KR20210056727A - Distributive automation system and method for communicating securely using the thereof - Google Patents
Distributive automation system and method for communicating securely using the thereof Download PDFInfo
- Publication number
- KR20210056727A KR20210056727A KR1020190143500A KR20190143500A KR20210056727A KR 20210056727 A KR20210056727 A KR 20210056727A KR 1020190143500 A KR1020190143500 A KR 1020190143500A KR 20190143500 A KR20190143500 A KR 20190143500A KR 20210056727 A KR20210056727 A KR 20210056727A
- Authority
- KR
- South Korea
- Prior art keywords
- communication
- security device
- frtu
- encrypted
- fep
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/12—Arrangements for remote connection or disconnection of substations or of equipment thereof
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0654—Management of faults, events, alarms or notifications using network fault recovery
- H04L41/0659—Management of faults, events, alarms or notifications using network fault recovery by isolating or reconfiguring faulty entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0805—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Environmental & Geological Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
Description
본 발명은 배전자동화 시스템 및 이를 이용한 보안 통신 방법에 관한 것으로서, 보다 상세하게는, 보안 모듈이 적용된 배전자동화 시스템에서 보안 모듈의 장애로 인한 통신 오류를 방지하는 배전자동화 시스템 및 이를 이용한 보안 통신 방법에 관한 것이다.The present invention relates to a distribution automation system and a security communication method using the same, and more particularly, to a distribution automation system that prevents communication errors due to failure of a security module in a distribution automation system to which a security module is applied, and a security communication method using the same. About.
배전 자동화 시스템(Distributive on Automation System, DAS)은 안정적인 전력 공급을 위한 배전 계통의 자동화 시스템으로서, 배전선로 곳곳에 원격 감시가 가능한 센서 및 원격조작이 가능한 자동화 개폐기들을 설치하고, 이를 중앙 제어 컴퓨터에 의하여 원격 감시 및 조작하는 시스템을 말한다.Distributive on Automation System (DAS) is an automation system of the distribution system for stable power supply, and sensors capable of remote monitoring and automatic switchgear capable of remote operation are installed throughout the distribution line. It refers to a system that monitors and operates remotely.
그런데, 이러한 배전자동화 시스템은, 상기 센서 및 자동화 개폐기들과 원격지에 위치한 중앙 제어 컴퓨터 사이에 암호화가 적용되지 않아, 공격자가 통신 내용을 도청 및 위/변조하여 배전망을 마비시킬 수 있는 위험이 존재한다. However, in such a distribution automation system, since encryption is not applied between the sensor and the automatic switchgear and the central control computer located in a remote location, there is a risk that an attacker may paralyze the distribution network by eavesdropping and forgery/modifying communication contents. do.
따라서 배전 자동화 시스템의 보안 문제가 중요시되고 있으며, 이로 인해, 상기 배전 자동화 시스템의 보안을 강화하기 위한 다양한 기술들이 개발되고 있다. 특히, 서버와 통신전단처리기(Front End Processor, FEP) 사이 및/또는 통신장치와 단말장치장치(Feeder Remote Terminal Unit, FRTU) 사이에 보안모듈을 구비함으로써, 배전자동화 시스템의 보안을 강화시키는 장치 및 방법들이 개발되었다.Therefore, the security problem of the distribution automation system is being emphasized, and for this reason, various technologies have been developed to reinforce the security of the distribution automation system. In particular, by providing a security module between a server and a front end processor (FEP) and/or between a communication device and a terminal device (Feeder Remote Terminal Unit, FRTU), a device that enhances the security of the distribution automation system and Methods were developed.
그런데, 이러한 종래의 장치 및 방법들은 상기 보안모듈에 장애가 발생한 경우 통신망 구조를 변경해야 통신이 가능한 문제가 있었다. 한편, 이러한 문제를 해결하기 위해 보안모듈을 이중화할 경우, 단말 장치에서 보낸 패킷이 목적지 IP 주소(FEP)를 향해 이동하기 때문에, 루핑문제가 발생하는 문제가 있었다.However, these conventional devices and methods have a problem in which communication is possible only when a communication network structure is changed when a failure occurs in the security module. On the other hand, when the security module is duplicated to solve this problem, there is a problem that a looping problem occurs because a packet sent from a terminal device moves toward a destination IP address (FEP).
따라서, 본 발명은 배전자동화 시스템의 통신전단처리기(Front End Processor, FEP)와 단말장치 사이에 보안장치를 구비하여 배전자동화 시스템의 보안을 강화시키되, 상기 보안장치의 장애로 인한 통신오류를 방지하는 배전자동화 시스템 및 이를 이용한 보안 통신 방법을 제공하고자 한다. Accordingly, the present invention enhances the security of the distribution automation system by providing a security device between the front end processor (FEP) and the terminal device of the distribution automation system, and prevents communication errors due to failure of the security device. It is intended to provide a distribution automation system and a secure communication method using the same.
또한, 본 발명은 배전자동화 시스템의 통신전단처리기(FEP)와 단말장치 사이에 보안장치를 경유하는 암호화 경로 및 상기 보안장치를 경유하지 않는 비암호화 경로를 구축하고, 상기 보안장치에 장애 발생시 상기 비암호화 경로로 통신을 함으로써 보안장치 장애로 인한 통신 오류를 방지하는 배전자동화 시스템 및 이를 이용한 보안 통신 방법을 제공하고자 한다. In addition, the present invention establishes an encryption path through a security device between a communication front processor (FEP) of a distribution automation system and a terminal device, and a non-encryption path not through the security device. An attempt is made to provide a distribution automation system that prevents communication errors due to a security device failure by communicating through an encryption path, and a secure communication method using the same.
상기 목적을 달성하기 위해, 본 발명에서 제공하는 배전자동화 시스템은 배전선로의 상태를 감시하고, 측정하며, 측정된 데이터를 원격으로 전송하는 복수의 단말장치(FRTU)들; 상기 복수의 단말장치(FRTU)들이 획득한 정보를 취합, 관리, 저장하는 통신전단처리기(FEP); 상기 통신전단처리기(FEP)에서 수집된 정보들에 의거하여 상기 복수의 단말장치(FRTU)들을 감시 및 제어 하는 서버; 및 상기 통신전단처리기(FEP)와 상기 복수의 단말장치(FRTU)들 사이에서 데이터 전달을 수행하되, 상기 통신전단처리기(FEP)로부터 상기 복수의 단말장치(FRTU)들로 전달되는 신호에 대한 암호화를 수행하고, 상기 복수의 단말장치(FRTU)들로부터 상기 통신전단처리기(FEP)로 전달되는 신호에 대한 복호화를 수행하는 보안장치를 포함하되, 상기 통신전단처리기(FEP)는 상기 보안장치의 장애여부를 모니터링하고, 상기 보안장치에 장애 발생시 상기 복수의 단말장치(FRTU)들과 직접 비암호화 통신을 수행하는 것을 특징으로 한다. In order to achieve the above object, the distribution automation system provided by the present invention includes a plurality of terminal devices (FRTU) for monitoring, measuring, and remotely transmitting the measured data; A communication front end processor (FEP) for collecting, managing, and storing information acquired by the plurality of terminal devices (FRTU); A server that monitors and controls the plurality of terminal devices (FRTU) based on information collected by the communication front end processor (FEP); And performing data transfer between the communication front processor (FEP) and the plurality of terminal devices (FRTU), but encryption of the signal transmitted from the communication front processor (FEP) to the plurality of terminal devices (FRTU). And a security device for decoding a signal transmitted from the plurality of terminal devices (FRTU) to the communication front end processor (FEP), wherein the communication front end processor (FEP) is a failure of the security device. It monitors whether or not, and when a failure occurs in the security device, non-encryption communication is performed directly with the plurality of terminal devices (FRTU).
바람직하게는, 상기 통신전단처리기(FEP)는 상기 복수의 단말장치(FRTU)들 각각의 통신 성공률을 분석하여 상기 보안장치의 장애 여부를 결정하는 통신성공률 분석부; 상기 복수의 단말장치(FRTU)들 각각의 통신 정보를 저장하는 데이터베이스부; 상기 데이터베이스 정보를 이용하여 상기 보안장치 또는 상기 복수의 단말장치(FRTU)들과 비암호화 통신을 수행하기 위한 제1 클라이언트 통신 프로세스를 생성하는 제1 통신 프로세스부; 및 상기 보안장치의 장애 여부에 의거하여 상기 제1 클라이언트 통신 프로세스를 상기 보안장치 또는 상기 복수의 단말장치(FRTU)들 중 어느 하나로 연결하는 제어부를 포함할 수 있다. Preferably, the communication front end processor (FEP) is a communication success rate analysis unit for determining whether the failure of the security device by analyzing the communication success rate of each of the plurality of terminal devices (FRTU); A database unit for storing communication information of each of the plurality of terminal devices (FRTU); A first communication processor for generating a first client communication process for performing non-encrypted communication with the security device or the plurality of terminal devices (FRTUs) using the database information; And a control unit for connecting the first client communication process to the security device or one of the plurality of terminal devices (FRTU) based on whether the security device has a failure.
바람직하게는, 상기 보안장치는 상기 데이터베이스부로부터 상기 복수의 단말장치(FRTU)들 각각의 통신 정보를 읽어와서 상기 통신전단처리기(FEP) 및 상기 복수의 단말장치(FRTU)들과 통신을 수행하기 위한 각각의 통신 프로세스를 생성하고, 상기 통신 프로세스들을 이용한 통신을 수행하는 제2 통신 프로세스부; 상기 제2 통신 프로세스부에서 생성된 통신 프로세스 정보를 저장하는 메모리부; 및 상기 복수의 단말장치(FRTU)들과 암호화된 데이터를 주고받기 위한 제1 암호화 통신 프로토콜처리부를 포함할 수 있다. Preferably, the security device reads communication information of each of the plurality of terminal devices (FRTU) from the database unit to perform communication with the communication front end processor (FEP) and the plurality of terminal devices (FRTU). A second communication process unit for generating each communication process for each communication process, and performing communication using the communication processes; A memory unit for storing communication process information generated by the second communication process unit; And a first encryption communication protocol processor for exchanging encrypted data with the plurality of terminal devices (FRTU).
바람직하게는, 상기 제2 통신 프로세스부는 상기 통신전단처리기(FEP)와 비암호화 통신을 수행하기 위한 제1 서버 통신 프로세스 또는 상기 복수의 단말장치(FRTU)들과 암호화 통신을 수행하기 위한 제2 클라이언트 통신 프로세스를 생성할 수 있다.Preferably, the second communication processing unit is a first server communication process for performing non-encrypted communication with the communication front processor (FEP) or a second client for performing encrypted communication with the plurality of terminal devices (FRTU). Communication process can be created.
바람직하게는, 상기 복수의 단말장치(FRTU)들 각각은 상기 보안장치에 포함된 제2 클라이언트 통신 프로세스와 암호화 통신을 수행하기 위한 제2 서버 통신 프로세스; 상기 제2 서버 통신 프로세스를 통해 암호화 통신을 수행하기 위한 제2 암호화 통신 프로토콜 처리부; 및 상기 통신전단처리기(FEP)에 포함된 제1 클라이언트 통신 프로세스와 비암호화 통신을 수행하기 위한 제3 서버 통신 프로세스를 포함할 수 있다.Preferably, each of the plurality of terminal devices (FRTU) includes a second server communication process for performing encrypted communication with a second client communication process included in the security device; A second encrypted communication protocol processing unit for performing encrypted communication through the second server communication process; And a third server communication process for performing non-encrypted communication with a first client communication process included in the communication preprocessor (FEP).
또한, 상기 목적을 달성하기 위해, 본 발명에서 제공하는 방법은 배전자동화 시스템의 통신전단처리기(FEP)와 단말장치 사이에 보안장치를 경유하는 암호화 경로 및 상기 보안장치를 경유하지 않는 비암호화 경로를 구축하는 경로구축단계; 상기 암호화 경로를 이용하여 통신을 수행하는 암호화 통신 단계; 상기 암호화 경로의 통신상태를 모니터링하여 상기 보안장치의 장애 여부를 결정하는 모니터링 단계; 및 상기 보안장치의 장애 발생에 응답하여, 상기 암호화 경로를 이용한 통신을 중단하고 상기 비암호화 경로로 통신을 수행하는 비암호화 통신 단계를 포함하는 것을 특징으로 한다. In addition, in order to achieve the above object, the method provided by the present invention provides an encryption path through a security device between a communication shear processor (FEP) of a distribution automation system and a terminal device, and a non-encryption path not through the security device. Building a path to build; An encrypted communication step of performing communication using the encryption path; A monitoring step of determining whether or not the security device has failed by monitoring the communication state of the encryption path; And a non-encryption communication step of stopping communication using the encryption path and performing communication through the non-encryption path in response to a failure of the security device.
바람직하게는, 상기 암호화 통신 단계는 상기 통신전단처리기(FEP)와 상기 보안 장치간 비암호화 통신을 수행하기 위한 통신 프로세스를 생성하는 제1 비암호화 통신 프로세스 생성단계; 및 상기 보안장치와 상기 복수의 단말장치(FRTU)들 사이에 암호화 통신을 수행하기 위한 통신 제1 암호화 통신 프로세스 생성단계를 포함할 수 있다. Preferably, the encrypted communication step comprises: a first non-encrypted communication process generating step of generating a communication process for performing non-encrypted communication between the communication front processor (FEP) and the security device; And generating a communication first encrypted communication process for performing encrypted communication between the security device and the plurality of terminal devices (FRTU).
바람직하게는, 상기 제1 비암호화 통신 프로세스 생성단계는 상기 통신전단처리기(FEP)가, 상기 보안장치와 비암호화 통신을 수행하기 위한, 제1 클라이언트 통신 프로세서를 생성하는 제1-1 비암호화 통신 프로세스 생성단계; 및 상기 보안장치가, 상기 통신전단처리기(FEP)와 비암호화 통신을 수행하기 위한, 제1 서버 통신 프로세서를 생성하는 제1-2 비암호화 통신 프로세스 생성 단계를 포함단계를 포함할 수 있다. Preferably, in the step of generating the first non-encrypted communication process, the communication preprocessor (FEP) generates a first client communication processor for performing non-encrypted communication with the security device. Process creation step; And generating, by the security device, a 1-2 non-encrypted communication process for generating a first server communication processor for performing non-encrypted communication with the communication preprocessor (FEP).
바람직하게는, 상기 제1 암호화 통신 프로세스 생성단계는 상기 보안장치가, 상기 복수의 단말장치(FRTU)들과 암호화 통신을 수행하기 위한, 제2 클라이언트 통신 프로세서를 생성하는 제1-1 암호화 통신 프로세스 생성 단계; 및 상기 복수의 단말장치(FRTU)들 각각이, 상기 보안장치와 암호화 통신을 수행하기 위한, 제2 서버 통신 프로세서를 생성하는 제1-2 암호화 통신 프로세스 생성 단계를 포함할 수 있다.Preferably, in the step of generating the first encrypted communication process, the security device is a 1-1 encrypted communication process for generating a second client communication processor for performing encrypted communication with the plurality of terminal devices (FRTU). Creation step; And a 1-2 encrypted communication process generation step of generating, by each of the plurality of terminal devices (FRTU), a second server communication processor for performing encrypted communication with the security device.
바람직하게는, 상기 모니터링 단계는 상기 통신전단처리기(FEP)가 상기 복수의 단말장치(FRTU)들 모두에 대하여 미리 설정된 일정 시간 동안 통신 성공률을 수집하는 통신 성공률 수집단계; 및 상기 통신 성공률이 미리 설정된 장애 판단 기준을 만족하는 지 여부에 따라 상기 보안장치의 장애 여부를 결정하는 장애결정단계를 포함할 수 있다.Preferably, the monitoring step comprises: a communication success rate collecting step of collecting, by the communication front end processor (FEP), a communication success rate for a predetermined period of time set in advance for all of the plurality of terminal devices (FRTU); And a failure determining step of determining whether or not the security device has failed according to whether the communication success rate satisfies a preset failure determination criterion.
바람직하게는, 상기 비암호화 통신단계는 상기 통신전단처리기(FEP)와 상기 복수의 단말장치(FRTU)들 사이에 비암호화 통신을 수행하기 위한 통신 프로세스를 생성하는 제2 비암호화 통신 프로세스 생성 단계를 포함할 수 있다.Preferably, the non-encrypted communication step comprises a second non-encrypted communication process generating step of generating a communication process for performing non-encrypted communication between the communication preprocessor (FEP) and the plurality of terminal devices (FRTU). Can include.
바람직하게는, 상기 제2 비암호화 통신 프로세스 생성 단계는 상기 통신전단처리기(FEP)가, 상기 복수의 단말장치(FRTU)들과 비암호화 통신을 수행하기 위한, 제1 클라이언트 통신 프로세서를 생성하는 제2-1 비암호화 통신 프로세스 생성단계; 및 상기 복수의 단말장치(FRTU)들 각각이, 상기 통신전단처리기(FEP)와 비암호화 통신을 수행하기 위한, 제3 서버 통신 프로세서를 생성하는 제2-2 비암호화 통신 프로세스 생성단계를 포함할 수 있다.Preferably, in the step of generating the second non-encrypted communication process, the communication front processor (FEP) generates a first client communication processor for performing non-encryption communication with the plurality of terminal devices (FRTU). 2-1 creating a non-encrypted communication process; And a 2-2 non-encrypted communication process generating step of generating a third server communication processor for each of the plurality of terminal devices (FRTU) to perform non-encrypted communication with the communication front processor (FEP). I can.
본 발명의 배전자동화 시스템은 통신전단처리기(Front End Processor, FEP)와 단말장치 사이에 보안장치를 구비하여 배전자동화 시스템의 보안을 강화시키되, 상기 보안장치를 경유하는 암호화 경로 및 상기 보안장치를 경유하지 않는 비암호화 경로를 구축하고, 상기 보안장치에 장애 발생시 상기 비암호화 경로로 통신을 함으로써 보안장치 장애로 인한 통신 오류를 방지할 수 있는 장점이 있다. The distribution automation system of the present invention has a security device between a front end processor (FEP) and a terminal device to enhance the security of the distribution automation system, but the encryption path through the security device and the security device are used. There is an advantage in that a communication error due to a security device failure can be prevented by establishing a non-encrypted path that does not do so, and communicating through the non-encrypted path when a failure occurs in the security device.
도 1은 본 발명의 일실시 예에 따른 배전자동화 시스템에 대한 개략적인 시스템 구성도이다.
도 2는 본 발명의 일실시 예에 따른 배전자동화 시스템의 통신전단처리기에 대한 개략적인 블록도이다.
도 3은 본 발명의 일실시 예에 따른 배전자동화 시스템의 통신전단처리기에 저장된 통신정보의 예를 설명하기 위한 도면이다.
도 4는 본 발명의 일실시 예에 따른 배전자동화 시스템의 보안장치에 대한 개략적인 블록도이다.
도 5는 본 발명의 일실시 예에 따른 배전자동화 시스템의 보안장치에 저장된 프로세스 통신 정보의 예를 설명하기 위한 도면이다.
도 6은 본 발명의 일실시 예에 따른 배전자동화 시스템의 단말장치에 대한 개략적인 블록도이다.
도 7은 본 발명의 일실시 예에 따른 배전자동화 시스템의 보안 통신 방법에 대한 개략적인 처리 흐름도이다.
도 8은 본 발명의 일실시 예에 따른 암호화 통신과정에 대한 개략적인 처리 흐름도이다.
도 9는 본 발명의 일실시 예에 따른 모니터링 과정에 대한 개략적인 처리 흐름도이다.
도 10은 본 발명의 일실시 예에 따른 배전자동화 시스템의 통신프로세스 연결 관계를 설명하기 위한 도면이다. 1 is a schematic system configuration diagram of a distribution automation system according to an embodiment of the present invention.
2 is a schematic block diagram of a communication shear processor of a distribution automation system according to an embodiment of the present invention.
3 is a view for explaining an example of communication information stored in a communication shear processor of a distribution automation system according to an embodiment of the present invention.
4 is a schematic block diagram of a security device of a distribution automation system according to an embodiment of the present invention.
5 is a view for explaining an example of process communication information stored in the security device of the distribution automation system according to an embodiment of the present invention.
6 is a schematic block diagram of a terminal device of a distribution automation system according to an embodiment of the present invention.
7 is a schematic flowchart of a secure communication method of a distribution automation system according to an embodiment of the present invention.
8 is a schematic flowchart of an encryption communication process according to an embodiment of the present invention.
9 is a schematic flowchart of a monitoring process according to an embodiment of the present invention.
10 is a diagram for explaining a communication process connection relationship of a distribution automation system according to an embodiment of the present invention.
아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시 예에 대하여 설명하되, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시 예에 한정되지 않는다. 한편 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다. 또한 상세한 설명을 생략하여도 본 기술 분야의 당업자가 쉽게 이해할 수 있는 부분의 설명은 생략하였다.Hereinafter, embodiments of the present invention will be described with reference to the accompanying drawings, but will be described in detail so that those of ordinary skill in the art to which the present invention pertains can easily implement the present invention. However, the present invention may be implemented in various different forms and is not limited to the embodiments described herein. Meanwhile, in the drawings, parts irrelevant to the description are omitted in order to clearly describe the present invention, and similar reference numerals are attached to similar parts throughout the specification. In addition, even if the detailed description is omitted, descriptions of parts that can be easily understood by those skilled in the art have been omitted.
명세서 및 청구범위 전체에서, 어떤 부분이 어떤 구성 요소를 포함한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성 요소를 제외하는 것이 아니라 다른 구성 요소를 더 포함할 수 있는 것을 의미한다.Throughout the specification and claims, when a part includes a certain component, it means that other components may be further included rather than excluding other components unless specifically stated to the contrary.
도 1은 본 발명의 일실시 예에 따른 배전자동화 시스템에 대한 개략적인 시스템 구성도이다. 도 1을 참조하면, 본 발명의 일실시 예에 따른 배전자동화 시스템은 서버(TDAS)(100), 통신전단처리기(FEP)(200), 보안장치(300) 및 복수의 단말장치(FRTU)(400)들을 포함한다. 1 is a schematic system configuration diagram of a distribution automation system according to an embodiment of the present invention. 1, a distribution automation system according to an embodiment of the present invention includes a server (TDAS) 100, a communication shear processor (FEP) 200, a
서버(TDAS)(100)는 통신전단처리기(FEP)(200)와 통신을 하고, 통신전단처리기(FEP)(200)에서 수집된 정보들에 의거하여 복수의 단말장치(FRTU)(400)들을 감시 및 제어한다.The server (TDAS) 100 communicates with the communication front end processor (FEP) 200, and provides a plurality of terminal devices (FRTU) 400 based on the information collected by the communication front end processor (FEP) 200. Monitor and control.
통신전단처리기(FEP)(200)는 복수의 단말장치(FRTU)(400)들이 획득한 정보를 취합, 관리, 저장한다. The communication front end processor (FEP) 200 collects, manages, and stores information acquired by a plurality of terminal devices (FRTU) 400.
보안장치(300)는 통신전단처리기(FEP)(200)와 상기 복수의 단말장치(FRTU) (400)들 사이에서 데이터 전달을 수행한다. 특히, 보안장치(300)는 통신전단처리기(FEP)(200)로부터 복수의 단말장치(FRTU)(400)들로 전달되는 신호에 대한 암호화를 수행하고, 복수의 단말장치(FRTU)(400)들로부터 통신전단처리기(FEP)(200)로 전달되는 신호에 대한 복호화를 수행한다.The
복수의 단말장치(FRTU)(400)들은 각각 배전선로의 상태를 감시하고, 측정하며, 측정된 데이터를 원격으로 전송한다. Each of the plurality of terminal devices (FRTU) 400 monitors and measures the state of the distribution line, and remotely transmits the measured data.
또한, 본 발명의 배전 자동화 시스템은 통신전단처리기(FEP)(200)와 단말장치(400) 사이에 보안장치(300)를 경유하는 암호화 경로 및 보안장치(300)를 경유하지 않는 비암호화 경로를 구축하여, 평소에는 상기 암호화 경로로 통신을 수행하고, 보안장치(300)에 장애가 발생한 경우에 상기 비암호화 경로로 통신을 수행한다. 즉, 통신전단처리기(FEP)(200)와 보안장치(300) 사이에 비암호화 통신을 수행하는 통신경로(A), 보안장치(300)와 단말장치(400) 사이에 암호화 통신을 수행하는 통신경로(B), 및 통신전단처리기(FEP)(200)와 단말장치(400) 사이에 비암호화 통신을 수행하는 통신경로(C)를 구축하여, 평소에는 상기 통신경로(A) 및 상기 통신경로(B)로 통신을 수행하고, 보안장치(300)에 장애가 발생한 경우 상기 통신경로(C)로 통신을 수행한다. In addition, the distribution automation system of the present invention provides an encryption path passing through the
이를 위해, 통신전단처리기(FEP)(200)는 보안장치(300)를 통해 단말장치(400)들과 암호화 통신을 수행하면서, 보안장치(300)의 장애여부를 모니터링한다. 그리고, 보안장치(300)에 장애가 발생하면, 통신전단처리기(FEP)(200)는 보안장치(300)와의 통신을 끊고, 단말장치(FRTU)(400)들과 직접 비암호화 통신을 수행한다. To this end, the communication front end processor (FEP) 200 monitors whether or not the
도 2는 본 발명의 일실시 예에 따른 배전자동화 시스템의 통신전단처리기에 대한 개략적인 블록도이다. 도 1 및 도 2를 참조하면, 본 발명의 일실시 예에 따른 배전자동화 시스템의 통신전단처리기(FEP)(200)는 제1 클라이언트 통신 프로세스부(210), DNP 처리부(220), DNP 패킷 처리부(230), 통신성공률 분석부(240), 데이터베이스부(DB)(250) 및 제어부(260)를 포함한다. 2 is a schematic block diagram of a communication shear processor of a distribution automation system according to an embodiment of the present invention. Referring to FIGS. 1 and 2, the communication front processing unit (FEP) 200 of the distribution automation system according to an embodiment of the present invention includes a first client
제1 클라이언트 통신 프로세스부(210)는 보안장치(300) 또는 복수의 단말장치(FRTU)(400)들과 비암호화 통신을 수행하기 위한 제1 클라이언트 통신 프로세스를 생성하고, 상기 제1 클라이언트 통신 프로세스를 이용한 통신을 수행한다. 이를 위해, 제1 클라이언트 통신 프로세스부(210)는 데이터베이스부(DB)(240)에 저장된 단말장치(FRTU)(400) 통신정보를 이용할 수 있다. 상기 통신정보의 예가 도 3에 예시되어 있다. 도 3은 본 발명의 일실시 예에 따른 배전자동화 시스템의 통신전단처리기(FEP)(200)에 저장된 통신정보의 예를 설명하기 위한 도면으로서, 데이터베이스부(DB)(240)에 저장된 단말장치(FRTU)(400) 통신정보를 예시하고 있다. 도 3을 참조하면, 데이터베이스부(DB)(240)에는 단말장치(FRTU)(400)_식별정보(SW_ID) (241)/단말장치(FRTU)(400)_IP(242)/단말장치(FRTU)(400)_비암호화_포트(Port)(243)/단말장치(FRTU)(400)_암호화_포트(Port)(244)/보안장치_IP(245)/보안장치_포트(Port)(246)/암호화적용여부(247)를 저장하기 위한 필드들을 포함한다. The first client
도 1 내지 도 3을 참조하면, 제1 클라이언트 통신 프로세스부(210)는 데이터베이스부(DB)(240)의 정보를 이용하여 상기 제1 클라이언트 통신 프로토콜을 생성하되, 데이터베이스부(DB)(240)의 단말장치별 암호화 적용여부(247) 저장필드를 참고한다. 즉, 제1 클라이언트 통신 프로세스부(210)는 암호화가 적용된 단말장치와의 통신시, 보안장치(300)를 경유하는 암호화 경로를 이용하기 위해 통신전단처리기(FEP)(200)와 보안장치(300)간 통신을 위한 통신 프로세스를 생성하고, 암호화가 적용되지 않은 단말장치와의 통신시, 보안장치(300)를 경유하지 않는 비암호화 경로를 이용하기 위해 통신전단처리기(FEP)(200)와 단말장치(400)간 통신을 위한 통신 프로세스를 생성한다. 이 때, 제1 클라이언트 통신 프로세스의 통신포트는 동적으로 할당된다.1 to 3, the first client
DNP 처리부(220)는 제1 클라이언트 통신 프로세스부(210)에서 생성된 제1 클라이언트 통신 프로세스와 데이터 통신을 위한 DNP 처리를 수행한다. 이 때, DNP는 배전자동화 시스템의 구성 요소 간 통신을 위한 통신 프로토콜로서, 비암호화 통신을 지원한다. The
DNP 패킷 처리부(230)는 제1 클라이언트 통신 프로세스부(210)를 통해 송/수신될 데이터에 대한 데이터 패킷을 처리한다. 특히, DNP 패킷 처리부(230)는 단말장치의 감시/제어 명령어를 DNP 데이터로 변경한다. The DNP
통신성공률 분석부(240)는 복수의 단말장치(FRTU)(400)들 각각의 통신 성공률을 분석하여 보안장치(300)의 장애 여부를 결정한다. 즉, 통신성공률 분석부(240)는 복수의 단말장치(FRTU)(400)들 각각의 통신 성공률이 미리 설정된 보안장치(300) 장애판단 조건을 만족하는 경우 보안장치(300)에 장애가 발생한 것으로 판단한다. 그리고, 통신성공률 분석부(240)는 그 결과에 의거하여 단말장치(FRTU)(400)의 암호화 적용 여부를 결정하고, 상기 단말장치(FRTU)(400)별 암호화 적용 여부를 데이터베이스부(DB)(250)에 저장한다. The communication success
데이터베이스부(DB)(250)는 복수의 단말장치(FRTU)(400)들 각각의 통신 정보를 저장한다. 이를 위해, 데이터베이스부(DB)(250)는 도 3에 예시된 바와 같은 저장 필드들을 포함할 수 있다. 특히, 데이터베이스부(DB)(250)는 통신성공률 분석부(240)의 통신성공률 분석 결과에 의해 결정된 단말장치(FRTU)(400)들 각각의 암호화 적용 여부를 저장한다. The database unit (DB) 250 stores communication information of each of the plurality of terminal devices (FRTU) 400. To this end, the database unit (DB) 250 may include storage fields as illustrated in FIG. 3. In particular, the database unit (DB) 250 stores whether encryption is applied to each of the terminal devices (FRTU) 400 determined by the communication success rate analysis result of the communication success
제어부(260)는 보안장치(300)의 장애 여부에 의거하여 상기 제1 클라이언트 통신 프로세스의 연결 대상을 결정하고, 결정된 대상으로의 통신 연결을 제어한다. 예를 들어, 제어부(260)는 보안장치(300)에 장애 발생시 상기 제1 클라이언트 통신 프로세스를 단말장치(FRTU)(400)들 중 어느 하나와 직접 연결하고, 그렇지 않은 경우 상기 제1 클라이언트 통신 프로세스를 보안장치(300)와 연결하도록 제어한다. The
도 4는 본 발명의 일실시 예에 따른 배전자동화 시스템의 보안장치에 대한 개략적인 블록도이다. 도 1 및 도 4를 참조하면, 본 발명의 일실시 예에 따른 배전자동화 시스템의 보안장치(300)는 제1 서버통신프로세스(310), 제2 클라이언트통신프로세스(320), DNP 처리부(330), 보안 DNP 처리부(340), TLS 처리부(350), 통신프로세스부(360) 및 공유메모리(370)를 포함한다. 4 is a schematic block diagram of a security device of a distribution automation system according to an embodiment of the present invention. 1 and 4, the
제1 서버통신프로세스(310)는 통신전단처리기(FEP)(200)와 통신을 수행하기 위한 통신 프로세스로서, 비암호화 통신을 제어한다. 이 때, 제1 서버통신프로세스(310)의 통신포트는 2000+SW_ID(단말장치 식별정보)로 할당할 수 있다. The first
제2 클라이언트통신프로세스(320)는 복수의 단말장치(FRTU)(400)들과 통신을 수행하기 위한 통신프로세스로서, 암호화 통신을 제어한다. 이 때, 제2 클라이언트통신 프로세스(320)의 통신포트는 동적으로 할당된다. The second
DNP 처리부(330)는 제1 서버통신 프로세스(310)와 데이터 통신을 위한 DNP 처리를 수행한다. 이 때, DNP는 배전자동화 시스템의 구성 요소 간 통신을 위한 통신 프로토콜로서, 비암호화 통신을 지원한다. The
보안 DNP 처리부(340)는 보안이 적용된 DNP 프로토콜을 지원하기 위한 처리를 한다. 즉, 보안 DNP 처리부(340)는 복수의 단말장치(FRTU)(400)들과 암호화된 데이터를 주고받기 위한 암호화 통신을 지원하기 위한 통신 프로토콜 처리를 한다. The security
TLS 처리부(350)는 인터넷 통신시, 송수신 데이터를 보호하기 위해 표준화된 암호화 프로토콜을 지원하기 위한 처리를 한다. 특히, TLS 처리부(350)는 제2 클라이언트 통신 프로세스(320)와 보안 DNP 처리부(340) 사이에서 프로토콜 처리를 수행한다. The
통신프로세스부(360)는 제1 서버통신 프로세스(310) 및 제2 클라이언트 통신 프로세스(320)를 생성한다. 이를 위해, 통신프로세스부(360)는 도 2의 데이터베이스부(DB)(240)의 내용을 참조한다. 즉, 통신프로세스부(360)는 도 2의 데이터베이스부(DB)(240)로부터 복수의 단말장치(FRTU)(400)들 각각의 통신 정보를 읽어와서 통신전단처리기(FEP)(200)와 통신을 수행하기 위한 제1 서버통신 프로세스(310) 및 복수의 단말장치(FRTU)(400)와 통신을 수행하기 위한 제2 클라이언트 통신 프로세스(320)를 생성한다. The
공유메모리(370)는 통신 프로세스부(360)에서 생성된 통신 프로세스 정보를 저장한다. 상기 통신 프로세스 정보의 예가 도 5에 예시되어 있다. 도 5는 본 발명의 일실시 예에 따른 배전자동화 시스템의 보안장치에 저장된 프로세스 통신 정보의 예를 설명하기 위한 도면으로서, 공유메모리(370)에 저장된 통신 프로세스 정보를 예시하고 있다. 이 때, 공유메모리(370)는 제1 서버통신 프로세스(310) 및 제2 클라이언트 통신 프로세스(320)의 정보를 저장하되, 암호화가 적용된 단말장치와의 통신을 수행하기 위한 정보를 저장한다. 즉, 공유메모리(370)는, 도 3의 예에서 암호화 적용여부(247) 저장 필드의 값의 ‘Y’인 단말장치와 통신을 수행하기 위한 통신 프로세스 정보를 저장한다. 이는, 암호화 적용여부(247) 저장 필드의 값의 ‘N’인 단말장치는 보안장치(300)를 거치지 않고, 통신전단처리기(FEP)(200)와 비암호화 통신을 직접 수행하기 때문이다. 도 5를 참조하면, 공유메모리(370)에는 프로세스 식별정보(371)/보안장치IP(372)/보안장치포트(Port)(373)/통신방향(374)/단말장치IP(375)/단말장치포트(Port)(376)/FEP_IP(377)/FEP_포트(Port)(378)를 저장하기 위한 필드들을 포함한다. The shared
도 6은 본 발명의 일실시 예에 따른 배전자동화 시스템의 단말장치에 대한 개략적인 블록도이다. 도 1 및 도 6을 참조하면, 본 발명의 일실시 예에 따른 배전자동화 시스템의 단말장치(400)는 제3 서버통신프로세스부(410), 제2 서버통신프로세스부(420), TLS 처리부(430), 보안 DNP 처리부(440), DNP 처리부(450), DNP 패킷 처리부(460)를 포함한다. 6 is a schematic block diagram of a terminal device of a distribution automation system according to an embodiment of the present invention. 1 and 6, the
제3 서버통신프로세스부(410)는 도 2에 예시된 통신전단처리기(FEP)(200)에서 생성된 제1 클라이언트 통신 프로세스와 비암호화 통신을 수행하기 위한 제3 서버 통신 프로세스를 생성하고, 상기 제3 서버 통신 프로세스를 이용한 통신을 수행한다. 이 때, 상기 제3 서버 통신 프로세스를 이용한 통신은 도 3에 예시된 보안장치(300)에 장애가 발생한 경우 수행될 수 있다. 또한, 상기 제3 서버 통신 프로세스의 통신포트는 '1030’으로 할당할 수 있다. The third server
제2 서버통신프로세스부(420)는 도 3에 예시된 보안장치(300)에서 생성된 제2 클라이언트 통신 프로세스와 암호화 통신을 수행하기 위한 제2 서버 통신 프로세스를 생성하고, 상기 제2 서버 통신 프로세스를 이용한 통신을 수행한다. 이 때, 제2 서버통신프로세스의 통신포트는 '1040’으로 할당할 수 있다. The second server
TLS 처리부(430)는 인터넷 통신시, 송수신 데이터를 보호하기 위해 표준화된 암호화 프로토콜을 지원하기 위한 처리를 한다. 특히, TLS 처리부(430)는 제2 서버 통신 프로세스부(420)에서 생성된 제2 서버 통신 프로세스와 보안 DNP 처리부(440) 사이에서 프로토콜 처리를 수행한다. The
보안 DNP 처리부(440)는 보안이 적용된 DNP 프로토콜을 지원하기 위한 처리를 한다. 즉, 보안 DNP 처리부(440)는 보안장치(300)와 암호화된 데이터를 주고받기 위한 암호화 통신을 지원하기 위한 통신 프로토콜 처리를 한다.The security
DNP 처리부(450)는 제3 서버통신 프로세스(410)와 데이터 통신을 위한 DNP 처리를 수행한다. 이 때, DNP는 배전자동화 시스템의 구성 요소 간 통신을 위한 통신 프로토콜로서, 비암호화 통신을 지원한다. The
DNP 패킷 처리부(460)는 DNP 처리부(450)를 통해 전달된 DNP 데이터 패킷을 단말장치(400)의 감시 및 제어 명령어로 변경한다. The DNP
도 7은 본 발명의 일실시 예에 따른 배전자동화 시스템의 보안 통신 방법에 대한 개략적인 처리 흐름도이다. 도 1 및 도 7을 참조하면, 본 발명의 일실시 예에 따른 배전자동화 시스템의 보안 통신 방법은 다음과 같다. 7 is a schematic flowchart of a secure communication method of a distribution automation system according to an embodiment of the present invention. 1 and 7, a method of secure communication of a distribution automation system according to an embodiment of the present invention is as follows.
먼저, 단계 S100에서는, 배전자동화 시스템의 통신전단처리기(FEP)(200)와 단말장치(400) 사이에 보안장치(300)를 경유하는 암호화 경로(A, B) 및 상기 보안장치(300)를 경유하지 않는 비암호화 경로(C)를 구축한다. 이 때, 단계 S100는 각 장치들의 통신 프로세스를 통해 상기 경로들(A, B, C)을 구축할 수 있다. 예를 들어, 도 2 내지 도 6을 참조한 설명에서 언급된 바와 같이, 각 장치들이 통신 프로세스들을 생성하고, 각 통신 프로세스들간 통신포트를 연결함으로써, 상기 경로들(A, B, C)을 구축할 수 있다. First, in step S100, an encryption path (A, B) passing through the
단계 S200에서는, 통신전단처리기(FEP)(200)와 단말장치(400)가 암호화 통신을 수행한다. 즉, 단계 S200에서는, 통신전단처리기(FEP)(200)와 단말장치(400)가 단계 S100에서 구축된 통신 경로들 중 보안장치(300)를 경유하는 암호화 경로(A, B)를 이용하여 통신을 수행한다. 이 때, 상기 암호화 경로에 포함된 통신경로(A)는 통신전단처리기(FEP)(200)와 보안장치(300)가 비암호화 통신을 수행하는 경로이고, 통신경로(B)는 보안장치(300)와 단말장치(400)가 암호화 통신을 수행하는 경로이다. In step S200, the communication front end processor (FEP) 200 and the
따라서, 단계 S200에서는, 먼저, 통신전단처리기(FEP)(200)와 보안 장치(300)간 비암호화 통신을 수행하기 위한 통신 프로세스(P1)를 생성하고, 상기 통신 프로세스(P1)를 통한 통신을 수행한다. 이 때, 상기 통신 프로세스(P1)는, 통신전단처리기(FEP)(200)가 생성한 제1 클라이언트 통신 프로세서와, 보안장치(300)가 생성한 제1 서버 통신 프로세서일 수 있다. 또한, 단계 S200에서는, 보안장치(300)와 단말장치(400)간 암호화 통신을 수행하기 위한 통신 프로세스(P2)를 생성하고, 상기 통신 프로세스(P2)를 통한 통신을 수행한다. 이 때, 상기 통신 프로세스(P2)는, 보안장치(300)가 생성한 제2 클라이언트 통신 프로세서와, 단말장치(FRTU)(400)가 생성한 제2 서버 통신 프로세서일 수 있다. Therefore, in step S200, first, a communication process P1 for performing non-encrypted communication between the communication preprocessor (FEP) 200 and the
이러한 단계 S200에 대한 보다 구체적인 처리 과정의 예가 도 8에 예시되어 있다. 도 8은 본 발명의 일실시 예에 따른 암호화 통신과정에 대한 개략적인 처리 흐름도로서, 특히, 상기 암호화 통신을 위한 통신 프로세스 생성 과정의 예를 나타내고 있다. 도 1 및 도 8을 참조하면, 보안장치가 새롭게 실행되거나, 신규단말장치가 추가되거나, 기존단말장치의 암호화 적용 여부가 변경된 경우, 단계 S210에서는, 통신전단처리기(FEP)(200)가 내부 데이터베이스에 기 저장된 단말장치(400)의 통신정보를 보안장치(300)로 전송한다. 단계 S220에서는, 보안장치(300)가 수신된 단말장치(400)의 통신정보를 분석한다. 단계 S230에서는, 단계 S220의 분석 결과, 해당 단말장치(400)에 암호화가 적용되었는지 여부를 결정한다. An example of a more specific processing process for this step S200 is illustrated in FIG. 8. 8 is a schematic flowchart of an encrypted communication process according to an embodiment of the present invention, and particularly, shows an example of a communication process generation process for the encrypted communication. 1 and 8, when a security device is newly executed, a new terminal device is added, or whether encryption is applied to an existing terminal device is changed, in step S210, the communication front end processor (FEP) 200 is The communication information stored in the
단계 S240에서는, 해당 단말장치(400)에 암호화가 적용된 것으로 결정된 경우, 통신 프로세스를 생성한다. 이 때, 생성된 통신 프로세스는 통신전단처리기(FEP)(200)가 생성한 제1 클라이언트 통신 프로세서 및 보안장치(300)가 생성한 제1 서버 통신 프로세서, 또한, 보안장치(300)가 생성한 제2 클라이언트 통신 프로세서 및 단말장치(FRTU)(400)가 생성한 제2 서버 통신 프로세서일 수 있다. In step S240, when it is determined that encryption is applied to the corresponding
단계 S250에서는, 상기 생성된 통신 프로세스들을 보안장치(300)에 내장된 공유 메모리에 저장한다. In step S250, the generated communication processes are stored in a shared memory built into the
다시 도 1 및 도 7을 참조하면, 단계 S200에서 암호화 통신이 수행되는 동안, 단계 S300에서는, 통신전단처리기(FEP)(200)가 암호화 경로의 통신상태를 모니터링하여 보안장치(300)의 장애 여부를 결정한다. Referring back to FIGS. 1 and 7, while encryption communication is performed in step S200, in step S300, the communication front end processor (FEP) 200 monitors the communication state of the encryption path to determine whether the
이러한 단계 S300에 대한 보다 구체적인 처리 과정의 예가 도 9에 예시되어 있다. 도 9는 본 발명의 일실시 예에 따른 모니터링 과정에 대한 개략적인 처리 흐름도로서, 도 1 및 도 9를 참조하면, 상기 암호화 경로의 통신상태를 모니터링하기 위해, 단계 S310에서는, 먼저, 통신성공률을 초기화한다. 즉, 통신전단처리기(FEP)(200)에 연결된 복수의 단말장치(FRTU)(400)들 모두에 대하여 통신성공률을 초기화한다. 단계 S320에서는, 통신전단처리기(FEP)(200)가 상기 복수의 단말장치(FRTU)(400)들 모두에 대하여 미리 설정된 일정 시간(예컨대, 2분) 동안 통신 성공률을 수집한다. 그리고, 통신전단처리기(FEP)(200)는 단계 S330 내지 단계 S380을 거치면서, 상기 통신 성공률이 미리 설정된 장애 판단 기준을 만족하는 지 여부를 결정하고, 그 결과에 따라 보안장치(300)의 장애 여부를 결정할 수 있다. An example of a more specific processing process for this step S300 is illustrated in FIG. 9. 9 is a schematic flowchart of a monitoring process according to an embodiment of the present invention. Referring to FIGS. 1 and 9, in order to monitor the communication state of the encryption path, in step S310, first, a communication success rate is calculated. Initialize. That is, the communication success rate is initialized for all of the plurality of terminal devices (FRTU) 400 connected to the communication front end processor (FEP) 200. In step S320, the communication front-end processor (FEP) 200 collects a communication success rate for a predetermined time (eg, 2 minutes) for all of the plurality of terminal devices (FRTU) 400. In addition, the communication front end processor (FEP) 200 determines whether the communication success rate satisfies a preset failure determination criterion through steps S330 to S380, and the failure of the
단계 S330에서는, 통신전단처리기(FEP)(200)가 암호화 적용 여부에 따른 통신 성공률을 분석하고, 단계 S340에서는, 상기 분석 결과 암호화 적용 통신 성공률이 0%인지 여부를 결정한다. In step S330, the communication front end processor (FEP) 200 analyzes a communication success rate according to whether or not encryption is applied, and in step S340, it is determined whether the encryption application communication success rate is 0% as a result of the analysis.
단계 S340의 결과 상기 분석 결과 암호화 적용 통신 성공률이 0%인 경우, 단계 S350에서는, 암호화 미적용 통신 성공률이 50%이상인지, 또는 암호화 미적용 부재인지 여부를 결정한다. As a result of step S340, when the analysis result of the encryption applied communication success rate is 0%, in step S350, it is determined whether the encryption non-applied communication success rate is 50% or more, or whether the encryption is not applied.
단계 S360에서는, 통신전단처리기(FEP)(200)가 암호화 미적용 통신 성공률이 50%이상이거나, 암호화 미적용 부재인 경우 비암호화 통신을 체크한다. In step S360, the
단계 S370에서는, 통신성공률이 80%이상인지 여부를 결정하고, 단계 S380에서는, 통신성공률이 80%이상인 경우 보안장치 장애를 판단한다. In step S370, it is determined whether the communication success rate is 80% or more, and in step S380, when the communication success rate is 80% or more, a security device failure is determined.
다시 도 1 및 도 7을 참조하면, 단계 S400에서는, 단계 S300의 모니터링 결과에 의거하여, 보안장치(300)의 장애 여부를 결정한다. 그리고, 보안장치(300)에 장애가 발생한 경우, 단계 S500에서는, 비암호화 통신을 수행한다. 즉, 단계 S500에서는, 통신전단처리기(FEP)(200)와 단말장치(400)간 비암호화 경로를 이용한 비암호화 통신을 수행한다. 이를 위해, 단계 S500에서는, 통신전단처리기(FEP)(200)와 단말장치(FRTU)(400)들 사이에 비암호화 통신을 수행하기 위한 통신 프로세스를 생성할 수 있다. 이 때, 상기 비암호화 통신을 수행하기 위한 통신 프로세스는 통신전단처리기(FEP)(200)가, 복수의 단말장치(FRTU)(400)들과 비암호화 통신을 수행하기 위해 생성한 제1 클라이언트 통신 프로세서 또는 복수의 단말장치(FRTU)(400)들 각각이, 통신전단처리기(FEP)(200)와 비암호화 통신을 수행하기 위해 생성한 제3 서버 통신 프로세서일 수 있다. Referring back to FIGS. 1 and 7, in step S400, it is determined whether or not the
도 10은 본 발명의 일실시 예에 따른 배전자동화 시스템의 통신프로세스 연 관계를 설명하기 위한 도면이다. 도 10을 참조하면, 통신전단처리기(FEP)(200)는 통신 포트가 동적으로 할당되는 클라이언트 통신 프로세스(210)를 포함하고, 보안장치(300)는 통신 포트가 '2000 + 단말장치 식별정보’로 할당되는 서버통신 프로세스(310) 및 통신포트가 동적으로 할당되는 클라이언트 통신 프로세스(320)를 포함하고, 단말장치(400)는 통신 포트가 비암호화 포트(1030)으로 고정된 서버통신 프로세스(410) 및 통신 포트가 암호화 포트(1040)으로 고정된 서버통신 프로세스(420)를 포함한다. 10 is a view for explaining a communication process connection relationship of the distribution automation system according to an embodiment of the present invention. Referring to FIG. 10, a communication preprocessor (FEP) 200 includes a
먼저, 보안장치(300)에 장애가 발생하지 않은 경우, 통신전단처리기(FEP) (200)는 클라이언트 통신 프로세스(210)를 통해 보안장치(300)의 서버통신 프로세스(310)와 비암호화 통신(A)을 수행하고, 보안장치(300)는 클라이언트 통신 프로세스(320)를 통해 단말장치(400)의 서버통신 프로세스(420)와 암호화 통신(B)을 수행한다. 즉, 상기 경우, 통신전단처리기(FEP)(200)는 보안장치(300)를 경유하는 암호화 경로(A, B)를 통해 단말장치(400)와 암호화 통신을 수행한다. First, if a failure has not occurred in the
한편, 보안장치(300)에 장애가 발생한 경우, 통신전단처리기(FEP)(200)는 클라이언트 통신 프로세스(210)를 통해 단말장치(400)의 서버통신 프로세스(410)와 비암호화 통신(C)을 수행한다.On the other hand, when a failure occurs in the
이와 같이, 본 발명은 보안장치(300)에 발생된 장애로 인한 통신 오류를 최소화할 수 있는 장점이 있다. As described above, the present invention has an advantage of minimizing communication errors due to a failure occurring in the
상술한 예시적인 시스템에서, 방법들은 일련의 단계 또는 블록으로써 순서도를 기초로 설명되고 있지만, 본 발명은 단계들의 순서에 한정되는 것은 아니며, 어떤 단계는 상술한 바와 다른 단계와 다른 순서로 또는 동시에 발생할 수 있다. In the exemplary system described above, the methods are described on the basis of a flowchart as a series of steps or blocks, but the present invention is not limited to the order of steps, and certain steps may occur in a different order or concurrently with the steps described above. I can.
또한, 당업자라면 순서도에 나타낸 단계들이 배타적이지 않고, 다른 단계가 포함되거나 순서도의 하나 또는 그 이상의 단계가 본 발명의 범위에 영향을 미치지 않고 삭제될 수 있음을 이해할 수 있을 것이다.In addition, those skilled in the art will appreciate that the steps shown in the flowchart are not exclusive, other steps may be included, or one or more steps in the flowchart may be deleted without affecting the scope of the present invention.
Claims (12)
배전선로의 상태를 감시하고, 측정하며, 측정된 데이터를 원격으로 전송하는 복수의 단말장치(FRTU)들;
상기 복수의 단말장치(FRTU)들이 획득한 정보를 취합, 관리, 저장하는 통신전단처리기(FEP);
상기 통신전단처리기(FEP)에서 수집된 정보들에 의거하여 상기 복수의 단말장치(FRTU)들을 감시 및 제어 하는 서버; 및
상기 통신전단처리기(FEP)와 상기 복수의 단말장치(FRTU)들 사이에서 데이터 전달을 수행하되, 상기 통신전단처리기(FEP)로부터 상기 복수의 단말장치(FRTU)들로 전달되는 신호에 대한 암호화를 수행하고, 상기 복수의 단말장치(FRTU)들로부터 상기 통신전단처리기(FEP)로 전달되는 신호에 대한 복호화를 수행하는 보안장치를 포함하되,
상기 통신전단처리기(FEP)는
상기 보안장치의 장애여부를 모니터링하고, 상기 보안장치에 장애 발생시 상기 복수의 단말장치(FRTU)들과 직접 비암호화 통신을 수행하는 것을 특징으로 하는 배전자동화 시스템.In the distribution automation system,
A plurality of terminal devices (FRTU) for monitoring the state of the distribution line, measuring, and remotely transmitting the measured data;
A communication front end processor (FEP) for collecting, managing, and storing information acquired by the plurality of terminal devices (FRTU);
A server that monitors and controls the plurality of terminal devices (FRTU) based on information collected by the communication front end processor (FEP); And
Performs data transfer between the communication front processor (FEP) and the plurality of terminal devices (FRTU), but encrypts the signal transmitted from the communication front processor (FEP) to the plurality of terminal devices (FRTU) And a security device that decodes a signal transmitted from the plurality of terminal devices (FRTU) to the communication front end processor (FEP),
The communication shear processor (FEP) is
A distribution automation system, characterized in that it monitors whether the security device has a failure, and directly performs non-encryption communication with the plurality of terminal devices (FRTU) when a failure occurs in the security device.
상기 복수의 단말장치(FRTU)들 각각의 통신 성공률을 분석하여 상기 보안장치의 장애 여부를 결정하는 통신성공률 분석부;
상기 복수의 단말장치(FRTU)들 각각의 통신 정보를 저장하는 데이터베이스부;
상기 데이터베이스 정보를 이용하여 상기 보안장치 또는 상기 복수의 단말장치(FRTU)들과 비암호화 통신을 수행하기 위한 제1 클라이언트 통신 프로세스를 생성하고, 상기 제1 클라이언트 통신 프로세스를 이용한 통신을 수행하는 제1 통신 프로세스부; 및
상기 보안장치의 장애 여부에 의거하여 상기 제1 클라이언트 통신 프로세스를 상기 보안장치 또는 상기 복수의 단말장치(FRTU)들 중 어느 하나로 연결하는 제어부를 포함하는 것을 특징으로 하는 배전자동화 시스템.The method of claim 1, wherein the communication front end processor (FEP) is
A communication success rate analyzer configured to determine whether or not the security device has failed by analyzing a communication success rate of each of the plurality of terminal devices (FRTU);
A database unit for storing communication information of each of the plurality of terminal devices (FRTU);
A first for generating a first client communication process for performing non-encrypted communication with the security device or the plurality of terminal devices (FRTU) using the database information, and performing communication using the first client communication process Communication process unit; And
And a control unit for connecting the first client communication process to the security device or one of the plurality of terminal devices (FRTU) based on whether the security device has a failure.
상기 데이터베이스부로부터 상기 복수의 단말장치(FRTU)들 각각의 통신 정보를 읽어와서 상기 통신전단처리기(FEP) 및 상기 복수의 단말장치(FRTU)들과 통신을 수행하기 위한 각각의 통신 프로세스를 생성하고, 상기 통신 프로세스들을 이용한 통신을 수행하는 제2 통신 프로세스부;
상기 제2 통신 프로세스부에서 생성된 통신 프로세스 정보를 저장하는 메모리부; 및
상기 복수의 단말장치(FRTU)들과 암호화된 데이터를 주고받기 위한 제1 암호화 통신 프로토콜처리부를 포함하는 것을 특징으로 하는 배전자동화 시스템.The method of claim 2, wherein the security device
By reading communication information of each of the plurality of terminal devices (FRTU) from the database unit, each communication process for performing communication with the communication front processor (FEP) and the plurality of terminal devices (FRTU) is created, and And a second communication process unit for performing communication using the communication processes;
A memory unit for storing communication process information generated by the second communication process unit; And
And a first encrypted communication protocol processor for exchanging encrypted data with the plurality of terminal devices (FRTU).
상기 통신전단처리기(FEP)와 비암호화 통신을 수행하기 위한 제1 서버 통신 프로세스 또는 상기 복수의 단말장치(FRTU)들과 암호화 통신을 수행하기 위한 제2 클라이언트 통신 프로세스를 생성하는 것을 특징으로 하는 배전자동화 시스템.The method of claim 3, wherein the second communication process unit
And generating a first server communication process for performing non-encrypted communication with the communication front processor (FEP) or a second client communication process for performing encrypted communication with the plurality of terminal devices (FRTU) Automation system.
상기 보안장치에 포함된 제2 클라이언트 통신 프로세스와 암호화 통신을 수행하기 위한 제2 서버 통신 프로세스를 생성하고 상기 제2 서버 통신 프로세스를 이용한 통신을 수행하는 제2 서버 통신 프로세스부;
상기 제2 서버 통신 프로세스를 통해 암호화 통신을 수행하기 위한 제2 암호화 통신 프로토콜 처리부; 및
상기 통신전단처리기(FEP)에 포함된 제1 클라이언트 통신 프로세스와 비암호화 통신을 수행하기 위한 제3 서버 통신 프로세스를 생성하고 상기 제3 서버 통신 프로세스를 이용한 통신을 수행하는 제3 서버 통신 프로세스부를 포함하는 것을 특징으로 하는 배전자동화 시스템.The method of claim 4, wherein each of the plurality of terminal devices (FRTU)
A second server communication process unit generating a second server communication process for performing encrypted communication with a second client communication process included in the security device and performing communication using the second server communication process;
A second encrypted communication protocol processing unit for performing encrypted communication through the second server communication process; And
Including a third server communication process unit for generating a third server communication process for performing non-encrypted communication with the first client communication process included in the communication preprocessor (FEP) and performing communication using the third server communication process Distribution automation system, characterized in that.
상기 암호화 경로를 이용하여 통신을 수행하는 암호화 통신 단계;
상기 암호화 경로의 통신상태를 모니터링하여 상기 보안장치의 장애 여부를 결정하는 모니터링 단계; 및
상기 보안장치의 장애 발생에 응답하여, 상기 암호화 경로를 이용한 통신을 중단하고 상기 비암호화 경로로 통신을 수행하는 비암호화 통신 단계를 포함하는 것을 특징으로 하는 배전자동화 시스템을 이용한 보안 통신 방법.A path construction step of establishing an encryption path passing through a security device and a non-encryption path not passing through the security device between a communication shear processor (FEP) of a distribution automation system and a terminal device;
An encrypted communication step of performing communication using the encryption path;
A monitoring step of monitoring a communication state of the encryption path to determine whether or not the security device has failed; And
And a non-encryption communication step of stopping communication using the encryption path and performing communication through the non-encryption path in response to the occurrence of a failure of the security device.
상기 통신전단처리기(FEP)와 상기 보안 장치간 비암호화 통신을 수행하기 위한 통신 프로세스를 생성하는 제1 비암호화 통신 프로세스 생성단계; 및
상기 보안장치와 상기 복수의 단말장치(FRTU)들 사이에 암호화 통신을 수행하기 위한 통신 제1 암호화 통신 프로세스 생성단계를 포함하는 것을 특징으로 하는 배전자동화 시스템을 이용한 보안 통신 방법.The method of claim 6, wherein the encryption communication step
A first non-encrypted communication process generating step of generating a communication process for performing non-encrypted communication between the communication front processor (FEP) and the security device; And
And generating a first encrypted communication process for performing encrypted communication between the security device and the plurality of terminal devices (FRTU).
상기 통신전단처리기(FEP)가, 상기 보안장치와 비암호화 통신을 수행하기 위한, 제1 클라이언트 통신 프로세서를 생성하는 제1-1 비암호화 통신 프로세스 생성단계; 및
상기 보안장치가, 상기 통신전단처리기(FEP)와 비암호화 통신을 수행하기 위한, 제1 서버 통신 프로세서를 생성하는 제1-2 비암호화 통신 프로세스 생성 단계를 포함하는 것을 특징으로 하는 배전자동화 시스템을 이용한 보안 통신 방법.The method of claim 7, wherein the step of generating the first non-encrypted communication process
A first-first non-encryption communication process generation step of generating, by the communication front end processor (FEP), a first client communication processor for performing non-encryption communication with the security device; And
The security device includes a 1-2 non-encrypted communication process generating step of generating a first server communication processor for performing non-encrypted communication with the communication front processing unit (FEP). Secure communication method used.
상기 보안장치가, 상기 복수의 단말장치(FRTU)들과 암호화 통신을 수행하기 위한, 제2 클라이언트 통신 프로세서를 생성하는 제1-1 암호화 통신 프로세스 생성 단계; 및
상기 복수의 단말장치(FRTU)들 각각이, 상기 보안장치와 암호화 통신을 수행하기 위한, 제2 서버 통신 프로세서를 생성하는 제1-2 암호화 통신 프로세스 생성 단계를 포함하는 것을 특징으로 하는 배전자동화 시스템을 이용한 보안 통신 방법.The method of claim 7, wherein the step of generating the first encrypted communication process
A first-first encrypted communication process generating step of generating, by the security device, a second client communication processor for performing encrypted communication with the plurality of terminal devices (FRTU); And
And a 1-2 encrypted communication process generation step of generating a second server communication processor for each of the plurality of terminal devices (FRTU) to perform encrypted communication with the security device. Secure communication method using.
상기 통신전단처리기(FEP)가 상기 복수의 단말장치(FRTU)들 모두에 대하여 미리 설정된 일정 시간 동안 통신 성공률을 수집하는 통신 성공률 수집단계; 및
상기 통신 성공률이 미리 설정된 장애 판단 기준을 만족하는 지 여부에 따라 상기 보안장치의 장애 여부를 결정하는 장애결정단계를 포함하는 것을 특징으로 하는 배전 자동화 시스템을 이용한 보안 통신 방법.The method of claim 6, wherein the monitoring step
A communication success rate collecting step of collecting, by the communication front-end processor (FEP), a communication success rate for a predetermined period of time set in advance for all of the plurality of terminal devices (FRTU); And
And a failure determination step of determining whether the security device has a failure according to whether the communication success rate satisfies a predetermined failure determination criterion.
상기 통신전단처리기(FEP)와 상기 복수의 단말장치(FRTU)들 사이에 비암호화 통신을 수행하기 위한 통신 프로세스를 생성하는 제2 비암호화 통신 프로세스 생성 단계를 포함하는 것을 특징으로 하는 배전 자동화 시스템을 이용한 보안 통신 방법.The method of claim 6, wherein the non-encryption communication step
A distribution automation system comprising the step of creating a second non-encrypted communication process for generating a communication process for performing non-encrypted communication between the communication front processor (FEP) and the plurality of terminal devices (FRTU). Secure communication method used.
상기 통신전단처리기(FEP)가, 상기 복수의 단말장치(FRTU)들과 비암호화 통신을 수행하기 위한, 제1 클라이언트 통신 프로세서를 생성하는 제2-1 비암호화 통신 프로세스 생성단계; 및
상기 복수의 단말장치(FRTU)들 각각이, 상기 통신전단처리기(FEP)와 비암호화 통신을 수행하기 위한, 제3 서버 통신 프로세서를 생성하는 제2-2 비암호화 통신 프로세스 생성단계를 포함하는 것을 특징으로 하는 배전자동화 시스템을 이용한 보안 통신 방법.The method of claim 11, wherein the step of generating the second non-encrypted communication process comprises:
A 2-1 non-encryption communication process generation step of generating a first client communication processor for performing non-encryption communication with the plurality of terminal devices (FRTU), by the communication front processing unit (FEP); And
Each of the plurality of terminal devices (FRTU) includes a 2-2 non-encrypted communication process generating step of generating a third server communication processor for performing non-encrypted communication with the communication front processing unit (FEP). A secure communication method using a distribution automation system, characterized in that.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020190143500A KR102300369B1 (en) | 2019-11-11 | 2019-11-11 | Distributive automation system and method for communicating securely using the thereof |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020190143500A KR102300369B1 (en) | 2019-11-11 | 2019-11-11 | Distributive automation system and method for communicating securely using the thereof |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20210056727A true KR20210056727A (en) | 2021-05-20 |
KR102300369B1 KR102300369B1 (en) | 2021-09-08 |
Family
ID=76142982
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020190143500A KR102300369B1 (en) | 2019-11-11 | 2019-11-11 | Distributive automation system and method for communicating securely using the thereof |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102300369B1 (en) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20090026481A (en) * | 2007-09-10 | 2009-03-13 | 에스케이 텔레콤주식회사 | Server device for roaming packet data service, system and method |
KR20140110395A (en) * | 2013-03-07 | 2014-09-17 | 재단법인 국제도시물정보과학연구원 | A Telemetering System transmitting encoded data |
KR101538147B1 (en) | 2014-04-23 | 2015-07-22 | 한전케이디엔주식회사 | Distributive automation system applied to security module and method using the thereof |
KR101847636B1 (en) * | 2016-03-14 | 2018-04-10 | 주식회사 수산아이앤티 | Method and apprapatus for watching encrypted traffic |
-
2019
- 2019-11-11 KR KR1020190143500A patent/KR102300369B1/en active IP Right Grant
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20090026481A (en) * | 2007-09-10 | 2009-03-13 | 에스케이 텔레콤주식회사 | Server device for roaming packet data service, system and method |
KR20140110395A (en) * | 2013-03-07 | 2014-09-17 | 재단법인 국제도시물정보과학연구원 | A Telemetering System transmitting encoded data |
KR101538147B1 (en) | 2014-04-23 | 2015-07-22 | 한전케이디엔주식회사 | Distributive automation system applied to security module and method using the thereof |
KR101847636B1 (en) * | 2016-03-14 | 2018-04-10 | 주식회사 수산아이앤티 | Method and apprapatus for watching encrypted traffic |
Also Published As
Publication number | Publication date |
---|---|
KR102300369B1 (en) | 2021-09-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8997202B2 (en) | System for secure transfer of information from an industrial control system network | |
JP2013218735A (en) | Information collecting system | |
CN103782566A (en) | Communication protocols | |
JP2010524364A (en) | Communication method and apparatus for efficient and secure transmission of TT Ethernet messages | |
CN101278521A (en) | Stateless bi-directional proxy | |
KR20190136712A (en) | Stand alone Gateway for Controlling Internet of Things Device | |
CN103262046A (en) | Server management apparatus, server management method, and program | |
JP2018501737A (en) | Bidirectional forwarding detection through network virtualization using generic routing encapsulation | |
US11882100B2 (en) | Communication control device and communication system | |
US9280426B2 (en) | System and method for server redundancy | |
US20150236920A1 (en) | Method and apparatus for determining connection information of a link | |
CA2851484A1 (en) | Process installation network intrusion detection and prevention | |
US20180324063A1 (en) | Cloud-based system for device monitoring and control | |
JP4964666B2 (en) | Computer, program and method for switching redundant communication paths | |
KR102300369B1 (en) | Distributive automation system and method for communicating securely using the thereof | |
EP3979078B1 (en) | System and method for secure connections in a high availability industrial controller | |
US20200128041A1 (en) | Method and device for monitoring data communications | |
US20060215525A1 (en) | Communication apparatus and program provided with failure determining method and function | |
WO2023124127A1 (en) | Communication connection method, apparatus and device for host and storage system, and medium | |
JP4992573B2 (en) | Layer 2 switch, communication device, data section error detection method used therefor, and program thereof | |
JP2005258632A (en) | Conduction confirmation method of network storage device, and host computer | |
US8769062B2 (en) | Determining a network address for managed devices to use to communicate with manager server in response to a change in a currently used network address | |
KR102090137B1 (en) | Apparatus for remotely managing power | |
KR20180137827A (en) | OPC-UA based facility status monitoring system | |
KR100967885B1 (en) | Watchdog apparatus of a distributing control system and method for controlling a status using the same |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |