KR102357375B1 - 보안이 강화된 원전 네트워크의 광 전송 시스템 및 그의 데이터 전송 방법 - Google Patents

보안이 강화된 원전 네트워크의 광 전송 시스템 및 그의 데이터 전송 방법 Download PDF

Info

Publication number
KR102357375B1
KR102357375B1 KR1020190155213A KR20190155213A KR102357375B1 KR 102357375 B1 KR102357375 B1 KR 102357375B1 KR 1020190155213 A KR1020190155213 A KR 1020190155213A KR 20190155213 A KR20190155213 A KR 20190155213A KR 102357375 B1 KR102357375 B1 KR 102357375B1
Authority
KR
South Korea
Prior art keywords
optical transmission
encryption
data
communication
transmission equipment
Prior art date
Application number
KR1020190155213A
Other languages
English (en)
Other versions
KR20210066229A (ko
Inventor
최호영
김태훈
이종진
김성철
Original Assignee
한전케이디엔주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한전케이디엔주식회사 filed Critical 한전케이디엔주식회사
Priority to KR1020190155213A priority Critical patent/KR102357375B1/ko
Publication of KR20210066229A publication Critical patent/KR20210066229A/ko
Application granted granted Critical
Publication of KR102357375B1 publication Critical patent/KR102357375B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0827Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving distinctive intermediate devices or communication paths
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/50Routing or path finding of packets in data switching networks using label swapping, e.g. multi-protocol label switch [MPLS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/68Pseudowire emulation, e.g. IETF WG PWE3
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0485Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/065Encryption by serially and continuously modifying data stream elements, e.g. stream cipher systems, RC4, SEAL or A5/3
    • H04L9/0656Pseudorandom key sequence combined element-for-element with data sequence, e.g. one-time-pad [OTP] or Vernam's cipher
    • H04L9/0662Pseudorandom key sequence combined element-for-element with data sequence, e.g. one-time-pad [OTP] or Vernam's cipher with particular pseudorandom sequence generator
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0877Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]

Abstract

본 발명은 다수의 원전 네트워크 본부에 설치되어 현장 데이터를 수집 또는 제어하는 단말장치들; 표준화된 하위 계층용 암호화 프로토콜을 이용하여 상기 다수의 단말장치들과 통신을 수행하고, 상기 다수의 단말장치들로부터의 데이터를 취합하는 다수의 광 전송 설비장치들; 및 표준화된 상위 계층용 암호화 프로토콜을 이용하여 상기 다수의 광 전송 설비장치들과 통신을 수행하고, 상기 다수의 광 전송 설비장치들로부터의 데이터를 취합하는 EMS 관리 서버를 포함하는 것을 특징으로 하되, 상기 다수의 광 전송 설비장치들은 상기 표준화된 상위 계층용 암호화 프로토콜을 이용하여 서로 다른 광 전송 설비장치들과 상호 인증을 수행하고, MPLS 통신 프로토콜의 특정 계층을 암호화하여 서로 다른 광 전송 설비장치들과 암호화된 데이터 통신을 수행함으로써, 원전 네트워크 광 전송 시스템의 보안을 강화시키는 효과가 있다.

Description

보안이 강화된 원전 네트워크의 광 전송 시스템 및 그의 데이터 전송 방법{SYSTEM FOR TRANSMITTING OPTICAL OF NUCLEAR POWER PLANTS NETWORK ENHANCED SECURITY AND METHOD FOR TRANSMITTING DATA THERE OF}
본 발명은 원전 네트워크의 광 전송 시스템 및 그의 데이터 전송 방법에 관한 것으로서, 특히, 보안이 강화된 원전 네트워크의 광 전송 시스템 및 그의 데이터 전송 방법에 관한 것이다.
일반적으로, 광 전송 시스템에서는, 임차회선을 이용한 MPLS(Multi Protocol Label Switching) 서비스를 운영하고 있다. 상기 MPLS는, 통신망을 통해 전송되는 프레임이나 패킷 앞에 레이블(Label)이라는 식별자를 부가하여 전송함으로써, 통신을 고속화하고 추가 기능을 가능하도록 하는 기술이다. 이러한 MPLS는 VPN(Virtual Private Network, 가살사설망)이므로, 공용 인터넷에서 따로 떨어져 작동함으로써, 자체 암호화를 제공하지는 않지만 안전한 전송모드로 간주한다.
하지만, 최근, 광케이블 중간에서 광 신호를 검출하여, 전송 중인 통신 데이터를 불법 수신하고, 해킹 파장을 입사하여 통신 서비스를 교란하는 등 광케이블 해킹이 발생하고 있다.
한편, 상기 MPLS는 아직 표준화가 진행 중이며, 이로 인해, 악의적인 공격 시 정보 유출 가능성이 존재한다. 이로 인해 상기 MPLS를 적용한 원전 네트워크의 광 전송 시스템도 악의적인 공격에 의해 정보가 유출될 수 있으며, 이 경우 심각한 보안 위협이 발생할 수 있는 문제가 있다.
따라서 안전하게 광 전송 보안 시스템 운영할 수 있는 신뢰성 높은 보안 기술이 요구되는 실정이다.
대한민국 공개 특허 10-2019-0047278 호(공개일 2019.05.08.)
따라서, 본 발명은 광 전송 시스템에 보안카드 형태의 암호화 모듈을 장착하여 암호화 통신 기능을 제공함으로써 보안을 강화시키는 원전 네트워크의 광 전송 시스템을 제공하고자 한다.
또한, 본 발명은 광 전송 시스템에서 장치간 인증을 위해 필요한 보안정보를 안전하게 관리함으로써, 악의적인 공격을 차단할 수 있는 원전 네트워크의 광 전송 시스템을 제공하고자 한다.
또한, 본 발명은 MPLS 통신의 특정 계층을 암호화하여 대역폭과 지연시간을 최소화함으로써, MPLS 통신의 신뢰성을 높이는 원전 네트워크의 광 전송 시스템을 제공하고자 한다.
상기 목적을 달성하기 위해, 본 발명에서 제공하는 원전 네트워크의 광 전송 시스템은 다수의 원전 네트워크 본부에 설치되어 현장 데이터를 수집 또는 제어하는 단말장치들; 표준화된 하위 계층용 암호화 프로토콜을 이용하여 상기 다수의 단말장치들과 통신을 수행하고, 상기 다수의 단말장치들로부터의 데이터를 취합하는 다수의 광 전송 설비장치들; 및 표준화된 상위 계층용 암호화 프로토콜을 이용하여 상기 다수의 광 전송 설비장치들과 통신을 수행하고, 상기 다수의 광 전송 설비장치들로부터의 데이터를 취합하는 EMS 관리 서버를 포함하는 것을 특징으로 하되, 상기 다수의 광 전송 설비장치들은 상기 표준화된 상위 계층용 암호화 프로토콜을 이용하여 서로 다른 광 전송 설비장치들과 상호 인증을 수행하고, MPLS 통신 프로토콜의 특정 계층을 암호화하여 서로 다른 광 전송 설비장치들과 암호화된 데이터 통신을 수행하는 것을 특징으로 한다.
바람직하게는, 상기 광 전송 설비장치는 미리 설정된 제어 알고리즘에 의거하여, 상기 광 전송 설비장치의 동작을 제어하되, 상기 EMS 관리 서버 및 서로 다른 광 전송 설비장치들과의 데이터 교환에 필요한 제어를 수행하는 장치 제어부; 양자 암호키를 생성하여 분배하는 외부의 양자키 분배 서버로부터 양자 암호키를 전달받아 다른 광 전송 설비장치들과의 초기 인증을 수행하고, 상기 장치 제어부의 제어를 받아 암호화된 MPLS 통신 방식으로 상기 다른 광 전송 설비장치들과 송수신할 데이터를 암호화하는 암호화 처리부; 상기 광 전송 설비장치의 식별정보 및 상기 인증정보를 포함한 보안정보와, 상기 광 전송 설비장치의 동작 정보를 저장/관리하는 데이터베이스부; 및 일정 주기로 난수를 발생시켜 상기 암호화 처리부로 전달하는 난수 발생기를 포함하되, 상기 암호화 처리부는 상기 난수 발생기에서 전달된 난수를 이용하여 상기 다른 광 전송 설비장치들과의 초기 인증 이후의 인증을 수행할 수 있다.
바람직하게는, 상기 암호화 처리부는 상기 MPLS의 PE 구간의 데이터 통신을 암호화할 수 있다.
바람직하게는, 상기 암호화 처리부는 상기 MPLS 통신 시 발생하는 유사-와이어(Pseudo-wire) 헤더를 IPsec의 ESP 방식으로 암호화하되, 네트워크 환경에 따라 터널 모드 또는 전송 모드를 선택적으로 적용하여 암호화할 수 있다.
바람직하게는, 상기 암호화 처리부는 네트워크 부하가 정상일 때는 상기 터널 모드로 암호화를 수행하여 터널 끝점 사이의 일부 경로에서 트래픽을 보호하고, 네트워크 부하가 일정 기준 이상인 경우 상기 암호화 모드를 전송모드로 전환하여 종단간의 보안을 제공할 수 있다.
바람직하게는, 상기 데이터베이스부는 상기 인증정보 및 상기 광 전송 설비장치의 동작정보를 해쉬에 의한 무의미한 값으로 저장할 수 있다.
또한, 상기 목적을 달성하기 위해, 본 발명에서 제공하는 원전 네트워크 광 전송 시스템의 데이터 전송 방법은 다수의 원전 네트워크 본부에 설치되어 현장 데이터를 수집 또는 제어하는 단말장치들; 표준화된 하위 계층용 암호화 프로토콜을 이용하여 상기 다수의 단말장치들과 통신을 수행하고, 상기 다수의 단말장치들로부터의 데이터를 취합하는 다수의 광 전송 설비장치들; 및 표준화된 상위 계층용 암호화 프로토콜을 이용하여 상기 다수의 광 전송 설비장치들과 통신을 수행하고, 상기 다수의 광 전송 설비장치들로부터의 데이터를 취합하는 EMS 관리 서버를 포함하는 원전 네트워크의 광 전송 시스템의 데이터 전송 방법에 있어서, 표준화된 상위 계층용 암호화 프로토콜을 이용하여 상기 다수의 광 전송 설비장치들간 상호 인증을 수행하는 상호 인증단계; 및 MPLS 통신 프로토콜의 특정 계층을 암호화하여 서로 다른 광 전송 설비장치들과 암호화된 데이터 통신을 수행하는 암호화 MPLS 통신단계를 포함하는 것을 특징으로 한다.
바람직하게는, 상기 상호 인증단계는 양자 암호키를 생성하여 분배하는 외부의 양자키 분배 서버로부터 양자 암호키를 전달받아 다른 광 전송 설비장치들과의 인증을 수행하는 초기 인증단계; 및 일정 주기로 난수를 생성하고, 상기 난수를 이용하여 상기 다른 광 전송 설비 장치들과의 초기 인증 이후의 인증을 수행하는 후속 인증단계를 포함할 수 있다.
바람직하게는, 상기 암호화 MPLS 통신단계는 상기 MPLS의 PE 구간의 데이터 통신을 암호화할 수 있다.
바람직하게는, 상기 암호화 MPLS 통신단계는 상기 MPLS 통신 시 발생하는 유사-와이어(Pseudo-wire) 헤더를 IPsec의 ESP 방식으로 암호화하되, 네트워크 환경에 따라 터널 모드 또는 전송 모드를 선택적으로 적용하여 암호화할 수 있다.
바람직하게는, 상기 암호화 MPLS 통신단계는 네트워크 부하가 정상일 때는 상기 터널 모드로 암호화를 수행하여 터널 끝점 사이의 일부 경로에서 트래픽을 보호하고, 네트워크 부하가 일정 기준 이상인 경우 상기 암호화 모드를 전송모드로 전환하여 종단간의 보안을 제공할 수 있다.
바람직하게는, 상기 방법은 상기 인증정보 및 상기 광 전송 설비장치의 동작정보를 해쉬에 의한 무의미한 값으로 저장하는 데이터 저장 단계를 더 포함할 수 있다.
본 발명은 광 전송 시스템에 보안카드 형태의 암호화 모듈을 장착하여 암호화 통신 기능을 제공함으로써 원전 네트워크 광 전송 시스템의 보안을 강화시키는 효과가 있다. 그리고, 본 발명은 광 전송 시스템에서 장치간 인증을 위해 필요한 보안정보를 안전하게 관리함으로써, 악의적인 공격을 차단하고, 이로 인해 원전 네트워크 광 전송 시스템의 보안을 강화시킬 수 있는 장점이 있다. 또한, 본 발명은 MPLS 통신의 특정 계층을 암호화하여 대역폭과 지연시간을 최소화함으로써, MPLS 통신의 신뢰성을 높이고, 이로 인해, 원전 네트워크 광 전송 시스템의 보안을 강화시킬 수 있는 장점이 있다.
도 1은 본 발명의 일 실시 예에 따른 원전 네트워크의 광 전송 시스템에 대한 개략적인 시스템 구성도이다.
도 2는 본 발명의 일 실시 예에 따른 광 전송 설비 장치에 대한 개략적인 블록도이다.
도 3은 본 발명의 일 실시 예에 따른 원전 네트워크 광 전송 시스템의 데이터 전송 방법에 대한 개략적인 처리 흐름도이다.
도 4는 본 발명의 일 실시 예에 따른 상호 인증 과정에 대한 개략적인 처리 흐름도이다.
도 5는 본 발명의 일 실시 예에 따른 암호화 MPLS 통신 과정에 대한 개략적인 처리 흐름도이다.
도 6은 본 발명의 일 실시 예에 따른 암호화 MPLS 통신 과정에서 생성되는 데이터 패킷 구조의 예들을 도시한 도면이다.
아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시 예에 대하여 설명하되, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시 예에 한정되지 않는다. 한편 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다. 또한 상세한 설명을 생략하여도 본 기술 분야의 당업자가 쉽게 이해할 수 있는 부분의 설명은 생략하였다.
명세서 및 청구범위 전체에서, 어떤 부분이 어떤 구성 요소를 포함한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성 요소를 제외하는 것이 아니라 다른 구성 요소를 더 포함할 수 있는 것을 의미한다.
도 1은 본 발명의 일 실시 예에 따른 원전 네트워크의 광 전송 시스템에 대한 개략적인 시스템 구성도이다. 도 1을 참조하면, 본 발명의 일 실시 예에 따른 원전 네트워크의 광 전송 시스템은 다수의 단말장치들(100a, 100b, 100c), 다수의 광 전송 설비장치들(200a, 200b, 200c), EMS 관리 서버(400)를 포함한다.
다수의 단말장치들(100)은 원전 네트워크 본부에 설치되어 현장 데이터를 수집 또는 제어한다.
다수의 광 전송 설비장치들(200a, 200b, 200c)은 다수의 단말장치들(100a, 100b, 100c)로부터의 데이터를 취합한다. 이를 위해, 광 전송 설비장치들(200a, 200b, 200c)은 표준화된 하위 계층용 암호화 프로토콜(예컨대, IPsec, MACsec 등)을 이용하여 다수의 단말장치들(100a, 100b, 100c)과 통신을 수행할 수 있다. 또한, 광 전송 설비장치들(200a, 200b, 200c) 각각은 라우터를 통해 특정 지역의 단말장치들(100a, 100b, 100c)과 연결될 수 있다. 한편, 다수의 광 전송 설비장치들(200a, 200b, 200c)은 MPLS 망(300)을 통해 상호 연결이 가능하다. 이를 위해, 광 전송 설비장치들(200a, 200b, 200c)은 표준화된 상위 계층용 암호화 프로토콜(예컨대, TLS 등)을 이용하여 상호 인증을 수행하고, MPLS 통신 프로토콜을 이용하여 상호 데이터 통신을 수행할 수 있다. 이 때, 광 전송 설비장치들(200a, 200b, 200c) 각각은 MPLS 통신 프로토콜의 특정 계층(즉, PE 구간, Provider Edge)을 암호화하여 서로 다른 광 전송 설비장치들과 암호화된 데이터 통신을 수행할 수 있다.
EMS 관리서버(400)(일명, NMS, Network Management System)는 다수의 광 전송설비장치들(200)로부터의 데이터를 취합한다. 이를 위해, EMS 관리서버(400)는 표준화된 상위 계층용 암호화 프로토콜(예컨대, TLS 등)을 이용하여 광 전송 설비장치들(200)과 통신을 수행할 수 있다.
이와 같은 구성을 갖는 본 발명의 광 전송 시스템에서, 하나의 광 전송 설비장치(예컨대, 200a)는, 그 광 전송 설비장치(예컨대, 200a)에 의해 관리되는 단말장치들(예컨대, 100a)과의 통신을 위해 상기 단말장치들(예컨대, 100a)과 연결된 라우터(미도시)를 통해 데이터를 수집한다. 그리고, 광 전송 설비장치(예컨대, 200a)는 상기 수집된 데이터를 다른 광 전송 설비장치(예컨대, 200b 또는 200c)로 보낸다. 이 때, 라우터(미도시)와 광 전송 설비장치(200a, 200b, 200c) 간의 통신 구간인 CE 구간(Customer Edge)은 표준화된 Ipsec 또는 MACsec을 적용하여 암호화를 수행하고, 광 전송 설비장치들(200a, 200b, 200c) 간의 통신 구간인 MPLS 통신 구간은 PW-ESP 방식으로 암호화하여 통신할 수 있다.
따라서, 임의의 한 광 전송 설비장치(예컨대, 200a)가, 대응된 라우터(미도시)를 통해, Ipsec 또는 MACsec을 적용하여 암호화된 데이터를 수신한 후, 그 데이터를 PW-ESP 방식으로 암호화하여 다른 광 전송 설비장치들(예컨대, 200b 또는 200c)에게 전송하면, 이를 수신한 광 전송 설비장치들(200b 또는 200c)은 상기 암호화된 데이터를 복호화하여 대응된 단말장치들(100b 또는 100c)에게 전송한다.
이와 같이 광 전송 설비 장치들(200a, 200b, 200c) 간에 암호화된 데이터를 송/수신하기 위해서 광 전송 설비 장치들(200a, 200b, 200c) 각각은 데이터의 암호화를 처리하기 위한 모듈이 탑재된 카드 형태의 보안 모듈을 더 포함할 수 있다.
이러한 광 전송 설비장치들(200a, 200b, 200c)에 대한 개략적인 블록이 도 2에 예시되어 있다.
도 2는 본 발명의 일 실시 예에 따른 광 전송 설비 장치에 대한 개략적인 블록도이다. 도 2를 참조하면 본 발명의 일 실시 예에 따른 광 전송 설비 장치(200)는 장치 제어부(210), 암호화 처리부(220), 데이터베이스부(DB)(230), 및 난수 발생기(240)를 포함한다.
장치 제어부(210)는 미리 설정된 제어 알고리즘에 의거하여, 광 전송 설비장치(200)의 동작을 제어한다. 특히, 장치 제어부(210)는 EMS 관리서버(400) 및 서로 다른 광 전송 설비장치들(미도시)과의 데이터 교환에 필요한 제어를 수행한다. 이를 위해, 장치 제어부(210)는 통신망을 통해 다른 장치들(예컨대, EMS 관리 서버(400) 또는 다른 광 전송 설비 장치들(미도시))에 접속하기 위한 식별정보(ID)를 보유하고, 상기 식별정보(ID)에 의해 접속 인증 절차를 수행할 수 있다. 한편, 광 전송 설비장치(200)에 접속하고자 하는 외부 장치들(예컨대, EMS 관리 서버(400) 또는 다른 광 전송 설비 장치들(미도시))도 각각의 식별정보(ID)를 보유하고 그 식별정보(ID)에 의한 접속 인증을 거쳐 광 전송 설비장치(200)에 접속할 수 있다. 이로 인해, 광 전송 설비장치(200)가, 인증되지 않은 사용자 또는 장치에 의하여 악의적인 공격을 받는 것을 미연에 방지할 수 있다.
또한, 장치 제어부(210)는 접근 가능한 장치를 사전에 등록하되, 등록 수를 제한하거나, 상기 식별정보(ID) 및 패스워드를 주기적으로 변경함으로써, 인증되지 않은 사용자 또는 장치의 접근을 차단할 수 있다.
암호화 처리부(220)는 광 전송 설비장치(200)와 데이터 통신을 수행하고자 하는 다른 광 전송 설비장치들(미도시)과의 인증 또는 암호화 데이터 통신을 위한 처리를 수행한다. 즉, 암호화 처리부(220)는 표준화된 상위 계층용 암호화 프로토콜(예컨대, TLS 등)을 이용하여 광 전송 설비장치들 간 상호 인증을 수행할 수 있다. 이를 위해, 암호화 처리부(220)는 양자 암호키를 생성하여 분배하는 외부의 양자키 분배 서버(500)로부터 양자 암호키를 전달받아 다른 광 전송 설비장치들(미도시)과의 초기 인증을 수행한다. 또한, 암호화 처리부(220)는 난수 발생기(240)로부터 일정 주기로 발생된 난수를 전달받고, 상기 난수를 이용하여 상기 다른 광 전송 설비장치들과의 초기 인증 이후의 인증(즉, 후속 인증)을 수행할 수 있다.
한편, 암호화 처리부(220)는, 장치 제어부(210)의 제어를 받아, 상기 다른 광 전송 설비장치들(미도시)과 송수신할 데이터를 암호화한다. 이 때, 암호화 처리부(220)는 암호화된 MPLS 통신 방식으로 데이터를 암호화하되, 상기 MPLS의 데이터 통신 구간들 중 PE(Provider Edge) 구간의 데이터 통신을 암호화한다.
특히, 암호화 처리부(220)는 MPLS 통신 시 발생하는 유사-와이어(Pseudo-wire) 헤더를 IPsec의 ESP 방식으로 암호화하되, 네트워크 환경에 따라 터널 모드 또는 전송 모드를 선택적으로 적용하여 암호화할 수 있다. 예를 들어, 암호화 처리부(220)는 네트워크 부하가 정상일 때는 상기 터널 모드로 암호화를 수행하여 터널 끝점 사이의 일부 경로에서 트래픽을 보호하고, 네트워크 부하가 일정 기준 이상인 경우 상기 암호화 모드를 전송모드로 전환하여 종단간의 보안을 제공할 수 있다. 이와 같이 암호화 처리부(220)에서 각 암호화 모드별로 생성된 데이터 패킷 구조의 예가 도 6에 예시되어 있다.
도 6은 MPLS 암호화 통신을 위해 암호화된 데이터 패킷 구조의 예들을 도시하고 있다. 도 6의 (a)는 MPLS 암호화를 수행하지 않은 데이터 패킷 구조의 예를 도시하고, 도 6의 (b)는 전송모드 MPLS 암호화를 수행한 데이터 패킷 구조의 예를 도시하고, 도 6의 (c)는 터널모드 MPLS 암호화를 수행한 데이터 패킷 구조의 예를 도시한다.
도 6의 (a)를 참조하면, MPLS 암호화를 수행하지 않고 LSP 계층 암호화를 수행한 데이터 패킷(10)은 NNI L2 헤더(11), LSP Shim 헤더(12), PW Shim 헤더(13), User Traffic(IP/TDM)(14), FCS(15)를 포함한다.
도 6의 (b)를 참조하면, 전송모드 MPLS 암호화를 수행한 데이터 패킷(20)은 LSP(21), PW(22), ESP 헤더(23), User Traffic(IP/TDM)(24), ESP 트레일러(25), ESP 인증데이터(26)를 포함하고, 이들 중 User Traffic(IP/TDM)(24), ESP 트레일러(25)가 암호화 영역(A)이고, ESP 헤더(23), User Traffic(IP/TDM) (24), ESP 트레일러(25)는 인증 영역(B)이다. 이와 같이, 전송모드에서는 ESP 헤더(23)가 PW(22)와 User Traffic(IP/TDM)(24)의 사이에 위치하여 종단 간의 보안을 제공하는 모드로 트래픽을 보호할 수 있다.
도 6의 (c)를 참조하면, 터널모드 MPLS 암호화를 수행한 데이터 패킷(30)은 LSP(31), New PW(32), ESP 헤더(33), PW(34), User Traffic(IP/TDM)(35), ESP 트레일러(36), ESP 인증데이터(37)를 포함하고, 이들 중 PW(34), User Traffic(IP/TDM) (35), ESP 트레일러(36)가 암호화 영역(C)이고, ESP 헤더(33), PW(34), User Traffic(IP/TDM)(35), ESP 트레일러(36)는 인증 영역(B)이다. 이와 같이, 터널모드에서는 PW(34) 앞에 ESP 헤더(33)와 New PW(32)가 위치하여 터널 끝점 사이의 일부 경로에서 트래픽을 보호할 수 있다.
데이터베이스부(DB)(230)는 광 전송 설비장치(200)의 식별정보 및 상기 인증정보(예컨대, 암호키, 접근이 허용된 사용자 또는 장치의 식별정보 등)를 포함한 보안정보와, 광 전송 설비장치(200)의 동작 정보를 저장/관리한다. 이 때, 데이터베이스부(DB)(230)는 상기 인증정보 및 상기 광 전송 설비장치의 동작정보 등 유용한 정보들을 해쉬에 의한 무의미한 값으로 저장할 수 있다. 예를 들어, 데이터베이스부(DB)(230)는 개인키, 비밀키, 중요 데이터 값, 식별정보, 패스워드, 기기 고유값 등의 유용한 정보들을 SHA 256 등 해쉬(hash) 처리하여 저장한다. 즉, 데이터베이스부(DB)(230)에는 실제 데이터는 없고, 해쉬(hash)값과 결과치만 저장한다. 이로 인해, 데이터베이스부(DB)(230)가 탈취를 당하더라도 중요 정보의 유출을 방지할 수 있다.
난수 발생기(240)는 일정 주기로 난수를 발생시켜 암호화 처리부(220)로 전달한다.
도 3은 본 발명의 일 실시 예에 따른 원전 네트워크 광 전송 시스템의 데이터 전송 방법에 대한 개략적인 처리 흐름도이다. 도 2 및 도 3을 참조하면, 본 발명의 일 실시 예에 따른 원전 네트워크 광 전송 시스템의 데이터 전송 방법은 다음과 같다.
단계 S100에서는, 암호화 처리부(220)가 표준화된 상위 계층용 암호화 프로토콜(예컨대, TLS 등)을 이용하여 다수의 광 전송 설비장치들간 상호 인증을 수행한다.
단계 S200에서는, 암호화 처리부(220)가 MPLS 통신 프로토콜의 특정 계층(예컨대, PE 구간)을 암호화하여 서로 다른 광 전송 설비장치들과 암호화된 MPLS 데이터 통신을 수행한다.
단계 S300에서는, 데이터 베이스부(230)에서 광 전송 설비장치(200)의 식별정보 및 상기 인증정보(예컨대, 암호키, 접근이 허용된 사용자 또는 장치의 식별정보 등)를 포함한 보안정보와, 광 전송 설비장치(200)의 동작 정보를 저장한다. 이 때, 단계 S300에서는, 상기 인증정보 및 상기 광 전송 설비장치의 동작정보를 해쉬에 의한 무의미한 값으로 저장할 수 있다. 예를 들어, 데이터베이스부(DB)(230)는 개인키, 비밀키, 중요 데이터 값, 식별정보, 패스워드, 기기 고유값 등의 유용한 정보들을 SHA 256 등 해쉬(hash) 처리하여 저장한다. 즉, 데이터베이스부(DB)(230)에는 실제 데이터는 없고, 해쉬(hash)값과 결과치만 저장한다. 이로 인해, 데이터베이스부(DB)(230)가 탈취를 당하더라도 중요 정보의 유출을 방지할 수 있다.
한편, 도 3의 예에서는, 단계 S300이, 단계 S200을 수행한 후에 수행되는 것으로 도시되어 있지만, 단계 S300은 항상 단계 S200을 처리한 후에 수행하는 것은 아니다. 즉, 단계 S300은 데이터가 발생되는 모든 시점에 수행될 수 있다. 예를 들어, 단계 S300은 암호화 처리부(220)가 양자키 분배서버(500)로부터 인증키를 수신한 경우, 또는 전송 데이터를 생성한 경우 등 데이터가 발생되는 시점에 언제든지 수행될 수 있다.
도 4는 본 발명의 일 실시 예에 따른 상호 인증 과정에 대한 개략적인 처리 흐름도이다. 도 2 및 도 4를 참조하면, 본 발명의 일 실시 예에 따른 상호 인증 과정(도 3의 S100)은 다음과 같다. 먼저, 단계 S110에서는, 암호화 처리부(220)가 양자 암호키를 생성하여 분배하는 외부의 양자키 분배 서버(500)로부터 양자 암호키를 전달받아 다른 광 전송 설비장치들과의 초기 인증을 수행한다.
단계 S120에서는, 암호화 처리부(220)가 난수발생기(240)로부터 일정주기로 생성된 난수를 전달받고, 그 난수를 이용하여 상기 다른 광 전송 설비 장치들과의 초기 인증 이후의 인증(즉, 후속 인증)을 수행한다.
도 5는 본 발명의 일 실시 예에 따른 암호화 MPLS 통신 과정에 대한 개략적인 처리 흐름도이다. 도 2 및 도 5를 참조하면, 본 발명의 일 실시 예에 따른 암호화 MPLS 통신과정(도 3의 S200)은 다음과 같다. 먼저, 단계 S205에서는, 암호화 대역폭을 고려할 것인지 여부를 결정한다. 즉, 단계 S205에서는, 암호화 처리부(220)가 암호화 MPLS 통신을 수행할 것인지 여부를 결정한다.
단계 S205에서 암호화 MPLS 통신을 수행하지 않는 것으로 결정된 경우, 단계 S210에서는, 암호화 처리부(220)가 LSP 계층 암호화 패킷을 생성한다. 이 때, 생성된 LSP 계층 암호화 패킷의 예가 도 6의 (a)에 예시되어 있다.
한편, 단계 S205에서 암호화 MPLS 통신을 수행하는 것으로 결정된 경우, 암호화 처리부(220)는 상기 MPLS 통신 시 발생하는 유사-와이어(Pseudo-wire) 헤더를 IPsec의 ESP 방식으로 암호화하되, 네트워크 환경에 따라 터널 모드 또는 전송 모드를 선택적으로 적용하여 암호화하는 단계를 수행한다.
이를 위해, 단계 S215에서는, 암호화 처리부(220)가 네트워크 부하가 정상인지 여부를 결정한다.
단계 S215에서 네트워크 부하가 정상인 것으로 결정된 경우, 단계 S220에서는, 암호화 처리부(220)가 터널 모드-PW 계층 ESP 패킷을 생성한다. 이 때, 생성된 터널 모드-PW 계층 ESP 패킷의 예가 도 6의 (b)에 예시되어 있다. 상기 터널 모드-PW 계층 ESP 패킷은 도 6의 (b)를 참조한 설명에서 언급한 바와 같이, 터널 끝점 사이의 일부 경로에서 트래픽을 보호할 수 있다.
한편, 단계 S215에서 네트워크 부하가 정상이 아닌 것으로 결정된 경우, 단계 S225에서는, 암호화 처리부(220)가 전송모드-PW 계층 ESP 패킷을 생성한다. 이 때, 생성된 전송모드-PW 계층 ESP 패킷의 예가 도 6의 (c)에 예시되어 있다. 상기 전송모드-PW 계층 ESP 패킷은 도 6의 (c)를 참조한 설명에서 언급한 바와 같이, 종단간의 보안을 제공하는 모드로 트래픽을 보호할 수 있다.
상술한 예시적인 시스템에서, 방법들은 일련의 단계 또는 블록으로써 순서도를 기초로 설명되고 있지만, 본 발명은 단계들의 순서에 한정되는 것은 아니며, 어떤 단계는 상술한 바와 다른 단계와 다른 순서로 또는 동시에 발생할 수 있다.
또한, 당업자라면 순서도에 나타낸 단계들이 배타적이지 않고, 다른 단계가 포함되거나 순서도의 하나 또는 그 이상의 단계가 본 발명의 범위에 영향을 미치지 않고 삭제될 수 있음을 이해할 수 있을 것이다.

Claims (12)

  1. 다수의 원전 네트워크 본부에 설치되어 현장 데이터를 수집 또는 제어하는 단말장치들;
    표준화된 하위 계층용 암호화 프로토콜을 이용하여 상기 다수의 단말장치들과 통신을 수행하고, 상기 다수의 단말장치들로부터의 데이터를 취합하는 다수의 광 전송 설비장치들; 및
    표준화된 상위 계층용 암호화 프로토콜을 이용하여 상기 다수의 광 전송 설비장치들과 통신을 수행하고, 상기 다수의 광 전송 설비장치들로부터의 데이터를 취합하는 EMS 관리 서버를 포함하는 것을 특징으로 하되,
    상기 다수의 광 전송 설비장치들은
    상기 표준화된 상위 계층용 암호화 프로토콜을 이용하여 서로 다른 광 전송 설비장치들과 상호 인증을 수행하고, MPLS 통신 프로토콜의 PE 구간을 암호화하여 서로 다른 광 전송 설비장치들과 암호화된 데이터 통신을 수행하고,
    상기 광 전송 설비장치들 각각은
    상기 EMS 관리 서버 및 서로 다른 광 전송 설비장치들과의 데이터 교환에 필요한 제어를 수행하되, 상기 광 전송 설비장치에 접근 가능한 장치의 식별정보를 사전에 등록한 후, 상기 식별정보에 의해 접속 인증절차를 수행하되, 상기 접근 가능한 장치의 등록 수를 제한하거나, 상기 식별정보 및 패스워드를 주기적으로 변경하여 인증되지 않은 사용자 또는 장치의 접근을 차단하는 장치 제어부;
    일정 주기로 난수를 발생키는 난수 발생기;
    양자 암호키를 생성하여 분배하는 외부의 양자키 분배 서버로부터 양자 암호키를 전달받아 다른 광 전송 설비장치들과의 초기 인증을 수행하고, 상기 난수 발생기에서 발생된 난수를 이용하여 상기 다른 광 전송 설비장치들과의 초기 인증 이후의 인증을 수행하며, 암호화된 MPLS 통신 방식으로 상기 다른 광 전송 설비장치들과 송수신할 데이터를 암호화하는 암호화 처리부; 및
    상기 광 전송 설비장치의 식별정보 및 인증정보를 포함한 보안정보와, 상기 광 전송 설비장치의 동작 정보를 저장/관리하는 데이터베이스부를 포함하는 것을 특징으로 하는 원전 네트워크의 광 전송 시스템.
  2. 삭제
  3. 삭제
  4. 제1항에 있어서, 상기 암호화 처리부는
    상기 MPLS 통신 시 발생하는 유사-와이어(Pseudo-wire) 헤더를 IPsec의 ESP 방식으로 암호화하되, 네트워크 환경에 따라 터널 모드 또는 전송 모드를 선택적으로 적용하여 암호화하는 것을 특징으로 하는 원전 네트워크의 광 전송 시스템.
  5. 제4항에 있어서, 상기 암호화 처리부는
    네트워크 부하가 정상일 때는 상기 터널 모드로 암호화를 수행하여 터널 끝점 사이의 일부 경로에서 트래픽을 보호하고,
    네트워크 부하가 일정 기준 이상인 경우 상기 전송모드로 전환하여 종단간의 보안을 제공하는 것을 특징으로 하는 원전 네트워크의 광 전송 시스템.
  6. 삭제
  7. 삭제
  8. 삭제
  9. 삭제
  10. 삭제
  11. 삭제
  12. 삭제
KR1020190155213A 2019-11-28 2019-11-28 보안이 강화된 원전 네트워크의 광 전송 시스템 및 그의 데이터 전송 방법 KR102357375B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190155213A KR102357375B1 (ko) 2019-11-28 2019-11-28 보안이 강화된 원전 네트워크의 광 전송 시스템 및 그의 데이터 전송 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190155213A KR102357375B1 (ko) 2019-11-28 2019-11-28 보안이 강화된 원전 네트워크의 광 전송 시스템 및 그의 데이터 전송 방법

Publications (2)

Publication Number Publication Date
KR20210066229A KR20210066229A (ko) 2021-06-07
KR102357375B1 true KR102357375B1 (ko) 2022-01-27

Family

ID=76374215

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190155213A KR102357375B1 (ko) 2019-11-28 2019-11-28 보안이 강화된 원전 네트워크의 광 전송 시스템 및 그의 데이터 전송 방법

Country Status (1)

Country Link
KR (1) KR102357375B1 (ko)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001007849A (ja) * 1999-06-18 2001-01-12 Toshiba Corp Mplsパケット処理方法及びmplsパケット処理装置
JP2011510582A (ja) * 2008-01-25 2011-03-31 キネテイツク・リミテツド 量子暗号装置
CN109150916A (zh) * 2018-10-25 2019-01-04 盛科网络(苏州)有限公司 一种在mpls l2vpn网络中实现内层数据加密的方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20170037320A (ko) * 2015-09-25 2017-04-04 한국전력공사 원격 검침용 유무선 통신 인터페이스 및 이를 포함하는 지능형 원격 검침 시스템
KR102072447B1 (ko) 2017-10-27 2020-02-03 (주)파이버피아 광케이블의 해킹보안 방법 및 장치

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001007849A (ja) * 1999-06-18 2001-01-12 Toshiba Corp Mplsパケット処理方法及びmplsパケット処理装置
JP2011510582A (ja) * 2008-01-25 2011-03-31 キネテイツク・リミテツド 量子暗号装置
CN109150916A (zh) * 2018-10-25 2019-01-04 盛科网络(苏州)有限公司 一种在mpls l2vpn网络中实现内层数据加密的方法

Also Published As

Publication number Publication date
KR20210066229A (ko) 2021-06-07

Similar Documents

Publication Publication Date Title
US8904178B2 (en) System and method for secure remote access
US8112622B2 (en) Chaining port scheme for network security
EP2697931B1 (en) Qkd key management system
US8886934B2 (en) Authorizing physical access-links for secure network connections
CN101300806B (zh) 用于处理安全传输的系统和方法
RU2507691C2 (ru) Улучшение безопасности пассивной оптической сети, основанной на интерфейсе административного управления терминалом оптической сети
US7305551B2 (en) Method of transmitting security data in an ethernet passive optical network system
CN104067595A (zh) 用于在网络环境中的传输层安全会话票证的创新管理的系统和方法
US11777718B2 (en) Unification of data flows over network links with different internet protocol (IP) addresses
CN110999223A (zh) 安全加密的心跳协议
CN100580652C (zh) 用于光纤信道公共传输的机密性保护的方法和装置
CN105409157A (zh) 用于光网络的自适应业务加密
Samociuk Secure communication between OpenFlow switches and controllers
US20080244716A1 (en) Telecommunication system, telecommunication method, terminal thereof, and remote access server thereof
CN104065485A (zh) 电网调度移动平台安全保障管控方法
CN113411190A (zh) 密钥部署、数据通信、密钥交换、安全加固方法及系统
TW200307422A (en) Encrypted central unified management system
KR20210086998A (ko) Hybrid-quantum channel에 적용된 one-way-ring/two-way-ring network qrn key 분배방법 및 하이브리드 양자통신 시스템 단말기 및 이종망 qrn key 분배 하이브리드 양자통신 폐쇄망 시스템
KR102357375B1 (ko) 보안이 강화된 원전 네트워크의 광 전송 시스템 및 그의 데이터 전송 방법
CN104618211A (zh) 一种基于隧道的报文处理方法和总部网关设备
CN110661803A (zh) 一种闸门加密控制系统及方法
KR102571495B1 (ko) 광 전송 설비용 보안 시스템 및 방법
CN111431889B (zh) 一种OpenFlow网络中轻量级控制通道的通信保护方法
WO2024001885A1 (zh) 数据传输方法、电子设备及计算机存储介质
US20230370247A1 (en) Method for protecting a network access profile against cloning

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant