KR101695958B1 - Apparatus and method for securing commuication for electric power demand response system - Google Patents

Apparatus and method for securing commuication for electric power demand response system Download PDF

Info

Publication number
KR101695958B1
KR101695958B1 KR1020160047041A KR20160047041A KR101695958B1 KR 101695958 B1 KR101695958 B1 KR 101695958B1 KR 1020160047041 A KR1020160047041 A KR 1020160047041A KR 20160047041 A KR20160047041 A KR 20160047041A KR 101695958 B1 KR101695958 B1 KR 101695958B1
Authority
KR
South Korea
Prior art keywords
communication
processing unit
packet
security processing
power demand
Prior art date
Application number
KR1020160047041A
Other languages
Korean (ko)
Inventor
이준경
Original Assignee
주식회사 나온웍스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 나온웍스 filed Critical 주식회사 나온웍스
Priority to KR1020160047041A priority Critical patent/KR101695958B1/en
Application granted granted Critical
Publication of KR101695958B1 publication Critical patent/KR101695958B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/14Charging, metering or billing arrangements for data wireline or wireless communications
    • H04L12/1432Metric aspects
    • H04L12/1439Metric aspects time-based
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/18Protocol analysers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Abstract

The present invention relates to an apparatus and a method for securing communications for an electric power demand response system. The apparatus for securing communications for an electric power demand response system, connected to one or more nodes to be protected among nodes of the electric power demand response system to protect the nodes to be protected, comprises: a communication unit receiving a communication packet from other nodes of the electric power demand response system except the node to be protected and transmitting a communication packet passing through abnormality detection of a security processing unit to the node to be protected; and the security processing unit sequentially performing packet unit abnormality detection, message unit abnormality detection, protocol unit abnormality detection, and service unit abnormality detection for the communication packet received from the other nodes of the electric power demand response system.

Description

전력수요반응시스템을 위한 통신보안 장치 및 방법{APPARATUS AND METHOD FOR SECURING COMMUICATION FOR ELECTRIC POWER DEMAND RESPONSE SYSTEM}TECHNICAL FIELD [0001] The present invention relates to a communication security apparatus and method for a power demand reaction system,

본 발명은 전력수요반응시스템의 각 구성들 간 통신을 수행함에 있어서, 통신의 보안성을 높이기 위한 전력수요반응시스템을 위한 통신보안 장치 및 방법에 관한 것이다.BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a communication security apparatus and method for a power demand reaction system for enhancing security of communication in communication between respective components of a power demand reaction system.

보다 상세하게, 본 발명은 전력수요반응시스템의 구성인 전력거래소, 전력수요관리사업자, 전력수요자에 설치되어 이들 간의 통신 패킷을 분석하여 기설정된 조건을 만족하는 통신 패킷만을 전력수요반응시스템의 구성인 전력거래소, 전력수요관리사업자, 전력수요자 각각에게 전달하는 전력수요반응시스템을 위한 통신보안 장치 및 방법에 관한 것이다.More particularly, the present invention relates to a system and method for analyzing a communication packet between a power exchange, a power demand management company, and a power user, which are components of a power demand reaction system, A power demand management system, and a power demand reaction system for delivering power to a power exchange, a power demand management company, and a power user, respectively.

종래의 전력공급시스템은 전력 공급자를 중심으로 이루어져 왔으며, 전력수요자들은 전력 공급자가 공급하는 전력에 대한 비용을 지불하고 전력을 이용하는 방식을 채택하고 있었다.Conventional power supply systems have been centered around power providers, and power consumers have been adopting a method of paying for and using power for the power supplied by the power provider.

그 결과, 전력의 과부족분이 발생하더라도 이에 대한 능동적인 대처가 불가능한 문제점이 제기되어 왔다. 예컨대, 여름철 에어컨 사용량이 급증하는 경우 전력이 부족하여, 대규모 정전사태가 발생하는 일이 빈번하였으며, 반대로, 전력사용량이 상대적으로 적은 야간시간에는 잉여전력을 그대로 낭비해버리기 일쑤였다.As a result, even if power surplus occurs, it is impossible to actively cope with the problem. For example, in the summer, when the air conditioner usage rapidly increased, a large power outage frequently occurred due to a shortage of electric power. On the other hand, in the nighttime when the electric power consumption was relatively low, surplus electric power was wasted.

따라서, 전력의 과부족 문제를 해결하고, 전기 에너지의 공급과 소비의 균형을 맞추기 위하여, 전력수요반응시스템이 제시되었다. 전력수요반응시스템은 크게 전력거래소, 전력수요관리사업자, 전력수요자로 이루어진 전력 공급시스템이다.Therefore, a power demand response system has been proposed to solve the power shortage and to balance the supply and consumption of electric energy. The power demand response system is composed of a power exchange, a power demand management company, and a power supply system.

예컨대, 전력이 부족한 경우, 전력거래소는 수요관리사업자에게 미리 할당된 전력 사용량 감축지시를 전송하고, 수요관리사업자는 계약관계가 있는 각각의 전력수요자에게 전기사용량을 감축할 것을 요청한다. 여기서, 전력수요자가 계약된 대로 전기사용량을 감축하게 되는 경우, 전력거래소는 수요관리 사업자에게 정산금을 지급하고, 다시 수요관리사업자는 전력수요자에게 정산금을 분배하게 된다.For example, in the case of power shortage, the KPX sends a pre-allocated power usage reduction instruction to the demand management operator, and the demand management operator requests each power user having a contract relationship to reduce the electricity usage. In this case, if the electric power user reduces the electricity consumption as contracted, the KPX will pay the settlement amount to the demand management company, and the demand management company will distribute the settlement amount to the electric power consumer.

즉, 전력수요반응시스템은 전력이 부족한 경우 수요자들이 전력사용량을 줄임으로써 안정적인 전력공급이 가능하게 하며, 그 반대 급부로 수요자들에게 금전적인 혜택을 주는 전력관리 시스템인 것이다.In other words, the power demand reaction system is a power management system that enables the stable supply of electricity by reducing the electricity consumption by the consumers in case of power shortage, and the monetary benefit to the consumers with the opposite benefit.

따라서, 전력수요반응시스템에서는 이를 구성하는 전력거래소, 수요관리사업자, 전력수요자간의 통신이 반드시 필요하게 된다. 그러나, 전력거래소, 수요관리사업자, 전력수요자 간의 통신을 하게 되는 경우, 이들 각 구성들 간의 통신은 해커에게 노출이 될 수 있으며, 통신이 해커에게 노출되는 경우 잘못된 전기사용량 감축 요청 등이 전달될 수 있는 문제가 있다.Therefore, in the power demand reaction system, communication between the power exchange, the demand management operator, and the power user constituting the system is indispensable. However, when communication is made between a power exchange, a demand management operator, and a power user, communication between the respective components may be exposed to a hacker, and if communication is exposed to a hacker, There is a problem.

이에 따라, 전력수요반응시스템의 각 구성들에 연결되어, 통신 패킷을 분석하고, 분석된 통신 패킷을 이용하여, 기설정된 조건을 만족하는 통신 패킷만을 전력수요반응시스템의 구성인 전력거래소, 전력수요관리사업자, 전력수요자 각각에게 전달하는 전력수요반응시스템을 위한 통신보안 장치 및 방법이 필요한 실정이다.Accordingly, only the communication packets satisfying predetermined conditions are analyzed by analyzing the communication packets and connected to the respective constituents of the power demand reaction system, A communication security device and a method for a power demand reaction system to be transmitted to each of a management operator and a power user are needed.

특허공개공보 제2009-0126104호(2009.12.08)Patent Laid-Open Publication No. 2009-0126104 (2009.12.08)

본 발명의 목적은, 상기 문제점을 해결하기 위한 것으로, 전력수요반응시스템의 각각의 구성인 전력거래소, 전력수요관리사업자 및 전력수요자 각각에 연결되어 통신 패킷을 분석하고, 기설정된 조건을 만족하는 통신 패킷만을 전달하여 해킹 위협 등으로부터 전력거래소, 전력수요관리사업자 및 전력수요자를 보호하기 위한 것이다.An object of the present invention is to solve the above-mentioned problems, and it is an object of the present invention to provide a power demand management system and a power demand management system, And to protect the power exchange, the electric power demand management company, and the electric power consumers from hacking threats by transmitting only the packets.

상기한 목적을 달성하기 위하여, 본 발명의 실시예에 따른 전력수요반응시스템을 위한 통신보안 장치는, 전력수요반응시스템의 노드들 중 하나 이상의 보호 대상 노드에 각각 연결되어 보호 대상 노드를 보호하는 전력수요반응시스템을 위한 통신보안 장치에 관한 것으로, 보호 대상 노드를 제외한 전력수요반응시스템의 다른 노드로부터 통신 패킷을 수신하고, 보안처리부의 이상감지를 통과한 통신 패킷을 보호 대상 노드에게 전송하는 통신부 및 전력수요반응시스템의 다른 노드로부터 수신한 통신 패킷에 대해 패킷 단위 이상감지, 메시지 단위 이상감지, 프로토콜 단위 이상감지 및 서비스 단위 이상감지를 순차적으로 수행하는 보안처리부를 포함한다.In order to achieve the above object, a communication security device for a power demand reaction system according to an embodiment of the present invention is a communication security device that is connected to one or more protected nodes of nodes of a power demand reaction system, A communication unit for receiving a communication packet from another node of the power demand reaction system excluding the protection target node and transmitting a communication packet that has passed the abnormality detection of the security processing unit to the protection target node; And a security processing unit for sequentially detecting a packet unit abnormality, a message unit abnormality, a protocol unit abnormality, and a service unit abnormality for a communication packet received from another node of the power demand reaction system.

이때, 패킷 단위 이상감지는, 보안처리부가, 전력수요반응시스템의 다른 노드로부터 수신한 통신 패킷이 기설정된 최대 허용 패킷 조건의 범위 내에 있는지 판단하는 것을 특징으로 한다.At this time, the packet processing abnormality detection is characterized in that the security processing unit determines whether a communication packet received from another node of the power demand reaction system is within a predetermined maximum allowed packet condition.

여기서, 최대 허용 패킷 조건은, 최대입력bps, 최대입력대역폭, 최대출력bps, 최대출력대역폭, 최대입력cps, 최대출력cps, 단말노드개수 중 하나 이상을 포함하는 것을 특징으로 한다.Here, the maximum allowed packet condition includes at least one of a maximum input bps, a maximum input bandwidth, a maximum output bps, a maximum output bandwidth, a maximum input cps, a maximum output cps, and a number of terminal nodes.

나아가, 메시지 단위 이상감지는, 보안처리부가, 전력수요반응시스템의 다른 노드로부터 수신한 통신 패킷이 기설정된 최대 허용 길이 조건의 범위 내에 있는지 판단하는 것을 특징으로 한다.Further, the message unit abnormality detection is characterized in that the security processing unit determines whether a communication packet received from another node of the power demand reaction system is within a predetermined maximum allowable length condition.

*한편, 최대 허용 길이 조건은, URL 최대길이, 헤더 최대길이, 헤더이름 최대길이, 헤더값 최대길이, 페이로드 최대길이, 페이로드 이름값 최대길이, 페이로드값 최대길이, 페이로드 최대개수, 쿠키 최대길이, 요청 페이지 확장자, 업로드 확장자, HTTP 메소드, HTTP프로토콜 중 하나 이상을 포함하는 것을 특징으로 한다.On the other hand, the maximum allowable length conditions include URL maximum length, header maximum length, header name maximum length, header value maximum length, payload maximum length, payload name value maximum length, payload value maximum length, A maximum length, a requested page extension, an upload extension, an HTTP method, and an HTTP protocol.

나아가, 프로토콜 단위 이상감지는, 보안처리부가, 전력수요반응시스템의 다른 노드로부터 수신한 통신 패킷이 기설정된 서비스 시나리오에 위배되었는지 판단하는 것을 특징으로 한다.Further, the protocol unit abnormality detection is characterized in that the security processing unit determines whether a communication packet received from another node of the power demand reaction system violates a predetermined service scenario.

여기서, 서비스 단위 이상감지는, 보안처리부가, 전력수요반응시스템의 다른 노드로부터 수신한 통신 패킷에 포함되어야 하는 파라미터의 누락여부, 파라미터가 기설정된 허용값을 만족하는지 여부 및 전력수요반응시스템의 다른 노드로부터 수신한 통신 패킷의 구문오류 여부를 판단하는 것을 특징으로 한다.Here, the detection of a service unit abnormality may be made based on whether or not the security processing unit is omitting parameters to be included in a communication packet received from another node of the power demand reaction system, whether or not the parameter satisfies a predetermined allowable value, And determines whether or not the syntax of the communication packet received from the node is erroneous.

한편, 보안처리부는, 전력수요반응시스템을 위한 통신보안 장치의 IP를 보호 대상 노드의 IP로 변경하고, 보호 대상 노드에게 새로운 IP를 부여하는 것을 특징으로 한다.On the other hand, the security processing unit changes the IP of the communication security device for the power demand reaction system to the IP of the protection target node and gives a new IP to the protection target node.

상기한 목적을 달성하기 위하여, 본 발명의 실시예에 따른 전력수요반응시스템을 위한 통신보안 방법은, 전력수요반응시스템의 노드들 중 하나 이상의 보호 대상 노드를 보호하는 전력수요반응시스템을 위한 통신보안 방법에 관한 것으로, 통신부가, 보호 대상 노드를 제외한 전력수요반응시스템의 다른 노드로부터 통신 패킷을 수신하는 통신 패킷 수신 단계, 보안처리부가, 전력수요반응시스템의 다른 노드로부터 수신한 통신 패킷에 대해 패킷 단위 이상감지, 메시지 단위 이상감지, 프로토콜 단위 이상감지 및 서비스 단위 이상감지를 순차적으로 수행하는 이상감지 단계 및 통신부가, 이상감지 단계를 통과한 통신 패킷을 보호 대상 노드에게 전송하는 통신 패킷 전송 단계를 포함한다.In order to achieve the above object, a communication security method for a power demand reaction system according to an embodiment of the present invention includes a communication security method for a power demand reaction system protecting at least one protected node among nodes of a power demand reaction system, A communication packet reception step of receiving a communication packet from another node of the power demand reaction system excluding the protection target node; a security processing unit for receiving a communication packet received from another node of the power demand reaction system, An abnormality detection step of sequentially detecting a unit abnormality, a message unit abnormality detection, a protocol unit abnormality detection and a service unit abnormality, and a communication packet transmission step of transmitting a communication packet passed through the abnormality detection step to the protection target node .

여기서, 패킷 단위 이상감지는, 보안처리부가, 전력수요반응시스템의 다른 노드로부터 수신한 통신 패킷이 기설정된 최대 허용 패킷 조건의 범위 내에 있는지 판단하는 것을 특징으로 한다.Here, the packet unit abnormality detection is characterized in that the security processing unit determines whether a communication packet received from another node of the power demand reaction system is within a predetermined maximum allowable packet condition.

나아가, 최대 허용 패킷 조건은, 최대입력bps, 최대입력대역폭, 최대출력bps, 최대출력대역폭, 최대입력cps, 최대출력cps, 단말노드개수 중 하나 이상을 포함하는 것을 특징으로 한다.Further, the maximum allowed packet condition includes at least one of a maximum input bps, a maximum input bandwidth, a maximum output bps, a maximum output bandwidth, a maximum input cps, a maximum output cps, and a number of terminal nodes.

한편, 메시지 단위 이상감지는, 보안처리부가, 전력수요반응시스템의 다른 노드로부터 수신한 통신 패킷이 기설정된 최대 허용 길이 조건의 범위 내에 있는지 판단하는 것을 특징으로 한다.On the other hand, in the detection of a message unit abnormality, the security processing unit determines whether a communication packet received from another node of the power demand reaction system is within a predetermined maximum permissible length condition.

이때, 최대 허용 길이 조건은, URL 최대길이, 헤더 최대길이, 헤더이름 최대길이, 헤더값 최대길이, 페이로드 최대길이, 페이로드 이름값 최대길이, 페이로드값 최대길이, 페이로드 최대개수, 쿠키 최대길이, 요청 페이지 확장자, 업로드 확장자, HTTP 메소드, HTTP프로토콜 중 하나 이상을 포함하는 것을 특징으로 한다.At this time, the maximum allowable length condition includes a URL maximum length, a header maximum length, a header name maximum length, a header value maximum length, a payload maximum length, a payload name maximum length, a payload maximum length, Length, request page extension, upload extension, HTTP method, and HTTP protocol.

여기서, 프로토콜 단위 이상감지는, 보안처리부가, 전력수요반응시스템의 다른 노드로부터 수신한 통신 패킷이 기설정된 서비스 시나리오에 위배되었는지 판단하는 것을 특징으로 한다.Here, the protocol unit abnormality detection is characterized in that the security processing unit determines whether a communication packet received from another node of the power demand reaction system violates a predetermined service scenario.

한편, 서비스 단위 이상감지는, 보안처리부가, 전력수요반응시스템의 다른 노드로부터 수신한 통신 패킷에 포함되어야 하는 파라미터의 누락여부, 파라미터가 기설정된 허용값을 만족하는지 여부 및 상기 전력수요반응시스템의 다른 노드로부터 수신한 상기 통신 패킷의 구문오류 여부를 판단하는 것을 특징으로 한다.On the other hand, the service unit abnormality detection is performed such that the security processing unit determines whether or not a parameter to be included in a communication packet received from another node of the power demand reaction system is missing, whether the parameter satisfies a predetermined allowable value, And determines whether or not a syntax error of the communication packet received from another node exists.

나아가, 보안처리부는, 전력수요반응시스템을 위한 통신보안 장치의 IP를 상기 보호 대상 노드의 IP로 변경하고, 보호 대상 노드에게 새로운 IP를 부여하는 것을 특징으로 한다.Further, the security processing unit changes the IP of the communication security device for the power demand reaction system to the IP of the protection target node, and gives a new IP to the protection target node.

본 발명에 따르면, 전력수요반응시스템에서 사용하는 개방형 자동 수요 반응(openADR) 프로토콜의 취약성을 목표로 전력수요반응시스템을 구성하는 전력거래소, 전력수요관리사업자 및 전력수요자 간의 통신을 공격하는 외부로부터의 해킹 시도에 대해 보안성을 확보할 수 있다.According to the present invention, there is provided a system and method for controlling a power demand response system in which an open automatic demand response (openADR) protocol is used in a power demand reaction system, It is possible to secure security against a hacking attempt.

나아가, 본 발명에 따르면, 전력수요반응시스템에 대한 공격상황이 발생하는 경우 이를 빠르게 탐지하고 차단하여 전력수요반응시스템이 일순간에 무력화 되는 상황을 방지할 수 있다.Further, according to the present invention, when an attack situation occurs in the power demand reaction system, it can be quickly detected and blocked, thereby preventing a situation in which the power demand reaction system is disabled in a moment.

도 1은 종래의 전력수요반응시스템을 설명하기 위한 도면이다.
도 2는 본 발명의 실시예에 따른 전력수요반응시스템을 위한 통신보안 장치가 적용된 전력수요반응시스템을 설명하기 위한 도면이다.
도 3은 전력수요반응시스템의 구성들간 통신 패킷 구조를 설명하기 위한 도면이다.
도 4는 본 발명의 실시예에 따른 전력수요반응시스템을 위한 통신보안 장치를 설명하기 위한 구성도이다.
도 5는 본 발명의 실시예에 따른 전력수요반응시스템을 위한 통신보안 장치의 보안처리부를 설명하기 위한 도면이다.
도 6은 본 발명의 실시예에 따른 프로토콜 보안처리부가 서비스 시나리오 위배여부를 판정하는 방법을 설명하기 위한 도면이다.
도 7은 본 발명의 실시예에 따른 전력수요반응시스템을 위한 통신보안 방법을 설명하기 위한 순서도이다.
도 8은 본 발명의 실시예에 따른 전력수요반응시스템을 위한 통신보안 방법에서 기설정된 순서에 따라 이상을 감지하는 단계를 설명하기 위한 순서도이다.1 is a view for explaining a conventional power demand reaction system.
2 is a diagram for explaining a power demand reaction system to which a communication security device for a power demand reaction system according to an embodiment of the present invention is applied.
3 is a diagram for explaining a communication packet structure between the configurations of the power demand reaction system.
4 is a block diagram illustrating a communication security device for a power demand reaction system according to an embodiment of the present invention.
5 is a view for explaining a security processing unit of a communication security device for a power demand reaction system according to an embodiment of the present invention.
6 is a diagram for explaining a method for determining whether a protocol security processing unit is in violation of a service scenario according to an embodiment of the present invention.
7 is a flowchart illustrating a communication security method for a power demand reaction system according to an embodiment of the present invention.
FIG. 8 is a flowchart for explaining an abnormality detection in a predetermined order in a communication security method for a power demand reaction system according to an embodiment of the present invention.

이하, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 정도로 상세히 설명하기 위하여, 본 발명의 가장 바람직한 실시예를 첨부 도면을 참조하여 설명하기로 한다. 우선 각 도면의 구성요소들에 참조부호를 부가함에 있어서, 동일한 구성요소들에 대해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 부호를 가지도록 하고 있음에 유의해야 한다. 또한, 본 발명을 설명함에 있어, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략한다.DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings in order to facilitate a person skilled in the art to easily carry out the technical idea of the present invention. . In the drawings, the same reference numerals are used to designate the same or similar components throughout the drawings. In the following description of the present invention, a detailed description of known functions and configurations incorporated herein will be omitted when it may make the subject matter of the present invention rather unclear.

이하, 본 발명의 실시예에 따른 전력수요반응시스템을 위한 통신보안 장치 및 방법을 첨부된 도면을 참조하여 상세하게 설명하면 아래와 같다.Hereinafter, a communication security apparatus and method for a power demand reaction system according to an embodiment of the present invention will be described in detail with reference to the accompanying drawings.

도 1은 종래의 전력수요반응시스템을 설명하기 위한 도면이다. 도 2는 본 발명의 실시예에 따른 전력수요반응시스템을 위한 통신보안 장치가 적용된 전력수요반응시스템을 설명하기 위한 도면이다. 도 3은 전력수요반응시스템의 구성들간 통신 패킷 구조를 설명하기 위한 도면이다. 도 4는 본 발명의 실시예에 따른 전력수요반응시스템을 위한 통신보안 장치를 설명하기 위한 구성도이다. 도 5는 본 발명의 실시예에 따른 전력수요반응시스템을 위한 통신보안 장치의 보안처리부를 설명하기 위한 도면이다. 도 6은 본 발명의 실시예에 따른 프로토콜 보안처리부가 서비스 시나리오 위배여부를 판정하는 방법을 설명하기 위한 도면이다. 도 7은 본 발명의 실시예에 따른 전력수요반응시스템을 위한 통신보안 방법을 설명하기 위한 순서도이다. 도 8은 본 발명의 실시예에 따른 전력수요반응시스템을 위한 통신보안 방법에서 기설정된 순서에 따라 이상을 감지하는 단계를 설명하기 위한 순서도이다.1 is a view for explaining a conventional power demand reaction system. 2 is a diagram for explaining a power demand reaction system to which a communication security device for a power demand reaction system according to an embodiment of the present invention is applied. 3 is a diagram for explaining a communication packet structure between the configurations of the power demand reaction system. 4 is a block diagram illustrating a communication security device for a power demand reaction system according to an embodiment of the present invention. 5 is a view for explaining a security processing unit of a communication security device for a power demand reaction system according to an embodiment of the present invention. 6 is a diagram for explaining a method for determining whether a protocol security processing unit is in violation of a service scenario according to an embodiment of the present invention. 7 is a flowchart illustrating a communication security method for a power demand reaction system according to an embodiment of the present invention. FIG. 8 is a flowchart for explaining an abnormality detection in a predetermined order in a communication security method for a power demand reaction system according to an embodiment of the present invention.

도 1에 도시된 바와 같이, 전력수요반응시스템에는 전력거래소 노드(1), 전력수요관리사업자 노드(2) 및 전력수요자 노드(3)가 포함된다.As shown in FIG. 1, the power demand reaction system includes a power exchange node 1, a power demand management company node 2, and a power demander node 3.

전력거래소 노드(1)는 전력수요관리사업자 노드(2)와의 계약을 통해 전력 과부족을 제어한다.The power exchange node 1 controls the power shortage and power supply through a contract with the power demand management company node 2.

보다 상세하게, 복수 개의 전력수요관리사업자 노드(2)는 전력거래소 노드(1)에게 전력 감축량을 지정하여 각각 입찰을 하며, 전력거래소 노드(1)는 각각의 전력수요관리사업자 노드(2)가 입찰한 전력 감축량을 낙찰하여 다시 전력수요관리사업자 노드(2)에게 전송한다. 즉, 전력수요관리사업자 노드(2)는 전력거래소 노드(1)와 특정시간에 전기사용량을 기설정된 양만큼 감축하면 정산금을 지급받는 계약을 하게 되는 것이다.More specifically, the plurality of power demand management company nodes 2 designate the amount of power reduction to the power exchange node 1 and bid on them, and the power exchange node 1 is connected to each of the power demand management company nodes 2, And then transmits it to the power demand management company node 2 again. That is, the power demand management company node 2 contracts with the power exchange node 1 to receive payment of the settlement amount by reducing the electricity usage amount by a predetermined amount at a specific time.

한편, 전력수요관리사업자 노드(2)는 다시 복수 개의 전력수요자 노드(3)와 계약을 맺게 된다.On the other hand, the power demand management company node 2 enters into a contract with a plurality of power demand node 3 again.

보다 상세하게, 전력수요관리사업자 노드(2)는 자신이 전력 사용량 감축요청을 하는 경우, 해당되는 시간에 전력 사용량을 감축해줄 복수 개의 전력수요자 노드(3)와 계약을 맺고, 필요에 따라 전력수요관리사업자 노드(2)는 전력수요자 노드(3)에게 전력 사용량 감축 명령을 전송하게 되는 것이다.More specifically, when the power demand management company node 2 makes a request to reduce power consumption, the power demand management company node 2 makes a contract with a plurality of power user nodes 3 to reduce power consumption at a corresponding time, The management company node 2 transmits a power consumption reduction command to the power consumer node 3. [

만약, 전력수요관리사업자 노드(2)와 계약된 복수 개의 전력수요자 노드(3)들이 각각 전력 사용량을 감축하게 되면, 전력거래소 노드(1)는 전력수요관리사업자 노드(2)에게 정산금을 지급하게 되고, 전력수요관리사업자 노드(2)는 계약된 복수 개의 전력수요자 노드(3)들에게 정산금을 분배하게 된다.If the plurality of power user nodes 3 contracted with the power demand management company node 2 each reduce the power consumption, the power exchange node 1 pays a payment to the power demand management company node 2 , And the power demand management company node 2 distributes the payment to the plurality of contracted power demand nodes 3.

이러한 과정을 위하여, 전력수요반응시스템의 전력거래소 노드(1), 전력수요관리사업자 노드(2) 및 전력수요자 노드(3)는 서로 무선통신으로 연결되게 된다.For this process, the power exchange node 1, the power demand management company node 2, and the power user node 3 of the power demand reaction system are connected to each other by wireless communication.

여기서, 무선통신이라 함은 인터넷을 비롯한 다양한 통신 시스템을 의미할 수 있다.Here, the wireless communication may refer to various communication systems including the Internet.

즉, 전력거래소 노드(1)가 전력수요관리사업자 노드(2)에게 할당하는 전력 감축량 정보와 전력수요관리사업자 노드(2)가 전력수요자 노드(3)에게 요청하는 전력 사용량 감축 명령은 각각 무선통신을 통해 상호간에 전달되게 되며, 이러한 무선통신을 위하여 전력수요반응시스템은 개방형 자동 수요 반응(openADR) 프로토콜을 사용할 수 있다.That is, the power reduction amount information that the power exchange node 1 assigns to the power demand management company node 2 and the power usage reduction command that the power demand management company node 2 requests from the power demanding node 3 are wireless And the power demand reaction system can use an open automatic demand response (openADR) protocol for such wireless communication.

도 2에 도시된 바와 같이, 본 발명의 실시예에 따른 전력수요반응시스템을 위한 통신보안 장치(101, 102, 103)는 전력수요반응시스템의 전력거래소 노드(1), 전력수요관리사업자 노드(2) 및 전력수요자 노드(3) 각각과 유선 또는 무선 통신을 통해 연결될 수 있다.2, a communication security device 101, 102, 103 for a power demand reaction system according to an embodiment of the present invention includes a power exchange node 1, a power demand management business node 2 and the power consumer node 3 via wired or wireless communication, respectively.

즉, 전력거래소 노드(1)에서 전송되는 전력 감축량 정보를 비롯한 다양한 명령들은 전력거래소 노드(1)에 연결된 전력수요반응시스템을 위한 통신보안 장치(101)를 거쳐, 전력수요관리사업자 노드(2)에 연결된 전력수요반응시스템을 위한 통신보안 장치(102)를 통과하여 전력수요관리사업자 노드(2)에 전달되게 되며, 전력수요관리사업자 노드(2)가 전송하는 전력 사용량 감축 명령을 비롯한 다양한 명령들은 전력수요관리사업자 노드(2)에 연결된 전력수요반응시스템을 위한 통신보안 장치(102)를 거쳐, 전력수요자 노드(3)에 연결된 전력수요반응시스템을 위한 통신보안 장치(103)를 통과해 전력수요자 노드(3)에 전달되게 되는 것이다.That is, various commands including the power reduction amount information transmitted from the power exchange node 1 are transmitted to the power demand management company node 2 via the communication security device 101 for the power demand reaction system connected to the power exchange node 1 ), Which is transmitted to the power demand management company node (2) through the communication security device (102) for the power demand reaction system connected to the power demand management company node (2) (103) for the power demand reaction system connected to the power user node (3) via the communication security device (102) for the power demand reaction system connected to the power demand management company node (2) To the consumer node (3).

도 2에서는 전력거래소 노드(1), 전력수요관리사업자 노드(2) 및 전력수요자 노드(3) 각각에 인접하여 총 3개의 전력수요반응시스템을 위한 통신보안 장치(101, 102, 103)가 각각 연결된 것으로 도시되었으나, 본 발명의 실시예에 따른 전력수요반응시스템을 위한 통신보안 장치(101, 102, 103)는 전력거래소 노드(1), 전력수요관리사업자 노드(2) 및 전력수요자 노드(3) 상호간에 통신을 매개하는 다양한 위치에 설치될 수 있으며, 설치 개수 또한 다양하게 선택될 수 있다. In FIG. 2, communication security devices 101, 102, and 103 for three power demand reaction systems adjacent to the power exchange node 1, the power demand management company node 2, and the power demander node 3, respectively, The communication security devices 101, 102 and 103 for the power demand reaction system according to the embodiment of the present invention are connected to the power exchange node 1, the power demand management company node 2 and the power demander node 3 ) Can be installed at various positions that mediate communication with each other, and the number of installations can be variously selected.

도 3에 도시된 바와 같이, 전력수요반응시스템의 구성들간 통신 패킷 구조는 IP 헤더(10, IP header) 및 페이로드(20, payload)를 포함한다.As shown in FIG. 3, the communication packet structure between the configurations of the power demand reaction system includes an IP header 10 and a payload 20.

IP 헤더(10)는 전력수요반응시스템의 구성들간 통신 패킷 구조의 선두에 놓여진 문자군으로 이어지는 페이로드(20)에 포함된 데이터의 내용, 성격을 식별 또는 제어하기 위해 사용되며, IP 헤더(10)에는 해당되는 통신 패킷을 전송하는 전송자의 IP/Port 정보가 포함될 수 있다.The IP header 10 is used to identify or control the content and nature of the data contained in the payload 20 leading to a group of characters placed at the head of the communication packet structure between the configurations of the power demand reaction system, May include IP / Port information of the sender transmitting the corresponding communication packet.

페이로드(20)에는 통신 패킷을 전송하는 전송자가 전달하려는 데이터가 포함되며, 데이터에는 전기사용량정보, 전력 감축량 정보, 전력 사용량 감축 명령을 비롯한 다양한 정보가 포함될 수 있으며, 페이로드(20)에는 전송자의 IP/Port 정보가 포함될 수 있다.The payload 20 includes data to be transmitted by the sender of the communication packet. The data may include various information such as electricity usage amount information, power reduction amount information, power consumption reduction command, IP / Port information of the sender may be included.

즉, 전송자의 IP/Port 정보는 IP 헤더(10) 및 페이로드(20) 각각에 포함될 수 있으며, 이때, 전송자라 함은 현재 데이터를 전송하는 전력거래소 노드(1), 전력수요관리사업자 노드(2) 및 전력수요자 노드(3) 중 하나를 의미할 수 있다.That is, the IP / Port information of the sender can be included in each of the IP header 10 and the payload 20. Here, the sender is a power exchange node 1 for transmitting current data, 2) and the power consumer node (3).

즉 전력거래소 노드(1)가 전송하는 통신 패킷의 IP 헤더(10) 및 페이로드(20)에는 전력거래소 노드(1)의 IP/Port 정보가 포함되고, 전력수요관리사업자 노드(2)가 전송하는 통신 패킷의 IP 헤더(10) 및 페이로드(20)에는 전력수요관리사업자 노드(2)의 IP/Port 정보가 포함되며, 전력수요자 노드(3)가 전송하는 통신 패킷의 IP 헤더(10) 및 페이로드(20)에는 전력수요자 노드(3)의 IP/Port 정보가 포함될 수 있다.That is, the IP header 10 and the payload 20 of the communication packet transmitted by the power exchange node 1 include the IP / Port information of the power exchange node 1 and the power demand management company node 2 transmits The IP header 10 of the communication packet and the payload 20 of the communication packet include the IP / Port information of the power demand management company node 2 and the IP header 10 of the communication packet transmitted by the power user node 3, And the payload 20 may include IP / Port information of the power user node 3.

이제, 도 4를 참조하여, 본 발명의 실시예에 따른 전력수요반응시스템을 위한 통신보안 장치(100)에 대해 보다 상세히 설명하도록 한다.Now, with reference to FIG. 4, a communication security device 100 for a power demand reaction system according to an embodiment of the present invention will be described in more detail.

도 4에 도시된 바와 같이, 전력수요반응시스템을 위한 통신보안 장치(100)는 통신부(110), 제어부(120) 및 보안처리부(130)를 포함한다.4, the communication security device 100 for the power demand reaction system includes a communication unit 110, a control unit 120, and a security processing unit 130.

통신부(110)는 외부로부터 수신된 통신 패킷을 제어부(120)에 전송하며, 보안처리부(130)를 통해 이상이 없다고 결정된 통신 패킷을 자신이 연결된 전력수요반응시스템의 노드에게 전달한다.The communication unit 110 transmits a communication packet received from the outside to the control unit 120 and transmits a communication packet determined to be abnormal through the security processing unit 130 to a node of the power demand reaction system to which the communication packet is connected.

예컨대, 전력수요반응시스템을 위한 통신보안 장치(100)가 전력거래소 노드(1)에 연결된 경우를 가정하면, 통신부(110)는 전력수요관리사업자 노드(2) 또는 전력수요자 노드(3)가 전송한 통신 패킷을 수신하고, 수신된 통신 패킷을 제어부(120)에 전송한다. 나아가, 보안처리부(130)를 통해 수신된 통신 패킷이 이상 없다고 결정된 경우, 통신부(110)는 해당 통신 패킷을 전력거래소 노드(1)에 전송한다.For example, assuming that the communication security device 100 for the power demand reaction system is connected to the power exchange node 1, the communication unit 110 determines whether the power demand management company node 2 or the power demander node 3 Receives a communication packet, and transmits the received communication packet to the control unit 120. [ Further, when it is determined that there is no abnormality in the communication packet received through the security processing unit 130, the communication unit 110 transmits the communication packet to the power exchange node 1.

다시 말해, 전력수요반응시스템의 각각의 구성들간 통신은 전력수요반응시스템을 위한 통신보안 장치(100)를 거쳐 상호간에 전달되는 것이다.In other words, communications between the respective configurations of the power demand reaction system are communicated to each other via the communication security device 100 for the power demand reaction system.

제어부(120)는 통신부(110)와 보안처리부(130)의 동작을 제어하며, 통신부(110)가 수신한 통신 패킷을 보안처리부(130)에 전송하고, 보안처리부(130)를 통해 이상이 없다고 결정된 통신 패킷을 다시 통신부(110)에 전송한다.The control unit 120 controls the operations of the communication unit 110 and the security processing unit 130 and transmits the communication packet received by the communication unit 110 to the security processing unit 130. When the security processing unit 130 determines that there is no abnormality And transmits the determined communication packet to the communication unit 110 again.

보안처리부(130)는 제어부(120)로부터 전달받은 통신 패킷을 분석하고, 통신 패킷의 분석결과를 이용하여 기설정된 조건을 만족하는 통신 패킷만을 다시 제어부(120)에 전달하며, 기설정된 조건을 만족하지 않는 통신 패킷은 드롭(drop)한다.The security processing unit 130 analyzes the communication packet received from the control unit 120 and transmits only the communication packet satisfying the preset condition to the control unit 120 using the analysis result of the communication packet, A communication packet that does not exist is dropped.

보다 상세하게, 보안처리부(130)는 제어부(120)로부터 전달받은 통신 패킷에 대하여 패킷 단위의 이상감지, 메시지 단위 이상감지, 프로토콜 단위 이상감지, 서비스 단위 이상감지를 순차적으로 수행하고, 상기한 4개의 이상감지를 모두 통과한 통신 패킷만을 제어부(120)에 전달하며, 상기한 4개의 이상감지를 순차적으로 수행하는 과정에서 통신 패킷의 이상이 발견되는 경우 이후 이어지는 이상감지를 수행하지 않고 해당되는 통신 패킷을 드롭(drop)할 수 있다.More specifically, the security processing unit 130 sequentially detects an abnormality in a packet unit, a detection of a message unit abnormality, a detection abnormality in a protocol unit, and a abnormality in a service unit in response to a communication packet transmitted from the control unit 120, The control unit 120 transmits only the communication packets that have passed through all the abnormalities detected. If an abnormality of the communication packet is found in the process of sequentially performing the above four abnormalities detection, You can drop packets.

이때, 드롭(drop)은 이상이 발생한 특정 통신 패킷을 제어부(120)에 전송하지 않고 파기하는 것을 의미할 수 있다.At this time, the drop may mean discarding the specific communication packet in which the abnormality has occurred, without transmitting it to the control unit 120.

도 5에 도시된 바와 같이, 보안처리부(130)는 패킷 보안처리부(131), 메시지 보안처리부(132), 프로토콜 보안처리부(133) 및 서비스 보안처리부(134)를 포함할 수 있다.5, the security processing unit 130 may include a packet security processing unit 131, a message security processing unit 132, a protocol security processing unit 133, and a service security processing unit 134.

패킷 보안처리부(131)는 패킷 단위의 이상을 감지한다.The packet security processing unit 131 detects an abnormality in a packet unit.

보다 상세하게, 패킷 보안처리부(131)는 통신 패킷의 IP 헤더(10)에 포함된 IP/Port 정보를 추출하여, 미리 등록된 IP/Port를 가지는 전력수요반응시스템의 노드로부터 수신된 통신 패킷은 이상이 없다고 판정하고, 미리 등록된 IP/Port를 제외한 나머지 IP/Port를 가지는 전력수요반응시스템의 노드로부터 수신된 통신 패킷은 이상이 있다고 판정하여 드롭한다.In more detail, the packet security processing unit 131 extracts the IP / Port information included in the IP header 10 of the communication packet, and the communication packet received from the node of the power demand reaction system having the IP / Port registered in advance And judges that there is an abnormality in the communication packet received from the node of the power demand reaction system having the remaining IP / Port excluding the IP / Port registered in advance, and drops it.

이때, 패킷 보안처리부(131)는 미리 등록되지 않은 IP/Port를 가지는 전력수요반응시스템의 노드의 IP/Port는 블랙리스트로 하여 별도로 관리하고, 이후 해당되는 IP/Port를 가지는 전력수요반응시스템의 노드로부터 수신된 통신 패킷을 자동으로 드롭할 수 있다.At this time, the packet security processing unit 131 separately manages the IP / Port of the node of the power demand reaction system having the IP / Port not registered in advance as a black list, and then manages the power demand reaction system having the corresponding IP / The communication packet received from the node can be automatically dropped.

한편, 패킷 보안처리부(131)에는 미리 등록된 IP/Port를 가지는 전력수요반응시스템의 노드 각각에 대하여 최대 허용 패킷 조건이 저장되어 있을 수 있으며, 패킷 보안처리부(131)은 미리 등록된 IP/Port를 가지는 전력수요반응시스템의 노드로부터 수신한 통신 패킷이 최대 허용 패킷 조건을 만족하는지 여부를 판단할 수 있다.The packet security processing unit 131 may store a maximum allowed packet condition for each node of the power demand reaction system having the IP / Port registered in advance, and the packet security processing unit 131 may transmit the IP / It is possible to determine whether or not the communication packet received from the node of the power demand reaction system having the maximum allowable packet condition is satisfied.

이때, 패킷 보안처리부(131)는 미리 등록된 IP/Port를 가지는 전력수요반응시스템의 노드로부터 수신한 통신 패킷이 최대 허용 패킷 조건을 만족하는 경우 해당 통신 패킷이 이상 없음을 판정하고, 만족하지 않는 경우 해당 통신 패킷이 이상이 있음을 판정하여, 해당 통신 패킷을 드롭하거나, 해당 통신 패킷 중 최대 허용 패킷 조건을 만족하는 만큼의 정보를 추출할 수 있다.At this time, if the communication packet received from the node of the power demand reaction system having the IP / Port registered in advance satisfies the maximum allowable packet condition, the packet security processing unit 131 determines that the corresponding communication packet is not abnormal, It is determined that the communication packet is abnormal and the communication packet is dropped or information corresponding to the maximum allowable packet condition among the communication packets can be extracted.

이때, 최대 허용 패킷 조건에는 최대입력bps, 최대입력대역폭, 최대출력bps, 최대출력대역폭, 최대입력cps, 최대출력cps, 단말노드개수가 포함될 수 있다.In this case, the maximum allowed packet condition may include a maximum input bps, a maximum input bandwidth, a maximum output bps, a maximum output bandwidth, a maximum input cps, a maximum output cps, and a number of terminal nodes.

예컨대, 패킷 보안처리부(131)에 특정 IP/Port를 가지는 전력수요반응시스템의 노드에 대해서는 1Mbps 만큼의 통신 패킷을 허용한다는 최대 허용 패킷 조건이 설정되어 있는데, 특정 IP/Port를 가지는 전력수요반응시스템의 노드에서 1.2Mbps 만큼의 통신 패킷을 전송하는 경우, 패킷 보안처리부(131)는 특정 IP/Port를 가지는 전력수요반응시스템의 노드에서 전송되는 통신 패킷을 드롭하거나, 특정 IP/Port를 가지는 전력수요반응시스템의 노드에서 전송되는 1.2Mbps의 통신 패킷 중 1Mbps 만큼 만을 추출할 수 있다.For example, in the packet security processing unit 131, a maximum allowable packet condition is set to allow a communication packet of 1 Mbps for a node of the power demand reaction system having a specific IP / Port. The packet security processing unit 131 may drop a communication packet transmitted from a node of the power demand reaction system having a specific IP / Port, or may transmit a power demand with a specific IP / Port Only one Mbps of the 1.2 Mbps communication packet transmitted from the node of the reaction system can be extracted.

패킷 보안처리부(131)는 상기한 과정들을 거쳐 이상이 없다고 판정된 통신 패킷을 메시지 보안처리부(132)에 전송한다.The packet security processing unit 131 transmits the communication packet determined not to be abnormal to the message security processing unit 132 through the above processes.

메시지 보안처리부(132)는 패킷 보안처리부(131)를 통과한 통신 패킷에 메시지 단위의 이상이 없는지 여부를 판정한다.The message security processing unit 132 determines whether there is any abnormality in the message unit in the communication packet that has passed through the packet security processing unit 131. [

보다 상세하게, 메시지 보안처리부(132)는 자신이 보호해야 할 대상이 전송하는 통신 패킷 중 IP 헤더(10)에 포함된 IP/Port 정보를 외부로 노출되지 않도록 한다.More specifically, the message security processing unit 132 prevents the IP / Port information included in the IP header 10 from being exposed to the outside among the communication packets transmitted by the target to be protected.

도 2를 참조하여 상기한 자신이 보호해야 할 대상을 설명하면, 전력거래소 노드(1)와 인접하게 연결된 전력수요반응시스템을 위한 통신보안 장치(101)는 전력거래소 노드(1)를 보호하고, 전력수요관리사업자 노드(2)와 인접하여 연결된 전력수요반응시스템을 위한 통신보안 장치(102)는 전력수요관리사업자 노드(2)를 보호하며, 전력수요자 노드(3)와 인접하여 연결된 전력수요반응시스템을 위한 통신보안 장치(103)는 전력수요자 노드(3)를 보호하는 것이다.2, the communication security apparatus 101 for the power demand reaction system connected adjacent to the power exchange node 1 protects the power exchange node 1, The communication security device 102 for the power demand reaction system connected adjacent to the power demand management company node 2 protects the power demand management company node 2 and is connected to the power demand node 3 in a power demand reaction The communication security device 103 for the system is to protect the power consumer node 3.

즉 본 발명의 실시예에 따른 전력수요반응시스템을 위한 통신보안 장치(100)는 설치되는 위치에 따라 각기 다른 구성을 보호할 수 있는 것이다. 이때, 보호해야 할 대상은 보호 대상 노드라 할 수 있다.That is, the communication security apparatus 100 for the power demand reaction system according to the embodiment of the present invention can protect different configurations according to the installation location. At this time, the object to be protected is a protected node.

다시, 도 5를 참조하여 메시지 보안처리부(132)가 자신이 보호해야 할 대상이 전송하는 통신 패킷 중 IP 헤더(10)에 포함된 IP/Port 정보를 외부로 노출되지 않도록 보호하는 방법을 보다 상세히 설명하기로 한다.5, the message security processing unit 132 protects the IP packet / port information included in the IP header 10 of the communication packet transmitted by the target to be protected from being exposed to the outside in more detail I will explain.

메시지 보안처리부(132)는 자신이 보호해야 할 대상의 IP를 전력수요반응시스템을 위한 통신보안 장치(100)의 IP로 설정하고, 자신이 보호해야 할 대상에게 새로운 IP를 부여한다.The message security processing unit 132 sets the IP of the object to be protected by itself to the IP of the communication security apparatus 100 for the power demand reaction system and gives a new IP to the object to be protected by itself.

예컨대, 전력거래소 노드(1)의 IP가 A인 경우 전력거래소 노드(1)를 보호하는 전력수요반응시스템을 위한 통신보안 장치(100)는 자신의 IP를 A로 설정하고 전력거래소 노드(1)의 IP를 B로 변경하는 것이다.For example, when the IP of the power exchange node 1 is A, the communication security apparatus 100 for the power demand reaction system that protects the power exchange node 1 sets its IP to A, Quot; B " to " B ".

이를 통해, 전력거래소 노드(1)가 통신 패킷을 외부로 전송하는 경우, 전력거래소 노드(1)가 전송하는 통신 패킷의 IP 헤더(10)에 포함된 IP/Port 정보에는 전력수요반응시스템을 위한 통신보안 장치(100)의 IP/Port 정보가 포함되게 되며, 전력거래소 노드(1) 자신의 IP/Port 정보는 외부로 노출되지 않게 되는 것이다.In this case, when the power exchange node 1 transmits the communication packet to the outside, the IP / Port information included in the IP header 10 of the communication packet transmitted by the power exchange node 1 includes, for example, The IP / Port information of the communication security apparatus 100 is included and the IP / Port information of the power exchange node 1 itself is not exposed to the outside.

나아가, 메시지 보안처리부(132)에는 최대 허용 길이 조건이 저장되어 있을 수 있으며, 메시지 보안처리부(132)는 패킷 보안처리부(131)가 이상이 없다고 판단한 통신 패킷이 최대 허용 길이 조건을 만족하는 지 여부를 판단한다.Further, the message security processing unit 132 may store a maximum allowable length condition, and the message security processing unit 132 determines whether or not the communication packet that the packet security processing unit 131 determines as having no abnormality satisfies the maximum allowable length condition .

이때, 최대 허용 길이 조건에는 URL 최대길이, 헤더 최대길이, 헤더이름 최대길이, 헤더값 최대길이, 페이로드 최대길이, 페이로드 이름값 최대길이, 페이로드값 최대길이, 페이로드 최대개수, 쿠키 최대길이, 요청 페이지 확장자, 업로드 확장자, HTTP 메소드, HTTP프로토콜이 포함될 수 있다.At this time, the maximum allowable length condition includes a URL maximum length, a header maximum length, a header name maximum length, a header value maximum length, a payload maximum length, a payload name maximum length, a payload maximum length, , Request page extension, upload extension, HTTP method, and HTTP protocol.

여기서, 메시지 보안처리부(132)는 패킷 보안처리부(131)가 이상이 없다고 판단한 통신 패킷이 최대 허용 길이 조건을 만족하는 경우, 해당 통신 패킷이 이상 없음을 판정하고, 만족하지 않는 경우 해당 통신 패킷이 이상이 있음을 판정하여, 해당 통신 패킷을 드롭할 수 있다.Here, if the communication packet determined by the packet security processing unit 131 as having no abnormality satisfies the maximum allowable length condition, the message security processing unit 132 determines that the communication packet is not abnormal. If the communication packet is not satisfied, It is determined that there is an error, and the corresponding communication packet can be dropped.

한편, 메시지 보안처리부(132)는 패킷 보안처리부(131)가 이상이 없다고 판단한 통신 패킷에 대하여 SSL/TLS 1.2를 통하여 암호화 복호화 처리를 수행할 수 있다.Meanwhile, the message security processing unit 132 can perform the encryption / decryption processing through the SSL / TLS 1.2 for the communication packet that the packet security processing unit 131 determines that there is no abnormality.

이때, 메시지 보안처리부(132)가 이상이 없다고 판단한 통신 패킷은 프로토콜 보안처리부(133)에 전송되게 된다.At this time, the communication packet that the message security processing unit 132 determines that there is no abnormality is transmitted to the protocol security processing unit 133.

프로토콜 보안처리부(133)는 메시지 보안처리부(132)가 이상이 없다고 판단한 통신 패킷의 페이로드(20)의 데이터를 개방형 자동 수요 반응(openADR) 프로토콜로 파싱하여 페이로드(20)의 데이터를 해석한다.The protocol security processing unit 133 analyzes the data of the payload 20 of the communication packet determined by the message security processing unit 132 to be an open automatic demand response (openADR) protocol and interprets the data of the payload 20 .

이때, 프로토콜 보안처리부(133)는 메시지 보안처리부(132)가 이상이 없다고 판단한 통신 패킷의 페이로드(20)의 IP/Port 정보를 확인하고 패킷 보안처리부(131) 및 메시지 보안처리부(132) 각각에게 확인된 IP/port 정보를 가지는 통신 패킷은 앞으로 이상이 없는 통신 패킷으로 인정하도록 명령할 수 있다.At this time, the protocol security processing unit 133 confirms the IP / Port information of the payload 20 of the communication packet that the message security processing unit 132 judges that there is no abnormality, and confirms the packet security processing unit 131 and the message security processing unit 132 The communication packet having the IP / port information confirmed by the terminal can be recognized as a communication packet having no abnormality in the future.

즉, 프로토콜 보안처리부(133)에 도달한 통신 패킷은 이미 패킷 보안처리부(131) 및 메시지 보안처리부(132)를 모두 통과한 통신 패킷이므로, 이후 동일한 IP/Port 정보를 가지는 통신 패킷은 패킷 보안처리부(131) 및 메시지 보안처리부(132)의 이상 여부 판단 없이 바로 프로토콜 보안처리부(133)에 도달할 수 있다.That is, since the communication packet arriving at the protocol security processing unit 133 has already passed through both the packet security processing unit 131 and the message security processing unit 132, the communication packet having the same IP / It is possible to directly reach the protocol security processing unit 133 without determining whether the message security processing unit 131 and the message security processing unit 132 are abnormal.

한편, 프로토콜 보안처리부(133)는 특정 IP/Port 정보를 가지는 전력수요반응시스템의 노드에게 허용된 최대 허용 패킷 조건을 변경할 수 있다.Meanwhile, the protocol security processing unit 133 may change the maximum allowable packet condition allowed for a node of the power demand reaction system having specific IP / Port information.

예컨대, 특정 IP/Port 정보를 가지는 전력수요자 노드(3)로부터 수신되는 통신 패킷의 최대 허용 패킷 조건이 1Mbps이나, 기설정된 기간 동안 해당 전력수요자 노드(3)로부터 수신되는 통신 패킷의 최대값이 100kbps인 경우, 프로토콜 보안처리부(133)는 패킷 보안처리부(131)에게 해당되는 전력수요자 노드(3)로부터 수신되는 통신 패킷의 최대 허용 패킷 조건을 100kbps로 하향할 것을 명령할 수 있다.For example, when the maximum allowable packet condition of the communication packet received from the power user node 3 having the specific IP / Port information is 1 Mbps, the maximum value of the communication packet received from the power user node 3 during the predetermined period is 100 kbps , The protocol security processing unit 133 may instruct the packet security processing unit 131 to lower the maximum allowed packet condition of the communication packet received from the corresponding power user node 3 to 100 kbps.

나아가, 프로토콜 보안처리부(133)는 페이로드(20)의 데이터를 해석하여, 서비스 시나리오를 식별하고 서비스 시나리오에 위배되는 경우 해당 통신 패킷은 이상이 있음을 판정하여 드롭한다. 한편, 서비스 시나리오에 위배되지 않는 경우 해당 통신 패킷은 이상이 없음을 판정하여, 서비스 보안처리부(134)에 전달한다.Further, the protocol security processing unit 133 analyzes the data of the payload 20, identifies the service scenario, and if the service scenario is violated, determines that the communication packet is abnormal and drops it. On the other hand, when the service scenario does not violate the service scenario, it is determined that there is no abnormality in the communication packet, and the communication packet is transmitted to the service security processing unit 134.

보다 상세하게, 프로토콜 보안처리부(133)는 자신이 보호해야 할 대상이 전송하는 통신 패킷의 페이로드(20)에 포함된 데이터와 외부로부터 수신한 통신 패킷의 페이로드(20)에 포함된 데이터를 비교하여, 자신이 보호해야 할 대상이 요청한 정보에 부합하는 정보가 수신되었는지를 판단하고, 자신이 보호해야 할 대상이 요청한 정보에 부합하는 정보가 수신되는 경우 서비스 시나리오에 위배되지 않았다고 판정하고, 자신이 보호해야 할 대상이 요청한 정보에 부합하는 정보가 수신되지 않은 경우 서비스 시나리오에 위배되었다고 판정한다.More specifically, the protocol security processing unit 133 transmits data included in the payload 20 of the communication packet transmitted by the target to be protected by itself and data included in the payload 20 of the communication packet received from the outside If it is determined that information corresponding to the information requested by the object to be protected has been received and information corresponding to the information requested by the object to be protected is received, it is determined that the service scenario does not violate the service scenario. If the object to be protected does not receive information matching the requested information, it is determined that the service scenario is violated.

도 6을 참조하여, 프로토콜 보안처리부(133)가 서비스 시나리오 위배여부를 판정하는 방법을 설명하도록 한다. 전력수요관리사업자 노드(2)와 이를 보호하는 전력수요반응시스템을 위한 통신보안 장치(102)가 전력거래소 노드(1)와 통신을 하는 경우, 전력수요관리사업자 노드(2)가 전력거래소 노드(1)의 정보를 요청하는 경우, 전력거래소 노드(1)는 전력거래소 노드(1)의 정보를 회신해야 한다. 유사하게, 전력수요관리사업자 노드(2)가 oadrQueryRegistration을 요청하는 경우 전력거래소 노드(1)는 oadrCreatedPartyRegistration을 회신해야 하며, 전력수요관리사업자 노드(2)가 oadrPoll을 요청하는 경우, 전력거래소 노드(1)는 oadrRegisterReport, OadrCreateReport, OadrCancelReport, oadrResponse, oadrDistributeEvent, oadrCancelPartyRegistration 및 oadrRequestReregistration 중 하나를 회신해야 한다.Referring to FIG. 6, a method for determining whether or not the protocol security processing unit 133 violates a service scenario will be described. When the power demand management company node 2 and the communication security apparatus 102 for the power demand reaction system that protects it communicate with the power exchange node 1, 1), the power exchange node 1 must return the information of the power exchange node 1. Similarly, when the Demand Management Business Operator Node 2 requests oadrQueryRegistration, the Power Exchange Node 1 must return oadrCreatedPartyRegistration and if the Demand Management Business Partner Node 2 requests oadrPoll, the Power Exchange Node 1 ) Must return one of oadrRegisterReport, OadrCreateReport, OadrCancelReport, oadrResponse, oadrDistributeEvent, oadrCancelPartyRegistration, and oadrRequestReregistration.

이때, 프로토콜 보안처리부(133)는 전력거래소 노드(1)로부터 전력수요관리사업자 노드(2)가 요청하는 정보에 대응하는 정보가 수신되는지 여부를 판단하여, 서비스 시나리오에 위배되는지 여부를 판단한다.At this time, the protocol security processing unit 133 determines whether information corresponding to information requested by the power demand management company node 2 is received from the power exchange node 1, and determines whether or not the information corresponds to the service scenario.

즉, 요청한 정보에 대해 올바른 정보를 회신하는 것을 서비스 시나리오에 위배되지 않았다고 할 수 있으며, 요청한 정보와 다른 정보를 회신하는 것을 서비스 시나리오에 위배되었다고 할 수 있다.That is, returning the correct information to the requested information is not in violation of the service scenario, and returning the requested information and other information can be said to be in violation of the service scenario.

다시 도 5를 참조하여, 프로토콜 보안처리부(133)를 설명한다. 프로토콜 보안처리부(133)는 상술한 역할 외에도, 자신이 보호해야 할 대상이 전송하는 통신 패킷 중 페이로드(20)에 포함된 IP/Port 정보를 외부로 노출되지 않도록 하며, 그 구체적인 방법은 메시지 보안처리부(132)가 자신이 보호해야 할 대상이 전송하는 통신 패킷 중 IP 헤더(10)에 포함된 IP/Port 정보를 외부로 노출되지 않도록 하는 방법과 같으므로 중복되는 설명은 생략한다.Referring again to FIG. 5, the protocol security processing unit 133 will be described. In addition to the above-mentioned role, the protocol security processing unit 133 prevents the IP / Port information included in the payload 20 among the communication packets transmitted by the target to be protected from being exposed to the outside, The processing unit 132 is the same as the method for preventing the IP / Port information included in the IP header 10 from being exposed to the outside among the communication packets transmitted by the object to be protected by the processing unit 132 itself, and therefore, duplicated description will be omitted.

요약하면, 메시지 보안처리부(132)는 자신이 보호해야 할 대상이 전송하는 통신 패킷 중 IP 헤더(10)에 포함된 IP/Port 정보를 외부로 노출되지 않도록 하며, 프로토콜 보안처리부(133)는 자신이 보호해야 할 대상이 전송하는 통신 패킷 중 페이로드(20)에 포함된 IP/Port 정보를 외부로 노출되지 않도록 하는 것이다.In summary, the message security processing unit 132 does not expose the IP / Port information included in the IP header 10 among the communication packets transmitted by the object to be protected by itself, and the protocol security processing unit 133 The IP / Port information included in the payload 20 among the communication packets transmitted by the target to be protected is not exposed to the outside.

프로토콜 보안처리부(133)가 이상이 없다고 판단한 통신 패킷은 서비스 보안처리부(134)에 전송되게 된다.The communication packet determined by the protocol security processing unit 133 to be abnormal is transmitted to the service security processing unit 134. [

서비스 보안처리부(134)는 프로토콜 보안처리부(133)가 파싱한 통신 패킷의 페이로드(20) 데이터를 분석하여 파라미터의 누락여부를 판단하고, 형식에 맞지 않는 구문 오류를 탐지한 뒤, 파라미터가 누락되었거나 형식에 맞지 않는 구문 오류가 있는 통신 패킷을 이상이 있다고 판단하여 드롭하고, 형식에 맞지 않는 구문 오류가 없는 통신 패킷은 다시 제어부(120)에 전송한다.The service security processing unit 134 analyzes the data of the payload 20 of the communication packet parsed by the protocol security processing unit 133 to determine whether or not the parameter is missing and detects syntax errors that do not conform to the format, And a communication packet having a syntax error that does not conform to the format is determined to be abnormal and dropped, and the communication packet having no syntax error that does not conform to the format is transmitted again to the control unit 120.

나아가, 서비스 보안처리부(134)는 통신 패킷의 페이로드(20) 데이터를 분석하여 출발지 IP, 목적지 IP, 서비스명, 요청페이로드명, 응답페이로드명, 등록 ID가 누락되었는지 판단하고, 형식에 맞지 않는 구문 오류를 탐지한다.Further, the service security processing unit 134 analyzes the payload 20 data of the communication packet to determine whether the source IP, the destination IP, the service name, the request payload name, the response payload name, the registration ID are missing, Detect syntax errors that do not match.

다시 도 6을 참조하여 형식에 맞지 않는 구문 오류를 설명한다. 전력거래소 노드(1)가 전력수요관리사업자 노드(2)에 회신한 OadrcancelReport에는 총 4개의 파라미터인 requestID, reportRequestID, reportToFollow, venID가 포함된다.Referring back to FIG. 6, a syntax error that does not conform to the format is described. The OadrcancelReport returned by the power exchange node 1 to the power demand management company node 2 includes a total of four parameters requestID, reportRequestID, reportToFollow, and venID.

이때, 서비스 보안처리부(134)는 총 4개의 파라미터 중 어느 하나가 누락되었는지 여부를 판단하여, 어느 하나가 누락된 경우 통신 패킷에 이상이 있다고 판단하여 드롭한다.At this time, the service security processing unit 134 determines whether one of the four parameters is missing or not, and if any one of the four parameters is missing, the service security processing unit 134 determines that there is an error in the communication packet and drops it.

또한, 서비스 보안처리부(134)는 총 4개의 파라미터인 requestID, reportRequestID, reportToFollow, venID 각각이 갖추어야 할 형식인 http, xmpp, xml, openADR 구문 오류를 탐지하고, 구문 오류가 있는 경우 통신 패킷에 이상이 있다고 판단하여 드롭한다.In addition, the service security processing unit 134 detects syntax errors of http, xmpp, xml, and openADR, which are four types of parameters required for each of requestID, reportRequestID, reportToFollow, and venID. If there is a syntax error, And drop it.

한편, 서비스 보안처리부(134)는 각각의 파라미터의 누락여부, 구문오류를 탐지할 뿐 아니라, 각각의 파라미터가 기설정된 허용값 이내인지 여부 또한 판단할 수 있다.Meanwhile, the service security processing unit 134 not only detects whether each parameter is missing or a syntax error, but also determines whether each parameter is within a predetermined allowable value.

도 7에 도시된 바와 같이, 본 발명의 실시예에 따른 전력수요반응시스템을 위한 통신보안 방법은 통신 패킷 수신 단계(S100), 기설정된 순서에 따라 통신 패킷의 이상을 감지하는 단계(S200) 및 통신 패킷 송신 단계(S300)를 포함한다.As shown in FIG. 7, a communication security method for a power demand reaction system according to an embodiment of the present invention includes a communication packet receiving step (S100), a step S200 of detecting an abnormality of a communication packet according to a predetermined order, And a communication packet transmission step (S300).

통신 패킷 수신 단계(S100)에서 통신부(110)는 보호 대상 노드를 제외한 다른 전력수요반응시스템의 노드로부터 통신 패킷을 수신한다.In the communication packet receiving step S100, the communication unit 110 receives a communication packet from a node of the power demand reaction system other than the protection target node.

통신 패킷의 이상을 감지하는 단계(S200)에서 보안처리부(130)는 보호 대상 노드를 제외한 다른 전력수요반응시스템의 노드로부터 수신한 통신 패킷을 분석한 뒤, 패킷 단위의 이상감지, 메시지 단위 이상감지, 프로토콜 단위 이상감지, 서비스 단위 이상감지를 순차적으로 수행하고, 상기한 4개의 이상감지를 모두 통과한 통신 패킷은 이상이 없다고 판정하고, 상기한 4개의 이상감지를 순차적으로 수행하는 과정에서 통신 패킷의 이상이 발견되는 경우 이후 이어지는 이상감지를 수행하지 않고 해당되는 통신 패킷을 드롭(drop)한다.In the step S200 of detecting an abnormality of the communication packet, the security processing unit 130 analyzes the communication packet received from the node of the power demand reaction system except for the protection target node, , Protocol unit abnormality detection, and service unit abnormality detection sequentially, and it is determined that there is no abnormality in the communication packet which has passed all the four abnormality detection, and in the process of sequentially performing the above four abnormality detection, The corresponding communication packet is dropped without performing the subsequent abnormality detection.

통신 패킷 송신 단계(S300)에서 통신부(110)는 S200단계에서 보안처리부(1300)를 통해 이상이 없다고 결정된 통신 패킷을 자신이 연결된 전력수요반응시스템의 노드에게 전달한다. 이때, 자신이 연결된 전력수요반응시스템의 노드를 보호 대상 노드라 할 수 있다.In the communication packet transmission step S300, the communication unit 110 transmits the communication packet determined to be abnormal through the security processing unit 1300 to the node of the power demand reaction system connected thereto in step S200. At this time, a node of the power demand reaction system to which the node is connected may be referred to as a protected node.

도 8을 참조하여, 통신 패킷의 이상을 감지하는 단계(S200)를 보다 상세히 설명하도록 한다.Referring to FIG. 8, a step S200 of detecting an abnormality of a communication packet will be described in more detail.

통신 패킷의 이상을 감지하는 단계(S200)에서 패킷 보안처리부(131)가 패킷 단위의 이상을 감지(S210)한다. 이때, 패킷 보안처리부(131)가 패킷 단위의 이상을 감지하는 경우, 해당되는 통신 패킷은 드롭(S260)되며, 패킷 보안처리부(131)가 패킷 단위의 이상을 감지하지 않는 경우, 패킷 보안처리부(131)는 통신 패킷을 메시지 보안처리부(132)에 전달한다. In step S200 of detecting an abnormality of a communication packet, the packet security processing unit 131 detects an abnormality in a packet unit (S210). At this time, if the packet security processing unit 131 detects an abnormality in the packet unit, the corresponding communication packet is dropped (S260). If the packet security processing unit 131 does not detect an abnormality in the packet unit, 131 transmits the communication packet to the message security processing unit 132. [

그 뒤, 메시지 보안처리부(132)는 메시지 단위의 이상을 감지(S220)한다. 이때, 메시지 보안처리부(132)가 메시지 단위의 이상을 감지하는 경우, 해당되는 통신 패킷은 드롭(S260)되며, 메시지 보안처리부(132)가 메시지 단위의 이상을 감지하지 않는 경우, 메시지 보안처리부(132)는 통신 패킷을 프로토콜 보안처리부(133)에 전달한다.Thereafter, the message security processing unit 132 detects an abnormality of the message unit (S220). At this time, if the message security processing unit 132 detects an abnormality of a message unit, the corresponding communication packet is dropped (S260). If the message security processing unit 132 does not detect abnormality of the message unit, 132 transmits a communication packet to the protocol security processing unit 133. [

이후, 프로토콜 보안처리부(133)는 프로토콜 단위의 이상을 감지(S230)한다. 이때, 프로토콜 보안처리부(133)가 프로토콜 단위의 이상을 감지하는 경우, 해당되는 통신 패킷은 드롭(S260)되며, 프로토콜 보안처리부(133)가 프로토콜 단위의 이상을 감지하지 않는 경우, 프로토콜 보안처리부(133)는 통신 패킷을 서비스 보안처리부(134)에 전달한다.Then, the protocol security processing unit 133 detects an abnormality in the protocol unit (S230). At this time, if the protocol security processing unit 133 detects an abnormality in the protocol unit, the corresponding communication packet is dropped (S260). If the protocol security processing unit 133 does not detect abnormality of the protocol unit, 133 transmit the communication packet to the service security processing unit 134. [

*마지막으로, 서비스 보안처리부(134)는 서비스 단위의 이상을 감지(S240)한다. 이때, 서비스 보안처리부(134)가 서비스 단위의 이상을 감지하는 경우, 해당되는 통신 패킷은 드롭(S260)되며, 서비스 보안처리부(134)가 서비스 단위의 이상을 감지하지 않는 경우, 서비스 보안처리부(134)는 해당 통신 패킷의 이상이 없음(S250)을 판정하고, 통신 패킷을 통신부(110)에 전달한다.Finally, the service security processing unit 134 detects an abnormality of the service unit (S240). At this time, if the service security processing unit 134 detects an abnormality of the service unit, the corresponding communication packet is dropped (S260). If the service security processing unit 134 does not detect abnormality of the service unit, 134 determines that there is no abnormality in the communication packet (S250), and transfers the communication packet to the communication unit 110. [

패킷 보안처리부(131), 메시지 보안처리부(132), 프로토콜 보안처리부(133) 및 서비스 보안처리부(134) 각각의 구체적인 동작은 상술한 바와 같으므로 중복되는 기재는 생략한다.The specific operations of the packet security processing unit 131, the message security processing unit 132, the protocol security processing unit 133, and the service security processing unit 134 are the same as those described above, so redundant description will be omitted.

즉, 전력수요반응시스템의 각각의 노드 간 통신 패킷은 본 발명의 실시예에 따른 전력수요반응시스템을 위한 통신보안 장치를 통과하며, 복수의 이상감지 단계를 순차적으로 거친 뒤, 보호 대상 노드에게 전달되는 것이다.That is, each inter-node communication packet of the power demand reaction system passes through the communication security device for the electric power demand reaction system according to the embodiment of the present invention, sequentially passes through a plurality of abnormality detection steps, .

이상에서 본 발명에 따른 바람직한 실시예에 대해 설명하였으나, 다양한 형태로 변형이 가능하며, 본 기술분야에서 통상의 지식을 가진 자라면 본 발명의 특허청구범위를 벗어남이 없이 다양한 변형예 및 수정예를 실시할 수 있을 것으로 이해된다.While the present invention has been described in connection with what is presently considered to be practical exemplary embodiments, it is to be understood that the invention is not limited to the disclosed embodiments, but many variations and modifications may be made without departing from the scope of the present invention. It will be understood that the invention may be practiced.

1: 전력거래소 노드 2: 전력수요관리사업자 노드
3: 전력수요자 노드 10: IP 헤더
20: 페이로드
100, 101, 102, 103: 전력수요반응시스템을 위한 통신보안 장치
110: 통신부 120: 제어부
130: 보안처리부 131: 패킷 보안처리부
132: 메시지 보안처리부 133: 프로토콜 보안처리부
134: 서비스 보안처리부1: Power Exchange Node 2: Power Demand Management Business Operator Node
3: Power consumer node 10: IP header
20: Payload
100, 101, 102, 103: Communication security device for power demand reaction system
110: communication unit 120:
130: security processing unit 131: packet security processing unit
132: message security processing unit 133: protocol security processing unit
134: service security processing unit

Claims (16)

전력수요반응시스템의 노드들 중 하나 이상의 보호 대상 노드에 연결되는 전력수요반응시스템을 위한 통신보안 장치에 있어서,
전력수요반응시스템의 다른 노드로부터 통신 패킷을 수신하고, 이상감지를 통과한 통신 패킷만을 상기 보호 대상 노드에게 전송하는 통신부와;
상기 다른 노드로부터 수신한 상기 통신 패킷이 미리 등록된 IP/포트 정보를 가지면 상기 통신 패킷이 최대 허용 패킷 조건을 만족할 경우에만 상기 통신 패킷을 통과시키는 패킷 보안 처리부와;
상기 패킷 보안 처리부를 통과한 상기 통신 패킷의 전송 프로토콜 정보 각각이 기설정된 최대 허용 길이 조건을 만족할 경우에만 상기 통신 패킷을 통과시키는 메시지 보안 처리부와;
상기 메시지 보안 처리부를 통과한 상기 통신 패킷의 페이로드 데이터를 개방형 자동 수요 반응 프로토콜로 파싱하여 페이로드 데이터를 해석하되, 보호 대상 노드가 전송하는 통신 패킷의 페이로드에 포함된 데이터와 상기 다른 노드로부터 수신한 통신 패킷의 페이로드에 포함된 데이터를 비교하여 상기 보호 대상 노드가 요청한 정보에 부합되는 정보가 수신된 경우에만 상기 통신 패킷을 통과시키는 프로토콜 보안 처리부와;
상기 프로토콜 보안 처리부를 통과한 통신 패킷의 페이로드 데이터를 분석하여 파라미터가 누락되었거나 형식에 맞지 않는 구문 오류가 있는 통신 패킷은 드롭하고 정상적인 통신 패킷만을 제어부로 전달하는 서비스 보안 처리부와;
상기 통신부가 수신한 통신 패킷을 상기 패킷 보안 처리부로 전송하고, 상기 서비스 보안 처리부를 통과한 통신 패킷을 상기 통신부로 전송하는 제어부;를 포함함을 특징으로 하는 전력수요반응시스템을 위한 통신보안 장치.A communication security device for a power demand reaction system connected to one or more protected nodes of nodes of a power demand reaction system,
A communication unit that receives a communication packet from another node of the power demand reaction system and transmits only a communication packet that has undergone abnormality detection to the protection target node;
A packet security processing unit for passing the communication packet only when the communication packet received from the other node has pre-registered IP / port information and the communication packet satisfies a maximum allowed packet condition;
A message security processing unit that passes the communication packet only when each of the transmission protocol information of the communication packet that has passed through the packet security processing unit satisfies a predetermined maximum allowable length condition;
The method comprising the steps of: parsing payload data of the communication packet that has passed through the message security processing unit into an open type automatic demand response protocol to interpret payload data, wherein data included in a payload of a communication packet transmitted by the protected node, A protocol security processing unit for comparing the data included in the payload of the received communication packet and passing the communication packet only when information corresponding to the information requested by the protection node is received;
A service security processing unit for analyzing payload data of a communication packet that has passed through the protocol security processing unit and dropping a communication packet in which a parameter is missed or a syntax error is incompatible with the format, and forwards only normal communication packets to the control unit;
And a control unit transmitting the communication packet received by the communication unit to the packet security processing unit and transmitting a communication packet passed through the service security processing unit to the communication unit. 삭제delete 청구항 1에 있어서, 상기 패킷 보안 처리부의 최대 허용 패킷 조건은,
최대입력bps, 최대입력대역폭, 최대출력bps, 최대출력대역폭, 최대입력cps, 최대출력cps, 단말노드개수 중 하나 이상을 포함하는 것을 특징으로 하는 전력수요반응시스템을 위한 통신보안 장치.The method of claim 1, wherein the maximum allowed packet condition of the packet security processing unit
A maximum input bps, a maximum input bandwidth, a maximum output bps, a maximum output bandwidth, a maximum input cps, a maximum output cps, and a number of terminal nodes. 삭제delete 청구항 1에 있어서, 상기 메시지 보안 처리부의 최대 허용 길이 조건은,
URL 최대길이, 헤더 최대길이, 헤더이름 최대길이, 헤더 값 최대길이, 페이로드 최대길이, 페이로드 이름값 최대길이, 페이로드값 최대길이, 페이로드 최대개수, 쿠키최대길이, 요청 페이지 확장자, 업로드 확장자, HTTP 메소드, HTTP프로토콜 중 하나 이상을 포함하는 것을 특징으로 하는 전력수요반응시스템을 위한 통신보안 장치.The method of claim 1, wherein the maximum allowed length condition of the message security processing unit
URL length maximum length, header maximum length, header name maximum length, header value maximum length, payload maximum length, payload maximum value length, payload value maximum length, maximum payload length, maximum cookie length, request page extension, , An HTTP method, and an HTTP protocol. 삭제delete 삭제delete 청구항 1에 있어서, 상기 메시지 보안 처리부는 보호 대상 노드가 전송하는 통신 패킷 중 IP 헤더에 포함된 IP를 상기 전력수요반응시스템을 위한 통신보안 장치의 IP로 변경하고, 상기 보호 대상 노드에게 새로운 IP를 부여함을 특징으로 하는 전력수요반응시스템을 위한 통신보안 장치.The method of claim 1, wherein the message security processing unit changes the IP included in the IP header among the communication packets transmitted by the protection target node to IP of the communication security device for the power demand reaction system, Wherein the communication device is a wireless communication device. 청구항 1에 있어서, 상기 프로토콜 보안 처리부는 보호 대상 노드가 전송하는 통신 패킷 중 페이로드에 포함된 IP를 상기 전력수요반응시스템을 위한 통신보안 장치의 IP로 변경하고, 상기 보호 대상 노드에게 새로운 IP를 부여함을 특징으로 하는 전력수요반응시스템을 위한 통신보안 장치.The method of claim 1, wherein the protocol security processing unit changes the IP included in the payload among the communication packets transmitted by the protection target node to IP of the communication security device for the power demand reaction system, Wherein the communication device is a wireless communication device. 삭제delete 삭제delete 삭제delete 삭제delete 삭제delete 삭제delete 삭제delete
KR1020160047041A 2016-04-18 2016-04-18 Apparatus and method for securing commuication for electric power demand response system KR101695958B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160047041A KR101695958B1 (en) 2016-04-18 2016-04-18 Apparatus and method for securing commuication for electric power demand response system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160047041A KR101695958B1 (en) 2016-04-18 2016-04-18 Apparatus and method for securing commuication for electric power demand response system

Publications (1)

Publication Number Publication Date
KR101695958B1 true KR101695958B1 (en) 2017-01-23

Family

ID=57989887

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160047041A KR101695958B1 (en) 2016-04-18 2016-04-18 Apparatus and method for securing commuication for electric power demand response system

Country Status (1)

Country Link
KR (1) KR101695958B1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101750447B1 (en) 2017-04-19 2017-06-27 주식회사 나온웍스 Method, apparatus and system for payload analysis of an open automated demand response protocol
CN111367217A (en) * 2020-03-20 2020-07-03 北京四方继保自动化股份有限公司 Monitoring method for improving inter-station communication safety of stability control system

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090126104A (en) 2008-06-03 2009-12-08 서울대학교산학협력단 Method and system for demand response of electric power
KR20130020862A (en) * 2011-08-19 2013-03-04 고려대학교 산학협력단 Apparatus and method for anomaly detection in scada network using self-similarity
KR20140050399A (en) * 2012-10-19 2014-04-29 한국전자통신연구원 Abnormal behavior detection system in smart grid advanced metering infrastructure networks

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090126104A (en) 2008-06-03 2009-12-08 서울대학교산학협력단 Method and system for demand response of electric power
KR20130020862A (en) * 2011-08-19 2013-03-04 고려대학교 산학협력단 Apparatus and method for anomaly detection in scada network using self-similarity
KR20140050399A (en) * 2012-10-19 2014-04-29 한국전자통신연구원 Abnormal behavior detection system in smart grid advanced metering infrastructure networks

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101750447B1 (en) 2017-04-19 2017-06-27 주식회사 나온웍스 Method, apparatus and system for payload analysis of an open automated demand response protocol
CN111367217A (en) * 2020-03-20 2020-07-03 北京四方继保自动化股份有限公司 Monitoring method for improving inter-station communication safety of stability control system

Similar Documents

Publication Publication Date Title
CN102763382B (en) Front end system and front end processing method
CN101330464B (en) Network interface system, data packet transmission method and computer system
US8065402B2 (en) Network management using short message service
US7684436B2 (en) Gateway apparatus, and method for processing signals in the gateway apparatus
US7720073B2 (en) System and/or method for bidding
CN104601550B (en) Reverse isolation file transmission system and method based on cluster array
CN102308531A (en) Multi-access system
US20120020362A1 (en) Partitioning of digital objects for transmission
US20060191006A1 (en) Denial-of-service-attack protecting method, denial-of-service attack protecting system, denial-of-service attack protecting device, repeater, denial-of-service attack protecting program, and program for repeater
US7590710B1 (en) Method and system for extending a communication port via a general purpose network
US20070133553A1 (en) System and/or method for downstream bidding
KR101695958B1 (en) Apparatus and method for securing commuication for electric power demand response system
JP6456929B2 (en) Securing communications within network endpoints
US20110176437A1 (en) Traffic volume monitoring system
WO2012073429A1 (en) Method and device for controlling shared bandwidth of intra-user-group bandwidth-shared network and shared bandwidth control system
CN105227692A (en) A kind of NAT through method and gateway device
US8396057B2 (en) Method and apparatus for traffic regulation in a communication network
US8966606B2 (en) Apparatus and security system for data loss prevention, and operating method of data loss prevention apparatus
JP5009257B2 (en) Relay device and relay method
EP3641248B1 (en) Traffic optimization device, communication system, traffic optimization method, and program
CN116915862A (en) Security service deployment method and communication equipment
KR101303319B1 (en) Network Management System integrated a Power Line Communication and Control Method of the Same
CN104869118A (en) Method and system for achieving DDoS defense based on technology of dynamic tunnels
JP2010199943A (en) Unidirectional data communication method and information processor
US7269140B2 (en) Suspend packet transmitter

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20200103

Year of fee payment: 4