the determination in step S305, if the authentication codes match, the GOOSE / SMV service is performed (S306). On the other hand, if the authentication code does not match, as a result of the determination of step S305, the procedure ends.

단계(S304)의 판단 결과, 기능 코드의 두 번째 비트가 0이 아닌 경우, 해당 기능 코드는 '01'이므로, 해당 기능 코드를 포함하는 보안 컨트롤러 필드를 여분 필드로 간주하여 별도의 인증 절차 없이 바로 서비스 수행을 개시한다(S307).If the second bit of the function code is not 0, the function code is '01'. The service is started (S307).

단계(S303)의 판단 결과, 기능 코드의 첫 번째 비트가 0이 아닌 경우, 기능 코드의 두 번째 비트가 0인지를 판단한다(S308).As a result of the determination in step S303, if the first bit of the function code is not 0, it is determined whether the second bit of the function code is 0 (S308).

단계(S308)의 판단 결과, 기능 코드의 두 번째 비트가 0이 아닌 경우, 해당 기능 코드는 '11'이므로, 재생공격 방어를 위한 시간오차 범위를 설정한다(S309).As a result of the determination in step S308, when the second bit of the function code is not 0, since the corresponding function code is '11', a time error range for replay attack defense is set (S309).

단계(S308)의 판단 결과, 기능 코드의 두 번째 비트가 0인 경우, 해당 기능 코드는 '10'이므로, 암호용 보안키의 생성 및 갱신의 절차를 수행한다(S310). 수행 코드의 데이터 기밀성 보장을 위한 암호용 보안키 알고리즘, 보안키 사이즈 및 암호용 보안키 생성을 위한 생성 함수를 이용하여, 보안키를 생성 및 갱신한다. 즉, 수신된 데이터의 메시지 인증코드(MAC; Message Authentication Code)을 연산(해쉬 등)한 후 연산 결과값을 보안키 생성 함수의 입력값으로 사용하여 원하는 크기의 보안키를 생성한다.
As a result of the determination in step S308, when the second bit of the function code is 0, since the corresponding function code is '10', the procedure of generating and updating the encryption security key is performed (S310). A security key is generated and updated using a cryptographic security key algorithm for ensuring data confidentiality of the execution code, a security key size, and a generation function for generating a cryptographic security key. That is, after calculating (hashing) a message authentication code (MAC) of the received data, a security key having a desired size is generated using the operation result as an input value of the security key generation function.

한편, 상술한 보안서비스 제공 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터로 판독 가능한 기록 매체에 기록될 수 있다. 이 때, 컴퓨터로 판독 가능한 기록매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 한편, 기록매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다.On the other hand, the above-described security service providing method is implemented in the form of program instructions that can be executed by various computer means may be recorded in a computer-readable recording medium. In this case, the computer-readable recording medium may include program instructions, data files, data structures, etc. alone or in combination. On the other hand, the program instructions recorded on the recording medium may be those specially designed and configured for the present invention or may be available to those skilled in the art of computer software.

컴퓨터로 판독 가능한 기록매체에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(Magnetic Media), CD-ROM, DVD와 같은 광기록 매체(Optical Media), 플롭티컬 디스크(Floptical Disk)와 같은 자기-광매체(Magneto-Optical Media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 한편, 이러한 기록매체는 프로그램 명령, 데이터 구조 등을 지정하는 신호를 전송하는 반송파를 포함하는 광 또는 금속선, 도파관 등의 전송 매체일 수도 있다.
Computer-readable recording media include magnetic media such as hard disks, floppy disks, and magnetic tape, optical media such as CD-ROMs, DVDs, and magnetic disks such as floppy disks. Magneto-optical media, and hardware devices specifically configured to store and execute program instructions, such as ROM, RAM, flash memory, and the like. The recording medium may be a transmission medium such as an optical or metal wire, a waveguide, or the like including a carrier wave for transmitting a signal specifying a program command, a data structure, or the like.

이하에서는 본 발명에 따른 보안서비스 제공 장치의 구성 및 동작에 대하여 설명하도록 한다.Hereinafter will be described the configuration and operation of the security service providing apparatus according to the present invention.

도 8은 본 발명에 따른 보안서비스 제공 장치의 구성을 나타낸 블록도이다.
8 is a block diagram showing the configuration of a security service providing apparatus according to the present invention.

도 8을 참조하면, 본 발명에 따른 보안서비스 제공 장치(100)는 보안서비스 전송부(110) 및 보안서비스 수신부(120)를 포함하여 구성될 수 있다. 이러한, 본 발명에 따른 보안서비스 제공 장치(100)는 보안서비스 전송부(110)와 보안서비스 수신부(120)가 별개의 장치에서 구현될 수 있다.Referring to FIG. 8, the security service providing apparatus 100 according to the present invention may include a security service transmitter 110 and a security service receiver 120. In the security service providing apparatus 100 according to the present invention, the security service transmitter 110 and the security service receiver 120 may be implemented in separate devices.

보안서비스 전송부(110)는 기능 코드 생성부(111), 수행 코드 생성부(112), 보안 컨트롤러 필드 생성부(113), 보안 프로토콜 데이터 유닛 생성부(114) 및 전송부(115)를 포함하여 구성된다.The security service transmitter 110 includes a function code generator 111, an execution code generator 112, a security controller field generator 113, a security protocol data unit generator 114, and a transmitter 115. It is configured by.

기능 코드 생성부(111)는 인증 절차 개시 명령에 대한 제 1 기능 코드, 서비스 수행 개시 명령에 대한 제 2 기능 코드, 보안키의 생성 및 갱신 명령에 대한 제 3 기능 코드, 및 시간오차범위 변경 명령에 대한 제 4 기능 코드 중의 하나에 대한 기능 코드를 생성한다.The function code generating unit 111 may include a first function code for an authentication procedure start command, a second function code for a service execution start command, a third function code for a security key generation and update command, and a time error range change command. Generate a function code for one of the fourth function codes for.

수행 코드 생성부(112)는 기능 코드에 따른 명령의 수행을 위한 수행 코드를 생성한다. 구체적으로, 기능 코드 생성부(111)에서 제 1 기능 코드가 생성된 경우, 수행 코드 생성부(112)는 데이터 무결성 검사에 관한 인증 절차를 수행하기 위한 제 1 수행 코드를 생성한다. 기능 코드 생성부(111)에서 제 2 기능 코드가 생성된 경우, 수행 코드 생성부(112)는 보안 프로토콜 데이터 유닛에 의한 서비스의 수행 개시를 위한 제 2 수행 코드를 생성한다. 기능 코드 생성부(111)에서 제 3 기능 코드가 생성된 경우, 수행 코드 생성부(112)는 암호용 보안키 알고리즘, 보안키의 사이즈 및 상기 암호용 보안키의 생성을 위한 생성 함수를 표현하는 제 3 수행 코드를 생성한다. 기능 코드 생성부(111)에서 제 4 기능 코드가 생성된 경우, 수행 코드 생성부(112)는 재생 공격 방어를 위한 시간오차 범위 변경의 수행을 위한 제 4 수행 코드를 생성한다.The execution code generation unit 112 generates an execution code for executing the command according to the function code. In detail, when the first function code is generated in the function code generator 111, the execution code generator 112 generates a first execution code for performing an authentication procedure regarding a data integrity check. When the second function code is generated in the function code generation unit 111, the execution code generation unit 112 generates a second execution code for starting to perform a service by the security protocol data unit. When the third function code is generated in the function code generator 111, the execution code generator 112 expresses an encryption security key algorithm, a size of the security key, and a generation function for generating the encryption security key. Generate third implementation code. When the fourth function code is generated in the function code generator 111, the execution code generator 112 generates a fourth execution code for performing a time error range change for the replay attack defense.

보안 컨트롤러 필드 생성부(113)는 기능 코드 및 수행 코드를 결합하여, 보안 컨트롤러 필드를 생성한다. The security controller field generator 113 combines a function code and an execution code to generate a security controller field.

보안 프로토콜 데이터 유닛 생성부(114)는 프로토콜 데이터 유닛에 구비되는 여분 필드에 보안 컨트롤러 필드를 삽입하여, 보안 프로토콜 데이터 유닛을 생성한다. 이 때, 보안 프로토콜 데이터 유닛은 헤더(Header) 필드, 길이(LEN; length) 필드, 응답 여분(Reseved) 필드, CRC 필드, 변전 자동화 프로토콜 필드, 연장(Extension) 필드가 순차적으로 나열되어 형성될 수 있다. 여기서, CRC 필드는 VLAN 정보를 포함하는 헤더(Header) 필드에 대한 필드이다. 그리고, 변전 자동화 프로토콜 필드는 GOOSE(Generic Object Oriented Substation Event) 또는 SMV(Sample Multicast Value) 프로토콜 필드일 수 있다. 또한, 연장(Extension) 필드는 변전 자동화 프로토콜 필드에 대한 인증 데이터를 구비하는 필드이다. 또한, 길이(LEN; length) 필드는 연장(Extension) 필드의 길이를 표현하는 필드이다. 또한, 응답 여분(Reserved) 필드는 1 바이트(byte)로 형성된다. 이 때, 응답 여분 필드에서 기능 코드는 2 비트(bit), 상기 수행 코드는 6 비트(bit)로 구현될 수 있다. 또한, 기능 코드는 응답 여분 필드에 있어서, 최상위 두 개의 비트에 구현될 수 있다.그리고, 본 발명에 따른 보안서비스 제공 방법에서의 보안 프로토콜 데이터 유닛은 IEC 62351-6에서 정의된 것일 수 있다. The security protocol data unit generation unit 114 inserts a security controller field into an extra field included in the protocol data unit to generate a security protocol data unit. In this case, the security protocol data unit may be formed by sequentially listing a header field, a length field, a response spare field, a CRC field, a substation automation protocol field, and an extension field. have. Here, the CRC field is a field for a header field including VLAN information. The substation automation protocol field may be a GOOSE (Generic Object Oriented Substation Event) or a SMV (Sample Multicast Value) protocol field. In addition, the Extension field is a field having authentication data for the substation automation protocol field. In addition, the length (LEN) field is a field representing the length of the extension field. In addition, the Response Reserved field is formed of 1 byte. In this case, the function code may be implemented in 2 bits and the execution code in 6 bits. Further, the function code may be implemented in the top two bits in the response spare field. The security protocol data unit in the security service providing method according to the present invention may be defined in IEC 62351-6.

전송부(115)는 보안 프로토콜 데이터 유닛 생성부(114)에서 생성된 보안 프로토콜 데이터 유닛을 특정 기기에 전송한다.
The transmission unit 115 transmits the security protocol data unit generated by the security protocol data unit generation unit 114 to a specific device.

보안서비스 수신부(120)는 수신부(121), 기능 코드 확인부(122), 동작 수행부(123), 응답 컨트롤러 필드 생성부(124), 응답 프로토콜 데이터 유닛 생성부(125) 및 회신부(126)를 포함하여 구성된다.The security service receiving unit 120 includes a receiving unit 121, a function code checking unit 122, an operation performing unit 123, a response controller field generating unit 124, a response protocol data unit generating unit 125, and a replying unit 126. It is configured to include).

수신부(121)는 전송된 보안 프로토콜 데이터 유닛을 수신한다.The receiving unit 121 receives the transmitted security protocol data unit.

기능 코드 확인부(122)는 보안 프로토콜 데이터 유닛에서 기능 코드를 확인한다.The function code checking unit 122 checks the function code in the security protocol data unit.

동작 수행부(123)는 수행 코드를 참조하여, 기능 코드에 대응되는 동작을 수행한다. 즉, 기능 코드 확인부(122)에서 제 1 기능 코드가 확인되었다면, 동작 수행부(123)는 별도의 보안키의 생성 및 갱신 절차 없이 인증 절차를 개시한다. 그리고, 기능 코드 확인부(122)에서 제 2 기능 코드가 확인되었다면, 동작 수행부(123)는 보안 프로토콜 데이터 유닛의 해당 보안 컨트롤러 필드를 여분 필드로 간주 후, 서비스를 수행한다. 기능 코드 확인부(122)에서 제 3 기능 코드가 확인되었다면, 동작 수행부(123)는 보안키를 생성 및 갱신한다. 기능 코드 확인부(122)에서 제 4 기능 코드가 확인되었다면, 동작 수행부(123)는 재생공격 방지를 위해 허용 가능한 시간오차 범위를 임의의 시간 단위(ex; 10초)로 설정한다.The operation execution unit 123 refers to the execution code and performs an operation corresponding to the function code. That is, if the first function code is confirmed by the function code confirmation unit 122, the operation execution unit 123 initiates an authentication procedure without a separate security key generation and update procedure. If the second function code is confirmed by the function code checking unit 122, the operation performing unit 123 considers the corresponding security controller field of the security protocol data unit as an extra field and then performs a service. If the third function code is confirmed by the function code checking unit 122, the operation performing unit 123 generates and updates the security key. If the fourth function code is confirmed by the function code checking unit 122, the operation performing unit 123 sets an allowable time error range in an arbitrary time unit (eg, 10 seconds) to prevent the replay attack.

응답 컨트롤러 필드 생성부(124)는 코드에 대응되는 동작을 수행한 후, 기능 코드 및 수행 완료 또는 수행 오류에 대한 응답 코드가 결합된 응답 컨트롤러 필드를 생성한다. 응답 컨트롤러 필드는 도 6과 같이 구현될 수 있다. After performing the operation corresponding to the code, the response controller field generator 124 generates a response controller field in which a function code and a response code for execution completion or execution error are combined. The response controller field may be implemented as shown in FIG. 6.

응답 프로토콜 데이터 유닛 생성부(125)는 프로토콜 데이터 유닛에 구비되는 응답 여분 필드에 응답 컨트롤러 필드를 삽입하여, 응답 프로토콜 데이터 유닛을 생성한다.The response protocol data unit generation unit 125 inserts the response controller field into the response spare field included in the protocol data unit, and generates a response protocol data unit.

회신부(126)는 응답 프로토콜 데이터 유닛 생성부(125)에서 생성된 응답 프로토콜 데이터 유닛을 보안 프로토콜 데이터 유닛을 전송한 기기에 회신한다.
The return unit 126 returns the response protocol data unit generated by the response protocol data unit generation unit 125 to the device that transmitted the security protocol data unit.

이상에서와 같이 본 발명에 따른 보안서비스 제공 방법 및 장치는 상기한 바와 같이 설명된 실시예들의 구성과 방법이 한정되게 적용될 수 있는 것이 아니라, 상기 실시예들은 다양한 변형이 이루어질 수 있도록 각 실시예들의 전부 또는 일부가 선택적으로 조합되어 구성될 수도 있다.As described above, the method and apparatus for providing a security service according to the present invention is not limited to the configuration and method of the embodiments described above, but the embodiments may be modified in various ways. All or part may be optionally combined.

100; 보안서비스 제공 장치
110; 보안서비스 전송부
111; 기능 코드 생성부
112; 수행 코드 생성부
113; 보안 컨트롤러 필드 생성부
114; 보안 프로토콜 데이터 유닛 생성부
115; 전송부
120; 보안서비스 수신부
121; 수신부
122; 기능 코드 확인부
123; 동작 수행부
124; 응답 컨트롤러 필드 생성부
125; 응답 프로토콜 데이터 유닛 생성부
126; 회신부100; Security service provision device
110; Security Service Transmitter
111; Function code generator
112; Execution code generator
113; Security Controller Field Generator
114; Security protocol data unit generator
115; [0050]
120; Security service receiver
121; Receiver
122; Function code confirmation
123; Action performer
124; Response controller field generator
125; Response protocol data unit generator
126; Reply

Claims (20)

인증 절차 개시 명령에 대한 제 1 기능 코드, 서비스 수행 개시 명령에 대한 제 2 기능 코드, 보안키의 생성 및 갱신 명령에 대한 제 3 기능 코드, 및 시간오차범위 변경 명령에 대한 제 4 기능 코드 중의 하나에 대한 기능 코드를 생성하는 단계;
상기 기능 코드에 따른 명령의 수행을 위한 수행 코드를 생성하는 단계;
상기 기능 코드 및 상기 수행 코드를 결합하여, 보안 컨트롤러 필드를 생성하는 단계;
프로토콜 데이터 유닛에 구비되는 여분 필드에 상기 보안 컨트롤러 필드를 삽입하여, 보안 프로토콜 데이터 유닛을 생성하는 단계; 및
상기 보안 프로토콜 데이터 유닛을 전송하는 단계를 포함하는 것을 특징으로 하는 보안서비스 제공 방법.One of a first function code for an authentication procedure start command, a second function code for a service execution start command, a third function code for a generation and update command of a security key, and a fourth function code for a time error range change command Generating a function code for;
Generating an execution code for performing an instruction according to the function code;
Combining the function code and the performance code to generate a security controller field;
Inserting the security controller field into an extra field included in a protocol data unit to generate a security protocol data unit; And
Transmitting the security protocol data unit. 청구항 1에 있어서,
상기 프로토콜 데이터 유닛은 헤더(Header) 필드, VLAN 정보를 포함하는 상기 헤더 필드에 대한 CRC 필드, 변전 자동화 프로토콜 필드, 및 상기 변전 자동화 프로토콜 필드에 대한 인증 데이터를 구비하는 연장(Extension) 필드가 순차적으로 나열되어 형성되며,
상기 헤더 필드와 상기 CRC 필드 사이에, 상기 연장 필드의 길이를 표현하는 길이(Length) 필드 및 상기 여분 필드가 형성된 것을 특징으로 하는 보안서비스 제공 방법.The method according to claim 1,
The protocol data unit includes a header field, a CRC field for the header field including VLAN information, a substation automation protocol field, and an extension field including authentication data for the substation automation protocol field. Are listed and formed,
And a length field representing the length of the extension field and the redundant field between the header field and the CRC field. 청구항 2에 있어서,
상기 기능 코드를 생성하는 단계에서 상기 제 1 기능 코드가 생성된 경우, 상기 수행 코드를 생성하는 단계에서, 데이터 무결성 검사에 관한 인증 절차를 수행하기 위한 제 1 수행 코드가 생성되며,
상기 기능 코드를 생성하는 단계에서 상기 제 2 기능 코드가 생성된 경우, 상기 수행 코드를 생성하는 단계에서, 상기 보안 프로토콜 데이터 유닛에 의한 서비스의 수행 개시를 위한 제 2 수행 코드가 생성되며,
상기 기능 코드를 생성하는 단계에서 상기 제 3 기능 코드가 생성된 경우, 상기 수행 코드를 생성하는 단계에서, 암호용 보안키 알고리즘, 상기 보안키의 사이즈 및 상기 암호용 보안키의 생성을 위한 생성 함수를 표현하는 제 3 수행 코드가 생성되며,
상기 기능 코드를 생성하는 단계에서 상기 제 3 기능 코드가 생성된 경우, 상기 수행 코드를 생성하는 단계에서, 재생공격 방어를 위한 시간오차 범위 변경의 수행을 위한 제 4 수행 코드가 생성되는 것을 특징으로 하는 보안서비스 제공 방법.The method according to claim 2,
When the first function code is generated in the step of generating the function code, in the step of generating the execution code, a first execution code for performing an authentication procedure relating to data integrity check is generated.
When the second function code is generated in the step of generating the function code, in the step of generating the execution code, a second execution code for starting performance of a service by the security protocol data unit is generated.
If the third function code is generated in the step of generating the function code, in the step of generating the execution code, a cryptographic security key algorithm, a size of the security key and a generation function for generating the cryptographic security key. A third perform code is generated that represents
When the third function code is generated in the step of generating the function code, in the step of generating the execution code, a fourth execution code for generating a time error range change for replay attack defense is generated. How to provide security services. 청구항 3에 있어서,
상기 여분 필드는 1 바이트(byte)로 형성되며, 상기 여분 필드에서 상기 기능 코드는 2 비트(bit), 상기 수행 코드는 6 비트(bit)로 구현되는 것을 특징으로 하는 보안서비스 제공 방법.The method according to claim 3,
The extra field is formed of 1 byte, wherein the function code is 2 bits, and the execution code is 6 bits. 청구항 4에 있어서,
상기 기능 코드는 상기 여분 필드에 있어서, 최상위 두 개의 비트에 구현되는 것을 특징으로 하는 보안서비스 제공 방법.The method of claim 4,
And the function code is implemented in the two most significant bits of the redundant field. 청구항 2에 있어서,
상기 변전 자동화 프로토콜 필드는 GOOSE(Generic Object Oriented Substation Event) 또는 SMV(Sample Multicast Value) 프로토콜 필드인 것을 특징으로 하는 보안서비스 제공 방법.The method according to claim 2,
The substation automation protocol field is a GOOSE (Generic Object Oriented Substation Event) or a SMV (Sample Multicast Value) protocol field. 청구항 1에 있어서,
상기 보안 프로토콜 데이터 유닛을 수신하는 단계;
상기 보안 프로토콜 데이터 유닛에서 상기 기능 코드를 확인하는 단계; 및
상기 수행 코드를 참조하여, 상기 기능 코드에 대응되는 동작을 수행하는 단계를 더 포함하는 것을 특징으로 하는 보안서비스 제공 방법.The method according to claim 1,
Receiving the secure protocol data unit;
Confirming the function code in the secure protocol data unit; And
And performing an operation corresponding to the function code with reference to the execution code. 청구항 7에 있어서,
상기 기능 코드에 대응되는 동작을 수행한 후, 상기 기능 코드 및 수행 완료 또는 수행 오류에 대한 응답 코드가 결합된 응답 컨트롤러 필드를 생성하는 단계;
상기 프로토콜 데이터 유닛에 구비되는 응답 여분 필드에 상기 응답 컨트롤러 필드를 삽입하여, 응답 프로토콜 데이터 유닛을 생성하는 단계; 및
상기 응답 프로토콜 데이터 유닛을 회신하는 단계를 더 포함하는 것을 특징으로 하는 보안서비스 제공 방법.The method of claim 7,
After performing an operation corresponding to the function code, generating a response controller field in which the function code and a response code for execution completion or execution error are combined;
Generating a response protocol data unit by inserting the response controller field into a response spare field provided in the protocol data unit; And
Returning the response protocol data unit. 청구항 8에 있어서,
상기 응답 여분 필드는 1 바이트(byte)로 형성되며, 상기 응답 여분 필드에서 상기 기능 코드는 2 비트(bit), 상기 응답 코드는 6 비트(bit)로 구현되는 것을 특징으로 하는 보안서비스 제공 방법.The method according to claim 8,
The response extra field is formed of 1 byte, wherein the function code is 2 bits and the response code is 6 bits in the response extra field. 청구항 9에 있어서,
상기 기능 코드는 상기 응답 여분 필드에 있어서, 최상위 두 개의 비트에 구현되는 것을 특징으로 하는 보안서비스 제공 방법.The method according to claim 9,
And wherein the function code is implemented in the two most significant bits of the response spare field. 인증 절차 개시 명령에 대한 제 1 기능 코드, 서비스 수행 개시 명령에 대한 제 2 기능 코드, 보안키의 생성 및 갱신 명령에 대한 제 3 기능 코드, 및 시간오차범위 변경 명령에 대한 제 4 기능 코드 중의 하나에 대한 기능 코드를 생성하는 기능 코드 생성부;
상기 기능 코드에 따른 명령의 수행을 위한 수행 코드를 생성하는 수행 코드 생성부;
상기 기능 코드 및 상기 수행 코드를 결합하여, 보안 컨트롤러 필드를 생성하는 보안 컨트롤러 필드 생성부;
프로토콜 데이터 유닛에 구비되는 여분 필드에 상기 보안 컨트롤러 필드를 삽입하여, 보안 프로토콜 데이터 유닛을 생성하는 보안 프로토콜 데이터 유닛 생성부; 및
상기 보안 프로토콜 데이터 유닛을 전송하는 전송부를 포함하는 것을 특징으로 하는 보안서비스 제공 장치.One of a first function code for an authentication procedure start command, a second function code for a service execution start command, a third function code for a generation and update command of a security key, and a fourth function code for a time error range change command A function code generation unit for generating a function code for the;
An execution code generation unit for generating an execution code for executing an instruction according to the function code;
A security controller field generator for generating a security controller field by combining the function code and the execution code;
A security protocol data unit generation unit inserting the security controller field into an extra field included in a protocol data unit to generate a security protocol data unit; And
And a transmission unit for transmitting the security protocol data unit. 청구항 11에 있어서,
상기 프로토콜 데이터 유닛은 헤더(Header) 필드, VLAN 정보를 포함하는 상기 헤더 필드에 대한 CRC 필드, 변전 자동화 프로토콜 필드, 및 상기 변전 자동화 프로토콜 필드에 대한 인증 데이터를 구비하는 연장(Extension) 필드가 순차적으로 나열되어 형성되며,
상기 헤더 필드와 상기 CRC 필드 사이에, 상기 연장 필드의 길이를 표현하는 길이(Length) 필드 및 상기 여분 필드가 형성된 것을 특징으로 하는 보안서비스 제공 장치.The method of claim 11,
The protocol data unit includes a header field, a CRC field for the header field including VLAN information, a substation automation protocol field, and an extension field including authentication data for the substation automation protocol field. Are listed and formed,
And a length field representing the length of the extension field and the redundant field between the header field and the CRC field. 청구항 12에 있어서,
상기 기능 코드 생성부에서 상기 제 1 기능 코드가 생성된 경우, 상기 수행 코드 생성부는 데이터 무결성 검사에 관한 인증 절차를 수행하기 위한 제 1 수행 코드를 생성하며,
상기 기능 코드 생성부에서 상기 제 2 기능 코드가 생성된 경우, 상기 수행 코드 생성부는 상기 보안 프로토콜 데이터 유닛에 의한 서비스의 수행 개시를 위한 제 2 수행 코드를 생성하며,
상기 기능 코드 생성부에서 상기 제 3 기능 코드가 생성된 경우, 상기 수행 코드 생성부는 암호용 보안키 알고리즘, 상기 보안키의 사이즈 및 상기 암호용 보안키의 생성을 위한 생성 함수를 표현하는 제 3 수행 코드를 생성하며,
상기 기능 코드 생성부에서 상기 제 4 기능 코드가 생성된 경우, 상기 수행 코드 생성부는 재생공격 방어를 위한 시간오차 범위 변경의 수행을 위한 제 4 수행 코드를 생성하는 것을 특징으로 하는 보안서비스 제공 장치.The method of claim 12,
When the first function code is generated by the function code generator, the execution code generator generates a first execution code for performing an authentication procedure regarding a data integrity check.
When the second function code is generated in the function code generation unit, the execution code generation unit generates a second execution code for starting to perform a service by the security protocol data unit,
When the third function code is generated by the function code generator, the execution code generator may perform a third operation to express an encryption security key algorithm, a size of the security key, and a generation function for generating the encryption security key. Generate code,
And when the fourth function code is generated by the function code generator, the execution code generator generates a fourth execution code for changing a time error range for replay attack defense. 청구항 13에 있어서,
상기 여분 필드는 1 바이트(byte)로 형성되며, 상기 여분 필드에서 상기 기능 코드는 2 비트(bit), 상기 수행 코드는 6 비트(bit)로 구현되는 것을 특징으로 하는 보안서비스 제공 장치.The method according to claim 13,
The extra field is formed of 1 byte, wherein the function code is 2 bits, the execution code is implemented in 6 bits (bit) in the extra field. 청구항 14에 있어서,
상기 기능 코드는 상기 여분 필드에 있어서, 최상위 두 개의 비트에 구현되는 것을 특징으로 하는 보안서비스 제공 장치.The method according to claim 14,
And the function code is implemented in the two most significant bits of the redundant field. 청구항 12에 있어서,
상기 변전 자동화 프로토콜 필드는 GOOSE(Generic Object Oriented Substation Event) 또는 SMV(Sample Multicast Value) 프로토콜 필드인 것을 특징으로 하는 보안서비스 제공 장치.The method of claim 12,
The substation automation protocol field is a security service providing device, characterized in that the GOOSE (Generic Object Oriented Substation Event) or SMV (Sample Multicast Value) protocol field. 청구항 11에 있어서,
상기 보안 프로토콜 데이터 유닛을 수신하는 수신부;
상기 보안 프로토콜 데이터 유닛에서 상기 기능 코드를 확인하는 기능 코드 확인부; 및
상기 수행 코드를 참조하여, 상기 기능 코드에 대응되는 동작을 수행하는 동작 수행부를 더 포함하는 것을 특징으로 하는 보안서비스 제공 장치.The method of claim 11,
A receiving unit for receiving the security protocol data unit;
A function code checking unit for checking the function code in the security protocol data unit; And
And an operation execution unit configured to perform an operation corresponding to the function code with reference to the execution code. 청구항 17에 있어서,
상기 기능 코드에 대응되는 동작을 수행한 후, 상기 기능 코드 및 수행 완료 또는 수행 오류에 대한 응답 코드가 결합된 응답 컨트롤러 필드를 생성하는 응답 컨트롤러 필드 생성부;
상기 프로토콜 데이터 유닛에 구비되는 응답 여분 필드에 상기 응답 컨트롤러 필드를 삽입하여, 응답 프로토콜 데이터 유닛을 생성하는 응답 프로토콜 데이터 유닛 생성부; 및
상기 응답 프로토콜 데이터 유닛을 회신하는 회신부를 더 포함하는 것을 특징으로 하는 보안서비스 제공 장치.18. The method of claim 17,
A response controller field generator for generating a response controller field in which the function code and the response code for the execution completion or the execution error are combined after performing an operation corresponding to the function code;
A response protocol data unit generation unit for generating a response protocol data unit by inserting the response controller field into a response spare field included in the protocol data unit; And
And a replying unit which returns the response protocol data unit. 청구항 18에 있어서,
상기 응답 여분 필드는 1 바이트(byte)로 형성되며, 상기 응답 여분 필드에서 상기 기능 코드는 2 비트(bit), 상기 응답 코드는 6 비트(bit)로 구현되는 것을 특징으로 하는 보안서비스 제공 장치.19. The method of claim 18,
The response extra field is formed of 1 byte, wherein the function code is 2 bits and the response code is 6 bits in the response extra field. 청구항 19에 있어서,
상기 기능 코드는 상기 응답 여분 필드에 있어서, 최상위 두 개의 비트에 구현되는 것을 특징으로 하는 보안서비스 제공 장치.The method of claim 19,
And the function code is implemented in the two most significant bits of the response spare field.
KR1020110098827A 2011-09-29 2011-09-29 Method and Apparatus for providing security service KR101902016B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020110098827A KR101902016B1 (en) 2011-09-29 2011-09-29 Method and Apparatus for providing security service

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110098827A KR101902016B1 (en) 2011-09-29 2011-09-29 Method and Apparatus for providing security service

Publications (2)

Publication Number Publication Date
KR20130034771A true KR20130034771A (en) 2013-04-08
KR101902016B1 KR101902016B1 (en) 2018-10-01

Family

ID=48436779

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110098827A KR101902016B1 (en) 2011-09-29 2011-09-29 Method and Apparatus for providing security service

Country Status (1)

Country Link
KR (1) KR101902016B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160038549A (en) * 2014-09-30 2016-04-07 한국전력공사 System and method for handling smart metering control porotocol

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100913691B1 (en) * 2008-06-13 2009-08-24 한국철도기술연구원 Railway communication method in open transmission-based systems
KR20090102469A (en) * 2008-03-26 2009-09-30 한국전기연구원 System and method for data protection and security of scada network based on dnp
US20090300350A1 (en) * 2003-02-13 2009-12-03 Cisco Technology, Inc. Security groups
KR20110042877A (en) * 2009-10-20 2011-04-27 한국전력공사 Transaction based cyber security apparatus and transaction based cyber security method for the smart distribution network management system

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090300350A1 (en) * 2003-02-13 2009-12-03 Cisco Technology, Inc. Security groups
KR20090102469A (en) * 2008-03-26 2009-09-30 한국전기연구원 System and method for data protection and security of scada network based on dnp
KR100913691B1 (en) * 2008-06-13 2009-08-24 한국철도기술연구원 Railway communication method in open transmission-based systems
KR20110042877A (en) * 2009-10-20 2011-04-27 한국전력공사 Transaction based cyber security apparatus and transaction based cyber security method for the smart distribution network management system

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
"Power systems management and associated information exchange ? Data and communications security ? Part6: Security for IEC 61850", TECHNICAL SPECIFICATION, IEC TS 62351-6, First edition (2007.06.) *
DRAFT:IEC *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160038549A (en) * 2014-09-30 2016-04-07 한국전력공사 System and method for handling smart metering control porotocol

Also Published As

Publication number Publication date
KR101902016B1 (en) 2018-10-01

Similar Documents

Publication Publication Date Title
CN106375287B (en) Charging method of new energy automobile
JP2022527902A (en) Electric vehicle charging station system
US8938621B2 (en) Computing device integrity protection
CN103178956B (en) Method for realizing encrypted authentication of distribution automation remote control command
CN107204850A (en) A kind of lightweight car networking safety communicating method
CN104660603A (en) Method and system for extended use of quantum keys in IPSec VPN (internet protocol security-virtual private network)
CN104380655A (en) Mechanisms for certificate revocation status verification on constrained devices
KR101575862B1 (en) Security association system between heterogeneous power devices
CN104702466A (en) IEC62351 (International Electrotechnical Commission 62351)-based process layer safety test system and method
CN111107085A (en) Safety communication method based on publish-subscribe mode
CN101304310A (en) Method for reinforcing network SSL service
CN112968778A (en) Block chain state encryption algorithm conversion method and system, computer equipment and application
CN102377571A (en) Method and system for implementing IEC104 message transmission
CN110224823A (en) Substation's message safety protecting method, device, computer equipment and storage medium
CN102857393A (en) Message simulation based non-public cryptographic algorithm SSL (secure sockets layer) VPN (virtual private network) equipment performance testing method
CN102420642A (en) Bluetooth device and communication method thereof
CN110267266A (en) A kind of improved train control system secure data exchange method
CN109586924A (en) A kind of intelligent distribution network data safe transmission method based on cloud computing
Attanasio et al. MiniV2G: an electric vehicle charging emulator
KR101902016B1 (en) Method and Apparatus for providing security service
CN104639330A (en) GOOSE (Generic Object Oriented Substation Event) message integrity authentication method
US20130054957A1 (en) Two-Way, Secure, Data Communication within Critical Infrastructures
CN103905197A (en) SIM card and external device binding and verifying method
CN104994107A (en) MMS message off-line analysis method based on IEC62351
CN115664712A (en) Data grading safe interaction method and system for distributed energy and low-voltage distribution network

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant