KR101575862B1 - 이기종 전력기기 간 보안 연계 시스템 - Google Patents

이기종 전력기기 간 보안 연계 시스템 Download PDF

Info

Publication number
KR101575862B1
KR101575862B1 KR1020140186981A KR20140186981A KR101575862B1 KR 101575862 B1 KR101575862 B1 KR 101575862B1 KR 1020140186981 A KR1020140186981 A KR 1020140186981A KR 20140186981 A KR20140186981 A KR 20140186981A KR 101575862 B1 KR101575862 B1 KR 101575862B1
Authority
KR
South Korea
Prior art keywords
security
heterogeneous
protocol
iec
power device
Prior art date
Application number
KR1020140186981A
Other languages
English (en)
Inventor
김진철
김대현
조명휘
김종화
Original Assignee
한전케이디엔 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한전케이디엔 주식회사 filed Critical 한전케이디엔 주식회사
Priority to KR1020140186981A priority Critical patent/KR101575862B1/ko
Application granted granted Critical
Publication of KR101575862B1 publication Critical patent/KR101575862B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/40Support for services or applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials

Abstract

본 발명의 이기종 전력기기 간 보안 연계 시스템은, 제1 통신 프로토콜을 사용하는 전력계통의 제1 전력기기; 상기 제1 통신 프로토콜과 이종의 제2 통신 프로토콜을 사용하는 전력계통의 제2 전력기기; 및 상기 제1 전력기기와 상기 제2 전력기기 간을 연계하여 매핑 및 보안을 구현하는 이기종 연계 보안 게이트웨이를 포함하는 기술을 제공함에 기술적 특징이 있다.

Description

이기종 전력기기 간 보안 연계 시스템{SECURITY ASSOCIATION SYSTEM BETWEEN HETEROGENEOUS POWER DEVICES}
본 발명은 이기종 전력기기 간 보안 연계 시스템에 관한 것으로, 더욱 상세하게는 서로 다른 프로토콜을 사용하는 전력계통의 이종 기기 간을 연계하여 매핑 및 보안을 구현하는 이기종 연계 보안 게이트웨이를 제공함으로써, 해킹 및 보안의 위협으로부터 안전한 작업 환경을 제공할 뿐 만 아니라, 인증 받은 장비를 통해서만 데이터를 상호 전송함으로 인해 데이터의 신뢰성을 향상시킬 수 있는, 이기종 전력기기 간 보안 연계 시스템에 관한 것이다.
기존 전력계통에서는 시리얼통신의 제조사 특유의 프로토콜, DNP 프로토콜 또는 Modbus 등의 프로토콜을 사용하고 있다.
최근 스마트 그리드(Smart Grid, SG)가 진행되면서 이더넷(Ethernet)기반의 IEC 61850 프로토콜(이를테면, GOOSE, SMV, MMS 등)이 사용되고 있다.
이에 따라 분산전원 연계, EV(Electric Vehicle) 충전소 인프라 연계, 디지털 변전소와 연계 등으로 기존 전력시스템에 널리 사용되던 DNP 프로토콜은 IEC 61850, IEC 61970, IEC 61968 등의 프로토콜과 연계되고 있다.
하지만, 종래의 스마트 그리드 전력 환경에서 IT 기술의 도입으로 서로 다른 프로토콜이 혼용되어 사용됨에 따라 프로토콜을 서로 변환하는 과정이 필요하고, 그 과정에서 외부 시스템과의 상호운영에 효율성이 저하되며 보안 위협에 노출된다.
특히 최근 새로 설비되는 변전소의 경우 대부분 IEC 61850을 지원하는 방향으로 진행되고 있으며, 이때 기존 SCADA 통신 구간에서의 DNP3 와의 호환성을 위해 IEC 61850과 DNP3 통신의 매핑 기술 및 표준이 필요하다.
이는 IEC 61850과 DNP3 통신 프로토콜의 구조적 특징 차이가 존재하기 때문에 모든 데이터와 서비스들에 대한 1:1 매핑은 불가능하고, 그에 따라 매핑을 시켜주는 게이트웨이(gateway)가 필요하다.
또한 IEC 61850과 DNP3과 같은 이기종 프로토콜 간 연계 시 보안 표준 기술이 상이하기 때문에 연계구간에서 보안에 대한 표준 기술이 필요하다.
즉 종래의 스마트 그리드는 다양한 프로토콜 사용과 연계구간에서 스마트그리드 보안 취약점이 그대로 노출됨에 따라 스마트 그리드의 안전한 보안을 위해서 이기종간 연계 시 프로토콜에 대하여 보안기술이 요청되고 있지만, 아직까지 보안에 대한 표준화 등의 작업이 완료되지 않아 안전한 보안 환경을 제공하지 못하는 문제점이 있었다.
대한민국 공개특허 제10-2013-0098736호
본 발명이 해결하고자 하는 기술적 과제는, 서로 다른 프로토콜을 사용하는 전력계통의 이종 기기 간을 연계하여 매핑 및 보안을 구현하는 이기종 연계 보안 게이트웨이를 제공함으로써, 해킹 및 보안의 위협으로부터 안전한 작업 환경을 제공할 뿐 만 아니라 인증 받은 장비를 통해서만 데이터를 상호 전송함으로 인해 데이터의 신뢰성을 향상시킬 수 있는, 이기종 전력기기 간 보안 연계 시스템을 제공하는데 있다.
상기 기술적 과제를 이루기 위한 본 발명에 따른 이기종 전력기기 간 보안 연계 시스템은, 제1 통신 프로토콜을 사용하는 전력계통의 제1 전력기기; 상기 제1 통신 프로토콜과 이종의 제2 통신 프로토콜을 사용하는 전력계통의 제2 전력기기; 및 상기 제1 전력기기와 상기 제2 전력기기 간을 연계하여 매핑 및 보안을 구현하는 이기종 연계 보안 게이트웨이를 포함하는 기술을 제공한다.
본 발명은 해킹 및 보안의 위협으로부터 안전한 작업 환경을 제공할 뿐 만 아니라 인증 받은 장비를 통해서만 데이터를 상호 전송함으로 인해 데이터의 신뢰성을 향상시킬 수 있는 기술적 효과가 있다.
도 1은 본 발명에 따른 이기종 전력기기 간 보안 연계 시스템의 구성을 개략적으로 나타낸 것이다.
도 2는 본 발명에 따른 이기종 연계 보안 게이트웨이의 구성을 상세히 나타낸 것이다.
도 3a는 도 2의 구성 중 하드웨어 플랫폼의 구성을 상세히 나타낸 것이다.
도 3b는 도 2의 구성 중 암호모듈의 구성을 상세히 나타낸 것이다.
도 4a는 본 발명에 따른 이기종 연계 보안 게이트웨이를 통한 DNP 기반 전력기기로부터 IEC 61850 기반 전력기기로 데이터 흐름을 나타낸 것이다.
도 4b는 본 발명에 따른 이기종 연계 보안 게이트웨이를 통한 IEC 61850 기반 전력기기로부터 DNP 기반 전력기기로 데이터 흐름을 나타낸 것이다.
도 5a는 본 발명에 따른 이기종 연계 보안 게이트웨이를 적용한 DNP 프로토콜과 IEC 61850 프로토콜 간 이기종 연계 보안을 구현하는 제1 실시예를 나타낸 것이다.
도 5b는 본 발명에 따른 이기종 연계 보안 게이트웨이를 적용한 DNP 프로토콜과 IEC 61850 프로토콜 간 이기종 연계 보안을 구현하는 제2 실시예를 나타낸 것이다.
도 6a는 본 발명의 이기종 연계 보안 게이트웨이에 적용된 DNP 프로토콜 보안 수행 과정을 개략적으로 나타낸 것이다.
도 6b는 본 발명의 이기종 연계 보안 게이트웨이에 적용된 IEC 61850-GOOSE 프로토콜 보안 구조를 개략적으로 나타낸 것이다.
도 6c는 본 발명의 이기종 연계 보안 게이트웨이에 적용된 IEC 61850-MMS 프로토콜 보안 구조를 개략적으로 나타낸 것이다.
이하에서는 본 발명의 구체적인 실시예를 도면을 참조하여 상세히 설명하도록 한다.
도 1은 본 발명에 따른 이기종 전력기기 간 보안 연계 시스템의 구성을 개략적으로 나타낸 것이다.
도 1을 참조하면, 본 발명에 따른 이기종 전력기기 간 보안 연계 시스템은 DNP 기반 전력기기(10), IEC 61850 기반 전력기기(20) 및 이기종 연계 보안 게이트웨이(100)를 포함한다.
DNP 기반 전력기기(10)는 일반적인 DNP(Distributed Network Protocol) 프로토콜을 사용하는 기존의 전력계통의 각종 전기 기기를 의미하는데, 이를테면, RTU(Remote Terminal Unit), SCADA(Supervisory Control And Data Acquisition) 등을 예로 들 수 있다.
IEC 61850 기반 전력기기(20)는 스마트 그리드(smart grid)가 진행되면서 이더넷(Ethernet) 기반의 IEC 61850 프로토콜(이를테면, GOOSE, SMV, MMS 등)을 사용하는 최신의 전력계통의 각종 전기 기기를 의미하는데, 이를테면, 디지털 변전소의 전력기기인 IED(Intelligent Electronic Devices), 분산전원(Distributed Energy Resource, 'DER'), 전기차 충전소(Electric Vehicle station, 'EV') 등을 예로 들 수 있다.
이기종 연계 보안 게이트웨이(100)는 DNP 기반 전력기기(10)와 IEC 61850 기반 전력기기(20) 간의 이기종 기기 들을 연계하여 보안 프로토콜 매핑을 구현함으로, 해킹 및 보안의 위협으로부터 안전한 환경을 제공하는데 이에 대한 구체적인 설명은 이하 도 2에서 후술한다.
도 2는 본 발명에 따른 이기종 연계 보안 게이트웨이의 구성을 상세히 나타낸 것이고, 도 3a는 도 2의 구성 중 하드웨어 플랫폼의 구성을 상세히 나타낸 것이며, 도 3b는 도 2의 구성 중 암호모듈의 구성을 상세히 나타낸 것이다.
도 2를 참조하면, 본 발명에 따른 이기종 연계 보안 게이트웨이(100)는 이기종 보안 연계모듈(110), 이기종 매핑모듈(120), 하드웨어 플랫폼(130) 및 암호모듈(140)을 포함한다.
이기종 보안 연계모듈(110)은 DNP 프로토콜 및 IEC 61850 프로토콜이 적용된 각각의 데이터 들을 암호모듈(140)의 API(Application Program Interface)를 통해 암호화하고, 전자 서명하여 상호 인증 과정을 갖는데, 이에 대한 구체적인 내용은 도4 ~ 도6c에서 후술한다.
이기종 매핑모듈(120)은 IEEE 1815.1의 표준에 따라 DNP 프로토콜과 IEC 61850 프로토콜 간에 매핑(mapping)을 진행하는데, 이를테면 DNP 프로토콜 데이터가 입력되는 경우 IEC 61850 프로토콜로 매핑하고, IEC 61850 프로토콜 데이터가 입력되는 경우 DNP 프로토콜로 매핑 한다.
하드웨어 플랫폼(130)은 이기종 보안 연계모듈(110), 이기종 매핑모듈(120), 및 암호모듈(140)과 같이 3개의 모듈이 포팅(porting) 되어 동작하는 임베디드 시스템으로, 도 3a에 도시된 바대로, Application(131), Secure Library(132), Driver S/W(133), OS Kernel(134) 및 Physical Layer(135)를 포함한다.
암호모듈(140)은 도 3b에 도시된 바대로, 암호 알고리즘(Encryption algorithm, 141), 키 저장 운영부(Key store management, 142), Driver S/W(143), 펌웨어(Firm Ware, F/W, 144) 및 Physical Layer(145)를 포함한다.
여기서, 암호 알고리즘(141)은 이기종 보안 연계모듈(110)로부터 펌웨어 기반의 하드웨어 플랫폼(130)과 상호 데이터 연동을 통해 DNP 프로토콜과 IEC 61850 프로토콜 간에 암호화 요청이 있는 경우, 이를테면 보안 수준을 고려한 다양한 형태의 ARIA, RSA, ECDSA, AES, HASH 등의 암호화 알고리즘을 사용하여 데이터들을 암호화 또는 복호화 시킨다.
키 저장 운영부(142)는 안전한 키 관리 및 교환을 위한 별도의 키 저장소를 가지며, 이기종 보안 연계모듈(110)로부터 펌웨어 기반의 하드웨어 플랫폼(130)과 상호 데이터 연동을 통해 DNP 프로토콜과 IEC 61850 프로토콜 간에 전자서명에 대한 요청이 있는 경우, 요청된 전자 서명을 한 후 이기종 보안 연계모듈(110)로 결과 값을 전송해 준다.
도 4a는 본 발명에 따른 이기종 연계 보안 게이트웨이를 통한 DNP 기반 전력기기로부터 IEC 61850 기반 전력기기로 데이터 흐름을 나타낸 것이다.
도 4a를 참조하면, DNP 기반 전력기기(10)는 DNP 프로토콜의 보안을 처리하는 Secure DNP 에이전트를 내부에 구비하고, IEC 61850 기반 전력기기(20)는 IEC 61850 프로토콜의 보안을 처리하는 Secure IEC 61850 에이전트를 내부에 구비하며, 이기종 연계 보안 게이트웨이(100)는 DNP 기반 전력기기(10)와 보안 기능을 처리하기 위한 Secure DNP 에이전트 및 IEC 61850 기반 전력기기(20)와 보안 기능을 처리하기 위한 Secure IEC 61850 에이전트를 내부에 구비한다.
우선, DNP 기반 전력기기(10)의 Secure DNP 에이전트와 이기종 연계 보안 게이트웨이(100)의 Secure DNP 에이전트 간에 Critical ASDU를 전송하는 제1 단계(a1), Authentication Challenge를 전송하는 제2 단계(a2) 및 Authentication Response를 전송하는 제3 단계(a3)를 순차적으로 피드백 한다. (도 6a 참조)
다음으로, 이기종 연계 보안 게이트웨이(100)는 도 2에 도시된 이기종 보안 연계모듈(110)을 통한 인증 처리하는 제4 단계(a4), 이기종 매핑모듈(120)을 통해 입력된 DNP 프로토콜 데이터를 IEC 61850 프로토콜로 매핑 하는 제5 단계(a5) 및 이기종 보안 연계모듈(110)을 통해 보안 기능을 수행하는 제6 단계(a6)를 갖는다.
이 경우 IEC 61850의 GOOSE/SMV 프로토콜 보안인 경우 Authentication Value+CRC 형태의 패킷 구조를(도 6b 참조) 가지며, IEC 61850의 MMS 프로토콜 보안인 경우 SSL/TLS 인증, 암호화 및 전자서명 형태의 패킷 구조를(도 6c 참조) 갖는다.
다음으로, 이기종 연계 보안 게이트웨이(100)의 Secure IEC 61850 에이전트는 보안 처리된 Secure IEC 61850 데이터를 IEC 61850 기반 전력기기(20)의 Secure IEC 61850 에이전트로 전송하는 제7 단계(a7)를 갖는다.
다음으로, IEC 61850 기반 전력기기(20)는 해당하는 제어 명령을 수행하는 제8 단계(a8) 및 보안처리 기능을 수행하는 제9 단계(a9)를 갖는다.
이 경우 IEC 61850의 GOOSE/SMV 프로토콜 보안인 경우 Authentication Value+CRC 검증하고, IEC 61850의 MMS 프로토콜 보안인 경우 SSL/TLS 인증, 복호화 및 전자서명 검증을 수행한다.
다음으로, IEC 61850 기반 전력기기(20)는 이기종 연계 보안 게이트웨이(100)로 수행결과를 암호화 하여 전송하는 제10 단계(a10)를 갖는다.
다음으로, 이기종 연계 보안 게이트웨이(100)는 도 2에 도시된 이기종 보안 연계모듈(110)을 통해 전송된 수행결과를 복호화 하는 제11 단계(a11) 및 이기종 매핑모듈(120)을 통해 입력된 IEC 61850 프로토콜 데이터를 DNP 프로토콜로 매핑 하는 제12 단계(a12)를 갖는다.
마지막으로, 이기종 연계 보안 게이트웨이(100)의 Secure IEC 61850 에이전트는 DNP 기반 전력기기(10)의 Secure DNP 에이전트로 Standard protocol respond를 전송하는 제13 단계(a13)를 갖는다. (도 6a 참조)
도 4b는 본 발명에 따른 이기종 연계 보안 게이트웨이를 통한 IEC 61850 기반 전력기기로부터 DNP 기반 전력기기로 데이터 흐름을 나타낸 것이다.
여기서 도 4b의 데이터의 흐름은 IEC 61850 기반 전력기기(20) ---> 이기종 연계 보안 게이트웨이(100) ----> DNP 기반 전력기기(10) ----> 이기종 연계 보안 게이트웨이(100) ----> IEC 61850 기반 전력기기(20) 순으로 진행하는데 반해, 도 4a의 데이터 흐름은 DNP 기반 전력기기(10) ----> 이기종 연계 보안 게이트웨이(100) ----> IEC 61850 기반 전력기기(20) ----> 이기종 연계 보안 게이트웨이(100) ----> DNP 기반 전력기기(10) 순으로 진행하는 차이가 있을 뿐, 각각의 구간에서의 기능은 동일하므로, 이하 중복되는 설명은 생략하고 각각의 구간에서의 기능에 대해 간단히 설명한다.
우선, IEC 61850 기반 전력기기(20)는 데이터를 전송하기 전에 보안 기능을 수행하는 제1 단계(b1)를 갖는다.
이 경우 IEC 61850의 GOOSE/SMV 프로토콜 보안인 경우 Authentication Value+CRC 형태의 패킷 구조를(도 6b 참조) 가지며, IEC 61850의 MMS 프로토콜 보안인 경우 SSL/TLS 인증, 암호화 및 전자서명 형태의 패킷 구조를(도 6c 참조) 갖는다.
다음으로, IEC 61850 기반 전력기기(20)의 Secure IEC 61850 에이전트는 이기종 연계 보안 게이트웨이(100)의 Secure IEC 61850 에이전트로 보안 처리된 Secure IEC 61850 데이터를 전송하는 제2 단계(b2)를 갖는다.
다음으로, 이기종 연계 보안 게이트웨이(100)는 도 2에 도시된 이기종 보안 연계모듈(110)을 통해 보안 기능을 수행하는 제3 단계(b3)를 갖는다.
이 경우 IEC 61850의 GOOSE/SMV 프로토콜 보안인 경우 Authentication Value+CRC 검증하고, IEC 61850의 MMS 프로토콜 보안인 경우 SSL/TLS 인증, 복호화 및 전자서명 검증을 수행한다.
다음으로, 이기종 연계 보안 게이트웨이(100)는 도 2에 도시된 이기종 매핑모듈(120)을 통해 입력된 IEC 61850 프로토콜 데이터를 DNP 프로토콜로 매핑 하는 제4 단계(b4)를 갖는다.
다음으로, 이기종 연계 보안 게이트웨이(100)의 Secure DNP 에이전트와 DNP 기반 전력기기(10)의 Secure DNP 에이전트 간에 Critical ASDU를 전송하는 제5 단계(b5), Authentication Challenge를 전송하는 제6 단계(b6) 및 Authentication Response를 전송하는 제7 단계(b7)를 순차적으로 피드백 한다. (도 6a 참조)
다음으로, DNP 기반 전력기기(10)는 자신이 전송한 랜덤 값에 대한 해시 결과 값과 수신된 해시 결과 값이 일치하는 지를 판단하여 메시지에 대한 인증을 수행하는 제8 단계(b8)를 갖는다. (도 6a 참조)
다음으로, DNP 기반 전력기기(10)는 해당하는 제어 명령을 수행하는 제9 단계(b9)를 갖는다.
다음으로, DNP 기반 전력기기(10)는 이기종 연계 보안 게이트웨이(100)로 Standard protocol response를 전송하는 제10 단계(b10)를 갖는다. (도 6a 참조)
다음으로, 이기종 연계 보안 게이트웨이(100)는 도 2에 도시된 이기종 매핑모듈(120)을 통해 입력된 DNP 프로토콜 데이터를 IEC 61850 프로토콜로 매핑 하는 제11 단계(b11)를 갖는다.
다음으로, 이기종 연계 보안 게이트웨이(100)의 Secure IEC 61850 에이전트는 IEC 61850 기반 전력기기(20)의 Secure DNP 에이전트로 수행결과를 암호화 하여 전송하는 제12 단계(b12)를 갖는다.
마지막으로, IEC 61850 기반 전력기기(20)는 전송받은 수행결과를 복호화 하는 제13 단계(b13)를 갖는다.
도 5a는 본 발명에 따른 이기종 연계 보안 게이트웨이를 적용한 DNP 프로토콜과 IEC 61850 프로토콜 간 이기종 연계 보안을 구현하는 제1 실시예를 나타낸 것이다.
도 5a를 참조하면, 이기종 프로토콜을 사용하는 송전, 변전 도메인은 EMS(Energy Management System), Central SCADA, RCC SCADA, SCC SCADA, RTU 및 IED를 포함하여 구성된다.
여기서, Central SCADA는 IEC 61970 또는 IEC 61968 프로토콜을 사용하고, RCC SCADA , SCC SCADA 및 RTU는 DNP 프로토콜을 사용하며, IED는 IEC 61850 프로토콜을 사용한다.
이하 DNP 프로토콜을 사용하는 RCC SCADA 또는 SCC SCADA와 IEC 61850 프로토콜을 사용하는 IED 간에 이기종 연계 보안 게이트웨이를 적용하여, 이기종 간 매핑 뿐 만 아니라 보안을 연계하는 과정을, 도 4a 및 도 6a ~ 도 6c를 참조하여 상세히 설명한다.
우선, RCC SCADA에서 IED 방향으로(SCADA--->변전소) DNP 프로토콜 기반의 제1 제어명령을 전송하는 제1 과정을 갖는다.
다음으로, 이기종 연계 보안 게이트웨이는 제1 제어명령을 수신하면, RCC SCADA로 Authentication Challenge 메시지를 전송한다. (도 4a, 도 6a 참조)
다음으로, RCC SCADA은 Authentication Challenge 메시지에 대한 응답으로 Authentication Response 메시지를 이기종 연계 보안 게이트웨이로 전송하는 제3 과정을 갖는다. (도 4a, 도 6a 참조)
다음으로, 이기종 연계 보안 게이트웨이는 수신한 Authentication Response 메시지가 적합하다고 판단한 경우, 상기 DNP 프로토콜 기반의 제1 제어명령을 IEEE 1851.1 표준에 따라 IEC61850 프로토콜로 매핑 하는 제4 과정을 갖는다. (도 4a 참조)
이 경우 매핑 과정은 앞에서 설명한 이기종 연계 보안 게이트웨이(100)의 이기종 매핑모듈(120)을 통해 구현된다.
다음으로, 이기종 연계 보안 게이트웨이는 매핑 된 데이터에 IEC 61850-GOOSE 프로토콜 보안 또는 IEC 61850-MMS 프로토콜 보안 기술을 적용한 후 IED로 전송하는 제5 과정을 갖는다. (도 4a, 도 6b, 도 6c 참조)
다음으로, IED는 수신된 암호화된 데이터를 복호화 하여 상기 제1 제어명령에 상응하는 제어를 IEC61850 프로토콜 기반에서 수행하는 제6 과정을 갖는다. (도 4a 참조)
다음으로, IED는 해당하는 제어를 수행한 후 수행결과를 이기종 연계 보안 게이트웨이로 전송하는 제7 과정을 갖는다. (도 4a 참조)
마지막으로, 이기종 연계 보안 게이트웨이는 RCC SCADA로 정상적인 응답 메시지를 전송하는 제8 과정을 갖는다. (도 4a, 도 6a 참조)
도 5b는 본 발명에 따른 이기종 연계 보안 게이트웨이를 적용한 DNP 프로토콜과 IEC 61850 프로토콜 간 이기종 연계 보안을 구현하는 제2 실시예를 나타낸 것이다.
도 5b를 참조하면, 이기종 프로토콜을 사용하는 배전 도메인은 기존 DNP 프로토콜을 사용하는 DAS(Distribution Automation System)를 구성하는 DMS, FEP, FRTU와 스마트 그리드로 진화됨에 따라 IEC 61850 프로토콜을 사용하는 X-EMS, DER, EV Station을 포함하여 구성된다.
제2 실시예의 경우, 도 5a의 제1 실시예와 비교할 경우, DNP 프로토콜을 사용하는 FRTU와 IEC 61850 프로토콜을 사용하는 X-EMS, DER 또는 EV Station 등 전력기기만 차이가 있고, 이기종 연계 보안 게이트웨이를 적용하여, 이기종 간 매핑 및 보안을 연계하는 과정은 제1 실시예와 동일하게 적용할 수 있으므로, 구체적인 설명은 생략한다.
도 6a는 본 발명의 이기종 연계 보안 게이트웨이에 적용된 DNP 프로토콜 보안 수행 과정을 개략적으로 나타낸 것이다.
도 6a를 참조하면, 일반적인 DNP 프로토콜 보안 수행 과정은 "첼린지(Challenge)-리스폰스(Response)" 방식을 통해 구현된다.
여기서, Challenger는 전력계통 현장에 있는 기기이고(이를테면, 제1 실시예의 IED, 제2 실시예의 X-EMS, DER, EV Station), Responder는 센터에 있는 제어명령을 내리는 전력시스템(이를테면, 제1 실시예의 SCADA, 제2 실시예의 FRTU)을 통상적으로 나타낸다.
우선, Responder(a10)에서 Challenger(a20)로 중요하지 아니한 일반적인 명령을 담은 Non Critical ASDU(Application Service Data Unit)를 전송하는 제1 단계(S10)를 갖는다.
다음으로, Challenger(a20)는 일반적인 명령에 대해 정상적인 응답 메시지를 담은 Standard protocol response를 Responder(a10)로 전송하는 제2 단계(S20)를 갖는다.
다음으로, Responder(a10)에서 Challenger(a20)로 제어와 관련된 중요한 명령을 담은 Critical ASDU를 전송하는 제3 단계(S30)를 갖는다.
다음으로, Challenger(a20)는 랜덤 값과 시퀀스 번호, 해시(hash) 알고리즘 등으로 구성된 Authentication Challenge를 Responder(a10)로 전송하는 제4 단계(S40)를 갖는다.
다음으로, Responder(a10)에서 Challenger(a20)로 랜덤 값을 약속한 암호 알고리즘으로 암호화한 값인 해시 결과 값 및 시퀀스 번호로 구성된 Authentication Reponse를 전송하는 제5 단계(S50)를 갖는다.
이 경우 Challenger(a20)와 Responder(a10)는 주기적으로 해시 알고리즘의 키를 대칭키 알고리즘으로 암호화하여 상호간에 전송하는 과정을 포함한다.
마지막으로, Challenger(a20)는 자신이 보낸 랜덤 값에 대한 해시 결과 값과 Responder(a10)가 보낸 해시 결과 값이 일치하는 경우 Responder(a10)와 메시지에 대한 인증이 된 것으로 인식하고, 제어명령을 수행한 후에 정상적인 응답을 담은 Standard protocol response를 전송하는 제6 단계(S60)를 갖는다.
도 6b는 본 발명의 이기종 연계 보안 게이트웨이에 적용된 IEC 61850-GOOSE 프로토콜 보안 구조를 개략적으로 나타낸 것이다.
도 6b를 참조하면, IEC 61850의 GOOSE/SMV 프로토콜 보안은 확장필드에 PKI 기반의 전자 서명(Digital Signature) 값이 들어가고, 헤더필드에는 CRC와 길이(Length) 값이 추가되는 형태의 패킷 구조를 통해 구현된다.
도 6c는 본 발명의 이기종 연계 보안 게이트웨이에 적용된 IEC 61850-MMS 프로토콜 보안 구조를 개략적으로 나타낸 것이다.
도 6c를 참조하면, IEC 61850의 MMS 프로토콜 보안은 전송계층(transport)의 SSL(Secure Socket Layer)/TLS(Transport Layer Security)를 통해 기기 간 PKI(Public Key Infrastructure) 방식의 상호인증 및 메시지에 대한 암호화가 구현되고, 어플리케이션 계층(Application)에서는 전자서명(이를테면, ACSE Authentication Definitions)이 추가되는 형태의 패킷 구조를 통해 구현된다.
이상에서는 본 발명에 대한 기술사상을 첨부 도면과 함께 서술하였지만 이는 본 발명의 바람직한 실시 예를 예시적으로 설명한 것이지 본 발명을 한정하는 것은 아니다. 또한 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 누구나 본 발명의 기술적 사상의 범주를 이탈하지 않는 범위 내에서 다양한 변형 및 모방이 가능함은 명백한 사실이다.
10 : DNP 기반 전력기기
20 : IEC 61850 기반 전력기기
100 : 이기종 연계 보안 게이트웨이
110 : 이기종 보안 연계모듈
120 : 이기종 매핑모듈
130 : 하드웨어 플랫폼
131 : Application 132 : Secure Library
133 : Driver S/W 134 : OS Kernel
135 : Physical Layer
140 : 암호모듈
141 : Encryption algorithm
142 : Key store management 143 : Driver S/W
144 : F/W 145 : Physical Layer

Claims (6)

  1. 제1 통신 프로토콜을 사용하는 전력계통의 제1 전력기기;
    상기 제1 통신 프로토콜과 이종의 제2 통신 프로토콜을 사용하는 전력계통의 제2 전력기기; 및
    상기 제1 전력기기와 상기 제2 전력기기 간을 연계하여 매핑 및 보안을 구현하는 이기종 연계 보안 게이트웨이를 포함하며,
    상기 이기종 연계 보안 게이트웨이는,
    상기 제1 통신 프로토콜 및 상기 제2 통신 프로토콜이 적용된 각각의 데이터 들을 암호화 및 전자 서명하여 상호 인증하는 이기종 보안 연계모듈;
    상기 제1 통신 프로토콜 및 상기 제2 통신 프로토콜이 적용된 각각의 데이터 들 간에 매핑(mapping)을 수행하는 이기종 매핑모듈;
    암호화 알고리즘을 사용하여 데이터들을 암호화 또는 복호화 시키고, 전자 서명 키를 저장하고 있는 암호모듈; 및
    임베디드 기반으로 상기 이기종 보안 연계모듈, 상기 이기종 매핑모듈 및 상기 암호모듈과 포팅(porting) 되어 동작하는 하드웨어 플랫폼을 포함하는 것을 특징으로 하는 이기종 전력기기 간 보안 연계 시스템.
  2. 삭제
  3. 제 1항에 있어서, 상기 이기종 연계 보안 게이트웨이는,
    상기 제1 전력기기와 DNP 프로토콜 보안 방식을 사용하고,
    상기 제2 전력기기와 IEC 61850의 GOOSE/SMV 프로토콜 보안 방식 또는 IEC 61850의 MMS 프로토콜 보안 방식을 사용하는 것을 특징으로 하는 이기종 전력기기 간 보안 연계 시스템.
  4. 제 3항에 있어서, 상기 DNP 프로토콜 보안 방식은,
    "첼린지(Challenge)-리스폰스(Response)"를 사용하는 것을 특징으로 하는 이기종 전력기기 간 보안 연계 시스템.
  5. 제 3항에 있어서, 상기 IEC 61850의 GOOSE/SMV 프로토콜 보안 방식은,
    확장필드에 PKI 기반의 전자 서명(Digital Signature) 값이 들어가고, 헤더필드에 CRC와 길이(Length) 값이 추가되는 형태의 패킷 구조를 갖는 것을 특징으로 하는 이기종 전력기기 간 보안 연계 시스템.
  6. 제 3항에 있어서, 상기 IEC 61850의 MMS 프로토콜 보안 방식은,
    전송계층(transport)의 SSL/TLS를 통해 기기 간 PKI 방식의 상호인증 및 메시지에 대한 암호화가 구현되고, 어플리케이션 계층(Application)에서 전자서명이 추가되는 형태의 패킷 구조를 갖는 것을 특징으로 하는 이기종 전력기기 간 보안 연계 시스템.
KR1020140186981A 2014-12-23 2014-12-23 이기종 전력기기 간 보안 연계 시스템 KR101575862B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020140186981A KR101575862B1 (ko) 2014-12-23 2014-12-23 이기종 전력기기 간 보안 연계 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140186981A KR101575862B1 (ko) 2014-12-23 2014-12-23 이기종 전력기기 간 보안 연계 시스템

Publications (1)

Publication Number Publication Date
KR101575862B1 true KR101575862B1 (ko) 2015-12-08

Family

ID=54873084

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140186981A KR101575862B1 (ko) 2014-12-23 2014-12-23 이기종 전력기기 간 보안 연계 시스템

Country Status (1)

Country Link
KR (1) KR101575862B1 (ko)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180017954A (ko) * 2016-08-11 2018-02-21 한국전력공사 IoT 데이터 변환 장치
KR101861576B1 (ko) * 2017-12-18 2018-05-28 대웅전기공업(주) Iec61850 기반 현장정보 처리반
KR20180133034A (ko) * 2017-06-05 2018-12-13 (주)유니스소프트 전력설비 보호 시스템 및 그 방법
KR20190057984A (ko) * 2017-11-21 2019-05-29 두산중공업 주식회사 배전망 및 그리드망에서의 노드관리 게이트웨이 장치 및 그 방법
CN111447244A (zh) * 2020-05-19 2020-07-24 台州市永长电动车制造有限公司 一种电动车的一线通扩展通讯方法和装置
KR20210026098A (ko) 2019-08-29 2021-03-10 (주)유니스소프트 디지털 보호계전기의 엔지니어링 위험 분석 시스템 및 그 방법
KR102570359B1 (ko) 2022-05-31 2023-08-29 한전케이디엔주식회사 전력 계통망 시스템에서 장치들의 재인증 방법 및 장치
KR20230166772A (ko) 2022-05-31 2023-12-07 한전케이디엔주식회사 전력계통 등록 장치의 인증 방법 및 장치
KR20230166774A (ko) 2022-05-31 2023-12-07 한전케이디엔주식회사 전력 계통망 시스템에서 세션 키 배포 방법 및 장치

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102081562B1 (ko) 2016-08-11 2020-04-23 한국전력공사 IoT 데이터 변환 장치
KR20180017954A (ko) * 2016-08-11 2018-02-21 한국전력공사 IoT 데이터 변환 장치
KR20180133034A (ko) * 2017-06-05 2018-12-13 (주)유니스소프트 전력설비 보호 시스템 및 그 방법
KR102160453B1 (ko) * 2017-06-05 2020-09-28 (주)유니스소프트 전력설비 보호 시스템 및 그 방법
US10862710B2 (en) 2017-11-21 2020-12-08 DOOSAN Heavy Industries Construction Co., LTD Node management gateway device in distribution network and grid network and method thereof
KR20190057984A (ko) * 2017-11-21 2019-05-29 두산중공업 주식회사 배전망 및 그리드망에서의 노드관리 게이트웨이 장치 및 그 방법
KR101988130B1 (ko) * 2017-11-21 2019-09-30 두산중공업 주식회사 배전망 및 그리드망에서의 노드관리 게이트웨이 장치 및 그 방법
KR101861576B1 (ko) * 2017-12-18 2018-05-28 대웅전기공업(주) Iec61850 기반 현장정보 처리반
KR20210026098A (ko) 2019-08-29 2021-03-10 (주)유니스소프트 디지털 보호계전기의 엔지니어링 위험 분석 시스템 및 그 방법
CN111447244A (zh) * 2020-05-19 2020-07-24 台州市永长电动车制造有限公司 一种电动车的一线通扩展通讯方法和装置
CN111447244B (zh) * 2020-05-19 2024-04-02 台州市永长电动车制造有限公司 一种电动车的一线通扩展通讯方法和装置
KR102570359B1 (ko) 2022-05-31 2023-08-29 한전케이디엔주식회사 전력 계통망 시스템에서 장치들의 재인증 방법 및 장치
KR20230166772A (ko) 2022-05-31 2023-12-07 한전케이디엔주식회사 전력계통 등록 장치의 인증 방법 및 장치
KR20230166774A (ko) 2022-05-31 2023-12-07 한전케이디엔주식회사 전력 계통망 시스템에서 세션 키 배포 방법 및 장치

Similar Documents

Publication Publication Date Title
KR101575862B1 (ko) 이기종 전력기기 간 보안 연계 시스템
CN104094267B (zh) 安全共享来自源装置的媒体内容的方法、装置和系统
CN110932842B (zh) 用于执行虚拟专用网络功能的片上系统及包含该片上系统的系统
US8566590B2 (en) Encryption information transmitting terminal
US20160255504A1 (en) Authentication Module
WO2016114842A1 (en) End-to-end service layer authentication
US20060269066A1 (en) System and method for converting serial data into secure data packets configured for wireless transmission in a power system
Saxena et al. Integrated distributed authentication protocol for smart grid communications
CN103888444A (zh) 一种配电安全认证装置及其方法
US20220191693A1 (en) Remote management of hardware security modules
CN112804356B (zh) 一种基于区块链的联网设备监管认证方法及系统
CN103686724A (zh) 移动应用接入认证授权方法和系统
CN104579679A (zh) 用于农配网通信设备的无线公网数据转发方法
KR102135710B1 (ko) 하드웨어 보안 모듈
CN115333839B (zh) 数据安全传输方法、系统、设备及存储介质
BR112016007210B1 (pt) Método e dispositivo para segurança de comunicação dentro de um ponto de extremidade em uma rede
US20220006652A1 (en) Method and architecture for securing and managing networks of embedded systems with optimised public key infrastructure
CN111064752B (zh) 一种基于公网的预置密钥共享系统及方法
CN111245604B (zh) 一种服务器数据安全交互系统
Siddiqui et al. Hardware assisted security architecture for smart grid
CN102970134A (zh) 将硬件密码设备的算法用于pkcs#7数据封装的方法及系统
Siddiqui et al. Design of secure reconfigurable power converters
EP3379794B1 (en) Method and system for realising encrypted connection with a local area network
CN104994096B (zh) 一种动态加载于智能变电站通讯管理机的安全加固机制模块的配置方法
CN112751664A (zh) 一种物联网组网方法、装置和计算机可读存储介质

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20181204

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20191203

Year of fee payment: 5