KR20090102469A - Dnp 기반 scada 네트워크 데이터 보호 시스템 및그 방법 - Google Patents

Dnp 기반 scada 네트워크 데이터 보호 시스템 및그 방법

Info

Publication number
KR20090102469A
KR20090102469A KR1020080027933A KR20080027933A KR20090102469A KR 20090102469 A KR20090102469 A KR 20090102469A KR 1020080027933 A KR1020080027933 A KR 1020080027933A KR 20080027933 A KR20080027933 A KR 20080027933A KR 20090102469 A KR20090102469 A KR 20090102469A
Authority
KR
South Korea
Prior art keywords
scada
dnp
security
data frame
measurement information
Prior art date
Application number
KR1020080027933A
Other languages
English (en)
Inventor
강동주
김학만
이종주
Original Assignee
한국전기연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전기연구원 filed Critical 한국전기연구원
Priority to KR1020080027933A priority Critical patent/KR20090102469A/ko
Publication of KR20090102469A publication Critical patent/KR20090102469A/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24167Encryption, password, user access privileges
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24215Scada supervisory control and data acquisition

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 DNP 기반 SCADA 네트워크 데이터 보호 시스템 및 그 방법을 제공하기 위한 것으로, 공인인증방식을 통해 DNP 기반 SCADA 시스템의 네트워크의 데이터 버스에 접근하여 DNP 기반 SCADA 데이터 프레임을 송수신하여 DNP 기반 SCADA 시스템에서의 제어 또는 계측 정보를 송수신하는 통신부와; 상기 통신부를 통해 DNP 기반 SCADA 데이터 프레임을 전달받아 암호화 및 보안화 처리를 수행하는 보안 처리부와; 상기 보안 처리부를 통해 제어 또는 계측 정보를 전달받아 SCADA 시스템에서의 각 단말의 상태를 감시하고 제어하는 감시 제어부;를 포함하여 구성함으로서, DNP 기반 SCADA 시스템의 네트워크에 전송되는 제어 또는 계측 정보를 외부로 부터의 해킹이나 침입으로부터 방어하고 자료의 누출을 막기 위하여 암호화 또는 부호화 방법을 사용하여 안정적이고 신뢰성 높은 통신을 구현할 수 있게 되는 것이다.

Description

DNP 기반 SCADA 네트워크 데이터 보호 시스템 및 그 방법{System and method for data protection and security of SCADA network based on DNP}
본 발명은 SCADA(Supervisory Control And Data Acquisition, 집중 원격감시 제어시스템 또는 감시제어 데이터 수집시스템) 네트워크에서의 데이터 보호에 관한 것으로, 특히 DNP(Distributed Network Protocol, 분산 네트워크 프로토콜) 기반 SCADA 시스템의 네트워크에 전송되는 제어 또는 계측 정보를 외부로 부터의 해킹이나 침입으로부터 방어하고 자료의 누출을 막기 위하여 암호화 또는 부호화 방법을 사용하여 안정적이고 신뢰성 높은 통신을 구현하기에 적당하도록 한 DNP 기반 SCADA 네트워크 데이터 보호 시스템 및 그 방법에 관한 것이다.
일반적으로 SCADA 시스템은 통신 경로상의 아날로그 또는 디지털 신호를 사용하여 원격장치의 상태정보 데이터를 원격장치(Remote Terminal Unit, RTU)로 수집, 수신, 기록, 표시하여 중앙제어 시스템이 원격장치를 감시제어하는 시스템을 말한다. SCADA 시스템은 발전/송배전시설, 석유화학플랜트, 제철공정시설, 공장자동화시설 등 여러 종류의 원격지 시설장치를 중앙집중식으로 감시제어하는 시스템이다.
또한 DNP(Distributed Network Protocol)의 약자로 분산되어 있는 원격지의 단말장치와 제어 또는 계측 정보들을 처리하기 위하여 설계된 표준 통신 규격으로 RTU(remote terminal unit), IED(Intelligent Electronic Device) 등과 같은 원격 단말 장치들과 서버(마스터 스테이션) 사이의 상호 운영성을 확립하기 위하여 개발된 개방형 프로토콜이다.
DNP를 사용하는 대표적인 분야는 전력시스템으로 DNP 프로토콜을 통하여 감시/계측/제어를 하고 있다. DNP 프로토콜 기반 통신 시스템의 가장 대표적인 예가 SCADA 시스템으로, SCADA 시스템이 전력시스템의 운영에 도입되면서 전력시스템의 운영이 원격화 되기 시작하였고, 시간이 흐름에 따라 기술발달과 더불어 SCADA 시스템과 전력계통은 더욱 밀접하게 연계되고 있음
하지만, DNP 기반 SCADA 시스템에서는 보안적 측면이 고려되지 않고 있는 문제점이 있었다. 또한 다수의 RTU와 IDE의 경우 패스워드에 의한 보호가 되지 않는 경우도 많은 실정이다.
전력계통의 SCADA 시스템은 높은 수준의 가용성(낮은 고장 빈도와 신속한 복구)이 요구되며, 매우 높은 수준의 계측 정확성이 요구된다. 이를 위해 수신 데이터의 검증이 필요하고, 부적절하거나 부정확한 제어동작의 방지가 필요하다.
그리고 전력시스템의 안정적으로 운영을 위해서는 일차적으로 SCADA 시스템 내에서 RTU/Host 간 정확한 통신이 전제되어야 한다. 계측오류, 통신오류, 이외에도 외부 해킹에 의한 인위적인 정보 왜곡 가능성이 존재하고, 국가기반시설에 대한 해킹이나 테러 행위의 가능성이 날로 증대하고 있다.
SCADA/EMS 네트워크는 초기에 기능의 효율성과 신뢰도를 극대화하기 위해 설계되었기 때문에 보안 측면에 대한 고려가 약한 측면이 있다.
SCADA 장치들은 대부분 내장형 제어기(controller)를 가지고 있고, 이로 인해 제한된 제어기능을 가질 수 밖에 없다. 또한 프로토콜의 경우에도 초기의 느린 시리얼 통신선을 고려하여 만들어졌기 때문에 매우 단순하게 만들어졌다. 따라서 위장하기(spoofing), 회신공격(reply attack), 서비스거부(denial of service) 공격 등 다양한 방식의 공격에 취약한 특성을 가진다.
미국 PNNL(Pacific Northwest National Laboratory, 북서태평양국립연구소)의 Jeff Dagle은 모 학회에서 전력 테스트 계통을 만들고 차단기를 트립(trip)시켜 본 적이 있다. 이때 차단기는 SCADA 소프트웨어에 차단기가 개방되었다는 신호를 전달했으나, SCADA 제어기는 그러한 신호를 보낸 적이 없기 때문에 무시(DNP 프로토콜 polling 방식의 허점 공격)하고 응답하지 않았다. 이는 고전적인 해킹 방법인 서비스거부(denial-of-service) 방식을 적용한 것으로 프로토콜 레벨에서의 취약성을 보인 사례이다.
SCADA 기기들은 종종 중앙제어시스템(MTU)으로부터 제어를 받게 되는데, 이러한 MTU들이 과거에는 UNIX 기반이었으나 최근에는 윈도우 기반으로 옮겨가고 있고, 이로 인한 보안상의 취약성이 발생 가능하다.
또한 RTU나 PLC(Power Line Communications, 전력선 통신)들은 ROM(Read Only Memory) 상에 입력되어 있는 OS(Operating System)에 의해 작동하고 있기 때문에 재설치가 불가능하고, 이로 인해 ROM을 교체하지 않는 한 소프트웨어 차원의 업그레이드는 불가능할 뿐 아니라, 설사 ROM 교체가 가능하다 하더라도 보통 기기에 밀봉된 형태로 되어 있기 때문에 기기 교체를 하여야 하나 긴 수명 주기로 인해 기기 벤더가 존재하지 않는 경우가 많다.
DNP 기반 전력 시스템에 대한 고의적 정보 조작이 발생하게 되면 전력 계통의 붕괴를 유발할 수도 있으며, 국가 안보와 경제적 측면에 치명적인 문제가 야기될 수 있다.
따라서 고의적 정보 조작을 방지할 수 있는 DNP 기반 전력 시스템 운영의 안전성 향상을 위한 보안 시스템 개발이 요구되게 되었다.
이에 따라 본 발명에서는 DNP 기반 SCADA 네트워크 상에서 발생할 수 있는 정보 유출/누출 문제를 해결하고, 외부로부터의 침입으로 인하여 발생되는 해킹에 대한 보안 처리를 수행하며, SCADA 시스템의 네트워크에 전송되는 제어 또는 계측 정보의 보호를 하고자 한다.
이에 본 발명은 상기와 같은 종래의 제반 문제점을 해결하기 위해 제안된 것으로, 본 발명의 목적은 DNP 기반 SCADA 시스템의 네트워크에 전송되는 제어 또는 계측 정보를 외부로 부터의 해킹이나 침입으로부터 방어하고 자료의 누출을 막기 위하여 암호화 또는 부호화 방법을 사용하여 안정적이고 신뢰성 높은 통신을 구현할 수 있는 DNP 기반 SCADA 네트워크 데이터 보호 시스템 및 방법을 제공하는데 있다.
도 3은 본 발명의 일 실시예에 의한 DNP 기반 SCADA 네트워크 데이터 보호 시스템의 블록구성도이다.
이에 도시된 바와 같이, 공인인증방식을 통해 DNP 기반 SCADA 시스템의 네트워크의 데이터 버스에 접근하여 DNP 기반 SCADA 데이터 프레임을 송수신하여 DNP 기반 SCADA 시스템에서의 제어 또는 계측 정보를 송수신하는 통신부(120, 130)와; 상기 통신부(120, 130)를 통해 DNP 기반 SCADA 데이터 프레임을 전달받아 암호화 및 보안화 처리를 수행하는 보안 처리부(110)와; 상기 보안 처리부(110)를 통해 제어 또는 계측 정보를 전달받아 SCADA 시스템에서의 각 단말의 상태를 감시하고 제어하는 감시 제어부(140);를 포함하여 데이터 보호 및 보안 장치(100)가 구성된 것을 특징으로 한다.
상기 통신부(120, 130)는, 상기 SCADA 시스템 내의 MTU(300) 측과 통신을 수행하는 MTU 통신부(120)와; 상기 SCADA 시스템 내의 RTU(400) 측과 통신을 수행하는 RTU 통신부(130);를 포함하여 구성된 것을 특징으로 한다.
도 4는 도 3에서 보안 처리부의 상세블록도이다.
이에 도시된 바와 같이, 상기 보안 처리부(110)는, DNP 기반 SCADA 필드에서 DNP 데이터 프레임을 전달받아 처리하는 DNP 데이터 프레임 처리부(111)와; 상기 DNP 데이터 프레임 처리부(111)에서 비 암호화된 SCADA 데이터 프레임을 전달받아 암호화하고 보안화하여 보안 SCADA 필드로 출력하는 보안 인코딩부(112)와; 보안 SCADA 필드에서 암호화되고 보안화된 SCADA 데이터 프레임을 전달받아 비 암호화하고 비 보안화하여 비 암호화된 SCADA 데이터 프레임을 출력하는 보안 디코딩부(113)와; 상기 보안 디코딩부(113)에서 비 암호화된 SCADA 데이터 프레임을 전달받아 DNP 데이터 프레임을 처리하여 DNP SCADA 필드로 출력하는 빌드업 DNP 데이터 프레임 처리부(114);를 포함하여 구성된 것을 특징으로 한다.
도 5는 도 3의 DNP 기반 SCADA 네트워크 데이터 보호 시스템을 SCADA 시스템에 적용한 개념도이다.
이에 도시된 바와 같이, DNP 기반 SCADA 시스템의 네트워크에서 최상위계층의 기능을 수행하는 SCADA 서버(200)와; 상기 SCADA 서버(200)와 SCADA 통신 포트(Com Port)를 통해 연결되고, DNP 기반 SCADA 네트워크 데이터에 대해 암호화 알고리즘을 이용하여 제어 또는 계측 정보를 암호화하고, 보안 키 및 보안 인증 처리 절차를 이용하여 보안화하는 복수개의 데이터 보호 및 보안 장치(100)와; 상기 데이터 보호 및 보안 장치(100)와 SCADA 통신 포트를 통해 연결되고, DNP 기반 SCADA 시스템에서 변전소 별로 존재하여 DNP 기반 SCADA 네트워크 데이터에서 암호화되고 보안화된 제어 또는 계측 정보를 송수신하는 RTU(400)와; 상기 RTU(400)와 연결되어 암호화되고 보안화된 제어 또는 계측 정보를 송수신하는 IED(500);를 포함하여 구성되고, 상기 복수개의 데이터 보호 및 보안 장치(100)는 상호간에 보안 통신 포트(Secure Com Port)를 통해 연결되어 DNP 기반 SCADA 네트워크 데이터에서 암호화되고 보안화된 제어 또는 계측 정보를 송수신하는 것을 특징으로 한다.
상기 데이터 보호 및 보안 장치(100)는, 도 3에 도시된 바와 같이, 공인인증방식을 통해 DNP 기반 SCADA 시스템의 네트워크의 데이터 버스에 접근하여 DNP 기반 SCADA 데이터 프레임을 송수신하여 DNP 기반 SCADA 시스템에서의 제어 또는 계측 정보를 송수신하는 통신부(120, 130)와; 상기 통신부(120, 130)를 통해 DNP 기반 SCADA 데이터 프레임을 전달받아 암호화 및 보안화 처리를 수행하는 보안 처리부(110)와; 상기 보안 처리부(110)를 통해 제어 또는 계측 정보를 전달받아 SCADA 시스템에서의 각 단말의 상태를 감시하고 제어하는 감시 제어부(140);를 포함하여 구성된 것을 특징으로 한다.
상기 통신부(120, 130)는, 상기 SCADA 시스템 내의 상위 단말 장치와 통신을 수행하는 MTU 통신부(120)와; 상기 SCADA 시스템 내의 하위 단말 장치와 통신을 수행하는 RTU 통신부(130);를 포함하여 구성된 것을 특징으로 한다.
상기 보안 처리부(110)는, 도 4에 도시된 바와 같이, DNP 기반 SCADA 필드에서 DNP 데이터 프레임을 전달받아 처리하는 DNP 데이터 프레임 처리부(111)와; 상기 DNP 데이터 프레임 처리부(111)에서 비 암호화된 SCADA 데이터 프레임을 전달받아 암호화하고 보안화하여 보안 SCADA 필드로 출력하는 보안 인코딩부(112)와; 보안 SCADA 필드에서 암호화되고 보안화된 SCADA 데이터 프레임을 전달받아 비 암호화하고 비 보안화하여 비 암호화된 SCADA 데이터 프레임을 출력하는 보안 디코딩부(113)와; 상기 보안 디코딩부(113)에서 비 암호화된 SCADA 데이터 프레임을 전달받아 DNP 데이터 프레임을 처리하여 DNP SCADA 필드로 출력하는 빌드업 DNP 데이터 프레임 처리부(114);를 포함하여 구성된 것을 특징으로 한다.
도 6은 도 2의 SCADA 네트워크 토폴로지에 따른 데이터 보호 및 보안 장치를 적용한 개념도이다.
이에 도시된 바와 같이, DNP 기반 SCADA 시스템의 네트워크에서 최상위계층의 기능을 수행하는 SCADA 서버(200)와; 상기 SCADA 서버(200)와 DNP 기반으로 연결된 복수개의 MTU(300)와; 상기 MTU(300)와 DNP 기반으로 연결된 복수개의 RTU(400)와; 상기 SCADA 서버(200)와 상기 복수개의 MTU(300) 사이에 연결되고, 상기 MTU(300)와 상기 복수개의 RTU(400) 사이에 연결되고, DNP 기반 SCADA 네트워크 데이터에 대해 암호화 알고리즘을 이용하여 제어 또는 계측 정보를 암호화하고, 보안 키 및 보안 인증 처리 절차를 이용하여 보안화하는 복수개의 데이터 보호 및 보안 장치(100);를 포함하여 구성된 것을 특징으로 한다.
상기 데이터 보호 및 보안 장치(100)는, 도 3에 도시된 바와 같이, 공인인증방식을 통해 DNP 기반 SCADA 시스템의 네트워크의 데이터 버스에 접근하여 DNP 기반 SCADA 데이터 프레임을 송수신하여 DNP 기반 SCADA 시스템에서의 제어 또는 계측 정보를 송수신하는 통신부(120, 130)와; 상기 통신부(120, 130)를 통해 DNP 기반 SCADA 데이터 프레임을 전달받아 암호화 및 보안화 처리를 수행하는 보안 처리부(110)와; 상기 보안 처리부(110)를 통해 제어 또는 계측 정보를 전달받아 SCADA 시스템에서의 각 단말의 상태를 감시하고 제어하는 감시 제어부(140);를 포함하여 구성된 것을 특징으로 한다.
상기 통신부(120, 130)는, 상기 SCADA 시스템 내의 상위 단말 장치와 통신을 수행하는 MTU 통신부(120)와; 상기 SCADA 시스템 내의 하위 단말 장치와 통신을 수행하는 RTU 통신부(130);를 포함하여 구성된 것을 특징으로 한다.
상기 보안 처리부(110)는, 도 4에 도시된 바와 같이, DNP 기반 SCADA 필드에서 DNP 데이터 프레임을 전달받아 처리하는 DNP 데이터 프레임 처리부(111)와; 상기 DNP 데이터 프레임 처리부(111)에서 비 암호화된 SCADA 데이터 프레임을 전달받아 암호화하고 보안화하여 보안 SCADA 필드로 출력하는 보안 인코딩부(112)와; 보안 SCADA 필드에서 암호화되고 보안화된 SCADA 데이터 프레임을 전달받아 비 암호화하고 비 보안화하여 비 암호화된 SCADA 데이터 프레임을 출력하는 보안 디코딩부(113)와; 상기 보안 디코딩부(113)에서 비 암호화된 SCADA 데이터 프레임을 전달받아 DNP 데이터 프레임을 처리하여 DNP SCADA 필드로 출력하는 빌드업 DNP 데이터 프레임 처리부(114);를 포함하여 구성된 것을 특징으로 한다.
도 7은 본 발명의 일 실시예에 의한 DNP 기반 SCADA 네트워크 데이터 보호 방법을 보인 흐름도이다.
이에 도시된 바와 같이, 공인인증방식을 이용하여 DNP 기반 SCADA 시스템에서 RTU(400) 또는 MTU(300) 측과 통신을 수행하여 제어 또는 계측 정보를 수신하는 제 1 단계(ST1)와; 수신된 제어 또는 계측 정보를 암호화하는 제 2 단계(ST2)와; 보안 키 및 보안 인증 처리 절차를 이용하여 제어 또는 계측 정보에 대한 보안화를 수행하는 제 3 단계(ST3)와; 암호화된 제어 또는 계측 정보를 보안화를 수행한 후 송신하는 제 4 단계(ST4);를 포함하여 수행하는 것을 특징으로 한다.
본 발명에 의한 DNP 기반 SCADA 네트워크 데이터 보호 시스템 및 그 방법은 DNP 기반 SCADA 시스템의 네트워크에 전송되는 제어 또는 계측 정보를 외부로 부터의 해킹이나 침입으로부터 방어하고 자료의 누출을 막기 위하여 암호화 또는 부호화 방법을 사용하여 안정적이고 신뢰성 높은 통신을 구현할 수 있는 효과가 있게 된다.
이에 따라 본 발명은 DNP 기반으로 운용되는 SCADA 네트워크의 보안 취약점을 보완할 수 있다. 또한 본 발명은 기존 SCADA 장치들의 입출력 통신포트와 연계하여 별도의 기기교체나 변환 없이 통신포트의 접속으로 운용되고 있는 SCADA 네트워크의 보안 위협을 감소시킬 수 있다. 나아가 국부적인 시스템 침입 및 위협 요인들 뿐만 아니라 DNP 기반의 전체 SCADA 네트워크를 운용함에 있어서 효과적인 보안성 확보와 보호를 수행할 수 있다.
도 1은 일반적인 SCADA 시스템의 개념도이다.
도 2는 도 1의 SCADA 시스템의 네트워크 토폴로지를 보인 개념도이다.
도 3은 본 발명의 일 실시예에 의한 DNP 기반 SCADA 네트워크 데이터 보호 시스템의 블록구성도이다.
도 4는 도 3에서 보안 처리부의 상세블록도이다.
도 5는 도 3의 DNP 기반 SCADA 네트워크 데이터 보호 시스템을 SCADA 시스템에 적용한 개념도이다.
도 6은 도 2의 SCADA 네트워크 토폴로지에 따른 데이터 보호 및 보안 장치를 적용한 개념도이다.
도 7은 본 발명의 일 실시예에 의한 DNP 기반 SCADA 네트워크 데이터 보호 방법을 보인 흐름도이다.
* 도면의 주요 부분에 대한 부호의 설명 *
100 : 데이터 보호 및 보안 장치
110 : 보안 처리부
111 : DNP 데이터 프레임 처리부
112 : 보안 인코딩부
113 : 보안 디코딩부
114 : 빌드업 DNP 데이터 프레임 처리부
120 : MTU 통신부
130 : RTU 통신부
140 : 감시 제어부
200 : SCADA 서버
300 : MTU
400 : RTU
500 : IED
이와 같이 구성된 본 발명에 의한 DNP 기반 SCADA 네트워크 데이터 보호 시스템 및 그 방법의 바람직한 실시예를 첨부한 도면에 의거하여 상세히 설명하면 다음과 같다. 하기에서 본 발명을 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서, 이는 사용자, 운용자의 의도 또는 판례 등에 따라 달라질 수 있으며, 이에 따라 각 용어의 의미는 본 명세서 전반에 걸친 내용을 토대로 해석되어야 할 것이다.
먼저 본 발명은 DNP 기반 SCADA 네트워크를 사용하여 전송되는 제어 또는 계측 데이터 정보들의 보호 방법과 이를 실현하기 위한 구현 장치에 관한 것으로서, DNP 기반 통신 구현, DNP 통신 해석 및 규약 처리, SCADA 네트워크 보안 기술, 암호화(encryption/decryption) 기술, 보안 모듈 하드웨어 기술, 데이터 통신기술들이 하나의 시스템으로 처리되는 기술에 관한 것이다.
SCADA 시스템에서의 적용부는 DNP 규격을 사용하는 모든 통신 네트워크로 단말기(예시 RTU)와 단말기 상호간, 단말기와 하위 노드(예시 IED) 또는 단말기와 상위 장치(예시 MTU 또는 상위 시스템) 간의 통신이 실현되는 통신 인터페이스 부에 적용할 수 있다.
도 1은 일반적인 SCADA 시스템의 개념도이고, 도 2는 도 1의 SCADA 시스템의 네트워크 토폴로지를 보인 개념도이다.
그래서 최상위 계층의 중앙 SCADA 서버를 정점으로 각 지역별로 RCC(Regional Control Center)가 존재하고 다시 RCC의 하위에 변전소 별 RTU(Remote Terminal Unit)가 존재하는 계층적 구조를 가지고 있다. 이러한 RCC는 중간종점의 단말기 역할을 하는데 이러한 역할과 기능을 MTU(Medium Terminal Unit)라는 설비가 수행하기 때문에 도 5와 같은 네트워크 토폴로지 형태로 재구성할 수 있다.
도 3은 본 발명의 일 실시예에 의한 DNP 기반 SCADA 네트워크 데이터 보호 시스템의 블록구성도이다.
이는 DNP 규격에 준하는 2개의 통신포트를 갖는 마이크로프로세서를 탑재한 장치로서 DNP 규약에 준하는 데이터 통신 기능과 해당 제어 또는 계측 정보를 보안처리 하기 위한 암호화 부분, 그리고 현재 해당 장치의 감시와 제어를 위한 감시제어부로 구분된다.
그래서 보안 처리부(110)는 통신부(120, 130)를 통해 DNP 기반 SCADA 데이터 프레임을 전달받아 암호화 및 보안화 처리를 수행한다.
통신부(120, 130)는 공인인증방식을 통해 DNP 기반 SCADA 시스템의 네트워크의 데이터 버스에 접근하여 DNP 기반 SCADA 데이터 프레임을 송수신하여 DNP 기반 SCADA 시스템에서의 제어 또는 계측 정보를 송수신하는 것으로, MTU 통신부(120) 및 RTU 통신부(130)로 구성할 수 있다. MTU 통신부(120)는 SCADA 시스템 내에서 상위 단말 장치 또는 MTU(300) 측과 통신을 수행하고, RTU 통신부(130)는 SCADA 시스템 내에서 하위 단말 장치 또는 RTU(400) 측과 통신을 수행한다.
감시 제어부(140)는 보안 처리부(110)를 통해 제어 또는 계측 정보를 전달받아 SCADA 시스템에서의 각 단말의 상태를 감시하고 제어한다.
이와 같이 본 발명은 공인인증방식을 이용한 데이터 버스 접근, 암호화 알고리즘을 이용한 제어 또는 계측 정보의 암호화, 보안 키 및 보안 인증 처리 절차를 이용한 보안화를 수행함으로서 보안화 처리를 구현하게 된다.
도 4는 도 3에서 보안 처리부의 상세블록도이다.
이는 해당 장치의 상위와 하위 계층으로부터 입출력되는 제어 또는 계측정보를 암호화하기 위한 알고리즘 수행 처리과정(암호화 알고리즘)으로서, 암호화로 보안 처리되지 않은 데이터의 암호화(encryption) 처리 과정과 암호화된 보안 처리 정보의 복원을 위한 복호(description) 처리 과정으로 구분된다.
그래서 보안 처리부(110)에서 DNP 데이터 프레임 처리부(110)는 DNP 기반 SCADA 필드에서 DNP 데이터 프레임을 전달받아 처리하여 비 암호화된 SCADA 데이터 프레임을 보안 인코딩부(112)로 전달한다.
보안 인코딩부(112)는 DNP 데이터 프레임 처리부(111)에서 비 암호화된 SCADA 데이터 프레임을 전달받아 암호화하고 보안화하여 보안 SCADA 필드로 출력한다.
보안 디코딩부(113)는 보안 SCADA 필드에서 암호화되고 보안화된 SCADA 데이터 프레임을 전달받아 비 암호화하고 비 보안화하여 비 암호화된 SCADA 데이터 프레임을 빌드업 DNP 데이터 프레임 처리부(114)로 전달한다.
빌드업 DNP 데이터 프레임 처리부(114)는 보안 디코딩부(113)에서 비 암호화된 SCADA 데이터 프레임을 전달받아 DNP 데이터 프레임을 처리하여 DNP SCADA 필드로 출력한다.
도 5는 도 3의 DNP 기반 SCADA 네트워크 데이터 보호 시스템을 SCADA 시스템에 적용한 개념도이다. 이는 해당 장치의 SCADA 단말 적용 개념도를 나타낸 것으로 상위 시스템과 하위 시스템간의 DNP 데이터 통신부에 연계된 장치의 구성을 나타낸 것이다.
그래서 데이터 보호 및 보안 장치(100)는 SCADA 서버(200)와 SCADA 통신 포트(Com Port)를 통해 연결되어 암호화 및 보안화 처리를 수행하여 보안 통신 포트를 통해 암호화된 SCADA 시스템의 제어 또는 계측 정보를 SCADA 통신 링크(네트워크)로 전달한다.
또한 보안 통신 포트를 통해 전달받은 암호화된 데이터를 처리하여 SCADA 통신 포트를 통해 RTU(400)와 IED(500)로 전달한다.
역으로 IED(500)와 RTU(400)의 제어 또는 계측 정보를 암호화하여 보안화 한 다음 SCADA 서버(200)로 전달한다.
도 6은 도 2의 SCADA 네트워크 토폴로지에 따른 데이터 보호 및 보안 장치를 적용한 개념도로서, 전체 SCADA 네트워크 토폴로지 구성에 따른 데이터 보호 및 보안장치의 연계 적용 개념도를 나타낸 것이다.
그래서 데이터 보호 및 보안 장치(100)는 SCADA 서버(200)와 복수개의 MTU(300) 사이에 연결된다. 또한 복수개의 MTU(300) 각각과 복수개의 RTU(400) 사이에 연결된다.
이를 통해 DNP 기반 SCADA 네트워크 데이터에 대해 암호화 알고리즘을 이용하여 제어 또는 계측 정보를 암호화하고, 보안 키 및 보안 인증 처리 절차를 이용하여 보안화하게 된다.
도 7은 본 발명의 일 실시예에 의한 DNP 기반 SCADA 네트워크 데이터 보호 방법을 보인 흐름도이다.
먼저 공인인증방식을 이용하여 DNP 기반 SCADA 시스템에서 RTU(400) 또는 MTU(300) 측과 통신을 수행하여 제어 또는 계측 정보를 수신한다(ST1).
그리고 수신된 제어 또는 계측 정보를 암호화한다(ST2).
또한 보안 키 및 보안 인증 처리 절차를 이용하여 제어 또는 계측 정보에 대한 보안화를 수행한다(ST3).
그리고 암호화된 제어 또는 계측 정보를 보안화를 수행한 후 송신하게 된다(ST4).
이처럼 본 발명은 DNP 기반 SCADA 시스템의 네트워크에 전송되는 제어 또는 계측 정보를 외부로 부터의 해킹이나 침입으로부터 방어하고 자료의 누출을 막기 위하여 암호화 또는 부호화 방법을 사용하여 안정적이고 신뢰성 높은 통신을 구현하게 되는 것이다.
이상에서 실시예를 들어 본 발명을 더욱 상세하게 설명하였으나, 본 발명은 반드시 이러한 실시예로 국한되는 것은 아니고, 본 발명의 기술사상을 벗어나지 않는 범위 내에서 다양하게 변형실시될 수 있다. 따라서 본 발명에 개시된 실시예들은 본 발명의 기술적 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술적 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호범위는 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술적 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.

Claims (12)

  1. 공인인증방식을 통해 DNP 기반 SCADA 시스템의 네트워크의 데이터 버스에 접근하여 DNP 기반 SCADA 데이터 프레임을 송수신하여 DNP 기반 SCADA 시스템에서의 제어 또는 계측 정보를 송수신하는 통신부와;
    상기 통신부를 통해 DNP 기반 SCADA 데이터 프레임을 전달받아 암호화 및 보안화 처리를 수행하는 보안 처리부와;
    상기 보안 처리부를 통해 제어 또는 계측 정보를 전달받아 SCADA 시스템에서의 각 단말의 상태를 감시하고 제어하는 감시 제어부;
    를 포함하여 데이터 보호 및 보안 장치가 구성된 것을 특징으로 하는 DNP 기반 SCADA 네트워크 데이터 보호 시스템.
  2. 청구항 1에 있어서,
    상기 통신부는,
    상기 SCADA 시스템 내의 MTU 측과 통신을 수행하는 MTU 통신부와;
    상기 SCADA 시스템 내의 RTU 측과 통신을 수행하는 RTU 통신부;
    를 포함하여 구성된 것을 특징으로 하는 DNP 기반 SCADA 네트워크 데이터 보호 시스템.
  3. 청구항 1 또는 청구항 2에 있어서,
    상기 보안 처리부는,
    DNP 기반 SCADA 필드에서 DNP 데이터 프레임을 전달받아 처리하는 DNP 데이터 프레임 처리부와;
    상기 DNP 데이터 프레임 처리부에서 비 암호화된 SCADA 데이터 프레임을 전달받아 암호화하고 보안화하여 보안 SCADA 필드로 출력하는 보안 인코딩부와;
    보안 SCADA 필드에서 암호화되고 보안화된 SCADA 데이터 프레임을 전달받아 비 암호화하고 비 보안화하여 비 암호화된 SCADA 데이터 프레임을 출력하는 보안 디코딩부와;
    상기 보안 디코딩부에서 비 암호화된 SCADA 데이터 프레임을 전달받아 DNP 데이터 프레임을 처리하여 DNP SCADA 필드로 출력하는 빌드업 DNP 데이터 프레임 처리부;
    를 포함하여 구성된 것을 특징으로 하는 DNP 기반 SCADA 네트워크 데이터 보호 시스템.
  4. DNP 기반 SCADA 시스템의 네트워크에서 최상위계층의 기능을 수행하는 SCADA 서버와;
    상기 SCADA 서버와 SCADA 통신 포트를 통해 연결되고, DNP 기반 SCADA 네트워크 데이터에 대해 암호화 알고리즘을 이용하여 제어 또는 계측 정보를 암호화하고, 보안 키 및 보안 인증 처리 절차를 이용하여 보안화하는 복수개의 데이터 보호 및 보안 장치와;
    상기 데이터 보호 및 보안 장치와 SCADA 통신 포트를 통해 연결되고, DNP 기반 SCADA 시스템에서 변전소 별로 존재하여 DNP 기반 SCADA 네트워크 데이터에서 암호화되고 보안화된 제어 또는 계측 정보를 송수신하는 RTU와;
    상기 RTU와 연결되어 암호화되고 보안화된 제어 또는 계측 정보를 송수신하는 IED;
    를 포함하여 구성되고,
    상기 복수개의 데이터 보호 및 보안 장치는 상호간에 보안 통신 포트를 통해 연결되어 DNP 기반 SCADA 네트워크 데이터에서 암호화되고 보안화된 제어 또는 계측 정보를 송수신하는 것을 특징으로 하는 DNP 기반 SCADA 네트워크 데이터 보호 시스템.
  5. 청구항 4에 있어서,
    상기 데이터 보호 및 보안 장치는,
    공인인증방식을 통해 DNP 기반 SCADA 시스템의 네트워크의 데이터 버스에 접근하여 DNP 기반 SCADA 데이터 프레임을 송수신하여 DNP 기반 SCADA 시스템에서의 제어 또는 계측 정보를 송수신하는 통신부와;
    상기 통신부를 통해 DNP 기반 SCADA 데이터 프레임을 전달받아 암호화 및 보안화 처리를 수행하는 보안 처리부와;
    상기 보안 처리부를 통해 제어 또는 계측 정보를 전달받아 SCADA 시스템에서의 각 단말의 상태를 감시하고 제어하는 감시 제어부;
    를 포함하여 구성된 것을 특징으로 하는 DNP 기반 SCADA 네트워크 데이터 보호 시스템.
  6. 청구항 5에 있어서,
    상기 통신부는,
    상기 SCADA 시스템 내의 상위 단말 장치와 통신을 수행하는 MTU 통신부와;
    상기 SCADA 시스템 내의 하위 단말 장치와 통신을 수행하는 RTU 통신부;
    를 포함하여 구성된 것을 특징으로 하는 DNP 기반 SCADA 네트워크 데이터 보호 시스템.
  7. 청구항 5 또는 청구항 6에 있어서,
    상기 보안 처리부는,
    DNP 기반 SCADA 필드에서 DNP 데이터 프레임을 전달받아 처리하는 DNP 데이터 프레임 처리부와;
    상기 DNP 데이터 프레임 처리부에서 비 암호화된 SCADA 데이터 프레임을 전달받아 암호화하고 보안화하여 보안 SCADA 필드로 출력하는 보안 인코딩부와;
    보안 SCADA 필드에서 암호화되고 보안화된 SCADA 데이터 프레임을 전달받아 비 암호화하고 비 보안화하여 비 암호화된 SCADA 데이터 프레임을 출력하는 보안 디코딩부와;
    상기 보안 디코딩부에서 비 암호화된 SCADA 데이터 프레임을 전달받아 DNP 데이터 프레임을 처리하여 DNP SCADA 필드로 출력하는 빌드업 DNP 데이터 프레임 처리부;
    를 포함하여 구성된 것을 특징으로 하는 DNP 기반 SCADA 네트워크 데이터 보호 시스템.
  8. DNP 기반 SCADA 시스템의 네트워크에서 최상위계층의 기능을 수행하는 SCADA 서버와;
    상기 SCADA 서버와 DNP 기반으로 연결된 복수개의 MTU와;
    상기 MTU와 DNP 기반으로 연결된 복수개의 RTU와;
    상기 SCADA 서버와 상기 복수개의 MTU 사이에 연결되고, 상기 MTU와 상기 복수개의 RTU 사이에 연결되고, DNP 기반 SCADA 네트워크 데이터에 대해 암호화 알고리즘을 이용하여 제어 또는 계측 정보를 암호화하고, 보안 키 및 보안 인증 처리 절차를 이용하여 보안화하는 복수개의 데이터 보호 및 보안 장치;
    를 포함하여 구성된 것을 특징으로 하는 DNP 기반 SCADA 네트워크 데이터 보호 시스템.
  9. 청구항 8에 있어서,
    상기 데이터 보호 및 보안 장치는,
    공인인증방식을 통해 DNP 기반 SCADA 시스템의 네트워크의 데이터 버스에 접근하여 DNP 기반 SCADA 데이터 프레임을 송수신하여 DNP 기반 SCADA 시스템에서의 제어 또는 계측 정보를 송수신하는 통신부와;
    상기 통신부를 통해 DNP 기반 SCADA 데이터 프레임을 전달받아 암호화 및 보안화 처리를 수행하는 보안 처리부와;
    상기 보안 처리부를 통해 제어 또는 계측 정보를 전달받아 SCADA 시스템에서의 각 단말의 상태를 감시하고 제어하는 감시 제어부;
    를 포함하여 구성된 것을 특징으로 하는 DNP 기반 SCADA 네트워크 데이터 보호 시스템.
  10. 청구항 9에 있어서,
    상기 통신부는,
    상기 SCADA 시스템 내의 상위 단말 장치와 통신을 수행하는 MTU 통신부와;
    상기 SCADA 시스템 내의 하위 단말 장치와 통신을 수행하는 RTU 통신부;
    를 포함하여 구성된 것을 특징으로 하는 DNP 기반 SCADA 네트워크 데이터 보호 시스템.
  11. 청구항 9 또는 청구항 10에 있어서,
    상기 보안 처리부는,
    DNP 기반 SCADA 필드에서 DNP 데이터 프레임을 전달받아 처리하는 DNP 데이터 프레임 처리부와;
    상기 DNP 데이터 프레임 처리부에서 비 암호화된 SCADA 데이터 프레임을 전달받아 암호화하고 보안화하여 보안 SCADA 필드로 출력하는 보안 인코딩부와;
    보안 SCADA 필드에서 암호화되고 보안화된 SCADA 데이터 프레임을 전달받아 비 암호화하고 비 보안화하여 비 암호화된 SCADA 데이터 프레임을 출력하는 보안 디코딩부와;
    상기 보안 디코딩부에서 비 암호화된 SCADA 데이터 프레임을 전달받아 DNP 데이터 프레임을 처리하여 DNP SCADA 필드로 출력하는 빌드업 DNP 데이터 프레임 처리부;
    를 포함하여 구성된 것을 특징으로 하는 DNP 기반 SCADA 네트워크 데이터 보호 시스템.
  12. 공인인증방식을 이용하여 DNP 기반 SCADA 시스템에서 RTU 또는 MTU 측과 통신을 수행하여 제어 또는 계측 정보를 수신하는 제 1 단계와;
    수신된 제어 또는 계측 정보를 암호화하는 제 2 단계와;
    보안 키 및 보안 인증 처리 절차를 이용하여 제어 또는 계측 정보에 대한 보안화를 수행하는 제 3 단계와;
    암호화된 제어 또는 계측 정보를 보안화를 수행한 후 송신하는 제 4 단계;
    를 포함하여 수행하는 것을 특징으로 하는 DNP 기반 SCADA 네트워크 데이터 보호 방법.
KR1020080027933A 2008-03-26 2008-03-26 Dnp 기반 scada 네트워크 데이터 보호 시스템 및그 방법 KR20090102469A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020080027933A KR20090102469A (ko) 2008-03-26 2008-03-26 Dnp 기반 scada 네트워크 데이터 보호 시스템 및그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080027933A KR20090102469A (ko) 2008-03-26 2008-03-26 Dnp 기반 scada 네트워크 데이터 보호 시스템 및그 방법

Publications (1)

Publication Number Publication Date
KR20090102469A true KR20090102469A (ko) 2009-09-30

Family

ID=41359930

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080027933A KR20090102469A (ko) 2008-03-26 2008-03-26 Dnp 기반 scada 네트워크 데이터 보호 시스템 및그 방법

Country Status (1)

Country Link
KR (1) KR20090102469A (ko)

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101023708B1 (ko) * 2008-12-30 2011-03-25 한국전기연구원 Modbus 기반 산업용 scada 네트워크의 데이터 보호 방법 및 장치
WO2013049299A1 (en) * 2011-09-27 2013-04-04 PCTEL Secure LLC Enhanced security scada systems and methods
KR20130034771A (ko) * 2011-09-29 2013-04-08 한국전력공사 보안서비스 제공 방법 및 장치
KR101339013B1 (ko) * 2012-09-24 2013-12-09 한국전력공사 데이터 링크에서 dnp 메시지의 다중 보안 처리 방법
KR101359789B1 (ko) * 2011-09-29 2014-02-10 한국전력공사 Scada 통신 네트워크의 보안 시스템 및 방법
CN103699102A (zh) * 2013-12-27 2014-04-02 山东三龙智能技术有限公司 一种分布式rtu系统
KR20140043537A (ko) * 2012-09-24 2014-04-10 한국전력공사 Scada 통신 네트워크 보안을 위한 보안 통신 장치 및 방법
WO2016046809A1 (ko) * 2014-09-23 2016-03-31 주식회사 에스시케이 수중 분해식 음식 쓰레기 소멸장치
KR20160038935A (ko) * 2014-09-30 2016-04-08 한국전력공사 Dnp 메시지의 보안통신장치 및 방법
KR20170030374A (ko) * 2015-09-09 2017-03-17 한국전력공사 분산 네트워크 프로토콜 보안 인증 제공 장치 및 그 방법
CN106764466A (zh) * 2016-11-22 2017-05-31 北京科创三思科技发展有限公司 内装太阳能电池隔爆型远程无线数据采集分站rtu

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101023708B1 (ko) * 2008-12-30 2011-03-25 한국전기연구원 Modbus 기반 산업용 scada 네트워크의 데이터 보호 방법 및 장치
WO2013049299A1 (en) * 2011-09-27 2013-04-04 PCTEL Secure LLC Enhanced security scada systems and methods
KR20130034771A (ko) * 2011-09-29 2013-04-08 한국전력공사 보안서비스 제공 방법 및 장치
KR101359789B1 (ko) * 2011-09-29 2014-02-10 한국전력공사 Scada 통신 네트워크의 보안 시스템 및 방법
KR101339013B1 (ko) * 2012-09-24 2013-12-09 한국전력공사 데이터 링크에서 dnp 메시지의 다중 보안 처리 방법
KR20140043537A (ko) * 2012-09-24 2014-04-10 한국전력공사 Scada 통신 네트워크 보안을 위한 보안 통신 장치 및 방법
CN103699102A (zh) * 2013-12-27 2014-04-02 山东三龙智能技术有限公司 一种分布式rtu系统
WO2016046809A1 (ko) * 2014-09-23 2016-03-31 주식회사 에스시케이 수중 분해식 음식 쓰레기 소멸장치
KR20160038935A (ko) * 2014-09-30 2016-04-08 한국전력공사 Dnp 메시지의 보안통신장치 및 방법
KR20170030374A (ko) * 2015-09-09 2017-03-17 한국전력공사 분산 네트워크 프로토콜 보안 인증 제공 장치 및 그 방법
KR20210125965A (ko) * 2015-09-09 2021-10-19 한국전력공사 분산 네트워크 프로토콜 보안 인증 제공 장치 및 그 방법
CN106764466A (zh) * 2016-11-22 2017-05-31 北京科创三思科技发展有限公司 内装太阳能电池隔爆型远程无线数据采集分站rtu

Similar Documents

Publication Publication Date Title
KR20090102469A (ko) Dnp 기반 scada 네트워크 데이터 보호 시스템 및그 방법
US8756411B2 (en) Application layer security proxy for automation and control system networks
Dzung et al. Security for industrial communication systems
Majdalawieh et al. DNPSec: Distributed network protocol version 3 (DNP3) security framework
Gao et al. SCADA communication and security issues
AU2013309013B2 (en) Network access management via a secondary communication channel
KR101023708B1 (ko) Modbus 기반 산업용 scada 네트워크의 데이터 보호 방법 및 장치
CN111770092B (zh) 一种数控系统网络安全架构和安全通信方法及系统
KR101575862B1 (ko) 이기종 전력기기 간 보안 연계 시스템
WO2003107156A2 (en) METHOD FOR CONFIGURING AND COMMISSIONING CSMs
Stewart et al. Synchrophasor security practices
EP3053324B1 (en) Securing communication within a network endpoint
Taylor et al. Enhancing integrity of modbus TCP through covert channels
Rosborough et al. All about eve: comparing DNP3 secure authentication with standard security technologies for SCADA communications
Dolezilek et al. Cybersecurity based on IEC 62351 and IEC 62443 for IEC 61850 systems
Rizzetti et al. Cyber security and communications network on scada systems in the context of smart grids
Jafary et al. Security and reliability analysis of a use case in smart grid substation automation systems
CN114859810A (zh) 一种组态工程安全下装的系统及其方法
Sukumara et al. Cyber security–security strategy for distribution management system and security architecture considerations
Hahn et al. Cybersecurity of SCADA within Substations
KR20130001767A (ko) 통신 보안을 위한 데이터 통신 시스템
Åkerberg et al. Introducing security modules in profinet io
Kapoor et al. Security Implementation Testing of Remote Terminal Unit for Power Utility
Chan et al. DER communication networks and their security issues
Zhen et al. Cyber-physical system for smart grid applications

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application