KR101541293B1 - 전력 기기 접근 관리 장치 및 방법 - Google Patents
전력 기기 접근 관리 장치 및 방법 Download PDFInfo
- Publication number
- KR101541293B1 KR101541293B1 KR1020130104469A KR20130104469A KR101541293B1 KR 101541293 B1 KR101541293 B1 KR 101541293B1 KR 1020130104469 A KR1020130104469 A KR 1020130104469A KR 20130104469 A KR20130104469 A KR 20130104469A KR 101541293 B1 KR101541293 B1 KR 101541293B1
- Authority
- KR
- South Korea
- Prior art keywords
- information
- access
- power device
- target power
- generating
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 30
- 238000013507 mapping Methods 0.000 claims abstract description 8
- 238000007726 management method Methods 0.000 claims description 91
- 238000012360 testing method Methods 0.000 claims description 12
- 230000005540 biological transmission Effects 0.000 claims description 6
- 238000010586 diagram Methods 0.000 description 14
- 238000004891 communication Methods 0.000 description 7
- 238000012545 processing Methods 0.000 description 5
- 238000013459 approach Methods 0.000 description 3
- 230000002159 abnormal effect Effects 0.000 description 2
- 230000010365 information processing Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 241000272814 Anser sp. Species 0.000 description 1
- RYGMFSIKBFXOCR-UHFFFAOYSA-N Copper Chemical compound [Cu] RYGMFSIKBFXOCR-UHFFFAOYSA-N 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000036632 reaction speed Effects 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/06—Energy or water supply
Landscapes
- Business, Economics & Management (AREA)
- Health & Medical Sciences (AREA)
- Engineering & Computer Science (AREA)
- Economics (AREA)
- Public Health (AREA)
- Water Supply & Treatment (AREA)
- General Health & Medical Sciences (AREA)
- Human Resources & Organizations (AREA)
- Marketing (AREA)
- Primary Health Care (AREA)
- Strategic Management (AREA)
- Tourism & Hospitality (AREA)
- Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Remote Monitoring And Control Of Power-Distribution Networks (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
전력 기기 접근 관리 장치 및 방법이 개시된다. 본 발명에 따른 전력 기기 접근 관리 장치는 전력 시스템에 접근하려는 접근 주체의 접근 요청 데이터를 수신하고, 상기 접근 주체에 대한 인증 정보를 인증 서버로부터 수신하는 송수신부, 인증 정보를 기반으로 상기 접근 주체에게 지위를 부여하여 지위 정보를 생성하는 지위 정보 생성부, 상기 접근 요청 데이터를 기반으로 상기 접근 주체가 접근하려는 상기 전력 시스템 내부의 대상 전력 기기를 확인하여 대상 전력 기기 정보를 생성하는 대상 전력 기기 정보 생성부 및 지위 정보 및 대상 전력 기기 정보를 매핑하여 상기 접근 주체가 상기 대상 전력 기기에 접근 가능한지 여부에 대한 접근 결정 정보를 생성하는 접근 결정 정보 생성부를 포함한다.
Description
본 발명은 전력 기기 접근 관리 장치 및 방법에 관한 것이다. 특히, 자동으로 패스 워드 관리가 지원되고, 사용자별, 기기별 권한을 실시간으로 관리하여 패스워드의 보안성을 향상시키는 전력 기기 접근 관리 장치 및 방법에 관한 것이다.
현장에 존재하는 전력 기기의 유지/보수나 정보의 수집 등을 위해 작업자는 직접 전력 기기에 접속하거나 원격으로 접속해야 하며, 지금까지는 패스워드 입력을 통해 접근이 허용되고 있다.
뿐만 아니라, 전력시스템의 자동화 확산에 따라 전력 기기 간 통신, 예를 들면 서버와 현장의 전력 기기간 통신이 자동으로 이루어지는 횟수가 늘어나는데 이럴 경우에서 전력 기기 상호 간에 정확한 인증을 통해 전력 기기와 정보의 안전성을 보장할 필요가 있으며 이때에도 패스워드를 이용한 접근관리가 일반적인 현황이라 할 수 있다.
도 1은 종래 전력 기기의 접근 관리 방법에 대한 구성을 설명하기 위한 도면이다.
도 1을 참조하면, 종래에는 시스템 관리자(1), 원격지에서 전력 기기를 제어하려는 원격 운영자(2) 및 현장 작업자(3) 등 전력 기기로 접근하려는 접근 주체들은 서로 동일한 패스워드(6)를 가지고. 서로 다른 전력 기기인 전력 기기A(4), 전력 기기B(5) 등 다수의 전력 기기에 접근하였다.
구체적으로 접근 주체들은 외우기 쉬운 동일한 패스워드 혹은 초기 설정값을 서로 공유하면서 현장의 전력 기기들에 접속하여 관리한다.
또한 다수의 전력 기기들도 동일한 하나의 패스워드로 설정되어 있을 뿐만 아니라 상기 패스워드의 갱신도 거의 일어나지 않는다.
즉, 설치시에 설정된 초기 패스워드가 장기간 혹은 폐기될 때까지 그대로 사용되는 사례도 비일비재하다.
이는 시스템 운영/관리상 편리함에 기인하며 보안성을 위해 도입된 패스워드 체계의 존재가치가 무의미해짐을 의미한다.
한국공개특허 2012-0079972 호에서는 사용자별 상이한 권한을 설정하는 보안 관리 시스템을 개시하고 있으나, 국제표준규격(IEC 61850)을 준용하여 여분의 비트를 사용하지 않으므로 동작 수행시 별도의 트래픽이 발생하는 문제점이 있다.
따라서, 전력 기기 별로 서로 상이한 패스워드가 설정되고, 전력 기기별 패스워드는 주기적으로 갱신되며, 사용자별로 서로 상이한 접속 권한을 갖되, 별도의 트래픽을 발생하지 않는 기술이 필요한 실정이다.
본 발명의 목적은, IEC 61850 기반으로 전력 기기에 접근하기 위한 패스워드를 자동으로 관리하고, 사용자별, 전력 기기별 서로 다른 권한을 갖도록 하는 것을 가능케 하는 것이다.
또한, 본 발명의 목적은, 기존 국제표준규격을 준용함에 따라 패스워드 및 권한을 상시 관리함에 있어서 시스템 오버헤드를 최소화 시키는 것을 가능케 하는 것이다.
또한, 본 발명의 목적은, OA(Office Automation; 사무 자동화 시스템)의 보안 인증 체계를 접목하여 별도의 인증 서버 구축 없이도 자동화된 패스 워드 관리 및 권한 관리를 가능케 하는 것이다.
상기한 목적을 달성하기 위한 본 발명에 따른 전력 기기 접근 관리 장치는 전력 시스템에 접근하려는 접근 주체의 접근 요청 데이터를 수신하고, 상기 접근 주체에 대한 인증 정보를 인증 서버로부터 수신하는 송수신부, 상기 인증 정보를 기반으로 상기 접근 주체에게 지위를 부여하여 지위 정보를 생성하는 지위 정보 생성부, 상기 접근 요청 데이터를 기반으로 상기 접근 주체가 접근하려는 상기 전력 시스템 내부의 대상 전력 기기를 확인하여 대상 전력 기기 정보를 생성하는 대상 전력 기기 정보 생성부 및상기 지위 정보 및 상기 대상 전력 기기 정보를 매핑하여 상기 접근 주체가 상기 대상 전력 기기에 접근 가능한지 여부에 대한 접근 결정 정보를 생성하는 접근 결정 정보 생성부를 포함한다. 이 때, 상기 송수신부는, 상기 전력 시스템 내부의 전력 기기로부터 상기 전력 기기에 대한 전력 기기 정보를 수신하고, 상기 전력 기기 정보를 상기 대상 전력 기기 정보 생성부에 전송할 수 있다.
이 때, 상기 지위 정보를 기반으로 상기 지위에 따른 세부적인 권한을 부여하여 권한 정보를 생성하는 권한 정보 생성부를 더 포함할 수 있다.
이 때, 상기 대상 전력 기기 정보를 기반으로 상기 대상 전력 기기에 접근하기 위한 패스워드를 검색하여 패스 워드 정보를 생성하는 패스워드 정보 생성부를 더 포함할 수 있다.
이 때, 상기 접근 결정 정보, 권한 정보 및 패스워드 정보를 조합하여 IEC 61850 기반의 데이터 포맷으로 변환하여 상기 대상 전력 기기에 전송함으로써 상기 접근 주체가 상기 대상 전력 기기에 접근하는 것을 제어하는 제어부를 더 포함할 수 있다.
이 때, 상기 전력 기기 정보에 포함되는, 상기 전력 시스템 내부의 전력 기기 패스 워드는 주기적으로 업데이트 되는 것을 특징으로 하는 전력 기기 접근 관
이 때, 상기 대상 전력 기기 정보 생성부는, 상기 접근 요청 데이터의 패킷 정보를 기반으로 상기 접근 주체가 접근하려는 상기 전력 시스템 내부의 대상 전력 기기를 확인하여 대상 전력 기기 정보를 생성할 수 있다.
이 때, 상기 지위 정보 생성부는, 상기 지위 정보를 IEC 61850 데이터에서 16 비트로 구성되는 제 1 Reserved 필드에 할당하여 생성하고, 상기 권한 정보 생성부는, 상기 지위 정보를 상기 제 1 Reserved 필드에 할당하여 생성할 수 있다.
이 때, 상기 패스워드 정보 생성부는, 상기 패스워드 정보를 IEC 61850 데이터에서 16 비트로 구성되는 제 2 Reserved 필드에 할당하여 생성할 수 있다.
이 때, 상기 접근 요청 데이터를 수신하여, 상기 송수신부에 전송한 후 기정의된 시간 이내에 상기 송수신부로부터 응답 신호를 수신하지 못하는 경우, 다른 전력 기기 접근 관리 장치로 절체하는 신호 테스트부를 더 포함할 수 있다.
또한 상기와 같은 목적을 달성하기 위한 본 발명에 따른 전력 기기 접근 관리 방법은 전력 시스템에 접근하려는 접근 주체의 접근 요청 데이터를 수신하고, 상기 접근 주체에 대한 인증 정보를 인증 서버로부터 수신하는 단계, 상기 인증 정보를 기반으로 상기 접근 주체에게 지위를 부여하여 지위 정보를 생성하는 단계, 상기 접근 요청 데이터를 기반으로 상기 접근 주체가 접근하려는 상기 전력 시스템 내부의 대상 전력 기기를 확인하여 대상 전력 기기 정보를 생성하는 단계 및상기 지위 정보 및 상기 대상 전력 기기 정보를 매핑하여 상기 접근 주체가 상기 대상 전력 기기에 접근 가능한지 여부에 대한 접근 결정 정보를 생성하는 단계를 포함한다.
이 때, 상기 전력 시스템 내부의 전력 기기로부터 상기 전력 기기에 대한 전력 기기 정보를 수신하는 단계를 더 포함하고 상기 대상 전력 기기 정보를 생성하는 단계는, 상기 접근 요청 데이터 및 상기 전력 기기 정보를 기반으로 상기 대상 전력 기기 정보를 생성할 수 있다.
이 때, 상기 지위 정보를 기반으로 상기 지위에 따른 세부적인 권한을 부여하여 권한 정보를 생성하는 단계를 더 포함할 수 있다.
이 때, 상기 대상 전력 기기 정보를 기반으로 상기 대상 전력 기기에 접근하기 위한 패스워드를 검색하여 패스 워드 정보를 생성하는 단계를 더 포함할 수 있다.
이 때, 상기 접근 결정 정보, 권한 정보 및 패스워드 정보를 조합하여 IEC 61850 기반의 데이터 포맷으로 변환하여 상기 대상 전력 기기에 전송함으로써 상기 접근 주체가 상기 대상 전력 기기에 접근하는 것을 제어하는 단계를 더 포함할 수 있다.
이 때, 상기 전력 기기 정보에 포함되는 상기 전력 시스템 내부의 전력 기기 패스워드는 주기적으로 업데이트 될 수 있다.
이 때, 상기 대상 전력 기기 정보를 생성하는 단계는, 상기 접근 요청 데이터의 패킷 정보를 기반으로 상기 접근 주체가 접근하려는 상기 전력 시스템 내부의 대상 전력 기기를 확인하여 대상 전력 기기 정보를 생성할 수 있다.
이 때, 상기 지위 정보를 생성하는 단계는, 상기 지위 정보를 IEC 61850 데이터에서 16 비트로 구성되는 제 1 Reserved 필드에 할당하여 생성할 수 있고, 상기 권한 정보를 생성하는 단계는, 상기 권한 정보를 상기 제 1 Reserved 필드에 할당하여 생성할 수 있다.
이 때, 상기 패스워드 정보를 생성하는 단계는, 상기 패스워드 정보를 IEC 61850 데이터에서 16 비트로 구성되는 제 2 Reserved 필드에 할당하여 생성할 수 있다.
이 때, 상기 접근 요청 데이터를 수신한 것에 대한 응답 신호를 기정의된 시간 이내에 수신하지 못하는 경우, 다른 전력 기기 접근 관리 장치로 절체하는 단계를 더 포함할 수 있다.
본 발명에 따르면, IEC 61850 기반으로 전력 기기에 접근하기 위한 패스워드를 자동으로 관리하고, 사용자별, 전력 기기별 서로 다른 권한을 갖도록 할 수 있다.
또한, 본 발명에 따르면, 기존 국제표준규격을 준용함에 따라 패스워드 및 권한을 상시 관리함에 있어서 시스템 오버헤드를 최소화 시킬 수 있다.
또한, 본 발명에 따르면, OA(Office Automation; 사무 자동화 시스템)의 보안 인증 체계를 접목하여 별도의 인증 서버 구축 없이도 자동화된 패스 워드 관리 및 권한 관리를 할 수 있다.
도 1은 종래 전력 기기의 접근 관리 방법에 대한 구성을 설명하기 위한 도면이다.
도 2는 본 발명에 따른 전력 기기 접근 관리 장치의 구성 및 작동을 설명하기 위한 도면이다.
도 3은 본 발명에 따른 전력 기기 접근 관리 장치의 지위 정보 생성부가 인증 서버로부터 제공받는 인증 정보를 기반으로 지위 정보를 생성하는 것을 설명하기 위한 도면이다.
도 4는 본 발명에 따른 전력 기기 접근 관리 장치의 송수신부가 전력 기기로부터 제공 받는 전력 기기 정보를 설명하기 위한 도면이다.
도 5는 본 발명에 따른 전력 기기 접근 관리 장치의 접근 결정 정보 생성부가 접근 결정 정보를 생성하는 것을 설명하기 위한 도면이다.
도 6은 본 발명에 따른 전력 기기 접근 관리 장치의 권한 정보 생성부가 권한 정보를 생성하는 것을 설명하기 위한 도면이다.
도 7은 본 발명에 따른 전력 기기 접근 관리 장치 및 방법에서 활용하는 IEC 61850 데이터 포맷 중 여분의 비트를 설명하기 위한 도면이다.
도 8은 IEC 615850 데이터 포맷 중 제 1 RESERVED 필드를 활용하는 실시예를 설명하기 위한 도면이다.
도 9는 본 발명에 따른 전력 기기 접근 관리 장치의 신호 테스트부를 설명하기 위한 도면이다.
도 10은 본 발명에 따른 전력 기기 접근 관리 방법의 흐름도이다.
도 2는 본 발명에 따른 전력 기기 접근 관리 장치의 구성 및 작동을 설명하기 위한 도면이다.
도 3은 본 발명에 따른 전력 기기 접근 관리 장치의 지위 정보 생성부가 인증 서버로부터 제공받는 인증 정보를 기반으로 지위 정보를 생성하는 것을 설명하기 위한 도면이다.
도 4는 본 발명에 따른 전력 기기 접근 관리 장치의 송수신부가 전력 기기로부터 제공 받는 전력 기기 정보를 설명하기 위한 도면이다.
도 5는 본 발명에 따른 전력 기기 접근 관리 장치의 접근 결정 정보 생성부가 접근 결정 정보를 생성하는 것을 설명하기 위한 도면이다.
도 6은 본 발명에 따른 전력 기기 접근 관리 장치의 권한 정보 생성부가 권한 정보를 생성하는 것을 설명하기 위한 도면이다.
도 7은 본 발명에 따른 전력 기기 접근 관리 장치 및 방법에서 활용하는 IEC 61850 데이터 포맷 중 여분의 비트를 설명하기 위한 도면이다.
도 8은 IEC 615850 데이터 포맷 중 제 1 RESERVED 필드를 활용하는 실시예를 설명하기 위한 도면이다.
도 9는 본 발명에 따른 전력 기기 접근 관리 장치의 신호 테스트부를 설명하기 위한 도면이다.
도 10은 본 발명에 따른 전력 기기 접근 관리 방법의 흐름도이다.
본 발명을 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다. 여기서, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능, 및 구성에 대한 상세한 설명은 생략한다.
본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다.
따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.
이하 본 발명에 따른 전력 기기 접근 관리 장치에 대하여 설명하도록 한다.
도 2는 본 발명에 따른 전력 기기 접근 관리 장치의 구성 및 작동을 설명하기 위한 도면이다.
도 2를 참조하면, 본 발명에 따른 전력 기기 접근 관리 장치(100)는 전력 시스템에 접근하려는 접근 주체의 접근 요청 데이터를 수신하고, 상기 접근 주체에 대한 인증 정보를 인증 서버로부터 수신하는 송수신부(110), 상기 인증 정보를 기반으로 상기 접근 주체에게 지위를 부여하여 지위 정보를 생성하는 지위 정보 생성부(120), 상기 접근 요청 데이터를 기반으로 상기 접근 주체가 접근하려는 상기 전력 시스템 내부의 대상 전력 기기를 확인하여 대상 전력 기기 정보를 생성하는 대상 전력 기기 정보 생성부(130) 및 상기 지위 정보 및 상기 대상 전력 기기 정보를 매핑하여 상기 접근 주체가 상기 대상 전력 기기에 접근 가능한지 여부에 대한 접근 결정 정보를 생성하는 접근 결정 정보 생성부(140)를 포함한다.
이 때, 상기 지위 정보를 기반으로 상기 지위에 따른 세부적인 권한을 부여하여 권한 정보를 생성하는 권한 정보 생성부(150)를 더 포함할 수 있다.
또한, 상기 대상 전력 기기 정보를 기반으로 상기 대상 전력 기기에 접근하기 위한 패스워드를 검색하여 패스 워드 정보를 생성하는 패스워드 정보 생성부(160)를 더 포함할 수 있다.
또한, IEC 61850 기반의 데이터 포맷으로 상기 접근 결정 정보, 권한 정보 및 패스워드 정보를 조합하여 제어 데이터를 생성하는 제어 데이터 생성부(170)를 더 포함할 수 있다.
여기서 접근 주체(300)라 함은, 전력 시스템에 접근하려는 주체를 의미한다.
구체적으로, 상기 전력 시스템에서 떨어진 원격지에서 PC 등을 통하여 접근하려는 원격지 PC(310), 상기 전력 시스템의 상위 개념인 SCADA(320) 및 전력 시스템의 현장에서 작업을 하는 현장 작업자(330)를 예로 들 수 있다.
본 발명에 따른 전력 시스템을 변전소로 상정한 경우, 상기 SCADA(320)는 변전소의 상위 개념인 급전소 또는 급전분소가 될 것이다.
또한, 인증 서버(320)라 함은 회사 내에서 운영중인 OA(Office Automation;사무 자동화 시스템)을 의미한다.
구체적으로, 사원들은 회사 내에서 업무용 컴퓨터를 이용하여 업무를 수행하거나, 사내 각종 서비스를 이용하기 위하여 자체적인 보안 인증 접근체계에 따라 로그인 하도록 요구 받게 된다.
이 때, 인증을 통하여 각자의 부서와 직급, 업무 및 기타 개인정보가 자동으로 관리된다.
따라서, 본 발명은 상기 OA를 연계하여 전력 시스템 패스 워드 및 접근 권한을 관리할 경우, 사용자(사원)들은 본인의 업무용 컴퓨터에 로그인 하듯이 전력 기기에 접속과정을 거치기만 하면 본인 인증이 가능하게 된다.
특히, 보직이나 업무의 변경이 빈번하거나 규모가 큰 유틸리티의 경우 현장 작업자들이 일일이 관리하기에는 노력과 비용이 많이 요구되므로 상기 OA 인증체계와의 연동을 통해 시간, 노력 및 비용을 최소화하고 단일화된 보안체계를 수립/운영할 수 있는 것이다.
본 발명에서 상기 OA를 활용하는 구체적인 방법은 후술하도록 한다.
상기 송수신부(110)는 전력 시스템에 접근하려는 접근 주체(300)의 접근 요청 데이터를 수신하고, 상기 접근 주체에 대한 인증 정보를 인증 서버로부터 수신하는 기능을 수행한다.
구체적으로, 상기 접근 주체(300)가 전력 시스템에 접근하기 위한 메시지인 접근 요청 데이터를 상기 송수신부(110)로 보내게 된다.
이 때, 상기 접근 요청 데이터에는 상기 접근 주체가 접근하려는 전력 기기가 무엇인지 알 수 있다.
또한, 상기 송수신부(110)는 전력 기기(400)로부터 각각의 전력 기기(410,420,430)와 관련된 정보를 수신할 수도 있다.
전력 기기와 관련된 정보에 대해서는 상기 대상 전력 기기 정보 생성부(130)의 설명과 함께 후술하도록 한다.
또한, 상기 송수신부(110)는 상기 접근 주체에 대한 인증을 하기 위해 인증서버(300)로부터 상기 접근 주체에 대한 인증 정보를 수신하게 된다.
즉, 접근 주체의 본인 인증이 이루어지게 되는 것이다.
다만, 상기 접근 주체에 대한 본인 인증이 이루어지지 않게 되면, 상기 접근 주체는 전력 기기에 접근하지 못하게 된다.
상기 인증 정보에는, 본인 인증의 인증 결과가 포함됨은 물론, 인증 대상(접근 주체)의 제반 정보에 대한 내용을 포함하고 있다.
상기 지위 정보 생성부(120)는 상기 인증 정보를 기반으로 상기 접근 주체에게 지위를 부여하여 지위 정보를 생성하는 기능을 수행한다.
도 3은 본 발명에 따른 전력 기기 접근 관리 장치의 지위 정보 생성부가 인증 서버로부터 제공받는 인증 정보를 기반으로 지위 정보를 생성하는 것을 설명하기 위한 도면이다.
도 3을 참조하면, 인증 정보에 포함된 인증된 접근 주체에 대한 정보가 나타난다.
즉, 사원번호 "1234567"에 해당하는 자는 "XXX" 소속이며, 보직은 "팀장"이며, 지위는 "보안 관리자"에 해당하며 보직일은 "2011.01.10" 이다.
상기와 같은 사원번호 "1234567"에 해당하는 자에 관한 정보는 추후 업데이트 될 수 있으며, 실시간 변경이 가능하다.
즉, 상기 지위 정보 생성부는 사원번호 "11234567"에 해당하는 인증 주체에게 "보안 관리자"라는 지위를 부여하는 지위 정보를 생성하게 된다.
또한, 사원번호 "9876543"에 해당하는 인증 주체에게는 "운영자"라는 지위를 부여하는 지위 정보를 생성한다.
나아가, 상기 인증 주체에게 부여되는 지위는 "일반 검색자", "기술자", "설치자", "보안 감시자" 및 "권한 관리자" 등이 있을 수 있다.
상기 대상 전력 기기 정보 생성부(130)는 상기 접근 요청 데이터를 기반으로 상기 접근 주체가 접근하려는 상기 전력 시스템 내부의 대상 전력 기기를 확인하여 대상 전력 기기 정보를 생성하는 기능을 수행한다.
구체적으로 상기 접근 요청 데이터에는 상기 접근 주체가 접근하려고 하는 전력 기기에 대한 정보가 포함되어 있다.
따라서, 상기 대상 전력 기기 정보 생성부(130)는 상기 접근 요청 데이터를 통하여 상기 접근 주체가 접근하려는 대상 전력 기기를 확인하여 이에 대한 정보를 생성한다.
이 때, 상기 대상 전력 기기 정보 생성부(130)는 상기 접근 요청 데이터의 패킷 정보를 기반으로 상기 접근 주체가 접근하려는 상기 전력 시스템 내부의 대상 전력 기기를 확인하여 대상 전력 기기 정보를 생성할 수 있다.
이 때, 상기 대상 전력 기기 정보 생성부는, 상기 접근 요청 데이터의 패킷 정보를 기반으로 상기 접근 주체가 접근하려는 상기 전력 시스템 내부의 대상 전력 기기를 확인하여 대상 전력 기기 정보를 생성할 수 있다.
즉, 상기 접근 요청 데이터의 패킷 정보에는 상기 접근 주체가 접근하려는 대상 전력 기기에 대한 정보가 기록되어 있다.
따라서, 상기 대상 전력 기기 정보 생성부에서는, 전력 시스템 내부에 존재하는 전력 기기 중에 접근 주체가 접근하려고 하는 대상 전력 기기가 어느 것인지를 판단할 수 있게 된다.
나아가, 상기 송수신부(110)는 상기 전력 시스템 내부의 전력 기기로부터 상기 전력 기기에 대한 전력 기기 정보를 수신하고, 상기 전력 기기 정보를 상기 대상 전력 기기 정보 생성부(130)에 전송한다.
따라서, 상기 대상 전력 기기 정보 생성부(130)는 상기 송수신부(110)로부터 상기 전력 기기에 대한 정보를 얻을 수 있게 된다.
도 4는 본 발명에 따른 전력 기기 접근 관리 장치의 송수신부가 전력 기기로부터 제공 받는 전력 기기 정보를 설명하기 위한 도면이다.
도 4를 참조하면, 상기 전력 기기 정보에는 전력 기기A는 "거리 계전기"이며, 기기주소는 "192.168.1.100"에 해당하며, 패스워드는 "abcd1111"에 해당한다는 정보가 포함된다.
상기 접근 결정 정보 생성부(140)는 상기 지위 정보 및 상기 대상 전력 기기 정보를 매핑하여 상기 접근 주체가 상기 대상 전력 기기에 접근 가능한지 여부에 대한 접근 결정 정보를 생성하는 기능을 수행한다.
즉, 상기 지위 정보를 통하여 전력 기기에 접근하려는 주체의 지위를 확인하고, 상기 대상 전력 기기 정보를 통하여, 상기 접근 주체가 접근하려는 전력 기기가 무엇인지를 분석한다.
그 후, 상기 지위 정보와 상기 대상 전력 기기 정보를 매핑하여, 상기 접근 주체의 지위로, 접근하려는 대상 전력 기기에 접근할 수 있는지를 판단하는 데이터를 생성하는 것이다.
도 5는 본 발명에 따른 전력 기기 접근 관리 장치의 접근 결정 정보 생성부가 접근 결정 정보를 생성하는 것을 설명하기 위한 도면이다.
도 5를 참조하면, 접근 결정 정보에 포함된 내용을 확인할 수 있다.
구체적으로, 소속이 "XXX" 이며 지위가 "운영자"에 해당하는 접근 주체는 상기 대상 전력 기기 정보를 통해 변전소 1의 전력 기기A와 전력 기기B 및 변전소 2의 전력 기기a와 전력 기기b로 접근하려 하는 것을 알 수 있다.
또한, 소속이 "OOO" 이며 지위가 "일반 검색자"에 해당하는 접근 주체도 상기 대상 전력 기기 정보를 통해 변전소 1의 전력 기기A와 전력 기기B 및 변전소 2의 전력 기기a와 전력 기기b로 접근하려 하는 것을 알 수 있다.
이 때, 생성된 접근 결정 정보를 보면, "XXX" 소속의 "운영자" 지위를 갖는 자는 변전소 1의 전력 기기A와 전력 기기B 및 변전소 2의 전력 기기a와 전력 기기b로 접근하기를 원하지만, 변전소 2의 전력 기기a와 전력 기기b에는 접근하지 못하는 지위에 해당함을 알 수 있다.
또한, "OOO" 소속의 "일반 검색자" 지위를 갖는 자는 변전소 1의 전력 기기A와 전력 기기B 및 변전소 2의 전력 기기a와 전력 기기b로 접근하기를 원하지만, 변전소 1의 전력 기기A와 전력 기기B에는 접근하지 못하는 지위에 해당함을 알 수 있다.
상기 권한 정보 생성부(150)는 상기 지위 정보를 기반으로 상기 지위에 따른 세부적인 권한을 부여하여 권한 정보를 생성하는 기능을 수행한다.
즉, 상기 지위 정보 생성부(150)에서 생성되는 지위 정보를 통하여 상기 지위 정보에 대응되는 권한을 부여하는 것이다.
도 6은 본 발명에 따른 전력 기기 접근 관리 장치의 권한 정보 생성부가 권한 정보를 생성하는 것을 설명하기 위한 도면이다.
도 6을 참조하면, 상기 지위 정보 생성부(120)에서 생성되는 지위 정보에 따라 일반 검색자의 세부적인 권한은 "검색", "보고"이며, 운영자의 세부적인 권한은 "검색", "읽기", "보고", "제어"이다.
또한, 기술자의 세부적인 권한은 "검색", "읽기", "정보 관리", "보고", "파일 쓰기", "파일 관리", "설정"이며, 설치자의 세부적인 권한은 "검색", "읽기", "보고", "파일 쓰기", "설정"임을 확인할 수 있다.
상기 패스워드 정보 생성부(160)는 상기 대상 전력 기기 정보를 기반으로 상기 대상 전력 기기에 접근하기 위한 패스워드를 검색하여 패스 워드 정보를 생성하는 기능을 수행한다.
즉, 상기 대상 전력 기기 정보를 통하여 상기 접근 주체가 접근하려는 대상 전력 기기를 확인하고, 상기 대상 전력 기기에 접근하기 위한 패스 워드를 검색하여 패스 워드에 관한 정보를 생성하는 것이다.
각 전력 기기마다 고유의 패스 워드는 상기 송수신부(110)가 전력 기기들로부터 전력 기기 정보를 수신하여 확보하고 있음을 이미 설명하였다.
이 때, 상기 전력 기기 정보는, 상기 전력 시스템 내부의 전력 기기의 패스 워드가 주기적으로 업데이트 될 수 있다.
따라서, 상기 전력 기기의 패스 워드의 유효기간이 지난 경우 새로운 패스 워드를 상기 송수신부(110)가 수신하여 상기 대상 전력 기기 정보 생성부(130)에 제공할 수 있는 것이다.
상기 제어부(170)는 상기 접근 결정 정보, 권한 정보 및 패스워드 정보를 조합하여 IEC 61850 기반의 데이터 포맷으로 변환하여 상기 대상 전력 기기에 전송함으로써 상기 접근 주체가 상기 대상 전력 기기에 접근하는 것을 제어하는 기능을 수행한다.
즉, 상기 접근 결정 정보 생성부(140)에서 생성되는 접근 결정 정보, 상기 권한 정보 생성부(150)에서 생성되는 권한 정보 및 상기 패스워드 정보 생성부(160)에서 생성되는 패스 워드 정보를 조합하는 것이다.
이 때, 조합된 데이터는 IEC(International Electrotechnical Commission) 61850 기반의 데이터 포맷으로 변환된다.
여기서 IEC 61850 이란, 변전 시스템의 통신/제어를 위해 기존의 복잡한 구리선 형태에서 개방형 구조의 이더넷 기반 광케이블 디지털 방식으로 변환 하기 위한 변전소 자동화 통신 프로토콜을 의미한다.
구체적으로 IEC 61850 프로토콜을 적용하면 변전 시스템의 호환성 확보 및 제조사가 상이한 설비간의 상호 운영성 지원을 통해 시스템 집적성, 운용성을 극대화할 수 있을 뿐 아니라, 변전 시스템의 실시간 감시를 통해 설비 고장에 대한 사전 예측 및 최적 이용을 가능하게 한다.
본 발명에서는 상기 접근 결정 정보, 권한 정보 및 패스 워드 정보를 조합하여 IEC 61850 기반의 데이터 형식으로 정보를 생성한다.
나아가, IEC 61850 국제표준 프로토콜에서 여분의 비트에 상기 정보를 할당하는 방식을 채용함으로써 본 발명을 실행시 별도의 트래픽 발생 및 시스템 오버헤드를 방지할 수 있는 것에 특징이 있다.
구체적인 내용은 이하 도 7 내지 도 8을 통하여 후술하도록 한다.
도 7은 본 발명에 따른 전력 기기 접근 관리 장치 및 방법에서 활용하는 IEC 61850 데이터 포맷 중 여분의 비트를 설명하기 위한 도면이다. 도 8은 IEC 615850 데이터 포맷 중 제 1 RESERVED 필드를 활용하는 실시예를 설명하기 위한 도면이다.
도 7을 참조하면, IEC 61850 데이터 링크 계층 포맷은 Ethertype, APPID 및 Length 필드 뒤에 각각 2바이트의 Reserved 필드인 제 1 RESERVED(10) 및 제 2 RESERVED(20)가 있고 그 뒤에 APDU와 Extension 필드가 뒤따른다.
첫 2바이트인 제 1 Reserved(10)는 시뮬레이션 및 GOOSE 메시지 보안을 위해 할당된 필드이며 뒤의 2바이트인 제 2 Reserved(20)는 추가 보안을 위해 할당되어 있으나 사용을 위한 구체적인 계획이나 방향이 없는 상태이다.
본 발명에서는 상기 살펴본 바와 같이 여분의 비트에 해당하는 제 1 Reserved(10) 및 제 2 Reserved(20)의 2바이트를 활용함으로써 전력 기기 접근을 관리함에 있어서 별도의 프로토콜을 정의하지 않고자 한다.
이는 추가 데이터 생성 및 송수신에 따른 오버헤드 발생을 방지함과 동시에 주기적으로 송수신되는 운영데이터를 이용함으로써 상시 모니터링 및 상태 파악이 가능하다는 2가지 장점을 확보하기 위함이다.
도 8을 참조하면, 제 1 Reserved(10)의 최상위 1 비트(11)에는 상기 접근 결정 정보가 할당된다.
구체적인 실시예로 상기 접근 결정 정보 생성부(140)에서 접근 주체가 대상 전력 기기에 접근 가능한지 여부에 대한 데이터를 의미한다.
즉, 접근이 가능한 경우에는 "1", 접근이 불가능한 경우에는 "0"을 기록하게 된다.
예를 들어, 도 5를 참조하였을 때 "XXX" 소속에 속해있는 "운영자"는 변전소 2의 전력 기기a에 접근하지 못하므로 "0"으로 기록 될 것이다.
다만, 변전소 1의 전력 기기A에 대해서는 접근할 수 있으므로 "1"로 기록될 것이다.
또한, 다음 상위 3 비트(12)에는 상기 지위 정보가 할당된다.
예를 들어, 일반 검색자의 경우 "001", 운영자의 경우 "010", 기술자의 경우 "011", 설치자의 경우 "100", 보안 관리자의 경우 "101", 보안 감시자의 경우 "110", 권한 관리자의 경우 "111"로 기록할 수 있을 것이다.
또한, 나머지 하위 12 비트(13)에는 상기 권한 정보가 할당된다.
예를 들어 "검색", "일기", "정보 관리", "보고", "파일 일기", "파일 쓰기", "파일 관리", "제어", "설정", "그룹 설정", "보안", "기타"로 12 비트를 할당할 수 있다.
여기서, 권한이 있는 항목에는 "1"로 기록하고, 권한이 없는 항목에 대해서는 "0"으로 기록한다.
또한, IEC 61850 데이터에서 16 비트로 구성되는 제 2 Reserved(20) 필드의 16 비트에는 상기 패스 워드 정보를 할당한다.
이 때, 상기 패스 워드는 패스 워드 관리 정책에 따라 영문자, 숫자 및 기타 조합 등으로 설정할 수 있다.
상기 살펴본 바와 같이, 제어부(170)는 기록된 제 1 Reserved(10), 제 2 Reserved(20)를 대상 전력 기기로 전송하여 전력 기기로 접속을 원하는 접근 주체의 접근 정당성과 관련 권한을 알려주어 전력 기기에서의 자동화된 접근 통제와 권한 관리가 이루어 질 수 있는 것이다.
이하 본 발명에 따른 전력 기기 접근 관리 장치의 신뢰도를 평가할 수 있는 신호 테스트부에 대하여 설명하도록 한다.
본 발명에 따른 전력 기기 접근 관리 장치(500,600)가 정상적으로 작동하지 않거나 진행 속도의 이상이 있는 경우에는 신뢰성을 검증할 수 없다.
따라서, 상기 전력 기기 접근 관리 장치의 반응 속도를 기반으로 정상적인 경우와 비정상 적인 경우를 판단하는 것이 필요하다.
만약, 정상적으로 작동하지 않는 경우라면, 상기 전력 기기 접근 관리 장치(500,600)의 동작을 정지하여, 다른 루트로 전력 기기에 접근할 수 있다.
또한, 상기 전력 기기 접근 관리 장치를 이원화로 제 1 전력 기기 접근 관리 장치(500) 및 제 2 전력 기기 접근 관리 장치(600)로 구성할 수 있다.
이 경우, 제 1 전력 기기 접근 관리 장치(500)가 정상적으로 동작하지 않는 것으로 판단된다면, 상기 제 1 전력 기기 접근 관리 장치(500)의 동작을 정지하고 상기 제 2 전력 기기 접근 관리 장치(600)가 수행되도록 절체 명령을 수행할 수 있다.
이사 본 발명에 따른 전력 기기 접근 관리 장치의 신호 테스트부(700)의 동작에 대하여 설명하도록 한다.
도 9는 본 발명에 따른 전력 기기 접근 관리 장치의 신호 테스트부를 설명하기 위한 도면이다.
도 9를 참조하여, 상기 신호 테스트부(700)의 실시예를 살펴보면, 상기 신호 테스트부(700)는 제 1 전력 기기 접근 관리 장치(500) 및 제 2 전력 기기 접근 관리 장치(600)와 접근 주체(800)사이에서 통신을 하게 된다.
또한, 상기 제 1 전력 기기 접근 관리 장치(500)와 상기 제 2 전력 기기 접근 관리 장치(600)는 동일한 기능을 수행하므로, 상기 접근 주체(800)가 전력 기기(900)로 접근하는 것을 관리하게 된다.
이 때, 상기 신호 테스트부는 접근 주체(800)로부터 접근 요청 데이터를 수신하여, 상기 제 1 전력 기기 접근 관리 장치의 송수신부에 전송한 후 기정의된 시간 이내에 상기 송수신부로부터 응답 신호를 수신하지 못하는 경우, 상기 제 1 전력 기기 접근 관리 장치(500)의 작동을 종료시킨다.
상기 접근 주체(800)에는 원격지 PC(810), SCADA(820) 및 현장 작업자(830)가 포함될 수 있다.
구체적으로,상기 신호 테스트부(700)는 원격지 PC(810)로부터 접근 요청 데이터를 수신한 경우, 이를 상기 제 1 전력 기기 접근 관리 장치(500)에 전송함과 동시에 전송 시간을 체크한다.
이후 상기 제 1 전력 기기 접근 관리 장치(500)의 송수신부로부터의 응답을 기다리게 되는데, 일반 적인 통신 지연 시간을 감안하여 미리 설정된 시간 내에 응답을 수신 받지 못하게 된다면, 상기 제 2 전력 기기 접근 관리 장치(600)로 상기 원격지 PC(810)의 접근 요청 데이터를 전송하게 되는 것이다.
또한, 상기 제 1 전력 기기 접근 관리 장치(500) 및 상기 제 2 전력 기기 접근 관리 장치(600)의 응답 처리 결과들을 저장하여 상기 제 1 전력 기기 접근 관리 장치(500) 및 상기 제 2 전력 기기 접근 관리 장치(600)의 상태 관리를 할 수 있도록 한다.
또한, 상기 제 1 전력 기기 접근 관리 장치(500) 및 상기 제 2 전력 기기 접근 관리 장치(600)의 응답 처리율을 통계처리하고 관리할 수 있다.
예를 들면, 최근 한달 동안 제 1 전력 기기 접근 관리 장치(500)로의 응답 요청 건이 100건, 미처리된(비정상 처리된) 건이 6건인 경우 응답률 6%가 되며, 이를 바탕으로 기설정된 임계 값의 범위 내에 해당하는지를 검토한다.
이 때, 상기 응답률이 상기 임계 값을 벗어난 경우에는 상기 제 1 전력 기기 접근 관리 장치(500)와 상기 제 2 전력 기기 접근 관리 장치(600)의 역할을 바꾸어서 상기 제 2 전력 기기 접근 관리 장치(600)가 먼저 접근 요청 데이터를 수신하도록 설계 변경을 할 수도 있다.
이처럼 전력 기기 접근 관리 장치를 이원화로 구성하여 실시간 관리하게 되는 경우 독립된 전력 기기 접근 관리 장치에 대한 의존성을 분산함과 동시에 시스템의 건정성을 더욱 향상 시킬 수 있다.
이하 본 발명에 따른 전력 기기 접근 관리 방법에 대하여 살펴보도록 한다.
도 10은 본 발명에 따른 전력 기기 접근 관리 방법의 흐름도이다.
도 10을 참조하면, 본 발명에 따른 전력 기기 접근 관리 방법은, 전력 시스템에 접근하려는 접근 주체의 접근 요청 데이터를 수신하고, 상기 접근 주체에 대한 인증 정보를 인증 서버로부터 수신하는 단계(S100), 상기 전력 시스템 내부의 전력 기기로부터 상기 전력 기기에 대한 전력 기기 정보를 수신하는 단계(S110), 상기 인증 정보를 기반으로 상기 접근 주체에게 지위를 부여하여 지위 정보를 생성하는 단계(S120), 상기 접근 요청 데이터 및 상기 전력 기기 정보를 기반으로 상기 접근 주체가 접근하려는 상기 전력 시스템 내부의 대상 전력 기기를 확인하여 대상 전력 기기 정보를 생성하는 단계(S130),상기 지위 정보 및 상기 대상 전력 기기 정보를 매핑하여 상기 접근 주체가 상기 대상 전력 기기에 접근 가능한지 여부에 대한 접근 결정 정보를 생성하는 단계(S140),상기 지위 정보를 기반으로 상기 지위에 따른 세부적인 권한을 부여하여 권한 정보를 생성하는 단계(S150), 상기 대상 전력 기기 정보를 기반으로 패스워드 정보를 생성하는 단계(S160) 및 상기 접근 결정 정보, 권한 정보 및 패스워드 정보를 조합하여 IEC 61850 기반의 데이터 포맷으로 변환하여 상기 대상 전력 기기에 전송함으로써 상기 접근 주체가 상기 대상 전력 기기에 접근하는 것을 제어하는 단계(S170)를 포함한다.
이 때, 상기 전력 기기 정보는, 상기 전력 시스템 내부의 전력 기기의 패스 워드가 주기적으로 업데이트 될 수 있다.
따라서, 상기 전력 기기의 패스 워드의 유효기간이 지난 경우 새로운 패스 워드를 수신하여 상기 대상 전력 기기 정보를 생성하는 단계(S130)에 반영할 수 있다.
이 때, 상기 대상 전력 기기 정보를 생성하는 단계(S130)는, 상기 접근 요청 데이터의 패킷 정보를 기반으로 상기 접근 주체가 접근하려는 상기 전력 시스템 내부의 대상 전력 기기를 확인하여 대상 전력 기기 정보를 생성할 수 있다.
즉, 상기 접근 요청 데이터의 패킷 정보에는 상기 접근 주체가 접근하려는 대상 전력 기기에 대한 정보가 기록되어 있다. 따라서, 상기 대상 전력 기기 정보를 생성하는 단계에서, 상기 대상 전력 기기가 어느 것인지를 판단할 수 있게 된다.
이 때, 상기 지위 정보를 생성하는 단계(S120)는, 상기 지위 정보를 IEC 61850 데이터에서 16 비트로 구성되는 제 1 Reserved 필드의 3 비트에 할당하여 생성할 수 있다.
이 때, 상기 권한 정보를 생성하는 단계(S150)는, 상기 권한 정보를 IEC 61850 데이터에서 16 비트로 구성되는 제 1 Reserved 필드의 12 비트에 할당하여 생성할 수 있다.
이 때, 상기 패스워드 정보를 생성하는 단계(S160)는, 상기 패스워드 정보를 IEC 61850 데이터에서 16 비트로 구성되는 제 2 Reserved 필드의 16 비트에 할당하여 생성할 수 있다.
도 8을 참조하면, 제 1 Reserved(10)의 최상위 1 비트(11)에는 상기 접근 결정 정보가 할당된다.
구체적인 실시예로 상기 접근 결정 정보 생성부에서 접근 주체가 대상 전력 기기에 접근 가능한지 여부에 대한 데이터를 의미한다.
즉, 접근이 가능한 경우에는 "1", 접근이 불가능한 경우에는 "0"을 기록하게 된다. 예를 들어, 도 5를 참조하였을 때 "XXX" 소속에 속해있는 "운영자"는 변전소 2의 전력 기기a에 접근하지 못하므로 "0"으로 기록 될 것이다.
다만, 변전소 1의 전력 기기A에 대해서는 접근할 수 있으므로 "1"로 기록될 것이다.
또한, 다음 상위 3 비트(12)에는 상기 지위 정보가 할당된다.
예를 들어, 일반 검색자의 경우 "001", 운영자의 경우 "010", 기술자의 경우 "011", 설치자의 경우 "100", 보안 관리자의 경우 "101", 보안 감시자의 경우 "110", 권한 관리자의 경우 "111"로 기록할 수 있을 것이다.
또한, 나머지 하위 12 비트(13)에는 상기 권한 정보가 할당된다.
예를 들어 "검색", "일기", "정보 관리", "보고", "파일 일기", "파일 쓰기", "파일 관리", "제어", "설정", "그룹 설정", "보안", "기타"로 12 비트를 할당할 수 있다.
여기서, 권한이 있는 항목에는 "1"로 기록하고, 권한이 없는 항목에 대해서는 "0"으로 기록한다.
또한, IEC 61850 데이터에서 16 비트로 구성되는 제 2 Reserved(20) 필드의 16 비트에는 상기 패스 워드 정보를 할당한다.
이 때, 상기 패스 워드는 패스 워드 관리 정책에 따라 영문자, 숫자 및 기타 조합 등으로 설정할 수 있다.
또한, 상기 S100 단계에서 상기 접근 요청 데이터를 수신한 것에 대한 응답 신호를 기정의된 시간 이내에 수신하지 못하는 경우, 다른 전력 기기 접근 관리 장치로 절체할 수 있다.
즉, 상기 접근 요청 데이터를 수신하는 것에 대한 신뢰도를 평가하기 위한 것이다. 상기 접근 주체에는 원격지 PC, SCADA 및 현장 작업자가 포함될 수 있다.
예를 들어, 원격지 PC로부터 접근 요청 데이터를 수신한 경우, 시간을 체크한다.
이 후, 상기 접근 요청 데이터를 수신하였다는 응답을 기다리게 되는데, 일반 적인 통신 지연 시간을 감안하여 미리 설정된 시간 내에 응답을 수신 받지 못하게 된다면, 다른 전력 기기 접근 관리 장치로 절체된다.
따라서, 상기 다른 전력 기기 접근 관리 장치로 상기 접근 요청 데이터를 수신하게 되며, 상기 다른 전력 기기 접근 관리 장치를 통하여 상기 접근 주체가 전력 기기로 접근하는 것을 관리하게 되는 것이다.
또한, 서로 다른 전력 기기 접근 관리 장치들의 응답 처리 결과들을 저장하여 각각의 전력 기기 접근 관리 장치의 상태 관리를 할 수 있으며, 각각의 응답 처리율을 통계 처리 할 수 있다.
예를 들면, 최근 한달 동안 응답 요청 건이 100건, 미처리된(비정상 처리된) 건이 6건인 경우 응답률 6%가 되며, 이를 바탕으로 기설정된 임계 값의 범위 내에 해당하는지를 검토한다.
이 때, 상기 응답률이 상기 임계 값을 벗어난 경우에는 다른 전력 기기 접근 관리 장치로 역할을 바꾸게 된다.
이처럼 전력 기기 접근 관리 장치를 이원화로 구성하여 실시간 관리하게 되는 경우 독립된 전력 기기 접근 관리 장치에 대한 의존성을 분산함과 동시에 시스템의 건정성을 더욱 향상 시킬 수 있다.
이상에서와 같이 본 발명에 따른 전력 기기 접근 관리 장치 및 방법은 상기한 바와 같이 설명된 실시예들의 구성과 방법이 한정되게 적용될 수 있는 것이 아니라, 상기 실시예들은 다양한 변형이 이루어질 수 있도록 각 실시예들의 전부 또는 일부가 선택적으로 조합되어 구성될 수도 있다.
100: 전력 기기 접근 관리 장치 200: 인증서버
300: 접근 주체 400: 전력 기기
110: 송수신부
120: 지위 정보 생성부
130: 대상 전력 기기 정보 생성부
140: 접근 결정 정보 생성부
150: 권한 정보 생성부
160: 패스워드 정보 생성부
170: 제어부
300: 접근 주체 400: 전력 기기
110: 송수신부
120: 지위 정보 생성부
130: 대상 전력 기기 정보 생성부
140: 접근 결정 정보 생성부
150: 권한 정보 생성부
160: 패스워드 정보 생성부
170: 제어부
Claims (20)
- IEC 61850을 기반으로 동작하는 전력 기기 접근 관리 장치에 있어서,
전력 시스템에 접근하려는 접근 주체의 접근 요청 데이터를 수신하고, 상기 접근 주체에 대한 인증 정보를 인증 서버로부터 수신하는 송수신부;
상기 인증 정보를 기반으로 상기 접근 주체에게 지위를 부여하여 지위 정보를 생성하는 지위 정보 생성부;
상기 지위 정보를 기반으로 상기 지위에 따른 세부적인 권한을 부여하여 권한 정보를 생성하는 권한 정보 생성부;
상기 접근 요청 데이터를 기반으로 상기 접근 주체가 접근하려는 상기 전력 시스템 내부의 대상 전력 기기를 확인하여 대상 전력 기기 정보를 생성하는 대상 전력 기기 정보 생성부; 및
상기 지위 정보 및 상기 대상 전력 기기 정보를 매핑하여 상기 접근 주체가 상기 대상 전력 기기에 접근 가능한지 여부에 대한 접근 결정 정보를 생성하는 접근 결정 정보 생성부를 포함하고,
상기 지위 정보, 권한 정보 및 상기 접근 결정 정보는 IEC 61850 데이터의 제 1 Reserved 필드에 할당되는 것을 특징으로 하는 전력 기기 접근 관리 장치. - 청구항 1에 있어서,
상기 송수신부는,
상기 전력 시스템 내부의 전력 기기로부터 상기 전력 기기에 대한 전력 기기 정보를 수신하고, 상기 전력 기기 정보를 상기 대상 전력 기기 정보 생성부에 전송하는 것을 특징으로 하는 전력 기기 접근 관리 장치. - 삭제
- 청구항 1에 있어서,
상기 대상 전력 기기 정보를 기반으로 상기 대상 전력 기기에 접근하기 위한 패스워드를 검색하여 패스 워드 정보를 생성하는 패스워드 정보 생성부를 더 포함하는 것을 특징으로 하는 전력 기기 접근 관리 장치. - 청구항 4에 있어서,
상기 접근 결정 정보, 권한 정보 및 패스워드 정보를 조합하여 IEC 61850 기반의 데이터 포맷으로 변환하여 상기 대상 전력 기기에 전송함으로써 상기 접근 주체가 상기 대상 전력 기기에 접근하는 것을 제어하는 제어부를 더 포함하는 것을 특징으로 하는 전력 기기 접근 관리 장치. - 청구항 2에 있어서,
상기 전력 기기 정보에 포함되는 상기 전력 시스템 내부의 전력 기기 패스워드는 주기적으로 업데이트 되는 것을 특징으로 하는 전력 기기 접근 관리 장치. - 청구항 1에 있어서,
상기 대상 전력 기기 정보 생성부는,
상기 접근 요청 데이터의 패킷 정보를 기반으로 상기 접근 주체가 접근하려는 상기 전력 시스템 내부의 대상 전력 기기를 확인하여 대상 전력 기기 정보를 생성하는 것을 특징으로 하는 전력 기기 접근 관리 장치. - 삭제
- 청구항 4에 있어서,
상기 패스워드 정보 생성부는,
상기 패스워드 정보를 IEC 61850 데이터에서 16 비트로 구성되는 제 2 Reserved 필드에 할당하여 생성하는 것을 특징으로 하는 전력 기기 접근 관리 장치. - 청구항 1에 있어서,
상기 접근 요청 데이터를 수신하여, 상기 송수신부에 전송한 후 기정의된 시간 이내에 상기 송수신부로부터 응답 신호를 수신하지 못하는 경우, 다른 전력 기기 접근 관리 장치로 절체하는 신호 테스트부를 더 포함하는 것을 특징으로 하는 전력 기기 접근 관리 장치. - IEC 61850을 기반으로 동작하는 전력 기기 접근 관리 방법에 있어서,
전력 시스템에 접근하려는 접근 주체의 접근 요청 데이터를 수신하고, 상기 접근 주체에 대한 인증 정보를 인증 서버로부터 수신하는 단계;
상기 인증 정보를 기반으로 상기 접근 주체에게 지위를 부여하여 지위 정보를 생성하는 단계;
상기 지위 정보를 기반으로 상기 지위에 따른 세부적인 권한을 부여하여 권한 정보를 생성하는 단계;
상기 접근 요청 데이터를 기반으로 상기 접근 주체가 접근하려는 상기 전력 시스템 내부의 대상 전력 기기를 확인하여 대상 전력 기기 정보를 생성하는 단계; 및
상기 지위 정보 및 상기 대상 전력 기기 정보를 매핑하여 상기 접근 주체가 상기 대상 전력 기기에 접근 가능한지 여부에 대한 접근 결정 정보를 생성하는 단계를 포함하고,
상기 지위 정보, 권한 정보 및 상기 접근 결정 정보는 IEC 61850 데이터의 제 1 Reserved 필드에 할당되는 것을 특징으로 하는 전력 기기 접근 관리 방법. - 청구항 11에 있어서,
상기 전력 시스템 내부의 전력 기기로부터 상기 전력 기기에 대한 전력 기기 정보를 수신하는 단계를 더 포함하고
상기 대상 전력 기기 정보를 생성하는 단계는,
상기 접근 요청 데이터 및 상기 전력 기기 정보를 기반으로 상기 대상 전력 기기 정보를 생성하는 것을 특징으로 하는 전력 기기 접근 관리 방법. - 삭제
- 청구항 11에 있어서,
상기 대상 전력 기기 정보를 기반으로 상기 대상 전력 기기에 접근하기 위한 패스워드를 검색하여 패스 워드 정보를 생성하는 단계를 더 포함하는 것을 특징으로 하는 전력 기기 접근 관리 방법. - 청구항 14에 있어서,
상기 접근 결정 정보를 생성하는 단계 이후에,
상기 접근 결정 정보, 권한 정보 및 패스워드 정보를 조합하여 IEC 61850 기반의 데이터 포맷으로 변환하여 상기 대상 전력 기기에 전송함으로써 상기 접근 주체가 상기 대상 전력 기기에 접근하는 것을 제어하는 단계를 더 포함하는 것을 특징으로 하는 전력 기기 접근 관리 방법. - 청구항 12에 있어서,
상기 전력 기기 정보에 포함되는 상기 전력 시스템 내부의 전력 기기 패스워드는 주기적으로 업데이트 되는 것을 특징으로 하는 전력 기기 접근 관리 방법. - 청구항 11에 있어서,
상기 대상 전력 기기 정보를 생성하는 단계는,
상기 접근 요청 데이터의 패킷 정보를 기반으로 상기 접근 주체가 접근하려는 상기 전력 시스템 내부의 대상 전력 기기를 확인하여 대상 전력 기기 정보를 생성하는 것을 특징으로 하는 전력 기기 접근 관리 방법. - 삭제
- 청구항 14에 있어서,
상기 패스워드 정보를 생성하는 단계는,
상기 패스워드 정보를 IEC 61850 데이터에서 16 비트로 구성되는 제 2 Reserved 필드의에 할당하여 생성하는 것을 특징으로 하는 전력 기기 접근 관리 방법. - 청구항 11에 있어서,
상기 접근 요청 데이터를 수신한 것에 대한 응답 신호를 기정의된 시간 이내에 수신하지 못하는 경우, 다른 전력 기기 접근 관리 장치로 절체하는 단계를 더 포함하는 것을 특징으로 하는 전력 기기 접근 관리 방법.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020130104469A KR101541293B1 (ko) | 2013-08-30 | 2013-08-30 | 전력 기기 접근 관리 장치 및 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020130104469A KR101541293B1 (ko) | 2013-08-30 | 2013-08-30 | 전력 기기 접근 관리 장치 및 방법 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20150026096A KR20150026096A (ko) | 2015-03-11 |
| KR101541293B1 true KR101541293B1 (ko) | 2015-08-03 |
Family
ID=53022170
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020130104469A KR101541293B1 (ko) | 2013-08-30 | 2013-08-30 | 전력 기기 접근 관리 장치 및 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR101541293B1 (ko) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010081767A (ja) | 2008-09-29 | 2010-04-08 | Toshiba Corp | 電力系統保護制御システム |
| JP2012170296A (ja) * | 2011-02-16 | 2012-09-06 | Mitsubishi Electric Corp | 電力系統保護制御システムおよび保護制御装置 |
-
2013
- 2013-08-30 KR KR1020130104469A patent/KR101541293B1/ko active IP Right Grant
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010081767A (ja) | 2008-09-29 | 2010-04-08 | Toshiba Corp | 電力系統保護制御システム |
| JP2012170296A (ja) * | 2011-02-16 | 2012-09-06 | Mitsubishi Electric Corp | 電力系統保護制御システムおよび保護制御装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20150026096A (ko) | 2015-03-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102947797B (zh) | 使用横向扩展目录特征的在线服务访问控制 | |
| CN106411857B (zh) | 一种基于虚拟隔离机制的私有云gis服务访问控制方法 | |
| EP2037651A1 (en) | Method and system for accessing devices in a secure manner | |
| KR100936920B1 (ko) | 원 타임 패스워드를 사용하는 관리 서버 예약 접속 방법,클라이언트 및 시스템 | |
| US10139789B2 (en) | System and method for access decision evaluation for building automation and control systems | |
| CN103685215A (zh) | 电力通信运维移动系统以及电力通信运维方法 | |
| IL158309A (en) | Centralized network control | |
| CN102571773A (zh) | 一种信息安全综合审计系统和方法 | |
| CN102307114A (zh) | 一种网络的管理方法 | |
| CN108966216B (zh) | 一种应用于配电网的移动通信方法及系统 | |
| CN105577677A (zh) | 一种基于j2ee的远程登录方法及系统 | |
| KR101674619B1 (ko) | 클라이언트 단말의 감시 제어 기능을 구비한 가상화 서비스 제공 시스템 | |
| US20200357214A1 (en) | Managing and controlling access to secured areas | |
| CN106295386A (zh) | 数据文件的保护方法、装置及终端设备 | |
| KR20210123518A (ko) | 클라우드 서비스 기반의 원격통제 기능이 탑재된 스마트워크 지원시스템 | |
| KR102211238B1 (ko) | 논리적 내부 네트워크를 제공하는 방법, 이를 구현하는 모바일 단말 및 어플리케이션 | |
| CN112347440B (zh) | 一种工控设备的用户访问权限分置系统及其使用方法 | |
| KR101541293B1 (ko) | 전력 기기 접근 관리 장치 및 방법 | |
| KR20070076342A (ko) | 그리드 환경에서 사용자 그룹 역할/권한 관리 시스템 및접근 제어 방법 | |
| US9232078B1 (en) | Method and system for data usage accounting across multiple communication networks | |
| KR100777537B1 (ko) | 분산 네트워크 시스템의 통합관리를 위한 플랫폼 시스템및 통합관리 방법 | |
| KR101213287B1 (ko) | 빌딩 에너지 통합 관제 장치 및 방법 | |
| KR101662801B1 (ko) | 가상화 서비스 제공을 위한 디바이스 리다이렉션 시스템 | |
| CN111357244A (zh) | 用于提供来自can总线的数据包的方法、控制设备以及具有can总线的系统 | |
| US20220394031A1 (en) | Secure data orchestrator for iot networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20190625 Year of fee payment: 5 |