KR101048286B1 - Scada 통신 보안을 위한 다중 암호화 장치 및 그 방법 - Google Patents

Scada 통신 보안을 위한 다중 암호화 장치 및 그 방법 Download PDF

Info

Publication number
KR101048286B1
KR101048286B1 KR1020080136885A KR20080136885A KR101048286B1 KR 101048286 B1 KR101048286 B1 KR 101048286B1 KR 1020080136885 A KR1020080136885 A KR 1020080136885A KR 20080136885 A KR20080136885 A KR 20080136885A KR 101048286 B1 KR101048286 B1 KR 101048286B1
Authority
KR
South Korea
Prior art keywords
encryption
unit
intrusion
encryption algorithm
algorithm
Prior art date
Application number
KR1020080136885A
Other languages
English (en)
Other versions
KR20100078584A (ko
Inventor
강동주
이종주
김석주
Original Assignee
한국전기연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전기연구원 filed Critical 한국전기연구원
Priority to KR1020080136885A priority Critical patent/KR101048286B1/ko
Publication of KR20100078584A publication Critical patent/KR20100078584A/ko
Application granted granted Critical
Publication of KR101048286B1 publication Critical patent/KR101048286B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • H04L9/16Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms the keys or algorithms being changed during operation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

SCADA 통신 보안을 위한 다중 암호화 장치 및 그 방법이 개시된다. 본 발명의 일 실시예에 따른 다중 암호화 장치는 SCADA(Supervisory Control and Data Acquisition) 통신 보안을 위한 다중 암호화 장치에 있어서, 복수의 암호화 알고리즘을 적재하는 알고리즘 적재부; 상기 복수의 암호화 알고리즘 중 적어도 하나 이상을 선택하는 선택부; 및 상기 선택부를 제어하여 암호화 알고리즘이 선택되도록 하고, 상기 선택부에 의해 선택된 암호화 알고리즘을 적용하는 적용부를 포함할 수 있고 나아가, 상기 복수의 암호화 알고리즘의 보안키를 관리하고, 상기 적용부에 의해 적용되는 암호화 알고리즘에 대한 보안키의 갱신 및 분배를 결정하는 키 관리부를 더 포함할 수 있다.
Figure R1020080136885
SCADA(Supervisory Control and Data Acquisition), 다중 암호화, 보안, 침입

Description

SCADA 통신 보안을 위한 다중 암호화 장치 및 그 방법{MULTIPLE ENCRYPTION APPARATUS AND METHOD FOR SUPERVISORY CONTROL AND DATA ACQUISITION COMMUNICATION SECURITY}
본 발명은 다중 암호화에 관한 것으로, 보다 상세하게는 감시제어 및 데이터취득(SCADA: Supervisory Control and Data Acquisition) 네트워크의 엔드-투-엔드(end-to-end) 통신의 암호화를 수행하는 과정에서 발생될 수 있는 외부 공격에 대비할 수 있는 SCADA 통신 보안을 위한 다중 암호화 장치 및 그 방법에 관한 것이다.
SCADA 시스템은 원격지에 설치되어 있는 장치 및 장비를 중앙에서 감시 및 제어하기 위한 시스템으로, 크게 중앙 운영자가 감시 및 제어할 수 있도록 하는 중앙통제 컴퓨터 혹은 SCADA 서버, 그리고 원격지로 설치되어 중앙통제 컴퓨터의 제어가 이루어지는 원격지 장비들(예를 들어, RTU, MTU 등), 그리고 중앙통제 컴퓨터와 원격지 장비들의 데이터 전송로를 형성하는 유/무선 상의 통신 링크 등으로 구성되는 것이 일반적이다.
원격지 장비들의 경우 데이터 수집, 원격 제어 및 원격진단 등의 기능을 독 립적으로 가지며, 그에 따른 상황 및 내역을 중앙통제 컴퓨터로 전송하도록 구현되고, 중앙통제 컴퓨터의 경우 원격지 장비들이 보고하는 각종 정보를 감시하고 표시한다.
이처럼, SCADA 시스템을 통해 원격지 상황, 원격지 상의 기기를 실시간으로 중앙 운영자가 감시 및 제어할 수 있으므로, SCADA 시스템은 자동제어, 감시 및 정보 처리 기능을 보유하며 넓은 분야에 걸쳐 폭넓게 사용되고 있다.
실제 SCADA 시스템이 적용되는 경우로서, 철도 관리 및 제어, 수자원 관리, 송배전 업무, 가스, 원유 저장 및 공급 업무, 민방공, 홍수경보 관련한 시스템 등이 있다.
SCADA 시스템의 구축을 통해, 더욱 효과적이고 비용이 절감되는 효과가 나타나며, 자동화 및 원격제어 기능의 도입에 따른 장비 관리 및 이의 운영 요원들에 대한 투자 효율 극대화가 가능하게 된다.
하지만, 외국과는 달리 우리나라는 공용 인터넷망과 분리된 전용망 체제의 SCADA 시스템을 운용하고 있기 때문에 보안에 대한 인식이 아직 미비한 상태이다.
즉, SCADA 네트워크 상에서 보안의 취약성으로 인하여 통신의 보안 문제, 정보의 유출/누출 등이 발생할 수 있고, 이로 인해 원격 장비들로 전송되는 제어 계측 정보를 보호할 수 없는 문제점이 있다.
따라서, SCADA 네트워크에서 정보의 유출/누출을 방지할 수 있는 장치의 필요성이 대두된다.
상기와 같은 문제점을 해결하기 위해 창안된 본 발명의 실시예에 따른 목적은, SCADA 네트워크의 end-to-end 통신의 암호화를 수행하는 과정에서 발생할 수 있는 외부 침입에 대비할 수 있는 SCADA 통신 보안을 위한 다중 암호화 장치 및 그 방법을 제공하는데 있다.
나아가 본 발명의 실시예에 따른 다른 목적은, 보안키에 대한 정보가 누설된 시점으로부터 다음 보안키가 재분배될 때까지의 공백기에 발생될 수 있는 공격 위험성을 줄일 수 있는 SCADA 통신 보안을 위한 다중 암호화 장치 및 그 방법을 제공하는데 있다.
상기 목적을 달성하기 위한, 본 발명의 한 측면에 따른 다중 암호화 장치는 SCADA(Supervisory Control and Data Acquisition) 통신 보안을 위한 다중 암호화 장치에 있어서, 복수의 암호화 알고리즘을 적재하는 알고리즘 적재부; 상기 복수의 암호화 알고리즘 중 적어도 하나 이상을 선택하는 선택부; 및 상기 선택부를 제어하여 암호화 알고리즘이 선택되도록 하고, 상기 선택부에 의해 선택된 암호화 알고리즘을 적용하는 적용부를 포함할 수 있다.
나아가, 상기 복수의 암호화 알고리즘의 보안키를 관리하고, 상기 적용부에 의해 적용되는 암호화 알고리즘에 대한 보안키의 갱신 및 분배를 결정하는 키 관리부를 더 포함할 수 있다.
이때, 상기 적용부는 상기 선택부를 기 설정된 시간 주기로 제어하여 암호화 알고리즘을 선택하도록 할 수 있다.
이때, 외부로부터 침입 여부를 탐지하는 침입 탐지부를 더 포함하고, 상기 적용부는 상기 침입 탐지부에 의해 침입이 탐지된 경우 상기 선택부를 제어하여 암호화 알고리즘을 선택하도록 할 수도 있으며, 상기 침입 탐지부에 의해 침입으로 탐지된 횟수가 기 설정된 기준 횟수 이상인 경우 상기 선택부를 제어하여 암호화 알고리즘을 선택하도록 할 수도 있다.
이때, 복수의 통신 포트를 포함하고, 상기 통신 포트는 RS-232, RS-485 및 IP 포트를 포함할 수 있다.
이때, 상기 키 관리부는 상기 선택부에 의해 암호화 알고리즘이 선택되거나 기 설정된 시간을 주기로 보안키의 갱신 및 분배를 결정할 수 있다.
더 나아가, 상기 적용부에 의해 적용된 암호화 알고리즘과 상기 키 관리부에 의해 분배된 보안키를 이용하여 하위 단말기로부터 수신되는 정보를 암호화하여 상위 단말기로 전송하고, 상기 상위 단말기로부터 수신되는 정보를 복호화하여 상기 하위 단말기로 전송하는 암호화 처리부를 더 포함할 수 있다.
본 발명의 한 측면에 따른 다중 암호화 방법은 SCADA 통신 보안을 위한 다중 암호화 방법에 있어서, 암호화 알고리즘의 변경 여부를 판단하는 단계; 변경으로 판단된 경우 기 설정된 복수의 암호화 알고리즘 중 적어도 하나 이상을 선택하는 단계; 및 선택된 상기 적어도 하나 이상의 암호화 알고리즘을 이용하여 송수신 데이터의 암호화 및 복호화를 수행하는 단계를 포함할 수 있다.
상기 판단하는 단계는 기 설정된 시간을 주기로 암호화 알고리즘을 변경하는 것으로 판단하거나 외부로부터의 침입이 탐지된 경우 암호화 알고리즘을 변경하는 것으로 판단할 수 있고 나아가 상기 침입이 탐지된 횟수를 계산하고, 계산된 상기 횟수가 기 설정된 기준 횟수 이상인 경우 암호화 알고리즘을 변경하는 것으로 판단할 수 있다.
상기 목적 외에 본 발명의 다른 목적 및 특징들은 첨부 도면을 참조한 실시 예에 대한 설명을 통하여 명백히 드러나게 될 것이다.
이하에서는, 본 발명의 일 실시예에 따른 SCADA 통신 보안을 위한 다중 암호화 장치 및 그 방법을 첨부된 도 1 내지 도 6을 참조하여 상세히 설명한다.
또한, 본 발명을 설명함에 있어, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략한다.
도 1은 본 발명의 일 실시예에 따른 다중 암호화 장치를 설명하기 위한 SCADA 네트워크 토폴로지를 나타낸 것이다.
도 1을 전력 계통을 일 예로 설명하면, MTU(master terminal unit)(130)는 개별 지역급전소(RCC: Regional Control Center) 및 지역급전분소(SCC: Sub-regional Control Center)에 설치되는 통신 단말기로 하위단의 여러 변전소에 설치되는 RTU(140)로부터 정보를 취득한다.
RTU(remote terminal unit)(140)는 정보를 취득하여 취득된 정보를 MTU(130)로 전송하는데, 취득된 정보는 RTU(140)와 연동된 본 발명의 다중 암호화 장치(120)를 통해 암호화되어 MTU(130)로 전송된다.
MTU(130)는 MTU(130)와 연결된 별도의 다중 암호화 장치(120)를 통해 RTU(140)로부터 전송된 정보를 복호화하고, 적어도 하나 이상의 RTU(140)에 의해 취득된 정보를 취합한 후 다중 암호화 장치(120)를 통해 암호화하여 모든 정보를 관리하는 중앙의 SCADA 서버(110)로 전송된다.
SCADA 서버(110) 또한 각각의 다중 암호화 장치(120)를 이용하여 MTU(130) 각각으로부터 수신되는 정보를 복호화함으로써, 복수의 MTU(130)에 의해 취합된 정보를 수신할 수 있다.
물론, 다중 암호화 장치(120)는 상위 단말기로부터 하위 단말기로 전송되는 제어 명령을 암호화하고 복호화하는 기능 또한 수행한다. 예컨대, MTU(130)와 연동된 다중 암호화 장치(120)는 SCADA 서버(110)로부터 제어 명령 신호를 수신하여 복호화하고 다시 암호화하여 해당 RTU(140)로 전송하며, RTU(140)와 연동된 다중 암호화 장치(120)는 MTU(130)로부터 전송되는 제어 명령 신호를 수신하여 복호화하여 RTU(140)로 제공한다.
여기서, 본 발명의 다중 암호화 장치는 다중 암호화 알고리즘을 이용하고, 시간 주기 또는 외부 침입 여부에 따라 선택된 암호화 알고리즘을 이용하여 정보를 암호화하고 복호화함으로써, 안정적이고 신뢰성 높은 SCADA 통신을 구현할 수 있다.
물론, 도 1에 도시된 다중 암호화 장치는 도 2에 도시된 바와 같이, 기기와 서버 예를 들어, RTU, MTU 및 SCADA 서버와 연결되는 부분은 SCADA 통신 포트(SCADA Com Port)를 통해 연결되고, 다중 암호화 장치간 즉, SCADA 통신 네트워크와 연결되는 부분은 보안용 통신 포트(Secure Com Port)를 통해 연결될 수 있다.
그럼, 이런 다중 암호화 장치에 대해 도 3을 참조하여 설명한다.
도 3은 본 발명의 일 실시예에 따른 다중 암호화 장치에 대한 구성을 나타낸 것이다.
도 3을 참조하면, 다중 암호화 장치는 알고리즘 적재부(310), 키 관리부(320), 선택부(330), 적용부(340), 침입 적용부(340), 하위 통신부(360), 상위 통신부(380) 및 암호화 처리부(370)를 포함한다.
알고리즘 적재부(310)는 보안당국으로부터 인증을 받은 복수(N)의 암호화 알고리즘(암호화 알고리즘 #1 내지 암호화 알고리즘 #N)을 적재한다.
물론, 알고리즘 적재부(310)에 적재되는 암호화 알고리즘 개수는 상황에 따라 달라질 수 있는데, SCADA 네트워크 용량, 속도, 보안 정도 및 비용 등에 따라 달라질 수 있다.
선택부(330)는 알고리즘 적재부(310)에 적재된 복수의 암호화 알고리즘 중 적어도 하나 이상을 선택할 수 있는데, 적용부(340)에 의한 제어를 통해 적어도 하나 이상의 암호화 알고리즘을 선택할 수 있다.
이때, 선택부(330)는 선택된 암호화 알고리즘 또는 이에 대한 정보를 키 관 리부(320) 및 적용부(340)에 제공할 수 있다.
침입 적용부(340)는 하위 통신부(360) 또는 상위 통신부(380)를 통해 송수신되는 데이터 패턴을 기초로 침입 여부를 탐지할 수 있다.
즉, 침입 적용부(340)는 상시적인 데이터 패턴과 상이한 데이터 패턴을 가질 때 침입 여부로 탐지할 수 있다. 물론, 데이터 패턴에 의한 침입 여부 탐지 방법 뿐만 아니라 침입 여부를 탐지할 수 있는 다양한 방법이 적용될 수 있다는 것은 본 발명의 기술적 사상에 비추어 당업자에게 자명하다.
적용부(340)는 선택부(330)에 의해 선택된 적어도 하나 이상의 암호화 알고리즘을 암호화 처리부(370)에 적용되도록 한다.
여기서, 적용부(340)는 선택부(330)를 제어하여 적재부(310)에 적재된 복수의 암호화 알고리즘 중 적어도 하나 이상의 암호화 알고리즘을 선택할 수 있도록 하는데, 적용부(340)는 침입 탐지부(350)에 의한 탐지 결과 외부로부터 침입이 탐지된 경우 선택부(330)를 제어할 수도 있고, 침입 탐지부(350)에 의해 침입으로 탐지된 횟수가 기 설정된 기준 횟수 이상인 경우 선택부(330)를 제어할 수도 있으며, 기 설정된 시간을 주기로 선택부(330)를 제어할 수도 있다.
물론, 적용부(340)는 선택부(330)에 의해 두 개 이상의 암호화 알고리즘이 선택되면 선택된 암호화 알고리즘들을 일정 규칙에 따라 적용할 수 있는데, 일 예로, 두 개의 암호화 알고리즘이 선택된 경우 A 시간 동안에는 제1 암호화 알고리즘을 적용하고, B 시간 동안에는 제2 암호화 알고리즘을 적용할 수도 있다.
키 관리부(320)는 복수의 암호화 알고리즘의 보안키를 관리하고, 적용 부(340)에 의해 적용되는 암호화 알고리즘에 대한 보안키를 생성하여 보안키의 갱신 및 분배를 결정한다.
즉, 키 관리부(320)는 선택부(330)에 의해 새로운 암호화 알고리즘이 선택되면, 선택된 암호화 알고리즘에 대한 보안키를 생성하고 이를 분배함으로써, 암호화 알고리즘에 대한 새로운 보안키를 적용할 수 있다.
이때, 키 관리부(320)는 선택부(330) 혹은 적용부(340)로부터 기 설정된 정보 예를 들어, 새로운 암호화 알고리즘이 적용된다는 메시지를 수신하는 경우 새로운 보안키를 생성하여 암호화 처리부(370)에 적용할 수 있다.
물론, 키 관리부(320)도 선택부(330) 혹은 적용부(340)에 의한 제어가 아니라 기 설정된 시간 주기로 보안키를 생성하여 보안키를 갱신하고 분배할 수도 있다.
하위 통신부(360)는 하위에 위치한 기기 예를 들어, 본 발명에 따른 다중 암호화 장치가 RTU와 MTU 사이에 위치한 경우에는 RTU와 통신을 수행한다.
상위 통신부(380)는 상위에 위치한 기기 예를 들어, 본 발명에 따른 다중 암호화 장치가 RTU와 MTU 사이에 위치한 경우에는 MTU와 통신을 수행한다.
여기서, 하위 통신부(360) 및 상위 통신부(380)는 다양한 복수의 통신 포트를 포함할 수 있는데, 예를 들어, 도 4에 도시된 일 예와 같이, RS-232, RS-485 및 IP 포트 등을 포함할 수 있다. 물론, 상술한 통신 포트 뿐만 아니라 통신을 수행하는 모든 통신 포트를 포함할 수 있다.
암호화 처리부(370)는 적용부(340)에 의해 적용되는 적어도 하나 이상의 암 호화 알고리즘과 키 관리부(320)에 의해 생성되어 적용되는 보안키를 이용하여 하위 단말기(예를 들어, RTU)로부터 전송되는 정보 즉, 하위 통신부(360)를 통해 수신되는 정보 예를 들어, 계측 데이터를 암호화하여 상위 통신부(380)를 통해 상위 단말기(예를 들어, MTU)로 전송하고, 상위 단말기로 전송되는 정보 즉, 상위 통신부(380)를 통해 수신되는 정보 예를 들어, 제어 명령 정보를 복호화하여 하위 통신부(360)를 통해 하위 단말기로 전송한다.
이때, 암호화 처리부(370)는 다중 암호화 장치에 구비된 복수의 통신 포트를 통해 송수신되는 정보를 암호화하고 복호화하는 기능을 구비할 수 있으며, 이를 통해 다양한 통신 환경에서 본 발명의 다중 암호화 장치를 범용으로 사용할 수도 있다.
이와 같이, 본 발명의 일 실시예에 따른 다중 암호화 장치는 복수의 암호화 알고리즘 및 보안키를 기 설정된 시간 주기 또는 침입 탐지된 경우에 적절하게 선택 또는 생성하여 적용함으로써, SCADA 통신에 대한 보안을 강화시킬 수 있고, 이를 통해 SCADA 네트워크 상에서 발생할 수 있는 정보 유출/누출을 방지할 수 있으며, 나아가 SCADA 네트워크 상에 존재하는 제어 및 계측 기기를 보호할 수 있다.
또한, SCADA 네트워크의 보안을 강화시킴으로써, 안정적이고 신뢰성 높은 SCADA 통신을 구현할 수 있다.
또한, 단일 암호화 알고리즘을 사용하는 경우 발생될 수 있는 보안키에 대한 정보가 누설되어 발생될 수 있는 문제점을 해결할 수 있다. 즉, 보안키가 누설된 시점부터 다음 보안키가 재분배될 때까지의 공백기에 발생될 수 있는 공격 위험성을 줄일 수도 있다.
예컨대, 암호화 알고리듬 A와 보안키 S1이 사용 중일 때, 보안키 S1이 누출되면 공격자는 해당 시스템이 암호화 알고리듬 A를 사용하고 있는 것을 알고 있기 때문에 원하는 정보를 취득하거나 제어명령을 내릴 수 있지만, 본 발명의 다중 암호화 장치는 복수의 암호화 알고리즘을 사용하기 때문에 사용 중인 암호화 알고리즘에 대한 정보가 불확실하게 되고 따라서, 공격자가 알고 있는 복수의 암호화 알고리즘 중에서 해당 시스템에서 사용 중인 암호화 알고리즘을 찾아야 하지만, 암호화 알고리즘을 찾는데 소요되는 시간이 길어지게 되며, 이는 주기적인 키 분배 정책에 의해 새로운 보안키 S2가 배분될 때까지의 시간을 벌게 되어 보안키 누출에 따른 위험성도 줄일 수 있다. 즉, 복수의 암호화 알고리즘과 보안키에 대한 이중적인 관리 정책을 통해 암호화 강도를 한층 더 높일 수 있다.
도 5는 본 발명의 일 실시예에 따른 다중 암호화 방법에 대한 동작 흐름도이다.
도 5를 참조하면, 다중 암호화 방법은 기 설정된 복수의 암호화 알고리즘 중 적어도 하나 이상을 선택하여 적용한다(S510).
이때, 암호화 알고리즘은 일정 규칙에 따라 선택될 수 있는데, 기 결정된 복수의 규칙 중 어느 하나를 무작위로 선택하여 암호화 알고리즘을 선택할 수도 있다.
암호화 알고리즘이 선택되면 선택된 암호화 알고리즘에 적용될 보안키를 생성하여 적용한다(S520).
물론, 보안키를 새로 생성하여 적용하지 않고, 적용 중인 보안키를 그대로 사용할 수도 있다. 즉, 적용될 암호화 알고리즘을 선택하는 것과 보안키를 생성하여 적용하는 것은 상호 독립적으로 이루어질 수도 있고, 동일한 시점에 이루어질 수도 있다.
적용된 암호화 알고리즘과 보안키를 이용하여 상위 단말기 또는 하위 단말기로 송수신되는 데이터를 암호화 및 복호화하여 상위 단말기 또는 하위 단말기로 전송한다(S530).
데이터를 암호화 및 복호화하는 중 다른 암호화 알고리즘으로 변경할 것인가 판단한다(S540).
즉, 복수의 암호화 알고리즘 중 현재 적용 중인 암호화 알고리즘이 아닌 다른 암호화 알고리즘을 적용해야 되는지 판단한다.
이때, 암호화 알고리즘은 기 설정된 시간을 주기로 변경될 수도 있고, 외부로부터의 침입이 탐지된 경우 변경될 수도 있는데, 침입 탐지에 따른 암호화 알고리즘 변경 과정을 도 6을 참조하여 설명한다.
도 6은 도 5에 도시된 단계 S540에 대한 일 실시예 동작 흐름도이다.
도 6을 참조하면, 암호화 알고리즘을 변경하는 단계(S540)는 데이터를 암호화 및 복호화하는 중 외부로부터의 침입 여부를 탐지하고, 침입 여부 탐지 결과 침입 탐지된 경우 침입 탐지 횟수를 계산한다(S610, S620).
여기서, 침입 여부는 상시적인 데이터 패턴과 상이한 데이터 패턴을 가질 때 침입 여부로 탐지할 수 있는데, 이에 한정하지 않고, 침입 여부를 탐지할 수 있는 다양한 방법이 적용될 수도 있다.
계산된 침입 탐지 횟수와 기 설정된 기준 횟수를 비교하여 계산된 횟수가 기준 횟수 이상인지 판단한다(S630).
단계 S630 판단 결과, 계산된 침입 탐지 횟수가 기준 횟수 이상이면 암호화 알고리즘을 변경해야 되는 것으로 판단하여 도 5의 단계 S550을 수행한다.
즉, 도 5에 도시된 단계 S540에 의해 암호화 알고리즘을 변경해야 되는 경우 예를 들어, 도 6에 도시된 바와 같이 침입 탐지 횟수가 기준 횟수 이상인 경우 복수의 암호화 알고리즘 중 현재 적용 중인 암호화 알고리즘과 상이한 암호화 알고리즘을 적어도 하나 이상 선택하여 적용한다(S550).
새롭게 적용된 암호화 알고리즘에 대한 보안키를 생성하여 적용함으로써, 다른 암호화 알고리즘과 보안키를 이용하여 데이터를 암호화/복호화할 수 있다.
물론, 도 6에서 침입 탐지 횟수가 기준 횟수 이상인 경우 암호화 알고리즘을 변경하는 것으로 설명하였지만, 침입 탐지 횟수와 관계없이 외부로부터 침입이 탐지된 경우 암호화 알고리즘을 바로 변경할 수도 있다.
본 발명에 의한, SCADA 통신 보안을 위한 다중 암호화 장치 및 그 방법은 본 발명의 기술적 사상의 범위 내에서 양한 형태로 변형, 응용 가능하며 상기 실시 예에 한정되지 않는다. 또한, 상기 실시 예와 도면은 발명의 내용을 상세히 설명하 기 위한 목적일 뿐, 발명의 기술적 사상의 범위를 한정하고자 하는 목적은 아니며, 이상에서 설명한 본 발명은 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에 있어 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하므로 상기 실시 예 및 첨부된 도면에 한정되는 것은 아님은 물론이며, 후술하는 청구범위뿐만이 아니라 청구범위와 균등 범위를 포함하여 판단되어야 한다.
도 1은 본 발명의 일 실시예에 따른 다중 암호화 장치를 설명하기 위한 SCADA 네트워크 토폴로지를 나타낸 것이다.
도 2는 SCADA 서버와 RTU 엔드-투-엔드 통신에서의 다중 암호화 장치 연결을 나타낸 것이다.
도 3은 본 발명의 일 실시예에 따른 다중 암호화 장치에 대한 구성을 나타낸 것이다.
도 4는 본 발명의 다중 암호화 장치에 대한 일 실시예의 통신 포트를 나타낸 것이다.
도 5는 본 발명의 일 실시예에 따른 다중 암호화 방법에 대한 동작 흐름도이다.
도 6은 도 5에 도시된 단계 S540에 대한 일 실시예 동작 흐름도이다.
< 도면의 주요 부분에 대한 부호의 설명 >
310: 알고리즘 적재부
320: 키 관리부
330: 선택부
340: 적용부
350: 침입 탐지부
360: 하위 통신부
370: 암호화 처리부
380: 상위 통신부

Claims (13)

  1. SCADA(Supervisory Control and Data Acquisition) 통신 보안을 위한 다중 암호화 장치에 있어서,
    복수의 암호화 알고리즘을 적재하는 알고리즘 적재부;
    상기 복수의 암호화 알고리즘 중 적어도 하나 이상을 선택하는 선택부; 및
    기 설정된 시간 주기로 또는 외부로부터 침입이 탐지되는 경우 상기 선택부를 제어하여 상기 복수의 암호화 알고리즘 중 다른 하나 이상의 암호화 알고리즘으로 변경되도록 하고, 상기 선택부에 의해 변경된 암호화 알고리즘을 적용하는 적용부
    를 포함하는 다중 암호화 장치.
  2. 제1항에 있어서,
    상기 복수의 암호화 알고리즘의 보안키를 관리하고, 상기 적용부에 의해 적용되는 암호화 알고리즘에 대한 보안키의 갱신 및 분배를 결정하는 키 관리부
    를 더 포함하는 다중 암호화 장치.
  3. 삭제
  4. 제1항에 있어서,
    외부로부터 침입 여부를 탐지하는 침입 탐지부
    를 더 포함하고,
    상기 적용부는
    상기 침입 탐지부에 의해 상기 외부로부터의 침입이 탐지된 경우 상기 선택부를 제어하여 암호화 알고리즘을 변경하도록 하는 다중 암호화 장치.
  5. 제4항에 있어서,
    상기 적용부는
    상기 침입 탐지부에 의해 침입으로 탐지된 횟수가 기 설정된 기준 횟수 이상인 경우 상기 선택부를 제어하여 암호화 알고리즘을 변경하도록 하는 다중 암호화 장치.
  6. 제1항, 제2항 및 제4항 중 어느 한 항에 있어서,
    복수의 통신 포트를 포함하는 다중 암호화 장치.
  7. 제6항에 있어서,
    상기 통신 포트는
    RS-232, RS-485 및 IP 포트를 포함하는 다중 암호화 장치.
  8. 제2항에 있어서,
    상기 키 관리부는
    상기 기 설정된 시간을 주기로 보안키의 갱신 및 분배를 결정하는 다중 암호화 장치.
  9. 제2항에 있어서,
    상기 적용부에 의해 적용된 암호화 알고리즘과 상기 키 관리부에 의해 분배된 보안키를 이용하여 하위 단말기로부터 수신되는 정보를 암호화하여 상위 단말기로 전송하고, 상기 상위 단말기로부터 수신되는 정보를 복호화하여 상기 하위 단말기로 전송하는 암호화 처리부
    를 더 포함하는 다중 암호화 장치.
  10. SCADA 통신 보안을 위한 다중 암호화 방법에 있어서,
    기 설정된 시간 주기로 또는 외부로부터 침입이 탐지된 경우 암호화 알고리즘을 변경하는 것으로 판단하는 단계;
    기 설정된 복수의 암호화 알고리즘 중 적어도 하나 이상으로 암호화 알고리즘을 변경하는 단계; 및
    변경된 상기 적어도 하나 이상의 암호화 알고리즘을 이용하여 송수신 데이터의 암호화 및 복호화를 수행하는 단계
    를 포함하는 다중 암호화 방법.
  11. 제10항에 있어서,
    선택된 상기 암호화 알고리즘에 대한 보안키를 생성하는 단계
    를 더 포함하고,
    상기 수행하는 단계는
    생성된 상기 보안키 및 선택된 상기 적어도 하나 이상의 암호화 알고리즘을 이용하여 송수신 데이터의 암호화 및 복호화를 수행하는 다중 암호화 방법.
  12. 삭제
  13. 제10항에 있어서,
    상기 판단하는 단계는
    상기 침입이 탐지된 횟수를 계산하고, 계산된 상기 횟수가 기 설정된 기준 횟수 이상인 경우 암호화 알고리즘을 변경하는 것으로 판단하는 다중 암호화 방법.
KR1020080136885A 2008-12-30 2008-12-30 Scada 통신 보안을 위한 다중 암호화 장치 및 그 방법 KR101048286B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020080136885A KR101048286B1 (ko) 2008-12-30 2008-12-30 Scada 통신 보안을 위한 다중 암호화 장치 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080136885A KR101048286B1 (ko) 2008-12-30 2008-12-30 Scada 통신 보안을 위한 다중 암호화 장치 및 그 방법

Publications (2)

Publication Number Publication Date
KR20100078584A KR20100078584A (ko) 2010-07-08
KR101048286B1 true KR101048286B1 (ko) 2011-07-13

Family

ID=42639788

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080136885A KR101048286B1 (ko) 2008-12-30 2008-12-30 Scada 통신 보안을 위한 다중 암호화 장치 및 그 방법

Country Status (1)

Country Link
KR (1) KR101048286B1 (ko)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102018064B1 (ko) * 2012-09-24 2019-09-05 한국전력공사 Scada 통신 네트워크 보안을 위한 보안 통신 장치 및 방법
KR101480905B1 (ko) 2013-09-25 2015-01-13 한국전자통신연구원 네트워크 트래픽의 통신 패턴 보호 장치 및 방법
KR102236282B1 (ko) * 2014-03-19 2021-04-05 콘티넨탈 오토모티브 코리아(주) 차량용 통신 데이터 인증 방법 및 시스템
KR101881783B1 (ko) * 2016-06-02 2018-07-26 유넷시스템주식회사 데이터 암복호화 장치 및 이의 데이터 암복호화 방법
KR101978777B1 (ko) * 2017-08-28 2019-05-15 전주대학교 산학협력단 다양한 암호화 방식을 조합한 암호화 장치 및 방법
CN110096013A (zh) * 2019-05-24 2019-08-06 广东工业大学 一种工业控制系统的入侵检测方法及装置

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050005093A1 (en) 2003-07-01 2005-01-06 Andrew Bartels Methods, systems and devices for securing supervisory control and data acquisition (SCADA) communications
US20080109889A1 (en) 2003-07-01 2008-05-08 Andrew Bartels Methods, systems and devices for securing supervisory control and data acquisition (SCADA) communications

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050005093A1 (en) 2003-07-01 2005-01-06 Andrew Bartels Methods, systems and devices for securing supervisory control and data acquisition (SCADA) communications
US20080109889A1 (en) 2003-07-01 2008-05-08 Andrew Bartels Methods, systems and devices for securing supervisory control and data acquisition (SCADA) communications

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
SCADA 시스템 정보보안을 위한 대칭키 암호 적용(2007년도 대한전기학회 전력기술부문 추계학술대회 논문집 (2007.11.2~3)

Also Published As

Publication number Publication date
KR20100078584A (ko) 2010-07-08

Similar Documents

Publication Publication Date Title
EP2540027B1 (en) Smart grid and method for operating a smart grid
KR101048286B1 (ko) Scada 통신 보안을 위한 다중 암호화 장치 및 그 방법
Jokar et al. A survey on security issues in smart grids
Rezai et al. Key management issue in SCADA networks: A review
Petrlic A privacy-preserving concept for smart grids
Lim et al. Security protocols against cyber attacks in the distribution automation system
Mahmud et al. A survey on smart grid metering infrastructures: Threats and solutions
KR102037288B1 (ko) 보안성을 향상시킨 상하수도 원격감시시스템
CN105245329A (zh) 一种基于量子通信的可信工业控制网络实现方法
Parvez et al. A location based key management system for advanced metering infrastructure of smart grid
KR101359789B1 (ko) Scada 통신 네트워크의 보안 시스템 및 방법
Davoli et al. Internet of things on power line communications: An experimental performance analysis
Xu et al. A unified framework for secured energy resource management in smart grid
Ur-Rehman et al. Secure design patterns for security in smart metering systems
KR20120074040A (ko) Scada 시스템을 위한 보안 시스템 및 그의 동작 방법
KR101548876B1 (ko) 동형 암호기법을 사용하는 스마트 그리드 시스템에서 공격 노드를 식별하는 방법 및 공격 노드를 식별하는 스마트 그리드 시스템
Wei et al. Data-centric threats and their impacts to real-time communications in smart grid
KR20130001767A (ko) 통신 보안을 위한 데이터 통신 시스템
Patel et al. Analysis of SCADA Security models
CN110300183B (zh) 一种智能边缘物联代理装置
CN111262862B (zh) 基于单独组网及数据加密的工控系统数据处理系统及方法
Stanculescu et al. Vulnerability of SCADA and security solutions for a waste water treatment plant
Roy et al. A Survey on the Security Vulnerabilities in the Cyber-Physical Power Systems
KR101135841B1 (ko) 원격검침 프로토콜을 활용한 보안시스템 및 그 방법
Salpekar Protecting smart grid and advanced metering infrastructure

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20140707

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20150702

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20160705

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20180628

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20190625

Year of fee payment: 9