KR20210056727A - Distributive automation system and method for communicating securely using the thereof - Google Patents

Distributive automation system and method for communicating securely using the thereof Download PDF

Info

Publication number
KR20210056727A
KR20210056727A KR1020190143500A KR20190143500A KR20210056727A KR 20210056727 A KR20210056727 A KR 20210056727A KR 1020190143500 A KR1020190143500 A KR 1020190143500A KR 20190143500 A KR20190143500 A KR 20190143500A KR 20210056727 A KR20210056727 A KR 20210056727A
Authority
KR
South Korea
Prior art keywords
communication
security device
frtu
encrypted
fep
Prior art date
Application number
KR1020190143500A
Other languages
Korean (ko)
Other versions
KR102300369B1 (en
Inventor
장인석
이태윤
이종진
김성철
Original Assignee
한전케이디엔주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한전케이디엔주식회사 filed Critical 한전케이디엔주식회사
Priority to KR1020190143500A priority Critical patent/KR102300369B1/en
Publication of KR20210056727A publication Critical patent/KR20210056727A/en
Application granted granted Critical
Publication of KR102300369B1 publication Critical patent/KR102300369B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/12Arrangements for remote connection or disconnection of substations or of equipment thereof
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0654Management of faults, events, alarms or notifications using network fault recovery
    • H04L41/0659Management of faults, events, alarms or notifications using network fault recovery by isolating or reconfiguring faulty entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0805Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

The present invention relates to a distribution automation system and a secure communication method using the same. The method comprises: a path establishment step of establishing an encrypted path via a security device and a non-encrypted path not via the security device between a communication front end processor (FEP) and a terminal device of a distribution automation system; an encrypted communication step of performing communication using the encrypted path; a monitoring step of monitoring the communication state of the encrypted path to determine whether the security device is faulty; and a non-encrypted communication step of stopping communication using the encrypted path and performing communication through the non-encrypted path in response to the occurrence of a failure of the security device. The security device is provided between the communication front end processor (FEP) and the terminal device to enhance the security of the distribution automation system. By further establishing the non-encrypted path not via the security, communication errors due to a security device failure can be prevented by communicating through the non-encrypted path when a failure occurs in the security device.

Description

배전자동화 시스템 및 그를 이용한 보안 통신 방법{DISTRIBUTIVE AUTOMATION SYSTEM AND METHOD FOR COMMUNICATING SECURELY USING THE THEREOF}Distribution automation system and security communication method using it {DISTRIBUTIVE AUTOMATION SYSTEM AND METHOD FOR COMMUNICATING SECURELY USING THE THEREOF}

본 발명은 배전자동화 시스템 및 이를 이용한 보안 통신 방법에 관한 것으로서, 보다 상세하게는, 보안 모듈이 적용된 배전자동화 시스템에서 보안 모듈의 장애로 인한 통신 오류를 방지하는 배전자동화 시스템 및 이를 이용한 보안 통신 방법에 관한 것이다.The present invention relates to a distribution automation system and a security communication method using the same, and more particularly, to a distribution automation system that prevents communication errors due to failure of a security module in a distribution automation system to which a security module is applied, and a security communication method using the same. About.

배전 자동화 시스템(Distributive on Automation System, DAS)은 안정적인 전력 공급을 위한 배전 계통의 자동화 시스템으로서, 배전선로 곳곳에 원격 감시가 가능한 센서 및 원격조작이 가능한 자동화 개폐기들을 설치하고, 이를 중앙 제어 컴퓨터에 의하여 원격 감시 및 조작하는 시스템을 말한다.Distributive on Automation System (DAS) is an automation system of the distribution system for stable power supply, and sensors capable of remote monitoring and automatic switchgear capable of remote operation are installed throughout the distribution line. It refers to a system that monitors and operates remotely.

그런데, 이러한 배전자동화 시스템은, 상기 센서 및 자동화 개폐기들과 원격지에 위치한 중앙 제어 컴퓨터 사이에 암호화가 적용되지 않아, 공격자가 통신 내용을 도청 및 위/변조하여 배전망을 마비시킬 수 있는 위험이 존재한다. However, in such a distribution automation system, since encryption is not applied between the sensor and the automatic switchgear and the central control computer located in a remote location, there is a risk that an attacker may paralyze the distribution network by eavesdropping and forgery/modifying communication contents. do.

따라서 배전 자동화 시스템의 보안 문제가 중요시되고 있으며, 이로 인해, 상기 배전 자동화 시스템의 보안을 강화하기 위한 다양한 기술들이 개발되고 있다. 특히, 서버와 통신전단처리기(Front End Processor, FEP) 사이 및/또는 통신장치와 단말장치장치(Feeder Remote Terminal Unit, FRTU) 사이에 보안모듈을 구비함으로써, 배전자동화 시스템의 보안을 강화시키는 장치 및 방법들이 개발되었다.Therefore, the security problem of the distribution automation system is being emphasized, and for this reason, various technologies have been developed to reinforce the security of the distribution automation system. In particular, by providing a security module between a server and a front end processor (FEP) and/or between a communication device and a terminal device (Feeder Remote Terminal Unit, FRTU), a device that enhances the security of the distribution automation system and Methods were developed.

그런데, 이러한 종래의 장치 및 방법들은 상기 보안모듈에 장애가 발생한 경우 통신망 구조를 변경해야 통신이 가능한 문제가 있었다. 한편, 이러한 문제를 해결하기 위해 보안모듈을 이중화할 경우, 단말 장치에서 보낸 패킷이 목적지 IP 주소(FEP)를 향해 이동하기 때문에, 루핑문제가 발생하는 문제가 있었다.However, these conventional devices and methods have a problem in which communication is possible only when a communication network structure is changed when a failure occurs in the security module. On the other hand, when the security module is duplicated to solve this problem, there is a problem that a looping problem occurs because a packet sent from a terminal device moves toward a destination IP address (FEP).

한국 등록 특허번호 10-1538147호(“보안모듈이 적용된 배전자동화 시스템 및 이를 이용한 보안 방법”)Korean Registered Patent No. 10-1538147 (“Distribution automation system applied with security module and security method using the same”)

따라서, 본 발명은 배전자동화 시스템의 통신전단처리기(Front End Processor, FEP)와 단말장치 사이에 보안장치를 구비하여 배전자동화 시스템의 보안을 강화시키되, 상기 보안장치의 장애로 인한 통신오류를 방지하는 배전자동화 시스템 및 이를 이용한 보안 통신 방법을 제공하고자 한다. Accordingly, the present invention enhances the security of the distribution automation system by providing a security device between the front end processor (FEP) and the terminal device of the distribution automation system, and prevents communication errors due to failure of the security device. It is intended to provide a distribution automation system and a secure communication method using the same.

또한, 본 발명은 배전자동화 시스템의 통신전단처리기(FEP)와 단말장치 사이에 보안장치를 경유하는 암호화 경로 및 상기 보안장치를 경유하지 않는 비암호화 경로를 구축하고, 상기 보안장치에 장애 발생시 상기 비암호화 경로로 통신을 함으로써 보안장치 장애로 인한 통신 오류를 방지하는 배전자동화 시스템 및 이를 이용한 보안 통신 방법을 제공하고자 한다. In addition, the present invention establishes an encryption path through a security device between a communication front processor (FEP) of a distribution automation system and a terminal device, and a non-encryption path not through the security device. An attempt is made to provide a distribution automation system that prevents communication errors due to a security device failure by communicating through an encryption path, and a secure communication method using the same.

상기 목적을 달성하기 위해, 본 발명에서 제공하는 배전자동화 시스템은 배전선로의 상태를 감시하고, 측정하며, 측정된 데이터를 원격으로 전송하는 복수의 단말장치(FRTU)들; 상기 복수의 단말장치(FRTU)들이 획득한 정보를 취합, 관리, 저장하는 통신전단처리기(FEP); 상기 통신전단처리기(FEP)에서 수집된 정보들에 의거하여 상기 복수의 단말장치(FRTU)들을 감시 및 제어 하는 서버; 및 상기 통신전단처리기(FEP)와 상기 복수의 단말장치(FRTU)들 사이에서 데이터 전달을 수행하되, 상기 통신전단처리기(FEP)로부터 상기 복수의 단말장치(FRTU)들로 전달되는 신호에 대한 암호화를 수행하고, 상기 복수의 단말장치(FRTU)들로부터 상기 통신전단처리기(FEP)로 전달되는 신호에 대한 복호화를 수행하는 보안장치를 포함하되, 상기 통신전단처리기(FEP)는 상기 보안장치의 장애여부를 모니터링하고, 상기 보안장치에 장애 발생시 상기 복수의 단말장치(FRTU)들과 직접 비암호화 통신을 수행하는 것을 특징으로 한다. In order to achieve the above object, the distribution automation system provided by the present invention includes a plurality of terminal devices (FRTU) for monitoring, measuring, and remotely transmitting the measured data; A communication front end processor (FEP) for collecting, managing, and storing information acquired by the plurality of terminal devices (FRTU); A server that monitors and controls the plurality of terminal devices (FRTU) based on information collected by the communication front end processor (FEP); And performing data transfer between the communication front processor (FEP) and the plurality of terminal devices (FRTU), but encryption of the signal transmitted from the communication front processor (FEP) to the plurality of terminal devices (FRTU). And a security device for decoding a signal transmitted from the plurality of terminal devices (FRTU) to the communication front end processor (FEP), wherein the communication front end processor (FEP) is a failure of the security device. It monitors whether or not, and when a failure occurs in the security device, non-encryption communication is performed directly with the plurality of terminal devices (FRTU).

바람직하게는, 상기 통신전단처리기(FEP)는 상기 복수의 단말장치(FRTU)들 각각의 통신 성공률을 분석하여 상기 보안장치의 장애 여부를 결정하는 통신성공률 분석부; 상기 복수의 단말장치(FRTU)들 각각의 통신 정보를 저장하는 데이터베이스부; 상기 데이터베이스 정보를 이용하여 상기 보안장치 또는 상기 복수의 단말장치(FRTU)들과 비암호화 통신을 수행하기 위한 제1 클라이언트 통신 프로세스를 생성하는 제1 통신 프로세스부; 및 상기 보안장치의 장애 여부에 의거하여 상기 제1 클라이언트 통신 프로세스를 상기 보안장치 또는 상기 복수의 단말장치(FRTU)들 중 어느 하나로 연결하는 제어부를 포함할 수 있다. Preferably, the communication front end processor (FEP) is a communication success rate analysis unit for determining whether the failure of the security device by analyzing the communication success rate of each of the plurality of terminal devices (FRTU); A database unit for storing communication information of each of the plurality of terminal devices (FRTU); A first communication processor for generating a first client communication process for performing non-encrypted communication with the security device or the plurality of terminal devices (FRTUs) using the database information; And a control unit for connecting the first client communication process to the security device or one of the plurality of terminal devices (FRTU) based on whether the security device has a failure.

바람직하게는, 상기 보안장치는 상기 데이터베이스부로부터 상기 복수의 단말장치(FRTU)들 각각의 통신 정보를 읽어와서 상기 통신전단처리기(FEP) 및 상기 복수의 단말장치(FRTU)들과 통신을 수행하기 위한 각각의 통신 프로세스를 생성하고, 상기 통신 프로세스들을 이용한 통신을 수행하는 제2 통신 프로세스부; 상기 제2 통신 프로세스부에서 생성된 통신 프로세스 정보를 저장하는 메모리부; 및 상기 복수의 단말장치(FRTU)들과 암호화된 데이터를 주고받기 위한 제1 암호화 통신 프로토콜처리부를 포함할 수 있다. Preferably, the security device reads communication information of each of the plurality of terminal devices (FRTU) from the database unit to perform communication with the communication front end processor (FEP) and the plurality of terminal devices (FRTU). A second communication process unit for generating each communication process for each communication process, and performing communication using the communication processes; A memory unit for storing communication process information generated by the second communication process unit; And a first encryption communication protocol processor for exchanging encrypted data with the plurality of terminal devices (FRTU).

바람직하게는, 상기 제2 통신 프로세스부는 상기 통신전단처리기(FEP)와 비암호화 통신을 수행하기 위한 제1 서버 통신 프로세스 또는 상기 복수의 단말장치(FRTU)들과 암호화 통신을 수행하기 위한 제2 클라이언트 통신 프로세스를 생성할 수 있다.Preferably, the second communication processing unit is a first server communication process for performing non-encrypted communication with the communication front processor (FEP) or a second client for performing encrypted communication with the plurality of terminal devices (FRTU). Communication process can be created.

바람직하게는, 상기 복수의 단말장치(FRTU)들 각각은 상기 보안장치에 포함된 제2 클라이언트 통신 프로세스와 암호화 통신을 수행하기 위한 제2 서버 통신 프로세스; 상기 제2 서버 통신 프로세스를 통해 암호화 통신을 수행하기 위한 제2 암호화 통신 프로토콜 처리부; 및 상기 통신전단처리기(FEP)에 포함된 제1 클라이언트 통신 프로세스와 비암호화 통신을 수행하기 위한 제3 서버 통신 프로세스를 포함할 수 있다.Preferably, each of the plurality of terminal devices (FRTU) includes a second server communication process for performing encrypted communication with a second client communication process included in the security device; A second encrypted communication protocol processing unit for performing encrypted communication through the second server communication process; And a third server communication process for performing non-encrypted communication with a first client communication process included in the communication preprocessor (FEP).

또한, 상기 목적을 달성하기 위해, 본 발명에서 제공하는 방법은 배전자동화 시스템의 통신전단처리기(FEP)와 단말장치 사이에 보안장치를 경유하는 암호화 경로 및 상기 보안장치를 경유하지 않는 비암호화 경로를 구축하는 경로구축단계; 상기 암호화 경로를 이용하여 통신을 수행하는 암호화 통신 단계; 상기 암호화 경로의 통신상태를 모니터링하여 상기 보안장치의 장애 여부를 결정하는 모니터링 단계; 및 상기 보안장치의 장애 발생에 응답하여, 상기 암호화 경로를 이용한 통신을 중단하고 상기 비암호화 경로로 통신을 수행하는 비암호화 통신 단계를 포함하는 것을 특징으로 한다. In addition, in order to achieve the above object, the method provided by the present invention provides an encryption path through a security device between a communication shear processor (FEP) of a distribution automation system and a terminal device, and a non-encryption path not through the security device. Building a path to build; An encrypted communication step of performing communication using the encryption path; A monitoring step of determining whether or not the security device has failed by monitoring the communication state of the encryption path; And a non-encryption communication step of stopping communication using the encryption path and performing communication through the non-encryption path in response to a failure of the security device.

바람직하게는, 상기 암호화 통신 단계는 상기 통신전단처리기(FEP)와 상기 보안 장치간 비암호화 통신을 수행하기 위한 통신 프로세스를 생성하는 제1 비암호화 통신 프로세스 생성단계; 및 상기 보안장치와 상기 복수의 단말장치(FRTU)들 사이에 암호화 통신을 수행하기 위한 통신 제1 암호화 통신 프로세스 생성단계를 포함할 수 있다. Preferably, the encrypted communication step comprises: a first non-encrypted communication process generating step of generating a communication process for performing non-encrypted communication between the communication front processor (FEP) and the security device; And generating a communication first encrypted communication process for performing encrypted communication between the security device and the plurality of terminal devices (FRTU).

바람직하게는, 상기 제1 비암호화 통신 프로세스 생성단계는 상기 통신전단처리기(FEP)가, 상기 보안장치와 비암호화 통신을 수행하기 위한, 제1 클라이언트 통신 프로세서를 생성하는 제1-1 비암호화 통신 프로세스 생성단계; 및 상기 보안장치가, 상기 통신전단처리기(FEP)와 비암호화 통신을 수행하기 위한, 제1 서버 통신 프로세서를 생성하는 제1-2 비암호화 통신 프로세스 생성 단계를 포함단계를 포함할 수 있다. Preferably, in the step of generating the first non-encrypted communication process, the communication preprocessor (FEP) generates a first client communication processor for performing non-encrypted communication with the security device. Process creation step; And generating, by the security device, a 1-2 non-encrypted communication process for generating a first server communication processor for performing non-encrypted communication with the communication preprocessor (FEP).

바람직하게는, 상기 제1 암호화 통신 프로세스 생성단계는 상기 보안장치가, 상기 복수의 단말장치(FRTU)들과 암호화 통신을 수행하기 위한, 제2 클라이언트 통신 프로세서를 생성하는 제1-1 암호화 통신 프로세스 생성 단계; 및 상기 복수의 단말장치(FRTU)들 각각이, 상기 보안장치와 암호화 통신을 수행하기 위한, 제2 서버 통신 프로세서를 생성하는 제1-2 암호화 통신 프로세스 생성 단계를 포함할 수 있다.Preferably, in the step of generating the first encrypted communication process, the security device is a 1-1 encrypted communication process for generating a second client communication processor for performing encrypted communication with the plurality of terminal devices (FRTU). Creation step; And a 1-2 encrypted communication process generation step of generating, by each of the plurality of terminal devices (FRTU), a second server communication processor for performing encrypted communication with the security device.

바람직하게는, 상기 모니터링 단계는 상기 통신전단처리기(FEP)가 상기 복수의 단말장치(FRTU)들 모두에 대하여 미리 설정된 일정 시간 동안 통신 성공률을 수집하는 통신 성공률 수집단계; 및 상기 통신 성공률이 미리 설정된 장애 판단 기준을 만족하는 지 여부에 따라 상기 보안장치의 장애 여부를 결정하는 장애결정단계를 포함할 수 있다.Preferably, the monitoring step comprises: a communication success rate collecting step of collecting, by the communication front end processor (FEP), a communication success rate for a predetermined period of time set in advance for all of the plurality of terminal devices (FRTU); And a failure determining step of determining whether or not the security device has failed according to whether the communication success rate satisfies a preset failure determination criterion.

바람직하게는, 상기 비암호화 통신단계는 상기 통신전단처리기(FEP)와 상기 복수의 단말장치(FRTU)들 사이에 비암호화 통신을 수행하기 위한 통신 프로세스를 생성하는 제2 비암호화 통신 프로세스 생성 단계를 포함할 수 있다.Preferably, the non-encrypted communication step comprises a second non-encrypted communication process generating step of generating a communication process for performing non-encrypted communication between the communication preprocessor (FEP) and the plurality of terminal devices (FRTU). Can include.

바람직하게는, 상기 제2 비암호화 통신 프로세스 생성 단계는 상기 통신전단처리기(FEP)가, 상기 복수의 단말장치(FRTU)들과 비암호화 통신을 수행하기 위한, 제1 클라이언트 통신 프로세서를 생성하는 제2-1 비암호화 통신 프로세스 생성단계; 및 상기 복수의 단말장치(FRTU)들 각각이, 상기 통신전단처리기(FEP)와 비암호화 통신을 수행하기 위한, 제3 서버 통신 프로세서를 생성하는 제2-2 비암호화 통신 프로세스 생성단계를 포함할 수 있다.Preferably, in the step of generating the second non-encrypted communication process, the communication front processor (FEP) generates a first client communication processor for performing non-encryption communication with the plurality of terminal devices (FRTU). 2-1 creating a non-encrypted communication process; And a 2-2 non-encrypted communication process generating step of generating a third server communication processor for each of the plurality of terminal devices (FRTU) to perform non-encrypted communication with the communication front processor (FEP). I can.

본 발명의 배전자동화 시스템은 통신전단처리기(Front End Processor, FEP)와 단말장치 사이에 보안장치를 구비하여 배전자동화 시스템의 보안을 강화시키되, 상기 보안장치를 경유하는 암호화 경로 및 상기 보안장치를 경유하지 않는 비암호화 경로를 구축하고, 상기 보안장치에 장애 발생시 상기 비암호화 경로로 통신을 함으로써 보안장치 장애로 인한 통신 오류를 방지할 수 있는 장점이 있다. The distribution automation system of the present invention has a security device between a front end processor (FEP) and a terminal device to enhance the security of the distribution automation system, but the encryption path through the security device and the security device are used. There is an advantage in that a communication error due to a security device failure can be prevented by establishing a non-encrypted path that does not do so, and communicating through the non-encrypted path when a failure occurs in the security device.

도 1은 본 발명의 일실시 예에 따른 배전자동화 시스템에 대한 개략적인 시스템 구성도이다.
도 2는 본 발명의 일실시 예에 따른 배전자동화 시스템의 통신전단처리기에 대한 개략적인 블록도이다.
도 3은 본 발명의 일실시 예에 따른 배전자동화 시스템의 통신전단처리기에 저장된 통신정보의 예를 설명하기 위한 도면이다.
도 4는 본 발명의 일실시 예에 따른 배전자동화 시스템의 보안장치에 대한 개략적인 블록도이다.
도 5는 본 발명의 일실시 예에 따른 배전자동화 시스템의 보안장치에 저장된 프로세스 통신 정보의 예를 설명하기 위한 도면이다.
도 6은 본 발명의 일실시 예에 따른 배전자동화 시스템의 단말장치에 대한 개략적인 블록도이다.
도 7은 본 발명의 일실시 예에 따른 배전자동화 시스템의 보안 통신 방법에 대한 개략적인 처리 흐름도이다.
도 8은 본 발명의 일실시 예에 따른 암호화 통신과정에 대한 개략적인 처리 흐름도이다.
도 9는 본 발명의 일실시 예에 따른 모니터링 과정에 대한 개략적인 처리 흐름도이다.
도 10은 본 발명의 일실시 예에 따른 배전자동화 시스템의 통신프로세스 연결 관계를 설명하기 위한 도면이다. 1 is a schematic system configuration diagram of a distribution automation system according to an embodiment of the present invention.
2 is a schematic block diagram of a communication shear processor of a distribution automation system according to an embodiment of the present invention.
3 is a view for explaining an example of communication information stored in a communication shear processor of a distribution automation system according to an embodiment of the present invention.
4 is a schematic block diagram of a security device of a distribution automation system according to an embodiment of the present invention.
5 is a view for explaining an example of process communication information stored in the security device of the distribution automation system according to an embodiment of the present invention.
6 is a schematic block diagram of a terminal device of a distribution automation system according to an embodiment of the present invention.
7 is a schematic flowchart of a secure communication method of a distribution automation system according to an embodiment of the present invention.
8 is a schematic flowchart of an encryption communication process according to an embodiment of the present invention.
9 is a schematic flowchart of a monitoring process according to an embodiment of the present invention.
10 is a diagram for explaining a communication process connection relationship of a distribution automation system according to an embodiment of the present invention.

아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시 예에 대하여 설명하되, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시 예에 한정되지 않는다. 한편 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다. 또한 상세한 설명을 생략하여도 본 기술 분야의 당업자가 쉽게 이해할 수 있는 부분의 설명은 생략하였다.Hereinafter, embodiments of the present invention will be described with reference to the accompanying drawings, but will be described in detail so that those of ordinary skill in the art to which the present invention pertains can easily implement the present invention. However, the present invention may be implemented in various different forms and is not limited to the embodiments described herein. Meanwhile, in the drawings, parts irrelevant to the description are omitted in order to clearly describe the present invention, and similar reference numerals are attached to similar parts throughout the specification. In addition, even if the detailed description is omitted, descriptions of parts that can be easily understood by those skilled in the art have been omitted.

명세서 및 청구범위 전체에서, 어떤 부분이 어떤 구성 요소를 포함한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성 요소를 제외하는 것이 아니라 다른 구성 요소를 더 포함할 수 있는 것을 의미한다.Throughout the specification and claims, when a part includes a certain component, it means that other components may be further included rather than excluding other components unless specifically stated to the contrary.

도 1은 본 발명의 일실시 예에 따른 배전자동화 시스템에 대한 개략적인 시스템 구성도이다. 도 1을 참조하면, 본 발명의 일실시 예에 따른 배전자동화 시스템은 서버(TDAS)(100), 통신전단처리기(FEP)(200), 보안장치(300) 및 복수의 단말장치(FRTU)(400)들을 포함한다. 1 is a schematic system configuration diagram of a distribution automation system according to an embodiment of the present invention. 1, a distribution automation system according to an embodiment of the present invention includes a server (TDAS) 100, a communication shear processor (FEP) 200, a security device 300, and a plurality of terminal devices (FRTU) ( 400).

서버(TDAS)(100)는 통신전단처리기(FEP)(200)와 통신을 하고, 통신전단처리기(FEP)(200)에서 수집된 정보들에 의거하여 복수의 단말장치(FRTU)(400)들을 감시 및 제어한다.The server (TDAS) 100 communicates with the communication front end processor (FEP) 200, and provides a plurality of terminal devices (FRTU) 400 based on the information collected by the communication front end processor (FEP) 200. Monitor and control.

통신전단처리기(FEP)(200)는 복수의 단말장치(FRTU)(400)들이 획득한 정보를 취합, 관리, 저장한다. The communication front end processor (FEP) 200 collects, manages, and stores information acquired by a plurality of terminal devices (FRTU) 400.

보안장치(300)는 통신전단처리기(FEP)(200)와 상기 복수의 단말장치(FRTU) (400)들 사이에서 데이터 전달을 수행한다. 특히, 보안장치(300)는 통신전단처리기(FEP)(200)로부터 복수의 단말장치(FRTU)(400)들로 전달되는 신호에 대한 암호화를 수행하고, 복수의 단말장치(FRTU)(400)들로부터 통신전단처리기(FEP)(200)로 전달되는 신호에 대한 복호화를 수행한다.The security device 300 transfers data between the communication front end processor (FEP) 200 and the plurality of terminal devices (FRTU) 400. In particular, the security device 300 encrypts a signal transmitted from the communication front end processor (FEP) 200 to the plurality of terminal devices (FRTU) 400, and the plurality of terminal devices (FRTU) 400 It decodes a signal transmitted to the communication front end processor (FEP) 200 from the network.

복수의 단말장치(FRTU)(400)들은 각각 배전선로의 상태를 감시하고, 측정하며, 측정된 데이터를 원격으로 전송한다. Each of the plurality of terminal devices (FRTU) 400 monitors and measures the state of the distribution line, and remotely transmits the measured data.

또한, 본 발명의 배전 자동화 시스템은 통신전단처리기(FEP)(200)와 단말장치(400) 사이에 보안장치(300)를 경유하는 암호화 경로 및 보안장치(300)를 경유하지 않는 비암호화 경로를 구축하여, 평소에는 상기 암호화 경로로 통신을 수행하고, 보안장치(300)에 장애가 발생한 경우에 상기 비암호화 경로로 통신을 수행한다. 즉, 통신전단처리기(FEP)(200)와 보안장치(300) 사이에 비암호화 통신을 수행하는 통신경로(A), 보안장치(300)와 단말장치(400) 사이에 암호화 통신을 수행하는 통신경로(B), 및 통신전단처리기(FEP)(200)와 단말장치(400) 사이에 비암호화 통신을 수행하는 통신경로(C)를 구축하여, 평소에는 상기 통신경로(A) 및 상기 통신경로(B)로 통신을 수행하고, 보안장치(300)에 장애가 발생한 경우 상기 통신경로(C)로 통신을 수행한다. In addition, the distribution automation system of the present invention provides an encryption path passing through the security device 300 between the communication shear processor (FEP) 200 and the terminal device 400 and a non-encryption path not passing through the security device 300. By constructing, communication is usually performed through the encryption path, and when a failure occurs in the security device 300, communication is performed through the non-encryption path. That is, a communication path (A) for performing non-encrypted communication between the communication preprocessor (FEP) 200 and the security device 300, and communication for performing encrypted communication between the security device 300 and the terminal device 400 By establishing a path (B) and a communication path (C) for performing non-encrypted communication between the communication front processing unit (FEP) 200 and the terminal device 400, the communication path (A) and the communication path are usually Communication is performed by (B), and when a failure occurs in the security device 300, communication is performed through the communication path (C).

이를 위해, 통신전단처리기(FEP)(200)는 보안장치(300)를 통해 단말장치(400)들과 암호화 통신을 수행하면서, 보안장치(300)의 장애여부를 모니터링한다. 그리고, 보안장치(300)에 장애가 발생하면, 통신전단처리기(FEP)(200)는 보안장치(300)와의 통신을 끊고, 단말장치(FRTU)(400)들과 직접 비암호화 통신을 수행한다. To this end, the communication front end processor (FEP) 200 monitors whether or not the security device 300 has a failure while performing encrypted communication with the terminal devices 400 through the security device 300. In addition, when a failure occurs in the security device 300, the communication preprocessor (FEP) 200 disconnects communication with the security device 300 and performs non-encryption communication directly with the terminal devices (FRTU) 400.

도 2는 본 발명의 일실시 예에 따른 배전자동화 시스템의 통신전단처리기에 대한 개략적인 블록도이다. 도 1 및 도 2를 참조하면, 본 발명의 일실시 예에 따른 배전자동화 시스템의 통신전단처리기(FEP)(200)는 제1 클라이언트 통신 프로세스부(210), DNP 처리부(220), DNP 패킷 처리부(230), 통신성공률 분석부(240), 데이터베이스부(DB)(250) 및 제어부(260)를 포함한다. 2 is a schematic block diagram of a communication shear processor of a distribution automation system according to an embodiment of the present invention. Referring to FIGS. 1 and 2, the communication front processing unit (FEP) 200 of the distribution automation system according to an embodiment of the present invention includes a first client communication processing unit 210, a DNP processing unit 220, and a DNP packet processing unit. (230), a communication success rate analysis unit 240, a database unit (DB) 250, and a control unit 260.

제1 클라이언트 통신 프로세스부(210)는 보안장치(300) 또는 복수의 단말장치(FRTU)(400)들과 비암호화 통신을 수행하기 위한 제1 클라이언트 통신 프로세스를 생성하고, 상기 제1 클라이언트 통신 프로세스를 이용한 통신을 수행한다. 이를 위해, 제1 클라이언트 통신 프로세스부(210)는 데이터베이스부(DB)(240)에 저장된 단말장치(FRTU)(400) 통신정보를 이용할 수 있다. 상기 통신정보의 예가 도 3에 예시되어 있다. 도 3은 본 발명의 일실시 예에 따른 배전자동화 시스템의 통신전단처리기(FEP)(200)에 저장된 통신정보의 예를 설명하기 위한 도면으로서, 데이터베이스부(DB)(240)에 저장된 단말장치(FRTU)(400) 통신정보를 예시하고 있다. 도 3을 참조하면, 데이터베이스부(DB)(240)에는 단말장치(FRTU)(400)_식별정보(SW_ID) (241)/단말장치(FRTU)(400)_IP(242)/단말장치(FRTU)(400)_비암호화_포트(Port)(243)/단말장치(FRTU)(400)_암호화_포트(Port)(244)/보안장치_IP(245)/보안장치_포트(Port)(246)/암호화적용여부(247)를 저장하기 위한 필드들을 포함한다. The first client communication process unit 210 generates a first client communication process for performing non-encrypted communication with the security device 300 or a plurality of terminal devices (FRTU) 400, and the first client communication process It performs communication using. To this end, the first client communication process unit 210 may use the communication information of the terminal device (FRTU) 400 stored in the database unit (DB) 240. An example of the communication information is illustrated in FIG. 3. 3 is a diagram for explaining an example of communication information stored in a communication front processing unit (FEP) 200 of a distribution automation system according to an embodiment of the present invention, and a terminal device stored in the database unit (DB) 240 ( FRTU) 400 illustrates communication information. 3, the database unit (DB) 240 includes a terminal device (FRTU) 400 _ identification information (SW_ID) 241 / terminal device (FRTU) 400 _IP 242 / terminal device (FRTU). )(400)_non-encryption_port(243)/terminal device(FRTU)(400)_encryption_port(244)/security device_IP(245)/security device_port (246) / Includes fields for storing whether to apply encryption or not (247).

도 1 내지 도 3을 참조하면, 제1 클라이언트 통신 프로세스부(210)는 데이터베이스부(DB)(240)의 정보를 이용하여 상기 제1 클라이언트 통신 프로토콜을 생성하되, 데이터베이스부(DB)(240)의 단말장치별 암호화 적용여부(247) 저장필드를 참고한다. 즉, 제1 클라이언트 통신 프로세스부(210)는 암호화가 적용된 단말장치와의 통신시, 보안장치(300)를 경유하는 암호화 경로를 이용하기 위해 통신전단처리기(FEP)(200)와 보안장치(300)간 통신을 위한 통신 프로세스를 생성하고, 암호화가 적용되지 않은 단말장치와의 통신시, 보안장치(300)를 경유하지 않는 비암호화 경로를 이용하기 위해 통신전단처리기(FEP)(200)와 단말장치(400)간 통신을 위한 통신 프로세스를 생성한다. 이 때, 제1 클라이언트 통신 프로세스의 통신포트는 동적으로 할당된다.1 to 3, the first client communication process unit 210 generates the first client communication protocol by using the information of the database unit (DB) 240, the database unit (DB) 240 Refer to the storage field of whether to apply encryption for each terminal device (247). That is, the first client communication process unit 210, in order to use an encryption path through the security device 300 when communicating with a terminal device to which encryption is applied, the communication front end processor (FEP) 200 and the security device 300 ) To create a communication process for communication, and to use a non-encryption path that does not pass through the security device 300 when communicating with a terminal device to which encryption is not applied, the communication front end processor (FEP) 200 and the terminal A communication process for communication between devices 400 is created. At this time, the communication port of the first client communication process is dynamically allocated.

DNP 처리부(220)는 제1 클라이언트 통신 프로세스부(210)에서 생성된 제1 클라이언트 통신 프로세스와 데이터 통신을 위한 DNP 처리를 수행한다. 이 때, DNP는 배전자동화 시스템의 구성 요소 간 통신을 위한 통신 프로토콜로서, 비암호화 통신을 지원한다. The DNP processing unit 220 performs DNP processing for data communication with the first client communication process generated by the first client communication processing unit 210. In this case, DNP is a communication protocol for communication between components of the distribution automation system, and supports non-encrypted communication.

DNP 패킷 처리부(230)는 제1 클라이언트 통신 프로세스부(210)를 통해 송/수신될 데이터에 대한 데이터 패킷을 처리한다. 특히, DNP 패킷 처리부(230)는 단말장치의 감시/제어 명령어를 DNP 데이터로 변경한다. The DNP packet processing unit 230 processes data packets for data to be transmitted/received through the first client communication processing unit 210. In particular, the DNP packet processing unit 230 changes the monitoring/control command of the terminal device into DNP data.

통신성공률 분석부(240)는 복수의 단말장치(FRTU)(400)들 각각의 통신 성공률을 분석하여 보안장치(300)의 장애 여부를 결정한다. 즉, 통신성공률 분석부(240)는 복수의 단말장치(FRTU)(400)들 각각의 통신 성공률이 미리 설정된 보안장치(300) 장애판단 조건을 만족하는 경우 보안장치(300)에 장애가 발생한 것으로 판단한다. 그리고, 통신성공률 분석부(240)는 그 결과에 의거하여 단말장치(FRTU)(400)의 암호화 적용 여부를 결정하고, 상기 단말장치(FRTU)(400)별 암호화 적용 여부를 데이터베이스부(DB)(250)에 저장한다. The communication success rate analysis unit 240 analyzes the communication success rate of each of the plurality of terminal devices (FRTU) 400 to determine whether or not the security device 300 has a failure. That is, the communication success rate analysis unit 240 determines that a failure has occurred in the security device 300 when the communication success rate of each of the plurality of terminal devices (FRTU) 400 satisfies the preset failure determination condition of the security device 300. do. Then, the communication success rate analysis unit 240 determines whether to apply encryption of the terminal device (FRTU) 400 based on the result, and determines whether to apply encryption for each terminal device (FRTU) 400, the database unit (DB). Save to 250.

데이터베이스부(DB)(250)는 복수의 단말장치(FRTU)(400)들 각각의 통신 정보를 저장한다. 이를 위해, 데이터베이스부(DB)(250)는 도 3에 예시된 바와 같은 저장 필드들을 포함할 수 있다. 특히, 데이터베이스부(DB)(250)는 통신성공률 분석부(240)의 통신성공률 분석 결과에 의해 결정된 단말장치(FRTU)(400)들 각각의 암호화 적용 여부를 저장한다. The database unit (DB) 250 stores communication information of each of the plurality of terminal devices (FRTU) 400. To this end, the database unit (DB) 250 may include storage fields as illustrated in FIG. 3. In particular, the database unit (DB) 250 stores whether encryption is applied to each of the terminal devices (FRTU) 400 determined by the communication success rate analysis result of the communication success rate analysis unit 240.

제어부(260)는 보안장치(300)의 장애 여부에 의거하여 상기 제1 클라이언트 통신 프로세스의 연결 대상을 결정하고, 결정된 대상으로의 통신 연결을 제어한다. 예를 들어, 제어부(260)는 보안장치(300)에 장애 발생시 상기 제1 클라이언트 통신 프로세스를 단말장치(FRTU)(400)들 중 어느 하나와 직접 연결하고, 그렇지 않은 경우 상기 제1 클라이언트 통신 프로세스를 보안장치(300)와 연결하도록 제어한다. The controller 260 determines a connection target of the first client communication process based on whether or not the security device 300 has a failure, and controls a communication connection to the determined target. For example, when a failure occurs in the security device 300, the control unit 260 directly connects the first client communication process with one of the terminal devices (FRTU) 400, otherwise the first client communication process Control to connect with the security device 300.

도 4는 본 발명의 일실시 예에 따른 배전자동화 시스템의 보안장치에 대한 개략적인 블록도이다. 도 1 및 도 4를 참조하면, 본 발명의 일실시 예에 따른 배전자동화 시스템의 보안장치(300)는 제1 서버통신프로세스(310), 제2 클라이언트통신프로세스(320), DNP 처리부(330), 보안 DNP 처리부(340), TLS 처리부(350), 통신프로세스부(360) 및 공유메모리(370)를 포함한다. 4 is a schematic block diagram of a security device of a distribution automation system according to an embodiment of the present invention. 1 and 4, the security device 300 of the distribution automation system according to an embodiment of the present invention includes a first server communication process 310, a second client communication process 320, and a DNP processing unit 330. , A security DNP processing unit 340, a TLS processing unit 350, a communication process unit 360, and a shared memory 370.

제1 서버통신프로세스(310)는 통신전단처리기(FEP)(200)와 통신을 수행하기 위한 통신 프로세스로서, 비암호화 통신을 제어한다. 이 때, 제1 서버통신프로세스(310)의 통신포트는 2000+SW_ID(단말장치 식별정보)로 할당할 수 있다. The first server communication process 310 is a communication process for performing communication with the communication front end processor (FEP) 200 and controls non-encrypted communication. In this case, the communication port of the first server communication process 310 may be assigned as 2000+SW_ID (terminal device identification information).

제2 클라이언트통신프로세스(320)는 복수의 단말장치(FRTU)(400)들과 통신을 수행하기 위한 통신프로세스로서, 암호화 통신을 제어한다. 이 때, 제2 클라이언트통신 프로세스(320)의 통신포트는 동적으로 할당된다. The second client communication process 320 is a communication process for performing communication with a plurality of terminal devices (FRTU) 400 and controls encrypted communication. At this time, the communication port of the second client communication process 320 is dynamically allocated.

DNP 처리부(330)는 제1 서버통신 프로세스(310)와 데이터 통신을 위한 DNP 처리를 수행한다. 이 때, DNP는 배전자동화 시스템의 구성 요소 간 통신을 위한 통신 프로토콜로서, 비암호화 통신을 지원한다. The DNP processing unit 330 performs DNP processing for data communication with the first server communication process 310. In this case, DNP is a communication protocol for communication between components of the distribution automation system, and supports non-encrypted communication.

보안 DNP 처리부(340)는 보안이 적용된 DNP 프로토콜을 지원하기 위한 처리를 한다. 즉, 보안 DNP 처리부(340)는 복수의 단말장치(FRTU)(400)들과 암호화된 데이터를 주고받기 위한 암호화 통신을 지원하기 위한 통신 프로토콜 처리를 한다. The security DNP processing unit 340 processes to support the security-applied DNP protocol. That is, the security DNP processing unit 340 processes a communication protocol to support encrypted communication for exchanging encrypted data with a plurality of terminal devices (FRTU) 400.

TLS 처리부(350)는 인터넷 통신시, 송수신 데이터를 보호하기 위해 표준화된 암호화 프로토콜을 지원하기 위한 처리를 한다. 특히, TLS 처리부(350)는 제2 클라이언트 통신 프로세스(320)와 보안 DNP 처리부(340) 사이에서 프로토콜 처리를 수행한다. The TLS processing unit 350 performs processing to support a standardized encryption protocol to protect transmitted/received data during Internet communication. In particular, the TLS processing unit 350 performs protocol processing between the second client communication process 320 and the secure DNP processing unit 340.

통신프로세스부(360)는 제1 서버통신 프로세스(310) 및 제2 클라이언트 통신 프로세스(320)를 생성한다. 이를 위해, 통신프로세스부(360)는 도 2의 데이터베이스부(DB)(240)의 내용을 참조한다. 즉, 통신프로세스부(360)는 도 2의 데이터베이스부(DB)(240)로부터 복수의 단말장치(FRTU)(400)들 각각의 통신 정보를 읽어와서 통신전단처리기(FEP)(200)와 통신을 수행하기 위한 제1 서버통신 프로세스(310) 및 복수의 단말장치(FRTU)(400)와 통신을 수행하기 위한 제2 클라이언트 통신 프로세스(320)를 생성한다. The communication process unit 360 generates a first server communication process 310 and a second client communication process 320. To this end, the communication process unit 360 Reference is made to the contents of the database unit (DB) 240 of FIG. 2. That is, the communication process unit 360 A first server communication process for reading communication information of each of the plurality of terminal devices (FRTU) 400 from the database unit (DB) 240 of FIG. 2 and performing communication with the communication front end processor (FEP) 200 310 and a second client communication process 320 for performing communication with the plurality of terminal devices (FRTU) 400 are generated.

공유메모리(370)는 통신 프로세스부(360)에서 생성된 통신 프로세스 정보를 저장한다. 상기 통신 프로세스 정보의 예가 도 5에 예시되어 있다. 도 5는 본 발명의 일실시 예에 따른 배전자동화 시스템의 보안장치에 저장된 프로세스 통신 정보의 예를 설명하기 위한 도면으로서, 공유메모리(370)에 저장된 통신 프로세스 정보를 예시하고 있다. 이 때, 공유메모리(370)는 제1 서버통신 프로세스(310) 및 제2 클라이언트 통신 프로세스(320)의 정보를 저장하되, 암호화가 적용된 단말장치와의 통신을 수행하기 위한 정보를 저장한다. 즉, 공유메모리(370)는, 도 3의 예에서 암호화 적용여부(247) 저장 필드의 값의 ‘Y’인 단말장치와 통신을 수행하기 위한 통신 프로세스 정보를 저장한다. 이는, 암호화 적용여부(247) 저장 필드의 값의 ‘N’인 단말장치는 보안장치(300)를 거치지 않고, 통신전단처리기(FEP)(200)와 비암호화 통신을 직접 수행하기 때문이다. 도 5를 참조하면, 공유메모리(370)에는 프로세스 식별정보(371)/보안장치IP(372)/보안장치포트(Port)(373)/통신방향(374)/단말장치IP(375)/단말장치포트(Port)(376)/FEP_IP(377)/FEP_포트(Port)(378)를 저장하기 위한 필드들을 포함한다. The shared memory 370 stores communication process information generated by the communication process unit 360. An example of the communication process information is illustrated in FIG. 5. 5 is a diagram for explaining an example of process communication information stored in a security device of a distribution automation system according to an embodiment of the present invention, and illustrates communication process information stored in a shared memory 370. In this case, the shared memory 370 stores information of the first server communication process 310 and the second client communication process 320, but stores information for performing communication with a terminal device to which encryption is applied. That is, the shared memory 370 stores communication process information for performing communication with the terminal device, which is'Y' of the value of the storage field of the encryption application status 247 in the example of FIG. 3. This is because the terminal device having a value of “N” in the storage field of the encryption application status 247 directly performs non-encrypted communication with the communication front end processor (FEP) 200 without going through the security device 300. 5, the shared memory 370 includes process identification information 371 / security device IP 372 / security device port 373 / communication direction 374 / terminal device IP 375 / terminal. It includes fields for storing the device port 376/FEP_IP 377/FEP_port 378.

도 6은 본 발명의 일실시 예에 따른 배전자동화 시스템의 단말장치에 대한 개략적인 블록도이다. 도 1 및 도 6을 참조하면, 본 발명의 일실시 예에 따른 배전자동화 시스템의 단말장치(400)는 제3 서버통신프로세스부(410), 제2 서버통신프로세스부(420), TLS 처리부(430), 보안 DNP 처리부(440), DNP 처리부(450), DNP 패킷 처리부(460)를 포함한다. 6 is a schematic block diagram of a terminal device of a distribution automation system according to an embodiment of the present invention. 1 and 6, the terminal device 400 of the distribution automation system according to an embodiment of the present invention includes a third server communication process unit 410, a second server communication process unit 420, and a TLS processing unit ( 430), a security DNP processing unit 440, a DNP processing unit 450, and a DNP packet processing unit 460.

제3 서버통신프로세스부(410)는 도 2에 예시된 통신전단처리기(FEP)(200)에서 생성된 제1 클라이언트 통신 프로세스와 비암호화 통신을 수행하기 위한 제3 서버 통신 프로세스를 생성하고, 상기 제3 서버 통신 프로세스를 이용한 통신을 수행한다. 이 때, 상기 제3 서버 통신 프로세스를 이용한 통신은 도 3에 예시된 보안장치(300)에 장애가 발생한 경우 수행될 수 있다. 또한, 상기 제3 서버 통신 프로세스의 통신포트는 '1030’으로 할당할 수 있다. The third server communication process unit 410 generates a third server communication process for performing non-encrypted communication with the first client communication process generated by the communication front end processor (FEP) 200 illustrated in FIG. Communication using a third server communication process is performed. In this case, communication using the third server communication process may be performed when a failure occurs in the security device 300 illustrated in FIG. 3. In addition, the communication port of the third server communication process may be assigned as '1030'.

제2 서버통신프로세스부(420)는 도 3에 예시된 보안장치(300)에서 생성된 제2 클라이언트 통신 프로세스와 암호화 통신을 수행하기 위한 제2 서버 통신 프로세스를 생성하고, 상기 제2 서버 통신 프로세스를 이용한 통신을 수행한다. 이 때, 제2 서버통신프로세스의 통신포트는 '1040’으로 할당할 수 있다. The second server communication process unit 420 generates a second client communication process generated by the security device 300 illustrated in FIG. 3 and a second server communication process for performing encrypted communication, and the second server communication process It performs communication using. In this case, the communication port of the second server communication process may be assigned as '1040'.

TLS 처리부(430)는 인터넷 통신시, 송수신 데이터를 보호하기 위해 표준화된 암호화 프로토콜을 지원하기 위한 처리를 한다. 특히, TLS 처리부(430)는 제2 서버 통신 프로세스부(420)에서 생성된 제2 서버 통신 프로세스와 보안 DNP 처리부(440) 사이에서 프로토콜 처리를 수행한다. The TLS processing unit 430 performs processing to support a standardized encryption protocol to protect transmitted/received data during Internet communication. In particular, the TLS processing unit 430 performs protocol processing between the second server communication process generated by the second server communication processing unit 420 and the secure DNP processing unit 440.

보안 DNP 처리부(440)는 보안이 적용된 DNP 프로토콜을 지원하기 위한 처리를 한다. 즉, 보안 DNP 처리부(440)는 보안장치(300)와 암호화된 데이터를 주고받기 위한 암호화 통신을 지원하기 위한 통신 프로토콜 처리를 한다.The security DNP processing unit 440 processes to support the security-applied DNP protocol. That is, the security DNP processing unit 440 processes a communication protocol to support encrypted communication for exchanging encrypted data with the security device 300.

DNP 처리부(450)는 제3 서버통신 프로세스(410)와 데이터 통신을 위한 DNP 처리를 수행한다. 이 때, DNP는 배전자동화 시스템의 구성 요소 간 통신을 위한 통신 프로토콜로서, 비암호화 통신을 지원한다. The DNP processing unit 450 performs DNP processing for data communication with the third server communication process 410. In this case, DNP is a communication protocol for communication between components of the distribution automation system, and supports non-encrypted communication.

DNP 패킷 처리부(460)는 DNP 처리부(450)를 통해 전달된 DNP 데이터 패킷을 단말장치(400)의 감시 및 제어 명령어로 변경한다. The DNP packet processing unit 460 converts the DNP data packet transmitted through the DNP processing unit 450 into a monitoring and control command of the terminal device 400.

도 7은 본 발명의 일실시 예에 따른 배전자동화 시스템의 보안 통신 방법에 대한 개략적인 처리 흐름도이다. 도 1 및 도 7을 참조하면, 본 발명의 일실시 예에 따른 배전자동화 시스템의 보안 통신 방법은 다음과 같다. 7 is a schematic flowchart of a secure communication method of a distribution automation system according to an embodiment of the present invention. 1 and 7, a method of secure communication of a distribution automation system according to an embodiment of the present invention is as follows.

먼저, 단계 S100에서는, 배전자동화 시스템의 통신전단처리기(FEP)(200)와 단말장치(400) 사이에 보안장치(300)를 경유하는 암호화 경로(A, B) 및 상기 보안장치(300)를 경유하지 않는 비암호화 경로(C)를 구축한다. 이 때, 단계 S100는 각 장치들의 통신 프로세스를 통해 상기 경로들(A, B, C)을 구축할 수 있다. 예를 들어, 도 2 내지 도 6을 참조한 설명에서 언급된 바와 같이, 각 장치들이 통신 프로세스들을 생성하고, 각 통신 프로세스들간 통신포트를 연결함으로써, 상기 경로들(A, B, C)을 구축할 수 있다. First, in step S100, an encryption path (A, B) passing through the security device 300 and the security device 300 between the communication front end processor (FEP) 200 and the terminal device 400 of the distribution automation system. Establish a non-encrypted path (C) that does not go through. In this case, in step S100, the paths A, B, and C may be established through a communication process of each device. For example, as mentioned in the description with reference to FIGS. 2 to 6, each device creates communication processes and connects communication ports between the communication processes, thereby establishing the paths (A, B, C). I can.

단계 S200에서는, 통신전단처리기(FEP)(200)와 단말장치(400)가 암호화 통신을 수행한다. 즉, 단계 S200에서는, 통신전단처리기(FEP)(200)와 단말장치(400)가 단계 S100에서 구축된 통신 경로들 중 보안장치(300)를 경유하는 암호화 경로(A, B)를 이용하여 통신을 수행한다. 이 때, 상기 암호화 경로에 포함된 통신경로(A)는 통신전단처리기(FEP)(200)와 보안장치(300)가 비암호화 통신을 수행하는 경로이고, 통신경로(B)는 보안장치(300)와 단말장치(400)가 암호화 통신을 수행하는 경로이다. In step S200, the communication front end processor (FEP) 200 and the terminal device 400 perform encrypted communication. That is, in step S200, the communication preprocessor (FEP) 200 and the terminal device 400 communicate using encryption paths (A, B) through the security device 300 among the communication paths established in step S100. Perform. At this time, the communication path (A) included in the encryption path is a path through which the communication front end processor (FEP) 200 and the security device 300 perform non-encrypted communication, and the communication path (B) is the security device 300 ) And the terminal device 400 perform encrypted communication.

따라서, 단계 S200에서는, 먼저, 통신전단처리기(FEP)(200)와 보안 장치(300)간 비암호화 통신을 수행하기 위한 통신 프로세스(P1)를 생성하고, 상기 통신 프로세스(P1)를 통한 통신을 수행한다. 이 때, 상기 통신 프로세스(P1)는, 통신전단처리기(FEP)(200)가 생성한 제1 클라이언트 통신 프로세서와, 보안장치(300)가 생성한 제1 서버 통신 프로세서일 수 있다. 또한, 단계 S200에서는, 보안장치(300)와 단말장치(400)간 암호화 통신을 수행하기 위한 통신 프로세스(P2)를 생성하고, 상기 통신 프로세스(P2)를 통한 통신을 수행한다. 이 때, 상기 통신 프로세스(P2)는, 보안장치(300)가 생성한 제2 클라이언트 통신 프로세서와, 단말장치(FRTU)(400)가 생성한 제2 서버 통신 프로세서일 수 있다. Therefore, in step S200, first, a communication process P1 for performing non-encrypted communication between the communication preprocessor (FEP) 200 and the security device 300 is generated, and communication through the communication process P1 is performed. Carry out. In this case, the communication process P1 may be a first client communication processor generated by the communication preprocessor (FEP) 200 and a first server communication processor generated by the security device 300. In addition, in step S200, a communication process P2 for performing encrypted communication between the security device 300 and the terminal device 400 is generated, and communication through the communication process P2 is performed. In this case, the communication process P2 may be a second client communication processor generated by the security device 300 and a second server communication processor generated by the terminal device (FRTU) 400.

이러한 단계 S200에 대한 보다 구체적인 처리 과정의 예가 도 8에 예시되어 있다. 도 8은 본 발명의 일실시 예에 따른 암호화 통신과정에 대한 개략적인 처리 흐름도로서, 특히, 상기 암호화 통신을 위한 통신 프로세스 생성 과정의 예를 나타내고 있다. 도 1 및 도 8을 참조하면, 보안장치가 새롭게 실행되거나, 신규단말장치가 추가되거나, 기존단말장치의 암호화 적용 여부가 변경된 경우, 단계 S210에서는, 통신전단처리기(FEP)(200)가 내부 데이터베이스에 기 저장된 단말장치(400)의 통신정보를 보안장치(300)로 전송한다. 단계 S220에서는, 보안장치(300)가 수신된 단말장치(400)의 통신정보를 분석한다. 단계 S230에서는, 단계 S220의 분석 결과, 해당 단말장치(400)에 암호화가 적용되었는지 여부를 결정한다. An example of a more specific processing process for this step S200 is illustrated in FIG. 8. 8 is a schematic flowchart of an encrypted communication process according to an embodiment of the present invention, and particularly, shows an example of a communication process generation process for the encrypted communication. 1 and 8, when a security device is newly executed, a new terminal device is added, or whether encryption is applied to an existing terminal device is changed, in step S210, the communication front end processor (FEP) 200 is The communication information stored in the terminal device 400 is transmitted to the security device 300. In step S220, the security device 300 analyzes the received communication information of the terminal device 400. In step S230, it is determined whether encryption is applied to the corresponding terminal device 400 as a result of the analysis in step S220.

단계 S240에서는, 해당 단말장치(400)에 암호화가 적용된 것으로 결정된 경우, 통신 프로세스를 생성한다. 이 때, 생성된 통신 프로세스는 통신전단처리기(FEP)(200)가 생성한 제1 클라이언트 통신 프로세서 및 보안장치(300)가 생성한 제1 서버 통신 프로세서, 또한, 보안장치(300)가 생성한 제2 클라이언트 통신 프로세서 및 단말장치(FRTU)(400)가 생성한 제2 서버 통신 프로세서일 수 있다. In step S240, when it is determined that encryption is applied to the corresponding terminal device 400, a communication process is generated. At this time, the generated communication process is the first client communication processor generated by the communication front processing unit (FEP) 200 and the first server communication processor generated by the security device 300, and the security device 300 It may be a second client communication processor and a second server communication processor generated by the terminal device (FRTU) 400.

단계 S250에서는, 상기 생성된 통신 프로세스들을 보안장치(300)에 내장된 공유 메모리에 저장한다. In step S250, the generated communication processes are stored in a shared memory built into the security device 300.

다시 도 1 및 도 7을 참조하면, 단계 S200에서 암호화 통신이 수행되는 동안, 단계 S300에서는, 통신전단처리기(FEP)(200)가 암호화 경로의 통신상태를 모니터링하여 보안장치(300)의 장애 여부를 결정한다. Referring back to FIGS. 1 and 7, while encryption communication is performed in step S200, in step S300, the communication front end processor (FEP) 200 monitors the communication state of the encryption path to determine whether the security device 300 has failed. Decide.

이러한 단계 S300에 대한 보다 구체적인 처리 과정의 예가 도 9에 예시되어 있다. 도 9는 본 발명의 일실시 예에 따른 모니터링 과정에 대한 개략적인 처리 흐름도로서, 도 1 및 도 9를 참조하면, 상기 암호화 경로의 통신상태를 모니터링하기 위해, 단계 S310에서는, 먼저, 통신성공률을 초기화한다. 즉, 통신전단처리기(FEP)(200)에 연결된 복수의 단말장치(FRTU)(400)들 모두에 대하여 통신성공률을 초기화한다. 단계 S320에서는, 통신전단처리기(FEP)(200)가 상기 복수의 단말장치(FRTU)(400)들 모두에 대하여 미리 설정된 일정 시간(예컨대, 2분) 동안 통신 성공률을 수집한다. 그리고, 통신전단처리기(FEP)(200)는 단계 S330 내지 단계 S380을 거치면서, 상기 통신 성공률이 미리 설정된 장애 판단 기준을 만족하는 지 여부를 결정하고, 그 결과에 따라 보안장치(300)의 장애 여부를 결정할 수 있다. An example of a more specific processing process for this step S300 is illustrated in FIG. 9. 9 is a schematic flowchart of a monitoring process according to an embodiment of the present invention. Referring to FIGS. 1 and 9, in order to monitor the communication state of the encryption path, in step S310, first, a communication success rate is calculated. Initialize. That is, the communication success rate is initialized for all of the plurality of terminal devices (FRTU) 400 connected to the communication front end processor (FEP) 200. In step S320, the communication front-end processor (FEP) 200 collects a communication success rate for a predetermined time (eg, 2 minutes) for all of the plurality of terminal devices (FRTU) 400. In addition, the communication front end processor (FEP) 200 determines whether the communication success rate satisfies a preset failure determination criterion through steps S330 to S380, and the failure of the security device 300 according to the result. You can decide whether or not.

단계 S330에서는, 통신전단처리기(FEP)(200)가 암호화 적용 여부에 따른 통신 성공률을 분석하고, 단계 S340에서는, 상기 분석 결과 암호화 적용 통신 성공률이 0%인지 여부를 결정한다. In step S330, the communication front end processor (FEP) 200 analyzes a communication success rate according to whether or not encryption is applied, and in step S340, it is determined whether the encryption application communication success rate is 0% as a result of the analysis.

단계 S340의 결과 상기 분석 결과 암호화 적용 통신 성공률이 0%인 경우, 단계 S350에서는, 암호화 미적용 통신 성공률이 50%이상인지, 또는 암호화 미적용 부재인지 여부를 결정한다. As a result of step S340, when the analysis result of the encryption applied communication success rate is 0%, in step S350, it is determined whether the encryption non-applied communication success rate is 50% or more, or whether the encryption is not applied.

단계 S360에서는, 통신전단처리기(FEP)(200)가 암호화 미적용 통신 성공률이 50%이상이거나, 암호화 미적용 부재인 경우 비암호화 통신을 체크한다. In step S360, the FEP 200 checks the non-encrypted communication when the encryption non-applied communication success rate is 50% or more or the encryption is not applied.

단계 S370에서는, 통신성공률이 80%이상인지 여부를 결정하고, 단계 S380에서는, 통신성공률이 80%이상인 경우 보안장치 장애를 판단한다. In step S370, it is determined whether the communication success rate is 80% or more, and in step S380, when the communication success rate is 80% or more, a security device failure is determined.

다시 도 1 및 도 7을 참조하면, 단계 S400에서는, 단계 S300의 모니터링 결과에 의거하여, 보안장치(300)의 장애 여부를 결정한다. 그리고, 보안장치(300)에 장애가 발생한 경우, 단계 S500에서는, 비암호화 통신을 수행한다. 즉, 단계 S500에서는, 통신전단처리기(FEP)(200)와 단말장치(400)간 비암호화 경로를 이용한 비암호화 통신을 수행한다. 이를 위해, 단계 S500에서는, 통신전단처리기(FEP)(200)와 단말장치(FRTU)(400)들 사이에 비암호화 통신을 수행하기 위한 통신 프로세스를 생성할 수 있다. 이 때, 상기 비암호화 통신을 수행하기 위한 통신 프로세스는 통신전단처리기(FEP)(200)가, 복수의 단말장치(FRTU)(400)들과 비암호화 통신을 수행하기 위해 생성한 제1 클라이언트 통신 프로세서 또는 복수의 단말장치(FRTU)(400)들 각각이, 통신전단처리기(FEP)(200)와 비암호화 통신을 수행하기 위해 생성한 제3 서버 통신 프로세서일 수 있다. Referring back to FIGS. 1 and 7, in step S400, it is determined whether or not the security device 300 has a failure based on the monitoring result of step S300. Then, when a failure occurs in the security device 300, in step S500, non-encryption communication is performed. That is, in step S500, non-encrypted communication is performed using a non-encrypted path between the communication front processor (FEP) 200 and the terminal device 400. To this end, in step S500, a communication process for performing non-encrypted communication between the communication front processor (FEP) 200 and the terminal device (FRTU) 400 may be generated. At this time, the communication process for performing the non-encrypted communication is the first client communication generated by the communication front processor (FEP) 200 to perform non-encrypted communication with a plurality of terminal devices (FRTU) 400 Each of the processor or the plurality of terminal devices (FRTU) 400 may be a third server communication processor generated to perform non-encrypted communication with the communication front processor (FEP) 200.

도 10은 본 발명의 일실시 예에 따른 배전자동화 시스템의 통신프로세스 연 관계를 설명하기 위한 도면이다. 도 10을 참조하면, 통신전단처리기(FEP)(200)는 통신 포트가 동적으로 할당되는 클라이언트 통신 프로세스(210)를 포함하고, 보안장치(300)는 통신 포트가 '2000 + 단말장치 식별정보’로 할당되는 서버통신 프로세스(310) 및 통신포트가 동적으로 할당되는 클라이언트 통신 프로세스(320)를 포함하고, 단말장치(400)는 통신 포트가 비암호화 포트(1030)으로 고정된 서버통신 프로세스(410) 및 통신 포트가 암호화 포트(1040)으로 고정된 서버통신 프로세스(420)를 포함한다. 10 is a view for explaining a communication process connection relationship of the distribution automation system according to an embodiment of the present invention. Referring to FIG. 10, a communication preprocessor (FEP) 200 includes a client communication process 210 in which a communication port is dynamically allocated, and the security device 300 has a communication port of '2000 + terminal device identification information'. A server communication process 310 that is assigned to and a client communication process 320 to which a communication port is dynamically assigned, and the terminal device 400 includes a server communication process 410 in which the communication port is fixed to the non-encryption port 1030. ) And a server communication process 420 in which the communication port is fixed to the encryption port 1040.

먼저, 보안장치(300)에 장애가 발생하지 않은 경우, 통신전단처리기(FEP) (200)는 클라이언트 통신 프로세스(210)를 통해 보안장치(300)의 서버통신 프로세스(310)와 비암호화 통신(A)을 수행하고, 보안장치(300)는 클라이언트 통신 프로세스(320)를 통해 단말장치(400)의 서버통신 프로세스(420)와 암호화 통신(B)을 수행한다. 즉, 상기 경우, 통신전단처리기(FEP)(200)는 보안장치(300)를 경유하는 암호화 경로(A, B)를 통해 단말장치(400)와 암호화 통신을 수행한다. First, if a failure has not occurred in the security device 300, the communication preprocessor (FEP) 200 uses the server communication process 310 of the security device 300 and the non-encrypted communication (A) through the client communication process 210. ), and the security device 300 performs encryption communication (B) with the server communication process 420 of the terminal device 400 through the client communication process 320. That is, in this case, the communication front end processor (FEP) 200 performs encrypted communication with the terminal device 400 through the encryption paths A and B passing through the security device 300.

한편, 보안장치(300)에 장애가 발생한 경우, 통신전단처리기(FEP)(200)는 클라이언트 통신 프로세스(210)를 통해 단말장치(400)의 서버통신 프로세스(410)와 비암호화 통신(C)을 수행한다.On the other hand, when a failure occurs in the security device 300, the communication preprocessor (FEP) 200 performs the server communication process 410 and the non-encrypted communication (C) of the terminal device 400 through the client communication process 210. Carry out.

이와 같이, 본 발명은 보안장치(300)에 발생된 장애로 인한 통신 오류를 최소화할 수 있는 장점이 있다. As described above, the present invention has an advantage of minimizing communication errors due to a failure occurring in the security device 300.

상술한 예시적인 시스템에서, 방법들은 일련의 단계 또는 블록으로써 순서도를 기초로 설명되고 있지만, 본 발명은 단계들의 순서에 한정되는 것은 아니며, 어떤 단계는 상술한 바와 다른 단계와 다른 순서로 또는 동시에 발생할 수 있다. In the exemplary system described above, the methods are described on the basis of a flowchart as a series of steps or blocks, but the present invention is not limited to the order of steps, and certain steps may occur in a different order or concurrently with the steps described above. I can.

또한, 당업자라면 순서도에 나타낸 단계들이 배타적이지 않고, 다른 단계가 포함되거나 순서도의 하나 또는 그 이상의 단계가 본 발명의 범위에 영향을 미치지 않고 삭제될 수 있음을 이해할 수 있을 것이다.In addition, those skilled in the art will appreciate that the steps shown in the flowchart are not exclusive, other steps may be included, or one or more steps in the flowchart may be deleted without affecting the scope of the present invention.

Claims (12)

배전자동화 시스템에 있어서,
배전선로의 상태를 감시하고, 측정하며, 측정된 데이터를 원격으로 전송하는 복수의 단말장치(FRTU)들;
상기 복수의 단말장치(FRTU)들이 획득한 정보를 취합, 관리, 저장하는 통신전단처리기(FEP);
상기 통신전단처리기(FEP)에서 수집된 정보들에 의거하여 상기 복수의 단말장치(FRTU)들을 감시 및 제어 하는 서버; 및
상기 통신전단처리기(FEP)와 상기 복수의 단말장치(FRTU)들 사이에서 데이터 전달을 수행하되, 상기 통신전단처리기(FEP)로부터 상기 복수의 단말장치(FRTU)들로 전달되는 신호에 대한 암호화를 수행하고, 상기 복수의 단말장치(FRTU)들로부터 상기 통신전단처리기(FEP)로 전달되는 신호에 대한 복호화를 수행하는 보안장치를 포함하되,
상기 통신전단처리기(FEP)는
상기 보안장치의 장애여부를 모니터링하고, 상기 보안장치에 장애 발생시 상기 복수의 단말장치(FRTU)들과 직접 비암호화 통신을 수행하는 것을 특징으로 하는 배전자동화 시스템.In the distribution automation system,
A plurality of terminal devices (FRTU) for monitoring the state of the distribution line, measuring, and remotely transmitting the measured data;
A communication front end processor (FEP) for collecting, managing, and storing information acquired by the plurality of terminal devices (FRTU);
A server that monitors and controls the plurality of terminal devices (FRTU) based on information collected by the communication front end processor (FEP); And
Performs data transfer between the communication front processor (FEP) and the plurality of terminal devices (FRTU), but encrypts the signal transmitted from the communication front processor (FEP) to the plurality of terminal devices (FRTU) And a security device that decodes a signal transmitted from the plurality of terminal devices (FRTU) to the communication front end processor (FEP),
The communication shear processor (FEP) is
A distribution automation system, characterized in that it monitors whether the security device has a failure, and directly performs non-encryption communication with the plurality of terminal devices (FRTU) when a failure occurs in the security device. 제1항에 있어서, 상기 통신전단처리기(FEP)는
상기 복수의 단말장치(FRTU)들 각각의 통신 성공률을 분석하여 상기 보안장치의 장애 여부를 결정하는 통신성공률 분석부;
상기 복수의 단말장치(FRTU)들 각각의 통신 정보를 저장하는 데이터베이스부;
상기 데이터베이스 정보를 이용하여 상기 보안장치 또는 상기 복수의 단말장치(FRTU)들과 비암호화 통신을 수행하기 위한 제1 클라이언트 통신 프로세스를 생성하고, 상기 제1 클라이언트 통신 프로세스를 이용한 통신을 수행하는 제1 통신 프로세스부; 및
상기 보안장치의 장애 여부에 의거하여 상기 제1 클라이언트 통신 프로세스를 상기 보안장치 또는 상기 복수의 단말장치(FRTU)들 중 어느 하나로 연결하는 제어부를 포함하는 것을 특징으로 하는 배전자동화 시스템.The method of claim 1, wherein the communication front end processor (FEP) is
A communication success rate analyzer configured to determine whether or not the security device has failed by analyzing a communication success rate of each of the plurality of terminal devices (FRTU);
A database unit for storing communication information of each of the plurality of terminal devices (FRTU);
A first for generating a first client communication process for performing non-encrypted communication with the security device or the plurality of terminal devices (FRTU) using the database information, and performing communication using the first client communication process Communication process unit; And
And a control unit for connecting the first client communication process to the security device or one of the plurality of terminal devices (FRTU) based on whether the security device has a failure. 제2항에 있어서, 상기 보안장치는
상기 데이터베이스부로부터 상기 복수의 단말장치(FRTU)들 각각의 통신 정보를 읽어와서 상기 통신전단처리기(FEP) 및 상기 복수의 단말장치(FRTU)들과 통신을 수행하기 위한 각각의 통신 프로세스를 생성하고, 상기 통신 프로세스들을 이용한 통신을 수행하는 제2 통신 프로세스부;
상기 제2 통신 프로세스부에서 생성된 통신 프로세스 정보를 저장하는 메모리부; 및
상기 복수의 단말장치(FRTU)들과 암호화된 데이터를 주고받기 위한 제1 암호화 통신 프로토콜처리부를 포함하는 것을 특징으로 하는 배전자동화 시스템.The method of claim 2, wherein the security device
By reading communication information of each of the plurality of terminal devices (FRTU) from the database unit, each communication process for performing communication with the communication front processor (FEP) and the plurality of terminal devices (FRTU) is created, and And a second communication process unit for performing communication using the communication processes;
A memory unit for storing communication process information generated by the second communication process unit; And
And a first encrypted communication protocol processor for exchanging encrypted data with the plurality of terminal devices (FRTU). 제3항에 있어서, 상기 제2 통신 프로세스부는
상기 통신전단처리기(FEP)와 비암호화 통신을 수행하기 위한 제1 서버 통신 프로세스 또는 상기 복수의 단말장치(FRTU)들과 암호화 통신을 수행하기 위한 제2 클라이언트 통신 프로세스를 생성하는 것을 특징으로 하는 배전자동화 시스템.The method of claim 3, wherein the second communication process unit
And generating a first server communication process for performing non-encrypted communication with the communication front processor (FEP) or a second client communication process for performing encrypted communication with the plurality of terminal devices (FRTU) Automation system. 제4항에 있어서, 상기 복수의 단말장치(FRTU)들 각각은
상기 보안장치에 포함된 제2 클라이언트 통신 프로세스와 암호화 통신을 수행하기 위한 제2 서버 통신 프로세스를 생성하고 상기 제2 서버 통신 프로세스를 이용한 통신을 수행하는 제2 서버 통신 프로세스부;
상기 제2 서버 통신 프로세스를 통해 암호화 통신을 수행하기 위한 제2 암호화 통신 프로토콜 처리부; 및
상기 통신전단처리기(FEP)에 포함된 제1 클라이언트 통신 프로세스와 비암호화 통신을 수행하기 위한 제3 서버 통신 프로세스를 생성하고 상기 제3 서버 통신 프로세스를 이용한 통신을 수행하는 제3 서버 통신 프로세스부를 포함하는 것을 특징으로 하는 배전자동화 시스템.The method of claim 4, wherein each of the plurality of terminal devices (FRTU)
A second server communication process unit generating a second server communication process for performing encrypted communication with a second client communication process included in the security device and performing communication using the second server communication process;
A second encrypted communication protocol processing unit for performing encrypted communication through the second server communication process; And
Including a third server communication process unit for generating a third server communication process for performing non-encrypted communication with the first client communication process included in the communication preprocessor (FEP) and performing communication using the third server communication process Distribution automation system, characterized in that. 배전자동화 시스템의 통신전단처리기(FEP)와 단말장치 사이에 보안장치를 경유하는 암호화 경로 및 상기 보안장치를 경유하지 않는 비암호화 경로를 구축하는 경로구축단계;
상기 암호화 경로를 이용하여 통신을 수행하는 암호화 통신 단계;
상기 암호화 경로의 통신상태를 모니터링하여 상기 보안장치의 장애 여부를 결정하는 모니터링 단계; 및
상기 보안장치의 장애 발생에 응답하여, 상기 암호화 경로를 이용한 통신을 중단하고 상기 비암호화 경로로 통신을 수행하는 비암호화 통신 단계를 포함하는 것을 특징으로 하는 배전자동화 시스템을 이용한 보안 통신 방법.A path construction step of establishing an encryption path passing through a security device and a non-encryption path not passing through the security device between a communication shear processor (FEP) of a distribution automation system and a terminal device;
An encrypted communication step of performing communication using the encryption path;
A monitoring step of monitoring a communication state of the encryption path to determine whether or not the security device has failed; And
And a non-encryption communication step of stopping communication using the encryption path and performing communication through the non-encryption path in response to the occurrence of a failure of the security device. 제6항에 있어서, 상기 암호화 통신 단계는
상기 통신전단처리기(FEP)와 상기 보안 장치간 비암호화 통신을 수행하기 위한 통신 프로세스를 생성하는 제1 비암호화 통신 프로세스 생성단계; 및
상기 보안장치와 상기 복수의 단말장치(FRTU)들 사이에 암호화 통신을 수행하기 위한 통신 제1 암호화 통신 프로세스 생성단계를 포함하는 것을 특징으로 하는 배전자동화 시스템을 이용한 보안 통신 방법.The method of claim 6, wherein the encryption communication step
A first non-encrypted communication process generating step of generating a communication process for performing non-encrypted communication between the communication front processor (FEP) and the security device; And
And generating a first encrypted communication process for performing encrypted communication between the security device and the plurality of terminal devices (FRTU). 제7항에 있어서, 상기 제1 비암호화 통신 프로세스 생성단계는
상기 통신전단처리기(FEP)가, 상기 보안장치와 비암호화 통신을 수행하기 위한, 제1 클라이언트 통신 프로세서를 생성하는 제1-1 비암호화 통신 프로세스 생성단계; 및
상기 보안장치가, 상기 통신전단처리기(FEP)와 비암호화 통신을 수행하기 위한, 제1 서버 통신 프로세서를 생성하는 제1-2 비암호화 통신 프로세스 생성 단계를 포함하는 것을 특징으로 하는 배전자동화 시스템을 이용한 보안 통신 방법.The method of claim 7, wherein the step of generating the first non-encrypted communication process
A first-first non-encryption communication process generation step of generating, by the communication front end processor (FEP), a first client communication processor for performing non-encryption communication with the security device; And
The security device includes a 1-2 non-encrypted communication process generating step of generating a first server communication processor for performing non-encrypted communication with the communication front processing unit (FEP). Secure communication method used. 제7항에 있어서, 상기 제1 암호화 통신 프로세스 생성단계는
상기 보안장치가, 상기 복수의 단말장치(FRTU)들과 암호화 통신을 수행하기 위한, 제2 클라이언트 통신 프로세서를 생성하는 제1-1 암호화 통신 프로세스 생성 단계; 및
상기 복수의 단말장치(FRTU)들 각각이, 상기 보안장치와 암호화 통신을 수행하기 위한, 제2 서버 통신 프로세서를 생성하는 제1-2 암호화 통신 프로세스 생성 단계를 포함하는 것을 특징으로 하는 배전자동화 시스템을 이용한 보안 통신 방법.The method of claim 7, wherein the step of generating the first encrypted communication process
A first-first encrypted communication process generating step of generating, by the security device, a second client communication processor for performing encrypted communication with the plurality of terminal devices (FRTU); And
And a 1-2 encrypted communication process generation step of generating a second server communication processor for each of the plurality of terminal devices (FRTU) to perform encrypted communication with the security device. Secure communication method using. 제6항에 있어서, 상기 모니터링 단계는
상기 통신전단처리기(FEP)가 상기 복수의 단말장치(FRTU)들 모두에 대하여 미리 설정된 일정 시간 동안 통신 성공률을 수집하는 통신 성공률 수집단계; 및
상기 통신 성공률이 미리 설정된 장애 판단 기준을 만족하는 지 여부에 따라 상기 보안장치의 장애 여부를 결정하는 장애결정단계를 포함하는 것을 특징으로 하는 배전 자동화 시스템을 이용한 보안 통신 방법.The method of claim 6, wherein the monitoring step
A communication success rate collecting step of collecting, by the communication front-end processor (FEP), a communication success rate for a predetermined period of time set in advance for all of the plurality of terminal devices (FRTU); And
And a failure determination step of determining whether the security device has a failure according to whether the communication success rate satisfies a predetermined failure determination criterion. 제6항에 있어서, 상기 비암호화 통신단계는
상기 통신전단처리기(FEP)와 상기 복수의 단말장치(FRTU)들 사이에 비암호화 통신을 수행하기 위한 통신 프로세스를 생성하는 제2 비암호화 통신 프로세스 생성 단계를 포함하는 것을 특징으로 하는 배전 자동화 시스템을 이용한 보안 통신 방법.The method of claim 6, wherein the non-encryption communication step
A distribution automation system comprising the step of creating a second non-encrypted communication process for generating a communication process for performing non-encrypted communication between the communication front processor (FEP) and the plurality of terminal devices (FRTU). Secure communication method used. 제11항에 있어서, 상기 제2 비암호화 통신 프로세스 생성 단계는
상기 통신전단처리기(FEP)가, 상기 복수의 단말장치(FRTU)들과 비암호화 통신을 수행하기 위한, 제1 클라이언트 통신 프로세서를 생성하는 제2-1 비암호화 통신 프로세스 생성단계; 및
상기 복수의 단말장치(FRTU)들 각각이, 상기 통신전단처리기(FEP)와 비암호화 통신을 수행하기 위한, 제3 서버 통신 프로세서를 생성하는 제2-2 비암호화 통신 프로세스 생성단계를 포함하는 것을 특징으로 하는 배전자동화 시스템을 이용한 보안 통신 방법.The method of claim 11, wherein the step of generating the second non-encrypted communication process comprises:
A 2-1 non-encryption communication process generation step of generating a first client communication processor for performing non-encryption communication with the plurality of terminal devices (FRTU), by the communication front processing unit (FEP); And
Each of the plurality of terminal devices (FRTU) includes a 2-2 non-encrypted communication process generating step of generating a third server communication processor for performing non-encrypted communication with the communication front processing unit (FEP). A secure communication method using a distribution automation system, characterized in that.
KR1020190143500A 2019-11-11 2019-11-11 Distributive automation system and method for communicating securely using the thereof KR102300369B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190143500A KR102300369B1 (en) 2019-11-11 2019-11-11 Distributive automation system and method for communicating securely using the thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190143500A KR102300369B1 (en) 2019-11-11 2019-11-11 Distributive automation system and method for communicating securely using the thereof

Publications (2)

Publication Number Publication Date
KR20210056727A true KR20210056727A (en) 2021-05-20
KR102300369B1 KR102300369B1 (en) 2021-09-08

Family

ID=76142982

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190143500A KR102300369B1 (en) 2019-11-11 2019-11-11 Distributive automation system and method for communicating securely using the thereof

Country Status (1)

Country Link
KR (1) KR102300369B1 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090026481A (en) * 2007-09-10 2009-03-13 에스케이 텔레콤주식회사 Server device for roaming packet data service, system and method
KR20140110395A (en) * 2013-03-07 2014-09-17 재단법인 국제도시물정보과학연구원 A Telemetering System transmitting encoded data
KR101538147B1 (en) 2014-04-23 2015-07-22 한전케이디엔주식회사 Distributive automation system applied to security module and method using the thereof
KR101847636B1 (en) * 2016-03-14 2018-04-10 주식회사 수산아이앤티 Method and apprapatus for watching encrypted traffic

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090026481A (en) * 2007-09-10 2009-03-13 에스케이 텔레콤주식회사 Server device for roaming packet data service, system and method
KR20140110395A (en) * 2013-03-07 2014-09-17 재단법인 국제도시물정보과학연구원 A Telemetering System transmitting encoded data
KR101538147B1 (en) 2014-04-23 2015-07-22 한전케이디엔주식회사 Distributive automation system applied to security module and method using the thereof
KR101847636B1 (en) * 2016-03-14 2018-04-10 주식회사 수산아이앤티 Method and apprapatus for watching encrypted traffic

Also Published As

Publication number Publication date
KR102300369B1 (en) 2021-09-08

Similar Documents

Publication Publication Date Title
US8997202B2 (en) System for secure transfer of information from an industrial control system network
JP2013218735A (en) Information collecting system
CN103782566A (en) Communication protocols
JP2010524364A (en) Communication method and apparatus for efficient and secure transmission of TT Ethernet messages
CN101278521A (en) Stateless bi-directional proxy
KR20190136712A (en) Stand alone Gateway for Controlling Internet of Things Device
CN103262046A (en) Server management apparatus, server management method, and program
JP2018501737A (en) Bidirectional forwarding detection through network virtualization using generic routing encapsulation
US11882100B2 (en) Communication control device and communication system
US9280426B2 (en) System and method for server redundancy
US20150236920A1 (en) Method and apparatus for determining connection information of a link
CA2851484A1 (en) Process installation network intrusion detection and prevention
US20180324063A1 (en) Cloud-based system for device monitoring and control
JP4964666B2 (en) Computer, program and method for switching redundant communication paths
KR102300369B1 (en) Distributive automation system and method for communicating securely using the thereof
EP3979078B1 (en) System and method for secure connections in a high availability industrial controller
US20200128041A1 (en) Method and device for monitoring data communications
US20060215525A1 (en) Communication apparatus and program provided with failure determining method and function
WO2023124127A1 (en) Communication connection method, apparatus and device for host and storage system, and medium
JP4992573B2 (en) Layer 2 switch, communication device, data section error detection method used therefor, and program thereof
JP2005258632A (en) Conduction confirmation method of network storage device, and host computer
US8769062B2 (en) Determining a network address for managed devices to use to communicate with manager server in response to a change in a currently used network address
KR102090137B1 (en) Apparatus for remotely managing power
KR20180137827A (en) OPC-UA based facility status monitoring system
KR100967885B1 (en) Watchdog apparatus of a distributing control system and method for controlling a status using the same

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant