KR102110382B1 - Method for Performing Authentication of Data Concentration Unit for AMI - Google Patents

Method for Performing Authentication of Data Concentration Unit for AMI Download PDF

Info

Publication number
KR102110382B1
KR102110382B1 KR1020180164924A KR20180164924A KR102110382B1 KR 102110382 B1 KR102110382 B1 KR 102110382B1 KR 1020180164924 A KR1020180164924 A KR 1020180164924A KR 20180164924 A KR20180164924 A KR 20180164924A KR 102110382 B1 KR102110382 B1 KR 102110382B1
Authority
KR
South Korea
Prior art keywords
unit
authentication
control unit
data concentrator
power
Prior art date
Application number
KR1020180164924A
Other languages
Korean (ko)
Inventor
정준홍
임승빈
Original Assignee
한전케이디엔 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한전케이디엔 주식회사 filed Critical 한전케이디엔 주식회사
Priority to KR1020180164924A priority Critical patent/KR102110382B1/en
Application granted granted Critical
Publication of KR102110382B1 publication Critical patent/KR102110382B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F1/00Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
    • G06F1/26Power supply means, e.g. regulation thereof
    • G06F1/32Means for saving power
    • G06F1/3203Power management, i.e. event-based initiation of a power-saving mode
    • G06F1/3206Monitoring of events, devices or parameters that trigger a change in power modality
    • G06F1/3209Monitoring remote activity, e.g. over telephone lines or network connections
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/12Arrangements for remote connection or disconnection of substations or of equipment thereof
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Abstract

According to the present invention, a method for performing authentication of a data concentrator for an advanced metering infrastructure (AMI) allows a control unit built into a data concentrator to have a function to turn on/off the power of a unit differentiated by function or to forcibly block network access, so that the control unit cuts off the power or network connection of a specific unit to fundamentally prevent risks such as hacking when the unit installed in the data concentrator fails to authenticate separately, thereby greatly contributing to improving the security of the data concentrator.

Description

AMI용 데이터집중장치의 인증 수행 방법{Method for Performing Authentication of Data Concentration Unit for AMI}Method for Performing Authentication of Data Concentration Unit for AMI}

본 발명은 AMI용 데이터집중장치의 인증 수행 방법에 관한 것으로, 더욱 상세하게는 데이터집중장치에 탈착되는 각각의 유닛을 인증할 수 있는 새로운 방법을 제안함으로써, 데이터집중장치의 보안성을 확보하는데 크게 기여할 수 있도록 한 AMI용 데이터집중장치의 인증 수행 방법에 관한 것이다.The present invention relates to a method for performing authentication of a data concentrator for AMI, and more specifically, by proposing a new method for authenticating each unit detached from the data concentrator, greatly securing the security of the data concentrator. It relates to a method of performing authentication of an AMI data concentrator that can contribute.

스마트 그리드는 전력망에 정보기술(IT)을 접목하여, 전력공급자와 소비자가 양방향 정보교환을 통한 에너지 효율의 최적화 및 새로운 부가가치 창출을 위한 차세대 전력망이다.The smart grid is a next-generation power grid that combines information technology (IT) with the power grid, enabling power providers and consumers to optimize energy efficiency through interactive information exchange and create new added value.

에너지와 통신 인프라를 중심으로 전기 에너지 기반의 모든 시스템을 통합하는 스마트 그리드는, 설비 및 기기의 상호작용을 지능화된 자동화 기능을 통해 제어하여, 전체 시스템이 하나의 유기적인 시스템으로 작동하도록 한다.Smart Grid, which integrates all electrical energy-based systems around energy and communication infrastructure, controls the interaction of facilities and devices through intelligent automation functions, allowing the entire system to operate as one organic system.

한편 스마트 미터(smart meter)는 전력 사용량을 실시간으로 측정하여 소비자에게 전달할 수 있는데, 이러한 스마트 미터들의 통신을 위한 인프라를 AMI(Advanced Metering Infrastructure) 라고 한다.Meanwhile, a smart meter can measure power consumption in real time and deliver it to a consumer. The infrastructure for communication of these smart meters is called an advanced metering infrastructure (AMI).

하지만, 종래의 AMI 시스템을 형성하는 스마트 미터는 일반 고객의 댁내에 설치되고, 데이터집중장치(DCU, Data Concentration Unit)는 일반적으로 변대주에 설치되는데, 이들 장치의 보안 및 기기 인증을 위한 보안시스템 부재로 인해 각종 보안 위협에 노출되는 문제점이 있었다.However, a smart meter forming a conventional AMI system is installed in the home of an ordinary customer, and a data concentration unit (DCU) is generally installed in a periphery, a security system for security and device authentication of these devices There was a problem exposed to various security threats due to absence.

또한, 데이터집중장치는 각 기능별로 탈착할 수 있는 다수의 유닛으로 구성되어 있어 각각의 유닛에 대한 보안 및 기기 인증이 필요하나, 현재까지는 이에 대한 구체적인 방법이나 절차가 없기 때문에 무단으로 데이터집중장치에 접속하여 각각의 유닛을 악의적으로 조작하거나, 인가되지 않은 유닛을 통해 AMI 시스템에 접속할 가능성을 배제할 수 없다는 문제점이 있었다.In addition, the data concentrator consists of a number of units that can be attached and detached for each function, so security and device authentication for each unit is required, but since there is no specific method or procedure for this, unauthorized data concentrator There is a problem in that it is impossible to exclude the possibility of accessing the AMI system through an unauthorized unit or maliciously operating each unit by connecting.

대한민국 등록특허공보 등록번호 제10-1326732호Republic of Korea Registered Patent Publication No. 10-1326732

본 발명은 상술한 문제점을 해결하기 위해 안출된 것으로, 데이터집중장치에 내장되는 제어유닛이 기능별로 분화된 다른 유닛의 전원을 ON/OFF 하거나 네트워크 접속을 강제로 차단할 수 있는 기능을 갖도록 하고, 데이터집중장치에 장착된 특정 유닛이 인증에 실패했을 경우 제어유닛은 해당 유닛의 전원 또는 네트워크 연결을 차단하여 해킹 등의 위험을 원천적으로 예방함으로써, 데이터집중장치의 보안성을 제고하는데 기여할 수 있는 AMI용 데이터집중장치의 인증 수행 방법을 제공하는 것이다.The present invention has been devised to solve the above-mentioned problems, so that the control unit built in the data concentrator has a function to turn on / off the power of other units differentiated for each function or to forcibly block network access. When a specific unit installed in the concentrator fails authentication, the control unit cuts off the power or network connection of the unit to prevent risks such as hacking, thereby contributing to enhancing the security of the data concentrator. It is to provide a method for performing authentication of a data concentrator.

상술한 목적을 달성하기 위한 본 발명의 AMI용 데이터집중장치의 인증 수행 방법은 (A) 데이터집중장치에 장착된 제어유닛은 데이터집중장치에 장착된 다른 유닛을 파악한 후, 이들 유닛에게 인증을 개시하라는 명령을 전송하는 제1단계; (B) 인증 개시 명령을 수신한 유닛은 자신의 인증서를 기반으로 제어유닛에 인증을 요청하는 제2단계; (C) 제어유닛의 보안 Agent는 해당 유닛으로부터의 인증 요청을 기반으로 인증이 완료된 유닛인지, 신규로 인증을 요청하는 유닛인지를 파악하는 제3단계 및 (D) 인증이 완료된 유닛이라면 제어유닛의 보안 Agent는 인증에 성공하였다는 메시지를 해당 유닛으로 전송하여 해당 유닛이 정상적으로 동작할 수 있도록 하고, 또는 신규로 인증을 요청하는 유닛이라면 제어유닛의 보안 Agent와 외부의 보안서버는 해당 유닛에 대한 상호 인증 절차를 수행한 후, 그 결과를 해당 유닛에 전달함으로써 유닛의 인증 과정을 종료하는 제4단계;를 포함한다.In order to achieve the above object, the method for performing authentication of the data concentrator for AMI of the present invention is (A) The control unit mounted on the data concentrator identifies other units mounted on the data concentrator, and then starts authentication to these units. A first step of transmitting an instruction to; (B) a second step of requesting an authentication from the control unit based on the certificate of the unit that has received the authentication start command; (C) The security agent of the control unit is based on the authentication request from the unit. The third step is to determine whether the unit has been authenticated or is a new unit requesting authentication. The security agent sends a message that the authentication is successful to the unit so that the unit can operate normally, or if it is a new unit requesting authentication, the security agent of the control unit and the external security server are mutually related to the unit. And a fourth step of ending the authentication process of the unit by transmitting the result to the corresponding unit after performing the authentication procedure.

제1단계에서, 제어유닛이 데이터집중장치에 장착된 다른 유닛을 파악하는 방법은 해당 유닛의 Power on Trap 메시지를 확인하여 파악하는 단계를 포함할 수 있다.In the first step, the method for the control unit to identify another unit mounted on the data concentrator may include the step of checking and grasping the Power on Trap message of the corresponding unit.

제3단계에서, 인증이 완료된 유닛을 파악하는 단계는 직전 동작에서 인증에 성공한 유닛을 파악하는 단계를 포함할 수 있다.In the third step, the step of identifying the unit that has been authenticated may include the step of identifying the unit that has successfully authenticated in the previous operation.

제4단계에서, 유닛이 인증에 실패하면, 제어유닛은 해당 유닛의 전원 또는 네트워크 연결을 차단시키는 단계를 포함할 수 있다.In the fourth step, if the unit fails authentication, the control unit may include a step of disconnecting power or network connection of the corresponding unit.

아울러, 제어유닛은 데이터집중장치의 네트워크 트래픽을 감지하다가 비정상적인 트래픽을 발생시키는 유닛의 전원 또는 네트워크 연결을 차단시키는 단계를 포함할 수 있다.In addition, the control unit may include the step of detecting the network traffic of the data concentrator and cutting off the power supply or network connection of the unit generating abnormal traffic.

이상에서 설명한 바와 같은 본 발명의 AMI용 데이터집중장치의 인증 수행 방법에 따르면, 데이터집중장치에 내장된 제어유닛이 기능별로 분화된 타 유닛의 전원을 ON/OFF 하거나 네트워크 접속을 강제로 차단할 수 있는 기능을 갖도록 하고, 데이터집중장치에 부착된 특정 유닛이 인증에 실패했을 경우 제어유닛은 해당 유닛의 전원 또는 네트워크 연결을 차단하여 해킹 등의 위험을 원천적으로 예방함으로써, 데이터집중장치의 보안성을 확보하는데 크게 기여할 수 있는 효과가 있다.According to the method for performing the authentication of the AMI data concentrator of the present invention as described above, the control unit built in the data concentrator can turn on / off the power of other units differentiated by function or forcibly block network access. In order to have the function, and if a specific unit attached to the data concentrator fails authentication, the control unit cuts off the power or network connection of the unit to prevent the risk of hacking, thereby securing the security of the data concentrator. There is an effect that can greatly contribute to.

도 1은 본 발명에 따른 AMI용 데이터집중장치를 나타낸 블록도이며,
도 2는 본 발명에 따른 AMI용 데이터집중장치를 나타낸 실제 예시도이며,
도 3은 본 발명에 따른 데이터집중장치와 보안서버를 나타낸 도면이며,
도 4는 본 발명에 따른 AMI용 데이터집중장치를 통한 인증 과정을 설명하기 위한 플로우차트이다.1 is a block diagram showing an AMI data concentrator according to the present invention,
Figure 2 is an actual illustration showing an AMI data concentrator according to the present invention,
3 is a view showing a data concentration device and a security server according to the present invention,
4 is a flowchart for explaining an authentication process through an AMI data concentrator according to the present invention.

이하, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있도록 상세히 설명하기 위하여, 본 발명의 바람직한 실시예를 첨부한 도면을 참조하여 상세하게 설명한다.Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings in order to enable those skilled in the art to easily implement the present invention.

먼저, AMI(Advanced Metering Infrastructure, 지능형 전력계량 인프라)는 수용가에 설치된 스마트 미터로부터 전력 사용에 대한 정보를 계측 및 수집하는 것에서 시작하여 이를 실시간 전송, 저장, 분석 후 활용하는 Total Solution을 의미한다. First, AMI (Advanced Metering Infrastructure) refers to a total solution that starts from measuring and collecting information on power use from smart meters installed in consumers, and uses it after real-time transmission, storage, and analysis.

AMI 시스템의 핵심 설비 중 하나는 데이터집중장치(DCU, Data Concentration Unit)로써, 이는 수용가의 스마트 미터에 저장된 각종 전력 정보를 주기적으로 수집하여 원격지의 AMI 서버 시스템으로 전송한다.One of the key facilities of the AMI system is a Data Concentration Unit (DCU), which periodically collects various power information stored in the consumer's smart meter and transmits it to a remote AMI server system.

AMI는 스마트 그리드의 근간인 통신 인프라이기 때문에, 철저한 보안 적용이 요구된다.Since AMI is a communication infrastructure that is the basis of the smart grid, strict security application is required.

지능형 전력망 구축 및 이용 촉진에 관한 법률(법률 제12154호), 지능형전력망 정보의 보호 조치에 관한 지침(지식경제부고시 제 2012-129호) 등은 AMI가 준수해야 할 보안 사항에 대한 가이드라인을 제시하고 있는 바, 최말단의 스마트 미터에서 최상단의 AMI 서버 시스템까지 보안 정책, 즉 기기인증 절차나 암/복호화 통신을 적용해야 한다.The Act on the Promotion and Utilization of Intelligent Power Grids (Act No. 12154), Guidelines on the Protection Measures for Intelligent Power Grid Information (No. 2012-129 by the Ministry of Knowledge Economy, etc.) provide guidelines for security matters that AMI must comply with. As it is being done, security policy, that is, device authentication procedure or encryption / decryption communication, should be applied from the smart meter at the end to the AMI server system at the top.

한국 전력의 AMI 구축사업이 진행됨에 따라 핵심 설비인 데이터집중장치(Data Concentration Unit)도 지속적으로 진화하고 있으며, 현재 기능별로 분화된 유닛을 용도에 맞게 탈부착할 수 있는 신형의 데이터집중장치가 보급될 예정이다.As KEPCO's AMI construction project progresses, the data concentration unit, which is a core facility, continues to evolve, and new data concentrators capable of attaching and detaching differentiated units for each function to suit the purpose of use will become popular. Is expected.

이러한 신형의 데이터집중장치에 장착되는 유닛은 도 1 및 도 2에 나타낸 바와 같이, 크게 데이터집중장치의 동작에 필요한 전원을 생성하는 전원유닛, 데이터집중장치의 전반적인 동작을 제어하는 제어유닛, 통신방식별로 하나 또는 복수의 모뎀유닛, 배전용 변압기의 부하를 감시하는 변압기 감시유닛이 포함되어 구성된다.As shown in FIGS. 1 and 2, the units mounted on the new data concentrator are largely a power unit that generates power required for the operation of the data concentrator, a control unit that controls the overall operation of the data concentrator, and a communication method. It consists of one or more modem units per unit and a transformer monitoring unit that monitors the load of the distribution transformer.

전원유닛은 데이터집중장치 외부의 AC 상용 전원으로부터, 데이터집중장치 내부의 각 유닛 동작에 필요한 DC 전원을 생성하는 유닛으로, AC/DC 변환 장치에 해당한다.The power unit is a unit that generates DC power required for operation of each unit inside the data concentration device from an AC commercial power source outside the data concentration device, and corresponds to an AC / DC conversion device.

제어유닛은 마이크로프로세서, 메모리, 네트워크 스위치 소자 등으로 구성된 유닛으로, 데이터집중장치 동작에 필요한 각종 소프트웨어(S/W)가 실행되며, 만약, 보안 Agent가 하드웨어 모듈 형태로 존재하면 이와의 인터페이스를 제공한다.The control unit is a unit composed of a microprocessor, memory, network switch element, etc., and executes various software (S / W) necessary for operation of the data concentrator. If a security agent exists in the form of a hardware module, it provides an interface with it. do.

모뎀유닛은 데이터집중장치와 스마트 미터 사이의 유/무선 통신을 위한 유닛으로, 지원하는 통신방식에 따라 해당하는 모뎀이 한 개 이상 장착된다.The modem unit is a unit for wired / wireless communication between the data concentrator and the smart meter, and one or more corresponding modems are installed depending on the supported communication method.

통상적으로, ISO/IEC12139-1 규격의 PLC 모뎀유닛, HPGP(HomePlug GreenPHY) 모뎀유닛, Wi-SUN 모뎀유닛, Zigbee 모뎀유닛, LoRa 모뎀유닛 등이 데이터집중장치가 사용하는 통신 방식에 따라 조합을 이루어 한 개 이상 장착된다.Typically, a combination of ISO / IEC12139-1 standard PLC modem unit, HPGP (HomePlug GreenPHY) modem unit, Wi-SUN modem unit, Zigbee modem unit, LoRa modem unit, etc. is made according to the communication method used by the data concentrator. It is equipped with one or more.

변압기 감시유닛은 데이터집중장치가 설치된 변대주의 주상변압기 상태 감시를 위해 부하전류/전압/전력량/역률 등을 계측하는 유닛으로, 해당 기능의 사용 유/무에 따라 탈부착 가능하도록 구비된다.The transformer monitoring unit is a unit that measures load current / voltage / power / power factor, etc. for monitoring the status of the pole transformer of the substation where the data concentrator is installed, and is equipped to be detachable depending on whether or not the function is used or not.

아울러, 제어유닛에는 각각의 유닛을 연계하고 원격지의 AMI 서버와 통신하기 위한 네트워킹 기능을 포함하고 있다.In addition, the control unit includes a networking function for linking each unit and communicating with a remote AMI server.

이와 별도로 데이터집중장치 내부에는 외부의 프로브 등과 유닛들을 연결하기 위한 연결부나, 정전 상황에 대비하기 위한 보조 전원 공급용 배터리 및 통신모뎀에 장착되는 안테나 등을 포함하는 부가 장치가 더 포함되어 구성된다.Separately, inside the data concentrator, an additional device including a connection unit for connecting external probes and units, an auxiliary power supply battery for preparing for a power outage, and an antenna mounted on a communication modem is further included.

아울러, 데이터집중장치에 내장되는 모든 유닛은 생산 과정에서 고유한 보안인증서가 주입되어 있고, 이러한 보안인증서는 고유한 키를 기반으로 생성된다.In addition, every unit embedded in the data concentrator is injected with a unique security certificate during production, and the security certificate is generated based on a unique key.

제어유닛에는 도 3에 나타낸 바와 같이, 보안 Agent와 더불어, WAN을 통해 보안 서버에 접속하거나 LAN을 통해 각각의 유닛과 통신할 수 있는 기능을 지원하는 네트워크 스위치가 포함되어 구성된다.As shown in FIG. 3, the control unit includes a security agent and a network switch that supports a function to access a security server through a WAN or communicate with each unit through a LAN.

아울러, 제어유닛은 각 유닛의 전원을 ON/OFF 하고 네트워크 접속을 강제로 차단할 수 있는 기능을 갖는다. In addition, the control unit has a function to turn on / off the power of each unit and forcibly cut off the network connection.

예를 들어, 제어유닛과 각 유닛 간 연결에 PoE(Power over Ethernet) 인터페이스를 적용할 경우, 유닛별 전원 ON/OFF나 네트워크 접속차단을 통상적인 방법에 따라 구현할 수 있다.For example, when a Power over Ethernet (PoE) interface is applied to a connection between a control unit and each unit, power ON / OFF for each unit or network connection blocking may be implemented according to a conventional method.

제어유닛에는 보안인증 및 암호화 통신을 수행하는 보안 Agent가 탑재되어 있으며, 해당 보안 Agent는 소프트웨어 또는 단독의 하드웨어 모듈 형태로 구성될 수 있다. The control unit is equipped with a security agent that performs security authentication and encryption communication, and the security agent can be configured in the form of software or a single hardware module.

제어유닛의 보안 Agent와 보안서버는 통상의 보안인증 및 암호화 처리 방식, 예를 들어, TLS(Transport Layer Security) 방식을 이용하여 보안인증 및 암호화 통신을 수행한다.The security agent and security server of the control unit perform security authentication and encryption communication using a conventional security authentication and encryption processing method, for example, TLS (Transport Layer Security) method.

상술한 바와 같이 구성된 AMI용 데이터집중장치에서 인증을 수행하기 위하여, 먼저, 제어유닛에 전원이 인가되면, 제어유닛은 자기 자신의 인증여부를 파악한다. In order to perform authentication in the AMI data concentrator configured as described above, first, when power is applied to the control unit, the control unit determines whether or not its own authentication.

만약 제어유닛이 인증되지 않았을 경우, 제어유닛의 보안 Agent와 보안서버는 상호인증 절차를 수행하며, 이때의 절차는 통상의 TLS 방식에 따른다. If the control unit is not authenticated, the security agent and the security server of the control unit perform a mutual authentication procedure, and the procedure at this time follows the normal TLS method.

만약, 제어유닛이 인증에 실패했을 경우(특정 횟수의 재인증 시도를 포함), 그 즉시 제어유닛의 전원 또는 네트워크 연결이 차단됨으로써 해킹 등의 위험을 원천적으로 예방할 수 있다.If the control unit fails to authenticate (including a certain number of re-authentication attempts), the control unit's power supply or network connection is immediately cut off, thereby preventing the risk of hacking or the like.

이어서, 데이터집중장치 내부의 제어유닛이 인증에 성공하면, 제어유닛은 데이터집중장치에 장착된 다른 유닛을 파악하고, 다른 유닛을 대상으로 인증을 개시하라는 명령을 전송한다. Subsequently, if the control unit inside the data concentrator succeeds in authentication, the control unit identifies another unit mounted in the data concentrator and sends a command to start authentication to the other unit.

여기서, 제어유닛이 데이터집중장치에 장착된 다른 유닛을 파악하는 방법으로는 해당 유닛의 Power on Trap(유닛이 부팅되었음을 외부로 통보하는 것) 메시지를 확인하는 방법이 있고, 인증 요청 개시 명령의 전송 순서는 Power on Trap 메시지의 수신 순으로 결정한다. Here, as a method for the control unit to identify another unit mounted on the data concentrator, there is a method for checking the Power on Trap message (notifying the unit that the unit has been booted) of the corresponding unit, and transmitting an authentication request start command The order is determined by the order of receiving Power on Trap messages.

이어서, 인증 개시 명령을 수신한 유닛은 자신의 인증서를 기반으로 제어유닛에 인증을 요청한다. Subsequently, the unit that has received the authentication start command requests authentication to the control unit based on its own certificate.

제어유닛의 보안 Agent는 해당 유닛의 인증 요청을 기반으로 인증이 완료된 유닛인지, 또는 신규로 인증을 요청하는 유닛인지를 파악한다.The security agent of the control unit determines whether the unit has been authenticated or is a new unit requesting authentication based on the authentication request of the corresponding unit.

만약, 인증이 완료된 유닛이라면 제어유닛의 보안 Agent는 인증에 성공하였다는 메시지를 즉시 해당 유닛에 전송함으로써, 해당 유닛이 정상적으로 동작할 수 있도록 한다. If the unit has been authenticated, the security agent of the control unit immediately sends a message that the authentication is successful to the corresponding unit, so that the corresponding unit can operate normally.

즉, 데이터집중장치 자체적으로 해당 유닛의 인증 과정을 완료한다.That is, the data concentration device itself completes the authentication process of the corresponding unit.

참고로, 데이터집중장치는 특정 목적에 따라, 수시로 각 유닛별 전원을 ON/OFF할 수 있는 것으로, 인증이 완료된 유닛이라 함은 직전 동작에서 인증에 성공한 유닛이라는 것을 뜻한다.For reference, the data concentrator can turn on / off the power for each unit at any time, depending on the specific purpose. The unit that has been authenticated means that the unit has been successfully authenticated in the previous operation.

아울러, 신규로 인증을 요청하는 유닛이라면, 제어유닛의 보안 Agent와 보안서버는 해당 유닛에 대한 상호 인증 절차를 수행하며, 그 결과를 해당 유닛에 전달함으로써 각 유닛의 인증 과정을 완료하게 된다.In addition, if the unit is newly requesting authentication, the security agent of the control unit and the security server perform a mutual authentication procedure for the corresponding unit, and transmits the result to the corresponding unit, thereby completing the authentication process of each unit.

즉, 제어유닛의 보안 Agent에서 각 유닛에 대한 인증절차를 대행한다.That is, the authentication procedure for each unit is performed by the security agent of the control unit.

한편, 특정 유닛이 인증에 실패했을 경우(특정 횟수의 재인증 시도를 포함), 제어유닛은 그 즉시 해당 유닛의 전원 또는 네트워크 연결을 차단함으로써 해킹 등의 위험을 원천적으로 예방한다.On the other hand, when a specific unit fails authentication (including a certain number of re-authentication attempts), the control unit immediately prevents the risk of hacking or the like by immediately cutting off the power or network connection of the unit.

또한, 데이터집중장치는 각각의 유닛이 모두 네트워크로 연결되어 있기 때문에, 고장 등으로 인해 과도한 트래픽을 발생시키는 유닛이 존재하면 정상적인 동작을 수행할 수 없다. In addition, since each unit is connected to a network, the data concentration device cannot perform a normal operation when a unit generating excessive traffic due to a failure exists.

따라서, 이를 방지하기 위해 데이터집중장치의 제어유닛은 네트워크 트래픽을 감지하고 있다가, 비정상적인 트래픽을 발생시키는 유닛의 전원 또는 네트워크 연결을 차단함으로써, 데이터집중장치가 정상적으로 동작할 수 있도록 하는 한편, 해당 행위의 발생 이벤트를 보안서버로 전송할 수 있다. Therefore, in order to prevent this, the control unit of the data concentrator detects network traffic, and cuts off the power supply or network connection of the unit generating abnormal traffic, thereby allowing the data concentrator to operate normally, and the corresponding action The event of occurrence can be transmitted to the security server.

이상에서 설명한 바와 같은 본 발명의 AMI용 데이터집중장치의 인증 수행 방법에 따르면, 데이터집중장치에 내장되는 제어유닛이 기능별로 분화된 유닛의 전원을 ON/OFF 하거나 네트워크 접속을 강제로 차단할 수 있는 기능을 갖도록 하고, 데이터집중장치에 장착된 특정 유닛이 인증에 실패했을 경우 제어유닛은 해당 유닛의 전원 또는 네트워크 연결을 차단하여 해킹 등의 위험을 원천적으로 예방함으로써, 데이터집중장치의 보안성을 확보하는데 크게 기여할 수 있는 효과가 있다.According to the method for performing authentication of the data concentrator for AMI of the present invention as described above, the control unit built in the data concentrator can turn ON / OFF the power of the unit differentiated by function or forcibly block network access. When the specific unit installed in the data concentrator fails authentication, the control unit cuts off the power or network connection of the unit to prevent the risk of hacking, thereby securing the security of the data concentrator. There is an effect that can greatly contribute.

이상의 설명에서는 본 발명의 바람직한 실시예를 제시하여 설명하였으나, 본 발명이 반드시 이에 한정되는 것은 아니며, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경할 수 있음을 쉽게 알 수 있을 것이다.In the above description, a preferred embodiment of the present invention has been presented and described, but the present invention is not necessarily limited thereto, and a person skilled in the art to which the present invention pertains does not depart from the technical spirit of the present invention. It will be readily apparent that various substitutions, modifications and variations are possible.

Claims (5)

(A) 데이터집중장치에 장착된 제어유닛이 데이터집중장치에 장착된 다른 유닛을 파악한 후, 이들 유닛에게 인증을 개시하라는 명령을 전송하는 제1단계;
(B) 인증 개시 명령을 수신한 유닛은 자신의 인증서를 기반으로 제어유닛에게 인증을 요청하는 제2단계;
(C) 제어유닛의 보안 Agent는 유닛으로부터 수신한 인증 요청을 기반으로 인증이 완료된 유닛인지, 신규로 인증을 요청하는 유닛인지를 파악하는 제3단계; 및
(D) 인증이 완료된 유닛이라면 제어유닛의 보안 Agent는 인증에 성공하였다는 메시지를 해당 유닛에 전송하고, 신규로 인증을 요청하는 유닛이라면 제어유닛의 보안 Agent와 외부의 보안서버는 해당 유닛에 대한 상호 인증 절차를 수행하고 그 결과를 해당 유닛에 전달함으로써, 인증을 완료하는 제4단계;를 포함하되,
제1단계에서, 제어유닛이 데이터집중장치에 장착된 다른 유닛을 파악하는 방법은 해당 유닛의 Power on Trap 메시지를 확인하여 파악하는 단계를 포함하는 것을 특징으로 하는 AMI용 데이터집중장치의 인증 수행 방법.(A) After the control unit mounted on the data concentrator recognizes another unit mounted on the data concentrator, a first step of sending a command to start authentication to these units;
(B) a second step of requesting an authentication from the control unit based on the certificate of the unit receiving the authentication start command;
(C) a third step of determining whether the security agent of the control unit is a unit that has completed authentication or a unit that newly requests authentication based on an authentication request received from the unit; And
(D) If the unit has been authenticated, the security agent of the control unit sends a message that the authentication is successful to the unit, and if the unit is a new request for authentication, the security agent of the control unit and the external security server are connected to the unit. Including a fourth step of completing the authentication by performing a mutual authentication procedure and passing the result to the corresponding unit;
In the first step, the method of determining the other unit mounted on the data concentrator by the control unit includes a step of checking and grasping the Power on Trap message of the unit to perform authentication of the data concentrator for AMI. . 삭제delete 청구항 1에 있어서, 제3단계에서, 인증이 완료된 유닛을 파악하는 단계는 직전 동작에서 인증에 성공한 유닛을 파악하는 단계를 포함하는 것을 특징으로 하는 AMI용 데이터집중장치의 인증 수행 방법.The method according to claim 1, In the third step, the step of identifying the unit that has been authenticated includes the step of identifying the unit that has successfully authenticated in the previous operation. 청구항 1에 있어서, 제4단계에서, 유닛이 인증에 실패하면, 제어유닛은 해당 유닛의 전원 또는 네트워크 연결을 차단시키는 단계를 포함하는 것을 특징으로 하는 AMI용 데이터집중장치의 인증 수행 방법.The method according to claim 1, In the fourth step, if the unit fails authentication, the control unit comprises a step of cutting off the power or network connection of the unit, the method of performing authentication of the data concentrator for AMI. 청구항 1에 있어서, 제어유닛은 데이터집중장치의 네트워크 트래픽을 감지하다가 비정상적인 트래픽을 발생시키는 유닛의 전원 또는 네트워크 연결을 차단시키는 단계를 포함하는 것을 특징으로 하는 AMI용 데이터집중장치의 인증 수행 방법.The method according to claim 1, wherein the control unit comprises the steps of sensing the network traffic of the data concentrator and cutting off the power supply or network connection of the unit generating abnormal traffic.
KR1020180164924A 2018-12-19 2018-12-19 Method for Performing Authentication of Data Concentration Unit for AMI KR102110382B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180164924A KR102110382B1 (en) 2018-12-19 2018-12-19 Method for Performing Authentication of Data Concentration Unit for AMI

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180164924A KR102110382B1 (en) 2018-12-19 2018-12-19 Method for Performing Authentication of Data Concentration Unit for AMI

Publications (1)

Publication Number Publication Date
KR102110382B1 true KR102110382B1 (en) 2020-05-13

Family

ID=70729634

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180164924A KR102110382B1 (en) 2018-12-19 2018-12-19 Method for Performing Authentication of Data Concentration Unit for AMI

Country Status (1)

Country Link
KR (1) KR102110382B1 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060019240A (en) * 2004-08-27 2006-03-03 유넷시스템주식회사 Unified authorizing system. the method and the recorder
KR20130068874A (en) * 2011-12-16 2013-06-26 고려대학교 산학협력단 Apparatus and method for secure authentication of smart meter
KR101326732B1 (en) 2012-07-24 2013-11-20 한전케이디엔주식회사 Automatic meter reading method using encryption key
KR20150035301A (en) * 2013-09-27 2015-04-06 주식회사 케이티 Method for blocking of almormal traffic

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060019240A (en) * 2004-08-27 2006-03-03 유넷시스템주식회사 Unified authorizing system. the method and the recorder
KR20130068874A (en) * 2011-12-16 2013-06-26 고려대학교 산학협력단 Apparatus and method for secure authentication of smart meter
KR101326732B1 (en) 2012-07-24 2013-11-20 한전케이디엔주식회사 Automatic meter reading method using encryption key
KR20150035301A (en) * 2013-09-27 2015-04-06 주식회사 케이티 Method for blocking of almormal traffic

Similar Documents

Publication Publication Date Title
Liu et al. Cyber security and privacy issues in smart grids
US8670946B2 (en) Utility device management
KR101621931B1 (en) Power information transmitting and receiving system in the smart grid
McLaughlin et al. Multi-vendor penetration testing in the advanced metering infrastructure
JP5500666B2 (en) Smart grid and how it works
Das Wireless communication system for energy meter reading
Petrlic A privacy-preserving concept for smart grids
CN103827636B (en) System and method to manage utility meter communications
CN105100044A (en) System and method for controlled device access
CN202712974U (en) Power utilization information acquisition system
CN110365108B (en) Device and method for dynamic authorized electricity price measurement and intelligent electricity utilization regulation of Internet of things
CN108173344A (en) LORA wireless communication techniques are in the application process of low-voltage distribution transformer platform district
CN103647788B (en) A kind of node security authentication method in intelligent grid
CN102298378B (en) A kind of industrial park ordered electric management system and method
KR101772936B1 (en) AMI Security System using One Time Password and Method thereof
Kumar et al. Secure communication for advance metering infrastructure in smart grid
CN107508842A (en) A kind of intelligent electric meter control module and method based on CCKS
CN103782547A (en) System and method for controlling operation of consumption appliances
CN114531942A (en) Intelligent power grid measuring method
CN108737449A (en) Soft encryption authentication method, device and electronic equipment
KR102110382B1 (en) Method for Performing Authentication of Data Concentration Unit for AMI
CN103051632A (en) Intelligent power-consumption communication safety protection method and system
Shovgenya et al. On demand for situational awareness for preventing attacks on the smart grid
KR101641118B1 (en) Method of smart meter data transmission according to the request of individual electrical equipment
Liu et al. Security Protection Technology Based on Power Communication Terminal Intelligent Equipment.

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant