KR20200080776A - Data security apparatus - Google Patents
Data security apparatus Download PDFInfo
- Publication number
- KR20200080776A KR20200080776A KR1020180170578A KR20180170578A KR20200080776A KR 20200080776 A KR20200080776 A KR 20200080776A KR 1020180170578 A KR1020180170578 A KR 1020180170578A KR 20180170578 A KR20180170578 A KR 20180170578A KR 20200080776 A KR20200080776 A KR 20200080776A
- Authority
- KR
- South Korea
- Prior art keywords
- server
- data
- file
- obfuscation
- fep
- Prior art date
Links
- 238000013523 data management Methods 0.000 claims abstract description 5
- 238000001784 detoxification Methods 0.000 claims description 23
- 238000006243 chemical reaction Methods 0.000 claims description 14
- 238000000034 method Methods 0.000 description 16
- 238000010586 diagram Methods 0.000 description 11
- 238000005516 engineering process Methods 0.000 description 4
- 238000004891 communication Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000005611 electricity Effects 0.000 description 2
- 238000003682 fluorination reaction Methods 0.000 description 2
- 238000012856 packing Methods 0.000 description 2
- 238000001514 detection method Methods 0.000 description 1
- 238000004334 fluoridation Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 229940068196 placebo Drugs 0.000 description 1
- 239000000902 placebo Substances 0.000 description 1
- 229920001690 polydopamine Polymers 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- PTMFUWGXPRYYMC-UHFFFAOYSA-N triethylazanium;formate Chemical compound OC=O.CCN(CC)CC PTMFUWGXPRYYMC-UHFFFAOYSA-N 0.000 description 1
- 238000005303 weighing Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/12—Protecting executable software
- G06F21/121—Restricting unauthorised execution of programs
- G06F21/125—Restricting unauthorised execution of programs by manipulating the program code, e.g. source code, compiled code, interpreted code, machine code
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/12—Protecting executable software
- G06F21/14—Protecting executable software against software analysis or reverse engineering, e.g. by obfuscation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Multimedia (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Technology Law (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
본 발명은 데이터 보안 장치에 관한 것으로서, 더욱 상세하게는 MDMS 시스템(Meter Data Management System) 환경에서 발생되는 데이터 및 개발 소스코드를 보호하고 데이터의 신뢰성을 향상시킨 데이터 보안 장치에 관한 것이다. The present invention relates to a data security device, and more particularly, to a data security device that protects data and development source codes generated in an MDMS system (Meter Data Management System) environment and improves data reliability.
MDMS(Meter Data Management System)는 현재 AMI(Advanced Metering Infrastructure) 고객들의 계량데이터를 수집, 검증, 집계 및 관리한다. MDMS는 데이터를 AOS(AMI Operating System) 사이트 또는 파워플래너와 같은 서비스(위약/도전 탐지, GIS 정보 및 독거노인 서비스 등) 등을 통해 제공한다. 하지만 이러한 시스템은 해킹 사고가 발생할 가능성이 있는데, 스마트그리드의 핵심 기술인 AMI는 수용가의 스마트 미터(100)로부터 MDMS까지 전달되는 데이터 및 소스코드를 외부 사이버 공격으로부터 안전하게 보호해야한다. MDMS (Meter Data Management System) currently collects, verifies, aggregates and manages metering data from AMI (Advanced Metering Infrastructure) customers. MDMS provides data through AOS (AMI Operating System) sites or services such as power planners (placebo/challenge detection, GIS information, and the elderly living alone). However, there is a possibility that a hacking accident may occur in such a system, and AMI, a core technology of smart grid, must securely protect data and source codes transmitted from the consumer's
AMI 계량데이터와 소스코드는 신뢰성 및 보안성이 중요하기 때문에 데이터와 소스코드 대한 보안 서비스(기밀성, 인증, 패킹 및 부인방지 등)와 같은 기술개발, 체계 및 제공이 필요하다. 즉, 데이터(전기사용량, 개인정보, 주소, 카드번호, 소스코드 등)와 고객들에 대한 신뢰성 및 보안성을 좌우하는 매우 중요한 기술로서, 이에 대한 데이터 보안 시스템은 반드시 필요한 실정이다.Since reliability and security of AMI weighing data and source code are important, it is necessary to develop, structure, and provide technologies such as security services for data and source code (confidentiality, authentication, packing, and non-repudiation, etc.). In other words, data (electricity usage, personal information, address, card number, source code, etc.) and customers are very important technologies that depend on reliability and security, and data security systems are essential.
종래의 MDMS 시스템은 데이터 보관, 자바스크립트 웹서버 업로드, 소스코드 관리시 데이터 및 코드에 대한 보안 조치를 하지 않으므로, 외부 및 내부로부터 탈취될 경우 쉽게 정보가 오픈된다. 이러한 개인 또는 국가기관 핵심 정보 등의 데이터가 악의적인 공격자에게 넘어갈 경우, 개인정보가 담긴 데이터, 개발 소스코드 등으로 인해 막대한 금전적 피해가 발생할 가능성이 높다. 이러한 단점이 있기 때문에 외/내부의 공격으로 탈취됐을 경우 사전에 차단할 수 있는 데이터 보안시스템이 필요하다.Conventional MDMS systems do not take security measures for data and codes when storing data, uploading JavaScript web servers, and managing source codes, so information is easily opened when it is captured from outside and inside. When data such as core information of an individual or a national institution passes to a malicious attacker, there is a high possibility of causing huge financial damages due to data containing personal information and development source code. Because of these shortcomings, a data security system that can be blocked in advance in case of stealing from external/internal attacks is needed.
게다가, 종래의 MDMS 시스템은 데이터를 평문으로 전송하고 데이터 및 소스코드의 난독화 및 불독화 같은 패킹 과정을 수행하지 않기 때문에, 외부 공격자에게 데이터 및 소스코드가 쉽게 노출되거나 인가되지 않은 기기와 통신하여 전력 사용량 또는 개인정보와 같은 중요한 내용이 담긴 데이터를 유출시킬 수 있는 단점이 있어 신뢰성이 많이 떨어진다.In addition, the conventional MDMS system transmits data in plain text and does not perform the packing process such as obfuscation and obfuscation of data and source codes, so that data and source codes are easily exposed to external attackers or communicate with unauthorized devices. There is a disadvantage in that data containing important contents such as power consumption or personal information can be leaked, so reliability is poor.
본 발명의 배경기술은 대한민국 등록특허공보 10-1328012호의 '애플리케이션 코드 난독화 장치 및 그 방법'에 개시되어 있다.Background art of the present invention is disclosed in'Application code obfuscation apparatus and method' of Korean Patent Publication No. 10-1328012.
본 발명은 전술한 문제점을 개선하기 위해 창안된 것으로서, 본 발명의 일 측면에 따른 목적은 수용가의 스마트 미터로부터 MDMS까지 전달되는 데이터 및 소스코드를 외부 사이버 공격으로부터 안전하게 보호하는 데이터 보안 장치를 제공하는 데 있다. The present invention was devised to improve the above-mentioned problems, and an object according to an aspect of the present invention is to provide a data security device that securely protects data and source codes transmitted from a consumer's smart meter to an MDMS from external cyber attacks. Having
본 발명의 일 측면에 따른 데이터 보안 장치는 DCU(Date Concentration Unit)로부터 전달된 데이터를 비트 이동시키는 지역 서버; 상기 지역 서버에 의해 비트 이동된 파일을 원위치시키는 FEP(Front End Processor) 서버; 상기 FEP 서버에 의해 원위치된 파일을 불독화시키는 불독화 시스템; 상기 FEP 서버에 의해 원위치된 파일을 상기 FEP 서버로부터 전달받아 상기 불독화 시스템에 전달하는 MDMS(Meter Data Management System) 서버; 상기 MDMS 서버로부터 전달된 파일들을 난독화시키는 난독화 시스템; 및 상기 MDMS 서버로부터 상기 불독화 시스템에 의해 불독화된 파일들을 전달받아 저장하고, 상기 MDMS 서버로부터 전달된 파일을 상기 난독화 시스템에 전달하여 난독화시키도록 하는 통합 서버를 포함하는 것을 특징으로 한다.A data security device according to an aspect of the present invention includes a local server that bit-transfers data transmitted from a Date Concentration Unit (DCU); A Front End Processor (FEP) server that returns the bit-shifted file by the local server; A detoxification system that detoxifies the files located by the FEP server; An MDMS (Meter Data Management System) server that receives the file located by the FEP server from the FEP server and delivers the file to the non-reading system; An obfuscation system that obfuscates files transferred from the MDMS server; And an integrated server configured to receive and store the files read by the deobfuscation system from the MDMS server and obfuscate the files delivered from the MDMS server to the obfuscation system. .
본 발명의 상기 지역 서버는 DCU로부터 전달된 데이터를 랜덤 넘버를 이용하여 파일 단위별로 비트 이동시키는 것을 특징으로 한다.The regional server of the present invention is characterized in that the data transmitted from the DCU is moved bit by file unit using a random number.
본 발명의 상기 불독화 시스템은 불독화하기 전 파일에 시퀀스 넘버를 삽입하고 시퀀스 넘버순대로 불독화 모듈에 업로드하여 인증을 통과한 서버에서만 데이터를 볼 수 있도록 하는 것을 특징으로 한다.The detoxification system of the present invention is characterized in that a sequence number is inserted into a file before detoxification and uploaded to the detoxification module in the sequence number order so that data can be viewed only on the server that has passed authentication.
본 발명의 상기 불독화 시스템은 상기 지역 서버의 MAC주소, 전달될 생성 파일의 Data, 파일 생성 시간, 및 파일 생성 시퀀스 순으로 불독화 모듈에 입력하는 것을 특징으로 한다.The detoxification system of the present invention is characterized in that it is input to the detoxification module in the order of MAC address of the local server, data of the generated file to be delivered, file creation time, and file generation sequence.
본 발명의 상기 불독화 시스템은 상기 FEP 서버에 의해 원위치된 파일을 EFL 파일 포맷의 .data 영역에 인증값을 삽입하는 것을 특징으로 한다.The deobfuscation system of the present invention is characterized in that an authentication value is inserted into the .data area of the EFL file format by inserting the file located by the FEP server.
본 발명의 상기 불독화 시스템은 불독화된 데이터를 IPv4 또는 IPv6의 네트워크 패킷 형태로 전달하고, 인증값을 Header Checksum 영역에 삽입하는 것을 특징으로 한다.The detoxification system of the present invention is characterized in that the detoxified data is delivered in the form of an IPv4 or IPv6 network packet, and an authentication value is inserted into a header checksum area.
본 발명의 상기 난독화 시스템은 상기 FEP 서버에 의해 원위치된 파일의 소스코드의 스트링값을 코드변환을 통해 문장력을 상실시키는 것을 특징으로 한다.The obfuscation system of the present invention is characterized in that the string value of the source code of the file located by the FEP server loses sentence power through code conversion.
본 발명의 상기 난독화 시스템은 상기 FEP 서버에 의해 원위치된 파일의 소스코드의 스트링값을 기 설정된 코드변환진수로 코드변환을 하는 것을 특징으로 한다.The obfuscation system of the present invention is characterized in that the string value of the source code of the file located by the FEP server is code-converted to a predetermined code conversion number.
본 발명의 상기 코드변환진수는 8진수와 16진수 중 적어도 하나를 포함하는 것을 특징으로 한다.The code conversion decimal number of the present invention is characterized in that it includes at least one of an octal number and a hexadecimal number.
본 발명의 상기 난독화 시스템은 코드변환된 소스코드의 스트링값을 기 설정된 난독화 SW(Software) 툴을 통해 추가적으로 더 난독화시키는 것을 더 포함하는 것을 특징으로 한다. The obfuscation system of the present invention is further characterized in that it further comprises further obfuscating the string value of the code-converted source code through a preset obfuscation software (SW) tool.
본 발명의 일 측면에 따른 데이터 보안 장치는 수용가의 스마트 미터로부터 MDMS까지 전달되는 데이터 및 소스코드를 외부 사이버 공격으로부터 안전하게 보호한다. 특히, 본 발명의 일 측면에 따른 데이터 보안 장치는 데이터에 대한 비트 이동을 통해 스니핑 공격에 대응할 수 있고, 소스코드 난독화를 통해 소스코드의 가독성을 높여 외부에서 보기 힘든 코드로 변환함으로써 고급기술력의 유출을 방지할 수 있으며, 인증된 기기에서만 해당 데이터를 읽을 수 있도록 함으로써, MDMS 시스템의 보안성을 향상시킬 수 있다. The data security device according to an aspect of the present invention securely protects data and source codes transmitted from the consumer's smart meter to the MDMS from external cyber attacks. In particular, the data security device according to an aspect of the present invention can respond to a sniffing attack through bit movement of data, and improves the readability of the source code through obfuscation of the source code to convert it into a code that is difficult to see from the outside. The leakage can be prevented, and the data can be read only by an authenticated device, thereby improving the security of the MDMS system.
도 1 은 본 발명의 일 실시예에 따른 데이터 보안 장치의 블럭 구성도이다.
도 2 는 종래의 자바스트립트 난독화 예를 나타낸 도면이다.
도 3 은 본 발명의 일 실시예에 따른 스트링값 난독화 변환 예를 나타낸 도면이다.
도 4 는 종래의 파워플래너 웹 난독화 코드를 나타낸 도면이다.
도 5 는 본 발명의 일 실시예에 따른 파워플래너 웹 난독화 코드를 나타낸 도면이다.
도 6 은 본 발명의 일 실시예에 따른 바이너리 불독화 과정의 일 예를 나타낸 도면이다.
도 7 은 본 발명의 일 실시예에 따른 불독화 모듈의 프로세스를 나타낸 도면이다.1 is a block diagram of a data security device according to an embodiment of the present invention.
2 is a view showing a conventional Java script obfuscation example.
3 is a diagram illustrating an example of a string value obfuscation conversion according to an embodiment of the present invention.
4 is a diagram showing a conventional power planner web obfuscation code.
5 is a diagram illustrating a power planner web obfuscation code according to an embodiment of the present invention.
6 is a view showing an example of a binary fluorination process according to an embodiment of the present invention.
7 is a view showing a process of a detoxification module according to an embodiment of the present invention.
이하에서는 본 발명의 일 실시예에 따른 데이터 보안 장치를 첨부된 도면들을 참조하여 상세하게 설명한다. 이러한 과정에서 도면에 도시된 선들의 두께나 구성요소의 크기 등은 설명의 명료성과 편의상 과장되게 도시되어 있을 수 있다. 또한 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서, 이는 이용자, 운용자의 의도 또는 관례에 따라 달라질 수 있다. 그러므로 이러한 용어들에 대한 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야할 것이다. Hereinafter, a data security device according to an embodiment of the present invention will be described in detail with reference to the accompanying drawings. In this process, the thickness of the lines or the size of components shown in the drawings may be exaggerated for clarity and convenience. In addition, terms to be described later are terms defined in consideration of functions in the present invention, which may vary according to a user or operator's intention or practice. Therefore, the definition of these terms should be made based on the contents throughout the specification.
본 명세서에서 설명된 구현은, 예컨대, 방법 또는 프로세스, 장치, 소프트웨어 프로그램, 데이터 스트림 또는 신호로 구현될 수 있다. 단일 형태의 구현의 맥락에서만 논의(예컨대, 방법으로서만 논의)되었더라도, 논의된 특징의 구현은 또한 다른 형태(예컨대, 장치 또는 프로그램)로도 구현될 수 있다. 장치는 적절한 하드웨어, 소프트웨어 및 펌웨어 등으로 구현될 수 있다. 방법은, 예컨대, 컴퓨터, 마이크로프로세서, 집적 회로 또는 프로그래밍가능한 로직 디바이스 등을 포함하는 프로세싱 디바이스를 일반적으로 지칭하는 프로세서 등과 같은 장치에서 구현될 수 있다. 프로세서는 또한 최종-사용자 사이에 정보의 통신을 용이하게 하는 컴퓨터, 셀 폰, 휴대용/개인용 정보 단말기(personal digital assistant: "PDA") 및 다른 디바이스 등과 같은 통신 디바이스를 포함한다.The implementation described herein can be implemented, for example, as a method or process, apparatus, software program, data stream or signal. Although discussed only in the context of a single form of implementation (eg, discussed only as a method), implementation of the features discussed may also be implemented in other forms (eg, devices or programs). The device can be implemented with suitable hardware, software and firmware. The method can be implemented in an apparatus, such as a processor, generally referring to a processing device, including, for example, a computer, microprocessor, integrated circuit, or programmable logic device. The processor also includes communication devices such as computers, cell phones, portable/personal digital assistants ("PDAs") and other devices that facilitate communication of information between end-users.
도 1 은 본 발명의 일 실시예에 따른 데이터 보안 장치의 블럭 구성도이고, 도 2 는 종래의 자바스트립트 난독화 예를 나타낸 도면이며, 도 3 은 본 발명의 일 실시예에 따른 스트링값 난독화 변환 예를 나타낸 도면이며, 도 4 는 종래의 파워플래너 웹 난독화 코드를 나타낸 도면이며, 도 5 는 본 발명의 일 실시예에 따른 파워플래너 웹 난독화 코드를 나타낸 도면이며, 도 6 은 본 발명의 일 실시예에 따른 바이너리 불독화 과정의 일 예를 나타낸 도면이며, 도 7 은 본 발명의 일 실시예에 따른 불독화 모듈의 프로세스를 나타낸 도면이다.1 is a block diagram of a data security device according to an embodiment of the present invention, FIG. 2 is a diagram showing an example of a conventional Java script obfuscation, and FIG. 3 is a string value obfuscation according to an embodiment of the present invention A diagram showing a conversion example, Figure 4 is a diagram showing a conventional power planner web obfuscation code, Figure 5 is a diagram showing a power planner web obfuscation code according to an embodiment of the present invention, Figure 6 is the present invention FIG. 7 is a diagram illustrating an example of a process of binary detoxification according to an embodiment of the present invention, and FIG. 7 is a diagram illustrating a process of a detoxification module according to an embodiment of the present invention.
도 1 을 참조하면, 본 발명의 일 실시예에 따른 데이터 보안 장치는 스마트 미터(100), DCU(Date Concentration Unit)(200), 지역 서버(300), 통합 서버(400), 난독화 시스템(410), FEP 서버(500), MDMS 서버(600) 및 불독화 시스템(610)을 포함한다. Referring to FIG. 1, a data security device according to an embodiment of the present invention includes a
스마트 미터(100)는 각각의 수용가에 설치되어 주기적으로 전기사용량 LP(시간별 사용량) 데이터, 유효전력량, 무효전력량, 역률, ID, 검침 시간 등의 데이터를 검침한다. The
DCU(200)는 스마트 미터(100) 각각에 의해 측정된 데이터를 각 스마트 미터(100)로부터 취합하고, 취합된 데이터를 저압 데이터 및 고압 데이터로 구분한 후, 저압 데이터를 지역 서버(300)에 전달하고, 고압 데이터를 통합 서버(400)에 전달한다. The DCU 200 collects data measured by each
지역서버(300)는 DCU(200)로부터 전달된 데이터를 기존 시스템 설비 시 보안 담당자가 정책을 기반으로 한 랜덤 넘버(nonce)를 가지고 비트 이동 모듈에 적용하여 파일 단위별로 비트 이동을 한 후 FEP(Front End Processor) 서버(500)에 전달한다.The
FEP 서버(500)는 전달받은 비트 이동된 파일들을 다시 원위치시켜 MDMS 서버(600)에 전달한다. The
MDMS 서버(600)는 수집된 파일들을 불독화 시스템(610)에 입력하여 특수 코드를 파일 포맷에 첨부한다. 이러한 특수 코드가 첨부된 파일들에 있어서, 고객들의 데이터는 업무 프로세스를 통해 분류(저/고압, 계약종 등)되어 통합 서버(400)에 저장된다. The MDMS server 600 inputs the collected files to the
AOS(AMI Operating System) 관리 페이지 및 파워플래너 웹사이트는 통합 서버(400)에 저장된 데이터를 관리자 또는 고객들에게 제공하는데, 이를 위해서는 난독화 기능이 필요한다. The AOS (AMI Operating System) management page and the power planner website provide data stored in the integrated
통합 서버(400)는 해당 소스코드들을 난독화 시스템(410)을 통하여 난독화시켜 해당 출력된 코드를 웹서버에 업로드한다.The integrated
도 2 를 참조하면, 종래의 HTML, CSS 및 자바스크립트의 코드를 공개 툴로 난독화했을 경우 결과를 보여준다. 도 2 에 도시된 바와 같이, 종래에는 불필요한 소스코드 등을 추가하여 기존 코드에 대한 가독성을 저하시키므로, 다른 공개 툴로 언패킹하여 다시 역추출하면 일부 소스코드가 보일 수 있다. 이에, MDMS 소스코드(HTML, CSS, JavaScript 등)에 적합하지 않을 수 있다. Referring to FIG. 2, the results of obfuscating conventional HTML, CSS, and JavaScript code with public tools are shown. As illustrated in FIG. 2, in the related art, unnecessary source code or the like is added to deteriorate readability of the existing code, and when unpacked with another public tool and back extracted, some source codes may be seen. Therefore, it may not be suitable for MDMS source codes (HTML, CSS, JavaScript, etc.).
그러나, 본 발명의 일 실시예에 따른 난독화 시스템(410)은 스트립트 소스코드에 대한 난독화를 수행하는 과정에서, 스트링값을 8진수 또는 16진수 등의 코드변환을 통해 코드의 가독성을 저하시킨다. However, the
즉, 난독화 시스템(410)은 도 3 에 도시된 바와 같이, 스트링값(String)값을 8진수, 16진수 등의 코드변환을 통해 기존의 알파벳으로 알 수 있는 문장력을 상실시켜 코드의 가독성을 저하시킨다. 여기서 가독성을 향상시키기 위해, 공개 SW(Software Tool)툴로 추가적으로 더 업그레이드하여 다시 가독성을 높일 수 있기 때문에 소스코드에 대한 외부 배포 시 코드 보호에 대한 안전성을 높일 수 있다. That is, as shown in FIG. 3, the
도 4 에는 기존의 파워플래너 웹사이트에서 일부 코드를 난독화한 결과를 보여주고 있다. 여기서는 16진수 변환을 하였는데 해당 코드에 대한 test.jsp 파일을 생성하였다. 해당 jsp파일을 웹서버에 업로드하여 사용하거나 해당 소스코드들을 외부로 이관 시 난독화 모듈을 통해 데이터를 안전하게 배포할 수 있는 장점이 있다. Figure 4 shows the result of obfuscating some code from the existing Power Planner website. Here, the hexadecimal number was converted, and the test.jsp file for the code was created. There is an advantage in that the data can be safely distributed through the obfuscation module when the corresponding jsp file is uploaded to the web server or used or the source codes are transferred to the outside.
도 5 에는 제안한 난독화 모듈에서 개선된 코드를 보여준다.Fig. 5 shows the improved code in the proposed obfuscation module.
그러나, 본 실시예에서의 난독화 시스템(410)은 코드 변환 진수를 선택하여 소스코드의 데이터 변환 후 기 설정된 난독화 SW 툴을 통해 가독성을 높이고 압축하여 코드를 최적화시켜줄 수 있다. 이러한 난독화 시스템(410)은 상기한 코드 변환을 이용하는 코드 가독성과 이미 검증된 공개 툴을 같이 사용하므로, 소스코드 보호와 다운로드 성능을 향상시킬 수 있는 장점이 있다. However, the
도 6 을 참조하면, 불독화 시스템(610)은 난독화 소스코드뿐만 아니라 MDMS에 생성된 데이터 파일들의 외부 유출을 막기 위한 불독화 과정을 수행한다.Referring to FIG. 6, the
불독화 시스템(610)은 도 6 에 도시된 바와 같이 불독화하기 전 파일에 시퀀스 넘버를 삽입하고 시퀀스 넘버순대로 불독화 모듈에 업로드함으로써, 인증을 통과한 서버에서만 해당 데이터를 볼 수 있도록 한다. As shown in FIG. 6, the
도 6 을 참조하면, 미인증된 서버에서 해당 파일을 읽기, 쓰기 등을 할 경우 내부에 삽입된 코드를 통해 내용이 자동 삭제하여 실제 데이터를 볼 수 없도록 한다.Referring to FIG. 6, when an unauthenticated server reads or writes the file, the contents are automatically deleted through the code inserted therein so that actual data cannot be viewed.
이를 위해, 불독화 시스템(610)은 도 7 에 도시된 바와 같이 인증값을 데이터 포맷의 .data 영역에 삽입한다.To this end, the
먼저, 불독화 시스템(610)은 지역 서버(300)의 MAC주소(A6:C7 등의 48비트 식별 코드), 전달될 생성 파일의 Data, 파일 생성 시간, 및 파일 생성 시퀀스 순으로 불독화 모듈에 입력한다. First, the
불독화 시스템(610)은 4개의 순서 리스트를 인증값으로 Merge하는 본 실시예에서 인증값은 SH_A6_TEAF13001로 나타내었다. 예를 들어 지역 본부가 서울본부일 경우 SH(Seoul Headquarter), A6는 서버 랜카드의 MAC 주소, TEAF는 Two Thousand August Friday순으로 앞글자일 수 있다. 13은 생성 시간을 나타내며, 001은 파일 생성 시퀀스이다. In the present embodiment in which the
이러한 인증값들은 다양한 형태로 관리자들의 정책을 통해 다른 형태로 변형하여 사용이 가능하다. These authentication values can be used in various forms by modifying them through other policies.
이어, 불독화 시스템(610)은 인증값을 ELF 파일 포맷의 .data 영역 등에 삽입하고, 데이터 전달시 IPv4, IPv6 등의 네트워크 패킷 형태로 전달을 하는데, 이때, 인증값을 Header Checksum 영역에 삽입한다. 여기서, 인증값을 저장하는 영역은 변경이 가능하다. 본 실시예에서는 인증값을 헤더 체크섬에 삽입하였다.Subsequently, the
불독화 시스템(610)은 해당 인증값을 다른 서버로 보낼 경우, 인증값을 암호화하여 보내며, 전달받은 서버(미도시)는 복호화하여 불독화 모듈 시스템(미도시)에 입력 후 Lock을 풀어야 사용이 가능하다. 전달받은 서버의 불독화 모듈 시스템이 Lock을 풀 경우 기 설명한 MAC 주소는 생략되는데, 기존의 보안 관리자 및 최초 설비 시 내부 서버 CPU 프로세서 등에 삽입한 값으로 수정하여 Lock을 해제하여야 한다. When the
서버의 불독화 모듈 시스템이 상기한 Lock를 해제하는 과정을 N번 실패할 경우, 도 6의 Step 3처럼 데이터를 읽을 수 없는 형태로 변형된다. 이 또한 내부자가 외부로 데이터를 유출할 경우, 해당 코드의 Lock을 풀 수 있는 모듈도 없을 뿐만 아니라 따로 프로그램을 작성하여 만들더라도 내부 업무 프로세스(최상위 관리자만)를 모를 경우 쉽게 Lock을 풀지 못하여 훔친 데이터의 내용을 읽을 수 없는 상태가 된다. If the process of releasing the above-mentioned lock is failed N times by the system of the server's detoxification module, it is transformed into an unreadable form as in
이와 같이, 본 발명의 일 실시예에 따른 데이터 보안 장치는 수용가의 스마트 미터로부터 MDMS까지 전달되는 데이터 및 소스코드를 외부 사이버 공격으로부터 안전하게 보호한다. 특히, 본 발명의 일 실시예에 따른 데이터 보안 장치는 데이터에 대한 비트 이동을 통해 스니핑 공격에 대응할 수 있고, 소스코드 난독화를 통해 소스코드의 가독성을 높여 외부에서 보기 힘든 코드로 변환함으로써 고급기술력의 유출을 방지할 수 있으며, 인증된 기기에서만 해당 데이터를 읽을 수 있도록 함으로써, MDMS 시스템의 보안성을 향상시킬 수 있다. As described above, the data security device according to an embodiment of the present invention securely protects data and source codes transmitted from the consumer's smart meter to the MDMS from external cyber attacks. In particular, the data security device according to an embodiment of the present invention can respond to a sniffing attack through bit movement of data, and improves the readability of the source code through obfuscation of the source code and converts it into a code that is hard to see from the outside. It is possible to prevent the leakage of data and to improve the security of the MDMS system by allowing only the authenticated device to read the data.
본 발명은 도면에 도시된 실시예를 참고로 하여 설명되었으나, 이는 예시적인 것에 불과하며 당해 기술이 속하는 기술분야에서 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호범위는 아래의 특허청구범위에 의하여 정해져야할 것이다.The present invention has been described with reference to the embodiment shown in the drawings, but this is only exemplary, and a person skilled in the art to which the technology belongs may have various modifications and other equivalent embodiments from this. Will understand. Therefore, the true technical protection scope of the present invention should be defined by the claims below.
100: 스마트 미터
200: DCU
300: 지역서버
400: 통합 서버
410: 난독화 시스템
500: FEP 서버
600: MDMS 서버
610: 불독화 시스템 100: smart meter 200: DCU
300: regional server 400: integrated server
410: obfuscation system 500: FEP server
600: MDMS server 610: detoxification system
Claims (10)
상기 지역 서버에 의해 비트 이동된 파일을 원위치시키는 FEP(Front End Processor) 서버;
상기 FEP 서버에 의해 원위치된 파일을 불독화시키는 불독화 시스템;
상기 FEP 서버에 의해 원위치된 파일을 상기 FEP 서버로부터 전달받아 상기 불독화 시스템에 전달하는 MDMS(Meter Data Management System) 서버;
상기 MDMS 서버로부터 전달된 파일들을 난독화시키는 난독화 시스템; 및
상기 MDMS 서버로부터 상기 불독화 시스템에 의해 불독화된 파일들을 전달받아 저장하고, 상기 MDMS 서버로부터 전달된 파일을 상기 난독화 시스템에 전달하여 난독화시키도록 하는 통합 서버를 포함하는 것을 데이터 보안 장치. A regional server that bit-shifts data transmitted from a Date Concentration Unit (DCU);
A Front End Processor (FEP) server that returns the bit-shifted file by the local server;
A detoxification system that detoxifies the files located by the FEP server;
An MDMS (Meter Data Management System) server that receives the file located by the FEP server from the FEP server and delivers the file to the detoxification system;
An obfuscation system that obfuscates files transferred from the MDMS server; And
And an integrated server configured to receive and store the files detoxified by the obfuscation system from the MDMS server, and to obfuscate the files delivered from the MDMS server by passing them to the obfuscation system.
8. The data security device of claim 7, wherein the obfuscation system further comprises further obfuscating the string value of the code-converted source code through a preset obfuscation software (SW) tool.
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020180170578A KR102570688B1 (en) | 2018-12-27 | 2018-12-27 | Data security apparatus |
KR1020230109838A KR102585404B1 (en) | 2018-12-27 | 2023-08-22 | Data security apparatus |
KR1020230109839A KR102585405B1 (en) | 2018-12-27 | 2023-08-22 | Data security apparatus |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020180170578A KR102570688B1 (en) | 2018-12-27 | 2018-12-27 | Data security apparatus |
Related Child Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020230109839A Division KR102585405B1 (en) | 2018-12-27 | 2023-08-22 | Data security apparatus |
KR1020230109838A Division KR102585404B1 (en) | 2018-12-27 | 2023-08-22 | Data security apparatus |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20200080776A true KR20200080776A (en) | 2020-07-07 |
KR102570688B1 KR102570688B1 (en) | 2023-08-28 |
Family
ID=71602617
Family Applications (3)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020180170578A KR102570688B1 (en) | 2018-12-27 | 2018-12-27 | Data security apparatus |
KR1020230109839A KR102585405B1 (en) | 2018-12-27 | 2023-08-22 | Data security apparatus |
KR1020230109838A KR102585404B1 (en) | 2018-12-27 | 2023-08-22 | Data security apparatus |
Family Applications After (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020230109839A KR102585405B1 (en) | 2018-12-27 | 2023-08-22 | Data security apparatus |
KR1020230109838A KR102585404B1 (en) | 2018-12-27 | 2023-08-22 | Data security apparatus |
Country Status (1)
Country | Link |
---|---|
KR (3) | KR102570688B1 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20230127952A (en) * | 2018-12-27 | 2023-09-01 | 한국전력공사 | Data security apparatus |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004038966A (en) * | 2002-06-28 | 2004-02-05 | Microsoft Corp | Secure and opaque type library for providing secure variable data protection |
KR20120133623A (en) * | 2011-05-31 | 2012-12-11 | 한국전력공사 | Method for meter registration |
KR101451323B1 (en) * | 2014-02-10 | 2014-10-16 | 주식회사 락인컴퍼니 | Application security system, security server, security client apparatus, and recording medium |
KR20160066999A (en) * | 2014-12-03 | 2016-06-13 | 한국전자통신연구원 | Method of controlling integrated energy service using smart grid inter-operability |
US20180075262A1 (en) * | 2016-09-15 | 2018-03-15 | Nuts Holdings, Llc | Nuts |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102310501B1 (en) * | 2017-05-02 | 2021-10-12 | 한국전기연구원 | Network management system for ami |
KR102570688B1 (en) * | 2018-12-27 | 2023-08-28 | 한국전력공사 | Data security apparatus |
-
2018
- 2018-12-27 KR KR1020180170578A patent/KR102570688B1/en active IP Right Grant
-
2023
- 2023-08-22 KR KR1020230109839A patent/KR102585405B1/en active IP Right Grant
- 2023-08-22 KR KR1020230109838A patent/KR102585404B1/en active IP Right Grant
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004038966A (en) * | 2002-06-28 | 2004-02-05 | Microsoft Corp | Secure and opaque type library for providing secure variable data protection |
KR20120133623A (en) * | 2011-05-31 | 2012-12-11 | 한국전력공사 | Method for meter registration |
KR101451323B1 (en) * | 2014-02-10 | 2014-10-16 | 주식회사 락인컴퍼니 | Application security system, security server, security client apparatus, and recording medium |
KR20160066999A (en) * | 2014-12-03 | 2016-06-13 | 한국전자통신연구원 | Method of controlling integrated energy service using smart grid inter-operability |
US20180075262A1 (en) * | 2016-09-15 | 2018-03-15 | Nuts Holdings, Llc | Nuts |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20230127952A (en) * | 2018-12-27 | 2023-09-01 | 한국전력공사 | Data security apparatus |
Also Published As
Publication number | Publication date |
---|---|
KR102585404B1 (en) | 2023-10-10 |
KR20230127952A (en) | 2023-09-01 |
KR102570688B1 (en) | 2023-08-28 |
KR20230127951A (en) | 2023-09-01 |
KR102585405B1 (en) | 2023-10-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11818274B1 (en) | Systems and methods for trusted path secure communication | |
CN109361668B (en) | Trusted data transmission method | |
CN112217835B (en) | Message data processing method and device, server and terminal equipment | |
CN108418691A (en) | Dynamic network identity identifying method based on SGX | |
CN105099705B (en) | A kind of safety communicating method and its system based on usb protocol | |
CN112332975A (en) | Internet of things equipment secure communication method and system | |
CN101807234A (en) | Method for installing rights object for content in memory card | |
CN112131564A (en) | Encrypted data communication method, apparatus, device, and medium | |
CN109309645A (en) | A kind of software distribution security guard method | |
KR102585405B1 (en) | Data security apparatus | |
Phoha | Internet security dictionary | |
Kumar et al. | TPA auditing to enhance the privacy and security in cloud systems | |
KR20130100032A (en) | Method for distributting smartphone application by using code-signing scheme | |
JP3905170B2 (en) | Processing system and client device | |
CN104144054A (en) | Login system based on server, login server and verification method of login server | |
CN115022042A (en) | Compliance code verification method for protecting data privacy and computer readable medium | |
CN114329546A (en) | File encryption method and device and file decryption method | |
CN112202549A (en) | Charging management method, charging terminal data processing method and charging management platform data processing method | |
CN100546242C (en) | A kind of generation of super code and authentication method | |
Hastings et al. | A case study of authenticated and secure file transfer: the Iowa Campaign Finance Reporting System (ICFRS) | |
KR101210411B1 (en) | Transaction Protection System and Method using Connection of Certificate and OTP Generated by Keystream | |
Hagalisletto et al. | Using the mobile phone in two-factor authentication | |
Yang et al. | Secure Data Access Method based on electronic identity for Mobile Internet | |
Muñoz-Gallego et al. | Secure Mobile Agents on Embedded Boards: a TPM based solution | |
CN116938463A (en) | Application running environment credibility detection method, equipment and medium |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |