KR101092026B1 - 암호화 방법 - Google Patents

암호화 방법 Download PDF

Info

Publication number
KR101092026B1
KR101092026B1 KR1020090130056A KR20090130056A KR101092026B1 KR 101092026 B1 KR101092026 B1 KR 101092026B1 KR 1020090130056 A KR1020090130056 A KR 1020090130056A KR 20090130056 A KR20090130056 A KR 20090130056A KR 101092026 B1 KR101092026 B1 KR 101092026B1
Authority
KR
South Korea
Prior art keywords
data
encryption
complexity
data frame
encryption method
Prior art date
Application number
KR1020090130056A
Other languages
English (en)
Other versions
KR20110072939A (ko
Inventor
최유락
이재철
최영수
구인수
홍석붕
Original Assignee
한국수력원자력 주식회사
한국원자력연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국수력원자력 주식회사, 한국원자력연구원 filed Critical 한국수력원자력 주식회사
Priority to KR1020090130056A priority Critical patent/KR101092026B1/ko
Publication of KR20110072939A publication Critical patent/KR20110072939A/ko
Application granted granted Critical
Publication of KR101092026B1 publication Critical patent/KR101092026B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F7/00Methods or arrangements for processing data by operating upon the order or content of the data handled
    • G06F7/58Random or pseudo-random number generators
    • G06F7/588Random number generators, i.e. based on natural stochastic processes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Mathematical Optimization (AREA)
  • Pure & Applied Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Computational Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 암호화 방법에 관한 것으로, 특히 원전 제어계측 통신망 등 신뢰성과 안전성이 우선시되는 분야에서 사용할 수 있는 암호화 방법을 제시한다. 본 발명의 암호화 방법은 데이터 프레임 중 실제 데이터가 들어가는 Payload 부분의 실제 데이터 길이가 짧은 데이터 길이를 제공하는 단계, 상기 유효한 데이터를 제외한 영역에 난수를 발생시키는 단계, 상기 데이터 프레임의 데이터를 재배열하여 난잡도를 증가시키는 단계, 상기 재배열된 순서를 별도의 함수에 저장하는 단계, 및 상기 데이터 프레임의 데이터를 암호화하는 단계를 포함한다. 이와 같은 구성으로, 데이터 프레임 사이즈는 확정되어 있는데, 그 안에 들어가는 데이터가 매우 적은 경우에, 난잡도를 증가시킬 수 있는 방법을 제시하여, 난잡도가 증가하면서 암호화가 수행되어 데이터의 신뢰성과 안정성을 향상시켜, 해킹의 위험을 줄일 수 있는 효과가 있다.
암호화, 난잡도, 원전 제어계측, 통신망

Description

암호화 방법{METHOD FOR CRYPTOGRAPHY}
본 발명은 원전의 통신망에서 사용되는 보안 시스템에서 데이터 프레임의 데이터를 암호화하는 방법에 관한 것으로서, 보다 구체적으로는 데이터 프레임 중 실제 데이터가 들어가는 Payload 부분의 실제 데이터 길이가 짧은 데이터 길이를 제공하는 경우에, 난잡도를 증가시킬 수 있는 방법을 제시하여, 난잡도가 증가하면서 암호화가 수행되어 데이터의 신뢰성과 안정성을 향상시켜, 해킹의 위험을 줄일 수 있는 암호화 방법에 관한 것이다.
최근 해킹사고가 빈번해지면서, 보안기술에 대한 관심이 높아지고 있다. 산업체의 핵심 정보가 누출되는 사고가 발생할 뿐만 아니라, 많은 경제적인 손실을 유발하는 경우가 빈번해지고 있다.
특히, 원자력 시스템과 같이 고도의 안전성과 신뢰성이 요구되는 시스템에서는, 통신망의 보안 기술이 핵심적으로 요청되고 있다. 즉, 보안기술을 통하여, 통신망을 통해 전달되는 각종 데이터가 안전하게 보호되어야 하며, 만약 원전에 관한 데이터가 유출된다면, 이는 각종 대형 사고로까지 연결될 수 있는 심각한 문제를 야기할 위험이 있다.
일례로, 바이러스 침투를 통해 원전 통신망에 침투된 이력이 있으며, 미국의 데이빗 베씨 원전의 슬래버 웜바이러스나, 미국 북동부 원전 7기에 W32/블랙스타 웜바이러스가 침투한 사례나, 일본의 도마리, 센나미 원전에 바이러스가 감염된 사례가 보고되고 있다.
특히, 원전의 디지털 계측 제어계통에서도 사이버 보안이 요청되고 있으며, 사이버 보안은 기밀성, 무결성, 효용성, 신뢰성이 필수적으로 필요하다고 하겠다.
또한, 일반적인 IT 업종에서 사용하고 있는 사이버 보안은 높은 효율과 집중화된 시스템의 접근 통제 및 정보보호를 요청하며, 안전성보다는 성능을 우선시하는데 반하여, 원전계측제어계통에서는 실시간 특성이 요구되며, 운전원에게 정보를 즉시 제공할 수 있어야 할 뿐만 아니라, 분산된 제어 시스템의 접근 통제 및 가용성이 유지되어야 하고, 정보 노출방지보다는 무결성과 가용성이 우선시된다는데 차이점이 있다.
따라서, 원전에 사용될 수 있도록 이러한 요구사항을 충족시키는 보안 시스템의 개발이 시급한 과제라 하겠다.
본 발명은 상기와 같은 문제점을 감안하여 안출된 것으로서, 난잡도가 증가하면서 암호화가 수행되어 데이터의 신뢰성과 안정성을 향상시켜, 해킹의 위험을 줄일 수 있는 데 그 목적이 있다.
본 발명의 다른 목적은 데이터 프레임 사이즈는 확정되어 있는데, 그 안에 들어가는 데이터가 매우 적은 경우에, 난잡도를 증가시킬 수 있는 방법을 제시하는 데 그 목적이 있다.
상기 목적을 달성하기 위한 암호화 방법은 데이터 프레임 중 실제 데이터가 들어가는 Payload 부분의 실제 데이터 길이가 짧은 데이터 길이를 제공하는 단계, 상기 유효한 데이터를 제외한 영역에 난수를 발생시키는 단계, 상기 데이터 프레임의 데이터를 재배열하여 난잡도를 증가시키는 단계, 상기 재배열된 순서를 별도의 함수에 저장하는 단계, 및 상기 데이터 프레임의 데이터를 암호화하는 단계를 포함한다.
상기 데이터 프레임의 데이터를 암호화하는 단계는 트리플 DES 혹은 AES(Triple DES or AES)일 수 있으며, 상기 데이터는 원자력발전의 제어계통에 관한 정보를 담고 있을 수 있다. 상기 암호화 방법은 암호화된 데이터를 인증하는 단계를 더 포함하는 것이 바람직하다.
또한, 본 발명에 따른 암호화 방법은 다음의 식을 이용하여, 원래의 데이터 에 난잡도를 증가시키기 위하여 원래의 데이터(M)에 임의의 데이터(n)를 첨가한 후에, 이를 재배열시키고(F(R)), 재배열된 순서는 R(0)에 저장한 후, 이를 암호화 알고리즘(E(k))을 통해 암호화하는 것을 특징으로 한다. 여기서, C(D)는 데이터를 암호화한 텍스트, E(k)는 암호화 알고리즘, M은 원래의 데이터, n 은 랜덤 넘버(random number), F(R)은 재배열 함수, R(0)는 재배열 시권스, S는 스페셜 바이트이다.
상기 데이터 프레임의 데이터를 암호화하는 단계는 트리플 DES 혹은 AES(Triple DES or AES)일 수 있으며, 상기 데이터는 원자력발전의 제어계통에 관한 정보를 담고 있을 수 있다. 상기 암호화 방법은 암호화된 데이터를 인증하는 단계를 더 포함하는 것이 바람직하다.
상기와 같은 구성을 가지는 본 발명에 의하면, 데이터 프레임 사이즈는 확정되어 있는데, 그 안에 들어가는 데이터가 매우 적은 경우에, 즉, 데이터 프레임 중 실제 데이터가 들어가는 Payload 부분의 실제 데이터 길이가 매우 짧을 경우, 즉 Pay load가 1,000 Byte라고 가정할 때 실제 데이터가 100 Byte밖에 안 되는 경우에, 난잡도를 증가시킬 수 있는 방법을 제시하여, 난잡도가 증가하면서 암호화가 수행되어 데이터의 신뢰성과 안정성을 향상시켜, 해킹의 위험을 줄일 수 있는 효과가 있다.
이하, 본 발명의 바람직한 일 실시예를 첨부된 도면을 참고하여 설명한다.
도 1을 참고하면, 도 1은 한국형 원전계측제어계통의 통신망을 나타낸 도표이다. 데이터의 길이(byte)를 살펴보면, 1 바이트부터 246 바이트(보호 연계망의 경우)까지 되어 있는 것을 알 수 있다. 상기 통신망에서 사용되는 데이터 프레임은 일반적으로 헤더와 Payload부분을 포함하며 상기 Payload부분은 일반적으로 Payload데이터와 채움(Padding)을 포함한다. 상기 Payload 부분 중 실제 데이터가 들어가는 Payload 데이터 길이가 매우 짧을 경우, 즉 Pay load 부분이 1,000 Byte라고 가정할 때 실제 데이터인 Payload 데이터가 100 Byte밖에 안 되는 경우를 예로 들 수 있다. 이러한 데이터는 난잡도가 낮아서, 암호화를 수행하여도 해킹의 위험이 있기 때문에, 데이터 필드의 난잡도를 증가시키기 위한 과정이 필요하다. 도 2는 bit offset 별 영역을 정의한 도표이다. 도 2에서 payload가 데이터 필드가 로드되는 부분이다.
이러한 데이터 필드의 난잡도를 증가시키기 위해서, 수학식 1과 같은 과정을 거치며, 수학식 1은 다음과 같다.
Figure 112009079844757-pat00001
여기서, D는 데이터 필드로서 본 실시예에서는 476 바이트일 수 있다.
M은 원래의 데이터이며, n 은 랜덤 넘버(random number) 이고, F(R)은 재배열 함수이며, R(0)는 재배열 시퀀스로서, 본 실시예에서는 43 바이트일 수 있다. S는 스페셜 바이트로서 본 실시예에서는 3바이트일 수 있다.
즉, 원래의 데이터에 난잡도를 증가시키기 위하여 원래의 데이터(M)에 임의의 데이터(n)를 첨가한 후에, 이를 재배열시킨다(F(R)). 재배열된 순서는 R(0)에 기억된다.
다음으로 이와 같이 난잡도가 증가된 데이터 필드(D)를 암호화시키는 과정을 거치게 된다. 그 과정을 나타낸 수학식 2는 다음과 같다.
Figure 112009079844757-pat00002
여기서, C(D)는 데이터 D를 암호화한 텍스트이며, E는 암호화 알고리즘이다. 암호화 알고리즘의 일례로는 트리플 DES 혹은 AED(Triple DES or AES) 처럼 알려진 암호화 알고리즘일 수 있다. 도 3A는 AES, 도 3B는 Triple DES를 나타낸 것으로서, 공지된 방법이므로, 자세한 설명은 생략하기로 한다.
다음으로 인증 절차를 거치게 되며, 그 절차는 수학식 3과 같다.
Figure 112009079844757-pat00003
여기서, M( SM || DM )는 소스 맥 어드레스(Source Mac Address)와 데스티네이션 맥 어드레스(destination Mac Address)를 위한 메시지 인증 코드로서, 12 바이트일 수 있다.
즉, 본 발명은 먼저 원래의 데이터가 위치하지 않은 영역에 난수(random number)를 발생시켜 난잡도를 증가시킨 후에, 이를 재배열하고 암호화 및 인증하는 과정을 거치는 것이다. 다시 말하면, 데이터 프레임 사이즈는 확정되어 있는데, 그 안에 들어가는 데이터가 매우 적은 경우에, 난잡도를 증가시킬 수 있는 방법을 제시하는 데 본 발명의 의의가 있다.
즉, 원전 통신망에서는 전술한 바와 같이 이러한 일이 발생하며, 암호화를 효율적으로 구성하여 해킹 등 정보 유출의 위험을 줄일 수 있게 되는 것이다. 특히, 디지털 계측제어계통의 통신망 보안을 위하여 적합하며, 데이터 필드에서 유효 데이터의 수가 적은 경우에 특히 유용하게 사용될 수 있는 것이다.
이러한 절차를 도 4에 도시하였다. 도 4는 본 발명에 따른 원전의 통신망에서 사용되는 보안시스템의 데이터 암호화 방법을 나타내는 흐름도이다.
먼저, 유효한 데이터의 사이즈가 일부 존재하는 데이터 프레임을 제공한다(S1). 즉, 데이터 프레임 중 실제 데이터가 들어가는 Payload 부분의 Payload 데이터 길이가 매우 짧을 경우, 즉 Pay load 부분이 1,000 Byte라고 가정할 때 Payload 데이터가 100 Byte밖에 안 되는 경우를 예로 들 수 있다.
다음, 유효한 데이터 필드를 제외한 영역, 즉, 상기 Payload 데이터 길이를 제외한 상기 채움 영역에 난수를 발생시킨다(S2).
다음, 이를 재배열하여 난잡도를 증가시킨다(S3). 이때, 재배열한 순서는 별도의 함수로 기억한다.
다음, 재배열된 데이터 프레임을 암호화시킨다(S4).
다음, 데이터를 인증한다(S5)
이러한 일련의 과정을 거치면서, 난잡도가 증가하면서 암호화가 수행되어 데이터의 신뢰성과 안정성을 향상시킬 수 있는 것이다.
상술한 바와 같이, 본 발명의 바람직한 실시예를 참조하여 설명하였지만 해당 기술분야의 숙련된 당업자라면 하기의 청구범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
도 1은 한국형 원전계측제어계통의 통신망을 나타낸 도표,
도 2는 bit offset 별 영역을 정의한 도표,
도 3A는 AES, 도 3B는 Triple DES를 나타낸 것,
도 4는 본 발명에 따른 암호화 방법을 나타내는 흐름도이다.

Claims (8)

  1. 원전의 통신망에서 사용되는 보안 시스템에서 Payload 부분을 포함하는 데이터 프레임의 데이터 암호화 방법에 있어서,
    상기 Payload 부분에 포함된 Payload 데이터와 채움(Padding) 영역 중 Payload 데이터의 길이가 Payload 부분 전체 길이의 0퍼센트 초과 10퍼센트 이하인 경우 상기 Payload 데이터의 길이가 상기 보안 시스템에 제공되는 단계;
    상기 보안시스템에서 상기 채움 영역에 난수가 발생되는 단계;
    상기 데이터 프레임의 데이터가 재배열되어 난잡도가 증가되는 단계;
    상기 재배열된 순서가 별도의 함수에 저장되는 단계; 및
    상기 데이터 프레임의 데이터가 암호화되는 단계;
    를 포함하는 암호화 방법.
  2. 제1항에 있어서,
    상기 데이터 프레임의 데이터를 암호화하는 단계는 트리플 DES 혹은 AES(Triple DES or AES)인 것을 특징으로 하는 암호화 방법.
  3. 삭제
  4. 제1항에 있어서,
    상기 암호화 방법은 암호화된 데이터가 인증되는 단계를 더 포함하는 것을 특징으로 하는 암호화 방법.
  5. 삭제
  6. 삭제
  7. 삭제
  8. 삭제
KR1020090130056A 2009-12-23 2009-12-23 암호화 방법 KR101092026B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020090130056A KR101092026B1 (ko) 2009-12-23 2009-12-23 암호화 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090130056A KR101092026B1 (ko) 2009-12-23 2009-12-23 암호화 방법

Publications (2)

Publication Number Publication Date
KR20110072939A KR20110072939A (ko) 2011-06-29
KR101092026B1 true KR101092026B1 (ko) 2011-12-12

Family

ID=44403788

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090130056A KR101092026B1 (ko) 2009-12-23 2009-12-23 암호화 방법

Country Status (1)

Country Link
KR (1) KR101092026B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102613714B1 (ko) 2023-03-08 2023-12-14 (주)원텍시스템 통신암호화 및 사이버 탐지엔진을 적용한 원자력발전소 안전계통연계 계측제어 장치, 방법 및 시스템

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006215280A (ja) * 2005-02-03 2006-08-17 Sanyo Electric Co Ltd 暗号処理回路

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006215280A (ja) * 2005-02-03 2006-08-17 Sanyo Electric Co Ltd 暗号処理回路

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102613714B1 (ko) 2023-03-08 2023-12-14 (주)원텍시스템 통신암호화 및 사이버 탐지엔진을 적용한 원자력발전소 안전계통연계 계측제어 장치, 방법 및 시스템
KR102651714B1 (ko) 2023-03-08 2024-03-28 (주)원텍시스템 통신암호화 및 사이버 탐지엔진을 적용한 원자력발전소 안전계통연계 계측제어 장치, 방법 및 시스템

Also Published As

Publication number Publication date
KR20110072939A (ko) 2011-06-29

Similar Documents

Publication Publication Date Title
ES2890138T3 (es) Método para proteger un proceso criptográfico con Sbox contra ataques de canales laterales de orden superior
EP3469762B1 (en) Device and method to compute a block cipher
CN1863042B (zh) 对信息进行加解密的方法
KR102397579B1 (ko) 부채널 분석 방지를 위한 화이트박스 암호 방법 및 장치
CN106067871B (zh) 用于确保在网络中传送的数据的安全的方法和系统
KR102169369B1 (ko) 경량 블록 암호화에 대한 1차 부채널 공격에 대응하는 방법 및 이를 이용한 장치
US11824999B2 (en) Chosen-plaintext secure cryptosystem and authentication
US20140044262A1 (en) Low Latency Encryption and Authentication in Optical Transport Networks
CN112948867A (zh) 加密报文的生成与解密方法、装置及电子设备
CN115603907A (zh) 加密存储数据的方法、装置、设备和存储介质
KR101947871B1 (ko) 내적 값을 출력하는 함수 암호화 시스템 및 방법
KR102315632B1 (ko) 신뢰 서버의 준동형 암호 기반 확장 가능한 그룹 키 생성 방법 및 시스템
Kondo et al. An Extended Version of the Polybius Cipher
CN107493287A (zh) 工控网络数据安全系统
US8832450B2 (en) Methods and apparatus for data hashing based on non-linear operations
KR101092026B1 (ko) 암호화 방법
CN105763322A (zh) 一种可混淆的加密密钥隔离数字签名方法及系统
CN113452508B (zh) 数据加密方法、装置、设备和计算机可读存储介质
CN107317667A (zh) 一种身份证件丢失的预警方法及预警装置
CN102647428A (zh) 一种基于通信网络的托管控制加解密系统及方法
CN112910630A (zh) 扩展密钥的置换方法及装置
Shanthini et al. Design of low power S-box in Architecture Level using GF
KR101105384B1 (ko) 키 암호화 및 셔플링이 적용된 부채널 공격에 안전한 키 관리방법
Alrammahi et al. Development of Advanced Encryption Standard (AES) Cryptography Algorithm for Wi-Fi Security Protocol
KR102404223B1 (ko) 키 의존적 레이어를 이용한 암호 생성 장치 및 방법, 컴퓨터 판독 가능한 기록 매체 및 컴퓨터 프로그램

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20141008

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20160928

Year of fee payment: 6

LAPS Lapse due to unpaid annual fee