KR102571495B1 - Security system and method for optical transmission facilities - Google Patents
Security system and method for optical transmission facilities Download PDFInfo
- Publication number
- KR102571495B1 KR102571495B1 KR1020200179783A KR20200179783A KR102571495B1 KR 102571495 B1 KR102571495 B1 KR 102571495B1 KR 1020200179783 A KR1020200179783 A KR 1020200179783A KR 20200179783 A KR20200179783 A KR 20200179783A KR 102571495 B1 KR102571495 B1 KR 102571495B1
- Authority
- KR
- South Korea
- Prior art keywords
- optical transmission
- security device
- data
- security
- server
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0485—Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04B—TRANSMISSION
- H04B10/00—Transmission systems employing electromagnetic waves other than radio-waves, e.g. infrared, visible or ultraviolet light, or employing corpuscular radiation, e.g. quantum communication
- H04B10/80—Optical aspects relating to the use of optical transmission for specific applications, not provided for in groups H04B10/03 - H04B10/70, e.g. optical power feeding or optical transmission through water
- H04B10/85—Protection from unauthorised access, e.g. eavesdrop protection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
- H04L9/3273—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- Small-Scale Networks (AREA)
Abstract
실시예에 따르면, 복수개의 전력 설비 서버에 연결되어 현장 데이터를 수집하는 광 케이블 전용 회선을 통하여 상호간 링 네트워크를 구성하는 광 전송 장비; 상기 광 케이블 전용 회선에 연결된 노드와 암호화 키 및 인증서를 공유하는 통합 관리 서버; 및 상기 전력 설비 서버와 상기 광전송 장비 사이 또는 상기 통합 관리 서버와 상기 광전송 장비 사이에 마련되며, 상기 전력 설비 서버로부터 수집한 현장 데이터를 MTPsec방식으로 암호화하여 상기 링 네트워크로 출력하고, 상기 광 케이블 전용 회선을 통하여 수신되는 데이터를 복호화하여 상기 전력 설비 서버로 전송하는 보안 장치를 포함하는 광 전송 설비용 보안 시스템을 제공한다.According to the embodiment, an optical transmission equipment configured to form a mutual ring network through an optical cable dedicated line connected to a plurality of power facility servers to collect on-site data; an integrated management server that shares encryption keys and certificates with nodes connected to the optical cable dedicated line; and is provided between the power equipment server and the optical transmission equipment or between the integrated management server and the optical transmission equipment, and encrypts field data collected from the power equipment server using an MTPsec method and outputs the data to the ring network, and is dedicated to the optical cable. Provided is a security system for an optical transmission facility including a security device that decrypts data received through a circuit and transmits the data to the power facility server.
Description
본 발명의 일실시예는 광 전송 설비용 보안 시스템 및 방법에 관한 것이다.One embodiment of the present invention relates to a security system and method for an optical transmission facility.
기존의 광 전송 시스템에서는 전용 회선을 임차하여 광 전송 서비스를 운영하고 있다. 전용 회선 구간은 자체 암호화를 제공하진 않지만 VPN이므로, 공용 인터넷에서 따로 떨어져 운영되어 비교적 안전한 전송 모드로 간주되고 있다. 하지만, 최근 지속적으로 광 케이블 해킹 사례가 보고됨에 따라 전용 회선 구간에서 정보 유출 가능성이 존재하며, 광 케이블을 포함하는 전용회선 구간에서는 1%미만의 광신호 검출을 통해서도 전송중인 통신 데이터를100% 불법 수신할 수 있다. 또한, 해킹 파장을 입사하여 통신 서비스를 교란하는 보안 위협이 발생할 수 있다. In the existing optical transmission system, an optical transmission service is operated by leasing a dedicated line. Leased-line segments do not provide their own encryption, but are VPNs, so they operate separately from the public Internet and are considered a relatively secure mode of transmission. However, as cases of hacking of optical cables have been continuously reported recently, there is a possibility of information leakage in the dedicated line section, and communication data being transmitted is 100% illegal even through optical signal detection of less than 1% in the dedicated line section including the optical cable. can receive In addition, a security threat that disrupts communication services by entering a hacking wave may occur.
광 전송의 MPLS-TP 프로토콜은 정보보호에 관한 표준화는 아직 진행중이며, 실제 보안기술이 적용되지 않아 악의적인 공격 시 정보 유출 가능성이 존재한다. 또한, 전력 및 발전계통 등 국가 기간산업의 광 전송 구간은 악의적인 공격자에 의해 공격당하거나, 내부 정보가 유출될 경우 국가 테러에 활용되거나 광역정전을 일으킬 수 있어 심각한 보안 위협이 발생할 수 있다. 또한, 늘어나는 방대한 데이터의 처리와 전송이 요구되는 상황에서 암호화 처리의 고속화가 필요한 상황이다. 따라서 광전송구간을 안전하게 운영할 수 있는 신뢰성 높은 보안 기술이 요구되는 실정이다.The MPLS-TP protocol of optical transmission is still in the process of standardization for information protection, and since actual security technology is not applied, there is a possibility of information leakage in the event of a malicious attack. In addition, if an optical transmission section of national infrastructure such as power and power generation systems is attacked by a malicious attacker or internal information is leaked, it may be used for national terrorism or cause a wide-area power outage, which may cause a serious security threat. In addition, there is a need for high-speed encryption processing in a situation where processing and transmission of an increasing amount of data is required. Therefore, a highly reliable security technology capable of safely operating an optical transmission section is required.
본 발명이 이루고자 하는 기술적 과제는 고속 암복호화 처리가 가능한 광 전송 설비용 보안 시스템 및 방법을 제공하는데 있다.A technical problem to be achieved by the present invention is to provide a security system and method for an optical transmission facility capable of high-speed encryption/decryption processing.
또한, 광 전송 구간에서의 보안성을 향상시킬 수 있는 광 전송 설비용 보안 시스템 및 방법을 제공하는데 있다.In addition, it is to provide a security system and method for an optical transmission facility capable of improving security in an optical transmission section.
또한, 기능 블록별 교체가 용이한 광 전송 설비용 보안 시스템 및 방법을 제공하는데 있다.Another object of the present invention is to provide a security system and method for an optical transmission facility in which each functional block can be easily replaced.
실시예에 따르면, 복수개의 전력 설비 서버에 연결되어 현장 데이터를 수집하는 광 케이블 전용 회선을 통하여 상호간 링 네트워크를 구성하는 광 전송 장비; 상기 광 케이블 전용 회선에 연결된 노드와 암호화 키 및 인증서를 공유하는 통합 관리 서버; 및 상기 전력 설비 서버와 상기 광전송 장비 사이 또는 상기 통합 관리 서버와 상기 광전송 장비 사이에 마련되며, 상기 전력 설비 서버로부터 수집한 현장 데이터를 MTPsec방식으로 암호화하여 상기 링 네트워크로 출력하고, 상기 광 케이블 전용 회선을 통하여 수신되는 데이터를 복호화하여 상기 전력 설비 서버로 전송하는 보안 장치를 포함하는 광 전송 설비용 보안 시스템을 제공한다.According to the embodiment, an optical transmission equipment configured to form a mutual ring network through an optical cable dedicated line connected to a plurality of power facility servers to collect on-site data; an integrated management server that shares encryption keys and certificates with nodes connected to the optical cable dedicated line; and is provided between the power equipment server and the optical transmission equipment or between the integrated management server and the optical transmission equipment, and encrypts field data collected from the power equipment server using an MTPsec method and outputs the data to the ring network, and is dedicated to the optical cable. Provided is a security system for an optical transmission facility including a security device that decrypts data received through a circuit and transmits the data to the power facility server.
상기 링 네트워크에 기 설정된 기준 이상의 노드가 배치되는 경우, 상기 보안 장치는 상기 통합 관리 서버와 상기 광전송 장비 사이에 마련될 수 있다.When nodes greater than a predetermined standard are disposed in the ring network, the security device may be provided between the integrated management server and the optical transmission equipment.
상기 보안 장치는 상기 전력 설비 서버로부터 수집한 현장 데이터를 상기 광전송 장비로부터 전달받고, ESP암호화 방식을 통하여 암호화 한 후 상기 링 네트워크로 출력할 수 있다.The security device may receive on-site data collected from the power facility server from the optical transmission equipment, encrypt it through an ESP encryption method, and then output the data to the ring network.
상기 링 네트워크에 기 설정된 기준 미만의 노드가 배치되는 경우, 상기 보안 장치는 상기 전력 설비 서버와 상기 광전송 장비 사이에 마련될 수 있다.When nodes less than a predetermined standard are disposed in the ring network, the security device may be provided between the power equipment server and the optical transmission equipment.
상기 보안 장치는 상기 전력 설비 서버로부터 상기 현장 데이터를 수집한 후, MACsec암호화 방식을 통하여 암호화 한 후 상기 광 전송 장비를 거쳐 상기 링 네트워크로 출력할 수 있다.The security device may collect the on-site data from the power equipment server, encrypt the field data through a MACsec encryption method, and output the data to the ring network through the optical transmission equipment.
상기 보안 장치는 상기 통합 관리 서버에 접속하여 초기 IP주소와, 노드 IP를 등록하고, 공유하고 있는 상기 암호화 키 및 상기 인증서를 이용하여 상호인증을 수행할 수 있다.The security device may access the integrated management server, register an initial IP address and a node IP, and perform mutual authentication using the shared encryption key and certificate.
실시예에 따르면, 광 케이블 전용 회선을 통하여 상호간 링 네트워크를 구성하는 광 전송 장비; 상기 광 케이블 전용 회선에 연결된 노드와 암호화 키 및 인증서를 공유하는 통합 관리 서버; 및 상기 통합 관리 서버와 상기 광전송 장비 사이에 마련되는 보안 장치를 포함하는 광 전송 설비용 보안 방법에 있어서, 제1광 전송 장비가 상기 전력 설비 서버로부터 현장 데이터를 수집하는 단계; 제1보안 장치가 상기 제1광 전송 장비로부터 수집한 현장 데이터를 MTPsec방식으로 암호화하는 단계; 상기 제1보안 장치가 암호화 된 현장 데이터를 상기 링 네트워크로 출력하는 단계; 제2보안 장치가 상기 암호화 된 현장 데이터를 수신하는 단계; 상기 제2보안 장치가 상기 암호화 된 현장 데이터를 복호화하는 단계; 및 상기 제2보안 장치가 복호화 된 현장 데이터를 제2광 전송 장비로 전송하는 단계를 포함하는 광 전송 설비용 보안 방법을 제공한다.According to the embodiment, optical transmission equipment configuring a mutual ring network through an optical cable dedicated line; an integrated management server that shares encryption keys and certificates with nodes connected to the optical cable dedicated line; and a security device provided between the integrated management server and the optical transmission equipment, comprising: collecting, by a first optical transmission equipment, field data from the power equipment server; encrypting, by a first security device, on-site data collected from the first optical transmission equipment using an MTPsec method; outputting, by the first security device, encrypted field data to the ring network; receiving, by a second security device, the encrypted on-site data; decrypting the encrypted field data by the second security device; and transmitting, by the second security device, the field data decrypted to a second optical transmission device.
상기 제1보안 장치는 ESP암호화 방식을 통하여 상기 현장 데이터를 암호화할 수 있다.The first security device may encrypt the field data through an ESP encryption method.
실시예에 따르면, 광 케이블 전용 회선을 통하여 상호간 링 네트워크를 구성하는 광 전송 장비; 상기 광 케이블 전용 회선에 연결된 노드와 암호화 키 및 인증서를 공유하는 통합 관리 서버; 및 상기 전력 설비 서버와 상기 광 전송 장비에 사이에 마련되는 보안 장치를 포함하는 광 전송 설비용 보안 방법에 있어서, 제1보안 장치가 상기 전력 설비 서버로부터 현장 데이터를 수집하는 단계; 상기 제1보안 장치가 상기 현장 데이터를 MTPsec방식으로 암호화하는 단계; 상기 제1보안 장치가 암호화 된 현장 데이터를 제1광 전송 장비로 전송하는 단계; 상기 제1광 전송 장비가 암호화 된 현장 데이터를 상기 링 네트워크로 출력하는 단계; 제2광 전송 장비가 상기 암호화 된 현장 데이터를 수신하는 단계; 상기 제2광 전송 장비가 상기 암호화 된 현장 데이터를 제2보안 장치로 전송하는 단계; 상기 제2보안 장치가 상기 암호화 된 현장 데이터를 복호화하는 단계; 및 상기 제2보안 장치가 복호화 된 현장 데이터를 전력 설비 서버로 전송하는 단계를 포함하는 광 전송 설비용 보안 방법을 제공한다.According to the embodiment, optical transmission equipment configuring a mutual ring network through an optical cable dedicated line; an integrated management server that shares encryption keys and certificates with nodes connected to the optical cable dedicated line; and a security device provided between the power facility server and the optical transmission device, comprising: collecting, by a first security device, field data from the power facility server; Encrypting, by the first security device, the on-site data using an MTPsec method; transmitting, by the first security device, encrypted on-site data to a first optical transmission device; outputting, by the first optical transmission equipment, encrypted field data to the ring network; receiving the encrypted on-site data by a second optical transmission device; transmitting the encrypted on-site data to a second security device by the second optical transmission device; decrypting the encrypted field data by the second security device; and transmitting, by the second security device, the decrypted field data to a power facility server.
상기 제1보안 장치는 상기 현장 데이터를 MACsec암호화 방식을 통하여 암호화할 수 있다.The first security device may encrypt the field data through a MACsec encryption method.
실싱예에 따르면, 전술한 방법을 컴퓨터에 실행시키기 위한 프로그램이 기록되어 있는 컴퓨터에서 판독 가능한 기록매체를 제공한다.According to the silsing example, a computer-readable recording medium in which a program for executing the above-described method on a computer is recorded.
본 발명인 광 전송 설비용 보안 시스템 및 방법은 밴드폭과 지연시간을 최적화하여 고속 암복호화 처리가 가능하다.A security system and method for an optical transmission facility according to the present invention can perform high-speed encryption/decryption processing by optimizing bandwidth and delay time.
또한, 광 전송 구간에서 악의적인 공격을 차단하여 보안성을 향상시킬 수 있다.In addition, it is possible to improve security by blocking malicious attacks in the optical transmission section.
또한, 기능 블록별 교체가 용이하며, 기존 다양한 광 전송 장비와 연계가 용이하다.In addition, it is easy to replace each functional block, and it is easy to link with various existing optical transmission equipment.
도1은 실시예에 따른 광 전송 설비용 보안 시스템의 개념도이다.
도2는 실시예에 따른 보안 장치를 설명하기 위한 도면이다.
도3은 실시예에 따른 암호 처리부를 설명하기 위한 도면이다.
도4는 실시예에 따른 암호 처리부의 암호화 방식을 설명하기 위한 도면이다.
도5 및 도6은 실시에에 따른 광 전송 설비용 보안 방법의 순서도이다.
도 7(a)는 광 케이블을 사용하는 전용 회선을 도시한 도면이고, 도7(b)는 실시예에 따른 광 전송 설비용 보안 시스템을 적용한 경우를 도시한 도면이다.1 is a conceptual diagram of a security system for an optical transmission facility according to an embodiment.
2 is a diagram for explaining a security device according to an embodiment.
3 is a diagram for explaining an encryption processing unit according to an embodiment.
4 is a diagram for explaining an encryption method of an encryption processing unit according to an embodiment.
5 and 6 are flow charts of a security method for optical transmission equipment according to an embodiment.
7(a) is a diagram illustrating a dedicated line using an optical cable, and FIG. 7(b) is a diagram illustrating a case in which a security system for optical transmission facilities according to an embodiment is applied.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 상세히 설명한다.Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings.
다만, 본 발명의 기술 사상은 설명되는 일부 실시 예에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있고, 본 발명의 기술 사상 범위 내에서라면, 실시 예들간 그 구성 요소들 중 하나 이상을 선택적으로 결합, 치환하여 사용할 수 있다.However, the technical idea of the present invention is not limited to some of the described embodiments, but may be implemented in a variety of different forms, and if it is within the scope of the technical idea of the present invention, one or more of the components among the embodiments can be selectively implemented. can be used by combining and substituting.
또한, 본 발명의 실시예에서 사용되는 용어(기술 및 과학적 용어를 포함)는, 명백하게 특별히 정의되어 기술되지 않는 한, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 일반적으로 이해될 수 있는 의미로 해석될 수 있으며, 사전에 정의된 용어와 같이 일반적으로 사용되는 용어들은 관련 기술의 문맥상의 의미를 고려하여 그 의미를 해석할 수 있을 것이다.In addition, terms (including technical and scientific terms) used in the embodiments of the present invention, unless explicitly specifically defined and described, can be generally understood by those of ordinary skill in the art to which the present invention belongs. It can be interpreted as meaning, and commonly used terms, such as terms defined in a dictionary, can be interpreted in consideration of contextual meanings of related technologies.
또한, 본 발명의 실시예에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다.Also, terms used in the embodiments of the present invention are for describing the embodiments and are not intended to limit the present invention.
본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함할 수 있고, "A 및(와) B, C 중 적어도 하나(또는 한 개 이상)"로 기재되는 경우 A, B, C로 조합할 수 있는 모든 조합 중 하나 이상을 포함할 수 있다.In this specification, the singular form may also include the plural form unless otherwise specified in the phrase, and when described as "at least one (or more than one) of A and (and) B and C", A, B, and C are combined. may include one or more of all possible combinations.
또한, 본 발명의 실시 예의 구성 요소를 설명하는 데 있어서, 제1, 제2, A, B, (a), (b) 등의 용어를 사용할 수 있다.Also, terms such as first, second, A, B, (a), and (b) may be used to describe components of an embodiment of the present invention.
이러한 용어는 그 구성 요소를 다른 구성 요소와 구별하기 위한 것일 뿐, 그 용어에 의해 해당 구성 요소의 본질이나 차례 또는 순서 등으로 한정되지 않는다.These terms are only used to distinguish the component from other components, and the term is not limited to the nature, order, or order of the corresponding component.
그리고, 어떤 구성 요소가 다른 구성요소에 '연결', '결합' 또는 '접속'된다고 기재된 경우, 그 구성 요소는 그 다른 구성 요소에 직접적으로 연결, 결합 또는 접속되는 경우뿐만 아니라, 그 구성 요소와 그 다른 구성 요소 사이에 있는 또 다른 구성 요소로 인해 '연결', '결합' 또는 '접속' 되는 경우도 포함할 수 있다.In addition, when a component is described as being 'connected', 'coupled' or 'connected' to another component, the component is not only directly connected to, combined with, or connected to the other component, but also with the component. It may also include the case of being 'connected', 'combined', or 'connected' due to another component between the other components.
또한, 각 구성 요소의 "상(위) 또는 하(아래)"에 형성 또는 배치되는 것으로 기재되는 경우, 상(위) 또는 하(아래)는 두 개의 구성 요소들이 서로 직접 접촉되는 경우뿐만 아니라 하나 이상의 또 다른 구성 요소가 두 개의 구성 요소들 사이에 형성 또는 배치되는 경우도 포함한다. 또한, "상(위) 또는 하(아래)"으로 표현되는 경우 하나의 구성 요소를 기준으로 위쪽 방향뿐만 아니라 아래쪽 방향의 의미도 포함할 수 있다.In addition, when it is described as being formed or disposed on the "top (above) or bottom (bottom)" of each component, the top (top) or bottom (bottom) is not only a case where two components are in direct contact with each other, but also one A case in which another component above is formed or disposed between two components is also included. In addition, when expressed as "up (up) or down (down)", it may include the meaning of not only an upward direction but also a downward direction based on one component.
이하, 첨부된 도면을 참조하여 실시예를 상세히 설명하되, 도면 부호에 관계없이 동일하거나 대응하는 구성 요소는 동일한 참조 번호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다.Hereinafter, the embodiments will be described in detail with reference to the accompanying drawings, but the same or corresponding components regardless of reference numerals are given the same reference numerals, and overlapping descriptions thereof will be omitted.
도1은 실시예에 따른 광 전송 설비용 보안 시스템의 개념도이다.1 is a conceptual diagram of a security system for an optical transmission facility according to an embodiment.
도1을 참조하면, 실시예에 따른 광 전송 설비용 보안 시스템(1)은 광 전송 장비(10), 통합 관리 서버(20) 및 보안 장치(30)를 포함할 수 있다.Referring to FIG. 1 , a
광 전송 장비(10)는 복수개의 전력 설비 서버(2)에 연결되어 현장 데이터를 수집하며, 광 케이블 전용 회선을 통하여 상호간 링 네트워크를 구성할 수 있다. 광 전송 장비(10)는 광 케이블 전용 회선(MPLS-TP)을 통하여 전력 설비 서버(2)와 통합 관리 서버(20)에 연결될 수 있다. 광 전송 장비(10)는 복수개의 전력 설비 서버(2)와 통신을 수행하여 현장 데이터를 수집할 수 있다. 복수개의 광 전송 장비(10)는 상호간 링 네트워크를 구성하여 데이터 통신을 수행할 수 있다.The
통합 관리 서버(20)는 광 케이블 전용 회선에 연결된 노드와 암호화 키 및 인증서를 공유할 수 있다. 통합 관리 서버(20)는 인증 서버와 관리 서버의 기능을 통합한 서버를 의미할 수 있다. 통합 관리 서버(20)는 광 전송 설비용 보안 시스템(1)을 도입하는 네트워크 환경과 보안 요구조건에 따라 공공기관 및 국가 기간 산업 적용여부에 따라 KCMVP(Korea Cryptographic Module Validation Program)모듈이 적용될 수 있다. KCMVP 검증모듈 사용이 결정된 경우, 통합 관리 서버(20)에는 KCMVP를 검증받은 암호 모듈이 적용되어, 자체 난수발생기를 사용할 수 있다. 이후 통합 관리 서버(20)는 암호화 키 쌍 및 인증서를 생성할 수 있다. 이후 인증서는 온라인 또는 오프라인으로 보안 장치(30)에 주입될 수 있다. 이후 보안 장치(30)는 통합 관리 서버(20)에 접속하여 초기 IP주소와, 노드 IP를 등록하고, 상호 인증을 수행할 수 있다.The
또는, 민간에서 광 전송 설비용 보안 시스템(1)을 도입하는 경우, 통합 관리 서버(20)는 외부 양자키 분배서버(미도시)와 보안 장치(30)를 연계하여 상호 인증을 수행할 수 있다. 이 경우, 통합 관리 서버(20)는 자체 난수 발생기를 사용할 수 있다.Alternatively, in the case of introducing the
상호 인증이 완료되면, 광 전송 설비용 보안 시스템(1)의 노드간의 통신에서 제어 신호 처리는(EAR: Encryption At Rest) TLS(Transport Layer Security) 암호화 통신을 통하여 이루어질 수 있다.When mutual authentication is completed, control signal processing (EAR: Encryption At Rest) in communication between nodes of the
한편, 상호 인증 완료 후, 주신호 처리는(EIF: Encryption in Flight) 광 전송 설비용 보안 시스템(1)을 도입하는 현장 네트워크 환경에 따라 선택적으로 이루어질 수 있다. 이에 대한 상세한 설명은 후술하기로 한다.On the other hand, after completion of mutual authentication, main signal processing (EIF: Encryption in Flight) may be selectively performed according to the field network environment in which the
보안 장치(30)는 전력 설비 서버(2)와 광 전송 장비(10) 사이 또는 통합 관리 서버(20)와 광 전송 장비(10) 사이에 마련되며, 전력 설비 서버(2)로부터 수집한 현장 데이터를 MTPsec(Message Transfer Part security)방식으로 암호화하여 링 네트워크로 출력하고, 광 케이블 전용 회선을 통하여 수신되는 데이터를 복호화하여 전력 설비 서버(2)로 전송할 수 있다.The
예를 들면, 링 네트워크에 기 설정된 기준 이상의 노드가 배치되는 경우, 보안 장치(30)는 통합 관리 서버(20)와 광 전송 장비(10) 사이에 마련될 수 있다. 이 때, 보안 장치(30)는 전력 설비 서버(2)로부터 수집한 현장 데이터를 광 전송 장비(10)로부터 전달받고, ESP(Encapsulating Security Payload) 암호화 방식을 통하여 암호화 한 후 링 네트워크로 출력할 수 있다.For example, when nodes greater than a preset standard are deployed in the ring network, the
또는, 링 네트워크에 기 설정된 기준 미만의 노드가 배치되는 경우, 보안 장치(30)는 전력 설비 서버(2)와 광 전송 장비(10) 사이에 마련될 수 있다. 이 때, 보안 장치(30)는 전력 설비 서버(2)로부터 현장 데이터를 수집한 후, MACsec(Media Access Control security) 암호화 방식을 통하여 암호화 한 후 광 전송 장비(10)를 거쳐 링 네트워크로 출력할 수 있다.Alternatively, when nodes less than a predetermined standard are disposed in the ring network, the
즉, 보안 장치(30)의 적용 방식은 링 네트워크의 환경과 규모 조건에 따라 상이할 수 있다. 예를 들어, 광 케이블 전용 회선 구간에 대규모 보안 시스템(1)의 도입이 필요한 경우 보안 장치(30)는 통합 관리 서버(20)와 광 전송 장비(10) 사이에 마련될 수 있다. 이 때, 보안 장치(30)는 MPLS-TP 방식으로 통신을 수행하며 생성된 패스워드, LSP(Label Switched Path) 레이어를 ESP 암호화 방식으로 암호화 하여MPLS-TP 구간으로 전송할 수 있다. 암호화 된 데이터는 수신측 보안 장치(30)에서 복호화 되고, 광 전송 장비(10)를 거쳐 각 전력 설비 서버(2)로 전달될 수 있다. That is, the application method of the
한편, 소규모 환경에서 보안 장치(30)는 전력 설비 서버(2)와 광 전송 장비(10) 사이에 마련될 수 있다. 이 방식은, 엔드-투-엔드(End-to-End) 방식으로 필요한 곳만 적용하여 기 구성된 MPLS-TP망에 그대로 적용될 수 있다. 이 때, 보안 장치(30)는 MACsec암호화 방식을 이용하여 데이터를 암호할 수 있다. 암호화 된 데이터는 광 전송 장비(10)를 통해 MPLS-TP 구간으로 전송되고, 각 전력 설비 서버(2)의 광 전송 장비(10)가 수신 한 데이터는 수신측 보안 장치(30)를 거쳐 복호화 되어 각 전력 설비 서버(2)로 전달될 수 있다. 실시예에서, MACsec암호화 방식은 IEEE 802.1AE는 무연결 데이터 기밀성과 매체 접근 독립 프로토콜을 위한 무결성을 정의하는 IEEE MAC 보안 표준을 의미할 수 있다.Meanwhile, in a small-scale environment, the
또한, 보안 장치(30)는 통합 관리 서버(20)에 접속하여 초기 IP주소와, 노드 IP를 등록하고, 공유하고 있는 암호화 키 및 인증서를 이용하여 상호인증을 수행할 수 있다. 이 때, 보안 장치(30)는 통합 관리 서버(20)를 이용하여 초기 TLS 통신과정을 통해 암호화 키 전달 및 인증을 수행할 수 있다. 제어 신호는 EAR(Encryption At Rest) 제어 신호 처리부를 통해 TLS로 암호화 통신을 수행할 수 있다. 보안 장치(30)는 인증서 및 전력 설비의 동작 정보를 해쉬 함수로 변경하여 저장할 수 있다. 예를 들어, 보안 장치(30)는 개인 키, 비밀 키, 중요 데이터 값, 식별 정보, 패스워드, 기기 고유값을 SHA 256, 512 등의 해쉬(hash) 함수로 처리하여 저장할 수 있다. 즉, 보안 장치(30)에 실제 데이터는 없고, 해쉬값과 결과치만 저장될 수 있다. In addition, the
실시예에서, 보안 장치(30)는 독립된 모듈 형태로 1U, 19“ 랙에 장착 가능하여 고정 및 탈착이 용이한 구조일 수 있다. 보안 장치(30)는 암호화 통신 기능을 제공함으로써 기존의 다양한 광 전송 장비(10)에 연계가 가능하며, 기존 시스템의 프로그램 및 시스템 구성을 최소화 변경하여 운영이 가능하다.In an embodiment, the
또한, 광 전송 구간인 NNI(Network-to-Network Interface) 구간(광 전송 장비(10) 사이의 통신 구간)이외에도, 데이터를 내보내기 전UNI(User to Network Interface) 구간(전력 설비 서버(2)와 광 전송 장비(10) 사이의 통신 구간)에서도 암호화가 가능하여, 계층별 암호적용이 가능하다.In addition, in addition to the NNI (Network-to-Network Interface) section (communication section between the optical transmission equipment 10), which is an optical transmission section, the UNI (User to Network Interface) section (with the power equipment server 2) before data is exported Encryption is possible even in the communication section between the optical transmission equipments 10), so that encryption for each layer can be applied.
그리고, 광 전송 설비용 보안 시스템(1)은 관리 프로그램과 인증 센터 프로그램의 통합 운영이 가능하며, 암호화/복호화 키, 인증 정보 등 보안 정보를 안전하게 관리해 악의적인 공격을 차단할 수 있다.In addition, the
광 전송 설비용 보안 시스템(1)의 하드웨어는 제어부, O&M 처리부와 암호모듈 유니트로 분리하여 기능 블록별 업그레이드, 신규 기능 추가, 운용 유지비 절감, 블록별 교체가 용이하다. 또한, 분리된 암호 모듈 유니트를 통해 자체 암호모듈, 외부 양자키 분배 서버 또는 국내 전력 및 발전계통, 공공 기관 등의 국가 기간 산업 분야에서 KCMVP 검증을 받은 암호 모듈 유니트를 적용할 수 있다.The hardware of the
실시예에 따른 광 전송 설비용 보안 시스템(1)은 아직 표준화가 진행중인 MPLS-TP통신의 신뢰성 높은 통신을 위해 MPLS구간의 PE(Provider Edge Router) 구간을 ESP방식으로 암호화 하여 밴드폭과 지연시간을 최적화한 광전송 네트워크 보안 시스템(1)을 제공할 수 있다.The
도2는 실시예에 따른 보안 장치(30)를 설명하기 위한 도면이다. 도2를 참조하면, 실시예에 따른 보안 장치(30)는 표준화 된 암호화 프로토콜과 MPLS-TP 보안 프로토콜을 이용하여 다수의 광 전송 설비장치들과 통신을 수행할 수 있다. 2 is a diagram for explaining a
본 명세서에서 MPLS-TP 보안 프로토콜은, 신규 MTPsec으로 프로토콜의 특정 계층을 특정 방법으로 암호화하는 보안 프로토콜을 의미할 수 있다. 보안 장치(30)는 데이터 베이스(31), 장치 제어부(32), 암호 처리부(33), 보조 처리부(34)를 포함할 수 있다. In this specification, the MPLS-TP security protocol may mean a security protocol that encrypts a specific layer of the protocol with a specific method using a new MTPsec. The
데이터 베이스(31)는 인증서 및 전력 설비의 동작 정보 중 유용한 정보 해쉬 함수에 의하여 변경된 값으로 저장할 수 있다.The
장치 제어부(32)는 미리 설정된 제어 알고리즘에 의하여 광 전송 설비용 보안 시스템(1)을 제어할 수 있다. 또한, 장치 제어부(32)는 통합 관리 서버(20)와 서로 다른 광 전송 장비(10)와의 데이터 교환에 필요한 제어를 수행할 수 있다. 이를 위해, 장치 제어부(32)는 고유 식별정보, 보안 인증 정보(개인키, 인증서)를 이용하여 통합 관리 서버(20)를 통하여 인증 절차를 수행할 수 있다.The
또한, 다른 광 전송 장비(10)와의 통신의 경우, 통합 관리 서버(20)에 고유 식별정보, 보안 인증 정보가 저장되어 있는 경우에만 억세스를 인가할 수 있다. 이로 인해, 인증되지 않은 사용자 또는 장치에 의하여 악의적인 공격을 받는 것을 사전에 방지할 수 있다. 그리고, 장치 제어부(32)는 접근 가능한 광 전송 장비(10)와 사용자를 사전에 등록하되, 등록 수를 제한하거나, 패스워드를 주기적으로 변경함으로써 인증되지 않은 사용자 또는 장치의 접근을 차단할 수 있다.In addition, in the case of communication with other
암호 처리부(33)는 광 전송 장비(10)의 데이터 통신을 수행하기 위한 인증 또는 암복호화 처리를 수행할 수 있다. 특히, 독립된 암호 처리부(33)는 보안 시스템(1)을 적용하는 사업에(민간 또는 공공기관) 따라 자체 암호모듈, 외부 양자키 분배 서버 또는 KCMVP 암호 모듈을 선택 적용할 수 있다. 암호 처리부(33)는 데이터의 고속 암복호화 처리를 위해 FPGA를 이용하여 병렬 처리가 가능한 블록 운영 모드를 선택하여 데이터를 암호화 할 수 있다. 또한, TLS 암호화 프로토콜을 이용하여 광 전송 장비(10)들간의 상호 인증을 수행할 수 있다. 암호 처리부(33)는 자체 난수 발생기(35) 또는 양자키 분배 서버(40)로부터 난수를 전달받고, 난수를 이용하여 다른 광 전송 장비(10)들과의 초기 인증 이후의 후속 인증을 수행할 수 있다.The
암호 모듈의 비대칭키 암호화 처리 방법에서 블록 암호의 운영모드는 선택적으로 적용이 가능하다. 광 전송 설비용 보안 시스템(1)에 적용 가능한 운영모드는 반복되는 동일한 블록에 대한 안정성, 주 신호 처리 데이터의 사용, 재 전송 공격의 불가, 암호화 병렬 처리 가능, FPGA의 고속 처리가 가능하도록 암복호화가 동일한 구조, 패딩(Padding)이 필요 없는 구조 등의 조건이 필요하다. 따라서, 적용 가능한 운영 모드는 이를 충족하는 카운터 방식의CTR, 그리고 HASH가 암호문에 포함되어 중간자 공격을 통한 데이터 변조공격을 파악할 수 있는 GCM 모드 등이 가능하다. 이러한 운영 모드의 요구 조건은 광 전송 설비용 보안 시스템(1)의 보안을 강화시키고, 지연 시간을 최소화함으로써 광 전송 설비용 보안 시스템(1)의 신뢰성을 향상시킬 수 있다.In the asymmetric key encryption processing method of the cryptographic module, the operation mode of the block cipher can be selectively applied. Operation modes applicable to the security system for optical transmission facilities (1) include stability for the same repeated block, use of main signal processing data, impossibility of retransmission attack, encryption parallel processing, and encryption/decryption to enable high-speed processing of FPGA. Conditions such as the same structure and a structure that does not require padding are required. Therefore, applicable operating modes include a counter-type CTR that satisfies this requirement, and a GCM mode in which HASH is included in the cipher text to identify data tampering attacks through man-in-the-middle attacks. The requirements of this operating mode can enhance the security of the
보조 처리부(34)는 장치 제어부(32)를 보조하여, 시스템 감시, 외부 제어 신호 처리를 수행하며, 광 전송 통신의 환경 정보의 저장, 조회 기능을 제공할 수 있. 보조 처리부는 장치 제어부의 소프트웨어 및 어플리케이션 이미지, 프로비젼, 성능정보, 경보 정보, 절체 정보 등을 저장할 수 있다.The
도3은 실시예에 따른 암호 처리부를 설명하기 위한 도면이다. 실시예에서는, 암호화 처리속도의 고속화를 위하여 별도의 FPGA기반의 암호 처리부(33)를 적용하였다. 블록 운영 모드와 암호화 키 값에 따라 암호화 처리로직이 다른 비대칭키 암호화로 예를 들면 다음과 같다. 이 때, 장치 제어부(32)는 데이터 암호화의 처리를 위해 운영 모드와 암호화 키 값을 설정하고, 암호 처리부(33)로 운영모드에 따른 암호화 로직 처리를 명령할 수 있다. 별도의 FPGA로 설계된 암호 처리부(33)는 요구조건에 맞는 내부 회로를 미리 설계하여 병렬적으로 암호화 로직을 수행하며, CPU 암호 모듈과 연계하여 운영 모드와 암호화 로직 및 반복되는 로직을 수행하고 데이터를 암호화하여 전송할 수 있다. 이때 FPGA는 디폴트 값의 라운드 처리를 초기값으로 설정하고 사용자의 기능 선택에 따라 환경에 맞는 처리로직을 수행할 수 있다.3 is a diagram for explaining an encryption processing unit according to an embodiment. In the embodiment, a separate FPGA-based
도3을 참조하면, 암호 처리부(33)는 광 전송 설비용 보안 시스템(1)을 제어하는 MGMT FPGA(331)와 포트 그룹 별로 암호화 처리를 하는 ENCRYPTION FPGA(332, 333) 그리고, 주변 회로(334~338)로 구성될 수 있다. MGMTFPGA(331)는 장치 제어부(32)인 MCU를 통해 ENCRYPTION FPGA IMAGE를 업데이트 및 관리하며, 이를 위해FLASH MEMORY(334)로 연결될 수 있다. 또한 초기 부팅시 또는 업데이트 ENCRYPTION IMAGE적용 시에, ENCRYPTION FPGA(332, 333) 제어를 담당할 수 있다. 그리고, 어드레스 디코딩(Address Decoding)을 통해 MCU에서 접근하는 영역을 분리하며, 광 전송 설비용 보안 시스템(1)의 상태를 관리할 수 있다.Referring to FIG. 3, the
ENCRYPTION FPGA(332, 333)는 보안 시스템(1) 동작의 핵심이 되는 부분으로 포트 그룹별로 별도의FPGA로 나누어 2개의 FPGA로 구성될 수 있다. 또한, 패킷 퍼버용으로 RAM(335, 336)이 배치될 수 있다. 각 FPGA는Clint(복호화 구간), Trunk(암호화 구간), HSR적용(High-Availability Seamless Redundancy) 등 각 포트를 연결하여 구성될 수 있다. 또한, MCU로부터 전달 받은 암호 키를 적용하여 암/복호화 처리를 수행할 수 있다.The
장치 제어부(32)는 다양한 네트워크의 연결 요구사항을 대비하며, USB 포트(337~338)로 현장에서의 이미지 업데이트, 백업 또는 외부 암호키의 직접 입력시 사용할 수 있도록 설계된다. 즉, 장치 제어부는 외부 인터페이스 접속을 위한 통합 관리 서버 포트, 광 전송 장비(10)간 통신 네트워크 포트, 중요 데이터 업데이트/백업을 위한 USB포트 등의 동작 및 관리를 수행할 수 있다.The
또한, 장치 제어부(32)는 암호 처리부의 동작 제어, 성능 관리, 양자 난수 생성기를 위한 암호 키 시드(SEED)생성, 외부 서버로부터의 암호키 입수, 인증 관리 등의 다양한 기능을 제공할 수 있다.In addition, the
도4는 실시예에 따른 암호 처리부의 암호화 방식을 설명하기 위한 도면이다. 도4는 MTPsec의 암호화 방식 전후의 데이터를 분석한 패킷 구조를 나타낸다. 도4를 참조하면, 전용 회선 구간의 MPLS-TP통신시 기본 패킷 구조(Basic packet structure)와, 전송 모드 ESP 및 터널 모드 ESP 에 따라 암호화 방식 및 패킷 구조가 상이함을 확인할 수 있다.4 is a diagram for explaining an encryption method of an encryption processing unit according to an embodiment. 4 shows a packet structure obtained by analyzing data before and after the MTPsec encryption method. Referring to FIG. 4, it can be seen that the encryption method and packet structure are different according to the basic packet structure, transmission mode ESP and tunnel mode ESP during MPLS-TP communication in the dedicated line section.
MPLS(Multiprotocol Label Switching)통신을 구성할 때 일반 패킷 헤더에 PW shim 헤더와LSP shim 헤더가 발생한다. 실시예예 따른 암호 처리부는 원본 패킷을 암호화하고 인증을 수행하기 위해 PE(Provider Edge) 구간 PW Layer의 패킷 구조에 IPsec의 ESP암호화를 적용할 수 있다.When configuring MPLS (Multiprotocol Label Switching) communication, PW shim header and LSP shim header are generated in the general packet header. The encryption processing unit according to the embodiment may apply ESP encryption of IPsec to a packet structure of a PW layer of a provider edge (PE) section in order to encrypt an original packet and perform authentication.
전송 모드 ESP(Tansmission mode ESP)에서는 ESP헤더가 PW와 User Traffic사이에 위치하여 종단 간의 보안을 제공하는 모드로 트래픽을 보호할 수 있다.In the transmission mode ESP (Transmission mode ESP), the ESP header is located between the PW and the user traffic to protect traffic in a mode that provides end-to-end security.
또한, 터널 모드 ESP(Tunnel ESP)에서는 PW헤더 앞에 ESP헤더와 NEW PW가 위치하여 터널 끝점 사이의 일부 경로에서 트래픽을 보호할 수 있다.In addition, in the tunnel mode ESP, an ESP header and a NEW PW are placed before the PW header to protect traffic in a partial path between tunnel endpoints.
실시예예 따른 광 전송 설비용 보안 시스템 MPLS 통신의 최적화된 암호화 통신을 위하여, MPLS통신 수행시 발생하는 PW-Layer를 선택적으로 암호화하여 대역폭 문제를 최적화할 수 있다.Security System for Optical Transmission Facilities According to Embodiments For optimized encrypted communication of MPLS communication, it is possible to optimize a bandwidth problem by selectively encrypting a PW-Layer generated during MPLS communication.
아직 표준화가 진행 중인 MPLS구간 데이터를 암호화 할 때 최적화된 암호화 통신을 하려면 MPLS통신에서 발생하는 LSP Layer와 PW Layer의 암호화를 고려하여야 한다. 이 때, LSP Layer를 암호화 하면 오버헤드로 대역폭이 낭비될 수 있다. 이에 따라 PW Layer의 암호화 통신을 위하여, MPLS 통신 수행시 발생하는 PW 헤더에 IPsec의 ESP방식을 적용하여 암호화를 수행할 수 있다. 이때, 실시예에 따른 광 전송 설비용 보안 시스템은 네트워크 환경에 따라 터널모드와 전송모드를 선택적으로 적용하여 암호화를 수행할 수 있다.When encrypting data in the MPLS section, which is still being standardized, for optimized encrypted communication, encryption of the LSP layer and PW layer occurring in MPLS communication must be considered. At this time, if the LSP layer is encrypted, bandwidth may be wasted due to overhead. Accordingly, for encryption communication of the PW layer, encryption can be performed by applying the ESP method of IPsec to the PW header generated during MPLS communication. At this time, the security system for an optical transmission facility according to the embodiment may perform encryption by selectively applying a tunnel mode and a transmission mode according to the network environment.
터널모드는 새로운 MPLS 헤더를 제외한 원래의 MPLS 패킷 전체에 대하여 인증 및 암호화를 수행하지만 새로운 MPLS 헤더가 삽입되므로 전송모드에 비해 더 많은 대역폭을 사용할 수 있다. Tunnel mode performs authentication and encryption on the entire original MPLS packet except for the new MPLS header, but since the new MPLS header is inserted, more bandwidth can be used compared to transport mode.
따라서 전송지연과 대역폭 문제를 고려하여 각 본부 사이에 위치한 보안 게이트 웨이에서 보안기능을 제공하는 터널모드를 기본적으로 사용하고, 통신 구간환경에 따라 양 호스트에 단말기 보안 기능을 제공할 때는 전송모드를 선택적으로 사용할 수 있다. 또한, 내부 MPLS 패킷을 암호화 및 인증하는 ESP암호화 방식을 적용하여 기밀성 및 무결성을 제공할 수 있다.Therefore, considering the transmission delay and bandwidth issues, the tunnel mode that provides security functions is basically used in the security gateway located between each headquarters, and the transmission mode is selectively used when providing terminal security functions to both hosts according to the communication section environment. can be used as In addition, confidentiality and integrity can be provided by applying an ESP encryption method for encrypting and authenticating inner MPLS packets.
실시예에서, 전송 모드는 호스트와 호스트 간의 보안 연계 기능을 제공할 수 있다. 전송 모드는 IP 패킷 전체를 보호하는 것이 아니라, IP 헤더를 제외한 IP 패킷의 페이 로드만을 보호할 수 있다. 전송 모드에서 IP 헤더는 암호화되지 않으므로 트래픽 경로는 노출될 수 있다. 따라서, 전송 모드는 종단 노드(End Node) 구간의 IP패킷 보호를 위해 사용될 수 있다.In an embodiment, the transport mode may provide a host-to-host security association function. The transport mode may protect only the payload of the IP packet excluding the IP header, rather than protecting the entire IP packet. In transport mode, IP headers are not encrypted, so traffic paths can be exposed. Therefore, the transport mode can be used to protect IP packets in the end node section.
실시예에서, 터널 모드는 게이트 웨이와 게이트 웨이 또는 호스트와 게이트웨이의 보안 연계 기능을 제공할 수 있다. 터널 모드는 IP패킷 전체를 보호하는 모드로 패킷 전체를 보호하며, 암호화 된 IP 패킷에 IPSec헤더를 추가하여 라우팅을 수행할 수 있다. IPSec 헤더는 구간 간 이동에 대한 정보만 있으므로 종단 정보(출발지, 목적지)와 트래픽 경로를 보호할 수 있다. 일반적으로 트래픽이 신뢰할 수 없는 네트워크를 지날 때 터널 모드를 사용할 수 있다.In an embodiment, the tunnel mode may provide a gateway-to-gateway or host-to-gateway security association function. Tunnel mode protects the entire IP packet, and routing can be performed by adding an IPSec header to the encrypted IP packet. Since the IPSec header has only information about movement between sections, it can protect end information (originating point, destination) and traffic path. In general, tunnel mode can be used when traffic traverses an untrusted network.
이를 통해 광 전송 구간의 PE구간에서 MPLS 암호화 통신을 가능하도록 한다.Through this, MPLS encrypted communication is possible in the PE section of the optical transmission section.
도5는 실시에에 따른 광 전송 설비용 보안 방법의 순서도이다.Fig. 5 is a flow chart of a security method for optical transmission equipment according to an embodiment.
도5는 보안 장치가 통합 관리 서버와 광전송 장비 사이에 마련되는 경우에 있어서의 보안 과정을 도시하였다. 도5를 참조하면, 제1광 전송 장비는 제1전력 설비 서버로부터 현장 데이터를 수집한다(S501).5 illustrates a security process in the case where a security device is provided between the integrated management server and the optical transmission equipment. Referring to Fig. 5, the first light transmission equipment collects on-site data from the first power facility server (S501).
다음으로, 제1광 전송 장비는 수집한 현장 데이터를 제1보안 장치로 전송한다(S502).Next, the first optical transmission device transmits the collected field data to the first security device (S502).
다음으로, 제1보안 장치는 제1광 전송 장비로부터 수집한 현장 데이터를 MTPsec방식으로 암호화한다. 이 때, 제1보안 장치는 ESP암호화 방식을 통하여 상기 현장 데이터를 암호화할 수 있다(S503).Next, the first security device encrypts the on-site data collected from the first optical transmission equipment using the MTPsec method. At this time, the first security device may encrypt the field data through an ESP encryption method (S503).
다음으로, 제1보안 장치는 암호화 된 현장 데이터를 상기 링 네트워크로 출력한다(S505).Next, the first security device outputs encrypted field data to the ring network (S505).
다음으로, 제2보안 장치는 암호화 된 현장 데이터를 수신하고, 암호화 된 현장 데이터를 복호화한다(S505).Next, the second security device receives the encrypted field data and decrypts the encrypted field data (S505).
다음으로, 제2보안 장치는 복호화 된 현장 데이터를 제2광 전송 장비로 전송한다(S506).Next, the second security device transmits the decrypted field data to the second optical transmission device (S506).
다음으로, 제2광 전송 장비는 복호화 된 현장 데이터를 제2전력 설비 서버로 전송한다(S507).Next, the second optical transmission equipment transmits the decrypted on-site data to the second power facility server (S507).
도6은 실시에에 따른 광 전송 설비용 보안 방법의 순서도이다.Fig. 6 is a flow chart of a security method for optical transmission equipment according to an embodiment.
도6은 보안 장치가 전력 설비 서버와 광 전송 장비에 마련되는 경우에 있어서의 보안 과정을 도시하였다. 도6을 참조하면, 제1보안 장치는 제1전력 설비 서버로부터 현장 데이터를 수집한다(S601).6 shows a security process in the case where security devices are provided in the power equipment server and the optical transmission equipment. Referring to FIG. 6 , the first security device collects on-site data from the first power facility server (S601).
다음으로, 제1보안 장치는 현장 데이터를 MTPsec방식으로 암호화한다. 이 때, 제1보안 장치는 현장 데이터를 MACsec암호화 방식을 통하여 암호화할 수 있다(S602).Next, the first security device encrypts the on-site data using the MTPsec method. At this time, the first security device may encrypt the on-site data through the MACsec encryption method (S602).
다음으로, 제1보안 장치는 암호화 된 현장 데이터를 제1광 전송 장비로 전송한다(S603).Next, the first security device transmits the encrypted field data to the first optical transmission device (S603).
다음으로, 제1광 전송 장비는 암호화 된 현장 데이터를 링 네트워크로 출력한다(S604).Next, the first optical transmission equipment outputs the encrypted field data to the ring network (S604).
다음으로, 제2광 전송 장비는 암호화 된 현장 데이터를 수신하고, 암호화 된 현장 데이터를 제2보안 장치로 전송한다(S605).Next, the second optical transmission device receives the encrypted field data and transmits the encrypted field data to the second security device (S605).
다음으로, 제2보안 장치는 암호화 된 현장 데이터를 복호화한다(S606).Next, the second security device decrypts the encrypted field data (S606).
다음으로, 제2보안 장치는 복호화 된 현장 데이터를 전력 설비 서버로 전송한다(S607).Next, the second security device transmits the decrypted field data to the power facility server (S607).
도 7(a)는 광 케이블을 사용하는 전용 회선을 도시한 도면이고, 도7(b)는 실시예에 따른 광 전송 설비용 보안 시스템을 적용한 경우를 도시한 도면이다.7(a) is a diagram illustrating a dedicated line using an optical cable, and FIG. 7(b) is a diagram illustrating a case in which a security system for optical transmission facilities according to an embodiment is applied.
도7(a)를 참조하면, 광 선로의 광 케이블은 어느 곳에서나 손쉽게 해킹이 가능하며, 광 케이블의 손상 없이 광신호 구부림 장치 등 간단한 해킹장비를 이용하면 1%미만의 광 신호로도 100% 데이터를 수신할 수 있음을 확인할 수 있다. 이에 반하여 도7(b)를 참조하면, 광 전송 설비용 보안 시스템은 전용 회선 구간의 모든 데이터를 암호화하여 전송하여 전술한 해킹 사례를 효과적으로 방지할 수 있음을 확인할 수 있다.Referring to FIG. 7 (a), the optical cable of the optical line can be easily hacked anywhere, and if a simple hacking device such as an optical signal bending device is used without damaging the optical cable, even an optical signal of less than 1% can be 100% hacked. You can confirm that data can be received. On the other hand, referring to FIG. 7(b), it can be seen that the security system for optical transmission facilities can effectively prevent the above-described hacking case by encrypting and transmitting all data in the dedicated line section.
실시예에 따른 광 전송 설비용 보안 시스템은 악의적인 공격에 의한 해커의 접근을 효율적으로 방지할 수 있다. 또한, 암호화 키, 인증서 등의 주요 정보를 모두 해쉬값으로 변경 저장함으로써 보안성을 향상시킬 수 있다. 또한, 상호 인증 과정을 통하여 검증된 장비, 장치를 통하여 통신을 수행하고, 통합 관리 서버의 지정된 EMS상에서만 인증서를 생성할 수 있다. 또한, 생성된 인증서는 반드시 체계적으로 관리 및 폐기되며, TLS 암호화 통신에 사용하는 인증서의 생성을 위해서는 관리자 모드로 접속하여 실행하여야만 한다. 또한, 등급에 따른 시스템 설정 및 암호기능을 설정하여 권한을 제한한다. 또한, 자체 난수 발생기(하드웨어 방식)를 사용하고 선택적으로 외부 양자 암호 분배 시스템 서버를 사용한다. 또한, ID의 등록 수를 제한하고, 원격 접속을 허용할 IP를 지정한다. 또한, 각 계정별로 설정할 수 있는 명령어를 제한하여, 특정 계정의 사용자만이 주요 명령어를 입력할수 있도록 한다. 또한, 사용자 인증이 연속적으로 설정된 횟수만큼 실패하면 식별 및 인증 기능을 비활성하고, 장비가 제공하는 모든 원격 서비스를 활성화/비활성화 처리할 수 있다.The security system for an optical transmission facility according to the embodiment can effectively prevent access by hackers due to malicious attacks. In addition, security can be improved by changing and storing all key information such as encryption keys and certificates in hash values. In addition, communication can be performed through equipment and devices verified through a mutual authentication process, and a certificate can be generated only on the designated EMS of the integrated management server. In addition, the generated certificate must be systematically managed and discarded, and in order to create a certificate used for TLS encrypted communication, it must be accessed and executed in administrator mode. In addition, authority is restricted by setting system settings and password functions according to levels. In addition, it uses its own random number generator (hardware method) and optionally uses an external quantum cryptographic distribution system server. Also, limit the number of registered IDs and designate IPs to allow remote access. In addition, by restricting commands that can be set for each account, only users of specific accounts can input key commands. In addition, if user authentication fails a set number of consecutive times, identification and authentication functions may be deactivated, and all remote services provided by the equipment may be activated/deactivated.
실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 기록 매체에 기록될 수 있다. 이때, 매체는 컴퓨터로 실행 가능한 프로그램을 계속 저장하거나, 실행 또는 다운로드를 위해 임시 저장하는 것일 수도 있다. 또한, 매체는 단일 또는 수 개의 하드웨어가 결합된 형태의 다양한 기록수단 또는 저장수단일 수 있는데, 어떤 컴퓨터 시스템에 직접 접속되는 매체에 한정되지 않고, 네트워크 상에 분산 존재하는 것일 수도 있다. 매체의 예시로는, 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 `매체, CD-ROM 및 DVD와 같은 광기록 매체, 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical medium), 및 ROM, RAM, 플래시 메모리 등을 포함하여 프로그램 명령어가 저장되도록 구성된 것이 있을 수 있다. 또한, 다른 매체의 예시로, 어플리케이션을 유통하는 앱 스토어나 기타 다양한 소프트웨어를 공급 내지 유통하는 사이트, 서버 등에서 관리하는 기록매체 내지 저장매체도 들 수 있다.The method according to the embodiment may be implemented in the form of program instructions that can be executed through various computer means and recorded on a computer readable recording medium. In this case, the medium may continuously store a program executable by a computer or temporarily store the program for execution or download. In addition, the medium may be various recording means or storage means in the form of a single or combined hardware, but is not limited to a medium directly connected to a certain computer system, and may be distributed on a network. Examples of the medium include magnetic media such as hard disks, floppy disks and magnetic tapes, optical recording media such as CD-ROM and DVD, and magneto-optical media such as floptical disks. , and ROM, RAM, flash memory, etc. configured to store program instructions. In addition, examples of other media include “recording media” or storage media managed by an app store that distributes applications, a site that supplies or distributes various other software, and a server.
본 실시예에서 사용되는 '~부'라는 용어는 소프트웨어 또는 FPGA(field-programmable gate array) 또는 ASIC과 같은 하드웨어 구성요소를 의미하며, '~부'는 어떤 역할들을 수행한다. 그렇지만 '~부'는 소프트웨어 또는 하드웨어에 한정되는 의미는 아니다. '~부'는 어드레싱할 수 있는 저장 매체에 있도록 구성될 수도 있고 하나 또는 그 이상의 프로세서들을 재생시키도록 구성될 수도 있다. 따라서, 일 예로서 '~부'는 소프트웨어 구성요소들, 객체지향 소프트웨어 구성요소들, 클래스 구성요소들 및 태스크 구성요소들과 같은 구성요소들과, 프로세스들, 함수들, 속성들, 프로시저들, 서브루틴들, 프로그램 코드의 세그먼트들, 드라이버들, 펌웨어, 마이크로코드, 회로, 데이터, 데이터베이스, 데이터 구조들, 테이블들, 어레이들, 및 변수들을 포함한다. 구성요소들과 '~부'들 안에서 제공되는 기능은 더 작은 수의 구성요소들 및 '~부'들로 결합되거나 추가적인 구성요소들과 '~부'들로 더 분리될 수 있다. 뿐만 아니라, 구성요소들 및 '~부'들은 디바이스 또는 보안 멀티미디어카드 내의 하나 또는 그 이상의 CPU들을 재생시키도록 구현될 수도 있다.The term '~unit' used in this embodiment means software or a hardware component such as a field-programmable gate array (FPGA) or ASIC, and '~unit' performs certain roles. However, '~ part' is not limited to software or hardware. '~bu' may be configured to be in an addressable storage medium and may be configured to reproduce one or more processors. Therefore, as an example, '~unit' refers to components such as software components, object-oriented software components, class components, and task components, processes, functions, properties, and procedures. , subroutines, segments of program code, drivers, firmware, microcode, circuitry, data, databases, data structures, tables, arrays, and variables. Functions provided within components and '~units' may be combined into smaller numbers of components and '~units' or further separated into additional components and '~units'. In addition, components and '~units' may be implemented to play one or more CPUs in a device or a secure multimedia card.
상기에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다. Although the above has been described with reference to preferred embodiments of the present invention, those skilled in the art will variously modify and change the present invention within the scope not departing from the spirit and scope of the present invention described in the claims below. You will understand that it can be done.
1: 광 전송 설비용 보안 시스템
10: 광 전송 장비
20: 통합 관리 서버
30: 보안 장치1: Security systems for optical transmission facilities
10: optical transmission equipment
20: integrated management server
30: security device
Claims (11)
상기 광 케이블 전용 회선에 연결된 노드와 암호화 키 및 인증서를 공유하는 통합 관리 서버; 및
상기 링 네트워크에 기 설정된 노드에 따라 상기 전력 설비 서버와 상기 광전송 장비 사이 또는 상기 통합 관리 서버와 상기 광전송 장비 사이에 마련되며, 상기 전력 설비 서버로부터 수집한 현장 데이터를 MTPsec방식으로 암호화하여 상기 링 네트워크로 출력하고, 상기 광 케이블 전용 회선을 통하여 수신되는 데이터를 복호화하여 상기 전력 설비 서버로 전송하는 보안 장치를 포함하는 광 전송 설비용 보안 시스템.
Optical transmission equipment constituting a mutual ring network through an optical cable dedicated line connected to a plurality of power facility servers to collect on-site data;
an integrated management server that shares encryption keys and certificates with nodes connected to the optical cable dedicated line; and
It is provided between the power equipment server and the optical transmission equipment or between the integrated management server and the optical transmission equipment according to a node preset in the ring network, and encrypts field data collected from the power equipment server using the MTPsec method to perform the ring network operation. A security system for an optical transmission facility comprising a security device that outputs data to a dedicated optical cable line, decrypts data received through the dedicated optical cable line, and transmits the data to the power facility server.
상기 링 네트워크에 기 설정된 기준 이상의 노드가 배치되는 경우, 상기 보안 장치는 상기 통합 관리 서버와 상기 광전송 장비 사이에 마련되는 광 전송 설비용 보안 시스템.
According to claim 1,
The security system for an optical transmission facility, wherein the security device is provided between the integrated management server and the optical transmission equipment when nodes greater than or equal to a preset standard are disposed in the ring network.
상기 보안 장치는 상기 전력 설비 서버로부터 수집한 현장 데이터를 상기 광전송 장비로부터 전달받고, 상기 MTPsec방식 중 ESP암호화 방식을 통하여 암호화 한 후 상기 링 네트워크로 출력하는 광 전송 설비용 보안 시스템.
According to claim 2,
Wherein the security device receives field data collected from the power facility server from the optical transmission equipment, encrypts it through an ESP encryption method among the MTPsec methods, and then outputs the data to the ring network.
상기 링 네트워크에 기 설정된 기준 미만의 노드가 배치되는 경우, 상기 보안 장치는 상기 전력 설비 서버와 상기 광전송 장비 사이에 마련되는 광 전송 설비용 보안 시스템.
According to claim 1,
The security system for an optical transmission facility, wherein the security device is provided between the power facility server and the optical transmission equipment when nodes less than a preset standard are disposed in the ring network.
상기 보안 장치는 상기 전력 설비 서버로부터 상기 현장 데이터를 수집한 후, 상기 MTPsec방식 중 MACsec암호화 방식을 통하여 암호화 한 후 상기 광 전송 장비를 거쳐 상기 링 네트워크로 출력하는 광 전송 설비용 보안 시스템.
According to claim 4,
Wherein the security device collects the on-site data from the power facility server, encrypts it through a MACsec encryption method among the MTPsec methods, and outputs the data to the ring network through the optical transmission device.
상기 보안 장치는 상기 통합 관리 서버에 접속하여 초기 IP주소와, 노드 IP를 등록하고, 공유하고 있는 상기 암호화 키 및 상기 인증서를 이용하여 상호인증을 수행하는 광 전송 설비용 보안 시스템.
According to claim 1,
wherein the security device accesses the integrated management server, registers an initial IP address and a node IP, and performs mutual authentication using the shared encryption key and certificate.
상기 광 케이블 전용 회선에 연결된 노드와 암호화 키 및 인증서를 공유하는 통합 관리 서버; 및
상기 링 네트워크에 기 설정된 기준 이상의 노드가 배치되는 경우, 상기 통합 관리 서버와 상기 광전송 장비 사이에 마련되는 보안 장치를 포함하는 광 전송 설비용 보안 방법에 있어서,
제1광 전송 장비가 상기 전력 설비 서버로부터 현장 데이터를 수집하는 단계;
제1보안 장치가 상기 제1광 전송 장비로부터 수집한 현장 데이터를 MTPsec방식으로 암호화하는 단계;
상기 제1보안 장치가 암호화 된 현장 데이터를 상기 링 네트워크로 출력하는 단계;
제2보안 장치가 상기 암호화 된 현장 데이터를 수신하는 단계;
상기 제2보안 장치가 상기 암호화 된 현장 데이터를 복호화하는 단계; 및
상기 제2보안 장치가 복호화 된 현장 데이터를 제2광 전송 장비로 전송하는 단계를 포함하는 광 전송 설비용 보안 방법.
Optical transmission equipment constituting a mutual ring network through an optical cable dedicated line connected to a plurality of power facility servers to collect on-site data;
an integrated management server that shares encryption keys and certificates with nodes connected to the optical cable dedicated line; and
A security method for an optical transmission facility comprising a security device provided between the integrated management server and the optical transmission equipment when nodes greater than or equal to a predetermined standard are disposed in the ring network,
collecting field data from the power facility server by a first optical transmission device;
encrypting, by a first security device, on-site data collected from the first optical transmission equipment using an MTPsec method;
outputting, by the first security device, encrypted field data to the ring network;
receiving, by a second security device, the encrypted on-site data;
decrypting the encrypted field data by the second security device; and
and transmitting, by the second security device, the field data decrypted to a second optical transmission device.
상기 제1보안 장치는 상기 MTPsec방식 중 ESP암호화 방식을 통하여 상기 현장 데이터를 암호화하는 광 전송 설비용 보안 방법.
According to claim 7,
wherein the first security device encrypts the on-site data through an ESP encryption method among the MTPsec methods.
상기 광 케이블 전용 회선에 연결된 노드와 암호화 키 및 인증서를 공유하는 통합 관리 서버; 및
상기 링 네트워크에 기 설정된 기준 미만의 노드가 배치되는 경우, 상기 전력 설비 서버와 상기 광 전송 장비에 사이에 마련되는 보안 장치를 포함하는 광 전송 설비용 보안 방법에 있어서,
제1보안 장치가 상기 전력 설비 서버로부터 현장 데이터를 수집하는 단계;
상기 제1보안 장치가 상기 현장 데이터를 MTPsec방식으로 암호화하는 단계;
상기 제1보안 장치가 암호화 된 현장 데이터를 제1광 전송 장비로 전송하는 단계;
상기 제1광 전송 장비가 암호화 된 현장 데이터를 상기 링 네트워크로 출력하는 단계;
제2광 전송 장비가 상기 암호화 된 현장 데이터를 수신하는 단계;
상기 제2광 전송 장비가 상기 암호화 된 현장 데이터를 제2보안 장치로 전송하는 단계;
상기 제2보안 장치가 상기 암호화 된 현장 데이터를 복호화하는 단계; 및
상기 제2보안 장치가 복호화 된 현장 데이터를 전력 설비 서버로 전송하는 단계를 포함하는 광 전송 설비용 보안 방법.
Optical transmission equipment constituting a mutual ring network through an optical cable dedicated line connected to a plurality of power facility servers to collect on-site data;
an integrated management server that shares encryption keys and certificates with nodes connected to the optical cable dedicated line; and
A security method for an optical transmission facility comprising a security device provided between the power facility server and the optical transmission device when nodes less than a preset standard are deployed in the ring network,
collecting, by a first security device, on-site data from the power facility server;
Encrypting, by the first security device, the on-site data using an MTPsec method;
transmitting, by the first security device, encrypted on-site data to a first optical transmission device;
outputting, by the first optical transmission equipment, encrypted field data to the ring network;
receiving the encrypted on-site data by a second optical transmission device;
transmitting the encrypted on-site data to a second security device by the second optical transmission device;
decrypting the encrypted field data by the second security device; and
and transmitting, by the second security device, the decrypted on-site data to a power facility server.
상기 제1보안 장치는 상기 현장 데이터를 상기 MTPsec방식 중 MACsec암호화 방식을 통하여 암호화하는 광 전송 설비용 보안 방법.
According to claim 9,
The first security device encrypts the field data through a MACsec encryption method among the MTPsec methods.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020200179783A KR102571495B1 (en) | 2020-12-21 | 2020-12-21 | Security system and method for optical transmission facilities |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020200179783A KR102571495B1 (en) | 2020-12-21 | 2020-12-21 | Security system and method for optical transmission facilities |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20220089290A KR20220089290A (en) | 2022-06-28 |
KR102571495B1 true KR102571495B1 (en) | 2023-08-28 |
Family
ID=82268599
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020200179783A KR102571495B1 (en) | 2020-12-21 | 2020-12-21 | Security system and method for optical transmission facilities |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102571495B1 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20240078203A (en) | 2022-11-25 | 2024-06-03 | 한전케이디엔주식회사 | Apparatus and method for checking security measures status of optical transmission encryption equipment |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20170037320A (en) * | 2015-09-25 | 2017-04-04 | 한국전력공사 | Wired and wireless communication interface for automatic meter reading and system comprising the same |
RU2021125103A (en) * | 2017-04-03 | 2021-09-16 | Листат Лтд. | METHODS AND DEVICE OF LAST MILE HYPER-PROTECTED COMMUNICATION |
-
2020
- 2020-12-21 KR KR1020200179783A patent/KR102571495B1/en active IP Right Grant
Also Published As
Publication number | Publication date |
---|---|
KR20220089290A (en) | 2022-06-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9571458B1 (en) | Anti-replay mechanism for group virtual private networks | |
US8891770B2 (en) | Pair-wise keying for tunneled virtual private networks | |
US7774594B2 (en) | Method and system for providing strong security in insecure networks | |
EP1635502B1 (en) | Session control server and communication system | |
Frankel et al. | Guide to IPsec VPNs:. | |
US20080028225A1 (en) | Authorizing physical access-links for secure network connections | |
JP6841324B2 (en) | Communication equipment, systems, methods and programs | |
US9614669B1 (en) | Secure network communications using hardware security barriers | |
US9948621B2 (en) | Policy based cryptographic key distribution for network group encryption | |
US9015825B2 (en) | Method and device for network communication management | |
Samociuk | Secure communication between OpenFlow switches and controllers | |
KR102571495B1 (en) | Security system and method for optical transmission facilities | |
Rosborough et al. | All about eve: comparing DNP3 secure authentication with standard security technologies for SCADA communications | |
Cho et al. | Secure open fronthaul interface for 5G networks | |
US20210218709A1 (en) | Secure low-latency trapdoor proxy | |
KR20100025788A (en) | Detection system and detecting method for the cryptographic data in ssh | |
US20230269077A1 (en) | On-demand formation of secure user domains | |
Kwon et al. | Mondrian: Comprehensive Inter-domain Network Zoning Architecture. | |
KR20220036141A (en) | Security device and method for power control system | |
CN116915486B (en) | Cloud service communication system | |
Rawal et al. | No-sum IPsec Lite: Simplified and lightweight Internet security protocol for IoT devices | |
Yang et al. | Industry trusted network communication based on quantum encryption | |
Jain | “Sec-KeyD” an efficient key distribution protocol for critical infrastructures | |
Zhang et al. | Secure Door on Cloud: A Secure Data Transmission Scheme to Protect Kafka's Data | |
KR102357375B1 (en) | System for transmitting optical of nuclear power plants network enhanced security and method for transmitting data there of |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
E902 | Notification of reason for refusal | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |