KR101695958B1 - Apparatus and method for securing commuication for electric power demand response system - Google Patents
Apparatus and method for securing commuication for electric power demand response system Download PDFInfo
- Publication number
- KR101695958B1 KR101695958B1 KR1020160047041A KR20160047041A KR101695958B1 KR 101695958 B1 KR101695958 B1 KR 101695958B1 KR 1020160047041 A KR1020160047041 A KR 1020160047041A KR 20160047041 A KR20160047041 A KR 20160047041A KR 101695958 B1 KR101695958 B1 KR 101695958B1
- Authority
- KR
- South Korea
- Prior art keywords
- communication
- processing unit
- packet
- security processing
- power demand
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/14—Charging, metering or billing arrangements for data wireline or wireless communications
- H04L12/1432—Metric aspects
- H04L12/1439—Metric aspects time-based
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/18—Protocol analysers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Abstract
Description
본 발명은 전력수요반응시스템의 각 구성들 간 통신을 수행함에 있어서, 통신의 보안성을 높이기 위한 전력수요반응시스템을 위한 통신보안 장치 및 방법에 관한 것이다.BACKGROUND OF THE
보다 상세하게, 본 발명은 전력수요반응시스템의 구성인 전력거래소, 전력수요관리사업자, 전력수요자에 설치되어 이들 간의 통신 패킷을 분석하여 기설정된 조건을 만족하는 통신 패킷만을 전력수요반응시스템의 구성인 전력거래소, 전력수요관리사업자, 전력수요자 각각에게 전달하는 전력수요반응시스템을 위한 통신보안 장치 및 방법에 관한 것이다.More particularly, the present invention relates to a system and method for analyzing a communication packet between a power exchange, a power demand management company, and a power user, which are components of a power demand reaction system, A power demand management system, and a power demand reaction system for delivering power to a power exchange, a power demand management company, and a power user, respectively.
종래의 전력공급시스템은 전력 공급자를 중심으로 이루어져 왔으며, 전력수요자들은 전력 공급자가 공급하는 전력에 대한 비용을 지불하고 전력을 이용하는 방식을 채택하고 있었다.Conventional power supply systems have been centered around power providers, and power consumers have been adopting a method of paying for and using power for the power supplied by the power provider.
그 결과, 전력의 과부족분이 발생하더라도 이에 대한 능동적인 대처가 불가능한 문제점이 제기되어 왔다. 예컨대, 여름철 에어컨 사용량이 급증하는 경우 전력이 부족하여, 대규모 정전사태가 발생하는 일이 빈번하였으며, 반대로, 전력사용량이 상대적으로 적은 야간시간에는 잉여전력을 그대로 낭비해버리기 일쑤였다.As a result, even if power surplus occurs, it is impossible to actively cope with the problem. For example, in the summer, when the air conditioner usage rapidly increased, a large power outage frequently occurred due to a shortage of electric power. On the other hand, in the nighttime when the electric power consumption was relatively low, surplus electric power was wasted.
따라서, 전력의 과부족 문제를 해결하고, 전기 에너지의 공급과 소비의 균형을 맞추기 위하여, 전력수요반응시스템이 제시되었다. 전력수요반응시스템은 크게 전력거래소, 전력수요관리사업자, 전력수요자로 이루어진 전력 공급시스템이다.Therefore, a power demand response system has been proposed to solve the power shortage and to balance the supply and consumption of electric energy. The power demand response system is composed of a power exchange, a power demand management company, and a power supply system.
예컨대, 전력이 부족한 경우, 전력거래소는 수요관리사업자에게 미리 할당된 전력 사용량 감축지시를 전송하고, 수요관리사업자는 계약관계가 있는 각각의 전력수요자에게 전기사용량을 감축할 것을 요청한다. 여기서, 전력수요자가 계약된 대로 전기사용량을 감축하게 되는 경우, 전력거래소는 수요관리 사업자에게 정산금을 지급하고, 다시 수요관리사업자는 전력수요자에게 정산금을 분배하게 된다.For example, in the case of power shortage, the KPX sends a pre-allocated power usage reduction instruction to the demand management operator, and the demand management operator requests each power user having a contract relationship to reduce the electricity usage. In this case, if the electric power user reduces the electricity consumption as contracted, the KPX will pay the settlement amount to the demand management company, and the demand management company will distribute the settlement amount to the electric power consumer.
즉, 전력수요반응시스템은 전력이 부족한 경우 수요자들이 전력사용량을 줄임으로써 안정적인 전력공급이 가능하게 하며, 그 반대 급부로 수요자들에게 금전적인 혜택을 주는 전력관리 시스템인 것이다.In other words, the power demand reaction system is a power management system that enables the stable supply of electricity by reducing the electricity consumption by the consumers in case of power shortage, and the monetary benefit to the consumers with the opposite benefit.
따라서, 전력수요반응시스템에서는 이를 구성하는 전력거래소, 수요관리사업자, 전력수요자간의 통신이 반드시 필요하게 된다. 그러나, 전력거래소, 수요관리사업자, 전력수요자 간의 통신을 하게 되는 경우, 이들 각 구성들 간의 통신은 해커에게 노출이 될 수 있으며, 통신이 해커에게 노출되는 경우 잘못된 전기사용량 감축 요청 등이 전달될 수 있는 문제가 있다.Therefore, in the power demand reaction system, communication between the power exchange, the demand management operator, and the power user constituting the system is indispensable. However, when communication is made between a power exchange, a demand management operator, and a power user, communication between the respective components may be exposed to a hacker, and if communication is exposed to a hacker, There is a problem.
이에 따라, 전력수요반응시스템의 각 구성들에 연결되어, 통신 패킷을 분석하고, 분석된 통신 패킷을 이용하여, 기설정된 조건을 만족하는 통신 패킷만을 전력수요반응시스템의 구성인 전력거래소, 전력수요관리사업자, 전력수요자 각각에게 전달하는 전력수요반응시스템을 위한 통신보안 장치 및 방법이 필요한 실정이다.Accordingly, only the communication packets satisfying predetermined conditions are analyzed by analyzing the communication packets and connected to the respective constituents of the power demand reaction system, A communication security device and a method for a power demand reaction system to be transmitted to each of a management operator and a power user are needed.
본 발명의 목적은, 상기 문제점을 해결하기 위한 것으로, 전력수요반응시스템의 각각의 구성인 전력거래소, 전력수요관리사업자 및 전력수요자 각각에 연결되어 통신 패킷을 분석하고, 기설정된 조건을 만족하는 통신 패킷만을 전달하여 해킹 위협 등으로부터 전력거래소, 전력수요관리사업자 및 전력수요자를 보호하기 위한 것이다.An object of the present invention is to solve the above-mentioned problems, and it is an object of the present invention to provide a power demand management system and a power demand management system, And to protect the power exchange, the electric power demand management company, and the electric power consumers from hacking threats by transmitting only the packets.
상기한 목적을 달성하기 위하여, 본 발명의 실시예에 따른 전력수요반응시스템을 위한 통신보안 장치는, 전력수요반응시스템의 노드들 중 하나 이상의 보호 대상 노드에 각각 연결되어 보호 대상 노드를 보호하는 전력수요반응시스템을 위한 통신보안 장치에 관한 것으로, 보호 대상 노드를 제외한 전력수요반응시스템의 다른 노드로부터 통신 패킷을 수신하고, 보안처리부의 이상감지를 통과한 통신 패킷을 보호 대상 노드에게 전송하는 통신부 및 전력수요반응시스템의 다른 노드로부터 수신한 통신 패킷에 대해 패킷 단위 이상감지, 메시지 단위 이상감지, 프로토콜 단위 이상감지 및 서비스 단위 이상감지를 순차적으로 수행하는 보안처리부를 포함한다.In order to achieve the above object, a communication security device for a power demand reaction system according to an embodiment of the present invention is a communication security device that is connected to one or more protected nodes of nodes of a power demand reaction system, A communication unit for receiving a communication packet from another node of the power demand reaction system excluding the protection target node and transmitting a communication packet that has passed the abnormality detection of the security processing unit to the protection target node; And a security processing unit for sequentially detecting a packet unit abnormality, a message unit abnormality, a protocol unit abnormality, and a service unit abnormality for a communication packet received from another node of the power demand reaction system.
이때, 패킷 단위 이상감지는, 보안처리부가, 전력수요반응시스템의 다른 노드로부터 수신한 통신 패킷이 기설정된 최대 허용 패킷 조건의 범위 내에 있는지 판단하는 것을 특징으로 한다.At this time, the packet processing abnormality detection is characterized in that the security processing unit determines whether a communication packet received from another node of the power demand reaction system is within a predetermined maximum allowed packet condition.
여기서, 최대 허용 패킷 조건은, 최대입력bps, 최대입력대역폭, 최대출력bps, 최대출력대역폭, 최대입력cps, 최대출력cps, 단말노드개수 중 하나 이상을 포함하는 것을 특징으로 한다.Here, the maximum allowed packet condition includes at least one of a maximum input bps, a maximum input bandwidth, a maximum output bps, a maximum output bandwidth, a maximum input cps, a maximum output cps, and a number of terminal nodes.
나아가, 메시지 단위 이상감지는, 보안처리부가, 전력수요반응시스템의 다른 노드로부터 수신한 통신 패킷이 기설정된 최대 허용 길이 조건의 범위 내에 있는지 판단하는 것을 특징으로 한다.Further, the message unit abnormality detection is characterized in that the security processing unit determines whether a communication packet received from another node of the power demand reaction system is within a predetermined maximum allowable length condition.
*한편, 최대 허용 길이 조건은, URL 최대길이, 헤더 최대길이, 헤더이름 최대길이, 헤더값 최대길이, 페이로드 최대길이, 페이로드 이름값 최대길이, 페이로드값 최대길이, 페이로드 최대개수, 쿠키 최대길이, 요청 페이지 확장자, 업로드 확장자, HTTP 메소드, HTTP프로토콜 중 하나 이상을 포함하는 것을 특징으로 한다.On the other hand, the maximum allowable length conditions include URL maximum length, header maximum length, header name maximum length, header value maximum length, payload maximum length, payload name value maximum length, payload value maximum length, A maximum length, a requested page extension, an upload extension, an HTTP method, and an HTTP protocol.
나아가, 프로토콜 단위 이상감지는, 보안처리부가, 전력수요반응시스템의 다른 노드로부터 수신한 통신 패킷이 기설정된 서비스 시나리오에 위배되었는지 판단하는 것을 특징으로 한다.Further, the protocol unit abnormality detection is characterized in that the security processing unit determines whether a communication packet received from another node of the power demand reaction system violates a predetermined service scenario.
여기서, 서비스 단위 이상감지는, 보안처리부가, 전력수요반응시스템의 다른 노드로부터 수신한 통신 패킷에 포함되어야 하는 파라미터의 누락여부, 파라미터가 기설정된 허용값을 만족하는지 여부 및 전력수요반응시스템의 다른 노드로부터 수신한 통신 패킷의 구문오류 여부를 판단하는 것을 특징으로 한다.Here, the detection of a service unit abnormality may be made based on whether or not the security processing unit is omitting parameters to be included in a communication packet received from another node of the power demand reaction system, whether or not the parameter satisfies a predetermined allowable value, And determines whether or not the syntax of the communication packet received from the node is erroneous.
한편, 보안처리부는, 전력수요반응시스템을 위한 통신보안 장치의 IP를 보호 대상 노드의 IP로 변경하고, 보호 대상 노드에게 새로운 IP를 부여하는 것을 특징으로 한다.On the other hand, the security processing unit changes the IP of the communication security device for the power demand reaction system to the IP of the protection target node and gives a new IP to the protection target node.
상기한 목적을 달성하기 위하여, 본 발명의 실시예에 따른 전력수요반응시스템을 위한 통신보안 방법은, 전력수요반응시스템의 노드들 중 하나 이상의 보호 대상 노드를 보호하는 전력수요반응시스템을 위한 통신보안 방법에 관한 것으로, 통신부가, 보호 대상 노드를 제외한 전력수요반응시스템의 다른 노드로부터 통신 패킷을 수신하는 통신 패킷 수신 단계, 보안처리부가, 전력수요반응시스템의 다른 노드로부터 수신한 통신 패킷에 대해 패킷 단위 이상감지, 메시지 단위 이상감지, 프로토콜 단위 이상감지 및 서비스 단위 이상감지를 순차적으로 수행하는 이상감지 단계 및 통신부가, 이상감지 단계를 통과한 통신 패킷을 보호 대상 노드에게 전송하는 통신 패킷 전송 단계를 포함한다.In order to achieve the above object, a communication security method for a power demand reaction system according to an embodiment of the present invention includes a communication security method for a power demand reaction system protecting at least one protected node among nodes of a power demand reaction system, A communication packet reception step of receiving a communication packet from another node of the power demand reaction system excluding the protection target node; a security processing unit for receiving a communication packet received from another node of the power demand reaction system, An abnormality detection step of sequentially detecting a unit abnormality, a message unit abnormality detection, a protocol unit abnormality detection and a service unit abnormality, and a communication packet transmission step of transmitting a communication packet passed through the abnormality detection step to the protection target node .
여기서, 패킷 단위 이상감지는, 보안처리부가, 전력수요반응시스템의 다른 노드로부터 수신한 통신 패킷이 기설정된 최대 허용 패킷 조건의 범위 내에 있는지 판단하는 것을 특징으로 한다.Here, the packet unit abnormality detection is characterized in that the security processing unit determines whether a communication packet received from another node of the power demand reaction system is within a predetermined maximum allowable packet condition.
나아가, 최대 허용 패킷 조건은, 최대입력bps, 최대입력대역폭, 최대출력bps, 최대출력대역폭, 최대입력cps, 최대출력cps, 단말노드개수 중 하나 이상을 포함하는 것을 특징으로 한다.Further, the maximum allowed packet condition includes at least one of a maximum input bps, a maximum input bandwidth, a maximum output bps, a maximum output bandwidth, a maximum input cps, a maximum output cps, and a number of terminal nodes.
한편, 메시지 단위 이상감지는, 보안처리부가, 전력수요반응시스템의 다른 노드로부터 수신한 통신 패킷이 기설정된 최대 허용 길이 조건의 범위 내에 있는지 판단하는 것을 특징으로 한다.On the other hand, in the detection of a message unit abnormality, the security processing unit determines whether a communication packet received from another node of the power demand reaction system is within a predetermined maximum permissible length condition.
이때, 최대 허용 길이 조건은, URL 최대길이, 헤더 최대길이, 헤더이름 최대길이, 헤더값 최대길이, 페이로드 최대길이, 페이로드 이름값 최대길이, 페이로드값 최대길이, 페이로드 최대개수, 쿠키 최대길이, 요청 페이지 확장자, 업로드 확장자, HTTP 메소드, HTTP프로토콜 중 하나 이상을 포함하는 것을 특징으로 한다.At this time, the maximum allowable length condition includes a URL maximum length, a header maximum length, a header name maximum length, a header value maximum length, a payload maximum length, a payload name maximum length, a payload maximum length, Length, request page extension, upload extension, HTTP method, and HTTP protocol.
여기서, 프로토콜 단위 이상감지는, 보안처리부가, 전력수요반응시스템의 다른 노드로부터 수신한 통신 패킷이 기설정된 서비스 시나리오에 위배되었는지 판단하는 것을 특징으로 한다.Here, the protocol unit abnormality detection is characterized in that the security processing unit determines whether a communication packet received from another node of the power demand reaction system violates a predetermined service scenario.
한편, 서비스 단위 이상감지는, 보안처리부가, 전력수요반응시스템의 다른 노드로부터 수신한 통신 패킷에 포함되어야 하는 파라미터의 누락여부, 파라미터가 기설정된 허용값을 만족하는지 여부 및 상기 전력수요반응시스템의 다른 노드로부터 수신한 상기 통신 패킷의 구문오류 여부를 판단하는 것을 특징으로 한다.On the other hand, the service unit abnormality detection is performed such that the security processing unit determines whether or not a parameter to be included in a communication packet received from another node of the power demand reaction system is missing, whether the parameter satisfies a predetermined allowable value, And determines whether or not a syntax error of the communication packet received from another node exists.
나아가, 보안처리부는, 전력수요반응시스템을 위한 통신보안 장치의 IP를 상기 보호 대상 노드의 IP로 변경하고, 보호 대상 노드에게 새로운 IP를 부여하는 것을 특징으로 한다.Further, the security processing unit changes the IP of the communication security device for the power demand reaction system to the IP of the protection target node, and gives a new IP to the protection target node.
본 발명에 따르면, 전력수요반응시스템에서 사용하는 개방형 자동 수요 반응(openADR) 프로토콜의 취약성을 목표로 전력수요반응시스템을 구성하는 전력거래소, 전력수요관리사업자 및 전력수요자 간의 통신을 공격하는 외부로부터의 해킹 시도에 대해 보안성을 확보할 수 있다.According to the present invention, there is provided a system and method for controlling a power demand response system in which an open automatic demand response (openADR) protocol is used in a power demand reaction system, It is possible to secure security against a hacking attempt.
나아가, 본 발명에 따르면, 전력수요반응시스템에 대한 공격상황이 발생하는 경우 이를 빠르게 탐지하고 차단하여 전력수요반응시스템이 일순간에 무력화 되는 상황을 방지할 수 있다.Further, according to the present invention, when an attack situation occurs in the power demand reaction system, it can be quickly detected and blocked, thereby preventing a situation in which the power demand reaction system is disabled in a moment.
도 1은 종래의 전력수요반응시스템을 설명하기 위한 도면이다.
도 2는 본 발명의 실시예에 따른 전력수요반응시스템을 위한 통신보안 장치가 적용된 전력수요반응시스템을 설명하기 위한 도면이다.
도 3은 전력수요반응시스템의 구성들간 통신 패킷 구조를 설명하기 위한 도면이다.
도 4는 본 발명의 실시예에 따른 전력수요반응시스템을 위한 통신보안 장치를 설명하기 위한 구성도이다.
도 5는 본 발명의 실시예에 따른 전력수요반응시스템을 위한 통신보안 장치의 보안처리부를 설명하기 위한 도면이다.
도 6은 본 발명의 실시예에 따른 프로토콜 보안처리부가 서비스 시나리오 위배여부를 판정하는 방법을 설명하기 위한 도면이다.
도 7은 본 발명의 실시예에 따른 전력수요반응시스템을 위한 통신보안 방법을 설명하기 위한 순서도이다.
도 8은 본 발명의 실시예에 따른 전력수요반응시스템을 위한 통신보안 방법에서 기설정된 순서에 따라 이상을 감지하는 단계를 설명하기 위한 순서도이다.1 is a view for explaining a conventional power demand reaction system.
2 is a diagram for explaining a power demand reaction system to which a communication security device for a power demand reaction system according to an embodiment of the present invention is applied.
3 is a diagram for explaining a communication packet structure between the configurations of the power demand reaction system.
4 is a block diagram illustrating a communication security device for a power demand reaction system according to an embodiment of the present invention.
5 is a view for explaining a security processing unit of a communication security device for a power demand reaction system according to an embodiment of the present invention.
6 is a diagram for explaining a method for determining whether a protocol security processing unit is in violation of a service scenario according to an embodiment of the present invention.
7 is a flowchart illustrating a communication security method for a power demand reaction system according to an embodiment of the present invention.
FIG. 8 is a flowchart for explaining an abnormality detection in a predetermined order in a communication security method for a power demand reaction system according to an embodiment of the present invention.
이하, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 정도로 상세히 설명하기 위하여, 본 발명의 가장 바람직한 실시예를 첨부 도면을 참조하여 설명하기로 한다. 우선 각 도면의 구성요소들에 참조부호를 부가함에 있어서, 동일한 구성요소들에 대해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 부호를 가지도록 하고 있음에 유의해야 한다. 또한, 본 발명을 설명함에 있어, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략한다.DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings in order to facilitate a person skilled in the art to easily carry out the technical idea of the present invention. . In the drawings, the same reference numerals are used to designate the same or similar components throughout the drawings. In the following description of the present invention, a detailed description of known functions and configurations incorporated herein will be omitted when it may make the subject matter of the present invention rather unclear.
이하, 본 발명의 실시예에 따른 전력수요반응시스템을 위한 통신보안 장치 및 방법을 첨부된 도면을 참조하여 상세하게 설명하면 아래와 같다.Hereinafter, a communication security apparatus and method for a power demand reaction system according to an embodiment of the present invention will be described in detail with reference to the accompanying drawings.
도 1은 종래의 전력수요반응시스템을 설명하기 위한 도면이다. 도 2는 본 발명의 실시예에 따른 전력수요반응시스템을 위한 통신보안 장치가 적용된 전력수요반응시스템을 설명하기 위한 도면이다. 도 3은 전력수요반응시스템의 구성들간 통신 패킷 구조를 설명하기 위한 도면이다. 도 4는 본 발명의 실시예에 따른 전력수요반응시스템을 위한 통신보안 장치를 설명하기 위한 구성도이다. 도 5는 본 발명의 실시예에 따른 전력수요반응시스템을 위한 통신보안 장치의 보안처리부를 설명하기 위한 도면이다. 도 6은 본 발명의 실시예에 따른 프로토콜 보안처리부가 서비스 시나리오 위배여부를 판정하는 방법을 설명하기 위한 도면이다. 도 7은 본 발명의 실시예에 따른 전력수요반응시스템을 위한 통신보안 방법을 설명하기 위한 순서도이다. 도 8은 본 발명의 실시예에 따른 전력수요반응시스템을 위한 통신보안 방법에서 기설정된 순서에 따라 이상을 감지하는 단계를 설명하기 위한 순서도이다.1 is a view for explaining a conventional power demand reaction system. 2 is a diagram for explaining a power demand reaction system to which a communication security device for a power demand reaction system according to an embodiment of the present invention is applied. 3 is a diagram for explaining a communication packet structure between the configurations of the power demand reaction system. 4 is a block diagram illustrating a communication security device for a power demand reaction system according to an embodiment of the present invention. 5 is a view for explaining a security processing unit of a communication security device for a power demand reaction system according to an embodiment of the present invention. 6 is a diagram for explaining a method for determining whether a protocol security processing unit is in violation of a service scenario according to an embodiment of the present invention. 7 is a flowchart illustrating a communication security method for a power demand reaction system according to an embodiment of the present invention. FIG. 8 is a flowchart for explaining an abnormality detection in a predetermined order in a communication security method for a power demand reaction system according to an embodiment of the present invention.
도 1에 도시된 바와 같이, 전력수요반응시스템에는 전력거래소 노드(1), 전력수요관리사업자 노드(2) 및 전력수요자 노드(3)가 포함된다.As shown in FIG. 1, the power demand reaction system includes a
전력거래소 노드(1)는 전력수요관리사업자 노드(2)와의 계약을 통해 전력 과부족을 제어한다.The
보다 상세하게, 복수 개의 전력수요관리사업자 노드(2)는 전력거래소 노드(1)에게 전력 감축량을 지정하여 각각 입찰을 하며, 전력거래소 노드(1)는 각각의 전력수요관리사업자 노드(2)가 입찰한 전력 감축량을 낙찰하여 다시 전력수요관리사업자 노드(2)에게 전송한다. 즉, 전력수요관리사업자 노드(2)는 전력거래소 노드(1)와 특정시간에 전기사용량을 기설정된 양만큼 감축하면 정산금을 지급받는 계약을 하게 되는 것이다.More specifically, the plurality of power demand
한편, 전력수요관리사업자 노드(2)는 다시 복수 개의 전력수요자 노드(3)와 계약을 맺게 된다.On the other hand, the power demand
보다 상세하게, 전력수요관리사업자 노드(2)는 자신이 전력 사용량 감축요청을 하는 경우, 해당되는 시간에 전력 사용량을 감축해줄 복수 개의 전력수요자 노드(3)와 계약을 맺고, 필요에 따라 전력수요관리사업자 노드(2)는 전력수요자 노드(3)에게 전력 사용량 감축 명령을 전송하게 되는 것이다.More specifically, when the power demand
만약, 전력수요관리사업자 노드(2)와 계약된 복수 개의 전력수요자 노드(3)들이 각각 전력 사용량을 감축하게 되면, 전력거래소 노드(1)는 전력수요관리사업자 노드(2)에게 정산금을 지급하게 되고, 전력수요관리사업자 노드(2)는 계약된 복수 개의 전력수요자 노드(3)들에게 정산금을 분배하게 된다.If the plurality of
이러한 과정을 위하여, 전력수요반응시스템의 전력거래소 노드(1), 전력수요관리사업자 노드(2) 및 전력수요자 노드(3)는 서로 무선통신으로 연결되게 된다.For this process, the
여기서, 무선통신이라 함은 인터넷을 비롯한 다양한 통신 시스템을 의미할 수 있다.Here, the wireless communication may refer to various communication systems including the Internet.
즉, 전력거래소 노드(1)가 전력수요관리사업자 노드(2)에게 할당하는 전력 감축량 정보와 전력수요관리사업자 노드(2)가 전력수요자 노드(3)에게 요청하는 전력 사용량 감축 명령은 각각 무선통신을 통해 상호간에 전달되게 되며, 이러한 무선통신을 위하여 전력수요반응시스템은 개방형 자동 수요 반응(openADR) 프로토콜을 사용할 수 있다.That is, the power reduction amount information that the
도 2에 도시된 바와 같이, 본 발명의 실시예에 따른 전력수요반응시스템을 위한 통신보안 장치(101, 102, 103)는 전력수요반응시스템의 전력거래소 노드(1), 전력수요관리사업자 노드(2) 및 전력수요자 노드(3) 각각과 유선 또는 무선 통신을 통해 연결될 수 있다.2, a
즉, 전력거래소 노드(1)에서 전송되는 전력 감축량 정보를 비롯한 다양한 명령들은 전력거래소 노드(1)에 연결된 전력수요반응시스템을 위한 통신보안 장치(101)를 거쳐, 전력수요관리사업자 노드(2)에 연결된 전력수요반응시스템을 위한 통신보안 장치(102)를 통과하여 전력수요관리사업자 노드(2)에 전달되게 되며, 전력수요관리사업자 노드(2)가 전송하는 전력 사용량 감축 명령을 비롯한 다양한 명령들은 전력수요관리사업자 노드(2)에 연결된 전력수요반응시스템을 위한 통신보안 장치(102)를 거쳐, 전력수요자 노드(3)에 연결된 전력수요반응시스템을 위한 통신보안 장치(103)를 통과해 전력수요자 노드(3)에 전달되게 되는 것이다.That is, various commands including the power reduction amount information transmitted from the
도 2에서는 전력거래소 노드(1), 전력수요관리사업자 노드(2) 및 전력수요자 노드(3) 각각에 인접하여 총 3개의 전력수요반응시스템을 위한 통신보안 장치(101, 102, 103)가 각각 연결된 것으로 도시되었으나, 본 발명의 실시예에 따른 전력수요반응시스템을 위한 통신보안 장치(101, 102, 103)는 전력거래소 노드(1), 전력수요관리사업자 노드(2) 및 전력수요자 노드(3) 상호간에 통신을 매개하는 다양한 위치에 설치될 수 있으며, 설치 개수 또한 다양하게 선택될 수 있다. In FIG. 2,
도 3에 도시된 바와 같이, 전력수요반응시스템의 구성들간 통신 패킷 구조는 IP 헤더(10, IP header) 및 페이로드(20, payload)를 포함한다.As shown in FIG. 3, the communication packet structure between the configurations of the power demand reaction system includes an
IP 헤더(10)는 전력수요반응시스템의 구성들간 통신 패킷 구조의 선두에 놓여진 문자군으로 이어지는 페이로드(20)에 포함된 데이터의 내용, 성격을 식별 또는 제어하기 위해 사용되며, IP 헤더(10)에는 해당되는 통신 패킷을 전송하는 전송자의 IP/Port 정보가 포함될 수 있다.The
페이로드(20)에는 통신 패킷을 전송하는 전송자가 전달하려는 데이터가 포함되며, 데이터에는 전기사용량정보, 전력 감축량 정보, 전력 사용량 감축 명령을 비롯한 다양한 정보가 포함될 수 있으며, 페이로드(20)에는 전송자의 IP/Port 정보가 포함될 수 있다.The
즉, 전송자의 IP/Port 정보는 IP 헤더(10) 및 페이로드(20) 각각에 포함될 수 있으며, 이때, 전송자라 함은 현재 데이터를 전송하는 전력거래소 노드(1), 전력수요관리사업자 노드(2) 및 전력수요자 노드(3) 중 하나를 의미할 수 있다.That is, the IP / Port information of the sender can be included in each of the
즉 전력거래소 노드(1)가 전송하는 통신 패킷의 IP 헤더(10) 및 페이로드(20)에는 전력거래소 노드(1)의 IP/Port 정보가 포함되고, 전력수요관리사업자 노드(2)가 전송하는 통신 패킷의 IP 헤더(10) 및 페이로드(20)에는 전력수요관리사업자 노드(2)의 IP/Port 정보가 포함되며, 전력수요자 노드(3)가 전송하는 통신 패킷의 IP 헤더(10) 및 페이로드(20)에는 전력수요자 노드(3)의 IP/Port 정보가 포함될 수 있다.That is, the
이제, 도 4를 참조하여, 본 발명의 실시예에 따른 전력수요반응시스템을 위한 통신보안 장치(100)에 대해 보다 상세히 설명하도록 한다.Now, with reference to FIG. 4, a
도 4에 도시된 바와 같이, 전력수요반응시스템을 위한 통신보안 장치(100)는 통신부(110), 제어부(120) 및 보안처리부(130)를 포함한다.4, the
통신부(110)는 외부로부터 수신된 통신 패킷을 제어부(120)에 전송하며, 보안처리부(130)를 통해 이상이 없다고 결정된 통신 패킷을 자신이 연결된 전력수요반응시스템의 노드에게 전달한다.The
예컨대, 전력수요반응시스템을 위한 통신보안 장치(100)가 전력거래소 노드(1)에 연결된 경우를 가정하면, 통신부(110)는 전력수요관리사업자 노드(2) 또는 전력수요자 노드(3)가 전송한 통신 패킷을 수신하고, 수신된 통신 패킷을 제어부(120)에 전송한다. 나아가, 보안처리부(130)를 통해 수신된 통신 패킷이 이상 없다고 결정된 경우, 통신부(110)는 해당 통신 패킷을 전력거래소 노드(1)에 전송한다.For example, assuming that the
다시 말해, 전력수요반응시스템의 각각의 구성들간 통신은 전력수요반응시스템을 위한 통신보안 장치(100)를 거쳐 상호간에 전달되는 것이다.In other words, communications between the respective configurations of the power demand reaction system are communicated to each other via the
제어부(120)는 통신부(110)와 보안처리부(130)의 동작을 제어하며, 통신부(110)가 수신한 통신 패킷을 보안처리부(130)에 전송하고, 보안처리부(130)를 통해 이상이 없다고 결정된 통신 패킷을 다시 통신부(110)에 전송한다.The
보안처리부(130)는 제어부(120)로부터 전달받은 통신 패킷을 분석하고, 통신 패킷의 분석결과를 이용하여 기설정된 조건을 만족하는 통신 패킷만을 다시 제어부(120)에 전달하며, 기설정된 조건을 만족하지 않는 통신 패킷은 드롭(drop)한다.The
보다 상세하게, 보안처리부(130)는 제어부(120)로부터 전달받은 통신 패킷에 대하여 패킷 단위의 이상감지, 메시지 단위 이상감지, 프로토콜 단위 이상감지, 서비스 단위 이상감지를 순차적으로 수행하고, 상기한 4개의 이상감지를 모두 통과한 통신 패킷만을 제어부(120)에 전달하며, 상기한 4개의 이상감지를 순차적으로 수행하는 과정에서 통신 패킷의 이상이 발견되는 경우 이후 이어지는 이상감지를 수행하지 않고 해당되는 통신 패킷을 드롭(drop)할 수 있다.More specifically, the
이때, 드롭(drop)은 이상이 발생한 특정 통신 패킷을 제어부(120)에 전송하지 않고 파기하는 것을 의미할 수 있다.At this time, the drop may mean discarding the specific communication packet in which the abnormality has occurred, without transmitting it to the
도 5에 도시된 바와 같이, 보안처리부(130)는 패킷 보안처리부(131), 메시지 보안처리부(132), 프로토콜 보안처리부(133) 및 서비스 보안처리부(134)를 포함할 수 있다.5, the
패킷 보안처리부(131)는 패킷 단위의 이상을 감지한다.The packet
보다 상세하게, 패킷 보안처리부(131)는 통신 패킷의 IP 헤더(10)에 포함된 IP/Port 정보를 추출하여, 미리 등록된 IP/Port를 가지는 전력수요반응시스템의 노드로부터 수신된 통신 패킷은 이상이 없다고 판정하고, 미리 등록된 IP/Port를 제외한 나머지 IP/Port를 가지는 전력수요반응시스템의 노드로부터 수신된 통신 패킷은 이상이 있다고 판정하여 드롭한다.In more detail, the packet
이때, 패킷 보안처리부(131)는 미리 등록되지 않은 IP/Port를 가지는 전력수요반응시스템의 노드의 IP/Port는 블랙리스트로 하여 별도로 관리하고, 이후 해당되는 IP/Port를 가지는 전력수요반응시스템의 노드로부터 수신된 통신 패킷을 자동으로 드롭할 수 있다.At this time, the packet
한편, 패킷 보안처리부(131)에는 미리 등록된 IP/Port를 가지는 전력수요반응시스템의 노드 각각에 대하여 최대 허용 패킷 조건이 저장되어 있을 수 있으며, 패킷 보안처리부(131)은 미리 등록된 IP/Port를 가지는 전력수요반응시스템의 노드로부터 수신한 통신 패킷이 최대 허용 패킷 조건을 만족하는지 여부를 판단할 수 있다.The packet
이때, 패킷 보안처리부(131)는 미리 등록된 IP/Port를 가지는 전력수요반응시스템의 노드로부터 수신한 통신 패킷이 최대 허용 패킷 조건을 만족하는 경우 해당 통신 패킷이 이상 없음을 판정하고, 만족하지 않는 경우 해당 통신 패킷이 이상이 있음을 판정하여, 해당 통신 패킷을 드롭하거나, 해당 통신 패킷 중 최대 허용 패킷 조건을 만족하는 만큼의 정보를 추출할 수 있다.At this time, if the communication packet received from the node of the power demand reaction system having the IP / Port registered in advance satisfies the maximum allowable packet condition, the packet
이때, 최대 허용 패킷 조건에는 최대입력bps, 최대입력대역폭, 최대출력bps, 최대출력대역폭, 최대입력cps, 최대출력cps, 단말노드개수가 포함될 수 있다.In this case, the maximum allowed packet condition may include a maximum input bps, a maximum input bandwidth, a maximum output bps, a maximum output bandwidth, a maximum input cps, a maximum output cps, and a number of terminal nodes.
예컨대, 패킷 보안처리부(131)에 특정 IP/Port를 가지는 전력수요반응시스템의 노드에 대해서는 1Mbps 만큼의 통신 패킷을 허용한다는 최대 허용 패킷 조건이 설정되어 있는데, 특정 IP/Port를 가지는 전력수요반응시스템의 노드에서 1.2Mbps 만큼의 통신 패킷을 전송하는 경우, 패킷 보안처리부(131)는 특정 IP/Port를 가지는 전력수요반응시스템의 노드에서 전송되는 통신 패킷을 드롭하거나, 특정 IP/Port를 가지는 전력수요반응시스템의 노드에서 전송되는 1.2Mbps의 통신 패킷 중 1Mbps 만큼 만을 추출할 수 있다.For example, in the packet
패킷 보안처리부(131)는 상기한 과정들을 거쳐 이상이 없다고 판정된 통신 패킷을 메시지 보안처리부(132)에 전송한다.The packet
메시지 보안처리부(132)는 패킷 보안처리부(131)를 통과한 통신 패킷에 메시지 단위의 이상이 없는지 여부를 판정한다.The message
보다 상세하게, 메시지 보안처리부(132)는 자신이 보호해야 할 대상이 전송하는 통신 패킷 중 IP 헤더(10)에 포함된 IP/Port 정보를 외부로 노출되지 않도록 한다.More specifically, the message
도 2를 참조하여 상기한 자신이 보호해야 할 대상을 설명하면, 전력거래소 노드(1)와 인접하게 연결된 전력수요반응시스템을 위한 통신보안 장치(101)는 전력거래소 노드(1)를 보호하고, 전력수요관리사업자 노드(2)와 인접하여 연결된 전력수요반응시스템을 위한 통신보안 장치(102)는 전력수요관리사업자 노드(2)를 보호하며, 전력수요자 노드(3)와 인접하여 연결된 전력수요반응시스템을 위한 통신보안 장치(103)는 전력수요자 노드(3)를 보호하는 것이다.2, the
즉 본 발명의 실시예에 따른 전력수요반응시스템을 위한 통신보안 장치(100)는 설치되는 위치에 따라 각기 다른 구성을 보호할 수 있는 것이다. 이때, 보호해야 할 대상은 보호 대상 노드라 할 수 있다.That is, the
다시, 도 5를 참조하여 메시지 보안처리부(132)가 자신이 보호해야 할 대상이 전송하는 통신 패킷 중 IP 헤더(10)에 포함된 IP/Port 정보를 외부로 노출되지 않도록 보호하는 방법을 보다 상세히 설명하기로 한다.5, the message
메시지 보안처리부(132)는 자신이 보호해야 할 대상의 IP를 전력수요반응시스템을 위한 통신보안 장치(100)의 IP로 설정하고, 자신이 보호해야 할 대상에게 새로운 IP를 부여한다.The message
예컨대, 전력거래소 노드(1)의 IP가 A인 경우 전력거래소 노드(1)를 보호하는 전력수요반응시스템을 위한 통신보안 장치(100)는 자신의 IP를 A로 설정하고 전력거래소 노드(1)의 IP를 B로 변경하는 것이다.For example, when the IP of the
이를 통해, 전력거래소 노드(1)가 통신 패킷을 외부로 전송하는 경우, 전력거래소 노드(1)가 전송하는 통신 패킷의 IP 헤더(10)에 포함된 IP/Port 정보에는 전력수요반응시스템을 위한 통신보안 장치(100)의 IP/Port 정보가 포함되게 되며, 전력거래소 노드(1) 자신의 IP/Port 정보는 외부로 노출되지 않게 되는 것이다.In this case, when the
나아가, 메시지 보안처리부(132)에는 최대 허용 길이 조건이 저장되어 있을 수 있으며, 메시지 보안처리부(132)는 패킷 보안처리부(131)가 이상이 없다고 판단한 통신 패킷이 최대 허용 길이 조건을 만족하는 지 여부를 판단한다.Further, the message
이때, 최대 허용 길이 조건에는 URL 최대길이, 헤더 최대길이, 헤더이름 최대길이, 헤더값 최대길이, 페이로드 최대길이, 페이로드 이름값 최대길이, 페이로드값 최대길이, 페이로드 최대개수, 쿠키 최대길이, 요청 페이지 확장자, 업로드 확장자, HTTP 메소드, HTTP프로토콜이 포함될 수 있다.At this time, the maximum allowable length condition includes a URL maximum length, a header maximum length, a header name maximum length, a header value maximum length, a payload maximum length, a payload name maximum length, a payload maximum length, , Request page extension, upload extension, HTTP method, and HTTP protocol.
여기서, 메시지 보안처리부(132)는 패킷 보안처리부(131)가 이상이 없다고 판단한 통신 패킷이 최대 허용 길이 조건을 만족하는 경우, 해당 통신 패킷이 이상 없음을 판정하고, 만족하지 않는 경우 해당 통신 패킷이 이상이 있음을 판정하여, 해당 통신 패킷을 드롭할 수 있다.Here, if the communication packet determined by the packet
한편, 메시지 보안처리부(132)는 패킷 보안처리부(131)가 이상이 없다고 판단한 통신 패킷에 대하여 SSL/TLS 1.2를 통하여 암호화 복호화 처리를 수행할 수 있다.Meanwhile, the message
이때, 메시지 보안처리부(132)가 이상이 없다고 판단한 통신 패킷은 프로토콜 보안처리부(133)에 전송되게 된다.At this time, the communication packet that the message
프로토콜 보안처리부(133)는 메시지 보안처리부(132)가 이상이 없다고 판단한 통신 패킷의 페이로드(20)의 데이터를 개방형 자동 수요 반응(openADR) 프로토콜로 파싱하여 페이로드(20)의 데이터를 해석한다.The protocol
이때, 프로토콜 보안처리부(133)는 메시지 보안처리부(132)가 이상이 없다고 판단한 통신 패킷의 페이로드(20)의 IP/Port 정보를 확인하고 패킷 보안처리부(131) 및 메시지 보안처리부(132) 각각에게 확인된 IP/port 정보를 가지는 통신 패킷은 앞으로 이상이 없는 통신 패킷으로 인정하도록 명령할 수 있다.At this time, the protocol
즉, 프로토콜 보안처리부(133)에 도달한 통신 패킷은 이미 패킷 보안처리부(131) 및 메시지 보안처리부(132)를 모두 통과한 통신 패킷이므로, 이후 동일한 IP/Port 정보를 가지는 통신 패킷은 패킷 보안처리부(131) 및 메시지 보안처리부(132)의 이상 여부 판단 없이 바로 프로토콜 보안처리부(133)에 도달할 수 있다.That is, since the communication packet arriving at the protocol
한편, 프로토콜 보안처리부(133)는 특정 IP/Port 정보를 가지는 전력수요반응시스템의 노드에게 허용된 최대 허용 패킷 조건을 변경할 수 있다.Meanwhile, the protocol
예컨대, 특정 IP/Port 정보를 가지는 전력수요자 노드(3)로부터 수신되는 통신 패킷의 최대 허용 패킷 조건이 1Mbps이나, 기설정된 기간 동안 해당 전력수요자 노드(3)로부터 수신되는 통신 패킷의 최대값이 100kbps인 경우, 프로토콜 보안처리부(133)는 패킷 보안처리부(131)에게 해당되는 전력수요자 노드(3)로부터 수신되는 통신 패킷의 최대 허용 패킷 조건을 100kbps로 하향할 것을 명령할 수 있다.For example, when the maximum allowable packet condition of the communication packet received from the
나아가, 프로토콜 보안처리부(133)는 페이로드(20)의 데이터를 해석하여, 서비스 시나리오를 식별하고 서비스 시나리오에 위배되는 경우 해당 통신 패킷은 이상이 있음을 판정하여 드롭한다. 한편, 서비스 시나리오에 위배되지 않는 경우 해당 통신 패킷은 이상이 없음을 판정하여, 서비스 보안처리부(134)에 전달한다.Further, the protocol
보다 상세하게, 프로토콜 보안처리부(133)는 자신이 보호해야 할 대상이 전송하는 통신 패킷의 페이로드(20)에 포함된 데이터와 외부로부터 수신한 통신 패킷의 페이로드(20)에 포함된 데이터를 비교하여, 자신이 보호해야 할 대상이 요청한 정보에 부합하는 정보가 수신되었는지를 판단하고, 자신이 보호해야 할 대상이 요청한 정보에 부합하는 정보가 수신되는 경우 서비스 시나리오에 위배되지 않았다고 판정하고, 자신이 보호해야 할 대상이 요청한 정보에 부합하는 정보가 수신되지 않은 경우 서비스 시나리오에 위배되었다고 판정한다.More specifically, the protocol
도 6을 참조하여, 프로토콜 보안처리부(133)가 서비스 시나리오 위배여부를 판정하는 방법을 설명하도록 한다. 전력수요관리사업자 노드(2)와 이를 보호하는 전력수요반응시스템을 위한 통신보안 장치(102)가 전력거래소 노드(1)와 통신을 하는 경우, 전력수요관리사업자 노드(2)가 전력거래소 노드(1)의 정보를 요청하는 경우, 전력거래소 노드(1)는 전력거래소 노드(1)의 정보를 회신해야 한다. 유사하게, 전력수요관리사업자 노드(2)가 oadrQueryRegistration을 요청하는 경우 전력거래소 노드(1)는 oadrCreatedPartyRegistration을 회신해야 하며, 전력수요관리사업자 노드(2)가 oadrPoll을 요청하는 경우, 전력거래소 노드(1)는 oadrRegisterReport, OadrCreateReport, OadrCancelReport, oadrResponse, oadrDistributeEvent, oadrCancelPartyRegistration 및 oadrRequestReregistration 중 하나를 회신해야 한다.Referring to FIG. 6, a method for determining whether or not the protocol
이때, 프로토콜 보안처리부(133)는 전력거래소 노드(1)로부터 전력수요관리사업자 노드(2)가 요청하는 정보에 대응하는 정보가 수신되는지 여부를 판단하여, 서비스 시나리오에 위배되는지 여부를 판단한다.At this time, the protocol
즉, 요청한 정보에 대해 올바른 정보를 회신하는 것을 서비스 시나리오에 위배되지 않았다고 할 수 있으며, 요청한 정보와 다른 정보를 회신하는 것을 서비스 시나리오에 위배되었다고 할 수 있다.That is, returning the correct information to the requested information is not in violation of the service scenario, and returning the requested information and other information can be said to be in violation of the service scenario.
다시 도 5를 참조하여, 프로토콜 보안처리부(133)를 설명한다. 프로토콜 보안처리부(133)는 상술한 역할 외에도, 자신이 보호해야 할 대상이 전송하는 통신 패킷 중 페이로드(20)에 포함된 IP/Port 정보를 외부로 노출되지 않도록 하며, 그 구체적인 방법은 메시지 보안처리부(132)가 자신이 보호해야 할 대상이 전송하는 통신 패킷 중 IP 헤더(10)에 포함된 IP/Port 정보를 외부로 노출되지 않도록 하는 방법과 같으므로 중복되는 설명은 생략한다.Referring again to FIG. 5, the protocol
요약하면, 메시지 보안처리부(132)는 자신이 보호해야 할 대상이 전송하는 통신 패킷 중 IP 헤더(10)에 포함된 IP/Port 정보를 외부로 노출되지 않도록 하며, 프로토콜 보안처리부(133)는 자신이 보호해야 할 대상이 전송하는 통신 패킷 중 페이로드(20)에 포함된 IP/Port 정보를 외부로 노출되지 않도록 하는 것이다.In summary, the message
프로토콜 보안처리부(133)가 이상이 없다고 판단한 통신 패킷은 서비스 보안처리부(134)에 전송되게 된다.The communication packet determined by the protocol
서비스 보안처리부(134)는 프로토콜 보안처리부(133)가 파싱한 통신 패킷의 페이로드(20) 데이터를 분석하여 파라미터의 누락여부를 판단하고, 형식에 맞지 않는 구문 오류를 탐지한 뒤, 파라미터가 누락되었거나 형식에 맞지 않는 구문 오류가 있는 통신 패킷을 이상이 있다고 판단하여 드롭하고, 형식에 맞지 않는 구문 오류가 없는 통신 패킷은 다시 제어부(120)에 전송한다.The service
나아가, 서비스 보안처리부(134)는 통신 패킷의 페이로드(20) 데이터를 분석하여 출발지 IP, 목적지 IP, 서비스명, 요청페이로드명, 응답페이로드명, 등록 ID가 누락되었는지 판단하고, 형식에 맞지 않는 구문 오류를 탐지한다.Further, the service
다시 도 6을 참조하여 형식에 맞지 않는 구문 오류를 설명한다. 전력거래소 노드(1)가 전력수요관리사업자 노드(2)에 회신한 OadrcancelReport에는 총 4개의 파라미터인 requestID, reportRequestID, reportToFollow, venID가 포함된다.Referring back to FIG. 6, a syntax error that does not conform to the format is described. The OadrcancelReport returned by the
이때, 서비스 보안처리부(134)는 총 4개의 파라미터 중 어느 하나가 누락되었는지 여부를 판단하여, 어느 하나가 누락된 경우 통신 패킷에 이상이 있다고 판단하여 드롭한다.At this time, the service
또한, 서비스 보안처리부(134)는 총 4개의 파라미터인 requestID, reportRequestID, reportToFollow, venID 각각이 갖추어야 할 형식인 http, xmpp, xml, openADR 구문 오류를 탐지하고, 구문 오류가 있는 경우 통신 패킷에 이상이 있다고 판단하여 드롭한다.In addition, the service
한편, 서비스 보안처리부(134)는 각각의 파라미터의 누락여부, 구문오류를 탐지할 뿐 아니라, 각각의 파라미터가 기설정된 허용값 이내인지 여부 또한 판단할 수 있다.Meanwhile, the service
도 7에 도시된 바와 같이, 본 발명의 실시예에 따른 전력수요반응시스템을 위한 통신보안 방법은 통신 패킷 수신 단계(S100), 기설정된 순서에 따라 통신 패킷의 이상을 감지하는 단계(S200) 및 통신 패킷 송신 단계(S300)를 포함한다.As shown in FIG. 7, a communication security method for a power demand reaction system according to an embodiment of the present invention includes a communication packet receiving step (S100), a step S200 of detecting an abnormality of a communication packet according to a predetermined order, And a communication packet transmission step (S300).
통신 패킷 수신 단계(S100)에서 통신부(110)는 보호 대상 노드를 제외한 다른 전력수요반응시스템의 노드로부터 통신 패킷을 수신한다.In the communication packet receiving step S100, the
통신 패킷의 이상을 감지하는 단계(S200)에서 보안처리부(130)는 보호 대상 노드를 제외한 다른 전력수요반응시스템의 노드로부터 수신한 통신 패킷을 분석한 뒤, 패킷 단위의 이상감지, 메시지 단위 이상감지, 프로토콜 단위 이상감지, 서비스 단위 이상감지를 순차적으로 수행하고, 상기한 4개의 이상감지를 모두 통과한 통신 패킷은 이상이 없다고 판정하고, 상기한 4개의 이상감지를 순차적으로 수행하는 과정에서 통신 패킷의 이상이 발견되는 경우 이후 이어지는 이상감지를 수행하지 않고 해당되는 통신 패킷을 드롭(drop)한다.In the step S200 of detecting an abnormality of the communication packet, the
통신 패킷 송신 단계(S300)에서 통신부(110)는 S200단계에서 보안처리부(1300)를 통해 이상이 없다고 결정된 통신 패킷을 자신이 연결된 전력수요반응시스템의 노드에게 전달한다. 이때, 자신이 연결된 전력수요반응시스템의 노드를 보호 대상 노드라 할 수 있다.In the communication packet transmission step S300, the
도 8을 참조하여, 통신 패킷의 이상을 감지하는 단계(S200)를 보다 상세히 설명하도록 한다.Referring to FIG. 8, a step S200 of detecting an abnormality of a communication packet will be described in more detail.
통신 패킷의 이상을 감지하는 단계(S200)에서 패킷 보안처리부(131)가 패킷 단위의 이상을 감지(S210)한다. 이때, 패킷 보안처리부(131)가 패킷 단위의 이상을 감지하는 경우, 해당되는 통신 패킷은 드롭(S260)되며, 패킷 보안처리부(131)가 패킷 단위의 이상을 감지하지 않는 경우, 패킷 보안처리부(131)는 통신 패킷을 메시지 보안처리부(132)에 전달한다. In step S200 of detecting an abnormality of a communication packet, the packet
그 뒤, 메시지 보안처리부(132)는 메시지 단위의 이상을 감지(S220)한다. 이때, 메시지 보안처리부(132)가 메시지 단위의 이상을 감지하는 경우, 해당되는 통신 패킷은 드롭(S260)되며, 메시지 보안처리부(132)가 메시지 단위의 이상을 감지하지 않는 경우, 메시지 보안처리부(132)는 통신 패킷을 프로토콜 보안처리부(133)에 전달한다.Thereafter, the message
이후, 프로토콜 보안처리부(133)는 프로토콜 단위의 이상을 감지(S230)한다. 이때, 프로토콜 보안처리부(133)가 프로토콜 단위의 이상을 감지하는 경우, 해당되는 통신 패킷은 드롭(S260)되며, 프로토콜 보안처리부(133)가 프로토콜 단위의 이상을 감지하지 않는 경우, 프로토콜 보안처리부(133)는 통신 패킷을 서비스 보안처리부(134)에 전달한다.Then, the protocol
*마지막으로, 서비스 보안처리부(134)는 서비스 단위의 이상을 감지(S240)한다. 이때, 서비스 보안처리부(134)가 서비스 단위의 이상을 감지하는 경우, 해당되는 통신 패킷은 드롭(S260)되며, 서비스 보안처리부(134)가 서비스 단위의 이상을 감지하지 않는 경우, 서비스 보안처리부(134)는 해당 통신 패킷의 이상이 없음(S250)을 판정하고, 통신 패킷을 통신부(110)에 전달한다.Finally, the service
패킷 보안처리부(131), 메시지 보안처리부(132), 프로토콜 보안처리부(133) 및 서비스 보안처리부(134) 각각의 구체적인 동작은 상술한 바와 같으므로 중복되는 기재는 생략한다.The specific operations of the packet
즉, 전력수요반응시스템의 각각의 노드 간 통신 패킷은 본 발명의 실시예에 따른 전력수요반응시스템을 위한 통신보안 장치를 통과하며, 복수의 이상감지 단계를 순차적으로 거친 뒤, 보호 대상 노드에게 전달되는 것이다.That is, each inter-node communication packet of the power demand reaction system passes through the communication security device for the electric power demand reaction system according to the embodiment of the present invention, sequentially passes through a plurality of abnormality detection steps, .
이상에서 본 발명에 따른 바람직한 실시예에 대해 설명하였으나, 다양한 형태로 변형이 가능하며, 본 기술분야에서 통상의 지식을 가진 자라면 본 발명의 특허청구범위를 벗어남이 없이 다양한 변형예 및 수정예를 실시할 수 있을 것으로 이해된다.While the present invention has been described in connection with what is presently considered to be practical exemplary embodiments, it is to be understood that the invention is not limited to the disclosed embodiments, but many variations and modifications may be made without departing from the scope of the present invention. It will be understood that the invention may be practiced.
1: 전력거래소 노드 2: 전력수요관리사업자 노드
3: 전력수요자 노드 10: IP 헤더
20: 페이로드
100, 101, 102, 103: 전력수요반응시스템을 위한 통신보안 장치
110: 통신부 120: 제어부
130: 보안처리부 131: 패킷 보안처리부
132: 메시지 보안처리부 133: 프로토콜 보안처리부
134: 서비스 보안처리부1: Power Exchange Node 2: Power Demand Management Business Operator Node
3: Power consumer node 10: IP header
20: Payload
100, 101, 102, 103: Communication security device for power demand reaction system
110: communication unit 120:
130: security processing unit 131: packet security processing unit
132: message security processing unit 133: protocol security processing unit
134: service security processing unit
Claims (16)
전력수요반응시스템의 다른 노드로부터 통신 패킷을 수신하고, 이상감지를 통과한 통신 패킷만을 상기 보호 대상 노드에게 전송하는 통신부와;
상기 다른 노드로부터 수신한 상기 통신 패킷이 미리 등록된 IP/포트 정보를 가지면 상기 통신 패킷이 최대 허용 패킷 조건을 만족할 경우에만 상기 통신 패킷을 통과시키는 패킷 보안 처리부와;
상기 패킷 보안 처리부를 통과한 상기 통신 패킷의 전송 프로토콜 정보 각각이 기설정된 최대 허용 길이 조건을 만족할 경우에만 상기 통신 패킷을 통과시키는 메시지 보안 처리부와;
상기 메시지 보안 처리부를 통과한 상기 통신 패킷의 페이로드 데이터를 개방형 자동 수요 반응 프로토콜로 파싱하여 페이로드 데이터를 해석하되, 보호 대상 노드가 전송하는 통신 패킷의 페이로드에 포함된 데이터와 상기 다른 노드로부터 수신한 통신 패킷의 페이로드에 포함된 데이터를 비교하여 상기 보호 대상 노드가 요청한 정보에 부합되는 정보가 수신된 경우에만 상기 통신 패킷을 통과시키는 프로토콜 보안 처리부와;
상기 프로토콜 보안 처리부를 통과한 통신 패킷의 페이로드 데이터를 분석하여 파라미터가 누락되었거나 형식에 맞지 않는 구문 오류가 있는 통신 패킷은 드롭하고 정상적인 통신 패킷만을 제어부로 전달하는 서비스 보안 처리부와;
상기 통신부가 수신한 통신 패킷을 상기 패킷 보안 처리부로 전송하고, 상기 서비스 보안 처리부를 통과한 통신 패킷을 상기 통신부로 전송하는 제어부;를 포함함을 특징으로 하는 전력수요반응시스템을 위한 통신보안 장치.A communication security device for a power demand reaction system connected to one or more protected nodes of nodes of a power demand reaction system,
A communication unit that receives a communication packet from another node of the power demand reaction system and transmits only a communication packet that has undergone abnormality detection to the protection target node;
A packet security processing unit for passing the communication packet only when the communication packet received from the other node has pre-registered IP / port information and the communication packet satisfies a maximum allowed packet condition;
A message security processing unit that passes the communication packet only when each of the transmission protocol information of the communication packet that has passed through the packet security processing unit satisfies a predetermined maximum allowable length condition;
The method comprising the steps of: parsing payload data of the communication packet that has passed through the message security processing unit into an open type automatic demand response protocol to interpret payload data, wherein data included in a payload of a communication packet transmitted by the protected node, A protocol security processing unit for comparing the data included in the payload of the received communication packet and passing the communication packet only when information corresponding to the information requested by the protection node is received;
A service security processing unit for analyzing payload data of a communication packet that has passed through the protocol security processing unit and dropping a communication packet in which a parameter is missed or a syntax error is incompatible with the format, and forwards only normal communication packets to the control unit;
And a control unit transmitting the communication packet received by the communication unit to the packet security processing unit and transmitting a communication packet passed through the service security processing unit to the communication unit.
최대입력bps, 최대입력대역폭, 최대출력bps, 최대출력대역폭, 최대입력cps, 최대출력cps, 단말노드개수 중 하나 이상을 포함하는 것을 특징으로 하는 전력수요반응시스템을 위한 통신보안 장치.The method of claim 1, wherein the maximum allowed packet condition of the packet security processing unit
A maximum input bps, a maximum input bandwidth, a maximum output bps, a maximum output bandwidth, a maximum input cps, a maximum output cps, and a number of terminal nodes.
URL 최대길이, 헤더 최대길이, 헤더이름 최대길이, 헤더 값 최대길이, 페이로드 최대길이, 페이로드 이름값 최대길이, 페이로드값 최대길이, 페이로드 최대개수, 쿠키최대길이, 요청 페이지 확장자, 업로드 확장자, HTTP 메소드, HTTP프로토콜 중 하나 이상을 포함하는 것을 특징으로 하는 전력수요반응시스템을 위한 통신보안 장치.The method of claim 1, wherein the maximum allowed length condition of the message security processing unit
URL length maximum length, header maximum length, header name maximum length, header value maximum length, payload maximum length, payload maximum value length, payload value maximum length, maximum payload length, maximum cookie length, request page extension, , An HTTP method, and an HTTP protocol.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020160047041A KR101695958B1 (en) | 2016-04-18 | 2016-04-18 | Apparatus and method for securing commuication for electric power demand response system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020160047041A KR101695958B1 (en) | 2016-04-18 | 2016-04-18 | Apparatus and method for securing commuication for electric power demand response system |
Publications (1)
Publication Number | Publication Date |
---|---|
KR101695958B1 true KR101695958B1 (en) | 2017-01-23 |
Family
ID=57989887
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020160047041A KR101695958B1 (en) | 2016-04-18 | 2016-04-18 | Apparatus and method for securing commuication for electric power demand response system |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101695958B1 (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101750447B1 (en) | 2017-04-19 | 2017-06-27 | 주식회사 나온웍스 | Method, apparatus and system for payload analysis of an open automated demand response protocol |
CN111367217A (en) * | 2020-03-20 | 2020-07-03 | 北京四方继保自动化股份有限公司 | Monitoring method for improving inter-station communication safety of stability control system |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20090126104A (en) | 2008-06-03 | 2009-12-08 | 서울대학교산학협력단 | Method and system for demand response of electric power |
KR20130020862A (en) * | 2011-08-19 | 2013-03-04 | 고려대학교 산학협력단 | Apparatus and method for anomaly detection in scada network using self-similarity |
KR20140050399A (en) * | 2012-10-19 | 2014-04-29 | 한국전자통신연구원 | Abnormal behavior detection system in smart grid advanced metering infrastructure networks |
-
2016
- 2016-04-18 KR KR1020160047041A patent/KR101695958B1/en active IP Right Grant
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20090126104A (en) | 2008-06-03 | 2009-12-08 | 서울대학교산학협력단 | Method and system for demand response of electric power |
KR20130020862A (en) * | 2011-08-19 | 2013-03-04 | 고려대학교 산학협력단 | Apparatus and method for anomaly detection in scada network using self-similarity |
KR20140050399A (en) * | 2012-10-19 | 2014-04-29 | 한국전자통신연구원 | Abnormal behavior detection system in smart grid advanced metering infrastructure networks |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101750447B1 (en) | 2017-04-19 | 2017-06-27 | 주식회사 나온웍스 | Method, apparatus and system for payload analysis of an open automated demand response protocol |
CN111367217A (en) * | 2020-03-20 | 2020-07-03 | 北京四方继保自动化股份有限公司 | Monitoring method for improving inter-station communication safety of stability control system |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102763382B (en) | Front end system and front end processing method | |
CN101330464B (en) | Network interface system, data packet transmission method and computer system | |
US8065402B2 (en) | Network management using short message service | |
US7684436B2 (en) | Gateway apparatus, and method for processing signals in the gateway apparatus | |
US7720073B2 (en) | System and/or method for bidding | |
CN104601550B (en) | Reverse isolation file transmission system and method based on cluster array | |
CN102308531A (en) | Multi-access system | |
US20120020362A1 (en) | Partitioning of digital objects for transmission | |
US20060191006A1 (en) | Denial-of-service-attack protecting method, denial-of-service attack protecting system, denial-of-service attack protecting device, repeater, denial-of-service attack protecting program, and program for repeater | |
US7590710B1 (en) | Method and system for extending a communication port via a general purpose network | |
US20070133553A1 (en) | System and/or method for downstream bidding | |
KR101695958B1 (en) | Apparatus and method for securing commuication for electric power demand response system | |
JP6456929B2 (en) | Securing communications within network endpoints | |
US20110176437A1 (en) | Traffic volume monitoring system | |
WO2012073429A1 (en) | Method and device for controlling shared bandwidth of intra-user-group bandwidth-shared network and shared bandwidth control system | |
CN105227692A (en) | A kind of NAT through method and gateway device | |
US8396057B2 (en) | Method and apparatus for traffic regulation in a communication network | |
US8966606B2 (en) | Apparatus and security system for data loss prevention, and operating method of data loss prevention apparatus | |
JP5009257B2 (en) | Relay device and relay method | |
EP3641248B1 (en) | Traffic optimization device, communication system, traffic optimization method, and program | |
CN116915862A (en) | Security service deployment method and communication equipment | |
KR101303319B1 (en) | Network Management System integrated a Power Line Communication and Control Method of the Same | |
CN104869118A (en) | Method and system for achieving DDoS defense based on technology of dynamic tunnels | |
JP2010199943A (en) | Unidirectional data communication method and information processor | |
US7269140B2 (en) | Suspend packet transmitter |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20200103 Year of fee payment: 4 |