KR102571495B1 - Security system and method for optical transmission facilities - Google Patents

Security system and method for optical transmission facilities Download PDF

Info

Publication number
KR102571495B1
KR102571495B1 KR1020200179783A KR20200179783A KR102571495B1 KR 102571495 B1 KR102571495 B1 KR 102571495B1 KR 1020200179783 A KR1020200179783 A KR 1020200179783A KR 20200179783 A KR20200179783 A KR 20200179783A KR 102571495 B1 KR102571495 B1 KR 102571495B1
Authority
KR
South Korea
Prior art keywords
optical transmission
security device
data
security
server
Prior art date
Application number
KR1020200179783A
Other languages
Korean (ko)
Other versions
KR20220089290A (en
Inventor
최호영
김성철
김태훈
이종진
이태윤
Original Assignee
한전케이디엔주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한전케이디엔주식회사 filed Critical 한전케이디엔주식회사
Priority to KR1020200179783A priority Critical patent/KR102571495B1/en
Publication of KR20220089290A publication Critical patent/KR20220089290A/en
Application granted granted Critical
Publication of KR102571495B1 publication Critical patent/KR102571495B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0485Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04BTRANSMISSION
    • H04B10/00Transmission systems employing electromagnetic waves other than radio-waves, e.g. infrared, visible or ultraviolet light, or employing corpuscular radiation, e.g. quantum communication
    • H04B10/80Optical aspects relating to the use of optical transmission for specific applications, not provided for in groups H04B10/03 - H04B10/70, e.g. optical power feeding or optical transmission through water
    • H04B10/85Protection from unauthorised access, e.g. eavesdrop protection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3273Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Electromagnetism (AREA)
  • Small-Scale Networks (AREA)

Abstract

실시예에 따르면, 복수개의 전력 설비 서버에 연결되어 현장 데이터를 수집하는 광 케이블 전용 회선을 통하여 상호간 링 네트워크를 구성하는 광 전송 장비; 상기 광 케이블 전용 회선에 연결된 노드와 암호화 키 및 인증서를 공유하는 통합 관리 서버; 및 상기 전력 설비 서버와 상기 광전송 장비 사이 또는 상기 통합 관리 서버와 상기 광전송 장비 사이에 마련되며, 상기 전력 설비 서버로부터 수집한 현장 데이터를 MTPsec방식으로 암호화하여 상기 링 네트워크로 출력하고, 상기 광 케이블 전용 회선을 통하여 수신되는 데이터를 복호화하여 상기 전력 설비 서버로 전송하는 보안 장치를 포함하는 광 전송 설비용 보안 시스템을 제공한다.According to the embodiment, an optical transmission equipment configured to form a mutual ring network through an optical cable dedicated line connected to a plurality of power facility servers to collect on-site data; an integrated management server that shares encryption keys and certificates with nodes connected to the optical cable dedicated line; and is provided between the power equipment server and the optical transmission equipment or between the integrated management server and the optical transmission equipment, and encrypts field data collected from the power equipment server using an MTPsec method and outputs the data to the ring network, and is dedicated to the optical cable. Provided is a security system for an optical transmission facility including a security device that decrypts data received through a circuit and transmits the data to the power facility server.

Description

광 전송 설비용 보안 시스템 및 방법{Security system and method for optical transmission facilities} Security system and method for optical transmission facilities}

본 발명의 일실시예는 광 전송 설비용 보안 시스템 및 방법에 관한 것이다.One embodiment of the present invention relates to a security system and method for an optical transmission facility.

기존의 광 전송 시스템에서는 전용 회선을 임차하여 광 전송 서비스를 운영하고 있다. 전용 회선 구간은 자체 암호화를 제공하진 않지만 VPN이므로, 공용 인터넷에서 따로 떨어져 운영되어 비교적 안전한 전송 모드로 간주되고 있다. 하지만, 최근 지속적으로 광 케이블 해킹 사례가 보고됨에 따라 전용 회선 구간에서 정보 유출 가능성이 존재하며, 광 케이블을 포함하는 전용회선 구간에서는 1%미만의 광신호 검출을 통해서도 전송중인 통신 데이터를100% 불법 수신할 수 있다. 또한, 해킹 파장을 입사하여 통신 서비스를 교란하는 보안 위협이 발생할 수 있다. In the existing optical transmission system, an optical transmission service is operated by leasing a dedicated line. Leased-line segments do not provide their own encryption, but are VPNs, so they operate separately from the public Internet and are considered a relatively secure mode of transmission. However, as cases of hacking of optical cables have been continuously reported recently, there is a possibility of information leakage in the dedicated line section, and communication data being transmitted is 100% illegal even through optical signal detection of less than 1% in the dedicated line section including the optical cable. can receive In addition, a security threat that disrupts communication services by entering a hacking wave may occur.

광 전송의 MPLS-TP 프로토콜은 정보보호에 관한 표준화는 아직 진행중이며, 실제 보안기술이 적용되지 않아 악의적인 공격 시 정보 유출 가능성이 존재한다. 또한, 전력 및 발전계통 등 국가 기간산업의 광 전송 구간은 악의적인 공격자에 의해 공격당하거나, 내부 정보가 유출될 경우 국가 테러에 활용되거나 광역정전을 일으킬 수 있어 심각한 보안 위협이 발생할 수 있다. 또한, 늘어나는 방대한 데이터의 처리와 전송이 요구되는 상황에서 암호화 처리의 고속화가 필요한 상황이다. 따라서 광전송구간을 안전하게 운영할 수 있는 신뢰성 높은 보안 기술이 요구되는 실정이다.The MPLS-TP protocol of optical transmission is still in the process of standardization for information protection, and since actual security technology is not applied, there is a possibility of information leakage in the event of a malicious attack. In addition, if an optical transmission section of national infrastructure such as power and power generation systems is attacked by a malicious attacker or internal information is leaked, it may be used for national terrorism or cause a wide-area power outage, which may cause a serious security threat. In addition, there is a need for high-speed encryption processing in a situation where processing and transmission of an increasing amount of data is required. Therefore, a highly reliable security technology capable of safely operating an optical transmission section is required.

본 발명이 이루고자 하는 기술적 과제는 고속 암복호화 처리가 가능한 광 전송 설비용 보안 시스템 및 방법을 제공하는데 있다.A technical problem to be achieved by the present invention is to provide a security system and method for an optical transmission facility capable of high-speed encryption/decryption processing.

또한, 광 전송 구간에서의 보안성을 향상시킬 수 있는 광 전송 설비용 보안 시스템 및 방법을 제공하는데 있다.In addition, it is to provide a security system and method for an optical transmission facility capable of improving security in an optical transmission section.

또한, 기능 블록별 교체가 용이한 광 전송 설비용 보안 시스템 및 방법을 제공하는데 있다.Another object of the present invention is to provide a security system and method for an optical transmission facility in which each functional block can be easily replaced.

실시예에 따르면, 복수개의 전력 설비 서버에 연결되어 현장 데이터를 수집하는 광 케이블 전용 회선을 통하여 상호간 링 네트워크를 구성하는 광 전송 장비; 상기 광 케이블 전용 회선에 연결된 노드와 암호화 키 및 인증서를 공유하는 통합 관리 서버; 및 상기 전력 설비 서버와 상기 광전송 장비 사이 또는 상기 통합 관리 서버와 상기 광전송 장비 사이에 마련되며, 상기 전력 설비 서버로부터 수집한 현장 데이터를 MTPsec방식으로 암호화하여 상기 링 네트워크로 출력하고, 상기 광 케이블 전용 회선을 통하여 수신되는 데이터를 복호화하여 상기 전력 설비 서버로 전송하는 보안 장치를 포함하는 광 전송 설비용 보안 시스템을 제공한다.According to the embodiment, an optical transmission equipment configured to form a mutual ring network through an optical cable dedicated line connected to a plurality of power facility servers to collect on-site data; an integrated management server that shares encryption keys and certificates with nodes connected to the optical cable dedicated line; and is provided between the power equipment server and the optical transmission equipment or between the integrated management server and the optical transmission equipment, and encrypts field data collected from the power equipment server using an MTPsec method and outputs the data to the ring network, and is dedicated to the optical cable. Provided is a security system for an optical transmission facility including a security device that decrypts data received through a circuit and transmits the data to the power facility server.

상기 링 네트워크에 기 설정된 기준 이상의 노드가 배치되는 경우, 상기 보안 장치는 상기 통합 관리 서버와 상기 광전송 장비 사이에 마련될 수 있다.When nodes greater than a predetermined standard are disposed in the ring network, the security device may be provided between the integrated management server and the optical transmission equipment.

상기 보안 장치는 상기 전력 설비 서버로부터 수집한 현장 데이터를 상기 광전송 장비로부터 전달받고, ESP암호화 방식을 통하여 암호화 한 후 상기 링 네트워크로 출력할 수 있다.The security device may receive on-site data collected from the power facility server from the optical transmission equipment, encrypt it through an ESP encryption method, and then output the data to the ring network.

상기 링 네트워크에 기 설정된 기준 미만의 노드가 배치되는 경우, 상기 보안 장치는 상기 전력 설비 서버와 상기 광전송 장비 사이에 마련될 수 있다.When nodes less than a predetermined standard are disposed in the ring network, the security device may be provided between the power equipment server and the optical transmission equipment.

상기 보안 장치는 상기 전력 설비 서버로부터 상기 현장 데이터를 수집한 후, MACsec암호화 방식을 통하여 암호화 한 후 상기 광 전송 장비를 거쳐 상기 링 네트워크로 출력할 수 있다.The security device may collect the on-site data from the power equipment server, encrypt the field data through a MACsec encryption method, and output the data to the ring network through the optical transmission equipment.

상기 보안 장치는 상기 통합 관리 서버에 접속하여 초기 IP주소와, 노드 IP를 등록하고, 공유하고 있는 상기 암호화 키 및 상기 인증서를 이용하여 상호인증을 수행할 수 있다.The security device may access the integrated management server, register an initial IP address and a node IP, and perform mutual authentication using the shared encryption key and certificate.

실시예에 따르면, 광 케이블 전용 회선을 통하여 상호간 링 네트워크를 구성하는 광 전송 장비; 상기 광 케이블 전용 회선에 연결된 노드와 암호화 키 및 인증서를 공유하는 통합 관리 서버; 및 상기 통합 관리 서버와 상기 광전송 장비 사이에 마련되는 보안 장치를 포함하는 광 전송 설비용 보안 방법에 있어서, 제1광 전송 장비가 상기 전력 설비 서버로부터 현장 데이터를 수집하는 단계; 제1보안 장치가 상기 제1광 전송 장비로부터 수집한 현장 데이터를 MTPsec방식으로 암호화하는 단계; 상기 제1보안 장치가 암호화 된 현장 데이터를 상기 링 네트워크로 출력하는 단계; 제2보안 장치가 상기 암호화 된 현장 데이터를 수신하는 단계; 상기 제2보안 장치가 상기 암호화 된 현장 데이터를 복호화하는 단계; 및 상기 제2보안 장치가 복호화 된 현장 데이터를 제2광 전송 장비로 전송하는 단계를 포함하는 광 전송 설비용 보안 방법을 제공한다.According to the embodiment, optical transmission equipment configuring a mutual ring network through an optical cable dedicated line; an integrated management server that shares encryption keys and certificates with nodes connected to the optical cable dedicated line; and a security device provided between the integrated management server and the optical transmission equipment, comprising: collecting, by a first optical transmission equipment, field data from the power equipment server; encrypting, by a first security device, on-site data collected from the first optical transmission equipment using an MTPsec method; outputting, by the first security device, encrypted field data to the ring network; receiving, by a second security device, the encrypted on-site data; decrypting the encrypted field data by the second security device; and transmitting, by the second security device, the field data decrypted to a second optical transmission device.

상기 제1보안 장치는 ESP암호화 방식을 통하여 상기 현장 데이터를 암호화할 수 있다.The first security device may encrypt the field data through an ESP encryption method.

실시예에 따르면, 광 케이블 전용 회선을 통하여 상호간 링 네트워크를 구성하는 광 전송 장비; 상기 광 케이블 전용 회선에 연결된 노드와 암호화 키 및 인증서를 공유하는 통합 관리 서버; 및 상기 전력 설비 서버와 상기 광 전송 장비에 사이에 마련되는 보안 장치를 포함하는 광 전송 설비용 보안 방법에 있어서, 제1보안 장치가 상기 전력 설비 서버로부터 현장 데이터를 수집하는 단계; 상기 제1보안 장치가 상기 현장 데이터를 MTPsec방식으로 암호화하는 단계; 상기 제1보안 장치가 암호화 된 현장 데이터를 제1광 전송 장비로 전송하는 단계; 상기 제1광 전송 장비가 암호화 된 현장 데이터를 상기 링 네트워크로 출력하는 단계; 제2광 전송 장비가 상기 암호화 된 현장 데이터를 수신하는 단계; 상기 제2광 전송 장비가 상기 암호화 된 현장 데이터를 제2보안 장치로 전송하는 단계; 상기 제2보안 장치가 상기 암호화 된 현장 데이터를 복호화하는 단계; 및 상기 제2보안 장치가 복호화 된 현장 데이터를 전력 설비 서버로 전송하는 단계를 포함하는 광 전송 설비용 보안 방법을 제공한다.According to the embodiment, optical transmission equipment configuring a mutual ring network through an optical cable dedicated line; an integrated management server that shares encryption keys and certificates with nodes connected to the optical cable dedicated line; and a security device provided between the power facility server and the optical transmission device, comprising: collecting, by a first security device, field data from the power facility server; Encrypting, by the first security device, the on-site data using an MTPsec method; transmitting, by the first security device, encrypted on-site data to a first optical transmission device; outputting, by the first optical transmission equipment, encrypted field data to the ring network; receiving the encrypted on-site data by a second optical transmission device; transmitting the encrypted on-site data to a second security device by the second optical transmission device; decrypting the encrypted field data by the second security device; and transmitting, by the second security device, the decrypted field data to a power facility server.

상기 제1보안 장치는 상기 현장 데이터를 MACsec암호화 방식을 통하여 암호화할 수 있다.The first security device may encrypt the field data through a MACsec encryption method.

실싱예에 따르면, 전술한 방법을 컴퓨터에 실행시키기 위한 프로그램이 기록되어 있는 컴퓨터에서 판독 가능한 기록매체를 제공한다.According to the silsing example, a computer-readable  recording medium in which a program for executing the above-described method on a computer is recorded.

본 발명인 광 전송 설비용 보안 시스템 및 방법은 밴드폭과 지연시간을 최적화하여 고속 암복호화 처리가 가능하다.A security system and method for an optical transmission facility according to the present invention can perform high-speed encryption/decryption processing by optimizing bandwidth and delay time.

또한, 광 전송 구간에서 악의적인 공격을 차단하여 보안성을 향상시킬 수 있다.In addition, it is possible to improve security by blocking malicious attacks in the optical transmission section.

또한, 기능 블록별 교체가 용이하며, 기존 다양한 광 전송 장비와 연계가 용이하다.In addition, it is easy to replace each functional block, and it is easy to link with various existing optical transmission equipment.

도1은 실시예에 따른 광 전송 설비용 보안 시스템의 개념도이다.
도2는 실시예에 따른 보안 장치를 설명하기 위한 도면이다.
도3은 실시예에 따른 암호 처리부를 설명하기 위한 도면이다.
도4는 실시예에 따른 암호 처리부의 암호화 방식을 설명하기 위한 도면이다.
도5 및 도6은 실시에에 따른 광 전송 설비용 보안 방법의 순서도이다.
도 7(a)는 광 케이블을 사용하는 전용 회선을 도시한 도면이고, 도7(b)는 실시예에 따른 광 전송 설비용 보안 시스템을 적용한 경우를 도시한 도면이다.1 is a conceptual diagram of a security system for an optical transmission facility according to an embodiment.
2 is a diagram for explaining a security device according to an embodiment.
3 is a diagram for explaining an encryption processing unit according to an embodiment.
4 is a diagram for explaining an encryption method of an encryption processing unit according to an embodiment.
5 and 6 are flow charts of a security method for optical transmission equipment according to an embodiment.
7(a) is a diagram illustrating a dedicated line using an optical cable, and FIG. 7(b) is a diagram illustrating a case in which a security system for optical transmission facilities according to an embodiment is applied.

이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 상세히 설명한다.Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings.

다만, 본 발명의 기술 사상은 설명되는 일부 실시 예에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있고, 본 발명의 기술 사상 범위 내에서라면, 실시 예들간 그 구성 요소들 중 하나 이상을 선택적으로 결합, 치환하여 사용할 수 있다.However, the technical idea of the present invention is not limited to some of the described embodiments, but may be implemented in a variety of different forms, and if it is within the scope of the technical idea of the present invention, one or more of the components among the embodiments can be selectively implemented. can be used by combining and substituting.

또한, 본 발명의 실시예에서 사용되는 용어(기술 및 과학적 용어를 포함)는, 명백하게 특별히 정의되어 기술되지 않는 한, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 일반적으로 이해될 수 있는 의미로 해석될 수 있으며, 사전에 정의된 용어와 같이 일반적으로 사용되는 용어들은 관련 기술의 문맥상의 의미를 고려하여 그 의미를 해석할 수 있을 것이다.In addition, terms (including technical and scientific terms) used in the embodiments of the present invention, unless explicitly specifically defined and described, can be generally understood by those of ordinary skill in the art to which the present invention belongs. It can be interpreted as meaning, and commonly used terms, such as terms defined in a dictionary, can be interpreted in consideration of contextual meanings of related technologies.

또한, 본 발명의 실시예에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다.Also, terms used in the embodiments of the present invention are for describing the embodiments and are not intended to limit the present invention.

본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함할 수 있고, "A 및(와) B, C 중 적어도 하나(또는 한 개 이상)"로 기재되는 경우 A, B, C로 조합할 수 있는 모든 조합 중 하나 이상을 포함할 수 있다.In this specification, the singular form may also include the plural form unless otherwise specified in the phrase, and when described as "at least one (or more than one) of A and (and) B and C", A, B, and C are combined. may include one or more of all possible combinations.

또한, 본 발명의 실시 예의 구성 요소를 설명하는 데 있어서, 제1, 제2, A, B, (a), (b) 등의 용어를 사용할 수 있다.Also, terms such as first, second, A, B, (a), and (b) may be used to describe components of an embodiment of the present invention.

이러한 용어는 그 구성 요소를 다른 구성 요소와 구별하기 위한 것일 뿐, 그 용어에 의해 해당 구성 요소의 본질이나 차례 또는 순서 등으로 한정되지 않는다.These terms are only used to distinguish the component from other components, and the term is not limited to the nature, order, or order of the corresponding component.

그리고, 어떤 구성 요소가 다른 구성요소에 '연결', '결합' 또는 '접속'된다고 기재된 경우, 그 구성 요소는 그 다른 구성 요소에 직접적으로 연결, 결합 또는 접속되는 경우뿐만 아니라, 그 구성 요소와 그 다른 구성 요소 사이에 있는 또 다른 구성 요소로 인해 '연결', '결합' 또는 '접속' 되는 경우도 포함할 수 있다.In addition, when a component is described as being 'connected', 'coupled' or 'connected' to another component, the component is not only directly connected to, combined with, or connected to the other component, but also with the component. It may also include the case of being 'connected', 'combined', or 'connected' due to another component between the other components.

또한, 각 구성 요소의 "상(위) 또는 하(아래)"에 형성 또는 배치되는 것으로 기재되는 경우, 상(위) 또는 하(아래)는 두 개의 구성 요소들이 서로 직접 접촉되는 경우뿐만 아니라 하나 이상의 또 다른 구성 요소가 두 개의 구성 요소들 사이에 형성 또는 배치되는 경우도 포함한다. 또한, "상(위) 또는 하(아래)"으로 표현되는 경우 하나의 구성 요소를 기준으로 위쪽 방향뿐만 아니라 아래쪽 방향의 의미도 포함할 수 있다.In addition, when it is described as being formed or disposed on the "top (above) or bottom (bottom)" of each component, the top (top) or bottom (bottom) is not only a case where two components are in direct contact with each other, but also one A case in which another component above is formed or disposed between two components is also included. In addition, when expressed as "up (up) or down (down)", it may include the meaning of not only an upward direction but also a downward direction based on one component.

이하, 첨부된 도면을 참조하여 실시예를 상세히 설명하되, 도면 부호에 관계없이 동일하거나 대응하는 구성 요소는 동일한 참조 번호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다.Hereinafter, the embodiments will be described in detail with reference to the accompanying drawings, but the same or corresponding components regardless of reference numerals are given the same reference numerals, and overlapping descriptions thereof will be omitted.

도1은 실시예에 따른 광 전송 설비용 보안 시스템의 개념도이다.1 is a conceptual diagram of a security system for an optical transmission facility according to an embodiment.

도1을 참조하면, 실시예에 따른 광 전송 설비용 보안 시스템(1)은 광 전송 장비(10), 통합 관리 서버(20) 및 보안 장치(30)를 포함할 수 있다.Referring to FIG. 1 , a security system 1 for an optical transmission facility according to an embodiment may include an optical transmission equipment 10 , an integrated management server 20 and a security device 30 .

광 전송 장비(10)는 복수개의 전력 설비 서버(2)에 연결되어 현장 데이터를 수집하며, 광 케이블 전용 회선을 통하여 상호간 링 네트워크를 구성할 수 있다. 광 전송 장비(10)는 광 케이블 전용 회선(MPLS-TP)을 통하여 전력 설비 서버(2)와 통합 관리 서버(20)에 연결될 수 있다. 광 전송 장비(10)는 복수개의 전력 설비 서버(2)와 통신을 수행하여 현장 데이터를 수집할 수 있다. 복수개의 광 전송 장비(10)는 상호간 링 네트워크를 구성하여 데이터 통신을 수행할 수 있다.The optical transmission equipment 10 is connected to a plurality of power facility servers 2 to collect on-site data, and can configure a mutual ring network through an optical cable dedicated line. The optical transmission equipment 10 may be connected to the power facility server 2 and the integrated management server 20 through an optical cable dedicated line (MPLS-TP). The optical transmission equipment 10 may collect on-site data by communicating with a plurality of power facility servers 2 . The plurality of optical transmission devices 10 may form a ring network with each other to perform data communication.

통합 관리 서버(20)는 광 케이블 전용 회선에 연결된 노드와 암호화 키 및 인증서를 공유할 수 있다. 통합 관리 서버(20)는 인증 서버와 관리 서버의 기능을 통합한 서버를 의미할 수 있다. 통합 관리 서버(20)는 광 전송 설비용 보안 시스템(1)을 도입하는 네트워크 환경과 보안 요구조건에 따라 공공기관 및 국가 기간 산업 적용여부에 따라 KCMVP(Korea Cryptographic Module Validation Program)모듈이 적용될 수 있다. KCMVP 검증모듈 사용이 결정된 경우, 통합 관리 서버(20)에는 KCMVP를 검증받은 암호 모듈이 적용되어, 자체 난수발생기를 사용할 수 있다. 이후 통합 관리 서버(20)는 암호화 키 쌍 및 인증서를 생성할 수 있다. 이후 인증서는 온라인 또는 오프라인으로 보안 장치(30)에 주입될 수 있다. 이후 보안 장치(30)는 통합 관리 서버(20)에 접속하여 초기 IP주소와, 노드 IP를 등록하고, 상호 인증을 수행할 수 있다.The integrated management server 20 may share an encryption key and a certificate with a node connected to an optical cable dedicated line. The integrated management server 20 may refer to a server that integrates functions of an authentication server and a management server. In the integrated management server 20, KCMVP (Korea Cryptographic Module Validation Program) module can be applied depending on whether the security system 1 for optical transmission facilities is applied to public institutions and national key industries according to the network environment and security requirements. . When it is decided to use the KCMVP verification module, the integrated management server 20 applies a KCMVP verified cryptographic module to use its own random number generator. Then, the integrated management server 20 may generate an encryption key pair and a certificate. The certificate can then be injected into the secure device 30 either online or offline. Thereafter, the security device 30 may access the integrated management server 20, register an initial IP address and a node IP, and perform mutual authentication.

또는, 민간에서 광 전송 설비용 보안 시스템(1)을 도입하는 경우, 통합 관리 서버(20)는 외부 양자키 분배서버(미도시)와 보안 장치(30)를 연계하여 상호 인증을 수행할 수 있다. 이 경우, 통합 관리 서버(20)는 자체 난수 발생기를 사용할 수 있다.Alternatively, in the case of introducing the security system 1 for optical transmission facilities in the private sector, the integrated management server 20 can perform mutual authentication by linking an external quantum key distribution server (not shown) with the security device 30. . In this case, the integrated management server 20 may use its own random number generator.

상호 인증이 완료되면, 광 전송 설비용 보안 시스템(1)의 노드간의 통신에서 제어 신호 처리는(EAR: Encryption At Rest) TLS(Transport Layer Security) 암호화 통신을 통하여 이루어질 수 있다.When mutual authentication is completed, control signal processing (EAR: Encryption At Rest) in communication between nodes of the security system 1 for optical transmission equipment may be performed through TLS (Transport Layer Security) encrypted communication.

한편, 상호 인증 완료 후, 주신호 처리는(EIF: Encryption in Flight) 광 전송 설비용 보안 시스템(1)을 도입하는 현장 네트워크 환경에 따라 선택적으로 이루어질 수 있다. 이에 대한 상세한 설명은 후술하기로 한다.On the other hand, after completion of mutual authentication, main signal processing (EIF: Encryption in Flight) may be selectively performed according to the field network environment in which the security system 1 for optical transmission facilities is introduced. A detailed description thereof will be described later.

보안 장치(30)는 전력 설비 서버(2)와 광 전송 장비(10) 사이 또는 통합 관리 서버(20)와 광 전송 장비(10) 사이에 마련되며, 전력 설비 서버(2)로부터 수집한 현장 데이터를 MTPsec(Message Transfer Part security)방식으로 암호화하여 링 네트워크로 출력하고, 광 케이블 전용 회선을 통하여 수신되는 데이터를 복호화하여 전력 설비 서버(2)로 전송할 수 있다.The security device 30 is provided between the power facility server 2 and the optical transmission equipment 10 or between the integrated management server 20 and the optical transmission equipment 10, and field data collected from the power facility server 2 may be encrypted using MTPsec (Message Transfer Part security) method and output to a ring network, and data received through an optical cable dedicated line may be decoded and transmitted to the power facility server 2.

예를 들면, 링 네트워크에 기 설정된 기준 이상의 노드가 배치되는 경우, 보안 장치(30)는 통합 관리 서버(20)와 광 전송 장비(10) 사이에 마련될 수 있다. 이 때, 보안 장치(30)는 전력 설비 서버(2)로부터 수집한 현장 데이터를 광 전송 장비(10)로부터 전달받고, ESP(Encapsulating Security Payload) 암호화 방식을 통하여 암호화 한 후 링 네트워크로 출력할 수 있다.For example, when nodes greater than a preset standard are deployed in the ring network, the security device 30 may be provided between the integrated management server 20 and the optical transmission equipment 10 . At this time, the security device 30 receives the field data collected from the power facility server 2 from the optical transmission equipment 10, encrypts it through an ESP (Encapsulating Security Payload) encryption method, and then outputs it to the ring network. there is.

또는, 링 네트워크에 기 설정된 기준 미만의 노드가 배치되는 경우, 보안 장치(30)는 전력 설비 서버(2)와 광 전송 장비(10) 사이에 마련될 수 있다. 이 때, 보안 장치(30)는 전력 설비 서버(2)로부터 현장 데이터를 수집한 후, MACsec(Media Access Control security) 암호화 방식을 통하여 암호화 한 후 광 전송 장비(10)를 거쳐 링 네트워크로 출력할 수 있다.Alternatively, when nodes less than a predetermined standard are disposed in the ring network, the security device 30 may be provided between the power equipment server 2 and the optical transmission equipment 10 . At this time, the security device 30 collects on-site data from the power facility server 2, encrypts it through MACsec (Media Access Control security) encryption, and outputs it to the ring network through the optical transmission equipment 10. can

즉, 보안 장치(30)의 적용 방식은 링 네트워크의 환경과 규모 조건에 따라 상이할 수 있다. 예를 들어, 광 케이블 전용 회선 구간에 대규모 보안 시스템(1)의 도입이 필요한 경우 보안 장치(30)는 통합 관리 서버(20)와 광 전송 장비(10) 사이에 마련될 수 있다. 이 때, 보안 장치(30)는 MPLS-TP 방식으로 통신을 수행하며 생성된 패스워드, LSP(Label Switched Path) 레이어를 ESP 암호화 방식으로 암호화 하여MPLS-TP 구간으로 전송할 수 있다. 암호화 된 데이터는 수신측 보안 장치(30)에서 복호화 되고, 광 전송 장비(10)를 거쳐 각 전력 설비 서버(2)로 전달될 수 있다. That is, the application method of the security device 30 may be different depending on the environment and scale condition of the ring network. For example, when introduction of a large-scale security system 1 is required in an optical cable dedicated line section, the security device 30 may be provided between the integrated management server 20 and the optical transmission equipment 10 . At this time, the security device 30 may perform communication in the MPLS-TP method and encrypt the generated password and LSP (Label Switched Path) layer with the ESP encryption method and transmit them in the MPLS-TP section. Encrypted data can be decrypted in the receiving side security device 30 and transmitted to each power facility server 2 via the optical transmission equipment 10 .

한편, 소규모 환경에서 보안 장치(30)는 전력 설비 서버(2)와 광 전송 장비(10) 사이에 마련될 수 있다. 이 방식은, 엔드-투-엔드(End-to-End) 방식으로 필요한 곳만 적용하여 기 구성된 MPLS-TP망에 그대로 적용될 수 있다. 이 때, 보안 장치(30)는 MACsec암호화 방식을 이용하여 데이터를 암호할 수 있다. 암호화 된 데이터는 광 전송 장비(10)를 통해 MPLS-TP 구간으로 전송되고, 각 전력 설비 서버(2)의 광 전송 장비(10)가 수신 한 데이터는 수신측 보안 장치(30)를 거쳐 복호화 되어 각 전력 설비 서버(2)로 전달될 수 있다. 실시예에서, MACsec암호화 방식은 IEEE 802.1AE는 무연결 데이터 기밀성과 매체 접근 독립 프로토콜을 위한 무결성을 정의하는 IEEE MAC 보안 표준을 의미할 수 있다.Meanwhile, in a small-scale environment, the security device 30 may be provided between the power equipment server 2 and the optical transmission equipment 10 . This method can be applied as it is to a pre-configured MPLS-TP network by applying only necessary places in an end-to-end method. At this time, the security device 30 may encrypt the data using the MACsec encryption method. The encrypted data is transmitted to the MPLS-TP section through the optical transmission equipment 10, and the data received by the optical transmission equipment 10 of each power facility server 2 is decrypted through the receiving side security device 30 It can be delivered to each power utility server 2 . In an embodiment, the MACsec encryption scheme may refer to an "IEEE" MAC security standard that defines "IEEE 802.1AE" integrity for connectionless data confidentiality and medium access independent protocols.

또한, 보안 장치(30)는 통합 관리 서버(20)에 접속하여 초기 IP주소와, 노드 IP를 등록하고, 공유하고 있는 암호화 키 및 인증서를 이용하여 상호인증을 수행할 수 있다. 이 때, 보안 장치(30)는 통합 관리 서버(20)를 이용하여 초기 TLS 통신과정을 통해 암호화 키 전달 및 인증을 수행할 수 있다. 제어 신호는 EAR(Encryption At Rest) 제어 신호 처리부를 통해 TLS로 암호화 통신을 수행할 수 있다. 보안 장치(30)는 인증서 및 전력 설비의 동작 정보를 해쉬 함수로 변경하여 저장할 수 있다. 예를 들어, 보안 장치(30)는 개인 키, 비밀 키, 중요 데이터 값, 식별 정보, 패스워드, 기기 고유값을 SHA 256, 512 등의 해쉬(hash) 함수로 처리하여 저장할 수 있다. 즉, 보안 장치(30)에 실제 데이터는 없고, 해쉬값과 결과치만 저장될 수 있다. In addition, the security device 30 may access the integrated management server 20, register an initial IP address and a node IP, and perform mutual authentication using a shared encryption key and certificate. At this time, the security device 30 may perform encryption key transfer and authentication through an initial TLS communication process using the integrated management server 20 . The control signal may perform encrypted communication with TLS through an EAR (Encryption At Rest) control signal processing unit. The security device 30 may change and store the certificate and operation information of the power facility into a hash function. For example, the security device 30 may process and store a private key, secret key, important data value, identification information, password, and device-specific value using a hash function such as SHA 256 or 512. That is, there is no actual data in the security device 30, and only hash values and result values may be stored.

실시예에서, 보안 장치(30)는 독립된 모듈 형태로 1U, 19“ 랙에 장착 가능하여 고정 및 탈착이 용이한 구조일 수 있다. 보안 장치(30)는 암호화 통신 기능을 제공함으로써 기존의 다양한 광 전송 장비(10)에 연계가 가능하며, 기존 시스템의 프로그램 및 시스템 구성을 최소화 변경하여 운영이 가능하다.In an embodiment, the security device 30 can be mounted in a 1U, 19 "rack in the form of an independent module, so that it can be easily fixed and detached. The security device 30 can be linked to various existing optical transmission devices 10 by providing an encryption communication function, and can be operated by minimizing changes to existing system programs and system configurations.

또한, 광 전송 구간인 NNI(Network-to-Network Interface) 구간(광 전송 장비(10) 사이의 통신 구간)이외에도, 데이터를 내보내기 전UNI(User to Network Interface) 구간(전력 설비 서버(2)와 광 전송 장비(10) 사이의 통신 구간)에서도 암호화가 가능하여, 계층별 암호적용이 가능하다.In addition, in addition to the NNI (Network-to-Network Interface) section (communication section between the optical transmission equipment 10), which is an optical transmission section, the UNI (User to Network Interface) section (with the power equipment server 2) before data is exported Encryption is possible even in the communication section between the optical transmission equipments 10), so that encryption for each layer can be applied.

그리고, 광 전송 설비용 보안 시스템(1)은 관리 프로그램과 인증 센터 프로그램의 통합 운영이 가능하며, 암호화/복호화 키, 인증 정보 등 보안 정보를 안전하게 관리해 악의적인 공격을 차단할 수 있다.In addition, the security system 1 for optical transmission facilities enables integrated operation of a management program and an authentication center program, and can block malicious attacks by safely managing security information such as encryption/decryption keys and authentication information.

광 전송 설비용 보안 시스템(1)의 하드웨어는 제어부, O&M 처리부와 암호모듈 유니트로 분리하여 기능 블록별 업그레이드, 신규 기능 추가, 운용 유지비 절감, 블록별 교체가 용이하다. 또한, 분리된 암호 모듈 유니트를 통해 자체 암호모듈, 외부 양자키 분배 서버 또는 국내 전력 및 발전계통, 공공 기관 등의 국가 기간 산업 분야에서 KCMVP 검증을 받은 암호 모듈 유니트를 적용할 수 있다.The hardware of the security system 1 for optical transmission facilities is separated into a control unit, an O&M processing unit, and a cryptographic module unit, so that it is easy to upgrade by functional block, add new functions, reduce operation and maintenance costs, and replace by block. In addition, through the separated cryptographic module unit, it is possible to apply the KCMVP-certified cryptographic module unit to national infrastructure industries such as its own cryptographic module, external quantum key distribution server, domestic power and power generation system, and public institutions.

실시예에 따른 광 전송 설비용 보안 시스템(1)은 아직 표준화가 진행중인 MPLS-TP통신의 신뢰성 높은 통신을 위해 MPLS구간의 PE(Provider Edge Router) 구간을 ESP방식으로 암호화 하여 밴드폭과 지연시간을 최적화한 광전송 네트워크 보안 시스템(1)을 제공할 수 있다.The security system 1 for optical transmission facilities according to the embodiment encrypts the PE (Provider Edge Router) section of the MPLS section using the ESP method for reliable communication of MPLS-TP communication, which is still being standardized, to reduce bandwidth and delay time. An optimized optical transmission network security system 1 can be provided.

도2는 실시예에 따른 보안 장치(30)를 설명하기 위한 도면이다. 도2를 참조하면, 실시예에 따른 보안 장치(30)는 표준화 된 암호화 프로토콜과 MPLS-TP 보안 프로토콜을 이용하여 다수의 광 전송 설비장치들과 통신을 수행할 수 있다. 2 is a diagram for explaining a security device 30 according to an embodiment. Referring to FIG. 2 , the security device 30 according to the embodiment may perform communication with a plurality of optical transmission facilities using a standardized encryption protocol and an MPLS-TP security protocol.

본 명세서에서 MPLS-TP 보안 프로토콜은, 신규 MTPsec으로 프로토콜의 특정 계층을 특정 방법으로 암호화하는 보안 프로토콜을 의미할 수 있다. 보안 장치(30)는 데이터 베이스(31), 장치 제어부(32), 암호 처리부(33), 보조 처리부(34)를 포함할 수 있다. In this specification, the MPLS-TP security protocol may mean a security protocol that encrypts a specific layer of the protocol with a specific method using a new MTPsec. The security device 30 may include a database 31, a device control unit 32, an encryption processing unit 33, and an auxiliary processing unit 34.

데이터 베이스(31)는 인증서 및 전력 설비의 동작 정보 중 유용한 정보 해쉬 함수에 의하여 변경된 값으로 저장할 수 있다.The database 31 may store useful information among certificates and operation information of power facilities as values changed by a hash function.

장치 제어부(32)는 미리 설정된 제어 알고리즘에 의하여 광 전송 설비용 보안 시스템(1)을 제어할 수 있다. 또한, 장치 제어부(32)는 통합 관리 서버(20)와 서로 다른 광 전송 장비(10)와의 데이터 교환에 필요한 제어를 수행할 수 있다. 이를 위해, 장치 제어부(32)는 고유 식별정보, 보안 인증 정보(개인키, 인증서)를 이용하여 통합 관리 서버(20)를 통하여 인증 절차를 수행할 수 있다.The device control unit 32 may control the security system 1 for the optical transmission facility according to a preset control algorithm. In addition, the device control unit 32 may perform control necessary for exchanging data between the integrated management server 20 and different optical transmission devices 10 . To this end, the device control unit 32 may perform an authentication procedure through the integrated management server 20 using unique identification information and security authentication information (private key, certificate).

또한, 다른 광 전송 장비(10)와의 통신의 경우, 통합 관리 서버(20)에 고유 식별정보, 보안 인증 정보가 저장되어 있는 경우에만 억세스를 인가할 수 있다. 이로 인해, 인증되지 않은 사용자 또는 장치에 의하여 악의적인 공격을 받는 것을 사전에 방지할 수 있다. 그리고, 장치 제어부(32)는 접근 가능한 광 전송 장비(10)와 사용자를 사전에 등록하되, 등록 수를 제한하거나, 패스워드를 주기적으로 변경함으로써 인증되지 않은 사용자 또는 장치의 접근을 차단할 수 있다.In addition, in the case of communication with other optical transmission equipment 10, access can be authorized only when unique identification information and security authentication information are stored in the integrated management server 20. Due to this, malicious attacks by unauthorized users or devices can be prevented in advance. In addition, the device control unit 32 registers the accessible optical transmission equipment 10 and users in advance, but restricts the number of registrations or periodically changes the password to prevent access by unauthorized users or devices.

암호 처리부(33)는 광 전송 장비(10)의 데이터 통신을 수행하기 위한 인증 또는 암복호화 처리를 수행할 수 있다. 특히, 독립된 암호 처리부(33)는 보안 시스템(1)을 적용하는 사업에(민간 또는 공공기관) 따라 자체 암호모듈, 외부 양자키 분배 서버 또는 KCMVP 암호 모듈을 선택 적용할 수 있다. 암호 처리부(33)는 데이터의 고속 암복호화 처리를 위해 FPGA를 이용하여 병렬 처리가 가능한 블록 운영 모드를 선택하여 데이터를 암호화 할 수 있다. 또한, TLS 암호화 프로토콜을 이용하여 광 전송 장비(10)들간의 상호 인증을 수행할 수 있다. 암호 처리부(33)는 자체 난수 발생기(35) 또는 양자키 분배 서버(40)로부터 난수를 전달받고, 난수를 이용하여 다른 광 전송 장비(10)들과의 초기 인증 이후의 후속 인증을 수행할 수 있다.The encryption processing unit 33 may perform authentication or encryption/decryption processing for performing data communication of the optical transmission equipment 10 . In particular, the independent encryption processing unit 33 can select and apply its own encryption module, external quantum key distribution server, or KCMVP encryption module according to the business to which the security system 1 is applied (private or public institution). The encryption processing unit 33 may encrypt data by selecting a block operation mode capable of parallel processing using an FPGA for high-speed encryption/decryption processing of data. In addition, mutual authentication between the optical transmission devices 10 may be performed using the TLS encryption protocol. The encryption processing unit 33 may receive random numbers from its own random number generator 35 or quantum key distribution server 40, and perform subsequent authentication after initial authentication with other optical transmission devices 10 using the random numbers. there is.

암호 모듈의 비대칭키 암호화 처리 방법에서 블록 암호의 운영모드는 선택적으로 적용이 가능하다. 광 전송 설비용 보안 시스템(1)에 적용 가능한 운영모드는 반복되는 동일한 블록에 대한 안정성, 주 신호 처리 데이터의 사용, 재 전송 공격의 불가, 암호화 병렬 처리 가능, FPGA의 고속 처리가 가능하도록 암복호화가 동일한 구조, 패딩(Padding)이 필요 없는 구조 등의 조건이 필요하다. 따라서, 적용 가능한 운영 모드는 이를 충족하는 카운터 방식의CTR, 그리고 HASH가 암호문에 포함되어 중간자 공격을 통한 데이터 변조공격을 파악할 수 있는 GCM 모드 등이 가능하다. 이러한 운영 모드의 요구 조건은 광 전송 설비용 보안 시스템(1)의 보안을 강화시키고, 지연 시간을 최소화함으로써 광 전송 설비용 보안 시스템(1)의 신뢰성을 향상시킬 수 있다.In the asymmetric key encryption processing method of the cryptographic module, the operation mode of the block cipher can be selectively applied. Operation modes applicable to the security system for optical transmission facilities (1) include stability for the same repeated block, use of main signal processing data, impossibility of retransmission attack, encryption parallel processing, and encryption/decryption to enable high-speed processing of FPGA. Conditions such as the same structure and a structure that does not require padding are required. Therefore, applicable operating modes include a counter-type CTR that satisfies this requirement, and a GCM mode in which HASH is included in the cipher text to identify data tampering attacks through man-in-the-middle attacks. The requirements of this operating mode can enhance the security of the security system 1 for an optical transmission facility and improve the reliability of the security system 1 for an optical transmission facility by minimizing the delay time.

보조 처리부(34)는 장치 제어부(32)를 보조하여, 시스템 감시, 외부 제어 신호 처리를 수행하며, 광 전송 통신의 환경 정보의 저장, 조회 기능을 제공할 수 있. 보조 처리부는 장치 제어부의 소프트웨어 및 어플리케이션 이미지, 프로비젼, 성능정보, 경보 정보, 절체 정보 등을 저장할 수 있다.The auxiliary processing unit 34 assists the device control unit 32 to perform system monitoring, external control signal processing, and to provide storage and inquiry functions for environment information of optical transmission communication. The auxiliary processing unit may store software and application images, provisioning, performance information, alarm information, switching information, and the like of the device control unit.

도3은 실시예에 따른 암호 처리부를 설명하기 위한 도면이다. 실시예에서는, 암호화 처리속도의 고속화를 위하여 별도의 FPGA기반의 암호 처리부(33)를 적용하였다. 블록 운영 모드와 암호화 키 값에 따라 암호화 처리로직이 다른 비대칭키 암호화로 예를 들면 다음과 같다. 이 때, 장치 제어부(32)는 데이터 암호화의 처리를 위해 운영 모드와 암호화 키 값을 설정하고, 암호 처리부(33)로 운영모드에 따른 암호화 로직 처리를 명령할 수 있다. 별도의 FPGA로 설계된 암호 처리부(33)는 요구조건에 맞는 내부 회로를 미리 설계하여 병렬적으로 암호화 로직을 수행하며, CPU 암호 모듈과 연계하여 운영 모드와 암호화 로직 및 반복되는 로직을 수행하고 데이터를 암호화하여 전송할 수 있다. 이때 FPGA는 디폴트 값의 라운드 처리를 초기값으로 설정하고 사용자의 기능 선택에 따라 환경에 맞는 처리로직을 수행할 수 있다.3 is a diagram for explaining an encryption processing unit according to an embodiment. In the embodiment, a separate FPGA-based encryption processing unit 33 is applied to speed up the encryption processing speed. An example of asymmetric key encryption in which the encryption processing logic is different according to the block operation mode and encryption key value is as follows. At this time, the device control unit 32 may set an operation mode and an encryption key value for data encryption processing, and instruct the encryption processing unit 33 to process the encryption logic according to the operation mode. The encryption processing unit 33 designed as a separate FPGA performs encryption logic in parallel by designing an internal circuit that meets the requirements in advance, and performs operation mode, encryption logic, and repetitive logic in conjunction with the CPU encryption module, and data It can be encrypted and transmitted. At this time, the FPGA may set the round processing of the default value as an initial value and perform processing logic suitable for the environment according to the user's function selection.

도3을 참조하면, 암호 처리부(33)는 광 전송 설비용 보안 시스템(1)을 제어하는 MGMT FPGA(331)와 포트 그룹 별로 암호화 처리를 하는 ENCRYPTION FPGA(332, 333) 그리고, 주변 회로(334~338)로 구성될 수 있다. MGMTFPGA(331)는 장치 제어부(32)인 MCU를 통해 ENCRYPTION FPGA IMAGE를 업데이트 및 관리하며, 이를 위해FLASH MEMORY(334)로 연결될 수 있다. 또한 초기 부팅시 또는 업데이트 ENCRYPTION IMAGE적용 시에, ENCRYPTION FPGA(332, 333) 제어를 담당할 수 있다. 그리고, 어드레스 디코딩(Address Decoding)을 통해 MCU에서 접근하는 영역을 분리하며, 광 전송 설비용 보안 시스템(1)의 상태를 관리할 수 있다.Referring to FIG. 3, the encryption processing unit 33 includes an MGMT FPGA 331 that controls the security system 1 for optical transmission facilities, ENCRYPTION FPGAs 332 and 333 that perform encryption processing for each port group, and peripheral circuits 334 ~ 338). The MGMTFPGA 331 updates and manages the ENCRYPTION FPGA IMAGE through the MCU, which is the device control unit 32, and may be connected to the FLASH MEMORY 334 for this purpose. In addition, it can be in charge of controlling the ENCRYPTION FPGAs 332 and 333 at the time of initial booting or when the updated ENCRYPTION IMAGE is applied. In addition, it is possible to separate the area accessed by the MCU through address decoding and manage the state of the security system 1 for the optical transmission facility.

ENCRYPTION FPGA(332, 333)는 보안 시스템(1) 동작의 핵심이 되는 부분으로 포트 그룹별로 별도의FPGA로 나누어 2개의 FPGA로 구성될 수 있다. 또한, 패킷 퍼버용으로 RAM(335, 336)이 배치될 수 있다. 각 FPGA는Clint(복호화 구간), Trunk(암호화 구간), HSR적용(High-Availability Seamless Redundancy) 등 각 포트를 연결하여 구성될 수 있다. 또한, MCU로부터 전달 받은 암호 키를 적용하여 암/복호화 처리를 수행할 수 있다.The ENCRYPTION FPGAs 332 and 333 are core parts of the operation of the security system 1, and may be divided into separate FPGAs for each port group and composed of two FPGAs. Also, RAMs 335 and 336 may be arranged for packet servers. Each FPGA can be configured by connecting ports such as Clint (decryption period), Trunk (encryption period), and HSR application (High-Availability Seamless Redundancy). In addition, encryption/decryption processing may be performed by applying the encryption key received from the MCU.

장치 제어부(32)는 다양한 네트워크의 연결 요구사항을 대비하며, USB 포트(337~338)로 현장에서의 이미지 업데이트, 백업 또는 외부 암호키의 직접 입력시 사용할 수 있도록 설계된다. 즉, 장치 제어부는 외부 인터페이스 접속을 위한 통합 관리 서버 포트, 광 전송 장비(10)간 통신 네트워크 포트, 중요 데이터 업데이트/백업을 위한 USB포트 등의 동작 및 관리를 수행할 수 있다.The device control unit 32 prepares for the connection requirements of various networks and is designed to be used for on-site image update, backup, or direct input of an external encryption key through the USB ports 337 to 338. That is, the device control unit may perform operations and management of an integrated management server port for external interface access, a communication network port between optical transmission devices 10, and a USB port for important data update/backup.

또한, 장치 제어부(32)는 암호 처리부의 동작 제어, 성능 관리, 양자 난수 생성기를 위한 암호 키 시드(SEED)생성, 외부 서버로부터의 암호키 입수, 인증 관리 등의 다양한 기능을 제공할 수 있다.In addition, the device control unit 32 may provide various functions such as operation control of the encryption processing unit, performance management, encryption key seed (SEED) generation for a quantum random number generator, encryption key acquisition from an external server, authentication management, and the like.

도4는 실시예에 따른 암호 처리부의 암호화 방식을 설명하기 위한 도면이다. 도4는 MTPsec의 암호화 방식 전후의 데이터를 분석한 패킷 구조를 나타낸다. 도4를 참조하면, 전용 회선 구간의 MPLS-TP통신시 기본 패킷 구조(Basic packet structure)와, 전송 모드 ESP 및 터널 모드 ESP 에 따라 암호화 방식 및 패킷 구조가 상이함을 확인할 수 있다.4 is a diagram for explaining an encryption method of an encryption processing unit according to an embodiment. 4 shows a packet structure obtained by analyzing data before and after the MTPsec encryption method. Referring to FIG. 4, it can be seen that the encryption method and packet structure are different according to the basic packet structure, transmission mode ESP and tunnel mode ESP during MPLS-TP communication in the dedicated line section.

MPLS(Multiprotocol Label Switching)통신을 구성할 때 일반 패킷 헤더에 PW shim 헤더와LSP shim 헤더가 발생한다. 실시예예 따른 암호 처리부는 원본 패킷을 암호화하고 인증을 수행하기 위해 PE(Provider Edge) 구간 PW Layer의 패킷 구조에 IPsec의 ESP암호화를 적용할 수 있다.When configuring MPLS (Multiprotocol Label Switching) communication, PW shim header and LSP shim header are generated in the general packet header. The encryption processing unit according to the embodiment may apply ESP encryption of IPsec to a packet structure of a PW layer of a provider edge (PE) section in order to encrypt an original packet and perform authentication.

전송 모드 ESP(Tansmission mode ESP)에서는 ESP헤더가 PW와 User Traffic사이에 위치하여 종단 간의 보안을 제공하는 모드로 트래픽을 보호할 수 있다.In the transmission mode ESP (Transmission mode ESP), the ESP header is located between the PW and the user traffic to protect traffic in a mode that provides end-to-end security.

또한, 터널 모드 ESP(Tunnel ESP)에서는 PW헤더 앞에 ESP헤더와 NEW PW가 위치하여 터널 끝점 사이의 일부 경로에서 트래픽을 보호할 수 있다.In addition, in the tunnel mode ESP, an ESP header and a NEW PW are placed before the PW header to protect traffic in a partial path between tunnel endpoints.

실시예예 따른 광 전송 설비용 보안 시스템 MPLS 통신의 최적화된 암호화 통신을 위하여, MPLS통신 수행시 발생하는 PW-Layer를 선택적으로 암호화하여 대역폭 문제를 최적화할 수 있다.Security System for Optical Transmission Facilities According to Embodiments For optimized encrypted communication of MPLS communication, it is possible to optimize a bandwidth problem by selectively encrypting a PW-Layer generated during MPLS communication.

아직 표준화가 진행 중인 MPLS구간 데이터를 암호화 할 때 최적화된 암호화 통신을 하려면 MPLS통신에서 발생하는 LSP Layer와 PW Layer의 암호화를 고려하여야 한다. 이 때, LSP Layer를 암호화 하면 오버헤드로 대역폭이 낭비될 수 있다. 이에 따라 PW Layer의 암호화 통신을 위하여, MPLS 통신 수행시 발생하는 PW 헤더에 IPsec의 ESP방식을 적용하여 암호화를 수행할 수 있다. 이때, 실시예에 따른 광 전송 설비용 보안 시스템은 네트워크 환경에 따라 터널모드와 전송모드를 선택적으로 적용하여 암호화를 수행할 수 있다.When encrypting data in the MPLS section, which is still being standardized, for optimized encrypted communication, encryption of the LSP layer and PW layer occurring in MPLS communication must be considered. At this time, if the LSP layer is encrypted, bandwidth may be wasted due to overhead. Accordingly, for encryption communication of the PW layer, encryption can be performed by applying the ESP method of IPsec to the PW header generated during MPLS communication. At this time, the security system for an optical transmission facility according to the embodiment may perform encryption by selectively applying a tunnel mode and a transmission mode according to the network environment.

터널모드는 새로운 MPLS 헤더를 제외한 원래의 MPLS 패킷 전체에 대하여 인증 및 암호화를 수행하지만 새로운 MPLS 헤더가 삽입되므로 전송모드에 비해 더 많은 대역폭을 사용할 수 있다. Tunnel mode performs authentication and encryption on the entire original MPLS packet except for the new MPLS header, but since the new MPLS header is inserted, more bandwidth can be used compared to transport mode.

따라서 전송지연과 대역폭 문제를 고려하여 각 본부 사이에 위치한 보안 게이트 웨이에서 보안기능을 제공하는 터널모드를 기본적으로 사용하고, 통신 구간환경에 따라 양 호스트에 단말기 보안 기능을 제공할 때는 전송모드를 선택적으로 사용할 수 있다. 또한, 내부 MPLS 패킷을 암호화 및 인증하는 ESP암호화 방식을 적용하여 기밀성 및 무결성을 제공할 수 있다.Therefore, considering the transmission delay and bandwidth issues, the tunnel mode that provides security functions is basically used in the security gateway located between each headquarters, and the transmission mode is selectively used when providing terminal security functions to both hosts according to the communication section environment. can be used as In addition, confidentiality and integrity can be provided by applying an ESP encryption method for encrypting and authenticating inner MPLS packets.

실시예에서, 전송 모드는 호스트와 호스트 간의 보안 연계 기능을 제공할 수 있다. 전송 모드는 IP 패킷 전체를 보호하는 것이 아니라, IP 헤더를 제외한 IP 패킷의 페이 로드만을 보호할 수 있다. 전송 모드에서 IP 헤더는 암호화되지 않으므로 트래픽 경로는 노출될 수 있다. 따라서, 전송 모드는 종단 노드(End Node) 구간의 IP패킷 보호를 위해 사용될 수 있다.In an embodiment, the transport mode may provide a host-to-host security association function. The transport mode may protect only the payload of the IP packet excluding the IP header, rather than protecting the entire IP packet. In transport mode, IP headers are not encrypted, so traffic paths can be exposed. Therefore, the transport mode can be used to protect IP packets in the end node section.

실시예에서, 터널 모드는 게이트 웨이와 게이트 웨이 또는 호스트와 게이트웨이의 보안 연계 기능을 제공할 수 있다. 터널 모드는 IP패킷 전체를 보호하는 모드로 패킷 전체를 보호하며, 암호화 된 IP 패킷에 IPSec헤더를 추가하여 라우팅을 수행할 수 있다. IPSec 헤더는 구간 간 이동에 대한 정보만 있으므로 종단 정보(출발지, 목적지)와 트래픽 경로를 보호할 수 있다. 일반적으로 트래픽이 신뢰할 수 없는 네트워크를 지날 때 터널 모드를 사용할 수 있다.In an embodiment, the tunnel mode may provide a gateway-to-gateway or host-to-gateway security association function. Tunnel mode protects the entire IP packet, and routing can be performed by adding an IPSec header to the encrypted IP packet. Since the IPSec header has only information about movement between sections, it can protect end information (originating point, destination) and traffic path. In general, tunnel mode can be used when traffic traverses an untrusted network.

이를 통해 광 전송 구간의 PE구간에서 MPLS 암호화 통신을 가능하도록 한다.Through this, MPLS encrypted communication is possible in the PE section of the optical transmission section.

도5는 실시에에 따른 광 전송 설비용 보안 방법의 순서도이다.Fig. 5 is a flow chart of a security method for optical transmission equipment according to an embodiment.

도5는 보안 장치가 통합 관리 서버와 광전송 장비 사이에 마련되는 경우에 있어서의 보안 과정을 도시하였다. 도5를 참조하면, 제1광 전송 장비는 제1전력 설비 서버로부터 현장 데이터를 수집한다(S501).5 illustrates a security process in the case where a security device is provided between the integrated management server and the optical transmission equipment. Referring to Fig. 5, the first light transmission equipment collects on-site data from the first power facility server (S501).

다음으로, 제1광 전송 장비는 수집한 현장 데이터를 제1보안 장치로 전송한다(S502).Next, the first optical transmission device transmits the collected field data to the first security device (S502).

다음으로, 제1보안 장치는 제1광 전송 장비로부터 수집한 현장 데이터를 MTPsec방식으로 암호화한다. 이 때, 제1보안 장치는 ESP암호화 방식을 통하여 상기 현장 데이터를 암호화할 수 있다(S503).Next, the first security device encrypts the on-site data collected from the first optical transmission equipment using the MTPsec method. At this time, the first security device may encrypt the field data through an ESP encryption method (S503).

다음으로, 제1보안 장치는 암호화 된 현장 데이터를 상기 링 네트워크로 출력한다(S505).Next, the first security device outputs encrypted field data to the ring network (S505).

다음으로, 제2보안 장치는 암호화 된 현장 데이터를 수신하고, 암호화 된 현장 데이터를 복호화한다(S505).Next, the second security device receives the encrypted field data and decrypts the encrypted field data (S505).

다음으로, 제2보안 장치는 복호화 된 현장 데이터를 제2광 전송 장비로 전송한다(S506).Next, the second security device transmits the decrypted field data to the second optical transmission device (S506).

다음으로, 제2광 전송 장비는 복호화 된 현장 데이터를 제2전력 설비 서버로 전송한다(S507).Next, the second optical transmission equipment transmits the decrypted on-site data to the second power facility server (S507).

도6은 실시에에 따른 광 전송 설비용 보안 방법의 순서도이다.Fig. 6 is a flow chart of a security method for optical transmission equipment according to an embodiment.

도6은 보안 장치가 전력 설비 서버와 광 전송 장비에 마련되는 경우에 있어서의 보안 과정을 도시하였다. 도6을 참조하면, 제1보안 장치는 제1전력 설비 서버로부터 현장 데이터를 수집한다(S601).6 shows a security process in the case where security devices are provided in the power equipment server and the optical transmission equipment. Referring to FIG. 6 , the first security device collects on-site data from the first power facility server (S601).

다음으로, 제1보안 장치는 현장 데이터를 MTPsec방식으로 암호화한다. 이 때, 제1보안 장치는 현장 데이터를 MACsec암호화 방식을 통하여 암호화할 수 있다(S602).Next, the first security device encrypts the on-site data using the MTPsec method. At this time, the first security device may encrypt the on-site data through the MACsec encryption method (S602).

다음으로, 제1보안 장치는 암호화 된 현장 데이터를 제1광 전송 장비로 전송한다(S603).Next, the first security device transmits the encrypted field data to the first optical transmission device (S603).

다음으로, 제1광 전송 장비는 암호화 된 현장 데이터를 링 네트워크로 출력한다(S604).Next, the first optical transmission equipment outputs the encrypted field data to the ring network (S604).

다음으로, 제2광 전송 장비는 암호화 된 현장 데이터를 수신하고, 암호화 된 현장 데이터를 제2보안 장치로 전송한다(S605).Next, the second optical transmission device receives the encrypted field data and transmits the encrypted field data to the second security device (S605).

다음으로, 제2보안 장치는 암호화 된 현장 데이터를 복호화한다(S606).Next, the second security device decrypts the encrypted field data (S606).

다음으로, 제2보안 장치는 복호화 된 현장 데이터를 전력 설비 서버로 전송한다(S607).Next, the second security device transmits the decrypted field data to the power facility server (S607).

도 7(a)는 광 케이블을 사용하는 전용 회선을 도시한 도면이고, 도7(b)는 실시예에 따른 광 전송 설비용 보안 시스템을 적용한 경우를 도시한 도면이다.7(a) is a diagram illustrating a dedicated line using an optical cable, and FIG. 7(b) is a diagram illustrating a case in which a security system for optical transmission facilities according to an embodiment is applied.

도7(a)를 참조하면, 광 선로의 광 케이블은 어느 곳에서나 손쉽게 해킹이 가능하며, 광 케이블의 손상 없이 광신호 구부림 장치 등 간단한 해킹장비를 이용하면 1%미만의 광 신호로도 100% 데이터를 수신할 수 있음을 확인할 수 있다. 이에 반하여 도7(b)를 참조하면, 광 전송 설비용 보안 시스템은 전용 회선 구간의 모든 데이터를 암호화하여 전송하여 전술한 해킹 사례를 효과적으로 방지할 수 있음을 확인할 수 있다.Referring to FIG. 7 (a), the optical cable of the optical line can be easily hacked anywhere, and if a simple hacking device such as an optical signal bending device is used without damaging the optical cable, even an optical signal of less than 1% can be 100% hacked. You can confirm that data can be received. On the other hand, referring to FIG. 7(b), it can be seen that the security system for optical transmission facilities can effectively prevent the above-described hacking case by encrypting and transmitting all data in the dedicated line section.

실시예에 따른 광 전송 설비용 보안 시스템은 악의적인 공격에 의한 해커의 접근을 효율적으로 방지할 수 있다. 또한, 암호화 키, 인증서 등의 주요 정보를 모두 해쉬값으로 변경 저장함으로써 보안성을 향상시킬 수 있다. 또한, 상호 인증 과정을 통하여 검증된 장비, 장치를 통하여 통신을 수행하고, 통합 관리 서버의 지정된 EMS상에서만 인증서를 생성할 수 있다. 또한, 생성된 인증서는 반드시 체계적으로 관리 및 폐기되며, TLS 암호화 통신에 사용하는 인증서의 생성을 위해서는 관리자 모드로 접속하여 실행하여야만 한다. 또한, 등급에 따른 시스템 설정 및 암호기능을 설정하여 권한을 제한한다. 또한, 자체 난수 발생기(하드웨어 방식)를 사용하고 선택적으로 외부 양자 암호 분배 시스템 서버를 사용한다. 또한, ID의 등록 수를 제한하고, 원격 접속을 허용할 IP를 지정한다. 또한, 각 계정별로 설정할 수 있는 명령어를 제한하여, 특정 계정의 사용자만이 주요 명령어를 입력할수 있도록 한다. 또한, 사용자 인증이 연속적으로 설정된 횟수만큼 실패하면 식별 및 인증 기능을 비활성하고, 장비가 제공하는 모든 원격 서비스를 활성화/비활성화 처리할 수 있다.The security system for an optical transmission facility according to the embodiment can effectively prevent access by hackers due to malicious attacks. In addition, security can be improved by changing and storing all key information such as encryption keys and certificates in hash values. In addition, communication can be performed through equipment and devices verified through a mutual authentication process, and a certificate can be generated only on the designated EMS of the integrated management server. In addition, the generated certificate must be systematically managed and discarded, and in order to create a certificate used for TLS encrypted communication, it must be accessed and executed in administrator mode. In addition, authority is restricted by setting system settings and password functions according to levels. In addition, it uses its own random number generator (hardware method) and optionally uses an external quantum cryptographic distribution system server. Also, limit the number of registered IDs and designate IPs to allow remote access. In addition, by restricting commands that can be set for each account, only users of specific accounts can input key commands. In addition, if user authentication fails a set number of consecutive times, identification and authentication functions may be deactivated, and all remote services provided by the equipment may be activated/deactivated.

실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 기록 매체에 기록될 수 있다. 이때, 매체는 컴퓨터로 실행 가능한 프로그램을 계속 저장하거나, 실행 또는 다운로드를 위해 임시 저장하는 것일 수도 있다. 또한, 매체는 단일 또는 수 개의 하드웨어가 결합된 형태의 다양한 기록수단 또는 저장수단일 수 있는데, 어떤 컴퓨터 시스템에 직접 접속되는 매체에 한정되지 않고, 네트워크 상에 분산 존재하는 것일 수도 있다. 매체의 예시로는, 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 `매체, CD-ROM 및 DVD와 같은 광기록 매체, 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical medium), 및 ROM, RAM, 플래시 메모리 등을 포함하여 프로그램 명령어가 저장되도록 구성된 것이 있을 수 있다. 또한, 다른 매체의 예시로, 어플리케이션을 유통하는 앱 스토어나 기타 다양한 소프트웨어를 공급 내지 유통하는 사이트, 서버 등에서 관리하는 기록매체 내지 저장매체도 들 수 있다.The method according to the embodiment may be implemented in the form of program instructions that can be executed through various computer means and recorded on a computer readable recording medium. In this case, the medium may continuously store a program executable by a computer or temporarily store the program for execution or download. In addition, the medium may be various recording means or storage means in the form of a single or combined hardware, but is not limited to a medium directly connected to a certain computer system, and may be distributed on a network. Examples of the medium include magnetic media such as hard disks, floppy disks and magnetic tapes, optical recording media such as CD-ROM and DVD, and magneto-optical media such as floptical disks. , and ROM, RAM, flash memory, etc. configured to store program instructions. In addition, examples of other media include “recording media” or storage media managed by an app store that distributes applications, a site that supplies or distributes various other software, and a server.

본 실시예에서 사용되는 '~부'라는 용어는 소프트웨어 또는 FPGA(field-programmable gate array) 또는 ASIC과 같은 하드웨어 구성요소를 의미하며, '~부'는 어떤 역할들을 수행한다. 그렇지만 '~부'는 소프트웨어 또는 하드웨어에 한정되는 의미는 아니다. '~부'는 어드레싱할 수 있는 저장 매체에 있도록 구성될 수도 있고 하나 또는 그 이상의 프로세서들을 재생시키도록 구성될 수도 있다. 따라서, 일 예로서 '~부'는 소프트웨어 구성요소들, 객체지향 소프트웨어 구성요소들, 클래스 구성요소들 및 태스크 구성요소들과 같은 구성요소들과, 프로세스들, 함수들, 속성들, 프로시저들, 서브루틴들, 프로그램 코드의 세그먼트들, 드라이버들, 펌웨어, 마이크로코드, 회로, 데이터, 데이터베이스, 데이터 구조들, 테이블들, 어레이들, 및 변수들을 포함한다. 구성요소들과 '~부'들 안에서 제공되는 기능은 더 작은 수의 구성요소들 및 '~부'들로 결합되거나 추가적인 구성요소들과 '~부'들로 더 분리될 수 있다. 뿐만 아니라, 구성요소들 및 '~부'들은 디바이스 또는 보안 멀티미디어카드 내의 하나 또는 그 이상의 CPU들을 재생시키도록 구현될 수도 있다.The term '~unit' used in this embodiment means software or a hardware component such as a field-programmable gate array (FPGA) or ASIC, and '~unit' performs certain roles. However, '~ part' is not limited to software or hardware. '~bu' may be configured to be in an addressable storage medium and may be configured to reproduce one or more processors. Therefore, as an example, '~unit' refers to components such as software components, object-oriented software components, class components, and task components, processes, functions, properties, and procedures. , subroutines, segments of program code, drivers, firmware, microcode, circuitry, data, databases, data structures, tables, arrays, and variables. Functions provided within components and '~units' may be combined into smaller numbers of components and '~units' or further separated into additional components and '~units'. In addition, components and '~units' may be implemented to play one or more CPUs in a device or a secure multimedia card.

상기에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다. Although the above has been described with reference to preferred embodiments of the present invention, those skilled in the art will variously modify and change the present invention within the scope not departing from the spirit and scope of the present invention described in the claims below. You will understand that it can be done.

1: 광 전송 설비용 보안 시스템
10: 광 전송 장비
20: 통합 관리 서버
30: 보안 장치1: Security systems for optical transmission facilities
10: optical transmission equipment
20: integrated management server
30: security device

Claims (11)

복수개의 전력 설비 서버에 연결되어 현장 데이터를 수집하는 광 케이블 전용 회선을 통하여 상호간 링 네트워크를 구성하는 광 전송 장비;
상기 광 케이블 전용 회선에 연결된 노드와 암호화 키 및 인증서를 공유하는 통합 관리 서버; 및
상기 링 네트워크에 기 설정된 노드에 따라 상기 전력 설비 서버와 상기 광전송 장비 사이 또는 상기 통합 관리 서버와 상기 광전송 장비 사이에 마련되며, 상기 전력 설비 서버로부터 수집한 현장 데이터를 MTPsec방식으로 암호화하여 상기 링 네트워크로 출력하고, 상기 광 케이블 전용 회선을 통하여 수신되는 데이터를 복호화하여 상기 전력 설비 서버로 전송하는 보안 장치를 포함하는 광 전송 설비용 보안 시스템.
Optical transmission equipment constituting a mutual ring network through an optical cable dedicated line connected to a plurality of power facility servers to collect on-site data;
an integrated management server that shares encryption keys and certificates with nodes connected to the optical cable dedicated line; and
It is provided between the power equipment server and the optical transmission equipment or between the integrated management server and the optical transmission equipment according to a node preset in the ring network, and encrypts field data collected from the power equipment server using the MTPsec method to perform the ring network operation. A security system for an optical transmission facility comprising a security device that outputs data to a dedicated optical cable line, decrypts data received through the dedicated optical cable line, and transmits the data to the power facility server.
 제1항에 있어서,
상기 링 네트워크에 기 설정된 기준 이상의 노드가 배치되는 경우, 상기 보안 장치는 상기 통합 관리 서버와 상기 광전송 장비 사이에 마련되는 광 전송 설비용 보안 시스템.
According to claim 1,
The security system for an optical transmission facility, wherein the security device is provided between the integrated management server and the optical transmission equipment when nodes greater than or equal to a preset standard are disposed in the ring network.
 제2항에 있어서,
상기 보안 장치는 상기 전력 설비 서버로부터 수집한 현장 데이터를 상기 광전송 장비로부터 전달받고, 상기 MTPsec방식 중 ESP암호화 방식을 통하여 암호화 한 후 상기 링 네트워크로 출력하는 광 전송 설비용 보안 시스템.
According to claim 2,
Wherein the security device receives field data collected from the power facility server from the optical transmission equipment, encrypts it through an ESP encryption method among the MTPsec methods, and then outputs the data to the ring network.
 제1항에 있어서,
상기 링 네트워크에 기 설정된 기준 미만의 노드가 배치되는 경우, 상기 보안 장치는 상기 전력 설비 서버와 상기 광전송 장비 사이에 마련되는 광 전송 설비용 보안 시스템.
According to claim 1,
The security system for an optical transmission facility, wherein the security device is provided between the power facility server and the optical transmission equipment when nodes less than a preset standard are disposed in the ring network.
 제4항에 있어서,
상기 보안 장치는 상기 전력 설비 서버로부터 상기 현장 데이터를 수집한 후, 상기 MTPsec방식 중 MACsec암호화 방식을 통하여 암호화 한 후 상기 광 전송 장비를 거쳐 상기 링 네트워크로 출력하는 광 전송 설비용 보안 시스템.
According to claim 4,
Wherein the security device collects the on-site data from the power facility server, encrypts it through a MACsec encryption method among the MTPsec methods, and outputs the data to the ring network through the optical transmission device.
 제1항에 있어서,
상기 보안 장치는 상기 통합 관리 서버에 접속하여 초기 IP주소와, 노드 IP를 등록하고, 공유하고 있는 상기 암호화 키 및 상기 인증서를 이용하여 상호인증을 수행하는 광 전송 설비용 보안 시스템.
According to claim 1,
wherein the security device accesses the integrated management server, registers an initial IP address and a node IP, and performs mutual authentication using the shared encryption key and certificate.
 복수개의 전력 설비 서버에 연결되어 현장 데이터를 수집하는 광 케이블 전용 회선을 통하여 상호간 링 네트워크를 구성하는 광 전송 장비;
상기 광 케이블 전용 회선에 연결된 노드와 암호화 키 및 인증서를 공유하는 통합 관리 서버; 및
상기 링 네트워크에 기 설정된 기준 이상의 노드가 배치되는 경우, 상기 통합 관리 서버와 상기 광전송 장비 사이에 마련되는 보안 장치를 포함하는 광 전송 설비용 보안 방법에 있어서,
제1광 전송 장비가 상기 전력 설비 서버로부터 현장 데이터를 수집하는 단계;
제1보안 장치가 상기 제1광 전송 장비로부터 수집한 현장 데이터를 MTPsec방식으로 암호화하는 단계;
상기 제1보안 장치가 암호화 된 현장 데이터를 상기 링 네트워크로 출력하는 단계;
제2보안 장치가 상기 암호화 된 현장 데이터를 수신하는 단계;
상기 제2보안 장치가 상기 암호화 된 현장 데이터를 복호화하는 단계; 및
상기 제2보안 장치가 복호화 된 현장 데이터를 제2광 전송 장비로 전송하는 단계를 포함하는 광 전송 설비용 보안 방법.
Optical transmission equipment constituting a mutual ring network through an optical cable dedicated line connected to a plurality of power facility servers to collect on-site data;
an integrated management server that shares encryption keys and certificates with nodes connected to the optical cable dedicated line; and
A security method for an optical transmission facility comprising a security device provided between the integrated management server and the optical transmission equipment when nodes greater than or equal to a predetermined standard are disposed in the ring network,
collecting field data from the power facility server by a first optical transmission device;
encrypting, by a first security device, on-site data collected from the first optical transmission equipment using an MTPsec method;
outputting, by the first security device, encrypted field data to the ring network;
receiving, by a second security device, the encrypted on-site data;
decrypting the encrypted field data by the second security device; and
and transmitting, by the second security device, the field data decrypted to a second optical transmission device.
 제7항에 있어서,
상기 제1보안 장치는 상기 MTPsec방식 중 ESP암호화 방식을 통하여 상기 현장 데이터를 암호화하는 광 전송 설비용 보안 방법.
According to claim 7,
wherein the first security device encrypts the on-site data through an ESP encryption method among the MTPsec methods.
 복수개의 전력 설비 서버에 연결되어 현장 데이터를 수집하는 광 케이블 전용 회선을 통하여 상호간 링 네트워크를 구성하는 광 전송 장비;
상기 광 케이블 전용 회선에 연결된 노드와 암호화 키 및 인증서를 공유하는 통합 관리 서버; 및
상기 링 네트워크에 기 설정된 기준 미만의 노드가 배치되는 경우, 상기 전력 설비 서버와 상기 광 전송 장비에 사이에 마련되는 보안 장치를 포함하는 광 전송 설비용 보안 방법에 있어서,
제1보안 장치가 상기 전력 설비 서버로부터 현장 데이터를 수집하는 단계;
상기 제1보안 장치가 상기 현장 데이터를 MTPsec방식으로 암호화하는 단계;
상기 제1보안 장치가 암호화 된 현장 데이터를 제1광 전송 장비로 전송하는 단계;
상기 제1광 전송 장비가 암호화 된 현장 데이터를 상기 링 네트워크로 출력하는 단계;
제2광 전송 장비가 상기 암호화 된 현장 데이터를 수신하는 단계;
상기 제2광 전송 장비가 상기 암호화 된 현장 데이터를 제2보안 장치로 전송하는 단계;
상기 제2보안 장치가 상기 암호화 된 현장 데이터를 복호화하는 단계; 및
상기 제2보안 장치가 복호화 된 현장 데이터를 전력 설비 서버로 전송하는 단계를 포함하는 광 전송 설비용 보안 방법.
Optical transmission equipment constituting a mutual ring network through an optical cable dedicated line connected to a plurality of power facility servers to collect on-site data;
an integrated management server that shares encryption keys and certificates with nodes connected to the optical cable dedicated line; and
A security method for an optical transmission facility comprising a security device provided between the power facility server and the optical transmission device when nodes less than a preset standard are deployed in the ring network,
collecting, by a first security device, on-site data from the power facility server;
Encrypting, by the first security device, the on-site data using an MTPsec method;
transmitting, by the first security device, encrypted on-site data to a first optical transmission device;
outputting, by the first optical transmission equipment, encrypted field data to the ring network;
receiving the encrypted on-site data by a second optical transmission device;
transmitting the encrypted on-site data to a second security device by the second optical transmission device;
decrypting the encrypted field data by the second security device; and
and transmitting, by the second security device, the decrypted on-site data to a power facility server.
 제9항에 있어서,
상기 제1보안 장치는 상기 현장 데이터를 상기 MTPsec방식 중 MACsec암호화 방식을 통하여 암호화하는 광 전송 설비용 보안 방법.
According to claim 9,
The first security device encrypts the field data through a MACsec encryption method among the MTPsec methods.
 제7항 내지 제10항 중 어느 한 항의 방법을 컴퓨터에 실행시키기 위한 프로그램이 기록되어 있는 컴퓨터에서 판독 가능한 기록매체.A computer-readable  recording medium in which a program for executing the method of any one of claims 7 to 10 is recorded on a computer.
KR1020200179783A 2020-12-21 2020-12-21 Security system and method for optical transmission facilities KR102571495B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200179783A KR102571495B1 (en) 2020-12-21 2020-12-21 Security system and method for optical transmission facilities

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200179783A KR102571495B1 (en) 2020-12-21 2020-12-21 Security system and method for optical transmission facilities

Publications (2)

Publication Number Publication Date
KR20220089290A KR20220089290A (en) 2022-06-28
KR102571495B1 true KR102571495B1 (en) 2023-08-28

Family

ID=82268599

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200179783A KR102571495B1 (en) 2020-12-21 2020-12-21 Security system and method for optical transmission facilities

Country Status (1)

Country Link
KR (1) KR102571495B1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20240078203A (en) 2022-11-25 2024-06-03 한전케이디엔주식회사 Apparatus and method for checking security measures status of optical transmission encryption equipment

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20170037320A (en) * 2015-09-25 2017-04-04 한국전력공사 Wired and wireless communication interface for automatic meter reading and system comprising the same
RU2021125103A (en) * 2017-04-03 2021-09-16 Листат Лтд. METHODS AND DEVICE OF LAST MILE HYPER-PROTECTED COMMUNICATION

Also Published As

Publication number Publication date
KR20220089290A (en) 2022-06-28

Similar Documents

Publication Publication Date Title
US9571458B1 (en) Anti-replay mechanism for group virtual private networks
US8891770B2 (en) Pair-wise keying for tunneled virtual private networks
US7774594B2 (en) Method and system for providing strong security in insecure networks
EP1635502B1 (en) Session control server and communication system
Frankel et al. Guide to IPsec VPNs:.
US20080028225A1 (en) Authorizing physical access-links for secure network connections
JP6841324B2 (en) Communication equipment, systems, methods and programs
US9614669B1 (en) Secure network communications using hardware security barriers
US9948621B2 (en) Policy based cryptographic key distribution for network group encryption
US9015825B2 (en) Method and device for network communication management
Samociuk Secure communication between OpenFlow switches and controllers
KR102571495B1 (en) Security system and method for optical transmission facilities
Rosborough et al. All about eve: comparing DNP3 secure authentication with standard security technologies for SCADA communications
Cho et al. Secure open fronthaul interface for 5G networks
US20210218709A1 (en) Secure low-latency trapdoor proxy
KR20100025788A (en) Detection system and detecting method for the cryptographic data in ssh
US20230269077A1 (en) On-demand formation of secure user domains
Kwon et al. Mondrian: Comprehensive Inter-domain Network Zoning Architecture.
KR20220036141A (en) Security device and method for power control system
CN116915486B (en) Cloud service communication system
Rawal et al. No-sum IPsec Lite: Simplified and lightweight Internet security protocol for IoT devices
Yang et al. Industry trusted network communication based on quantum encryption
Jain “Sec-KeyD” an efficient key distribution protocol for critical infrastructures
Zhang et al. Secure Door on Cloud: A Secure Data Transmission Scheme to Protect Kafka's Data
KR102357375B1 (en) System for transmitting optical of nuclear power plants network enhanced security and method for transmitting data there of

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant