KR102404066B1 - 전력 제어 시스템을 위한 보안 장치 및 방법 - Google Patents

전력 제어 시스템을 위한 보안 장치 및 방법 Download PDF

Info

Publication number
KR102404066B1
KR102404066B1 KR1020200118381A KR20200118381A KR102404066B1 KR 102404066 B1 KR102404066 B1 KR 102404066B1 KR 1020200118381 A KR1020200118381 A KR 1020200118381A KR 20200118381 A KR20200118381 A KR 20200118381A KR 102404066 B1 KR102404066 B1 KR 102404066B1
Authority
KR
South Korea
Prior art keywords
wireless communication
communication device
band wireless
dual
dnp
Prior art date
Application number
KR1020200118381A
Other languages
English (en)
Other versions
KR20220036141A (ko
Inventor
장인석
이태윤
Original Assignee
한전케이디엔주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한전케이디엔주식회사 filed Critical 한전케이디엔주식회사
Priority to KR1020200118381A priority Critical patent/KR102404066B1/ko
Publication of KR20220036141A publication Critical patent/KR20220036141A/ko
Application granted granted Critical
Publication of KR102404066B1 publication Critical patent/KR102404066B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02JCIRCUIT ARRANGEMENTS OR SYSTEMS FOR SUPPLYING OR DISTRIBUTING ELECTRIC POWER; SYSTEMS FOR STORING ELECTRIC ENERGY
    • H02J13/00Circuit arrangements for providing remote indication of network conditions, e.g. an instantaneous record of the open or closed condition of each circuitbreaker in the network; Circuit arrangements for providing remote control of switching means in a power distribution network, e.g. switching in and out of current consumers by using a pulse code signal carried by the network
    • H02J13/00001Circuit arrangements for providing remote indication of network conditions, e.g. an instantaneous record of the open or closed condition of each circuitbreaker in the network; Circuit arrangements for providing remote control of switching means in a power distribution network, e.g. switching in and out of current consumers by using a pulse code signal carried by the network characterised by the display of information or by user interaction, e.g. supervisory control and data acquisition systems [SCADA] or graphical user interfaces [GUI]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0827Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving distinctive intermediate devices or communication paths
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02EREDUCTION OF GREENHOUSE GAS [GHG] EMISSIONS, RELATED TO ENERGY GENERATION, TRANSMISSION OR DISTRIBUTION
    • Y02E60/00Enabling technologies; Technologies with a potential or indirect contribution to GHG emissions mitigation
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/12Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them characterised by data transport means between the monitoring, controlling or managing units and monitored, controlled or operated electrical equipment
    • Y04S40/126Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them characterised by data transport means between the monitoring, controlling or managing units and monitored, controlled or operated electrical equipment using wireless data transmission

Abstract

실시예에 따르면, 암호화 된 DNP데이터를 전송하는 FEP서버; 상기 FEP서버에서 수신한 암호화 된 DNP데이터를 복호화하여 제1평문 DNP데이터를 생성하고, 상기 제1평문 DNP데이터를 마스터 듀얼밴드 무선 통신 장치에 전달하는 보안카드; 상기 제1평문 DNP데이터를 제1 FRTU에 전송하고, 상기 제1평문 DNP데이터를 블록 암호화하여 슬레이브 듀얼밴드 무선 통신 장치에 전송하는 마스터 듀얼밴드 무선 통신 장치; 및 상기 블록 암호화 된 DNP데이터를 복호화하여 제2 평문 DNP데이터를 생성하고, 상기 제2평문 DNP데이터를 제2 FRTU에 전송하는 슬레이브 듀얼밴드 무선 통신 장치를 포함하며, 상기 제1 FRTU는 자신의 단말장치 주소와 상기 제1평문 DNP데이터의 단말장치 주소가 일치하면 상기 제1평문 DNP데이터를 분석해서 동작을 수행하고, 상기 제2 FRTU는 자신의 단말장치 주소와 상기 제2평문 DNP데이터의 단말장치 주소가 일치하면 상기 제2평문 DNP데이터를 분석해서 동작을 수행하는 전력 제어 시스템을 위한 보안 장치를 제공한다.

Description

전력 제어 시스템을 위한 보안 장치 및 방법{Security device and method for power control system}
본 발명의 일실시예는 전력 제어 시스템을 위한 보안 장치 및 방법에 관한 것이다.
SCADA(Supervisory Control And Data Acquisition) 시스템은 원격지 시설 장치를 중앙 집중식으로 감시 제어하기 위한 시스템이다. SCADA 시스템은 특히 발전·송배전 분야에서 통신 경로상의 아날로그 또는 디지털 신호를 사용하여 원격장치의 상태정보 데이터를 원격소 장치인 아웃스테이션(Outstation)으로 수신하고 기록 및 표시하여 수집하고, 상기 정보를 중앙제어시스템인 마스터(Master)로 전달함으로써 중앙 제어 시스템에서 원격장치를 감시·제어하도록 한다.
이러한 SCADA 시스템의 통신 네트워크 보호를 위해, IEEE 1815 DNP 3.0 표준에서 보안 인증(Secure Authentication)을 포함하고 있다. 보안 인증은 도청, 데이터 위변조 및 재전송 공격 등의 사이버공격으로부터 DNP 데이터 보호를 위해 기존 DNP 3.0 규격의 응용계층만 변경한 프로토콜로 인증과 무결성 보장을 위한 보안 메커니즘을 추가하였다. DNP 3.0 보안 인증은 메시지의 기밀성을 유지하기 위한 암호화 기능은 제공하지 않지만 마스터에서 아웃스테이션으로 전송하는 제어 명령과 같은 중요한 메시지들의 무결성을 보장하기 위해 인증 기능을 제공하고 있다. 보안 인증에서는 인증을 위해 챌린지-응답(Challenge-Response) 방식의 인증 모드를 제공한다. 챌린지-응답 모드는 기본 인증 모드로 인증을 위해 난수를 포함하는 인증 챌린지(Authentication Challenge)를 보내고 이에 대한 인증 응답(Authentication Response)을 수신하여 응답이 유효한지 검증하는 과정을 수행한다.
위에서 설명한 바와 같이 SCADA 통신 네트워크 보호를 위해 IEEE 1815 표준에서 보안 인증이라는 보안 규격을 제시하고 있지만 기존의 전력 제어 시스템은 보안성을 고려하지 않고 개발하여 운영되고 있고 DNP 3.0 보안 인증에서는 전력 제어 시스템을 구성하는 마스터와 아웃스테이션에 보안 기능을 탑재하는 방식을 제안하고 있어 운영되고 있는 전력 제어 시스템에 보안 기능을 적용하는데 어려움이 있다.
첫째로, DNP 3.0 보안 인증은 응용레벨의 프로토콜로 기 구축된 대부분의 SCADA시스템에서 제공되지 않는 경우가 많으며 보안 인증에서 제시한 보안 기능을 제공하기 위해서는 기 구축된 시스템 전체를 보안기능이 추가된 신규시스템으로 교체해야 하기 때문에 보안을 위해 많은 구축비용을 필요로 하며 시스템 교체에 따른 전력서비스 공급 중단 문제 등 실질적으로 적용하는데 많은 문제점이 있다.
둘째로, 전력 서비스의 가용성 보장이 어렵다. 전력서비스는 현대 사회의 기본이 되는 서비스로 안정적인 전력 공급에 문제가 발생하게 되면 기본적인 사회 활동 유지에 어려움을 겪을 뿐만 아니라 국가적인 손실이 발생하게 된다. 전력 제어 시스템의 가장 큰 기능은 안정적인 전력 서비스의 공급에 있고 이를 위해 현재의 전력 제어시스템은 시스템 이중화 및 통신회선 이중화 등 다양한 메커니즘을 적용하고 있다. 그러나 전력 제어시스템을 구성하는 마스터와 아웃스테이션에 보안기능을 탑재한 경우 DNP 데이터의 무결성 보장을 위한 보안기능 오작동시 전력 제어시스템 전체에 영향을 주게 되므로 전력 설비 상태정보 수집 및 제어를 위한 DNP 데이터 송수신이 실패하게 된다. 결국에는 DNP 데이터 전송실패로 인해 전력 제어시스템의 기본 기능인 전력 서비스의 가용성 확보에 어려움이 발생한다.
본 발명이 이루고자 하는 기술적 과제는 듀얼 밴드 통신 장치간의 무선 통신 구간에 동적 키를 사용하여 데이터를 암복호화 함으로써 보안성을 향상시킬 수 있는 전력 제어 시스템을 위한 보안 장치 및 방법을 제공하는데 있다.
실시예에 따르면, 암호화 된 DNP데이터를 전송하는 FEP서버; 상기 FEP서버에서 수신한 암호화 된 DNP데이터를 복호화하여 제1평문 DNP데이터를 생성하고, 상기 제1평문 DNP데이터를 마스터 듀얼밴드 무선 통신 장치에 전달하는 보안카드; 상기 제1평문 DNP데이터를 제1 FRTU에 전송하고, 상기 제1평문 DNP데이터를 블록 암호화하여 슬레이브 듀얼밴드 무선 통신 장치에 전송하는 마스터 듀얼밴드 무선 통신 장치; 및 상기 블록 암호화 된 DNP데이터를 복호화하여 제2 평문 DNP데이터를 생성하고, 상기 제2평문 DNP데이터를 제2 FRTU에 전송하는 슬레이브 듀얼밴드 무선 통신 장치를 포함하며, 상기 제1 FRTU는 자신의 단말장치 주소와 상기 제1평문 DNP데이터의 단말장치 주소가 일치하면 상기 제1평문 DNP데이터를 분석해서 동작을 수행하고, 상기 제2 FRTU는 자신의 단말장치 주소와 상기 제2평문 DNP데이터의 단말장치 주소가 일치하면 상기 제2평문 DNP데이터를 분석해서 동작을 수행하는 전력 제어 시스템을 위한 보안 장치를 제공한다.
상기 보안 카드는 카드 형태의 인쇄 회로 기판으로 상기 마스터 듀얼밴드 무선 통신 장치에 장착될 수 있다.
상기 FEP서버는 DNP SA API함수 및 TLS API함수를 이용하여 평문 DNP데이터를 DNP SA 및 TLS의 세션키에 따라 암호화하는 FEP보안 에이전트를 포함할 수 있다.
상기 마스터 듀얼밴드 무선 통신 장치 및 상기 슬레이브 듀얼밴드 무선 통신 장치는 상호간 공유하고 있는 동적 키를 이용하여 DNP데이터의 블록 암호화 또는 블록 복호화를 수행할 수 있다.
상기 마스터 듀얼밴드 무선 통신 장치는 키생성 API함수를 이용하여 상기 동적 키를 생성하고, 상기 슬레이브 듀얼밴드 무선 통신 장치로부터 수신한 공개 키를 이용하여 상기 동적 키를 암호화하여 상기 슬레이브 듀얼밴드 무선 통신 장치에 전송할 수 있다.
상기 마스터 듀얼밴드 무선 통신 장치는 상기 마스터 듀얼밴드 무선 통신 장치 또는 상기 슬레이브 듀얼밴드 무선 통신 장치의 재부팅 조건, 상기 마스터 듀얼밴드 무선 통신 장치 및 상기 슬레이브 듀얼밴드 무선 통신 장치간의 통신 재연결 조건 및 기 설정된 상기 동적 키의 생성 주기 조건 중 적어도 하나의 조건을 만족하는 경우 상기 동적 키를 재생성 할 수 있다.
실시예에 따르면, FEP서버가 암호화 된 DNP데이터를 보안 카드에 전송하는 단계; 상기 보안 카드가 상기 마스터 듀얼밴드 무선 통신 장치가 상기 FEP서버에서 수신한 암호화 된 DNP데이터를 복호화하여 제1평문 DNP데이터를 생성하는 단계; 상기 보안 카드가 상기 제1평문 DNP데이터를 마스터 듀얼밴드 무선 통신 장치에 전달하는 단계; 상기 마스터 듀얼밴드 무선 통신 장치가 상기 제1평문 DNP데이터를 제1 FRTU에 전송하는 단계; 상기 제1 FRTU가 자신의 단말장치 주소와 상기 제1평문 DNP데이터의 단말장치 주소가 일치하면 상기 제1평문 DNP데이터를 분석해서 동작을 수행하는 단계; 상기 마스터 듀얼밴드 무선 통신 장치가 상기 제1평문 DNP데이터를 블록 암호화하여 슬레이브 듀얼밴드 무선 통신 장치에 전송하는 단계; 상기 슬레이브 듀얼밴드 무선 통신 장치가 상기 블록 암호화 된 DNP데이터를 복호화하여 제2 평문 DNP데이터를 생성하고, 상기 제2평문 DNP데이터를 제2 FRTU에 전송하는 단계; 및 상기 제2 FRTU가 자신의 단말장치 주소와 상기 제2평문 DNP데이터의 단말장치 주소가 일치하면 상기 제2평문 DNP데이터를 분석해서 동작을 수행하는 단계를 포함하는 전력 제어 시스템을 위한 보안 방법을 제공한다.
상기 FEP서버가 암호화 된 DNP데이터를 보안 카드에 전송하는 단계 전에, 상기 FEP서버가 DNP SA API함수 및 TLS API함수를 이용하여 평문 DNP데이터를 DNP SA 및 TLS의 세션키에 따라 암호화하는 단계를 더 포함할 수 있다.
상기 마스터 듀얼밴드 무선 통신 장치 및 상기 슬레이브 듀얼밴드 무선 통신 장치는 상호간 공유하고 있는 동적 키를 이용하여 DNP데이터의 블록 암호화 또는 블록 복호화를 수행할 수 있다.
상기 FEP서버가 암호화 된 DNP데이터를 보안 카드에 전송하는 단계 전에, 상기 마스터 듀얼밴드 무선 통신 장치가 키생성 API함수를 이용하여 상기 동적 키를 생성하는 단계; 상기 슬레이브 듀얼밴드 무선 통신 장치로부터 수신한 공개 키를 이용하여 상기 동적 키를 암호화하여 상기 슬레이브 듀얼밴드 무선 통신 장치에 전송하는 단계를 더 포함할 수 있다.
상기 마스터 듀얼밴드 무선 통신 장치가 상기 마스터 듀얼밴드 무선 통신 장치 또는 상기 슬레이브 듀얼밴드 무선 통신 장치의 재부팅 조건, 상기 마스터 듀얼밴드 무선 통신 장치 및 상기 슬레이브 듀얼밴드 무선 통신 장치간의 통신 재연결 조건 및 기 설정된 상기 동적 키의 생성 주기 조건 중 적어도 하나의 조건을 만족하는 경우 상기 동적 키를 재생성하는 단계를 더 포함할 수 있다.
실시예에 따르면, 전술한 전력 제어 시스템을 위한 보안 방법을 컴퓨터에 실행시키기 위한 프로그램이 기록되어 있는 컴퓨터에서 판독 가능한 기록매체를 제공한다.
본 발명인 전력 제어 시스템을 위한 보안 장치 및 방법은 듀얼 밴드 통신 장치간의 무선 통신 구간에 동적 키를 사용하여 데이터를 암복호화 함으로써 보안성을 향상시킬 수 있다.
또한, 주기적으로 동적 키를 갱신하여 보안성을 향상시킬 수 있다.
또한. 듀얼 밴드 통신 장치와 FEP서버간의 유선 통신 구간에 전송 계층 보안(TLS, Transport Layer Security)를 구현하여 보안성을 향상시킬 수 있다.
도1은 실시예에 따른 전력 제어 시스템을 위한 보안 장치의 구성 블록도이다.
도2는 실시예에 따른 FEP서버의 구성 블록도이다.
도3은 실시예에 따른 마스터 듀얼밴드 무선 통신 장치의 구성 블록도이다.
도4는 실시예에 따른 슬레이브 듀얼밴드 무선 통신 장치의 구성 블록도이다.
도5는 실시예에 따른 동적 키의 생성 과정을 설명하기 위한 도면이다.
도6은 실시예에 따른 전력 제어 시스템을 위한 보안 장치의 동작을 설명하기 위한 도면이다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 상세히 설명한다.
다만, 본 발명의 기술 사상은 설명되는 일부 실시 예에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있고, 본 발명의 기술 사상 범위 내에서라면, 실시 예들간 그 구성 요소들 중 하나 이상을 선택적으로 결합, 치환하여 사용할 수 있다.
또한, 본 발명의 실시예에서 사용되는 용어(기술 및 과학적 용어를 포함)는, 명백하게 특별히 정의되어 기술되지 않는 한, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 일반적으로 이해될 수 있는 의미로 해석될 수 있으며, 사전에 정의된 용어와 같이 일반적으로 사용되는 용어들은 관련 기술의 문맥상의 의미를 고려하여 그 의미를 해석할 수 있을 것이다.
또한, 본 발명의 실시예에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다.
본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함할 수 있고, "A 및(와) B, C 중 적어도 하나(또는 한 개 이상)"로 기재되는 경우 A, B, C로 조합할 수 있는 모든 조합 중 하나 이상을 포함할 수 있다.
또한, 본 발명의 실시 예의 구성 요소를 설명하는 데 있어서, 제1, 제2, A, B, (a), (b) 등의 용어를 사용할 수 있다.
이러한 용어는 그 구성 요소를 다른 구성 요소와 구별하기 위한 것일 뿐, 그 용어에 의해 해당 구성 요소의 본질이나 차례 또는 순서 등으로 한정되지 않는다.
그리고, 어떤 구성 요소가 다른 구성요소에 '연결', '결합' 또는 '접속'된다고 기재된 경우, 그 구성 요소는 그 다른 구성 요소에 직접적으로 연결, 결합 또는 접속되는 경우뿐만 아니라, 그 구성 요소와 그 다른 구성 요소 사이에 있는 또 다른 구성 요소로 인해 '연결', '결합' 또는 '접속' 되는 경우도 포함할 수 있다.
또한, 각 구성 요소의 "상(위) 또는 하(아래)"에 형성 또는 배치되는 것으로 기재되는 경우, 상(위) 또는 하(아래)는 두 개의 구성 요소들이 서로 직접 접촉되는 경우뿐만 아니라 하나 이상의 또 다른 구성 요소가 두 개의 구성 요소들 사이에 형성 또는 배치되는 경우도 포함한다. 또한, "상(위) 또는 하(아래)"으로 표현되는 경우 하나의 구성 요소를 기준으로 위쪽 방향뿐만 아니라 아래쪽 방향의 의미도 포함할 수 있다.
실시예에 따른 전력 제어 시스템은 원격지 장치를 중앙 집중식으로 감시 및 제어하기 위한 시스템으로, 원격지에 위치한 설비의 감시 및 운전을 담당하는 아웃스테이션(원격소 장치), 아날로그 또는 디지털 신호를 사용하여 원격장치 상태정보를 수집하여 원격소 장치를 원격에서 감시하고 제어하는 마스터(제어서버), 및 마스터로부터 DNP 메시지를 수신하여 각 아웃스테이션로 전송하는 시리얼데이터수집장치(SIO: Serial Input Output Module)와 시리얼 모뎀으로 구성될 수 있다.
보안 기능이 적용된 제어시스템은 각 지역단위의 제어센터 역할을 수행하는 마스터, 마스터의 하위 노드인 아웃스테이션, 마스터와 아웃스테이션을 연결하는 제어 통신 네트워크를 통해 전송되는 DNP 데이터에 대하여 암복호화 연산을 수행함으로써 DNP 메시지의 인증, 무결성 검사, 기밀성 유지, 재전송 방지 등의 보안 기능을 제공하기 위한 마스터 듀얼밴드 무선 통신 장치, 슬레이브 듀얼밴드 무선 통신 및 FEP 서버를 포함하여 구성될 수 있다.
이하, 첨부된 도면을 참조하여 실시예를 상세히 설명하되, 도면 부호에 관계없이 동일하거나 대응하는 구성 요소는 동일한 참조 번호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다.
도1은 실시예에 따른 전력 제어 시스템을 위한 보안 장치의 구성 블록도이다. 도1을 참조하면 실시예에 따른 전력 제어 시스템을 위한 보안 장치는 FEP(Front End Processor)서버, 마스터 듀얼밴드 무선 통신 장치 및 슬레이브 듀얼밴드 무선 통신 장치를 포함할 수 있다.
도2는 실시예에 따른 FEP서버의 구성 블록도이다. 도1 및 도2를 참조하면, FEP서버(10)는 FEP 프로세서(11) 및 FEP 보안 에이전트(12)를 포함할 수 있다.
FEP 프로세서(11)는 FEP 보안에이전트와 TCP/IP통신 방식으로 데이터 통신을 수행하여, DNP(Distributed Network Protocol) 데이터를 전송할 수 있다. FEP 보안 에이전트(12)는 보안 카드(21)와 TLS(Transport Layer Security)통신 방식 또는 DNP SA방식으로 데이터 통신을 수행할 수 있다. FEP 보안 에이전트(12)는 데이터의 암호화 및 복호화를 수행할 수 있으며, FEP 프로세서(11)와 TCP/IP통신 방식으로 DNP데이터의 송수신을 수행할 수 있다. FEP 보안 에이전트(12)는 Linux 기반의 라이브러리 API함수를 제공할 수 있다. 이를 통하여, DNP SA API함수 및 TLS API함수를 이용하여 평문 DNP데이터를 DNP SA 및 TLS의 세션키에 따라 암호화하고, FEP서버(10)는 암호화 된 DNP데이터를 보안 카드(21)로 전송할 수 있다.
도3은 실시예에 따른 마스터 듀얼밴드 무선 통신 장치의 구성 블록도이다. 도1 및 도3을 참조하면, 마스터 듀얼밴드 무선 통신 장치(20)는 보안 카드(21), 마스터 프로세서(22), 마스터 보안 에이전트(23)를 포함할 수 있다.
보안 카드(21)는 Linux 운영체제가 구현된 카드 형태의 인쇄 회로 기판으로 마스터 듀얼밴드 무선 통신 장치(20)장치에 장착될 수 있다. 보안 카드(21)는 FEP 보안 에이전트(12)와 TLS통신 방식또는 DNP SA방식으로 데이터 통신을 수행할 수 있다. 보안 카드(21)는 FEP서버(10)에서 수신한 암호화 된 DNP데이터를 복호화하여 제1평문 DNP데이터를 생성하고, 제1평문 DNP데이터를 마스터 듀얼밴드 무선 통신 장치(20)에 전달할 수 있다. 보안 카드(21)는 TCP/IP통신방식으로 마스터 듀얼밴드 무선 통신 장치(20)에 DNP데이터를 전송하고, UART통신방식으로 보안 카드(21)의 상태 정보를 전송할 수 있다.
마스터 프로세서(22)는 무선통신의 상위 장비로서, 슬레이브 듀얼밴드 무선 통신 장치(30)와 TCP/IP통신방식으로 데이터 통신을 수행하여, 블록 암호화 된 DNP데이터를 전송할 수 있다. 또한, 마스터 프로세서(22)는 보안 카드(21)와 UART통신방식으로 데이터 통신을 수행하여 보안 카드(21)의 상태 정보를 수신할 수 있다. 마스터 프로세서(22)는 제1 FRTU(41)와 UART통신방식으로 데이터 통신을 수행하여 DNP데이터를 전송할 수 있다.
마스터 보안 에이전트(23)는 동적 키의 생성, 분배 및 관리 기능을 수행할 수 있다. 마스터 보안 에이전트(23)는 Linux 기반의 라이브러리 API함수를 제공할 수 있으며, 이를 통하여 DNP 데이터의 블록 암호화 및 복호화를 수행할 수 있다.
실시예에서, 동적키란 통신 주체간 암호 키가 지속적으로 변경되는 방식의 암호 키를 의미할 수 있다.
마스터 보안 에이전트(23)는 블록 암호 및 HMAC의 키를 생성하기 위한 인터페이스를 포함할 수 있다. 마스터 보안 에이전트(23)는 동적 키의 길이와 암호 알고리즘 정보를 입력받아 각 알고리즘에 사용될 동적 키를 생성할 수 있다. 마스터 보안 에이전트(23)는 ARIA, LEA 동적 키 생성 시 입력 동적 키의 길이가 128비트가 아닌 경우에는 에러를 출력하고, HMAC 동적 키 생성 시 출력 동적 키 길이의 난수를 생성해서 출력할 수 있다. 또한, 마스터 보안 에이전트(23)는 동적 키 생성을 위해 난수 발생기 인터페이스를 사용하고, 반환 값은 난수 발생기 오류 발생 시의 값을 반환할 수 있다.
또한, 마스터 보안 에이전트(23)는 블록 암호를 이용하여 입력된 메시지를 암호화하는 인터페이스 기능을 포함할 수 있다. 이러한 인터페이스 기능은 입력되는 암호 알고리즘과 운영모드에 대하여, 입력 동적키를 이용하여 입력 메시지의 암호화를 수행할 수 있다. 실시예에서, 블록 암호는 ARIA-128 및 LEA-128중 적어도 하나이고, 운영 모드는ECB, CBC, CTR, CCM 및 GCM 중 적어도 하나일 수 있다. GCM, CCM 운영모드는 태그값을 함께 출력할 수 있다. ECB, CBC 운영모드의 경우에는 pkcs 패딩을 사용할 수 있다. 마스터 보안 에이전트(23)는 입력되는 키의 길이가 16바이트가 아닌 경우, ECB 운영모드 이외에서 pIV가 NULL인 경우, GCM 운영모드에서 Tag의 버퍼가 NULL인 경우 또는, 평문과 암호문의 버퍼가 같은 경우에는 에러를 반환할 수 있다.
또한, 마스터 보안 에이전트(23)는 블록 암호를 이용하여 입력된 메시지를 복호화하는 인터페이스 기능을 포함할 수 있다. 이러한 인터페이스 기능은 입력되는 암호 알고리즘과 운영모드에 대하여, 입력 동적키를 이용하여 입력 암호문의 복호화를 수행할 수 있다. 실시예에서, 블록 암호는 ARIA-128 및 LEA-128중 적어도 하나이고, 운영 모드는ECB, CBC, CTR, CCM 및 GCM 중 적어도 하나일 수 있다. GCM, CCM 운영모드의 경우 Tag 값을 검증하여 검증 실패 시 평문을 출력하지 않으며, ECB, CBC 운영모드의 경우에는 pkcs 패딩을 이용할 수 있다. 마스터 보안 에이전트(23)는 입력되는 키의 길이가 16바이트가 아닌 경우, ECB 운영모드 이외에서 pIV가 NULL인 경우, GCM 운영모드에서 Tag의 버퍼가 NULL인 경우 또는, 평문과 암호문의 버퍼가 같은 경우 또는 태그값 검증이 실패한 경우에는 에러를 반환할 수 있다.
도4는 실시예에 따른 슬레이브 듀얼밴드 무선 통신 장치의 구성 블록도이다. 도1 및 도4를 참조하면, 슬레이브 듀얼밴드 무선 통신 장치(30)는 슬레이브 프로세서(31), 슬레이브 보안 에이전트(32)를 포함할 수 있다.
슬레이브 프로세서(31)는 무선통신의 하위 장비로서, 마스터 듀얼밴드 무선 통신 장치(20)와 TCP/IP통신방식으로 데이터 통신을 수행하여, 블록 암호화 된 DNP데이터를 수신할 수 있다. 또한, 슬레이브 프로세서(31)는 제2 FRTU(42)와 UART통신방식으로 데이터 통신을 수행하여 DNP데이터를 전송할 수 있다.
슬레이브 보안 에이전트(32)는 동적 키의 관리 기능을 수행할 수 있다. 슬레이브 보안 에이전트(32)는 Linux 기반의 라이브러리 API함수를 제공할 수 있으며, 이를 통하여 DNP 데이터의 블록 암호화 및 복호화를 수행할 수 있다.
제1 FRTU(41)(Feeder Remote Terminal Unit) 및 제2 FRTU(42)는 배전지능화용 단말장치로 배전설비 현장에 분포되어 있는 배전선로 개폐기를 정보 통신 기술을 이용하여 주장치에서 원격 감시, 제어하고 배전선로 고장발생(배전선로의 단락, 지락사고 등)시에 고장구간을 자동을 검출 할 수 있는 장치의 집합체를 의미할 수 있다. 각 FRTU는 UART통신 방식을 통하여 마스터 듀얼밴드 무선 통신 장치(20) 또는 슬레이브 듀얼밴드 무선 통신 장치(30)와 데이터 통신을 수행할 수 있다.
실시예에서, 제1 FRTU(41)는 자신의 단말장치 주소와 제1평문 DNP데이터의 단말장치 주소가 일치하면 제1평문 DNP데이터를 분석해서 동작을 수행할 수 있다. 제1 FRTU(41)는 마스터 듀얼밴드 무선 통신 장치(20)로부터 제1평문 DNP데이터를 수신하면, 자신의 단말장치 주소와 제1평문 DNP데이터의 단말장치 주소를 비교하고, 주소가 일치한 경우에만 제1평문 DNP데이터를 분석해서 동작을 수행할 수 있다. 제1 FRTU(41)는 주소가 일치하지 않은 경우에는 해당되는 제1평문 DNP데이터의 분석을 수행하지 않을 수 있다.
실시예에서, 제2 FRTU(42)는 자신의 단말장치 주소와 제2평문 DNP데이터의 단말장치 주소가 일치하면 제2평문 DNP데이터를 분석해서 동작을 수행할 수 있다. 제2 FRTU(42)는 슬레이브 듀얼밴드 무선 통신 장치(30)로부터 제2평문 DNP데이터를 수신하면, 자신의 단말장치 주소와 제2평문 DNP데이터의 단말장치 주소를 비교하고, 주소가 일치한 경우에만 제2평문 DNP데이터를 분석해서 동작을 수행할 수 있다. 제2 FRTU(42)는 주소가 일치하지 않은 경우에는 해당되는 제2평문 DNP데이터의 분석을 수행하지 않을 수 있다.
실시예에서, 마스터 듀얼밴드 무선 통신 장치(20) 및 슬레이브 듀얼밴드 무선 통신 장치(30)는 상호간 공유하고 있는 동적 키를 이용하여 DNP데이터의 블록 암호화 또는 블록 복호화를 수행할 수 있다.
마스터 듀얼밴드 무선 통신 장치(20)는 키생성 API함수를 이용하여 동적 키를 생성하고, 슬레이브 듀얼밴드 무선 통신 장치(30)로부터 수신한 공개 키를 이용하여 동적 키를 암호화하여 슬레이브 듀얼밴드 무선 통신 장치(30)에 전송할 수 있다.
또한, 마스터 듀얼밴드 무선 통신 장치(20)는 마스터 듀얼밴드 무선 통신 장치(20) 또는 슬레이브 듀얼밴드 무선 통신 장치(30)의 재부팅 조건, 마스터 듀얼밴드 무선 통신 장치(20) 및 슬레이브 듀얼밴드 무선 통신 장치(30)간의 통신 재연결 조건 및 기 설정된 동적 키의 생성 주기 조건 중 적어도 하나의 조건을 만족하는 경우 동적 키를 재생성할 수 있다.
이하 도5를 참고하여, 동적 키의 생성 과정을 설명하기로 한다.
도5를 참고하면, 먼저 슬레이브 듀얼밴드 무선 통신 장치는 마스터 듀얼밴드 무선 통신 장치와 TCP/IP통신 세션을 수립한다(S501).
다음으로, 슬레이브 듀얼밴드 무선 통신 장치는 슬레이브 듀얼밴드 무선 통신 장치의 공개 키를 포함하는 인증서를 마스터 듀얼밴드 무선 통신 장치에 전송한다(S502).
다음으로, 마스터 듀얼밴드 무선 통신 장치는 슬레이브 듀얼밴드 무선 통신 장치의 인증서 전송 성공 메시지를 슬레이브 듀얼밴드 무선 통신 장치에 전송한다(S503).
다음으로, 슬레이브 듀얼밴드 무선 통신 장치는 마스터 듀얼밴드 무선 통신 장치에 동적 키를 요청한다(S504).
다음으로, 마스터 듀얼밴드 무선 통신 장치는 키생성 API함수를 이용하여 동적 키를 생성하고, 이를 저장한다(S504).
다음으로, 마스터 듀얼밴드 무선 통신 장치는 슬레이브 듀얼밴드 무선 통신 장치 공개 키를 이용하여 동적 키를 암호화한다(S506).
다음으로, 마스터 듀얼밴드 무선 통신 장치는 암호화 된 동적 키를 슬레이브 듀얼밴드 무선 통신 장치에 전송한다(S507).
다음으로, 슬레이브 듀얼밴드 무선 통신 장치는 슬레이브 듀얼밴드 무선 통신 장치 개인 키를 이용하여 암호화 된 동적 키를 복호화한다(S508).
다음으로, 슬레이브 듀얼밴드 무선 통신 장치는 동적 키를 저장한다(S509).
이후, 마스터 듀얼밴드 무선 통신 장치는 동적 키의 재생성 조건이 발생하였는지를 판단한다. 마스터 듀얼밴드 무선 통신 장치는 동적 키의 재생성 조건이 발생한 경우에는 동적 키를 재생성하여 슬레이브 듀얼밴드 무선 통신 장치에 분배한다. 실시예에서 동적 키 재생성 조건은 마스터 듀얼밴드 무선 통신 장치 또는 슬레이브 듀얼밴드 무선 통신 장치의 재부팅 조건, 마스터 듀얼밴드 무선 통신 장치 및 슬레이브 듀얼밴드 무선 통신 장치간의 통신 재연결 조건 및 기 설정된 동적 키의 생성 주기 조건 중 적어도 하나를 포함할 수 있다(S510).
다음으로, 마스터 듀얼밴드 무선 통신 장치는 동적 키를 사용하여 DNP데이터를 블록 암호화하여 슬레이브 듀얼밴드 무선 통신 장치에 전송한다(S511~512).
다음으로, 슬레이브 듀얼밴드 무선 통신 장치는 공유하고 있는 동적 키를 사용하여 DNP데이터를 블록 복호화하여 평문 DNP데이터를 생성하고, 이를 저장한다(S513~514).
도6은 실시예에 따른 전력 제어 시스템을 위한 보안 방법의 순서도이다.
도6을 참조하면, 먼저 FEP서버는 FEP프로세서와 FEP 보안 에이전트를 실행한다. 이 때, FEP서버는 FEP프로세서를 암호화 통신 모드로 설정하여 동작시킨다(S601).
다음으로, FEP프로세서는 FEP 보안 에이전트의 DNP SA API함수에 평문 DNP데이터를 전달하고, FEP 보안 에이전트는 전달받은 DNP데이터를 DNP SA로 암호화한다(S602).
다음으로, FEP프로세서는 FEP 보안 에이전트의 TLS API함수에 DNP데이터를 전달하고, FEP 보안 에이전트는 전달받은 DNP데이터를 TLS의 세션 키로 암호화한다(S603).
다음으로, FEP 보안 에이전트는 암호화 된 DNP데이터를 TLS통신을 이용하여 보안 카드에 전송한다(S604).
다음으로, 보안 카드는 FEP 보안 에이전트로부터 전달받은 암호화 된 DNP데이터를 TLS의 세션 키 및 DNP SA로 복호화하여제1 평문 DNP데이터를 생성한다(S605).
다음으로, 보안 카드는 제1평문 DNP데이터를 TCP/IP통신을 이용하여 마스터 프로세서에 전달하고, 마스터 프로세서는 제1평문 DNP데이터를 UART통신을 이용하여 제1 FRTU에 전송한다(S606).
다음으로, 제1 FRTU는 자신의 단말장치 주소와 제1 평문 DNP데이터의 단말장치 주소를 비교한다(S607).
제1 FRTU는 단말장치 주소와 제1 평문 DNP데이터의 단말장치 주소가 일치하면 제1평문 DNP데이터를 분석해서 FRTU의 동작을 수행하고, 주소가 불일치하면 제1 평문 DNP데이터의 분석을 수행하지 않는다(S608).
다음으로, 마스터 프로세서는 마스터 보안 에이전트의 블록 암호화 API함수에 제1평문 DNP데이터를 전달하고, 마스터 보안 에이전트는 동적 키를 이용하여 전달받은 제1평문 DNP데이터를 블록 암호화하여 마스터 프로세서에 전달한다(S609).
다음으로, 마스터 프로세서는 블록 암호화 된 DNP데이터를 TCP/IP통신을 이용하여 슬레이브 듀얼밴드 무선 통신 장치에 전송한다(S610).
다음으로, 슬레이브 듀얼밴드 무선 통신 장치는 마스터 듀얼밴드 무선 통신 장치에서 전달받은 블록 암호화 된 DNP데이터를 슬레이브 보안 에이전트의 블록 암호화 API함수에 전달하고, 슬레이브 보안 에이전트는 전달받은 동적 키를 이용하여 블록 암호화 된 DNP데이터를 복호화하여 제2평문 DNP데이터를 생성하고, 이를 슬레이브 프로세서에 전달한다(S611).
다음으로, 슬레이브 프로세서는 제2평문 DNP데이터를 UART통신을 이용하여 제2 FRTU에 전송한다(S612).
다음으로, 제2 FRTU는 자신의 단말장치 주소와 제2 평문 DNP데이터의 단말장치 주소를 비교한다(S613).
제2 FRTU는 단말장치 주소와 제2 평문 DNP데이터의 단말장치 주소가 일치하면 제2평문 DNP데이터를 분석해서 FRTU의 동작을 수행하고, 주소가 불일치하면 제2 평문 DNP데이터의 분석을 수행하지 않는다(S614).
기존에는 마스터 듀얼밴드 무선 통신 장치와 슬레이브 듀얼밴드 무선 통신 장치의 무선구간에 고정 키를 사용하여 데이터를 암호화함으로써, 고정 키 해킹시 모든 데이터가 보안에 취약해질 수 밖에 없었다. 또한, 이러한 고정 키를 변경하는 과정에서도 어려움이 있었다. 실시에예 따른 전력 제어 시스템을 위한 보안 장치 및 방법은 마스터 듀얼밴드 무선 통신 장치와 슬레이브 듀얼밴드 무선 통신 장치의 무선구간에 주기적 또는 일정 조건에 따라 갱신되는 동적 키를 사용하여 데이터를 암호화함으로써, 해킹이 발생하더라도 일부 데이터를 제외한 나머지 데이터의 보안성을 확보할 수 있다.
또한, 기존에는 듀얼밴드 무선 통신 장치에는 TCP/IP통신 세션만 구현되어 있고, TLS통신 세션을 구현할 수 없어, 마스터 듀얼밴드 무선 통신 장치와 FEP서버의 유선 구간에 데이터를 암호화할 수 없어 보안에 취약하다는 문제가 있었다. 실시에예 따른 전력 제어 시스템을 위한 보안 장치 및 방법은 보안 카드를 사용하여 마스터 듀얼밴드 무선 통신 장치와 FEP서버의 유선구간에 TLS통신 세션을 수립하여 DNP데이터에 대한 암호화를 구현할 수 있다. 또한, 듀얼밴드 무선 통신 장치의 보안 에이전트와 FEP의 보안 에이전트를 적용함으로써, 기존 프로그램의 수정을 최소화한 상태에서 통신 보안을 구현할 수 있다.
실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 기록 매체에 기록될 수 있다. 이때, 매체는 컴퓨터로 실행 가능한 프로그램을 계속 저장하거나, 실행 또는 다운로드를 위해 임시 저장하는 것일 수도 있다. 또한, 매체는 단일 또는 수 개의 하드웨어가 결합된 형태의 다양한 기록수단 또는 저장수단일 수 있는데, 어떤 컴퓨터 시스템에 직접 접속되는 매체에 한정되지 않고, 네트워크 상에 분산 존재하는 것일 수도 있다. 매체의 예시로는, 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 `매체, CD-ROM 및 DVD와 같은 광기록 매체, 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical medium), 및 ROM, RAM, 플래시 메모리 등을 포함하여 프로그램 명령어가 저장되도록 구성된 것이 있을 수 있다. 또한, 다른 매체의 예시로, 어플리케이션을 유통하는 앱 스토어나 기타 다양한 소프트웨어를 공급 내지 유통하는 사이트, 서버 등에서 관리하는 기록매체 내지 저장매체도 들 수 있다.
본 실시예에서 사용되는 '~부'라는 용어는 소프트웨어 또는 FPGA(field-programmable gate array) 또는 ASIC과 같은 하드웨어 구성요소를 의미하며, '~부'는 어떤 역할들을 수행한다. 그렇지만 '~부'는 소프트웨어 또는 하드웨어에 한정되는 의미는 아니다. '~부'는 어드레싱할 수 있는 저장 매체에 있도록 구성될 수도 있고 하나 또는 그 이상의 프로세서들을 재생시키도록 구성될 수도 있다. 따라서, 일 예로서 '~부'는 소프트웨어 구성요소들, 객체지향 소프트웨어 구성요소들, 클래스 구성요소들 및 태스크 구성요소들과 같은 구성요소들과, 프로세스들, 함수들, 속성들, 프로시저들, 서브루틴들, 프로그램 코드의 세그먼트들, 드라이버들, 펌웨어, 마이크로코드, 회로, 데이터, 데이터베이스, 데이터 구조들, 테이블들, 어레이들, 및 변수들을 포함한다. 구성요소들과 '~부'들 안에서 제공되는 기능은 더 작은 수의 구성요소들 및 '~부'들로 결합되거나 추가적인 구성요소들과 '~부'들로 더 분리될 수 있다. 뿐만 아니라, 구성요소들 및 '~부'들은 디바이스 또는 보안 멀티미디어카드 내의 하나 또는 그 이상의 CPU들을 재생시키도록 구현될 수도 있다.
상기에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
10: FEP서버
11: FEP 프로세서
12: FEP 보안 에이전트
20: 마스터 듀얼밴드 무선 통신 장치
21: 보안 카드
22: 마스터 프로세서
23: 마스터 보안 에이전트
30: 슬레이브 듀얼밴드 무선 통신 장치
31: 슬레이브 프로세서
32: 슬레이브 보안 에이전트
41: 제1 FRTU
42: 제2 FRTU

Claims (12)

  1. 암호화 된 DNP데이터를 전송하는 FEP서버;
    상기 FEP서버에서 수신한 암호화 된 DNP데이터를 복호화하여 제1평문 DNP데이터를 생성하고, 상기 제1평문 DNP데이터를 마스터 듀얼밴드 무선 통신 장치에 전달하는 보안카드;
    상기 제1평문 DNP데이터를 제1 FRTU에 전송하고, 상기 제1평문 DNP데이터를 블록 암호화하여 슬레이브 듀얼밴드 무선 통신 장치에 전송하는 마스터 듀얼밴드 무선 통신 장치; 및
    상기 블록 암호화 된 DNP데이터를 복호화하여 제2 평문 DNP데이터를 생성하고, 상기 제2평문 DNP데이터를 제2 FRTU에 전송하는 슬레이브 듀얼밴드 무선 통신 장치를 포함하며,
    상기 제1 FRTU는 자신의 단말장치 주소와 상기 제1평문 DNP데이터의 단말장치 주소가 일치하면 상기 제1평문 DNP데이터를 분석해서 동작을 수행하고,
    상기 제2 FRTU는 자신의 단말장치 주소와 상기 제2평문 DNP데이터의 단말장치 주소가 일치하면 상기 제2평문 DNP데이터를 분석해서 동작을 수행하는 전력 제어 시스템을 위한 보안 장치.
  2. 제1항에 있어서,
    상기 보안 카드는 카드 형태의 인쇄 회로 기판으로 상기 마스터 듀얼밴드 무선 통신 장치에 장착되는 전력 제어 시스템을 위한 보안 장치.
  3. 제1항에 있어서,
    상기 FEP서버는 DNP SA API함수 및 TLS API함수를 이용하여 평문 DNP데이터를 DNP SA 및 TLS의 세션키에 따라 암호화하는 FEP보안 에이전트를 포함하는 전력 제어 시스템을 위한 보안 장치.
  4. 제1항에 있어서,
    상기 마스터 듀얼밴드 무선 통신 장치 및 상기 슬레이브 듀얼밴드 무선 통신 장치는 상호간 공유하고 있는 동적 키를 이용하여 DNP데이터의 블록 암호화 또는 블록 복호화를 수행하는 전력 제어 시스템을 위한 보안 장치.
  5. 제4항에 있어서,
    상기 마스터 듀얼밴드 무선 통신 장치는 키생성 API함수를 이용하여 상기 동적 키를 생성하고, 상기 슬레이브 듀얼밴드 무선 통신 장치로부터 수신한 공개 키를 이용하여 상기 동적 키를 암호화하여 상기 슬레이브 듀얼밴드 무선 통신 장치에 전송하는 전력 제어 시스템을 위한 보안 장치.
  6. 제5항에 있어서,
    상기 마스터 듀얼밴드 무선 통신 장치는 상기 마스터 듀얼밴드 무선 통신 장치 또는 상기 슬레이브 듀얼밴드 무선 통신 장치의 재부팅 조건, 상기 마스터 듀얼밴드 무선 통신 장치 및 상기 슬레이브 듀얼밴드 무선 통신 장치간의 통신 재연결 조건 및 기 설정된 상기 동적 키의 생성 주기 조건 중 적어도 하나의 조건을 만족하는 경우 상기 동적 키를 재생성하는 전력 제어 시스템을 위한 보안 장치.
  7. FEP서버가 암호화 된 DNP데이터를 보안 카드에 전송하는 단계;
    상기 보안 카드가 상기 FEP서버에서 수신한 암호화 된 DNP데이터를 복호화하여 제1평문 DNP데이터를 생성하는 단계;
    상기 보안 카드가 상기 제1평문 DNP데이터를 마스터 듀얼밴드 무선 통신 장치에 전달하는 단계;
    상기 마스터 듀얼밴드 무선 통신 장치가 상기 제1평문 DNP데이터를 제1 FRTU에 전송하는 단계;
    상기 제1 FRTU가 자신의 단말장치 주소와 상기 제1평문 DNP데이터의 단말장치 주소가 일치하면 상기 제1평문 DNP데이터를 분석해서 동작을 수행하는 단계;
    상기 마스터 듀얼밴드 무선 통신 장치가 상기 제1평문 DNP데이터를 블록 암호화하여 슬레이브 듀얼밴드 무선 통신 장치에 전송하는 단계;
    상기 슬레이브 듀얼밴드 무선 통신 장치가 상기 블록 암호화 된 DNP데이터를 복호화하여 제2 평문 DNP데이터를 생성하고, 상기 제2평문 DNP데이터를 제2 FRTU에 전송하는 단계; 및
    상기 제2 FRTU가 자신의 단말장치 주소와 상기 제2평문 DNP데이터의 단말장치 주소가 일치하면 상기 제2평문 DNP데이터를 분석해서 동작을 수행하는 단계를 포함하는 전력 제어 시스템을 위한 보안 방법.
  8. 제7항에 있어서,
    상기 FEP서버가 암호화 된 DNP데이터를 보안 카드에 전송하는 단계 전에,
    상기 FEP서버가 DNP SA API함수 및 TLS API함수를 이용하여 평문 DNP데이터를 DNP SA 및 TLS의 세션키에 따라 암호화하는 단계를 더 포함하는 전력 제어 시스템을 위한 보안 방법.
  9. 제7항에 있어서,
    상기 마스터 듀얼밴드 무선 통신 장치 및 상기 슬레이브 듀얼밴드 무선 통신 장치는 상호간 공유하고 있는 동적 키를 이용하여 DNP데이터의 블록 암호화 또는 블록 복호화를 수행하는 전력 제어 시스템을 위한 보안 방법.
  10. 제9항에 있어서,
    상기 FEP서버가 암호화 된 DNP데이터를 보안 카드에 전송하는 단계 전에,
    상기 마스터 듀얼밴드 무선 통신 장치가 키생성 API함수를 이용하여 상기 동적 키를 생성하는 단계;
    상기 슬레이브 듀얼밴드 무선 통신 장치로부터 수신한 공개 키를 이용하여 상기 동적 키를 암호화하여 상기 슬레이브 듀얼밴드 무선 통신 장치에 전송하는 단계를 더 포함하는 전력 제어 시스템을 위한 보안 방법.
  11. 제10항에 있어서,
    상기 마스터 듀얼밴드 무선 통신 장치가 상기 마스터 듀얼밴드 무선 통신 장치 또는 상기 슬레이브 듀얼밴드 무선 통신 장치의 재부팅 조건, 상기 마스터 듀얼밴드 무선 통신 장치 및 상기 슬레이브 듀얼밴드 무선 통신 장치간의 통신 재연결 조건 및 기 설정된 상기 동적 키의 생성 주기 조건 중 적어도 하나의 조건을 만족하는 경우 상기 동적 키를 재생성하는 단계를 더 포함하는 전력 제어 시스템을 위한 보안 방법.
  12. 제7항 내지 제11항 중 어느 한 항의 전력 제어 시스템을 위한 보안 방법을 컴퓨터에 실행시키기 위한 프로그램이 기록되어 있는 컴퓨터에서 판독 가능한 기록매체.
KR1020200118381A 2020-09-15 2020-09-15 전력 제어 시스템을 위한 보안 장치 및 방법 KR102404066B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200118381A KR102404066B1 (ko) 2020-09-15 2020-09-15 전력 제어 시스템을 위한 보안 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200118381A KR102404066B1 (ko) 2020-09-15 2020-09-15 전력 제어 시스템을 위한 보안 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20220036141A KR20220036141A (ko) 2022-03-22
KR102404066B1 true KR102404066B1 (ko) 2022-05-31

Family

ID=80988491

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200118381A KR102404066B1 (ko) 2020-09-15 2020-09-15 전력 제어 시스템을 위한 보안 장치 및 방법

Country Status (1)

Country Link
KR (1) KR102404066B1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102570359B1 (ko) * 2022-05-31 2023-08-29 한전케이디엔주식회사 전력 계통망 시스템에서 장치들의 재인증 방법 및 장치

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101036262B1 (ko) 2010-07-21 2011-05-23 (주)이노비드 바이너리 cdma기술을 이용한 배전자동화용 단말장치 제어 방법
KR101691201B1 (ko) 2014-09-30 2017-01-10 한국전력공사 Dnp 메시지의 보안통신장치 및 방법
KR102125047B1 (ko) 2018-12-26 2020-06-19 한전케이디엔 주식회사 배전 지능화 시스템 보안성 향상을 위한 키 관리 및 운용 방법

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1594316A1 (en) * 2004-05-03 2005-11-09 Thomson Licensing Certificate validity checking
US9009475B2 (en) * 2011-04-05 2015-04-14 Apple Inc. Apparatus and methods for storing electronic access clients

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101036262B1 (ko) 2010-07-21 2011-05-23 (주)이노비드 바이너리 cdma기술을 이용한 배전자동화용 단말장치 제어 방법
KR101691201B1 (ko) 2014-09-30 2017-01-10 한국전력공사 Dnp 메시지의 보안통신장치 및 방법
KR102125047B1 (ko) 2018-12-26 2020-06-19 한전케이디엔 주식회사 배전 지능화 시스템 보안성 향상을 위한 키 관리 및 운용 방법

Also Published As

Publication number Publication date
KR20220036141A (ko) 2022-03-22

Similar Documents

Publication Publication Date Title
CN109561047B (zh) 基于密钥异地存储的加密数据存储系统及方法
US9852300B2 (en) Secure audit logging
CN112150147A (zh) 一种基于区块链的数据安全存储系统
US20030233573A1 (en) System and method for securing network communications
KR101753859B1 (ko) 서버 및 이에 의한 스마트홈 환경의 관리 방법, 스마트홈 환경의 가입 방법 및 스마트 기기와의 통신 세션 연결 방법
CN105103488A (zh) 借助相关联的数据的策略施行
WO2020192285A1 (zh) 一种密钥管理方法、安全芯片、业务服务器及信息系统
WO2021218088A1 (zh) 一种通信数据处理方法、装置、计算机系统及存储介质
CN112350826A (zh) 一种工业控制系统数字证书签发管理方法和加密通信方法
CN103686717A (zh) 一种物联网传感系统的密钥管理方法
CN101877702A (zh) 一种交互式网络电视客户端激活认证的方法和系统
KR101568871B1 (ko) 멀티캐스트 통신방식을 적용한 바이탈 제어 시스템의 암호화 방법
US20130259227A1 (en) Information processing device and computer program product
KR102404066B1 (ko) 전력 제어 시스템을 위한 보안 장치 및 방법
CN111654503A (zh) 一种远程管控方法、装置、设备及存储介质
JP2001103045A (ja) 暗号鍵バックアップ記憶装置
CN112865965B (zh) 一种基于量子密钥的列车业务数据处理方法及系统
KR102384677B1 (ko) 배전 지능화용 보안 장치
CN103856938A (zh) 一种加密解密的方法、系统及设备
Zhang et al. An adaptive security protocol for a wireless sensor‐based monitoring network in smart grid transmission lines
KR102096637B1 (ko) 블록체인에서 정보 조회 시간의 기록을 위한 분산 원장 장치
CN100596350C (zh) 工业控制数据的加密解密方法
CN105426771A (zh) 一种实现大数据安全的方法
CN110661803A (zh) 一种闸门加密控制系统及方法
KR102571495B1 (ko) 광 전송 설비용 보안 시스템 및 방법

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant